SDN可信網絡關鍵技術研究*

張 迎，劉 菁，王稼駟

(1.中國人民解放軍后勤學院，北京 100858；2.特種車輛研究所，北京 100072)

SDN可信網絡關鍵技術研究*

張 迎1，劉 菁1，王稼駟2

(1.中國人民解放軍后勤學院，北京 100858；2.特種車輛研究所，北京 100072)

軟件定義網絡（SDN）提出一種全新的網絡設計理念，具有控制面與轉發面分離、開放可編程接口以及網絡集中控制等技術特點。利用SDN架構重構傳統安全系統，通過網絡安全能力軟件服務化，能有效拓展可信網絡應用空間，促進可信網絡發揮更大的功效作用。鑒于此，針對傳統可信網絡亟待解決的安全性、可生存性及可控性問題，充分發揮SDN架構先進的網絡設計理念和技術優勢，提出全網關聯融合的安全技術、低開銷的網絡抗毀生存架構、安全服務按需彈性部署等一系列SDN可信網絡關鍵技術和突破路徑，并進行分析和研究。

軟件定義網絡；可信網絡；網絡虛擬化；安全服務

0　引 言

隨著大數據技術、云計算技術迅猛發展，各種網絡新應用層出不窮，極大地促進了互聯網規模海量增長。然而，傳統網絡安全防御系統還是孤立分散的，不能有效對抗復雜綜合的網絡攻擊。網絡系統易攻難守，面臨嚴重的安全防御挑戰。網絡安全防御機制要適應網絡攻擊威脅綜合化復雜化的特點，使網絡在可信狀態下運行，必須要能提供綜合集成一體化的安全可信機制，在集中控制網絡平臺下有效融合用戶認證授權、數據安全保密以及網絡信息的監測預警等各種安全可信技術。因此，可信網絡研究已成為網絡研究的一個熱點。

軟件定義網絡（SDN）提出一種全新的網絡設計理念。它將控制面從傳統的路由交換設備中剝離出來，具有控制面與轉發面分離、開放可編程接口以及網絡集中控制等技術特點[1]，同時結合SDN網絡虛擬化技術，便于實現網絡應用軟件服務化，為可信網絡提供更加便利的試驗床和研究平臺。采用SDN架構重構傳統安全系統，通過各種安全機制的有效融合和協同控制，能建立內在關聯的監控體系。通過網絡安全能力軟件服務化，實現安全服務按需快速彈性部署，能有效拓展可信網絡應用空間，促進可信網絡發揮更大的功效作用。

本文主要分析研究SDN可信網絡關鍵技術，首先簡要分析可信網絡需要解決的問題，其次分析研究SDN技術特點，再次系統地對SDN可信網絡涉及的一系列關鍵技術和解決途徑進行研究，最后對全文進行總結。

1　可信網絡需要解決的問題

網絡的安全性、網絡服務可生存性和可控性是可信網絡面臨解決的的三個基本問題。文獻[2]提出，在可信網絡中，可對網絡行為狀態進行監控預警并評估其行為結果，當網絡行為異常時，可對其進行有效控制，因此可對網絡行為及其結果進行監控預測，實現可信網絡的安全性、可生存性和可控性的目標。可信網絡提供安全和可生存的網絡服務，以滿足用戶使用網絡服務的需求，而實現可控性目標則需要良好的網絡服務設計，使網絡安全服務功獨立于網絡物理連接和地域限制，能快捷部署到需要監測防御的地方。

1.1網絡安全性

網絡安全性主要是指網絡系統數據和服務完整無損，數據及服務不可篡改，提供保密性服務，并且網絡行為具有不可否認的特點。從目前復雜異構的網絡體系結構現狀出發，針對網絡攻擊和破壞行為的綜合化和復雜化趨勢，提供符合安全標準的安全核心體系結構。傳統網絡控制分散，認證授權、監測預警以及數據安全防護等各種安全技術孤立分散，安全模塊之間缺乏內在關聯[3]，全網安全策略一致性得不到有效保障，存在策略漏洞或沖突等問題。

