韓堅，劉松，魏吟娬，李彬，祁兵

（1.國網(wǎng)江西省電力有限公司萍鄉(xiāng)供電分公司，江西萍鄉(xiāng)337000；2.華北電力大學電氣與電子工程學院，北京102206）

0 引言

2020年5月，國家電網(wǎng)有限公司互聯(lián)網(wǎng)部、設(shè)備部、營銷部、物資部共同牽頭，組織開展并發(fā)布了《智慧物聯(lián)體系總體設(shè)計（2020 版）》。智慧物聯(lián)體系總體架構(gòu)遵循“精準感知，邊緣智能，統(tǒng)一物聯(lián)，開放共享”的技術(shù)原則，通過物聯(lián)管理和邊緣物聯(lián)代理等平臺以及設(shè)備、標準化接入各類采集終端，實現(xiàn)業(yè)務(wù)融合貫通。

物聯(lián)網(wǎng)設(shè)備的計算能力有限，包括存儲、處理和通信資源，無法有效地在本地執(zhí)行計算量大而密集的任務(wù)。邊緣計算通過使計算更接近物聯(lián)網(wǎng)邊緣來解決資源限制問題。在整個網(wǎng)絡(luò)中提供分布式邊緣節(jié)點可減少集中計算的壓力，同時克服物聯(lián)網(wǎng)中的數(shù)據(jù)傳輸延遲。軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）通過向運營商呈現(xiàn)網(wǎng)絡(luò)的全局視角來實現(xiàn)有效的網(wǎng)絡(luò)管理。它可為物聯(lián)網(wǎng)集中處理繁雜信息提供動力，有助于物聯(lián)網(wǎng)服務(wù)協(xié)調(diào)［1］。SDN 通過收集、分類和分析移動邊緣的物聯(lián)網(wǎng)數(shù)據(jù)流，基于SDN 架構(gòu)建設(shè)邊緣物聯(lián)代理平臺，與云平臺形成一種協(xié)同關(guān)系，有助于提高物聯(lián)網(wǎng)系統(tǒng)的可擴展性，構(gòu)建智能、開放、安全、友好的彈性網(wǎng)絡(luò)。

由于SDN 架構(gòu)存在安全風險，并且邊緣物聯(lián)代理對用戶信息安全的隱私防護有很高要求，分析基于SDN 的邊緣物聯(lián)代理存在的安全風險以及可采用的防御技術(shù)具有重要意義。

SDN 架構(gòu)的防御方案中，一種主動安全防御框架能夠?qū)⒖刂破鞯臉I(yè)務(wù)邏輯和安全功能解耦，并將安全功能部署在數(shù)據(jù)轉(zhuǎn)發(fā)層和控制層之間，實現(xiàn)為不同的控制器提供統(tǒng)一的安全防御框架的功能［2］。另外的防御思路聚焦于SDN 架構(gòu)中的OpenFlow 協(xié)議，通過分析SDN 可能遭受的攻擊手段總結(jié)未來SDN 安全的研究趨勢［3］。基于數(shù)據(jù)備份和恢復(fù)（DBAR）技術(shù)，文獻［4］提出了一種新的防御機制，有望在SDN 架構(gòu)中實現(xiàn)防御功能。隨著機器學習在安全監(jiān)測與防御領(lǐng)域不斷發(fā)展，針對SDN 架構(gòu)受到分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊，文獻［5］提出基于C4.5 算法產(chǎn)生的決策樹的檢測方法。

1 基于SDN的邊緣物聯(lián)代理架構(gòu)

