SDN網(wǎng)絡(luò)技術(shù)的安全架構(gòu)分析

劉婉

成都石室中學(xué)北湖校區(qū)

SDN網(wǎng)絡(luò)技術(shù)的安全架構(gòu)分析

劉婉

成都石室中學(xué)北湖校區(qū)

在云計算時代到來之后，各類新型數(shù)據(jù)中心誕生，將SDN網(wǎng)絡(luò)技術(shù)應(yīng)用在其中可以有效提升數(shù)據(jù)的安全性，使數(shù)據(jù)之間的交換變得更加便捷、迅速。本文主要針對SDN網(wǎng)絡(luò)技術(shù)的安全架構(gòu)進行分析。

SDN網(wǎng)絡(luò)技術(shù) 安全架構(gòu) 分析

隨著計算機網(wǎng)絡(luò)的發(fā)展和云技術(shù)的逐漸成熟，SDN網(wǎng)絡(luò)技術(shù)迅速發(fā)展起來。SDN是當(dāng)前網(wǎng)絡(luò)領(lǐng)域的的熱點，是業(yè)界公認的未來網(wǎng)絡(luò)的發(fā)展方向，具有巨大的發(fā)展?jié)摿?。SDN能夠在短時間內(nèi)迅速崛起的原因就是數(shù)據(jù)中心，精確地說它的驅(qū)動力來自于數(shù)據(jù)中心的網(wǎng)絡(luò)虛擬化。這也是它與其他網(wǎng)絡(luò)的本質(zhì)區(qū)別。SDN技術(shù)是一種能夠有效將網(wǎng)絡(luò)控制層面和數(shù)據(jù)轉(zhuǎn)發(fā)層面分離開來的技術(shù)，它的存在使網(wǎng)絡(luò)具有了編輯的特性。未來的網(wǎng)絡(luò)將會跟計算機一樣，只要為它提供一個平臺，它就能夠在這個平臺上對網(wǎng)絡(luò)進行可編程設(shè)計。但是目前很多人對SDN這一技術(shù)并不太熟悉，它的安全問題也是人們比較擔(dān)心的問題。

1 SDN網(wǎng)絡(luò)技術(shù)概述

1.1 SDN/OpenFlow技術(shù)的提出背景

SDN/OpenFlow技術(shù)是在2006年，在美國斯坦福大學(xué)的Nick McKeown 教授的帶領(lǐng)之下，啟動了Clean Slate 項目。這個項目的最終目的是為了能夠創(chuàng)建出一個新穎的互聯(lián)網(wǎng)，使之能夠突破現(xiàn)有網(wǎng)絡(luò)的限制，可以接納新的技術(shù)，能夠提供更加優(yōu)質(zhì)的服務(wù)。同年，Martin Casado 博士帶領(lǐng)幾位科研人員又提出了Ethane架構(gòu)。這種構(gòu)架是通過一個通過CPU向基于流的以太網(wǎng)交換機下發(fā)策略，以達到對流的準入和路由統(tǒng)一管理的目的。Ethane架構(gòu)就成為SDN/OpenFlo技術(shù)的發(fā)展源頭。在2007年，Nick McKeown 教授和Scott Shenker教授、Martin Casado博士一起 ，創(chuàng)建出了網(wǎng)絡(luò)擬化的公司Nicira，最先提出了SDN的概念。2008年Nick McKeown 教授在報紙上發(fā)表了《OpenFlow:Enabling Innovation in Campus Networks》一文，提出了讓研究者在網(wǎng)絡(luò)上進行新方法的實驗——Open Flow 。從此以后SDN/Open Flow技術(shù)迅速發(fā)展起來。

1.2 SDN網(wǎng)絡(luò)的特點

SDN網(wǎng)絡(luò)有著靈活性、開放性以及可編程性的特點，這一技術(shù)將傳統(tǒng)網(wǎng)絡(luò)抽象邏輯控制模塊分離開來，將其遷移到集中控制器中，這樣，底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施即可被上層網(wǎng)絡(luò)服務(wù)與應(yīng)用，整個網(wǎng)絡(luò)就成為一個系統(tǒng)的網(wǎng)絡(luò)實體，利用這一網(wǎng)絡(luò)實體，可以對系統(tǒng)進行靈活高效的管理。SDN網(wǎng)絡(luò)架構(gòu)主要由應(yīng)用層、數(shù)據(jù)轉(zhuǎn)發(fā)層與控制層組成，其核心位于控制層中，這也是整個網(wǎng)絡(luò)的大腦。

2 SDN/OpenFlow技術(shù)的發(fā)展趨勢

SDN的網(wǎng)絡(luò)模式適應(yīng)了時代對網(wǎng)絡(luò)提出的要求，實現(xiàn)了有效降低網(wǎng)絡(luò)復(fù)雜程度的目的，也滿足了網(wǎng)絡(luò)的虛擬化和云計算功能。同時也讓傳統(tǒng)的網(wǎng)絡(luò)設(shè)備參與到新型網(wǎng)絡(luò)結(jié)構(gòu)中來。使得控制平面、轉(zhuǎn)發(fā)平面和應(yīng)用平面分離開來，各自實現(xiàn)自己的功能，方便了網(wǎng)絡(luò)的統(tǒng)一管理和高效地維護。

