周傳婷

摘 要 計算機(jī)網(wǎng)絡(luò)安全問題是計算機(jī)網(wǎng)絡(luò)安全領(lǐng)域一直探討的話題，本文通過對于OpenFlow環(huán)境下計算機(jī)網(wǎng)絡(luò)安全技術(shù)進(jìn)行探討，首先從OpenFlow技術(shù)進(jìn)行概述，探討了基于OpenFlow框架下計算機(jī)網(wǎng)絡(luò)安全問題，并提出了解決問題的措施，最后指出OpenFlow技術(shù)還存在的一些不足，希望可以給計算機(jī)網(wǎng)絡(luò)安全技術(shù)相關(guān)研究人員提供一些參考。

關(guān)鍵詞 0penFlow；計算機(jī)網(wǎng)絡(luò)；安全技術(shù)；研究

中圖分類號 TP3 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2017）191-0077-02

計算機(jī)技術(shù)的發(fā)展，使得網(wǎng)絡(luò)規(guī)模的不斷壯大，原有的計算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)不能使用當(dāng)前的網(wǎng)絡(luò)應(yīng)用需求，在計算機(jī)網(wǎng)絡(luò)安全、管理、服務(wù)等方面出現(xiàn)了很多問題。在這種情況下，以O(shè)penFlow為基礎(chǔ)的網(wǎng)絡(luò)虛擬技術(shù)給計算機(jī)網(wǎng)絡(luò)安全領(lǐng)域帶來了很大的變化，這種虛擬網(wǎng)絡(luò)完全技術(shù)是以抽象的表達(dá)方式將物理資源進(jìn)行分層控制，即將傳輸層與控制層進(jìn)行分析，從而實現(xiàn)了網(wǎng)絡(luò)自主管控的靈活性和安全性，為計算機(jī)網(wǎng)絡(luò)管理創(chuàng)新提供了機(jī)遇，本文就OpenFlow技術(shù)下計算機(jī)網(wǎng)絡(luò)安全技術(shù)進(jìn)行了簡單的分析。

1 OpenFlow技術(shù)的概述

1.1 OpenFlow的定義

OpenFlow技術(shù)是由斯坦福大學(xué)提出的，是用于解決當(dāng)前互聯(lián)網(wǎng)面臨新業(yè)務(wù)出現(xiàn)的不足而創(chuàng)立的，其原理是把原本由交換機(jī)或者路由器控制的數(shù)據(jù)包轉(zhuǎn)發(fā)過程，替換成由OpenFlow交換機(jī)和控制服務(wù)器獨(dú)立完成的過程。即OpenFlow網(wǎng)絡(luò)由OpenFlow交換機(jī)和Controller兩個部分組成，OpenFlow交換機(jī)是由流表、安全通道和OpenFlow協(xié)議三部分組成，通過對于路由控制和數(shù)據(jù)轉(zhuǎn)發(fā)的分離，依據(jù)事先規(guī)定好的接口操作來控制OpenFlow交換機(jī)中的流表來控制數(shù)據(jù)的轉(zhuǎn)發(fā)。

1.2 OpenFlow的發(fā)展

OpenFlow的起源來自于學(xué)院派，這種技術(shù)起源于實驗室，發(fā)展到商業(yè)領(lǐng)域。最早是在2008年4月，由斯坦福大學(xué)尼克·麥克柯恩教授在ACM通信綜述上發(fā)表的一篇論文中，講述了OpenFlow的原理，并提出了在現(xiàn)實中的意義，隨后在美國GENI項目中應(yīng)用。從OpenFlow的提出到今天，不但在硬件支持方面取得了不斷的發(fā)展，在軟件方面也實現(xiàn)了長遠(yuǎn)發(fā)展，日本作為一個科學(xué)技術(shù)研究發(fā)展的先進(jìn)國家，先后研制的兩款交換機(jī)是支持OpenFlow最成熟的交換機(jī)之一，它們分別是IP8800/S3640-24T2XW和IP8800/S3640-48T2XW。在2009年12月，OpenFlow正式的發(fā)布了可用于商業(yè)的1.0版本，與此同時也OpenFlow相應(yīng)的支持軟件也逐漸成熟。

