邵延峰,賈　哲

(1.中國(guó)電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；

2.通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050081)

?

軟件定義網(wǎng)絡(luò)安全技術(shù)研究

邵延峰1,賈哲2

(1.中國(guó)電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；

2.通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050081)

摘要隨著網(wǎng)絡(luò)規(guī)模的快速擴(kuò)大及網(wǎng)絡(luò)業(yè)務(wù)的多樣化，原有的網(wǎng)絡(luò)架構(gòu)難以滿足未來(lái)發(fā)展需要。軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)作為一種新興技術(shù)，實(shí)現(xiàn)了控制面與數(shù)據(jù)面的解耦，能夠提供網(wǎng)絡(luò)的集中控制與流量的靈活調(diào)度，將引起通信領(lǐng)域的巨大變革。研究了SDN架構(gòu)的特點(diǎn)及其面臨的安全威脅；針對(duì)SDN安全技術(shù)研究現(xiàn)狀進(jìn)行了綜述；從網(wǎng)絡(luò)動(dòng)態(tài)防御、軟件定義監(jiān)控和自身安全性增強(qiáng)3個(gè)方面提出了SDN安全技術(shù)的發(fā)展方向。在加強(qiáng)SDN自身安全性的同時(shí)提高了網(wǎng)絡(luò)安全資源的動(dòng)態(tài)調(diào)度能力。

關(guān)鍵詞SDN；安全威脅；動(dòng)態(tài)防御；軟件定義監(jiān)控

Research on Software Defined Network Security Technology

SHAO Yan-feng1,JIA Zhe2

(1.The54thResearchInstituteofCETC,ShijiazhuangHebei050081,China;2.ScienceandTechnologyonInformationTransmissionandDisseminationinCommunicationNetworksLaboratory,ShijiazhuangHebei050081,China)

AbstractWith the rapid development of network scale and the diversification of network services，the original network structure is difficult to meet the needs of the future development.Software Defined Network (SDN) as a new technology realizes the separation of control plane and data plane,which can provide centralized network controll and the flexible traffic management.This will take place great changes in communication field.This paper firstly analyses the features of SDN architecture and the security threat;then gives a survey on the present development of SDN security;and finally propose the development orientation of SDN security technology including network dynamic defense,software defined monitoring,and security enforcement,which can reinforce the security of SDN,and enhance the dynamic arrangement of security resources.

Key wordsSDN;security threat;dynamic defense;software defined monitoring

0引言

SDN[1]將網(wǎng)絡(luò)設(shè)備控制平面與數(shù)據(jù)平面分離，數(shù)據(jù)平面專注于數(shù)據(jù)包的轉(zhuǎn)發(fā)處理，控制平面實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的集中控制。用戶通過(guò)應(yīng)用平面進(jìn)行自定義的軟件編程，實(shí)現(xiàn)了基于“硬件轉(zhuǎn)發(fā)+軟件應(yīng)用”的模式，大大提高了網(wǎng)絡(luò)流量的靈活調(diào)度能力、業(yè)務(wù)的快速部署能力以及運(yùn)維成本的降低[2]，受到了學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。Google在2013年宣布[3]其內(nèi)部骨干網(wǎng)上已實(shí)現(xiàn)SDN的全面部署，實(shí)現(xiàn)了鏈路利用率的顯著提升。

然而，SDN作為一種新興技術(shù)，其實(shí)是一個(gè)框架，一個(gè)網(wǎng)絡(luò)設(shè)計(jì)理念[4]，需要考慮利用SDN的相關(guān)優(yōu)勢(shì)和如何規(guī)避它的潛在風(fēng)險(xiǎn)[5]。SDN采用集中控制的方式，是否意味著更大的安全風(fēng)險(xiǎn)？SDN架構(gòu)中是否存在安全問(wèn)題，可采用哪些安全防護(hù)手段等問(wèn)題亟待解決。本文對(duì)SDN架構(gòu)的各層進(jìn)行了安全威脅分析，對(duì)基于SDN的網(wǎng)絡(luò)動(dòng)態(tài)防御、軟件定義監(jiān)控和SDN自身安全性增強(qiáng)等技術(shù)進(jìn)行了研究，提出了軟件定義網(wǎng)絡(luò)安全技術(shù)的發(fā)展方向。

