李建新

（中國電信股份有限公司寧夏分公司網(wǎng)絡監(jiān)控維護中心，銀川 750001）

1 引言

2007年，斯坦福大學的教授提出了SANE網(wǎng)絡體系結構和Ethane網(wǎng)絡體系結構[1]，同時，為了使得企業(yè)內部網(wǎng)絡安全管理隨著科技的發(fā)展而不斷進步，這種網(wǎng)絡體系結構就應運而生，這種網(wǎng)絡架構憑借自身的技術優(yōu)勢和有效增強的技術，被稱為網(wǎng)絡定義軟件，即網(wǎng)絡體系結構作為傳統(tǒng)的網(wǎng)絡體系結構的替代品，有效地解決了當前和未來的網(wǎng)絡爆炸對網(wǎng)絡技術變革的需求。而在目前，隨著網(wǎng)絡安全事件的不斷發(fā)生，SDN網(wǎng)絡體系結構和技術的不斷地發(fā)展，人們意識到網(wǎng)絡安全問題應得到足夠的重視。近年來，許多學者對SDN網(wǎng)絡的安全需求和安全需求的實現(xiàn)進行了研究[2]。

2 SDN安全性簡介

2.1 SANE架構

SANE是初期提出的一個比較理想化的網(wǎng)絡架構，這個網(wǎng)絡原型只運行了一個月。SANE網(wǎng)絡架構中有一個集中控制器，內部的交換機和主機都要根據(jù)控制需要進行改造，才能支持這種網(wǎng)絡架構的正常運行，SANE網(wǎng)絡架構如圖1所示。

圖1 SANE的架構和流程

集中控制器可以實現(xiàn)認證網(wǎng)元、解析域名、全網(wǎng)拓撲學習和權能生成功能，權能是SANE中的一種數(shù)據(jù)類型，指的是經(jīng)過加密的通信路徑信息。如圖1所示，首先，客戶機A和服務器B都要先在集中控制器處進行認證，從而獲得密鑰；隨后，服務器B向集中控制器發(fā)布服務，客戶機A允許被訪問；接著，客戶機A向集中控制器請求訪問服務器B，集中控制器計算通信路徑，將計算結果和權能返回給客戶機A；最后，客戶機A就能訪問服務機B，每次權能有效時長為幾分鐘，如果客戶機A要再次對服務機B進行訪問，則需要重新申請權能。綜上所述，SANE網(wǎng)絡架構的數(shù)據(jù)傳輸效率和處理效率都比較低，不適合實際應用，所以就有學者提出了Ethane網(wǎng)絡架構。

2.2 Ethane架構

相比于SANE網(wǎng)絡架構，Ethane是一個更適合實際應用的網(wǎng)絡安全管理網(wǎng)絡架構，不同于SANE網(wǎng)絡架構中將控制報文頭加密進行橫向傳輸，Ethane網(wǎng)絡架構是將加密控制信息進行縱向傳輸，也就是集中控制器和交換機之間使用安全信道來傳輸控制信息。Ethane網(wǎng)絡架構中的集中控制器可以實現(xiàn)網(wǎng)元和用戶認證、檢查通行許可、通信路徑計算、交換機管理功能。Ethane網(wǎng)絡架構并不要求使用規(guī)定的認證方法，也不需要交換機檢查權能，相比之下傳輸效率會更高，更適合實際應用。

2.3 SDN架構

和上述兩種網(wǎng)絡架構相比，SDN網(wǎng)絡架構具有更好的擴展性，支持更加靈活的網(wǎng)絡部署方案、能實現(xiàn)更加精細高效的數(shù)據(jù)流控制。SDN網(wǎng)絡架構支持對網(wǎng)絡設備進行集中、自動化管理以及統(tǒng)一策略執(zhí)行，相比之下更為安全。除此之外，利用SDN集中控制器的API方式可以將傳統(tǒng)的網(wǎng)絡安全應用集成到SDN網(wǎng)絡構架中。

圖2 SDN架構

綜上所述，SDN網(wǎng)絡架構構建了一個平臺，可以提供網(wǎng)絡安全服務來保證網(wǎng)絡安全。當前的研究均認為，現(xiàn)有的網(wǎng)絡安全技術完全可以滿足SDN網(wǎng)絡架構的安全需求，但是具體如何實施還在研究之中。

