◆白保琦

软件定义网络及安全防御技术探讨

◆白保琦

（兰州石化职业技术学院 甘肃 730060）

伴随着互联网高速发展，网络技术的不断创新与应用价值日渐提升使网络安全问题愈发显著。本文以软件定义网络为研究对象，简要概述了软件定义网络特征与原理，并在此基础上，就软件定义网络存在的安全问题及其安全防御技术进行简要分析，以供参考。

安全防御；防御技术；软件定义网络

1 对“软件定义网络”的基本认识

1.1 软件定义网络概念

“软件定义网络（Software Defined Network，SDN）”起源于斯坦福大学Clean Slate研究，并由Mckeown于2009年正式提出与发展[1]。软件定义网络是对传统网络的一种改革与创新，通过将网络设备控制面与网络数据面进行有效分离，形成一种全新的网络架构，从而提升网络开放性、网络控制灵活性。软件定义网络的控制层，配置了可编程控制装置，由控制器实现对网络设备控制的集中化管理，网络用户能够全面了解与控制网络信息，在自定义下进行网络配置与协议部署，提升网络控制灵活性。与此同时，控制层面与数据层面的分离，能够克服网络硬件设备对网络架构拓展的制约，增强网络可拓展性，便于网络升级。软件定义网络的数据层，配置了数据转发专用装置，实现对网络数据的快速分析与处理，可有效满足网络数据大流量需求。而控制层与数据层之间利用开放式统一接口实现交互，提升交互规范性、标准性的同时，降低交互简便性。由此可见，软件定义网络的应用能够有效改善传统封闭网络在网络拓展、网络灵活管控等上的弊端，有效降低网络设备复杂度与运维成本，推动网络创新发展。

1.2 软件定义网络体系结构

软件定义网络已被MIT（Massachusetts Institute of Technology，麻省理工学院）列为“改变世界的十大创新技术之一”随着软件定义网络理论与实践研究的不断深入，软件定义网络架构呈现出多样化发展态势，其内涵得到不断丰富，控制层与数据层之间的接口规范性不断提升。软件定义网络主要由应用层、控制层与数据层三部分构成。其中应用层为最上层结构，具备可编程特征，用户能够根据自身业务需求，进行简单编程，实现自定义网络部署；控制层为软件定义网络的中间层，具有逻辑中心化特征，是数据平面资料管理的核心系统，能够实现网络拓扑的有效维护以及网络状态信息的科学管控；数据层为软件定义网络的最下层，能够在软件定义网络专用交换机等设备应用下，进行数据处理（包括数据采集、接受、转发等）；软件定义网络接口的科学配置，包括应用层与控制层的北向REST接口和控制层与数据层的南向CDPI接口，实现了各层面之间的有效交互，加强SDN体系集成管理水平[2]。随着软件定义网络研究的不断深入以及规模的不断拓展，软件定义网络将取向多控制模式创新发展，各层面接口标准有待进一步完善。

1.3 软件定义网络存在的安全问题

软件定义网络作为新型网络架构，正处于不断发展与完善阶段，随着软件定义网络在现实中的应用与推广，其安全问题成为急需解决的技术与应用问题。从软件定义网络结构视角来看，软件定义网络应用层存在：恶意代码威胁、应用程序身份认证与访问权限威胁、应用配置缺陷等安全问题；软件定义网络北向接口存在：防护脆弱、非法访问、数据篡改等安全问题；软件定义网络控制层存在：控制器劫持、控制器逻辑破坏、SDN控制器配置不足、(D)DoS攻击下的拒绝服务等安全问题；软件定义网络南向接口存在：认证机制缺乏下的数据流监听与网络篡改，数据加密措施缺乏与协议脆弱下的数据丢失、信息失真等安全问题；软件定义网络数据层存在：拒绝服务、数据流表信息泄露与篡改、黑洞攻击、节点网络瘫痪等安全问题。从整体层面来看，软件定义网络的安全问题可概括为：SDN授权认证安全问题、SDN数据丢失与篡改安全问题、SDN数据泄露安全问题、SDN恶意攻击安全问题、SDN拒绝服务安全问题、SDN配置缺陷安全问题、SDN系统故障等[3]。

