SDN架構及安全性研究*

王淑玲，李濟漢，張云勇，房秉毅

（1.中國聯通集團研究院 北京 100048；2.北京郵電大學 北京 100876）

SDN架構及安全性研究*

王淑玲1，李濟漢2，張云勇1，房秉毅1

（1.中國聯通集團研究院 北京 100048；2.北京郵電大學 北京 100876）

隨著云計算、移動互聯網等新技術的發展和成熟，網絡業務的多樣化、基礎資源能力的大力提升等給數據中心網絡的可擴展性、可管理性、安全性等提出了新的要求。SDN體系架構的出現為目前網絡問題的解決提供了新的方向，因而在產業界和研究領域得到了深入的研究和應用。但隨著SDN相關網絡設備的出現，安全問題成為制約其發展的一個重要因素。本文首先分析了SDN架構的產生背景，闡述了SDN的網絡技術架構原理及目前的發展現狀；隨后對SDN架構中的安全特點、安全威脅進行了分析；最后，提出了一種SDN架構下的安全技術框架，從威脅分析、防御規則、防御方法3個方面對SDN中的安全問題提出了建議。

軟件定義網絡；安全；OpenFlow

1 引言

云計算、移動互聯網等相關技術的興起和發展加快了數據中心的變革進程，網絡帶寬需求的攀升、網絡業務的豐富化、服務交付的個性化需求等都給新一代數據中心提出了更高的要求。面對日趨復雜的網絡環境，傳統的以IP為核心的數據中心網絡架構的局限性逐漸凸顯出來。為了適應今后互聯網業務的需求，業內形成了“現在是創新思考互聯網基本體系結構、采用新的設計理念的時候”的主流意見[1]，并對未來網絡的體系架構應具備的性質和功能提出了要求[2]。近年來，軟件定義網絡[3]（software defined network，SDN）的興起為未來網絡的發展提供了方向。

SDN的思想起源于斯坦福大學的Clean State[4]項目，此后隨著技術的發展和研究的深入，SDN架構從實驗室走向了產業界，并得到了學術界和工業界的廣泛認可，且進一步推進了SDN的產業化演進和相關技術的標準化進程。

SDN技術架構通過把原有封閉的體系解耦為數據平面、控制平面和應用平面，將網絡控制功能從網絡設備中分離出來，并為網絡應用提供可編程的接口，從而革命性地改變了現有的網絡架構。在數據中心采用SDN架構，可以方便地實現路由路徑的優化、網絡維護代價的降低、網絡設備利用率的提高、網絡設備的可管理性和靈活性的增加等。

但在當前的環境下，SDN的發展面臨著許多關鍵性問題，安全就是其中之一，并且隨著SDN架構的普及和推廣，安全問題的重要性呈逐步上升的趨勢。目前，SDN的安全問題也引起了工業界的關注，企業組織、研究團體及標準化組織都紛紛啟動了相關方面的研究工作。

基于SDN的強勁發展勢頭和解決安全問題的迫切性，本文首先闡述了SDN技術架構的原理、發展現狀，分析了SDN技術架構中存在的安全問題，并給出了相應的安全防護建議，以期為SDN安全方面的科研和產業發展做出有益的探索。

2 SDN/OpenFlow技術原理和現狀

2.1 SDN/OpenFlow的起源

SDN的思想起源于斯坦福大學的Clean State[4]項目。該項目旨在創建一個全新的互聯網架構，使其擺脫當今互聯網基礎架構的限制，采納新技術，支持新應用、新服務，提供創新服務平臺。作為Clean State項目在企業網安全方面的一個子項，Martin Casado和其他幾位團隊成員提出了Ethane架構，通過一個中央控制器向基于流的以太網交換機下發策略，從而對流的準入和路由進行統一管理，實現基于網絡流的安全控制策略。受到該項目的啟發，Martin和他的導師Nick McKeown教授發現，如果將Ethane架構設計得更一般化，將傳統網絡設備的數據轉發和路由控制兩個功能模塊分離，通過集中式的控制器以標準化的接口對各種網絡設備進行管理和配置，那么將為網絡資源的收集、管理和使用提供更多的可能性，從而更容易推動網絡的革新和發展。于是，提出了OpenFlow的概念，并在2008年發表了題為“OpenFlow:Enabling Innovation in Campus Netwrok”的論文，詳細描述了OpenFlow的工作原理，并列舉了OpenFlow可使用的應用場景，包括創新性結構網絡的測試、網絡管理和訪問控制、VLAN等。基于OpenFlow為網絡帶來的可編程的特性，Nick和他的團隊進一步提出了SDN的概念。

