何 恩，張德治，郝 平

0 引言

軟件定義網(wǎng)絡(luò)(SDN)最初由斯坦福大學(xué)發(fā)起研究，目前產(chǎn)業(yè)界成立了中立的開放網(wǎng)絡(luò)基金會(huì)(ONF，Open Networking Foundation)，包括德意志電信、Facebook、Google、微軟、Verizon、Yahoo! 等在內(nèi)的41家公司參與，推動(dòng)SDN和Openflow有關(guān)的產(chǎn)品、標(biāo)準(zhǔn)化和市場形成。隨著SDN的不斷發(fā)展，斯坦福、普林斯頓等著名大學(xué)也投入到Openflow/SDN有關(guān)的研究項(xiàng)目中，涉及到網(wǎng)絡(luò)安全、路由決策、網(wǎng)絡(luò)虛擬化、無線接入、數(shù)據(jù)中心節(jié)能等多個(gè)通信網(wǎng)絡(luò)研究領(lǐng)域。SDN已經(jīng)進(jìn)入了產(chǎn)業(yè)界大力推動(dòng)、學(xué)術(shù)界積極研究的良性發(fā)展階段，成為一項(xiàng)極有可能改變目前通信網(wǎng)絡(luò)產(chǎn)業(yè)生態(tài)系統(tǒng)的熱點(diǎn)技術(shù)。

然而，SDN的安全問題令人關(guān)注，由于SDN采用集中式控制的方式，直觀上，意味著更大的安全風(fēng)險(xiǎn)。另一方面，SDN也沖擊著傳統(tǒng)安全防護(hù)技術(shù)，隨著基于SDN的創(chuàng)新安全應(yīng)用不斷涌現(xiàn)，傳統(tǒng)安全廠商挑戰(zhàn)與機(jī)遇并存。因此，文中選擇SDN的信息安全進(jìn)行研究，首先介紹Openflow和SDN，然后綜述目前有關(guān)SDN安全研究的安全風(fēng)險(xiǎn)分析和安全技術(shù)及應(yīng)用，最后提出我們的想法和啟示性的意見。

1 Openflow/SDN簡介

1． 1 起源：Openflow

首先由斯坦福大學(xué)的Nick McKeown教授提出OpenFlow 的概念［1－2］，最初的目的是為校園網(wǎng)的研究人員試驗(yàn)其創(chuàng)新的網(wǎng)絡(luò)架構(gòu)、協(xié)議。Openflow網(wǎng)絡(luò)采用控制和轉(zhuǎn)發(fā)分離架構(gòu)，將控制邏輯從網(wǎng)絡(luò)設(shè)備中分離出來，研究者可以通過軟件實(shí)現(xiàn)任意的網(wǎng)絡(luò)控制邏輯，而不需對(duì)網(wǎng)絡(luò)設(shè)備本身進(jìn)行修改。其中，OpenFlow就是實(shí)現(xiàn)網(wǎng)絡(luò)控制邏輯的網(wǎng)絡(luò)控制器與網(wǎng)絡(luò)設(shè)備之間的標(biāo)準(zhǔn)通信協(xié)議。

