SDN安全技術(shù)研究

孫 鵬,劉秋研

(中國(guó)電子科學(xué)研究院,北京 100041)

工程與應(yīng)用

SDN安全技術(shù)研究

孫 鵬,劉秋研

(中國(guó)電子科學(xué)研究院,北京 100041)

隨著大數(shù)據(jù)、云計(jì)算等互聯(lián)網(wǎng)新技術(shù)的發(fā)展,對(duì)傳統(tǒng)網(wǎng)絡(luò)的帶寬、速率、安全等方面提出了更高的要求,面對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境,傳統(tǒng)網(wǎng)絡(luò)在可擴(kuò)展性、可編程性、靈活性等方面面臨瓶頸。軟件定義網(wǎng)絡(luò)SDN(Software Defined Network)將數(shù)據(jù)的控制面和轉(zhuǎn)發(fā)面分離,向上為應(yīng)用層提供可編程接口,向下統(tǒng)一管理網(wǎng)絡(luò)設(shè)備,一經(jīng)提出便成為下一代互聯(lián)網(wǎng)研究的熱門(mén)方向。SDN技術(shù)的集中性和開(kāi)放性也帶來(lái)新的安全挑戰(zhàn),控制器本身的安全、應(yīng)用層安全、數(shù)據(jù)通道安全等目前都缺乏有效的解決方案。本文闡述了SDN的優(yōu)勢(shì)與特點(diǎn),面臨的安全風(fēng)險(xiǎn)、一些增強(qiáng)安全的方式；然后提出一種基于SDN技術(shù)抗分布式拒絕服務(wù)攻擊(DDoS,Distributed Denial of Service)的設(shè)計(jì),最后對(duì)SDN安全問(wèn)題進(jìn)行思考和總結(jié)。

軟件定義網(wǎng)絡(luò)；OpenFlow；網(wǎng)絡(luò)安全；分布式拒絕服務(wù)

0 引 言

隨著大數(shù)據(jù)[1]、云計(jì)算等互聯(lián)網(wǎng)新技術(shù)的發(fā)展，對(duì)傳統(tǒng)網(wǎng)絡(luò)的帶寬、安全、速率等提出了更高的要求，傳統(tǒng)網(wǎng)絡(luò)在安全性、靈活性、可擴(kuò)展性等方面面臨瓶頸，世界各國(guó)都積極投入到下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)的研制中，SDN便是其中重要的方向之一。軟件定義網(wǎng)絡(luò)SDN通過(guò)分離網(wǎng)絡(luò)設(shè)備的控制面與數(shù)據(jù)面，向上將應(yīng)用程序接口提供給應(yīng)用層，從而構(gòu)建了開(kāi)放可編程的網(wǎng)絡(luò)環(huán)境，向下將路由策略下發(fā)到路由器，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備集中管理。它的出現(xiàn)解決了傳統(tǒng)網(wǎng)絡(luò)缺乏統(tǒng)一管理、可編程可擴(kuò)展能力不足、靈活性不夠高、升級(jí)緩慢等缺點(diǎn)，使得它一經(jīng)提出便成為學(xué)術(shù)界產(chǎn)業(yè)界的熱點(diǎn)話題。斯坦福、普林斯頓等著名大學(xué)投入到軟件定義網(wǎng)絡(luò)有關(guān)項(xiàng)目的研究，涉及到網(wǎng)絡(luò)安全、路由決策、安全策略、虛擬化等領(lǐng)域，谷歌、思科、微軟等互聯(lián)網(wǎng)公司積極推動(dòng)SDN的市場(chǎng)化標(biāo)準(zhǔn)化的發(fā)展。SDN已成為一項(xiàng)可能對(duì)當(dāng)今網(wǎng)絡(luò)帶來(lái)翻天覆地變化的熱點(diǎn)技術(shù)。

