軟件定義網絡的安全模型、機制及研究進展

陳向效

關鍵詞：軟件定義;安全模型;網絡機制;控制器安全;研究進展

軟件定義網絡是美國斯坦福大學Clean-Slate課題研究組經過長時間研究和分析之后提出的一種創新型的網絡架構，簡單來說就是一種網絡虛擬化的實現方式。與現有的網絡模式相比，軟件定義網絡有利于實現網絡流量的靈活控制，使得網絡變得更加智能，也可以為后續的核心網絡創新提供一個良好的平臺和環境。具象化來看，軟件定義網絡可以有效降低不同設備的負載，從而協助不同的網絡運營商更好地進行一系列基礎設施的控制。更為重要的是，軟件定義網絡可以降低網絡運營成本。基于此，軟件定義網絡是目前最具前途的一種網絡技術，我們需要對其高度重視。

1概述

所謂軟件定義網絡，就是將傳統封閉狀態的網絡體系進行解耦處理，將其分為三個部分，即應用平面、數據平面和控制平面，在區分得以細化之后，就可以在邏輯之上實現網絡流量的集中控制和管理。與傳統網絡模式相比，軟件定義網絡的主要優勢在于開放性和可編程性，西向接口使控制器具有可擴展性，為負載均衡和性能提升提供了技術保障。也正是因為這些優勢，使得軟件定義網絡具有非常強的實用性，目前其已經在眾多領域進行應用，包含虛擬網絡化、數據中心網絡、無線局域網和云計算等領域。

集中控制和數據的轉發分離是軟件定義網絡的基本思想，學術界對其進行了廣泛的關注和重視。相關網絡運營商依據軟件驅動的中央控制就可以實現對整個網絡的控制，這使得相關的網絡管理工作得到了比較大的簡化[1]，對于用戶來說是比較便捷的。但是，這種網絡架構目前還存在諸多問題，包含單點失效、安全性難以控制等，同時由于具有極高的開放性，也給予了攻擊者更為方便的方式和空間，通過軟件編程就可以對網絡發起攻擊。縱觀軟件定義網絡的發展過程也可以發現，安全性方面的問題成為制約其發展的主要因素之一。

2軟件定義網絡與安全模型

2.1軟件定義網絡架構簡介

軟件定義網絡的核心思想是邏輯層面的集中控制和數據的轉發分離，這是毋庸置疑的。隨著軟件定義網絡的不斷普及和推廣，不同的研究機構和具有需求的企業分別從自身發展需求、用戶需求角度出發，針對軟件定義網絡提出了其他的具有草靠意義的結構。其中，歐洲電信標準化組織就從網絡運營商的角度出發，提出了一種NFV架構，有利于網絡的集中控制，對于網絡運營商而言，在實踐工作中具有比較大的管理便利。思科、微軟等廠商從軟件定義網絡具體實現方式和部署的角度出發，提出了一種OpenDaylight，其適用性在以上相關廠商實踐應用上比較強。目前，開放式網絡基金會開始重視軟件定義網絡的相關研究和分析，并且從多個角度針對其進行了相關優化和完善。開放式網絡基金會提出的軟件定義結構主要分為三個層次，即基礎層、控制層和應用層。其中，基礎層主要由網絡底層的轉發設備構成，主要負責的就是相關數據的處理和轉發：控制層主要與網絡服務相關，與用戶的網絡使用體驗具有直接聯系：應用層主要位于軟件定義網絡的頂層位置，主要包含不同類型業務和具體的應用。但是目前來看，由于應用層的頂層位置涉及的各類業務和應用具有明顯的復雜性和多樣性，導致控制層與應用層之間的北向接口容易出現不同類型的問題，而這些問題本質上都是因為北向接口沒有統一的規范和標準所導致的[2]。

2.2基于OpenFlow的軟件定義網絡工作流程

基于OpenFlow的軟件定義網絡架構初步實現了軟件定義網絡的原本的設計思想，也是軟件定義網絡的一個典型架構，具體實現步驟如下。

步驟1：終端A加入網絡，并且向交換機1傳輸數據包。

步驟2：接收數據包之后，交換機1開始查詢自身的流表，如果二者之間沒有匹配內容，則交換機1通過Packet-In事件，將接收到的數據包轉變到控制器中，在這一過程中，主要通過TCP協議實現，同時為了滿足安全層面的需求，可以使用安全傳輸層協議進行數據包的加密傳輸。

步驟3：控制器在接收交換機的請求數據和信息之后，即時生成對應的應答策略，后續通過Packet-In事件發送到交換機1的指定端口。

步驟4：交換機1接收指令之后進行執行，后續將數據包轉發到交換機2。

步驟5：若交換機2的流表中無該數據包匹配項，與步驟2處理方式相似，交換機2將通過Packet-In事件把收到的數據包信息轉發給控制器：若交換機2的流表中含有匹配項，則跳轉至步驟7，即交換機2按流表中相應的規則，將數據包轉發到終端B。