隨著Open Flow規(guī)范的不斷更新，越來越多的支持這一技術(shù)的配套硬件也廣泛應(yīng)用起來。在控制層面，還沒有研發(fā)出成熟的商用控制產(chǎn)品，它主要是以開源控制器為主；在應(yīng)用平面，在控制器的應(yīng)用方面的網(wǎng)絡(luò)較少，大多數(shù)為學(xué)術(shù)研究原型，如網(wǎng)絡(luò)發(fā)現(xiàn)、網(wǎng)絡(luò)認證、路由計算等。因此功能完善的控制器是人們研究的目標之一。

從技術(shù)角度來看，人們在已經(jīng)逐步使用SDN的網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，注意簡化問題的解決方法，涉及的問題主要有：

1）轉(zhuǎn)發(fā)模型簡化：控制平面需要有一個簡單靈活的轉(zhuǎn)發(fā)模型，并且由控制程序定制出相關(guān)的策略；轉(zhuǎn)發(fā)的模型簡化獨立于轉(zhuǎn)發(fā)硬件，這是擺脫對廠商依賴度的關(guān)鍵技術(shù)；支持MPLS、OpenFlow等標準。

2）全局視圖呈現(xiàn)：網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓撲結(jié)構(gòu)狀態(tài)間的映射；對它的分布式狀態(tài)進行簡化，它們的管理都歸后臺的數(shù)據(jù)庫統(tǒng)一維護、保持一致；全局拓撲結(jié)構(gòu)的動態(tài)監(jiān)測、及時更新、及時推送。

3）網(wǎng)絡(luò)操作系統(tǒng)簡化：有效對網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備的通信接口進行簡化，從專發(fā)設(shè)備收集狀態(tài)信息，根據(jù)信息進行綜合分析，并向?qū)０l(fā)設(shè)備下達控制指令；簡化與上一層的服務(wù)通信接口，做到透明傳輸，為網(wǎng)絡(luò)應(yīng)用提供底層抽象資源；創(chuàng)建全局網(wǎng)絡(luò)拓撲視圖，在控制器上做出分布式呈現(xiàn)。

3 網(wǎng)絡(luò)安全發(fā)展新方向

傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)不適合SDN架構(gòu)的新網(wǎng)絡(luò)結(jié)構(gòu)了，那么如何對SDN架構(gòu)的網(wǎng)絡(luò)進行有效地安全防護成為一個重要的研究方向。由于SDN技術(shù)處于規(guī)劃和探索階段，所以與它相關(guān)的安全技術(shù)研究也處于剛起步階段。

在SDN三層體系中，安全性主要體系在控制平面和應(yīng)用平面兩個層次上，主要包含兩類方向和三類應(yīng)用。兩類方向是：1）為了確保安全策略的一致性和網(wǎng)絡(luò)的可用性，主要是通過加強安全策略和沖突檢測的手段，確保數(shù)據(jù)在控制平面穩(wěn)定運行；2）通過在應(yīng)用平面開發(fā)、部署新的安全應(yīng)用，實現(xiàn)網(wǎng)絡(luò)安全防護功能。三類應(yīng)用及其安全方向是：1）網(wǎng)絡(luò)管理應(yīng)用，可以實現(xiàn)網(wǎng)絡(luò)可視化、網(wǎng)絡(luò)優(yōu)化、拓撲呈現(xiàn)等功能；2）安全服務(wù)應(yīng)用主要包含流量清洗、攻擊過濾、病毒過濾等。3）安全管理應(yīng)用可以實現(xiàn)測量管理和流量分析功能。

4 結(jié)束語

總之，SDN/OpenFlow技術(shù)的提出極大地推動了網(wǎng)絡(luò)的發(fā)展，也受到學(xué)術(shù)界的廣泛關(guān)注。本文主要分析了它的起源與技術(shù)和將來的安全發(fā)展方向問題，為我們科學(xué)合理使用SDN技術(shù)提供了理論基礎(chǔ)。

[1]左青云,陳鳴,趙廣松,邢長友,張國敏,蔣培成. 基于OpenFlow的SDN技術(shù)研究[J]. 軟件學(xué)報. 2013(05)

[2]鄒珺,羅鋒華,羅國友.基于域控系統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)的應(yīng)用和研究[J]. 黑龍江科技信息. 2010(28)

[3]吳剛.五行理論與網(wǎng)絡(luò)安全架構(gòu)的整合[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2010(04)

[4]余濤,畢軍,吳建平.未來互聯(lián)網(wǎng)虛擬化研究[J].計算機研究與發(fā)展.2015(09)