SDN可信網(wǎng)絡(luò)關(guān)鍵技術(shù)研究*

張 迎，劉 菁，王稼駟

(1.中國人民解放軍后勤學(xué)院，北京 100858；2.特種車輛研究所，北京 100072)

SDN可信網(wǎng)絡(luò)關(guān)鍵技術(shù)研究*

張 迎1，劉 菁1，王稼駟2

(1.中國人民解放軍后勤學(xué)院，北京 100858；2.特種車輛研究所，北京 100072)

軟件定義網(wǎng)絡(luò)（SDN）提出一種全新的網(wǎng)絡(luò)設(shè)計(jì)理念，具有控制面與轉(zhuǎn)發(fā)面分離、開放可編程接口以及網(wǎng)絡(luò)集中控制等技術(shù)特點(diǎn)。利用SDN架構(gòu)重構(gòu)傳統(tǒng)安全系統(tǒng)，通過網(wǎng)絡(luò)安全能力軟件服務(wù)化，能有效拓展可信網(wǎng)絡(luò)應(yīng)用空間，促進(jìn)可信網(wǎng)絡(luò)發(fā)揮更大的功效作用。鑒于此，針對(duì)傳統(tǒng)可信網(wǎng)絡(luò)亟待解決的安全性、可生存性及可控性問題，充分發(fā)揮SDN架構(gòu)先進(jìn)的網(wǎng)絡(luò)設(shè)計(jì)理念和技術(shù)優(yōu)勢(shì)，提出全網(wǎng)關(guān)聯(lián)融合的安全技術(shù)、低開銷的網(wǎng)絡(luò)抗毀生存架構(gòu)、安全服務(wù)按需彈性部署等一系列SDN可信網(wǎng)絡(luò)關(guān)鍵技術(shù)和突破路徑，并進(jìn)行分析和研究。

軟件定義網(wǎng)絡(luò)；可信網(wǎng)絡(luò)；網(wǎng)絡(luò)虛擬化；安全服務(wù)

0　引 言

隨著大數(shù)據(jù)技術(shù)、云計(jì)算技術(shù)迅猛發(fā)展，各種網(wǎng)絡(luò)新應(yīng)用層出不窮，極大地促進(jìn)了互聯(lián)網(wǎng)規(guī)模海量增長(zhǎng)。然而，傳統(tǒng)網(wǎng)絡(luò)安全防御系統(tǒng)還是孤立分散的，不能有效對(duì)抗復(fù)雜綜合的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)系統(tǒng)易攻難守，面臨嚴(yán)重的安全防御挑戰(zhàn)。網(wǎng)絡(luò)安全防御機(jī)制要適應(yīng)網(wǎng)絡(luò)攻擊威脅綜合化復(fù)雜化的特點(diǎn)，使網(wǎng)絡(luò)在可信狀態(tài)下運(yùn)行，必須要能提供綜合集成一體化的安全可信機(jī)制，在集中控制網(wǎng)絡(luò)平臺(tái)下有效融合用戶認(rèn)證授權(quán)、數(shù)據(jù)安全保密以及網(wǎng)絡(luò)信息的監(jiān)測(cè)預(yù)警等各種安全可信技術(shù)。因此，可信網(wǎng)絡(luò)研究已成為網(wǎng)絡(luò)研究的一個(gè)熱點(diǎn)。

軟件定義網(wǎng)絡(luò)（SDN）提出一種全新的網(wǎng)絡(luò)設(shè)計(jì)理念。它將控制面從傳統(tǒng)的路由交換設(shè)備中剝離出來，具有控制面與轉(zhuǎn)發(fā)面分離、開放可編程接口以及網(wǎng)絡(luò)集中控制等技術(shù)特點(diǎn)[1]，同時(shí)結(jié)合SDN網(wǎng)絡(luò)虛擬化技術(shù)，便于實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用軟件服務(wù)化，為可信網(wǎng)絡(luò)提供更加便利的試驗(yàn)床和研究平臺(tái)。采用SDN架構(gòu)重構(gòu)傳統(tǒng)安全系統(tǒng)，通過各種安全機(jī)制的有效融合和協(xié)同控制，能建立內(nèi)在關(guān)聯(lián)的監(jiān)控體系。通過網(wǎng)絡(luò)安全能力軟件服務(wù)化，實(shí)現(xiàn)安全服務(wù)按需快速彈性部署，能有效拓展可信網(wǎng)絡(luò)應(yīng)用空間，促進(jìn)可信網(wǎng)絡(luò)發(fā)揮更大的功效作用。

本文主要分析研究SDN可信網(wǎng)絡(luò)關(guān)鍵技術(shù)，首先簡(jiǎn)要分析可信網(wǎng)絡(luò)需要解決的問題，其次分析研究SDN技術(shù)特點(diǎn)，再次系統(tǒng)地對(duì)SDN可信網(wǎng)絡(luò)涉及的一系列關(guān)鍵技術(shù)和解決途徑進(jìn)行研究，最后對(duì)全文進(jìn)行總結(jié)。