由于物聯(lián)網(wǎng)具有數(shù)據(jù)量大、交互速度快等特征，互聯(lián)網(wǎng)的可擴展性和效率不足以處理物聯(lián)網(wǎng)大數(shù)據(jù)。因此，在保證用戶隱私的前提下，設(shè)計一個數(shù)據(jù)共享框架使用戶能夠獲得物聯(lián)網(wǎng)服務(wù)迫在眉睫。文獻［6］提出一個高效靈活的邊緣物聯(lián)代理架構(gòu)EdgeIoT，它利用霧計算和SDN 來收集、分類和分析移動邊緣的物聯(lián)網(wǎng)數(shù)據(jù)流。而邊緣物聯(lián)代理裝置是物聯(lián)網(wǎng)感知層數(shù)據(jù)匯總、安全控制的核心設(shè)備，是區(qū)別于傳統(tǒng)狀態(tài)監(jiān)測項目建設(shè)的關(guān)鍵所在。因此建議基于霧計算，面向泛在物聯(lián)網(wǎng)連接需求，建設(shè)邊緣物聯(lián)代理平臺，屏蔽底層網(wǎng)絡(luò)差異性，實現(xiàn)全連接。平臺具備模型適配、連接管理、數(shù)據(jù)存儲和轉(zhuǎn)發(fā)、邊緣計算、安全代理及防護等功能，打破縱向封閉模式，實現(xiàn)網(wǎng)絡(luò)邊緣智能［7］。邊緣代理平臺將強大的計算存儲能力與用戶滿意的業(yè)務(wù)服務(wù)能力向用戶側(cè)傾斜，向網(wǎng)絡(luò)邊緣遷移，與此同時大量應(yīng)用、服務(wù)和相應(yīng)計算分析內(nèi)容可實現(xiàn)個性化、近距離和分布式的特點。邊緣物聯(lián)代理位于電力物聯(lián)網(wǎng)的感知層，利用設(shè)備本地通信接口對各類傳感器、終端等設(shè)備接入并統(tǒng)一管理，通過協(xié)議解析將業(yè)務(wù)數(shù)據(jù)提取、匯聚及存儲，并按物模型要求進行標準化建模，利用邊緣計算能力對業(yè)務(wù)數(shù)據(jù)處理后發(fā)送至平臺層。邊緣物聯(lián)代理宜具備本地通信、遠程通信、協(xié)議解析、數(shù)據(jù)存儲及處理、設(shè)備信息建模、邊緣計算、設(shè)備管理、安全防護等功能模塊。邊緣物聯(lián)代理的功能如圖1所示。

2 基于SDN的邊緣物聯(lián)代理安全風險

2.1 SDN架構(gòu)概述

圖1 邊緣物聯(lián)代理的功能Fig.1 Edge IoT agent function

利用分層的思想，SDN 架構(gòu)將數(shù)據(jù)與控制分開，從上到下分為應(yīng)用程序?qū)?、控制層、?shù)據(jù)轉(zhuǎn)發(fā)層?？刂茖影ㄟ壿嬛行幕涂删幊痰目刂破?，控制器可掌握全局網(wǎng)絡(luò)信息；數(shù)據(jù)轉(zhuǎn)發(fā)層包括“啞的”交換機（與傳統(tǒng)的二層交換機不同，專指用于轉(zhuǎn)發(fā)數(shù)據(jù)的設(shè)備）。交換機由于只提供簡單的數(shù)據(jù)轉(zhuǎn)發(fā)功能，實現(xiàn)快速匹配數(shù)據(jù)包并轉(zhuǎn)發(fā)，可適應(yīng)日益增長的大流量轉(zhuǎn)發(fā)需求；在應(yīng)用程序?qū)樱W(wǎng)絡(luò)運營商被允許快速響應(yīng)各種業(yè)務(wù)需求，構(gòu)建出各種可在SDN 控制器之上運行的應(yīng)用程序軟件［8］。因此，SDN 技術(shù)不僅能夠有效降低設(shè)備負載，協(xié)助網(wǎng)絡(luò)運營商更好地控制基礎(chǔ)設(shè)施，降低整體運營成本，還可應(yīng)用于任何網(wǎng)絡(luò)，通過引入可擴展的應(yīng)用滿足運營商不同需求。SDN基礎(chǔ)架構(gòu)如圖2所示。

