試論SDN架構(gòu)及安全性

山發(fā)軍++李虎

摘 要：軟件自定義網(wǎng)絡(luò)（SDN）作為一種新型的網(wǎng)絡(luò)架構(gòu)，其實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備控制平面與數(shù)據(jù)平面的相互獨(dú)立，受到社會(huì)各界的廣泛關(guān)注。論文對(duì)SDN的架構(gòu)及其安全性進(jìn)行了討論，并提出了SDN安全防范策略，希望為相關(guān)應(yīng)用提供一些簡(jiǎn)單的參考。

關(guān)鍵詞：SDN；架構(gòu)；安全性

中圖分類號(hào)：TP393.02 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2017）18-0022-01

1 SDN技術(shù)架構(gòu)

SDN是近年來新興的一種網(wǎng)絡(luò)架構(gòu)，該架構(gòu)可以直接變成，其核心理念是將傳統(tǒng)設(shè)備緊耦合的網(wǎng)絡(luò)架構(gòu)解耦成為應(yīng)用、控制以及轉(zhuǎn)發(fā)3層相互分離的架構(gòu)[1]，通過標(biāo)準(zhǔn)化來實(shí)現(xiàn)網(wǎng)絡(luò)的集中管理和控制，同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用的可編程化，圖1給出了SDN架構(gòu)的具體圖示。

在SDN架構(gòu)下，關(guān)鍵是實(shí)現(xiàn)開放和標(biāo)準(zhǔn)化，具體表現(xiàn)如下[2]：標(biāo)準(zhǔn)化數(shù)據(jù)面與控制面的接口，對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施資源在類型、支持的協(xié)議等方面的異構(gòu)性進(jìn)行屏蔽，從而實(shí)現(xiàn)數(shù)據(jù)面網(wǎng)絡(luò)資源設(shè)施地?zé)o障礙接收控制面所下發(fā)的指令，以承載網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)發(fā)業(yè)務(wù)；標(biāo)準(zhǔn)化控制層以及應(yīng)用層接口則是為上層應(yīng)用提供一個(gè)統(tǒng)一的管理和編程的接口，從而為用戶通過軟件進(jìn)行網(wǎng)絡(luò)控制和網(wǎng)絡(luò)服務(wù)的定義提供了媒介。

SDN技術(shù)架構(gòu)的應(yīng)用，推動(dòng)了網(wǎng)絡(luò)在產(chǎn)業(yè)鏈結(jié)構(gòu)中價(jià)值從成本中心向核心競(jìng)爭(zhēng)力的進(jìn)一步轉(zhuǎn)變。SDN技術(shù)基于OpenFlow實(shí)現(xiàn)，其為企業(yè)和用戶帶來了更加靈活的網(wǎng)絡(luò)管控、更加高效地資源利用以及更具彈性化的資源調(diào)度，具體架構(gòu)如圖2所示[3]。

（1）更加靈活的網(wǎng)絡(luò)管控。首先，標(biāo)準(zhǔn)化的接口實(shí)現(xiàn)了對(duì)設(shè)備異構(gòu)性的屏蔽，從而能夠?qū)崿F(xiàn)對(duì)各種異構(gòu)網(wǎng)絡(luò)設(shè)備的集中統(tǒng)一管理和控制；其次，SDN控制器可以對(duì)網(wǎng)絡(luò)進(jìn)行同意的控制管理，不需要對(duì)每一臺(tái)設(shè)備的配置參數(shù)進(jìn)行手動(dòng)設(shè)置。（2）更加高效地資源利用。SDN控制器能夠?qū)λ芯W(wǎng)絡(luò)基礎(chǔ)設(shè)施的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，因此，可以根據(jù)設(shè)備的運(yùn)行狀態(tài)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的智能、靈活調(diào)配，避免各種資源的盲目調(diào)用，進(jìn)一步提高資源的利用效率。（3）更具彈性的資源調(diào)度。應(yīng)用層能夠借助標(biāo)準(zhǔn)化控制層以及應(yīng)用層接口制定符合實(shí)際業(yè)務(wù)需求的網(wǎng)絡(luò)資源調(diào)度策略，并通過SDN控制器將該策略配置到網(wǎng)絡(luò)設(shè)備中，使網(wǎng)絡(luò)的資源調(diào)度具有更大的彈性。

2 SDN安全分析

所有信息技術(shù)需要面對(duì)的首要問題就是安全性方面的問題，信息安全包括信息的完整性、可用性、保密性以及可靠性。SDN作為新興的信息技術(shù)，其安全性的分析非常重要。

