軟件定義網(wǎng)絡及安全防御技術(shù)探討

◆白保琦

軟件定義網(wǎng)絡及安全防御技術(shù)探討

◆白保琦

（蘭州石化職業(yè)技術(shù)學院 甘肅 730060）

伴隨著互聯(lián)網(wǎng)高速發(fā)展，網(wǎng)絡技術(shù)的不斷創(chuàng)新與應用價值日漸提升使網(wǎng)絡安全問題愈發(fā)顯著。本文以軟件定義網(wǎng)絡為研究對象，簡要概述了軟件定義網(wǎng)絡特征與原理，并在此基礎上，就軟件定義網(wǎng)絡存在的安全問題及其安全防御技術(shù)進行簡要分析，以供參考。

安全防御；防御技術(shù)；軟件定義網(wǎng)絡

1 對“軟件定義網(wǎng)絡”的基本認識

1.1 軟件定義網(wǎng)絡概念

“軟件定義網(wǎng)絡（Software Defined Network，SDN）”起源于斯坦福大學Clean Slate研究，并由Mckeown于2009年正式提出與發(fā)展[1]。軟件定義網(wǎng)絡是對傳統(tǒng)網(wǎng)絡的一種改革與創(chuàng)新，通過將網(wǎng)絡設備控制面與網(wǎng)絡數(shù)據(jù)面進行有效分離，形成一種全新的網(wǎng)絡架構(gòu)，從而提升網(wǎng)絡開放性、網(wǎng)絡控制靈活性。軟件定義網(wǎng)絡的控制層，配置了可編程控制裝置，由控制器實現(xiàn)對網(wǎng)絡設備控制的集中化管理，網(wǎng)絡用戶能夠全面了解與控制網(wǎng)絡信息，在自定義下進行網(wǎng)絡配置與協(xié)議部署，提升網(wǎng)絡控制靈活性。與此同時，控制層面與數(shù)據(jù)層面的分離，能夠克服網(wǎng)絡硬件設備對網(wǎng)絡架構(gòu)拓展的制約，增強網(wǎng)絡可拓展性，便于網(wǎng)絡升級。軟件定義網(wǎng)絡的數(shù)據(jù)層，配置了數(shù)據(jù)轉(zhuǎn)發(fā)專用裝置，實現(xiàn)對網(wǎng)絡數(shù)據(jù)的快速分析與處理，可有效滿足網(wǎng)絡數(shù)據(jù)大流量需求。而控制層與數(shù)據(jù)層之間利用開放式統(tǒng)一接口實現(xiàn)交互，提升交互規(guī)范性、標準性的同時，降低交互簡便性。由此可見，軟件定義網(wǎng)絡的應用能夠有效改善傳統(tǒng)封閉網(wǎng)絡在網(wǎng)絡拓展、網(wǎng)絡靈活管控等上的弊端，有效降低網(wǎng)絡設備復雜度與運維成本，推動網(wǎng)絡創(chuàng)新發(fā)展。

1.2 軟件定義網(wǎng)絡體系結(jié)構(gòu)

軟件定義網(wǎng)絡已被MIT（Massachusetts Institute of Technology，麻省理工學院）列為“改變世界的十大創(chuàng)新技術(shù)之一”隨著軟件定義網(wǎng)絡理論與實踐研究的不斷深入，軟件定義網(wǎng)絡架構(gòu)呈現(xiàn)出多樣化發(fā)展態(tài)勢，其內(nèi)涵得到不斷豐富，控制層與數(shù)據(jù)層之間的接口規(guī)范性不斷提升。軟件定義網(wǎng)絡主要由應用層、控制層與數(shù)據(jù)層三部分構(gòu)成。其中應用層為最上層結(jié)構(gòu)，具備可編程特征，用戶能夠根據(jù)自身業(yè)務需求，進行簡單編程，實現(xiàn)自定義網(wǎng)絡部署；控制層為軟件定義網(wǎng)絡的中間層，具有邏輯中心化特征，是數(shù)據(jù)平面資料管理的核心系統(tǒng)，能夠?qū)崿F(xiàn)網(wǎng)絡拓撲的有效維護以及網(wǎng)絡狀態(tài)信息的科學管控；數(shù)據(jù)層為軟件定義網(wǎng)絡的最下層，能夠在軟件定義網(wǎng)絡專用交換機等設備應用下，進行數(shù)據(jù)處理（包括數(shù)據(jù)采集、接受、轉(zhuǎn)發(fā)等）；軟件定義網(wǎng)絡接口的科學配置，包括應用層與控制層的北向REST接口和控制層與數(shù)據(jù)層的南向CDPI接口，實現(xiàn)了各層面之間的有效交互，加強SDN體系集成管理水平[2]。隨著軟件定義網(wǎng)絡研究的不斷深入以及規(guī)模的不斷拓展，軟件定義網(wǎng)絡將取向多控制模式創(chuàng)新發(fā)展，各層面接口標準有待進一步完善。

