賈創(chuàng)輝，胡思才，胡容

（1.四川大學(xué)計(jì)算機(jī)學(xué)院，成都 610065；2.78123 部隊(duì)，成都 610031）

0 引言

隨著大數(shù)據(jù)、云計(jì)算等新興互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，傳統(tǒng)網(wǎng)絡(luò)在網(wǎng)絡(luò)安全性、靈活性和可擴(kuò)展性方面等方面的瓶頸越來越突出。軟件定義網(wǎng)絡(luò)（SDN）作為一種新的網(wǎng)絡(luò)體系結(jié)構(gòu)，實(shí)現(xiàn)了控制層面和數(shù)據(jù)層面的解耦，其通過提供給應(yīng)用層和轉(zhuǎn)發(fā)層的接口構(gòu)建了開放的、可編程的網(wǎng)絡(luò)環(huán)境，通過控制層的集中路由策略制定、分配，實(shí)現(xiàn)了網(wǎng)絡(luò)的集中管理[1]。傳統(tǒng)網(wǎng)絡(luò)缺乏統(tǒng)一管理、可擴(kuò)展性差、靈活度低、數(shù)據(jù)升級(jí)速度慢等缺點(diǎn)在軟件定義網(wǎng)絡(luò)架構(gòu)中得到了很好的解決。軟件定義網(wǎng)絡(luò)作為一個(gè)新興事物，其特有的集中控制和開放性為研究網(wǎng)絡(luò)安全提供了新的思路，同時(shí)也帶來了新的安全挑戰(zhàn)。

1 軟件定義網(wǎng)絡(luò)的安全形勢(shì)

按照軟件定義網(wǎng)絡(luò)的邏輯體系構(gòu)成，其技術(shù)特點(diǎn)可以概括為以下三個(gè)方面：①集中控制。軟件定義網(wǎng)絡(luò)將控制平面從傳統(tǒng)交換機(jī)中提取出來，通過SDN 控制器對(duì)全網(wǎng)設(shè)備進(jìn)行集中管控，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)的全局控制。②可編程性。SDN 的可編程性主要體現(xiàn)在控制層在北向通道為開發(fā)者提供了一套強(qiáng)大的編程接口。開發(fā)者可以通過編程接口實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)配置、路由策略、安全策略等的個(gè)性化定制，提高了網(wǎng)絡(luò)的靈活性。③控制和轉(zhuǎn)發(fā)分離。數(shù)控分離是SDN 的核心思想之一，SDN 架構(gòu)中將網(wǎng)絡(luò)設(shè)備分割為數(shù)據(jù)和控制兩個(gè)平面，兩個(gè)部分通過開放的接口協(xié)議互相連接，其中轉(zhuǎn)發(fā)平面由受控轉(zhuǎn)發(fā)的設(shè)備組成，轉(zhuǎn)發(fā)方式以及業(yè)務(wù)邏輯由控制平面負(fù)責(zé)[2]。

SDN 體系結(jié)構(gòu)有利于構(gòu)建相對(duì)安全的網(wǎng)絡(luò)環(huán)境，中心化的控制器能夠及時(shí)地掌握網(wǎng)絡(luò)狀態(tài)的全局信息，利用安全監(jiān)控、流量分析等應(yīng)用模塊能夠較好地進(jìn)行安全評(píng)估，并根據(jù)實(shí)際情況制定相應(yīng)的安全策略，通過南向接口下發(fā)部署安全策略。同時(shí)，邏輯中心化的控制器顛覆了傳統(tǒng)網(wǎng)絡(luò)的管理和部署方式，也會(huì)帶來相應(yīng)的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)。一方面，SDN 的集中控制方式促使控制器成為網(wǎng)絡(luò)安全的焦點(diǎn)，集中控制所帶來的安全風(fēng)險(xiǎn)將帶給整個(gè)網(wǎng)絡(luò)以致命的影響。目前，控制層與應(yīng)用層、控制層與轉(zhuǎn)發(fā)層之間仍然缺乏完整有效的安全解決方案，可編程性所帶來的新的安全風(fēng)險(xiǎn)將使網(wǎng)絡(luò)安全更加復(fù)雜化。另一方面，集中控制以及轉(zhuǎn)控分離又在使得網(wǎng)絡(luò)在流轉(zhuǎn)發(fā)、策略執(zhí)行、風(fēng)險(xiǎn)監(jiān)測(cè)等安全領(lǐng)域有著天然的優(yōu)勢(shì)?？梢哉fSDN 在網(wǎng)絡(luò)安全方面既有其獨(dú)特的挑戰(zhàn)，又充滿著機(jī)遇。

