梁鈺 解建偉

摘要：軟件定義網絡（SDN）技術以其集中式智能化管理、控制面與數據面解耦和以應用為主導的可編程特性等特點為下一代網絡的發(fā)展提供了新的思路，同時也給傳統網絡中的密碼防護體系帶來了新的挑戰(zhàn)。介紹了密碼保護技術和SDN安全保密技術的研究現狀，從SDN密碼防護功能體系與技術體系2個方面闡釋了SDN網絡密碼防護體系架構，并介紹了SDN網絡密碼防護原型系統，為基于SDN網絡架構的新一代網絡提供高可靠的密碼保障服務。

關鍵詞：軟件定義網絡；軟件定義安全；密碼防護體系

中圖分類號：TP309文獻標志碼：A文章編號：1008-1739（2018）08-58-4

Research on Architecture of Software Defined Network Cipher Protection System

LIANG Yu1， XIE Jianwei2

（1. The 54th Research Institute of CETC， Shijiazhuang Hebei 050081， China； 2. Hebei Branch， Zhonghua Communication System Co.， Ltd， Shijiazhuang Hebei 050081， China）

0引言

傳統封閉式的網絡架構難以支撐當前網絡規(guī)模的不斷擴大和網絡業(yè)務的復雜多變，網絡的功能與性能面臨著嚴重挑戰(zhàn)。SDN技術提出的數據面與控制面分離的網絡體系架構有效地解決了這一問題，但同時也給傳統網絡的密碼防護體系帶來了新的挑戰(zhàn)，IP網絡傳統的密碼防護機制對網絡層固定字段加密，使SDN中基于流表的數據轉發(fā)機制無法發(fā)揮最大效能，相對簡單的報文防護模式也無法滿足多樣化的流量防護需求。SDN標準接口協議Open Flow中安全傳輸方式為可選項，有可能受到攻擊者發(fā)起的協議攻擊，同時集中式的控制器更容易成為攻擊目標，需要加強網元和協議數據的防護能力，控制器還提供包含配置面在內的大量API，供用戶按照自己的需求編寫APP，而第三方提供的APP中很可能包含漏洞、后門，或者不安全的API調用，特別是越權調用配置管理API，將會給控制器帶來災難性的后果[1]。

1研究現狀

1.1網絡密碼保護技術發(fā)展現狀

隨著計算機網絡通信技術的發(fā)展，IP協議已經成為網絡層的主流協議，能運行在各種物理介質和鏈路層協議之上，并且任何傳輸層協議和應用層協議都能將IP層協議作為承載層[2]。在網絡呈現IP泛在化的趨勢下，考慮到IP層協議較為穩(wěn)定，對網絡層進行密碼防護較為穩(wěn)定和可靠。

網絡層IP密碼機是基于統一的IP承載網的加密專用設備，既不限制上層應用，也不限定下層物理鏈路網，具有非常優(yōu)秀的適應能力，是目前信息網絡最為主要的密碼防護機制。在IP層實施密碼防護[3]是國內外普遍采用的一種有效防護機制，能夠確保網絡傳輸信息的機密性、完整性、可控性、可用性和不可否認性，可以靈活實現子網對子網、子網對終端、終端對終端的安全接入和互聯，也是當前最能適應IP泛在化的安全保密手段。

如圖1所示，對于存在多安全保密防護等級的虛擬網絡和信息系統，基于IP加密的密碼防護機制可根據不同信息系統建立不同的虛擬專用網（Virtual Private Network，VPN）[4]，為VPN內部的信息、主機和其他通信設備提供不同的網絡邊界密碼防護，實現同一物理網絡不同業(yè)務系統隔離。

1.2 SDN安全保密技術研究現狀

作為下一代網絡的發(fā)展方向，SDN在帶來諸多機遇的同時，也面臨著新的挑戰(zhàn)，尤其是在安全方面。隨著SDN研究的深入和廠商的大量參與，SDN的安全問題越來越受到重視。SDN安全保密技術[5]包括SDN自身的安全和基于SDN的安全保密。

（1）SDN自身安全保密

與傳統封閉網絡設備相比，SDN開放式接口的引入、集中式的控制器將給網絡安全帶來高的風險。安全的認證機制和框架、安全策略的制定等，將成為SDN安全發(fā)展的重要保證。

德克薩斯州Texas大學和SRI公司的研究團隊針對SDN的安全進行了研究，提出了包含SDN的安全操作系統FortNOX等在內的多種安全解決方案。斯坦福大學的Martin Casado和其研究團隊提出了Ethane架構，該架構通過一個中央控制器向基于流的以太網交換機下發(fā)策略，從而對流的準入和路由器進行統一管理。

