SDN网络安全性研究

信息通信

INFORMATION & COMMUNICATIONS 2017

(Sum. No 172)

SDN网络安全性研究

刘小春

(广东省电信规划设计院有限公司，广东广州510630)

摘要：随着互联网业务的飞速发展，为了适应网络数据精确、快速调配，网络数据控制与转发压力剧增。文章通过分析

SDN新技术的架构、标准化、安全风险及其解决方案，为后续SDN大规模商用提供必要的网络安全性研究。关键词:OpenFlow; SDN;安全性中图分类号:TP393 文献标识码:A

文章编号：1673-1131(2017)04-0096-02

控制机构成。应用层为多种软件。

基础设计提供OpenFlow接口，控制器通过OpenFlow接口与下层设施联通，并且为上层应用层提供开放接口 API。上 层应用层通过API接口与控制层联通。这样以来上层的应用 层软件可以直接根据控制层提供的算法，在基础层中实施网 络流量调配、网络情况监控、网络故障定位等功能。

〇引言

随着网络技术的持续进步，网络用户的数据调用需求已 经日趋大量化及实时化。为了适应网络调配需求，路由器等 网络基础设施面临的数据控制与转发压力日趋增加。同时云

技术的到来为未来网络的开放及灵活性提出了新的挑战。原 有的网络结构与未来的网络需求之间的矛盾已经日益明显， 是否能有一种新的能适应于未来网络需求的网络结构已经成 为各大研究机构的重要研究方向。

2 SDN标准发展

SDN已经得到了业界的广泛关注和认可，将会成为未来

网络演进过程中的重要代表;同时,SDN作为一种新的网络技

术和架构，推动其技术标准化则显得尤为重要。

2009年,OpenFlow发布了 OpenFlow 1. 0版本规范，该规 范具有重大意义，不仅提出了一个新技术的标准，更加确认了 该新技术可用于商业化产品。随后，在 2011 年,Google、Facebook、NTT、Verizon、德国电 信、微软、雅虎等七家互联网企业共同成立了 ONFCOpen Net­

1 SDN架构简介

面对新型网络结构的需求，2007年Stanford的学生Casado

M和他的导师McKeownN教授提出了 OpenFlow的概念。在

2008 年,McKeown N 等人在 ACM SIGCOMM 发表关于 Open- plow 的论文。在论文中非常详细的介绍了 OpenFlow 的概念，

即将网络控制在设备平面上分离出来，通过集中控制器以标 准化的开放接口盘活各种网络设备，使得网络结构更加扁平 化，数据调配更加可视化。并且，由于OpenFlow具有可编程 性，这就使得SDN的概念应运而出。

SDN模型共分为三层，其中基础设施层为具有OpenFlow 功能的SDN交换机构成。控制层为网络操作系统和OpenFlow

[4] Cimatti A, Roved M, Traverso P. Strong planning in nonde-

work Foundation, S 卩开放式网络基金会 ) 致力于创新和发展新

型网络架构，即软件定义网络(SDN)。目前，共有96家国内外 公司加入到ONF的商业化推广和使用SDN技术的推广中， 其中中国移动美国研究中心、FT、韩国电信、Verizon、NTT、

terministic domains via model checking[C]//Proceedings of

the 4th International Conference on AI Planning Systems.

1998:36-43.

[5] Cimatti A, Roveri M. Conformant planning via symbolic

[11] 唐杰,文中华，汪泉，等.不确定可逆规划的强循环规划解

[J]•计算机研究与发展,2013,50(9):1970-1980[12] Huang Wei, Wen Zhonghua, Jiang Yunfei, et al. Observation

model checking [J], Journal of Artificial Intelligence Re­

search, 2000,13(3): 305-338.[6] Cimatti A, Pistore M, Roveri M, Traverso P. Weak, strong,

and strong cyclic planning via symbolic model checking [J], Artificial Intelligence, 2003,147(1-2): 35-84[7] Kuter U, Nau D, Reisner, et al. Using Classical Planners to