1.2網絡服務可生存性

可生存主要是指能滿足網絡服務的抗毀性要求。當網絡遭受外來攻擊、意外損毀時，能及時調配資源，保障網絡關鍵任務的可靠運行，并能在可接受的時間內對網絡故障和損毀進行恢復，滿足用戶的需求。因此，對損毀的網絡服務的修復能力，體現了網絡服務的可生存能力。目前，為滿足網絡抗毀性的需求，主要通過對資源進行冗余和有效調度的方法來解決[4]。資源調度過程中，若控制開銷過大，容易形成性能瓶頸。因此，如何提供高效的控制方式，降低控制開銷是資源調度面臨的主要問題。

1.3網絡服務可控性

可控性主要是指對網絡進行監控預警。當網絡流量行為異常時，能對其進行有效控制。網絡流量具備典型的分形混沌特性，一個微小的異常輸入就可能造成大規模大范圍的網絡故障。這要求能及時探測和響應網絡異常情況，提高網絡控制的時效性。目前，網絡被抽象為一個盡力而為的基礎設施。對網絡的控制主要集中在接入邊緣，并且網絡的分布式控制方式缺乏全局視野，網絡安全功能模塊與具體的網絡基礎設施嚴重綁定，與底層網絡細節不能分離，安裝部署受限于物理連接和地域限制，不能及時響應網絡的安全需求，網絡可控性極為困難[5]。因此，如何使網絡安全服務獨立于具體網絡物理設施，通過網絡安全功能軟件化服務化設計，將網絡安全服務快捷彈性地部署到需要監測防御的地方，是實現網絡服務可控性目標的主要問題。

針對上述網絡安全性、可生存性及可控性需求，需要建立全網關聯的集中監控平臺，對網絡資源進行抗毀性調度，并將認證授權、監測預警及安全通道等安全功能服務按需彈性部署，以解決可信網絡面臨的三個問題。

2　SDN主要技術特點

與傳統網絡技術相比，SDN其實是一個網絡創新架構，是一種全新的網絡設計思想。它的主要特點包括：

（1）控制管理功能與數據轉發功能解耦分離。

（2）開放的可編程接口。

（3）集中式的網絡控制平面。

（4）網絡業務可由用戶定制設計的自動化應用程序控制。

（5）硬件編程接口的標準化。

其中，（1）（2）是SDN的核心屬性，是SDN的本質特征。具體實施中，透過紛繁復雜的實現技術，若滿足了這兩點，不管采用何種技術，都可寬泛地認為是SDN架構[6]。

開放網絡基金會（ONF，Open Networking Foundation）組織定義了SDN框架，如圖1所示。

SDN理論框架邏輯上包含三層處理模塊。由底至上，依次是基礎設施層、控制層和應用層[7]。

基礎設施層抽象為轉發面，由網絡中硬件交換機、虛擬交換機或路由器等轉發設備組成，用戶數據報文通過轉發面進行處理轉發。數據轉發面接收控制層下發的轉發流表，根據流表數據轉發面進行業務數據的快速轉發和狀態收集。

圖1　SDN框架

控制層是SDN的核心層，具體負責處理控制面資源的抽象信息。控制層通過南向接口對底層交換機設備進行轉發控制，并獲取交換機等網絡轉發設備信息，對轉發面進行抽象，取得全局視野的網絡拓撲。北向接口是控制層與應用層之間的接口，通過北向接口控制層給上層網絡應用提供網絡服務。

應用層可以提供負載均衡、安全、拓撲發現、網絡監測預警等各種常見的網絡應用，通過北向接口網絡功能實現軟件服務化；網絡自動化應用程序可以充分控制各類網絡業務，并在一個抽象的網絡上進行操作[6]，用戶可量身定制各種網絡服務，如安全服務的定制并按需部署，以滿足網絡安全需求。

相對傳統網絡架構而言，SDN網絡具有如下優勢：

（1）SDN網絡提供了開放的可編程接口，控制平面通過開放的標準編程接口，對數據平面進行編程控制，使整個網絡具備可編程性。可針對不同的業務需求，實現業務應用的自動化控制，提高業務部署能力以及可信度驅動力[8]。全網聯動自動進行安全策略的控制和部署，便于自動化控制各類網絡服務。因此，SDN網絡的可編程能力對可信網絡具有重要的支持作用。