步驟6：與步驟3類似，控制其需要依據交換機2的數據和信息，下發相關的應答數據和信息到交換機2的制定端口中。

步驟7：交換機執行控制器下發的指令，數據包轉發到終端B。

2.3安全機制對比

將軟件定義網絡的安全模型同傳統的網絡安全模型進行一定的對比之后就可以發現，軟件定義網絡的安全模型具有重要價值和作用的同時，也給網絡安全造成了一定的沖擊[3]，二者具體的對比圖如1所示。

首先，軟件定義網絡安全模型與傳統網絡安全模型針對信息流的控制方式不同。在傳統網絡安全模型中，防火墻等重要的安全防護設施都被設置在網絡的關鍵部位，包含網絡與交換機之間的位置等，其中信息流需要被強制性地通過這些安全設施，從而保障了安全模型的具體成效。而通過軟件定義網絡安全模型與傳統網絡安全模型二者之間的對比就可以發現，軟件定義網絡安全模型為流規則驅動型，其中信息流能否經過某一個安全設施或者是何時經過，均由控制器下的流規則所決定，物理安全設施能夠起到效果，但是并不能發揮出決定性作用，人為的物理層面的調整就難以起到很好的作用和效果，如果部分數據包能夠繞過安全模型中安全設備的情況下，就會導致原本預先部署的安全防護設施失效，軟件定義網絡安全模型則會出現層出不窮的問題[4]。

3軟件定義網絡的安全機制

軟件定義網絡最為人詬病的是安全方面的問題，但與傳統網絡安全機制對比來看，軟件定義網絡在安全性方面也具有很大的優勢，包含擁有更高的安全性。通過高效的中央視角審查網絡內部功能，相關人員可以及時更改。例如，網絡中出現了惡意軟件，軟件定義網絡和OpenFlow能夠迅速地從集中控制平面阻止這種流量來抵制相關事件發生，還節省了訪問多個路由器或交換機的步驟。

3.1網絡異常檢測及制止

在軟件定義網絡的SnortFlow架構中，可以通過搜集Snort節點數據，并且針對數據進行評估，完成網絡異常檢測及制止，軟件定義網絡的SnortFlow架構能夠克服傳統網絡安全系統的延遲、準確性和靈活性方面的問題，在安全問題的檢測之上具有比傳統IPS系統更高的檢測準確率。另外，Mehdi等積極利用軟件定義網絡架構和NOX控制器，實現了網絡異常檢測，并且已經成為軟件定義網絡的安全機制中的一個重要組成部分。

3.2DoS/DDoS攻擊檢測及保護

通過上文的闡述和分析不難看出，軟件定義網絡所面臨的一個重大安全問題其實就是惡意攻擊，由此DoS/DDoS攻擊檢測及保護安全機制應運而生。傳統的解決方案主要就是對防火墻進行規則部署，但是效果并不是十分理想。

為了解決現有的問題，Braga等在實際的研究和分析過程中，針對轉發設備中的數據流統計特征設計并且實現了一種攻擊檢測方式，具體分析了相關平均數據包數量、平均字節數、單個流的增長率等指標，經過DoS/DDoS攻擊檢測及保護安全機制的實踐應用，其效果良好，具有較高的檢測率及較低的錯誤警告率。另外，類似的研究本質上都是在相關數據流特征基礎之上開展設計并實現的。

4軟件定義網絡的發展前景

4.1數據中心

軟件定義網絡能以流為顆粒度對報文進行靈活轉發，這就賦予了它在流量工程方面的天然優勢[5]。而且，數據中心設備多數情況下為高耗能設備，如果在軟件定義網絡未來發展過程中將其與虛擬機技術進行結合，則可以很好地解決耗能比較高的問題，因此未來軟件定義網絡為基礎的數據中心發展將會得到重點關注。

4.2光網絡

所謂光網絡，即軟件定義光網絡，是指將SDN技術應用于光網絡，軟件定義網絡中的優勢可以延續到光網絡中，進而滿足未來網絡虛擬化、業務靈活快速化等多方面的需求，對于軟件定義網絡和一些業務的創新發展均具有非常重要的現實意義和價值。

5結論

與傳統網絡模式、結構相比，軟件定義網絡具有明顯優勢，但其應用過程中存在的多方面的問題其實也是“優勢”所帶來的，在這種情況下，未來就需要重視軟件定義網絡安全模型的研究和優化，使得其應用得到對應的保障，這將是軟件定義網絡未來研究工作的一個重要方向。得益于軟件定義網絡開放的體系架構，學術界和產業界均能在軟件定義網絡平臺上進行網絡創新和業務創新，產生了一些令人矚目的研究成果，隨著軟件定義網絡的發展成熟，其應用前景會更加廣闊。