湖南省长沙市周南中学 湖南 长沙 410008
摘要:软件定义网络实现了数据和网络控制层次的分离化。这虽为系统提供了较强的可编程能力,也使得系统获得了高度开放性,但也将网络整体置于一个安全风险较高的环境中。本文将对软件定义网络中的安全机制进行简要的阐述,并探讨其分析与应用。
关键词:软件定义网络;安全机制;应用
软件定义网络(Software defined networking,以下简称SDN),其主要机理是改变传统闭合类网络体系的本质,将其划分为应用、控制和数据等多个逻辑平面,从而令网络具有高度开放性和编程可控特性的同时便于集中管理和调控,该技术现多用于局域网和云端计算等对网络联通需求较大的领域内。
SDN安全机制同传统网络安全机制对比
SDN在信息流的控制方面和传统网络最大的区别就是采用控制器集中管控,这大大地增强了该系统对网络流量的掌控能力。SDN对信息流是否通过某一安全设备(如防火墙)是由所下发的流规则判断的,并不像常规网络环境中网络关键区域均有安全设备覆盖。另外SDN和传统网络在对网络安全信息的获取方面,同样存在一定差异性。管理员在传统网络中需要对多个发出的设备状态信息进行评估后得出总体结论,而SDN由于控制着整个网络的最高权限,在获取全网的状态信息时具有全局性和实时性,这为网络安全的检查带来了较大的便利,但同时也很容易被不法分子所利用。
SDN典型安全问题分析
2.1 SDN特有的安全问题
流规则的合法性和一致性是SDN特有的安全问题之一,流规则可能因为英语程序的种类不同造成运行冲突甚至覆盖的状况发生。SDN中最严重的核心问题之一是控制器较为脆弱,当控制器受到操控时SDN网络整体都将受到威胁,这是因为控制器与应用程序之间的机制处于并不相互信任的条件下,评估系统发展不足,且恶意应用程序开发难度较低。OpenFlow协议本身由于使用的是TLS/SSL协议,故本身在实施控制器和交换机的信息传递过程中安全系数并不能满足实际需要。
2.2 SDN各层/接口面临的安全问题
在SDN中包含有应用程序的层被称为应用层,其中的流规则由安全服务类应用程序和OpenFlow等应用程序进行制定,交换机和网络设备等基础设施层的设备以控制器为媒介完成流规则的接收。
期刊文章分类查询,尽在期刊图书馆此过程中由于基础设施层完全信任应用层的命令,故可能带来SDN程序代码被篡改、非法访问等一系列安全隐患;整个安全系统中最薄弱的是控制层,攻击者入侵控制层后可以实现网络整体的集中控制,这会造成控制器物理或逻辑层面的损害;基础设施层负担着数据处理和收集发送的重任,其主要面临的安全问题是信息泄露以及非法访问等;程序接口常因为OpenFlow协议本身的不完善性造成SSL/TLS加密程度不足,存在控制器非法使用和窃听等安全问题。
SDN安全机制的应用
3.1 开发SDN安全控制器
开发具有完善安全机制的控制器对整个SDN网络研究领域存在着巨大的现实意义。当前专业人员已经开发出了多种特色各异的控制器,其依据控制层的种类能够分为分布式和集中式安全控制器。利用已有的开源控制器对安全服务实施改进,包括设计部署新的模块(如结合NOX、POX等控制器设计的FortNOX,SE-Floodlight等)。在该方面需要克服的问题是编程语言和系统架构方式的不一致性。
3.2 开发可组合安全模块库
SDN的集中管控式控制器在为信息监控带来便利的同时,也引起了攻击者的注意。故将可组合安全模块库同控制器相结合,令其能够协同工作,使控制器的安全防护等级大幅度上升是目前技术研究的一个重点。现在开发出的一种叫做FRESCO的安全模块库能够组合不同的Module安全模块,完成复杂程度更高结构更完善的复杂安全防护策略,然后对控制器中的流表实时更新,建立高效性重构性的安全保护平台保护控制器。但该系统的安全等级完善依然停留在理论阶段,完整评估机制还未彻底形成,依然需要实践应用的检验。
3.3 防御DDos攻击
DDos攻击是攻击者利用主机对目标实施信息流攻击,大量消耗计算资源,导致正常为用户提供服务的能力丧失。SDN控制器很容易受到该种攻击方式的控制。面对这种问题,我们可以从三个方向进行研究:其一是对系统中流量变化实施检测,因为在遭受该种攻击时系统内部流量会发生异常增加;其二是根据连接迁移机制,防范DDos攻击,在通信环节中接入流信息过滤模块,筛选出合法的流请求信息;最后是防范于未然,进行网络威胁的建模和评估,设计者能够对网络系统中潜在的安全威胁进行注意和识别,在攻击发生之前实施规避。
4 结论
SDN能够把网络中的控制层和数据层进行连接达到集中管控网络的目的,带来便捷的同时也产生了一系列安全隐患。本文中针对SDN的安全机制和应用进行了分析和阐述,以期为该技术在现实中的应用提供一定的指导意义。
参考文献
[1]罗国明,沈庆国,张曙光,等.现代交换原理与技术(第2版)[M].北京:电子工业出版社,2010.
[2]彭国庆,周冠宇.云计算分层体系结构研究[J].移动通信,2010,34(16):54-58.
[3]汪小帆,李翔,陈关荣.复杂网络理论及其应用[M].北京:清华大学出版社,2006.
论文作者:蒋浩涵
论文发表刊物:《科技中国》2016年10期
论文发表时间:2017/1/5
标签:控制器论文; 网络论文; 机制论文; 系统论文; 安全问题论文; 模块论文; 信息论文; 《科技中国》2016年10期论文;