当前位置:文档之家 › 基于SDN的物联网安全架构研究

基于SDN的物联网安全架构研究

  • 格式:doc
  • 大小:530.50 KB
  • 文档页数:10

下载文档原格式

  / 10

合集下载

基于SDN的5G移动通信网络架构

基于SDN的5G移动通信网络架构

基于SDN的5G移动通信网络架构摘要:目前我国对移动通信网络系统提出了更高的要求,促使其突破自身的技术限制,逐步向5G移动通信技术发展。

本文基于SDN背景下,简单的对5G移动通信网络架构作出以下几点探讨,以供参考研究。

关键词:SDN;5G移动通信技术;网络架构一、5G关键技术现阶段的5G技术将频谱效率大大提高,并且传送信息数据时无需调度,显著减少的终端消耗的功率与其它成本。

在实际的技术运用中,5G技术不仅能够在现阶段使用技术的基础上将先进的无线技术整合其中,以便根据不同用户的不同需要提供不同的服务。

另外,当蜂窝宏基站距离用户较远时,信息传输会受到一定的限制,5G中使用的超密集网络技术能够有效突破这种限制。

该种技术能够在用户聚集较为紧密的位置形成蜂窝式区域,在很大程度上节约成本,减弱用户之间的互相干扰,提高传输信息的速度。

相对于现在广泛应用的4G技术具有比较明显的优势,取得了广泛的认可。

二、SDN概述2.1SDN独特构架随着网络技术的不断发展,SDN技术也不断的深入,随之也出现了SDN相关网络框架的设计理念。

对于该构架的设计分三个部分,分别是控制层、应用层以及基础设施层。

对于应用层,主要是相关各类用户的业务信息,它通过将控制层与应用层相互连接,实现通过应用层的共性,给用户制定独特的网络需求服务。

这样用户就可以实现自行管理和控制网络访问了。

对于SDN的控制层,它主要包含了SDN中的各类控制器。

各控制器通过与平面接口相互连接,然后就可以实现与基础设备的交互了,最后通过接受层对有关设备的信息交互进行上报,进而就可以获得该设备的状态了。

控制层主要是通过对各个设备进行信息和命令的传输,就可以实现对整个网络的控制与管理。

对于SDN的基础设施层来说,主要是通过各类设备转发数据,然后利用开放接口命令实现对控制层的服务。

首先在实行转发设备时,要在受到控制层的命令和信息,才能对用户需要的信息数据进行转发、分类、更新或修改等操作,这样能够将网络向更简便化的方向发展。

基于SDN的无线网络安全机制

基于SDN的无线网络安全机制

基于SDN的无线网络安全机制在当今数字化时代,无线网络已经成为人们生活和工作中不可或缺的一部分。

从智能手机、平板电脑到物联网设备,无线网络连接着无数的终端和应用。

然而,随着无线网络的广泛应用,安全问题也日益凸显。

传统的无线网络安全机制在应对日益复杂的威胁时逐渐显得力不从心,而软件定义网络(SDN)的出现为解决无线网络安全问题带来了新的思路和方法。

SDN 是一种新型的网络架构,它将网络的控制平面和数据平面相分离,通过集中式的控制器对网络进行统一管理和控制。

这种架构为无线网络带来了更高的灵活性、可扩展性和可编程性,同时也为提升无线网络的安全性提供了有力的支持。

传统无线网络安全机制面临的挑战在探讨基于 SDN 的无线网络安全机制之前,有必要先了解一下传统无线网络安全机制所面临的挑战。

首先,传统无线网络中的访问控制机制往往较为薄弱。

例如,基于预共享密钥的 WiFi 保护访问(WPA/WPA2)在面对密钥泄露或破解时容易导致网络被非法访问。

其次,无线网络中的设备多样性和移动性使得安全策略的部署和管理变得极为复杂。

不同类型的设备可能具有不同的安全能力和需求,而设备的移动性又导致其网络环境不断变化,难以实时有效地实施安全策略。

再者,传统无线网络中的安全监测和响应机制相对滞后。

对于网络中的安全事件,往往难以及时发现和处理,从而给攻击者留下了可乘之机。

SDN 在无线网络安全中的优势SDN 的出现为解决上述问题提供了新的途径。

其在无线网络安全方面具有以下显著优势:集中化管理:SDN 的集中式控制器可以对整个无线网络进行统一的安全策略配置和管理,大大简化了安全策略的部署和维护工作。

灵活的可编程性:通过编程接口,网络管理员可以根据实际需求快速定制和调整安全策略,以应对不断变化的安全威胁。

全局视图:控制器能够获取整个网络的全局信息,包括设备状态、流量分布等,从而可以更全面地评估网络安全状况,及时发现潜在的安全隐患。

快速响应:基于集中控制和灵活编程,SDN 能够在安全事件发生时迅速采取相应的措施,如隔离受感染设备、调整网络拓扑等。

基于SDN的智能家居网络拓扑设计与实现

基于SDN的智能家居网络拓扑设计与实现

基于SDN的智能家居网络拓扑设计与实现智能家居网络作为物联网技术中的一个重要应用领域,近年来受到了越来越多的关注。

随着智能家居设备的逐渐增多和用户对于智能化生活的需求不断提升,对于智能家居网络的设计和管理也提出了更高的要求。

传统的家庭网络架构由于缺乏灵活性和智能性,已经无法满足日益增长的智能家居网络的需求。

因此,如何利用新兴的软件定义网络(Software Defined Networking, SDN)技术来设计和管理智能家居网络,成为了当前亟待解决的问题。

智能家居网络的拓扑设计是整个系统的基础,它直接影响到网络的性能、稳定性和安全性。

传统的家庭网络拓扑结构通常是单一的物理拓扑,难以满足智能家居设备不断增加和网络信息传输多样化的需求。

通过引入SDN 技术,可以将网络的控制平面和数据平面进行分离,从而实现网络的灵活性和可编程性。

借助SDN技术,智能家居网络可以根据不同应用场景和设备需求进行动态调整和优化,提高网络的智能性和自适应性。

在智能家居网络拓扑设计中,一个重要的问题是如何构建一个高效的网络架构来支持多样化的智能家居应用。

根据智能家居设备的特点和应用需求,可以将网络划分为核心网络、边缘网络和终端网络三层结构。

核心网络用于数据交换和传输,承担着网络流量的转发和路由功能;边缘网络则负责连接智能家居设备和核心网络,提供更快速的数据传输和更低延迟的服务;终端网络则是智能家居设备的接入网络,用于连接各种智能家居设备和传感器。

