基于SDN 的接入網(wǎng)安全解決方案設(shè)計(jì)

彭大芹，谷 勇，萬(wàn)里燕，陳 勇

(重慶郵電大學(xué) 電子信息與網(wǎng)絡(luò)工程研究院，重慶400065)

接入網(wǎng)作為網(wǎng)絡(luò)的“最后一公里”，其性能直接影響到整個(gè)網(wǎng)絡(luò)的性能。隨著接入網(wǎng)朝著高帶寬、全業(yè)務(wù)、易運(yùn)行維護(hù)的方向發(fā)展［1］，給人們帶來(lái)了便捷，也帶來(lái)了因其網(wǎng)絡(luò)自身的脆弱性而引發(fā)的安全威脅。因此，如何有效地解決接入網(wǎng)中存在的安全問(wèn)題已成為近年來(lái)關(guān)注和研究的熱點(diǎn)。L.Wenjing［2］提出了一種改進(jìn)的加密認(rèn)證方法來(lái)保護(hù)用戶的隱私，但其方法復(fù)雜度較大;李頻［3］采用虛擬專用網(wǎng)與防火墻集成的方法來(lái)保證接入網(wǎng)安全，但遺憾的是該方法增加了網(wǎng)絡(luò)部署和維護(hù)成本。針對(duì)傳統(tǒng)解決方法的不足，在本方案中，采用入侵防御系統(tǒng)和防火墻相結(jié)合的二重安全機(jī)制來(lái)提高防護(hù)效果，同時(shí)利用SDN 控制器靈活調(diào)配網(wǎng)絡(luò)資源，降低防護(hù)成本，提高安全設(shè)備間的協(xié)同性和利用率，并通過(guò)實(shí)驗(yàn)測(cè)試驗(yàn)證了該方案的可行性和有效性。

1 接入網(wǎng)的安全解決方案現(xiàn)狀

1.1 傳統(tǒng)的安全解決方案

接入網(wǎng)傳統(tǒng)安全解決方案主要有加密認(rèn)證的解決方案和虛擬專用網(wǎng)(Virtual Private Network，VPN)與網(wǎng)絡(luò)安全設(shè)備(Network Security Equipment，NSE)結(jié)合的解決方案。

加密認(rèn)證的解決方案主要是對(duì)需要接入網(wǎng)絡(luò)的用戶采用“用戶名+密碼”的方式進(jìn)行身份認(rèn)證，只允許通過(guò)認(rèn)證的用戶接入網(wǎng)絡(luò)，并對(duì)用戶與網(wǎng)絡(luò)之間所傳輸?shù)臄?shù)據(jù)進(jìn)行加密［2］。從而可以防止接入網(wǎng)免遭偽裝攻擊和惡意用戶對(duì)系統(tǒng)的主動(dòng)攻擊。

VPN 與NSE 結(jié)合的解決方案主要是在每個(gè)分支網(wǎng)絡(luò)的進(jìn)出口部署NSE 來(lái)防護(hù)路由和監(jiān)測(cè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)行為。在各分支網(wǎng)絡(luò)的邊界處部署VPN 網(wǎng)關(guān)來(lái)建立相應(yīng)的虛擬安全通道，從而實(shí)現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)中的安全傳輸。在此方案中，采用如防火墻、入侵防御系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備不但可以防護(hù)來(lái)自外網(wǎng)的入侵，還可以監(jiān)視網(wǎng)內(nèi)的惡意行為，增強(qiáng)內(nèi)網(wǎng)的安全性。

1.2 存在的主要問(wèn)題

1) 防護(hù)效果不理想

目前，由于一些加密機(jī)制已被惡意用戶破解，這使得加密認(rèn)證的防護(hù)效果大大降低。防火墻的防御手段采用靜態(tài)被動(dòng)方式，從而使其無(wú)法靈活應(yīng)對(duì)各種變化的攻擊行為。而且傳統(tǒng)安全解決方案很難應(yīng)對(duì)惡意用戶發(fā)起的拒絕服務(wù)攻擊，特別是其中的分布式拒絕服務(wù)攻擊。