2 软件定义网络安全防御技术

根据软件定义网络特征，结合软件定义网络存在的安全问题，学术界与实务界对SDN安全防御技术进行了探讨，提出不同安全解决方案。

就SDN授权认证安全问题而言，授权认证机制的科学建立是实现该问题有效防御的重要手段。例如，在系统安全设计与部署中，构建拒绝未经主机认证与授权的主机接入软件定义网络的授权认证机制。即，利用认证器与RADIUS服务器实现对可扩展认证协议请求信息的认证，根据认证响应由OF控制器做出网络数据流量执行决策，以提升SDN授权认证安全水平。又如，加强SDN控制器安全设计，通过在控制层面配置安全模块，包括数据源认证模块、流规则分析检验模块、网络状态表管理模块等，进行身份识别与权限认证，提升SDN安全防御能力。

就SDN数据丢失、泄露与篡改安全问题而言，在提升SDN授权认证安全水平的基础上，进行相关安全防御方案的设计与完善。例如，Parros（2015）在已有研究成果的基础上对Floodlight控制器进行了改造，形成SE-Floodlight控制器。该控制器除具备状态表管理模块、数据源认证模块、流规则检验与分析模块外，也具备权限管理与安全审计系统，能够有效提升SDN应用与控制层之间的交互安全水平，降低北向接口数据恶意篡改风险。与此同时，在各模块协调作用下，能够对网络中存在的恶意行为进行分析与监管，加强应用层信息管控能力，减少数据丢失、泄露、被篡改的概率。

就SDN恶意攻击安全问题而言，可在应用层与控制层进行信息交互之前构建身份识别与验证系统进行安全问题防控。例如，利用微操作系统技术、函数库、沙箱化设计，赋予SDN应用层隔离、独立认证特征，提升软件定义网络控制层容错性，从而降低恶意攻击对网络安全运行存在的不利影响。在此过程中，微操作系统技术的应用实现网络系统轻量化处理；函数库设计理念的引入减少应用与内核分离过程中，内核负载过重对SDN安全与稳定运行的影响。与此同时，为降低恶意攻击对SDN控制层的影响，利用资源管理器实现应用的区域化管理，并在公私钥体制应用下，形成系统应用调用权限审核体系的科学构建，提升网络运行安全水平。

就SDN拒绝服务安全问题而言，可在软件定义网络数据层中配置连接迁移模块，实现对有效TCP连接的存储，并将其上传到控制层面，以进行网络状态的有效监督，从而在网络操作过程中屏蔽无效数据分组。与此同时，在南向接口中配置执行触发装置，当数据层中的数据信息流量达到触发标准时，进行流规则插入，以提升数据处理能力，改善SDN拒绝服务安全问题。

就SDN配置缺陷安全问题而言，可通过网络错误检验算法设计、动态检查策略应用、验证机制构建等方式进行处理，提升软件定义网络安全防御能力。

SDN系统安全问题，需注重系统组织模块、系统通信协议、网络调试装置的优化设计。

3 结论

软件定义网络的提出与应用，有效改善了传统网络运行中存在的开放性、实效性、灵活性弊端，成为促进互联网创新发展的关键技术。但由于软件定义网络属于新型网络架构，正处于不断发展与完善阶段，在使用过程中仍存在诸多网络安全问题。对此，在明确认知软件定义网络特征与原理的基础上，应加强其安全防御技术的研究，制定行之有效的网络安全问题解决方案，以促进软件定义网络的优化发展。

[1]伍岳,陶骏,张云玲.基于OpenFlow的SDN网络安全分析与探究[J].湖南工程学院学报(自然科学版), 2019,29(01):45-48.

[2]何占博,王颖,刘军.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全,2019,38(03):9-14+19.

[3]刘扬.关于构建网络信息安全防护体系的研究——基于数据价值视角的大数据监管系统建设的思考[J].信息通信技术与政策,2019(02):52-56.