軟件定義網絡安全技術研究

◆盧湛昌

（廣東省電信規劃設計院有限公司 廣東 510000）

軟件定義網絡安全技術研究

◆盧湛昌

（廣東省電信規劃設計院有限公司 廣東 510000）

就目前時代的發展潮流來看，互聯網已經遍布到世界的每一個角落，無論是生產、生活每一個領域都有互聯網技術的存在，豐富多彩的互聯網建設模式已經成為歷史發展的必然結果，現在沿用傳統的互聯網結構恐怕難以被現代人所接受。軟件定義網絡（SoftwareDefinedNetwork，SDN）是現代社會發展的必然產物，作為最前沿的發展技術，有效的幫助眾多領域做好監控、管理和統計的工作。由于互聯網具有強大的存儲容量和超強的記憶性能，并且可以隨時更改數據的狀態，這樣的優勢必然會是現今社會上作為信息交流最大的變動。本文詳細的講述了目前SDN最基本的存在形式、自身的特性和自身的不足之處，并且還從SDN技術是否具有安全性能的角度進行深入的闡述，綜合概述出其自身的技能特色。除此之外，對SDN未來的發展狀態進行了預估，主要是從互聯網智能防范、軟件定義監管和互聯網自身可行性及正常運行三個角度進行闡述，并且SDN自身安全性能的增強會有效的促進其他兩個方面的發展進程，對其他兩方面形成促進和帶動的作用。

SDN；安全威脅；動態防御；軟件定義監控

1 軟件定義網絡架構及安全威脅分析

根據研究顯示最早得出軟件定義網絡含義的地點位于美國斯坦福大學中一個研究課程：CleanState項目。軟件定義網絡的主要建設依據在于利用相關知識把之前整個大的體系拆分為多重小的部分：資料體系、監管體系和使用體系，除此之外，研究人員還制造出計算機操作方案，以此幫助建設者對先前的整體完成拆分工作，將整個系統的變革成為事實，可以說是在為今后的互聯網領域奠定了新型建設基礎。

圖1 SDN架構及安全威脅分析

SDN架構及安全威脅分析如圖1所示，主要涵蓋了以下三點：資料體系、監管體系和使用體系。一般來說，在資料體系和監管體系的功能輔助下，SDN被從傳統的互聯網操作機械工作中分理出來了監管體系，接著把整個監管體系的建設平臺放在一個具有統一規劃和統一制造的軟件管理設備中，進而不斷縮減最基本的操作步驟，縮減軟件計算的繁瑣步驟，降低了操作人員的認知難度。SDN主要是把監管體系和資料統計體系的銜接部分進行修改，不斷簡化基礎部位的硬件設備，繼而對基礎層面的硬件設備進行阻止。對于底部的操作步驟可以利用計算機監管設備中的API控制整個基部的機械，從而完成對建設整體的監管工作，但是現今社會上擁有的軟件監管設備的機械臺數太少，根本不能和原有的互聯網體系中的電子設備進行對比，由此可以看出整個運作環節的簡便和單一性，減少了設備的繁瑣以及監管體系的工作量；除此之外，一般情況下操作軟件監管設備的工作人員均為另外一家企業負責，根本不會涉及到硬件生產企業的參與，這樣一方面使得系統工作變得更加公平和透明，另一方面對于完善和改正軟件的新型意義，可以在軟件設備上進行，根本不需要改變整個系統，跟之前的互聯網模式相比簡化不少。

眾所周知，SDN可以幫助互聯網完成資料體系、監管體系和使用體系從整體系統中劃分出來的工作，還可以幫助降低基部硬件的任務量、降低互聯網組合裝置的安裝時間，并為高級層面提供整個互聯網體系的畫面等等，雖然SDN的優勢數不勝數，然而不得不說，它仍然處于一個剛剛被創造的萌芽期，自身的建設結構依然存在眾多不足，還有很多需要完善的地方，為了避免SDN的危害性質表現出來，人們應當防范于未然，盡可能的減少互聯網監管的工作量、減少更新互聯網體系的時間，與此同時，為可能出現的危險事故作出最正確的預測和防范措施。

