基于SDN架构的无线局域网安全研究

黄嵩

摘要：随着智能移动终端的不断普及，各种无线应用的不断增加，传统的无线网络安全同样面临挑战。该文通过分析当前无线网络安全存在的主要问题，进而提出了基于SDN架构的无线局域网安全方面的研究设计，最后提出了有待进一步研究的方向。

关键词：SDN；无线局域网；安全

中图分类号：TP319 文献标识码：A 文章编号：1009-3044（2017）13-0040-02

近年来，随着信息技术的飞速发展，各种移动终端设备的普及，互联网已经进入移动互联网时代，无线网络已经成为局域网中不可缺少的部分，甚至有超越有线网络的趋势。但伴随着无线接入的需求和范围不断急升的同时，无线接人终端和无线局域网络安全问题也日益突出，无线局域网安全面临严峻的考验。

1当前无线局域网安全存在的主要问题

1）无线接入局域网的发展历程

在无线网络发展的早期，无线接入的典型做法是在原有的有线局域网的节点上加入无线路由器。每一个无线路由器就是一个独立的无线接入AP，安装非常方便，可独立配置其信道和功率，还支持DHCP服务器，DNS，MAC地址克隆，以及简单防火墙安全功能。这种架构虽然简单，但是随着接入节点AP的不断增加，缺点也非常突出。由于每个AP都需要独立配置安全策略，给网络管理，维护及升级换代带来较大困难，无法进一步拓展到较大的可协调的无线局域网中，无法进行无线网络质量的优化和协同。为了解决上述问题，就提出了基于控制器的AP架构。在这种架构中，AP自身不能单独配置，不能独立使用，它必须与无线控制器AC（Aeeess Control）配合使用。AP负责收发无线信号，无线数据加密，AC负责接人控制功能，所有AP接入的无线数据统一交给一个AC去管理，分配，控制。通过AC可以对AP群组统一进行自动分配，统一安全策略，统一用户认证，能够实现非法AP的检测与处理，大大提高网络的安全性。目前，多数的无线网络都是基于这种架构。

2）当前无线局域网络架构存在的安全问题

在传统的无线网络访问控制机制中，常见的解决方案是在网络的边界部署访问控制设备，比如防火墙，对未经授权的网络访问进行限制。然而，随着移动应用的飞速发展，无线局域网的物理环境越来越复杂，智能移动终端接入位置多变，用户身份越来越多样。而传统的网络安全控制仍局限于静态网络环境，有固定，明确的网络边界，当存在移动终端接入任意网络位置时，以往的网络边界就被打破。所有，在这种新的应用场景下，就需要AC统一地将安全策略下发到所有的网络设备中，对未满足安全策略的移动终端进行阻断，隔离或修复，从而提供安全的移动访问接入。但在非軟件定义的环境下，AC只能对流经网络设备上的某个IP的流量进行处理，无法提供更细粒度的流量控制和隔离。因此，传统的无线网络架构，存在着明显的弱点，随着新技术和新时代，无法应对日益发展的恶性无线接人，从而威胁到整个局域网络的安全。

传统的基于PC端的信息化应用系统大多是基于B/S架构的服务，在有线网络中传输的数据、软件比较统一，同时经过多年的应用，积累了不少成功的安全策略和管理模式。而当今移动信息化社会的到来，移动终端中运行的主要是各种各样的APP，每个APP完成相对比较单一的功能，所以运行的APP的数量也相对比较多，管理的难度比以往也增大了不少。同时，APP本身的可信度无法保证，APP的安全机制无法完全保障，因为APP太多，不可能逐一检查到。所以，传统的无线网络安全控制机制在应对新型的移动应用APP方面已经有点力不从心，需要新的技术和管理才能适应新形势的发展。

