基于SDN的物联网安全架构研究

工作的重点和方向。

SDN 物联网 网络安全 安全策略

1 引言

物联网概念于1999年由美国麻省理工学院Auto-ID中心的Kevin Ashton教授[1]首次提出，它是指通过射频识别（RFID，Radio Frequency Identification Technology）、红外传感器、全球定位系统、激光扫描器等信息传输设备，按约定的协议，把任何物品与互联网连接起来进行信息交互，以实现智能识别、定位、跟踪、监控、和管理的一种网络。物联网实际上是物物相连的互联网，它是在互联网基础上的延伸和拓展。通过物联网，任何物品可以相互连接，进行信息交换和通讯。当前，物联网技术正在蓬勃发展，小到智能家居，大到智慧地球，各行各业都在发展和利用物联网技术、物联网概念[2]。随着物联网用户和终端的高速增长，基础设施和网络结构面临着巨大的挑战，网络的结构、协议、安全及管理等变得日趋复杂。由于物联网末端传感网络规模庞大，部署环境复杂多样，以及物联网用户缺乏专业能力，确保数十亿物联网设备的网络安全已经变得越来越困难。传统的安全机制如防病毒、网络代理机制等，不足以解决物联网网络[3]所带来的网络安全挑战。

SDN技术的运用为解决物联网面临的网络安全问题提供了一种创新的解决途径。SDN技术由斯坦福大学的研究机构[4]首先提出，实现了控制与转发相分离、控制层逻辑集中、网络功能可编辑等功能，随着SDN技术的不断发展和完善，SDN技术可以为网络提供统一的管理接口和运行环境，具备网络虚拟化NFV和资源调度系统功能。本文提出一种基于SDN的物联网安全架构，在物联网的网络和应用层应用SDN技术，实现网络控制与业务转发相分离，实现网络功能部署的软件化，同时将网络安全作为一种应用面向物联网用户提供服务，实现对网络安全资源的集中调度、网络安全标准的统一整合、网络安全策略的灵活配合。

2 IoT面临的主要安全问题

IoT逐步应用于社会的各个行业，IoT的网络安全问题变得日趋重要。由于IoT众多信息普遍通过无线方式实现互通，信息安全面临严峻挑战。IoT的传感器数量庞大，功能各异，而且采集传递着大量的身份识别、监控数据、支付信息等高等级安全信息，因此传感器网络的安全问题变得极其重要，这也是IoT网络安全与互联网网络安全的主要差别所在。

IoT的无线传感器网络由多个传感器节点、节点网关、可以充当通信基站的设备及后台系统组成。通信链路存在于传感器与传感器之间、传感器与网关节点之间和网关节点与后台系统之间。对于攻击者来说，这些设备和通信链路都有可能成为攻击对象，所以IoT网络面临的安全问题与传统网络相比有其独有的特点，图1为IoT网络攻击模型示意图：

由于具备了无线的信道、有限的能量、分布式控制等特点，使得无线传感器网络更容易受到攻击。被动窃听、主动入侵、拒绝服务则是这些攻击的常见方式，无线传感器网络可能遭到的安全挑战[5]包括下列情况：

（1）网络的网关节点被敌手控制，则安全性全部丢失；

（2）网络的普通节点被敌手控制；

（3）网络的普通节点被敌手捕获；

（4）网络的节点受来自网络的拒绝服务攻击；

（5）接入到物联网的超大量传感节点的标识、识别、认证和控制问题。

此外，IoT网络还拥有大量RFID系统，主要由电子标签、阅读器、后台应用系统与无线通信信道、后端网络通信信道等组成。RFID系统也是IoT网络遭受攻击的主要对象，主要包括被动攻击、主动攻击、物理攻击等：

（1）被动攻击。被动攻击不对系统数据做任何修改，而是通过窃听截获电子标签中的关键数据，再结合被窃听对象的其他信息及窃听的时间、地点等数据，就可以分析出大量有价值的信息。

