SDN網絡安全策略研究

薛樂梅

摘要：軟件定義網絡SDN是一種轉發、控制分離、軟件可編程的新型網絡體系架構，其具有集中控制、開放性等特點，而這些特點也帶來了新的網絡安全問題。本文分析了SDN網絡安全威脅產生的原因，并提出了對應的解決方案。

關鍵詞：軟件定義網;網絡安全威脅;網絡安全解決方案;網絡安全技術

中圖分類號：TP393.08? ?文獻標識碼：A? ? 文章編號：1007-9416（2018）10-0000-00

隨著網絡技術的快速發展，大型數據中心的多個運營問題接踵而至，例如，網絡設備由于在生產商生產時已將相關程序固化至設備中，導致網絡設備缺少開放式接口，設備間的互操作性欠佳等。SDN網絡是一種新型的網絡架構，其快速的發展為上述問題提出了可行的解決方案。SDN網絡通過軟件的形式重構現有網絡，實現了控制層面和數據層面的解耦，從基礎的網絡設備中剝離了控制層面，其控制層面通過軟件控制器來實現，從而將控制功能從網絡節點中分離出來，以可編程的方式控制流量，構建動態、開放、可控的網絡環境，簡化了底層硬件的復雜度。

SDN網絡的開放性可通過北向接口來實現。SDN北向接口是通過控制器向上層業務應用開放的接口，其目標是使得業務應用能夠便利地調用底層的網絡資源和能力。SDN控制器一般由第三方實現，使得控制層面脫離了硬件廠商的限制，修改和添加新特性只需在軟件控制器上修改或者添加應用即可。

SDN 就像一把雙刃劍，其所具有的集中控制、開放性應用層的特點在簡化網絡管理、實現網絡設備靈活管控的同時，也引入了不可低估的安全威脅。從網絡安全而言，集中管控易出現控制器故障，開放性易受網絡攻擊，因此，如何改善SDN網絡安全是本領域的當務之急。

1 SDN網絡面臨的主要安全威脅

基于SDN網絡的特點，其面臨的網絡安全威脅主要包括：用于集中式管理的控制器內部OS的安全、內部應用安全、控制器故障導致的安全威脅;控制層安全威脅;交換機與控制器鏈路間的安全、交換機內部流表項的安全等。

目前，通過部署在控制器網絡操作系統（NOS）中的安全核心模塊實時檢測網絡狀態信息;安全應用根據網絡狀態信息，分析網絡安全狀態，檢測到網絡安全威脅時，生成相應的安全策略，并將所述安全策略轉換成流表項規則，安裝或更新至數據層交換機。但該技術面臨保護對象快速變化，如交換機突然增加，則負載壓力變大，不足以應對安全保護需求，可能出現控制器網絡操作系統無法追蹤保護交換機或無法為激增的交換機提供安全防護的情況。

2 解決方案

2.1 保護組集群技術

控制器的集中控制模式導致單個控制器出現故障時極易被攻擊，因此，可考慮配置如圖1所示的冗余容災策略，以配置多個控制器來實現冗余備份，且在控制器間進行主、備選舉，可選取性能最優的控制器作為主控制器，其余均配置為備用控制器，主控制器和其余備份控制器組成保護組，保護組內的控制器間采取雙向認證策略，以確保控制器間的安全、可信。進一步，為了提高數據處理能力，可以設置保護組集群，當處理任務超過本保護組最大處理能力閾值時，將處理任務切換至其他保護組集群處理。

2.2 云安全策略技術

針對控制器中的內部應用安全，可以基于云安全策略來周期性下發針對內部應用的安全策略，包括了對內部應用的安全檢測、安全隔離，且云安全策略可在云服務器中進行定時更新。當控制器基于安全策略匹配檢測到內部應用的安全威脅時，基于安全策略中包括的處理機制來對安全威脅進行處理;針對未匹配成功的安全威脅，控制器及時向云服務器上報，以在云服務器處生成該安全威脅的安全策略后下發至控制器。

2.3 基于令牌和?；顓f議的身份認證技術

在普通的傳輸模式下，攻擊者能夠偽造控制器或者篡改策略信息，向交換機發送虛假的流表項信息，因此，可進一步配置云服務器對集群內的控制器進行安全身份認證，在認證通過后，云服務器向控制器下發帶有期限的令牌，且控制器需要定時向云服務器發送攜帶有所述安全令牌的心跳消息，云服務器能夠基于所述心跳消息對控制器的性能狀態進行監測，當未接收到控制器的心跳消息時，進行保護組內的冗余切換;當發現令牌過期時，需要重新對控制器進行身份認證。當云服務器接收到本保護組內主控制器所反饋的處理任務超過最大處理能力閾值的消息時，云服務器將任務切換至其他保護組處理。

2.4 TLS安全協議技術

SDN 控制器給應用層提供大量的可編程接口，開放性使得 SDN 控制器需要謹慎評估開放的接口，以防止攻擊者利用某些接口進行網絡監聽、網絡攻擊等。針對接口的開放性所導致的網絡安全威脅，可在接口處配置安全監測模塊，實施截獲接口處的通信消息，并基于云服務器下發的安全策略進行對惡意攻擊行為進行攔截。交換機與控制器間鏈路安全可以通過安全傳輸層協議TLS來實現。

3 結語

本文從SDN網絡安全角度簡要闡述了SDN網絡的特點，以及SDN網絡所面臨的網絡安全威脅，然后針對安全威脅提出了對應的安全方案。如下幾個方面的工作可作為以上研究工作的延續和擴展：（1）進一步研究SDN網絡中分布式虛擬交換機集群的網絡拓撲安全威脅應對策略;（2）控制層與轉發層基于加解密的安全傳輸方案。

參考文獻

[1]左青云，等.基于OpenFlow的SDN網絡安全分析與研究信息[J].網絡安全，2015，26-32.

[2]Yao G， Bi J， Xiao PY. Source address validation solution with Open Flow/NOX architecture. In： Proc. of the 19th IEEE Intl Conf. on Network Protocols （ICNP）. Vancouver： IEEE Press，2011.7-12.

SDN Network Security Strategy Research

XUE Le-mei

（Patent examination cooperation guangdong center of the patent office，CNIPA，Guangzhou Guangdong? 510530）

Abstract：Software-defined network SDN is a new network architecture with forwarding， control separation and software programming. It has the features of centralized control and openness， meanwhile， these features also bring new network security problems. This paper analyzes the causes of SDN network security threats and proposes corresponding solutions.

Keywords：software-defined network; network security threat; network security solution; network security technology