山發(fā)軍++李虎
摘 要:軟件自定義網(wǎng)絡(luò)(SDN)作為一種新型的網(wǎng)絡(luò)架構(gòu),其實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備控制平面與數(shù)據(jù)平面的相互獨(dú)立,受到社會(huì)各界的廣泛關(guān)注。論文對(duì)SDN的架構(gòu)及其安全性進(jìn)行了討論,并提出了SDN安全防范策略,希望為相關(guān)應(yīng)用提供一些簡(jiǎn)單的參考。
關(guān)鍵詞:SDN;架構(gòu);安全性
中圖分類號(hào):TP393.02 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-2064(2017)18-0022-01
1 SDN技術(shù)架構(gòu)
SDN是近年來新興的一種網(wǎng)絡(luò)架構(gòu),該架構(gòu)可以直接變成,其核心理念是將傳統(tǒng)設(shè)備緊耦合的網(wǎng)絡(luò)架構(gòu)解耦成為應(yīng)用、控制以及轉(zhuǎn)發(fā)3層相互分離的架構(gòu)[1],通過標(biāo)準(zhǔn)化來實(shí)現(xiàn)網(wǎng)絡(luò)的集中管理和控制,同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用的可編程化,圖1給出了SDN架構(gòu)的具體圖示。
在SDN架構(gòu)下,關(guān)鍵是實(shí)現(xiàn)開放和標(biāo)準(zhǔn)化,具體表現(xiàn)如下[2]:標(biāo)準(zhǔn)化數(shù)據(jù)面與控制面的接口,對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施資源在類型、支持的協(xié)議等方面的異構(gòu)性進(jìn)行屏蔽,從而實(shí)現(xiàn)數(shù)據(jù)面網(wǎng)絡(luò)資源設(shè)施地?zé)o障礙接收控制面所下發(fā)的指令,以承載網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)發(fā)業(yè)務(wù);標(biāo)準(zhǔn)化控制層以及應(yīng)用層接口則是為上層應(yīng)用提供一個(gè)統(tǒng)一的管理和編程的接口,從而為用戶通過軟件進(jìn)行網(wǎng)絡(luò)控制和網(wǎng)絡(luò)服務(wù)的定義提供了媒介。
SDN技術(shù)架構(gòu)的應(yīng)用,推動(dòng)了網(wǎng)絡(luò)在產(chǎn)業(yè)鏈結(jié)構(gòu)中價(jià)值從成本中心向核心競(jìng)爭(zhēng)力的進(jìn)一步轉(zhuǎn)變。SDN技術(shù)基于OpenFlow實(shí)現(xiàn),其為企業(yè)和用戶帶來了更加靈活的網(wǎng)絡(luò)管控、更加高效地資源利用以及更具彈性化的資源調(diào)度,具體架構(gòu)如圖2所示[3]。
(1)更加靈活的網(wǎng)絡(luò)管控。首先,標(biāo)準(zhǔn)化的接口實(shí)現(xiàn)了對(duì)設(shè)備異構(gòu)性的屏蔽,從而能夠?qū)崿F(xiàn)對(duì)各種異構(gòu)網(wǎng)絡(luò)設(shè)備的集中統(tǒng)一管理和控制;其次,SDN控制器可以對(duì)網(wǎng)絡(luò)進(jìn)行同意的控制管理,不需要對(duì)每一臺(tái)設(shè)備的配置參數(shù)進(jìn)行手動(dòng)設(shè)置。(2)更加高效地資源利用。SDN控制器能夠?qū)λ芯W(wǎng)絡(luò)基礎(chǔ)設(shè)施的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控,因此,可以根據(jù)設(shè)備的運(yùn)行狀態(tài)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的智能、靈活調(diào)配,避免各種資源的盲目調(diào)用,進(jìn)一步提高資源的利用效率。(3)更具彈性的資源調(diào)度。應(yīng)用層能夠借助標(biāo)準(zhǔn)化控制層以及應(yīng)用層接口制定符合實(shí)際業(yè)務(wù)需求的網(wǎng)絡(luò)資源調(diào)度策略,并通過SDN控制器將該策略配置到網(wǎng)絡(luò)設(shè)備中,使網(wǎng)絡(luò)的資源調(diào)度具有更大的彈性。
2 SDN安全分析
