SDN網(wǎng)絡安全架構的研究

摘 ?要： 軟件定義網(wǎng)絡（SDN）是一種新型網(wǎng)絡架構。它實現(xiàn)了傳統(tǒng)網(wǎng)絡架構中網(wǎng)絡管理功能的集中，使得SDN中的安全問題呈現(xiàn)出其特有的特點。本文在研究SDN控制器的基礎上，系統(tǒng)梳理了SDN技術在安全方面所面臨的威脅，給出了一種增強SDN安全的改進型的SDN架構，期望能對SDN的安全控制提供一定的參考作用。

關鍵詞： SDN;安全架構;安全威脅

中圖分類號： TP311 ? ?文獻標識碼： A ? ?DOI：10.3969/j.issn.1003-6970.2020.08.003

本文著錄格式：唐國純. SDN網(wǎng)絡安全架構的研究[J]. 軟件，2020，41（08）：10-13

【Abstract】： Software Defined Network （SDN） is a new network architecture. It realizes the concentration of network management functions in the traditional network architecture， and at the same time makes the security issues of SDN present its unique characteristics. Based on the study of SDN controllers， this paper systematically analyzes the security threats faced by SDN technology， and presents an improved SDN architecture that enhances SDN security. It is expected to provide a certain reference for the security control of SDN.

【Key words】： SDN; Security architecture; Security threats

0 ?引言

SDN（software defined Networking）體系結構實現(xiàn)了傳統(tǒng)結構中對網(wǎng)絡資源視圖的全局管控。它提升了網(wǎng)絡資源交付能力，是傳統(tǒng)網(wǎng)絡體系結構的革命性創(chuàng)新。該創(chuàng)新在帶來管理和運營上的方便的同時也讓SDN面臨特殊的安全威脅。SDN控制能力的集中使得控制器的安全性和性能成為整個網(wǎng)絡的瓶頸。相較傳統(tǒng)網(wǎng)絡設備的封閉特性，SDN的開放接口引起的網(wǎng)絡攻擊會招致SDN在安全方面的薄弱性。本文在研究SDN控制器的基礎上，系統(tǒng)梳理了SDN技術面對的安全問題，給出了一種增強SDN安全的改進型的SDN架構，期望能對SDN的安全控制提供一定的參考作用。

1 ?SDN控制器

控制器是SDN體系結構的中樞，通過南向接口協(xié)議管理底層網(wǎng)絡交換設備，監(jiān)控狀態(tài)，轉發(fā)決策，處理和調度數(shù)據(jù)平面的流量，通過北向接口向上層應用開放靈活的編程能力[1-4]。其體系架構如圖1所示。

圖1展示了控制器設計的多層結構，應重點關注三個方面。其分別為南向技術，北向技術以及東西向的可拓展性設計。

1.1 ?南向技術

南向技術重點涉及由南向接口協(xié)議進行鏈路發(fā)現(xiàn)、拓撲管理、策略制定和表項下發(fā)等[5-6]。①鏈路發(fā)現(xiàn)：指控制器依據(jù)鏈路層發(fā)現(xiàn)協(xié)議LLDP（Link Layer Discovery Protocol），把網(wǎng)絡資源設備的所有信息（能力、地址和標識等）構建成一連串的TLV（Type/Length/ Value），封裝為LLDPDU報文發(fā)給其直連鄰居。鄰居獲得信息后以MIB（Management Information Base）的方式存儲，管控系統(tǒng)可利用其分析鏈路的通信狀態(tài)。②拓撲管理：其重要功能是動態(tài)實時監(jiān)視和收集SDN交換機的信息，反饋設備的工作和鏈路狀態(tài)[7]。③決策：由SDN控制器根據(jù)具體的網(wǎng)絡傳輸要求擬訂。可依據(jù)轉發(fā)策略產(chǎn)生與之關聯(lián)的流表項，然后下發(fā)給交換機。相較傳統(tǒng)網(wǎng)絡，SDN設計的長處是利用整體網(wǎng)絡資源視圖組織實施更佳的策略。④表項下發(fā)：分主動和被動兩種方式[8]。主動表項下發(fā)為流表項在數(shù)據(jù)傳輸之前分配，交換機懂得數(shù)據(jù)包抵達時怎么轉發(fā);被動表項下發(fā)指交換機取得第一個沒有與之匹配流表項的數(shù)據(jù)包時，數(shù)據(jù)包被轉發(fā)給控制器處置。待SDN控制器明確處理后，然后把與之關聯(lián)的流程表項轉發(fā)給交換機處理。