作為一個(gè)新興事物，SDN不可能是盡善盡美的，SDN控制集中性和開(kāi)放性也帶來(lái)了新的安全挑戰(zhàn)，作為一種新技術(shù)，也為網(wǎng)絡(luò)安全研究帶來(lái)新的思路，挑戰(zhàn)與機(jī)遇并存。一方面，SDN采用集中式的控制方式，使得控制器成為網(wǎng)絡(luò)攻擊的重點(diǎn)，控制器面臨極大的安全風(fēng)險(xiǎn)，控制器和應(yīng)用層之間的安全（如授權(quán)認(rèn)證、安全隔離）和控制器和轉(zhuǎn)發(fā)設(shè)備之間的安全（數(shù)據(jù)通道安全）目前均缺乏有效的解決方案；另一方面，SDN在流轉(zhuǎn)發(fā)、深度包檢查、流量重定向等方面具有先天優(yōu)勢(shì)，基于SDN的網(wǎng)絡(luò)安全新技術(shù)不斷涌現(xiàn)。本文首先介紹SDN的技術(shù)特點(diǎn)，然后介紹SDN的安全風(fēng)險(xiǎn)和解決思路，再介紹SDN安全技術(shù)應(yīng)用，并提出一種基于SDN的抗分布式拒絕服務(wù)攻擊技術(shù)。希望能平滑的引入SDN技術(shù)，為SDN發(fā)展做一些有益的貢獻(xiàn)。

1 SDN技術(shù)特點(diǎn)和安全挑戰(zhàn)

SDN誕生于美國(guó)斯坦福大學(xué)Clean Slate項(xiàng)目[2]，以Nike MicKeown教授為首的團(tuán)隊(duì)提出Open-Flow概念[3-4]，其之所以被提出是由于新型網(wǎng)絡(luò)技術(shù)需要在真實(shí)網(wǎng)絡(luò)環(huán)境中經(jīng)受考驗(yàn)，而網(wǎng)絡(luò)研發(fā)者卻無(wú)法根據(jù)實(shí)際需要改造網(wǎng)絡(luò)設(shè)備，所以提出將控制功能和轉(zhuǎn)發(fā)進(jìn)行分離的新型架構(gòu)，將控制功能從網(wǎng)絡(luò)設(shè)備中抽離，使得研發(fā)人員能在不修改網(wǎng)絡(luò)設(shè)備的情況下而驗(yàn)證新型的網(wǎng)絡(luò)架構(gòu)，控制邏輯從網(wǎng)絡(luò)設(shè)備中分離出來(lái)，網(wǎng)絡(luò)管理員通過(guò)編程的方式可以進(jìn)行網(wǎng)絡(luò)資源分配，動(dòng)態(tài)網(wǎng)絡(luò)管理，相比傳統(tǒng)網(wǎng)絡(luò)大大加快了變更網(wǎng)絡(luò)拓?fù)洹⒖刂凭W(wǎng)絡(luò)流量的速度。McKeown教授在OpenFlow的基礎(chǔ)上進(jìn)一步提出SDN概念，管理集中性、開(kāi)放性、可編程性成為SDN的三個(gè)最主要的特點(diǎn)[5]，然而，它就像一把雙刃劍，帶來(lái)了巨大好處便利的同時(shí)，也帶來(lái)了不可低估的安全威脅。

1.1 SDN的技術(shù)特點(diǎn)

SDN將網(wǎng)路設(shè)備的控制面和轉(zhuǎn)發(fā)面相互分離[6]，如圖1所示，SDN邏輯架構(gòu)圖，SDN向上為應(yīng)用層提供可編程應(yīng)用程序接口API，從而構(gòu)建了開(kāi)放可編程的網(wǎng)絡(luò)環(huán)境，向下通過(guò)虛擬化技術(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理和控制。從邏輯架構(gòu)的角度，可以將SDN技術(shù)特點(diǎn)歸納為以下三個(gè)方面：

集中性。將控制面從交換機(jī)中分離出來(lái)，以控制器集中控制網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)全局策略，從而簡(jiǎn)化了網(wǎng)絡(luò)設(shè)備，通過(guò)統(tǒng)一標(biāo)準(zhǔn)的南向接口和虛擬化技術(shù)，實(shí)現(xiàn)統(tǒng)一管理、控制和維護(hù)不同廠家的設(shè)備。

圖1 SDN邏輯架構(gòu)

可編程性?？刂泼嫦蛏舷驊?yīng)用層提供可編程接口API，網(wǎng)絡(luò)配置、路與策略、安全策略等都以應(yīng)用軟件的方式部署在控制器，網(wǎng)絡(luò)配置變得更加的多樣化，可以快速的開(kāi)展各種新型的業(yè)務(wù)，進(jìn)行新業(yè)務(wù)實(shí)驗(yàn)?？删幊绦允沟镁W(wǎng)絡(luò)變得更加的智能，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)設(shè)備更加靈活的管理，簡(jiǎn)化業(yè)務(wù)流程，提高網(wǎng)絡(luò)靈活性，降低設(shè)備要求。