Solve Nondeterministic Planning Problems [C] // Proc of the 18th Int Conf on Automated Planning and Scheduling (ICAPS' 08) , Menlo Park, CA: AAAI press, 2008[8] Wen Zhonghua, Huang Wei, Liu Renren. Method of hierar­

chical states in planning based on model checking[J]. Jour­nal of Software, 2009,20(4):858-869.

reduction for strong plans[C]//Proceedings of the 20th Inter­

national Joint Conference on Artificial Intelligence (IJCAI-07). 2007:1930-1935.[13] Huang Wei, Wen Zhonghua, Jiang Yunfei, et al. Structured

Plans and Observation Reduction for Plans with Contexts [C]// Proceedings of the 21th International Joint Conference on Artificial Intelligence (IJCAI-09).2009:1721-1727.[14] 谢希仁.计算机网络[M].第五版.北京.电子工业出版社,

2007:147-152.

基金项目：本课题得到国家自然科学基金（61272295, 61105039,61202398)、湘潭大学智能计算与信息处理教育部重 点实验室、湖南省重点学科建设项目（0812)资助。

作者简介:戴良伟(19-),男,硕士生，主要研究方向为智能规

博士，教授，博士生导师,主要研究方向 [9] 劳佳琪，文中华,伍小辉，等.信息传递法求不确定系统中的 划;文中华(1966-),男，

状态可达关系[J].计算机科学,2014,41(10):266-269.为智能规划、图论及算法;劳佳琪(1990-)，男，硕士生，主要研 [10] Bertoli P, Cimatti A, Roveri M, et al. Strong planning under

究方向为智能规划;曾赛文(1991-),男，硕士生,主要研究方向 为智能规划。

partial observability [J]. Artificial Intelligence, 2006, 170

(4): 337-384

96

信息通信

SK,主流设备厂家也都是成员单位。国内企业包括:华为、中

兴、腾讯、盛科等。

国内“SDN与开放网络高峰会议”已经连续举办三届，已 成为全球SDN旗帜性峰会之一。该会议以“未来网络的演进 之路”为主题，获得了国际组织ONF (开放网络基金会)的大力 支持，国内三大运营商、各类设备厂家等参加了该峰会，共同 探讨SDN、开放网络等相关热点。

3 SDN安全性讨论

3.1 SDN技术在网络安全方面的优越性 3.1.1接入控制及网络监督

SDN技术除了进行商业化部署之外，还可以应用于局域

网之中，例如校园网、内部网等。

局域网的快速发展在于它可以通过将网络划分为虚拟网 络VLAN网段，可以强化网络管理和网络安全,控制不必要的 数据广播。在共享网络中,一个物理的网段就是一个广播域。 而在交换网络中，广播域可以是有一组任意选定的第二层网 络地址（MAC地址）组成的虚拟网段。但是针对个体是否有 权接入局域网，现有的局域网的基本做法都是基于IEEE 802. 1Q协议。该方法配置比较复杂，要求也很高，需要进行复杂的 接入控制。

SDN技术为局域网的接入提供了便捷有效的检测方案，

Yamasaki等人提出了在OpenFlow控制器中增加接入管理功

能模块，新进入网络的数据包先进入控制器，在控制器内部打 上标签，当该标签与目的地址的标签相符合，则能实现局域网 的有效连接，否则数据包将会被拒绝。3.1.2流量控制

SDN技术通过应用层软件自动选择流量路径，相比于人

工部署，自动选择流量路径的方式可以最大限度的合理占用 网络资源。这种全局性的调配不仅节省人力，更加提高了调 配效率并且也不会出现路径拥塞、路径错误等情况。对于需要内外分离、保护内部网络的应用，SDN技术也提 供了良好的支持性。利用SDN技术可以将网络中所有需要 穿越边界的流量定向输送至防火墙，防火墙可以根据网络拓 扑部署在适当的位置，从而解决边界模糊的问题。而且还可 以利用网络的自动选择流量路径的功能，将需要检测的流量 分散至各个防火墙进行分担处理。利用SDN技术流量控制功能，不仅能够控制流量调配及 人为配置错误等，还可以直接强制非法数据流流回本国，防止 本国的流量出现非法越界。3.1.3攻击检测及网络溯源