1　可信網(wǎng)絡(luò)需要解決的問題

網(wǎng)絡(luò)的安全性、網(wǎng)絡(luò)服務(wù)可生存性和可控性是可信網(wǎng)絡(luò)面臨解決的的三個(gè)基本問題。文獻(xiàn)[2]提出，在可信網(wǎng)絡(luò)中，可對(duì)網(wǎng)絡(luò)行為狀態(tài)進(jìn)行監(jiān)控預(yù)警并評(píng)估其行為結(jié)果，當(dāng)網(wǎng)絡(luò)行為異常時(shí)，可對(duì)其進(jìn)行有效控制，因此可對(duì)網(wǎng)絡(luò)行為及其結(jié)果進(jìn)行監(jiān)控預(yù)測(cè)，實(shí)現(xiàn)可信網(wǎng)絡(luò)的安全性、可生存性和可控性的目標(biāo)?？尚啪W(wǎng)絡(luò)提供安全和可生存的網(wǎng)絡(luò)服務(wù)，以滿足用戶使用網(wǎng)絡(luò)服務(wù)的需求，而實(shí)現(xiàn)可控性目標(biāo)則需要良好的網(wǎng)絡(luò)服務(wù)設(shè)計(jì)，使網(wǎng)絡(luò)安全服務(wù)功獨(dú)立于網(wǎng)絡(luò)物理連接和地域限制，能快捷部署到需要監(jiān)測(cè)防御的地方。

1.1網(wǎng)絡(luò)安全性

網(wǎng)絡(luò)安全性主要是指網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)和服務(wù)完整無損，數(shù)據(jù)及服務(wù)不可篡改，提供保密性服務(wù)，并且網(wǎng)絡(luò)行為具有不可否認(rèn)的特點(diǎn)。從目前復(fù)雜異構(gòu)的網(wǎng)絡(luò)體系結(jié)構(gòu)現(xiàn)狀出發(fā)，針對(duì)網(wǎng)絡(luò)攻擊和破壞行為的綜合化和復(fù)雜化趨勢(shì)，提供符合安全標(biāo)準(zhǔn)的安全核心體系結(jié)構(gòu)。傳統(tǒng)網(wǎng)絡(luò)控制分散，認(rèn)證授權(quán)、監(jiān)測(cè)預(yù)警以及數(shù)據(jù)安全防護(hù)等各種安全技術(shù)孤立分散，安全模塊之間缺乏內(nèi)在關(guān)聯(lián)[3]，全網(wǎng)安全策略一致性得不到有效保障，存在策略漏洞或沖突等問題。

1.2網(wǎng)絡(luò)服務(wù)可生存性

可生存主要是指能滿足網(wǎng)絡(luò)服務(wù)的抗毀性要求。當(dāng)網(wǎng)絡(luò)遭受外來攻擊、意外損毀時(shí)，能及時(shí)調(diào)配資源，保障網(wǎng)絡(luò)關(guān)鍵任務(wù)的可靠運(yùn)行，并能在可接受的時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)故障和損毀進(jìn)行恢復(fù)，滿足用戶的需求。因此，對(duì)損毀的網(wǎng)絡(luò)服務(wù)的修復(fù)能力，體現(xiàn)了網(wǎng)絡(luò)服務(wù)的可生存能力。目前，為滿足網(wǎng)絡(luò)抗毀性的需求，主要通過對(duì)資源進(jìn)行冗余和有效調(diào)度的方法來解決[4]。資源調(diào)度過程中，若控制開銷過大，容易形成性能瓶頸。因此，如何提供高效的控制方式，降低控制開銷是資源調(diào)度面臨的主要問題。

1.3網(wǎng)絡(luò)服務(wù)可控性

可控性主要是指對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控預(yù)警。當(dāng)網(wǎng)絡(luò)流量行為異常時(shí)，能對(duì)其進(jìn)行有效控制。網(wǎng)絡(luò)流量具備典型的分形混沌特性，一個(gè)微小的異常輸入就可能造成大規(guī)模大范圍的網(wǎng)絡(luò)故障。這要求能及時(shí)探測(cè)和響應(yīng)網(wǎng)絡(luò)異常情況，提高網(wǎng)絡(luò)控制的時(shí)效性。目前，網(wǎng)絡(luò)被抽象為一個(gè)盡力而為的基礎(chǔ)設(shè)施。對(duì)網(wǎng)絡(luò)的控制主要集中在接入邊緣，并且網(wǎng)絡(luò)的分布式控制方式缺乏全局視野，網(wǎng)絡(luò)安全功能模塊與具體的網(wǎng)絡(luò)基礎(chǔ)設(shè)施嚴(yán)重綁定，與底層網(wǎng)絡(luò)細(xì)節(jié)不能分離，安裝部署受限于物理連接和地域限制，不能及時(shí)響應(yīng)網(wǎng)絡(luò)的安全需求，網(wǎng)絡(luò)可控性極為困難[5]。因此，如何使網(wǎng)絡(luò)安全服務(wù)獨(dú)立于具體網(wǎng)絡(luò)物理設(shè)施，通過網(wǎng)絡(luò)安全功能軟件化服務(wù)化設(shè)計(jì)，將網(wǎng)絡(luò)安全服務(wù)快捷彈性地部署到需要監(jiān)測(cè)防御的地方，是實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)可控性目標(biāo)的主要問題。

