陳向效
關(guān)鍵詞:軟件定義;安全模型;網(wǎng)絡(luò)機(jī)制;控制器安全;研究進(jìn)展
軟件定義網(wǎng)絡(luò)是美國(guó)斯坦福大學(xué)Clean-Slate課題研究組經(jīng)過(guò)長(zhǎng)時(shí)間研究和分析之后提出的一種創(chuàng)新型的網(wǎng)絡(luò)架構(gòu),簡(jiǎn)單來(lái)說(shuō)就是一種網(wǎng)絡(luò)虛擬化的實(shí)現(xiàn)方式。與現(xiàn)有的網(wǎng)絡(luò)模式相比,軟件定義網(wǎng)絡(luò)有利于實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制,使得網(wǎng)絡(luò)變得更加智能,也可以為后續(xù)的核心網(wǎng)絡(luò)創(chuàng)新提供一個(gè)良好的平臺(tái)和環(huán)境。具象化來(lái)看,軟件定義網(wǎng)絡(luò)可以有效降低不同設(shè)備的負(fù)載,從而協(xié)助不同的網(wǎng)絡(luò)運(yùn)營(yíng)商更好地進(jìn)行一系列基礎(chǔ)設(shè)施的控制。更為重要的是,軟件定義網(wǎng)絡(luò)可以降低網(wǎng)絡(luò)運(yùn)營(yíng)成本?;诖?,軟件定義網(wǎng)絡(luò)是目前最具前途的一種網(wǎng)絡(luò)技術(shù),我們需要對(duì)其高度重視。
1概述
所謂軟件定義網(wǎng)絡(luò),就是將傳統(tǒng)封閉狀態(tài)的網(wǎng)絡(luò)體系進(jìn)行解耦處理,將其分為三個(gè)部分,即應(yīng)用平面、數(shù)據(jù)平面和控制平面,在區(qū)分得以細(xì)化之后,就可以在邏輯之上實(shí)現(xiàn)網(wǎng)絡(luò)流量的集中控制和管理。與傳統(tǒng)網(wǎng)絡(luò)模式相比,軟件定義網(wǎng)絡(luò)的主要優(yōu)勢(shì)在于開放性和可編程性,西向接口使控制器具有可擴(kuò)展性,為負(fù)載均衡和性能提升提供了技術(shù)保障。也正是因?yàn)檫@些優(yōu)勢(shì),使得軟件定義網(wǎng)絡(luò)具有非常強(qiáng)的實(shí)用性,目前其已經(jīng)在眾多領(lǐng)域進(jìn)行應(yīng)用,包含虛擬網(wǎng)絡(luò)化、數(shù)據(jù)中心網(wǎng)絡(luò)、無(wú)線局域網(wǎng)和云計(jì)算等領(lǐng)域。
集中控制和數(shù)據(jù)的轉(zhuǎn)發(fā)分離是軟件定義網(wǎng)絡(luò)的基本思想,學(xué)術(shù)界對(duì)其進(jìn)行了廣泛的關(guān)注和重視。相關(guān)網(wǎng)絡(luò)運(yùn)營(yíng)商依據(jù)軟件驅(qū)動(dòng)的中央控制就可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的控制,這使得相關(guān)的網(wǎng)絡(luò)管理工作得到了比較大的簡(jiǎn)化[1],對(duì)于用戶來(lái)說(shuō)是比較便捷的。但是,這種網(wǎng)絡(luò)架構(gòu)目前還存在諸多問(wèn)題,包含單點(diǎn)失效、安全性難以控制等,同時(shí)由于具有極高的開放性,也給予了攻擊者更為方便的方式和空間,通過(guò)軟件編程就可以對(duì)網(wǎng)絡(luò)發(fā)起攻擊??v觀軟件定義網(wǎng)絡(luò)的發(fā)展過(guò)程也可以發(fā)現(xiàn),安全性方面的問(wèn)題成為制約其發(fā)展的主要因素之一。
2軟件定義網(wǎng)絡(luò)與安全模型
2.1軟件定義網(wǎng)絡(luò)架構(gòu)簡(jiǎn)介
