卢国栋 江洲

摘 要 软件定义网络（Software  Defined  Networking，SDN）是一种从数据转发平面中分离控制平面，以实现支持网络虚拟化的新型网络架构。SDN 拥有控制平面和数据平面的解耦、可编程性、可扩展性等众多优点。然而其也存在诸多缺陷，因此笔者捋清SDN本身存在的短板而导致的威胁，基于这些威胁而分析了解决SDN网络安全隐患的技术，即区块链技术，从而能为后人对于SDN网络的进一步研究奠定坚实的基础。

关键词 SDN网络;安全威胁;安全措施

1SDN网络的架构概述

1.1 SDN网络的产生及发展

当今时代乃是网络的时代，无时无刻不处于大网络的环境下。以前使用的网络，其设备采用分布式架构，没有集中控制的概念，各网络设备以网络协议为“通用语言”实现互相通信。随着时代的发展，网络领域产生了一系列的问题，比如新业务必须兼容老的业务，新协议必须兼容老版本的协议。这些问题限制了网络的更新换代，成为网络技术进步的阻碍。2008 年，有美国知名团队提出了Open Flow的概念，其详细介绍了Open Flow的原理。基于Open Flow技术实现的网络可编程特性，是对现有网络的重大变革，SDN技术应运而生。SDN有三个主要特征：

（1）控制平面制定策略产生流表，但是数据的转发平面只在网络设备上。

（2）控制器对数据层的网络设备进行集中管理，无需对设备逐一操作。

（3）第三方 App以编程的方式定义网络模块就可实现新的网络功能。

一个新的时代必定会衍生出更加优秀的产品。在21世纪发展到现今这个时代，SDN網络的出现不是偶然。SDN网络不仅解决了传统网络不能集中窥测路由信息的难题，又能从控制平面入手，即从更高的层面来为整个网络提供服务，又因为其自身的控制平面能够被重新写入代码，就极为巧妙地摆脱了对硬件的依赖，从根本上解决了部分业务过于耗时的问题。现如今有多家知名公司都已开始了SDN的研究和运用，并且已经获得了很好的收益，发展潜力巨大。相信在未来的21世纪中后期，SDN必将在网络研发领域中占有很大的角色，中国乃至世界各国都必将加大力度对SDN的研究和部署。

1.2 SDN网络架构

SDN的网络架构是将原来分布式控制的难以实现统一管控的网络架构重构为控制器集中控制的网络架构。可分为三层：应用层、控制层、数据层。随着时间的推移，单实例的控制器难适应用户的广泛需求，其使用局限性也日益凸显，因此，采用分布式的控制平面才是更加明智的选择。分布式控制器架构又分为水平分布式及层次化分布式两类：

（1）水平分布式控制器架构。其是将网络划为不同的独立区域，交换机在各自的独立区域工作。每个区域由一个控制器集中控制，不同的控制器通过信息交换来完成整个网络视图的构建。

（2）层次化分布式控制器架构。其是将控制平面分成两层结构。上层的是全局控制器，连接着所有的本地控制器，主要负责整体网络信息的控制以及维护全局网络视图。下层是各个本地控制器，只作用于本身管理的范围有限的域，对本地的交换机及节点进行管理，并只能获取本地交换机上报的网络状态信息[1]。

2SDN网络存在的安全威胁

2.1 SDN网络本身存在的短板

SDN 解耦了控制和数据，使得网络的状态在逻辑上是集中的，并且底层网络基础设施也是集中的，整个网络从应用程序中抽象出来。因此，SDN 体系架构使网络能够监控通信流量并诊断威胁，以促进网络取证、安全策略更改和安全服务插入。然而，控制逻辑的集中化和 SDN 的可编程性带来了新的威胁，主要有①攻击者伪造或虚假的业务流;②针对交换机脆弱性的攻击;③针对安全通道的攻击;④针对控制器脆弱性的攻击。

2.2 短板可能引发的后果

攻击者的目的是使得系统为合法用户服务的质量下降，甚至无法提供服务。实质上是一个资源占用的问题。这种攻击会耗尽 SDN 基础设施不同组件的资源，包括数据平面中的三态内容寻址存储器（Ternary Content Addressable Memory，TCAM）和缓冲存储器、控制通道的带宽以及控制器的 CPU 和存储。这种攻击很容易在短时间内使控制器过载[2]。

3SDN网络安全技术保障措施

3.1 区块链技术的应用

SDN大大简化了控制功能解耦的网络管理数据平面，成为未来网络的重要部分。但是，随着网络规模不断扩大，SDN 控制器在网络控制决策中的决定性地位，控制器很容易成为攻击者的目标。针对 SDN 存在的 DDoS/DoS 攻击、单点失效等安全问题，SDN各控制器智能地分布在不同的地理位置上，以缓解 “单点失效”问题;使用区块链技术，在各 SDN 控制器上构建一个由一个可读取、可添加、不可删除的分布式数据库组成的区块链存储，共同维护区块的记录列表。

3.2 区块链技术针对SDN短板的作用机制

区块链技术起源于比特币，在中本聪 2008 年发表的《比特币：一种点对点的电子现金系统中》一文中，区块（Block）和链（Chain）作为比特币的核心技术提出。 区块链以去中心化、不可篡改性、不可伪造性、可验证性以及匿名性，使得SDN自身的短板逐一解除。随着区块链的发展，尤其是与智能合约的结合，已经不仅仅被运用在数字货币等金融领域，也应用于能源互联网（能源区块链）、医疗事业（医疗区块链）、共享单车等[3]。

4结束语

SDN网络在方便人们生活的同时，也带来了不少的安全隐患，但这并不能阻碍SDN网络在我们生活中的推广和使用，未来也必将会产生新的技术来解决其本身存在的短板。笔者上文所详细阐述的区块链技术能很大程度上解决SDN带来的些许安全隐患，但是未来仍将出现我们所难以解决的难题，这也是新事物发展的必然。由于篇幅和时间的限制，本文不能更加详细阐释SDN所面临的新的问题以及更多解决网络安全的技术办法，望读者加以谅解。

参考文献

[1] 胡尧，龚文杰，曾振，等.软件定义网络安全技术研究[J].电子世界，2020，（1）：103.

[2] 郭磊，张旭，侯维刚，等.软件定义多维光网络研究进展与展望[J].通信学报，2020，41（1）：152-161.

[3] 肖世清.基于计算机网络技术的计算机网络信息安全及其防护策略探讨[J].轻纺工业与技术，2020，49（1）：153，160.