針對(duì)上述網(wǎng)絡(luò)安全性、可生存性及可控性需求，需要建立全網(wǎng)關(guān)聯(lián)的集中監(jiān)控平臺(tái)，對(duì)網(wǎng)絡(luò)資源進(jìn)行抗毀性調(diào)度，并將認(rèn)證授權(quán)、監(jiān)測(cè)預(yù)警及安全通道等安全功能服務(wù)按需彈性部署，以解決可信網(wǎng)絡(luò)面臨的三個(gè)問題。

2　SDN主要技術(shù)特點(diǎn)

與傳統(tǒng)網(wǎng)絡(luò)技術(shù)相比，SDN其實(shí)是一個(gè)網(wǎng)絡(luò)創(chuàng)新架構(gòu)，是一種全新的網(wǎng)絡(luò)設(shè)計(jì)思想。它的主要特點(diǎn)包括：

（1）控制管理功能與數(shù)據(jù)轉(zhuǎn)發(fā)功能解耦分離。

（2）開放的可編程接口。

（3）集中式的網(wǎng)絡(luò)控制平面。

（4）網(wǎng)絡(luò)業(yè)務(wù)可由用戶定制設(shè)計(jì)的自動(dòng)化應(yīng)用程序控制。

（5）硬件編程接口的標(biāo)準(zhǔn)化。

其中，（1）（2）是SDN的核心屬性，是SDN的本質(zhì)特征。具體實(shí)施中，透過紛繁復(fù)雜的實(shí)現(xiàn)技術(shù)，若滿足了這兩點(diǎn)，不管采用何種技術(shù)，都可寬泛地認(rèn)為是SDN架構(gòu)[6]。

開放網(wǎng)絡(luò)基金會(huì)（ONF，Open Networking Foundation）組織定義了SDN框架，如圖1所示。

SDN理論框架邏輯上包含三層處理模塊。由底至上，依次是基礎(chǔ)設(shè)施層、控制層和應(yīng)用層[7]。

基礎(chǔ)設(shè)施層抽象為轉(zhuǎn)發(fā)面，由網(wǎng)絡(luò)中硬件交換機(jī)、虛擬交換機(jī)或路由器等轉(zhuǎn)發(fā)設(shè)備組成，用戶數(shù)據(jù)報(bào)文通過轉(zhuǎn)發(fā)面進(jìn)行處理轉(zhuǎn)發(fā)。數(shù)據(jù)轉(zhuǎn)發(fā)面接收控制層下發(fā)的轉(zhuǎn)發(fā)流表，根據(jù)流表數(shù)據(jù)轉(zhuǎn)發(fā)面進(jìn)行業(yè)務(wù)數(shù)據(jù)的快速轉(zhuǎn)發(fā)和狀態(tài)收集。

圖1　SDN框架

控制層是SDN的核心層，具體負(fù)責(zé)處理控制面資源的抽象信息。控制層通過南向接口對(duì)底層交換機(jī)設(shè)備進(jìn)行轉(zhuǎn)發(fā)控制，并獲取交換機(jī)等網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備信息，對(duì)轉(zhuǎn)發(fā)面進(jìn)行抽象，取得全局視野的網(wǎng)絡(luò)拓?fù)?。北向接口是控制層與應(yīng)用層之間的接口，通過北向接口控制層給上層網(wǎng)絡(luò)應(yīng)用提供網(wǎng)絡(luò)服務(wù)。

應(yīng)用層可以提供負(fù)載均衡、安全、拓?fù)浒l(fā)現(xiàn)、網(wǎng)絡(luò)監(jiān)測(cè)預(yù)警等各種常見的網(wǎng)絡(luò)應(yīng)用，通過北向接口網(wǎng)絡(luò)功能實(shí)現(xiàn)軟件服務(wù)化；網(wǎng)絡(luò)自動(dòng)化應(yīng)用程序可以充分控制各類網(wǎng)絡(luò)業(yè)務(wù)，并在一個(gè)抽象的網(wǎng)絡(luò)上進(jìn)行操作[6]，用戶可量身定制各種網(wǎng)絡(luò)服務(wù)，如安全服務(wù)的定制并按需部署，以滿足網(wǎng)絡(luò)安全需求。

相對(duì)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)而言，SDN網(wǎng)絡(luò)具有如下優(yōu)勢(shì)：

（1）SDN網(wǎng)絡(luò)提供了開放的可編程接口，控制平面通過開放的標(biāo)準(zhǔn)編程接口，對(duì)數(shù)據(jù)平面進(jìn)行編程控制，使整個(gè)網(wǎng)絡(luò)具備可編程性。可針對(duì)不同的業(yè)務(wù)需求，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的自動(dòng)化控制，提高業(yè)務(wù)部署能力以及可信度驅(qū)動(dòng)力[8]。全網(wǎng)聯(lián)動(dòng)自動(dòng)進(jìn)行安全策略的控制和部署，便于自動(dòng)化控制各類網(wǎng)絡(luò)服務(wù)。因此，SDN網(wǎng)絡(luò)的可編程能力對(duì)可信網(wǎng)絡(luò)具有重要的支持作用。