圖2 SDN基礎(chǔ)架構(gòu)Fig.2 Architecture of SDN

2.2 SDN架構(gòu)的安全風險

SDN 雖然發(fā)展迅速，能夠適用邊緣物聯(lián)代理，但也帶來了一系列安全問題。首先，SDN 的開放性使得攻擊者更容易獲得有關(guān)網(wǎng)絡(luò)、服務(wù)和交互的相關(guān)信息。其次，對于集中式的SDN 控制器，某些攻擊，如拒絕服務(wù)（DoS），其影響可能比僅針對單個路由器的影響更大。最后，一些新的功能實體、協(xié)議和接口也會帶來新的安全威脅，如OpenFlow 協(xié)議、應(yīng)用控制接口、資源控制接口等［9］。

2.2.1 應(yīng)用程序?qū)影踩L險

攻擊者通過操縱應(yīng)用程序來實施網(wǎng)絡(luò)攻擊策略，對控制層造成嚴重影響。應(yīng)用程序?qū)影踩L險見表1。

表1 應(yīng)用程序?qū)影踩L險Tab.1 Application layer security risks

2.2.2 控制層安全風險

SDN 控制器是整個網(wǎng)絡(luò)的核心，它必須達到最高的安全級別。一旦SDN 控制器失效，將導(dǎo)致整個網(wǎng)絡(luò)癱瘓［11］?？刂茖影踩L險包括如下幾項。

（1）流規(guī)則沖突：惡意流可以繞過安全檢測，這與預(yù)配置的安全策略沖突，并對SDN 控制器產(chǎn)生不利影響。

（2）虛假流規(guī)則插入：攻擊者可通過劫持SDN應(yīng)用程序發(fā)送一些偽造的轉(zhuǎn)發(fā)規(guī)則。

（3）欺騙：攻擊者可偽裝成管理員或SDN 應(yīng)用程序，從SDN 控制器中刪除或修改敏感數(shù)據(jù)，或取得網(wǎng)絡(luò)拓撲信息和路由信息，更有甚者能完全控制SDN控制器。

（4）DoS 攻擊：攻擊者可以創(chuàng)建虛假信息流，對SDN 控制器進行DoS 攻擊，使系統(tǒng)癱瘓。DoS 攻擊是對SDN 的嚴重威脅。在SDN 中，針對控制層的DoS 攻擊主要有2 種方式：一種是使用多個流條目M-DoS 進行DoS 攻擊，耗盡交換機的三態(tài)內(nèi)容尋址存儲器（TCAM）資源；另一種是DoS 攻擊使用一個精心設(shè)計的入口S-DoS來覆蓋目標鏈路并進一步影響控制器［12］。

（5）操作系統(tǒng)漏洞：SDN 控制器運行在某種形式的操作系統(tǒng)（OS）上，那么操作系統(tǒng)的漏洞就變成了SDN 控制器的漏洞。攻擊者利用操作系統(tǒng)的漏洞，如默認密碼、后臺賬戶，引導(dǎo)OpenFlow 控制器服務(wù)或上層應(yīng)用錯誤的訪問，從而導(dǎo)致劫持、拒絕服務(wù)或者中間人攻擊等惡意行為，嚴重影響SDN 控制器正常工作［13］。

2.2.3 數(shù)據(jù)轉(zhuǎn)發(fā)層安全風險

數(shù)據(jù)轉(zhuǎn)發(fā)層主要包括路由器和交換機等轉(zhuǎn)發(fā)設(shè)備。極易發(fā)生針對流表、流規(guī)則以及交換機的惡意攻擊［14］。數(shù)據(jù)轉(zhuǎn)發(fā)層安全風險包括如下幾項。