2) 防護(hù)成本高

傳統(tǒng)的安全解決方案中，為了保證網(wǎng)絡(luò)的安全，需要在每個(gè)分支網(wǎng)絡(luò)進(jìn)出口處部署網(wǎng)絡(luò)安全設(shè)備，從而增加了部署成本。并且隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，管理和維護(hù)成本也大大增加。

3) 協(xié)同性和靈活性差

網(wǎng)絡(luò)中所部署的安全設(shè)備相互獨(dú)立，無(wú)法協(xié)同工作。若某一安全設(shè)備本身出現(xiàn)故障，其他安全設(shè)備無(wú)法及時(shí)頂替其工作。當(dāng)繁忙網(wǎng)絡(luò)進(jìn)出口處的安全設(shè)備負(fù)載過(guò)重時(shí)，其他空閑網(wǎng)絡(luò)的安全設(shè)備卻處于空閑狀態(tài)，這將造成設(shè)備利用率不高和資源的浪費(fèi)。

2 基于SDN 的安全解決方案設(shè)計(jì)

軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)是一種新型網(wǎng)絡(luò)架構(gòu)，是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式。其核心技術(shù)OpenFlow 將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)轉(zhuǎn)發(fā)面分離開(kāi)來(lái)，并使控制面可編程化，從而實(shí)現(xiàn)控制功能的集中化、智能化［4］。針對(duì)傳統(tǒng)接入網(wǎng)中安全解決方案所存在的防護(hù)成本高、安全設(shè)備的利用率低和協(xié)同性差的問(wèn)題，結(jié)合SDN 的優(yōu)點(diǎn)和相關(guān)技術(shù)［5］，利用現(xiàn)有的安全機(jī)制，提出一種新的接入網(wǎng)安全解決方案。

2.1 主要設(shè)計(jì)思想

SDN 將控制功能分離出來(lái)，這使將傳統(tǒng)網(wǎng)絡(luò)中各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的自主式控制管理轉(zhuǎn)變?yōu)檎麄€(gè)網(wǎng)絡(luò)的集中式控制管理成為可能。本方案通過(guò)使用一個(gè)SDN 控制器來(lái)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行全局控制管理?？刂破魍ㄟ^(guò)下發(fā)合適的控制指令來(lái)合理靈活調(diào)配網(wǎng)絡(luò)資源，從而可去除空閑節(jié)點(diǎn)處的安全設(shè)備部署。在繁忙的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)出口處，利用防火墻和入侵防御系統(tǒng)相結(jié)合的二重安全機(jī)制來(lái)提高防護(hù)效果，同時(shí)保留訪問(wèn)時(shí)的認(rèn)證機(jī)制和保證數(shù)據(jù)傳輸安全的VPN 技術(shù)。

2.2 總體架構(gòu)設(shè)計(jì)

根據(jù)設(shè)計(jì)思想，搭建了基于SDN 的接入網(wǎng)安全解決方案的總體架構(gòu)，如圖1 所示。

圖1 方案總體架構(gòu)圖

在該方案中，若用戶與服務(wù)器之間、服務(wù)器與服務(wù)器之間互聯(lián)的公共網(wǎng)絡(luò)是Internet，考慮因其特有的開(kāi)放性而無(wú)法保證網(wǎng)絡(luò)環(huán)境安全的特點(diǎn)，采用VPN 技術(shù)建立對(duì)應(yīng)的VPN 隧道來(lái)保證通信數(shù)據(jù)在Internet 中的安全傳輸。若互聯(lián)的公共網(wǎng)絡(luò)是SDN 網(wǎng)絡(luò)，則不需要使用VPN 技術(shù)，這是因?yàn)樵赟DN網(wǎng)絡(luò)架構(gòu)中已經(jīng)使用了虛擬化技術(shù)來(lái)實(shí)現(xiàn)虛擬鏈路間的隔離。