（2）SDN網(wǎng)絡(luò)控制平面與轉(zhuǎn)發(fā)平面的分離，使網(wǎng)絡(luò)設(shè)備的集中管控成為可能。通過控制面的集中管控，獲得全局視圖，便于基于全局信息進(jìn)行轉(zhuǎn)發(fā)行為的決策，能夠有效監(jiān)測(cè)全網(wǎng)信息狀況，優(yōu)化選擇轉(zhuǎn)發(fā)路徑，按需部署各種網(wǎng)絡(luò)安全服務(wù)，最優(yōu)化地滿足業(yè)務(wù)應(yīng)用的需求。同時(shí)，SDN網(wǎng)絡(luò)將網(wǎng)絡(luò)控制與物理網(wǎng)絡(luò)拓?fù)浞蛛x，從而擺脫硬件對(duì)網(wǎng)絡(luò)架構(gòu)的限制。這樣企業(yè)便可以像升級(jí)、安裝軟件一樣，對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行修改。而底層的交換機(jī)、路由器等硬件則無需更新替換，就能實(shí)現(xiàn)新的網(wǎng)絡(luò)功能。例如，入侵檢測(cè)功能認(rèn)證授權(quán)功能等。

（3）利用SDN網(wǎng)絡(luò)的可編程和集中控制的能力，方便實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化。以O(shè)penFlow為代表的南向接口，使得底層的轉(zhuǎn)發(fā)設(shè)備可以被統(tǒng)一控制和管理，具體的物理實(shí)現(xiàn)將被透明化，從而實(shí)現(xiàn)設(shè)備及網(wǎng)絡(luò)的虛擬化。這可減少甚至擺脫網(wǎng)絡(luò)硬件對(duì)網(wǎng)絡(luò)架構(gòu)的限制，便捷地對(duì)網(wǎng)絡(luò)進(jìn)行架構(gòu)調(diào)整、擴(kuò)容和升級(jí)，縮短業(yè)務(wù)部署時(shí)間，提高網(wǎng)絡(luò)效率。同時(shí)，多種多樣的開放接口，必將推動(dòng)網(wǎng)絡(luò)服務(wù)能力被便捷地調(diào)用，支持網(wǎng)絡(luò)業(yè)務(wù)的創(chuàng)新，為核心網(wǎng)絡(luò)及應(yīng)用創(chuàng)新提供一個(gè)試驗(yàn)床和良好的研究平臺(tái)。因此，SDN虛擬化技術(shù)作為一種新型技術(shù)，是促進(jìn)可信網(wǎng)絡(luò)服務(wù)快速彈性按需部署進(jìn)一步改進(jìn)和發(fā)展的有效途徑。

3　SDN可信網(wǎng)絡(luò)關(guān)鍵技術(shù)分析

SDN網(wǎng)絡(luò)提出了邏輯集中式控制、豐富的開放可編程接口、控制管理功能和數(shù)據(jù)轉(zhuǎn)發(fā)功能解耦分離、流表轉(zhuǎn)發(fā)等全新網(wǎng)絡(luò)設(shè)計(jì)思想。這些創(chuàng)新的網(wǎng)絡(luò)理念積極推動(dòng)可信網(wǎng)絡(luò)的發(fā)展，為可信網(wǎng)絡(luò)的全新發(fā)展注入了新動(dòng)力。在傳統(tǒng)安全系統(tǒng)中，引入SDN網(wǎng)絡(luò)技術(shù)進(jìn)行重構(gòu)，實(shí)現(xiàn)安全控制管理功能的邏輯集中化管控，實(shí)現(xiàn)安全業(yè)務(wù)功能軟件服務(wù)化，可滿足可信網(wǎng)絡(luò)安全性、可生存性和可控性的要求：

（1）基于SDN集中控制技術(shù)建立內(nèi)在關(guān)聯(lián)的監(jiān)控體系，通過各種安全機(jī)制的有效融合和協(xié)同控制，統(tǒng)一決策及下發(fā)安全策略，實(shí)現(xiàn)可信網(wǎng)絡(luò)的安全性。

（2）基于SDN邏輯集中式物理分布式抗毀架構(gòu)，提高可信網(wǎng)絡(luò)的可生存性。

（3）采用SDN網(wǎng)絡(luò)的可編程網(wǎng)絡(luò)服務(wù)化、網(wǎng)絡(luò)功能虛擬化等技術(shù)，安全服務(wù)按需快速彈性部署，實(shí)現(xiàn)可信網(wǎng)絡(luò)的可控性。

3.1有效融合的安全技術(shù)

該技術(shù)主要解決可信網(wǎng)絡(luò)的安全性問題，包括網(wǎng)絡(luò)接入安全性和數(shù)據(jù)傳輸安全性。

實(shí)踐證明，傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)多年積累的各種安全技術(shù)能為網(wǎng)絡(luò)提供安全保障，滿足網(wǎng)絡(luò)安全性需求。通過開放的可編程接口，SDN網(wǎng)絡(luò)可方便地集成入侵檢測(cè)、防火墻、訪問控制、入侵防御等傳統(tǒng)安全應(yīng)用，對(duì)傳統(tǒng)安全系統(tǒng)進(jìn)行重構(gòu)。SDN網(wǎng)絡(luò)的優(yōu)勢(shì)在于低成本地、靈活地實(shí)現(xiàn)一些傳統(tǒng)安全應(yīng)用，在SDN中有效地融合各安全機(jī)制。SDN技術(shù)為網(wǎng)絡(luò)監(jiān)控提供了一個(gè)全網(wǎng)集中控制平臺(tái)。

