基于SDN+的物联网安全架构研究

控制层
北向接口
API
网络操作系统
路由计算
状态监测
拓扑发现
API
API
网络安全系统
网络安全控制器
安全策略服务器
网在转发层增加了OpenFlow AP等接入设 备，为感知层传感器接入网络提供接口。 传统网络的防火墙、入侵检测等设备也可 以通过开放相关接口，为上层提供网络安
转发层
南向接口
交
OpenFlow交换机
30
2017年 第3期
研究与探讨
拓展。通过物联网，任何物品可以相互连接，进行信 息交换和通讯。当前，物联网技术正在蓬勃发展，小 到智能家居，大到智慧地球，各行各业都在发展和利 用物联网技术、物联网概念[2]。随着物联网用户和终 端的高速增长，基础设施和网络结构面临着巨大的挑 战，网络的结构、协议、安全及管理等变得日趋复 杂。由于物联网末端传感网络规模庞大，部署环境复 杂多样，以及物联网用户缺乏专业能力，确保数十亿 物联网设备的网络安全已经变得越来越困难。传统的 安全机制如防病毒、网络代理机制等，不足以解决物 联网网络[3]所带来的网络安全挑战。
（1）应用层，网络管理人员可以通过可编程接口 实现网络监控管理功能，包括路由管理、接入控制、 带宽分配、流量工程、QoS保障、网络安全、计算和
务，末端用户通过订阅的方式获取网络安全服务，最 大限度地简化安全设备配置、安全策略分析和安全参 数设置等末端网络安全管理业务。
（2）控制层，由多个SDN控制器组成，SDN控 制器部署网络操作系统，网络所有的控制功能被集中 设置在此层，SDN控制器通过标准化的南向接口协议 OpenFlow管理底层的物理网络和设置的虚拟网络，通 过北向API接口向上层提供服务，并向上层服务提供抽 象的网络设备，屏蔽了具体物理设备的细节。在控制 层增加网络安全系统模块，主要包括网络安全控制器 和安全策略服务器，网络安全控制器是一个安全服务 执行单元，监控下层网络的安全状态，并根据网络和 用户需要执行相应的安全策略等。安全策略服务器主 要负责根据用户申请的业务情况向上层的安全应用订 阅相关服务，并存储上层应用提供的安全策略，提供 给网络安全控制器查询使用。
换 设
备
OpenFlow交换机
OpenFlow
接
OpenFlow AP
入 设
备
OpenFlow AP
安
防火墙
全 设
备
入侵检测
全状态监控信息，同时也可以接收网络安 全控制器下发的安全策略和相关设备配置 信息。
（4）感知层，在物联网体系结构中
通信网络
处于底层，承担信息感知的重任。主要由
（1）网络的网关节点被敌手控制，则安全性全部 丢失；
（2）网络的普通节点被敌手控制； （3）网络的普通节点被敌手捕获； （4）网络的节点受来自网络的拒绝服务攻击； （5）接入到物联网的超大量传感节点的标识、识 别、认证和控制问题。 此外，IoT网络还拥有大量RFID系统，主要由电 子标签、阅读器、后台应用系统与无线通信信道、后 端网络通信信道等组成。RFID系统也是IoT网络遭受 攻击的主要对象，主要包括被动攻击、主动攻击、物 理攻击等： （1）被动攻击。被动攻击不对系统数据做任何 修改，而是通过窃听截获电子标签中的关键数据，再 结合被窃听对象的其他信息及窃听的时间、地点等数 据，就可以分析出大量有价值的信息。 （2）主动攻击。主动攻击涉及对系统数据的篡改 或增加虚假的数据，其手段主要包括假冒、重放、篡 改、拒绝服务和病毒攻击等。
（3）转发层，包含所有的网络设备，与传统网络 交换设备不同，SDN的网络交换设备不具
应用层
网络业务应用
各类商业应用
管理类应用
业务类应用
网络安全应用
安全风险检测分析
基于云的安全服务
安全服务订阅
备网络控制功能，控制功能被统一提升至 控制层，网络基础设施通过SDN控制器的 南向接口与控制层连接。基于SDN的物联
应用 系统
通信链路 节点网关 （基点）
攻击手段
RFID系统
前向信道
读写器
标签
反向信道
传感器网络
通信链路
传感器
传感器
图1 IoT网络攻击模型示意图
由于具备了无线的信道、有限的能量、分布式控 制等特点，使得无线传感器网络更容易受到攻击。被 动窃听、主动入侵、拒绝服务则是这些攻击的常见方 式，无线传感器网络可能遭到的安全挑战[5]包括下列 情况：
研究与探讨
基于SDN的物联网安全架构研究
于笑1，赵金峰2，张澜2 （1.东北大学，辽宁 沈阳 110819； 2.联参通信工程设计研究院，辽宁 沈阳 110005）
【摘 要】 【关键词】
随着物联网技术的广泛应用，大量的RFID和无线传感器需要接入网络，海量的关键信息数据需要通过网络传 递，使得物联网相比较传统网络对网络安全提出了更高的要求，因此提出了一种基于SDN的物联网安全架构，利 用SDN技术控制与转发相分离、网络虚拟化等特点，整合网络安全资源，从网络全局角度分析安全风险、执行安 全策略，将物联网各层面的安全问题进行集中分析处理，简化物联网末端安全设施的部署。在给出基于SDN的物 联网安全架构基础上，分析介绍了应用层、控制层、感知层的安全模块和安全策略，最后给出了下一步开展研究 工作的重点和方向。 SDN 物联网 网络安全 安全策略
IoT的无线传感器网络由多个传感器节点、节点网 关、可以充当通信基站的设备及后台系统组成。通信 链路存在于传感器与传感器之间、传感器与网关节点 之间和网关节点与后台系统之间。对于攻击者来说， 这些设备和通信链路都有可能成为攻击对象，所以IoT 网络面临的安全问题与传统网络相比有其独有的特
点，图1为IoT网络攻击模型示意图：
面临的最大的安全威胁。
务模式（SaaS，Software-as-a-Service），构建虚拟
防火墙、虚拟入侵检测、虚拟入侵防御等网络安全服
3 基于SDN的物联网安全架构
