賈創(chuàng)輝，胡思才，胡容

（1.四川大學計算機學院，成都 610065；2.78123 部隊，成都 610031）

0 引言

隨著大數(shù)據(jù)、云計算等新興互聯(lián)網(wǎng)技術的快速發(fā)展，傳統(tǒng)網(wǎng)絡在網(wǎng)絡安全性、靈活性和可擴展性方面等方面的瓶頸越來越突出。軟件定義網(wǎng)絡（SDN）作為一種新的網(wǎng)絡體系結構，實現(xiàn)了控制層面和數(shù)據(jù)層面的解耦，其通過提供給應用層和轉發(fā)層的接口構建了開放的、可編程的網(wǎng)絡環(huán)境，通過控制層的集中路由策略制定、分配，實現(xiàn)了網(wǎng)絡的集中管理[1]。傳統(tǒng)網(wǎng)絡缺乏統(tǒng)一管理、可擴展性差、靈活度低、數(shù)據(jù)升級速度慢等缺點在軟件定義網(wǎng)絡架構中得到了很好的解決。軟件定義網(wǎng)絡作為一個新興事物，其特有的集中控制和開放性為研究網(wǎng)絡安全提供了新的思路，同時也帶來了新的安全挑戰(zhàn)。

1 軟件定義網(wǎng)絡的安全形勢

按照軟件定義網(wǎng)絡的邏輯體系構成，其技術特點可以概括為以下三個方面：①集中控制。軟件定義網(wǎng)絡將控制平面從傳統(tǒng)交換機中提取出來，通過SDN 控制器對全網(wǎng)設備進行集中管控，實現(xiàn)了對網(wǎng)絡的全局控制。②可編程性。SDN 的可編程性主要體現(xiàn)在控制層在北向通道為開發(fā)者提供了一套強大的編程接口。開發(fā)者可以通過編程接口實現(xiàn)對網(wǎng)絡配置、路由策略、安全策略等的個性化定制，提高了網(wǎng)絡的靈活性。③控制和轉發(fā)分離。數(shù)控分離是SDN 的核心思想之一，SDN 架構中將網(wǎng)絡設備分割為數(shù)據(jù)和控制兩個平面，兩個部分通過開放的接口協(xié)議互相連接，其中轉發(fā)平面由受控轉發(fā)的設備組成，轉發(fā)方式以及業(yè)務邏輯由控制平面負責[2]。

SDN 體系結構有利于構建相對安全的網(wǎng)絡環(huán)境，中心化的控制器能夠及時地掌握網(wǎng)絡狀態(tài)的全局信息，利用安全監(jiān)控、流量分析等應用模塊能夠較好地進行安全評估，并根據(jù)實際情況制定相應的安全策略，通過南向接口下發(fā)部署安全策略。同時，邏輯中心化的控制器顛覆了傳統(tǒng)網(wǎng)絡的管理和部署方式，也會帶來相應的網(wǎng)絡安全威脅和挑戰(zhàn)。一方面，SDN 的集中控制方式促使控制器成為網(wǎng)絡安全的焦點，集中控制所帶來的安全風險將帶給整個網(wǎng)絡以致命的影響。目前，控制層與應用層、控制層與轉發(fā)層之間仍然缺乏完整有效的安全解決方案，可編程性所帶來的新的安全風險將使網(wǎng)絡安全更加復雜化。另一方面，集中控制以及轉控分離又在使得網(wǎng)絡在流轉發(fā)、策略執(zhí)行、風險監(jiān)測等安全領域有著天然的優(yōu)勢?？梢哉fSDN 在網(wǎng)絡安全方面既有其獨特的挑戰(zhàn)，又充滿著機遇。

2 軟件定義網(wǎng)絡面臨的主要安全威脅及特點

與傳統(tǒng)網(wǎng)絡相比，軟件定義網(wǎng)絡的主要安全問題處理差異體現(xiàn)在兩個方面：一是數(shù)據(jù)流的控制方式有差異。軟件定義網(wǎng)絡中，數(shù)據(jù)流的流向是由控制層所制定的規(guī)則決定的，數(shù)據(jù)流通過特定安全設備的方式具有較大的靈活性，而傳統(tǒng)網(wǎng)絡中，數(shù)據(jù)流通過特定安全設備的方式使確定的。二是獲取網(wǎng)絡安全狀況信息的方式有差異。在SDN 中，控制器可以實時獲取網(wǎng)絡的全局信息，可以及時、準確地分析整個網(wǎng)絡的動態(tài)情況。而在傳統(tǒng)網(wǎng)絡中，網(wǎng)絡全局信息的獲取要復雜和困難許多，網(wǎng)管單元要逐層接受網(wǎng)絡設備的狀態(tài)信息，進行綜合分析和評估后展示出來。