基于SDN的智能家居网络拓扑设计需要充分考虑网络的可扩展性、灵活性和可靠性。

通过引入SDN控制器,可以实现对整个网络拓扑的集中管理和控制。

SDN技术可以根据网络流量和负载情况实时调整网络架构,优化路由路径和负载均衡,提高网络的性能和可靠性。

此外,SDN技术还可以实现网络虚拟化和隔离,在保障网络安全的同时提高网络资源的利用率。

在实际应用方面,基于SDN的智能家居网络拓扑设计还需要考虑网络设备的互联互通和智能家居应用的需求。

基于SDN的动态网络管理策略研究

基于SDN的动态网络管理策略研究

基于SDN的动态网络管理策略研究在当今数字化快速发展的时代,网络已经成为社会运转和人们生活不可或缺的一部分。

随着网络规模的不断扩大、应用需求的日益复杂,传统的网络管理方式面临着诸多挑战。

软件定义网络(SDN)作为一种新兴的网络架构,为动态网络管理带来了新的思路和解决方案。

SDN 架构将网络的控制平面和数据平面相分离,通过集中式的控制器对网络进行全局管控。

这种架构的优势在于能够实现灵活的网络配置、高效的资源分配以及快速的故障响应,从而极大地提升了网络管理的效率和灵活性。

在动态网络环境中,流量的变化是十分常见的。

传统网络由于其分布式的控制方式,很难对流量的动态变化做出及时有效的调整。

而SDN 凭借其集中控制的特点,可以实时监测网络流量,并根据预设的策略进行动态的流量调度。

例如,当某条链路的流量负载过高时,控制器可以迅速将部分流量转移到负载较轻的链路上,从而避免网络拥塞,保障网络的性能和服务质量。

资源分配是网络管理中的一个关键问题。

在 SDN 环境下,可以根据不同的应用需求和网络状况,动态地分配网络资源。

比如,对于对带宽需求较高的实时视频应用,可以优先分配更多的带宽资源;而对于一些对延迟要求不高的文件传输应用,则可以适当降低其资源分配的优先级。

通过这种精细化的资源分配策略,可以提高网络资源的利用率,满足各种应用的需求。

故障管理在网络运行中至关重要。

SDN 的集中式控制使得故障检测和定位变得更加迅速和准确。

控制器能够实时收集网络设备的状态信息,一旦发现故障,能够快速确定故障的位置和类型。

同时,结合预先制定的故障恢复策略,控制器可以自动触发相应的恢复操作,如重新配置网络路径、启用备份设备等,从而大大缩短了网络故障的恢复时间,减少了故障对网络服务的影响。

然而,要实现基于 SDN 的高效动态网络管理,还需要解决一些关键问题。

首先是控制器的性能和可扩展性。

随着网络规模的不断增大,控制器需要处理的信息量也呈指数级增长。

软件定义网络中的SDN与物联网技术融合与应用(Ⅲ)

软件定义网络中的SDN与物联网技术融合与应用(Ⅲ)