1軟件定義網(wǎng)絡(luò)架構(gòu)及安全威脅分析

軟件定義網(wǎng)絡(luò)的思想[6]起源于斯坦福大學(xué)的Clean State項(xiàng)目，通過(guò)把原有封閉的體系解耦為數(shù)據(jù)平面、控制平面和應(yīng)用平面，提供了一種可編程的網(wǎng)絡(luò)實(shí)現(xiàn)，從而將革命性地改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)，成為未來(lái)網(wǎng)絡(luò)發(fā)展的新方向。

SDN架構(gòu)及安全威脅分析如圖1所示，包括數(shù)據(jù)平面、控制平面和應(yīng)用平面。通過(guò)控制平面和數(shù)據(jù)平面的解耦，SDN從基礎(chǔ)的網(wǎng)絡(luò)設(shè)備中剝離了控制平面，并將控制平面的工作轉(zhuǎn)移給一個(gè)集中式、可編程的軟件控制器，從而簡(jiǎn)化了底層硬件的復(fù)雜度。SDN定義了統(tǒng)一的控制層面與數(shù)據(jù)層面接口，抽象了底層硬件，從而屏蔽了底層硬件的區(qū)別。上層應(yīng)用可以通過(guò)軟件控制器提供的API操作底層設(shè)備從而控制整個(gè)網(wǎng)絡(luò)，由于軟件控制器的數(shù)量遠(yuǎn)遠(yuǎn)小于傳統(tǒng)網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的數(shù)量，配置和檢查工作均被大大簡(jiǎn)化;另外，由于軟件控制器一般由第三方實(shí)現(xiàn)，使得控制平面脫離了硬件廠商的限制，修改和添加新特性只需在軟件控制器上修改或者添加應(yīng)用即可，相比于傳統(tǒng)網(wǎng)絡(luò)簡(jiǎn)單很多。

圖1　SDN架構(gòu)及安全威脅分析

雖然SDN為網(wǎng)絡(luò)引進(jìn)了控制面和數(shù)據(jù)層分離，具有簡(jiǎn)化底層硬件實(shí)現(xiàn)、簡(jiǎn)化網(wǎng)絡(luò)配置過(guò)程以及向上層應(yīng)用提供網(wǎng)絡(luò)全局視圖等優(yōu)點(diǎn)，但是，作為一個(gè)尚在起步階段的體系結(jié)構(gòu)，SDN是一把雙刃劍，在簡(jiǎn)化網(wǎng)絡(luò)管理、縮短創(chuàng)新周期的同時(shí)，也引入了不可低估的安全威脅。

1.1控制層安全威脅

管理集中性使得網(wǎng)絡(luò)配置、網(wǎng)絡(luò)服務(wù)訪問(wèn)控制和網(wǎng)絡(luò)安全服務(wù)部署等都集中于SDN控制器上。SDN的集中式控制方式，使得控制器存在單點(diǎn)失效的風(fēng)險(xiǎn)[7]。首先，控制器的集中控制方式，容易成為攻擊目標(biāo)，攻擊者一旦成功實(shí)施了對(duì)控制器的攻擊，將造成網(wǎng)絡(luò)服務(wù)的大面積癱瘓，影響控制器覆蓋的整個(gè)網(wǎng)絡(luò)范圍；其次，集中控制方式使得控制器容易受到資源耗盡型攻擊，如DoS、DDoS等；同時(shí)，開放性使得SDN控制器需要謹(jǐn)慎評(píng)估開放的接口，以防止攻擊者利用某些接口進(jìn)行網(wǎng)絡(luò)監(jiān)聽、網(wǎng)絡(luò)攻擊等。此外，控制器的自身安全性、可靠性也尤為關(guān)鍵。