軟件定義網(wǎng)絡的安全形勢主要體現(xiàn)在：

一方面，SDN 技術具有其先天優(yōu)勢，其集中控制、全局視圖、多維度控制等優(yōu)點是傳統(tǒng)網(wǎng)絡所無法比擬的，這使得網(wǎng)絡的運營方、管理方可以更加方便、準確的對網(wǎng)絡進行維護和運行，給傳統(tǒng)網(wǎng)絡安全問題的改善帶來了新的機遇，SDN 還提供了應對安全漏洞的新的機會，其通過對數(shù)據(jù)流的集中審查，可以更方便地識別安全敏感的信息流，并對這些信息流采用差別化傳輸、隔離惡意業(yè)務流等方式，應對網(wǎng)絡安全問題，為SDN 提供更加安全的網(wǎng)絡環(huán)境。

另一方面，SDN 技術因其架構特點也面臨著諸多新的安全挑戰(zhàn)，SDN 架構容易獲取網(wǎng)絡全局信息，這也使得攻擊者可以通過控制器獲取整個網(wǎng)絡的安全狀態(tài)信息，進行有效的網(wǎng)絡攻擊。隨著SDN 技術的不斷發(fā)展，依照其設計模式，SDN 在網(wǎng)絡信息保護、應用程序管理、模塊處理流程等方面暴露了諸多安全問題。首當其沖的便是控制器安全，控制器作為SDN 核心，一旦失效整個網(wǎng)絡崩潰，邏輯集中的控制器容易造成單點故障，很容易就成為惡意攻擊的目標。SDN 架構也可能造成安全漏洞的成倍放大，隱私侵犯頻發(fā)或者其他網(wǎng)絡安全事件。

同時，如惡意數(shù)據(jù)流、交換機流表篡改、應用軟件漏洞、數(shù)據(jù)管理機密性與可用性威脅等傳統(tǒng)網(wǎng)絡中常見的攻擊在SDN 中依然可能發(fā)生。

本文根據(jù)SDN 的邏輯架構，從SDN 控制層、應用層、接口、轉發(fā)層等4 個方面對SDN 這種新型的網(wǎng)絡體系架構所面臨的安全風險及安全問題特點進行分析，SDN 各邏輯層所面臨的安全風險和所關注的安全問題各有側重，有些安全問題是SDN 架構特有的安全問題，也有些安全問題是傳統(tǒng)網(wǎng)絡安全問題的延伸。

2.1 控制層安全

控制層是SDN 的核心部分，也是目前安全防護的薄弱環(huán)節(jié)?？刂茖邮且幌盗芯W(wǎng)絡實體組成，這些網(wǎng)絡實體一般包含虛擬機、操作系統(tǒng)、SDN 控制器等。SDN控制層可以生成網(wǎng)絡的路由信息，并更新處理網(wǎng)絡狀態(tài)的變化事件[3]。SDN 控制器可以實時訪問和獲取網(wǎng)絡的全局信息，但是其在設計初期并沒有針對安全問題進行優(yōu)先處理方案，目前，SDN 中只有針對特定安全威脅的安全方案，缺乏完整的控制器安全保護策略。

SDN 控制器集中負責著整個網(wǎng)絡的網(wǎng)絡配置、控制策略、路由策略等網(wǎng)絡核心信息，這就使得SDN 控制器相較于傳統(tǒng)網(wǎng)絡核心設備具有著更大的風險隱患，網(wǎng)絡攻擊造成的損失將被成倍的放大，控制器癱瘓或者被控制也將影響整個網(wǎng)絡。控制層的安全風險主要有以下特征：首先，集中式的控制模式使得控制器天然的成為攻擊者攻擊的高價值目標，攻擊者對控制器的攻擊很容易造成較大的網(wǎng)絡安全事件。其次，控制層任務的復雜性使其很容易陷入非法訪問、身份認證、惡意流規(guī)則注入等安全風險，很容易遭受資源耗盡攻擊。同時控制器自身配置缺陷等安全風險也是控制層安全的重要組成部分。最后，按照部署方式，控制器常常部署在通用計算機或服務器上，這就使得控制器還面臨著與傳統(tǒng)服務器相同的安全風險，例如數(shù)據(jù)溢出攻擊等。