（1）欺騙：攻擊者可以偽裝成管理員或SDN 控制器，從SDN 交換機中刪除或修改敏感數(shù)據(jù)或獲取敏感信息，如流表中的流條目［15］。

（2）竊聽：攻擊者可以竊聽SDN 交換機之間的流，以獲取有關(guān)流、流量和設(shè)備的信息。比如鏈路層發(fā)現(xiàn)協(xié)議（LLDP）在SDN 中被廣泛應(yīng)用于網(wǎng)絡(luò)層拓撲發(fā)現(xiàn)，但它不能保證消息的完整性。攻擊者可利用此漏洞制造LLDP數(shù)據(jù)包，以聲明將2個遠程交換機連接到控制器的虛假鏈接。這樣控制器就會被誤導(dǎo)到錯誤的鏈路上，從而導(dǎo)致進一步遭受DoS攻擊、竊聽甚至劫持攻擊［16］。

（3）流量表溢出：潛在流量表導(dǎo)致流量表溢出。在實踐中，基于流表特征引入一種雙向流量概念，同時提出通過自適應(yīng)改變監(jiān)控流表粒度以定位潛在受害者的檢測方案［17］。

3 智慧物聯(lián)體系安全架構(gòu)

遵循電力物聯(lián)網(wǎng)總體防護要求，按照“可信互聯(lián)、精準防護、安全互動、智能防御”的防護策略，建立覆蓋物聯(lián)管理平臺、網(wǎng)絡(luò)通信、邊緣物聯(lián)代理和采集終端等的整體防護架構(gòu)，符合安全防護要求，智慧物聯(lián)體系安全架構(gòu)如圖3 所示。圖中PKI（Public Key Infrastructure）即公開密鑰基礎(chǔ)設(shè)施，是證書制作和分發(fā)的一種機制，能給安全的網(wǎng)路通信提供保障［18］。

邊緣物聯(lián)代理模塊在架構(gòu)中向下主要實現(xiàn)終端的安全認證、安全監(jiān)測、策略下發(fā)等，向上通過電力物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)接入物聯(lián)管理平臺，利用安全芯片、操作系統(tǒng)加固、可信計算等措施強化本體安全防護及數(shù)據(jù)在本地存儲及傳輸?shù)陌踩?，主要包括APP 加固及安全驗證、終端遠程升級安全、數(shù)字證書和密鑰管理、安全接入等模塊。

圖3智慧物聯(lián)體系安全架構(gòu)Fig.3 Security architecture of intelligent IoT system

物聯(lián)管理平臺作為安全防護的關(guān)鍵，承擔各類安全策略制定和下發(fā)、安全防護管理等核心功能，能夠?qū)ξ锫?lián)網(wǎng)感知層的設(shè)備和應(yīng)用等進行全面管控，主要具備以下安全能力。

（1）建立設(shè)備全周期安全管理模塊，對接入邊緣物聯(lián)代理、采集終端等的設(shè)備進行全生命周期安全管理，重點實現(xiàn)設(shè)備初始化、注冊、上線、離線和銷毀等階段的安全管理和異常狀態(tài)監(jiān)測。

（2）建立APP 應(yīng)用加固和安全簽名模塊，對研發(fā)廠商發(fā)布的終端APP 應(yīng)用進行安全認證，防止非法APP應(yīng)用發(fā)布到物聯(lián)管理平臺。

（3）物聯(lián)管理平臺應(yīng)能與邊緣物聯(lián)代理進行協(xié)同聯(lián)動，實現(xiàn)安全策略的下發(fā)與更新，通過邊緣物聯(lián)代理實現(xiàn)安全措施落地。

（4）物聯(lián)管理平臺應(yīng)通過數(shù)據(jù)加密、權(quán)限控制等措施做好存儲數(shù)據(jù)的安全防護，并應(yīng)加強數(shù)據(jù)業(yè)務(wù)應(yīng)用之間的傳輸安全防護。同時采用可信計算技術(shù)，重點強化物聯(lián)管理平臺各類接口安全。

建立全面可靠的物聯(lián)安全防護體系能夠有效支撐邊緣物聯(lián)代理系統(tǒng)的高效運作，保障系統(tǒng)的安全可靠運行，對整個系統(tǒng)可能存在的潛在威脅和攻擊采取防御措施。

4 基于SDN的邊緣物聯(lián)代理防御技術(shù)