由于SDN的控制器通常部署在通用計(jì)算機(jī)或服務(wù)器上，打破了傳統(tǒng)的封閉運(yùn)行環(huán)境。因此，SDN控制器面臨與操作系統(tǒng)相同的風(fēng)險(xiǎn)，且也無(wú)法防護(hù)攻擊者針對(duì)計(jì)算機(jī)本身發(fā)起的攻擊，如數(shù)據(jù)溢出型攻擊。

1.2應(yīng)用層安全威脅

SDN架構(gòu)通過(guò)SDN控制器給應(yīng)用層提供大量的可編程接口，該層面上的開放性可能會(huì)帶來(lái)接口的濫用，由于現(xiàn)有的對(duì)應(yīng)用的授權(quán)機(jī)制不完善，容易安裝惡意應(yīng)用或安裝受攻擊的應(yīng)用，使得攻擊者利用開放接口實(shí)施對(duì)網(wǎng)絡(luò)控制器的攻擊；其次，缺乏對(duì)各種應(yīng)用的策略沖突檢測(cè)機(jī)制，OpenFlow應(yīng)用程序之間下發(fā)的流量策略可以互相影響，從而導(dǎo)致惡意應(yīng)用對(duì)已有的安全防護(hù)策略產(chǎn)生影響。

1.3基礎(chǔ)設(shè)施層安全威脅

SDN標(biāo)準(zhǔn)組織定義了控制面和數(shù)據(jù)面的標(biāo)準(zhǔn)接口協(xié)議OpenFlow，有可能受到攻擊者發(fā)起的協(xié)議攻擊；同時(shí)，由于OpenFlow協(xié)議中，安全傳輸方式為可選項(xiàng)，在普通的傳輸模式下，攻擊者能夠偽造控制器或者篡改策略信息，向交換機(jī)發(fā)送虛假的流命令。

2軟件定義網(wǎng)絡(luò)安全技術(shù)研究成果

2009年，SDN入圍Technology Review十大前沿技術(shù)。隨著SDN研究的深入和廠商的大量參與，SDN的安全問(wèn)題越來(lái)越受到重視。

2.1國(guó)外研究成果

在2015年ITU標(biāo)準(zhǔn)大會(huì)中，SDN安全方面標(biāo)準(zhǔn)建議主要分為2類：基于SDN的安全(Security by SDN)和SDN自身安全(Security of SDN)。

2.1.1基于SDN的安全技術(shù)研究

① 德克薩斯州Texas大學(xué)和SRI公司的研究團(tuán)隊(duì)針對(duì)SDN的安全進(jìn)行了研究，提出了多種安全解決方案。其中，CloudWatcher[8]是一種云環(huán)境中基于SDN控制平臺(tái)執(zhí)行安全監(jiān)控的方法。該方法通過(guò)一種新的策略語(yǔ)言，控制器可以直接監(jiān)控指定設(shè)備之間的流量，還可以自動(dòng)將云環(huán)境中的虛擬機(jī)遷移流量及其他動(dòng)態(tài)事件的流量轉(zhuǎn)發(fā)到其他網(wǎng)絡(luò)位置，如入侵防御系統(tǒng)(IDS)。同時(shí)，該團(tuán)隊(duì)還提出一個(gè)面向SDN安全用例的新開發(fā)框架FRESCO[9]。這個(gè)框架的腳本功能允許安全人員創(chuàng)建新的模塊化庫(kù)，整合和擴(kuò)展安全功能，從而使用OpenFlow控制器和硬件進(jìn)行控制和管理流量，在SDN網(wǎng)絡(luò)中快速實(shí)現(xiàn)和部署多個(gè)通用網(wǎng)絡(luò)安全功能，從而替代防火墻、IDS和流量管理工具。