2 軟件定義網(wǎng)絡(luò)面臨的主要安全威脅及特點(diǎn)

與傳統(tǒng)網(wǎng)絡(luò)相比，軟件定義網(wǎng)絡(luò)的主要安全問題處理差異體現(xiàn)在兩個(gè)方面：一是數(shù)據(jù)流的控制方式有差異。軟件定義網(wǎng)絡(luò)中，數(shù)據(jù)流的流向是由控制層所制定的規(guī)則決定的，數(shù)據(jù)流通過特定安全設(shè)備的方式具有較大的靈活性，而傳統(tǒng)網(wǎng)絡(luò)中，數(shù)據(jù)流通過特定安全設(shè)備的方式使確定的。二是獲取網(wǎng)絡(luò)安全狀況信息的方式有差異。在SDN 中，控制器可以實(shí)時(shí)獲取網(wǎng)絡(luò)的全局信息，可以及時(shí)、準(zhǔn)確地分析整個(gè)網(wǎng)絡(luò)的動(dòng)態(tài)情況。而在傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)全局信息的獲取要復(fù)雜和困難許多，網(wǎng)管單元要逐層接受網(wǎng)絡(luò)設(shè)備的狀態(tài)信息，進(jìn)行綜合分析和評(píng)估后展示出來。

軟件定義網(wǎng)絡(luò)的安全形勢(shì)主要體現(xiàn)在：

一方面，SDN 技術(shù)具有其先天優(yōu)勢(shì)，其集中控制、全局視圖、多維度控制等優(yōu)點(diǎn)是傳統(tǒng)網(wǎng)絡(luò)所無法比擬的，這使得網(wǎng)絡(luò)的運(yùn)營(yíng)方、管理方可以更加方便、準(zhǔn)確的對(duì)網(wǎng)絡(luò)進(jìn)行維護(hù)和運(yùn)行，給傳統(tǒng)網(wǎng)絡(luò)安全問題的改善帶來了新的機(jī)遇，SDN 還提供了應(yīng)對(duì)安全漏洞的新的機(jī)會(huì)，其通過對(duì)數(shù)據(jù)流的集中審查，可以更方便地識(shí)別安全敏感的信息流，并對(duì)這些信息流采用差別化傳輸、隔離惡意業(yè)務(wù)流等方式，應(yīng)對(duì)網(wǎng)絡(luò)安全問題，為SDN 提供更加安全的網(wǎng)絡(luò)環(huán)境。

另一方面，SDN 技術(shù)因其架構(gòu)特點(diǎn)也面臨著諸多新的安全挑戰(zhàn)，SDN 架構(gòu)容易獲取網(wǎng)絡(luò)全局信息，這也使得攻擊者可以通過控制器獲取整個(gè)網(wǎng)絡(luò)的安全狀態(tài)信息，進(jìn)行有效的網(wǎng)絡(luò)攻擊。隨著SDN 技術(shù)的不斷發(fā)展，依照其設(shè)計(jì)模式，SDN 在網(wǎng)絡(luò)信息保護(hù)、應(yīng)用程序管理、模塊處理流程等方面暴露了諸多安全問題。首當(dāng)其沖的便是控制器安全，控制器作為SDN 核心，一旦失效整個(gè)網(wǎng)絡(luò)崩潰，邏輯集中的控制器容易造成單點(diǎn)故障，很容易就成為惡意攻擊的目標(biāo)。SDN 架構(gòu)也可能造成安全漏洞的成倍放大，隱私侵犯頻發(fā)或者其他網(wǎng)絡(luò)安全事件。

同時(shí)，如惡意數(shù)據(jù)流、交換機(jī)流表篡改、應(yīng)用軟件漏洞、數(shù)據(jù)管理機(jī)密性與可用性威脅等傳統(tǒng)網(wǎng)絡(luò)中常見的攻擊在SDN 中依然可能發(fā)生。

