摘 ?要： 軟件定義網(wǎng)絡(luò)（SDN）是一種新型網(wǎng)絡(luò)架構(gòu)。它實(shí)現(xiàn)了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中網(wǎng)絡(luò)管理功能的集中，使得SDN中的安全問題呈現(xiàn)出其特有的特點(diǎn)。本文在研究SDN控制器的基礎(chǔ)上，系統(tǒng)梳理了SDN技術(shù)在安全方面所面臨的威脅，給出了一種增強(qiáng)SDN安全的改進(jìn)型的SDN架構(gòu)，期望能對(duì)SDN的安全控制提供一定的參考作用。

關(guān)鍵詞： SDN;安全架構(gòu);安全威脅

中圖分類號(hào)： TP311 ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ?DOI：10.3969/j.issn.1003-6970.2020.08.003

本文著錄格式：唐國純. SDN網(wǎng)絡(luò)安全架構(gòu)的研究[J]. 軟件，2020，41（08）：10-13

【Abstract】： Software Defined Network （SDN） is a new network architecture. It realizes the concentration of network management functions in the traditional network architecture， and at the same time makes the security issues of SDN present its unique characteristics. Based on the study of SDN controllers， this paper systematically analyzes the security threats faced by SDN technology， and presents an improved SDN architecture that enhances SDN security. It is expected to provide a certain reference for the security control of SDN.

【Key words】： SDN; Security architecture; Security threats

0 ?引言

SDN（software defined Networking）體系結(jié)構(gòu)實(shí)現(xiàn)了傳統(tǒng)結(jié)構(gòu)中對(duì)網(wǎng)絡(luò)資源視圖的全局管控。它提升了網(wǎng)絡(luò)資源交付能力，是傳統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)的革命性創(chuàng)新。該創(chuàng)新在帶來管理和運(yùn)營上的方便的同時(shí)也讓SDN面臨特殊的安全威脅。SDN控制能力的集中使得控制器的安全性和性能成為整個(gè)網(wǎng)絡(luò)的瓶頸。相較傳統(tǒng)網(wǎng)絡(luò)設(shè)備的封閉特性，SDN的開放接口引起的網(wǎng)絡(luò)攻擊會(huì)招致SDN在安全方面的薄弱性。本文在研究SDN控制器的基礎(chǔ)上，系統(tǒng)梳理了SDN技術(shù)面對(duì)的安全問題，給出了一種增強(qiáng)SDN安全的改進(jìn)型的SDN架構(gòu)，期望能對(duì)SDN的安全控制提供一定的參考作用。

1 ?SDN控制器

控制器是SDN體系結(jié)構(gòu)的中樞，通過南向接口協(xié)議管理底層網(wǎng)絡(luò)交換設(shè)備，監(jiān)控狀態(tài)，轉(zhuǎn)發(fā)決策，處理和調(diào)度數(shù)據(jù)平面的流量，通過北向接口向上層應(yīng)用開放靈活的編程能力[1-4]。其體系架構(gòu)如圖1所示。

圖1展示了控制器設(shè)計(jì)的多層結(jié)構(gòu)，應(yīng)重點(diǎn)關(guān)注三個(gè)方面。其分別為南向技術(shù)，北向技術(shù)以及東西向的可拓展性設(shè)計(jì)。

1.1 ?南向技術(shù)