Openflow技術(shù)架構(gòu)如圖1所示。支持Openflow的交換機(jī)維護(hù)著一個(gè)流表(FlowTable)，且僅根據(jù)流表來進(jìn)行轉(zhuǎn)發(fā)，而流表本身的生成、維護(hù)、下發(fā)完全由外置的、在PC或服務(wù)器上運(yùn)行網(wǎng)絡(luò)操作系統(tǒng)的控制器來實(shí)現(xiàn)。在 Openflow 1．0中［3］，流表中的包頭域定義了包括端口號(hào)、VLAN ID以及L2/L3/L4信息的12個(gè)字段。由于每個(gè)域均可以進(jìn)行通配，網(wǎng)絡(luò)運(yùn)營商可以根據(jù)需要決定使用何種粒度的flow。比如，運(yùn)營商可以根據(jù)目的IP地址進(jìn)行路由，在流表中，就只有目的IP地址是有效的，其余全為通配;又如，企業(yè)園區(qū)網(wǎng)可以根據(jù)VLAN進(jìn)行轉(zhuǎn)發(fā)，那么在流表中，就只有VLAN ID是有效的，其余全為通配。其具體的流表表項(xiàng)如圖2所示，主要包括包頭域、計(jì)數(shù)器和行動(dòng)。包頭域是包匹配的輸入關(guān)鍵字，包頭域的每個(gè)字段可以使用ANY進(jìn)行通配，也可以包括如圖3所示的12個(gè)字段。計(jì)數(shù)器用于管理所需，可用于統(tǒng)計(jì)每個(gè)流表的活躍表項(xiàng)、每條流的持續(xù)時(shí)間、每個(gè)端口的接收包數(shù)、每隊(duì)列傳輸?shù)陌鼣?shù)等信息。行動(dòng)則規(guī)定了交換機(jī)如何對(duì)數(shù)據(jù)包進(jìn)行處理，如轉(zhuǎn)發(fā)到某個(gè)端口、改寫數(shù)據(jù)包或予以丟棄。

圖1 Openflow技術(shù)架構(gòu)Fig．1 Openflow architecure

圖2 Openflow流表表項(xiàng)結(jié)構(gòu)Fig．2 Openflow flow table

圖3 包頭域中用于匹配數(shù)據(jù)包的字段Fig．3 Octets in header fields against packets

1． 2 興起：SDN

在OpenFlow為網(wǎng)絡(luò)提供可編程特性的基礎(chǔ)上，Nick和他的團(tuán)隊(duì)又進(jìn)一步提出了SDN的概念。SDN將網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)設(shè)備視為被管理的資源，并參考計(jì)算機(jī)操作系統(tǒng)的原理，提出了一個(gè)網(wǎng)絡(luò)操作系統(tǒng)(Network OS)的概念，網(wǎng)絡(luò)操作系統(tǒng)一方面抽象了底層網(wǎng)絡(luò)設(shè)備的具體細(xì)節(jié)，同時(shí)還為上層應(yīng)用提供了統(tǒng)一的管理視圖和編程接口，基于網(wǎng)絡(luò)操作系統(tǒng)這個(gè)平臺(tái)，用戶可以開發(fā)各種控制平面的應(yīng)用程序，通過軟件來來滿足各種各樣的網(wǎng)絡(luò)控制需求。SDN體系結(jié)構(gòu)如圖4所示，由簡單的分組轉(zhuǎn)發(fā)硬件(網(wǎng)絡(luò)設(shè)備)、網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用三層組成。至少有一個(gè)網(wǎng)絡(luò)操作系統(tǒng)通過開放的接口(如Openflow)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行控制，并向應(yīng)用提供良好定義的開放接口。

SDN 的基本思想包括［4］:

1)控制與轉(zhuǎn)發(fā)分離。

2)使用開放的、中立于設(shè)備提供商的網(wǎng)絡(luò)控制接口(如Openflow)。

3)邏輯上集中的控制平面(網(wǎng)絡(luò)操作系統(tǒng)):維護(hù)網(wǎng)域視圖，并向應(yīng)用開發(fā)者提供定義良好的API。

4)網(wǎng)絡(luò)虛擬化:同時(shí)運(yùn)行多個(gè)網(wǎng)絡(luò)操作系統(tǒng)，并控制同一物理網(wǎng)絡(luò)上的不同分片(Slices)。

