試論SDN架構及安全性

山發軍++李虎

摘 要：軟件自定義網絡（SDN）作為一種新型的網絡架構，其實現了網絡設備控制平面與數據平面的相互獨立，受到社會各界的廣泛關注。論文對SDN的架構及其安全性進行了討論，并提出了SDN安全防范策略，希望為相關應用提供一些簡單的參考。

關鍵詞：SDN；架構；安全性

中圖分類號：TP393.02 文獻標識碼：A 文章編號：1671-2064（2017）18-0022-01

1 SDN技術架構

SDN是近年來新興的一種網絡架構，該架構可以直接變成，其核心理念是將傳統設備緊耦合的網絡架構解耦成為應用、控制以及轉發3層相互分離的架構[1]，通過標準化來實現網絡的集中管理和控制，同時實現網絡應用的可編程化，圖1給出了SDN架構的具體圖示。

在SDN架構下，關鍵是實現開放和標準化，具體表現如下[2]：標準化數據面與控制面的接口，對網絡基礎設施資源在類型、支持的協議等方面的異構性進行屏蔽，從而實現數據面網絡資源設施地無障礙接收控制面所下發的指令，以承載網絡中的數據轉發業務；標準化控制層以及應用層接口則是為上層應用提供一個統一的管理和編程的接口，從而為用戶通過軟件進行網絡控制和網絡服務的定義提供了媒介。

SDN技術架構的應用，推動了網絡在產業鏈結構中價值從成本中心向核心競爭力的進一步轉變。SDN技術基于OpenFlow實現，其為企業和用戶帶來了更加靈活的網絡管控、更加高效地資源利用以及更具彈性化的資源調度，具體架構如圖2所示[3]。

（1）更加靈活的網絡管控。首先，標準化的接口實現了對設備異構性的屏蔽，從而能夠實現對各種異構網絡設備的集中統一管理和控制；其次，SDN控制器可以對網絡進行同意的控制管理，不需要對每一臺設備的配置參數進行手動設置。（2）更加高效地資源利用。SDN控制器能夠對所有網絡基礎設施的運行狀態進行實時監控，因此，可以根據設備的運行狀態實現對網絡資源的智能、靈活調配，避免各種資源的盲目調用，進一步提高資源的利用效率。（3）更具彈性的資源調度。應用層能夠借助標準化控制層以及應用層接口制定符合實際業務需求的網絡資源調度策略，并通過SDN控制器將該策略配置到網絡設備中，使網絡的資源調度具有更大的彈性。

2 SDN安全分析

所有信息技術需要面對的首要問題就是安全性方面的問題，信息安全包括信息的完整性、可用性、保密性以及可靠性。SDN作為新興的信息技術，其安全性的分析非常重要。

2.1 SDN安全特點

相對于傳統的網絡架構而言，由于SDN架構本身的創新性，其安全性也具有不同的特點，主要包括以下兩個方面[4]：

（1）由SDN控制器對網絡設備集中控制帶來的安全風險。SDN架構使得各種資源的配置、控制以及服務都全面集中在控制器上，這就使得控制器成為了網絡黑客、病毒重點攻擊的目標，攻擊者只需要獲得控制器的控制權，即可實現對網絡中各種資源設備的控制，而隨著云計算技術的發展，使這種攻擊變得更加容易。（2）SDN架構本身的開放性帶來的安全風險。SDN能夠實現對各種異構網絡設備的統一管理和配置，但是這需要各種開放接口來提供支持。在應用層面，SDN控制器提供了大量開放性的可編程接口，供給者很可能通過這些開放性的接口對SDN網絡展開攻擊，使這些接口成為網絡的安全漏洞。因此，為了避免開放性帶來的安全風險，對開放接口進行評估師SDN控制器設計需要首要考慮的問題。

2.2 SDN架構安全性方面的挑戰

當前，SDN架構安全性所面臨的挑戰主要包括以下兩個方面的內容：

（1）控制面的安全問題。在SDN架構的集中管控模式下，其控制面面臨著下面三個方面的安全威脅：第一，不法分子能夠從網絡中找到SDN架構控制器的切入點，然后進入控制器，并篡改其中的各種操作指令；第二，步伐分子能夠通過特定的手段向控制器輸送大量的服務請求，并給出虛假的請求反饋地質；第三，可以通過一些控制器的安全漏洞，向控制器輸送病毒和木馬。（2）應用面的安全問題。SDN架構的應用面主要面臨以下兩個方面的安全威脅：第一，不法分子將一些蠕蟲或間諜程序輸送到應用層，盜取相關的信息；第二，應用層的安全規則存在沖突，反而影響到其本身的安全性。

3 結語

SDN架構為未來網絡發展提供了一種全新的思路，其順應了當前網絡的應用和發展趨勢，要想SDN架構的安全應用，需要進一步提高其安全性，可以從以下三個方面入手：

第一，制定相對健全的安全策略，并嚴格執行安全策略，同時，需要展開設備隔離工作。

第二，制定相對完善的訪問和授權規則，同時需要對異常設備進行預警和隔離，避免異常設備對整個SDN網絡中的設備產生影響。另外，需要進一步提升控制器的網絡行為分析能力，從而提前預警各種非正常的網絡行為。

第三，需要加強對開放性接口的安全檢測，提升對各種潛在安全威脅的識別能力和處理能力。

參考文獻

[1]劉小春.SDN網絡安全性研究[J].信息通信，2017，（04）：96-97.

[2]邵延峰，賈哲.軟件定義網絡安全技術研究[J].無線電工程，2016，（04）：13-17.

[3]劉亮龍，方獻梅.SDN架構及安全性的研究與探討[J].電腦知識與技術，2015，（13）：47-48+51.

[4]郭春梅，張如輝，畢學堯.SDN網絡技術及其安全性研究[J].信息網絡安全，2012，（08）：112-114.endprint