南向技術(shù)重點(diǎn)涉及由南向接口協(xié)議進(jìn)行鏈路發(fā)現(xiàn)、拓?fù)涔芾?、策略制定和表?xiàng)下發(fā)等[5-6]。①鏈路發(fā)現(xiàn)：指控制器依據(jù)鏈路層發(fā)現(xiàn)協(xié)議LLDP（Link Layer Discovery Protocol），把網(wǎng)絡(luò)資源設(shè)備的所有信息（能力、地址和標(biāo)識(shí)等）構(gòu)建成一連串的TLV（Type/Length/ Value），封裝為LLDPDU報(bào)文發(fā)給其直連鄰居。鄰居獲得信息后以MIB（Management Information Base）的方式存儲(chǔ)，管控系統(tǒng)可利用其分析鏈路的通信狀態(tài)。②拓?fù)涔芾恚浩渲匾δ苁莿?dòng)態(tài)實(shí)時(shí)監(jiān)視和收集SDN交換機(jī)的信息，反饋設(shè)備的工作和鏈路狀態(tài)[7]。③決策：由SDN控制器根據(jù)具體的網(wǎng)絡(luò)傳輸要求擬訂?？梢罁?jù)轉(zhuǎn)發(fā)策略產(chǎn)生與之關(guān)聯(lián)的流表項(xiàng)，然后下發(fā)給交換機(jī)。相較傳統(tǒng)網(wǎng)絡(luò)，SDN設(shè)計(jì)的長處是利用整體網(wǎng)絡(luò)資源視圖組織實(shí)施更佳的策略。④表項(xiàng)下發(fā)：分主動(dòng)和被動(dòng)兩種方式[8]。主動(dòng)表項(xiàng)下發(fā)為流表項(xiàng)在數(shù)據(jù)傳輸之前分配，交換機(jī)懂得數(shù)據(jù)包抵達(dá)時(shí)怎么轉(zhuǎn)發(fā);被動(dòng)表項(xiàng)下發(fā)指交換機(jī)取得第一個(gè)沒有與之匹配流表項(xiàng)的數(shù)據(jù)包時(shí)，數(shù)據(jù)包被轉(zhuǎn)發(fā)給控制器處置。待SDN控制器明確處理后，然后把與之關(guān)聯(lián)的流程表項(xiàng)轉(zhuǎn)發(fā)給交換機(jī)處理。

1.2 ?北向技術(shù)

SDN北向技術(shù)實(shí)質(zhì)為控制器向上層業(yè)務(wù)應(yīng)用程序開放接口。其宗旨是讓應(yīng)用程序可以方便地按需使用底層網(wǎng)絡(luò)資源。網(wǎng)絡(luò)業(yè)務(wù)開發(fā)人員通過北向接口，以軟件編程的方式對(duì)整個(gè)網(wǎng)絡(luò)的資源狀態(tài)進(jìn)行全局管控[9-10]。

1.3 ?東西向拓展

SDN控制器承擔(dān)著整體網(wǎng)絡(luò)資源的全局管控，對(duì)提高網(wǎng)絡(luò)資源的交付效率起著極其關(guān)鍵作用。但控制能力集中的同時(shí)也使其安全性和性能問題變成全網(wǎng)的束縛[11-12]。此外，單控制器不能解決多區(qū)域的SDN網(wǎng)絡(luò)情況。東西擴(kuò)展接口可以構(gòu)成基于SDN控制器的分布式集群。

2 ?SDN安全威脅

SDN安全的特殊性與SDN的集中開放管理密切相關(guān)。SDN管理的集中統(tǒng)一使得網(wǎng)絡(luò)的配置、服務(wù)訪問控制、安全服務(wù)部署等都集中在控制器上[13]。黑客如果取得控制器權(quán)限會(huì)癱瘓大量網(wǎng)絡(luò)服務(wù)，導(dǎo)致控制器不能對(duì)全網(wǎng)覆蓋。此外，SDN的開放性也泄漏了控制器的安全漏洞和策略不完全性等問題，容易受到DDoS、蠕蟲病毒等方面的攻擊。結(jié)合以上描述，可以得出SDN 網(wǎng)絡(luò)安全重點(diǎn)涉及七個(gè)方面。分別是應(yīng)用層安全，北向通道安全，控制層安全，南向通道安全，數(shù)據(jù)層安全，東西通道安全和策略安全。下面從這幾個(gè)方面分別對(duì)SDN安全威脅進(jìn)行了梳理[14-25]。SDN應(yīng)用層和北向通道安全威脅如表1所示。

