陳向效

關(guān)鍵詞：軟件定義;安全模型;網(wǎng)絡(luò)機(jī)制;控制器安全;研究進(jìn)展

軟件定義網(wǎng)絡(luò)是美國(guó)斯坦福大學(xué)Clean-Slate課題研究組經(jīng)過(guò)長(zhǎng)時(shí)間研究和分析之后提出的一種創(chuàng)新型的網(wǎng)絡(luò)架構(gòu)，簡(jiǎn)單來(lái)說(shuō)就是一種網(wǎng)絡(luò)虛擬化的實(shí)現(xiàn)方式。與現(xiàn)有的網(wǎng)絡(luò)模式相比，軟件定義網(wǎng)絡(luò)有利于實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制，使得網(wǎng)絡(luò)變得更加智能，也可以為后續(xù)的核心網(wǎng)絡(luò)創(chuàng)新提供一個(gè)良好的平臺(tái)和環(huán)境。具象化來(lái)看，軟件定義網(wǎng)絡(luò)可以有效降低不同設(shè)備的負(fù)載，從而協(xié)助不同的網(wǎng)絡(luò)運(yùn)營(yíng)商更好地進(jìn)行一系列基礎(chǔ)設(shè)施的控制。更為重要的是，軟件定義網(wǎng)絡(luò)可以降低網(wǎng)絡(luò)運(yùn)營(yíng)成本?；诖?，軟件定義網(wǎng)絡(luò)是目前最具前途的一種網(wǎng)絡(luò)技術(shù)，我們需要對(duì)其高度重視。

1概述

所謂軟件定義網(wǎng)絡(luò)，就是將傳統(tǒng)封閉狀態(tài)的網(wǎng)絡(luò)體系進(jìn)行解耦處理，將其分為三個(gè)部分，即應(yīng)用平面、數(shù)據(jù)平面和控制平面，在區(qū)分得以細(xì)化之后，就可以在邏輯之上實(shí)現(xiàn)網(wǎng)絡(luò)流量的集中控制和管理。與傳統(tǒng)網(wǎng)絡(luò)模式相比，軟件定義網(wǎng)絡(luò)的主要優(yōu)勢(shì)在于開放性和可編程性，西向接口使控制器具有可擴(kuò)展性，為負(fù)載均衡和性能提升提供了技術(shù)保障。也正是因?yàn)檫@些優(yōu)勢(shì)，使得軟件定義網(wǎng)絡(luò)具有非常強(qiáng)的實(shí)用性，目前其已經(jīng)在眾多領(lǐng)域進(jìn)行應(yīng)用，包含虛擬網(wǎng)絡(luò)化、數(shù)據(jù)中心網(wǎng)絡(luò)、無(wú)線局域網(wǎng)和云計(jì)算等領(lǐng)域。

集中控制和數(shù)據(jù)的轉(zhuǎn)發(fā)分離是軟件定義網(wǎng)絡(luò)的基本思想，學(xué)術(shù)界對(duì)其進(jìn)行了廣泛的關(guān)注和重視。相關(guān)網(wǎng)絡(luò)運(yùn)營(yíng)商依據(jù)軟件驅(qū)動(dòng)的中央控制就可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的控制，這使得相關(guān)的網(wǎng)絡(luò)管理工作得到了比較大的簡(jiǎn)化[1]，對(duì)于用戶來(lái)說(shuō)是比較便捷的。但是，這種網(wǎng)絡(luò)架構(gòu)目前還存在諸多問(wèn)題，包含單點(diǎn)失效、安全性難以控制等，同時(shí)由于具有極高的開放性，也給予了攻擊者更為方便的方式和空間，通過(guò)軟件編程就可以對(duì)網(wǎng)絡(luò)發(fā)起攻擊?？v觀軟件定義網(wǎng)絡(luò)的發(fā)展過(guò)程也可以發(fā)現(xiàn)，安全性方面的問(wèn)題成為制約其發(fā)展的主要因素之一。