所有信息技術(shù)需要面對(duì)的首要問題就是安全性方面的問題,信息安全包括信息的完整性、可用性、保密性以及可靠性。SDN作為新興的信息技術(shù),其安全性的分析非常重要。
2.1 SDN安全特點(diǎn)
相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)而言,由于SDN架構(gòu)本身的創(chuàng)新性,其安全性也具有不同的特點(diǎn),主要包括以下兩個(gè)方面[4]:
(1)由SDN控制器對(duì)網(wǎng)絡(luò)設(shè)備集中控制帶來的安全風(fēng)險(xiǎn)。SDN架構(gòu)使得各種資源的配置、控制以及服務(wù)都全面集中在控制器上,這就使得控制器成為了網(wǎng)絡(luò)黑客、病毒重點(diǎn)攻擊的目標(biāo),攻擊者只需要獲得控制器的控制權(quán),即可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中各種資源設(shè)備的控制,而隨著云計(jì)算技術(shù)的發(fā)展,使這種攻擊變得更加容易。(2)SDN架構(gòu)本身的開放性帶來的安全風(fēng)險(xiǎn)。SDN能夠?qū)崿F(xiàn)對(duì)各種異構(gòu)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理和配置,但是這需要各種開放接口來提供支持。在應(yīng)用層面,SDN控制器提供了大量開放性的可編程接口,供給者很可能通過這些開放性的接口對(duì)SDN網(wǎng)絡(luò)展開攻擊,使這些接口成為網(wǎng)絡(luò)的安全漏洞。因此,為了避免開放性帶來的安全風(fēng)險(xiǎn),對(duì)開放接口進(jìn)行評(píng)估師SDN控制器設(shè)計(jì)需要首要考慮的問題。
2.2 SDN架構(gòu)安全性方面的挑戰(zhàn)
當(dāng)前,SDN架構(gòu)安全性所面臨的挑戰(zhàn)主要包括以下兩個(gè)方面的內(nèi)容:
(1)控制面的安全問題。在SDN架構(gòu)的集中管控模式下,其控制面面臨著下面三個(gè)方面的安全威脅:第一,不法分子能夠從網(wǎng)絡(luò)中找到SDN架構(gòu)控制器的切入點(diǎn),然后進(jìn)入控制器,并篡改其中的各種操作指令;第二,步伐分子能夠通過特定的手段向控制器輸送大量的服務(wù)請(qǐng)求,并給出虛假的請(qǐng)求反饋地質(zhì);第三,可以通過一些控制器的安全漏洞,向控制器輸送病毒和木馬。(2)應(yīng)用面的安全問題。SDN架構(gòu)的應(yīng)用面主要面臨以下兩個(gè)方面的安全威脅:第一,不法分子將一些蠕蟲或間諜程序輸送到應(yīng)用層,盜取相關(guān)的信息;第二,應(yīng)用層的安全規(guī)則存在沖突,反而影響到其本身的安全性。
3 結(jié)語
SDN架構(gòu)為未來網(wǎng)絡(luò)發(fā)展提供了一種全新的思路,其順應(yīng)了當(dāng)前網(wǎng)絡(luò)的應(yīng)用和發(fā)展趨勢(shì),要想SDN架構(gòu)的安全應(yīng)用,需要進(jìn)一步提高其安全性,可以從以下三個(gè)方面入手:
第一,制定相對(duì)健全的安全策略,并嚴(yán)格執(zhí)行安全策略,同時(shí),需要展開設(shè)備隔離工作。
第二,制定相對(duì)完善的訪問和授權(quán)規(guī)則,同時(shí)需要對(duì)異常設(shè)備進(jìn)行預(yù)警和隔離,避免異常設(shè)備對(duì)整個(gè)SDN網(wǎng)絡(luò)中的設(shè)備產(chǎn)生影響。另外,需要進(jìn)一步提升控制器的網(wǎng)絡(luò)行為分析能力,從而提前預(yù)警各種非正常的網(wǎng)絡(luò)行為。
第三,需要加強(qiáng)對(duì)開放性接口的安全檢測(cè),提升對(duì)各種潛在安全威脅的識(shí)別能力和處理能力。
參考文獻(xiàn)
[1]劉小春.SDN網(wǎng)絡(luò)安全性研究[J].信息通信,2017,(04):96-97.
[2]邵延峰,賈哲.軟件定義網(wǎng)絡(luò)安全技術(shù)研究[J].無線電工程,2016,(04):13-17.
[3]劉亮龍,方獻(xiàn)梅.SDN架構(gòu)及安全性的研究與探討[J].電腦知識(shí)與技術(shù),2015,(13):47-48+51.
[4]郭春梅,張如輝,畢學(xué)堯.SDN網(wǎng)絡(luò)技術(shù)及其安全性研究[J].信息網(wǎng)絡(luò)安全,2012,(08):112-114.endprint