现网的网络攻击的典型攻击方式为分布式拒绝服务攻击 (distributed denial-of-service, DDoS),该手段通过强制占用网 络带宽，从而使网络无法响应其他正常服务请求。而由于无 法快速有效的辨认网络中的带宽占用是否均为有效服务请求, 传统识别该攻击的办法将会造成很大开销。

SDN技术得益于它的可编程性，可以先通过OpenFlow交 换机学习部分有威胁的数据包，将结果转发至流量识别器，待 鉴定匹配完成之后，由控制器快速分辨出底层异常的大量聚 集流量，从而有效的避免被攻击。3.2 SDN技术在网络安全方面的风险性

SDN技术将会带来网络架构的巨大改变。相应的，我们

应该明确，在灵活性下必然隐藏了风险性。由于SDN技术控

__________________________刘小春:SDN网络安全性研究

制层非常集中、应用层许可编程,这为我们的网络带来了一些 新的安全威胁。如若解决不了这些威胁，SDN的真正大规模 使用将会受到很大的制约。3.2.1第三方接口攻击

由于SDN技术的可编程性，用户可以直接在SDN部署 自己的定制应用。这对攻击者来说非常方便，不但可以直接 攻击API接口，还可以通过恶意应用破坏此类API接口。加 之，目前API接口并没有一个明确的标准法规范，不但了 应用的扩展性，并且也给攻击者提供了攻击契机。

目前,需要从标准化API接口开始，全面的考虑API接口 的安全隐患，改善其安全性。3.2.2控制器攻击

与传统的DDos攻击类似,SDN控制器也面临着拒绝服 务攻击，即系先攻陷网络中的部分主机，从这部分主机中发 送大量的无效信息，大量的信息瞬间涌入控制器，使得控制 器失去正常的转发功能，同时造成路径拥堵，常规的流量规 则也无法下发，导致交换机也无法正常工作，整个网络陷入 瘫痪状态。

另外,非法控制控制器也是SDN控制器急需预防的重大 隐患。一旦恶意操控者非法连接控制器，则可以通过控制器 随意更改网络配置，造成全息紊乱，全网的所有文件将可 以直接被访间，信息保密性将不复存在。

目前为止，解决控制器攻击的办法有设置网络权限、拒绝 处理大量频繁事件等。

3.2_3控制器与数据转发层信息窃取攻击

控制器与数据转发层之间需要密切交互，然而OpenFlow 安全通道采用SSL/TLS对数据进行加密，但这套加密协议因 为与上层协议的交互性较差，本身存在不安全隐患。窃听者 仅需要伪装成正常用户，通过整合窃听信息，就可以随意盗取 网络交互中已经加密的部分资料。

解决该部分攻击的办法为考虑通过多种加密方式进行综 合加密。

4结语

总体来说，涉及SDN技术的各个领域已经在紧锣密鼓的 准备迎接SDN技术的全面部署,从技术及设备提供者的角度 来看,商家已经充分了解市场需求，市面上已经出现了很多支

持OpenFlow的交换机产品，下一步厂商及标准化组织将会把 目标投向控制器的研发及标准编制上，继续推动SDN技术的 发展;从运营商角度来看,各个运营商也开始借鉴并思考现有 的成功案例，下一步的计划将会是在控制器标准化之后进行 小规模测试使用,待网络成熟度较高之后加大部署，SDN技术 已经开始为通信网络未来的发展指明方向。

参考文献：

[1]

王淑玲，李济汉，张云勇，房秉毅.SDN架构及安全性研究-

---中国联通集团研究院内部论文.[2] 左青云，陈鸣，赵广松,邢长友，张国敏,蒋培成.基于OpenFlow的SDN技术研究[J].软件学报,2013,24(5).

[3]

张朝昆，崔勇,唐翯祎.吴建平.软件定义网络(SDN)研究进 展[J]..软件学报,2015,26(1).

[4] 程伟强，王磊，王敏学.软件定义分组传送网(SPTN)关键技

术及应用研究…TELECOMMUNICATIONS NETWORK

TECHNOLOGY No.7.

97

-