陳向效

關(guān)鍵詞：軟件定義;安全模型;網(wǎng)絡(luò)機制;控制器安全;研究進(jìn)展

軟件定義網(wǎng)絡(luò)是美國斯坦福大學(xué)Clean-Slate課題研究組經(jīng)過長時間研究和分析之后提出的一種創(chuàng)新型的網(wǎng)絡(luò)架構(gòu)，簡單來說就是一種網(wǎng)絡(luò)虛擬化的實現(xiàn)方式。與現(xiàn)有的網(wǎng)絡(luò)模式相比，軟件定義網(wǎng)絡(luò)有利于實現(xiàn)網(wǎng)絡(luò)流量的靈活控制，使得網(wǎng)絡(luò)變得更加智能，也可以為后續(xù)的核心網(wǎng)絡(luò)創(chuàng)新提供一個良好的平臺和環(huán)境。具象化來看，軟件定義網(wǎng)絡(luò)可以有效降低不同設(shè)備的負(fù)載，從而協(xié)助不同的網(wǎng)絡(luò)運營商更好地進(jìn)行一系列基礎(chǔ)設(shè)施的控制。更為重要的是，軟件定義網(wǎng)絡(luò)可以降低網(wǎng)絡(luò)運營成本?；诖?，軟件定義網(wǎng)絡(luò)是目前最具前途的一種網(wǎng)絡(luò)技術(shù)，我們需要對其高度重視。

1概述

所謂軟件定義網(wǎng)絡(luò)，就是將傳統(tǒng)封閉狀態(tài)的網(wǎng)絡(luò)體系進(jìn)行解耦處理，將其分為三個部分，即應(yīng)用平面、數(shù)據(jù)平面和控制平面，在區(qū)分得以細(xì)化之后，就可以在邏輯之上實現(xiàn)網(wǎng)絡(luò)流量的集中控制和管理。與傳統(tǒng)網(wǎng)絡(luò)模式相比，軟件定義網(wǎng)絡(luò)的主要優(yōu)勢在于開放性和可編程性，西向接口使控制器具有可擴(kuò)展性，為負(fù)載均衡和性能提升提供了技術(shù)保障。也正是因為這些優(yōu)勢，使得軟件定義網(wǎng)絡(luò)具有非常強的實用性，目前其已經(jīng)在眾多領(lǐng)域進(jìn)行應(yīng)用，包含虛擬網(wǎng)絡(luò)化、數(shù)據(jù)中心網(wǎng)絡(luò)、無線局域網(wǎng)和云計算等領(lǐng)域。

集中控制和數(shù)據(jù)的轉(zhuǎn)發(fā)分離是軟件定義網(wǎng)絡(luò)的基本思想，學(xué)術(shù)界對其進(jìn)行了廣泛的關(guān)注和重視。相關(guān)網(wǎng)絡(luò)運營商依據(jù)軟件驅(qū)動的中央控制就可以實現(xiàn)對整個網(wǎng)絡(luò)的控制，這使得相關(guān)的網(wǎng)絡(luò)管理工作得到了比較大的簡化[1]，對于用戶來說是比較便捷的。但是，這種網(wǎng)絡(luò)架構(gòu)目前還存在諸多問題，包含單點失效、安全性難以控制等，同時由于具有極高的開放性，也給予了攻擊者更為方便的方式和空間，通過軟件編程就可以對網(wǎng)絡(luò)發(fā)起攻擊?？v觀軟件定義網(wǎng)絡(luò)的發(fā)展過程也可以發(fā)現(xiàn)，安全性方面的問題成為制約其發(fā)展的主要因素之一。