圖4 SDN體系結(jié)構(gòu)Fig．4 SDN architecture

SDN是一種網(wǎng)絡(luò)架構(gòu)，在該架構(gòu)中，OpenFlow協(xié)議則是其中一種具體的、開放控制接口。網(wǎng)絡(luò)的智能都集中在邏輯上中心化的網(wǎng)絡(luò)操作系統(tǒng)及其APP上，網(wǎng)絡(luò)運(yùn)營商可以通過網(wǎng)絡(luò)操作系統(tǒng)的API來開發(fā)各種定制化控制層面的網(wǎng)絡(luò)應(yīng)用，而網(wǎng)絡(luò)設(shè)備不需要理解各種復(fù)雜的網(wǎng)絡(luò)協(xié)議，只需要按照SDN控制軟件下發(fā)的指令轉(zhuǎn)發(fā)數(shù)據(jù)。SDN使網(wǎng)絡(luò)變成了一臺(tái)可以編程的計(jì)算機(jī)，使以往由網(wǎng)絡(luò)設(shè)備完成的控制層面智能開放到運(yùn)營商和網(wǎng)絡(luò)管理員可以編程的程度，以更靈活的滿足網(wǎng)絡(luò)的需求。

SDN體現(xiàn)了抽象的思想，通過網(wǎng)絡(luò)操作系統(tǒng)和Openflow流表的設(shè)計(jì)隱藏了網(wǎng)絡(luò)的底層細(xì)節(jié)，使網(wǎng)絡(luò)研究成果能夠有效繼承和復(fù)用，降低了網(wǎng)絡(luò)創(chuàng)新的門檻。

一是對(duì)轉(zhuǎn)發(fā)的抽象，Openflow流表及API提供了一種通用的、與網(wǎng)絡(luò)設(shè)備硬件芯片交互的指令集，提供了轉(zhuǎn)發(fā)的抽象，結(jié)束了網(wǎng)絡(luò)硬件芯片沒有統(tǒng)一的指令集的狀態(tài)。

二是對(duì)狀態(tài)分發(fā)的抽象，傳統(tǒng)網(wǎng)絡(luò)互連涉及到狀態(tài)分發(fā)(如RIB、FIB)，各網(wǎng)絡(luò)協(xié)議具有獨(dú)立的狀態(tài)分發(fā)機(jī)制，理解其收斂特性具有挑戰(zhàn)性。在SDN中，網(wǎng)絡(luò)操作系統(tǒng)收集網(wǎng)絡(luò)信息，下發(fā)操作流表的控制命令，創(chuàng)建統(tǒng)一并可繼承的狀態(tài)分發(fā)機(jī)制。

三是對(duì)配置規(guī)范的抽象，傳統(tǒng)的網(wǎng)絡(luò)控制管理涉及到對(duì)網(wǎng)絡(luò)中成千上萬設(shè)備的底層配置文件，這是一種低層次的抽象。而在SDN中，網(wǎng)絡(luò)操作系統(tǒng)將網(wǎng)級(jí)目標(biāo)翻譯成網(wǎng)絡(luò)設(shè)備的底層配置規(guī)范，使網(wǎng)絡(luò)程序員能夠?qū)W(wǎng)絡(luò)整體進(jìn)行編程。

2 SDN安全風(fēng)險(xiǎn)

SDN是一把“雙刃劍”，在簡化網(wǎng)絡(luò)管理、縮短創(chuàng)新周期的同時(shí)，也引入了不可低估的安全風(fēng)險(xiǎn)，包括:

(1)單點(diǎn)失效

集中式控制和分布式控制孰好孰壞，永遠(yuǎn)充滿了爭論。其中針對(duì)集中式控制最重要的一點(diǎn)是，SDN控制器先天地引入了單點(diǎn)失效，容易成為攻擊的目標(biāo)。在SDN中，誰控制了控制器，誰就控制了整個(gè)網(wǎng)絡(luò)。

