基于SDN架構(gòu)的無線局域網(wǎng)安全研究

黃嵩

摘要：隨著智能移動終端的不斷普及，各種無線應(yīng)用的不斷增加，傳統(tǒng)的無線網(wǎng)絡(luò)安全同樣面臨挑戰(zhàn)。該文通過分析當(dāng)前無線網(wǎng)絡(luò)安全存在的主要問題，進(jìn)而提出了基于SDN架構(gòu)的無線局域網(wǎng)安全方面的研究設(shè)計，最后提出了有待進(jìn)一步研究的方向。

關(guān)鍵詞：SDN；無線局域網(wǎng)；安全

中圖分類號：TP319 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）13-0040-02

近年來，隨著信息技術(shù)的飛速發(fā)展，各種移動終端設(shè)備的普及，互聯(lián)網(wǎng)已經(jīng)進(jìn)入移動互聯(lián)網(wǎng)時代，無線網(wǎng)絡(luò)已經(jīng)成為局域網(wǎng)中不可缺少的部分，甚至有超越有線網(wǎng)絡(luò)的趨勢。但伴隨著無線接入的需求和范圍不斷急升的同時，無線接人終端和無線局域網(wǎng)絡(luò)安全問題也日益突出，無線局域網(wǎng)安全面臨嚴(yán)峻的考驗(yàn)。

1當(dāng)前無線局域網(wǎng)安全存在的主要問題

1）無線接入局域網(wǎng)的發(fā)展歷程

在無線網(wǎng)絡(luò)發(fā)展的早期，無線接入的典型做法是在原有的有線局域網(wǎng)的節(jié)點(diǎn)上加入無線路由器。每一個無線路由器就是一個獨(dú)立的無線接入AP，安裝非常方便，可獨(dú)立配置其信道和功率，還支持DHCP服務(wù)器，DNS，MAC地址克隆，以及簡單防火墻安全功能。這種架構(gòu)雖然簡單，但是隨著接入節(jié)點(diǎn)AP的不斷增加，缺點(diǎn)也非常突出。由于每個AP都需要獨(dú)立配置安全策略，給網(wǎng)絡(luò)管理，維護(hù)及升級換代帶來較大困難，無法進(jìn)一步拓展到較大的可協(xié)調(diào)的無線局域網(wǎng)中，無法進(jìn)行無線網(wǎng)絡(luò)質(zhì)量的優(yōu)化和協(xié)同。為了解決上述問題，就提出了基于控制器的AP架構(gòu)。在這種架構(gòu)中，AP自身不能單獨(dú)配置，不能獨(dú)立使用，它必須與無線控制器AC（Aeeess Control）配合使用。AP負(fù)責(zé)收發(fā)無線信號，無線數(shù)據(jù)加密，AC負(fù)責(zé)接人控制功能，所有AP接入的無線數(shù)據(jù)統(tǒng)一交給一個AC去管理，分配，控制。通過AC可以對AP群組統(tǒng)一進(jìn)行自動分配，統(tǒng)一安全策略，統(tǒng)一用戶認(rèn)證，能夠?qū)崿F(xiàn)非法AP的檢測與處理，大大提高網(wǎng)絡(luò)的安全性。目前，多數(shù)的無線網(wǎng)絡(luò)都是基于這種架構(gòu)。

2）當(dāng)前無線局域網(wǎng)絡(luò)架構(gòu)存在的安全問題

在傳統(tǒng)的無線網(wǎng)絡(luò)訪問控制機(jī)制中，常見的解決方案是在網(wǎng)絡(luò)的邊界部署訪問控制設(shè)備，比如防火墻，對未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問進(jìn)行限制。然而，隨著移動應(yīng)用的飛速發(fā)展，無線局域網(wǎng)的物理環(huán)境越來越復(fù)雜，智能移動終端接入位置多變，用戶身份越來越多樣。而傳統(tǒng)的網(wǎng)絡(luò)安全控制仍局限于靜態(tài)網(wǎng)絡(luò)環(huán)境，有固定，明確的網(wǎng)絡(luò)邊界，當(dāng)存在移動終端接入任意網(wǎng)絡(luò)位置時，以往的網(wǎng)絡(luò)邊界就被打破。所有，在這種新的應(yīng)用場景下，就需要AC統(tǒng)一地將安全策略下發(fā)到所有的網(wǎng)絡(luò)設(shè)備中，對未滿足安全策略的移動終端進(jìn)行阻斷，隔離或修復(fù)，從而提供安全的移動訪問接入。但在非軟件定義的環(huán)境下，AC只能對流經(jīng)網(wǎng)絡(luò)設(shè)備上的某個IP的流量進(jìn)行處理，無法提供更細(xì)粒度的流量控制和隔離。因此，傳統(tǒng)的無線網(wǎng)絡(luò)架構(gòu)，存在著明顯的弱點(diǎn)，隨著新技術(shù)和新時代，無法應(yīng)對日益發(fā)展的惡性無線接人，從而威脅到整個局域網(wǎng)絡(luò)的安全。

