(中国信息通信研究院安全研究所,北京 100191)
0 引言
软件定义网络(Software Defined Network,SDN)的概念,最初来源于2006年斯坦福大学的Clean Slate研究项目[1]。由于具备灵活性、开放性、可编程性和虚拟化等特点,SDN很快得到了工业界和研究领域的青睐,一直处于不断的发展和进化之中。SDN实现了控制与转发的分离,构成了以控制器为中心的集中式控制网络架构[2],因而具备了广泛和详细的全网络视图;同时也因为采用开放式架构和使用开源软件等原因,SDN也为各种类型应用程序的部署和应用提供了广泛的可能性[3]。相对于传统网络,SDN可以满足各种应用条件下不断变化的计算和存储需求[4]。近年来,SDN被广泛应用于数据中心、移动通信和5G、智慧城市、物联网、区块链等诸多新兴技术领域[5]。
目前,随着SDN的广泛应用和部署,SDN网络面临的网络安全威胁也越来越大,SDN的安全问题成为当前网络安全领域的重要研究方向之一。本文围绕SDN安全问题,从SDN架构入手,分析了SDN网络架构存在的系统漏洞,总结了SDN面临的主要安全问题,初步探讨了目前针对SDN安全问题所采取的主要措施,介绍了防御分布式拒绝服务(Distributed Denial of Service,DDoS)攻击的最新研究成果,并对下一步研究工作方向进行了展望。
1 SDN架构及其安全性分析
1.1 SDN架构
相对传统网络架构,SDN将路由器上的控制功能和转发功能进行了分离,将控制功能集合在一起构成控制平面,底层硬件设备则只专注于数据转发构成数据平面。控制功能与数据转发功能分离,增强了网络基础设施的自动化,为网络设备的管理、维护、故障排除等提供了灵活性和便捷性;同时,基于集中控制,SDN可以确保整个网络一致的策略执行、网络可编程性、增强的可扩展性和整体的可见性等[6]。
SDN主要包括控制平面、数据平面和应用平面等三层,同时通过南北向接口完成三个平面之间的连接(见图1)。当控制平面存在多个控制器时,则使用东西向接口将这些控制器连接在一起[7]。
图1 SDN三层平面架构示意
(1)控制平面:作为SDN的大脑,控制平面位于SDN结构设计的中心,负责控制和管理整个SDN,负责管理业务流并决定业务流的路由、转发和分组丢弃等,向数据平面的转发设备发送流指令、向应用平面的应用程序提供相关数据。控制平面由一个或多个控制器组成。
(2)数据平面:包含多个连接在一起的网络设备,并通过执行可编程算法来协调和增强对网络设备的管理和配置。同时,在数据平面通过提供标准协议,不同生产商提供的设备可以在平面内实现通信,具备了高度可扩展性。
(3)应用平面:负责管理与应用软件相关的业务和安全程序等,包括网络虚拟化、入侵检测系统、入侵预防系统、防火墙实现和移动性管理等;同时应用平面可以通过可编程方式调用所需网络资源,方便用户实现快速配置网络和部署应用。应用平面通过北向应用接口与控制平面通信。
目前,作为在SDN中被主要采用的通信协议,Open Flow[8]因为具备灵活性、规范性等优势,被广泛采用,成为SDN事实上的通信协议。
1.2 SDN架构安全性分析
SDN架构,具备如下显著特征[9-10]。
(1)集中控制:控制与转发功能分离,控制平面负责整个网络所有设备的控制和管理,完全了解网络拓扑结构,具备网络状态的全局可见性。
(2)网络可编程性:通过提供应用编程接口,可以快速开发和部署新的网络应用。
(3)设备简单:将控制功能移除,降低了网络设备复杂性,网络设备只需根据预先设置好的流规则进行数据转发即可。
网络架构的特点,决定了SDN的安全特性。一方面,SDN具有明显的安全优势,如利用其可编程性和网络状态的全局可见性,便于主动监控流量并诊断威胁,可快速发现和遏制网络安全威胁等[11];但另一方面,SDN的网络架构本身也存在一些明显的系统漏洞和架构缺陷[12-14],具体包括如下几个方面。
(1)因集中控制带来的单点故障风险,极大地方便攻击控制平面从而破坏整个网络。
(2)可编程性的开放性,带来网络数据的损坏、窃取和篡改等一系列安全隐患。