（2）SDN網絡控制平面與轉發平面的分離，使網絡設備的集中管控成為可能。通過控制面的集中管控，獲得全局視圖，便于基于全局信息進行轉發行為的決策，能夠有效監測全網信息狀況，優化選擇轉發路徑，按需部署各種網絡安全服務，最優化地滿足業務應用的需求。同時，SDN網絡將網絡控制與物理網絡拓撲分離，從而擺脫硬件對網絡架構的限制。這樣企業便可以像升級、安裝軟件一樣，對網絡架構進行修改。而底層的交換機、路由器等硬件則無需更新替換，就能實現新的網絡功能。例如，入侵檢測功能認證授權功能等。

（3）利用SDN網絡的可編程和集中控制的能力，方便實現網絡虛擬化。以OpenFlow為代表的南向接口，使得底層的轉發設備可以被統一控制和管理，具體的物理實現將被透明化，從而實現設備及網絡的虛擬化。這可減少甚至擺脫網絡硬件對網絡架構的限制，便捷地對網絡進行架構調整、擴容和升級，縮短業務部署時間，提高網絡效率。同時，多種多樣的開放接口，必將推動網絡服務能力被便捷地調用，支持網絡業務的創新，為核心網絡及應用創新提供一個試驗床和良好的研究平臺。因此，SDN虛擬化技術作為一種新型技術，是促進可信網絡服務快速彈性按需部署進一步改進和發展的有效途徑。

3　SDN可信網絡關鍵技術分析

SDN網絡提出了邏輯集中式控制、豐富的開放可編程接口、控制管理功能和數據轉發功能解耦分離、流表轉發等全新網絡設計思想。這些創新的網絡理念積極推動可信網絡的發展，為可信網絡的全新發展注入了新動力。在傳統安全系統中，引入SDN網絡技術進行重構，實現安全控制管理功能的邏輯集中化管控，實現安全業務功能軟件服務化，可滿足可信網絡安全性、可生存性和可控性的要求：

（1）基于SDN集中控制技術建立內在關聯的監控體系，通過各種安全機制的有效融合和協同控制，統一決策及下發安全策略，實現可信網絡的安全性。

（2）基于SDN邏輯集中式物理分布式抗毀架構，提高可信網絡的可生存性。

（3）采用SDN網絡的可編程網絡服務化、網絡功能虛擬化等技術，安全服務按需快速彈性部署，實現可信網絡的可控性。

3.1有效融合的安全技術

該技術主要解決可信網絡的安全性問題，包括網絡接入安全性和數據傳輸安全性。

實踐證明，傳統網絡安全系統多年積累的各種安全技術能為網絡提供安全保障，滿足網絡安全性需求。通過開放的可編程接口，SDN網絡可方便地集成入侵檢測、防火墻、訪問控制、入侵防御等傳統安全應用，對傳統安全系統進行重構。SDN網絡的優勢在于低成本地、靈活地實現一些傳統安全應用，在SDN中有效地融合各安全機制。SDN技術為網絡監控提供了一個全網集中控制平臺。

因此，在全局網絡拓撲視野中采用認證、授權等控制機制，結合SDN網絡的邏輯集中式控制技術，針對傳統安全技術，如數據檢測采集、入侵攻擊檢測分析預警以及隧道封裝加密等技術，進行有效融合統一部署；針對由于分散孤立下放策略而導致策略漏洞及沖突問題，對安全策略進行一致性檢查，檢查策略漏洞，消解策略沖突，實現安全機制的自動化及聯動，提升安全防護精度及效率[9]。

3.1.1網絡接入安全技術

采用數據完整性、用戶身份管理以及網絡攻擊防御技術，解決用戶網絡接入安全性的問題。

數據的完整性要求網絡保障用戶及系統數據的完整真實不可竊取，操作行為不可否認；用戶管理包括登錄用戶的身份認證以及接入授權[10]；網絡攻擊防御技術保護網絡系統，免遭常見網絡攻擊的危害，如針對掃描探測攻擊、木馬攻擊、會話欺騙、拒絕服務攻擊、緩存溢出攻擊等常見攻擊的監控防御。

（1）數據完整性：數據的完整性要求非法用戶不可竊取、不可篡改、不可偽造數據。通過對非法用戶的身份認證、訪問權限分配及數據隔離控制的管理，避免網絡數據被非法用戶訪問破壞，保證網絡中的服務操作不可否認。采用數據審計服務來驗證動態數據的完整性，采用MD5 Hash算法驗證數據完整性，為用戶提供數據完整性驗證服務。

