王淑玲，李濟(jì)漢，張?jiān)朴?，房秉?/p>

（1.中國(guó)聯(lián)通集團(tuán)研究院 北京 100048；2.北京郵電大學(xué) 北京 100876）

SDN架構(gòu)及安全性研究*

王淑玲1，李濟(jì)漢2，張?jiān)朴?，房秉毅1

（1.中國(guó)聯(lián)通集團(tuán)研究院 北京 100048；2.北京郵電大學(xué) 北京 100876）

隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的發(fā)展和成熟，網(wǎng)絡(luò)業(yè)務(wù)的多樣化、基礎(chǔ)資源能力的大力提升等給數(shù)據(jù)中心網(wǎng)絡(luò)的可擴(kuò)展性、可管理性、安全性等提出了新的要求。SDN體系架構(gòu)的出現(xiàn)為目前網(wǎng)絡(luò)問(wèn)題的解決提供了新的方向，因而在產(chǎn)業(yè)界和研究領(lǐng)域得到了深入的研究和應(yīng)用。但隨著SDN相關(guān)網(wǎng)絡(luò)設(shè)備的出現(xiàn)，安全問(wèn)題成為制約其發(fā)展的一個(gè)重要因素。本文首先分析了SDN架構(gòu)的產(chǎn)生背景，闡述了SDN的網(wǎng)絡(luò)技術(shù)架構(gòu)原理及目前的發(fā)展現(xiàn)狀；隨后對(duì)SDN架構(gòu)中的安全特點(diǎn)、安全威脅進(jìn)行了分析；最后，提出了一種SDN架構(gòu)下的安全技術(shù)框架，從威脅分析、防御規(guī)則、防御方法3個(gè)方面對(duì)SDN中的安全問(wèn)題提出了建議。

軟件定義網(wǎng)絡(luò)；安全；OpenFlow

1 引言

云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等相關(guān)技術(shù)的興起和發(fā)展加快了數(shù)據(jù)中心的變革進(jìn)程，網(wǎng)絡(luò)帶寬需求的攀升、網(wǎng)絡(luò)業(yè)務(wù)的豐富化、服務(wù)交付的個(gè)性化需求等都給新一代數(shù)據(jù)中心提出了更高的要求。面對(duì)日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)的以IP為核心的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)的局限性逐漸凸顯出來(lái)。為了適應(yīng)今后互聯(lián)網(wǎng)業(yè)務(wù)的需求，業(yè)內(nèi)形成了“現(xiàn)在是創(chuàng)新思考互聯(lián)網(wǎng)基本體系結(jié)構(gòu)、采用新的設(shè)計(jì)理念的時(shí)候”的主流意見(jiàn)[1]，并對(duì)未來(lái)網(wǎng)絡(luò)的體系架構(gòu)應(yīng)具備的性質(zhì)和功能提出了要求[2]。近年來(lái)，軟件定義網(wǎng)絡(luò)[3]（software defined network，SDN）的興起為未來(lái)網(wǎng)絡(luò)的發(fā)展提供了方向。

SDN的思想起源于斯坦福大學(xué)的Clean State[4]項(xiàng)目，此后隨著技術(shù)的發(fā)展和研究的深入，SDN架構(gòu)從實(shí)驗(yàn)室走向了產(chǎn)業(yè)界，并得到了學(xué)術(shù)界和工業(yè)界的廣泛認(rèn)可，且進(jìn)一步推進(jìn)了SDN的產(chǎn)業(yè)化演進(jìn)和相關(guān)技術(shù)的標(biāo)準(zhǔn)化進(jìn)程。

SDN技術(shù)架構(gòu)通過(guò)把原有封閉的體系解耦為數(shù)據(jù)平面、控制平面和應(yīng)用平面，將網(wǎng)絡(luò)控制功能從網(wǎng)絡(luò)設(shè)備中分離出來(lái)，并為網(wǎng)絡(luò)應(yīng)用提供可編程的接口，從而革命性地改變了現(xiàn)有的網(wǎng)絡(luò)架構(gòu)。在數(shù)據(jù)中心采用SDN架構(gòu)，可以方便地實(shí)現(xiàn)路由路徑的優(yōu)化、網(wǎng)絡(luò)維護(hù)代價(jià)的降低、網(wǎng)絡(luò)設(shè)備利用率的提高、網(wǎng)絡(luò)設(shè)備的可管理性和靈活性的增加等。