傳統(tǒng)的基于PC端的信息化應(yīng)用系統(tǒng)大多是基于B/S架構(gòu)的服務(wù)，在有線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)、軟件比較統(tǒng)一，同時經(jīng)過多年的應(yīng)用，積累了不少成功的安全策略和管理模式。而當(dāng)今移動信息化社會的到來，移動終端中運(yùn)行的主要是各種各樣的APP，每個APP完成相對比較單一的功能，所以運(yùn)行的APP的數(shù)量也相對比較多，管理的難度比以往也增大了不少。同時，APP本身的可信度無法保證，APP的安全機(jī)制無法完全保障，因?yàn)锳PP太多，不可能逐一檢查到。所以，傳統(tǒng)的無線網(wǎng)絡(luò)安全控制機(jī)制在應(yīng)對新型的移動應(yīng)用APP方面已經(jīng)有點(diǎn)力不從心，需要新的技術(shù)和管理才能適應(yīng)新形勢的發(fā)展。

3）SDN的技術(shù)優(yōu)勢

軟件定義網(wǎng)絡(luò)（software Defined Network，SDN），是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式，其核心技術(shù)是通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來，可以通過應(yīng)用面進(jìn)行自定義的軟件編程，實(shí)現(xiàn)基于“硬件轉(zhuǎn)發(fā)+軟件應(yīng)用”的模式，從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，使網(wǎng)絡(luò)作為管道變得更加智能。在SDN中，交換設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)層和控制層是分離的，因此網(wǎng)絡(luò)協(xié)議和交換策略的升級只需要改動控制層。

傳統(tǒng)架構(gòu)中的網(wǎng)絡(luò)，如果業(yè)務(wù)需求發(fā)生變動，重新修改相應(yīng)網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻）上的配置是一件非常繁瑣的事情。但SDN可以將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來，由集中的控制器管理，無須依賴底層網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻），這樣就屏蔽了來自底層網(wǎng)絡(luò)設(shè)備的差異。同時由于控制權(quán)是完全開放的，用戶可以自定義任何想實(shí)現(xiàn)的網(wǎng)絡(luò)路由和傳輸規(guī)則策略，從而更加靈活和智能?？偠灾?，SDN所具有的控制與轉(zhuǎn)發(fā)分離、軟件與硬件解耦、虛擬化接人等技術(shù)優(yōu)勢可有效解決傳統(tǒng)網(wǎng)絡(luò)難題。受SDN原理的啟發(fā)，業(yè)界將SDN的核心思想與無線局域網(wǎng)相結(jié)合，提出了軟件定義無線局域網(wǎng)

2基于SDN架構(gòu)的無線局域網(wǎng)安全設(shè)計

1）基于SDN的無線接入訪問控制

無線網(wǎng)絡(luò)的安全問題，首先要解決的是否允許什么移動終端接人的問題和如何安全便捷地接人的問題。基于SDN的無線接人訪問控制的實(shí)現(xiàn)，基本架構(gòu)如下：在原有基礎(chǔ)無線網(wǎng)絡(luò)的基礎(chǔ)上，還需要一個集中的安全控制平臺（AC）、SDN控制器和SDN交換機(jī)。其中SDN交換機(jī)可以部署在網(wǎng)絡(luò)的任意的物理位置上，所有提供無線接入的AP直接與SDN交換機(jī)連接。具體的接人認(rèn)證過程如下：