SDN 控制器是本方案中的重要設(shè)備，其主要功能有網(wǎng)絡(luò)管理、資源分配、負(fù)載均衡、路由選擇、流表控制、QoS 保證、節(jié)能計(jì)算以及其他應(yīng)用。網(wǎng)絡(luò)管理是指對(duì)整個(gè)網(wǎng)絡(luò)的集中式控制和管理，資源分配主要指帶寬的動(dòng)態(tài)分配，負(fù)載均衡是調(diào)整各OFS 的負(fù)載載重，路由選擇是提供路由選擇策略來(lái)選擇最佳傳輸路徑，流表控制是對(duì)流表進(jìn)行控制管理，QoS 保證指實(shí)現(xiàn)網(wǎng)絡(luò)的質(zhì)量保證，節(jié)能計(jì)算是實(shí)現(xiàn)接入網(wǎng)中的能源節(jié)省。對(duì)于無(wú)線接入，方案中使用了移動(dòng)VPN 網(wǎng)關(guān)(Mobile VPN Gataway，MVG)來(lái)保證移動(dòng)用戶安全接入網(wǎng)絡(luò)。由于SDN 控制器的靈活調(diào)度，只需在繁忙的節(jié)點(diǎn)處部署NSE，這樣不僅降低了部署成本，而且便于管理維護(hù)。

2.3 整體通信流程

在本方案中，當(dāng)用戶想要訪問(wèn)網(wǎng)絡(luò)服務(wù)器中的資源時(shí)，首先需要選擇一種確定的接入方式并提出訪問(wèn)請(qǐng)求，然后訪問(wèn)請(qǐng)求經(jīng)過(guò)接入交換機(jī)轉(zhuǎn)發(fā)后利用虛擬化技術(shù)在公共網(wǎng)絡(luò)安全傳輸?shù)劫Y源所在的分支網(wǎng)絡(luò)，分支網(wǎng)絡(luò)的OpenFlow 交換機(jī)(OpenFlow Switch，OFS)查詢本地流表并進(jìn)行流表匹配。若流表匹配成功，該訪問(wèn)請(qǐng)求就直接通過(guò)對(duì)應(yīng)路由并經(jīng)過(guò)防火墻和IPS 安全設(shè)備檢測(cè)無(wú)異常后到達(dá)服務(wù)器，在服務(wù)器接受訪問(wèn)請(qǐng)求后，用戶便可以訪問(wèn)資源了;若OFS 的流表中無(wú)相應(yīng)的流表項(xiàng)，OFS 就會(huì)將該請(qǐng)求轉(zhuǎn)發(fā)給SDN 服務(wù)器。

SDN 服務(wù)器接收該請(qǐng)求后，查詢整個(gè)網(wǎng)絡(luò)中的安全設(shè)備部署情況，判斷用戶將訪問(wèn)的服務(wù)器所在的分支網(wǎng)絡(luò)有無(wú)部署安全設(shè)備。若部署了安全設(shè)備，SDN 控制器就向該分支網(wǎng)絡(luò)中的OFS 下發(fā)流表項(xiàng)，建立路由;若沒(méi)有部署安全設(shè)備，SDN 控制器就會(huì)立即尋找距離該分支網(wǎng)絡(luò)最近的空閑可用安全設(shè)備，并向其安全設(shè)備和服務(wù)器所在的網(wǎng)絡(luò)中的OFS 下發(fā)流表項(xiàng)，從而建立路由。訪問(wèn)請(qǐng)求根據(jù)所建立的路由先后通過(guò)防火墻和IPS 檢測(cè)。若檢測(cè)后發(fā)現(xiàn)數(shù)據(jù)流中存在異常，安全設(shè)備將阻止并丟掉此異常數(shù)據(jù)包，并將此異常上報(bào)給SDN 控制器，SDN 控制器接收該異常報(bào)告后，將向?qū)?yīng)的OFS發(fā)送控制指令來(lái)刪除異常流表項(xiàng);若數(shù)據(jù)流無(wú)異常，訪問(wèn)請(qǐng)求數(shù)據(jù)就會(huì)到達(dá)服務(wù)器，在服務(wù)器接受該請(qǐng)求后，用戶便可以訪問(wèn)相應(yīng)資源了。

整個(gè)通信的具體流程如圖2 所示。

3 方案的測(cè)試

本方案是在自主搭建的實(shí)驗(yàn)環(huán)境中進(jìn)行測(cè)試驗(yàn)證的，實(shí)驗(yàn)環(huán)境主要由OpenFlow 交換機(jī)、IPS、服務(wù)器和SDN 控制器構(gòu)建而成。其中，服務(wù)器由裝有LAMP 軟件的PC 機(jī)充當(dāng)，控制器由裝有NOX 系統(tǒng)的PC 機(jī)充當(dāng)。