② Radware公司基于SDN技術(shù)開發(fā)了一套可以防止拒絕服務(wù)攻擊的軟件DefenseFlowTM，能夠幫助網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)網(wǎng)絡(luò)編程以純網(wǎng)絡(luò)服務(wù)的形式，為客戶提供自動(dòng)的DoS以及DDoS檢測(cè)和防護(hù)。該技術(shù)充分利用控制器的數(shù)據(jù)搜集功能，對(duì)流量分布進(jìn)行檢測(cè)，從而實(shí)現(xiàn)對(duì)攻擊行為的發(fā)現(xiàn)。

③ 微軟宣布了它在內(nèi)部使用了一種自行開發(fā)且基于OpenFlow的網(wǎng)絡(luò)分流聚合平臺(tái)(稱為分布式以太網(wǎng)監(jiān)控，DEMON)，可用于處理微軟云網(wǎng)絡(luò)的大規(guī)模流量。通過(guò)使用可編程的靈活交換機(jī)和其他網(wǎng)絡(luò)設(shè)備，讓它們作為數(shù)據(jù)包攔截和重定向平臺(tái)，安全團(tuán)隊(duì)就可以檢測(cè)和防御目前的各種常見攻擊。

④ 文獻(xiàn)[10]描述了采用OpenFlow探測(cè)DDoS攻擊的方法，該方法通過(guò)自組織映射實(shí)現(xiàn)流量模式的分類從而實(shí)現(xiàn)惡意流量的發(fā)現(xiàn)。

⑤ 文獻(xiàn)[11]提出了一種采用OpenFlow實(shí)現(xiàn)網(wǎng)絡(luò)移動(dòng)目標(biāo)防御的系統(tǒng)，該系統(tǒng)將內(nèi)部主機(jī)的IP地址呈現(xiàn)頻繁變化，從而增加外部網(wǎng)絡(luò)探測(cè)和攻擊的難度。

2.1.2SDN自身安全技術(shù)研究

① 德克薩斯州Texas大學(xué)和SRI公司的研究團(tuán)隊(duì)在SDN安全研究方面，提出了SDN安全操作系統(tǒng)FortNOX[12]。這是一個(gè)由美軍研究中心(Army Research Center)資助的項(xiàng)目，能夠?yàn)镺penflow控制器提供基于角色授權(quán)和安全限制這2種安全增強(qiáng)措施。

② 斯坦福大學(xué)博士Martin Casado和其研究團(tuán)隊(duì)提出了Ethane架構(gòu)[13]，該架構(gòu)通過(guò)一個(gè)中央控制器向基于流的以太網(wǎng)交換機(jī)下發(fā)策略，從而對(duì)流的準(zhǔn)入和路由器進(jìn)行統(tǒng)一管理。在Ethane中，主機(jī)入網(wǎng)和用戶入網(wǎng)都需要通過(guò)主機(jī)認(rèn)證和用戶認(rèn)證過(guò)程，集中式控制器建立起服務(wù)、用戶、主機(jī)、IP地址、MAC地址以及交換機(jī)端口的綁定關(guān)系。

③ 在Openflow協(xié)議安全性研究方面，文獻(xiàn)[14-15]分別針對(duì)OpenFlow協(xié)議的脆弱性及安全性進(jìn)行了分析。

2.2國(guó)內(nèi)研究現(xiàn)狀

國(guó)內(nèi)對(duì)SDN的研究主要集中在SDN的體系架構(gòu)方面，典型的項(xiàng)目包括2012年國(guó)家863項(xiàng)目“未來(lái)網(wǎng)絡(luò)體系結(jié)構(gòu)和創(chuàng)新環(huán)境”等。該項(xiàng)目主要由清華大學(xué)牽頭負(fù)責(zé)，清華大學(xué)、中科院計(jì)算所、北郵、東南大學(xué)和北京大學(xué)等分別負(fù)責(zé)各課題，項(xiàng)目提出了未來(lái)網(wǎng)絡(luò)體系結(jié)構(gòu)創(chuàng)新環(huán)境(Future Internet Innovation Environment，F(xiàn)INE)[16]，并提出一種協(xié)作式的新型域間SDN互聯(lián)技術(shù)WE-Bridge[17]?；赪E-Bridge建立了首個(gè)跨洲際的域間SDN實(shí)驗(yàn)床，不同的試驗(yàn)者通過(guò)虛擬化云平臺(tái)開發(fā)新體系和新協(xié)議，構(gòu)建試驗(yàn)所需的特定虛擬網(wǎng)絡(luò)環(huán)境。通過(guò)網(wǎng)域操作系統(tǒng)，控制不同開放網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)不同數(shù)據(jù)平面的需要。