1.1 控制層安全威脅

眾所周知，SDN最主要的一項技能就是可以對互聯網進行全面和統一的規劃、監管。這項技能涉及到很多方面：互聯網設備的組合方式、互聯網進出流量的監管以及互聯網維護工作的安排等等，都被安裝在SDN部位。雖然強化了SDN的技能，但無形中也加劇了其損壞的危險度。第一點，因為其具有強大的整體監管特性，也就是成為破壞者關注的焦點；第二點，由于特性涉及到的層面很多，有可能會出現資源供給不足的問題；第三點，其自身的通透性也就創造了危險狀態。

1.2 應用層安全威脅

整個SDN的結構為SDN的監管設備在使用時創建了眾多的可操作的銜接部位，但是過多的銜接部位很容易被技術不準確的人員隨意使用，喪失掉該階段銜接公開性的價值，而且目前對使用的機械設備管理標準有一定的缺陷，沒有形成準確的管理制度，為一些不良設備和軟件的進入提供了更多的機會，這樣一來破壞者就可以很輕易進入到互聯網監管設備中，造成對互聯網的安全性能的威脅。

2 SDN安全技術發展方向

根據上述講述SDN的自身安全問題和對它自身安全體系建設的分析，可以看出互聯網的安全維護體系還是需要改進的，比如說以下這兩項技術層面的問題就很值得關注：

2.1 基于SDN的網絡動態防御

所謂SDN的互聯網智能防范的含義，可以解釋為借助SDN具有統一規劃的性質，把所有可以共同使用的通用硬件及按照某一要求設定的軟件創建新的組合方式，給定不一樣的機械設備。之后，按照目前企業對于建設互聯網的安全性能、防范危險情況的發生標準，以及創新互聯網原有特性的要求給出新的建設規劃方案，將互聯網的安全體系安裝智能系統，爭取在每時每刻都可以防范網絡使用的安全性，排斥并拋棄傳統的防范工具，真正的帶動互聯網安全建設環節的改革和發展方向，將整個互聯網增強免疫強度。除此之外，可以把維護安全的設備和環節統統移出最底層的建設部分，單獨的進行互聯網維護的工作，減少進行互聯網防范工作的繁瑣性，使得整個安全維護體系可以充分發揮當前的安全防范措施，并且相關的管理者還能夠有充足的時間發現安全隱患，創建新型的維護方案，提升整個安全維護體系的價值和可操作性，進而可以保證互聯網的安全性能。

2.2 軟件定義監管

軟件定義監管的出現是建立在SDN自身強大的組織結構之上的，其借助可進行操作的互換設備以及相關聯的互聯網工具，幫助其完成對于相關資料的阻攔工作或者是準確定位新的推送方向，這樣一來，軟件定義監管系統就會按照系統提示的互聯網安全指標，為資料尋找最適合其的去向，也就是尋找下一個流動方向，并且在整個運作環節一直會有監控系統進行檢查，由此可以將整個互聯網信息的流向進行整體的控制和研究，甚至是一些經常遇到的操作困難。

3 結束語

一般來說，SDN系統模式的改變是目前信息交流建設方面最大的、最突出的進步點，雖然如此，但改革的過程也并不是一帆風順的過程，就比如說互聯網本身眾多的特點：統一協調和監管、公開性和透明性的操作步驟等等，那么怎么才能夠保證SDN體系在進行安全操作的同時做好統一協調和監管、公開性和透明性的操作步驟的工作成為每一個人最大的關注點，也將被每一個研究人員和機械設備的生產企業所注意。這就要求操作人員必須要做到以下要求：（1）不斷強化SDN本身的安全性能；（2）將互聯網智能防范、軟件定義監管工作做到實處，為更好的建設SDN自身的安全工作提供良好的前提條件。

[1]王蒙蒙，劉建偉，陳杰，毛劍，毛可飛.軟件定義網絡：安全模型、機制及研究進展[J].軟件學報，2016.

[2]邵延峰，賈哲.軟件定義網絡安全技術研究[J].無線電工程，2016.

[3]吳慶彪.軟件定義網絡Web認證與訪問控制技術研究[D].西南交通大學，2015.

[4]李紀舟，何恩.軟件定義網絡技術及發展趨勢綜述[J].通信技術，2014.

[5]馬虔.軟件定義網絡環境下的安全流平臺研究[J].信息安全與技術，2014.