［許明元］

?

SDN網(wǎng)絡(luò)安全規(guī)則及OpenFlow協(xié)議的安全分析

［許明元］

摘要全球正在掀起一股SDN的熱潮，主流運營商紛紛將目光投向這一市場，目前各大運營商已逐步開始部署SDN網(wǎng)絡(luò)。SDN特定的網(wǎng)絡(luò)架構(gòu)及其可編程特性，為網(wǎng)絡(luò)安全帶來新的技術(shù)推動力。文章對SDN的安全規(guī)則和需求進行了探討，并針對ONF關(guān)鍵協(xié)議OpenFlow 協(xié)議潛在安全問題和應(yīng)對措施方面進行探討與研究。

關(guān)鍵詞：SDN OpenFlowNFV

許明元

男，移動通信工程師，本科。廣東省電信規(guī)劃設(shè)計院有限公司。主要從事通信設(shè)備研發(fā)、測試、技術(shù)支持、規(guī)劃設(shè)計等工作，熟悉3G UMTS、4G LTE無線網(wǎng)及核心網(wǎng)技術(shù)，具有有豐富的移動通信工作經(jīng)驗，并積極學(xué)習(xí)和研究SDN、5G等相關(guān)通信新技術(shù)。

引言

SDN網(wǎng)絡(luò)面臨的安全挑戰(zhàn)不同于傳統(tǒng)網(wǎng)絡(luò)，SDN邏輯上的集中控制方式使攻擊者能夠直接進入系統(tǒng)的控制平面通過A-CPI接口攻擊SDN系統(tǒng)。 面對SDN安全挑戰(zhàn)，ONF安全討論組建議制定一套SDN網(wǎng)絡(luò)的安全原則，該安全準(zhǔn)則覆蓋不同方面的安全問題（如SDN協(xié)議安全、SDN網(wǎng)元安全、SDN接口安全），以確保SDN 網(wǎng)絡(luò)在實際運行環(huán)境具有足夠的處理各種安全隱患的能力。

本文首先介紹SDN應(yīng)遵循的安全規(guī)則和需求，然后對ONF關(guān)鍵協(xié)議 OpenFlow 交換規(guī)范V1.3.4進行安全分析。

1　SDN架構(gòu)簡述

SDN采用與傳統(tǒng)網(wǎng)絡(luò)截然不同的控制架構(gòu)，將網(wǎng)絡(luò)控制平面和數(shù)據(jù)平面分離，采用集中控制替代原有分布式控制，并通過開放和可編程接口實現(xiàn)“軟件定義”。SDN整體架構(gòu)如圖1。

SDN采用應(yīng)用平面（Application plane）、控制平面（Controller plane）和數(shù)據(jù)平面（Data plane）三層架構(gòu)，SDN架構(gòu)的基本概念是控制平面和數(shù)據(jù)平面分離，將控制平面從數(shù)據(jù)平面分離出來，網(wǎng)絡(luò)交換設(shè)備成為單一的數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備，控制由邏輯上的集中控制器完成（實際應(yīng)用中，基于可靠性考慮，控制器在物理上可以分布布置），SDN控制器與數(shù)據(jù)平面通過D-CPI（Data-Controller plane Interface）通信、應(yīng)用平面與控制器通過A-CPI（Application-Controllers plane Interface）通信，OSS通過管理接口與SDN控制器通信，SDN架構(gòu)的可編程性和靈活性，使新的算法和應(yīng)用能夠高效地實現(xiàn)，該架構(gòu)能夠支持處理多方的高層應(yīng)用。

圖1　SDN架構(gòu)

SDN 的可編程、靈活性強、支持第三方應(yīng)用等特性，使其能夠大大提高網(wǎng)絡(luò)的功能，同時也將帶來新的安全問題。

2　SDN網(wǎng)絡(luò)的安全挑戰(zhàn)

SDN全新的網(wǎng)絡(luò)架構(gòu)和特性也帶來比之前網(wǎng)絡(luò)更大的安全挑戰(zhàn)，SDN的安全挑戰(zhàn)主要表現(xiàn)在以下方面：

