韓堅，劉松，魏吟娬，李彬，祁兵

（1.國網江西省電力有限公司萍鄉(xiāng)供電分公司，江西萍鄉(xiāng)337000；2.華北電力大學電氣與電子工程學院，北京102206）

0 引言

2020年5月，國家電網有限公司互聯網部、設備部、營銷部、物資部共同牽頭，組織開展并發(fā)布了《智慧物聯體系總體設計（2020 版）》。智慧物聯體系總體架構遵循“精準感知，邊緣智能，統(tǒng)一物聯，開放共享”的技術原則，通過物聯管理和邊緣物聯代理等平臺以及設備、標準化接入各類采集終端，實現業(yè)務融合貫通。

物聯網設備的計算能力有限，包括存儲、處理和通信資源，無法有效地在本地執(zhí)行計算量大而密集的任務。邊緣計算通過使計算更接近物聯網邊緣來解決資源限制問題。在整個網絡中提供分布式邊緣節(jié)點可減少集中計算的壓力，同時克服物聯網中的數據傳輸延遲。軟件定義網絡（Software Defined Network，SDN）通過向運營商呈現網絡的全局視角來實現有效的網絡管理。它可為物聯網集中處理繁雜信息提供動力，有助于物聯網服務協(xié)調［1］。SDN 通過收集、分類和分析移動邊緣的物聯網數據流，基于SDN 架構建設邊緣物聯代理平臺，與云平臺形成一種協(xié)同關系，有助于提高物聯網系統(tǒng)的可擴展性，構建智能、開放、安全、友好的彈性網絡。

由于SDN 架構存在安全風險，并且邊緣物聯代理對用戶信息安全的隱私防護有很高要求，分析基于SDN 的邊緣物聯代理存在的安全風險以及可采用的防御技術具有重要意義。

SDN 架構的防御方案中，一種主動安全防御框架能夠將控制器的業(yè)務邏輯和安全功能解耦，并將安全功能部署在數據轉發(fā)層和控制層之間，實現為不同的控制器提供統(tǒng)一的安全防御框架的功能［2］。另外的防御思路聚焦于SDN 架構中的OpenFlow 協(xié)議，通過分析SDN 可能遭受的攻擊手段總結未來SDN 安全的研究趨勢［3］?；跀祿浞莺突謴停―BAR）技術，文獻［4］提出了一種新的防御機制，有望在SDN 架構中實現防御功能。隨著機器學習在安全監(jiān)測與防御領域不斷發(fā)展，針對SDN 架構受到分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊，文獻［5］提出基于C4.5 算法產生的決策樹的檢測方法。

1 基于SDN的邊緣物聯代理架構

由于物聯網具有數據量大、交互速度快等特征，互聯網的可擴展性和效率不足以處理物聯網大數據。因此，在保證用戶隱私的前提下，設計一個數據共享框架使用戶能夠獲得物聯網服務迫在眉睫。文獻［6］提出一個高效靈活的邊緣物聯代理架構EdgeIoT，它利用霧計算和SDN 來收集、分類和分析移動邊緣的物聯網數據流。而邊緣物聯代理裝置是物聯網感知層數據匯總、安全控制的核心設備，是區(qū)別于傳統(tǒng)狀態(tài)監(jiān)測項目建設的關鍵所在。因此建議基于霧計算，面向泛在物聯網連接需求，建設邊緣物聯代理平臺，屏蔽底層網絡差異性，實現全連接。平臺具備模型適配、連接管理、數據存儲和轉發(fā)、邊緣計算、安全代理及防護等功能，打破縱向封閉模式，實現網絡邊緣智能［7］。邊緣代理平臺將強大的計算存儲能力與用戶滿意的業(yè)務服務能力向用戶側傾斜，向網絡邊緣遷移，與此同時大量應用、服務和相應計算分析內容可實現個性化、近距離和分布式的特點。邊緣物聯代理位于電力物聯網的感知層，利用設備本地通信接口對各類傳感器、終端等設備接入并統(tǒng)一管理，通過協(xié)議解析將業(yè)務數據提取、匯聚及存儲，并按物模型要求進行標準化建模，利用邊緣計算能力對業(yè)務數據處理后發(fā)送至平臺層。邊緣物聯代理宜具備本地通信、遠程通信、協(xié)議解析、數據存儲及處理、設備信息建模、邊緣計算、設備管理、安全防護等功能模塊。邊緣物聯代理的功能如圖1所示。

2 基于SDN的邊緣物聯代理安全風險

2.1 SDN架構概述

圖1 邊緣物聯代理的功能Fig.1 Edge IoT agent function

利用分層的思想，SDN 架構將數據與控制分開，從上到下分為應用程序層、控制層、數據轉發(fā)層。控制層包括邏輯中心化和可編程的控制器，控制器可掌握全局網絡信息；數據轉發(fā)層包括“啞的”交換機（與傳統(tǒng)的二層交換機不同，專指用于轉發(fā)數據的設備）。交換機由于只提供簡單的數據轉發(fā)功能，實現快速匹配數據包并轉發(fā)，可適應日益增長的大流量轉發(fā)需求；在應用程序層，網絡運營商被允許快速響應各種業(yè)務需求，構建出各種可在SDN 控制器之上運行的應用程序軟件［8］。因此，SDN 技術不僅能夠有效降低設備負載，協(xié)助網絡運營商更好地控制基礎設施，降低整體運營成本，還可應用于任何網絡，通過引入可擴展的應用滿足運營商不同需求。SDN基礎架構如圖2所示。