(2)惡意控制應(yīng)用

在SDN中，網(wǎng)絡(luò)操作系統(tǒng)之上可以運(yùn)行各種各樣的控制平面應(yīng)用程序，但還缺乏保證各種控制應(yīng)用協(xié)調(diào)一致的機(jī)制。比如，經(jīng)過一個(gè)惡意應(yīng)用程序的重新計(jì)算，可能繞過其他應(yīng)用程序計(jì)算得出的安全轉(zhuǎn)發(fā)路徑，而網(wǎng)絡(luò)操作系統(tǒng)卻對(duì)此毫不知情。正如普通功能手機(jī)向Android智能手機(jī)、DOS操作系統(tǒng)向Windows操作系統(tǒng)的轉(zhuǎn)變，開放的接口使得功能變得強(qiáng)大，但同時(shí)也創(chuàng)造了病毒、蠕蟲惡意代碼生存的空間，SDN及其開放接口為試圖操縱網(wǎng)絡(luò)的惡意攻擊者提供了釋放惡意控制應(yīng)用的最佳場所。

(3)PC或服務(wù)器開放環(huán)境的安全隱患

SDN將網(wǎng)絡(luò)的智能提升到PC或服務(wù)器中，以通用軟件的形式運(yùn)行，與傳統(tǒng)路由器、交換機(jī)的封閉運(yùn)行環(huán)境相比較，PC或服務(wù)器的安全風(fēng)險(xiǎn)更大。

目前Openflow 1．3規(guī)范［5］針對(duì)控制器和網(wǎng)絡(luò)交換機(jī)之間的控制通道，提供了一種使用TLS協(xié)議的可選安全機(jī)制，支持基于證書的雙向認(rèn)證和通信加密，但這種安全機(jī)制還存在缺陷，文獻(xiàn)［6］對(duì)此進(jìn)行了歸納，包括:

1)可選的安全:允許控制通道不采取任何安全措施，也沒有規(guī)定安全認(rèn)證失敗后所采取的行動(dòng)。

2)未提供證書細(xì)節(jié):未規(guī)定使用哪種證書，也沒有規(guī)定證書中的哪個(gè)字段來代表控制器或交換機(jī)的身份，這將導(dǎo)致SDN部署后運(yùn)維的復(fù)雜性。

3)未強(qiáng)制要求雙向認(rèn)證:目前許多TLS實(shí)現(xiàn)僅支持對(duì)服務(wù)器端的單向認(rèn)證，不支持客戶端證書，SDN采用后易遭受中間人攻擊。

4)TLS 1．0存在漏洞:未規(guī)定TLS協(xié)議的版本，可能導(dǎo)致互操作問題。TLS 1．0還存在易遭受中間人攻擊等漏洞，在后續(xù)的1．1版本中則得到了修補(bǔ)。

5)多控制器或多應(yīng)用之間的協(xié)調(diào):主要適用于單控制器、單應(yīng)用對(duì)多交換機(jī)進(jìn)行控制的應(yīng)用場合，缺乏對(duì)多控制器或多應(yīng)用協(xié)調(diào)的考慮，這牽涉到對(duì)各控制器或應(yīng)用的細(xì)粒度授權(quán)和訪問控制。

3 SDN安全技術(shù)及應(yīng)用

隨著SDN研究的不斷深入，已經(jīng)涌現(xiàn)出一系列創(chuàng)新的、基于SDN方式的安全技術(shù)和應(yīng)用，包括:

(1)企業(yè)網(wǎng)訪問控制Ethane

斯坦福大學(xué)Ethane項(xiàng)目［7］允許網(wǎng)絡(luò)管理人員以一種更易理解的方式定義精細(xì)化、全局性的網(wǎng)絡(luò)連通策略，并通過集中式控制器統(tǒng)一下發(fā)到支持Openflow的網(wǎng)絡(luò)交換機(jī)中。在Ethane中，主機(jī)入網(wǎng)和用戶入網(wǎng)都需要經(jīng)歷主機(jī)認(rèn)證和用戶認(rèn)證過程，集中式控制器建立起服務(wù)、用戶、主機(jī)、IP地址、MAC地址以及交換機(jī)端口的綁定關(guān)系，這些綁定關(guān)系使安全策略能夠以一種比傳統(tǒng)防火墻或交換機(jī)ACL更易讀的方式表述。比如，“Nick can access Martin using ICQ”、“Marketing can use http via web proxy”。這里，集中式控制器無需考慮維護(hù)分布式訪問控制策略的一致性，可以根據(jù)安全策略決定每一條Flow在網(wǎng)絡(luò)中的路徑。