（2）主动攻击。主动攻击涉及对系统数据的篡改或增加虚假的数据，其手段主要包括假冒、重放、篡改、拒绝服务和病毒攻击等。

（3）物理攻击。物理攻击需要接触系统的软/硬件，并对其进行破解或破坏。对于RFID系统而言由于标签数量巨大，难以控制，所以物理攻击是RFID系统面临的最大的安全威胁。

3 基于SDN的物联网安全架构

基于SDN物联网的系统架构是在SDN技术应用层、控制层、转发层三层基本架构下，增加由传感器组成的感知层。将SDN技术用于物联网架构，运用控制层面与转发层面相分离的特性和可编辑的网络功能部署能力，可以最大程度地利用网络资源能力，精确地监测网络安全状态，简化安全设备的设置，并根据业务和网络安全变化趋势自适应地调整和部署网络安全策略，为解决物联网面临的安全问题提供了新的途径。基于SDN的物联网安全架构是在SDN物联网四层架构的基础上，在控制层和应用层增加网络安全控制器、网络安全策略服务器、网络安全应用服务等功能模块，整合网络安全服务资源能力，构建面向用户的网络安全服务体系，具体架构如图2所示。

（1）应用层，网络管理人员可以通过可编程接口实现网络监控管理功能，包括路由管理、接入控制、帶宽分配、流量工程、QoS保障、网络安全、计算和存储等，应用开发人员还可以通过SDN控制器提供的网络全局信息，根据用户需求开发相应的应用程序。在应用层增加网络安全应用，利用云计算的软件即服务模式（SaaS，Software-as-a-Service），构建虚拟防火墙、虚拟入侵检测、虚拟入侵防御等网络安全服务，末端用户通过订阅的方式获取网络安全服务，最大限度地简化安全设备配置、安全策略分析和安全参数设置等末端网络安全管理业务。

（2）控制层，由多个SDN控制器组成，SDN控制器部署网络操作系统，网络所有的控制功能被集中设置在此层，SDN控制器通过标准化的南向接口协议OpenFlow管理底层的物理网络和设置的虚拟网络，通过北向API接口向上层提供服务，并向上层服务提供抽象的网络设备，屏蔽了具体物理设备的细节。在控制层增加网络安全系统模块，主要包括网络安全控制器和安全策略服务器，网络安全控制器是一个安全服务执行单元，监控下层网络的安全状态，并根据网络和用户需要执行相应的安全策略等。安全策略服务器主要负责根据用户申请的业务情况向上层的安全应用订阅相关服务，并存储上层应用提供的安全策略，提供给网络安全控制器查询使用。

（3）转发层，包含所有的网络设备，与传统网络交换设备不同，SDN的网络交换设备不具备网络控制功能，控制功能被统一提升至控制层，网络基础设施通过SDN控制器的南向接口与控制层连接。基于SDN的物联网在转发层增加了OpenFlow AP等接入设备，为感知层传感器接入网络提供接口。传统网络的防火墙、入侵检测等设备也可以通过开放相关接口，为上层提供网络安全状态监控信息，同时也可以接收网络安全控制器下发的安全策略和相关设备配置信息。

（4）感知层，在物联网体系结构中处于底层，承担信息感知的重任。主要由RFID系统和无线传感器网络组成。RFID系统需要采用访问控制、身份认证和数据加密等安全措施；无线传感器网络需要有效的密钥管理机制，并采用安全路由和入侵检测等传统网络安全技术。