随着物联网技术的飞速发展,越来越多的智能设备和传感器被应用到各个领域中,使得各种设备和系统之间的通信和数据交换变得十分复杂和庞大。

而软件定义网络(SDN)技术则是一种能够提供更灵活、可编程和智能的网络架构,使得网络管理和控制更加高效和便捷的技术。

SDN与物联网技术的融合,将为各行业带来更多的创新和应用。

首先,SDN技术可以提供更灵活的网络架构,使得其更适合与物联网技术相结合。

传统的网络架构往往是硬件设备为主,网络功能和控制逻辑都内置在硬件设备中,这样网络的管理和控制就十分繁琐和困难。

而SDN技术则可以将网络的控制平面和数据传输平面进行分离,通过集中式的控制器来对网络进行统一管理和控制,从而使得网络更具有灵活性和可编程性。

这样一来,不仅可以更加方便地对网络进行管理和维护,还可以更好地适应物联网技术所需的大规模连接和数据交换。

其次,SDN技术可以实现对网络流量的智能管理和控制,使得网络更加适应物联网技术的应用场景。

物联网技术所需的网络通信往往是大规模、高密度和多样化的,这就需要网络能够更加智能地进行流量管理和控制,以及更好地适应不同的应用场景和需求。

SDN技术可以实现对网络流量的实时监测和调整,还可以通过对流量进行智能识别和分类,从而实现对流量的精细化管理和控制。

这样一来,就可以更好地满足物联网技术的各种应用需求,同时也可以提高网络的性能和可靠性。

再次,SDN技术可以为物联网技术的应用提供更多的创新和可能性。

由于SDN技术可以提供更灵活、可编程和智能的网络架构,这就为物联网技术的应用提供了更多的可能性和创新空间。

例如,在智能家居领域,通过将SDN技术应用到家庭网络中,可以实现对家庭各种智能设备的统一管理和控制,从而实现更加智能化和便捷化的家居生活。

在智能交通领域,通过将SDN技术与交通系统相结合,可以更好地实现对交通流量的控制和调度,从而提高交通系统的效率和安全性。

这些都是SDN技术与物联网技术融合所带来的创新和应用。

基于SDN架构的网络安全隔离研究

基于SDN架构的网络安全隔离研究

基于SDN架构的网络安全隔离研究一、引言网络安全已成为现代信息化社会中的一项重要议题,随着网络攻击的不断加剧,网络安全问题更加凸显。

网络隔离是保证网络安全的重要手段之一。

而传统的网络隔离手段,如虚拟局域网、访问控制列表等,难以适应现代网络环境中不断扩展、变化且需快速响应的网络安全需求。

随着SDN(软件定义网络)的兴起,基于SDN架构的网络安全隔离研究成为当前研究热点。

本文将从四个方面入手,探讨基于SDN架构的网络安全隔离研究。

二、SDN架构SDN(软件定义网络)是一种新型的网络架构,其核心思想是将网络控制平面和数据转发平面分离。

在SDN架构下,网络管理员可以通过集中式控制器直接控制网络流量,从而实现网络的灵活性和可编程性。

SDN架构下的网络安全隔离机制相较于传统的网络隔离手段,更具有可扩展性、灵活性和可靠性。

三、SDN网络下的流量分类和标记在SDN网络中,管理员可以通过集中式控制器配置SDN交换机的流表,将网络流量根据不同的类型进行分类标记。

SDN交换机可以将流量标记为不同的服务质量、安全等级等。

在网络隔离中,管理员可以根据不同的服务需求和安全级别,将网络流量划分到不同的虚拟网络中,从而实现网络隔离的目的。

需要注意的是,网络流量的标记是SDN网络下实现网络安全隔离的关键因素之一。

四、基于SDN架构的网络安全隔离机制基于SDN架构的网络安全隔离机制主要包括ACL(访问控制列表)、VLAN(虚拟局域网)、VXLAN(虚拟扩展局域网)等。

ACL是目前广泛应用于网络安全隔离的技术之一,其主要作用是对网络流量进行过滤。