2.2 接口安全

SDN 的接口安全包含負責控制層與轉發(fā)層協(xié)議通信的南向接口安全和負責控制層與應用層通信的北向接口安全，南向接口協(xié)議以OpenFlow 協(xié)議為主，北向接口是SDN 開放性的具體體現(xiàn)，用戶可以通過應用層提供的接口，設計和控制SDN 控制器，開發(fā)相應的SDN 服務，部署相關應用。

當前，南向接口安全威脅集中體現(xiàn)在OpenFlow 協(xié)議中，在南向通道中，OpenFlow 協(xié)議所采用的SSL/TSL對傳輸數(shù)據(jù)進行加密的方式，其安全性并不高，1.3.0 以后版本將SL/TSL 加密設置為可選擇項更加劇了南向通道的安全風險，南向通道安全難以得到有效保證。與此同時，OpenFlow 協(xié)議本身的安全漏洞也是南向接口安全風險的重要組成部分。綜上，南向接口安全風險包括竊聽、控制器假冒等[4]。

目前，北向接口還是各大廠商獨自作戰(zhàn)，缺乏統(tǒng)一的行業(yè)標準。而隨著SDN 技術的逐步發(fā)展，北向接口的標準化也開始成為熱點。相較于南向接口，控制層與應用層之間建立的北向接口安全性更加的脆弱。網(wǎng)絡攻擊者可以利用北向通道開放的接口對控制器進行攻擊，對控制器的信息進行非法訪問，對于攻擊者來說，北向接口的攻擊閾值更低。北向接口面臨著像數(shù)據(jù)泄露、非法訪問、身份認證等安全風險。

2.3 應用層安全

SDN 架構在北向通道通過控制層向應用層提供了豐富的編程接口，開發(fā)者可以利用提供的API 開發(fā)相關的應用服務，放置在SDN 中運行。

目前，應用審計認證并不完善，SDN 缺乏有效的應用授權機制和惡意代碼檢測機制，很容易導致惡意程序泛濫。同時，各應用程序之間可能存在的策略沖突也是SDN 應用層安全需要解決的問題，應用策略沖突檢測機制的缺失可能導致應用之間發(fā)送的流量策略會相互影響，造成網(wǎng)絡的不穩(wěn)定，對網(wǎng)絡安全帶來影響。

2.4 轉發(fā)層安全

轉發(fā)層主要是由負責數(shù)據(jù)轉發(fā)的路由器及其連接線路組成，控制層通過南向通道協(xié)議將數(shù)據(jù)轉發(fā)規(guī)則下發(fā)給轉發(fā)層，轉發(fā)層負責高效率的執(zhí)行數(shù)據(jù)轉發(fā)任務。其主要威脅包括：DDoS/DoS 攻擊、惡意/虛假流規(guī)則注入、虛假控制等。

同時在轉發(fā)層，網(wǎng)絡的狀態(tài)是隨著變化著的，控制層負責提供了網(wǎng)絡的狀態(tài)和配置信息，網(wǎng)絡攻擊者可以通過制造惡意流規(guī)則，改變數(shù)據(jù)流的轉發(fā)路徑，便可以輕松繞開網(wǎng)絡安全設備的監(jiān)控，從而將威脅擴展到全網(wǎng)。

3 結語

SDN 網(wǎng)絡極大程度的降低了網(wǎng)絡管理的復雜度，增強了用戶的體驗，可以進一步促進網(wǎng)絡服務的更新和精細化的網(wǎng)絡控制，其在數(shù)據(jù)中心網(wǎng)絡中正在迅猛發(fā)展。隨著SDN 技術逐漸成熟，SDN 架構優(yōu)勢更加凸顯，軟件定義網(wǎng)絡可以更加全面的控制網(wǎng)絡流量，這使得在流量安全防護方面將有更加有效的解決方案。軟件定義網(wǎng)絡也能幫助改善源IP 地址驗證，提高網(wǎng)絡的溯源能力。同時，SDN 自身所帶來的安全性問題，隨著其不斷的部署開發(fā)和廣泛應用，已經(jīng)變得越來越緊迫。SDN 在安全領域可以說是機遇與風險并存，只有真正解決安全問題，SDN 技術才能夠真正“落地”，成為未來主流網(wǎng)絡技術。