基于OpenFlow的SDN網絡安全研究

孔德武

【摘 要】通過分離網絡的控制與數據平面，SDN網絡（軟件定義網絡）有效增加了網絡的可編程性與靈活性，網絡管理成本降低、新型網絡技術快速部署由此獲得可行的解決方案支持。但由于傳統網絡的部署和管理方式因SDN網絡具備的新架構而顛覆，SDN網絡的大規模、廣泛化應用必須考慮新的安全問題，如軟件部署方式引發的程序異常、配置引發的數據平面安全問題。

【關鍵詞】OpenFlow;SDN;網絡安全

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1674-0688（2019）06-0086-02

1 基于OpenFlow的SDN網絡安全分析

1.1 對網絡安全的貢獻

在網絡安全層面，基于OpenFlow的SDN網絡具備兩大優勢，即提供實時的流量管理與控制能力、實現智能化網絡自我管理，應用程序存在的動態性和高帶寬問題解決、管理和操作的復雜程度降低均可由此獲得有力支持。在多種粒度控制管理及全局視圖能力支持下，SDN網絡可更好地感知網絡故障與網絡攻擊，并能夠較好地為流量清洗、網絡溯源、負載均衡、故障排除提供支持。總的來說，SDN網絡的流量控制能力可提供整個網絡的全局視圖，并能夠讓獨立網絡的流量控制能力實現集中管理，使得SDN網絡在邊界流量控制、流量攻擊檢測方面表現優秀;網絡控制能力則使得SDN網絡能夠提供更加便捷的審核與監管機制，網絡安全問題的及時發現、分析并且進行及時處理可獲得有力支持。

1.2 自身存在的安全問題

雖然基于OpenFlow的SDN網絡為網絡安全開拓了新局面，但隨著商業化探索的廣泛展開，SDN網絡存在的安全問題逐漸暴露。深入分析可以發現，SDN網絡的安全問題主要出現在應用層、控制層、基礎設施層、南向接口、北向接口，而結合國內外相關研究發現，SDN網絡的數據層、控制層、控制層與數據層之間的接口最易受到網絡攻擊。其中，數據層面臨著與傳統網絡轉發設備相同的安全問題，如假冒、非法訪問、DOS攻擊等，控制層安全則很容易受到集中式結構的單點故障影響，南向接口的TLS協議安全通道加密也很容易引發安全隱患。此外，受到特殊架構的影響，SDN網絡的控制器非法接入、數據層到控制層的飽和攻擊往往會對整個網絡造成較為嚴重的危害。

2 SDN網絡安全威脅攻擊處理策略及安全優化路徑

2.1 網絡攻擊威脅快速溯源

為應對外部的惡意攻擊威脅，如SDN網絡面臨的基于OpenFlow交換機數據流的攻擊，這類攻擊一旦出現即可判斷SDN網絡的薄弱環節節點存在防御薄弱問題，這類節點將因此成為后續攻擊源。為盡可能降低外部惡意攻擊對SDN網絡造成的威脅，網絡攻擊威脅快速溯源方案的合理選擇需要得到重視，輔以數據流分析法、節點監測，即可較好地探尋攻擊源頭，SDN網絡的安全水平也將實現長足提升。

鏈路測試法屬于較為常用的SDN網絡攻擊溯源策略，基于該方法的數據包源頭識別主要采用向前回溯的方式，由此判定數據包是否存在疑似攻擊數據。在全局視圖支持下，基于SDN網絡的攻擊溯源需提取交換機轉發規則信息，但考慮到當前應用環境下SDN網絡面臨的龐大數據量，不斷開展的ID對比會直接影響數據包與轉發規則提取的效率，巨量數據帶來的大規模信息處理使得向前回溯的傳統方式失去了應用價值。為解決傳統方法存在的不足，本文建議采用重新描述節點場景、重新定義不同節點特性的方法實現SDN網絡攻擊的快速溯源。SDN網絡的不同節點存在不同的安全特性，如遭受過威脅的節點存在防御能力不足問題，因此必須將這類節點作為重點監視對象，即設定為監測節點。而對于造成SDN網絡安全破壞的節點（出現受攻擊反應），則需要將其設定為疑似攻擊節點，其余節點為普通節點。通過描述節點場景，監測和溯源的節點范圍可得到進一步控制，快速溯源可獲得充足的時間支持。在快速溯源過程中，需開展網絡飽和攻擊的控制器監測，并采用數據流形式將PACKET-IN報文傳送至監測點，由此借助算法實現對于交換機的命令，疑似攻擊節點便能夠通過交換機覆蓋，配合PACKET-IN消息，即可實現攻擊源頭的獲取。

2.2 基于OpenFlow的加密保護

SDN網絡的安全水平優化需得到OpenFlow的支持，通過該技術強調的安全通道、流表、協議，交換機設備的均衡負載功能可較好得以實現。在SDN網絡服務時，網絡防火墻設置需通過交換機借助若干個元組實現，數據加密規則的持續優化需基于防火墻完成，并以此生成專門的加密算法，數據傳輸過程中SDN網絡安全即可得到更好保障。以SDN云服務訴求為例，在計算網絡環境下，SDN的安全分析需有針對性地選擇網絡安全變量，包括信息資源調度參與情況、網絡數據特征及數量、用戶資源信息等，SDN網絡在當前數據條件下的安全屬性可由此明確。在OpenFlow技術的具體應用中，網絡安全優化的實現需得到數據信息資源加密調整方式的支持，但同時需考慮網絡大環境對SDN網絡內部資源特征的影響。基于OpenFlow的安全優化需借助交換機控制數據傳輸，結合管理標準參數與監測指數，即可開展針對性、有效性更高的防火墻加密。通過以數據平均分配作為目標，針對性選用加密處理功能及算法，即可建立較為實用的安全管理模型，而通過讀寫數據信息、傳輸環節的數據加密與壓縮、全面的安全監察，即可更好地保證SDN網絡安全，并且能夠促使其在運行過程中更加穩定、有效。

