山發(fā)軍++李虎

摘 要：軟件自定義網絡（SDN）作為一種新型的網絡架構，其實現(xiàn)了網絡設備控制平面與數據平面的相互獨立，受到社會各界的廣泛關注。論文對SDN的架構及其安全性進行了討論，并提出了SDN安全防范策略，希望為相關應用提供一些簡單的參考。

關鍵詞：SDN；架構；安全性

中圖分類號：TP393.02 文獻標識碼：A 文章編號：1671-2064（2017）18-0022-01

1 SDN技術架構

SDN是近年來新興的一種網絡架構，該架構可以直接變成，其核心理念是將傳統(tǒng)設備緊耦合的網絡架構解耦成為應用、控制以及轉發(fā)3層相互分離的架構[1]，通過標準化來實現(xiàn)網絡的集中管理和控制，同時實現(xiàn)網絡應用的可編程化，圖1給出了SDN架構的具體圖示。

在SDN架構下，關鍵是實現(xiàn)開放和標準化，具體表現(xiàn)如下[2]：標準化數據面與控制面的接口，對網絡基礎設施資源在類型、支持的協(xié)議等方面的異構性進行屏蔽，從而實現(xiàn)數據面網絡資源設施地無障礙接收控制面所下發(fā)的指令，以承載網絡中的數據轉發(fā)業(yè)務；標準化控制層以及應用層接口則是為上層應用提供一個統(tǒng)一的管理和編程的接口，從而為用戶通過軟件進行網絡控制和網絡服務的定義提供了媒介。

SDN技術架構的應用，推動了網絡在產業(yè)鏈結構中價值從成本中心向核心競爭力的進一步轉變。SDN技術基于OpenFlow實現(xiàn)，其為企業(yè)和用戶帶來了更加靈活的網絡管控、更加高效地資源利用以及更具彈性化的資源調度，具體架構如圖2所示[3]。

（1）更加靈活的網絡管控。首先，標準化的接口實現(xiàn)了對設備異構性的屏蔽，從而能夠實現(xiàn)對各種異構網絡設備的集中統(tǒng)一管理和控制；其次，SDN控制器可以對網絡進行同意的控制管理，不需要對每一臺設備的配置參數進行手動設置。（2）更加高效地資源利用。SDN控制器能夠對所有網絡基礎設施的運行狀態(tài)進行實時監(jiān)控，因此，可以根據設備的運行狀態(tài)實現(xiàn)對網絡資源的智能、靈活調配，避免各種資源的盲目調用，進一步提高資源的利用效率。（3）更具彈性的資源調度。應用層能夠借助標準化控制層以及應用層接口制定符合實際業(yè)務需求的網絡資源調度策略，并通過SDN控制器將該策略配置到網絡設備中，使網絡的資源調度具有更大的彈性。

2 SDN安全分析

所有信息技術需要面對的首要問題就是安全性方面的問題，信息安全包括信息的完整性、可用性、保密性以及可靠性。SDN作為新興的信息技術，其安全性的分析非常重要。

2.1 SDN安全特點

相對于傳統(tǒng)的網絡架構而言，由于SDN架構本身的創(chuàng)新性，其安全性也具有不同的特點，主要包括以下兩個方面[4]：

（1）由SDN控制器對網絡設備集中控制帶來的安全風險。SDN架構使得各種資源的配置、控制以及服務都全面集中在控制器上，這就使得控制器成為了網絡黑客、病毒重點攻擊的目標，攻擊者只需要獲得控制器的控制權，即可實現(xiàn)對網絡中各種資源設備的控制，而隨著云計算技術的發(fā)展，使這種攻擊變得更加容易。（2）SDN架構本身的開放性帶來的安全風險。SDN能夠實現(xiàn)對各種異構網絡設備的統(tǒng)一管理和配置，但是這需要各種開放接口來提供支持。在應用層面，SDN控制器提供了大量開放性的可編程接口，供給者很可能通過這些開放性的接口對SDN網絡展開攻擊，使這些接口成為網絡的安全漏洞。因此，為了避免開放性帶來的安全風險，對開放接口進行評估師SDN控制器設計需要首要考慮的問題。

2.2 SDN架構安全性方面的挑戰(zhàn)

當前，SDN架構安全性所面臨的挑戰(zhàn)主要包括以下兩個方面的內容：

（1）控制面的安全問題。在SDN架構的集中管控模式下，其控制面面臨著下面三個方面的安全威脅：第一，不法分子能夠從網絡中找到SDN架構控制器的切入點，然后進入控制器，并篡改其中的各種操作指令；第二，步伐分子能夠通過特定的手段向控制器輸送大量的服務請求，并給出虛假的請求反饋地質；第三，可以通過一些控制器的安全漏洞，向控制器輸送病毒和木馬。（2）應用面的安全問題。SDN架構的應用面主要面臨以下兩個方面的安全威脅：第一，不法分子將一些蠕蟲或間諜程序輸送到應用層，盜取相關的信息；第二，應用層的安全規(guī)則存在沖突，反而影響到其本身的安全性。

3 結語

SDN架構為未來網絡發(fā)展提供了一種全新的思路，其順應了當前網絡的應用和發(fā)展趨勢，要想SDN架構的安全應用，需要進一步提高其安全性，可以從以下三個方面入手：

第一，制定相對健全的安全策略，并嚴格執(zhí)行安全策略，同時，需要展開設備隔離工作。

第二，制定相對完善的訪問和授權規(guī)則，同時需要對異常設備進行預警和隔離，避免異常設備對整個SDN網絡中的設備產生影響。另外，需要進一步提升控制器的網絡行為分析能力，從而提前預警各種非正常的網絡行為。

第三，需要加強對開放性接口的安全檢測，提升對各種潛在安全威脅的識別能力和處理能力。

參考文獻

[1]劉小春.SDN網絡安全性研究[J].信息通信，2017，（04）：96-97.

[2]邵延峰，賈哲.軟件定義網絡安全技術研究[J].無線電工程，2016，（04）：13-17.

[3]劉亮龍，方獻梅.SDN架構及安全性的研究與探討[J].電腦知識與技術，2015，（13）：47-48+51.

[4]郭春梅，張如輝，畢學堯.SDN網絡技術及其安全性研究[J].信息網絡安全，2012，（08）：112-114.endprint