SDN網絡安全架構的研究

摘 ?要： 軟件定義網絡（SDN）是一種新型網絡架構。它實現了傳統網絡架構中網絡管理功能的集中，使得SDN中的安全問題呈現出其特有的特點。本文在研究SDN控制器的基礎上，系統梳理了SDN技術在安全方面所面臨的威脅，給出了一種增強SDN安全的改進型的SDN架構，期望能對SDN的安全控制提供一定的參考作用。

關鍵詞： SDN;安全架構;安全威脅

中圖分類號： TP311 ? ?文獻標識碼： A ? ?DOI：10.3969/j.issn.1003-6970.2020.08.003

本文著錄格式：唐國純. SDN網絡安全架構的研究[J]. 軟件，2020，41（08）：10-13

【Abstract】： Software Defined Network （SDN） is a new network architecture. It realizes the concentration of network management functions in the traditional network architecture， and at the same time makes the security issues of SDN present its unique characteristics. Based on the study of SDN controllers， this paper systematically analyzes the security threats faced by SDN technology， and presents an improved SDN architecture that enhances SDN security. It is expected to provide a certain reference for the security control of SDN.

【Key words】： SDN; Security architecture; Security threats

0 ?引言

SDN（software defined Networking）體系結構實現了傳統結構中對網絡資源視圖的全局管控。它提升了網絡資源交付能力，是傳統網絡體系結構的革命性創新。該創新在帶來管理和運營上的方便的同時也讓SDN面臨特殊的安全威脅。SDN控制能力的集中使得控制器的安全性和性能成為整個網絡的瓶頸。相較傳統網絡設備的封閉特性，SDN的開放接口引起的網絡攻擊會招致SDN在安全方面的薄弱性。本文在研究SDN控制器的基礎上，系統梳理了SDN技術面對的安全問題，給出了一種增強SDN安全的改進型的SDN架構，期望能對SDN的安全控制提供一定的參考作用。

1 ?SDN控制器

控制器是SDN體系結構的中樞，通過南向接口協議管理底層網絡交換設備，監控狀態，轉發決策，處理和調度數據平面的流量，通過北向接口向上層應用開放靈活的編程能力[1-4]。其體系架構如圖1所示。

圖1展示了控制器設計的多層結構，應重點關注三個方面。其分別為南向技術，北向技術以及東西向的可拓展性設計。

1.1 ?南向技術

南向技術重點涉及由南向接口協議進行鏈路發現、拓撲管理、策略制定和表項下發等[5-6]。①鏈路發現：指控制器依據鏈路層發現協議LLDP（Link Layer Discovery Protocol），把網絡資源設備的所有信息（能力、地址和標識等）構建成一連串的TLV（Type/Length/ Value），封裝為LLDPDU報文發給其直連鄰居。鄰居獲得信息后以MIB（Management Information Base）的方式存儲，管控系統可利用其分析鏈路的通信狀態。②拓撲管理：其重要功能是動態實時監視和收集SDN交換機的信息，反饋設備的工作和鏈路狀態[7]。③決策：由SDN控制器根據具體的網絡傳輸要求擬訂?？梢罁D發策略產生與之關聯的流表項，然后下發給交換機。相較傳統網絡，SDN設計的長處是利用整體網絡資源視圖組織實施更佳的策略。④表項下發：分主動和被動兩種方式[8]。主動表項下發為流表項在數據傳輸之前分配，交換機懂得數據包抵達時怎么轉發;被動表項下發指交換機取得第一個沒有與之匹配流表項的數據包時，數據包被轉發給控制器處置。待SDN控制器明確處理后，然后把與之關聯的流程表項轉發給交換機處理。

1.2 ?北向技術

SDN北向技術實質為控制器向上層業務應用程序開放接口。其宗旨是讓應用程序可以方便地按需使用底層網絡資源。網絡業務開發人員通過北向接口，以軟件編程的方式對整個網絡的資源狀態進行全局管控[9-10]。

1.3 ?東西向拓展

SDN控制器承擔著整體網絡資源的全局管控，對提高網絡資源的交付效率起著極其關鍵作用。但控制能力集中的同時也使其安全性和性能問題變成全網的束縛[11-12]。此外，單控制器不能解決多區域的SDN網絡情況。東西擴展接口可以構成基于SDN控制器的分布式集群。

2 ?SDN安全威脅

SDN安全的特殊性與SDN的集中開放管理密切相關。SDN管理的集中統一使得網絡的配置、服務訪問控制、安全服務部署等都集中在控制器上[13]。黑客如果取得控制器權限會癱瘓大量網絡服務，導致控制器不能對全網覆蓋。此外，SDN的開放性也泄漏了控制器的安全漏洞和策略不完全性等問題，容易受到DDoS、蠕蟲病毒等方面的攻擊。結合以上描述，可以得出SDN 網絡安全重點涉及七個方面。分別是應用層安全，北向通道安全，控制層安全，南向通道安全，數據層安全，東西通道安全和策略安全。下面從這幾個方面分別對SDN安全威脅進行了梳理[14-25]。SDN應用層和北向通道安全威脅如表1所示。

SDN控制層安全威脅如表2所示。

SDN南向通道和數據層安全如表3所示。

用層供給了開放的可編程接口。如果在SDN架構的基礎上，增加一個包含應用層安全，北向通道安全，控制層安全，南向通道安全，數據層安全，東西通道安全和策略安全SDN的安全引擎構件，自動阻止接口濫用，可高效提升SDN安全性，如圖2所示。

