周傳婷

摘 要 計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題是計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域一直探討的話題，本文通過(guò)對(duì)于OpenFlow環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)進(jìn)行探討，首先從OpenFlow技術(shù)進(jìn)行概述，探討了基于OpenFlow框架下計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，并提出了解決問(wèn)題的措施，最后指出OpenFlow技術(shù)還存在的一些不足，希望可以給計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)相關(guān)研究人員提供一些參考。

關(guān)鍵詞 0penFlow；計(jì)算機(jī)網(wǎng)絡(luò)；安全技術(shù)；研究

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2017）191-0077-02

計(jì)算機(jī)技術(shù)的發(fā)展，使得網(wǎng)絡(luò)規(guī)模的不斷壯大，原有的計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)不能使用當(dāng)前的網(wǎng)絡(luò)應(yīng)用需求，在計(jì)算機(jī)網(wǎng)絡(luò)安全、管理、服務(wù)等方面出現(xiàn)了很多問(wèn)題。在這種情況下，以O(shè)penFlow為基礎(chǔ)的網(wǎng)絡(luò)虛擬技術(shù)給計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域帶來(lái)了很大的變化，這種虛擬網(wǎng)絡(luò)完全技術(shù)是以抽象的表達(dá)方式將物理資源進(jìn)行分層控制，即將傳輸層與控制層進(jìn)行分析，從而實(shí)現(xiàn)了網(wǎng)絡(luò)自主管控的靈活性和安全性，為計(jì)算機(jī)網(wǎng)絡(luò)管理創(chuàng)新提供了機(jī)遇，本文就OpenFlow技術(shù)下計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)進(jìn)行了簡(jiǎn)單的分析。

1 OpenFlow技術(shù)的概述

1.1 OpenFlow的定義

OpenFlow技術(shù)是由斯坦福大學(xué)提出的，是用于解決當(dāng)前互聯(lián)網(wǎng)面臨新業(yè)務(wù)出現(xiàn)的不足而創(chuàng)立的，其原理是把原本由交換機(jī)或者路由器控制的數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程，替換成由OpenFlow交換機(jī)和控制服務(wù)器獨(dú)立完成的過(guò)程。即OpenFlow網(wǎng)絡(luò)由OpenFlow交換機(jī)和Controller兩個(gè)部分組成，OpenFlow交換機(jī)是由流表、安全通道和OpenFlow協(xié)議三部分組成，通過(guò)對(duì)于路由控制和數(shù)據(jù)轉(zhuǎn)發(fā)的分離，依據(jù)事先規(guī)定好的接口操作來(lái)控制OpenFlow交換機(jī)中的流表來(lái)控制數(shù)據(jù)的轉(zhuǎn)發(fā)。

1.2 OpenFlow的發(fā)展

OpenFlow的起源來(lái)自于學(xué)院派，這種技術(shù)起源于實(shí)驗(yàn)室，發(fā)展到商業(yè)領(lǐng)域。最早是在2008年4月，由斯坦福大學(xué)尼克·麥克柯恩教授在ACM通信綜述上發(fā)表的一篇論文中，講述了OpenFlow的原理，并提出了在現(xiàn)實(shí)中的意義，隨后在美國(guó)GENI項(xiàng)目中應(yīng)用。從OpenFlow的提出到今天，不但在硬件支持方面取得了不斷的發(fā)展，在軟件方面也實(shí)現(xiàn)了長(zhǎng)遠(yuǎn)發(fā)展，日本作為一個(gè)科學(xué)技術(shù)研究發(fā)展的先進(jìn)國(guó)家，先后研制的兩款交換機(jī)是支持OpenFlow最成熟的交換機(jī)之一，它們分別是IP8800/S3640-24T2XW和IP8800/S3640-48T2XW。在2009年12月，OpenFlow正式的發(fā)布了可用于商業(yè)的1.0版本，與此同時(shí)也OpenFlow相應(yīng)的支持軟件也逐漸成熟。