3）SDN的技术优势

软件定义网络（software Defined Network，SDN），是一种新型网络创新架构，是网络虚拟化的一种实现方式，其核心技术是通过将网络设备控制面与数据面分离开来，可以通过应用面进行自定义的软件编程，实现基于“硬件转发+软件应用”的模式，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能。在SDN中，交换设备的数据转发层和控制层是分离的，因此网络协议和交换策略的升级只需要改动控制层。

传统架构中的网络，如果业务需求发生变动，重新修改相应网络设备（路由器、交换机、防火墙）上的配置是一件非常繁琐的事情。但SDN可以将网络设备上的控制权分离出来，由集中的控制器管理，无须依赖底层网络设备（路由器、交换机、防火墙），这样就屏蔽了来自底层网络设备的差异。同时由于控制权是完全开放的，用户可以自定义任何想实现的网络路由和传输规则策略，从而更加灵活和智能。总而言之，SDN所具有的控制与转发分离、软件与硬件解耦、虚拟化接人等技术优势可有效解决传统网络难题。受SDN原理的启发，业界将SDN的核心思想与无线局域网相结合，提出了软件定义无线局域网

2基于SDN架构的无线局域网安全设计

1）基于SDN的无线接入访问控制

无线网络的安全问题，首先要解决的是否允许什么移动终端接人的问题和如何安全便捷地接人的问题。基于SDN的无线接人访问控制的实现，基本架构如下：在原有基础无线网络的基础上，还需要一个集中的安全控制平台（AC）、SDN控制器和SDN交换机。其中SDN交换机可以部署在网络的任意的物理位置上，所有提供无线接入的AP直接与SDN交换机连接。具体的接人认证过程如下：

首先，在初始化阶段，安全控制平台AC通过SDN控制器向SDN交换机下发以下安全策略：允许所有的DHCP请求；将所有HTTP请求重定向到网络内部的认证服务器。只有满足以上任意一条的数据包才能通过，其余的全部禁止。当一个新的移动终端首次连接无线网络时，通过AP发送DHCP发现请求，数据包经过SDN交换机到达DHCP服务器，最终该终端获得DHCP自动分配的IP、网关和DNS地址，从网络层面上已经接入了，但由于此时终端没有身份认证，仍然无法访问其他网络。只有当用户通过浏览器访问任意网址时，SDN交换机则会将该HTTP连接重定向到认证服务器上。通过认证服务器运行的Web服务，用户移动终端的浏览器出现登陆页面，用户只有输入正确的身份验证信息才能真正地访问网络资源。用户验证方式可以延用原来的多种形式，如LDAP服务、数据库验证以及手机号验证等。在这里经过验证通过的同时，安全控制平台AC还可以获得用户更详细的信息，为下一步的自适应访问控制做基础。其次，当用户的移动终端通过验证后，认证服务器记录下该终端的有关信息后，通知安全控制平台AC，AC通过SDN控制器向SDN交换机下发出允许源为该终端IP的数据包通过。数据包经过SDN交换机时，根据访问规则和目的地址的路由进行判断，最终决定该数据包是正常路由、经过特定安全设备还是直接丢弃。

基于SDN的无线接入访问控制与传统的接人访问控制比较具有以下优点：首先这种认证机制是实时的，全局性的，能做到全部网络范围内的接入访问实时控制；同时，这种访问控制是基于标准的SDN/OpenFlow协议，所有网络设备上的访问控制规则是一致的；其次，是基于标准的网络架构，它没有给AP和SDN交换机增加额外的认证模块，认证服务器也是采用了标准的Web服务，认证后端也是支持标准的认证方式。第三，具有可扩展性，可根据具体的情况增加接人的区域，按需增加AP接入点。