本文根據(jù)SDN 的邏輯架構(gòu)，從SDN 控制層、應(yīng)用層、接口、轉(zhuǎn)發(fā)層等4 個(gè)方面對(duì)SDN 這種新型的網(wǎng)絡(luò)體系架構(gòu)所面臨的安全風(fēng)險(xiǎn)及安全問題特點(diǎn)進(jìn)行分析，SDN 各邏輯層所面臨的安全風(fēng)險(xiǎn)和所關(guān)注的安全問題各有側(cè)重，有些安全問題是SDN 架構(gòu)特有的安全問題，也有些安全問題是傳統(tǒng)網(wǎng)絡(luò)安全問題的延伸。

2.1 控制層安全

控制層是SDN 的核心部分，也是目前安全防護(hù)的薄弱環(huán)節(jié)?？刂茖邮且幌盗芯W(wǎng)絡(luò)實(shí)體組成，這些網(wǎng)絡(luò)實(shí)體一般包含虛擬機(jī)、操作系統(tǒng)、SDN 控制器等。SDN控制層可以生成網(wǎng)絡(luò)的路由信息，并更新處理網(wǎng)絡(luò)狀態(tài)的變化事件[3]。SDN 控制器可以實(shí)時(shí)訪問和獲取網(wǎng)絡(luò)的全局信息，但是其在設(shè)計(jì)初期并沒有針對(duì)安全問題進(jìn)行優(yōu)先處理方案，目前，SDN 中只有針對(duì)特定安全威脅的安全方案，缺乏完整的控制器安全保護(hù)策略。

SDN 控制器集中負(fù)責(zé)著整個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)配置、控制策略、路由策略等網(wǎng)絡(luò)核心信息，這就使得SDN 控制器相較于傳統(tǒng)網(wǎng)絡(luò)核心設(shè)備具有著更大的風(fēng)險(xiǎn)隱患，網(wǎng)絡(luò)攻擊造成的損失將被成倍的放大，控制器癱瘓或者被控制也將影響整個(gè)網(wǎng)絡(luò)?？刂茖拥陌踩L(fēng)險(xiǎn)主要有以下特征：首先，集中式的控制模式使得控制器天然的成為攻擊者攻擊的高價(jià)值目標(biāo)，攻擊者對(duì)控制器的攻擊很容易造成較大的網(wǎng)絡(luò)安全事件。其次，控制層任務(wù)的復(fù)雜性使其很容易陷入非法訪問、身份認(rèn)證、惡意流規(guī)則注入等安全風(fēng)險(xiǎn)，很容易遭受資源耗盡攻擊。同時(shí)控制器自身配置缺陷等安全風(fēng)險(xiǎn)也是控制層安全的重要組成部分。最后，按照部署方式，控制器常常部署在通用計(jì)算機(jī)或服務(wù)器上，這就使得控制器還面臨著與傳統(tǒng)服務(wù)器相同的安全風(fēng)險(xiǎn)，例如數(shù)據(jù)溢出攻擊等。

2.2 接口安全

SDN 的接口安全包含負(fù)責(zé)控制層與轉(zhuǎn)發(fā)層協(xié)議通信的南向接口安全和負(fù)責(zé)控制層與應(yīng)用層通信的北向接口安全，南向接口協(xié)議以O(shè)penFlow 協(xié)議為主，北向接口是SDN 開放性的具體體現(xiàn)，用戶可以通過應(yīng)用層提供的接口，設(shè)計(jì)和控制SDN 控制器，開發(fā)相應(yīng)的SDN 服務(wù)，部署相關(guān)應(yīng)用。

當(dāng)前，南向接口安全威脅集中體現(xiàn)在OpenFlow 協(xié)議中，在南向通道中，OpenFlow 協(xié)議所采用的SSL/TSL對(duì)傳輸數(shù)據(jù)進(jìn)行加密的方式，其安全性并不高，1.3.0 以后版本將SL/TSL 加密設(shè)置為可選擇項(xiàng)更加劇了南向通道的安全風(fēng)險(xiǎn)，南向通道安全難以得到有效保證。與此同時(shí)，OpenFlow 協(xié)議本身的安全漏洞也是南向接口安全風(fēng)險(xiǎn)的重要組成部分。綜上，南向接口安全風(fēng)險(xiǎn)包括竊聽、控制器假冒等[4]。