2013年4月底，中國(guó)首個(gè)大型SDN會(huì)議—中國(guó)SDN大會(huì)在北京召開，中國(guó)電信主導(dǎo)提出在現(xiàn)有網(wǎng)絡(luò)(NGN)中引入SDN的需求和架構(gòu)研究，已成功立項(xiàng)S-NICE標(biāo)準(zhǔn)。中國(guó)移動(dòng)提出了“SDN在WLAN網(wǎng)絡(luò)上的應(yīng)用”等課題。三大國(guó)內(nèi)運(yùn)營(yíng)商的研究機(jī)構(gòu)都高度重視SDN研究，并在部分網(wǎng)絡(luò)中進(jìn)行SDN組網(wǎng)測(cè)試。而華為、阿爾卡特朗訊、愛立信和中興通訊等廠商紛紛推出針對(duì)運(yùn)營(yíng)商數(shù)據(jù)中心和移動(dòng)核心網(wǎng)的方案，SDN在電信行業(yè)的發(fā)展前景廣闊。

在SDN安全方面，目前國(guó)內(nèi)高等院校和研究機(jī)構(gòu)正在積極跟進(jìn)研究，包括SDN網(wǎng)絡(luò)安全面臨的威脅及挑戰(zhàn)，以及SDN思想和架構(gòu)在網(wǎng)絡(luò)安全方面的應(yīng)用[18-20]。以華為、中國(guó)電信和綠盟等為代表的企業(yè)也在投入資源開展SDN安全及SDN安全應(yīng)用方面的研究，綠盟提出了分布式的軟件定義安全架構(gòu)(Software-defined Security Architecture，SDSA)[21]，將安全功能從SDN控制器解耦到專有的安全控制器和安全APP，從而提供全局的流調(diào)度能力，以實(shí)現(xiàn)對(duì)各類攻擊的抵御。雖然國(guó)內(nèi)一些高校和廠商進(jìn)行了SDN安全機(jī)制的探索，但是總體而言還處于起步階段，仍需進(jìn)行大量的研究與實(shí)踐工作。

3SDN安全技術(shù)發(fā)展方向

通過(guò)對(duì)SDN的安全威脅及其安全研究現(xiàn)狀進(jìn)行分析，可以得出SDN安全技術(shù)主要包括3大發(fā)展方向：

3.1基于SDN的網(wǎng)絡(luò)動(dòng)態(tài)防御

基于SDN的網(wǎng)絡(luò)動(dòng)態(tài)防御架構(gòu)如圖2所示，就是利用SDN集中管控的特性，通過(guò)基于通用硬件和特定軟件的重新配置，根據(jù)當(dāng)前網(wǎng)絡(luò)性能及安全事件制定安全策略，動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)防護(hù)措施，淘汰落后的安全防護(hù)產(chǎn)品，實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)能力的動(dòng)態(tài)調(diào)整和重構(gòu)更新。

同時(shí)，通過(guò)將安全應(yīng)用從基礎(chǔ)設(shè)施中分離出來(lái)，可以使得網(wǎng)絡(luò)安全防護(hù)的方法變得更加靈活，在支持現(xiàn)有安全防護(hù)能力的同時(shí)，能夠靈活地、可擴(kuò)展地部署新的安全應(yīng)用，提供新的安全防護(hù)方法，保障網(wǎng)絡(luò)安全防護(hù)能力的連貫性。

