浅析SDN安全需求和安全实现

来源:用户上传      作者:

　　【摘 要】论文以SDN为主要研究对象，主要介绍了SANE架构、Ethane架构和SDN架构，分析了SDN架构的安全需求，针对SDN的安全需求提出相应的安全需求实现措施。
　　【Abstract】The paper focuses on SDN， mainly introduces SANE architecture， Ethane architecture and SDN architecture， analyzes the security requirements of SDN architecture， and puts forward corresponding security requirements implementation measures for SDN security requirements.
　　【關键词】SDN;安全需求;安全实现
　　【Keywords】SDN; security requirements; security implementation
　　【中图分类号】TP393                                            【文献标志码】A                                【文章编号】1673-1069（2019）10-0173-02
　　1 引言
　　2007年，斯坦福大学的教授提出了SANE网络体系结构和Ethane网络体系结构[1]，同时，为了使得企业内部网络安全管理随着科技的发展而不断进步，这种网络体系结构就应运而生，这种网络架构凭借自身的技术优势和有效增强的技术，被称为网络定义软件，即网络体系结构作为传统的网络体系结构的替代品，有效地解决了当前和未来的网络爆炸对网络技术变革的需求。而在目前，随着网络安全事件的不断发生，SDN网络体系结构和技术的不断地发展，人们意识到网络安全问题应得到足够的重视。近年来，许多学者对SDN网络的安全需求和安全需求的实现进行了研究[2]。
　　2 SDN安全性简介
　　2.1 SANE架构
　　SANE是初期提出的一个比较理想化的网络架构，这个网络原型只运行了一个月。SANE网络架构中有一个集中控制器，内部的交换机和主机都要根据控制需要进行改造，才能支持这种网络架构的正常运行，SANE网络架构如图1所示。
　　集中控制器可以实现认证网元、解析域名、全网拓扑学习和权能生成功能，权能是SANE中的一种数据类型，指的是经过加密的通信路径信息。如图1所示，首先，客户机A和服务器B都要先在集中控制器处进行认证，从而获得密钥;随后，服务器B向集中控制器发布服务，客户机A允许被访问;接着，客户机A向集中控制器请求访问服务器B，集中控制器计算通信路径，将计算结果和权能返回给客户机A;最后，客户机A就能访问服务机B，每次权能有效时长为几分钟，如果客户机A要再次对服务机B进行访问，则需要重新申请权能。综上所述，SANE网络架构的数据传输效率和处理效率都比较低，不适合实际应用，所以就有学者提出了Ethane网络架构。
　　2.2 Ethane架构
　　相比于SANE网络架构，Ethane是一个更适合实际应用的网络安全管理网络架构，不同于SANE网络架构中将控制报文头加密进行横向传输，Ethane网络架构是将加密控制信息进行纵向传输，也就是集中控制器和交换机之间使用安全信道来传输控制信息。Ethane网络架构中的集中控制器可以实现网元和用户认证、检查通行许可、通信路径计算、交换机管理功能。Ethane网络架构并不要求使用规定的认证方法，也不需要交换机检查权能，相比之下传输效率会更高，更适合实际应用。
　　2.3 SDN架构
　　和上述两种网络架构相比，SDN网络架构具有更好的扩展性，支持更加灵活的网络部署方案、能实现更加精细高效的数据流控制。SDN网络架构支持对网络设备进行集中、自动化管理以及统一策略执行，相比之下更为安全。除此之外，利用SDN集中控制器的API方式可以将传统的网络安全应用集成到SDN网络构架中。
　　综上所述，SDN网络架构构建了一个平台，可以提供网络安全服务来保证网络安全。当前的研究均认为，现有的网络安全技术完全可以满足SDN网络架构的安全需求，但是具体如何实施还在研究之中。
　　3 SDN的安全需求
　　一些研究人员认为，SDN网络体系结构的安全需求主要集中在应用和控制层面，一般用于授权、认证控制层和基础设施层，由于只有一个交换机和一个集中控制器，安全管理相对容易，现有控制方案的接口经过一定改造后可以满足网络架构的安全要求。如果交换机和控制器较多，网络安全管理就比较复杂，应充分考虑控制器之间的权限和控制器对交换机的访问控制，而现有控制方案的接口无法满足这种情况下的安全需求，如何在SDN网络体系结构中实现传统的网络安全应用，如访问控制、防火墙、入侵检测和防御等，是值得研究的。安全应用应该在SDN网络的体系结构中实现，与上述两种网络体系结构相比，SDN网络体系结构可以降低成本，更灵活地实现一些传统的应用，甚至开发新的网络安全应用。
　　4 基于SDN架构的入侵检测方案
　　基于SDN架构的新型入侵检测方案中，包括两层入侵检测系统，如图3所示。
　　Centernode入侵分析模块由数据采集模块、数据分析模块等多个子模块组成，通常采用中心监控模式对逻辑子网中的数据进行监控和分析。 　　数据分析模块是Centernode的核心。由于WSN节点以相同的频率发送数据，因此，在同一时间段内收集的数据量应该相等。
　　①子网中的每个节点都将收集到的信息发送到Centernode，因此，從节点Centernode接收到的数据总量在同一时期不会有太大的变化。此时，可以计算一次中心节点处的最大值。如果计算出的Hurst值在0.5到1之间，可以说数据流模型符合自相似特性，然后可以判断逻辑节点入侵有没有发生在相应的子网中。如果Hurst值不在0.5到1的范围内，则一个或多个节点在子网中可能会被入侵。
　　②在子网中，Centernode计算每个节点发送的数据流量的Hurst值，以确定哪个节点受到了入侵。
　　③Centernode以两种方式响应入侵：被动响应和主动响应。被动响应通常包括报警、修改网络日志和向上层发送信息。主动响应在处理入侵时更有效，包括切断入侵源和中断当前进程。为了减少入侵造成的逻辑子网损失，当入侵者数量较少时，Centernode可以隔离这些节点。如果有更多的入侵者，Centernode必须更改本地网络的拓扑结构并动态更改数据流传输协议。
　　④在基于SDN体系结构的无线传感器网络入侵检测系统中，Masternode可以提供用户界面，具有很强的可编程性和可扩展性。用户可以根据网络情况实现自定义的检测规则和实时检测算法。Masternode支持整个WSN网络的通信管理、逻辑控制和数据融合三重功能，是入侵检测系统的逻辑控制中心。插入网络的中心节点，将把每个逻辑子网络的信息返回给主节点。主节点中的逻辑控制模块、响应模块、分析模块和通信模块共同完成对信息的综合分析和评价。Masternode将遵循Centprederno算法基于定义的检测策略，首先计算接收到的总数据流的Hurst值，以确定逻辑子网是否被入侵。如果逻辑子网已被入侵，入侵检测将被传递到逻辑子网。逻辑子网根据中心的入侵检测模式执行检测算法。
　　5 结语
　　综上所述，在当今的时代，一定要对网络的安全性予以高度的重视，本文对SDN网络安全架构进行了分析，探讨了SDN的安全需求和实现措施，希望能给相关工作的开展提供一定的理论参考。
　　【参考文献】
　　【1】施江勇，杨岳湘，李文华，等.基于SDN的云安全应用研究综述[J].网络与信息安全学报，2017，3（05）：10-25.
　　【2】齐宇.SDN安全研究[J].信息网络安全，2016（09）：69-72.
转载注明来源:https://www.xzbu.com/4/view-15117537.htm