因此，在全局網(wǎng)絡(luò)拓?fù)湟曇爸胁捎谜J(rèn)證、授權(quán)等控制機(jī)制，結(jié)合SDN網(wǎng)絡(luò)的邏輯集中式控制技術(shù)，針對(duì)傳統(tǒng)安全技術(shù)，如數(shù)據(jù)檢測(cè)采集、入侵攻擊檢測(cè)分析預(yù)警以及隧道封裝加密等技術(shù)，進(jìn)行有效融合統(tǒng)一部署；針對(duì)由于分散孤立下放策略而導(dǎo)致策略漏洞及沖突問題，對(duì)安全策略進(jìn)行一致性檢查，檢查策略漏洞，消解策略沖突，實(shí)現(xiàn)安全機(jī)制的自動(dòng)化及聯(lián)動(dòng)，提升安全防護(hù)精度及效率[9]。

3.1.1網(wǎng)絡(luò)接入安全技術(shù)

采用數(shù)據(jù)完整性、用戶身份管理以及網(wǎng)絡(luò)攻擊防御技術(shù)，解決用戶網(wǎng)絡(luò)接入安全性的問題。

數(shù)據(jù)的完整性要求網(wǎng)絡(luò)保障用戶及系統(tǒng)數(shù)據(jù)的完整真實(shí)不可竊取，操作行為不可否認(rèn)；用戶管理包括登錄用戶的身份認(rèn)證以及接入授權(quán)[10]；網(wǎng)絡(luò)攻擊防御技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)，免遭常見網(wǎng)絡(luò)攻擊的危害，如針對(duì)掃描探測(cè)攻擊、木馬攻擊、會(huì)話欺騙、拒絕服務(wù)攻擊、緩存溢出攻擊等常見攻擊的監(jiān)控防御。

（1）數(shù)據(jù)完整性：數(shù)據(jù)的完整性要求非法用戶不可竊取、不可篡改、不可偽造數(shù)據(jù)。通過對(duì)非法用戶的身份認(rèn)證、訪問權(quán)限分配及數(shù)據(jù)隔離控制的管理，避免網(wǎng)絡(luò)數(shù)據(jù)被非法用戶訪問破壞，保證網(wǎng)絡(luò)中的服務(wù)操作不可否認(rèn)。采用數(shù)據(jù)審計(jì)服務(wù)來驗(yàn)證動(dòng)態(tài)數(shù)據(jù)的完整性，采用MD5 Hash算法驗(yàn)證數(shù)據(jù)完整性，為用戶提供數(shù)據(jù)完整性驗(yàn)證服務(wù)。

（2）用戶管理：用戶的管理是基于身份認(rèn)證，不同接入用戶按照用戶身份信息的不同，賦予不同的接入控制權(quán)限。采用邏輯集中的身份認(rèn)證服務(wù)器，通過統(tǒng)一的用戶訪問管理控制，提供強(qiáng)有力身份認(rèn)證、權(quán)限分配機(jī)制，解決用戶訪問控制的認(rèn)證方法和強(qiáng)度選擇、權(quán)限分配結(jié)果驗(yàn)證等問題，避免非法用戶對(duì)合法數(shù)據(jù)的訪問或破壞。通過調(diào)用認(rèn)證服務(wù)器的統(tǒng)一API，網(wǎng)絡(luò)應(yīng)用程序?qū)尤胗脩暨M(jìn)行身份認(rèn)證，實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證和權(quán)限分配，統(tǒng)一管理用戶的操作行為，只對(duì)合法授權(quán)用戶賦予網(wǎng)絡(luò)服務(wù)和應(yīng)用程序的訪問權(quán)限[10]。

（3）網(wǎng)絡(luò)攻擊防御。防火墻（FW）、入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）是用來檢測(cè)防御常見網(wǎng)絡(luò)攻擊威脅的三種網(wǎng)絡(luò)安全技術(shù)。FW對(duì)內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)進(jìn)行隔離，作為內(nèi)外網(wǎng)數(shù)據(jù)進(jìn)出檢測(cè)點(diǎn)，實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、流量控制和數(shù)據(jù)報(bào)文過濾等功能；IDS作為網(wǎng)絡(luò)安全檢測(cè)設(shè)施，根據(jù)配置的安全策略，對(duì)輸入輸出數(shù)據(jù)流進(jìn)行監(jiān)測(cè)，探測(cè)預(yù)警各種攻擊計(jì)劃、攻擊行為或者攻擊后果，并通知用戶采取相應(yīng)防御措施。IPS是基于IDS發(fā)展而來的網(wǎng)絡(luò)安全技術(shù)，IPS監(jiān)測(cè)網(wǎng)絡(luò)中的非法行為，搜集網(wǎng)絡(luò)上有關(guān)安全的信息并負(fù)責(zé)存儲(chǔ)轉(zhuǎn)發(fā)，匹配入侵的特征碼，對(duì)網(wǎng)絡(luò)攻擊行為采取主動(dòng)制止實(shí)時(shí)中斷等防御措施，為網(wǎng)絡(luò)安全提供良好保障。

3.1.2數(shù)據(jù)傳輸安全技術(shù)

采用虛擬專用網(wǎng)（Virtual Private Network，VPN）技術(shù)解決網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性的問題。

