基于OpenFlow的SDN網絡安全研究

通過分離網絡的控制與數據平面，SDN網絡（軟件定義網絡）有效增加了網絡的可編程性與靈活性，網絡管理成本降低、新型網絡技術快速部署也由此獲得了可行的解決方案支持。但由于傳統(tǒng)網絡的部署和管理方式因SDN網絡具備的新架構而顛覆，SDN網絡的大規(guī)模、廣泛化應用必須考慮新的安全問題，如軟件部署方式引發(fā)的程序異常、配置引發(fā)的數據平面安全問題。

1  基于OpenFlow的SDN網絡安全分析

1.1  對網絡安全的貢獻

在網絡安全層面，基于OpenFlow的SDN網絡具備兩大優(yōu)勢，即提供實時的流量管理與控制能力、實現智能化網絡自我管理，應用程序存在的動態(tài)性和高帶寬問題解決、管理和操作的復雜程度降低均可由此獲得有力支持。在多種粒度控制管理及全局視圖能力支持下，SDN網絡可更好感知網絡故障與網絡攻擊，并能夠較好為流量清洗、網絡溯源、負載均衡、故障排除提供支持?？偟膩碚f，SDN網絡的流量控制能力可提供整個網絡的全局視圖，并能夠獨立網絡的流量控制能力實現集中管理，這使得SDN網絡在邊界流量控制、流量攻擊檢測方面表現優(yōu)秀；網絡控制能力則使得SDN網絡能夠提供更加便捷的審核與監(jiān)管機制，網絡安全問題的及時發(fā)現、分析并且進行及時處理可獲得有力支持。

1.2  自身存在的安全問題

雖然基于OpenFlow的SDN網絡為網絡安全開拓了新的局面，但隨著商業(yè)化探索的廣泛展開，SDN網絡存在的安全問題也逐漸暴露出來。深入分析可以發(fā)現，SDN網絡的網絡安全問題主要出現在應用層、控制層、基礎設施層、南向接口、北向接口，而結合國內外相關研究可以發(fā)現，SDN網絡的數據層、控制層、控制層與數據層之間的接口最為容易受到網絡攻擊。其中數據層面臨的與傳統(tǒng)網絡轉發(fā)設備相同的安全問題，如假冒、非法訪問、DOS攻擊等，控制層安全則很容易受到集中式結構的單點故障影響，南向接口的TLS協(xié)議安全通道加密也很容易引發(fā)安全隱患。此外，受到特殊架構的影響，SDN網絡的控制器非法接入、數據層到控制層的飽和攻擊旺旺會對整個網絡造成較為嚴重的危害。

2  SDN網絡安全威脅攻擊處理策略及安全優(yōu)化路徑

2.1  網絡攻擊威脅快速溯源

為應對外部的惡意攻擊威脅，如SDN網絡面臨的基于OpenFlow交換機數據流的攻擊，這類攻擊一旦出現即可判斷SDN網絡的薄弱環(huán)節(jié)節(jié)點存在防御薄弱問題，這類節(jié)點將因此成為后續(xù)攻擊源。為盡可能降低外部惡意攻擊對SDN網絡造成的威脅，網絡攻擊威脅快速溯源方案的合理選擇需要得到重視，輔以數據流分析法、節(jié)點監(jiān)測，即可較好探尋攻擊源頭，SDN網絡的安全水平也將實現長足提升。

鏈路測試法屬于較為常用的SDN網絡攻擊溯源策略，基于該方法的數據包源頭識別主要采用向前回溯的方式，由此判定數據包是否存在疑似攻擊數據。在全局視圖支持下，基于SDN網絡的攻擊溯源需提取交換機轉發(fā)規(guī)則信息，但考慮到當前應用環(huán)境下SDN網絡面臨的龐大數據量，不斷開展的ID對比會直接影響數據包與轉發(fā)規(guī)則提取的效率，巨量數據帶來的大規(guī)模信息處理使得向前回溯的傳統(tǒng)方式失去了應用價值。為解決傳統(tǒng)方法存在的不足，本文建議采用重新描述節(jié)點場景、重新定義不同節(jié)點特性的方法實現SDN網絡攻擊的快速溯源。SDN網絡的不同節(jié)點存在不同的安全特性，如遭受過威脅的節(jié)點存在防御能力不足問題，因此必須將這類節(jié)點作為重點監(jiān)視對象，即設定為監(jiān)測節(jié)點。而對于造成SDN網絡安全破壞的節(jié)點（出現受攻擊反應），則需要將其設定為疑似攻擊節(jié)點，其余節(jié)點為普通節(jié)點。通過描述節(jié)點場景，監(jiān)測和溯源的節(jié)點范圍可得到進一步控制，快速溯源可獲得充足的時間支持。在快速溯源過程中，需開展網絡飽和攻擊的控制器監(jiān)測，并采用數據流形式將PACKET-IN報文傳送至監(jiān)測點，由此借助算法實現對于交換機的命令，疑似攻擊節(jié)點便能夠通過交換機覆蓋，配合PACKET-IN消息，即可實現攻擊源頭的獲取。