2.2 SDN技術架構

SDN是一種新興的控制與轉發相分離并直接可編程的網絡架構，其核心思想是將傳統網絡設備緊耦合的網絡架構解耦成應用、控制、轉發3層分離的架構，通過標準化實現網絡的集中管控和網絡應用的可編程，如圖 1所示。

圖1 SDN技術架構

在這一架構下，開放和標準化是核心關鍵點，表現為：標準化數據面與控制面的接口（又稱為南向接口），屏蔽網絡基礎設施資源在類型、支持的協議等方面的異構性，使得數據面的網絡資源設施能夠無障礙地接收控制面的指令，承載網絡中的數據轉發業務；標準化控制層和應用層的接口（又稱為北向接口），為上層應用提供統一的管理視圖和編程接口，使得用戶可以通過軟件從邏輯上定義網絡控制和網絡服務。

SDN的技術架構改變了網絡在產業鏈結構中的價值，實現了從成本中心至核心競爭力的轉變。基于OpenFlow的SDN技術帶給企業和用戶更加靈活的網絡管控、更高效的資源利用率、更彈性的資源調度，具體介紹如下。

·更加靈活的網絡管控：首先，標準化的南向接口屏蔽了設備的異構性，實現了異構網絡設備的集中化統一管控；其次，SDN控制器能夠實現網絡的統一管控，無需手動地更改每一個網絡設備的配置。

·更高效的資源利用率：由于SDN控制器監控著網絡基礎設施的狀態，能夠更加智能和靈活地調配網絡資源，減少盲目的網絡資源投資，提高資源利用率。

·更彈性的資源調度：應用層可通過標準的北向接口制定符合其業務需求的網絡策略，由SDN控制器將策略配置到網絡設備中，實現資源的彈性調度。

2.3 SDN的相關標準

開放網絡基金（open network foundation，ONF）協會由德國電信、Facebook、Google、Microsoft、Verizon、Yahoo！等 7家公司聯合推進，組建起來的一個非盈利性的組織機構，致力于發展創新型網絡結構SDN，并積極推進SDN架構的標準化和商業化進程，是國內外從事SDN相關標準研制工作較為權威的組織之一。目前，ONF擁有7家董事會單位、70多家成員單位，包含 Extensibility、Configuration&Management、Testing&Interoperability、Hybrid、Market Education、Architecture&Framework、Forwarding Abstractions共 7個工作組以及 Northbound API、Transport、Skills Certification 等討論組。標準的討論范圍涵蓋SDN的南向接口、北向接口、市場應用、控制器等各個方面。截至2012年12月，ONF協會發布的標準包括Open Flow規范和Open Flow管理配置協議。

OpenFlow規范是SDN技術架構中控制平面和數據平面間的第一個通信標準。自2010年年初發布第一個版本OF1.0[5]以來，OpenFlow逐步完善，先后經歷了OF1.1、OF1.2版本。同時，各設備廠商也積極推動支持OpenFlow標準的交換機的研發和生產。