VPN技術(shù)通過對(duì)在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行封裝而虛擬出一條安全通道，用戶數(shù)據(jù)可以像在物理專網(wǎng)中一樣進(jìn)行傳輸。安全通道實(shí)現(xiàn)數(shù)據(jù)傳輸通道的邏輯隔離，并通過加密和鑒別兩種技術(shù)解決竊聽、偽裝及篡改的問題，為數(shù)據(jù)傳輸提供強(qiáng)力保障，實(shí)現(xiàn)用戶數(shù)據(jù)安全傳輸。常用的VPN技術(shù)有兩種：IPSec VPN和SSL VPN。

（1）IPSec VPN。IPSec VPN作為網(wǎng)絡(luò)層安全協(xié)議，采用隧道封裝加密、報(bào)文鑒別完整性檢測(cè)等技術(shù)，保證IP報(bào)文安全傳輸。IPSec包含傳輸模式和隧道模式兩種模式。傳輸模式對(duì)IP數(shù)據(jù)進(jìn)行身份鑒別和完整性檢測(cè)，需要為原始IP數(shù)據(jù)包增加一個(gè)IPSec頭。隧道模式要為原始IP數(shù)據(jù)另外增加一個(gè)新的IP包頭，原來的IP包頭則封裝到載荷中，作為其數(shù)據(jù)載荷的一部分，隱藏原始數(shù)據(jù)包真正的目的IP，從而更具靈活性和安全性。實(shí)際應(yīng)用中，通過安全關(guān)聯(lián)來指定VPN連接模式，根據(jù)不同需求可分別采用隧道模式或ESP包頭連接模式。

（2）SSL VPN。SSL VPN基于HTTPS，作為應(yīng)用層安全協(xié)議在用戶終端與所訪問的網(wǎng)絡(luò)資源之間建立安全隧道，來確保HTTP數(shù)據(jù)的安全傳輸。通過端到端的安全連接，SSL VPN能鑒別和加密那些受保護(hù)的數(shù)據(jù)，為終端用戶提供安全可靠的接入方法。由于瀏覽器內(nèi)嵌SSL協(xié)議，SSL VPN更適用于移動(dòng)用戶，滿足用戶隨時(shí)隨地接入用戶內(nèi)網(wǎng)的需求。

SDN集中式網(wǎng)絡(luò)控制技術(shù)能夠?yàn)樯鲜霭踩夹g(shù)提供強(qiáng)大的計(jì)算和存儲(chǔ)支持。通過建設(shè)統(tǒng)一的安全分析平臺(tái)，很大程度上提高安全事件搜集與處理的效率，增強(qiáng)對(duì)抗網(wǎng)絡(luò)攻擊威脅的防御能力、非法行為的檢測(cè)速度以及關(guān)聯(lián)數(shù)據(jù)的分析能力，從而為全網(wǎng)安全性提供良好保障。

3.2抗毀性系統(tǒng)架構(gòu)技術(shù)

該技術(shù)主要解決可信網(wǎng)絡(luò)服務(wù)可生存性問題。在上述網(wǎng)絡(luò)安全性得到保障的基礎(chǔ)上，要提高網(wǎng)絡(luò)服務(wù)的可生存性，關(guān)鍵是提高用戶網(wǎng)絡(luò)的抗毀性。這就要求網(wǎng)絡(luò)在遭受外來破壞損毀的情況下，具備在預(yù)定時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)故障和損毀進(jìn)行恢復(fù)的能力，即網(wǎng)絡(luò)仍能保證關(guān)鍵任務(wù)的正常運(yùn)行，同時(shí)網(wǎng)絡(luò)數(shù)據(jù)完整性、機(jī)密性和可用性等基本屬性依然滿足用戶的需求，不受破壞影響。

基于以上需求，在可信網(wǎng)絡(luò)環(huán)境中采用文獻(xiàn)[6]提出的“基于SDN邏輯集中式物理分布式的架構(gòu)方式”：將整個(gè)網(wǎng)絡(luò)從邏輯上分為多個(gè)域，每個(gè)域內(nèi)的多個(gè)節(jié)點(diǎn)之間通過自動(dòng)選舉算法形成主從關(guān)系，主節(jié)點(diǎn)的SDN控制器為本域內(nèi)的邏輯中心，控制本域內(nèi)所有節(jié)點(diǎn)的SDN交換機(jī)，每個(gè)域由其本域的邏輯主節(jié)點(diǎn)將本域抽象成大交換機(jī)模式，本域與其他域之間的通信鏈路抽象成不同的物理接口。不同域之間形成分布式對(duì)等關(guān)系，以準(zhǔn)實(shí)時(shí)方式進(jìn)行同步。同步內(nèi)容包括各個(gè)域的大交換機(jī)之間的資源態(tài)勢(shì)與流量態(tài)勢(shì)信息。

這樣，任一單節(jié)點(diǎn)的損毀不影響系統(tǒng)其他節(jié)點(diǎn)正常通信；域內(nèi)從節(jié)點(diǎn)損毀不會(huì)影響主節(jié)點(diǎn)的域內(nèi)決策以及域間決策。若域內(nèi)主節(jié)點(diǎn)損毀，新的主節(jié)點(diǎn)能夠快速改選產(chǎn)生，避免域內(nèi)決策以及域間決策功能受損毀影響；若某域遭到破壞，其他域內(nèi)任務(wù)仍能保證正常工作而不會(huì)受到干擾。因此，這種域內(nèi)主從域間對(duì)等的分布式架構(gòu)方式，通過低開銷的分布控制技術(shù)，具備良好的抗毀性，能很好地滿足可信網(wǎng)絡(luò)服務(wù)生存性要求。

