軟件定義網(wǎng)絡(luò)架構(gòu)下的安全問題綜述-論文.pdf

《軟件定義網(wǎng)絡(luò)架構(gòu)下的安全問題綜述-論文.pdf》由會員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、文章編號：1007—1423(2014)24—0013—08DOI：10．39696．issn．1007—1423．2014．24．003軟件定義網(wǎng)絡(luò)架構(gòu)下的安全問題綜述郁峰(江蘇天創(chuàng)科技有限公司，蘇州215000)摘要：隨著網(wǎng)絡(luò)業(yè)務(wù)的多元化與網(wǎng)絡(luò)基礎(chǔ)服務(wù)能力的不斷提升，企業(yè)網(wǎng)、云計(jì)算、數(shù)據(jù)中心等大量新興應(yīng)用場景迅速豐富．傳統(tǒng)網(wǎng)絡(luò)已不能滿足其不斷涌現(xiàn)的可擴(kuò)展性、可管理性及安全保障等新需求，這一現(xiàn)狀有力地推動(dòng)以SDN為代表的當(dāng)代網(wǎng)絡(luò)架構(gòu)的發(fā)展。然而隨著學(xué)術(shù)界與產(chǎn)業(yè)界對SDN技術(shù)的研究及其設(shè)備的普及，安全問題逐漸成為制約其進(jìn)一步發(fā)展的關(guān)鍵因素之

2、一。針對SDN架構(gòu)的技術(shù)發(fā)展背景進(jìn)行分析．然后簡析SDN技術(shù)的核心架構(gòu)原理及目前的發(fā)展現(xiàn)狀；結(jié)合SDN架構(gòu)特點(diǎn)，針對其安全特性及其所面臨的安全威脅進(jìn)行詳細(xì)分析，并深入討論SDN網(wǎng)絡(luò)安全研究的范疇與新興發(fā)展方向。關(guān)鍵詞：軟件定義網(wǎng)絡(luò)；OpenFlow：網(wǎng)絡(luò)安全0引言網(wǎng)絡(luò)功能可擴(kuò)展性、提升網(wǎng)絡(luò)性能及其管理效能的目的SDN交換機(jī)控制層與轉(zhuǎn)發(fā)層功能解耦合通過隨著網(wǎng)絡(luò)虛擬化、云服務(wù)、大數(shù)據(jù)中心及企業(yè)網(wǎng)等OpenF1OW[2]核心協(xié)議來實(shí)現(xiàn)．由控制層的集中控制器將新型網(wǎng)絡(luò)應(yīng)用的興起．傳統(tǒng)網(wǎng)絡(luò)架構(gòu)在可擴(kuò)展、可管具體數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則以O(shè)penFloW流表形式統(tǒng)

3、一發(fā)送給理、可維護(hù)性等方面的局限性日益凸顯?；ヂ?lián)網(wǎng)產(chǎn)業(yè)開各交換設(shè)備．從而實(shí)現(xiàn)控制器與交換設(shè)備在功能性方始對傳統(tǒng)網(wǎng)絡(luò)架構(gòu)進(jìn)行重新審視．其研究思路經(jīng)歷了面的有效區(qū)隔與分離從主動(dòng)網(wǎng)絡(luò)架構(gòu)、開放網(wǎng)絡(luò)架構(gòu)到可重構(gòu)網(wǎng)絡(luò)體系、異值得指出的是．盡管SDN從架構(gòu)角度提出了一種構(gòu)一體化網(wǎng)絡(luò)架構(gòu)、軟件定義網(wǎng)絡(luò)(SDN)等一系列過新型的網(wǎng)絡(luò)控制思路．其并沒有從根本上顛覆已有IP程。其中．良好可擴(kuò)展性、網(wǎng)絡(luò)智能性及面向未來網(wǎng)絡(luò)網(wǎng)絡(luò)的報(bào)文轉(zhuǎn)發(fā)行為．實(shí)際上，其在很大程度上充分繼的業(yè)務(wù)可適應(yīng)性成為上述各研究工作所共同關(guān)注的焦承了已有IP網(wǎng)絡(luò)轉(zhuǎn)發(fā)規(guī)則、路由表等有益思路，并在

4、點(diǎn)。此基礎(chǔ)上進(jìn)一步簡化了報(bào)文轉(zhuǎn)發(fā)規(guī)則的生成、下發(fā)、實(shí)軟件定義網(wǎng)絡(luò)(SDN)是一種由美國斯坦福大學(xué)施與管理等操作．以克服傳統(tǒng)網(wǎng)絡(luò)在異構(gòu)網(wǎng)絡(luò)、分布式CleanS1ate研究組『1]最先提出的新興網(wǎng)絡(luò)架構(gòu)．其架構(gòu)協(xié)議及應(yīng)用等方面的可擴(kuò)展、可管理難題而隨著思路最初發(fā)源于ForCES網(wǎng)絡(luò)架構(gòu)研究如何借助于轉(zhuǎn)BYOD(自帶設(shè)備辦公1、IT系統(tǒng)定制化、云計(jì)算、大數(shù)據(jù)、發(fā)、控制相分離的技術(shù)方式，以實(shí)現(xiàn)網(wǎng)絡(luò)速度、可靠性服務(wù)器／網(wǎng)絡(luò)虛擬化等創(chuàng)新網(wǎng)絡(luò)應(yīng)用的廣泛興起．SDN及安全性等關(guān)鍵指標(biāo)的有效提升．是其主要設(shè)計(jì)初衷在上述場景中的應(yīng)用Et益獲得廣泛的重視．并逐步