圖2 SDN基礎架構Fig.2 Architecture of SDN

2.2 SDN架構的安全風險

SDN 雖然發(fā)展迅速，能夠適用邊緣物聯代理，但也帶來了一系列安全問題。首先，SDN 的開放性使得攻擊者更容易獲得有關網絡、服務和交互的相關信息。其次，對于集中式的SDN 控制器，某些攻擊，如拒絕服務（DoS），其影響可能比僅針對單個路由器的影響更大。最后，一些新的功能實體、協(xié)議和接口也會帶來新的安全威脅，如OpenFlow 協(xié)議、應用控制接口、資源控制接口等［9］。

2.2.1 應用程序層安全風險

攻擊者通過操縱應用程序來實施網絡攻擊策略，對控制層造成嚴重影響。應用程序層安全風險見表1。

表1 應用程序層安全風險Tab.1 Application layer security risks

2.2.2 控制層安全風險

SDN 控制器是整個網絡的核心，它必須達到最高的安全級別。一旦SDN 控制器失效，將導致整個網絡癱瘓［11］?？刂茖影踩L險包括如下幾項。

（1）流規(guī)則沖突：惡意流可以繞過安全檢測，這與預配置的安全策略沖突，并對SDN 控制器產生不利影響。

（2）虛假流規(guī)則插入：攻擊者可通過劫持SDN應用程序發(fā)送一些偽造的轉發(fā)規(guī)則。

（3）欺騙：攻擊者可偽裝成管理員或SDN 應用程序，從SDN 控制器中刪除或修改敏感數據，或取得網絡拓撲信息和路由信息，更有甚者能完全控制SDN控制器。

（4）DoS 攻擊：攻擊者可以創(chuàng)建虛假信息流，對SDN 控制器進行DoS 攻擊，使系統(tǒng)癱瘓。DoS 攻擊是對SDN 的嚴重威脅。在SDN 中，針對控制層的DoS 攻擊主要有2 種方式：一種是使用多個流條目M-DoS 進行DoS 攻擊，耗盡交換機的三態(tài)內容尋址存儲器（TCAM）資源；另一種是DoS 攻擊使用一個精心設計的入口S-DoS來覆蓋目標鏈路并進一步影響控制器［12］。

（5）操作系統(tǒng)漏洞：SDN 控制器運行在某種形式的操作系統(tǒng)（OS）上，那么操作系統(tǒng)的漏洞就變成了SDN 控制器的漏洞。攻擊者利用操作系統(tǒng)的漏洞，如默認密碼、后臺賬戶，引導OpenFlow 控制器服務或上層應用錯誤的訪問，從而導致劫持、拒絕服務或者中間人攻擊等惡意行為，嚴重影響SDN 控制器正常工作［13］。

2.2.3 數據轉發(fā)層安全風險

數據轉發(fā)層主要包括路由器和交換機等轉發(fā)設備。極易發(fā)生針對流表、流規(guī)則以及交換機的惡意攻擊［14］。數據轉發(fā)層安全風險包括如下幾項。

（1）欺騙：攻擊者可以偽裝成管理員或SDN 控制器，從SDN 交換機中刪除或修改敏感數據或獲取敏感信息，如流表中的流條目［15］。

（2）竊聽：攻擊者可以竊聽SDN 交換機之間的流，以獲取有關流、流量和設備的信息。比如鏈路層發(fā)現協(xié)議（LLDP）在SDN 中被廣泛應用于網絡層拓撲發(fā)現，但它不能保證消息的完整性。攻擊者可利用此漏洞制造LLDP數據包，以聲明將2個遠程交換機連接到控制器的虛假鏈接。這樣控制器就會被誤導到錯誤的鏈路上，從而導致進一步遭受DoS攻擊、竊聽甚至劫持攻擊［16］。

（3）流量表溢出：潛在流量表導致流量表溢出。在實踐中，基于流表特征引入一種雙向流量概念，同時提出通過自適應改變監(jiān)控流表粒度以定位潛在受害者的檢測方案［17］。

3 智慧物聯體系安全架構

遵循電力物聯網總體防護要求，按照“可信互聯、精準防護、安全互動、智能防御”的防護策略，建立覆蓋物聯管理平臺、網絡通信、邊緣物聯代理和采集終端等的整體防護架構，符合安全防護要求，智慧物聯體系安全架構如圖3 所示。圖中PKI（Public Key Infrastructure）即公開密鑰基礎設施，是證書制作和分發(fā)的一種機制，能給安全的網路通信提供保障［18］。