（2）用戶管理：用戶的管理是基于身份認證，不同接入用戶按照用戶身份信息的不同，賦予不同的接入控制權限。采用邏輯集中的身份認證服務器，通過統一的用戶訪問管理控制，提供強有力身份認證、權限分配機制，解決用戶訪問控制的認證方法和強度選擇、權限分配結果驗證等問題，避免非法用戶對合法數據的訪問或破壞。通過調用認證服務器的統一API，網絡應用程序對接入用戶進行身份認證，實現統一的身份認證和權限分配，統一管理用戶的操作行為，只對合法授權用戶賦予網絡服務和應用程序的訪問權限[10]。

（3）網絡攻擊防御。防火墻（FW）、入侵檢測系統（IDS）和入侵防御系統（IPS）是用來檢測防御常見網絡攻擊威脅的三種網絡安全技術。FW對內網與外網的數據進行隔離，作為內外網數據進出檢測點，實現網絡地址轉換、流量控制和數據報文過濾等功能；IDS作為網絡安全檢測設施，根據配置的安全策略，對輸入輸出數據流進行監測，探測預警各種攻擊計劃、攻擊行為或者攻擊后果，并通知用戶采取相應防御措施。IPS是基于IDS發展而來的網絡安全技術，IPS監測網絡中的非法行為，搜集網絡上有關安全的信息并負責存儲轉發，匹配入侵的特征碼，對網絡攻擊行為采取主動制止實時中斷等防御措施，為網絡安全提供良好保障。

3.1.2數據傳輸安全技術

采用虛擬專用網（Virtual Private Network，VPN）技術解決網絡數據傳輸安全性的問題。

VPN技術通過對在網絡中傳輸的數據進行封裝而虛擬出一條安全通道，用戶數據可以像在物理專網中一樣進行傳輸。安全通道實現數據傳輸通道的邏輯隔離，并通過加密和鑒別兩種技術解決竊聽、偽裝及篡改的問題，為數據傳輸提供強力保障，實現用戶數據安全傳輸。常用的VPN技術有兩種：IPSec VPN和SSL VPN。

（1）IPSec VPN。IPSec VPN作為網絡層安全協議，采用隧道封裝加密、報文鑒別完整性檢測等技術，保證IP報文安全傳輸。IPSec包含傳輸模式和隧道模式兩種模式。傳輸模式對IP數據進行身份鑒別和完整性檢測，需要為原始IP數據包增加一個IPSec頭。隧道模式要為原始IP數據另外增加一個新的IP包頭，原來的IP包頭則封裝到載荷中，作為其數據載荷的一部分，隱藏原始數據包真正的目的IP，從而更具靈活性和安全性。實際應用中，通過安全關聯來指定VPN連接模式，根據不同需求可分別采用隧道模式或ESP包頭連接模式。

（2）SSL VPN。SSL VPN基于HTTPS，作為應用層安全協議在用戶終端與所訪問的網絡資源之間建立安全隧道，來確保HTTP數據的安全傳輸。通過端到端的安全連接，SSL VPN能鑒別和加密那些受保護的數據，為終端用戶提供安全可靠的接入方法。由于瀏覽器內嵌SSL協議，SSL VPN更適用于移動用戶，滿足用戶隨時隨地接入用戶內網的需求。

SDN集中式網絡控制技術能夠為上述安全技術提供強大的計算和存儲支持。通過建設統一的安全分析平臺，很大程度上提高安全事件搜集與處理的效率，增強對抗網絡攻擊威脅的防御能力、非法行為的檢測速度以及關聯數據的分析能力，從而為全網安全性提供良好保障。

3.2抗毀性系統架構技術

該技術主要解決可信網絡服務可生存性問題。在上述網絡安全性得到保障的基礎上，要提高網絡服務的可生存性，關鍵是提高用戶網絡的抗毀性。這就要求網絡在遭受外來破壞損毀的情況下，具備在預定時間內對網絡故障和損毀進行恢復的能力，即網絡仍能保證關鍵任務的正常運行，同時網絡數據完整性、機密性和可用性等基本屬性依然滿足用戶的需求，不受破壞影響。

