基于軟件定義的網(wǎng)絡(luò)安全保障技術(shù)探究

盧國棟 江洲

摘 要 軟件定義網(wǎng)絡(luò)（Software ?Defined ?Networking，SDN）是一種從數(shù)據(jù)轉(zhuǎn)發(fā)平面中分離控制平面，以實現(xiàn)支持網(wǎng)絡(luò)虛擬化的新型網(wǎng)絡(luò)架構(gòu)。SDN 擁有控制平面和數(shù)據(jù)平面的解耦、可編程性、可擴展性等眾多優(yōu)點。然而其也存在諸多缺陷，因此筆者捋清SDN本身存在的短板而導(dǎo)致的威脅，基于這些威脅而分析了解決SDN網(wǎng)絡(luò)安全隱患的技術(shù)，即區(qū)塊鏈技術(shù)，從而能為后人對于SDN網(wǎng)絡(luò)的進一步研究奠定堅實的基礎(chǔ)。

關(guān)鍵詞 SDN網(wǎng)絡(luò);安全威脅;安全措施

1SDN網(wǎng)絡(luò)的架構(gòu)概述

1.1 SDN網(wǎng)絡(luò)的產(chǎn)生及發(fā)展

當(dāng)今時代乃是網(wǎng)絡(luò)的時代，無時無刻不處于大網(wǎng)絡(luò)的環(huán)境下。以前使用的網(wǎng)絡(luò)，其設(shè)備采用分布式架構(gòu)，沒有集中控制的概念，各網(wǎng)絡(luò)設(shè)備以網(wǎng)絡(luò)協(xié)議為“通用語言”實現(xiàn)互相通信。隨著時代的發(fā)展，網(wǎng)絡(luò)領(lǐng)域產(chǎn)生了一系列的問題，比如新業(yè)務(wù)必須兼容老的業(yè)務(wù)，新協(xié)議必須兼容老版本的協(xié)議。這些問題限制了網(wǎng)絡(luò)的更新?lián)Q代，成為網(wǎng)絡(luò)技術(shù)進步的阻礙。2008 年，有美國知名團隊提出了Open Flow的概念，其詳細(xì)介紹了Open Flow的原理。基于Open Flow技術(shù)實現(xiàn)的網(wǎng)絡(luò)可編程特性，是對現(xiàn)有網(wǎng)絡(luò)的重大變革，SDN技術(shù)應(yīng)運而生。SDN有三個主要特征：

（1）控制平面制定策略產(chǎn)生流表，但是數(shù)據(jù)的轉(zhuǎn)發(fā)平面只在網(wǎng)絡(luò)設(shè)備上。

（2）控制器對數(shù)據(jù)層的網(wǎng)絡(luò)設(shè)備進行集中管理，無需對設(shè)備逐一操作。

（3）第三方 App以編程的方式定義網(wǎng)絡(luò)模塊就可實現(xiàn)新的網(wǎng)絡(luò)功能。

一個新的時代必定會衍生出更加優(yōu)秀的產(chǎn)品。在21世紀(jì)發(fā)展到現(xiàn)今這個時代，SDN網(wǎng)絡(luò)的出現(xiàn)不是偶然。SDN網(wǎng)絡(luò)不僅解決了傳統(tǒng)網(wǎng)絡(luò)不能集中窺測路由信息的難題，又能從控制平面入手，即從更高的層面來為整個網(wǎng)絡(luò)提供服務(wù)，又因為其自身的控制平面能夠被重新寫入代碼，就極為巧妙地擺脫了對硬件的依賴，從根本上解決了部分業(yè)務(wù)過于耗時的問題。現(xiàn)如今有多家知名公司都已開始了SDN的研究和運用，并且已經(jīng)獲得了很好的收益，發(fā)展?jié)摿薮蟆Ｏ嘈旁谖磥淼?1世紀(jì)中后期，SDN必將在網(wǎng)絡(luò)研發(fā)領(lǐng)域中占有很大的角色，中國乃至世界各國都必將加大力度對SDN的研究和部署。

1.2 SDN網(wǎng)絡(luò)架構(gòu)

SDN的網(wǎng)絡(luò)架構(gòu)是將原來分布式控制的難以實現(xiàn)統(tǒng)一管控的網(wǎng)絡(luò)架構(gòu)重構(gòu)為控制器集中控制的網(wǎng)絡(luò)架構(gòu)。可分為三層：應(yīng)用層、控制層、數(shù)據(jù)層。隨著時間的推移，單實例的控制器難適應(yīng)用戶的廣泛需求，其使用局限性也日益凸顯，因此，采用分布式的控制平面才是更加明智的選擇。分布式控制器架構(gòu)又分為水平分布式及層次化分布式兩類：

（1）水平分布式控制器架構(gòu)。其是將網(wǎng)絡(luò)劃為不同的獨立區(qū)域，交換機在各自的獨立區(qū)域工作。每個區(qū)域由一個控制器集中控制，不同的控制器通過信息交換來完成整個網(wǎng)絡(luò)視圖的構(gòu)建。

