贾创辉，胡思才，胡容

（1.四川大学计算机学院，成都 610065；2.78123 部队，成都 610031）

0 引言

随着大数据、云计算等新兴互联网技术的快速发展，传统网络在网络安全性、灵活性和可扩展性方面等方面的瓶颈越来越突出。软件定义网络（SDN）作为一种新的网络体系结构，实现了控制层面和数据层面的解耦，其通过提供给应用层和转发层的接口构建了开放的、可编程的网络环境，通过控制层的集中路由策略制定、分配，实现了网络的集中管理[1]。传统网络缺乏统一管理、可扩展性差、灵活度低、数据升级速度慢等缺点在软件定义网络架构中得到了很好的解决。软件定义网络作为一个新兴事物，其特有的集中控制和开放性为研究网络安全提供了新的思路，同时也带来了新的安全挑战。

1 软件定义网络的安全形势

按照软件定义网络的逻辑体系构成，其技术特点可以概括为以下三个方面：①集中控制。软件定义网络将控制平面从传统交换机中提取出来，通过SDN 控制器对全网设备进行集中管控，实现了对网络的全局控制。②可编程性。SDN 的可编程性主要体现在控制层在北向通道为开发者提供了一套强大的编程接口。开发者可以通过编程接口实现对网络配置、路由策略、安全策略等的个性化定制，提高了网络的灵活性。③控制和转发分离。数控分离是SDN 的核心思想之一，SDN 架构中将网络设备分割为数据和控制两个平面，两个部分通过开放的接口协议互相连接，其中转发平面由受控转发的设备组成，转发方式以及业务逻辑由控制平面负责[2]。

SDN 体系结构有利于构建相对安全的网络环境，中心化的控制器能够及时地掌握网络状态的全局信息，利用安全监控、流量分析等应用模块能够较好地进行安全评估，并根据实际情况制定相应的安全策略，通过南向接口下发部署安全策略。同时，逻辑中心化的控制器颠覆了传统网络的管理和部署方式，也会带来相应的网络安全威胁和挑战。一方面，SDN 的集中控制方式促使控制器成为网络安全的焦点，集中控制所带来的安全风险将带给整个网络以致命的影响。目前，控制层与应用层、控制层与转发层之间仍然缺乏完整有效的安全解决方案，可编程性所带来的新的安全风险将使网络安全更加复杂化。另一方面，集中控制以及转控分离又在使得网络在流转发、策略执行、风险监测等安全领域有着天然的优势。可以说SDN 在网络安全方面既有其独特的挑战，又充满着机遇。

2 软件定义网络面临的主要安全威胁及特点

与传统网络相比，软件定义网络的主要安全问题处理差异体现在两个方面：一是数据流的控制方式有差异。软件定义网络中，数据流的流向是由控制层所制定的规则决定的，数据流通过特定安全设备的方式具有较大的灵活性，而传统网络中，数据流通过特定安全设备的方式使确定的。二是获取网络安全状况信息的方式有差异。在SDN 中，控制器可以实时获取网络的全局信息，可以及时、准确地分析整个网络的动态情况。而在传统网络中，网络全局信息的获取要复杂和困难许多，网管单元要逐层接受网络设备的状态信息，进行综合分析和评估后展示出来。

软件定义网络的安全形势主要体现在：

一方面，SDN 技术具有其先天优势，其集中控制、全局视图、多维度控制等优点是传统网络所无法比拟的，这使得网络的运营方、管理方可以更加方便、准确的对网络进行维护和运行，给传统网络安全问题的改善带来了新的机遇，SDN 还提供了应对安全漏洞的新的机会，其通过对数据流的集中审查，可以更方便地识别安全敏感的信息流，并对这些信息流采用差别化传输、隔离恶意业务流等方式，应对网络安全问题，为SDN 提供更加安全的网络环境。

另一方面，SDN 技术因其架构特点也面临着诸多新的安全挑战，SDN 架构容易获取网络全局信息，这也使得攻击者可以通过控制器获取整个网络的安全状态信息，进行有效的网络攻击。随着SDN 技术的不断发展，依照其设计模式，SDN 在网络信息保护、应用程序管理、模块处理流程等方面暴露了诸多安全问题。首当其冲的便是控制器安全，控制器作为SDN 核心，一旦失效整个网络崩溃，逻辑集中的控制器容易造成单点故障，很容易就成为恶意攻击的目标。SDN 架构也可能造成安全漏洞的成倍放大，隐私侵犯频发或者其他网络安全事件。

同时，如恶意数据流、交换机流表篡改、应用软件漏洞、数据管理机密性与可用性威胁等传统网络中常见的攻击在SDN 中依然可能发生。

本文根据SDN 的逻辑架构，从SDN 控制层、应用层、接口、转发层等4 个方面对SDN 这种新型的网络体系架构所面临的安全风险及安全问题特点进行分析，SDN 各逻辑层所面临的安全风险和所关注的安全问题各有侧重，有些安全问题是SDN 架构特有的安全问题，也有些安全问题是传统网络安全问题的延伸。