2軟件定義網(wǎng)絡(luò)與安全模型

2.1軟件定義網(wǎng)絡(luò)架構(gòu)簡介

軟件定義網(wǎng)絡(luò)的核心思想是邏輯層面的集中控制和數(shù)據(jù)的轉(zhuǎn)發(fā)分離，這是毋庸置疑的。隨著軟件定義網(wǎng)絡(luò)的不斷普及和推廣，不同的研究機構(gòu)和具有需求的企業(yè)分別從自身發(fā)展需求、用戶需求角度出發(fā)，針對軟件定義網(wǎng)絡(luò)提出了其他的具有草靠意義的結(jié)構(gòu)。其中，歐洲電信標(biāo)準(zhǔn)化組織就從網(wǎng)絡(luò)運營商的角度出發(fā)，提出了一種NFV架構(gòu)，有利于網(wǎng)絡(luò)的集中控制，對于網(wǎng)絡(luò)運營商而言，在實踐工作中具有比較大的管理便利。思科、微軟等廠商從軟件定義網(wǎng)絡(luò)具體實現(xiàn)方式和部署的角度出發(fā)，提出了一種OpenDaylight，其適用性在以上相關(guān)廠商實踐應(yīng)用上比較強。目前，開放式網(wǎng)絡(luò)基金會開始重視軟件定義網(wǎng)絡(luò)的相關(guān)研究和分析，并且從多個角度針對其進(jìn)行了相關(guān)優(yōu)化和完善。開放式網(wǎng)絡(luò)基金會提出的軟件定義結(jié)構(gòu)主要分為三個層次，即基礎(chǔ)層、控制層和應(yīng)用層。其中，基礎(chǔ)層主要由網(wǎng)絡(luò)底層的轉(zhuǎn)發(fā)設(shè)備構(gòu)成，主要負(fù)責(zé)的就是相關(guān)數(shù)據(jù)的處理和轉(zhuǎn)發(fā)：控制層主要與網(wǎng)絡(luò)服務(wù)相關(guān)，與用戶的網(wǎng)絡(luò)使用體驗具有直接聯(lián)系：應(yīng)用層主要位于軟件定義網(wǎng)絡(luò)的頂層位置，主要包含不同類型業(yè)務(wù)和具體的應(yīng)用。但是目前來看，由于應(yīng)用層的頂層位置涉及的各類業(yè)務(wù)和應(yīng)用具有明顯的復(fù)雜性和多樣性，導(dǎo)致控制層與應(yīng)用層之間的北向接口容易出現(xiàn)不同類型的問題，而這些問題本質(zhì)上都是因為北向接口沒有統(tǒng)一的規(guī)范和標(biāo)準(zhǔn)所導(dǎo)致的[2]。

2.2基于OpenFlow的軟件定義網(wǎng)絡(luò)工作流程

基于OpenFlow的軟件定義網(wǎng)絡(luò)架構(gòu)初步實現(xiàn)了軟件定義網(wǎng)絡(luò)的原本的設(shè)計思想，也是軟件定義網(wǎng)絡(luò)的一個典型架構(gòu)，具體實現(xiàn)步驟如下。

步驟1：終端A加入網(wǎng)絡(luò)，并且向交換機1傳輸數(shù)據(jù)包。

步驟2：接收數(shù)據(jù)包之后，交換機1開始查詢自身的流表，如果二者之間沒有匹配內(nèi)容，則交換機1通過Packet-In事件，將接收到的數(shù)據(jù)包轉(zhuǎn)變到控制器中，在這一過程中，主要通過TCP協(xié)議實現(xiàn)，同時為了滿足安全層面的需求，可以使用安全傳輸層協(xié)議進(jìn)行數(shù)據(jù)包的加密傳輸。

步驟3：控制器在接收交換機的請求數(shù)據(jù)和信息之后，即時生成對應(yīng)的應(yīng)答策略，后續(xù)通過Packet-In事件發(fā)送到交換機1的指定端口。

步驟4：交換機1接收指令之后進(jìn)行執(zhí)行，后續(xù)將數(shù)據(jù)包轉(zhuǎn)發(fā)到交換機2。

步驟5：若交換機2的流表中無該數(shù)據(jù)包匹配項，與步驟2處理方式相似，交換機2將通過Packet-In事件把收到的數(shù)據(jù)包信息轉(zhuǎn)發(fā)給控制器：若交換機2的流表中含有匹配項，則跳轉(zhuǎn)至步驟7，即交換機2按流表中相應(yīng)的規(guī)則，將數(shù)據(jù)包轉(zhuǎn)發(fā)到終端B。

