3S网络：面向业务、安全增强的软件定义网络

李赛飞/LI Saifei

邢焕来/XING Huanlai 闫连山/YAN Lianshan

（西南交通大学，四川成都610031）(Southwest Jiaotong University,Chengdu,610031,China)

收稿日期：2015-05-05网络出版时间：2015-06-22

基金项目：国家杰出青年基金项目（61325023）；铁路总公司重大项目（2014X008-A）；教育部重大项目（313049）

DOI:10.3969/j.issn.1009-6868.2015.04.003

网络出版地址：37a890fe67ec102de3bd89c5/kcms/detail/34.1228.TN.20150622.1506.007

3S 网络网络：：面向业务面向业务、、安全增强的软件定义网络

3S Networking:Service-Oriented,Security-Enhanced and Software-Defined Networking

针对如何在

软件定义网络（SDN）体系架构下设计管理灵活、复杂性可控的网络以及如何保障网络安全等问题，提出了一种面向业务、安全增强、软件定义（3S）的网络体系架构。基于3S 架构，设计实现了一种针对中国铁路通信信号系统网络的统一安全管控方案，并借助3S 特性及神经网络算法，设计实现了一种有效的分布式拒绝服务攻击（DDoS）检测方法。软件定义网络；网络安全；分布式拒绝服务攻击；中国列车运行控制系统We proposes a service-oriented,security-enhanced and software-defined (3S)network (SDN)architecture which is flexible.And in this architecture,the network complexity can be reduced and security has been enhanced.Based on the 3S architecture,we design a unified security management scheme to guarantee network security.To tackle distrubted denial of service attack (DDoS)attacks,we designed a DDoS detection mechanism comprising attack trigger,attack detection,attack traceback,and attack mitigation.

SDN;network security;distributed denial of service;Chinese train control system

中图分类号：TN929.11

文献标志码：A 文章编号：1009-6868(2015)04-0011-004

摘要：关键词：Abstract:Key words:ZTE TECHNOLOGY JOURNAL

112015年8月第21卷第4期Aug.2015Vol.21No.4

中兴通讯技术

近

年来，软件定义网络（SDN ）技术迅速发展[1-4]。与传统网络相

比，SDN 给网络设计和管理带来了极大的灵活性和开放性，促进了网络技术的创新和发展。传统网络中涉及很多类型和不同厂商的设备，运行各自封闭的操作系统，使用各不相同的配置命令，这使得网络的设计、维护和管理十分复杂，更改设备配置及升级软件耗时费力，容易出现错误甚至导致网络安全问题。此外，路由器、交换机等网络设备基于复杂的分布式控制协议，这些协议的研究和部署需要有多年的标准化推动及互联互通测试作为支持。在大型、真实的网络中验证新协议、新技术非常困难，严重抑制了网络领域的创新。

软件定义网络的核心思想是网络的控制平面和数据平面分离[5]，通过逻辑上集中的方式来控制数据平面的各种操作。研究者可根据自己

的需要编写软件程序，从而灵活地控制网络运行，实践新的网络应用。虽然SDN 技术的发展确实令人兴奋，但也应该意识到，SDN 技术及思想提供给我们的是一个控制和管理网络的平台，一个创新的工具，它既未明确地指出网络如何控制，也未解决任何具体网络问题。因此，如何利用SDN 这个有力的武器攻克网络中的难题，如何在SDN 网络架构平台上，系统地组织和搭建灵活、高效网络成为SDN 技术成功和发展的关键[6]。

从网络系统安全的角度来看，网络及其管理越复杂，则安全性越脆弱。网络系统安全是一个动态的过程，而通常情况下一个网络系统随着组织的变化或发展，会变得越来越复

杂，越来越不可控，使攻击者有机可乘。对于网络安全攻防的双方，安全防护一直处于被动地位，由于“短板效应”，安全防护必须面面俱到，相反，一个严密防护的系统被攻破，可能仅仅是由于一个小小的疏忽。所以，如何设计一个安全的SDN 网络架构是一个极具挑战性的难题[7]。

13S 网络架构

SDN 网络架构的安全性，是决定

SDN 技术发展和广泛部署的关键问题之一，包含两方面内容；一个是SDN 本身的安全问题（例如：SDN 控制器安全、应用部署安全等），另一个

是如何充分发挥SDN 优势，设计一个比传统网络架构更加安全的网络系

ZTE TECHNOLOGY JOURNAL

中兴通讯技术12

2015年8月第21卷第4期Aug.2015Vol.21No.4

统。本文以“软件定义”思想为基础，提出面向业务、安全增强、软件定义（3S ）的网络架构：

（1）面向业务

网络系统应面向其所承载的业务，以网络系统业务和应用为中心，自顶向下驱动网络“流控”。传统网络中，网络与其所承载的业务耦合不紧密，网络管理员通常不直接管理网络中主机，对网络中所存在的业务并不十分了解。因此可能导致安全隐患。例如，在基于以太网的点到点协议（PPPoE ）拨号认证上网的校园网环境中，攻击者同样架设一台PPPoE 服务器，则可以劫持用户PPPoE 拨号上网的认证信息，甚至可以发起PPPoE 会话的中间人攻击。在传统网络中很难对这类攻击进行防护。在SDN 网路架构下，对网络中主机所开放的业务进行注册和认证，非认证的服务将无法使用网络，这样可以使得网络更加清晰可控，增加网络的安全性。