2 基于OpenFlow下的計(jì)算機(jī)網(wǎng)絡(luò)安全框架建立

2.1 OpenFlow技術(shù)架構(gòu)

OpenFlow技術(shù)架構(gòu)首先是OpenFlow control進(jìn)行轉(zhuǎn)發(fā)策略的下發(fā)，之后與OpenFlow交換機(jī)進(jìn)行安全通信連接，在這個(gè)過(guò)程中，是由OpenFlow協(xié)議進(jìn)行策略的傳輸，并且OpenFlow協(xié)議還兼負(fù)著網(wǎng)絡(luò)安全狀態(tài)。在這個(gè)過(guò)程中OpenFlow control和OpenFlow Switch可以同時(shí)建立一對(duì)一或者是一對(duì)多的工作模式。當(dāng)前，OpenFlow儲(chǔ)存利用率和檢索速度已經(jīng)得到了很大的提高，這主要得益于流水線式多表結(jié)構(gòu)的提出。在運(yùn)行的過(guò)程中，數(shù)據(jù)包的匹配順序是從流表的0開(kāi)始，匹配到流水線式對(duì)應(yīng)的表項(xiàng)時(shí)候，就執(zhí)行相應(yīng)的指令；匹配過(guò)程之中，如果沒(méi)有符合要求的流表項(xiàng)，則OpenFlow協(xié)議就會(huì)將數(shù)據(jù)包丟棄，或者是再次轉(zhuǎn)發(fā)給OpenFlow control。

2.2 基于OpenFlow的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì)

在OpenFlow下計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)中，每一項(xiàng)數(shù)據(jù)流都會(huì)經(jīng)過(guò)控制器，控制器的作用就是對(duì)于數(shù)據(jù)流進(jìn)行檢查，之后由控制器進(jìn)行數(shù)據(jù)流的流向處理，從而實(shí)現(xiàn)控制全網(wǎng)的目的。但是由于OpenFlow技術(shù)在傳遞信息過(guò)程，只是簡(jiǎn)單的進(jìn)行防火墻的過(guò)濾，其安全性存在一定的弊端。而隧道技術(shù)和OpenFlow技術(shù)的結(jié)合，可以很好的解決這一問(wèn)題。

3 分析在OpenFlow下計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)分析

3.1 OpenFlow下計(jì)算機(jī)網(wǎng)絡(luò)安全與傳統(tǒng)網(wǎng)絡(luò)安全對(duì)比分析

在傳統(tǒng)的網(wǎng)絡(luò)安全操作系統(tǒng)中，需要計(jì)算機(jī)程序開(kāi)發(fā)人員需要使用機(jī)器語(yǔ)言編程，直接對(duì)最底層的物理資源進(jìn)行管理，這種方法不僅使得程序的編寫繁瑣，還會(huì)對(duì)于網(wǎng)絡(luò)安全問(wèn)題帶來(lái)極大的隱患?；贠penFlow下的計(jì)算機(jī)網(wǎng)路系統(tǒng)是利用抽象的交換平臺(tái)，為網(wǎng)絡(luò)管理這提供一個(gè)借口，在這個(gè)接口中進(jìn)行網(wǎng)絡(luò)的管理和維護(hù)。與傳統(tǒng)的網(wǎng)絡(luò)安全操作系統(tǒng)對(duì)比，OpenFlow實(shí)現(xiàn)了網(wǎng)絡(luò)控制層與轉(zhuǎn)發(fā)層的分離，比如在NOX中，OpenFlow交換機(jī)負(fù)責(zé)轉(zhuǎn)發(fā)層各項(xiàng)數(shù)據(jù)的轉(zhuǎn)發(fā)，控制器控制整個(gè)網(wǎng)絡(luò)則是依據(jù)OpenFlow協(xié)議提供的一個(gè)接口，然后NOX自身則不需要對(duì)網(wǎng)路進(jìn)行管理。