步驟6：與步驟3類似，控制其需要依據(jù)交換機2的數(shù)據(jù)和信息，下發(fā)相關(guān)的應(yīng)答數(shù)據(jù)和信息到交換機2的制定端口中。

步驟7：交換機執(zhí)行控制器下發(fā)的指令，數(shù)據(jù)包轉(zhuǎn)發(fā)到終端B。

2.3安全機制對比

將軟件定義網(wǎng)絡(luò)的安全模型同傳統(tǒng)的網(wǎng)絡(luò)安全模型進(jìn)行一定的對比之后就可以發(fā)現(xiàn)，軟件定義網(wǎng)絡(luò)的安全模型具有重要價值和作用的同時，也給網(wǎng)絡(luò)安全造成了一定的沖擊[3]，二者具體的對比圖如1所示。

首先，軟件定義網(wǎng)絡(luò)安全模型與傳統(tǒng)網(wǎng)絡(luò)安全模型針對信息流的控制方式不同。在傳統(tǒng)網(wǎng)絡(luò)安全模型中，防火墻等重要的安全防護(hù)設(shè)施都被設(shè)置在網(wǎng)絡(luò)的關(guān)鍵部位，包含網(wǎng)絡(luò)與交換機之間的位置等，其中信息流需要被強制性地通過這些安全設(shè)施，從而保障了安全模型的具體成效。而通過軟件定義網(wǎng)絡(luò)安全模型與傳統(tǒng)網(wǎng)絡(luò)安全模型二者之間的對比就可以發(fā)現(xiàn)，軟件定義網(wǎng)絡(luò)安全模型為流規(guī)則驅(qū)動型，其中信息流能否經(jīng)過某一個安全設(shè)施或者是何時經(jīng)過，均由控制器下的流規(guī)則所決定，物理安全設(shè)施能夠起到效果，但是并不能發(fā)揮出決定性作用，人為的物理層面的調(diào)整就難以起到很好的作用和效果，如果部分?jǐn)?shù)據(jù)包能夠繞過安全模型中安全設(shè)備的情況下，就會導(dǎo)致原本預(yù)先部署的安全防護(hù)設(shè)施失效，軟件定義網(wǎng)絡(luò)安全模型則會出現(xiàn)層出不窮的問題[4]。

3軟件定義網(wǎng)絡(luò)的安全機制

軟件定義網(wǎng)絡(luò)最為人詬病的是安全方面的問題，但與傳統(tǒng)網(wǎng)絡(luò)安全機制對比來看，軟件定義網(wǎng)絡(luò)在安全性方面也具有很大的優(yōu)勢，包含擁有更高的安全性。通過高效的中央視角審查網(wǎng)絡(luò)內(nèi)部功能，相關(guān)人員可以及時更改。例如，網(wǎng)絡(luò)中出現(xiàn)了惡意軟件，軟件定義網(wǎng)絡(luò)和OpenFlow能夠迅速地從集中控制平面阻止這種流量來抵制相關(guān)事件發(fā)生，還節(jié)省了訪問多個路由器或交換機的步驟。

3.1網(wǎng)絡(luò)異常檢測及制止

在軟件定義網(wǎng)絡(luò)的SnortFlow架構(gòu)中，可以通過搜集Snort節(jié)點數(shù)據(jù)，并且針對數(shù)據(jù)進(jìn)行評估，完成網(wǎng)絡(luò)異常檢測及制止，軟件定義網(wǎng)絡(luò)的SnortFlow架構(gòu)能夠克服傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)的延遲、準(zhǔn)確性和靈活性方面的問題，在安全問題的檢測之上具有比傳統(tǒng)IPS系統(tǒng)更高的檢測準(zhǔn)確率。另外，Mehdi等積極利用軟件定義網(wǎng)絡(luò)架構(gòu)和NOX控制器，實現(xiàn)了網(wǎng)絡(luò)異常檢測，并且已經(jīng)成為軟件定義網(wǎng)絡(luò)的安全機制中的一個重要組成部分。