首先，在初始化階段，安全控制平臺AC通過SDN控制器向SDN交換機(jī)下發(fā)以下安全策略：允許所有的DHCP請求；將所有HTTP請求重定向到網(wǎng)絡(luò)內(nèi)部的認(rèn)證服務(wù)器。只有滿足以上任意一條的數(shù)據(jù)包才能通過，其余的全部禁止。當(dāng)一個新的移動終端首次連接無線網(wǎng)絡(luò)時，通過AP發(fā)送DHCP發(fā)現(xiàn)請求，數(shù)據(jù)包經(jīng)過SDN交換機(jī)到達(dá)DHCP服務(wù)器，最終該終端獲得DHCP自動分配的IP、網(wǎng)關(guān)和DNS地址，從網(wǎng)絡(luò)層面上已經(jīng)接入了，但由于此時終端沒有身份認(rèn)證，仍然無法訪問其他網(wǎng)絡(luò)。只有當(dāng)用戶通過瀏覽器訪問任意網(wǎng)址時，SDN交換機(jī)則會將該HTTP連接重定向到認(rèn)證服務(wù)器上。通過認(rèn)證服務(wù)器運(yùn)行的Web服務(wù)，用戶移動終端的瀏覽器出現(xiàn)登陸頁面，用戶只有輸入正確的身份驗(yàn)證信息才能真正地訪問網(wǎng)絡(luò)資源。用戶驗(yàn)證方式可以延用原來的多種形式，如LDAP服務(wù)、數(shù)據(jù)庫驗(yàn)證以及手機(jī)號驗(yàn)證等。在這里經(jīng)過驗(yàn)證通過的同時，安全控制平臺AC還可以獲得用戶更詳細(xì)的信息，為下一步的自適應(yīng)訪問控制做基礎(chǔ)。其次，當(dāng)用戶的移動終端通過驗(yàn)證后，認(rèn)證服務(wù)器記錄下該終端的有關(guān)信息后，通知安全控制平臺AC，AC通過SDN控制器向SDN交換機(jī)下發(fā)出允許源為該終端IP的數(shù)據(jù)包通過。數(shù)據(jù)包經(jīng)過SDN交換機(jī)時，根據(jù)訪問規(guī)則和目的地址的路由進(jìn)行判斷，最終決定該數(shù)據(jù)包是正常路由、經(jīng)過特定安全設(shè)備還是直接丟棄。

基于SDN的無線接入訪問控制與傳統(tǒng)的接人訪問控制比較具有以下優(yōu)點(diǎn)：首先這種認(rèn)證機(jī)制是實(shí)時的，全局性的，能做到全部網(wǎng)絡(luò)范圍內(nèi)的接入訪問實(shí)時控制；同時，這種訪問控制是基于標(biāo)準(zhǔn)的SDN/OpenFlow協(xié)議，所有網(wǎng)絡(luò)設(shè)備上的訪問控制規(guī)則是一致的；其次，是基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)架構(gòu)，它沒有給AP和SDN交換機(jī)增加額外的認(rèn)證模塊，認(rèn)證服務(wù)器也是采用了標(biāo)準(zhǔn)的Web服務(wù)，認(rèn)證后端也是支持標(biāo)準(zhǔn)的認(rèn)證方式。第三，具有可擴(kuò)展性，可根據(jù)具體的情況增加接人的區(qū)域，按需增加AP接入點(diǎn)。

2）基于SDN的無線訪問控制機(jī)制

移動終端用戶無線接人后，就好像其他的網(wǎng)絡(luò)訪問者一樣，還必須進(jìn)一步根據(jù)接入用戶的身份等屬性，判斷不同用戶所具有的相應(yīng)的訪問權(quán)限，做更細(xì)粒度的安全檢查和訪問控制?；赟DN的無線訪問控制可以實(shí)現(xiàn)移動終端的自適應(yīng)訪問控制（Adaptive Access Control）。自適應(yīng)訪問控制是一種基于上下文敏感的動態(tài)系統(tǒng)安全訪問控制，區(qū)別于傳統(tǒng)的自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制，它的安全策略是圍繞著風(fēng)險量化展開。它使用信任提升和其他動態(tài)風(fēng)險防護(hù)技術(shù)，達(dá)到信任等級和訪問時的風(fēng)險等級的平衡。通過利用用戶、終端、資產(chǎn)等上下文信息形成動態(tài)的、基于風(fēng)險的訪問決策，確保訪問時的信任等級與當(dāng)前所分析的風(fēng)險情況相匹配。

在SDN環(huán)境中可以實(shí)現(xiàn)無線訪問的軟件定義的訪問控制和安全防護(hù)，可借鑒軟件定義防護(hù)的安全防護(hù)模型，在軟件定義安全的平臺上實(shí)施相應(yīng)的安全機(jī)制。通過安全的控制和數(shù)據(jù)分離，實(shí)現(xiàn)安全設(shè)備的動態(tài)編排，以及安全防護(hù)的自動運(yùn)維。在南北向，也就是控制層與應(yīng)用層、基礎(chǔ)設(shè)施層之間的接口，安全控制平臺會根據(jù)各類安全應(yīng)用的策略，按需動態(tài)部署各類安全設(shè)備，實(shí)現(xiàn)安全能力的橫向擴(kuò)展；在東西向，也就是SDN設(shè)備之間的接口，安全控制平臺可與SDN環(huán)境和虛擬化環(huán)境通過開放接口很好的協(xié)同工作，快速協(xié)調(diào)好網(wǎng)絡(luò)流量。