(2)SDN的安全網(wǎng)絡(luò)操作系統(tǒng)FortNOX［8］

SRI公司和Texas大學(xué)的研究團(tuán)隊(duì)提出了一種針對(duì)Openflow SDN的安全網(wǎng)絡(luò)操作系統(tǒng)FortNOX，這是一個(gè)由美軍研究中心(Army Research Center)資助的項(xiàng)目，能夠?yàn)镺penflow控制器提供基于角色的授權(quán)和安全限制這兩種安全增強(qiáng)措施，并實(shí)現(xiàn)了一種算法來檢測控制器上惡意應(yīng)用對(duì)Openflow流表所實(shí)施策略的繞過。作為一種軟件擴(kuò)展，F(xiàn)ort-NOX集成在NOX網(wǎng)絡(luò)操作系統(tǒng)之中，根據(jù)安全策略對(duì)NOX上應(yīng)用操縱流表的所有操作進(jìn)行仲裁，確認(rèn)不會(huì)跟已有規(guī)則發(fā)生沖突后，才允許其寫入到網(wǎng)絡(luò)交換機(jī)中。FortNOX將控制器上的應(yīng)用分為三類，包括普通應(yīng)用、安全應(yīng)用和管理員應(yīng)用三類角色，其權(quán)限優(yōu)先級(jí)依次升高。各類應(yīng)用程序通過FortNOX提供的IPC(進(jìn)程間控制)接口，對(duì)自己發(fā)出的流操作進(jìn)行數(shù)字簽名，F(xiàn)ortNOX通過驗(yàn)證數(shù)字簽名，進(jìn)而判斷對(duì)流的操作來源于哪一類角色的應(yīng)用。該IPC接口是作為一個(gè)獨(dú)立進(jìn)程運(yùn)行的。

在FortNOX的基礎(chǔ)上，該研究團(tuán)隊(duì)還實(shí)現(xiàn)了Fresco應(yīng)用框架，提供可用于在Openflow網(wǎng)絡(luò)中迅速實(shí)現(xiàn)和部署安全應(yīng)用程序的功能，這些應(yīng)用程序包括檢測掃描并將其導(dǎo)入蜜罐、檢測掃描給出假拓?fù)?、僵尸網(wǎng)絡(luò)發(fā)現(xiàn)等有趣的例子。

(3)輕量級(jí)DDoS(分布式拒絕服務(wù))檢測

來自巴西的研究團(tuán)隊(duì)根據(jù)通信流的特性，實(shí)現(xiàn)了一種基于神經(jīng)網(wǎng)絡(luò)的輕量級(jí)DDoS檢測算法［9］。與當(dāng)前DDoS檢測需要分析大量數(shù)據(jù)包不同，這種算法使用的神經(jīng)網(wǎng)絡(luò)算法利用了Openflow交換機(jī)維護(hù)的每個(gè)流的統(tǒng)計(jì)信息和NOX提供的接口，顯著降低了計(jì)算開銷。