2.1 控制层安全

控制层是SDN 的核心部分，也是目前安全防护的薄弱环节。控制层是一系列网络实体组成，这些网络实体一般包含虚拟机、操作系统、SDN 控制器等。SDN控制层可以生成网络的路由信息，并更新处理网络状态的变化事件[3]。SDN 控制器可以实时访问和获取网络的全局信息，但是其在设计初期并没有针对安全问题进行优先处理方案，目前，SDN 中只有针对特定安全威胁的安全方案，缺乏完整的控制器安全保护策略。

SDN 控制器集中负责着整个网络的网络配置、控制策略、路由策略等网络核心信息，这就使得SDN 控制器相较于传统网络核心设备具有着更大的风险隐患，网络攻击造成的损失将被成倍的放大，控制器瘫痪或者被控制也将影响整个网络。控制层的安全风险主要有以下特征：首先，集中式的控制模式使得控制器天然的成为攻击者攻击的高价值目标，攻击者对控制器的攻击很容易造成较大的网络安全事件。其次，控制层任务的复杂性使其很容易陷入非法访问、身份认证、恶意流规则注入等安全风险，很容易遭受资源耗尽攻击。同时控制器自身配置缺陷等安全风险也是控制层安全的重要组成部分。最后，按照部署方式，控制器常常部署在通用计算机或服务器上，这就使得控制器还面临着与传统服务器相同的安全风险，例如数据溢出攻击等。

2.2 接口安全

SDN 的接口安全包含负责控制层与转发层协议通信的南向接口安全和负责控制层与应用层通信的北向接口安全，南向接口协议以OpenFlow 协议为主，北向接口是SDN 开放性的具体体现，用户可以通过应用层提供的接口，设计和控制SDN 控制器，开发相应的SDN 服务，部署相关应用。

当前，南向接口安全威胁集中体现在OpenFlow 协议中，在南向通道中，OpenFlow 协议所采用的SSL/TSL对传输数据进行加密的方式，其安全性并不高，1.3.0 以后版本将SL/TSL 加密设置为可选择项更加剧了南向通道的安全风险，南向通道安全难以得到有效保证。与此同时，OpenFlow 协议本身的安全漏洞也是南向接口安全风险的重要组成部分。综上，南向接口安全风险包括窃听、控制器假冒等[4]。

目前，北向接口还是各大厂商独自作战，缺乏统一的行业标准。而随着SDN 技术的逐步发展，北向接口的标准化也开始成为热点。相较于南向接口，控制层与应用层之间建立的北向接口安全性更加的脆弱。网络攻击者可以利用北向通道开放的接口对控制器进行攻击，对控制器的信息进行非法访问，对于攻击者来说，北向接口的攻击阈值更低。北向接口面临着像数据泄露、非法访问、身份认证等安全风险。

2.3 应用层安全

SDN 架构在北向通道通过控制层向应用层提供了丰富的编程接口，开发者可以利用提供的API 开发相关的应用服务，放置在SDN 中运行。

目前，应用审计认证并不完善，SDN 缺乏有效的应用授权机制和恶意代码检测机制，很容易导致恶意程序泛滥。同时，各应用程序之间可能存在的策略冲突也是SDN 应用层安全需要解决的问题，应用策略冲突检测机制的缺失可能导致应用之间发送的流量策略会相互影响，造成网络的不稳定，对网络安全带来影响。

2.4 转发层安全

转发层主要是由负责数据转发的路由器及其连接线路组成，控制层通过南向通道协议将数据转发规则下发给转发层，转发层负责高效率的执行数据转发任务。其主要威胁包括：DDoS/DoS 攻击、恶意/虚假流规则注入、虚假控制等。

同时在转发层，网络的状态是随着变化着的，控制层负责提供了网络的状态和配置信息，网络攻击者可以通过制造恶意流规则，改变数据流的转发路径，便可以轻松绕开网络安全设备的监控，从而将威胁扩展到全网。

3 结语

SDN 网络极大程度的降低了网络管理的复杂度，增强了用户的体验，可以进一步促进网络服务的更新和精细化的网络控制，其在数据中心网络中正在迅猛发展。随着SDN 技术逐渐成熟，SDN 架构优势更加凸显，软件定义网络可以更加全面的控制网络流量，这使得在流量安全防护方面将有更加有效的解决方案。软件定义网络也能帮助改善源IP 地址验证，提高网络的溯源能力。同时，SDN 自身所带来的安全性问题，随着其不断的部署开发和广泛应用，已经变得越来越紧迫。SDN 在安全领域可以说是机遇与风险并存，只有真正解决安全问题，SDN 技术才能够真正“落地”，成为未来主流网络技术。