2）基于SDN的无线访问控制机制

移动终端用户无线接人后，就好像其他的网络访问者一样，还必须进一步根据接入用户的身份等属性，判断不同用户所具有的相应的访问权限，做更细粒度的安全检查和访问控制。基于SDN的无线访问控制可以实现移动终端的自适应访问控制（Adaptive Access Control）。自适应访问控制是一种基于上下文敏感的动态系统安全访问控制，区别于传统的自主访问控制、强制访问控制和基于角色的访问控制，它的安全策略是围绕着风险量化展开。它使用信任提升和其他动态风险防护技术，达到信任等级和访问时的风险等级的平衡。通过利用用户、终端、资产等上下文信息形成动态的、基于风险的访问决策，确保访问时的信任等级与当前所分析的风险情况相匹配。

在SDN环境中可以实现无线访问的软件定义的访问控制和安全防护，可借鉴软件定义防护的安全防护模型，在软件定义安全的平台上实施相应的安全机制。通过安全的控制和数据分离，实现安全设备的动态编排，以及安全防护的自动运维。在南北向，也就是控制层与应用层、基础设施层之间的接口，安全控制平台会根据各类安全应用的策略，按需动态部署各类安全设备，实现安全能力的横向扩展；在东西向，也就是SDN设备之间的接口，安全控制平台可与SDN环境和虚拟化环境通过开放接口很好的协同工作，快速协调好网络流量。

3）基于SDN的APP访问控制

由于当前移动终端上的应用主要集中在各种APP上，所以对APP的访问控制是无线网络安全必须面对的问题。首先，所有经过安全控制平台做身份认证的用户APP在访问任何资源时，部署在认证服务器上的访问控制APP根据访问用户的角色、历史信誉和其他因素综合考虑，决定该用户的移动终端的连接是否可建立、或经过何种安全防护设备，同时还会根据上下文环境自适应地在多个网络和安全设备上建立访问控制规则。在访问内网资源时，恶意攻击检测应用会实时进行检测，当恶意攻击检测应用收到安全设备所报告的可疑事件时，安全控制平台上的恶意行为检测APP通过比对从安全设备中收集日志，日积月累建立而成的日志库和信誉库，通过置信度和主体的信誉判断该事件是否是正常、异常、可疑或恶意的，进而将相关流量分配到不同的安全设备，做进一步的检测和防护。

41基于SDN的无线局域网的自身安全

基于SDN的无线局域网由于采用更加开放、更加灵活的网络架构，因此不可避免地会带来新的安全风险。与传统的网络安全控制集中在体系构架第四层到第七层不同，基于SDN的无线局域网控制器可以在第二到第七层配置安全策略，但在增强网络的安全性能的同时，作为网络的决策单元，由于集中控制，SDN所受到的安全威胁会更加集中，更加容易受到攻击，而且一旦控制器被攻击，整个网络就会瘫痪。SDN控制器可以理解为网络操作系统，因此对它的防护也可以参考操作系统的防护，采用控制器集群、备份和带外管理等方式解决自身的安全问题…；还可以充分利用SDN具有的虚拟化接入等技术优势实现虚拟化的安全功能，监控全網中与安全事件相关的流量，进而对全网进行统一安全策略部署，以达到保障网络安全的目的。由于攻击可能直接通过北向接口API对网络资源进行操作，为了防范业务和应用对网络发起的恶意攻击，必须将用户区分为不同等级，针对不同用户有不同的认证和授权，对第三方应用的验证，在部署前就对其验证，通过验证后才能允许访问系统。并将相关用户的网络资源进行逻辑隔离和切分，网络虚拟化技术可以防止用户业务之间的相互干扰，同时在网络出现问题之后，迅速对其进行隔离。

3结束语

SDN作为当前网络领域最热门和最具发展前途的技术之一，给无线局域网领域带来了新的动力，为无线局域网的安全提供了新的技术保障。但是，由于基于SDN的无线局域网的部署环境主要面向校园网和企业网，网络规模仍然较小，缺乏针对大规模无线局域网部署的实践案例；当前在SDN架构中OpenFlow的设计中，对安全性的问题考虑还不够深入。因此，今后在异常监测和恶意攻击保护等方面还需要进行更加深入的研究，以应对不断变化的安全攻击，保证无线局域网的安全。