(4)網(wǎng)絡(luò)虛擬化

SDN還可以利用FlowVisor［10］這一特殊的網(wǎng)絡(luò)控制器，實(shí)現(xiàn)基于流特征分割網(wǎng)絡(luò)為Slice、某一網(wǎng)絡(luò)控制器控制某一特定的Slice的網(wǎng)絡(luò)虛擬化能力。FlowVisor位于交換機(jī)與客戶網(wǎng)絡(luò)控制器之間(Proxy)，截獲在它們之間傳遞的數(shù)據(jù)包，既確保某一客戶網(wǎng)絡(luò)控制器只能發(fā)現(xiàn)和控制它所控制的那一片Slice，也確保屬于某一片Slice的交換機(jī)只能與自己的客戶網(wǎng)絡(luò)控制器聯(lián)系。這種“一虛多”的網(wǎng)絡(luò)虛擬化能力，使OpenFlow各種實(shí)驗(yàn)?zāi)軌蚧ゲ桓蓴_地在同一物理網(wǎng)絡(luò)中并行，也可以在不影響實(shí)際生產(chǎn)性網(wǎng)絡(luò)的條件下進(jìn)行網(wǎng)絡(luò)研究實(shí)驗(yàn)，非常適合網(wǎng)絡(luò)試驗(yàn)床使用，目前已知韓國、歐盟Ofelia、美國GENI和Internet2等網(wǎng)絡(luò)體系結(jié)構(gòu)研究試驗(yàn)床項(xiàng)目都采用了Openflow進(jìn)行試驗(yàn)。網(wǎng)絡(luò)虛擬化對(duì)于信息安全上的意義在于，可以構(gòu)建相互隔離的虛擬網(wǎng)絡(luò)，為不同安全等級(jí)的應(yīng)用業(yè)務(wù)提供服務(wù)。還可以在不影響真實(shí)網(wǎng)絡(luò)和業(yè)務(wù)的前提下，提供蠕蟲、僵尸網(wǎng)絡(luò)等惡意代碼試驗(yàn)的受控網(wǎng)絡(luò)環(huán)境。

(5)校園網(wǎng)網(wǎng)絡(luò)訪問控制

NEC公司系統(tǒng)平臺(tái)研究實(shí)驗(yàn)室針對(duì)目前校園網(wǎng)劃分VLAN進(jìn)行訪問控制不夠靈活、配置難度大的現(xiàn)狀，提出了一種基于Openflow的網(wǎng)絡(luò)訪問控制方案［11］。該方案在NEC Openflow控制器上實(shí)現(xiàn)了一個(gè)訪問控制管理的功能模塊，與Radius接入認(rèn)證相結(jié)合，根據(jù)用戶的身份、所處的組織機(jī)構(gòu)和MAC地址來進(jìn)行訪問控制，只有具有相同GID(組織機(jī)構(gòu)的ID)的用戶允許通信，這種使用GID來劃分虛擬網(wǎng)絡(luò)的方案比基于802．1q標(biāo)簽劃分VLAN的方案更加靈活且支持虛擬網(wǎng)絡(luò)的數(shù)量更大(GID有64字節(jié))，顯著提高了網(wǎng)絡(luò)訪問控制的自動(dòng)化程度，不需要針對(duì)每個(gè)交換機(jī)進(jìn)行繁瑣的配置，降低了由于WIFI接入用戶經(jīng)常移動(dòng)、部門變動(dòng)而帶來的VLAN重新劃分的工作量。

(6)Radware的DefenseFlow

日前，Radware推出被稱為業(yè)界第一個(gè)軟件定義網(wǎng)絡(luò)SDN安全應(yīng)用DefenseFlow，旨在為全網(wǎng)范圍提供攻擊緩解服務(wù)。軟件架構(gòu)提供三方面支持:SDN應(yīng)用編程，SDN生態(tài)交互系統(tǒng)，SDN相關(guān)API支持。

(7)國內(nèi)的研究

隨著去年底成立了中國SDN與開放網(wǎng)絡(luò)專業(yè)委員會(huì)，一些單位已經(jīng)開始對(duì)SDN技術(shù)，包括SDN的安全技術(shù)進(jìn)行研究和測試。如清華大學(xué)在校園網(wǎng)上部署的網(wǎng)絡(luò)安全系統(tǒng)Livesec在傳統(tǒng)以太網(wǎng)之上，通過無線接入技術(shù)和虛擬化技術(shù)引入了基于Open-Flow協(xié)議的控制層，顯著降低了構(gòu)建成本。

4 SDN對(duì)信息安全的啟示

SDN作為一種新的網(wǎng)絡(luò)體系結(jié)構(gòu)，其全新的理念、創(chuàng)新式的應(yīng)用給信息安全技術(shù)帶來了沖擊。

(1)安全即服務(wù)(Security As a Service)