但在當(dāng)前的環(huán)境下，SDN的發(fā)展面臨著許多關(guān)鍵性問(wèn)題，安全就是其中之一，并且隨著SDN架構(gòu)的普及和推廣，安全問(wèn)題的重要性呈逐步上升的趨勢(shì)。目前，SDN的安全問(wèn)題也引起了工業(yè)界的關(guān)注，企業(yè)組織、研究團(tuán)體及標(biāo)準(zhǔn)化組織都紛紛啟動(dòng)了相關(guān)方面的研究工作。

基于SDN的強(qiáng)勁發(fā)展勢(shì)頭和解決安全問(wèn)題的迫切性，本文首先闡述了SDN技術(shù)架構(gòu)的原理、發(fā)展現(xiàn)狀，分析了SDN技術(shù)架構(gòu)中存在的安全問(wèn)題，并給出了相應(yīng)的安全防護(hù)建議，以期為SDN安全方面的科研和產(chǎn)業(yè)發(fā)展做出有益的探索。

2 SDN/OpenFlow技術(shù)原理和現(xiàn)狀

2.1 SDN/OpenFlow的起源

SDN的思想起源于斯坦福大學(xué)的Clean State[4]項(xiàng)目。該項(xiàng)目旨在創(chuàng)建一個(gè)全新的互聯(lián)網(wǎng)架構(gòu)，使其擺脫當(dāng)今互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的限制，采納新技術(shù)，支持新應(yīng)用、新服務(wù)，提供創(chuàng)新服務(wù)平臺(tái)。作為Clean State項(xiàng)目在企業(yè)網(wǎng)安全方面的一個(gè)子項(xiàng)，Martin Casado和其他幾位團(tuán)隊(duì)成員提出了Ethane架構(gòu)，通過(guò)一個(gè)中央控制器向基于流的以太網(wǎng)交換機(jī)下發(fā)策略，從而對(duì)流的準(zhǔn)入和路由進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)基于網(wǎng)絡(luò)流的安全控制策略。受到該項(xiàng)目的啟發(fā)，Martin和他的導(dǎo)師Nick McKeown教授發(fā)現(xiàn)，如果將Ethane架構(gòu)設(shè)計(jì)得更一般化，將傳統(tǒng)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)和路由控制兩個(gè)功能模塊分離，通過(guò)集中式的控制器以標(biāo)準(zhǔn)化的接口對(duì)各種網(wǎng)絡(luò)設(shè)備進(jìn)行管理和配置，那么將為網(wǎng)絡(luò)資源的收集、管理和使用提供更多的可能性，從而更容易推動(dòng)網(wǎng)絡(luò)的革新和發(fā)展。于是，提出了OpenFlow的概念，并在2008年發(fā)表了題為“OpenFlow:Enabling Innovation in Campus Netwrok”的論文，詳細(xì)描述了OpenFlow的工作原理，并列舉了OpenFlow可使用的應(yīng)用場(chǎng)景，包括創(chuàng)新性結(jié)構(gòu)網(wǎng)絡(luò)的測(cè)試、網(wǎng)絡(luò)管理和訪問(wèn)控制、VLAN等?；贠penFlow為網(wǎng)絡(luò)帶來(lái)的可編程的特性，Nick和他的團(tuán)隊(duì)進(jìn)一步提出了SDN的概念。

2.2 SDN技術(shù)架構(gòu)

SDN是一種新興的控制與轉(zhuǎn)發(fā)相分離并直接可編程的網(wǎng)絡(luò)架構(gòu)，其核心思想是將傳統(tǒng)網(wǎng)絡(luò)設(shè)備緊耦合的網(wǎng)絡(luò)架構(gòu)解耦成應(yīng)用、控制、轉(zhuǎn)發(fā)3層分離的架構(gòu)，通過(guò)標(biāo)準(zhǔn)化實(shí)現(xiàn)網(wǎng)絡(luò)的集中管控和網(wǎng)絡(luò)應(yīng)用的可編程，如圖 1所示。

