基于OpenFlow的SDN網(wǎng)絡(luò)安全研究

通過分離網(wǎng)絡(luò)的控制與數(shù)據(jù)平面，SDN網(wǎng)絡(luò)（軟件定義網(wǎng)絡(luò)）有效增加了網(wǎng)絡(luò)的可編程性與靈活性，網(wǎng)絡(luò)管理成本降低、新型網(wǎng)絡(luò)技術(shù)快速部署也由此獲得了可行的解決方案支持。但由于傳統(tǒng)網(wǎng)絡(luò)的部署和管理方式因SDN網(wǎng)絡(luò)具備的新架構(gòu)而顛覆，SDN網(wǎng)絡(luò)的大規(guī)模、廣泛化應(yīng)用必須考慮新的安全問題，如軟件部署方式引發(fā)的程序異常、配置引發(fā)的數(shù)據(jù)平面安全問題。

1  基于OpenFlow的SDN網(wǎng)絡(luò)安全分析

1.1  對(duì)網(wǎng)絡(luò)安全的貢獻(xiàn)

在網(wǎng)絡(luò)安全層面，基于OpenFlow的SDN網(wǎng)絡(luò)具備兩大優(yōu)勢(shì)，即提供實(shí)時(shí)的流量管理與控制能力、實(shí)現(xiàn)智能化網(wǎng)絡(luò)自我管理，應(yīng)用程序存在的動(dòng)態(tài)性和高帶寬問題解決、管理和操作的復(fù)雜程度降低均可由此獲得有力支持。在多種粒度控制管理及全局視圖能力支持下，SDN網(wǎng)絡(luò)可更好感知網(wǎng)絡(luò)故障與網(wǎng)絡(luò)攻擊，并能夠較好為流量清洗、網(wǎng)絡(luò)溯源、負(fù)載均衡、故障排除提供支持?？偟膩碚f，SDN網(wǎng)絡(luò)的流量控制能力可提供整個(gè)網(wǎng)絡(luò)的全局視圖，并能夠獨(dú)立網(wǎng)絡(luò)的流量控制能力實(shí)現(xiàn)集中管理，這使得SDN網(wǎng)絡(luò)在邊界流量控制、流量攻擊檢測方面表現(xiàn)優(yōu)秀；網(wǎng)絡(luò)控制能力則使得SDN網(wǎng)絡(luò)能夠提供更加便捷的審核與監(jiān)管機(jī)制，網(wǎng)絡(luò)安全問題的及時(shí)發(fā)現(xiàn)、分析并且進(jìn)行及時(shí)處理可獲得有力支持。

1.2  自身存在的安全問題

雖然基于OpenFlow的SDN網(wǎng)絡(luò)為網(wǎng)絡(luò)安全開拓了新的局面，但隨著商業(yè)化探索的廣泛展開，SDN網(wǎng)絡(luò)存在的安全問題也逐漸暴露出來。深入分析可以發(fā)現(xiàn)，SDN網(wǎng)絡(luò)的網(wǎng)絡(luò)安全問題主要出現(xiàn)在應(yīng)用層、控制層、基礎(chǔ)設(shè)施層、南向接口、北向接口，而結(jié)合國內(nèi)外相關(guān)研究可以發(fā)現(xiàn)，SDN網(wǎng)絡(luò)的數(shù)據(jù)層、控制層、控制層與數(shù)據(jù)層之間的接口最為容易受到網(wǎng)絡(luò)攻擊。其中數(shù)據(jù)層面臨的與傳統(tǒng)網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備相同的安全問題，如假冒、非法訪問、DOS攻擊等，控制層安全則很容易受到集中式結(jié)構(gòu)的單點(diǎn)故障影響，南向接口的TLS協(xié)議安全通道加密也很容易引發(fā)安全隱患。此外，受到特殊架構(gòu)的影響，SDN網(wǎng)絡(luò)的控制器非法接入、數(shù)據(jù)層到控制層的飽和攻擊旺旺會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成較為嚴(yán)重的危害。