2.3 基于OpenFlow的優化管理

通過應用OpenFlow的數據傳輸加密，可有效優化SDN網絡數據服務的安全水平，配合組建優化管理模式，SDN網絡的數據受損概率能夠實現有效控制。對于SDN網絡來說，其自調節系統、數據信息、信息匹配、信息統計、交互的穩定性參數應分別控制為0.72、0.66、0.83、0.81、0.57，處理相應時間分別為4.1 s、4.3 s、5.7 s、3.8 s、5.1 s。在SDN網絡的優化管理設計中，需整合OpenFlow控制器與交換機的連接方式，以及南向接口協議方式，控制器對交換機的實時監控實現需得到TCP/IP網絡傳輸接口協議的支持，配合集中管理方式，控制器還能夠較好地服務于SDN網絡的安全管理預命令，控制器的指令時間與內容設置需通過流表設置方式實現，SDN網絡的監視、管理全面性可由此實現長足提升。OpenFlow交換機配置可通過重新設置接口實現，控制器可由此根據收獲到的事件數據傳輸數據包。在數據加密技術支持下，SDN網絡可較好地識別訪客身份，安全問題的發生概率進一步得到控制。

3 基于OpenFlow的SDN網絡負載均衡模塊設計

3.1 層次設計

SDN網絡的安全離不開負載均衡的支持，因此本文基于OpenFlow開展了負載均衡模塊設計，通過打造負載均衡環境，SDN網絡的安全水平進一步提升。基于模塊化語言，SDN網絡負載方式的構成邏輯由應用層、控制層及數據層組成，應用層直接提供人機交互場景，并能夠提供控制端口進行負載均衡的實時調整。控制層由鏈路評分模塊構成，可通過評分的方式觀察和分析SDN網絡安全，并連接應用層Web界面。數據層主要由數據采集模塊構成，通過網絡數據采集，連接控制層與OpenFlow接口，即可為負載均衡的實現奠定堅實基礎。在各個層級內部，OpenFlow控制器必須最大化發揮自身功能，統計和鏈路評分需圍繞傳輸速率、CPU占有率、端口占用率、MAC地址、物理內存、交換機信息等全面展開，配合負載均衡程序進行實時評分，即可開展統一的網絡拓撲重組，并更好地保障SDN網絡安全。

3.2 模塊功能設計

具體設計如下：{1}數據采集模塊設計。基于OpenFlow協議、sFlow代理，可實現多組控制器間的數據交換，網絡拓撲信息的交換能夠在OpenFlow協議支持下實現，服務器之上的控制器可通過OVSDB交換機進行轉發。模塊中交換機單獨應用ASIC需得到sFlwo標準的支持，業務流信息由此即可通過控制器進行查看。通過OpenFlow協議與sFlow代理，數據采集模塊可實現流量監控體系的組建，SDN網絡數據采集也能夠由此更高質量地實現。{2}鏈路評分模塊。通過獨立的監控系統和交換機進行數據采集，模塊可在控制器中實現端口信息的統計。數據采集模塊獲取的鏈路信息可通過接口寫入本地數據庫，在本地數據庫的支持下，控制層的鏈路評分模塊即可圍繞帶寬、丟包、物理內存、CPU等使用率開展計算，并結合既定標準完成SDN應用情況評分，由此衡量網絡負載水平，即可實現SDN網絡的安全評價。在鏈路評分模塊支持下，詳細的數據支持與分析過程可明確SDN網絡所處的安全環境，安裝狀況判斷的準確率可由此得到較好保障。{3}負載均衡模塊。模塊的全局拓撲實現需得到控制器的支持，人機交互的回饋則需要應用負載均衡算法。API接口需與負載均衡模塊直接聯系，消息形式的策略下發、全局拓撲管理視野均可更好地服務于SDN網絡安全控制。

4 結語

綜上所述，基于OpenFlow的SDN網絡安全保障需關注多方面影響因素，本文涉及的網絡攻擊威脅快速溯源、加密保護、優化管理、負載均衡等內容，則提供了可行性較高的SDN網絡安全保障路徑，為進一步推進SDN網絡發展，SDN網絡的認證機制、應用隔離、權限管理等同樣需要得到重視。

參 考 文 獻

[1]曾遠柔.基于大數據的計算機網絡安全[J].電子技術與軟件工程，2019（5）：220.

[2]楊繼武.云計算環境中的計算機網絡安全探析[J].山東工業技術，2019（8）：140.

[3]伍岳，陶駿，張云玲.基于OpenFlow的SDN網絡安全分析與探究[J].湖南工程學院學報（自然科學版），2019，

29（1）：45-48.

[責任編輯：鐘聲賢]