盧國(guó)棟 江洲

摘 要 軟件定義網(wǎng)絡(luò)（Software ?Defined ?Networking，SDN）是一種從數(shù)據(jù)轉(zhuǎn)發(fā)平面中分離控制平面，以實(shí)現(xiàn)支持網(wǎng)絡(luò)虛擬化的新型網(wǎng)絡(luò)架構(gòu)。SDN 擁有控制平面和數(shù)據(jù)平面的解耦、可編程性、可擴(kuò)展性等眾多優(yōu)點(diǎn)。然而其也存在諸多缺陷，因此筆者捋清SDN本身存在的短板而導(dǎo)致的威脅，基于這些威脅而分析了解決SDN網(wǎng)絡(luò)安全隱患的技術(shù)，即區(qū)塊鏈技術(shù)，從而能為后人對(duì)于SDN網(wǎng)絡(luò)的進(jìn)一步研究奠定堅(jiān)實(shí)的基礎(chǔ)。

關(guān)鍵詞 SDN網(wǎng)絡(luò);安全威脅;安全措施

1SDN網(wǎng)絡(luò)的架構(gòu)概述

1.1 SDN網(wǎng)絡(luò)的產(chǎn)生及發(fā)展

當(dāng)今時(shí)代乃是網(wǎng)絡(luò)的時(shí)代，無(wú)時(shí)無(wú)刻不處于大網(wǎng)絡(luò)的環(huán)境下。以前使用的網(wǎng)絡(luò)，其設(shè)備采用分布式架構(gòu)，沒(méi)有集中控制的概念，各網(wǎng)絡(luò)設(shè)備以網(wǎng)絡(luò)協(xié)議為“通用語(yǔ)言”實(shí)現(xiàn)互相通信。隨著時(shí)代的發(fā)展，網(wǎng)絡(luò)領(lǐng)域產(chǎn)生了一系列的問(wèn)題，比如新業(yè)務(wù)必須兼容老的業(yè)務(wù)，新協(xié)議必須兼容老版本的協(xié)議。這些問(wèn)題限制了網(wǎng)絡(luò)的更新?lián)Q代，成為網(wǎng)絡(luò)技術(shù)進(jìn)步的阻礙。2008 年，有美國(guó)知名團(tuán)隊(duì)提出了Open Flow的概念，其詳細(xì)介紹了Open Flow的原理?；贠pen Flow技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)可編程特性，是對(duì)現(xiàn)有網(wǎng)絡(luò)的重大變革，SDN技術(shù)應(yīng)運(yùn)而生。SDN有三個(gè)主要特征：

（1）控制平面制定策略產(chǎn)生流表，但是數(shù)據(jù)的轉(zhuǎn)發(fā)平面只在網(wǎng)絡(luò)設(shè)備上。

（2）控制器對(duì)數(shù)據(jù)層的網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理，無(wú)需對(duì)設(shè)備逐一操作。

（3）第三方 App以編程的方式定義網(wǎng)絡(luò)模塊就可實(shí)現(xiàn)新的網(wǎng)絡(luò)功能。

一個(gè)新的時(shí)代必定會(huì)衍生出更加優(yōu)秀的產(chǎn)品。在21世紀(jì)發(fā)展到現(xiàn)今這個(gè)時(shí)代，SDN網(wǎng)絡(luò)的出現(xiàn)不是偶然。SDN網(wǎng)絡(luò)不僅解決了傳統(tǒng)網(wǎng)絡(luò)不能集中窺測(cè)路由信息的難題，又能從控制平面入手，即從更高的層面來(lái)為整個(gè)網(wǎng)絡(luò)提供服務(wù)，又因?yàn)槠渥陨淼目刂破矫婺軌虮恢匦聦懭氪a，就極為巧妙地?cái)[脫了對(duì)硬件的依賴，從根本上解決了部分業(yè)務(wù)過(guò)于耗時(shí)的問(wèn)題?，F(xiàn)如今有多家知名公司都已開始了SDN的研究和運(yùn)用，并且已經(jīng)獲得了很好的收益，發(fā)展?jié)摿薮蟆Ｏ嘈旁谖磥?lái)的21世紀(jì)中后期，SDN必將在網(wǎng)絡(luò)研發(fā)領(lǐng)域中占有很大的角色，中國(guó)乃至世界各國(guó)都必將加大力度對(duì)SDN的研究和部署。

1.2 SDN網(wǎng)絡(luò)架構(gòu)

SDN的網(wǎng)絡(luò)架構(gòu)是將原來(lái)分布式控制的難以實(shí)現(xiàn)統(tǒng)一管控的網(wǎng)絡(luò)架構(gòu)重構(gòu)為控制器集中控制的網(wǎng)絡(luò)架構(gòu)?？煞譃槿龑樱簯?yīng)用層、控制層、數(shù)據(jù)層。隨著時(shí)間的推移，單實(shí)例的控制器難適應(yīng)用戶的廣泛需求，其使用局限性也日益凸顯，因此，采用分布式的控制平面才是更加明智的選擇。分布式控制器架構(gòu)又分為水平分布式及層次化分布式兩類：

（1）水平分布式控制器架構(gòu)。其是將網(wǎng)絡(luò)劃為不同的獨(dú)立區(qū)域，交換機(jī)在各自的獨(dú)立區(qū)域工作。每個(gè)區(qū)域由一個(gè)控制器集中控制，不同的控制器通過(guò)信息交換來(lái)完成整個(gè)網(wǎng)絡(luò)視圖的構(gòu)建。