（1）網(wǎng)絡(luò)架構(gòu)

在SDN網(wǎng)絡(luò)中，一個提供商的SDN控制器可以直接接入和控制其他廠家的SDN交換設(shè)備，給攻擊者提供了冒充控制器操縱其它SDN控制器的可能；SDN架構(gòu)需要不同域之間通過I-CPI接口進行互通，域間必須具有建立信任、確定授權(quán)級別的機制，以防止濫用或搶占信道。

（2）SDN新特性

SDN的集中控制特性，使得控制器的安全至關(guān)重要，如果控制器受到攻擊，攻擊者可能惡意操縱網(wǎng)絡(luò)服務(wù)甚至控制整個網(wǎng)絡(luò)。

SDN的可編程特性也可能帶來新的安全挑戰(zhàn)，必須采取措施保證系統(tǒng)的完整性，確保第三方數(shù)據(jù)和開放接口安全可靠，主要有以下幾方面:

① 業(yè)務(wù)和資源分離

運營商必須保證一個實體的業(yè)務(wù)管理和實時控制信息與其它實體完全分離，業(yè)務(wù)和資源分離以避免它們之間的干擾和錯誤使用。

②第三方應(yīng)用和控制器間的信任問題

可編程功能是一把雙刃劍，它能靈活實現(xiàn)市場驅(qū)動新引入的應(yīng)用，但同時也給惡意攻擊應(yīng)用打開了大門。在應(yīng)用注冊點必須進行認(rèn)證和不同級別的鑒權(quán)，以避免控制器暴露。

③A-CPI和I-CPI接口的安全保護

SDN系統(tǒng)一個控制器可以被上級控制器控制，或者需要與同級的其它控制器協(xié)同工作，這些接口缺乏安全保護，攻擊者可通過A-CPI和I-CPI攻擊SDN網(wǎng)絡(luò)，因此，在A-CPI和I-CPI接口必須增加安全保護。

此外，SDN接口和協(xié)議的開發(fā)主要是在原有協(xié)議的基礎(chǔ)上，根據(jù)S DN的需要進行更新或升級，將安全能力加入到現(xiàn)有的技術(shù)（如 DNS、BGP）中。

3　SDN安全規(guī)則

針對SDN面對的安全挑戰(zhàn)，ONF成立了SDN安全組，討論和制定SDN相關(guān)安全規(guī)則，以下8個SDN安全規(guī)則適用于SDN架構(gòu)的所有協(xié)議、網(wǎng)元和接口。

3.1清晰定義安全依賴性和信任邊界

SDN網(wǎng)絡(luò)中的不同網(wǎng)元間的安全相依性必須清晰，避免迂回的相依性，信任界限必須清晰。

3.2確保健壯的身份識別

安全的基礎(chǔ)是網(wǎng)絡(luò)中所有網(wǎng)元和用戶具有唯一的身份識別，以進行有效的鑒權(quán)、認(rèn)證和審計

健壯的身份識別應(yīng)具有以下特性：

（1）在預(yù)先定力的范圍內(nèi)，具有從其它實體識別實體擁有者的能力；

（2）具備產(chǎn)生、修改和撤銷的能力；

（3）通過加密機制，防止冒名頂替。

應(yīng)用的場景：SDN 外部網(wǎng)元通過定義的接口訪問系統(tǒng)的一部分資源，必須進行接入控制，通過不同權(quán)限級別對外部實體進行鑒權(quán)和認(rèn)證。

3.3建立基于開放標(biāo)準(zhǔn)的安全體系

使用開放標(biāo)準(zhǔn)有利于移植和實現(xiàn)互操作。

盡量采用已經(jīng)驗證的的協(xié)議和方法，比如在加密、認(rèn)證、鑒權(quán)及完整性保護可采用現(xiàn)有的協(xié)議和算法，在現(xiàn)有存在的協(xié)議不能實現(xiàn)的情況下，才建議采用新的協(xié)議和算法。