圖1 SDN技術(shù)架構(gòu)

在這一架構(gòu)下，開(kāi)放和標(biāo)準(zhǔn)化是核心關(guān)鍵點(diǎn)，表現(xiàn)為：標(biāo)準(zhǔn)化數(shù)據(jù)面與控制面的接口（又稱為南向接口），屏蔽網(wǎng)絡(luò)基礎(chǔ)設(shè)施資源在類型、支持的協(xié)議等方面的異構(gòu)性，使得數(shù)據(jù)面的網(wǎng)絡(luò)資源設(shè)施能夠無(wú)障礙地接收控制面的指令，承載網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)發(fā)業(yè)務(wù)；標(biāo)準(zhǔn)化控制層和應(yīng)用層的接口（又稱為北向接口），為上層應(yīng)用提供統(tǒng)一的管理視圖和編程接口，使得用戶可以通過(guò)軟件從邏輯上定義網(wǎng)絡(luò)控制和網(wǎng)絡(luò)服務(wù)。

SDN的技術(shù)架構(gòu)改變了網(wǎng)絡(luò)在產(chǎn)業(yè)鏈結(jié)構(gòu)中的價(jià)值，實(shí)現(xiàn)了從成本中心至核心競(jìng)爭(zhēng)力的轉(zhuǎn)變。基于OpenFlow的SDN技術(shù)帶給企業(yè)和用戶更加靈活的網(wǎng)絡(luò)管控、更高效的資源利用率、更彈性的資源調(diào)度，具體介紹如下。

·更加靈活的網(wǎng)絡(luò)管控：首先，標(biāo)準(zhǔn)化的南向接口屏蔽了設(shè)備的異構(gòu)性，實(shí)現(xiàn)了異構(gòu)網(wǎng)絡(luò)設(shè)備的集中化統(tǒng)一管控；其次，SDN控制器能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的統(tǒng)一管控，無(wú)需手動(dòng)地更改每一個(gè)網(wǎng)絡(luò)設(shè)備的配置。

·更高效的資源利用率：由于SDN控制器監(jiān)控著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的狀態(tài)，能夠更加智能和靈活地調(diào)配網(wǎng)絡(luò)資源，減少盲目的網(wǎng)絡(luò)資源投資，提高資源利用率。

·更彈性的資源調(diào)度：應(yīng)用層可通過(guò)標(biāo)準(zhǔn)的北向接口制定符合其業(yè)務(wù)需求的網(wǎng)絡(luò)策略，由SDN控制器將策略配置到網(wǎng)絡(luò)設(shè)備中，實(shí)現(xiàn)資源的彈性調(diào)度。

2.3 SDN的相關(guān)標(biāo)準(zhǔn)

開(kāi)放網(wǎng)絡(luò)基金（open network foundation，ONF）協(xié)會(huì)由德國(guó)電信、Facebook、Google、Microsoft、Verizon、Yahoo！等 7家公司聯(lián)合推進(jìn)，組建起來(lái)的一個(gè)非盈利性的組織機(jī)構(gòu)，致力于發(fā)展創(chuàng)新型網(wǎng)絡(luò)結(jié)構(gòu)SDN，并積極推進(jìn)SDN架構(gòu)的標(biāo)準(zhǔn)化和商業(yè)化進(jìn)程，是國(guó)內(nèi)外從事SDN相關(guān)標(biāo)準(zhǔn)研制工作較為權(quán)威的組織之一。目前，ONF擁有7家董事會(huì)單位、70多家成員單位，包含 Extensibility、Configuration&Management、Testing&Interoperability、Hybrid、Market Education、Architecture&Framework、Forwarding Abstractions共 7個(gè)工作組以及 Northbound API、Transport、Skills Certification 等討論組。標(biāo)準(zhǔn)的討論范圍涵蓋SDN的南向接口、北向接口、市場(chǎng)應(yīng)用、控制器等各個(gè)方面。截至2012年12月，ONF協(xié)會(huì)發(fā)布的標(biāo)準(zhǔn)包括Open Flow規(guī)范和Open Flow管理配置協(xié)議。