2  SDN網(wǎng)絡(luò)安全威脅攻擊處理策略及安全優(yōu)化路徑

2.1  網(wǎng)絡(luò)攻擊威脅快速溯源

為應(yīng)對(duì)外部的惡意攻擊威脅，如SDN網(wǎng)絡(luò)面臨的基于OpenFlow交換機(jī)數(shù)據(jù)流的攻擊，這類攻擊一旦出現(xiàn)即可判斷SDN網(wǎng)絡(luò)的薄弱環(huán)節(jié)節(jié)點(diǎn)存在防御薄弱問題，這類節(jié)點(diǎn)將因此成為后續(xù)攻擊源。為盡可能降低外部惡意攻擊對(duì)SDN網(wǎng)絡(luò)造成的威脅，網(wǎng)絡(luò)攻擊威脅快速溯源方案的合理選擇需要得到重視，輔以數(shù)據(jù)流分析法、節(jié)點(diǎn)監(jiān)測，即可較好探尋攻擊源頭，SDN網(wǎng)絡(luò)的安全水平也將實(shí)現(xiàn)長足提升。

鏈路測試法屬于較為常用的SDN網(wǎng)絡(luò)攻擊溯源策略，基于該方法的數(shù)據(jù)包源頭識(shí)別主要采用向前回溯的方式，由此判定數(shù)據(jù)包是否存在疑似攻擊數(shù)據(jù)。在全局視圖支持下，基于SDN網(wǎng)絡(luò)的攻擊溯源需提取交換機(jī)轉(zhuǎn)發(fā)規(guī)則信息，但考慮到當(dāng)前應(yīng)用環(huán)境下SDN網(wǎng)絡(luò)面臨的龐大數(shù)據(jù)量，不斷開展的ID對(duì)比會(huì)直接影響數(shù)據(jù)包與轉(zhuǎn)發(fā)規(guī)則提取的效率，巨量數(shù)據(jù)帶來的大規(guī)模信息處理使得向前回溯的傳統(tǒng)方式失去了應(yīng)用價(jià)值。為解決傳統(tǒng)方法存在的不足，本文建議采用重新描述節(jié)點(diǎn)場景、重新定義不同節(jié)點(diǎn)特性的方法實(shí)現(xiàn)SDN網(wǎng)絡(luò)攻擊的快速溯源。SDN網(wǎng)絡(luò)的不同節(jié)點(diǎn)存在不同的安全特性，如遭受過威脅的節(jié)點(diǎn)存在防御能力不足問題，因此必須將這類節(jié)點(diǎn)作為重點(diǎn)監(jiān)視對(duì)象，即設(shè)定為監(jiān)測節(jié)點(diǎn)。而對(duì)于造成SDN網(wǎng)絡(luò)安全破壞的節(jié)點(diǎn)（出現(xiàn)受攻擊反應(yīng)），則需要將其設(shè)定為疑似攻擊節(jié)點(diǎn)，其余節(jié)點(diǎn)為普通節(jié)點(diǎn)。通過描述節(jié)點(diǎn)場景，監(jiān)測和溯源的節(jié)點(diǎn)范圍可得到進(jìn)一步控制，快速溯源可獲得充足的時(shí)間支持。在快速溯源過程中，需開展網(wǎng)絡(luò)飽和攻擊的控制器監(jiān)測，并采用數(shù)據(jù)流形式將PACKET-IN報(bào)文傳送至監(jiān)測點(diǎn)，由此借助算法實(shí)現(xiàn)對(duì)于交換機(jī)的命令，疑似攻擊節(jié)點(diǎn)便能夠通過交換機(jī)覆蓋，配合PACKET-IN消息，即可實(shí)現(xiàn)攻擊源頭的獲取。

2.2  基于OpenFlow的加密保護(hù)