開(kāi)放性。SDN是一個(gè)開(kāi)放的平臺(tái)，現(xiàn)如今流行的幾個(gè)SDN方案均是開(kāi)源的。SDN的可編程能力使得用戶的個(gè)性化業(yè)務(wù)得到前所未有的支持，為網(wǎng)絡(luò)開(kāi)發(fā)人員和運(yùn)營(yíng)商提供了一個(gè)全新的業(yè)務(wù)開(kāi)發(fā)平臺(tái)[7]。

1.2 SDN面臨的安全挑戰(zhàn)

然而，SDN管理集中性、可編程性、開(kāi)放性這些技術(shù)特點(diǎn)，雖然帶來(lái)了很多好處，同時(shí)，在安全方面，也帶來(lái)了新的特有的挑戰(zhàn)。

（1）控制層面挑戰(zhàn)。管理集中性使得網(wǎng)絡(luò)配置、網(wǎng)絡(luò)服務(wù)訪問(wèn)控制、網(wǎng)絡(luò)安全服務(wù)部署等都集中在SDN控制器上。攻擊者一旦實(shí)現(xiàn)對(duì)控制器的控制，將造成網(wǎng)絡(luò)服務(wù)的大面積癱瘓，影響控制器覆蓋的整個(gè)范圍。由于SDN網(wǎng)絡(luò)的可編程性、開(kāi)放性，SDN控制器安全防護(hù)的重要性遠(yuǎn)大于傳統(tǒng)網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)的安全。所以圍繞控制器的攻防是SDN自身體系安全中最關(guān)鍵的節(jié)點(diǎn)，例如，在OpenFlow交換機(jī)流表中不存在的初始流信息將通過(guò)集中的控制器進(jìn)行處理，雖然控制器可能并不是某次分布式拒絕服務(wù)攻擊的直接目標(biāo)，但大量的初始流量將使控制器的負(fù)載急劇上升；攻擊者向控制器發(fā)送多個(gè)服務(wù)請(qǐng)求并且所有請(qǐng)求的返回地址都是偽造的直到控制器因過(guò)載而拒絕提供服務(wù)[8]。

（2）應(yīng)用層面的挑戰(zhàn)?？删幊绦允箍刂破飨驊?yīng)用層提供大量的可編程接口，這個(gè)層面上可能會(huì)帶來(lái)很多安全威脅。例如向應(yīng)用層的應(yīng)用中植入蠕蟲(chóng)木馬程序等達(dá)到竊取網(wǎng)絡(luò)信息更改網(wǎng)絡(luò)配置占用網(wǎng)絡(luò)資源等目的，從而干擾控制面的正常工作進(jìn)程影響網(wǎng)絡(luò)的可靠性和可用性；利用某些接口實(shí)現(xiàn)拒絕服務(wù)攻擊、進(jìn)行網(wǎng)絡(luò)竊聽(tīng)等。

（3）開(kāi)放性也給SDN帶來(lái)很多安全隱患。安全和網(wǎng)絡(luò)的應(yīng)用插件都具備一定的規(guī)則寫(xiě)入權(quán)限，隨著應(yīng)用的復(fù)雜化，多個(gè)應(yīng)用之間會(huì)出現(xiàn)安全規(guī)則沖突，從而造成網(wǎng)絡(luò)管理混亂、安全規(guī)則被繞過(guò)、服務(wù)中斷等現(xiàn)象；第三方應(yīng)用或插件可能帶有惡意功能、未聲明功能、安全漏洞等多種風(fēng)險(xiǎn)[9]。如表1所示，綜合分析了SDN技術(shù)特點(diǎn)、優(yōu)勢(shì)和安全威脅。