邊緣物聯代理模塊在架構中向下主要實現終端的安全認證、安全監(jiān)測、策略下發(fā)等，向上通過電力物聯網安全接入網關接入物聯管理平臺，利用安全芯片、操作系統(tǒng)加固、可信計算等措施強化本體安全防護及數據在本地存儲及傳輸的安全性，主要包括APP 加固及安全驗證、終端遠程升級安全、數字證書和密鑰管理、安全接入等模塊。

圖3智慧物聯體系安全架構Fig.3 Security architecture of intelligent IoT system

物聯管理平臺作為安全防護的關鍵，承擔各類安全策略制定和下發(fā)、安全防護管理等核心功能，能夠對物聯網感知層的設備和應用等進行全面管控，主要具備以下安全能力。

（1）建立設備全周期安全管理模塊，對接入邊緣物聯代理、采集終端等的設備進行全生命周期安全管理，重點實現設備初始化、注冊、上線、離線和銷毀等階段的安全管理和異常狀態(tài)監(jiān)測。

（2）建立APP 應用加固和安全簽名模塊，對研發(fā)廠商發(fā)布的終端APP 應用進行安全認證，防止非法APP應用發(fā)布到物聯管理平臺。

（3）物聯管理平臺應能與邊緣物聯代理進行協(xié)同聯動，實現安全策略的下發(fā)與更新，通過邊緣物聯代理實現安全措施落地。

（4）物聯管理平臺應通過數據加密、權限控制等措施做好存儲數據的安全防護，并應加強數據業(yè)務應用之間的傳輸安全防護。同時采用可信計算技術，重點強化物聯管理平臺各類接口安全。

建立全面可靠的物聯安全防護體系能夠有效支撐邊緣物聯代理系統(tǒng)的高效運作，保障系統(tǒng)的安全可靠運行，對整個系統(tǒng)可能存在的潛在威脅和攻擊采取防御措施。

4 基于SDN的邊緣物聯代理防御技術

（1）建立攻擊表示模型進行攻擊檢測及有效防御。面對針對SDN 的攻擊和策略，一種威脅向量分層攻擊表示模型TV-harm 可捕獲不同的威脅及其組合，從而對基于SDN 的邊緣物聯代理網絡進行安全風險評估。因為SDN 控制器在SDN 應用程序和通信協(xié)議中存在漏洞，攻擊者可以執(zhí)行竊聽或權限提升攻擊［18］。這類建立模型的方式為評估基于SDN 架構的邊緣物聯代理受到的安全風險提供了一種較為直觀、系統(tǒng)的方法。

（2）基于SDN 控制器調度的防御DDoS 攻擊方法。為了幫助SDN 架構中控制器抵御DDoS 攻擊，文獻［19］提出了一種控制器調度方法，利用被攻擊交換機的標準化等待時間、等待時長和位置范圍來選擇需要控制器處理的請求。

（3）基于移動目標進行防御。在SDN 控制器的幫助下，邊緣物聯代理在可編程和可控方面有大幅提高。因此，許多安全行動已利用這種能力，以最佳方式部署在使用SDN 功能的復雜網絡中。文獻［20］開發(fā)出一種基于層次化的攻擊圖模型的內存技術設備（MTD）技術，該技術根據主機的主次對主機的網絡配置（如媒體訪問控制（MAC）∕互聯網協(xié)議（IP）∕端口地址）進行亂序排列［21］。基于移動目標防御，生成相應網絡動態(tài)防御策略計劃，可有效評估動態(tài)防御策略并選取最優(yōu)防御策略。

（4）基于聯合熵的安全防御方案。為了增強SDN 的安全性，抵御邊緣物聯代理遭受DDoS 攻擊，文獻［22］介紹了一個統(tǒng)計解決方案來檢測和緩解安全風險。該文通過生成一個基于聯合熵的統(tǒng)計模型，有效抵御已知的部分攻擊，且對新興的攻擊類型也能有效防御。

（5）基于機器學習進行防御。文獻［23］提出了一種基于SDN 的、在云環(huán)境下解決DDoS 攻擊的有效方案。通過一種基于支持向量機和自組織映射算法的混合機器學習模型，生成一種改進的IP 過濾方案，提高了攻擊檢測的速度和效率，以便迅速進行防御。為了解決SDN 中監(jiān)控模塊負擔重、檢測準確率較低的問題，文獻［24］提出一種多級分階段混合檢測方法，將機器學習算法結合其他數據預處理算法，耦合成一種有效的分類模型來檢測系統(tǒng)的入侵流量。

5 結束語

邊緣物聯代理作為智慧物聯系統(tǒng)中的重要模塊，由于需要服務于數據量大的物聯網終端設備，具有極其復雜的接入環(huán)境，容易受到網絡攻擊。因此，對安全訪問和防御保護的需求很大，這就需要有效的安全風險評估和防御技術支持，以防受到惡意攻擊，影響業(yè)務安全。

本文介紹了基于SDN 的邊緣物聯代理架構，并論述了基于SDN 的邊緣物聯代理安全風險及防御技術，為邊緣物聯代理將來的推廣和安全防護提供最新研究成果，有望最終實現物聯網云平臺、邊緣代理設備及智慧采集終端和監(jiān)測終端之間信息交互的機密性、穩(wěn)定性和可信性。