按照SDN控制與轉(zhuǎn)發(fā)分離的思想，信息安全可以作為一種網(wǎng)絡(luò)控制層面的應(yīng)用，運(yùn)行在網(wǎng)絡(luò)操作系統(tǒng)之上，對(duì)網(wǎng)絡(luò)實(shí)施統(tǒng)一控制。按照這種思路，傳統(tǒng)網(wǎng)絡(luò)防火墻、UTM、IPS等Inline設(shè)備“慢速路徑”上實(shí)現(xiàn)的檢測、應(yīng)用層識(shí)別、URL過濾等功能都可以實(shí)現(xiàn)為網(wǎng)絡(luò)操作系統(tǒng)之上運(yùn)行的一種信息安全應(yīng)用。在這種場景下，威脅的探測和數(shù)據(jù)的轉(zhuǎn)發(fā)實(shí)現(xiàn)解耦，用戶可根據(jù)自己的安全需求，在控制層面選取實(shí)現(xiàn)某種威脅檢測模型的安全應(yīng)用，在數(shù)據(jù)平面選取某一性能的防火墻(或Openflow交換機(jī))，組合實(shí)現(xiàn)最符合自己需求的信息安全解決方案。這樣，作為網(wǎng)絡(luò)操作系統(tǒng)上運(yùn)行的應(yīng)用，信息安全更容易以軟件服務(wù)的形式提供。

設(shè)想這樣一種場景，原有網(wǎng)絡(luò)環(huán)境主要是防范外部用戶的惡意攻擊，由于需求和應(yīng)用環(huán)境發(fā)生了變化，更重視對(duì)內(nèi)部用戶的管控和合規(guī)性的滿足，網(wǎng)絡(luò)所面臨的威脅模型變得迥然不同，但用戶通過SDN，可以在保護(hù)已有網(wǎng)絡(luò)投資的基礎(chǔ)上，通過更換網(wǎng)絡(luò)操作系統(tǒng)上運(yùn)行的安全應(yīng)用來適應(yīng)不同的網(wǎng)絡(luò)環(huán)境，而不需再投資購買專門的安全設(shè)備。雖然用戶得利，但這種“安全應(yīng)用+轉(zhuǎn)發(fā)硬件”的模式，也使傳統(tǒng)安全設(shè)備整機(jī)廠商受到?jīng)_擊。

(2)基于網(wǎng)絡(luò)全局的安全控制

從Ethane等項(xiàng)目可以看出，在網(wǎng)絡(luò)操作系統(tǒng)之上運(yùn)行的信息安全應(yīng)用，由于比網(wǎng)絡(luò)或安全設(shè)備所處的層次更高，通過對(duì)網(wǎng)絡(luò)全局信息的掌控，可以實(shí)施更高抽象層次的安全控制，比如指定用戶中誰能夠跟誰通信、誰訪問HTTP必須通過代理服務(wù)器，這種抽象層次顯然高于傳統(tǒng)ACL(訪問控制列表)指定端口、IP地址、MAC地址甚至應(yīng)用層中的某個(gè)字段的方式。由于信息安全應(yīng)用只是網(wǎng)絡(luò)操作系統(tǒng)中的一種應(yīng)用，網(wǎng)絡(luò)操作系統(tǒng)可對(duì)各種應(yīng)用進(jìn)行權(quán)衡，有利于實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的一致控制，即除信息安全外，還可以綜合考慮網(wǎng)絡(luò)應(yīng)用性能、負(fù)載均衡等多方面的需求。SDN提供了將信息安全與網(wǎng)絡(luò)可用性、容災(zāi)備份等一起統(tǒng)一考慮的技術(shù)手段。