2.1 SDN安全特點(diǎn)

相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)而言，由于SDN架構(gòu)本身的創(chuàng)新性，其安全性也具有不同的特點(diǎn)，主要包括以下兩個(gè)方面[4]：

（1）由SDN控制器對(duì)網(wǎng)絡(luò)設(shè)備集中控制帶來的安全風(fēng)險(xiǎn)。SDN架構(gòu)使得各種資源的配置、控制以及服務(wù)都全面集中在控制器上，這就使得控制器成為了網(wǎng)絡(luò)黑客、病毒重點(diǎn)攻擊的目標(biāo)，攻擊者只需要獲得控制器的控制權(quán)，即可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中各種資源設(shè)備的控制，而隨著云計(jì)算技術(shù)的發(fā)展，使這種攻擊變得更加容易。（2）SDN架構(gòu)本身的開放性帶來的安全風(fēng)險(xiǎn)。SDN能夠?qū)崿F(xiàn)對(duì)各種異構(gòu)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理和配置，但是這需要各種開放接口來提供支持。在應(yīng)用層面，SDN控制器提供了大量開放性的可編程接口，供給者很可能通過這些開放性的接口對(duì)SDN網(wǎng)絡(luò)展開攻擊，使這些接口成為網(wǎng)絡(luò)的安全漏洞。因此，為了避免開放性帶來的安全風(fēng)險(xiǎn)，對(duì)開放接口進(jìn)行評(píng)估師SDN控制器設(shè)計(jì)需要首要考慮的問題。

2.2 SDN架構(gòu)安全性方面的挑戰(zhàn)

當(dāng)前，SDN架構(gòu)安全性所面臨的挑戰(zhàn)主要包括以下兩個(gè)方面的內(nèi)容：

（1）控制面的安全問題。在SDN架構(gòu)的集中管控模式下，其控制面面臨著下面三個(gè)方面的安全威脅：第一，不法分子能夠從網(wǎng)絡(luò)中找到SDN架構(gòu)控制器的切入點(diǎn)，然后進(jìn)入控制器，并篡改其中的各種操作指令；第二，步伐分子能夠通過特定的手段向控制器輸送大量的服務(wù)請(qǐng)求，并給出虛假的請(qǐng)求反饋地質(zhì)；第三，可以通過一些控制器的安全漏洞，向控制器輸送病毒和木馬。（2）應(yīng)用面的安全問題。SDN架構(gòu)的應(yīng)用面主要面臨以下兩個(gè)方面的安全威脅：第一，不法分子將一些蠕蟲或間諜程序輸送到應(yīng)用層，盜取相關(guān)的信息；第二，應(yīng)用層的安全規(guī)則存在沖突，反而影響到其本身的安全性。

3 結(jié)語

SDN架構(gòu)為未來網(wǎng)絡(luò)發(fā)展提供了一種全新的思路，其順應(yīng)了當(dāng)前網(wǎng)絡(luò)的應(yīng)用和發(fā)展趨勢(shì)，要想SDN架構(gòu)的安全應(yīng)用，需要進(jìn)一步提高其安全性，可以從以下三個(gè)方面入手：

第一，制定相對(duì)健全的安全策略，并嚴(yán)格執(zhí)行安全策略，同時(shí)，需要展開設(shè)備隔離工作。

第二，制定相對(duì)完善的訪問和授權(quán)規(guī)則，同時(shí)需要對(duì)異常設(shè)備進(jìn)行預(yù)警和隔離，避免異常設(shè)備對(duì)整個(gè)SDN網(wǎng)絡(luò)中的設(shè)備產(chǎn)生影響。另外，需要進(jìn)一步提升控制器的網(wǎng)絡(luò)行為分析能力，從而提前預(yù)警各種非正常的網(wǎng)絡(luò)行為。

第三，需要加強(qiáng)對(duì)開放性接口的安全檢測(cè)，提升對(duì)各種潛在安全威脅的識(shí)別能力和處理能力。

參考文獻(xiàn)

[1]劉小春.SDN網(wǎng)絡(luò)安全性研究[J].信息通信，2017，（04）：96-97.

[2]邵延峰，賈哲.軟件定義網(wǎng)絡(luò)安全技術(shù)研究[J].無線電工程，2016，（04）：13-17.

[3]劉亮龍，方獻(xiàn)梅.SDN架構(gòu)及安全性的研究與探討[J].電腦知識(shí)與技術(shù)，2015，（13）：47-48+51.

[4]郭春梅，張如輝，畢學(xué)堯.SDN網(wǎng)絡(luò)技術(shù)及其安全性研究[J].信息網(wǎng)絡(luò)安全，2012，（08）：112-114.endprint