OpenFlow規范的技術架構如圖2所示，主要定義了交換機的功能模塊以及其與控制器之間的通信信道方面的接口。通過該接口，OpenFlow控制器將制定好的轉發策略通過安全的通信信道發送給交換機，對交換機處理流的方式進行控制。具體的控制策略是由流表（FlowTable）和表項來表示的。每個交換機可以有一個或多個流表，從0開始依次編號。編號的大小標明了流表的跳轉順序，只能從編號小的流表依次或越級跳轉至編號大的流表。每個流表又包含一系列的流表項，每條流表項由匹配域（match field）、計數域（counter）和指令（instruction）等字段組成。在流表項中，可以根據網絡分組在L2、L3、L4等網絡報文頭的任意字段進行匹配，如以太網幀的源MAC地址、IP分組的IP地址等。在OpenFlow的未來計劃中，還支持對整個數據分組的任意字段進行匹配。當數據分組進入流表后，必須從流表0開始向后進行匹配。如果數據分組與流表i的某條表項匹配成功，則首先更新該表項對應的計數器（更新匹配數或者匹配字節數等），然后根據該表項定義進行數據分組的處理，包括啟動后續流表的匹配、執行數據分組的操作等。如果數據分組已處于最后一個流表，并且仍未匹配任何規則，則執行默認設置，如轉發數據分組到控制器或丟棄。

圖2 OpenFlow技術架構

OpenFlow管理配置協議的目的是規范支持OpenFlow交換機中的數據流配置，保證數據流在SDN控制器、OpenFlow交換機之間的順利傳輸。OpenFlow管理配置（OF-Config）協議與SDN其他組成部分的關系如圖 3所示。

圖3 OpenFlow管理配置協議在SDN架構體系中的位置

3 SDN安全的特點

SDN架構實現了傳統網絡架構中網絡管理功能的集中，是對傳統網絡架構的革命性創新。這種創新除了帶來管理、運營等方面的靈活性，也使得SDN中的安全問題呈現出其特有的特點。

SDN安全問題的獨特性與SDN的管理集中性和開放性是密不可分的。

管理集中性使得網絡配置、網絡服務訪問控制、網絡安全服務部署等都集中于SDN控制器上。攻擊者一旦成功實施了對控制器的攻擊，將造成網絡服務的大面積癱瘓，影響控制器覆蓋的整個網絡范圍。在SDN的這種架構下，攻擊者的攻擊對象愈來愈集中，極大地降低了攻擊難度。同時，云計算的發展為攻擊者提供了超大規模計算能力，對于原來只有資金雄厚的大型組織才能實施的網絡攻擊任務，普通用戶在云計算平臺的支持下，也可以輕松實現攻擊。

開放性是SDN的另一個重要特征，是SDN實現統一管理、配置異構網絡設備、提供可編程特性的重要原因。但開放性也使得SDN面臨著更多的安全威脅。首先，開放性使得SDN控制器的安全漏洞、策略的不完備性等充分地暴露在攻擊者面前，給予了攻擊者足夠的信息制定攻擊策略。其次，SDN架構通過SDN控制器給應用層提供大量的可編程接口，這個層面上的開放性可能會帶來接口的濫用，如引發DDoS攻擊等，因而需要對應用層制定準入策略，防止意圖不軌的攻擊者利用開放接口實施對網絡控制器的攻擊。最后，開放性使得SDN控制器需要謹慎評估開放的接口，以防止攻擊者利用某些接口進行網絡監聽、網絡攻擊等。

SDN的網絡架構特性使得SDN呈現出以下3個特點。

·在傳統的網絡架構中，網絡安全控制集中于OSI體系架構的4～7層，在SDN架構下，通過控制器可以實現2～7層的安全策略配置，提供了更加細粒度的安全控制。

·SDN的安全威脅將更加集中，而不是傳統的分散在網絡中各個相關的網元部分。

·SDN的安全威脅將更加不可視化。隨著網絡控制權從用戶到網絡控制器的更迭，用戶對于自己的網絡狀態將越來越不能很好地監控。

4 SDN安全現狀

隨著SDN研究的深入和廠商的大量參與，SDN的安全問題越來越受到重視。

2012年11月4日，互聯網工程任務組（IETF）的SAAG（Security Area Advisory Group）發布了SDN架構中的安全要求，主要探討SDN控制器和應用層之間的安全要求，包括控制器與應用層的安全接口、認證、授權，應用與內嵌應用之間安全策略的可見性等安全問題[6]，但并未給出SDN中安全威脅的應對方案。