1.3 軟件定義網(wǎng)絡存在的安全問題

軟件定義網(wǎng)絡作為新型網(wǎng)絡架構(gòu)，正處于不斷發(fā)展與完善階段，隨著軟件定義網(wǎng)絡在現(xiàn)實中的應用與推廣，其安全問題成為急需解決的技術(shù)與應用問題。從軟件定義網(wǎng)絡結(jié)構(gòu)視角來看，軟件定義網(wǎng)絡應用層存在：惡意代碼威脅、應用程序身份認證與訪問權(quán)限威脅、應用配置缺陷等安全問題；軟件定義網(wǎng)絡北向接口存在：防護脆弱、非法訪問、數(shù)據(jù)篡改等安全問題；軟件定義網(wǎng)絡控制層存在：控制器劫持、控制器邏輯破壞、SDN控制器配置不足、(D)DoS攻擊下的拒絕服務等安全問題；軟件定義網(wǎng)絡南向接口存在：認證機制缺乏下的數(shù)據(jù)流監(jiān)聽與網(wǎng)絡篡改，數(shù)據(jù)加密措施缺乏與協(xié)議脆弱下的數(shù)據(jù)丟失、信息失真等安全問題；軟件定義網(wǎng)絡數(shù)據(jù)層存在：拒絕服務、數(shù)據(jù)流表信息泄露與篡改、黑洞攻擊、節(jié)點網(wǎng)絡癱瘓等安全問題。從整體層面來看，軟件定義網(wǎng)絡的安全問題可概括為：SDN授權(quán)認證安全問題、SDN數(shù)據(jù)丟失與篡改安全問題、SDN數(shù)據(jù)泄露安全問題、SDN惡意攻擊安全問題、SDN拒絕服務安全問題、SDN配置缺陷安全問題、SDN系統(tǒng)故障等[3]。

2 軟件定義網(wǎng)絡安全防御技術(shù)

根據(jù)軟件定義網(wǎng)絡特征，結(jié)合軟件定義網(wǎng)絡存在的安全問題，學術(shù)界與實務界對SDN安全防御技術(shù)進行了探討，提出不同安全解決方案。

就SDN授權(quán)認證安全問題而言，授權(quán)認證機制的科學建立是實現(xiàn)該問題有效防御的重要手段。例如，在系統(tǒng)安全設計與部署中，構(gòu)建拒絕未經(jīng)主機認證與授權(quán)的主機接入軟件定義網(wǎng)絡的授權(quán)認證機制。即，利用認證器與RADIUS服務器實現(xiàn)對可擴展認證協(xié)議請求信息的認證，根據(jù)認證響應由OF控制器做出網(wǎng)絡數(shù)據(jù)流量執(zhí)行決策，以提升SDN授權(quán)認證安全水平。又如，加強SDN控制器安全設計，通過在控制層面配置安全模塊，包括數(shù)據(jù)源認證模塊、流規(guī)則分析檢驗模塊、網(wǎng)絡狀態(tài)表管理模塊等，進行身份識別與權(quán)限認證，提升SDN安全防御能力。