軟件定義網(wǎng)絡(luò)的核心思想是邏輯層面的集中控制和數(shù)據(jù)的轉(zhuǎn)發(fā)分離,這是毋庸置疑的。隨著軟件定義網(wǎng)絡(luò)的不斷普及和推廣,不同的研究機(jī)構(gòu)和具有需求的企業(yè)分別從自身發(fā)展需求、用戶需求角度出發(fā),針對(duì)軟件定義網(wǎng)絡(luò)提出了其他的具有草靠意義的結(jié)構(gòu)。其中,歐洲電信標(biāo)準(zhǔn)化組織就從網(wǎng)絡(luò)運(yùn)營(yíng)商的角度出發(fā),提出了一種NFV架構(gòu),有利于網(wǎng)絡(luò)的集中控制,對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商而言,在實(shí)踐工作中具有比較大的管理便利。思科、微軟等廠商從軟件定義網(wǎng)絡(luò)具體實(shí)現(xiàn)方式和部署的角度出發(fā),提出了一種OpenDaylight,其適用性在以上相關(guān)廠商實(shí)踐應(yīng)用上比較強(qiáng)。目前,開放式網(wǎng)絡(luò)基金會(huì)開始重視軟件定義網(wǎng)絡(luò)的相關(guān)研究和分析,并且從多個(gè)角度針對(duì)其進(jìn)行了相關(guān)優(yōu)化和完善。開放式網(wǎng)絡(luò)基金會(huì)提出的軟件定義結(jié)構(gòu)主要分為三個(gè)層次,即基礎(chǔ)層、控制層和應(yīng)用層。其中,基礎(chǔ)層主要由網(wǎng)絡(luò)底層的轉(zhuǎn)發(fā)設(shè)備構(gòu)成,主要負(fù)責(zé)的就是相關(guān)數(shù)據(jù)的處理和轉(zhuǎn)發(fā):控制層主要與網(wǎng)絡(luò)服務(wù)相關(guān),與用戶的網(wǎng)絡(luò)使用體驗(yàn)具有直接聯(lián)系:應(yīng)用層主要位于軟件定義網(wǎng)絡(luò)的頂層位置,主要包含不同類型業(yè)務(wù)和具體的應(yīng)用。但是目前來(lái)看,由于應(yīng)用層的頂層位置涉及的各類業(yè)務(wù)和應(yīng)用具有明顯的復(fù)雜性和多樣性,導(dǎo)致控制層與應(yīng)用層之間的北向接口容易出現(xiàn)不同類型的問(wèn)題,而這些問(wèn)題本質(zhì)上都是因?yàn)楸毕蚪涌跊]有統(tǒng)一的規(guī)范和標(biāo)準(zhǔn)所導(dǎo)致的[2]。
2.2基于OpenFlow的軟件定義網(wǎng)絡(luò)工作流程
基于OpenFlow的軟件定義網(wǎng)絡(luò)架構(gòu)初步實(shí)現(xiàn)了軟件定義網(wǎng)絡(luò)的原本的設(shè)計(jì)思想,也是軟件定義網(wǎng)絡(luò)的一個(gè)典型架構(gòu),具體實(shí)現(xiàn)步驟如下。
步驟1:終端A加入網(wǎng)絡(luò),并且向交換機(jī)1傳輸數(shù)據(jù)包。
步驟2:接收數(shù)據(jù)包之后,交換機(jī)1開始查詢自身的流表,如果二者之間沒有匹配內(nèi)容,則交換機(jī)1通過(guò)Packet-In事件,將接收到的數(shù)據(jù)包轉(zhuǎn)變到控制器中,在這一過(guò)程中,主要通過(guò)TCP協(xié)議實(shí)現(xiàn),同時(shí)為了滿足安全層面的需求,可以使用安全傳輸層協(xié)議進(jìn)行數(shù)據(jù)包的加密傳輸。
步驟3:控制器在接收交換機(jī)的請(qǐng)求數(shù)據(jù)和信息之后,即時(shí)生成對(duì)應(yīng)的應(yīng)答策略,后續(xù)通過(guò)Packet-In事件發(fā)送到交換機(jī)1的指定端口。
步驟4:交換機(jī)1接收指令之后進(jìn)行執(zhí)行,后續(xù)將數(shù)據(jù)包轉(zhuǎn)發(fā)到交換機(jī)2。
步驟5:若交換機(jī)2的流表中無(wú)該數(shù)據(jù)包匹配項(xiàng),與步驟2處理方式相似,交換機(jī)2將通過(guò)Packet-In事件把收到的數(shù)據(jù)包信息轉(zhuǎn)發(fā)給控制器:若交換機(jī)2的流表中含有匹配項(xiàng),則跳轉(zhuǎn)至步驟7,即交換機(jī)2按流表中相應(yīng)的規(guī)則,將數(shù)據(jù)包轉(zhuǎn)發(fā)到終端B。