(3)安全集中管控

在Internet那樣量級(jí)的網(wǎng)絡(luò)中，無疑采用分布式控制是有優(yōu)勢(shì)的，生存性、可擴(kuò)展性都有優(yōu)勢(shì)。然而，對(duì)于軍隊(duì)、黨政等封閉的專用網(wǎng)絡(luò)環(huán)境，其網(wǎng)絡(luò)規(guī)模不是很大，信息流相對(duì)固定，防內(nèi)重于防外，特別強(qiáng)調(diào)滿足安全保密的合規(guī)性，需要對(duì)用戶進(jìn)行認(rèn)證、授權(quán)和審計(jì)，采用SDN的網(wǎng)絡(luò)架構(gòu)，無疑是效率最高的，具有集中管控的優(yōu)勢(shì)。從NEC的安全應(yīng)用可以看出，這種集中管控還可以滿足網(wǎng)絡(luò)拓?fù)浣?jīng)常變動(dòng)的需求，能夠隨用戶移動(dòng)、虛擬機(jī)遷移而進(jìn)行動(dòng)態(tài)調(diào)整。

5 結(jié)語

作為目前最為流行的網(wǎng)絡(luò)技術(shù)，SDN在引入新的安全問題的同時(shí)，也提供了網(wǎng)絡(luò)安全創(chuàng)新應(yīng)用的一種便捷的實(shí)現(xiàn)方式。與獨(dú)立的網(wǎng)絡(luò)安全設(shè)備相比，基于SDN的安全應(yīng)用在“安全即服務(wù)”、基于網(wǎng)絡(luò)全局的安全控制、安全集中管控方面具有優(yōu)勢(shì)，成為SDN研究的熱點(diǎn)。

［1］ MCKEOWN N，ANDERSON T，BALAKRISHNAN H，et al．Openflow:Enabling Innovation in Campus Networks［J］．ACM SIGCOMM Computer Communication Review，2008，38(02):69 －74．

［2］ 范偉．軟件定義網(wǎng)絡(luò)及應(yīng)用［J］．通信技術(shù)，2013，46(03):67－70．

FAN Wei．Software － Defined Networking and Application．Communications Technology，46(03):67 －70．

［3］ OpenFlow Switch Spec Version1．0［EB/OL］．(2012 －09 －07)［2013 －08 －15］．http://www．opennetworking．org．

［4］ DAVY M，PARULKARG，REIJENDAM Van J，et al．A Case for Expanding Openflow/SDN Deployments On University Campuses［EB/OL］．(2013－01－02)［2013－08－15］．GENI report．http://www．openflow．org．

［5］ OpenFlow Switch Spec Version1．3．0．［EB/OL］．(2012 －11－05)［2013 －08 －15］．http://www．opennetworking．org．

［6］ WASSERMAN M，HARTMAN S，ZHANG D．Security Analysis of the Open Networking Foundation(ONF)OpenFlow Switch Specification，Internet Draft．［EB/OL］．(2012－08－03)［2013－08－15］．http://datatracker．ietf．org/drafts/current．

［7］ CASADO M，REEDMAN F，PETTIT J M，et al．Ethane:Taking Control of the Enterprise［J］．ACM SIGCOMM Computer Communication Review，2007，37(04):1－12．

［8］ PORRAS P，SHIN S，YEGNESWARAN V．A Security Enforcement Kernel for Openflow Networks［C］//Proc．of the HotSDN Workshop at SIGCOMM．Helsinki，F(xiàn)inland:ACM，2012:121－128．

［9］ BRAGA R，MOTA E，PASSITO A．Lightweight DDoS Flooding Attack Detection Using NOX/Openflow［C］//35th IEEE Conference on Local Computer Networks．Denver，Colorado:IEEE，2010:408 －415．

［10］ SHERWOOD R，GIBG，YAPK K，et al．FlowVisor:A Network Virtualization Layer［EB/OL］．(2012 －03 －19) ［2013－08 －15］．Openflow Technical Report．http://www．openflow．org．

［11］ YAMASAKI Y，MIYAMOTO Y，YAMATO J．Flexible Access Management System for Campus VLAN Based on Openflow［C］．//IEEE/IPSJ International Symposium on Applications and the Internet．Munich，Bavaria Germany:IEEE，2011:347 －351．