基于SDN物联网的系统架构是在SDN技术应用 层、控制层、转发层三层基本架构下，增加由传感器 组成的感知层。将SDN技术用于物联网架构，运用控 制层面与转发层面相分离的特性和可编辑的网络功能 部署能力，可以最大程度地利用网络资源能力，精确 地监测网络安全状态，简化安全设备的设置，并根据 业务和网络安全变化趋势自适应地调整和部署网络安 全策略，为解决物联网面临的安全问题提供了新的途 径。基于SDN的物联网安全架构是在SDN物联网四层 架构的基础上，在控制层和应用层增加网络安全控制 器、网络安全策略服务器、网络安全应用服务等功能 模块，整合网络安全服务资源能力，构建面向用户的 网络安全服务体系，具体架构如图2所示。
[Abstract] [Key words]
With the wide application of IoT technology, a large number of RFID and wireless sensors needs access to the network. Since massive key information data needs to be transmitted through the network, IoT has the higher requirement for the network security compared with traditional networks. A IoT security architecture based on SDN was put forward in this paper. It integrates the network security resource according to characteristics of the separation of the control and forwarding and the network virtualization in SDN tchnology, analyzes the security risk and executes the security strategy from the aspect of the global network, processses centrally security problems on different layers of IoT and simplifies the deployment of the security facility at the end of IoT. Giving the IoT security archtechture based on SDN, security modules and security strategies of the appliction layer, control layer and perception layer were introduced. Finally, the key point and directions of the future research were presented. SDN IoT network security security policy
doi:10.3969/j.issn.1006-1010.2017.03.007 中图分类号：TN929.5 文献标志码：A 文章编号：1006-1010(2017)03-0030-06 引用格式：于笑,赵金峰,张澜. 基于SDN的物联网安全架构研究[J]. 移动通信, 2017,41(3): 30-35.
Research on IoT Security Architecture Based on SDN
YU Xiao1, ZHAO Jin-feng2, ZHANG Lan2
(1. Northeastern University, Shenyang 110819, China; 2. General Staff Communication Engineering Design and Research Institute, Shenyang 110005, China)
2 IoT面临的主要安全问题
IoT逐步应用于社会的各个行业，IoT的网络安全 问题变得日趋重要。由于IoT众多信息普遍通过无线方 式实现互通，信息安全面临严峻挑战。IoT的传感器 数量庞大，功能各异，而且采集传递着大量的身份识 别、监控数据、支付信息等高等级安全信息，因此传 感器网络的安全问题变得极其重要，这也是IoT网络安 全与互联网网络安全的主要差别所在。
SDN技术的运用为解决物联网面临的网络安全问 题提供了一种创新的解决途径。SDN技术由斯坦福大 学的研究机构[4]首先提出，实现了控制与转发相分离、 控制层逻辑集中、网络功能可编辑等功能，随着SDN 技术的不断发展和完善，SDN技术可以为网络提供统 一的管理接口和运行环境，具备网络虚拟化NFV和资 源调度系统功能。本文提出一种基于SDN的物联网安 全架构，在物联网的网络和应用层应用SDN技术，实 现网络控制与业务转发相分离，实现网络功能部署的 软件化，同时将网络安全作为一种应用面向物联网用 户提供服务，实现对网络安全资源的集中调度、网络 安全标准的统一整合、网络安全策略的灵活配合。
1 引言
物联网概念于1999年由美国麻省理工学院AutoID中心的Kevin Ashton教授[1]首次提出，它是指通过
收稿日期：2016-12-27 责任编辑：黄耿东 huanggengdong@mbcom.cn
射频识别（RFID，Radio Frequency Identification Technology）、红外传感器、全球定位系统、激光扫 描器等信息传输设备，按约定的协议，把任何物品与 互联网连接起来进行信息交互，以实现智能识别、定 位、跟踪、监控、和管理的一种网络。物联网实际上 是物物相连的互联网，它是在互联网基础上的延伸和
2017年 第3 期
31
பைடு நூலகம்
研究与探讨
（3）物理攻击。物理攻击需要接触系统的软/硬
存储等，应用开发人员还可以通过SDN控制器提供的
件，并对其进行破解或破坏。对于RFID系统而言由于
网络全局信息，根据用户需求开发相应的应用程序。
标签数量巨大，难以控制，所以物理攻击是RFID系统 在应用层增加网络安全应用，利用云计算的软件即服