通过设置ACL规则,管理员可以防止恶意流量进入受保护的网络。

在SDN网络中,ACL功能可以通过集中式控制器配置SDN交换机的流表实现。

另外,SDN网络中的ACL功能具有更高的可扩展性和灵活性。

VLAN是一种虚拟的网络技术,其主要作用是将同一物理网络中的不同设备虚拟成多个独立的逻辑网络。

在SDN网络中,管理员可以通过集中式控制器配置SDN交换机的vlan表,实现不同VLAN之间的流量隔离。

《2024年基于OpenFlow的SDN技术研究》范文

《基于OpenFlow的SDN技术研究》篇一一、引言随着网络技术的快速发展,传统的网络架构已经无法满足日益增长的网络需求。

因此,软件定义网络(Software-Defined Networking,SDN)技术应运而生。

SDN技术通过将网络的控制层与数据层分离,使得网络管理更加灵活、高效。

而OpenFlow 作为SDN的核心协议之一,其研究与应用已成为当前网络技术领域的热点。

本文将基于OpenFlow的SDN技术进行深入研究,探讨其原理、应用及未来发展趋势。

二、SDN技术概述SDN是一种新型的网络架构,其核心思想是将网络的控制层与数据层分离。

通过将网络设备的控制权集中到一个开放、可编程的控制层,SDN可以实现网络的可编程性、灵活性和可扩展性。

SDN技术具有以下特点:1. 集中控制:SDN通过集中控制层对网络进行管理,简化了网络管理过程。

2. 开放可编程:SDN提供开放接口,支持用户自定义网络功能。

3. 灵活性:SDN可以实现网络的快速部署和灵活配置。

4. 高效率:通过集中控制和资源优化,SDN可以提高网络资源的利用率。

三、OpenFlow协议及其原理OpenFlow是SDN的核心协议之一,负责控制层与数据层之间的通信。

其基本原理包括流表、匹配和动作三个部分。

流表用于存储网络流的规则信息,匹配用于判断数据包是否符合规则,动作则是对符合规则的数据包进行相应的处理。

OpenFlow协议具有以下特点:1. 标准化:OpenFlow协议已形成一系列标准,支持多种硬件平台。

2. 可扩展性:OpenFlow协议支持用户自定义流表项和动作,实现网络的灵活扩展。

3. 开放性:OpenFlow协议提供开放接口,支持多种编程语言和开发工具。

四、基于OpenFlow的SDN技术应用基于OpenFlow的SDN技术在多个领域得到广泛应用,包括数据中心、园区网、运营商网络等。

以下是几个典型应用场景:1. 数据中心:通过SDN技术实现数据中心网络的灵活扩展和高效管理,提高数据中心资源利用率和业务响应速度。

软件定义边界网络(SDBN)的发展与应用

软件定义边界网络(SDBN)的发展与应用软件定义边界网络(Software Defined Boundary Network,SDBN)的发展与应用概述软件定义边界网络(SDBN)是一种新兴的网络架构,它通过软件定义的方式来管理和控制网络边界。

SDBN可以实现动态调整网络边界,提高网络的灵活性、可扩展性和安全性。

本文将详细介绍SDBN 的发展历程以及其在各个领域中的应用情况。

一、SDBN的发展历程1. 传统网络架构的问题传统网络架构采用硬件设备来构建网络边界,这种架构存在很多问题,如难以调整网络边界、易受攻击、缺乏灵活性等。

这些问题迫使人们寻找一种更加先进和灵活的网络解决方案。

2. 软件定义网络(SDN)的出现软件定义网络(Software Defined Network,SDN)是一种新型的网络架构,它将网络控制和转发分离,通过集中式的控制平面来管理整个网络。