（2）基于SDN的安全保密

SDN技術在網絡安全防護領域的應用研究也是熱點領域之一，并提出了軟件定義安全（Software Defined Security，SDS）[6]的技術思路。SDS的特點是將安全的控制平面和數據平面進行分離和重構，實現模塊化、服務化及可重用。SDS將現有安全技術分解成基本安全服務，并進一步劃分為原子安全服務。然后，通過SDN控制層的可編程能力及安全防護控制器，利用服務重構技術和安全狀態(tài)表將各安全原子服務有機整合，形成定制的安全能力。

2 SDN密碼防護體系架構

2.1密碼防護功能體系

本文提出了分層、多級的SDN網絡密碼安全防護功能體系，在數據層面，提供業(yè)務數據流的鏈路、網絡及傳送層加解密功能；在管控層面，針對SDN網絡各層在控制、管理和配置平面面臨的安全威脅，提供SDN應用層安全、SDN控制層安全和SDN基礎設施層安全，如圖2所示。

SDN應用層安全主要針對工作于SDN北向接口的各類協議，SDN APP提供密碼安全防護，SDN控制層安全主要針對SDN控制器提供各類密碼安全防護，基礎設施層主要針對各類SDN轉發(fā)器及業(yè)務數據提供密碼安全防護功能。

（1）SDN應用層安全

①認證：SDN應用對SDN控制器進行認證，以確保SDN控制器的合法性，可選用的機制包括預置密鑰、基于證書的密鑰等多種認證方式；

②數據機密性保護：選用符合標準的加解密算法對從SDN應用層向SDN控制器層下發(fā)的網絡策略進行數據機密性保護；

③數據完整性保護：從SDN應用層向SDN控制器層下發(fā)的網絡策略進行數據完整性防護，可采用的防護手段有Hash、MAC、HMA及數字簽名等；

④密鑰、證書管理：對SDN進行安全防護所需的各類密鑰和證書的統一管理；

⑤應用防護：在SDN應用層應部署攻擊檢測工具以應對各類對SDN應用程序的攻擊行為。攻擊檢測工具可采用基于簽名的可信檢測、異常行為檢測等多種方法；

⑥防護管理支撐：向密碼防護管理模塊提供該層安全功能所需的安全防護管理接口功能。

（2）SDN控制層安全

①認證：SDN控制器對SDN應用層的應用和基礎設施層的轉發(fā)器分別進行認證，以防止假冒攻擊，SDN控制器對管理員的身份進行認證以防止對控制器的誤用；

②授權：SDN控制器對SDN應用、管理員下發(fā)各類權限規(guī)則進行授權管理，可采取的授權策略包括黑白名單、ACL及RBAC等多種方式；

③數據機密性保護：選用符合標準的密碼算法，對SDN應用層接收的各類網絡策略和流表操作進行加解密操作；

④數據完整性保護：采用Hash、MAC、HMA及數字簽名等防護手段對流表、各種網絡策略以及各類配置數據進行完整性保護；

⑤密鑰/證書管理：對SDN進行安全防護所需的各類密鑰和證書的統一管理；

⑥安全流表快速處理：SDN控制器層應能夠對不同類型的流表進行區(qū)分，用于安全處理的流表需進行快速的處理和實時下發(fā)；

⑦安全流表權限控制：SDN控制器采用流表分級命名等方法，提供判斷不同的應用對流表的插入、升級、刪除等操作的權限的能力，以防止對流表的沖突行為；

⑧安全監(jiān)測支持：SDN網絡的管理員應支持對整個網絡安全狀態(tài)的監(jiān)測，特別是一些安全策略的效果；

⑨操作系統加固：盡可能地降低操作系統中的各類安全風險，對操作系統中無用的模塊進行裁剪、疊加可信等安全措施，盡量為SDN控制器提供安全可信的運行環(huán)境。

（3）SDN基礎設施層安全

①認證：SDN轉發(fā)器應提供對SDN控制器的認證，以防止假冒的SDN控制器對轉發(fā)器的控制，SDN轉發(fā)器應提供對管理員身份的認證，以防止惡意的操作；

②授權：SDN轉發(fā)器應對SDN控制器和管理員實時授權管理，可采取的策略有黑白名單、ACL及RBAC等；

③數據機密性保護：對從SDN控制器下發(fā)的流表進行解密，支持對向SDN控制器發(fā)送的流表查詢請求進行加密，對從SDN管理界面下發(fā)的配置管理類策略進行解密，對SDN轉發(fā)器中存儲的敏感信息進行加密，以防止數據竊??；