3 SDN的安全需求

一些研究人員認為，SDN網(wǎng)絡體系結構的安全需求主要集中在應用和控制層面，一般用于授權、認證控制層和基礎設施層，由于只有一個交換機和一個集中控制器，安全管理相對容易，現(xiàn)有控制方案的接口經(jīng)過一定改造后可以滿足網(wǎng)絡架構的安全要求。如果交換機和控制器較多，網(wǎng)絡安全管理就比較復雜，應充分考慮控制器之間的權限和控制器對交換機的訪問控制，而現(xiàn)有控制方案的接口無法滿足這種情況下的安全需求，如何在SDN網(wǎng)絡體系結構中實現(xiàn)傳統(tǒng)的網(wǎng)絡安全應用，如訪問控制、防火墻、入侵檢測和防御等，是值得研究的。安全應用應該在SDN網(wǎng)絡的體系結構中實現(xiàn)，與上述兩種網(wǎng)絡體系結構相比，SDN網(wǎng)絡體系結構可以降低成本，更靈活地實現(xiàn)一些傳統(tǒng)的應用，甚至開發(fā)新的網(wǎng)絡安全應用。

4 基于SDN架構的入侵檢測方案

基于SDN架構的新型入侵檢測方案中，包括兩層入侵檢測系統(tǒng)，如圖3所示。

圖3 基于SDN架構的入侵檢測架構

Centernode入侵分析模塊由數(shù)據(jù)采集模塊、數(shù)據(jù)分析模塊等多個子模塊組成，通常采用中心監(jiān)控模式對邏輯子網(wǎng)中的數(shù)據(jù)進行監(jiān)控和分析。

數(shù)據(jù)分析模塊是Centernode的核心。由于WSN節(jié)點以相同的頻率發(fā)送數(shù)據(jù)，因此，在同一時間段內收集的數(shù)據(jù)量應該相等。

①子網(wǎng)中的每個節(jié)點都將收集到的信息發(fā)送到Centernode，因此，從節(jié)點Centernode接收到的數(shù)據(jù)總量在同一時期不會有太大的變化。此時，可以計算一次中心節(jié)點處的最大值。如果計算出的Hurst值在0.5到1之間，可以說數(shù)據(jù)流模型符合自相似特性，然后可以判斷邏輯節(jié)點入侵有沒有發(fā)生在相應的子網(wǎng)中。如果Hurst值不在0.5到1的范圍內，則一個或多個節(jié)點在子網(wǎng)中可能會被入侵。

②在子網(wǎng)中，Centernode計算每個節(jié)點發(fā)送的數(shù)據(jù)流量的Hurst值，以確定哪個節(jié)點受到了入侵。

③Centernode以兩種方式響應入侵：被動響應和主動響應。被動響應通常包括報警、修改網(wǎng)絡日志和向上層發(fā)送信息。主動響應在處理入侵時更有效，包括切斷入侵源和中斷當前進程。為了減少入侵造成的邏輯子網(wǎng)損失，當入侵者數(shù)量較少時，Centernode可以隔離這些節(jié)點。如果有更多的入侵者，Centernode必須更改本地網(wǎng)絡的拓撲結構并動態(tài)更改數(shù)據(jù)流傳輸協(xié)議。

④在基于SDN體系結構的無線傳感器網(wǎng)絡入侵檢測系統(tǒng)中，Masternode可以提供用戶界面，具有很強的可編程性和可擴展性。用戶可以根據(jù)網(wǎng)絡情況實現(xiàn)自定義的檢測規(guī)則和實時檢測算法。Masternode支持整個WSN網(wǎng)絡的通信管理、邏輯控制和數(shù)據(jù)融合三重功能，是入侵檢測系統(tǒng)的邏輯控制中心。插入網(wǎng)絡的中心節(jié)點，將把每個邏輯子網(wǎng)絡的信息返回給主節(jié)點。主節(jié)點中的邏輯控制模塊、響應模塊、分析模塊和通信模塊共同完成對信息的綜合分析和評價。Masternode將遵循Centprederno算法基于定義的檢測策略，首先計算接收到的總數(shù)據(jù)流的Hurst值，以確定邏輯子網(wǎng)是否被入侵。如果邏輯子網(wǎng)已被入侵，入侵檢測將被傳遞到邏輯子網(wǎng)。邏輯子網(wǎng)根據(jù)中心的入侵檢測模式執(zhí)行檢測算法。

5 結語

綜上所述，在當今的時代，一定要對網(wǎng)絡的安全性予以高度的重視，本文對SDN網(wǎng)絡安全架構進行了分析，探討了SDN的安全需求和實現(xiàn)措施，希望能給相關工作的開展提供一定的理論參考。