基于軟件定義的網絡安全保障技術探究

盧國棟 江洲

摘 要 軟件定義網絡（Software ?Defined ?Networking，SDN）是一種從數據轉發平面中分離控制平面，以實現支持網絡虛擬化的新型網絡架構。SDN 擁有控制平面和數據平面的解耦、可編程性、可擴展性等眾多優點。然而其也存在諸多缺陷，因此筆者捋清SDN本身存在的短板而導致的威脅，基于這些威脅而分析了解決SDN網絡安全隱患的技術，即區塊鏈技術，從而能為后人對于SDN網絡的進一步研究奠定堅實的基礎。

關鍵詞 SDN網絡;安全威脅;安全措施

1SDN網絡的架構概述

1.1 SDN網絡的產生及發展

當今時代乃是網絡的時代，無時無刻不處于大網絡的環境下。以前使用的網絡，其設備采用分布式架構，沒有集中控制的概念，各網絡設備以網絡協議為“通用語言”實現互相通信。隨著時代的發展，網絡領域產生了一系列的問題，比如新業務必須兼容老的業務，新協議必須兼容老版本的協議。這些問題限制了網絡的更新換代，成為網絡技術進步的阻礙。2008 年，有美國知名團隊提出了Open Flow的概念，其詳細介紹了Open Flow的原理。基于Open Flow技術實現的網絡可編程特性，是對現有網絡的重大變革，SDN技術應運而生。SDN有三個主要特征：

（1）控制平面制定策略產生流表，但是數據的轉發平面只在網絡設備上。

（2）控制器對數據層的網絡設備進行集中管理，無需對設備逐一操作。

（3）第三方 App以編程的方式定義網絡模塊就可實現新的網絡功能。

一個新的時代必定會衍生出更加優秀的產品。在21世紀發展到現今這個時代，SDN網絡的出現不是偶然。SDN網絡不僅解決了傳統網絡不能集中窺測路由信息的難題，又能從控制平面入手，即從更高的層面來為整個網絡提供服務，又因為其自身的控制平面能夠被重新寫入代碼，就極為巧妙地擺脫了對硬件的依賴，從根本上解決了部分業務過于耗時的問題?，F如今有多家知名公司都已開始了SDN的研究和運用，并且已經獲得了很好的收益，發展潛力巨大。相信在未來的21世紀中后期，SDN必將在網絡研發領域中占有很大的角色，中國乃至世界各國都必將加大力度對SDN的研究和部署。

1.2 SDN網絡架構

SDN的網絡架構是將原來分布式控制的難以實現統一管控的網絡架構重構為控制器集中控制的網絡架構。可分為三層：應用層、控制層、數據層。隨著時間的推移，單實例的控制器難適應用戶的廣泛需求，其使用局限性也日益凸顯，因此，采用分布式的控制平面才是更加明智的選擇。分布式控制器架構又分為水平分布式及層次化分布式兩類：

（1）水平分布式控制器架構。其是將網絡劃為不同的獨立區域，交換機在各自的獨立區域工作。每個區域由一個控制器集中控制，不同的控制器通過信息交換來完成整個網絡視圖的構建。

（2）層次化分布式控制器架構。其是將控制平面分成兩層結構。上層的是全局控制器，連接著所有的本地控制器，主要負責整體網絡信息的控制以及維護全局網絡視圖。下層是各個本地控制器，只作用于本身管理的范圍有限的域，對本地的交換機及節點進行管理，并只能獲取本地交換機上報的網絡狀態信息[1]。

2SDN網絡存在的安全威脅

2.1 SDN網絡本身存在的短板

SDN 解耦了控制和數據，使得網絡的狀態在邏輯上是集中的，并且底層網絡基礎設施也是集中的，整個網絡從應用程序中抽象出來。因此，SDN 體系架構使網絡能夠監控通信流量并診斷威脅，以促進網絡取證、安全策略更改和安全服務插入。然而，控制邏輯的集中化和 SDN 的可編程性帶來了新的威脅，主要有①攻擊者偽造或虛假的業務流;②針對交換機脆弱性的攻擊;③針對安全通道的攻擊;④針對控制器脆弱性的攻擊。

2.2 短板可能引發的后果

攻擊者的目的是使得系統為合法用戶服務的質量下降，甚至無法提供服務。實質上是一個資源占用的問題。這種攻擊會耗盡 SDN 基礎設施不同組件的資源，包括數據平面中的三態內容尋址存儲器（Ternary Content Addressable Memory，TCAM）和緩沖存儲器、控制通道的帶寬以及控制器的 CPU 和存儲。這種攻擊很容易在短時間內使控制器過載[2]。

3SDN網絡安全技術保障措施

3.1 區塊鏈技術的應用

SDN大大簡化了控制功能解耦的網絡管理數據平面，成為未來網絡的重要部分。但是，隨著網絡規模不斷擴大，SDN 控制器在網絡控制決策中的決定性地位，控制器很容易成為攻擊者的目標。針對 SDN 存在的 DDoS/DoS 攻擊、單點失效等安全問題，SDN各控制器智能地分布在不同的地理位置上，以緩解 “單點失效”問題;使用區塊鏈技術，在各 SDN 控制器上構建一個由一個可讀取、可添加、不可刪除的分布式數據庫組成的區塊鏈存儲，共同維護區塊的記錄列表。

3.2 區塊鏈技術針對SDN短板的作用機制

區塊鏈技術起源于比特幣，在中本聰 2008 年發表的《比特幣：一種點對點的電子現金系統中》一文中，區塊（Block）和鏈（Chain）作為比特幣的核心技術提出。 區塊鏈以去中心化、不可篡改性、不可偽造性、可驗證性以及匿名性，使得SDN自身的短板逐一解除。隨著區塊鏈的發展，尤其是與智能合約的結合，已經不僅僅被運用在數字貨幣等金融領域，也應用于能源互聯網（能源區塊鏈）、醫療事業（醫療區塊鏈）、共享單車等[3]。

4結束語

SDN網絡在方便人們生活的同時，也帶來了不少的安全隱患，但這并不能阻礙SDN網絡在我們生活中的推廣和使用，未來也必將會產生新的技術來解決其本身存在的短板。筆者上文所詳細闡述的區塊鏈技術能很大程度上解決SDN帶來的些許安全隱患，但是未來仍將出現我們所難以解決的難題，這也是新事物發展的必然。由于篇幅和時間的限制，本文不能更加詳細闡釋SDN所面臨的新的問題以及更多解決網絡安全的技術辦法，望讀者加以諒解。

參考文獻

[1] 胡堯，龔文杰，曾振，等.軟件定義網絡安全技術研究[J].電子世界，2020，（1）：103.

[2] 郭磊，張旭，侯維剛，等.軟件定義多維光網絡研究進展與展望[J].通信學報，2020，41（1）：152-161.

[3] 肖世清.基于計算機網絡技術的計算機網絡信息安全及其防護策略探討[J].輕紡工業與技術，2020，49（1）：153，160.