◆卢湛昌

（广东省电信规划设计院有限公司 广东 510000）

软件定义网络安全技术研究

◆卢湛昌

（广东省电信规划设计院有限公司 广东 510000）

就目前时代的发展潮流来看，互联网已经遍布到世界的每一个角落，无论是生产、生活每一个领域都有互联网技术的存在，丰富多彩的互联网建设模式已经成为历史发展的必然结果，现在沿用传统的互联网结构恐怕难以被现代人所接受。软件定义网络（SoftwareDefinedNetwork，SDN）是现代社会发展的必然产物，作为最前沿的发展技术，有效的帮助众多领域做好监控、管理和统计的工作。由于互联网具有强大的存储容量和超强的记忆性能，并且可以随时更改数据的状态，这样的优势必然会是现今社会上作为信息交流最大的变动。本文详细的讲述了目前SDN最基本的存在形式、自身的特性和自身的不足之处，并且还从SDN技术是否具有安全性能的角度进行深入的阐述，综合概述出其自身的技能特色。除此之外，对SDN未来的发展状态进行了预估，主要是从互联网智能防范、软件定义监管和互联网自身可行性及正常运行三个角度进行阐述，并且SDN自身安全性能的增强会有效的促进其他两个方面的发展进程，对其他两方面形成促进和带动的作用。

SDN；安全威胁；动态防御；软件定义监控

1 软件定义网络架构及安全威胁分析

根据研究显示最早得出软件定义网络含义的地点位于美国斯坦福大学中一个研究课程：CleanState项目。软件定义网络的主要建设依据在于利用相关知识把之前整个大的体系拆分为多重小的部分：资料体系、监管体系和使用体系，除此之外，研究人员还制造出计算机操作方案，以此帮助建设者对先前的整体完成拆分工作，将整个系统的变革成为事实，可以说是在为今后的互联网领域奠定了新型建设基础。

图1 SDN架构及安全威胁分析

SDN架构及安全威胁分析如图1所示，主要涵盖了以下三点：资料体系、监管体系和使用体系。一般来说，在资料体系和监管体系的功能辅助下，SDN被从传统的互联网操作机械工作中分理出来了监管体系，接着把整个监管体系的建设平台放在一个具有统一规划和统一制造的软件管理设备中，进而不断缩减最基本的操作步骤，缩减软件计算的繁琐步骤，降低了操作人员的认知难度。SDN主要是把监管体系和资料统计体系的衔接部分进行修改，不断简化基础部位的硬件设备，继而对基础层面的硬件设备进行阻止。对于底部的操作步骤可以利用计算机监管设备中的API控制整个基部的机械，从而完成对建设整体的监管工作，但是现今社会上拥有的软件监管设备的机械台数太少，根本不能和原有的互联网体系中的电子设备进行对比，由此可以看出整个运作环节的简便和单一性，减少了设备的繁琐以及监管体系的工作量；除此之外，一般情况下操作软件监管设备的工作人员均为另外一家企业负责，根本不会涉及到硬件生产企业的参与，这样一方面使得系统工作变得更加公平和透明，另一方面对于完善和改正软件的新型意义，可以在软件设备上进行，根本不需要改变整个系统，跟之前的互联网模式相比简化不少。

众所周知，SDN可以帮助互联网完成资料体系、监管体系和使用体系从整体系统中划分出来的工作，还可以帮助降低基部硬件的任务量、降低互联网组合装置的安装时间，并为高级层面提供整个互联网体系的画面等等，虽然SDN的优势数不胜数，然而不得不说，它仍然处于一个刚刚被创造的萌芽期，自身的建设结构依然存在众多不足，还有很多需要完善的地方，为了避免SDN的危害性质表现出来，人们应当防范于未然，尽可能的减少互联网监管的工作量、减少更新互联网体系的时间，与此同时，为可能出现的危险事故作出最正确的预测和防范措施。