OpenFlow規(guī)范是SDN技術(shù)架構(gòu)中控制平面和數(shù)據(jù)平面間的第一個(gè)通信標(biāo)準(zhǔn)。自2010年年初發(fā)布第一個(gè)版本OF1.0[5]以來(lái)，OpenFlow逐步完善，先后經(jīng)歷了OF1.1、OF1.2版本。同時(shí)，各設(shè)備廠商也積極推動(dòng)支持OpenFlow標(biāo)準(zhǔn)的交換機(jī)的研發(fā)和生產(chǎn)。

OpenFlow規(guī)范的技術(shù)架構(gòu)如圖2所示，主要定義了交換機(jī)的功能模塊以及其與控制器之間的通信信道方面的接口。通過(guò)該接口，OpenFlow控制器將制定好的轉(zhuǎn)發(fā)策略通過(guò)安全的通信信道發(fā)送給交換機(jī)，對(duì)交換機(jī)處理流的方式進(jìn)行控制。具體的控制策略是由流表（FlowTable）和表項(xiàng)來(lái)表示的。每個(gè)交換機(jī)可以有一個(gè)或多個(gè)流表，從0開(kāi)始依次編號(hào)。編號(hào)的大小標(biāo)明了流表的跳轉(zhuǎn)順序，只能從編號(hào)小的流表依次或越級(jí)跳轉(zhuǎn)至編號(hào)大的流表。每個(gè)流表又包含一系列的流表項(xiàng)，每條流表項(xiàng)由匹配域（match field）、計(jì)數(shù)域（counter）和指令（instruction）等字段組成。在流表項(xiàng)中，可以根據(jù)網(wǎng)絡(luò)分組在L2、L3、L4等網(wǎng)絡(luò)報(bào)文頭的任意字段進(jìn)行匹配，如以太網(wǎng)幀的源MAC地址、IP分組的IP地址等。在OpenFlow的未來(lái)計(jì)劃中，還支持對(duì)整個(gè)數(shù)據(jù)分組的任意字段進(jìn)行匹配。當(dāng)數(shù)據(jù)分組進(jìn)入流表后，必須從流表0開(kāi)始向后進(jìn)行匹配。如果數(shù)據(jù)分組與流表i的某條表項(xiàng)匹配成功，則首先更新該表項(xiàng)對(duì)應(yīng)的計(jì)數(shù)器（更新匹配數(shù)或者匹配字節(jié)數(shù)等），然后根據(jù)該表項(xiàng)定義進(jìn)行數(shù)據(jù)分組的處理，包括啟動(dòng)后續(xù)流表的匹配、執(zhí)行數(shù)據(jù)分組的操作等。如果數(shù)據(jù)分組已處于最后一個(gè)流表，并且仍未匹配任何規(guī)則，則執(zhí)行默認(rèn)設(shè)置，如轉(zhuǎn)發(fā)數(shù)據(jù)分組到控制器或丟棄。

圖2 OpenFlow技術(shù)架構(gòu)

OpenFlow管理配置協(xié)議的目的是規(guī)范支持OpenFlow交換機(jī)中的數(shù)據(jù)流配置，保證數(shù)據(jù)流在SDN控制器、OpenFlow交換機(jī)之間的順利傳輸。OpenFlow管理配置（OF-Config）協(xié)議與SDN其他組成部分的關(guān)系如圖 3所示。

圖3 OpenFlow管理配置協(xié)議在SDN架構(gòu)體系中的位置

3 SDN安全的特點(diǎn)

SDN架構(gòu)實(shí)現(xiàn)了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中網(wǎng)絡(luò)管理功能的集中，是對(duì)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的革命性創(chuàng)新。這種創(chuàng)新除了帶來(lái)管理、運(yùn)營(yíng)等方面的靈活性，也使得SDN中的安全問(wèn)題呈現(xiàn)出其特有的特點(diǎn)。