2軟件定義網(wǎng)絡(luò)與安全模型

2.1軟件定義網(wǎng)絡(luò)架構(gòu)簡(jiǎn)介

軟件定義網(wǎng)絡(luò)的核心思想是邏輯層面的集中控制和數(shù)據(jù)的轉(zhuǎn)發(fā)分離，這是毋庸置疑的。隨著軟件定義網(wǎng)絡(luò)的不斷普及和推廣，不同的研究機(jī)構(gòu)和具有需求的企業(yè)分別從自身發(fā)展需求、用戶需求角度出發(fā)，針對(duì)軟件定義網(wǎng)絡(luò)提出了其他的具有草靠意義的結(jié)構(gòu)。其中，歐洲電信標(biāo)準(zhǔn)化組織就從網(wǎng)絡(luò)運(yùn)營(yíng)商的角度出發(fā)，提出了一種NFV架構(gòu)，有利于網(wǎng)絡(luò)的集中控制，對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商而言，在實(shí)踐工作中具有比較大的管理便利。思科、微軟等廠商從軟件定義網(wǎng)絡(luò)具體實(shí)現(xiàn)方式和部署的角度出發(fā)，提出了一種OpenDaylight，其適用性在以上相關(guān)廠商實(shí)踐應(yīng)用上比較強(qiáng)。目前，開放式網(wǎng)絡(luò)基金會(huì)開始重視軟件定義網(wǎng)絡(luò)的相關(guān)研究和分析，并且從多個(gè)角度針對(duì)其進(jìn)行了相關(guān)優(yōu)化和完善。開放式網(wǎng)絡(luò)基金會(huì)提出的軟件定義結(jié)構(gòu)主要分為三個(gè)層次，即基礎(chǔ)層、控制層和應(yīng)用層。其中，基礎(chǔ)層主要由網(wǎng)絡(luò)底層的轉(zhuǎn)發(fā)設(shè)備構(gòu)成，主要負(fù)責(zé)的就是相關(guān)數(shù)據(jù)的處理和轉(zhuǎn)發(fā)：控制層主要與網(wǎng)絡(luò)服務(wù)相關(guān)，與用戶的網(wǎng)絡(luò)使用體驗(yàn)具有直接聯(lián)系：應(yīng)用層主要位于軟件定義網(wǎng)絡(luò)的頂層位置，主要包含不同類型業(yè)務(wù)和具體的應(yīng)用。但是目前來(lái)看，由于應(yīng)用層的頂層位置涉及的各類業(yè)務(wù)和應(yīng)用具有明顯的復(fù)雜性和多樣性，導(dǎo)致控制層與應(yīng)用層之間的北向接口容易出現(xiàn)不同類型的問(wèn)題，而這些問(wèn)題本質(zhì)上都是因?yàn)楸毕蚪涌跊]有統(tǒng)一的規(guī)范和標(biāo)準(zhǔn)所導(dǎo)致的[2]。

2.2基于OpenFlow的軟件定義網(wǎng)絡(luò)工作流程

基于OpenFlow的軟件定義網(wǎng)絡(luò)架構(gòu)初步實(shí)現(xiàn)了軟件定義網(wǎng)絡(luò)的原本的設(shè)計(jì)思想，也是軟件定義網(wǎng)絡(luò)的一個(gè)典型架構(gòu)，具體實(shí)現(xiàn)步驟如下。

步驟1：終端A加入網(wǎng)絡(luò)，并且向交換機(jī)1傳輸數(shù)據(jù)包。

步驟2：接收數(shù)據(jù)包之后，交換機(jī)1開始查詢自身的流表，如果二者之間沒有匹配內(nèi)容，則交換機(jī)1通過(guò)Packet-In事件，將接收到的數(shù)據(jù)包轉(zhuǎn)變到控制器中，在這一過(guò)程中，主要通過(guò)TCP協(xié)議實(shí)現(xiàn)，同時(shí)為了滿足安全層面的需求，可以使用安全傳輸層協(xié)議進(jìn)行數(shù)據(jù)包的加密傳輸。

步驟3：控制器在接收交換機(jī)的請(qǐng)求數(shù)據(jù)和信息之后，即時(shí)生成對(duì)應(yīng)的應(yīng)答策略，后續(xù)通過(guò)Packet-In事件發(fā)送到交換機(jī)1的指定端口。

步驟4：交換機(jī)1接收指令之后進(jìn)行執(zhí)行，后續(xù)將數(shù)據(jù)包轉(zhuǎn)發(fā)到交換機(jī)2。

步驟5：若交換機(jī)2的流表中無(wú)該數(shù)據(jù)包匹配項(xiàng)，與步驟2處理方式相似，交換機(jī)2將通過(guò)Packet-In事件把收到的數(shù)據(jù)包信息轉(zhuǎn)發(fā)給控制器：若交換機(jī)2的流表中含有匹配項(xiàng)，則跳轉(zhuǎn)至步驟7，即交換機(jī)2按流表中相應(yīng)的規(guī)則，將數(shù)據(jù)包轉(zhuǎn)發(fā)到終端B。