（2）層次化分布式控制器架構(gòu)。其是將控制平面分成兩層結(jié)構(gòu)。上層的是全局控制器，連接著所有的本地控制器，主要負(fù)責(zé)整體網(wǎng)絡(luò)信息的控制以及維護全局網(wǎng)絡(luò)視圖。下層是各個本地控制器，只作用于本身管理的范圍有限的域，對本地的交換機及節(jié)點進行管理，并只能獲取本地交換機上報的網(wǎng)絡(luò)狀態(tài)信息[1]。

2SDN網(wǎng)絡(luò)存在的安全威脅

2.1 SDN網(wǎng)絡(luò)本身存在的短板

SDN 解耦了控制和數(shù)據(jù)，使得網(wǎng)絡(luò)的狀態(tài)在邏輯上是集中的，并且底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施也是集中的，整個網(wǎng)絡(luò)從應(yīng)用程序中抽象出來。因此，SDN 體系架構(gòu)使網(wǎng)絡(luò)能夠監(jiān)控通信流量并診斷威脅，以促進網(wǎng)絡(luò)取證、安全策略更改和安全服務(wù)插入。然而，控制邏輯的集中化和 SDN 的可編程性帶來了新的威脅，主要有①攻擊者偽造或虛假的業(yè)務(wù)流;②針對交換機脆弱性的攻擊;③針對安全通道的攻擊;④針對控制器脆弱性的攻擊。

2.2 短板可能引發(fā)的后果

攻擊者的目的是使得系統(tǒng)為合法用戶服務(wù)的質(zhì)量下降，甚至無法提供服務(wù)。實質(zhì)上是一個資源占用的問題。這種攻擊會耗盡 SDN 基礎(chǔ)設(shè)施不同組件的資源，包括數(shù)據(jù)平面中的三態(tài)內(nèi)容尋址存儲器（Ternary Content Addressable Memory，TCAM）和緩沖存儲器、控制通道的帶寬以及控制器的 CPU 和存儲。這種攻擊很容易在短時間內(nèi)使控制器過載[2]。

3SDN網(wǎng)絡(luò)安全技術(shù)保障措施

3.1 區(qū)塊鏈技術(shù)的應(yīng)用

SDN大大簡化了控制功能解耦的網(wǎng)絡(luò)管理數(shù)據(jù)平面，成為未來網(wǎng)絡(luò)的重要部分。但是，隨著網(wǎng)絡(luò)規(guī)模不斷擴大，SDN 控制器在網(wǎng)絡(luò)控制決策中的決定性地位，控制器很容易成為攻擊者的目標(biāo)。針對 SDN 存在的 DDoS/DoS 攻擊、單點失效等安全問題，SDN各控制器智能地分布在不同的地理位置上，以緩解 “單點失效”問題;使用區(qū)塊鏈技術(shù)，在各 SDN 控制器上構(gòu)建一個由一個可讀取、可添加、不可刪除的分布式數(shù)據(jù)庫組成的區(qū)塊鏈存儲，共同維護區(qū)塊的記錄列表。

3.2 區(qū)塊鏈技術(shù)針對SDN短板的作用機制

區(qū)塊鏈技術(shù)起源于比特幣，在中本聰 2008 年發(fā)表的《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)中》一文中，區(qū)塊（Block）和鏈（Chain）作為比特幣的核心技術(shù)提出。 區(qū)塊鏈以去中心化、不可篡改性、不可偽造性、可驗證性以及匿名性，使得SDN自身的短板逐一解除。隨著區(qū)塊鏈的發(fā)展，尤其是與智能合約的結(jié)合，已經(jīng)不僅僅被運用在數(shù)字貨幣等金融領(lǐng)域，也應(yīng)用于能源互聯(lián)網(wǎng)（能源區(qū)塊鏈）、醫(yī)療事業(yè)（醫(yī)療區(qū)塊鏈）、共享單車等[3]。

4結(jié)束語

SDN網(wǎng)絡(luò)在方便人們生活的同時，也帶來了不少的安全隱患，但這并不能阻礙SDN網(wǎng)絡(luò)在我們生活中的推廣和使用，未來也必將會產(chǎn)生新的技術(shù)來解決其本身存在的短板。筆者上文所詳細(xì)闡述的區(qū)塊鏈技術(shù)能很大程度上解決SDN帶來的些許安全隱患，但是未來仍將出現(xiàn)我們所難以解決的難題，這也是新事物發(fā)展的必然。由于篇幅和時間的限制，本文不能更加詳細(xì)闡釋SDN所面臨的新的問題以及更多解決網(wǎng)絡(luò)安全的技術(shù)辦法，望讀者加以諒解。

參考文獻(xiàn)

[1] 胡堯，龔文杰，曾振，等.軟件定義網(wǎng)絡(luò)安全技術(shù)研究[J].電子世界，2020，（1）：103.

[2] 郭磊，張旭，侯維剛，等.軟件定義多維光網(wǎng)絡(luò)研究進展與展望[J].通信學(xué)報，2020，41（1）：152-161.

[3] 肖世清.基于計算機網(wǎng)絡(luò)技術(shù)的計算機網(wǎng)絡(luò)信息安全及其防護策略探討[J].輕紡工業(yè)與技術(shù)，2020，49（1）：153，160.