李婧璐

摘要

SDN作為一種新型的網(wǎng)絡架構，擁有優(yōu)秀的靈活性與可擴展性，對于網(wǎng)絡虛擬化、低成本化的要求顯示出獨特的優(yōu)勢。對于大型企業(yè)的網(wǎng)絡，因為接入用戶數(shù)量龐大，對于企業(yè)內部敏感數(shù)據(jù)保護，以及用戶上網(wǎng)行為的規(guī)范化顯得倍加重要。本文通過分析SDN架構中的安全特點以及安全威脅，提出了一種SDN架構下的安全技術框架，其較傳統(tǒng)的網(wǎng)絡系統(tǒng)，具有更而的可擴展能力，同時擁有更靈活的策略配置與硬件資源分配能力。不但便于對系統(tǒng)運維，而且硬件資源可以更為有效的得到利用。

【關鍵詞】SDN架構 信息安全

1 SDN技術及現(xiàn)狀

SDN（Software Defined Network）是一種新型網(wǎng)絡架構，OpenFlow技術是這一架構的核心技術，由美國斯坦福大學Clean Slate研究組首先提出。它的核心是將控制平面與轉發(fā)平面分離來實現(xiàn)網(wǎng)絡流量的靈活控制，能夠為核心網(wǎng)絡、應用創(chuàng)新提供良好的平臺。在SDN架構下，開放和標準化是核心關鍵點。

從近兩年SDN的發(fā)展情況來看，SDN的應用嘗試和商用部署主要集中于數(shù)據(jù)中心領域。對互聯(lián)網(wǎng)企業(yè)而言，網(wǎng)絡結構相對簡單，流量流向相對單一，使用SDN技術有效的降低了組網(wǎng)成本。電信運營商期望能夠通過SDN技術，實現(xiàn)多廠商設備網(wǎng)絡環(huán)境集中高效控制，促進網(wǎng)絡和業(yè)務創(chuàng)新。

2 SDN架構的安全特點

SDN架構提供了一個平臺，它具有高可擴展性、高靈活性的網(wǎng)絡部署，精細高效的數(shù)據(jù)流控制等特點。較目前的網(wǎng)絡架構，SDN能提供更安全、可靠的對網(wǎng)絡設備的集中式、自動化管理、統(tǒng)一的策略執(zhí)行等。諸如訪問控制、防火墻、人侵檢測、人侵防御等可以利用開放API輕松方便地實現(xiàn)集成到SDN中，革命性的創(chuàng)新為網(wǎng)絡架構帶來了很多靈活性同時也使得SDN中的安全問題呈現(xiàn)出其特有的特點。

SDN架構管理的集中性體現(xiàn)在將網(wǎng)絡配置、網(wǎng)絡服務訪問控制、網(wǎng)絡安全服務部署等的集中。這種集中的布局雖然易于管理，但是如果有攻擊者成功實施了對控制器的攻擊結果將會導致網(wǎng)絡服務的大面積癱瘓更有甚者會影響控制器覆蓋的整個網(wǎng)絡范圍。SDN的另外一個重要特點就是開放性，開放性使得SDN可以實現(xiàn)統(tǒng)一管理、配置異構網(wǎng)絡設備、提供可編程特性等等，但也正是開放性的特點，架構同樣面臨很多的安全隱患。比如安全漏洞和策略的不完備性等都充分地暴露，攻擊者從而輕易掌握足夠的信息制定攻擊策略；另外應用層大量的可編程接口會帶來接口的濫用等問題，容易引發(fā)DDoS攻擊等；因此，為了阻擊攻擊，就需要消除各種安全隱患，需要做好開放的接口的安全評估。

綜上，我們會發(fā)現(xiàn)，SDN架構自身的優(yōu)點，比如網(wǎng)絡的集中管理、運營維護成本等都比現(xiàn)有網(wǎng)絡架構更有優(yōu)勢，不過從當前的發(fā)展階段來看，SDN架構存在的安全隱患也讓我們不得不正視制約SDN架構技術的發(fā)展，只有解決了存在的安全問題，這項技術才能得到更多的應用和推廣。

通過對SDN三層體系的研究，我們會發(fā)現(xiàn)控制平面和應用平面是SDN中的安全問題集中所在。

2.1 控制平面的安全

SDN安全首先要解決的問題就是集中化的控制。集中化控制是關鍵，直接關系著網(wǎng)絡服務的可用性、可靠性和數(shù)據(jù)安全性，承載著網(wǎng)絡環(huán)境中的所有控制流。在控制面中，面臨的威脅主要包括以下方面：

網(wǎng)絡監(jiān)聽：網(wǎng)絡中，當信息進行傳播的時候，攻擊者通過對控制器上的控制信令進行偽造和修改，便可捕捉到網(wǎng)絡中正在傳播的信息。

IP地址欺騙：攻擊者通過把偽造的源IP地址替換其行動產(chǎn)生的IP數(shù)據(jù)包，從而冒充其他身份，騙取交換機的信任，對網(wǎng)絡進行破壞。

DDoS攻擊：分布式拒絕服務攻擊，攻擊者通過利用客戶或者服務器技術，發(fā)動大量的正常或非正常請求、耗盡目標主機資源或網(wǎng)絡資源，直到控制器因過載而拒絕為合法用戶提供服務。

病毒攻擊：控制器中存在的漏洞導致攻擊者能夠獲取控制器的控制權，能夠執(zhí)行惡意代碼進行攻擊等。

2.2 應用平面的安全

SDN架構的推廣和發(fā)展豐富了應用層的網(wǎng)絡服務的同時，接踵而來的就是各類安全隱患的出現(xiàn)，主要的安全隱患有以下兩種：

惡意應用：在應用層的應用中植入病毒、木馬等程序，通過破壞進程來實施對控制面的正常工作進程的控制；

安全規(guī)則沖突：由于考慮到安全的原因，應用層會隨著應用的復雜而制定各種安全規(guī)則，這樣會導致多個應用之間安全規(guī)則的互相沖突，增加了網(wǎng)絡服務的管理難度。

3 SDN架構下的安全技術框架

安全的SDN架構，首先需要對重點設備或者重點控制器進行監(jiān)控，能夠及時發(fā)現(xiàn)問題和排除異常情況，其次需要對架構中的設備、應用、安全策略、服務管理等進行有效管理，所以威脅分析、防御規(guī)則是解決SDN中的安全問題中至關重要的。

另外，跨越多層次的安全評價體系和安全管理制度的提出也完善了架構安全。通過對架構各個方面進行安全評價和分級以及制定評價標準達到可視化的安全管理模式，由控制器對評價中安全級別低的應用或服務進行分別處理，如此安全策略配置和管理的差異化更加適應不用的管理人員。

4 結論

近年來，越來越多的技術團隊提出關于SDN安全的需求分析及解決方案。本文就SDN架構下的安全問題的特點給出架構下的系統(tǒng)方案，希望在早期設計階段完成系統(tǒng)安全規(guī)劃，如果等到SDN系統(tǒng)運行時再去強化南北向接口的通信安全，那么有可會造成網(wǎng)絡所提供的服務質量不穩(wěn)定。和大多數(shù)新生事物一樣，盡早的規(guī)劃，企業(yè)可以在研發(fā)道路上少走許多彎路。

參考文獻

[1]McKeown N，Anderson T，Balakrishnan， et al.OpenFlow： enabling innovation in campus networks [J] . ACM SIGCOMM Computer Communicat ion Review，2008， 38 （02）： 69-74.

[2]林闖，賈子驍，孟坤.自適應的未來網(wǎng)絡體系架構[J].計算機學報，2013.