2.2  基于OpenFlow的加密保護

SDN網絡的安全水平優(yōu)化需得到OpenFlow的支持，通過該技術強調的安全通道、流表、協(xié)議，交換機設備的均衡負載功能可較好得以實現。在SDN網絡服務時，網絡防火墻設置需通過交換機需借助若干個元組實現，數據加密規(guī)則的持續(xù)優(yōu)化需基于防火墻完成，并以此生成專門的加密算法，數據傳輸過程中SDN網絡的安全即可得到更好保障。以SDN云服務訴求為例，在計算網絡環(huán)境下，SDN的安全分析需針對性選擇網絡安全變量，包括信息資源調度參與情況、網絡數據特征及數量、用戶資源信息等，SDN網絡在當前數據條件下的安全屬性可由此明確。在OpenFlow技術的具體應用中，網絡安全優(yōu)化的實現需得到數據信息資源加密調整方式的支持，但同時需考慮網絡大環(huán)境對SDN網絡內部資源特征的影響?；贠penFlow的安全優(yōu)化需借助交換機控制數據傳輸，結合管理標準參數與監(jiān)測指數，即可開展針對性、有效性更高的防火墻加密。通過以數據平均分配作為目標，針對性選用加密處理功能及算法，即可建立較為實用的安全管理模型，而通過讀寫數據信息、傳輸環(huán)節(jié)的數據加密與壓縮、全面的安全監(jiān)察，即可更好保證SDN網絡的安全，并且能夠促使其在運行過程當中更加穩(wěn)定、有效。

2.3  基于OpenFlow的優(yōu)化管理

通過應用OpenFlow的數據傳輸加密，可有效優(yōu)化SDN網絡數據服務的安全水平，配合組建優(yōu)化管理模式，SDN網絡的數據受損幾率也能夠實現有效控制。對于SDN網絡來說，其自調節(jié)系統(tǒng)、數據信息、信息匹配、信息統(tǒng)計、交互的穩(wěn)定性參數應分別控制為0.72、0.66、0.83、0.81、0.57，處理相應時間分別為4.1s、4.3s、5.7s、3.8s、5.1s。在SDN網絡的優(yōu)化管理設計中，需整合OpenFlow控制器與交換機的連接方式，以及南向接口協(xié)議方式，控制器對交換機的實時監(jiān)控實現需得到TCP/IP網絡傳輸接口協(xié)議的支持，配合集中管理方式，控制器還能夠較好服務于SDN網絡的安全管理預命令，控制器的指令時間與內容設置需通過流表設置方式實現，SDN網絡的監(jiān)視、管理全面性可由此實現長足提升。OpenFlow交換機配置可通過重新設置接口實現，控制器可由此根據收獲到的事件數據傳輸數據包。在數據加密技術支持下，SDN網絡可較好識別訪客身份，安全問題的發(fā)生幾率可進一步得到控制。

3  基于OpenFlow的SDN網絡負載均衡模塊設計

3.1  層次設計

SDN網絡的安全離不開負載均衡的支持，因此本文基于OpenFlow開展了負載均衡模塊的設計，通過打造負載均衡環(huán)境，SDN網絡的安全水平可進一步提升?；谀K化語言，SDN網絡負載方式的構成邏輯由應用層、控制層以及數據層組成，應用層直接提供人機交互場景，并能夠提供控制端口進行負載均衡的實時調整?？刂茖佑涉溌吩u分模塊構成，可通過評分的方式觀察和分析SDN網絡安全，并連接應用層web界面。數據層主要由數據采集模塊構成，通過網絡數據采集，連接控制層與OpenFlow接口，即可為負載均衡的實現奠定堅實基礎。在各個層級內部，OpenFlow控制器必須最大化發(fā)揮自身功能，統(tǒng)計和鏈路評分需圍繞傳輸速率、CPU占有率、端口占用率、mac地質、物理內存、交換機信息等全面展開，配合負載均衡程序進行實時評分，即可開展統(tǒng)一的網絡拓撲重組，并更好保障SDN網絡安全。

3.2  模塊功能設計

具體設計如下：（1）數據采集模塊設計?；贠penFlow協(xié)議、sflow代理，可實現多組控制器間的數據交換，網絡拓撲信息的交換也能夠在OpenFlow協(xié)議支持下實現，服務器之上的控制器可通過OVSDB交換機進行轉發(fā)。模塊中交換機單獨應用ASIC需得到sflwo標準的支持，業(yè)務流信息由此即可通過控制器進行查看。通過OpenFlow協(xié)議與sflow代理，數據采集模塊可實現流量監(jiān)控體系的組建，SDN網絡數據采集也能夠由此更高質量實現。（2）鏈路評分模塊。通過獨立的監(jiān)控系統(tǒng)和交換機進行數據采集，模塊可在控制器中實現端口信息的統(tǒng)計。數據采集模塊獲取的鏈路信息可通過接口寫入到本地數據庫，在本地數據庫的支持下，控制層的鏈路評分模塊即可圍繞帶寬、丟包、物理內存、CPU等使用率開展計算，并結合既定標準完成SDN應用情況評分，由此衡量網絡負載水平，即可實現SDN網絡的安全評價。在鏈路評分模塊支持下，詳細的數據支持與分析過程可明確SDN網絡所處的安全環(huán)境，安裝狀況判斷的準確率可由此得到較好保障。（3）負載均衡模塊。模塊的全局拓撲實現需得到控制器的支持，人機交互的回饋則需要應用負載均衡算法。API接口需與負載均衡模塊直接聯系，消息形式的策略下發(fā)、全局拓撲管理視野均可更好服務于SDN網絡安全控制。

4  結語

綜上所述，基于OpenFlow的SDN網絡安全保障需關注多方面因素影響，在此基礎上，本文涉及的網絡攻擊威脅快速溯源、加密保護、優(yōu)化管理、負載均衡等內容，則提供了可行性較高的SDN網絡安全保障路徑，為進一步推進SDN網絡發(fā)展，SDN網絡的認證機制、應用隔離、權限管理等同樣需要得到重視。

本文來源：《企業(yè)科技與發(fā)展》：http://m.xwlcp.cn/w/qk/21223.html