SDN的出现极大地改变了网络管理和控制的方式,但它仍然无法解决网络边界调整的问题。

3. SDBN的提出为了解决SDN无法调整网络边界的问题,SDBN应运而生。

SDBN 基于SDN的基础上,引入了边界控制器,通过软件定义的方式来管理和控制网络边界。

SDBN可以根据实际需求,动态调整网络边界,提高网络的灵活性和安全性。

二、SDBN的关键技术1. 边界控制器(Boundary Controller)边界控制器是SDBN的核心组件,它负责管理和控制网络边界。

边界控制器可以根据实际需求,动态调整网络边界,并实时更新边界策略。

通过边界控制器,管理员可以方便地管理网络边界,提高网络的可控性和安全性。

2. 软件定义网络开放接口(SDN API)SDN API是SDBN与其他网络设备和应用程序进行交互的接口。

通过SDN API,SDBN可以与硬件设备、云平台等进行连接,实现数据的传输和管理。

SDN API的开放性和灵活性,为SDBN的应用提供了更多的可能性。

基于SDN网络架构的网络安全风险分析

基于SDN网络架构的网络安全风险分析摘要:随着云计算、大数据、网络技术的发展,SDN(软件定义网络)正在被广泛的应用。

其转控分离的理念以及开放性可编程网络,作为新兴网络架构模式在网络领域的应用越来越广泛,其高度灵活、可编程的特点为网络管理、优化和安全带来了极大的便利。

与此同时,其开放的编程架构、中心控制机制也为网络安全带来了新的挑战。

为了更好地掌握SDN网络架构下的网络安全风险,本论文会从SDN的安全机制、SDN网络攻击和SDN安全防御等方面进行论述,并提出一些预防和应对SDN网络安全风险的措施和建议。

关键词:SDN(软件定义网络);网络安全;安全机制;安全策略1SDN(软件定义网络)是一种新型的网络架构,其核心理念为转控分离,通过一种灵活的、开放的、可编程的方式进行网络管理、流量转发及优化。

SDN将网络控制集中在中心控制器中,通过对网络控制平面进行程序化的方式来实现网络控制。

这种新型的网络架构带来了很多好处,使网络具备更高的网络灵活性、更快速的网络部署和更方便的网络管理。

然而,这种新型网络架构也为网络安全带来了新的挑战。

由于SDN的开放性和可编程性,它可能会成为攻击者进行攻击和入侵的新的目标。

另一方面,SDN的集中控制机制也使得SDN网络变得更为脆弱,一旦核心控制器遭受攻击,整个网络都会面临威胁。

为了更好地掌握SDN网络架构下的网络安全风险,本论文会从SDN的安全机制、SDN网络攻击和SDN安全防御等方面进行论述,并提出一些预防和应对SDN网络安全风险的策略和建议。

1 SDN网络架构SDN是软件定义网络的新型网络架构,以应用为中心,其核心理念为转发与控制相分离。

在SDN架构中,总体分为三个层次:基础设施层、控制层及应用层。

基础设置层是整个架构的底层,其主要设备由大二层交换机等组成的转发器群组及其它网络组件构成,这些设备都是在控制层的控制下进行流量转发和流量控制等服务。

控制层是整个SDN架构的核心,由控制器设备组成。

基于SDN技术的网络安全研究

基于SDN技术的网络安全研究网络安全在当今信息化时代是极其重要的一个领域。

尤其是伴随着5G网络的到来,在网络技术上带动了巨大的发展,同时也给网络安全带来了新的挑战。

SDN技术作为一种新兴的网络架构,已被广泛应用于网络安全领域,这篇文章将探讨基于SDN技术的网络安全研究。

一、SDN技术简介SDN(Software Defined Network)技术是一种可编程架构的网络架构,将数据平面和控制平面进行了分离。

其主要特点是实现了集中式控制、程序化配置以及可编程性等优势。

SDN技术的主要架构包括:数据平面、控制平面、应用层,其中控制平面是整个架构的重要组成部分。

SDN技术的应用范围非常广泛,其中在网络安全中的应用较为突出。

二、基于SDN技术的网络安全网络安全是SDN技术的一大应用领域,基于SDN技术的网络安全主要有以下几方面的研究:1、流量管理SDN技术实现了集中控制平面的特点,使流量管理变得更加容易。