目前，北向接口還是各大廠商獨(dú)自作戰(zhàn)，缺乏統(tǒng)一的行業(yè)標(biāo)準(zhǔn)。而隨著SDN 技術(shù)的逐步發(fā)展，北向接口的標(biāo)準(zhǔn)化也開始成為熱點(diǎn)。相較于南向接口，控制層與應(yīng)用層之間建立的北向接口安全性更加的脆弱。網(wǎng)絡(luò)攻擊者可以利用北向通道開放的接口對(duì)控制器進(jìn)行攻擊，對(duì)控制器的信息進(jìn)行非法訪問，對(duì)于攻擊者來說，北向接口的攻擊閾值更低。北向接口面臨著像數(shù)據(jù)泄露、非法訪問、身份認(rèn)證等安全風(fēng)險(xiǎn)。

2.3 應(yīng)用層安全

SDN 架構(gòu)在北向通道通過控制層向應(yīng)用層提供了豐富的編程接口，開發(fā)者可以利用提供的API 開發(fā)相關(guān)的應(yīng)用服務(wù)，放置在SDN 中運(yùn)行。

目前，應(yīng)用審計(jì)認(rèn)證并不完善，SDN 缺乏有效的應(yīng)用授權(quán)機(jī)制和惡意代碼檢測(cè)機(jī)制，很容易導(dǎo)致惡意程序泛濫。同時(shí)，各應(yīng)用程序之間可能存在的策略沖突也是SDN 應(yīng)用層安全需要解決的問題，應(yīng)用策略沖突檢測(cè)機(jī)制的缺失可能導(dǎo)致應(yīng)用之間發(fā)送的流量策略會(huì)相互影響，造成網(wǎng)絡(luò)的不穩(wěn)定，對(duì)網(wǎng)絡(luò)安全帶來影響。

2.4 轉(zhuǎn)發(fā)層安全

轉(zhuǎn)發(fā)層主要是由負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的路由器及其連接線路組成，控制層通過南向通道協(xié)議將數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則下發(fā)給轉(zhuǎn)發(fā)層，轉(zhuǎn)發(fā)層負(fù)責(zé)高效率的執(zhí)行數(shù)據(jù)轉(zhuǎn)發(fā)任務(wù)。其主要威脅包括：DDoS/DoS 攻擊、惡意/虛假流規(guī)則注入、虛假控制等。

同時(shí)在轉(zhuǎn)發(fā)層，網(wǎng)絡(luò)的狀態(tài)是隨著變化著的，控制層負(fù)責(zé)提供了網(wǎng)絡(luò)的狀態(tài)和配置信息，網(wǎng)絡(luò)攻擊者可以通過制造惡意流規(guī)則，改變數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑，便可以輕松繞開網(wǎng)絡(luò)安全設(shè)備的監(jiān)控，從而將威脅擴(kuò)展到全網(wǎng)。

3 結(jié)語(yǔ)

SDN 網(wǎng)絡(luò)極大程度的降低了網(wǎng)絡(luò)管理的復(fù)雜度，增強(qiáng)了用戶的體驗(yàn)，可以進(jìn)一步促進(jìn)網(wǎng)絡(luò)服務(wù)的更新和精細(xì)化的網(wǎng)絡(luò)控制，其在數(shù)據(jù)中心網(wǎng)絡(luò)中正在迅猛發(fā)展。隨著SDN 技術(shù)逐漸成熟，SDN 架構(gòu)優(yōu)勢(shì)更加凸顯，軟件定義網(wǎng)絡(luò)可以更加全面的控制網(wǎng)絡(luò)流量，這使得在流量安全防護(hù)方面將有更加有效的解決方案。軟件定義網(wǎng)絡(luò)也能幫助改善源IP 地址驗(yàn)證，提高網(wǎng)絡(luò)的溯源能力。同時(shí)，SDN 自身所帶來的安全性問題，隨著其不斷的部署開發(fā)和廣泛應(yīng)用，已經(jīng)變得越來越緊迫。SDN 在安全領(lǐng)域可以說是機(jī)遇與風(fēng)險(xiǎn)并存，只有真正解決安全問題，SDN 技術(shù)才能夠真正“落地”，成為未來主流網(wǎng)絡(luò)技術(shù)。