刘婉

成都石室中学北湖校区

SDN网络技术的安全架构分析

刘婉

成都石室中学北湖校区

在云计算时代到来之后，各类新型数据中心诞生，将SDN网络技术应用在其中可以有效提升数据的安全性，使数据之间的交换变得更加便捷、迅速。本文主要针对SDN网络技术的安全架构进行分析。

SDN网络技术 安全架构 分析

随着计算机网络的发展和云技术的逐渐成熟，SDN网络技术迅速发展起来。SDN是当前网络领域的的热点，是业界公认的未来网络的发展方向，具有巨大的发展潜力。SDN能够在短时间内迅速崛起的原因就是数据中心，精确地说它的驱动力来自于数据中心的网络虚拟化。这也是它与其他网络的本质区别。SDN技术是一种能够有效将网络控制层面和数据转发层面分离开来的技术，它的存在使网络具有了编辑的特性。未来的网络将会跟计算机一样，只要为它提供一个平台，它就能够在这个平台上对网络进行可编程设计。但是目前很多人对SDN这一技术并不太熟悉，它的安全问题也是人们比较担心的问题。

1 SDN网络技术概述

1.1 SDN/OpenFlow技术的提出背景

SDN/OpenFlow技术是在2006年，在美国斯坦福大学的Nick McKeown 教授的带领之下，启动了Clean Slate 项目。这个项目的最终目的是为了能够创建出一个新颖的互联网，使之能够突破现有网络的限制，可以接纳新的技术，能够提供更加优质的服务。同年，Martin Casado 博士带领几位科研人员又提出了Ethane架构。这种构架是通过一个通过CPU向基于流的以太网交换机下发策略，以达到对流的准入和路由统一管理的目的。Ethane架构就成为SDN/OpenFlo技术的发展源头。在2007年，Nick McKeown 教授和Scott Shenker教授、Martin Casado博士一起 ，创建出了网络拟化的公司Nicira，最先提出了SDN的概念。2008年Nick McKeown 教授在报纸上发表了《OpenFlow:Enabling Innovation in Campus Networks》一文，提出了让研究者在网络上进行新方法的实验——Open Flow 。从此以后SDN/Open Flow技术迅速发展起来。

1.2 SDN网络的特点

SDN网络有着灵活性、开放性以及可编程性的特点，这一技术将传统网络抽象逻辑控制模块分离开来，将其迁移到集中控制器中，这样，底层网络基础设施即可被上层网络服务与应用，整个网络就成为一个系统的网络实体，利用这一网络实体，可以对系统进行灵活高效的管理。SDN网络架构主要由应用层、数据转发层与控制层组成，其核心位于控制层中，这也是整个网络的大脑。

2 SDN/OpenFlow技术的发展趋势

SDN的网络模式适应了时代对网络提出的要求，实现了有效降低网络复杂程度的目的，也满足了网络的虚拟化和云计算功能。同时也让传统的网络设备参与到新型网络结构中来。使得控制平面、转发平面和应用平面分离开来，各自实现自己的功能，方便了网络的统一管理和高效地维护。

随着Open Flow规范的不断更新，越来越多的支持这一技术的配套硬件也广泛应用起来。在控制层面，还没有研发出成熟的商用控制产品，它主要是以开源控制器为主；在应用平面，在控制器的应用方面的网络较少，大多数为学术研究原型，如网络发现、网络认证、路由计算等。因此功能完善的控制器是人们研究的目标之一。

从技术角度来看，人们在已经逐步使用SDN的网络架构的基础上，注意简化问题的解决方法，涉及的问题主要有：

1）转发模型简化：控制平面需要有一个简单灵活的转发模型，并且由控制程序定制出相关的策略；转发的模型简化独立于转发硬件，这是摆脱对厂商依赖度的关键技术；支持MPLS、OpenFlow等标准。

2）全局视图呈现：网络设备和网络拓扑结构状态间的映射；对它的分布式状态进行简化，它们的管理都归后台的数据库统一维护、保持一致；全局拓扑结构的动态监测、及时更新、及时推送。

3）网络操作系统简化：有效对网络转发设备的通信接口进行简化，从专发设备收集状态信息，根据信息进行综合分析，并向专发设备下达控制指令；简化与上一层的服务通信接口，做到透明传输，为网络应用提供底层抽象资源；创建全局网络拓扑视图，在控制器上做出分布式呈现。

3 网络安全发展新方向

传统的网络安全技术已经不适合SDN架构的新网络结构了，那么如何对SDN架构的网络进行有效地安全防护成为一个重要的研究方向。由于SDN技术处于规划和探索阶段，所以与它相关的安全技术研究也处于刚起步阶段。

在SDN三层体系中，安全性主要体系在控制平面和应用平面两个层次上，主要包含两类方向和三类应用。两类方向是：1）为了确保安全策略的一致性和网络的可用性，主要是通过加强安全策略和冲突检测的手段，确保数据在控制平面稳定运行；2）通过在应用平面开发、部署新的安全应用，实现网络安全防护功能。三类应用及其安全方向是：1）网络管理应用，可以实现网络可视化、网络优化、拓扑呈现等功能；2）安全服务应用主要包含流量清洗、攻击过滤、病毒过滤等。3）安全管理应用可以实现测量管理和流量分析功能。

4 结束语

总之，SDN/OpenFlow技术的提出极大地推动了网络的发展，也受到学术界的广泛关注。本文主要分析了它的起源与技术和将来的安全发展方向问题，为我们科学合理使用SDN技术提供了理论基础。

[1]左青云,陈鸣,赵广松,邢长友,张国敏,蒋培成. 基于OpenFlow的SDN技术研究[J]. 软件学报. 2013(05)

[2]邹珺,罗锋华,罗国友.基于域控系统的网络安全架构的应用和研究[J]. 黑龙江科技信息. 2010(28)

[3]吴刚.五行理论与网络安全架构的整合[J].网络安全技术与应用. 2010(04)

[4]余涛,毕军,吴建平.未来互联网虚拟化研究[J].计算机研究与发展.2015(09)