浅析SDN安全需求和安全实现

集中控制器的功能包括认证网元和用户、许可检查、路由计算、交换机管理。Ethane并没有规定具体的认证方法，Casado M等人的原型实现中使用证书和SSL协议认证交换机和集中控制器，并用SSL加密集中控制器和交换机之间的通信。交换机不仅不需要检查权能，甚至不需要目前Ethernet交换机和3层交换机的一些功能。

2.3 SDN架构

SDN架构如图2所示，SDN具有如下优点：高可扩展性/高灵活性的网络部署、精细高效的数据流控制等。SDN提供对网络设备的集中式、自动化管理、统一的策略执行，和目前的网络架构相比提高了可靠性、安全性。而传统的网络安全应用，如访问控制、防火墙、人侵检测、人侵防御等也可利用SDN控制器的开放API实现或者方便地集成到SDN中。

图2 SDN架构

如上所述，SDN架构提供了一个平台，可以为它提供安全保障，并提供安全服务。大多数研究者认为，目前积累的网络安全技术完全能够胜任SDN的安全需求，如王淑玲等人提出的SDN安全技术架构和传统网络安全技术架构基本无差异。但是具体提供哪些安全机制，如何设计、实现。还在研究中。

3.SDN的安全需求

Hartman S和Wasserman M等人认为SDN的安全需求主要发生在应用层和控制层之间，包括应用的授权、认证、隔离以及策略冲突的消解。

控制层(或控制平面)和基础设施层(或转发平面)之间，在一个交换机被一个控制器控制的情况下，安全威胁模型比较简单，现有的OpenFlow中的相关规范经过细化后可以满足安全需求，而一个交换机被多个控制器控制的情况下，安全威胁模型比较复杂，需要考虑控制器之间的授权、增加控制器对交换机资源的细粒度的访问控制，这正是现有OpenFlow规范所缺乏的。

对于如何在SDN架构上实现传统的网络安全应用，如访问控制、防火墙、人侵检测、人侵防御等，或者如何定义SDN控制器的相关API以实现上述功能，也是一个值得研究的课题。

选择哪些网络安全应用在SDN架构上实现，也是要考虑的问题，一方面由于SDN API的局限，如基于DPI(深度报文检测)的安全应用不能作为SDN的一个应用实现;另一方面，放弃现有的软件实现而在SDN上重新实现，所花费的代价是否值得也是一个问题。SDN架构的优势在于低成本地、灵活地实现一些传统应用，甚至或许能够引出一些创新的网络安全应用服务。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友