3.3安全服務(wù)按需自動(dòng)化彈性部署技術(shù)

該技術(shù)通過安全服務(wù)模式主要解決可信網(wǎng)絡(luò)服務(wù)的可控性問題。

基于SDN網(wǎng)絡(luò)的可編程技術(shù)，將安全功能以服務(wù)的形式提供給用戶。安全服務(wù)可高效率地應(yīng)用于大規(guī)模的網(wǎng)絡(luò)環(huán)境。相比傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)，它可更快速地響應(yīng)越來越復(fù)雜的網(wǎng)絡(luò)安全需求。將RADIUS、VPN、FW、IDS、IPS與SDN網(wǎng)絡(luò)服務(wù)技術(shù)結(jié)合，建立SDN安全服務(wù)器，將形成保護(hù)可信網(wǎng)絡(luò)的大型分布式網(wǎng)絡(luò)服務(wù)——SDN安全服務(wù)。例如，結(jié)合SDN網(wǎng)絡(luò)服務(wù)技術(shù)與訪問認(rèn)證及數(shù)據(jù)檢測(cè)監(jiān)控技術(shù)，SDN安全服務(wù)采集數(shù)據(jù)發(fā)送到SDN安全服務(wù)器進(jìn)行大數(shù)據(jù)分析處理。在網(wǎng)絡(luò)攻擊或威脅到達(dá)用戶終端之前，將其檢測(cè)并隔離，可及時(shí)探測(cè)預(yù)警網(wǎng)絡(luò)攻擊及威脅。這樣既可避免無謂損耗分散孤立節(jié)點(diǎn)的資源，提高資源利用率，又為網(wǎng)絡(luò)用戶提供及時(shí)響應(yīng)的網(wǎng)絡(luò)攻擊防御服務(wù)，將訪問控制、認(rèn)證授權(quán)、威脅預(yù)警、攻擊攔截、病毒查殺等安全技術(shù)集成為靈活強(qiáng)大、快速反應(yīng)的安全服務(wù)。

基于SDN網(wǎng)絡(luò)虛擬化技術(shù)，使用基于SDN的服務(wù)編排和管理工具，實(shí)現(xiàn)整個(gè)安全服務(wù)的快速部署、配置和更新。網(wǎng)絡(luò)管理員關(guān)注于安全功能的需求及實(shí)施，通過開放的API接口建立安全服務(wù)。SDN網(wǎng)絡(luò)可編程和邏輯集中式控制的能力，使安全服務(wù)功能模塊可以擺脫網(wǎng)絡(luò)物理連接及地域限制，實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)自動(dòng)化彈性部署。

因此，SDN控制器在掌握全網(wǎng)網(wǎng)絡(luò)資源態(tài)勢(shì)與流量態(tài)勢(shì)信息的基礎(chǔ)上，具備全局安全視野，能根據(jù)網(wǎng)絡(luò)實(shí)時(shí)拓?fù)浜唾Y源情況，將網(wǎng)絡(luò)安全服務(wù)彈性部署到需要監(jiān)測(cè)的地方。同時(shí)，也可在控制器設(shè)置流表，網(wǎng)絡(luò)管理員從上層控制來保證策略與底層網(wǎng)絡(luò)設(shè)備的映射。通過全網(wǎng)一致的網(wǎng)絡(luò)安全管理策略，迅速完成路由計(jì)算、安全配置等工作，動(dòng)態(tài)調(diào)節(jié)牽引網(wǎng)絡(luò)流量，保證數(shù)據(jù)通過安全服務(wù)功能模塊。這樣既能將網(wǎng)絡(luò)安全服務(wù)彈性部署到需要監(jiān)測(cè)的地方，又可根據(jù)需要將流量牽引到網(wǎng)絡(luò)安全服務(wù)模塊進(jìn)行監(jiān)測(cè)分析[5]。二者結(jié)合，實(shí)現(xiàn)服務(wù)快速彈性部署，提高安全服務(wù)的使用效率，避免安全設(shè)備資源的低效浪費(fèi)，既高效又低成本。

綜上所述，基于SDN網(wǎng)絡(luò)集中控制、抗毀性系統(tǒng)架構(gòu)、可編程及網(wǎng)絡(luò)虛擬化等技術(shù)，SDN網(wǎng)絡(luò)的安全服務(wù)架構(gòu)具有良好的擴(kuò)展性，SDN網(wǎng)絡(luò)能很好地融合各種安全服務(wù)，建立內(nèi)在關(guān)聯(lián)的監(jiān)控體系，可根據(jù)用戶需要靈活部署各種安全服務(wù)，滿足可信網(wǎng)絡(luò)安全性、可生存性和可控性的要求。

