[发明专利]基于SDN的控制系统安全测试

说明书

本发明提出基于软件定义网络(SDN)的控制系统安全测试的技术方案，包括测试系统、测试方法以及测试装置。安全测试方法包括控制系统脆弱性验证步骤、控制系统脆弱性发现步骤、控制系统脆弱性关联步骤以及控制系统安全性评估步骤。安全测试系统包括第一测试接口、第二测试接口和第三测试接口，用于对SDN的安全性进行测试；所述SDN包括应用层、控制层以及基础设施层；第一测试接口与所述应用层通信，第二测试接口与所述控制层通信，第三测试接口与所述基础设施层通信。安全测试装置包括脆弱性验证子系统、脆弱性发现子系统、脆弱性关联子系统以及安全性评估子系统，用于执行所述方法。本发明可以实现SDN的控制系统安全测试。

技术领域

本发明属于SDN安全技术领域，尤其涉及一种基于软件定义网络(SDN)的控制系统的安全测试方法、测试系统以及实现所述测试方法的执行计算机程序指令的测试装置。

背景技术

软件定义网络(Software Defined Network，SDN)是由美国斯坦福大学clean-slate课题研究组提出的一种新型网络创新架构，是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能，为核心网络及应用的创新提供了良好的平台。

软件定义网络作为一种新兴的网络架构，通过解耦控制平面和数据平面，为传统网络中出现的问题提供了新的解决方案。在SDN架构中，控制平面的主要功能集中于控制器(控制系统)之上，控制器(控制系统)安全是整个网络稳定运行的基础，由于其集中控制和开放的编程接口等特性，也带来了新的安全挑战。随着SDN网络的高速发展，SDN的众多漏洞逐渐暴露出来，SDN网络的安全性越来越受到重视。

经检索，美国专利US10749905B2提出一种用于在基于网络功能虚拟化(NFV)的通信网络和软件定义网络(SDN)中提供安全性的系统，方法和计算机程序产品。在使用中，系统实现对基于NFV的通信网络或SDN的一个或多个网络改变或安全配置改变，以改变攻击面。在一个实施例中，对基于NFV的通信网络或SDN实施一个或多个网络改变或安全配置改变可以周期性地发生以改变攻击面。在另一个实施例中，对基于NFV的通信网络或SDN实施一个或多个网络改变或安全配置改变以改变攻击面可以基于恶意事件或可疑事件的检测而发生。

国际申请WO2021034906A1则公开一种用于配置第五代(5G)网络的方法和系统可包括利用软件定义的联网(SDN)来将数据平面与5G网络的控制平面分离。分离的控制平面可以在边缘网络和5G网络的核心网络之间跨低地球轨道(LEO)系统运行，使得LEO系统独占地引导控制平面。数据平面的路径可以由LEO系统专门使用控制平面来确定和生成。在一些示例中，SDN控制可以基于服务请求专门在LEO系统上建立。可以基于服务请求和对LEO系统上的控制平面的控制来确定和生成用于数据平面从第一位置到第二位置的路径。

然而，发明人发现，现有的与SDN及其控制系统的安全有关的技术方案并未考虑SDN本身的结构，只能执行静态的安全测试和漏洞发现，无法考虑动态进程下设备节点、网络节点的路径变化等带来的潜在风险，使得安全性测试不全面，得出的安全测试结果也存在不可靠性，测试过程也不稳定。

发明内容

为解决上述技术问题，本发明提出一种基于软件定义网络(SDN)的控制系统的安全测试方法、测试系统以及实现所述测试方法的执行计算机程序指令的测试装置。

具体而言，本发明的第一个方面，提供一种基于软件定义网络(SDN)的控制系统的安全测试方法，所述方法整体上包括四个步骤S1-S4，每个步骤可以通过单独的线程或者进程实现。

具体而言，上述步骤S1-S4实现如下：

步骤S1：执行控制系统脆弱性验证，得到脆弱性验证结果；

步骤S2：执行控制系统脆弱性发现，得到脆弱性发现结果；