隨著虛擬化技術的深度應用，產業界內已經有較為成熟的計算資源、存儲資源的虛擬化解決方案，而且虛擬化給各組織帶來的管理靈活性、高效率、低成本等優勢也日漸凸顯，但目前網絡和安全仍然固化在單一的設備上，未與計算等基礎設施資源的發展步調保持一致，因而成為云計算高速發展下強有力的制約因素。為此，VMware公司率先推出vCloud，提供了一套功能完整的云計算基礎設施解決方案，可用于構建和管理能夠滿足IT最重要需求的完整的云計算基礎架構。

其中，vCloud Networking&Security組件（如圖 4所示）是一個關鍵的安全組件，從終端、虛擬數據中心內部、虛擬數據中心邊緣保護虛擬化數據中心，防止其受到攻擊和濫用。在終端層面，通過限制授權應用的網絡訪問、敏感數據的授權訪問以及安全管理流程的制定3方面，保證虛擬桌面部署的安全；在虛擬數據中心內部，通過加強內部虛擬機間的通信控制，實現自適應的信任區域保護和隔離，保證敏感業務信息不泄露，以提供安全可靠的網絡服務；在虛擬數據中心邊緣，通過集成式的防火墻和網管服務，隔離數據中心外部的安全威脅，提供敏捷、可信賴的數據中心服務。

5 SDN安全的挑戰

盡管SDN架構可以解決數據中心的網絡管理、運營維護和成本問題，但從目前的發展階段來看，SDN技術的應用還需要長時間的發展和普及，尤其是SDN中的安全問題，將成為制約SDN架構商用化和普遍推廣的一個決定性因素。

從SDN的架構來看，SDN中的安全問題主要集中在控制平面和應用平面。

（1）控制面的安全

集中化的控制面承載著網絡環境中的所有控制流，是網絡服務的中樞機構，其安全性直接關系著網絡服務的可用性、可靠性和數據安全性，是SDN安全首先要解決的問題。在控制面中，面臨的威脅包括以下方面：

·網絡監聽，攻擊者從Internet上獲取控制器的網絡切入點后，對控制器上的控制信令進行偽造和修改，威脅網絡資源的配置；

圖4 VMware vCloud Networking&Security組件技術架構

·IP地址欺騙，攻擊者通過網絡監聽，將其偽造的控制信令IP地址篡改為控制器的IP地址，騙取交換機的信任，對網絡進行破壞；

·DDoS攻擊，攻擊者向控制器發送多個服務請求，并且所有請求的返回地址都是偽造的，直到控制器因過載而拒絕提供服務；

·病毒、蠕蟲及木馬攻擊，攻擊者通過控制器中存在的漏洞，獲取控制器的控制權，執行惡意代碼等。

（2）應用面的安全

隨著SDN的推廣和發展，應用層將通過應用提供各種復雜的網絡服務，安全問題也將隨之而來。主要包括以下兩種。

·惡意應用：通過在應用層的應用中植入蠕蟲、間諜程序等，達到竊取網絡信息、更改網絡配置、占用網絡資源等目的，從而干擾控制面的正常工作進程，影響網絡的可靠性和可用性等。

·應用的安全規則沖突：為了提供各類網絡服務，應用層需要制定安全規則，以訪問控制器的某些安全接口。隨著應用的復雜化，多個應用之間會出現安全規則沖突，從而帶來網絡服務的混亂和增加管理復雜度。

6 SDN安全技術框架建議

為了構建安全的SDN，需要對SDN中的設備、應用、安全策略、服務管理等進行有效管理，并針對SDN中易于受到安全攻擊的控制器進行重點監控，及時發現和排除異常情況。為此，本文從威脅分析、防御規則、防護方法3方面對SDN中的安全問題進行分析，構建了如圖 5所示的安全技術框架。

數據層面的安全性策略控制等都由控制器負責配置和管理，并通過控制器下發的控制指令執行。

在易于受到攻擊的控制器層面，首先，需要制定一系列嚴密的授權、訪問控制、安全管理等規則；其次，能夠及時對感知到的異常網絡設備、異常行為進行隔離，避免造成大范圍的破壞；最后，控制器需要具備分析網絡行為的能力，從日志、流量、當前服務等狀態分析網絡行為的特征，對于異常的網絡行為需及時報警和隔離。