SDN網(wǎng)絡(luò)的安全水平優(yōu)化需得到OpenFlow的支持，通過該技術(shù)強(qiáng)調(diào)的安全通道、流表、協(xié)議，交換機(jī)設(shè)備的均衡負(fù)載功能可較好得以實(shí)現(xiàn)。在SDN網(wǎng)絡(luò)服務(wù)時(shí)，網(wǎng)絡(luò)防火墻設(shè)置需通過交換機(jī)需借助若干個(gè)元組實(shí)現(xiàn)，數(shù)據(jù)加密規(guī)則的持續(xù)優(yōu)化需基于防火墻完成，并以此生成專門的加密算法，數(shù)據(jù)傳輸過程中SDN網(wǎng)絡(luò)的安全即可得到更好保障。以SDN云服務(wù)訴求為例，在計(jì)算網(wǎng)絡(luò)環(huán)境下，SDN的安全分析需針對(duì)性選擇網(wǎng)絡(luò)安全變量，包括信息資源調(diào)度參與情況、網(wǎng)絡(luò)數(shù)據(jù)特征及數(shù)量、用戶資源信息等，SDN網(wǎng)絡(luò)在當(dāng)前數(shù)據(jù)條件下的安全屬性可由此明確。在OpenFlow技術(shù)的具體應(yīng)用中，網(wǎng)絡(luò)安全優(yōu)化的實(shí)現(xiàn)需得到數(shù)據(jù)信息資源加密調(diào)整方式的支持，但同時(shí)需考慮網(wǎng)絡(luò)大環(huán)境對(duì)SDN網(wǎng)絡(luò)內(nèi)部資源特征的影響?；贠penFlow的安全優(yōu)化需借助交換機(jī)控制數(shù)據(jù)傳輸，結(jié)合管理標(biāo)準(zhǔn)參數(shù)與監(jiān)測指數(shù)，即可開展針對(duì)性、有效性更高的防火墻加密。通過以數(shù)據(jù)平均分配作為目標(biāo)，針對(duì)性選用加密處理功能及算法，即可建立較為實(shí)用的安全管理模型，而通過讀寫數(shù)據(jù)信息、傳輸環(huán)節(jié)的數(shù)據(jù)加密與壓縮、全面的安全監(jiān)察，即可更好保證SDN網(wǎng)絡(luò)的安全，并且能夠促使其在運(yùn)行過程當(dāng)中更加穩(wěn)定、有效。

2.3  基于OpenFlow的優(yōu)化管理

通過應(yīng)用OpenFlow的數(shù)據(jù)傳輸加密，可有效優(yōu)化SDN網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的安全水平，配合組建優(yōu)化管理模式，SDN網(wǎng)絡(luò)的數(shù)據(jù)受損幾率也能夠?qū)崿F(xiàn)有效控制。對(duì)于SDN網(wǎng)絡(luò)來說，其自調(diào)節(jié)系統(tǒng)、數(shù)據(jù)信息、信息匹配、信息統(tǒng)計(jì)、交互的穩(wěn)定性參數(shù)應(yīng)分別控制為0.72、0.66、0.83、0.81、0.57，處理相應(yīng)時(shí)間分別為4.1s、4.3s、5.7s、3.8s、5.1s。在SDN網(wǎng)絡(luò)的優(yōu)化管理設(shè)計(jì)中，需整合OpenFlow控制器與交換機(jī)的連接方式，以及南向接口協(xié)議方式，控制器對(duì)交換機(jī)的實(shí)時(shí)監(jiān)控實(shí)現(xiàn)需得到TCP/IP網(wǎng)絡(luò)傳輸接口協(xié)議的支持，配合集中管理方式，控制器還能夠較好服務(wù)于SDN網(wǎng)絡(luò)的安全管理預(yù)命令，控制器的指令時(shí)間與內(nèi)容設(shè)置需通過流表設(shè)置方式實(shí)現(xiàn)，SDN網(wǎng)絡(luò)的監(jiān)視、管理全面性可由此實(shí)現(xiàn)長足提升。OpenFlow交換機(jī)配置可通過重新設(shè)置接口實(shí)現(xiàn)，控制器可由此根據(jù)收獲到的事件數(shù)據(jù)傳輸數(shù)據(jù)包。在數(shù)據(jù)加密技術(shù)支持下，SDN網(wǎng)絡(luò)可較好識(shí)別訪客身份，安全問題的發(fā)生幾率可進(jìn)一步得到控制。

3  基于OpenFlow的SDN網(wǎng)絡(luò)負(fù)載均衡模塊設(shè)計(jì)

3.1  層次設(shè)計(jì)