就SDN數(shù)據(jù)丟失、泄露與篡改安全問題而言，在提升SDN授權(quán)認證安全水平的基礎上，進行相關(guān)安全防御方案的設計與完善。例如，Parros（2015）在已有研究成果的基礎上對Floodlight控制器進行了改造，形成SE-Floodlight控制器。該控制器除具備狀態(tài)表管理模塊、數(shù)據(jù)源認證模塊、流規(guī)則檢驗與分析模塊外，也具備權(quán)限管理與安全審計系統(tǒng)，能夠有效提升SDN應用與控制層之間的交互安全水平，降低北向接口數(shù)據(jù)惡意篡改風險。與此同時，在各模塊協(xié)調(diào)作用下，能夠?qū)W(wǎng)絡中存在的惡意行為進行分析與監(jiān)管，加強應用層信息管控能力，減少數(shù)據(jù)丟失、泄露、被篡改的概率。

就SDN惡意攻擊安全問題而言，可在應用層與控制層進行信息交互之前構(gòu)建身份識別與驗證系統(tǒng)進行安全問題防控。例如，利用微操作系統(tǒng)技術(shù)、函數(shù)庫、沙箱化設計，賦予SDN應用層隔離、獨立認證特征，提升軟件定義網(wǎng)絡控制層容錯性，從而降低惡意攻擊對網(wǎng)絡安全運行存在的不利影響。在此過程中，微操作系統(tǒng)技術(shù)的應用實現(xiàn)網(wǎng)絡系統(tǒng)輕量化處理；函數(shù)庫設計理念的引入減少應用與內(nèi)核分離過程中，內(nèi)核負載過重對SDN安全與穩(wěn)定運行的影響。與此同時，為降低惡意攻擊對SDN控制層的影響，利用資源管理器實現(xiàn)應用的區(qū)域化管理，并在公私鑰體制應用下，形成系統(tǒng)應用調(diào)用權(quán)限審核體系的科學構(gòu)建，提升網(wǎng)絡運行安全水平。

就SDN拒絕服務安全問題而言，可在軟件定義網(wǎng)絡數(shù)據(jù)層中配置連接遷移模塊，實現(xiàn)對有效TCP連接的存儲，并將其上傳到控制層面，以進行網(wǎng)絡狀態(tài)的有效監(jiān)督，從而在網(wǎng)絡操作過程中屏蔽無效數(shù)據(jù)分組。與此同時，在南向接口中配置執(zhí)行觸發(fā)裝置，當數(shù)據(jù)層中的數(shù)據(jù)信息流量達到觸發(fā)標準時，進行流規(guī)則插入，以提升數(shù)據(jù)處理能力，改善SDN拒絕服務安全問題。

就SDN配置缺陷安全問題而言，可通過網(wǎng)絡錯誤檢驗算法設計、動態(tài)檢查策略應用、驗證機制構(gòu)建等方式進行處理，提升軟件定義網(wǎng)絡安全防御能力。

SDN系統(tǒng)安全問題，需注重系統(tǒng)組織模塊、系統(tǒng)通信協(xié)議、網(wǎng)絡調(diào)試裝置的優(yōu)化設計。

3 結(jié)論

軟件定義網(wǎng)絡的提出與應用，有效改善了傳統(tǒng)網(wǎng)絡運行中存在的開放性、實效性、靈活性弊端，成為促進互聯(lián)網(wǎng)創(chuàng)新發(fā)展的關(guān)鍵技術(shù)。但由于軟件定義網(wǎng)絡屬于新型網(wǎng)絡架構(gòu)，正處于不斷發(fā)展與完善階段，在使用過程中仍存在諸多網(wǎng)絡安全問題。對此，在明確認知軟件定義網(wǎng)絡特征與原理的基礎上，應加強其安全防御技術(shù)的研究，制定行之有效的網(wǎng)絡安全問題解決方案，以促進軟件定義網(wǎng)絡的優(yōu)化發(fā)展。

[1]伍岳,陶駿,張云玲.基于OpenFlow的SDN網(wǎng)絡安全分析與探究[J].湖南工程學院學報(自然科學版), 2019,29(01):45-48.

[2]何占博,王穎,劉軍.我國網(wǎng)絡安全等級保護現(xiàn)狀與2.0標準體系研究[J].信息技術(shù)與網(wǎng)絡安全,2019,38(03):9-14+19.

[3]劉揚.關(guān)于構(gòu)建網(wǎng)絡信息安全防護體系的研究——基于數(shù)據(jù)價值視角的大數(shù)據(jù)監(jiān)管系統(tǒng)建設的思考[J].信息通信技術(shù)與政策,2019(02):52-56.