SDN網絡技術的安全架構分析

劉婉

成都石室中學北湖校區

SDN網絡技術的安全架構分析

劉婉

成都石室中學北湖校區

在云計算時代到來之后，各類新型數據中心誕生，將SDN網絡技術應用在其中可以有效提升數據的安全性，使數據之間的交換變得更加便捷、迅速。本文主要針對SDN網絡技術的安全架構進行分析。

SDN網絡技術 安全架構 分析

隨著計算機網絡的發展和云技術的逐漸成熟，SDN網絡技術迅速發展起來。SDN是當前網絡領域的的熱點，是業界公認的未來網絡的發展方向，具有巨大的發展潛力。SDN能夠在短時間內迅速崛起的原因就是數據中心，精確地說它的驅動力來自于數據中心的網絡虛擬化。這也是它與其他網絡的本質區別。SDN技術是一種能夠有效將網絡控制層面和數據轉發層面分離開來的技術，它的存在使網絡具有了編輯的特性。未來的網絡將會跟計算機一樣，只要為它提供一個平臺，它就能夠在這個平臺上對網絡進行可編程設計。但是目前很多人對SDN這一技術并不太熟悉，它的安全問題也是人們比較擔心的問題。

1 SDN網絡技術概述

1.1 SDN/OpenFlow技術的提出背景

SDN/OpenFlow技術是在2006年，在美國斯坦福大學的Nick McKeown 教授的帶領之下，啟動了Clean Slate 項目。這個項目的最終目的是為了能夠創建出一個新穎的互聯網，使之能夠突破現有網絡的限制，可以接納新的技術，能夠提供更加優質的服務。同年，Martin Casado 博士帶領幾位科研人員又提出了Ethane架構。這種構架是通過一個通過CPU向基于流的以太網交換機下發策略，以達到對流的準入和路由統一管理的目的。Ethane架構就成為SDN/OpenFlo技術的發展源頭。在2007年，Nick McKeown 教授和Scott Shenker教授、Martin Casado博士一起 ，創建出了網絡擬化的公司Nicira，最先提出了SDN的概念。2008年Nick McKeown 教授在報紙上發表了《OpenFlow:Enabling Innovation in Campus Networks》一文，提出了讓研究者在網絡上進行新方法的實驗——Open Flow 。從此以后SDN/Open Flow技術迅速發展起來。

1.2 SDN網絡的特點

SDN網絡有著靈活性、開放性以及可編程性的特點，這一技術將傳統網絡抽象邏輯控制模塊分離開來，將其遷移到集中控制器中，這樣，底層網絡基礎設施即可被上層網絡服務與應用，整個網絡就成為一個系統的網絡實體，利用這一網絡實體，可以對系統進行靈活高效的管理。SDN網絡架構主要由應用層、數據轉發層與控制層組成，其核心位于控制層中，這也是整個網絡的大腦。

2 SDN/OpenFlow技術的發展趨勢

SDN的網絡模式適應了時代對網絡提出的要求，實現了有效降低網絡復雜程度的目的，也滿足了網絡的虛擬化和云計算功能。同時也讓傳統的網絡設備參與到新型網絡結構中來。使得控制平面、轉發平面和應用平面分離開來，各自實現自己的功能，方便了網絡的統一管理和高效地維護。

隨著Open Flow規范的不斷更新，越來越多的支持這一技術的配套硬件也廣泛應用起來。在控制層面，還沒有研發出成熟的商用控制產品，它主要是以開源控制器為主；在應用平面，在控制器的應用方面的網絡較少，大多數為學術研究原型，如網絡發現、網絡認證、路由計算等。因此功能完善的控制器是人們研究的目標之一。

從技術角度來看，人們在已經逐步使用SDN的網絡架構的基礎上，注意簡化問題的解決方法，涉及的問題主要有：

1）轉發模型簡化：控制平面需要有一個簡單靈活的轉發模型，并且由控制程序定制出相關的策略；轉發的模型簡化獨立于轉發硬件，這是擺脫對廠商依賴度的關鍵技術；支持MPLS、OpenFlow等標準。

2）全局視圖呈現：網絡設備和網絡拓撲結構狀態間的映射；對它的分布式狀態進行簡化，它們的管理都歸后臺的數據庫統一維護、保持一致；全局拓撲結構的動態監測、及時更新、及時推送。

3）網絡操作系統簡化：有效對網絡轉發設備的通信接口進行簡化，從專發設備收集狀態信息，根據信息進行綜合分析，并向專發設備下達控制指令；簡化與上一層的服務通信接口，做到透明傳輸，為網絡應用提供底層抽象資源；創建全局網絡拓撲視圖，在控制器上做出分布式呈現。

3 網絡安全發展新方向

傳統的網絡安全技術已經不適合SDN架構的新網絡結構了，那么如何對SDN架構的網絡進行有效地安全防護成為一個重要的研究方向。由于SDN技術處于規劃和探索階段，所以與它相關的安全技術研究也處于剛起步階段。

在SDN三層體系中，安全性主要體系在控制平面和應用平面兩個層次上，主要包含兩類方向和三類應用。兩類方向是：1）為了確保安全策略的一致性和網絡的可用性，主要是通過加強安全策略和沖突檢測的手段，確保數據在控制平面穩定運行；2）通過在應用平面開發、部署新的安全應用，實現網絡安全防護功能。三類應用及其安全方向是：1）網絡管理應用，可以實現網絡可視化、網絡優化、拓撲呈現等功能；2）安全服務應用主要包含流量清洗、攻擊過濾、病毒過濾等。3）安全管理應用可以實現測量管理和流量分析功能。

4 結束語

總之，SDN/OpenFlow技術的提出極大地推動了網絡的發展，也受到學術界的廣泛關注。本文主要分析了它的起源與技術和將來的安全發展方向問題，為我們科學合理使用SDN技術提供了理論基礎。

[1]左青云,陳鳴,趙廣松,邢長友,張國敏,蔣培成. 基于OpenFlow的SDN技術研究[J]. 軟件學報. 2013(05)

[2]鄒珺,羅鋒華,羅國友.基于域控系統的網絡安全架構的應用和研究[J]. 黑龍江科技信息. 2010(28)

[3]吳剛.五行理論與網絡安全架構的整合[J].網絡安全技術與應用. 2010(04)

[4]余濤,畢軍,吳建平.未來互聯網虛擬化研究[J].計算機研究與發展.2015(09)