基于OpenFlow的SDN网络安全研究

通过分离网络的控制与数据平面，SDN网络（软件定义网络）有效增加了网络的可编程性与灵活性，网络管理成本降低、新型网络技术快速部署也由此获得了可行的解决方案支持。但由于传统网络的部署和管理方式因SDN网络具备的新架构而颠覆，SDN网络的大规模、广泛化应用必须考虑新的安全问题，如软件部署方式引发的程序异常、配置引发的数据平面安全问题。

1  基于OpenFlow的SDN网络安全分析

1.1  对网络安全的贡献

在网络安全层面，基于OpenFlow的SDN网络具备两大优势，即提供实时的流量管理与控制能力、实现智能化网络自我管理，应用程序存在的动态性和高带宽问题解决、管理和操作的复杂程度降低均可由此获得有力支持。在多种粒度控制管理及全局视图能力支持下，SDN网络可更好感知网络故障与网络攻击，并能够较好为流量清洗、网络溯源、负载均衡、故障排除提供支持。总的来说，SDN网络的流量控制能力可提供整个网络的全局视图，并能够独立网络的流量控制能力实现集中管理，这使得SDN网络在边界流量控制、流量攻击检测方面表现优秀；网络控制能力则使得SDN网络能够提供更加便捷的审核与监管机制，网络安全问题的及时发现、分析并且进行及时处理可获得有力支持。

1.2  自身存在的安全问题

虽然基于OpenFlow的SDN网络为网络安全开拓了新的局面，但随着商业化探索的广泛展开，SDN网络存在的安全问题也逐渐暴露出来。深入分析可以发现，SDN网络的网络安全问题主要出现在应用层、控制层、基础设施层、南向接口、北向接口，而结合国内外相关研究可以发现，SDN网络的数据层、控制层、控制层与数据层之间的接口最为容易受到网络攻击。其中数据层面临的与传统网络转发设备相同的安全问题，如假冒、非法访问、DOS攻击等，控制层安全则很容易受到集中式结构的单点故障影响，南向接口的TLS协议安全通道加密也很容易引发安全隐患。此外，受到特殊架构的影响，SDN网络的控制器非法接入、数据层到控制层的饱和攻击旺旺会对整个网络造成较为严重的危害。

2  SDN网络安全威胁攻击处理策略及安全优化路径

2.1  网络攻击威胁快速溯源

为应对外部的恶意攻击威胁，如SDN网络面临的基于OpenFlow交换机数据流的攻击，这类攻击一旦出现即可判断SDN网络的薄弱环节节点存在防御薄弱问题，这类节点将因此成为后续攻击源。为尽可能降低外部恶意攻击对SDN网络造成的威胁，网络攻击威胁快速溯源方案的合理选择需要得到重视，辅以数据流分析法、节点监测，即可较好探寻攻击源头，SDN网络的安全水平也将实现长足提升。

链路测试法属于较为常用的SDN网络攻击溯源策略，基于该方法的数据包源头识别主要采用向前回溯的方式，由此判定数据包是否存在疑似攻击数据。在全局视图支持下，基于SDN网络的攻击溯源需提取交换机转发规则信息，但考虑到当前应用环境下SDN网络面临的庞大数据量，不断开展的ID对比会直接影响数据包与转发规则提取的效率，巨量数据带来的大规模信息处理使得向前回溯的传统方式失去了应用价值。为解决传统方法存在的不足，本文建议采用重新描述节点场景、重新定义不同节点特性的方法实现SDN网络攻击的快速溯源。SDN网络的不同节点存在不同的安全特性，如遭受过威胁的节点存在防御能力不足问题，因此必须将这类节点作为重点监视对象，即设定为监测节点。而对于造成SDN网络安全破坏的节点（出现受攻击反应），则需要将其设定为疑似攻击节点，其余节点为普通节点。通过描述节点场景，监测和溯源的节点范围可得到进一步控制，快速溯源可获得充足的时间支持。在快速溯源过程中，需开展网络饱和攻击的控制器监测，并采用数据流形式将PACKET-IN报文传送至监测点，由此借助算法实现对于交换机的命令，疑似攻击节点便能够通过交换机覆盖，配合PACKET-IN消息，即可实现攻击源头的获取。