步驟6:與步驟3類似,控制其需要依據(jù)交換機(jī)2的數(shù)據(jù)和信息,下發(fā)相關(guān)的應(yīng)答數(shù)據(jù)和信息到交換機(jī)2的制定端口中。
步驟7:交換機(jī)執(zhí)行控制器下發(fā)的指令,數(shù)據(jù)包轉(zhuǎn)發(fā)到終端B。
2.3安全機(jī)制對(duì)比
將軟件定義網(wǎng)絡(luò)的安全模型同傳統(tǒng)的網(wǎng)絡(luò)安全模型進(jìn)行一定的對(duì)比之后就可以發(fā)現(xiàn),軟件定義網(wǎng)絡(luò)的安全模型具有重要價(jià)值和作用的同時(shí),也給網(wǎng)絡(luò)安全造成了一定的沖擊[3],二者具體的對(duì)比圖如1所示。
首先,軟件定義網(wǎng)絡(luò)安全模型與傳統(tǒng)網(wǎng)絡(luò)安全模型針對(duì)信息流的控制方式不同。在傳統(tǒng)網(wǎng)絡(luò)安全模型中,防火墻等重要的安全防護(hù)設(shè)施都被設(shè)置在網(wǎng)絡(luò)的關(guān)鍵部位,包含網(wǎng)絡(luò)與交換機(jī)之間的位置等,其中信息流需要被強(qiáng)制性地通過(guò)這些安全設(shè)施,從而保障了安全模型的具體成效。而通過(guò)軟件定義網(wǎng)絡(luò)安全模型與傳統(tǒng)網(wǎng)絡(luò)安全模型二者之間的對(duì)比就可以發(fā)現(xiàn),軟件定義網(wǎng)絡(luò)安全模型為流規(guī)則驅(qū)動(dòng)型,其中信息流能否經(jīng)過(guò)某一個(gè)安全設(shè)施或者是何時(shí)經(jīng)過(guò),均由控制器下的流規(guī)則所決定,物理安全設(shè)施能夠起到效果,但是并不能發(fā)揮出決定性作用,人為的物理層面的調(diào)整就難以起到很好的作用和效果,如果部分?jǐn)?shù)據(jù)包能夠繞過(guò)安全模型中安全設(shè)備的情況下,就會(huì)導(dǎo)致原本預(yù)先部署的安全防護(hù)設(shè)施失效,軟件定義網(wǎng)絡(luò)安全模型則會(huì)出現(xiàn)層出不窮的問(wèn)題[4]。
3軟件定義網(wǎng)絡(luò)的安全機(jī)制
軟件定義網(wǎng)絡(luò)最為人詬病的是安全方面的問(wèn)題,但與傳統(tǒng)網(wǎng)絡(luò)安全機(jī)制對(duì)比來(lái)看,軟件定義網(wǎng)絡(luò)在安全性方面也具有很大的優(yōu)勢(shì),包含擁有更高的安全性。通過(guò)高效的中央視角審查網(wǎng)絡(luò)內(nèi)部功能,相關(guān)人員可以及時(shí)更改。例如,網(wǎng)絡(luò)中出現(xiàn)了惡意軟件,軟件定義網(wǎng)絡(luò)和OpenFlow能夠迅速地從集中控制平面阻止這種流量來(lái)抵制相關(guān)事件發(fā)生,還節(jié)省了訪問(wèn)多個(gè)路由器或交換機(jī)的步驟。
3.1網(wǎng)絡(luò)異常檢測(cè)及制止
在軟件定義網(wǎng)絡(luò)的SnortFlow架構(gòu)中,可以通過(guò)搜集Snort節(jié)點(diǎn)數(shù)據(jù),并且針對(duì)數(shù)據(jù)進(jìn)行評(píng)估,完成網(wǎng)絡(luò)異常檢測(cè)及制止,軟件定義網(wǎng)絡(luò)的SnortFlow架構(gòu)能夠克服傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)的延遲、準(zhǔn)確性和靈活性方面的問(wèn)題,在安全問(wèn)題的檢測(cè)之上具有比傳統(tǒng)IPS系統(tǒng)更高的檢測(cè)準(zhǔn)確率。另外,Mehdi等積極利用軟件定義網(wǎng)絡(luò)架構(gòu)和NOX控制器,實(shí)現(xiàn)了網(wǎng)絡(luò)異常檢測(cè),并且已經(jīng)成為軟件定義網(wǎng)絡(luò)的安全機(jī)制中的一個(gè)重要組成部分。