表1 SDN技術(shù)特點(diǎn)/優(yōu)勢(shì)/安全威脅對(duì)比

1.3 SDN安全加固的建議

針對(duì)SDN引入的新安全威脅，相應(yīng)的防護(hù)建議策略包括但不限于以下幾個(gè)方面：

在控制器層面，在控制器入口處部署流量清洗設(shè)備，防止大規(guī)模流量攻擊造成拒絕服務(wù)；使用分布式多控制器方案，當(dāng)某一臺(tái)控制器受到攻擊或者發(fā)生故障，馬上自動(dòng)選擇其他控制器代替其功能，使得網(wǎng)絡(luò)不會(huì)因?yàn)榭刂破鞴收隙a(chǎn)生大面積癱瘓；部署安全代理，由于控制策略都是應(yīng)用程序?qū)崿F(xiàn)的，對(duì)應(yīng)用程序進(jìn)行漏洞檢測(cè)和安全加固，可以在一定程度上緩解控制器安全問(wèn)題；制定一系列嚴(yán)密的授權(quán)、訪問(wèn)控制、安全管理等規(guī)則賦予使用者一定的管理權(quán)限。

在應(yīng)用層層面，制定一系列安全準(zhǔn)入規(guī)則，對(duì)應(yīng)用提供的服務(wù)以及需要控制器提供的接口等進(jìn)行鑒定，負(fù)責(zé)任的應(yīng)用才允許成為SDN中合法的應(yīng)用[9]；利用可編程接口針對(duì)目前存在的安全威脅，利用已有的技術(shù)對(duì)安全威脅進(jìn)行監(jiān)控和排除；應(yīng)用軟件認(rèn)證機(jī)制，例如自信任管理方法確保交換機(jī)的安全。

其他的，設(shè)計(jì)實(shí)現(xiàn)安全服務(wù)和網(wǎng)絡(luò)服務(wù)之間、安全服務(wù)之間等接口的安全標(biāo)準(zhǔn)；慎重開(kāi)放API（Application Programming Interface）接口，開(kāi)放之前做好安全分析；設(shè)計(jì)精巧的算法及優(yōu)先級(jí)政策，以避免安全策略沖突或被繞過(guò)。

2 SDN安全技術(shù)及應(yīng)用

隨著SDN技術(shù)的不斷發(fā)展，基于SDN的技術(shù)不斷出現(xiàn)，其中重要一個(gè)方向便是將傳統(tǒng)網(wǎng)絡(luò)設(shè)備與SDN技術(shù)結(jié)合[9]。

圖2 基于SDN增強(qiáng)型網(wǎng)絡(luò)安全設(shè)計(jì)示意圖

SDN將網(wǎng)絡(luò)控制功能轉(zhuǎn)移到專(zhuān)用SDN控制器上，由它負(fù)責(zé)管理和控制虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的所有功能，鑒于SDN有這些特點(diǎn)與優(yōu)勢(shì)，并將SDN技術(shù)與傳統(tǒng)安全設(shè)備有機(jī)結(jié)合。如圖2所示，基于SDN增強(qiáng)型網(wǎng)絡(luò)安全設(shè)計(jì)示意圖，利用SDN控制調(diào)度方面的優(yōu)勢(shì)，結(jié)合傳統(tǒng)安全設(shè)備如防火墻、路由器、IDS（Intrusion Detection Systems）、IPS（Intrusion Prevention System），利用SDN技術(shù)實(shí)現(xiàn)更深層次的數(shù)據(jù)包分析、網(wǎng)絡(luò)監(jiān)控和流量控制，基于SDN增強(qiáng)型網(wǎng)絡(luò)安全設(shè)計(jì)將是今后網(wǎng)絡(luò)安全研究的一個(gè)重要方向。

基于此背景，本文提出一種基于SDN技術(shù)抵抗DDoS的設(shè)計(jì)。如圖3所示，由一臺(tái)SDN控制器（可通過(guò)編程實(shí)現(xiàn)）、防火墻、交換機(jī)、IDS、用戶計(jì)算機(jī)構(gòu)成?？刂破髋c交換機(jī)、防火墻、IDS通過(guò)軟件連接。抵抗DDoS攻擊思路為：當(dāng)突發(fā)大規(guī)模攻擊流量由互聯(lián)網(wǎng)進(jìn)入防火墻后，觸發(fā)IDS預(yù)警，IDS將報(bào)警信號(hào)以及攻擊特征情況發(fā)送給SDN控制器，控制器接收?qǐng)?bào)警，下發(fā)指令至防火墻，更改防火墻配置，減少攻擊流量，同時(shí)下發(fā)流表更改指令至OpenFlow交換機(jī)，更改流表匹配項(xiàng)設(shè)置，丟棄攻擊數(shù)據(jù)包。