SDN安全問(wèn)題的獨(dú)特性與SDN的管理集中性和開(kāi)放性是密不可分的。

管理集中性使得網(wǎng)絡(luò)配置、網(wǎng)絡(luò)服務(wù)訪問(wèn)控制、網(wǎng)絡(luò)安全服務(wù)部署等都集中于SDN控制器上。攻擊者一旦成功實(shí)施了對(duì)控制器的攻擊，將造成網(wǎng)絡(luò)服務(wù)的大面積癱瘓，影響控制器覆蓋的整個(gè)網(wǎng)絡(luò)范圍。在SDN的這種架構(gòu)下，攻擊者的攻擊對(duì)象愈來(lái)愈集中，極大地降低了攻擊難度。同時(shí)，云計(jì)算的發(fā)展為攻擊者提供了超大規(guī)模計(jì)算能力，對(duì)于原來(lái)只有資金雄厚的大型組織才能實(shí)施的網(wǎng)絡(luò)攻擊任務(wù)，普通用戶在云計(jì)算平臺(tái)的支持下，也可以輕松實(shí)現(xiàn)攻擊。

開(kāi)放性是SDN的另一個(gè)重要特征，是SDN實(shí)現(xiàn)統(tǒng)一管理、配置異構(gòu)網(wǎng)絡(luò)設(shè)備、提供可編程特性的重要原因。但開(kāi)放性也使得SDN面臨著更多的安全威脅。首先，開(kāi)放性使得SDN控制器的安全漏洞、策略的不完備性等充分地暴露在攻擊者面前，給予了攻擊者足夠的信息制定攻擊策略。其次，SDN架構(gòu)通過(guò)SDN控制器給應(yīng)用層提供大量的可編程接口，這個(gè)層面上的開(kāi)放性可能會(huì)帶來(lái)接口的濫用，如引發(fā)DDoS攻擊等，因而需要對(duì)應(yīng)用層制定準(zhǔn)入策略，防止意圖不軌的攻擊者利用開(kāi)放接口實(shí)施對(duì)網(wǎng)絡(luò)控制器的攻擊。最后，開(kāi)放性使得SDN控制器需要謹(jǐn)慎評(píng)估開(kāi)放的接口，以防止攻擊者利用某些接口進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)、網(wǎng)絡(luò)攻擊等。

SDN的網(wǎng)絡(luò)架構(gòu)特性使得SDN呈現(xiàn)出以下3個(gè)特點(diǎn)。

·在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)安全控制集中于OSI體系架構(gòu)的4～7層，在SDN架構(gòu)下，通過(guò)控制器可以實(shí)現(xiàn)2～7層的安全策略配置，提供了更加細(xì)粒度的安全控制。

·SDN的安全威脅將更加集中，而不是傳統(tǒng)的分散在網(wǎng)絡(luò)中各個(gè)相關(guān)的網(wǎng)元部分。

·SDN的安全威脅將更加不可視化。隨著網(wǎng)絡(luò)控制權(quán)從用戶到網(wǎng)絡(luò)控制器的更迭，用戶對(duì)于自己的網(wǎng)絡(luò)狀態(tài)將越來(lái)越不能很好地監(jiān)控。

4 SDN安全現(xiàn)狀

隨著SDN研究的深入和廠商的大量參與，SDN的安全問(wèn)題越來(lái)越受到重視。

2012年11月4日，互聯(lián)網(wǎng)工程任務(wù)組（IETF）的SAAG（Security Area Advisory Group）發(fā)布了SDN架構(gòu)中的安全要求，主要探討SDN控制器和應(yīng)用層之間的安全要求，包括控制器與應(yīng)用層的安全接口、認(rèn)證、授權(quán)，應(yīng)用與內(nèi)嵌應(yīng)用之間安全策略的可見(jiàn)性等安全問(wèn)題[6]，但并未給出SDN中安全威脅的應(yīng)對(duì)方案。

隨著虛擬化技術(shù)的深度應(yīng)用，產(chǎn)業(yè)界內(nèi)已經(jīng)有較為成熟的計(jì)算資源、存儲(chǔ)資源的虛擬化解決方案，而且虛擬化給各組織帶來(lái)的管理靈活性、高效率、低成本等優(yōu)勢(shì)也日漸凸顯，但目前網(wǎng)絡(luò)和安全仍然固化在單一的設(shè)備上，未與計(jì)算等基礎(chǔ)設(shè)施資源的發(fā)展步調(diào)保持一致，因而成為云計(jì)算高速發(fā)展下強(qiáng)有力的制約因素。為此，VMware公司率先推出vCloud，提供了一套功能完整的云計(jì)算基礎(chǔ)設(shè)施解決方案，可用于構(gòu)建和管理能夠滿足IT最重要需求的完整的云計(jì)算基礎(chǔ)架構(gòu)。