3.4保護信息安全三元組

安全控制能提高系統(tǒng)的機密性、完整性和有效性，但引入安全機制時，應(yīng)從整個系統(tǒng)架構(gòu)角度評估，需要考慮引入安全機制后，是否會減低整個系統(tǒng)的安全性能、是否帶來新的安全漏洞等問題。

例如，如果引入新的集中安全控制服務(wù)器，需要評估引入的服務(wù)器是否易遭受DOS攻擊、是否影響系統(tǒng)性能、是否增加系統(tǒng)的復(fù)雜度和降低系統(tǒng)的性能，同時應(yīng)綜合考慮對安全需求、成本和維護方面的影響。

3.5保護操作維護數(shù)據(jù)

有效的安全控制直接受數(shù)據(jù)完整性的影響（如憑證或序列碼），它是下發(fā)操作維護指令的關(guān)鍵，不正確的數(shù)據(jù)將帶來預(yù)期以外的行為，失去機密性、完整性和有效性 。

相關(guān)數(shù)據(jù)必須在狀態(tài)轉(zhuǎn)移和整個系統(tǒng)生命周期內(nèi)能夠安全地生成、處理、維護和傳送，例如在系統(tǒng)初始化、系統(tǒng)操作、系統(tǒng)備份、系統(tǒng)失效、系統(tǒng)恢復(fù)以及這些狀態(tài)之間的轉(zhuǎn)換。

3.6使系統(tǒng)處于默認(rèn)的安全狀態(tài)

安全控制應(yīng)能提供多種安全級別以滿足系統(tǒng)使用情況的需要，系統(tǒng)應(yīng)默認(rèn)定義一個最低限度的安全級別并自動開啟主要的安全控制功能，并且這些安全控制功能能夠以某種方式進行配置。例如，當(dāng)實現(xiàn)鑒權(quán)控制，確保默認(rèn)開啟鑒權(quán)功能。

3.7安全控制應(yīng)具備可追溯性

對系統(tǒng)安全而言，所有安全控制應(yīng)具備對所有狀態(tài)和行為的可審查功能，記錄數(shù)據(jù)應(yīng)包括足夠的信息，根據(jù)記錄的數(shù)據(jù)，不僅能夠識別發(fā)生此安全行為的實體，而且能找出與之關(guān)聯(lián)的行為。

3.8安全控制的可管理特性除上述7個安全規(guī)則外，當(dāng)新的架構(gòu)和標(biāo)準(zhǔn)引如新的安全控制時，還需要考慮以下特性:

（1）設(shè)計或引入新的安全控制時，安全對象應(yīng)該很清晰；

（2）引入新的安全控制，需考慮其可擴展性，能后向兼容，或者能夠通過升級，使現(xiàn)有的安全控制和傳統(tǒng)的能夠共存。

（3）安全控制應(yīng)易于實現(xiàn)，維護和操作；安全控制應(yīng)能自動配置生效，具備監(jiān)控、故障處理、調(diào)試等功能。

4　ONF協(xié)議的安全需求

根據(jù)以上安全規(guī)則，開發(fā)或設(shè)計SDN ONF 協(xié)議相關(guān)的安全需求主要有以下幾方面：

4.1清晰定義安全依賴性和信任邊界

在安全應(yīng)用場景中，在每個信任邊界的雙方網(wǎng)元，信令數(shù)據(jù)交換前，必須執(zhí)行鑒權(quán)和認(rèn)證，信令分組必須提供分組級別的安全保護，主要包括：

（1）運行ONF協(xié)議的兩個SDN網(wǎng)元間應(yīng)支持永久的鑒權(quán)。

（2）當(dāng)一個SDN網(wǎng)元需要訪問或控制另一個SDN網(wǎng)元時，SDN 安全協(xié)議應(yīng)提供認(rèn)證功能。

（3）在交換協(xié)議分組前，SDN協(xié)議處理單元需對安全相關(guān)數(shù)據(jù)協(xié)商一致（如密鑰，算法等）。

（4）為防止協(xié)議交換數(shù)據(jù)被攻擊者獲取，應(yīng)提供完整性保護和私密保護的安全機制。

4.2健壯的身份識別

（1）每個運行ONF協(xié)議的實體（SDN設(shè)備或用戶），必須有一個明確標(biāo)識所有者身份的ID，該ID在認(rèn)證過程中應(yīng)通過加密進行保護。

