軟件定義網絡及安全防御技術探討

◆白保琦

軟件定義網絡及安全防御技術探討

◆白保琦

（蘭州石化職業技術學院 甘肅 730060）

伴隨著互聯網高速發展，網絡技術的不斷創新與應用價值日漸提升使網絡安全問題愈發顯著。本文以軟件定義網絡為研究對象，簡要概述了軟件定義網絡特征與原理，并在此基礎上，就軟件定義網絡存在的安全問題及其安全防御技術進行簡要分析，以供參考。

安全防御；防御技術；軟件定義網絡

1 對“軟件定義網絡”的基本認識

1.1 軟件定義網絡概念

“軟件定義網絡（Software Defined Network，SDN）”起源于斯坦福大學Clean Slate研究，并由Mckeown于2009年正式提出與發展[1]。軟件定義網絡是對傳統網絡的一種改革與創新，通過將網絡設備控制面與網絡數據面進行有效分離，形成一種全新的網絡架構，從而提升網絡開放性、網絡控制靈活性。軟件定義網絡的控制層，配置了可編程控制裝置，由控制器實現對網絡設備控制的集中化管理，網絡用戶能夠全面了解與控制網絡信息，在自定義下進行網絡配置與協議部署，提升網絡控制靈活性。與此同時，控制層面與數據層面的分離，能夠克服網絡硬件設備對網絡架構拓展的制約，增強網絡可拓展性，便于網絡升級。軟件定義網絡的數據層，配置了數據轉發專用裝置，實現對網絡數據的快速分析與處理，可有效滿足網絡數據大流量需求。而控制層與數據層之間利用開放式統一接口實現交互，提升交互規范性、標準性的同時，降低交互簡便性。由此可見，軟件定義網絡的應用能夠有效改善傳統封閉網絡在網絡拓展、網絡靈活管控等上的弊端，有效降低網絡設備復雜度與運維成本，推動網絡創新發展。

1.2 軟件定義網絡體系結構

軟件定義網絡已被MIT（Massachusetts Institute of Technology，麻省理工學院）列為“改變世界的十大創新技術之一”隨著軟件定義網絡理論與實踐研究的不斷深入，軟件定義網絡架構呈現出多樣化發展態勢，其內涵得到不斷豐富，控制層與數據層之間的接口規范性不斷提升。軟件定義網絡主要由應用層、控制層與數據層三部分構成。其中應用層為最上層結構，具備可編程特征，用戶能夠根據自身業務需求，進行簡單編程，實現自定義網絡部署；控制層為軟件定義網絡的中間層，具有邏輯中心化特征，是數據平面資料管理的核心系統，能夠實現網絡拓撲的有效維護以及網絡狀態信息的科學管控；數據層為軟件定義網絡的最下層，能夠在軟件定義網絡專用交換機等設備應用下，進行數據處理（包括數據采集、接受、轉發等）；軟件定義網絡接口的科學配置，包括應用層與控制層的北向REST接口和控制層與數據層的南向CDPI接口，實現了各層面之間的有效交互，加強SDN體系集成管理水平[2]。隨著軟件定義網絡研究的不斷深入以及規模的不斷拓展，軟件定義網絡將取向多控制模式創新發展，各層面接口標準有待進一步完善。

1.3 軟件定義網絡存在的安全問題

軟件定義網絡作為新型網絡架構，正處于不斷發展與完善階段，隨著軟件定義網絡在現實中的應用與推廣，其安全問題成為急需解決的技術與應用問題。從軟件定義網絡結構視角來看，軟件定義網絡應用層存在：惡意代碼威脅、應用程序身份認證與訪問權限威脅、應用配置缺陷等安全問題；軟件定義網絡北向接口存在：防護脆弱、非法訪問、數據篡改等安全問題；軟件定義網絡控制層存在：控制器劫持、控制器邏輯破壞、SDN控制器配置不足、(D)DoS攻擊下的拒絕服務等安全問題；軟件定義網絡南向接口存在：認證機制缺乏下的數據流監聽與網絡篡改，數據加密措施缺乏與協議脆弱下的數據丟失、信息失真等安全問題；軟件定義網絡數據層存在：拒絕服務、數據流表信息泄露與篡改、黑洞攻擊、節點網絡癱瘓等安全問題。從整體層面來看，軟件定義網絡的安全問題可概括為：SDN授權認證安全問題、SDN數據丟失與篡改安全問題、SDN數據泄露安全問題、SDN惡意攻擊安全問題、SDN拒絕服務安全問題、SDN配置缺陷安全問題、SDN系統故障等[3]。