其中，vCloud Networking&Security組件（如圖 4所示）是一個(gè)關(guān)鍵的安全組件，從終端、虛擬數(shù)據(jù)中心內(nèi)部、虛擬數(shù)據(jù)中心邊緣保護(hù)虛擬化數(shù)據(jù)中心，防止其受到攻擊和濫用。在終端層面，通過(guò)限制授權(quán)應(yīng)用的網(wǎng)絡(luò)訪問(wèn)、敏感數(shù)據(jù)的授權(quán)訪問(wèn)以及安全管理流程的制定3方面，保證虛擬桌面部署的安全；在虛擬數(shù)據(jù)中心內(nèi)部，通過(guò)加強(qiáng)內(nèi)部虛擬機(jī)間的通信控制，實(shí)現(xiàn)自適應(yīng)的信任區(qū)域保護(hù)和隔離，保證敏感業(yè)務(wù)信息不泄露，以提供安全可靠的網(wǎng)絡(luò)服務(wù)；在虛擬數(shù)據(jù)中心邊緣，通過(guò)集成式的防火墻和網(wǎng)管服務(wù)，隔離數(shù)據(jù)中心外部的安全威脅，提供敏捷、可信賴的數(shù)據(jù)中心服務(wù)。

5 SDN安全的挑戰(zhàn)

盡管SDN架構(gòu)可以解決數(shù)據(jù)中心的網(wǎng)絡(luò)管理、運(yùn)營(yíng)維護(hù)和成本問(wèn)題，但從目前的發(fā)展階段來(lái)看，SDN技術(shù)的應(yīng)用還需要長(zhǎng)時(shí)間的發(fā)展和普及，尤其是SDN中的安全問(wèn)題，將成為制約SDN架構(gòu)商用化和普遍推廣的一個(gè)決定性因素。

從SDN的架構(gòu)來(lái)看，SDN中的安全問(wèn)題主要集中在控制平面和應(yīng)用平面。

（1）控制面的安全

集中化的控制面承載著網(wǎng)絡(luò)環(huán)境中的所有控制流，是網(wǎng)絡(luò)服務(wù)的中樞機(jī)構(gòu)，其安全性直接關(guān)系著網(wǎng)絡(luò)服務(wù)的可用性、可靠性和數(shù)據(jù)安全性，是SDN安全首先要解決的問(wèn)題。在控制面中，面臨的威脅包括以下方面：

·網(wǎng)絡(luò)監(jiān)聽(tīng)，攻擊者從Internet上獲取控制器的網(wǎng)絡(luò)切入點(diǎn)后，對(duì)控制器上的控制信令進(jìn)行偽造和修改，威脅網(wǎng)絡(luò)資源的配置；

圖4 VMware vCloud Networking&Security組件技術(shù)架構(gòu)

·IP地址欺騙，攻擊者通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)，將其偽造的控制信令I(lǐng)P地址篡改為控制器的IP地址，騙取交換機(jī)的信任，對(duì)網(wǎng)絡(luò)進(jìn)行破壞；

·DDoS攻擊，攻擊者向控制器發(fā)送多個(gè)服務(wù)請(qǐng)求，并且所有請(qǐng)求的返回地址都是偽造的，直到控制器因過(guò)載而拒絕提供服務(wù)；

·病毒、蠕蟲(chóng)及木馬攻擊，攻擊者通過(guò)控制器中存在的漏洞，獲取控制器的控制權(quán)，執(zhí)行惡意代碼等。

（2）應(yīng)用面的安全

隨著SDN的推廣和發(fā)展，應(yīng)用層將通過(guò)應(yīng)用提供各種復(fù)雜的網(wǎng)絡(luò)服務(wù)，安全問(wèn)題也將隨之而來(lái)。主要包括以下兩種。