（1）建立攻擊表示模型進行攻擊檢測及有效防御。面對針對SDN 的攻擊和策略，一種威脅向量分層攻擊表示模型TV-harm 可捕獲不同的威脅及其組合，從而對基于SDN 的邊緣物聯(lián)代理網(wǎng)絡(luò)進行安全風險評估。因為SDN 控制器在SDN 應(yīng)用程序和通信協(xié)議中存在漏洞，攻擊者可以執(zhí)行竊聽或權(quán)限提升攻擊［18］。這類建立模型的方式為評估基于SDN 架構(gòu)的邊緣物聯(lián)代理受到的安全風險提供了一種較為直觀、系統(tǒng)的方法。

（2）基于SDN 控制器調(diào)度的防御DDoS 攻擊方法。為了幫助SDN 架構(gòu)中控制器抵御DDoS 攻擊，文獻［19］提出了一種控制器調(diào)度方法，利用被攻擊交換機的標準化等待時間、等待時長和位置范圍來選擇需要控制器處理的請求。

（3）基于移動目標進行防御。在SDN 控制器的幫助下，邊緣物聯(lián)代理在可編程和可控方面有大幅提高。因此，許多安全行動已利用這種能力，以最佳方式部署在使用SDN 功能的復(fù)雜網(wǎng)絡(luò)中。文獻［20］開發(fā)出一種基于層次化的攻擊圖模型的內(nèi)存技術(shù)設(shè)備（MTD）技術(shù)，該技術(shù)根據(jù)主機的主次對主機的網(wǎng)絡(luò)配置（如媒體訪問控制（MAC）∕互聯(lián)網(wǎng)協(xié)議（IP）∕端口地址）進行亂序排列［21］?；谝苿幽繕朔烙?，生成相應(yīng)網(wǎng)絡(luò)動態(tài)防御策略計劃，可有效評估動態(tài)防御策略并選取最優(yōu)防御策略。

（4）基于聯(lián)合熵的安全防御方案。為了增強SDN 的安全性，抵御邊緣物聯(lián)代理遭受DDoS 攻擊，文獻［22］介紹了一個統(tǒng)計解決方案來檢測和緩解安全風險。該文通過生成一個基于聯(lián)合熵的統(tǒng)計模型，有效抵御已知的部分攻擊，且對新興的攻擊類型也能有效防御。

（5）基于機器學習進行防御。文獻［23］提出了一種基于SDN 的、在云環(huán)境下解決DDoS 攻擊的有效方案。通過一種基于支持向量機和自組織映射算法的混合機器學習模型，生成一種改進的IP 過濾方案，提高了攻擊檢測的速度和效率，以便迅速進行防御。為了解決SDN 中監(jiān)控模塊負擔重、檢測準確率較低的問題，文獻［24］提出一種多級分階段混合檢測方法，將機器學習算法結(jié)合其他數(shù)據(jù)預(yù)處理算法，耦合成一種有效的分類模型來檢測系統(tǒng)的入侵流量。

5 結(jié)束語

邊緣物聯(lián)代理作為智慧物聯(lián)系統(tǒng)中的重要模塊，由于需要服務(wù)于數(shù)據(jù)量大的物聯(lián)網(wǎng)終端設(shè)備，具有極其復(fù)雜的接入環(huán)境，容易受到網(wǎng)絡(luò)攻擊。因此，對安全訪問和防御保護的需求很大，這就需要有效的安全風險評估和防御技術(shù)支持，以防受到惡意攻擊，影響業(yè)務(wù)安全。

本文介紹了基于SDN 的邊緣物聯(lián)代理架構(gòu)，并論述了基于SDN 的邊緣物聯(lián)代理安全風險及防御技術(shù)，為邊緣物聯(lián)代理將來的推廣和安全防護提供最新研究成果，有望最終實現(xiàn)物聯(lián)網(wǎng)云平臺、邊緣代理設(shè)備及智慧采集終端和監(jiān)測終端之間信息交互的機密性、穩(wěn)定性和可信性。