SDN控制層安全威脅如表2所示。

SDN南向通道和數(shù)據(jù)層安全如表3所示。

用層供給了開放的可編程接口。如果在SDN架構(gòu)的基礎(chǔ)上，增加一個(gè)包含應(yīng)用層安全，北向通道安全，控制層安全，南向通道安全，數(shù)據(jù)層安全，東西通道安全和策略安全SDN的安全引擎構(gòu)件，自動(dòng)阻止接口濫用，可高效提升SDN安全性，如圖2所示。

SDN的安全引擎結(jié)構(gòu)如圖3所示。

此外，該SDN的安全引擎設(shè)計(jì)主要包括SDN安全模型和SDN安全智能識(shí)別兩部分。SDN安全模型重點(diǎn)是對(duì)SDN各層和策略建立安全模型。SDN安全智能識(shí)別重點(diǎn)是采用大數(shù)據(jù)和人工智能技術(shù)建立智能安全識(shí)別機(jī)制，包括SDN漏洞庫、SDN威脅特征數(shù)據(jù)庫、SDN黑客行為數(shù)據(jù)庫，SDN評(píng)估模型、SDN監(jiān)測(cè)模型、SDN診斷模型和SDN主動(dòng)防御反攻擊模型。SDN安全智能識(shí)別可根據(jù)各網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的運(yùn)行數(shù)據(jù)，自動(dòng)進(jìn)行采集分析和捕獲，自動(dòng)添加新的SDN漏洞、威脅特征和黑客行為等。SDN安全智能識(shí)別針對(duì)SDN各層安全模型，對(duì)運(yùn)行的海量的數(shù)據(jù)經(jīng)過多維度的整合分析，依據(jù)SDN的評(píng)估模型、監(jiān)測(cè)模型和診斷模型進(jìn)行全部網(wǎng)絡(luò)的安全監(jiān)測(cè)，提前發(fā)現(xiàn)SDN控制器開放接口產(chǎn)生各種攻擊行為，主動(dòng)防御各種安全威脅，同時(shí)對(duì)經(jīng)常進(jìn)行全網(wǎng)發(fā)起攻擊的黑客實(shí)施智能反攻擊，先提出警告，對(duì)不聽的告誡者，利用SDN主動(dòng)防御反攻擊模型癱瘓對(duì)方的攻擊系統(tǒng)和網(wǎng)絡(luò)設(shè)備，使其放棄攻擊行為。在具體實(shí)現(xiàn)上，可依據(jù)本體和Web語義技術(shù)構(gòu)建SDN安全模型和SDN安全智能識(shí)別模型，同時(shí)依據(jù)本體和Web語義技術(shù)，構(gòu)建SDN安全的服務(wù)質(zhì)量QOS模型，利用大數(shù)據(jù)和人工智能算法開展SDN的安全評(píng)估、SDN的監(jiān)測(cè)和SDN的故障診斷。

4 ?結(jié)束語

本文在研究SDN控制器的基礎(chǔ)上，結(jié)合相關(guān)學(xué)者的前期研究成果，系統(tǒng)梳理了SDN技術(shù)面對(duì)的安全問題，給出了一種增強(qiáng)SDN安全的改進(jìn)型的SDN架構(gòu)，期望能對(duì)SDN的安全控制提供一定的參考作用。

參考文獻(xiàn)

[1] 嚴(yán)敏瑞. 軟件定義網(wǎng)絡(luò)中的ARP攻擊解決方法研究[D]. 西安電子科技大學(xué)， 2017.

[2] 殷波， 張?jiān)朴拢?王志軍， 等. 基于SDN的數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)研究[J]. 信息通信技術(shù)， 2015， 9（01）： 29-33.

[3] 孫雪松. 基于SDN負(fù)載均衡技術(shù)的研究與實(shí)現(xiàn)[D]. 北京郵電大學(xué)， 2017.

[4] 鄒鑫清， 呂娜， 陳柯帆， 等. 一種新型機(jī)載戰(zhàn)術(shù)網(wǎng)絡(luò)下的內(nèi)容驅(qū)動(dòng)路由協(xié)議[J]. 計(jì)算機(jī)工程， 2019， 45（08）： 113-119.