通过SDN技术的控制平面可以实现流量的动态调配、负载均衡、流量过滤、流量隔离等。

通过对流量的动态管理,实现网络安全。

2、网络监控SDN技术不仅可以对流量进行管理,还可以对网络进行监控。

利用SDN技术可以采集网络中的数据流,对其进行分析、统计、监控等操作,通过监控网络流量,可以实时发现网络中的异常行为和网络攻击,进而采取相应的措施。

3、网络安全策略SDN技术使网络安全策略的管理和配置变得更加容易。

使用SDN控制平面可以实现对网络流量的决策管理,而这些决策可以通过程序的方式进行配置,可以实现动态的配置策略。

这种方式可以增加网络的安全性,确保网络的正常工作。

4、虚拟化网络安全虚拟化技术是SDN技术的重要应用之一,将虚拟化技术与SDN技术相结合可以实现更强的网络安全。

通过虚拟化技术可以实现网络隔离、安全隔离等功能,与SDN技术相结合可以实现虚拟化网络的控制和管理。

虚拟化网络安全是现代网络安全中的重要研究领域。

三、SDN技术的优势基于SDN技术的网络安全具有以下几方面的优势:1、可编程性SDN技术具有可编程性,通过API接口可以进行编程配置,增强了网络的灵活性。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

基于SDN的物联网安全架构研究作者:于笑赵金峰张澜来源:《移动通信》2017年第03期随着物联网技术的广泛应用,大量的RFID和无线传感器需要接入网络,海量的关键信息数据需要通过网络传递,使得物联网相比较传统网络对网络安全提出了更高的要求,因此提出了一种基于SDN的物联网安全架构,利用SDN技术控制与转发相分离、网络虚拟化等特点,整合网络安全资源,从网络全局角度分析安全风险、执行安全策略,将物联网各层面的安全问题进行集中分析处理,简化物联网末端安全设施的部署。

在给出基于SDN的物联网安全架构基础上,分析介绍了应用层、控制层、感知层的安全模块和安全策略,最后给出了下一步开展研究工作的重点和方向。

SDN 物联网网络安全安全策略1 引言物联网概念于1999年由美国麻省理工学院Auto-ID中心的Kevin Ashton教授[1]首次提出,它是指通过射频识别(RFID,Radio Frequency Identification Technology)、红外传感器、全球定位系统、激光扫描器等信息传输设备,按约定的协议,把任何物品与互联网连接起来进行信息交互,以实现智能识别、定位、跟踪、监控、和管理的一种网络。

物联网实际上是物物相连的互联网,它是在互联网基础上的延伸和拓展。

通过物联网,任何物品可以相互连接,进行信息交换和通讯。

当前,物联网技术正在蓬勃发展,小到智能家居,大到智慧地球,各行各业都在发展和利用物联网技术、物联网概念[2]。

随着物联网用户和终端的高速增长,基础设施和网络结构面临着巨大的挑战,网络的结构、协议、安全及管理等变得日趋复杂。

由于物联网末端传感网络规模庞大,部署环境复杂多样,以及物联网用户缺乏专业能力,确保数十亿物联网设备的网络安全已经变得越来越困难。

传统的安全机制如防病毒、网络代理机制等,不足以解决物联网网络[3]所带来的网络安全挑战。

SDN技术的运用为解决物联网面临的网络安全问题提供了一种创新的解决途径。

SDN技术由斯坦福大学的研究机构[4]首先提出,实现了控制与转发相分离、控制层逻辑集中、网络功能可编辑等功能,随着SDN技术的不断发展和完善,SDN技术可以为网络提供统一的管理接口和运行环境,具备网络虚拟化NFV和资源调度系统功能。

本文提出一种基于SDN的物联网安全架构,在物联网的网络和应用层应用SDN技术,实现网络控制与业务转发相分离,实现网络功能部署的软件化,同时将网络安全作为一种应用面向物联网用户提供服务,实现对网络安全资源的集中调度、网络安全标准的统一整合、网络安全策略的灵活配合。

