sdn技术的网络安全分析.docxVIP

sdn技术的网络安全分析 0 sdn技术 随着internet规模的快速扩张和网络应用的迅速增加，网络中的大量服务处理已经成为影响网络可持续发展的重要因素。在现有网络架构下, 路由器等网络基础设施是承担数据处理转发的主要设备。为了适应各种流量处理应用, 其结构和功能日趋复杂, 承载的功能不断扩展, 如分组过滤、区分服务、多播、Qo S、流量工程等, 路由器转发单元已经变得臃肿不堪。同时, 云计算和大数据时代的到来, 对现有网络架构的可靠性、扩展性、开放性、灵活性和管控性提出了更高的要求。为了缓解现有网络架构与网络需求之间的矛盾, 众多研究机构和学者投入到研发新的网络架构来适应未来互联网发展的需要, 如美国的Clean Slate和GENI、欧盟的FIRE、日本的JGN2plus和中国的SOFIA等。新的网络架构的首要目标是为路由器等网络设备“减负”, 将其从复杂的功能中解脱出来。新的网络架构还必须支持用户自定义功能, 满足未来网络个性化演进发展的需要。 软件定义网络 (software-defined networking, SDN) 是适应这一未来互联网需求的新型网络架构。SDN最早起源于美国斯坦福大学的Clean Slate项目, 随着研究的深入逐渐得到了学术界和工业界的广泛认可, 已成为未来互联网发展的主流发展方向。SDN技术将网络控制平面从底层网络中分离出来, 以开放软件模式的控制平面取代传统嵌入式封闭的控制平面, 由集中式控制器来控制管理整个网络, 并且允许网络可编程。SDN良好的开放性和灵活性给网络带来了巨大的变革, 尤其是SDN技术的出现彻底颠覆了云和数据中心传统的运作管理模式。传统网络无法适应云和数据中心开放式架构, 已成为云和数据中心发展的瓶颈, 而SDN技术能很好地为云和数据中心提供服务, 满足开放性、扩展性等性能要求。 开放网络基金会 (open networking foundation, ONF) 在发布的白皮书中总结了SDN技术的几大优势, 包括多环境集中控制、降低管理复杂度、促进服务更新、细粒度网络控制、增强用户体验以及提高网络安全性能等。研究人员发现, SDN技术对于网络安全性能的提升尤为突出, 发展潜力巨大, 如它对网络流量具有极强的控制能力, 使得流量安全防护变得更加灵活有效, 它的集中控制性可以改进源IP地址验证以及网络溯源等方面的解决方案。作为一种全新的网络架构, SDN技术在安全方面体现出很大的优越性, 为保障网络安全提供了全新的解决思路。任何事物都具有两面性, SDN技术作为一种仍处于发展阶段的新兴技术, 必然也会面临许多安全威胁, 如控制器安全威胁、南向/北向通道安全威胁等。随着SDN技术和产品的逐步市场化, SDN的安全性问题成为了制约SDN广泛应用的关键问题, 也成为了技术成功发展的关键因素。因此, 越来越多的研究者已经开始关注SDN技术的安全性问题, 并提出了一些解决方案[6~11]。但截至目前, SDN技术的安全性研究仍处于起步阶段, 依然还存在很多安全问题有待解决, 如应用审计与代码检测等。笔者对于SDN技术安全问题也饶有兴趣, 希望通过本文与广大研究工作者共同探讨SDN技术的安全问题。 1 sdn技术介绍 1.1 国外sdn技术和网络应用现状 SDN技术起源于Clean Slate项目。Clean Slate项目由斯坦福大学主导, 联合美国国家自然科学基金会以及七家工业界合作伙伴共同启动。项目主要目标是研究开发新一代的互联网架构, 淘汰现有不合时宜的网络架构。2007年, Mc Keown教授、Shenker教授和Casado博士共同创办Nicira公司, 正式提出了Open Flow协议的概念, 目前, Open Flow已经成为SDN实现的主流网络协议。2011年, 德国电信、Facebook、谷歌、微软、NTT、Verizon和Yahoo联合成立了ONF, 致力于推动SDN技术和Open Flow协议的标准化和商业化。目前, ONF全球成员几乎囊括了全球IT产业链上下游的所有重要厂家, 包括中国的华为和中兴公司。 SDN技术和Open Flow协议已获得学术界与工业界的广泛关注和认可, 并在ONF以及各大网络设备制造商、网络运营商、网络虚拟化公司的大力推动下取得了长足发展。2009年, Open Flow发布了具有里程碑意义的、可用于商业化产品的Open Flow 1.0版本, 并被享有声望的《MIT Technology Review》杂志评为十大未来技术。同时, 基于Open Flow协议的网络控制器、网络应用和SDN解决方案大量涌现。Nicira公司发布了首个支持Open Flow协议的NOX控制器版本, 随后, Floodlight、Beacon、Tre