（2）ONF協(xié)議中，在ID的生命周期內(nèi)，需要考慮ID的管理問題（生成、分配、維護、撤銷等），在ONF安全方案中，ID管理應(yīng)作為一個基本的功能。

4.3建立基于開放標(biāo)準(zhǔn)的安全體系

（1）應(yīng)首先采用現(xiàn)有存在的安全協(xié)議和機制。

（2）避免采用非標(biāo)準(zhǔn)或易受攻擊的算法、協(xié)議。如MD5和SHA-1易受攻擊，不建議使用。

（3）具有清晰區(qū)分處理格式錯誤和損壞的分組數(shù)據(jù)。ONF協(xié)議應(yīng)能正確處理實體間通信的格式錯誤和損壞的數(shù)據(jù)。

4.4保護信息安全三元組

（1）SDN協(xié)議的安全方案應(yīng)考慮多層產(chǎn)生的安全問題；例如，應(yīng)正確保護下層傳輸協(xié)議的分組頭和信令消息。

（2）協(xié)議規(guī)范應(yīng)在控制/數(shù)據(jù)層提供相關(guān)管理和速率控制機制，以應(yīng)對潛在的DOS/DDOS攻擊。

（3）SDN控制協(xié)議應(yīng)能應(yīng)對未來網(wǎng)絡(luò)新出現(xiàn)的攻擊方式，易于擴展以支持附加的信令消息。

（4）安全控制協(xié)議應(yīng)使每條協(xié)議消息具有足夠的信息，以指示接收者能正確處理，如接受者能驗證信息的完整性。

4.5保護操作維護數(shù)據(jù)

丟棄或不正確的某些操作維護數(shù)據(jù)會導(dǎo)致安全風(fēng)險，這些信息必須受到安全保護，且只能被授權(quán)的實體訪問，這類信息包括接入控制策略、證書、私有密鑰、服務(wù)描述等。

4.6使系統(tǒng)處于默認(rèn)的安全狀態(tài)

（1）ONF協(xié)議安全方案需要規(guī)定各種不同的缺省配置，以便在系統(tǒng)更新、故障恢復(fù)和重啟中確保網(wǎng)絡(luò)設(shè)備的安全，這些默認(rèn)的信息包括缺省的行為、算法、密鑰長度、證書類型和預(yù)先定義的接入控制策略等。

（2）需要強制規(guī)范加密算法和安全協(xié)議。

4.7安全控制應(yīng)具備可追溯性

（1）設(shè)計ONF協(xié)議時，關(guān)鍵的事件或故障需要記錄保存，以便審查分析。

（2）所有來自不同SDN網(wǎng)元的記錄數(shù)據(jù)必須安全存儲（進行完整性保護），當(dāng)需要傳送到遠(yuǎn)端服務(wù)器時，需要對數(shù)據(jù)進行加密和完整性保護。

（3）需記錄不同SDN網(wǎng)元的關(guān)鍵狀態(tài)和計數(shù)器的信息，進行監(jiān)控，以便檢測針對不同SDN網(wǎng)元的惡意活動。