（2）層次化分布式控制器架構(gòu)。其是將控制平面分成兩層結(jié)構(gòu)。上層的是全局控制器，連接著所有的本地控制器，主要負(fù)責(zé)整體網(wǎng)絡(luò)信息的控制以及維護(hù)全局網(wǎng)絡(luò)視圖。下層是各個(gè)本地控制器，只作用于本身管理的范圍有限的域，對(duì)本地的交換機(jī)及節(jié)點(diǎn)進(jìn)行管理，并只能獲取本地交換機(jī)上報(bào)的網(wǎng)絡(luò)狀態(tài)信息[1]。

2SDN網(wǎng)絡(luò)存在的安全威脅

2.1 SDN網(wǎng)絡(luò)本身存在的短板

SDN 解耦了控制和數(shù)據(jù)，使得網(wǎng)絡(luò)的狀態(tài)在邏輯上是集中的，并且底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施也是集中的，整個(gè)網(wǎng)絡(luò)從應(yīng)用程序中抽象出來(lái)。因此，SDN 體系架構(gòu)使網(wǎng)絡(luò)能夠監(jiān)控通信流量并診斷威脅，以促進(jìn)網(wǎng)絡(luò)取證、安全策略更改和安全服務(wù)插入。然而，控制邏輯的集中化和 SDN 的可編程性帶來(lái)了新的威脅，主要有①攻擊者偽造或虛假的業(yè)務(wù)流;②針對(duì)交換機(jī)脆弱性的攻擊;③針對(duì)安全通道的攻擊;④針對(duì)控制器脆弱性的攻擊。

2.2 短板可能引發(fā)的后果

攻擊者的目的是使得系統(tǒng)為合法用戶服務(wù)的質(zhì)量下降，甚至無(wú)法提供服務(wù)。實(shí)質(zhì)上是一個(gè)資源占用的問(wèn)題。這種攻擊會(huì)耗盡 SDN 基礎(chǔ)設(shè)施不同組件的資源，包括數(shù)據(jù)平面中的三態(tài)內(nèi)容尋址存儲(chǔ)器（Ternary Content Addressable Memory，TCAM）和緩沖存儲(chǔ)器、控制通道的帶寬以及控制器的 CPU 和存儲(chǔ)。這種攻擊很容易在短時(shí)間內(nèi)使控制器過(guò)載[2]。

3SDN網(wǎng)絡(luò)安全技術(shù)保障措施

3.1 區(qū)塊鏈技術(shù)的應(yīng)用

SDN大大簡(jiǎn)化了控制功能解耦的網(wǎng)絡(luò)管理數(shù)據(jù)平面，成為未來(lái)網(wǎng)絡(luò)的重要部分。但是，隨著網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，SDN 控制器在網(wǎng)絡(luò)控制決策中的決定性地位，控制器很容易成為攻擊者的目標(biāo)。針對(duì) SDN 存在的 DDoS/DoS 攻擊、單點(diǎn)失效等安全問(wèn)題，SDN各控制器智能地分布在不同的地理位置上，以緩解 “單點(diǎn)失效”問(wèn)題;使用區(qū)塊鏈技術(shù)，在各 SDN 控制器上構(gòu)建一個(gè)由一個(gè)可讀取、可添加、不可刪除的分布式數(shù)據(jù)庫(kù)組成的區(qū)塊鏈存儲(chǔ)，共同維護(hù)區(qū)塊的記錄列表。

3.2 區(qū)塊鏈技術(shù)針對(duì)SDN短板的作用機(jī)制

區(qū)塊鏈技術(shù)起源于比特幣，在中本聰 2008 年發(fā)表的《比特幣：一種點(diǎn)對(duì)點(diǎn)的電子現(xiàn)金系統(tǒng)中》一文中，區(qū)塊（Block）和鏈（Chain）作為比特幣的核心技術(shù)提出。 區(qū)塊鏈以去中心化、不可篡改性、不可偽造性、可驗(yàn)證性以及匿名性，使得SDN自身的短板逐一解除。隨著區(qū)塊鏈的發(fā)展，尤其是與智能合約的結(jié)合，已經(jīng)不僅僅被運(yùn)用在數(shù)字貨幣等金融領(lǐng)域，也應(yīng)用于能源互聯(lián)網(wǎng)（能源區(qū)塊鏈）、醫(yī)療事業(yè)（醫(yī)療區(qū)塊鏈）、共享單車等[3]。

4結(jié)束語(yǔ)

SDN網(wǎng)絡(luò)在方便人們生活的同時(shí)，也帶來(lái)了不少的安全隱患，但這并不能阻礙SDN網(wǎng)絡(luò)在我們生活中的推廣和使用，未來(lái)也必將會(huì)產(chǎn)生新的技術(shù)來(lái)解決其本身存在的短板。筆者上文所詳細(xì)闡述的區(qū)塊鏈技術(shù)能很大程度上解決SDN帶來(lái)的些許安全隱患，但是未來(lái)仍將出現(xiàn)我們所難以解決的難題，這也是新事物發(fā)展的必然。由于篇幅和時(shí)間的限制，本文不能更加詳細(xì)闡釋SDN所面臨的新的問(wèn)題以及更多解決網(wǎng)絡(luò)安全的技術(shù)辦法，望讀者加以諒解。

參考文獻(xiàn)

[1] 胡堯，龔文杰，曾振，等.軟件定義網(wǎng)絡(luò)安全技術(shù)研究[J].電子世界，2020，（1）：103.

[2] 郭磊，張旭，侯維剛，等.軟件定義多維光網(wǎng)絡(luò)研究進(jìn)展與展望[J].通信學(xué)報(bào)，2020，41（1）：152-161.

[3] 肖世清.基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略探討[J].輕紡工業(yè)與技術(shù)，2020，49（1）：153，160.