3）基于SDN的APP訪問控制

由于當(dāng)前移動終端上的應(yīng)用主要集中在各種APP上，所以對APP的訪問控制是無線網(wǎng)絡(luò)安全必須面對的問題。首先，所有經(jīng)過安全控制平臺做身份認(rèn)證的用戶APP在訪問任何資源時，部署在認(rèn)證服務(wù)器上的訪問控制APP根據(jù)訪問用戶的角色、歷史信譽(yù)和其他因素綜合考慮，決定該用戶的移動終端的連接是否可建立、或經(jīng)過何種安全防護(hù)設(shè)備，同時還會根據(jù)上下文環(huán)境自適應(yīng)地在多個網(wǎng)絡(luò)和安全設(shè)備上建立訪問控制規(guī)則。在訪問內(nèi)網(wǎng)資源時，惡意攻擊檢測應(yīng)用會實(shí)時進(jìn)行檢測，當(dāng)惡意攻擊檢測應(yīng)用收到安全設(shè)備所報告的可疑事件時，安全控制平臺上的惡意行為檢測APP通過比對從安全設(shè)備中收集日志，日積月累建立而成的日志庫和信譽(yù)庫，通過置信度和主體的信譽(yù)判斷該事件是否是正常、異常、可疑或惡意的，進(jìn)而將相關(guān)流量分配到不同的安全設(shè)備，做進(jìn)一步的檢測和防護(hù)。

41基于SDN的無線局域網(wǎng)的自身安全

基于SDN的無線局域網(wǎng)由于采用更加開放、更加靈活的網(wǎng)絡(luò)架構(gòu)，因此不可避免地會帶來新的安全風(fēng)險。與傳統(tǒng)的網(wǎng)絡(luò)安全控制集中在體系構(gòu)架第四層到第七層不同，基于SDN的無線局域網(wǎng)控制器可以在第二到第七層配置安全策略，但在增強(qiáng)網(wǎng)絡(luò)的安全性能的同時，作為網(wǎng)絡(luò)的決策單元，由于集中控制，SDN所受到的安全威脅會更加集中，更加容易受到攻擊，而且一旦控制器被攻擊，整個網(wǎng)絡(luò)就會癱瘓。SDN控制器可以理解為網(wǎng)絡(luò)操作系統(tǒng)，因此對它的防護(hù)也可以參考操作系統(tǒng)的防護(hù)，采用控制器集群、備份和帶外管理等方式解決自身的安全問題…；還可以充分利用SDN具有的虛擬化接入等技術(shù)優(yōu)勢實(shí)現(xiàn)虛擬化的安全功能，監(jiān)控全網(wǎng)中與安全事件相關(guān)的流量，進(jìn)而對全網(wǎng)進(jìn)行統(tǒng)一安全策略部署，以達(dá)到保障網(wǎng)絡(luò)安全的目的。由于攻擊可能直接通過北向接口API對網(wǎng)絡(luò)資源進(jìn)行操作，為了防范業(yè)務(wù)和應(yīng)用對網(wǎng)絡(luò)發(fā)起的惡意攻擊，必須將用戶區(qū)分為不同等級，針對不同用戶有不同的認(rèn)證和授權(quán)，對第三方應(yīng)用的驗(yàn)證，在部署前就對其驗(yàn)證，通過驗(yàn)證后才能允許訪問系統(tǒng)。并將相關(guān)用戶的網(wǎng)絡(luò)資源進(jìn)行邏輯隔離和切分，網(wǎng)絡(luò)虛擬化技術(shù)可以防止用戶業(yè)務(wù)之間的相互干擾，同時在網(wǎng)絡(luò)出現(xiàn)問題之后，迅速對其進(jìn)行隔離。

3結(jié)束語

SDN作為當(dāng)前網(wǎng)絡(luò)領(lǐng)域最熱門和最具發(fā)展前途的技術(shù)之一，給無線局域網(wǎng)領(lǐng)域帶來了新的動力，為無線局域網(wǎng)的安全提供了新的技術(shù)保障。但是，由于基于SDN的無線局域網(wǎng)的部署環(huán)境主要面向校園網(wǎng)和企業(yè)網(wǎng)，網(wǎng)絡(luò)規(guī)模仍然較小，缺乏針對大規(guī)模無線局域網(wǎng)部署的實(shí)踐案例；當(dāng)前在SDN架構(gòu)中OpenFlow的設(shè)計中，對安全性的問題考慮還不夠深入。因此，今后在異常監(jiān)測和惡意攻擊保護(hù)等方面還需要進(jìn)行更加深入的研究，以應(yīng)對不斷變化的安全攻擊，保證無線局域網(wǎng)的安全。