2 IoT面临的主要安全问题IoT逐步应用于社会的各个行业,IoT的网络安全问题变得日趋重要。

由于IoT众多信息普遍通过无线方式实现互通,信息安全面临严峻挑战。

IoT的传感器数量庞大,功能各异,而且采集传递着大量的身份识别、监控数据、支付信息等高等级安全信息,因此传感器网络的安全问题变得极其重要,这也是IoT网络安全与互联网网络安全的主要差别所在。

IoT的无线传感器网络由多个传感器节点、节点网关、可以充当通信基站的设备及后台系统组成。

通信链路存在于传感器与传感器之间、传感器与网关节点之间和网关节点与后台系统之间。

对于攻击者来说,这些设备和通信链路都有可能成为攻击对象,所以IoT网络面临的安全问题与传统网络相比有其独有的特点,图1为IoT网络攻击模型示意图:由于具备了无线的信道、有限的能量、分布式控制等特点,使得无线传感器网络更容易受到攻击。

被动窃听、主动入侵、拒绝服务则是这些攻击的常见方式,无线传感器网络可能遭到的安全挑战[5]包括下列情况:(1)网络的网关节点被敌手控制,则安全性全部丢失;(2)网络的普通节点被敌手控制;(3)网络的普通节点被敌手捕获;(4)网络的节点受来自网络的拒绝服务攻击;(5)接入到物联网的超大量传感节点的标识、识别、认证和控制问题。

此外,IoT网络还拥有大量RFID系统,主要由电子标签、阅读器、后台应用系统与无线通信信道、后端网络通信信道等组成。

RFID系统也是IoT网络遭受攻击的主要对象,主要包括被动攻击、主动攻击、物理攻击等:(1)被动攻击。

被动攻击不对系统数据做任何修改,而是通过窃听截获电子标签中的关键数据,再结合被窃听对象的其他信息及窃听的时间、地点等数据,就可以分析出大量有价值的信息。

(2)主动攻击。

主动攻击涉及对系统数据的篡改或增加虚假的数据,其手段主要包括假冒、重放、篡改、拒绝服务和病毒攻击等。

(3)物理攻击。

物理攻击需要接触系统的软/硬件,并对其进行破解或破坏。

对于RFID 系统而言由于标签数量巨大,难以控制,所以物理攻击是RFID系统面临的最大的安全威胁。

3 基于SDN的物联网安全架构基于SDN物联网的系统架构是在SDN技术应用层、控制层、转发层三层基本架构下,增加由传感器组成的感知层。

将SDN技术用于物联网架构,运用控制层面与转发层面相分离的特性和可编辑的网络功能部署能力,可以最大程度地利用网络资源能力,精确地监测网络安全状态,简化安全设备的设置,并根据业务和网络安全变化趋势自适应地调整和部署网络安全策略,为解决物联网面临的安全问题提供了新的途径。

基于SDN的物联网安全架构是在SDN物联网四层架构的基础上,在控制层和应用层增加网络安全控制器、网络安全策略服务器、网络安全应用服务等功能模块,整合网络安全服务资源能力,构建面向用户的网络安全服务体系,具体架构如图2所示。

(1)应用层,网络管理人员可以通过可编程接口实现网络监控管理功能,包括路由管理、接入控制、带宽分配、流量工程、QoS保障、网络安全、计算和存储等,应用开发人员还可以通过SDN控制器提供的网络全局信息,根据用户需求开发相应的应用程序。

在应用层增加网络安全应用,利用云计算的软件即服务模式(SaaS,Software-as-a-Service),构建虚拟防火墙、虚拟入侵检测、虚拟入侵防御等网络安全服务,末端用户通过订阅的方式获取网络安全服务,最大限度地简化安全设备配置、安全策略分析和安全参数设置等末端网络安全管理业务。

(2)控制层,由多个SDN控制器组成,SDN控制器部署网络操作系统,网络所有的控制功能被集中设置在此层,SDN控制器通过标准化的南向接口协议OpenFlow管理底层的物理网络和设置的虚拟网络,通过北向API接口向上层提供服务,并向上层服务提供抽象的网络设备,屏蔽了具体物理设备的细节。

在控制层增加网络安全系统模块,主要包括网络安全控制器和安全策略服务器,网络安全控制器是一个安全服务执行单元,监控下层网络的安全状态,并根据网络和用户需要执行相应的安全策略等。