為降低防護(hù)成本，本方案中采取的策略是不在訪問(wèn)量小的網(wǎng)絡(luò)分支邊界處部署IPS，當(dāng)有用戶請(qǐng)求訪問(wèn)該分支中的服務(wù)器時(shí)，控制器將為此訪問(wèn)請(qǐng)求選擇最近的IPS 設(shè)備。在驗(yàn)證該策略時(shí)，構(gòu)建了兩個(gè)網(wǎng)絡(luò)分支:一個(gè)分支由server A 和OFS A1 構(gòu)成;另一個(gè)分支由server B、IPS1 和OFS B1 構(gòu)成。由圖3 中的流表項(xiàng)所示，當(dāng)用戶訪問(wèn)server A 時(shí)，訪問(wèn)請(qǐng)求在控制器的控制下先由OFS A1 轉(zhuǎn)發(fā)給OFS B1，通過(guò)IPS 檢測(cè)后轉(zhuǎn)發(fā)給OFS A1。

為驗(yàn)證安全設(shè)備間的協(xié)同性和利用率，在該實(shí)驗(yàn)網(wǎng)絡(luò)中添加一臺(tái)與IPS1 相同的IPS2 設(shè)備，再添加一臺(tái)OpenFlow 交換機(jī)OFS C 來(lái)使IPS1、IPS2 距離server A 的距離相等，IPS1、IPS2 的負(fù)載量分別設(shè)置為30%和10%。由實(shí)驗(yàn)結(jié)果圖4 可知，當(dāng)用戶訪問(wèn)server A 時(shí)，控制器將為該請(qǐng)求選擇負(fù)載量小的IPS2 作為檢查設(shè)備。通過(guò)實(shí)驗(yàn)測(cè)試發(fā)現(xiàn)，測(cè)試輸出結(jié)果與方案中的預(yù)測(cè)結(jié)果基本吻合，從而驗(yàn)證了本方案的可行性和有效性。

圖2 用戶訪問(wèn)通信流程圖

圖3 一臺(tái)IPS 情況下OFS 的流表(截圖)

圖4 不同負(fù)載量的IPS 選擇后的OFS 的流表(截圖)

4 小結(jié)

接入網(wǎng)的安全性一直是人們關(guān)注的焦點(diǎn)，隨著接入網(wǎng)的發(fā)展，也帶來(lái)了相應(yīng)的安全問(wèn)題。本文針對(duì)接入網(wǎng)傳統(tǒng)安全解決方案所存在的防護(hù)成本高、安全設(shè)備利用率低和協(xié)同性差的問(wèn)題，提出了一種基于SDN 的接入網(wǎng)安全解決方案。在本方案中，將SDN 的相關(guān)技術(shù)與現(xiàn)有安全機(jī)制結(jié)合，從而使接入網(wǎng)的控制和管理變得更加靈活，在降低接入網(wǎng)防護(hù)成本的同時(shí)提高防護(hù)效果，并提高了各個(gè)安全設(shè)備的利用率和彼此之間的協(xié)同性，最后通過(guò)實(shí)驗(yàn)驗(yàn)證了方案的可行性和有效性。此方案為解決接入網(wǎng)安全問(wèn)題提供了一些新思路，這對(duì)將來(lái)提出更好的安全解決方案起到一定的促進(jìn)作用。

［1］張延培. 論接入網(wǎng)技術(shù)現(xiàn)狀與發(fā)展趨勢(shì)［J］.信息通信，2013(1):241－242.

［2］WEN J L，KUI R.Security，privacy and accountability in wireless access networks［J］.IEEE Wireless Communications，2009(8):80－87.

［3］李頻. 虛擬專用網(wǎng)與防火墻集成的設(shè)計(jì)［J］.計(jì)算機(jī)應(yīng)用與軟件，2006(11):114－116.

［4］郭春梅，張如輝.SDN 網(wǎng)絡(luò)技術(shù)及其安全性研究［J］.信息網(wǎng)絡(luò)安全，2012(8):112－114.

［5］SHIN S，GU Guofei.Cloudwatcher:network security monitoring using OpenFlow in dynamic cloud networks［C］//Proc.IEEE International Conference on Network Protocols(ICNP).［S.l.］:IEEE Press，2012(11):1－6.