基于以上需求，在可信網絡環境中采用文獻[6]提出的“基于SDN邏輯集中式物理分布式的架構方式”：將整個網絡從邏輯上分為多個域，每個域內的多個節點之間通過自動選舉算法形成主從關系，主節點的SDN控制器為本域內的邏輯中心，控制本域內所有節點的SDN交換機，每個域由其本域的邏輯主節點將本域抽象成大交換機模式，本域與其他域之間的通信鏈路抽象成不同的物理接口。不同域之間形成分布式對等關系，以準實時方式進行同步。同步內容包括各個域的大交換機之間的資源態勢與流量態勢信息。

這樣，任一單節點的損毀不影響系統其他節點正常通信；域內從節點損毀不會影響主節點的域內決策以及域間決策。若域內主節點損毀，新的主節點能夠快速改選產生，避免域內決策以及域間決策功能受損毀影響；若某域遭到破壞，其他域內任務仍能保證正常工作而不會受到干擾。因此，這種域內主從域間對等的分布式架構方式，通過低開銷的分布控制技術，具備良好的抗毀性，能很好地滿足可信網絡服務生存性要求。

3.3安全服務按需自動化彈性部署技術

該技術通過安全服務模式主要解決可信網絡服務的可控性問題。

基于SDN網絡的可編程技術，將安全功能以服務的形式提供給用戶。安全服務可高效率地應用于大規模的網絡環境。相比傳統網絡安全技術，它可更快速地響應越來越復雜的網絡安全需求。將RADIUS、VPN、FW、IDS、IPS與SDN網絡服務技術結合，建立SDN安全服務器，將形成保護可信網絡的大型分布式網絡服務——SDN安全服務。例如，結合SDN網絡服務技術與訪問認證及數據檢測監控技術，SDN安全服務采集數據發送到SDN安全服務器進行大數據分析處理。在網絡攻擊或威脅到達用戶終端之前，將其檢測并隔離，可及時探測預警網絡攻擊及威脅。這樣既可避免無謂損耗分散孤立節點的資源，提高資源利用率，又為網絡用戶提供及時響應的網絡攻擊防御服務，將訪問控制、認證授權、威脅預警、攻擊攔截、病毒查殺等安全技術集成為靈活強大、快速反應的安全服務。

基于SDN網絡虛擬化技術，使用基于SDN的服務編排和管理工具，實現整個安全服務的快速部署、配置和更新。網絡管理員關注于安全功能的需求及實施，通過開放的API接口建立安全服務。SDN網絡可編程和邏輯集中式控制的能力，使安全服務功能模塊可以擺脫網絡物理連接及地域限制，實現網絡安全服務自動化彈性部署。

因此，SDN控制器在掌握全網網絡資源態勢與流量態勢信息的基礎上，具備全局安全視野，能根據網絡實時拓撲和資源情況，將網絡安全服務彈性部署到需要監測的地方。同時，也可在控制器設置流表，網絡管理員從上層控制來保證策略與底層網絡設備的映射。通過全網一致的網絡安全管理策略，迅速完成路由計算、安全配置等工作，動態調節牽引網絡流量，保證數據通過安全服務功能模塊。這樣既能將網絡安全服務彈性部署到需要監測的地方，又可根據需要將流量牽引到網絡安全服務模塊進行監測分析[5]。二者結合，實現服務快速彈性部署，提高安全服務的使用效率，避免安全設備資源的低效浪費，既高效又低成本。

綜上所述，基于SDN網絡集中控制、抗毀性系統架構、可編程及網絡虛擬化等技術，SDN網絡的安全服務架構具有良好的擴展性，SDN網絡能很好地融合各種安全服務，建立內在關聯的監控體系，可根據用戶需要靈活部署各種安全服務，滿足可信網絡安全性、可生存性和可控性的要求。

4　結 語

隨著互聯網的迅猛發展，可信網絡成為網絡安全發展的新趨勢。未來網絡攻擊必然向復雜化、隨機化、綜合化和隱蔽性發展，可信網絡研究將面臨很多挑戰，SDN技術的出現為可信網絡的研究和發展提供了有利條件。本文針對可信網絡面臨的問題，對SDN可信網絡的一系列關鍵技術及解決途徑進行探討，依靠SDN這種新的網絡技術，幫助提高可信網絡的安全性、可生存性及可控性，進一步發揮可信網絡的效力。

[1] 張衛峰.深度解析SDN:利益、戰略、技術、實踐[M].北京:電子工業出版社，2014. ZHANG Wei-feng.SDN:Intest,Strategy,Technology and Practice[M].Beijing:Publishing House of ElectronicsIndustry,2014.

