國(guó)家保密局網(wǎng)站>>保密科技

軟件定義網(wǎng)絡(luò)的機(jī)遇與挑戰(zhàn)

2017年11月28日    來(lái)源:國(guó)家保密科技測(cè)評(píng)中心【字體: 打印

隨著大數(shù)據(jù)、云計(jì)算等新技術(shù)的發(fā)展,人們對(duì)傳統(tǒng)網(wǎng)絡(luò)的帶寬、安全、速率等提出了更高要求。軟件定義網(wǎng)絡(luò)(Software Defined Networks,SDN)是一種有望改變現(xiàn)有網(wǎng)絡(luò)困局的新型網(wǎng)絡(luò)范例,它在簡(jiǎn)化網(wǎng)絡(luò)管理的同時(shí),極大地促進(jìn)了網(wǎng)絡(luò)創(chuàng)新。

什么是軟件定義網(wǎng)絡(luò)?

SDN是由美國(guó)斯坦福大學(xué)Clean Slate研究組于2006年提出來(lái)的,其以O(shè)penFlow的概念為基礎(chǔ),通過(guò)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開(kāi)來(lái),由集中的控制器管理,無(wú)須依賴(lài)底層網(wǎng)絡(luò)設(shè)備,從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制,為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺(tái)。與傳統(tǒng)網(wǎng)絡(luò)相比,SDN大大加快了變更網(wǎng)絡(luò)拓?fù)洹⒖刂凭W(wǎng)絡(luò)流量的速度。

SDN能帶來(lái)哪些機(jī)遇?

SDN的主要技術(shù)特點(diǎn)包括集中性、可編程性和開(kāi)放性。它將應(yīng)用與網(wǎng)絡(luò)服務(wù)、設(shè)備之間的交互更緊密地結(jié)合起來(lái),向上將應(yīng)用程序接口提供給應(yīng)用層,從而構(gòu)建了開(kāi)放可編程的網(wǎng)絡(luò)環(huán)境;向下將路由策略下發(fā)到路由器,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備集中管理。SDN實(shí)現(xiàn)了網(wǎng)絡(luò)資源虛擬化和流量編程,可在固定物理網(wǎng)上靈活構(gòu)建多張相互獨(dú)立的業(yè)務(wù)承載網(wǎng),滿足多業(yè)務(wù)、多租戶需求。可見(jiàn),SDN的出現(xiàn)使網(wǎng)絡(luò)設(shè)計(jì)更簡(jiǎn)單,業(yè)務(wù)部署更快捷,網(wǎng)絡(luò)設(shè)備更通用。SDN將網(wǎng)絡(luò)智能從硬件轉(zhuǎn)移到軟件,用戶無(wú)需更新已有的硬件就可以為網(wǎng)絡(luò)增加新的功能,簡(jiǎn)化并整合了控制功能,讓網(wǎng)絡(luò)設(shè)備變得更可靠,還有助于降低設(shè)備購(gòu)買(mǎi)和運(yùn)營(yíng)成本。簡(jiǎn)言之,SDN的出現(xiàn)解決了傳統(tǒng)網(wǎng)絡(luò)缺乏統(tǒng)一管理、可編程可擴(kuò)展能力不足、靈活性不高、升級(jí)緩慢等缺點(diǎn)。

SDN面臨哪些安全挑戰(zhàn)?

SDN的控制集中性、可編程性、開(kāi)放性帶來(lái)了許多新的安全挑戰(zhàn)。一是管理集中性使網(wǎng)絡(luò)配置、網(wǎng)絡(luò)服務(wù)訪問(wèn)控制、網(wǎng)絡(luò)安全服務(wù)部署等都集中在SDN控制器上。攻擊者一旦實(shí)現(xiàn)對(duì)控制器的控制,將造成網(wǎng)絡(luò)服務(wù)的大面積癱瘓,影響控制器覆蓋的整個(gè)范圍。二是可編程性使控制器向應(yīng)用層提供大量的可編程接口,該層面可能會(huì)帶來(lái)很多安全威脅,如,向應(yīng)用層的應(yīng)用中植入惡意程序等,達(dá)到竊取網(wǎng)絡(luò)信息、更改網(wǎng)絡(luò)配置、占用網(wǎng)絡(luò)資源等目的,從而干擾控制面的正常工作進(jìn)程,影響網(wǎng)絡(luò)的可靠性和可用性。三是安全和網(wǎng)絡(luò)的應(yīng)用插件都具備一定的規(guī)則寫(xiě)入權(quán)限,隨著應(yīng)用的復(fù)雜化,多個(gè)應(yīng)用之間會(huì)出現(xiàn)安全規(guī)則沖突,從而造成網(wǎng)絡(luò)管理混亂、安全規(guī)則被繞過(guò)、服務(wù)中斷等現(xiàn)象;第三方應(yīng)用或插件可能帶有惡意功能、未聲明功能、安全漏洞等多種風(fēng)險(xiǎn)。

總之,SDN技術(shù)目前還處在初級(jí)階段,在體系結(jié)構(gòu)上、協(xié)議上、硬件上都有很大的提升空間。但從SDN的發(fā)展來(lái)說(shuō),真正的困難是對(duì)網(wǎng)絡(luò)的理解及網(wǎng)絡(luò)的頂層設(shè)計(jì)?梢哉f(shuō),SDN的機(jī)遇與挑戰(zhàn)并存,機(jī)遇大于挑戰(zhàn)。

 

(原載于《保密科學(xué)技術(shù)》雜志2017年1月刊)