2 基于OpenFlow下的計算機(jī)網(wǎng)絡(luò)安全框架建立

2.1 OpenFlow技術(shù)架構(gòu)

OpenFlow技術(shù)架構(gòu)首先是OpenFlow control進(jìn)行轉(zhuǎn)發(fā)策略的下發(fā)，之后與OpenFlow交換機(jī)進(jìn)行安全通信連接，在這個過程中，是由OpenFlow協(xié)議進(jìn)行策略的傳輸，并且OpenFlow協(xié)議還兼負(fù)著網(wǎng)絡(luò)安全狀態(tài)。在這個過程中OpenFlow control和OpenFlow Switch可以同時建立一對一或者是一對多的工作模式。當(dāng)前，OpenFlow儲存利用率和檢索速度已經(jīng)得到了很大的提高，這主要得益于流水線式多表結(jié)構(gòu)的提出。在運(yùn)行的過程中，數(shù)據(jù)包的匹配順序是從流表的0開始，匹配到流水線式對應(yīng)的表項時候，就執(zhí)行相應(yīng)的指令；匹配過程之中，如果沒有符合要求的流表項，則OpenFlow協(xié)議就會將數(shù)據(jù)包丟棄，或者是再次轉(zhuǎn)發(fā)給OpenFlow control。

2.2 基于OpenFlow的計算機(jī)網(wǎng)絡(luò)安全技術(shù)設(shè)計

在OpenFlow下計算機(jī)網(wǎng)絡(luò)安全設(shè)計中，每一項數(shù)據(jù)流都會經(jīng)過控制器，控制器的作用就是對于數(shù)據(jù)流進(jìn)行檢查，之后由控制器進(jìn)行數(shù)據(jù)流的流向處理，從而實現(xiàn)控制全網(wǎng)的目的。但是由于OpenFlow技術(shù)在傳遞信息過程，只是簡單的進(jìn)行防火墻的過濾，其安全性存在一定的弊端。而隧道技術(shù)和OpenFlow技術(shù)的結(jié)合，可以很好的解決這一問題。

3 分析在OpenFlow下計算機(jī)網(wǎng)絡(luò)安全技術(shù)分析

3.1 OpenFlow下計算機(jī)網(wǎng)絡(luò)安全與傳統(tǒng)網(wǎng)絡(luò)安全對比分析

在傳統(tǒng)的網(wǎng)絡(luò)安全操作系統(tǒng)中，需要計算機(jī)程序開發(fā)人員需要使用機(jī)器語言編程，直接對最底層的物理資源進(jìn)行管理，這種方法不僅使得程序的編寫繁瑣，還會對于網(wǎng)絡(luò)安全問題帶來極大的隱患。基于OpenFlow下的計算機(jī)網(wǎng)路系統(tǒng)是利用抽象的交換平臺，為網(wǎng)絡(luò)管理這提供一個借口，在這個接口中進(jìn)行網(wǎng)絡(luò)的管理和維護(hù)。與傳統(tǒng)的網(wǎng)絡(luò)安全操作系統(tǒng)對比，OpenFlow實現(xiàn)了網(wǎng)絡(luò)控制層與轉(zhuǎn)發(fā)層的分離，比如在NOX中，OpenFlow交換機(jī)負(fù)責(zé)轉(zhuǎn)發(fā)層各項數(shù)據(jù)的轉(zhuǎn)發(fā)，控制器控制整個網(wǎng)絡(luò)則是依據(jù)OpenFlow協(xié)議提供的一個接口，然后NOX自身則不需要對網(wǎng)路進(jìn)行管理。