(3)在对域名系统(Domain Name System,DNS)、网络地址转换(Network Address Translation,NAT)或边界网关协议(Border Gateway Protocol,BGP)等传统协议在网络架构层次上作了改变后,未对架构改变后的复杂性和兼容性进行分析和采取有效应对措施。
(4)在控制平面和数据平面之间的通信过程中没有安全和加密措施,缺乏跨域通信信任机制。
(5)各种应用程序复杂交互,缺乏授权和身份验证机制,易导致流规则发生冲突和受到恶意应用程序攻击。
2 SDN主要安全风险分析
目前,SDN面临的安全威胁非常多,主要集中在恶意应用、控制器的脆弱性、流规则的合法性和一致性等方面[14]。SDN所面临安全攻击的类型也很多。由于SDN具有清晰的多层体系结构,本文即按照不同平面对SDN所面临的安全威胁和攻击等分别进行描述和分析。
2.1 控制平面安全问题
控制平面和控制器是近年来攻击SDN的主要目标。控制器是整个SDN的大脑。因为是集中控制模式,存在单点失败风险,因此负责管理全网的控制器成为SDN安全链条中的最薄弱环节。攻击者只要破坏或者控制了控制器,就可以控制整个SDN网络。目前,在一些新型技术和应用中,针对控制平面比较典型的攻击形式[6],主要有以下几种。
主机位置劫持攻击(Host Location Hijacking)[15],主要是针对SDN控制器主机跟踪服务(Host Tracking Service,HTS)协议中存在的漏洞,模拟大量主机在同一时段访问SDN网络,迫使SDN控制器在短时间内执行大量位置更新导致过载,减慢工作速度和效率,实施拒绝服务攻击。主机位置劫持攻击的具体攻击过程参见图2。链路制造攻击(Link Fabrication Attack)[16],通过伪造新的网络链路,以拦截和控制SDN链路流量实施攻击,导致攻击者新建的链路是一个“黑洞”,“吞噬”该链路上转发的流量;或者是攻击者在两个SDN交换机之间新创建一个隧道,允许流量通过恶意链路成功转发。中间人攻击(Man In The Middle/MITM Attacks)[17],利用OpenFlow协议TCP控制层缺乏身份认证的缺陷,通过下游OVS(Open vSwitch)交换设备实施窃听攻击。人物劫持(Persona Hijacking)攻击[18],首先攻击者攻击并解除被攻击主机IP地址与MAC地址之间的绑定,实现IP接管;其次攻击者将自己的MAC地址绑定到该IP地址,利用流规则不一致性重定向网络流量,实施流中毒攻击,完全接管被攻击主机。反向循环(Reverse Loop Attack)和拓扑冻结(Topology Freezing)两种攻击[19]方式,主要针对OFDP(OpenFow Discovery Protocol)协议缺乏保护分组完整性和机密性的安全机制等弱点,攻击或篡改控制器网络拓扑视图。网络操纵攻击(Network Manipulation)[20]通过误导控制器在网络中引入虚假数据,对SDN已发动拒绝服务(Denial of Service,DoS)攻击。流量嗅探(Traffic Sniffing)攻击[21],可以通过SDN通信接口来窃听和嗅探网络数据和其他未加密信息,实施阻止控制器通信等多种攻击。
图2 主机位置劫持攻击示意
2.2 数据平面安全问题
数据平面主要由交换机组成,负责SDN的数据处理、转发、丢弃和状态收集。数据平面接收并信任由控制平面提供的流规则。在SDN中,控制平面的安全性对数据平面有直接影响。在控制功能被剥离之后,如果交换机由于控制平面故障或控制平面断开而没有从控制平面接收转发指令,则数据平面实际上就会变成离线状态,从而方便攻击者通过操纵数据链路和数据流发动网络攻击。综合来看,数据平面面临的安全挑战,主要来自两个方面:一是如何识别真正的流规则,并将其与虚假或恶意规则区分开;二是可缓冲的数据流空间有限,使得数据平面易受到饱和攻击。数据平面常见的攻击方式,主要包括以下几种。