圖3 一種基于SDN技術(shù)抗DDoS的設(shè)計(jì)

這種將SDN技術(shù)和傳統(tǒng)安全設(shè)備結(jié)合的技術(shù)，相比于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，具有很多的優(yōu)勢(shì)。首先，網(wǎng)絡(luò)保護(hù)的全面性。傳統(tǒng)的安全設(shè)備（如防火墻）都僅部署在兩個(gè)安全級(jí)別不同的網(wǎng)絡(luò)邊界，對(duì)同一個(gè)安全級(jí)別內(nèi)部的攻擊卻束手無(wú)策；IDS的預(yù)警不能夠自動(dòng)的更改其他安全設(shè)備的設(shè)置，各個(gè)安全設(shè)備之間不夠協(xié)調(diào)，沒(méi)有統(tǒng)一集中的安全策略。SDN技術(shù)與傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備相結(jié)合，SDN控制器通過(guò)管理網(wǎng)絡(luò)設(shè)備，具備全局視圖能力，可以以此制定全局的路由策略、安全策略，使得各個(gè)網(wǎng)絡(luò)設(shè)備可以統(tǒng)一的控制器的管理下協(xié)調(diào)工作，各個(gè)設(shè)備相輔相成，使得安全漏洞變得更少。因此，它帶來(lái)了全面性的安全保護(hù)。其次，網(wǎng)絡(luò)安全是均衡的。眾所周知，一個(gè)好的網(wǎng)絡(luò)安全設(shè)計(jì)不應(yīng)該出現(xiàn)明顯短板。采用SDN技術(shù)的網(wǎng)絡(luò)安全設(shè)計(jì)使得網(wǎng)絡(luò)中沒(méi)有明顯的缺陷，將安全策略劃分為多個(gè)等級(jí)，每個(gè)等級(jí)采取不同的安全策略，根據(jù)不同的路由策略在不同邏輯等級(jí)上實(shí)現(xiàn)轉(zhuǎn)發(fā)。這樣，使得網(wǎng)絡(luò)安全策略有邏輯、有層次、有條理，不會(huì)出現(xiàn)“木桶效應(yīng)”[10]。因此，它具有均衡性。再次，網(wǎng)絡(luò)易于升級(jí)、維護(hù)。傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備管理復(fù)雜，管理難度大，進(jìn)行升級(jí)耗費(fèi)周期長(zhǎng)，需要廠商的參與。SDN的集中控制與可編程性，使得這些問(wèn)題得到解決?？梢酝ㄟ^(guò)北向開(kāi)放的API接口實(shí)現(xiàn)新的網(wǎng)絡(luò)安全應(yīng)用，安全策略的變更也僅需在控制器上編程即可，對(duì)病毒特征庫(kù)、攻擊特征庫(kù)進(jìn)行升級(jí)也僅需在控制器上進(jìn)行，由于所有策略都是在控制器實(shí)現(xiàn)，相當(dāng)于整個(gè)網(wǎng)絡(luò)都升級(jí)到最新補(bǔ)丁。另外，如果某一節(jié)點(diǎn)出現(xiàn)問(wèn)題或者被攻陷，SDN控制器可以馬上制定新的路由策略，繞開(kāi)失效節(jié)點(diǎn)。所以，SDN網(wǎng)絡(luò)安全設(shè)計(jì)具備易于升級(jí)、易于維護(hù)的特性。

我們看到很多SDN網(wǎng)絡(luò)安全設(shè)計(jì)的優(yōu)勢(shì)，這種方法是對(duì)網(wǎng)絡(luò)安全進(jìn)行全新的探索。將SDN架構(gòu)和傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)相結(jié)合，在SDN架構(gòu)的基礎(chǔ)上，將網(wǎng)絡(luò)安全設(shè)備如防火墻、IDS、IPS等部署在重要的網(wǎng)絡(luò)位置，用SDN技術(shù)進(jìn)行全局管理，使這兩種方式相輔相成發(fā)揮各自最大效用。隨著SDN技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)安全設(shè)備功能不斷強(qiáng)大，將SDN技術(shù)和傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備相結(jié)合，可以讓網(wǎng)絡(luò)安全設(shè)備發(fā)揮出最大的效用，網(wǎng)絡(luò)安全將會(huì)變得越來(lái)越可靠。