4.8安全控制的可管理性

除以上需求外，ONF協(xié)議的安全機制還需滿足以下需求：

（1）安全機制應(yīng)支持各種各樣的安全算法，以便用戶可以選擇其滿意的安全算法，用戶可以根據(jù)不同的對象選擇不同的安全級別。

（2）安全機制應(yīng)具備較強的可擴展性，支持后續(xù)可方便引入新的算法或安全功能。

（3）安全機制應(yīng)支持自動的密鑰、證書管理功能。

5　OpenFlow Switch 規(guī)范安全分析

根據(jù)上述SDN ONF協(xié)議的安全原則和需求，下面對OpenFlow交換機規(guī)范（V1.3.4）進行安全分析。

主要從OpenFlow交換機、OpenFlow連接過程、加密、多控制器幾個方面進行安全分析。

5.1OpenFlow交換機安全分析

OpenFlow交換機包括端口和流表兩個組件。各環(huán)節(jié)安全潛在問題和應(yīng)對方案分析如下：

（1）端口

OpenFlow交換機端口包括物理端口、邏輯端口和保留端口。

① 物理端口：

潛在的安全問題：基于流量監(jiān)控的需要，OpenFLOw交換機的物理端口可以增加或修改，攻擊者可能通過修改交換機的物理端口發(fā)動網(wǎng)絡(luò)攻擊。

應(yīng)對方案：SDN控制器實時監(jiān)測OpenFlow交換機端口MAC地址或鏈路狀態(tài)的改變，防止攻擊者對交換機端口進行惡意修改。

② 邏輯端口

潛在的安全問題：OpenFlow交換機規(guī)范（V1.3.4）在端口統(tǒng)計消息中，沒有提供隧道ID（Tunnel ID）。

應(yīng)對方案：端口統(tǒng)計消息增加隧道ID，控制器通過相關(guān)邏輯端口的隧道ID，準(zhǔn)確區(qū)分邏輯端口的統(tǒng)計信息.

③ 保留端口

潛在的安全問題：應(yīng)用程序無法收集保留端口的統(tǒng)計信息。

應(yīng)對方案：確?？刂破髂苁盏奖Ａ舳丝诘慕y(tǒng)計信息。

（2）流表

流表存在于OpenFlow交換機，指示如何處理進入交換機的流量，每個流表中條目包括數(shù)據(jù)頭、計數(shù)器和操作。

① 流表匹配的潛在安全問題：按照OpenFlow協(xié)議，任何進入交換機的數(shù)據(jù)包都要與數(shù)據(jù)頭某一特定值進行匹配，以確定數(shù)據(jù)包流的下一步操作，當(dāng)流表中沒有條目可以匹配的時候，默認(rèn)的操作是封裝數(shù)據(jù)包并發(fā)往控制器。然而，協(xié)議中沒有說明數(shù)據(jù)包格式錯誤時，如何處理。攻擊者可能利用這一漏洞，向交換機發(fā)送格式錯誤的數(shù)據(jù)包，達到攻擊網(wǎng)絡(luò)的目的。

應(yīng)對方案：建立檢查OpenFlow控制數(shù)據(jù)包格式錯誤或數(shù)據(jù)錯誤的機制，丟棄所有格式錯誤或數(shù)據(jù)錯誤的數(shù)據(jù)包。

② 流表不一致的潛在安全問題：當(dāng)交換機的流表被修改（如刪除）而沒有通知主控制器，交換機的流表信息與控制器掌握的不一致，將導(dǎo)致控制器和交換機不能正常處理數(shù)據(jù)包。

應(yīng)對方案：交換機所有轉(zhuǎn)發(fā)狀態(tài)的改變必須通知控制器，確保交換機和控制器具有一致的轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu)，使交換機能夠正常轉(zhuǎn)發(fā)數(shù)據(jù)包。

5.2OpenFlow連接過程的安全分析

根據(jù)OpenFlow協(xié)議，OpenFlow控制器和交換機間連接建立過程如下：控制器和交換機間通過TCP三次握手過程建立連接，TCP連接建立后，控制器和交換機間互相發(fā)送Hello報文，當(dāng)Hello報文在交換機和控制器相互交換后，控制器與交換機之間就建立了連接，然后控制器向交換機的一條Openflow消息，目的是為了獲取交換機性能，功能以及一些系統(tǒng)參數(shù)，交換機響應(yīng)功能請求報文（Feature Request）向控制器發(fā)送的功能響應(yīng)（Feature reply）報文，該報文中描述了OpenFlow交換機的詳細(xì)細(xì)節(jié)?？刂破鳙@得交換機性能信息后，就可以開始OpenFlow協(xié)議特定操作。