2.2  基于OpenFlow的加密保护

SDN网络的安全水平优化需得到OpenFlow的支持，通过该技术强调的安全通道、流表、协议，交换机设备的均衡负载功能可较好得以实现。在SDN网络服务时，网络防火墙设置需通过交换机需借助若干个元组实现，数据加密规则的持续优化需基于防火墙完成，并以此生成专门的加密算法，数据传输过程中SDN网络的安全即可得到更好保障。以SDN云服务诉求为例，在计算网络环境下，SDN的安全分析需针对性选择网络安全变量，包括信息资源调度参与情况、网络数据特征及数量、用户资源信息等，SDN网络在当前数据条件下的安全属性可由此明确。在OpenFlow技术的具体应用中，网络安全优化的实现需得到数据信息资源加密调整方式的支持，但同时需考虑网络大环境对SDN网络内部资源特征的影响。基于OpenFlow的安全优化需借助交换机控制数据传输，结合管理标准参数与监测指数，即可开展针对性、有效性更高的防火墙加密。通过以数据平均分配作为目标，针对性选用加密处理功能及算法，即可建立较为实用的安全管理模型，而通过读写数据信息、传输环节的数据加密与压缩、全面的安全监察，即可更好保证SDN网络的安全，并且能够促使其在运行过程当中更加稳定、有效。

2.3  基于OpenFlow的优化管理

通过应用OpenFlow的数据传输加密，可有效优化SDN网络数据服务的安全水平，配合组建优化管理模式，SDN网络的数据受损几率也能够实现有效控制。对于SDN网络来说，其自调节系统、数据信息、信息匹配、信息统计、交互的稳定性参数应分别控制为0.72、0.66、0.83、0.81、0.57，处理相应时间分别为4.1s、4.3s、5.7s、3.8s、5.1s。在SDN网络的优化管理设计中，需整合OpenFlow控制器与交换机的连接方式，以及南向接口协议方式，控制器对交换机的实时监控实现需得到TCP/IP网络传输接口协议的支持，配合集中管理方式，控制器还能够较好服务于SDN网络的安全管理预命令，控制器的指令时间与内容设置需通过流表设置方式实现，SDN网络的监视、管理全面性可由此实现长足提升。OpenFlow交换机配置可通过重新设置接口实现，控制器可由此根据收获到的事件数据传输数据包。在数据加密技术支持下，SDN网络可较好识别访客身份，安全问题的发生几率可进一步得到控制。

3  基于OpenFlow的SDN网络负载均衡模块设计

3.1  层次设计

SDN网络的安全离不开负载均衡的支持，因此本文基于OpenFlow开展了负载均衡模块的设计，通过打造负载均衡环境，SDN网络的安全水平可进一步提升。基于模块化语言，SDN网络负载方式的构成逻辑由应用层、控制层以及数据层组成，应用层直接提供人机交互场景，并能够提供控制端口进行负载均衡的实时调整。控制层由链路评分模块构成，可通过评分的方式观察和分析SDN网络安全，并连接应用层web界面。数据层主要由数据采集模块构成，通过网络数据采集，连接控制层与OpenFlow接口，即可为负载均衡的实现奠定坚实基础。在各个层级内部，OpenFlow控制器必须最大化发挥自身功能，统计和链路评分需围绕传输速率、CPU占有率、端口占用率、mac地质、物理内存、交换机信息等全面展开，配合负载均衡程序进行实时评分，即可开展统一的网络拓扑重组，并更好保障SDN网络安全。

3.2  模块功能设计

具体设计如下：（1）数据采集模块设计。基于OpenFlow协议、sflow代理，可实现多组控制器间的数据交换，网络拓扑信息的交换也能够在OpenFlow协议支持下实现，服务器之上的控制器可通过OVSDB交换机进行转发。模块中交换机单独应用ASIC需得到sflwo标准的支持，业务流信息由此即可通过控制器进行查看。通过OpenFlow协议与sflow代理，数据采集模块可实现流量监控体系的组建，SDN网络数据采集也能够由此更高质量实现。（2）链路评分模块。通过独立的监控系统和交换机进行数据采集，模块可在控制器中实现端口信息的统计。数据采集模块获取的链路信息可通过接口写入到本地数据库，在本地数据库的支持下，控制层的链路评分模块即可围绕带宽、丢包、物理内存、CPU等使用率开展计算，并结合既定标准完成SDN应用情况评分，由此衡量网络负载水平，即可实现SDN网络的安全评价。在链路评分模块支持下，详细的数据支持与分析过程可明确SDN网络所处的安全环境，安装状况判断的准确率可由此得到较好保障。（3）负载均衡模块。模块的全局拓扑实现需得到控制器的支持，人机交互的回馈则需要应用负载均衡算法。API接口需与负载均衡模块直接联系，消息形式的策略下发、全局拓扑管理视野均可更好服务于SDN网络安全控制。

4  结语

综上所述，基于OpenFlow的SDN网络安全保障需关注多方面因素影响，在此基础上，本文涉及的网络攻击威胁快速溯源、加密保护、优化管理、负载均衡等内容，则提供了可行性较高的SDN网络安全保障路径，为进一步推进SDN网络发展，SDN网络的认证机制、应用隔离、权限管理等同样需要得到重视。