SDN的安全引擎結構如圖3所示。

此外，該SDN的安全引擎設計主要包括SDN安全模型和SDN安全智能識別兩部分。SDN安全模型重點是對SDN各層和策略建立安全模型。SDN安全智能識別重點是采用大數據和人工智能技術建立智能安全識別機制，包括SDN漏洞庫、SDN威脅特征數據庫、SDN黑客行為數據庫，SDN評估模型、SDN監測模型、SDN診斷模型和SDN主動防御反攻擊模型。SDN安全智能識別可根據各網絡、系統和應用的運行數據，自動進行采集分析和捕獲，自動添加新的SDN漏洞、威脅特征和黑客行為等。SDN安全智能識別針對SDN各層安全模型，對運行的海量的數據經過多維度的整合分析，依據SDN的評估模型、監測模型和診斷模型進行全部網絡的安全監測，提前發現SDN控制器開放接口產生各種攻擊行為，主動防御各種安全威脅，同時對經常進行全網發起攻擊的黑客實施智能反攻擊，先提出警告，對不聽的告誡者，利用SDN主動防御反攻擊模型癱瘓對方的攻擊系統和網絡設備，使其放棄攻擊行為。在具體實現上，可依據本體和Web語義技術構建SDN安全模型和SDN安全智能識別模型，同時依據本體和Web語義技術，構建SDN安全的服務質量QOS模型，利用大數據和人工智能算法開展SDN的安全評估、SDN的監測和SDN的故障診斷。

4 ?結束語

本文在研究SDN控制器的基礎上，結合相關學者的前期研究成果，系統梳理了SDN技術面對的安全問題，給出了一種增強SDN安全的改進型的SDN架構，期望能對SDN的安全控制提供一定的參考作用。

參考文獻

[1] 嚴敏瑞. 軟件定義網絡中的ARP攻擊解決方法研究[D]. 西安電子科技大學， 2017.

[2] 殷波， 張云勇， 王志軍， 等. 基于SDN的數據中心網絡技術研究[J]. 信息通信技術， 2015， 9（01）： 29-33.

[3] 孫雪松. 基于SDN負載均衡技術的研究與實現[D]. 北京郵電大學， 2017.

[4] 鄒鑫清， 呂娜， 陳柯帆， 等. 一種新型機載戰術網絡下的內容驅動路由協議[J]. 計算機工程， 2019， 45（08）： 113-119.

[5] 孔倩. 基于OpenFlow的鏈路容錯機制的研究與設計[D]. 華東師范大學， 2015.

[6] 王黎， 潘桉卿， 田少鵬. 軟件定義網絡（SDN）控制器技術與應用[J]. 指揮信息系統與技術， 2015， 6（04）： 81-85.

[7] 郭安東. 基于SDN架構的空間信息網絡路由算法的研究[D]. 北京郵電大學， 2018.

[8] 付健. 基于SDN的應用編程接口技術研究與實現[D]. 南京郵電大學， 2015.

[9] 郁陳焙. 軟件定義分組增強型光傳送網的生存性技術研究[D]. 北京郵電大學， 2017.

[10] 李可. 廣域網SDN控制器關鍵技術的研究與實現[D]. 北京郵電大學， 2016.

[11] 胡瀅. 軟件定義網絡節能技術研究[D]. 北京郵電大學， 2017.

[12] 卞宇翔. SDN故障監測和恢復技術的研究與實現[D]. 南京郵電大學， 2017.

[13] 王淑玲， 李濟漢， 張云勇， 房秉毅. SDN架構及安全性研究[J]. 電信科學， 2013， 29（03）： 117-122.

[14] 戴彬， 王航遠， 徐冠， 等. SDN安全探討： 機遇與威脅并存[J]. 計算機應用研究， 2014， 31（08）： 2254-2262.

[15] 王麗娜， 王斐， 劉維杰. 面向SDN的安全威脅及其對抗技術研究[J]. 武漢大學學報（理學版）， 2019， 65（02）： 153-164.

[16] 池亞平， 余宇舟， 楊建喜. 基于深度學習的SDN惡意應用的檢測方法[J]. 計算機工程與設計， 2019， 40（08）： 2134-2139.

[17] 陳天驕， 劉江， 黃韜. 人工智能在網絡編排系統中的應用[J]. 電信科學， 2019， 35（05）： 9-16.

[18] 楊盾， 王小鵬. 應對DDoS攻擊的SDN網絡安全特性研究[J]. 軟件， 2018， 39（03）： 175-180.

[19] 常甫， 鄭世慧， 孫斌. OpenFlow交換機遠程配置管理系統[J]. 軟件， 2019， 40（01）： 1-7.

[20] 張寧， 劉軍， 張書林， 等. 基于OpenFlow的電力企業數據中心研究[J]. 軟件， 2018， 39（12）： 77-82.

[21] 劉強. 人工智能在計算機網絡技術中的實踐與探索[J]. 軟件， 2018， 39（11）： 242-245.

[22] 趙志偉. 智能化規則引擎技術研究[J]. 軟件， 2018， 39（8）： 65-69.

[23] 李平舟， 趙朗程. 基于BP神經網絡的國家穩定性研究[J]. 軟件， 2018， 39（6）： 142-146.

[24] 黃堃. 基于計算機網絡技術的計算機網絡信息安全及其防護策略分析[J]. 軟件， 2018， 39（6）： 139-141.

[25] 李紅輝， 關婷婷， 楊芳南. 云計算平臺狀態監控技術研究與應用[J]. 軟件， 2018， 39（01）： 09-13.