步驟6：與步驟3類似，控制其需要依據(jù)交換機(jī)2的數(shù)據(jù)和信息，下發(fā)相關(guān)的應(yīng)答數(shù)據(jù)和信息到交換機(jī)2的制定端口中。

步驟7：交換機(jī)執(zhí)行控制器下發(fā)的指令，數(shù)據(jù)包轉(zhuǎn)發(fā)到終端B。

2.3安全機(jī)制對(duì)比

將軟件定義網(wǎng)絡(luò)的安全模型同傳統(tǒng)的網(wǎng)絡(luò)安全模型進(jìn)行一定的對(duì)比之后就可以發(fā)現(xiàn)，軟件定義網(wǎng)絡(luò)的安全模型具有重要價(jià)值和作用的同時(shí)，也給網(wǎng)絡(luò)安全造成了一定的沖擊[3]，二者具體的對(duì)比圖如1所示。

首先，軟件定義網(wǎng)絡(luò)安全模型與傳統(tǒng)網(wǎng)絡(luò)安全模型針對(duì)信息流的控制方式不同。在傳統(tǒng)網(wǎng)絡(luò)安全模型中，防火墻等重要的安全防護(hù)設(shè)施都被設(shè)置在網(wǎng)絡(luò)的關(guān)鍵部位，包含網(wǎng)絡(luò)與交換機(jī)之間的位置等，其中信息流需要被強(qiáng)制性地通過(guò)這些安全設(shè)施，從而保障了安全模型的具體成效。而通過(guò)軟件定義網(wǎng)絡(luò)安全模型與傳統(tǒng)網(wǎng)絡(luò)安全模型二者之間的對(duì)比就可以發(fā)現(xiàn)，軟件定義網(wǎng)絡(luò)安全模型為流規(guī)則驅(qū)動(dòng)型，其中信息流能否經(jīng)過(guò)某一個(gè)安全設(shè)施或者是何時(shí)經(jīng)過(guò)，均由控制器下的流規(guī)則所決定，物理安全設(shè)施能夠起到效果，但是并不能發(fā)揮出決定性作用，人為的物理層面的調(diào)整就難以起到很好的作用和效果，如果部分?jǐn)?shù)據(jù)包能夠繞過(guò)安全模型中安全設(shè)備的情況下，就會(huì)導(dǎo)致原本預(yù)先部署的安全防護(hù)設(shè)施失效，軟件定義網(wǎng)絡(luò)安全模型則會(huì)出現(xiàn)層出不窮的問(wèn)題[4]。

3軟件定義網(wǎng)絡(luò)的安全機(jī)制

軟件定義網(wǎng)絡(luò)最為人詬病的是安全方面的問(wèn)題，但與傳統(tǒng)網(wǎng)絡(luò)安全機(jī)制對(duì)比來(lái)看，軟件定義網(wǎng)絡(luò)在安全性方面也具有很大的優(yōu)勢(shì)，包含擁有更高的安全性。通過(guò)高效的中央視角審查網(wǎng)絡(luò)內(nèi)部功能，相關(guān)人員可以及時(shí)更改。例如，網(wǎng)絡(luò)中出現(xiàn)了惡意軟件，軟件定義網(wǎng)絡(luò)和OpenFlow能夠迅速地從集中控制平面阻止這種流量來(lái)抵制相關(guān)事件發(fā)生，還節(jié)省了訪問(wèn)多個(gè)路由器或交換機(jī)的步驟。

3.1網(wǎng)絡(luò)異常檢測(cè)及制止

在軟件定義網(wǎng)絡(luò)的SnortFlow架構(gòu)中，可以通過(guò)搜集Snort節(jié)點(diǎn)數(shù)據(jù)，并且針對(duì)數(shù)據(jù)進(jìn)行評(píng)估，完成網(wǎng)絡(luò)異常檢測(cè)及制止，軟件定義網(wǎng)絡(luò)的SnortFlow架構(gòu)能夠克服傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)的延遲、準(zhǔn)確性和靈活性方面的問(wèn)題，在安全問(wèn)題的檢測(cè)之上具有比傳統(tǒng)IPS系統(tǒng)更高的檢測(cè)準(zhǔn)確率。另外，Mehdi等積極利用軟件定義網(wǎng)絡(luò)架構(gòu)和NOX控制器，實(shí)現(xiàn)了網(wǎng)絡(luò)異常檢測(cè)，并且已經(jīng)成為軟件定義網(wǎng)絡(luò)的安全機(jī)制中的一個(gè)重要組成部分。