1.2 ?北向技術

SDN北向技術實質為控制器向上層業(yè)務應用程序開放接口。其宗旨是讓應用程序可以方便地按需使用底層網(wǎng)絡資源。網(wǎng)絡業(yè)務開發(fā)人員通過北向接口，以軟件編程的方式對整個網(wǎng)絡的資源狀態(tài)進行全局管控[9-10]。

1.3 ?東西向拓展

SDN控制器承擔著整體網(wǎng)絡資源的全局管控，對提高網(wǎng)絡資源的交付效率起著極其關鍵作用。但控制能力集中的同時也使其安全性和性能問題變成全網(wǎng)的束縛[11-12]。此外，單控制器不能解決多區(qū)域的SDN網(wǎng)絡情況。東西擴展接口可以構成基于SDN控制器的分布式集群。

2 ?SDN安全威脅

SDN安全的特殊性與SDN的集中開放管理密切相關。SDN管理的集中統(tǒng)一使得網(wǎng)絡的配置、服務訪問控制、安全服務部署等都集中在控制器上[13]。黑客如果取得控制器權限會癱瘓大量網(wǎng)絡服務，導致控制器不能對全網(wǎng)覆蓋。此外，SDN的開放性也泄漏了控制器的安全漏洞和策略不完全性等問題，容易受到DDoS、蠕蟲病毒等方面的攻擊。結合以上描述，可以得出SDN 網(wǎng)絡安全重點涉及七個方面。分別是應用層安全，北向通道安全，控制層安全，南向通道安全，數(shù)據(jù)層安全，東西通道安全和策略安全。下面從這幾個方面分別對SDN安全威脅進行了梳理[14-25]。SDN應用層和北向通道安全威脅如表1所示。

SDN控制層安全威脅如表2所示。

SDN南向通道和數(shù)據(jù)層安全如表3所示。

用層供給了開放的可編程接口。如果在SDN架構的基礎上，增加一個包含應用層安全，北向通道安全，控制層安全，南向通道安全，數(shù)據(jù)層安全，東西通道安全和策略安全SDN的安全引擎構件，自動阻止接口濫用，可高效提升SDN安全性，如圖2所示。

SDN的安全引擎結構如圖3所示。

此外，該SDN的安全引擎設計主要包括SDN安全模型和SDN安全智能識別兩部分。SDN安全模型重點是對SDN各層和策略建立安全模型。SDN安全智能識別重點是采用大數(shù)據(jù)和人工智能技術建立智能安全識別機制，包括SDN漏洞庫、SDN威脅特征數(shù)據(jù)庫、SDN黑客行為數(shù)據(jù)庫，SDN評估模型、SDN監(jiān)測模型、SDN診斷模型和SDN主動防御反攻擊模型。SDN安全智能識別可根據(jù)各網(wǎng)絡、系統(tǒng)和應用的運行數(shù)據(jù)，自動進行采集分析和捕獲，自動添加新的SDN漏洞、威脅特征和黑客行為等。SDN安全智能識別針對SDN各層安全模型，對運行的海量的數(shù)據(jù)經(jīng)過多維度的整合分析，依據(jù)SDN的評估模型、監(jiān)測模型和診斷模型進行全部網(wǎng)絡的安全監(jiān)測，提前發(fā)現(xiàn)SDN控制器開放接口產(chǎn)生各種攻擊行為，主動防御各種安全威脅，同時對經(jīng)常進行全網(wǎng)發(fā)起攻擊的黑客實施智能反攻擊，先提出警告，對不聽的告誡者，利用SDN主動防御反攻擊模型癱瘓對方的攻擊系統(tǒng)和網(wǎng)絡設備，使其放棄攻擊行為。在具體實現(xiàn)上，可依據(jù)本體和Web語義技術構建SDN安全模型和SDN安全智能識別模型，同時依據(jù)本體和Web語義技術，構建SDN安全的服務質量QOS模型，利用大數(shù)據(jù)和人工智能算法開展SDN的安全評估、SDN的監(jiān)測和SDN的故障診斷。

4 ?結束語

本文在研究SDN控制器的基礎上，結合相關學者的前期研究成果，系統(tǒng)梳理了SDN技術面對的安全問題，給出了一種增強SDN安全的改進型的SDN架構，期望能對SDN的安全控制提供一定的參考作用。

參考文獻

[1] 嚴敏瑞. 軟件定義網(wǎng)絡中的ARP攻擊解決方法研究[D]. 西安電子科技大學， 2017.