3.2DoS/DDoS攻擊檢測及保護(hù)

通過上文的闡述和分析不難看出，軟件定義網(wǎng)絡(luò)所面臨的一個重大安全問題其實就是惡意攻擊，由此DoS/DDoS攻擊檢測及保護(hù)安全機制應(yīng)運而生。傳統(tǒng)的解決方案主要就是對防火墻進(jìn)行規(guī)則部署，但是效果并不是十分理想。

為了解決現(xiàn)有的問題，Braga等在實際的研究和分析過程中，針對轉(zhuǎn)發(fā)設(shè)備中的數(shù)據(jù)流統(tǒng)計特征設(shè)計并且實現(xiàn)了一種攻擊檢測方式，具體分析了相關(guān)平均數(shù)據(jù)包數(shù)量、平均字節(jié)數(shù)、單個流的增長率等指標(biāo)，經(jīng)過DoS/DDoS攻擊檢測及保護(hù)安全機制的實踐應(yīng)用，其效果良好，具有較高的檢測率及較低的錯誤警告率。另外，類似的研究本質(zhì)上都是在相關(guān)數(shù)據(jù)流特征基礎(chǔ)之上開展設(shè)計并實現(xiàn)的。

4軟件定義網(wǎng)絡(luò)的發(fā)展前景

4.1數(shù)據(jù)中心

軟件定義網(wǎng)絡(luò)能以流為顆粒度對報文進(jìn)行靈活轉(zhuǎn)發(fā)，這就賦予了它在流量工程方面的天然優(yōu)勢[5]。而且，數(shù)據(jù)中心設(shè)備多數(shù)情況下為高耗能設(shè)備，如果在軟件定義網(wǎng)絡(luò)未來發(fā)展過程中將其與虛擬機技術(shù)進(jìn)行結(jié)合，則可以很好地解決耗能比較高的問題，因此未來軟件定義網(wǎng)絡(luò)為基礎(chǔ)的數(shù)據(jù)中心發(fā)展將會得到重點關(guān)注。

4.2光網(wǎng)絡(luò)

所謂光網(wǎng)絡(luò)，即軟件定義光網(wǎng)絡(luò)，是指將SDN技術(shù)應(yīng)用于光網(wǎng)絡(luò)，軟件定義網(wǎng)絡(luò)中的優(yōu)勢可以延續(xù)到光網(wǎng)絡(luò)中，進(jìn)而滿足未來網(wǎng)絡(luò)虛擬化、業(yè)務(wù)靈活快速化等多方面的需求，對于軟件定義網(wǎng)絡(luò)和一些業(yè)務(wù)的創(chuàng)新發(fā)展均具有非常重要的現(xiàn)實意義和價值。

5結(jié)論

與傳統(tǒng)網(wǎng)絡(luò)模式、結(jié)構(gòu)相比，軟件定義網(wǎng)絡(luò)具有明顯優(yōu)勢，但其應(yīng)用過程中存在的多方面的問題其實也是“優(yōu)勢”所帶來的，在這種情況下，未來就需要重視軟件定義網(wǎng)絡(luò)安全模型的研究和優(yōu)化，使得其應(yīng)用得到對應(yīng)的保障，這將是軟件定義網(wǎng)絡(luò)未來研究工作的一個重要方向。得益于軟件定義網(wǎng)絡(luò)開放的體系架構(gòu)，學(xué)術(shù)界和產(chǎn)業(yè)界均能在軟件定義網(wǎng)絡(luò)平臺上進(jìn)行網(wǎng)絡(luò)創(chuàng)新和業(yè)務(wù)創(chuàng)新，產(chǎn)生了一些令人矚目的研究成果，隨著軟件定義網(wǎng)絡(luò)的發(fā)展成熟，其應(yīng)用前景會更加廣闊。