④數據完整性保護：采用Hash、MAC、HMA及數字簽名等手段，對從SDN控制器下發(fā)的流表數據進行完整性驗證，對向SDN控制器發(fā)送的流表查詢請求數據進行完整性防護，對SDN轉發(fā)器中存儲的敏感信息進行完整性防護，以防止數據篡改；

⑤密鑰、證書管理：對SDN基礎設施進行安全防護所需的各類密鑰和證書的統一管理；

⑥流表溢出防護：在使用一些常用的抵御緩沖區(qū)溢出攻擊的手段基礎之上，SDN轉發(fā)器的流表管理軟件應能夠決定哪些流表項可以刪除并從SDN控制器進行重新同步；

⑦防護管理支持：向密碼防護管理模塊提供該層安全功能所需的安全防護管理接口功能；

⑧業(yè)務數據加解密：為用戶業(yè)務數據按需提供鏈路層、網絡層和傳送層的加解密功能，保護數據傳送過程中的真實性、完整性和機密性。

（4）密碼防護管理

①提供對SDN網絡中的各類平臺資源的訪問控制；

②監(jiān)控登錄到平臺中的用戶，對有問題的用戶進行監(jiān)管和審計；

③匯聚來自各層的統計信息以監(jiān)控安全攻擊事件。

2.2密碼防護技術體系

SDN網絡密碼防護技術體系架構如圖3所示，分為基礎設施層、控制層和應用層。

SDN網絡管控層面的安全保密，主要通過對南北向接口的安全加密實現。對于應用層與控制器層之間的北向接口，采用TLS或者HTTPS協議進行安全防護；對于控制器和轉發(fā)器間的南向接口（包括OpenFlow、OF-CONFIG、OVSDB、PCEP、BGP-LS、I2RS、OpFlex、SNMP、NetCONF及XMPP等協議），采用TLS或者IPSec進行安全防護。

SDN網絡數據層面的安全保密，主要采用2層VPN、IPSec VPN及SSL VPN技術，為用戶數據的傳送過程提供安全保護。

由于SDN網絡實現了基于流的調度，而不是傳統網絡中基于IP包的調度，這就要求安全服務和管控也要保持相對應的細粒度，在維持網絡性能的同時也提升安全服務的防護效率和性能、SDN控制層和基礎設施層的分離，以及控制層的可編程特性使得密碼資源調度任務可以更有效、更低成本、更快速地自動化，從而降低密鑰管理成本，提高密碼防護的及時性和效率。

3 SDN密碼防護原型系統

SDN網絡密碼防護原型系統由嵌入式密碼機、獨立式密碼機、SDN密碼機、密碼防護控制器、SDN網絡控制器和SDN交換機等組成。

①嵌入式密碼機部署在SDN交換機、SDN網絡控制器和APP應用終端中，為協議代理、隔離轉發(fā)等數據面功能提供認證授權、信息加解密等安全保密服務。

②獨立式密碼機按需分別部署在全網，提供高并發(fā)海量數據的簽名驗證、數據加解密等安全保密服務。

③SDN密碼機部署在網絡邊緣，為流量數據的安全傳輸提供細粒度的安全保密服務。

④SDN密碼防護控制器部署在控制層，北向提供密碼應用服務、資源與設備管理等APP，南向為密碼裝置提供密碼協議配置、密鑰管理和態(tài)勢監(jiān)控等控制功能。

4結束語

隨著SDN技術在通信網絡中的廣泛應用，由于其控制集中、應用層開放等特點，引發(fā)了傳統密碼防護體系的諸多問題，為保障向通信網絡提供高可靠的密碼服務，從功能體系和技術體系兩方面提出了SDN網絡的密碼防護體系架構，構建了SDN網絡密碼防護原型系統。

參考文獻

[1]刁興玲.SDN嶄新架構下網絡安全如何保障[J].通信世界， 2015（3）：33-34.

[2]譚興烈.TCP/IP協議安全與IP層加密技術[J].信息安全與通信保密，2001（12）：38-40.

[3]吳訓吉.專用IP網絡信息安全技術研究[D].西安：西安電子科技大學，2012.

[4] CarltonR Davis.IPSec VPN的安全實施[M].周永彬，馮登國，徐震，等，譯.北京：清華大學出版社，2002.

[5]劉文懋，裘曉峰，王翔.軟件定義安全：SDN/NFV新型網絡的安全揭秘[M].北京：機械工業(yè)出版社，2016.

[6]劉文懋，裘曉峰，陳鵬程，等.面向SDN環(huán)境的軟件定義安全架構[J].計算機科學與探索，2015，9（1）：63-70.