4　結(jié) 語

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，可信網(wǎng)絡(luò)成為網(wǎng)絡(luò)安全發(fā)展的新趨勢(shì)。未來網(wǎng)絡(luò)攻擊必然向復(fù)雜化、隨機(jī)化、綜合化和隱蔽性發(fā)展，可信網(wǎng)絡(luò)研究將面臨很多挑戰(zhàn)，SDN技術(shù)的出現(xiàn)為可信網(wǎng)絡(luò)的研究和發(fā)展提供了有利條件。本文針對(duì)可信網(wǎng)絡(luò)面臨的問題，對(duì)SDN可信網(wǎng)絡(luò)的一系列關(guān)鍵技術(shù)及解決途徑進(jìn)行探討，依靠SDN這種新的網(wǎng)絡(luò)技術(shù)，幫助提高可信網(wǎng)絡(luò)的安全性、可生存性及可控性，進(jìn)一步發(fā)揮可信網(wǎng)絡(luò)的效力。

[1] 張衛(wèi)峰.深度解析SDN:利益、戰(zhàn)略、技術(shù)、實(shí)踐[M].北京:電子工業(yè)出版社，2014. ZHANG Wei-feng.SDN:Intest,Strategy,Technology and Practice[M].Beijing:Publishing House of ElectronicsIndustry,2014.

[2] 王晟,虞紅芳,許都.可信網(wǎng)絡(luò)中安全、可控可管及可生存技術(shù)研究[J].中興通訊技術(shù),2008(14):36-39. WANG Sheng,YU Hong-fang,XU Du.Securi-ty,Controlability,Manageability and Survivability in Trustworthy Networks[J].ZTE Communications,2008(14):36-39.

[3] 張新剛,劉妍. 可信計(jì)算與可信網(wǎng)絡(luò) [J].信息安全與通信保密,2006(11):86-87. ZHANG Xin-gang,LIU Yan.Trusted Computing and Trustworthy Networks[J].Information Security and Communications Privacy,2006(11):86-87.

[4] 張怡,孫志剛.面向可信網(wǎng)絡(luò)研究的虛擬化技術(shù)[J].計(jì)算機(jī)學(xué)報(bào),2009(03):418-419. ZHANG Yi,SUN Zhi-gang, Virtualization Technology for Trustworthy Network Research[J].Chinese Journal of Computers,2009(03):418-419.

[5] 劉偉.面向可信網(wǎng)絡(luò)研究的虛擬化技術(shù)[J].科技傳播,2011(18):172. LIU Wei, Virtualization Technology for Trustworthy Network Research[J]. Public Communication of Science & Technology,2011(18):172.

[6] 王俊,陳志輝,田永春等.軟件定義網(wǎng)絡(luò)技術(shù)在戰(zhàn)術(shù)通信網(wǎng)中的應(yīng)用研究[J].通信技術(shù),2014, 47 (12): 1392-1399. WANG Jun,CHEN Zhi-hui,TIAN Yong-chun.Application of Software－Defined Network Technology in Tactical Communication Network[J].Communications Technology,2014, 47 (12):1392-1399.

[7] 李紀(jì)舟,何恩.軟件定義網(wǎng)絡(luò)技術(shù)及發(fā)展趨勢(shì)綜述[J].通信技術(shù),2014, 47 (02):123-127. LI Ji-zhou,HE En.Technologies and Future Development Trend of Software-Defined Networking[J].Communica tions Technology,2014, 47 (02):123-127.

[8] 高煥芝.面向可信網(wǎng)絡(luò)研究的虛擬化技術(shù)[J].電子測(cè)試,2013,4(07):164-165. GAO Huan-zhi. Virtualization technology research of trusted network oriented[J].ELECTRONIC TEST,2013, 4(07):164-165.

[9] 周蘇靜. 淺析SDN安全需求和安全實(shí)現(xiàn)[J].電信科學(xué),2013,(09):114-116. ZHOU Su-jing. Study on Security in SDN[J]. Telecommunications Science,2013,(09):114-116.

[10] 徐耀峰.基于SDN的安全云接入技術(shù)研究[D].北京:北京郵電大學(xué)，2013:20-24. XU Yao-feng.Research on Secure Cloud Access Technology based on SDN[D].Beijing:Beijing University of Posts and Telecommunications,2013:20-24.

張 迎（1982—），女，博士研究生，工程師，主要研究方向?yàn)檐娛滦畔W(xué)；

劉 箐（1982—），女，博士研究生，工程師，主要研究方向?yàn)橹悄芙煌ǎ?/p>

王稼駟（1976—），男，碩士，工程師，主要研究方向?yàn)橥ㄐ啪W(wǎng)絡(luò)、軟件測(cè)試技術(shù)等。

Technologies based on SDN Trustworthy Network

ZHANG Ying1, LIU Jing1, WANG Jia-si2
(1.Logistics Academy of PLA,Beijing 100858,China; 2.Special Vehicles Institute,Beijing 100072,China）

SDN(Software Defined Network) proposes a new network design concept, and this concept featurs the technical characteristics including separation of control plane and forwarding plane, open programmable interface and network centralized control. With SDN architecture for reconfiguration of traditional security system and via software and service oriented network security capability, the application space of the trustworthy network could be effectively broadened, and the role further promoted. This paper discusses a series of key technologies and breakthrough ways aimed at SDN trustworthy network.

SDN(Software Defined Network)；trustworthy network；network virtualization；security service

TN93

A

1002-0802(2016)-08-01062-06

10.3969/j.issn.1002-0802.2016.08.020

2016-04-21;

2016-07-22

date:2016-04-21;Revised date:2016-07-22