5、獲之一。即．通過引人邏輯集中的控制層，將網(wǎng)絡(luò)報(bào)文轉(zhuǎn)得了學(xué)術(shù)界與工業(yè)界的普遍認(rèn)可．成為引領(lǐng)未來網(wǎng)絡(luò)發(fā)決策等復(fù)雜控制邏輯能力從路由器(或交換機(jī))中剝發(fā)展方向的研究內(nèi)容之一離．從而再將傳統(tǒng)路由器(或交換機(jī))簡化為功能單一、然而．作為一個(gè)邏輯集中且具備高度可編程能力性能可靠的轉(zhuǎn)發(fā)執(zhí)行設(shè)備的同時(shí)．盡最大限度保障網(wǎng)的網(wǎng)絡(luò)架構(gòu)．SDN發(fā)展也勢必面臨著諸多關(guān)鍵問題．而絡(luò)報(bào)文轉(zhuǎn)發(fā)、處理邏輯的可編程靈活性，進(jìn)而達(dá)到增強(qiáng)現(xiàn)代計(jì)算機(jī)2o14．o8下@安全就是其中之一隨著SDN技術(shù)逐步普及與推廣．其安全問題的重要性日益提升．并已引起了學(xué)術(shù)界與應(yīng)用層FI工業(yè)界的高度關(guān)

6、注．各企業(yè)組織、研究團(tuán)體及標(biāo)準(zhǔn)化組l‘_j—上層應(yīng)用織紛紛啟動(dòng)了相關(guān)方面的研究SDN安全性相關(guān)問題直接決定了SDN技術(shù)的發(fā)展與實(shí)際應(yīng)用前景基于其ififAPif控制層、>、>、7I—強(qiáng)勁的發(fā)展勢頭和解決安全問題的迫切性．本文首先SI)NlIl}闡述了SDN架構(gòu)的基本原理與發(fā)展現(xiàn)狀．然后針對其控制器l網(wǎng)絡(luò)設(shè)備—廣}架構(gòu)中所存在的安全關(guān)鍵問題進(jìn)行了分析與歸納。并／＼給出了相應(yīng)的安全防護(hù)建議．以期為其安全性研究及控制層一轉(zhuǎn)發(fā)層接口(OpenFlow)ll產(chǎn)業(yè)發(fā)展做出有益的探索廈后I網(wǎng)絡(luò)設(shè)備ll網(wǎng)絡(luò)設(shè)備l1軟件定義網(wǎng)絡(luò)技術(shù)與OpenFIow協(xié)議I網(wǎng)

7、絡(luò)設(shè)備ll網(wǎng)絡(luò)設(shè)備ll網(wǎng)絡(luò)設(shè)備II1．1軟件定義網(wǎng)絡(luò)架構(gòu)IAPI：應(yīng)用編程接口SDN：軟件定義網(wǎng)絡(luò)軟件定義網(wǎng)絡(luò)(SDN)的前身是斯坦福大學(xué)所提出的旨在研究企業(yè)集中安全控制的Ethane項(xiàng)目例該項(xiàng)圖1SDN網(wǎng)絡(luò)分層架構(gòu)邏輯示意圖目的核心理念為斯坦福CleanState研究團(tuán)隊(duì)所采納并上述SDN架構(gòu)所具有的基本特征主要包括如下予以擴(kuò)展．同時(shí)應(yīng)用在了大型網(wǎng)絡(luò)一全球網(wǎng)絡(luò)創(chuàng)新環(huán)境三個(gè)方面：fGENI)項(xiàng)目中．進(jìn)而逐步擴(kuò)展形成了SDN[4]與Open—(1)控制與轉(zhuǎn)發(fā)分離。轉(zhuǎn)發(fā)層由功能相對單一的網(wǎng)Flow[21的核心理念其理念的基本思路在于通過規(guī)范化絡(luò)

8、轉(zhuǎn)發(fā)設(shè)備組成．其轉(zhuǎn)發(fā)邏輯由控制層集中控制．從而網(wǎng)絡(luò)轉(zhuǎn)發(fā)層與控制層邊界．從而實(shí)現(xiàn)網(wǎng)絡(luò)層功能的開保障了全網(wǎng)轉(zhuǎn)發(fā)邏輯的一致性放化與可編程化．進(jìn)而令網(wǎng)絡(luò)應(yīng)用具備軟件一般的高(2)控制層與