[2] 王晟,虞紅芳,許都.可信網絡中安全、可控可管及可生存技術研究[J].中興通訊技術,2008(14):36-39. WANG Sheng,YU Hong-fang,XU Du.Securi-ty,Controlability,Manageability and Survivability in Trustworthy Networks[J].ZTE Communications,2008(14):36-39.

[3] 張新剛,劉妍. 可信計算與可信網絡 [J].信息安全與通信保密,2006(11):86-87. ZHANG Xin-gang,LIU Yan.Trusted Computing and Trustworthy Networks[J].Information Security and Communications Privacy,2006(11):86-87.

[4] 張怡,孫志剛.面向可信網絡研究的虛擬化技術[J].計算機學報,2009(03):418-419. ZHANG Yi,SUN Zhi-gang, Virtualization Technology for Trustworthy Network Research[J].Chinese Journal of Computers,2009(03):418-419.

[5] 劉偉.面向可信網絡研究的虛擬化技術[J].科技傳播,2011(18):172. LIU Wei, Virtualization Technology for Trustworthy Network Research[J]. Public Communication of Science & Technology,2011(18):172.

[6] 王俊,陳志輝,田永春等.軟件定義網絡技術在戰術通信網中的應用研究[J].通信技術,2014, 47 (12): 1392-1399. WANG Jun,CHEN Zhi-hui,TIAN Yong-chun.Application of Software－Defined Network Technology in Tactical Communication Network[J].Communications Technology,2014, 47 (12):1392-1399.

[7] 李紀舟,何恩.軟件定義網絡技術及發展趨勢綜述[J].通信技術,2014, 47 (02):123-127. LI Ji-zhou,HE En.Technologies and Future Development Trend of Software-Defined Networking[J].Communica tions Technology,2014, 47 (02):123-127.

[8] 高煥芝.面向可信網絡研究的虛擬化技術[J].電子測試,2013,4(07):164-165. GAO Huan-zhi. Virtualization technology research of trusted network oriented[J].ELECTRONIC TEST,2013, 4(07):164-165.

[9] 周蘇靜. 淺析SDN安全需求和安全實現[J].電信科學,2013,(09):114-116. ZHOU Su-jing. Study on Security in SDN[J]. Telecommunications Science,2013,(09):114-116.

[10] 徐耀峰.基于SDN的安全云接入技術研究[D].北京:北京郵電大學，2013:20-24. XU Yao-feng.Research on Secure Cloud Access Technology based on SDN[D].Beijing:Beijing University of Posts and Telecommunications,2013:20-24.

張 迎（1982—），女，博士研究生，工程師，主要研究方向為軍事信息學；

劉 箐（1982—），女，博士研究生，工程師，主要研究方向為智能交通；

王稼駟（1976—），男，碩士，工程師，主要研究方向為通信網絡、軟件測試技術等。

Technologies based on SDN Trustworthy Network

ZHANG Ying1, LIU Jing1, WANG Jia-si2
(1.Logistics Academy of PLA,Beijing 100858,China; 2.Special Vehicles Institute,Beijing 100072,China）

SDN(Software Defined Network) proposes a new network design concept, and this concept featurs the technical characteristics including separation of control plane and forwarding plane, open programmable interface and network centralized control. With SDN architecture for reconfiguration of traditional security system and via software and service oriented network security capability, the application space of the trustworthy network could be effectively broadened, and the role further promoted. This paper discusses a series of key technologies and breakthrough ways aimed at SDN trustworthy network.

SDN(Software Defined Network)；trustworthy network；network virtualization；security service

TN93

A

1002-0802(2016)-08-01062-06

10.3969/j.issn.1002-0802.2016.08.020

2016-04-21;

2016-07-22

date:2016-04-21;Revised date:2016-07-22