2 軟件定義網絡安全防御技術

根據軟件定義網絡特征，結合軟件定義網絡存在的安全問題，學術界與實務界對SDN安全防御技術進行了探討，提出不同安全解決方案。

就SDN授權認證安全問題而言，授權認證機制的科學建立是實現該問題有效防御的重要手段。例如，在系統安全設計與部署中，構建拒絕未經主機認證與授權的主機接入軟件定義網絡的授權認證機制。即，利用認證器與RADIUS服務器實現對可擴展認證協議請求信息的認證，根據認證響應由OF控制器做出網絡數據流量執行決策，以提升SDN授權認證安全水平。又如，加強SDN控制器安全設計，通過在控制層面配置安全模塊，包括數據源認證模塊、流規則分析檢驗模塊、網絡狀態表管理模塊等，進行身份識別與權限認證，提升SDN安全防御能力。

就SDN數據丟失、泄露與篡改安全問題而言，在提升SDN授權認證安全水平的基礎上，進行相關安全防御方案的設計與完善。例如，Parros（2015）在已有研究成果的基礎上對Floodlight控制器進行了改造，形成SE-Floodlight控制器。該控制器除具備狀態表管理模塊、數據源認證模塊、流規則檢驗與分析模塊外，也具備權限管理與安全審計系統，能夠有效提升SDN應用與控制層之間的交互安全水平，降低北向接口數據惡意篡改風險。與此同時，在各模塊協調作用下，能夠對網絡中存在的惡意行為進行分析與監管，加強應用層信息管控能力，減少數據丟失、泄露、被篡改的概率。

就SDN惡意攻擊安全問題而言，可在應用層與控制層進行信息交互之前構建身份識別與驗證系統進行安全問題防控。例如，利用微操作系統技術、函數庫、沙箱化設計，賦予SDN應用層隔離、獨立認證特征，提升軟件定義網絡控制層容錯性，從而降低惡意攻擊對網絡安全運行存在的不利影響。在此過程中，微操作系統技術的應用實現網絡系統輕量化處理；函數庫設計理念的引入減少應用與內核分離過程中，內核負載過重對SDN安全與穩定運行的影響。與此同時，為降低惡意攻擊對SDN控制層的影響，利用資源管理器實現應用的區域化管理，并在公私鑰體制應用下，形成系統應用調用權限審核體系的科學構建，提升網絡運行安全水平。

就SDN拒絕服務安全問題而言，可在軟件定義網絡數據層中配置連接遷移模塊，實現對有效TCP連接的存儲，并將其上傳到控制層面，以進行網絡狀態的有效監督，從而在網絡操作過程中屏蔽無效數據分組。與此同時，在南向接口中配置執行觸發裝置，當數據層中的數據信息流量達到觸發標準時，進行流規則插入，以提升數據處理能力，改善SDN拒絕服務安全問題。

就SDN配置缺陷安全問題而言，可通過網絡錯誤檢驗算法設計、動態檢查策略應用、驗證機制構建等方式進行處理，提升軟件定義網絡安全防御能力。

SDN系統安全問題，需注重系統組織模塊、系統通信協議、網絡調試裝置的優化設計。

3 結論

軟件定義網絡的提出與應用，有效改善了傳統網絡運行中存在的開放性、實效性、靈活性弊端，成為促進互聯網創新發展的關鍵技術。但由于軟件定義網絡屬于新型網絡架構，正處于不斷發展與完善階段，在使用過程中仍存在諸多網絡安全問題。對此，在明確認知軟件定義網絡特征與原理的基礎上，應加強其安全防御技術的研究，制定行之有效的網絡安全問題解決方案，以促進軟件定義網絡的優化發展。

[1]伍岳,陶駿,張云玲.基于OpenFlow的SDN網絡安全分析與探究[J].湖南工程學院學報(自然科學版), 2019,29(01):45-48.

[2]何占博,王穎,劉軍.我國網絡安全等級保護現狀與2.0標準體系研究[J].信息技術與網絡安全,2019,38(03):9-14+19.

[3]劉揚.關于構建網絡信息安全防護體系的研究——基于數據價值視角的大數據監管系統建設的思考[J].信息通信技術與政策,2019(02):52-56.