3.2 OpenFlow下計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)要點(diǎn)分析

針對(duì)于以上的網(wǎng)絡(luò)安全技術(shù)，下面將其中關(guān)鍵的安全問(wèn)題進(jìn)行分析討論。首先，在信息轉(zhuǎn)發(fā)的過(guò)程中，是采用了OpenFlow技術(shù)和隧道技術(shù)相結(jié)合，并設(shè)置了NetFPGA。之后是在數(shù)據(jù)流過(guò)程中增加了檢查和隧道開(kāi)關(guān)，在隧道開(kāi)關(guān)和檢查上，一般會(huì)定義3個(gè)固定程序，即利用計(jì)算機(jī)二進(jìn)制，隧道開(kāi)關(guān)中，00代表不需要隧道封裝；11代表需要隧道封裝；10代表解封裝 。在檢查上，00代表沒(méi)有進(jìn)行安全檢查；11代表檢查完畢，安全；10代表檢查完畢，不安全。其次，是交換機(jī)在傳遞PC1信息時(shí)候，先利用隧道技術(shù)，將信息可以直接通過(guò)交換機(jī)傳遞到NetFPGA進(jìn)行安全檢查。

3.3 OpenFlow目前面臨的技術(shù)問(wèn)題分析

OpenFlow目前首先面臨的技術(shù)問(wèn)題就是在交換器中尋找TCAM存儲(chǔ)器成本問(wèn)題。在傳統(tǒng)的設(shè)備中，為了節(jié)約成本，在設(shè)計(jì)字段長(zhǎng)度時(shí)候，依據(jù)MPLS lable、MAC表，然而在OpenFlow設(shè)備中，智能通過(guò)最大長(zhǎng)度的流表來(lái)替換，這一點(diǎn)與傳統(tǒng)的設(shè)備相比，成本足足增加了3倍，在TCAM的功耗上顯著提升了。盡管在新版本的OpenFlow中設(shè)計(jì)多級(jí)流表來(lái)減少開(kāi)支，但是流量的生成與TCAM下維護(hù)算法復(fù)雜程度有增加了，截止到目前，還沒(méi)有一個(gè)測(cè)評(píng)報(bào)告發(fā)布。另外，在OpenFlow實(shí)現(xiàn)網(wǎng)絡(luò)通信的過(guò)程是依據(jù)流表，這就要求流表能夠準(zhǔn)確的將網(wǎng)絡(luò)中各元素抽象出來(lái)，但是目前在抽象的過(guò)程還存在許多問(wèn)題，比如在對(duì)于流表的轉(zhuǎn)發(fā)過(guò)程，盡管可以通過(guò)修改控制器邏輯支持新的OpenFlow協(xié)議，但是還不能很好的對(duì)各種現(xiàn)存的接入?yún)f(xié)議和匹配規(guī)則提供支持。

4 結(jié)論

通過(guò)以上的分析和討論，針對(duì)于OpenFlow下計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)分析，與傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)有很大不同，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)要求網(wǎng)絡(luò)信息傳遞要具備保密性、完整性和安全性，本文所提出的計(jì)算機(jī)網(wǎng)絡(luò)安全框架還會(huì)存在一些弊端，隨著科學(xué)技術(shù)的發(fā)展，OpenFlow技術(shù)將會(huì)不斷完善，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)將會(huì)得到進(jìn)一步的提高，希望本文所探討的內(nèi)容能夠給相關(guān)研究人員帶來(lái)一些啟示，為計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)研究作出貢獻(xiàn)。

參考文獻(xiàn)

[1]趙靜.基于OpenFlow的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)研究[J].機(jī)械設(shè)計(jì)與制造工程，2015，44（12）：56-58.

[2]邵國(guó)林，陳興蜀，尹學(xué)淵，等.基于OpenFlow的虛擬機(jī)流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2014，34（4）：1034-1037.

[3]郁峰.軟件定義網(wǎng)絡(luò)架構(gòu)下的安全問(wèn)題綜述[J].現(xiàn)代計(jì)算機(jī)，2014（16）：13-20.