4 各层的安全模块及策略

4.1 控制层网络安全模块

由于SDN控制层具备对网络进行集中管控的能力，通过在控制层设置网络安全控制器和策略服务器等网络安全模块，可以在安全策略的细粒度、实时推送和流量监控等方面相比较传统网络安全体系具有较大优势。网络安全控制器部署在开源的SDN控制器之上，如NOX、Onix[6-7]等，由安全执行内核和资源控制器两部分组成，网络安全控制器通过运行不同的Module安全模块，实现对SDN控制器流表的安全策略控制[8]，网络安全控制器集成了大量API接口，并能够与传统的安全工具进行通信；资源控制器用于监控OpenFlow交换机和OpenFlow AP的状态，并删除交换机和AP流表中废弃的流规则，及时清理流表空间。Module安全模块存储在安全策略服务器上，不同的Module模块用于提供不同的安全功能，这些模块可以被共享或组合，以提供更加复杂的安全防护功能[9]。此外，安全策略服务器还提供了由Python脚本语言编写的API接口，使得研究人员可以自己编写具有安全监控和威胁检测功能的Module安全模块，安全策略服务器还可以向应用层订阅相关的网络安全服务。控制层网络安全控制器和安全策略服务器的设置情况如图3所示。

4.2 应用层网络安全服务

在基于SDN物联网的应用层部署基于云的安全分析处理服务（CbSA，Cloud-based Security Analyzer）[10]，当控制层的安全策略服务器无法匹配接入网络申请的网络安全服务请求时，通过安全和管理服务（SMS，Security and Management Service）[11]的方式，向CbSA订阅相应的网络安全服务策略，图4表示了CbSA的体系结构和流程示意，其中云服务管理器负责处理来自控制层的流量分析请求，当收到一个新的分析请求时，云服务管理器首先对SMS的请求进行认证，然后根据用户参数和安全服务请求内容计算查找匹配的安全策略，最后将策略返回给控制层安全策略服务器，从而为用户提供虚拟防火墙、虚拟入侵检测、虚拟入侵防御等服务。此外，通过云平台还可以为网络提供恶意软件、僵尸网络、垃圾邮件等多种网络安全检测服务。

CbSA可以通过部署虚拟软件中间件的方式为控制层分析特征用户的流量并提供自动安全配置更新，云服务管理器可以要求中间件管理器提供一个中间件实例来处理特征用户流量，通过这个中间件来作为流量隧道以便分析特征用户的实时流量，计算分析用户的网络安全风险，并给出相应的安全策略[12]。CbSA可以从所有连接的控制层安全控制器和策略服务器接收网络安全监测数据，它将这些数据与病毒特征数据库、恶意软件数据库等外部资源数据进行整合，从全网的视角透视分析网络安全风险，并计算生成相应的安全配置策略。这种方法特别有助于检测恶意流量的微小痕迹，而这对于传统部署在网络边界的安全系统来说很难实现。

4.3 感知层的安全策略

（1）RFID安全策略

现有提出关于RFID技术的安全策略主要包括访问控制、身份认证和数据加密。其中身份认证和数据加密有可能被组合运用，其特点是需要一定的密码学算法配合，因此这里将身份认证和数据加密机制统称为密码学机制。

1）访问控制。访问控制机制主要用于防止隐私泄露，使得RFID标签中的信息不能被随意读取，包括标签失效、法拉第笼、阻塞标签、天线能量分析等措施。这些措施的优点是比较简单，也容易实施；缺点是普适性比较欠缺，必须根据不同的物品进行选择。

2）密码相关技术。密码相关技术除了可实现隐私保护，还可以保护RFID系统的机密性、真实性和完整性，并且密码相关技术具有广普性，在任何标签上均可实施。但完善的密码学机制一般需要较强的计算能力，标签的功耗和成本是一个比较大的挑战。

（2）無线传感器网络安全策略

在无线传感器网络内部，需要有效的密钥管理机制用于保障网络内部通信安全。网络内部的安全路由、联通性解决方案等都可以相对独立地使用。由于网络类型的多样性，很难统一要求有哪些安全服务，但机密性和认证性都是必要的。机密性需要在通信时建立一个临时会话密钥，而认证性可以通过对称密码或非对称密码方案解决。安全路由和入侵检测等也是无线传感器网络应具有的性能。