·惡意應(yīng)用：通過(guò)在應(yīng)用層的應(yīng)用中植入蠕蟲(chóng)、間諜程序等，達(dá)到竊取網(wǎng)絡(luò)信息、更改網(wǎng)絡(luò)配置、占用網(wǎng)絡(luò)資源等目的，從而干擾控制面的正常工作進(jìn)程，影響網(wǎng)絡(luò)的可靠性和可用性等。

·應(yīng)用的安全規(guī)則沖突：為了提供各類網(wǎng)絡(luò)服務(wù)，應(yīng)用層需要制定安全規(guī)則，以訪問(wèn)控制器的某些安全接口。隨著應(yīng)用的復(fù)雜化，多個(gè)應(yīng)用之間會(huì)出現(xiàn)安全規(guī)則沖突，從而帶來(lái)網(wǎng)絡(luò)服務(wù)的混亂和增加管理復(fù)雜度。

6 SDN安全技術(shù)框架建議

為了構(gòu)建安全的SDN，需要對(duì)SDN中的設(shè)備、應(yīng)用、安全策略、服務(wù)管理等進(jìn)行有效管理，并針對(duì)SDN中易于受到安全攻擊的控制器進(jìn)行重點(diǎn)監(jiān)控，及時(shí)發(fā)現(xiàn)和排除異常情況。為此，本文從威脅分析、防御規(guī)則、防護(hù)方法3方面對(duì)SDN中的安全問(wèn)題進(jìn)行分析，構(gòu)建了如圖 5所示的安全技術(shù)框架。

數(shù)據(jù)層面的安全性策略控制等都由控制器負(fù)責(zé)配置和管理，并通過(guò)控制器下發(fā)的控制指令執(zhí)行。

在易于受到攻擊的控制器層面，首先，需要制定一系列嚴(yán)密的授權(quán)、訪問(wèn)控制、安全管理等規(guī)則；其次，能夠及時(shí)對(duì)感知到的異常網(wǎng)絡(luò)設(shè)備、異常行為進(jìn)行隔離，避免造成大范圍的破壞；最后，控制器需要具備分析網(wǎng)絡(luò)行為的能力，從日志、流量、當(dāng)前服務(wù)等狀態(tài)分析網(wǎng)絡(luò)行為的特征，對(duì)于異常的網(wǎng)絡(luò)行為需及時(shí)報(bào)警和隔離。

在應(yīng)用層面，首先，制定一系列安全服務(wù)準(zhǔn)入規(guī)則，對(duì)應(yīng)用提供的服務(wù)、需要控制器提供的接口等進(jìn)行鑒定，負(fù)責(zé)規(guī)則的應(yīng)用才允許成為SDN中合法的應(yīng)用；其次，利用可編程的接口，針對(duì)目前存在的安全威脅，利用已有的技術(shù)對(duì)安全威脅進(jìn)行監(jiān)控和排除，加強(qiáng)控制器的安全防護(hù)。

除此之外，安全技術(shù)架構(gòu)還提出了跨越數(shù)據(jù)層、應(yīng)用層、控制層的安全評(píng)價(jià)體系和安全管理。安全評(píng)價(jià)體系制定一系列的安全評(píng)價(jià)標(biāo)準(zhǔn)，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)、應(yīng)用等的安全進(jìn)行評(píng)價(jià)和分級(jí)，將安全級(jí)別低的應(yīng)用或服務(wù)通知給控制器，由控制器執(zhí)行相應(yīng)的處理。安全管理通過(guò)可視化的控制界面，為不同的管理人員提供差異化的安全策略配置和管理。

圖5 SDN安全技術(shù)架構(gòu)建議

7 結(jié)束語(yǔ)