[5] 孔倩. 基于OpenFlow的鏈路容錯(cuò)機(jī)制的研究與設(shè)計(jì)[D]. 華東師范大學(xué)， 2015.

[6] 王黎， 潘桉卿， 田少鵬. 軟件定義網(wǎng)絡(luò)（SDN）控制器技術(shù)與應(yīng)用[J]. 指揮信息系統(tǒng)與技術(shù)， 2015， 6（04）： 81-85.

[7] 郭安東. 基于SDN架構(gòu)的空間信息網(wǎng)絡(luò)路由算法的研究[D]. 北京郵電大學(xué)， 2018.

[8] 付健. 基于SDN的應(yīng)用編程接口技術(shù)研究與實(shí)現(xiàn)[D]. 南京郵電大學(xué)， 2015.

[9] 郁陳焙. 軟件定義分組增強(qiáng)型光傳送網(wǎng)的生存性技術(shù)研究[D]. 北京郵電大學(xué)， 2017.

[10] 李可. 廣域網(wǎng)SDN控制器關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D]. 北京郵電大學(xué)， 2016.

[11] 胡瀅. 軟件定義網(wǎng)絡(luò)節(jié)能技術(shù)研究[D]. 北京郵電大學(xué)， 2017.

[12] 卞宇翔. SDN故障監(jiān)測(cè)和恢復(fù)技術(shù)的研究與實(shí)現(xiàn)[D]. 南京郵電大學(xué)， 2017.

[13] 王淑玲， 李濟(jì)漢， 張?jiān)朴拢?房秉毅. SDN架構(gòu)及安全性研究[J]. 電信科學(xué)， 2013， 29（03）： 117-122.

[14] 戴彬， 王航遠(yuǎn)， 徐冠， 等. SDN安全探討： 機(jī)遇與威脅并存[J]. 計(jì)算機(jī)應(yīng)用研究， 2014， 31（08）： 2254-2262.

[15] 王麗娜， 王斐， 劉維杰. 面向SDN的安全威脅及其對(duì)抗技術(shù)研究[J]. 武漢大學(xué)學(xué)報(bào)（理學(xué)版）， 2019， 65（02）： 153-164.

[16] 池亞平， 余宇舟， 楊建喜. 基于深度學(xué)習(xí)的SDN惡意應(yīng)用的檢測(cè)方法[J]. 計(jì)算機(jī)工程與設(shè)計(jì)， 2019， 40（08）： 2134-2139.

[17] 陳天驕， 劉江， 黃韜. 人工智能在網(wǎng)絡(luò)編排系統(tǒng)中的應(yīng)用[J]. 電信科學(xué)， 2019， 35（05）： 9-16.

[18] 楊盾， 王小鵬. 應(yīng)對(duì)DDoS攻擊的SDN網(wǎng)絡(luò)安全特性研究[J]. 軟件， 2018， 39（03）： 175-180.

[19] 常甫， 鄭世慧， 孫斌. OpenFlow交換機(jī)遠(yuǎn)程配置管理系統(tǒng)[J]. 軟件， 2019， 40（01）： 1-7.

[20] 張寧， 劉軍， 張書林， 等. 基于OpenFlow的電力企業(yè)數(shù)據(jù)中心研究[J]. 軟件， 2018， 39（12）： 77-82.

[21] 劉強(qiáng). 人工智能在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的實(shí)踐與探索[J]. 軟件， 2018， 39（11）： 242-245.

[22] 趙志偉. 智能化規(guī)則引擎技術(shù)研究[J]. 軟件， 2018， 39（8）： 65-69.

[23] 李平舟， 趙朗程. 基于BP神經(jīng)網(wǎng)絡(luò)的國家穩(wěn)定性研究[J]. 軟件， 2018， 39（6）： 142-146.

[24] 黃堃. 基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略分析[J]. 軟件， 2018， 39（6）： 139-141.

[25] 李紅輝， 關(guān)婷婷， 楊芳南. 云計(jì)算平臺(tái)狀態(tài)監(jiān)控技術(shù)研究與應(yīng)用[J]. 軟件， 2018， 39（01）： 09-13.