3.2DoS/DDoS攻擊檢測(cè)及保護(hù)

通過(guò)上文的闡述和分析不難看出，軟件定義網(wǎng)絡(luò)所面臨的一個(gè)重大安全問(wèn)題其實(shí)就是惡意攻擊，由此DoS/DDoS攻擊檢測(cè)及保護(hù)安全機(jī)制應(yīng)運(yùn)而生。傳統(tǒng)的解決方案主要就是對(duì)防火墻進(jìn)行規(guī)則部署，但是效果并不是十分理想。

為了解決現(xiàn)有的問(wèn)題，Braga等在實(shí)際的研究和分析過(guò)程中，針對(duì)轉(zhuǎn)發(fā)設(shè)備中的數(shù)據(jù)流統(tǒng)計(jì)特征設(shè)計(jì)并且實(shí)現(xiàn)了一種攻擊檢測(cè)方式，具體分析了相關(guān)平均數(shù)據(jù)包數(shù)量、平均字節(jié)數(shù)、單個(gè)流的增長(zhǎng)率等指標(biāo)，經(jīng)過(guò)DoS/DDoS攻擊檢測(cè)及保護(hù)安全機(jī)制的實(shí)踐應(yīng)用，其效果良好，具有較高的檢測(cè)率及較低的錯(cuò)誤警告率。另外，類似的研究本質(zhì)上都是在相關(guān)數(shù)據(jù)流特征基礎(chǔ)之上開展設(shè)計(jì)并實(shí)現(xiàn)的。

4軟件定義網(wǎng)絡(luò)的發(fā)展前景

4.1數(shù)據(jù)中心

軟件定義網(wǎng)絡(luò)能以流為顆粒度對(duì)報(bào)文進(jìn)行靈活轉(zhuǎn)發(fā)，這就賦予了它在流量工程方面的天然優(yōu)勢(shì)[5]。而且，數(shù)據(jù)中心設(shè)備多數(shù)情況下為高耗能設(shè)備，如果在軟件定義網(wǎng)絡(luò)未來(lái)發(fā)展過(guò)程中將其與虛擬機(jī)技術(shù)進(jìn)行結(jié)合，則可以很好地解決耗能比較高的問(wèn)題，因此未來(lái)軟件定義網(wǎng)絡(luò)為基礎(chǔ)的數(shù)據(jù)中心發(fā)展將會(huì)得到重點(diǎn)關(guān)注。

4.2光網(wǎng)絡(luò)

所謂光網(wǎng)絡(luò)，即軟件定義光網(wǎng)絡(luò)，是指將SDN技術(shù)應(yīng)用于光網(wǎng)絡(luò)，軟件定義網(wǎng)絡(luò)中的優(yōu)勢(shì)可以延續(xù)到光網(wǎng)絡(luò)中，進(jìn)而滿足未來(lái)網(wǎng)絡(luò)虛擬化、業(yè)務(wù)靈活快速化等多方面的需求，對(duì)于軟件定義網(wǎng)絡(luò)和一些業(yè)務(wù)的創(chuàng)新發(fā)展均具有非常重要的現(xiàn)實(shí)意義和價(jià)值。

5結(jié)論

與傳統(tǒng)網(wǎng)絡(luò)模式、結(jié)構(gòu)相比，軟件定義網(wǎng)絡(luò)具有明顯優(yōu)勢(shì)，但其應(yīng)用過(guò)程中存在的多方面的問(wèn)題其實(shí)也是“優(yōu)勢(shì)”所帶來(lái)的，在這種情況下，未來(lái)就需要重視軟件定義網(wǎng)絡(luò)安全模型的研究和優(yōu)化，使得其應(yīng)用得到對(duì)應(yīng)的保障，這將是軟件定義網(wǎng)絡(luò)未來(lái)研究工作的一個(gè)重要方向。得益于軟件定義網(wǎng)絡(luò)開放的體系架構(gòu)，學(xué)術(shù)界和產(chǎn)業(yè)界均能在軟件定義網(wǎng)絡(luò)平臺(tái)上進(jìn)行網(wǎng)絡(luò)創(chuàng)新和業(yè)務(wù)創(chuàng)新，產(chǎn)生了一些令人矚目的研究成果，隨著軟件定義網(wǎng)絡(luò)的發(fā)展成熟，其應(yīng)用前景會(huì)更加廣闊。