在新的網(wǎng)絡(luò)環(huán)境下，隨著網(wǎng)絡(luò)的可擴(kuò)展性、靈活性、有效性等特性要求的提高，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的局限性凸顯。因而，SDN架構(gòu)從提出到現(xiàn)在，迅速地從實(shí)驗(yàn)室走向了產(chǎn)業(yè)界，引起了科研界和企業(yè)界的極大關(guān)注，相繼出現(xiàn)了一系列的相關(guān)標(biāo)準(zhǔn)和設(shè)備。但SDN方面的安全研究仍處于起步階段。本文首先分析了SDN的產(chǎn)生背景，闡述了其技術(shù)原理和發(fā)展現(xiàn)狀，在此基礎(chǔ)上，對(duì)SDN架構(gòu)中的安全特點(diǎn)、安全威脅進(jìn)行了分析，并提出了SDN安全技術(shù)架構(gòu)建議，以期為SDN安全方面的科研和產(chǎn)業(yè)發(fā)展做出有益的探索。

1 呂博.網(wǎng)絡(luò)虛擬化資源管理架構(gòu)與映射算法研究.北京郵電大學(xué)博士學(xué)位論文,2011

2 林闖，賈子驍，孟坤.自適應(yīng)的未來(lái)網(wǎng)絡(luò)體系架構(gòu).計(jì)算機(jī)學(xué)報(bào),2012,35(6)

3 ONF Market Education Committee.Software-defined networking:the new norm for networks.https://www.opennetworking.org/images/stories/downloads/white-papers/wp-sdn-newnorm.pdf,2012

4 Clean slate.http://cleanslate.stanford.edu/,2012

5 OpenFlow.OpenFlow configuration and management protocol OF-CONFIG 1.0.https://www.opennetworking.org/images/stories/downloads/of-config/of-config1dot0-final.pdf,2012

6 IETF SAAG.Security requirements for software defined networks.http://www.ietf.org/proceedings/85/slides/slides-85-saag-4

Research on SDN Architecture and Security

Wang Shuling1,Li Jihan2,Zhang Yunyong1,Fang Bingyi1
(1.China Unicom Research Institute,Beijing 100048,China;2.Beijing University of Posts and Telecommunications,Beijing 100876,China)

With the rapid development of cloud computing and mobile internet,the features that network exhibits,such as diversity,declare for urgent requirements for scalability,manageability and security of the data center.The SDN architecture shows a promising way of dealing with the above requirements of network through revolutionary innovation of the traditional network architecture,which attracts great interest of companies and research institutes.However,according to the recent research and progress of SDN,security problem has not been addressed,which will be a significant issue.Based on the situation,the basis of SDN,including the origination,architecture,standardization work and standardized protocol,were described,and the security issue was also analyzed.In the security part,the exhibiting new features of security problem for SDN,were analyzed,by listing the undergoing work,and then the security threats in SDN were concluded.Finally,a suggested architecture for security research of SDN was proposed.

software defined network,security,Open Flow

10.3969/j.issn.1000-0801.2013.03.020

* 國(guó)家自然科學(xué)基金資助項(xiàng)目（No.1172134），“新一代寬帶無(wú)線移動(dòng)通信網(wǎng)”國(guó)家科技重大專項(xiàng)基金資助項(xiàng)目（No.2012ZX03002001-002，No.2013ZX03002004-002，No.2013ZX03002003-005）

王淑玲，女，博士，中國(guó)聯(lián)通集團(tuán)研究院工程師，主要研究方向?yàn)樵朴?jì)算、下一代網(wǎng)絡(luò)。

李濟(jì)漢，男，主要研究方向?yàn)槿斯ぶ悄堋C(jī)器學(xué)習(xí)。

張?jiān)朴?，男，博士后，中?guó)聯(lián)通集團(tuán)研究院平臺(tái)與云計(jì)算研究中心主任，教授級(jí)高級(jí)工程師，中國(guó)通信學(xué)會(huì)、電子學(xué)會(huì)、計(jì)算機(jī)學(xué)會(huì)高級(jí)會(huì)員，中國(guó)人工智能學(xué)會(huì)會(huì)員，主要研究方向?yàn)橄乱淮_(kāi)放網(wǎng)絡(luò)、固定移動(dòng)融合核心網(wǎng)、移動(dòng)互聯(lián)網(wǎng)及業(yè)務(wù)、公共運(yùn)算。

房秉毅，男，博士，中國(guó)聯(lián)通集團(tuán)研究院高級(jí)工程師，主要研究方向?yàn)樵朴?jì)算、核心網(wǎng)新技術(shù)。

2013-02-25）