DDoS攻击[6],主要是通过被控主机发送恶意数据包,即使与OpenFlow流规则不匹配,这些数据包仍能由SDN交换机转发至SDN控制器,这将会消耗SDN大量资源,从而形成攻击。欺诈流规则(Fraudulent Flow Rules)攻击[22],通过在SDN内部署应用程序,在SDN设备中插入恶意流规则,允许OVS设备将流量直接转发到攻击者主机,绕过SDN控制器中的安全应用程序。ARP欺骗攻击(ARP Spoofing Attack)[23],利用地址解析协议(ARP)识别与IP地址关联MAC地址过程,攻击者发送恶意ARP消息,将其MAC地址与不同主机的IP地址关联起来。旁路攻击(Side Channel Attacks)[6],通常在信道的正常操作期间使用来自侧信道的泄露信号来窃取SDN中的数据,主要利用网络中遇到的延迟来猜测SDN配置,以便实施攻击。交叉路径(CrossPath)攻击[24],通过控制SDN网络主机生成探测流量,识别并确认与控制流量路径共享链接的数据流量路径为目标路径后,攻击者即可向目标路径发送攻击流量以干扰、中断或控制信道中控制流量的传输,对SDN实施攻击,破坏SDN功能。远程传送攻击(Teleportation Attack)[25],通过利用数据平面中的受控设备使用远程传送方式,绕过数据平面中的防火墙、安全检查等关键网络功能和安全策略逻辑实现信息传送,构成网络安全威胁。受控交换机利用控制平台进行隐藏通信,可绕过防火墙等数据平面安全机制(见图3)。
图3 远程传送攻击示意
2.3 应用平面安全问题
应用平面主要由各种类型的应用程序组成。在SDN中,应用程序可以通过控制平面向数据平面的设备发送流规则。由于目前应用平面和控制平面之间的开放通信接口,还没有实现统一的标准和规范,应用平面的各种程序可能对SDN的网络资源、服务和功能等构成严重安全威胁[6]。另外,由于开发环境、编程模型等存在较大差异,以及应用程序种类繁多等原因,在应用平面也可能存在一些互操作性限制和安全策略冲突的问题。在SDN环境中,控制平面与应用程序之间的认证和授权能力是一个显著的挑战,需要在应用程序中集中执行有关安全策略,以减少或杜绝未经授权的访问等。为便于访问网络和服务,SDN中的应用程序被赋予很大的访问权限,这可能会导致访问权限滥用,导致恶意和非法应用可以访问或攻击SDN控制平面,从而可以攻击整个SDN环境。关于身份验证和授权,在SDN中由于控制器不强制在应用程序和控制器之间建立信任关系,因此恶意应用程序可能会对整个SDN环境造成损害。应用平面常见的安全问题[6],包括APP操作攻击(APP Manipulation Attack)、API探测攻击(API Exploration Attack)和密码猜测和暴力破解攻击(Password Guessing and Brute Force Attack)等。
2.4 安全问题总结
实际上,攻击者可以根据SDN本身所存在的诸多系统漏洞和架构缺陷,通过实施各种不同类型的攻击方式来攻击SDN。SDN控制器通常是攻击者最重要的目标。而SDN架构包含三个平面,每一个平面中的设备又分布在网络内的多个不同位置,这也相当于为SDN增加了更多的攻击点[7]。关于SDN所面临的安全问题,有各种不同的分类方式和分类视角。开放网络基金会(Open Networking Foundation,ONF)提出了一种关于SDN安全问题的分类方式[26],即将SDN的安全问题分为六大类,包括欺骗(Spoofing)、篡改(Tampering)、否认(Repudiation)、信息披露(Information Disclosure)、拒绝服务(Denial of Service)和特权提升(Elevation of Privileges)等。此外,根据不同的安全视角和考虑,还有一些其他的分类方式,如拓扑篡改攻击(Topology Tampering Attacks)[27]、毒化攻击(Poisoning Attacks)[28]、标识绑定攻击(Identifier Binding Attacks)[18]等。SDN网络面临的诸多安全问题以及潜在的攻击点见图4。
3 主要应对措施及展望
3.1 主要应对措施