圖2　基于SDN的網(wǎng)絡(luò)動(dòng)態(tài)防御架構(gòu)

3.2軟件定義監(jiān)控

軟件定義監(jiān)控就是依托SDN架構(gòu)，通過(guò)使用可編程交換機(jī)和其他網(wǎng)絡(luò)設(shè)備，使其作為數(shù)據(jù)包攔截或重定向平臺(tái)，根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)將網(wǎng)絡(luò)流量重定向到安全設(shè)備中進(jìn)行檢測(cè)和監(jiān)控，從而實(shí)現(xiàn)對(duì)全網(wǎng)流量的集中分析，以及對(duì)常見攻擊的檢測(cè)，如圖3所示。

圖3　軟件定義監(jiān)控原理

3.3SDN自身安全性增強(qiáng)

SDN自身安全性增強(qiáng)則是針對(duì)SDN本身的脆弱性進(jìn)行安全防護(hù)能力的增強(qiáng)，從而抵御SDN架構(gòu)帶來(lái)的安全風(fēng)險(xiǎn)。SDN架構(gòu)自身安全防護(hù)體系具體研究?jī)?nèi)容包括：

① 控制器安全增強(qiáng)技術(shù)，包括策略沖突檢測(cè)、控制器安全基線檢查、日志分析及事件關(guān)聯(lián)措施等；

② 北向應(yīng)用認(rèn)證機(jī)制，實(shí)現(xiàn)對(duì)應(yīng)用的權(quán)限分級(jí)及應(yīng)用的可信認(rèn)證等；

③ 針對(duì)南向接口，針對(duì)OpenFlow協(xié)議，提供協(xié)議安全防護(hù)功能；并通過(guò)采用SSL/TLS加密傳輸機(jī)制，保障控制器下發(fā)的策略的可靠傳輸，防止中間人攻擊；

④ 控制器采用通用的計(jì)算服務(wù)器，因此對(duì)增強(qiáng)計(jì)算服務(wù)器本身安全防護(hù)能力也是需要考慮的問(wèn)題。

4結(jié)束語(yǔ)

SDN體系架構(gòu)的出現(xiàn)會(huì)對(duì)通信領(lǐng)域產(chǎn)生巨大變革，但基于其集中控制、開放的應(yīng)用層等特性，如何實(shí)現(xiàn)安全功能的集中管控與靈活調(diào)配等問(wèn)題，成為各研究機(jī)構(gòu)、安全設(shè)備廠商等關(guān)注的熱點(diǎn)。在加強(qiáng)SDN自身安全性增強(qiáng)的同時(shí)，還應(yīng)主要在網(wǎng)絡(luò)動(dòng)態(tài)防御、軟件定義監(jiān)控等方面入手，以提高SDN的安全性。

參考文獻(xiàn)

[1]Open Networking Foundation.Software-defined Networking:The New Norm for Networks[S]，2012.

[2]蔣林濤.軟件定義網(wǎng)絡(luò)為寬帶網(wǎng)絡(luò)創(chuàng)新提供平臺(tái)[J].世界電信,2013(5):20-21.

[3]JAIN S,KUMAR A,MANDAL S,et al.B4:Experience With a Globally-deployed Software Defined WAN[C]∥China:Proc.of ACM SIGCOMM’13,2013:3-14.

[4]張衛(wèi)峰.深度解析SDN利益、戰(zhàn)略、技術(shù)、實(shí)踐[M].北京：電子工業(yè)出版社,2014.

[5]趙慧玲.SDN—未來(lái)網(wǎng)絡(luò)演進(jìn)的重要趨勢(shì)[J].電信科學(xué),2012(11):1-5.

[6]MCKEOWN N,ANDERSON T,BALAKRISHNAN H,et al.OpenFlow:Enabling Innovation In Campus Networks[C]∥USA:Proc.of ACM SIGCOMM’08,2008:69-74.