由于傳感器网络的安全一般不涉及其他网络安全，因此是相对较独立的问题，有些已有的安全解决方案在物联网环境中也同样适用。但由于物联网环境中传感网遭受外部攻击的机会增大，因此用于独立传感器网络的传统安全解决方案需要提升安全等级后才能适用。相应地，传感器网络的安全需求所涉及的密码技术包括轻量级密码算法、轻量级密码协议、可设定安全等级的密码技术等。

5 结论

随着SDN技术的应用与发展，SDN技术已经被采纳成为5G系统承载网络标准，并逐渐成为构建新一代网络系统架构的关键技术之一，物联网的承载网络也会逐步应用SDN技术。本文提出了基于SDN的物联网安全架构，分析了各个层面的安全模块和策略，下一步还需从以下方面开展相关研究：

（1）在应用层方面，研究开发基于SaaS的网络安全服务应用，拓展针对物联网安全风险的分析能力，同时进一步标准化应用层与控制层之间的接口和交互流程。

（2）在控制层方面，研究开放的安全控制器内核，使其可以与更多的SDN控制器操作系统向融合，开发功能丰富的中间件，最大限度地优化现有网络安全资源。

（3）在接入层方面，研究拓展OpenFlow流表对网络安全策略的匹配方法，研究端到端网络安全策略部署的一致性等问题，进一步丰富网络安全状态监控和报告手段。

参考文献：

[1] 彭瑜. 物联网技术的发展及其工业应用方向[J]. 自动化仪表， 2011（32）： 1-7.

[2] 何立民. 什么是物联网[J]. 单片机与嵌入式系统应用， 2011（10）： 79-81.

[3] Yu T， Sekar V， Seshan S， et al. Handling a Trillion （unfixable） Flaws on a Billion Devices： Rethinking Network Security for the Internet-of-Things[M]. ACM Workshop， 2015： 1-7.

[4] Mckeown N， Anderson T， Balakrishnan H， et al. OpenFlow： Enabling Innovation in Campus Networks [J]. Acm Sigcomm Computer Communication Review， 2008，38（2）： 69-74.

[5] 何明，陈国华，梁文辉，等. 军用物联网研究综述[J]. 指挥控制与仿真， 2012，34（1）： 6-10.

[6] Gude N， Koponen T， Pettit J， et al. NOX： towards an operating system for networks[J]. Acm Sigcomm Computer Communication Review， 2008，38（3）： 105-110.

[7] Koponen T， Casado M， Gude N， et al. Onix： A Distributed Control Platform for Large-Scale Production Networks[A]. Proceedings of the 9th USENIX Conference on Operating Systems Design and Implementation[C]. 2010： 351-364.

[8] Nayak A K， Reimers A， Feamster N， et al. Resonance： Dynamic Access Control for Enterprise Networks[A]. Proceedings of the 1st ACM Workshop on Research on Enterprise Networking[C]. 2009： 11–18.

[9] Jafarian J H， Al-Shaer E， Duan Q. OpenFlow Random Host Mutation： Transparent Moving Target Defense Using Software Defined Networking[A]. Proceedings of the 1st ACM Workshop on Hot Topics in Software Defined Networks[C]. 2012： 127–132.

[10] Brewer， Eric. Kubernetes and the Path to Cloud Native[A]. In Proceedings of the Sixth ACM Symposium on Cloud Computing[C]. 2015： 167.

[11] Yu M， Zhang Y， Mirkovic J， et al. SENSS： Software Defined Security Service[Z]. 2014.

[12] Sherry J， Hasan S， Scott C， et al. Making Middleboxes Someone else’s Problem： Network Processing as a Cloud Service[J]. Acm Sigcomm Computer Communication Review， 2012，42（4）： 13-24. ★

推荐访问:联网 架构 研究 SDN