3.2DoS/DDoS攻擊檢測(cè)及保護(hù)
通過(guò)上文的闡述和分析不難看出,軟件定義網(wǎng)絡(luò)所面臨的一個(gè)重大安全問(wèn)題其實(shí)就是惡意攻擊,由此DoS/DDoS攻擊檢測(cè)及保護(hù)安全機(jī)制應(yīng)運(yùn)而生。傳統(tǒng)的解決方案主要就是對(duì)防火墻進(jìn)行規(guī)則部署,但是效果并不是十分理想。
為了解決現(xiàn)有的問(wèn)題,Braga等在實(shí)際的研究和分析過(guò)程中,針對(duì)轉(zhuǎn)發(fā)設(shè)備中的數(shù)據(jù)流統(tǒng)計(jì)特征設(shè)計(jì)并且實(shí)現(xiàn)了一種攻擊檢測(cè)方式,具體分析了相關(guān)平均數(shù)據(jù)包數(shù)量、平均字節(jié)數(shù)、單個(gè)流的增長(zhǎng)率等指標(biāo),經(jīng)過(guò)DoS/DDoS攻擊檢測(cè)及保護(hù)安全機(jī)制的實(shí)踐應(yīng)用,其效果良好,具有較高的檢測(cè)率及較低的錯(cuò)誤警告率。另外,類似的研究本質(zhì)上都是在相關(guān)數(shù)據(jù)流特征基礎(chǔ)之上開展設(shè)計(jì)并實(shí)現(xiàn)的。
4軟件定義網(wǎng)絡(luò)的發(fā)展前景
4.1數(shù)據(jù)中心
軟件定義網(wǎng)絡(luò)能以流為顆粒度對(duì)報(bào)文進(jìn)行靈活轉(zhuǎn)發(fā),這就賦予了它在流量工程方面的天然優(yōu)勢(shì)[5]。而且,數(shù)據(jù)中心設(shè)備多數(shù)情況下為高耗能設(shè)備,如果在軟件定義網(wǎng)絡(luò)未來(lái)發(fā)展過(guò)程中將其與虛擬機(jī)技術(shù)進(jìn)行結(jié)合,則可以很好地解決耗能比較高的問(wèn)題,因此未來(lái)軟件定義網(wǎng)絡(luò)為基礎(chǔ)的數(shù)據(jù)中心發(fā)展將會(huì)得到重點(diǎn)關(guān)注。
4.2光網(wǎng)絡(luò)
所謂光網(wǎng)絡(luò),即軟件定義光網(wǎng)絡(luò),是指將SDN技術(shù)應(yīng)用于光網(wǎng)絡(luò),軟件定義網(wǎng)絡(luò)中的優(yōu)勢(shì)可以延續(xù)到光網(wǎng)絡(luò)中,進(jìn)而滿足未來(lái)網(wǎng)絡(luò)虛擬化、業(yè)務(wù)靈活快速化等多方面的需求,對(duì)于軟件定義網(wǎng)絡(luò)和一些業(yè)務(wù)的創(chuàng)新發(fā)展均具有非常重要的現(xiàn)實(shí)意義和價(jià)值。
5結(jié)論
與傳統(tǒng)網(wǎng)絡(luò)模式、結(jié)構(gòu)相比,軟件定義網(wǎng)絡(luò)具有明顯優(yōu)勢(shì),但其應(yīng)用過(guò)程中存在的多方面的問(wèn)題其實(shí)也是“優(yōu)勢(shì)”所帶來(lái)的,在這種情況下,未來(lái)就需要重視軟件定義網(wǎng)絡(luò)安全模型的研究和優(yōu)化,使得其應(yīng)用得到對(duì)應(yīng)的保障,這將是軟件定義網(wǎng)絡(luò)未來(lái)研究工作的一個(gè)重要方向。得益于軟件定義網(wǎng)絡(luò)開放的體系架構(gòu),學(xué)術(shù)界和產(chǎn)業(yè)界均能在軟件定義網(wǎng)絡(luò)平臺(tái)上進(jìn)行網(wǎng)絡(luò)創(chuàng)新和業(yè)務(wù)創(chuàng)新,產(chǎn)生了一些令人矚目的研究成果,隨著軟件定義網(wǎng)絡(luò)的發(fā)展成熟,其應(yīng)用前景會(huì)更加廣闊。