（2）安全增强

强调安全性为网络系统的一个基本属性。安全问题的本质是信任问题，传统网络安全通常将安全设备部署在内外网络的边界，重点是防止外部威胁，难以适应日益复杂的网络攻击。SDN 的流控技术可以对网络的边界进行扩展，流控策略可以下发到每一个终端设备接入的交换机上，从设备接入网络的边缘处，根据策略严格控制进入网络的流量，而控制策略则是根据网络系统所承载的业务需求，把网络变成一个白盒。在网络汇聚和核心位置的网络设备则专注于流量转发。对于不符合业务或策略的流量还可以做到准确识别，及时发现异常，采取正确的措施。

当然，SDN 网络技术不可能是所有问题的答案，网络系统安全包括诸多方面，例如网络系统中终端的安全。值得明确的是，我们所谓的“网络”究竟在网络系统安全中起到什么样的作用，SDN 网络技术到底擅长解决哪一类问题？笔者认为，网络设备

的本质作用是“连通”，那么对于“网络”安全而言，则是对“连通”的控制，即网络“流控”。可以说基于OpenFlow [5]的SDN 技术很大程度上扩展了流控技术，使得流控可以在每个网络设备上进行（而且实现简单），不仅仅在防火墙等专用安全设备上。当然，基于SDN 设备的“流控”也有其局限性，由于控制器的可扩展性和OpenFlow 交换机处理性能等问题，它目前只适用于“无状态”的流控。对于有状态的流控则交由专门的安全设备，值得关注的是网络功能虚拟化技术[8]（NFV ），从不同的角度出发，减小网络的复杂性和灵活性，可以与SDN 技术配合，对于网络安全而言，

SDN 负责“无状态”的流控，NFV 则完成复杂的网络安全功能。

（3）软件定义

工欲善其事必先利其器。“软件定义”是一个强大工具，可以降低网络复杂性，增加网络的开放性和灵活性，降低网络管理和部署的成本，促进网络的创新，是未来网络发展的重要方向。软件定义的最大特点是网络可编程，众多网络设备通过逻辑上集中的程序进行控制，相对于传统网络管理员管理网络而言，软件程序可以应付大量复杂的网络事件，可以更方便的利用大数据分析等智能化手段，大大增强对网络的控制力度。

本文提出基于3S 网络架构的两个应用场景：铁路通信信号系统网络安全统一管控，通过对铁路信号业务的详细分析，设计实现了面向铁路业务的软件定义铁路信号系统网络；另一个是分布式拒绝服务攻击（DDoS ）攻击防御和检测，通过利用SDN 技术，实现智能地检测DDoS 攻击。23S 网络架构应用案例：

铁路信号系统网络统一管控

2.1软件定义铁路通信信号系统网络

中国高速铁路信号系统（如图1

所示），包括列控系统、行车指挥系统、联锁系统和信号集中监测系统

[9]

。列控系统主要由列控中心

（TCC ）、车载设备、应答器、无线闭塞中心（RBC ）、临时限速服务器和传输网络组成；行车指挥系统由分散自律调度集中（CTC ）中心、自律分机、传输网络、服务器系统、行调台、辅助台和电源系统组成；联锁系统由联锁设备、轨道电路、道岔转换、信号机和电源系统组成。信号集中监测通过标准接口与联锁系统、列车控制中心、TDCS/CTC 、智能电源屏、ZPW-2000轨道电路系统、有源应答器等信号设备

连接，监测设备状态。CTC 分散自律调度集中通信网络[10]、信号安全通信数据网[11]和集中监测网络[12]安全等级不同，独立成网，采用物理手段隔离，但逻辑上依然相连。

根据3S 网络架构，设计面向铁路业务的软件定义铁路通信信号系统网络，系统架构如图2所示。自顶向下分别为业务应用层，把铁路信号系统的业务编译为网络可以执行的流控策略；铁路信号系统网络虚拟化层，把原来物理隔离的信号系统网络，用软件定义的方式进行隔离，在架构中表现为不同的虚拟网络；网络操作系统层，向上层网络提供网络系统功能函数，例如，信号系统网络的环网保护功能等。网络驱动层来驱动支持软件定义的网络的硬件设备。2.2信号系统网络安全统一管控

铁路通信信号系统网络复杂，安全等级不同，接口众多，通过软件定义的方式对系统进行统一管控，降低管理的复杂度，提高网络的安全性。文章通过研究使用软件定义网络架构，重新设计铁路通信信号系统网络，把原来复杂的需要物理隔离的不同安全等级的网络，在统一的硬件平台上，通过软件定义的方式进行隔离和管控，从而降低网络管理的复杂性，提高网络的灵活性和安全性[13-15]。

（1）通信信号系统设备资产、服

本文来源：https://www.bwwdw.com/article/bhye.html