[2] 殷波， 張云勇， 王志軍， 等. 基于SDN的數(shù)據(jù)中心網(wǎng)絡技術研究[J]. 信息通信技術， 2015， 9（01）： 29-33.

[3] 孫雪松. 基于SDN負載均衡技術的研究與實現(xiàn)[D]. 北京郵電大學， 2017.

[4] 鄒鑫清， 呂娜， 陳柯帆， 等. 一種新型機載戰(zhàn)術網(wǎng)絡下的內(nèi)容驅動路由協(xié)議[J]. 計算機工程， 2019， 45（08）： 113-119.

[5] 孔倩. 基于OpenFlow的鏈路容錯機制的研究與設計[D]. 華東師范大學， 2015.

[6] 王黎， 潘桉卿， 田少鵬. 軟件定義網(wǎng)絡（SDN）控制器技術與應用[J]. 指揮信息系統(tǒng)與技術， 2015， 6（04）： 81-85.

[7] 郭安東. 基于SDN架構的空間信息網(wǎng)絡路由算法的研究[D]. 北京郵電大學， 2018.

[8] 付健. 基于SDN的應用編程接口技術研究與實現(xiàn)[D]. 南京郵電大學， 2015.

[9] 郁陳焙. 軟件定義分組增強型光傳送網(wǎng)的生存性技術研究[D]. 北京郵電大學， 2017.

[10] 李可. 廣域網(wǎng)SDN控制器關鍵技術的研究與實現(xiàn)[D]. 北京郵電大學， 2016.

[11] 胡瀅. 軟件定義網(wǎng)絡節(jié)能技術研究[D]. 北京郵電大學， 2017.

[12] 卞宇翔. SDN故障監(jiān)測和恢復技術的研究與實現(xiàn)[D]. 南京郵電大學， 2017.

[13] 王淑玲， 李濟漢， 張云勇， 房秉毅. SDN架構及安全性研究[J]. 電信科學， 2013， 29（03）： 117-122.

[14] 戴彬， 王航遠， 徐冠， 等. SDN安全探討： 機遇與威脅并存[J]. 計算機應用研究， 2014， 31（08）： 2254-2262.

[15] 王麗娜， 王斐， 劉維杰. 面向SDN的安全威脅及其對抗技術研究[J]. 武漢大學學報（理學版）， 2019， 65（02）： 153-164.

[16] 池亞平， 余宇舟， 楊建喜. 基于深度學習的SDN惡意應用的檢測方法[J]. 計算機工程與設計， 2019， 40（08）： 2134-2139.

[17] 陳天驕， 劉江， 黃韜. 人工智能在網(wǎng)絡編排系統(tǒng)中的應用[J]. 電信科學， 2019， 35（05）： 9-16.

[18] 楊盾， 王小鵬. 應對DDoS攻擊的SDN網(wǎng)絡安全特性研究[J]. 軟件， 2018， 39（03）： 175-180.

[19] 常甫， 鄭世慧， 孫斌. OpenFlow交換機遠程配置管理系統(tǒng)[J]. 軟件， 2019， 40（01）： 1-7.

[20] 張寧， 劉軍， 張書林， 等. 基于OpenFlow的電力企業(yè)數(shù)據(jù)中心研究[J]. 軟件， 2018， 39（12）： 77-82.

[21] 劉強. 人工智能在計算機網(wǎng)絡技術中的實踐與探索[J]. 軟件， 2018， 39（11）： 242-245.

[22] 趙志偉. 智能化規(guī)則引擎技術研究[J]. 軟件， 2018， 39（8）： 65-69.

[23] 李平舟， 趙朗程. 基于BP神經(jīng)網(wǎng)絡的國家穩(wěn)定性研究[J]. 軟件， 2018， 39（6）： 142-146.

[24] 黃堃. 基于計算機網(wǎng)絡技術的計算機網(wǎng)絡信息安全及其防護策略分析[J]. 軟件， 2018， 39（6）： 139-141.

[25] 李紅輝， 關婷婷， 楊芳南. 云計算平臺狀態(tài)監(jiān)控技術研究與應用[J]. 軟件， 2018， 39（01）： 09-13.