目前,随着广泛应用和部署,SDN所面临的安全威胁和攻击也是越来越严重。其中,DDoS作为典型的网络攻击形式,已成为SDN所面临的最突出安全问题。一方面,DDoS攻击是现阶段互联网领域最严重和最典型的网络攻击,SDN作为目前最流行的网络部署方案,自然也就成为DDoS重点攻击目标;另一方面,SDN所特有的集中控制架构,单点风险高,其控制器也更容易受到DDoS攻击。作为网络安全研究领域的难点和重点问题,防御DDoS攻击成为业界研究SDN安全问题的重点所在。例如,Maity等[29]提出一种概率模型,可以有效识别和监测DDoS攻击;Cao等[30]提出一种基于时空图卷积网络的检测方法,可以很快找出DDoS攻击流通过的交换机,有效减轻DDoS攻击产生的影响;Varhese等[44]提出一种基于Data Plane Development Kit的IDS框架,可通过统计异常检测算法,实现数据包处理和监控,完成对DDoS攻击的快速检测等。
图4 SDN安全问题和潜在攻击点示意
除去防御DDoS攻击,目前业界针对SDN控制平面、数据平面、应用平面等三个平面存在的各种其他安全问题和应对措施也开展了大量的研究工作,并取得了积极的研究成果。针对控制平面,SDx[31]基于Floodlight控制器[32]原理提供了一个加强版SDN控制器,加强应用程序授权,保障控制器安全;混合SDN[33]通过交互方式设置和确定数据流传送路线,减轻了SDN控制器处理数据流规则的负担;TopoGuard[28]在安全侧扩展SDN控制器,可有效应对针对网络拓扑整体可见性的攻击。针对数据平面,主要需要对企图在转发层内插入新的流规则或调整现有流规则的异常应用程序采取有效安全措施,FlowChecker[34]提供了一种流规则验证和配置解决方案,用于区分OVS设备或数据路径内的恶意流规则;VeriFlow[35]提供了一种机制以识别某种错误流规则并防止这些错误流规则造成恶意网络行为;FortNox[36]提供了一种使用实时引擎进行流规则检查的框架,可以在SDN控制器运行时动态验证异常网络流量规则。针对应用平面,维护与控制平面之间的可靠信任是加强安全举措的一个重要方向,PermOF[37]提出了一种授权机制,设置了适当级别的访问控制,只允许授权应用访问SDN;Beckett等[38]提出一种检查和纠错机制,通过检查并纠正应用程序的动态属性和特性等,以保证能够检查和感应到SDN实时的状态变化等。
3.2 展望
未来,SDN的应用和部署会越来越广泛。据预测,到2025年,SDN的使用将会增加19%[39]。但是SDN因结构变化而引起的安全问题和攻击,不会在短时间内就能够完全解决。因此,与广泛应用和部署相对应的是SDN会越发成为网络攻击者进行重点攻击的对象,SDN控制与转发功能分离后所存在的系统漏洞也被进一步挖掘和利用。随着网络黑客和攻击者攻击技术和水平的进一步演进和提高,攻击手段会越来越先进,除了既有安全问题和攻击方式的不断重复发生,也会产生新的安全问题和新的攻击方式,SDN将会面临更加严峻的安全形势。这也对工业界和SDN安全研究领域提出了挑战。
针对SDN所面临的各种旧的和新的安全问题和攻击[42],业界也在积极开展研究并尝试解决。如针对目前广泛存在的网络局限性和安全问题,基于最新的软件技术,考虑有状态转发设备的适用性,设计支持SDN转发功能的安全硬件设备[41];进一步加强应用平面与控制平面之间的授权和身份验证机制研究,保证各种应用能够以适当的授权访问控制平面获得相应资源,杜绝流规则冲突或恶意应用程序攻击;加强控制与转发分离后SDN的复杂性和兼容性研究,从根本上解决SDN相对传统网络所存在的系统缺陷和漏洞;在SDN控制平面和数据平面之间的通信过程中设计和增加安全加密措施,建立跨域通信信任机制;考虑引入其他新技术来解决SDN安全问题,目前机器学习[42]、深入学习[43]以及区块链[6]等新技术都被引入来解决SDN的有关安全问题,并在一定条件下取得了不错的验证结果,可以在一定范围内有效应对SDN的安全问题和攻击。
4 结束语
本文以SDN为研究对象,着眼于SDN安全问题,结合当前的各种研究文献和成果,通过对SDN控制平面、数据平面和应用平面的介绍,总结了SDN架构的主要特点,分析了SDN分层架构所存在的体系缺陷和安全漏洞;重点对目前SDN面临的诸多安全问题和挑战按照不同平面进行了跟踪研究和对比分析;简要论述了现阶段有关SDN安全问题的相关应对措施,介绍了防御DDoS攻击的最新研究成果,并总结归纳了关于SDN安全问题的未来研究方向等。
