基于SDN架构的无线局域网安全研究.docxVIP

?

?

基于SDN架构的无线局域网安全研究

?

?

黄嵩

摘要：随着智能移动终端的不断普及，各种无线应用的不断增加，传统的无线网络安全同样面临挑战。该文通过分析当前无线网络安全存在的主要问题，进而提出了基于SDN架构的无线局域网安全方面的研究设计，最后提出了有待进一步研究的方向。

关键词：SDN；无线局域网；安全

：TP319：A：1009-3044（2017）13-0040-02

近年来，随着信息技术的飞速发展，各种移动终端设备的普及，互联网已经进入移动互联网时代，无线网络已经成为局域网中不可缺少的部分，甚至有超越有线网络的趋势。但伴随着无线接入的需求和范围不断急升的同时，无线接人终端和无线局域网络安全问题也日益突出，无线局域网安全面临严峻的考验。

1当前无线局域网安全存在的主要问题

1）无线接入局域网的发展历程

在无线网络发展的早期，无线接入的典型做法是在原有的有线局域网的节点上加入无线路由器。每一个无线路由器就是一个独立的无线接入AP，安装非常方便，可独立配置其信道和功率，还支持DHCP服务器，DNS，MAC地址克隆，以及简单防火墙安全功能。这种架构虽然简单，但是随着接入节点AP的不断增加，缺点也非常突出。由于每个AP都需要独立配置安全策略，给网络管理，维护及升级换代带来较大困难，无法进一步拓展到较大的可协调的无线局域网中，无法进行无线网络质量的优化和协同。为了解决上述问题，就提出了基于控制器的AP架构。在这种架构中，AP自身不能单独配置，不能独立使用，它必须与无线控制器AC（AeeessControl）配合使用。AP负责收发无线信号，无线数据加密，AC负责接人控制功能，所有AP接入的无线数据统一交给一个AC去管理，分配，控制。通过AC可以对AP群组统一进行自动分配，统一安全策略，统一用户认证，能够实现非法AP的检测与处理，大大提高网络的安全性。目前，多数的无线网络都是基于这种架构。

2）当前无线局域网络架构存在的安全问题

在传统的无线网络访问控制机制中，常见的解决方案是在网络的边界部署访问控制设备，比如防火墙，对未经授权的网络访问进行限制。然而，随着移动应用的飞速发展，无线局域网的物理环境越来越复杂，智能移动终端接入位置多变，用户身份越来越多样。而传统的网络安全控制仍局限于静态网络环境，有固定，明确的网络边界，当存在移动终端接入任意网络位置时，以往的网络边界就被打破。所有，在这种新的应用场景下，就需要AC统一地将安全策略下发到所有的网络设备中，对未满足安全策略的移动终端进行阻断，隔离或修复，从而提供安全的移动访问接入。但在非軟件定义的环境下，AC只能对流经网络设备上的某个IP的流量进行处理，无法提供更细粒度的流量控制和隔离。因此，传统的无线网络架构，存在着明显的弱点，随着新技术和新时代，无法应对日益发展的恶性无线接人，从而威胁到整个局域网络的安全。

传统的基于PC端的信息化应用系统大多是基于B/S架构的服务，在有线网络中传输的数据、软件比较统一，同时经过多年的应用，积累了不少成功的安全策略和管理模式。而当今移动信息化社会的到来，移动终端中运行的主要是各种各样的APP，每个APP完成相对比较单一的功能，所以运行的APP的数量也相对比较多，管理的难度比以往也增大了不少。同时，APP本身的可信度无法保证，APP的安全机制无法完全保障，因为APP太多，不可能逐一检查到。所以，传统的无线网络安全控制机制在应对新型的移动应用APP方面已经有点力不从心，需要新的技术和管理才能适应新形势的发展。

3）SDN的技术优势

软件定义网络（softwareDefinedNetwork，SDN），是一种新型网络创新架构，是网络虚拟化的一种实现方式，其核心技术是通过将网络设备控制面与数据面分离开来，可以通过应用面进行自定义的软件编程，实现基于“硬件转发+软件应用”的模式，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能。在SDN中，交换设备的数据转发层和控制层是分离的，因此网络协议和交换策略的升级只需要改动控制层。

传统架构中的网络，如果业务需求发生变动，重新修改相应网络设备（路由器、交换机、防火墙）上的配置是一件非常繁琐的事情。但SDN可以将网络设备上的控制权分离出来，由集中的控制器管理，无须依赖底层网络设备（路由器、交换机、防火墙），这样就屏蔽了来自底层网络设备的差异。同时由于控制权是完全开放的，用户可以自定义任何想实现的网络路由和传输规则策略，从而更加灵活和智能。总而言之，SDN所具有的控制与转发分离、软件与硬件解耦、虚拟化接人等技术优势可有效解决传统网络难题。受SDN原理的启发，业界将SDN的核心思想与无线局域网相结合，提出了软件定义无线局域网

2基于SDN架构的无线局域网安全设计

1）基于SDN的无线接入访问控