在應用層面，首先，制定一系列安全服務準入規則，對應用提供的服務、需要控制器提供的接口等進行鑒定，負責規則的應用才允許成為SDN中合法的應用；其次，利用可編程的接口，針對目前存在的安全威脅，利用已有的技術對安全威脅進行監控和排除，加強控制器的安全防護。

除此之外，安全技術架構還提出了跨越數據層、應用層、控制層的安全評價體系和安全管理。安全評價體系制定一系列的安全評價標準，對網絡設備、服務、應用等的安全進行評價和分級，將安全級別低的應用或服務通知給控制器，由控制器執行相應的處理。安全管理通過可視化的控制界面，為不同的管理人員提供差異化的安全策略配置和管理。

圖5 SDN安全技術架構建議

7 結束語

在新的網絡環境下，隨著網絡的可擴展性、靈活性、有效性等特性要求的提高，傳統網絡架構的局限性凸顯。因而，SDN架構從提出到現在，迅速地從實驗室走向了產業界，引起了科研界和企業界的極大關注，相繼出現了一系列的相關標準和設備。但SDN方面的安全研究仍處于起步階段。本文首先分析了SDN的產生背景，闡述了其技術原理和發展現狀，在此基礎上，對SDN架構中的安全特點、安全威脅進行了分析，并提出了SDN安全技術架構建議，以期為SDN安全方面的科研和產業發展做出有益的探索。

1 呂博.網絡虛擬化資源管理架構與映射算法研究.北京郵電大學博士學位論文,2011

2 林闖，賈子驍，孟坤.自適應的未來網絡體系架構.計算機學報,2012,35(6)

3 ONF Market Education Committee.Software-defined networking:the new norm for networks.https://www.opennetworking.org/images/stories/downloads/white-papers/wp-sdn-newnorm.pdf,2012

4 Clean slate.http://cleanslate.stanford.edu/,2012

5 OpenFlow.OpenFlow configuration and management protocol OF-CONFIG 1.0.https://www.opennetworking.org/images/stories/downloads/of-config/of-config1dot0-final.pdf,2012

6 IETF SAAG.Security requirements for software defined networks.http://www.ietf.org/proceedings/85/slides/slides-85-saag-4

Research on SDN Architecture and Security

Wang Shuling1,Li Jihan2,Zhang Yunyong1,Fang Bingyi1
(1.China Unicom Research Institute,Beijing 100048,China;2.Beijing University of Posts and Telecommunications,Beijing 100876,China)

With the rapid development of cloud computing and mobile internet,the features that network exhibits,such as diversity,declare for urgent requirements for scalability,manageability and security of the data center.The SDN architecture shows a promising way of dealing with the above requirements of network through revolutionary innovation of the traditional network architecture,which attracts great interest of companies and research institutes.However,according to the recent research and progress of SDN,security problem has not been addressed,which will be a significant issue.Based on the situation,the basis of SDN,including the origination,architecture,standardization work and standardized protocol,were described,and the security issue was also analyzed.In the security part,the exhibiting new features of security problem for SDN,were analyzed,by listing the undergoing work,and then the security threats in SDN were concluded.Finally,a suggested architecture for security research of SDN was proposed.

software defined network,security,Open Flow

10.3969/j.issn.1000-0801.2013.03.020

* 國家自然科學基金資助項目（No.1172134），“新一代寬帶無線移動通信網”國家科技重大專項基金資助項目（No.2012ZX03002001-002，No.2013ZX03002004-002，No.2013ZX03002003-005）

王淑玲，女，博士，中國聯通集團研究院工程師，主要研究方向為云計算、下一代網絡。

李濟漢，男，主要研究方向為人工智能、機器學習。

張云勇，男，博士后，中國聯通集團研究院平臺與云計算研究中心主任，教授級高級工程師，中國通信學會、電子學會、計算機學會高級會員，中國人工智能學會會員，主要研究方向為下一代開放網絡、固定移動融合核心網、移動互聯網及業務、公共運算。

房秉毅，男，博士，中國聯通集團研究院高級工程師，主要研究方向為云計算、核心網新技術。

2013-02-25）