安全策略服务器主要负责根据用户申请的业务情况向上层的安全应用订阅相关服务,并存储上层应用提供的安全策略,提供给网络安全控制器查询使用。

(3)转发层,包含所有的网络设备,与传统网络交换设备不同,SDN的网络交换设备不具备网络控制功能,控制功能被统一提升至控制层,网络基础设施通过SDN控制器的南向接口与控制层连接。

基于SDN的物联网在转发层增加了OpenFlow AP等接入设备,为感知层传感器接入网络提供接口。

传统网络的防火墙、入侵检测等设备也可以通过开放相关接口,为上层提供网络安全状态监控信息,同时也可以接收网络安全控制器下发的安全策略和相关设备配置信息。

(4)感知层,在物联网体系结构中处于底层,承担信息感知的重任。

主要由RFID系统和无线传感器网络组成。

RFID系统需要采用访问控制、身份认证和数据加密等安全措施;无线传感器网络需要有效的密钥管理机制,并采用安全路由和入侵检测等传统网络安全技术。

4 各层的安全模块及策略4.1 控制层网络安全模块由于SDN控制层具备对网络进行集中管控的能力,通过在控制层设置网络安全控制器和策略服务器等网络安全模块,可以在安全策略的细粒度、实时推送和流量监控等方面相比较传统网络安全体系具有较大优势。

网络安全控制器部署在开源的SDN控制器之上,如NOX、Onix[6-7]等,由安全执行内核和资源控制器两部分组成,网络安全控制器通过运行不同的Module安全模块,实现对SDN控制器流表的安全策略控制[8],网络安全控制器集成了大量API接口,并能够与传统的安全工具进行通信;资源控制器用于监控OpenFlow交换机和OpenFlow AP的状态,并删除交换机和AP流表中废弃的流规则,及时清理流表空间。

Module 安全模块存储在安全策略服务器上,不同的Module模块用于提供不同的安全功能,这些模块可以被共享或组合,以提供更加复杂的安全防护功能[9]。

此外,安全策略服务器还提供了由Python脚本语言编写的API接口,使得研究人员可以自己编写具有安全监控和威胁检测功能的Module安全模块,安全策略服务器还可以向应用层订阅相关的网络安全服务。

控制层网络安全控制器和安全策略服务器的设置情况如图3所示。

4.2 应用层网络安全服务在基于SDN物联网的应用层部署基于云的安全分析处理服务(CbSA,Cloud-based Security Analyzer)[10],当控制层的安全策略服务器无法匹配接入网络申请的网络安全服务请求时,通过安全和管理服务(SMS,Security and Management Service)[11]的方式,向CbSA 订阅相应的网络安全服务策略,图4表示了CbSA的体系结构和流程示意,其中云服务管理器负责处理来自控制层的流量分析请求,当收到一个新的分析请求时,云服务管理器首先对SMS的请求进行认证,然后根据用户参数和安全服务请求内容计算查找匹配的安全策略,最后将策略返回给控制层安全策略服务器,从而为用户提供虚拟防火墙、虚拟入侵检测、虚拟入侵防御等服务。

此外,通过云平台还可以为网络提供恶意软件、僵尸网络、垃圾邮件等多种网络安全检测服务。

CbSA可以通过部署虚拟软件中间件的方式为控制层分析特征用户的流量并提供自动安全配置更新,云服务管理器可以要求中间件管理器提供一个中间件实例来处理特征用户流量,通过这个中间件来作为流量隧道以便分析特征用户的实时流量,计算分析用户的网络安全风险,并给出相应的安全策略[12]。

CbSA可以从所有连接的控制层安全控制器和策略服务器接收网络安全监测数据,它将这些数据与病毒特征数据库、恶意软件数据库等外部资源数据进行整合,从全网的视角透视分析网络安全风险,并计算生成相应的安全配置策略。

这种方法特别有助于检测恶意流量的微小痕迹,而这对于传统部署在网络边界的安全系统来说很难实现。

4.3 感知层的安全策略(1)RFID安全策略现有提出关于RFID技术的安全策略主要包括访问控制、身份认证和数据加密。

其中身份认证和数据加密有可能被组合运用,其特点是需要一定的密码学算法配合,因此这里将身份认证和数据加密机制统称为密码学机制。