3.2 OpenFlow下計算機(jī)網(wǎng)絡(luò)安全技術(shù)要點(diǎn)分析

針對于以上的網(wǎng)絡(luò)安全技術(shù)，下面將其中關(guān)鍵的安全問題進(jìn)行分析討論。首先，在信息轉(zhuǎn)發(fā)的過程中，是采用了OpenFlow技術(shù)和隧道技術(shù)相結(jié)合，并設(shè)置了NetFPGA。之后是在數(shù)據(jù)流過程中增加了檢查和隧道開關(guān)，在隧道開關(guān)和檢查上，一般會定義3個固定程序，即利用計算機(jī)二進(jìn)制，隧道開關(guān)中，00代表不需要隧道封裝；11代表需要隧道封裝；10代表解封裝 。在檢查上，00代表沒有進(jìn)行安全檢查；11代表檢查完畢，安全；10代表檢查完畢，不安全。其次，是交換機(jī)在傳遞PC1信息時候，先利用隧道技術(shù)，將信息可以直接通過交換機(jī)傳遞到NetFPGA進(jìn)行安全檢查。

3.3 OpenFlow目前面臨的技術(shù)問題分析

OpenFlow目前首先面臨的技術(shù)問題就是在交換器中尋找TCAM存儲器成本問題。在傳統(tǒng)的設(shè)備中，為了節(jié)約成本，在設(shè)計字段長度時候，依據(jù)MPLS lable、MAC表，然而在OpenFlow設(shè)備中，智能通過最大長度的流表來替換，這一點(diǎn)與傳統(tǒng)的設(shè)備相比，成本足足增加了3倍，在TCAM的功耗上顯著提升了。盡管在新版本的OpenFlow中設(shè)計多級流表來減少開支，但是流量的生成與TCAM下維護(hù)算法復(fù)雜程度有增加了，截止到目前，還沒有一個測評報告發(fā)布。另外，在OpenFlow實現(xiàn)網(wǎng)絡(luò)通信的過程是依據(jù)流表，這就要求流表能夠準(zhǔn)確的將網(wǎng)絡(luò)中各元素抽象出來，但是目前在抽象的過程還存在許多問題，比如在對于流表的轉(zhuǎn)發(fā)過程，盡管可以通過修改控制器邏輯支持新的OpenFlow協(xié)議，但是還不能很好的對各種現(xiàn)存的接入?yún)f(xié)議和匹配規(guī)則提供支持。

4 結(jié)論

通過以上的分析和討論，針對于OpenFlow下計算機(jī)網(wǎng)絡(luò)安全技術(shù)分析，與傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)有很大不同，計算機(jī)網(wǎng)絡(luò)安全技術(shù)要求網(wǎng)絡(luò)信息傳遞要具備保密性、完整性和安全性，本文所提出的計算機(jī)網(wǎng)絡(luò)安全框架還會存在一些弊端，隨著科學(xué)技術(shù)的發(fā)展，OpenFlow技術(shù)將會不斷完善，計算機(jī)網(wǎng)絡(luò)安全技術(shù)將會得到進(jìn)一步的提高，希望本文所探討的內(nèi)容能夠給相關(guān)研究人員帶來一些啟示，為計算機(jī)網(wǎng)絡(luò)安全技術(shù)研究作出貢獻(xiàn)。

參考文獻(xiàn)

[1]趙靜.基于OpenFlow的計算機(jī)網(wǎng)絡(luò)安全技術(shù)研究[J].機(jī)械設(shè)計與制造工程，2015，44（12）：56-58.

[2]邵國林，陳興蜀，尹學(xué)淵，等.基于OpenFlow的虛擬機(jī)流量檢測系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機(jī)應(yīng)用，2014，34（4）：1034-1037.

[3]郁峰.軟件定義網(wǎng)絡(luò)架構(gòu)下的安全問題綜述[J].現(xiàn)代計算機(jī)，2014（16）：13-20.