SDN網(wǎng)絡(luò)的安全離不開負(fù)載均衡的支持，因此本文基于OpenFlow開展了負(fù)載均衡模塊的設(shè)計(jì)，通過打造負(fù)載均衡環(huán)境，SDN網(wǎng)絡(luò)的安全水平可進(jìn)一步提升?；谀K化語言，SDN網(wǎng)絡(luò)負(fù)載方式的構(gòu)成邏輯由應(yīng)用層、控制層以及數(shù)據(jù)層組成，應(yīng)用層直接提供人機(jī)交互場景，并能夠提供控制端口進(jìn)行負(fù)載均衡的實(shí)時(shí)調(diào)整?？刂茖佑涉溌吩u(píng)分模塊構(gòu)成，可通過評(píng)分的方式觀察和分析SDN網(wǎng)絡(luò)安全，并連接應(yīng)用層web界面。數(shù)據(jù)層主要由數(shù)據(jù)采集模塊構(gòu)成，通過網(wǎng)絡(luò)數(shù)據(jù)采集，連接控制層與OpenFlow接口，即可為負(fù)載均衡的實(shí)現(xiàn)奠定堅(jiān)實(shí)基礎(chǔ)。在各個(gè)層級(jí)內(nèi)部，OpenFlow控制器必須最大化發(fā)揮自身功能，統(tǒng)計(jì)和鏈路評(píng)分需圍繞傳輸速率、CPU占有率、端口占用率、mac地質(zhì)、物理內(nèi)存、交換機(jī)信息等全面展開，配合負(fù)載均衡程序進(jìn)行實(shí)時(shí)評(píng)分，即可開展統(tǒng)一的網(wǎng)絡(luò)拓?fù)渲亟M，并更好保障SDN網(wǎng)絡(luò)安全。

3.2  模塊功能設(shè)計(jì)

具體設(shè)計(jì)如下：（1）數(shù)據(jù)采集模塊設(shè)計(jì)?；贠penFlow協(xié)議、sflow代理，可實(shí)現(xiàn)多組控制器間的數(shù)據(jù)交換，網(wǎng)絡(luò)拓?fù)湫畔⒌慕粨Q也能夠在OpenFlow協(xié)議支持下實(shí)現(xiàn)，服務(wù)器之上的控制器可通過OVSDB交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。模塊中交換機(jī)單獨(dú)應(yīng)用ASIC需得到sflwo標(biāo)準(zhǔn)的支持，業(yè)務(wù)流信息由此即可通過控制器進(jìn)行查看。通過OpenFlow協(xié)議與sflow代理，數(shù)據(jù)采集模塊可實(shí)現(xiàn)流量監(jiān)控體系的組建，SDN網(wǎng)絡(luò)數(shù)據(jù)采集也能夠由此更高質(zhì)量實(shí)現(xiàn)。（2）鏈路評(píng)分模塊。通過獨(dú)立的監(jiān)控系統(tǒng)和交換機(jī)進(jìn)行數(shù)據(jù)采集，模塊可在控制器中實(shí)現(xiàn)端口信息的統(tǒng)計(jì)。數(shù)據(jù)采集模塊獲取的鏈路信息可通過接口寫入到本地?cái)?shù)據(jù)庫，在本地?cái)?shù)據(jù)庫的支持下，控制層的鏈路評(píng)分模塊即可圍繞帶寬、丟包、物理內(nèi)存、CPU等使用率開展計(jì)算，并結(jié)合既定標(biāo)準(zhǔn)完成SDN應(yīng)用情況評(píng)分，由此衡量網(wǎng)絡(luò)負(fù)載水平，即可實(shí)現(xiàn)SDN網(wǎng)絡(luò)的安全評(píng)價(jià)。在鏈路評(píng)分模塊支持下，詳細(xì)的數(shù)據(jù)支持與分析過程可明確SDN網(wǎng)絡(luò)所處的安全環(huán)境，安裝狀況判斷的準(zhǔn)確率可由此得到較好保障。（3）負(fù)載均衡模塊。模塊的全局拓?fù)鋵?shí)現(xiàn)需得到控制器的支持，人機(jī)交互的回饋則需要應(yīng)用負(fù)載均衡算法。API接口需與負(fù)載均衡模塊直接聯(lián)系，消息形式的策略下發(fā)、全局拓?fù)涔芾硪曇熬筛梅?wù)于SDN網(wǎng)絡(luò)安全控制。

4  結(jié)語

綜上所述，基于OpenFlow的SDN網(wǎng)絡(luò)安全保障需關(guān)注多方面因素影響，在此基礎(chǔ)上，本文涉及的網(wǎng)絡(luò)攻擊威脅快速溯源、加密保護(hù)、優(yōu)化管理、負(fù)載均衡等內(nèi)容，則提供了可行性較高的SDN網(wǎng)絡(luò)安全保障路徑，為進(jìn)一步推進(jìn)SDN網(wǎng)絡(luò)發(fā)展，SDN網(wǎng)絡(luò)的認(rèn)證機(jī)制、應(yīng)用隔離、權(quán)限管理等同樣需要得到重視。

本文來源：《企業(yè)科技與發(fā)展》：http://m.xwlcp.cn/w/qk/21223.html