（1） 連接建立

連接建立過程中潛在的安全問題：控制器和交換機間通過TCP三次握手過程建立連接，但是TLS消息沒有附加信息和對TCP頭的保護措施，也沒有管理認(rèn)證相關(guān)信息（如密鑰、證書等）。

應(yīng)對方案：利用TCP-AQ等安全機制對TCP頭進行保護；增加管理認(rèn)證相關(guān)信息，例如，通過OF-Config協(xié)議配置和管理證書信息。

（2）連接中斷

連接中斷潛在的安全問題：當(dāng)交換機與控制器連接中斷后，交換機的安全級別可能會被降低。

應(yīng)對方案：交換機發(fā)送一狀態(tài)改變消息通知控制器，控制器實時掌握交換機的當(dāng)前狀態(tài)。

5.3加密

加密潛在的安全問題：協(xié)議僅使用證書的認(rèn)證，未涉及基于預(yù)置共享密鑰消息的認(rèn)證。

應(yīng)對方案：提供多種類型的認(rèn)證機制。OpenFlow 消息傳送時，應(yīng)支持消息的完整性保護。

5.4OpenFlow多控制器安全分析

SDN架構(gòu)允許存在多個控制器，包括同等角色或主從關(guān)系多個控制器。

同等角色的多控制器間可能存在潛在沖突，在控制器必須制于沖突解決機制或在規(guī)范增加附加的標(biāo)志位以檢測沖突流，如Check-OVERLAP；

攻擊者試圖通過一個控制器操作控制另一控制器，或者試圖使從控制器請求成為主控制器，使合法的控制器更改為從控制器，從而控制整個網(wǎng)絡(luò)。必須采用嚴(yán)格的鑒權(quán)和認(rèn)證機制，避免攻擊者惡意操縱控制器。當(dāng)一個控制器試圖成為主控制器時，需發(fā)送一個認(rèn)證消息給主控制器和其它所有控制器，以識別角色轉(zhuǎn)換，認(rèn)證通過，才能進行角色更換。

6　小結(jié)

本文介紹的SDN應(yīng)遵循的安全規(guī)則，可應(yīng)用于基于ONF標(biāo)準(zhǔn)和結(jié)構(gòu)的SDN 設(shè)備中，使SDN設(shè)備具有統(tǒng)一實現(xiàn)安全的基本方式。根據(jù)安全規(guī)則，對SDN協(xié)議的安全需求進行了分析，最后基于SDN的安全需求，對OpenFlow V1.3.4協(xié)議的安全問題和應(yīng)對措施進行了探討和研究。

參考文獻

1［美］Thomas D.Nadeau，Ken Gray.軟件定義網(wǎng)絡(luò)：SDN與OpenFlow解析［M］.人民郵電出版社 ，2014-05

2黃韜.軟件定義網(wǎng)絡(luò)核心原理與應(yīng)用實踐［M］，人民郵電出版社，2014年9月

3王淑玲，李濟漢，張云勇，黃秉毅.SDN架構(gòu)及安全性研究［J］，電信科學(xué)，2013，3: 117-119

4左青云，張海粟.基于OpenFlow的SDN網(wǎng)絡(luò)安全分析與研究［J］，2015，（2）:26-32

5ONF TR-511.Principles and practices for securing softwaredefined networks_applied_to_OFv1.3.4_V1.0；http://www.opennetworking.org，January 2015

6ONF.SDN security considerationsin the data center，http:// www.opennetworking.org，October 8 2015

7ONF.OpenFlow switch specification Ver1.3.4，http://www.opennetworking.org，March 27，2014

8ONF TR-504.SDN architecture overview，http://www.opennetworking.org，November，2014

9ONF TR-518.Relationship of SDN and NFV.http://www.opennetworking.org，October 2015

10ONF TR-516.Framework for SDN: Scope and requirements，http://www.opennetworking.org，June 2015

DOI:10.3969/j.issn.1006-6403.2016.05.004

收稿日期：（2016-03-07）