[7]刁興玲.SDN嶄新架構(gòu)下網(wǎng)絡(luò)安全如何保障[J].通信世界,2015(1):33-34.

[8]SHIN S,GU G.Cloud Watcher:Network Security Monitoring Using Openflow in Dynamic Cloud Networks (Or:How to Provide Security Monitoring as a Service in Clouds?)[C]∥USA:Proc.of the 20th IEEE International Conference on Network Protocols (ICNP),2012:1-6.

[9]SHIN S,PORRAS P,YEGNESWARAN V,et al.FRESCO:Modular Composable Security Services for Software-defined Networks[C]∥USA:Proc.of NDSS 2012:1-5.

[10]BRAGA R,MOTA M,PASSITO P.Lightweight DDoS Flooding Attack Detection Using NOX/OpenFlow[C]∥USA：Proc.of IEEE LCN,2010:408-415.

[11]JAFARIAN J H,AL-SHAER E,DUAN Q.Open Flow Random Host Mutation:Transparent Moving Target Defense Using Software Defined Networking[C]∥Finland：Proc.of HotSDN’12,2012:127-132.

[12]PORRAS P,SHIN S,YEGNESWARAN V,et al.A Security Enforcement Kernel For OpenFlow Networks[C]∥Finland:Proc.of HotSDN’12,2012:121-126.

[13]CASADO M,FREEDMAN M J,PETTIT J,et al.Ethane:A Logically-centralized Network Architecture for Managing the Security Policies of Enterprise Networks[C]∥Japan:Proc.of ACM SIGCOMM’07,2007:1-12.

[14]BENTON K,CAMP L J,SMALL C.OpenFlow Vulnerability Assessment[C]∥USA:Second ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking,2013:151-152.

[15]KLOTI R,KOTRONIS V,SMITH P.OpenFlow:A Security Analysis[C]∥Germany:Proc.of IEEE International Conference on Network Protocol,2013:1-6.

[16]畢軍.SDN體系結(jié)構(gòu)與未來(lái)網(wǎng)絡(luò)體系結(jié)構(gòu)創(chuàng)新環(huán)境[J].電信科學(xué),2013(8):7-15.

[17]畢軍.域間SDN互聯(lián)技術(shù)WE-Bridge及其實(shí)驗(yàn)床的研究進(jìn)展[J].電信科學(xué),2014(8):28-46.

[18]何恩,張德治,郝平.軟件定義網(wǎng)絡(luò)安全研究[J].通信技術(shù),2014(1):86-90.

[19]王淑玲,李濟(jì)漢,張?jiān)朴?，?SDN架構(gòu)及安全性研究[J].電信科學(xué),2013(3):117-122.

[20]郭春梅,張如輝,畢學(xué)堯.SDN網(wǎng)絡(luò)技術(shù)及其安全性研究[J].信息網(wǎng)絡(luò)安全,2012(8):112-114.

[21]劉文懋,裘曉峰,陳鵬程，等.面向SDN環(huán)境的軟件定義安全架構(gòu)[J].計(jì)算機(jī)科學(xué)與探索,2015(1):63-70.

邵延峰男，(1973—)，碩士，高級(jí)工程師。主要研究方向：通信網(wǎng)絡(luò)安全。

賈哲女，(1984—)，博士，工程師。主要研究方向：網(wǎng)絡(luò)安全。

作者簡(jiǎn)介

中圖分類號(hào)TN915.02

文獻(xiàn)標(biāo)志碼A

文章編號(hào)1003-3106(2016)04-0013-05

基金項(xiàng)目：國(guó)家高技術(shù)研究發(fā)展計(jì)劃(“863”計(jì)劃)基金資助項(xiàng)目(2015AA015701)。

收稿日期：2016-01-20

doi:10.3969/j.issn.1003-3106.2016.04.04

引用格式：邵延峰,賈哲.軟件定義網(wǎng)絡(luò)安全技術(shù)研究[J].無(wú)線電工程,2016,46(4):13-17.