1.1 控制层安全威胁

众所周知，SDN最主要的一项技能就是可以对互联网进行全面和统一的规划、监管。这项技能涉及到很多方面：互联网设备的组合方式、互联网进出流量的监管以及互联网维护工作的安排等等，都被安装在SDN部位。虽然强化了SDN的技能，但无形中也加剧了其损坏的危险度。第一点，因为其具有强大的整体监管特性，也就是成为破坏者关注的焦点；第二点，由于特性涉及到的层面很多，有可能会出现资源供给不足的问题；第三点，其自身的通透性也就创造了危险状态。

1.2 应用层安全威胁

整个SDN的结构为SDN的监管设备在使用时创建了众多的可操作的衔接部位，但是过多的衔接部位很容易被技术不准确的人员随意使用，丧失掉该阶段衔接公开性的价值，而且目前对使用的机械设备管理标准有一定的缺陷，没有形成准确的管理制度，为一些不良设备和软件的进入提供了更多的机会，这样一来破坏者就可以很轻易进入到互联网监管设备中，造成对互联网的安全性能的威胁。

2 SDN安全技术发展方向

根据上述讲述SDN的自身安全问题和对它自身安全体系建设的分析，可以看出互联网的安全维护体系还是需要改进的，比如说以下这两项技术层面的问题就很值得关注：

2.1 基于SDN的网络动态防御

所谓SDN的互联网智能防范的含义，可以解释为借助SDN具有统一规划的性质，把所有可以共同使用的通用硬件及按照某一要求设定的软件创建新的组合方式，给定不一样的机械设备。之后，按照目前企业对于建设互联网的安全性能、防范危险情况的发生标准，以及创新互联网原有特性的要求给出新的建设规划方案，将互联网的安全体系安装智能系统，争取在每时每刻都可以防范网络使用的安全性，排斥并抛弃传统的防范工具，真正的带动互联网安全建设环节的改革和发展方向，将整个互联网增强免疫强度。除此之外，可以把维护安全的设备和环节统统移出最底层的建设部分，单独的进行互联网维护的工作，减少进行互联网防范工作的繁琐性，使得整个安全维护体系可以充分发挥当前的安全防范措施，并且相关的管理者还能够有充足的时间发现安全隐患，创建新型的维护方案，提升整个安全维护体系的价值和可操作性，进而可以保证互联网的安全性能。

2.2 软件定义监管

软件定义监管的出现是建立在SDN自身强大的组织结构之上的，其借助可进行操作的互换设备以及相关联的互联网工具，帮助其完成对于相关资料的阻拦工作或者是准确定位新的推送方向，这样一来，软件定义监管系统就会按照系统提示的互联网安全指标，为资料寻找最适合其的去向，也就是寻找下一个流动方向，并且在整个运作环节一直会有监控系统进行检查，由此可以将整个互联网信息的流向进行整体的控制和研究，甚至是一些经常遇到的操作困难。

3 结束语

一般来说，SDN系统模式的改变是目前信息交流建设方面最大的、最突出的进步点，虽然如此，但改革的过程也并不是一帆风顺的过程，就比如说互联网本身众多的特点：统一协调和监管、公开性和透明性的操作步骤等等，那么怎么才能够保证SDN体系在进行安全操作的同时做好统一协调和监管、公开性和透明性的操作步骤的工作成为每一个人最大的关注点，也将被每一个研究人员和机械设备的生产企业所注意。这就要求操作人员必须要做到以下要求：（1）不断强化SDN本身的安全性能；（2）将互联网智能防范、软件定义监管工作做到实处，为更好的建设SDN自身的安全工作提供良好的前提条件。

[1]王蒙蒙，刘建伟，陈杰，毛剑，毛可飞.软件定义网络：安全模型、机制及研究进展[J].软件学报，2016.

[2]邵延峰，贾哲.软件定义网络安全技术研究[J].无线电工程，2016.

[3]吴庆彪.软件定义网络Web认证与访问控制技术研究[D].西南交通大学，2015.

[4]李纪舟，何恩.软件定义网络技术及发展趋势综述[J].通信技术，2014.

[5]马虔.软件定义网络环境下的安全流平台研究[J].信息安全与技术，2014.