3 結(jié) 語(yǔ)

本文在現(xiàn)有研究基礎(chǔ)上，提出一種基于SDN技術(shù)抗DDoS的設(shè)計(jì)，下一步工作為優(yōu)化控制器調(diào)度算法，使得各部分協(xié)調(diào)工作，效率更高。SDN的引入與發(fā)展，給互聯(lián)網(wǎng)安全形勢(shì)帶來(lái)巨大而深刻的變化，既可以給網(wǎng)絡(luò)安全設(shè)計(jì)帶來(lái)新的思路，使網(wǎng)絡(luò)安全設(shè)計(jì)更加自動(dòng)化、全面化，同時(shí)自身的安全性面臨了不可低估的挑戰(zhàn)。本文在梳理SDN技術(shù)特點(diǎn)與面臨的安全挑戰(zhàn)，介紹SDN在安全方面的應(yīng)用，提出一種基于SDN技術(shù)抵抗DDoS攻擊的方法，以期為SDN的發(fā)展做出一些有益的探索。

[1] 編輯部.大數(shù)據(jù)時(shí)代[J].中國(guó)電子科學(xué)研究院學(xué)報(bào)，2013，01：31-35.

[2] MCKEOWN N，et al.OpenFlow：Enabling Innovation in Campus Networks[M].ACM SIGCOMM Computer Communication Review，2008，38（2）：69-74.

[3] CHUNG S，et al.Software Defined Networks[J].Communicationsns Magazine，IEEE，2013，51（2）：113.

[4] Open Networking Foundation（ONF）White Paper.Software Defined Networking：The New Norm for Networks. 2012.

[5] DAVY M，et al.A Case Expanding Open-flow SDN Developments on University Campus.[EB/OL].[2013-08-15].G-ENI report.

[6] 陶冶，張尼，張?jiān)朴?，王肖?SDN安全防護(hù)技術(shù)研究[J].電信技術(shù)，2014（6）.

[7] 袁廣翔.軟件定義網(wǎng)絡(luò)技術(shù)發(fā)展與應(yīng)用研究[J].現(xiàn)代電信科技，2013（4）.

[8] 王淑玲，李季漢，張?jiān)朴碌?SDN架構(gòu)及安全性研究[J].電信科學(xué)，2013（3）.

[9] 裘曉峰，趙糧，高騰.VSA和SDS：兩種SDN網(wǎng)絡(luò)安全架構(gòu)的研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2013（10）.

[10]彭陽(yáng).基于OpenFlow的網(wǎng)絡(luò)安全技術(shù)研究[J].物聯(lián)網(wǎng)技術(shù)，2013（9）.

孫 鵬(1990—),男,四川綿陽(yáng)人,碩士,主要研究方向?yàn)榫W(wǎng)絡(luò)安全,軟件定義網(wǎng)絡(luò)；

E-mail：sunpengjet@163.com

劉秋妍(1984—),女,遼寧大連人,高級(jí)工程師,主要研究方向?yàn)闊o(wú)線通信組網(wǎng)與干擾和網(wǎng)絡(luò)安全技術(shù)。

Security Research on Software Defined Network

SUN Peng，LIU Qiu-yan
（China Academy of Electronics and Information Technology，Beijing 100041，China）

The development of big data，cloud computing and other new technologies of internet brings higher requirement for bandwidth，speed，and security of traditional network.However，the complexity of network environment blocks the developments of traditional network in different aspects such as programming and flexibility.Software Defined Network（SDN）separates the data control plane，providing programmable interface for the application layer and unified management of network equipment downward. Hence，SDN becomes one of the research directions proposed for the next generation internet.However，the concentration and open of SDN also bring new security challenges.There are few effective solutions for the controller security，application layer security and data security.The advantages and characteristics of SDN are first summarized.Then，the security risk introduced by SDN is analyzed.And a network security design based on SDN is proposed to resist DDoS（Distributed Denial of Service）attack.Finally，an outlook for SDN is concluded.

Software Defined Network；OpenFlow；network security；DDoS

TP393.02

A

1673-5692（2015）04-416-05

10.3969/j.issn.1673-5692.2015.04.016

2015-03-17

2015-07-10