试论SDN架构及安全性

山发军++李虎

摘 要：软件自定义网络（SDN）作为一种新型的网络架构，其实现了网络设备控制平面与数据平面的相互独立，受到社會各界的广泛关注。论文对SDN的架构及其安全性进行了讨论，并提出了SDN安全防范策略，希望为相关应用提供一些简单的参考。

关键词：SDN；架构；安全性

中图分类号：TP393.02 文献标识码：A 文章编号：1671-2064（2017）18-0022-01

1 SDN技术架构

SDN是近年来新兴的一种网络架构，该架构可以直接变成，其核心理念是将传统设备紧耦合的网络架构解耦成为应用、控制以及转发3层相互分离的架构[1]，通过标准化来实现网络的集中管理和控制，同时实现网络应用的可编程化，图1给出了SDN架构的具体图示。

在SDN架构下，关键是实现开放和标准化，具体表现如下[2]：标准化数据面与控制面的接口，对网络基础设施资源在类型、支持的协议等方面的异构性进行屏蔽，从而实现数据面网络资源设施地无障碍接收控制面所下发的指令，以承载网络中的数据转发业务；标准化控制层以及应用层接口则是为上层应用提供一个统一的管理和编程的接口，从而为用户通过软件进行网络控制和网络服务的定义提供了媒介。

SDN技术架构的应用，推动了网络在产业链结构中价值从成本中心向核心竞争力的进一步转变。SDN技术基于OpenFlow实现，其为企业和用户带来了更加灵活的网络管控、更加高效地资源利用以及更具弹性化的资源调度，具体架构如图2所示[3]。

（1）更加灵活的网络管控。首先，标准化的接口实现了对设备异构性的屏蔽，从而能够实现对各种异构网络设备的集中统一管理和控制；其次，SDN控制器可以对网络进行同意的控制管理，不需要对每一台设备的配置参数进行手动设置。（2）更加高效地资源利用。SDN控制器能够对所有网络基础设施的运行状态进行实时监控，因此，可以根据设备的运行状态实现对网络资源的智能、灵活调配，避免各种资源的盲目调用，进一步提高资源的利用效率。（3）更具弹性的资源调度。应用层能够借助标准化控制层以及应用层接口制定符合实际业务需求的网络资源调度策略，并通过SDN控制器将该策略配置到网络设备中，使网络的资源调度具有更大的弹性。

2 SDN安全分析

所有信息技术需要面对的首要问题就是安全性方面的问题，信息安全包括信息的完整性、可用性、保密性以及可靠性。SDN作为新兴的信息技术，其安全性的分析非常重要。

2.1 SDN安全特点

相对于传统的网络架构而言，由于SDN架构本身的创新性，其安全性也具有不同的特点，主要包括以下两个方面[4]：

（1）由SDN控制器对网络设备集中控制带来的安全风险。SDN架构使得各种资源的配置、控制以及服务都全面集中在控制器上，这就使得控制器成为了网络黑客、病毒重点攻击的目标，攻击者只需要获得控制器的控制权，即可实现对网络中各种资源设备的控制，而随着云计算技术的发展，使这种攻击变得更加容易。（2）SDN架构本身的开放性带来的安全风险。SDN能够实现对各种异构网络设备的统一管理和配置，但是这需要各种开放接口来提供支持。在应用层面，SDN控制器提供了大量开放性的可编程接口，供给者很可能通过这些开放性的接口对SDN网络展开攻击，使这些接口成为网络的安全漏洞。因此，为了避免开放性带来的安全风险，对开放接口进行评估师SDN控制器设计需要首要考虑的问题。

2.2 SDN架构安全性方面的挑战

当前，SDN架构安全性所面临的挑战主要包括以下两个方面的内容：

（1）控制面的安全问题。在SDN架构的集中管控模式下，其控制面面临着下面三个方面的安全威胁：第一，不法分子能够从网络中找到SDN架构控制器的切入点，然后进入控制器，并篡改其中的各种操作指令；第二，步伐分子能够通过特定的手段向控制器输送大量的服务请求，并给出虚假的请求反馈地质；第三，可以通过一些控制器的安全漏洞，向控制器输送病毒和木马。（2）应用面的安全问题。SDN架构的应用面主要面临以下两个方面的安全威胁：第一，不法分子将一些蠕虫或间谍程序输送到应用层，盗取相关的信息；第二，应用层的安全规则存在冲突，反而影响到其本身的安全性。

3 结语

SDN架构为未来网络发展提供了一种全新的思路，其顺应了当前网络的应用和发展趋势，要想SDN架构的安全应用，需要进一步提高其安全性，可以从以下三个方面入手：

第一，制定相对健全的安全策略，并严格执行安全策略，同时，需要展开设备隔离工作。

第二，制定相对完善的访问和授权规则，同时需要对异常设备进行预警和隔离，避免异常设备对整个SDN网络中的设备产生影响。另外，需要进一步提升控制器的网络行为分析能力，从而提前预警各种非正常的网络行为。

第三，需要加强对开放性接口的安全检测，提升对各种潜在安全威胁的识别能力和处理能力。

参考文献

[1]刘小春.SDN网络安全性研究[J].信息通信，2017，（04）：96-97.

[2]邵延峰，贾哲.软件定义网络安全技术研究[J].无线电工程，2016，（04）：13-17.

[3]刘亮龙，方献梅.SDN架构及安全性的研究与探讨[J].电脑知识与技术，2015，（13）：47-48+51.

[4]郭春梅，张如辉，毕学尧.SDN网络技术及其安全性研究[J].信息网络安全，2012，（08）：112-114.endprint