关于软件定义网络安全技术的探讨

摘  要：网络业务的不断拓展，使网络服务水平得到很大提升，当前已经在数据中心、云计算等过程中得到了广泛运用。为提升网络体系的可拓展性，站在安全保障的需求出发，完善网络服务体系，运用软件定义网络构建更为完善的网络系统。针对当前网络技术在维护方面存在的局限性，考虑如何完善网络架构的问题，便于网络体系更好地适应网络业务。

关键词：软件定义网络;安全技术;云计算

中图分类号：TP393.08      文献标识码：A 文章编号：2096-4706（2019）10-0170-02

Abstract：With the continuous expansion of network business，the level of network service has been greatly improved and has been widely used in data centers，cloud computing and other processes. In order to improve the expansibility of the network system，the network service system is improved and the software-defined network is used to build a more perfect network system based on the demand of security guarantee. In view of the current network technology in the maintenance of the limitations，consider how to improve the network architecture，so that the network system better adapt to the network business.

Keywords：software defined networks;safety technology;cloud computing

0  引  言

架构网络系统之前，先了解当前网络系统运行情况，根据实际情况构建完善的网络传输平台。加快网络系统、计算机技术互联互通，提高网络系统服务能力，以专用接口为基础，提升网络系统的开放化和先进性，将控制平面与转发平面相分离，便于对网络体系进行整体管控[1]。提高网络系统的传输及保护能力，及时克服当前网络系统存在的异构网络、分布式协议等扩展困难问题，更好增强软件定义网络的运用技术，提高整个系统的安全防护能力，由此为用户提供可靠的网络服务。

1  软件定义网络的介绍

软件定义网络是一种网络虚拟化的架构形式，通过将网络设备控制面与数据控制面相分离，让网络通道变得智能化，便于对网络流量进行灵活控制[2]。软件定义网络涉及数据平面关键技术、控制平面关键技術。数据平面关键技术主要依赖于交换机、控制器，采取控制器与交换机频繁交互的方式，实现网络信息发送。控制平面关键技术是整个网络系统的逻辑中心，作为控制平面的核心部件，要想提高控制器的扩展性，就要及时采取措施提升控制器的处理能力。

2  现阶段软件定义网络防护过程中存在的不足

2.1  缺乏对控制器数值的有效分析

在平时工作中，作业人员采用实时检查的方式，及时掌握系统运行状态，但是部分人员却忽视了对控制器数值的及时分析，调节控制器数量时未采用动态分析法，无法及时确定控制器数量是否最优[3]。一旦系统中某一数据发生变化时，控制器运作状态发生了改变，并且还带来一系列的安全问题，无法保障控制器内部数值的可靠运行及整体系统的安全性。

2.2  未考虑到交换机与控制器的差异性

在实际工作中，交换机和控制器的运行过程存在一定差异，构建拓扑结构时需要先确定控制器与交换机的对应关系，根据这两者在功能上的差异，采取相应的补救措施和改善策略。然而，部分人员在构建拓扑结构时，在没有明确控制器与交换机这两者对应关系的情况下就采取拓扑结构完善措施，规划方案不够合理，由于没有明确控制器与交换机的差异性，导致控制平面的架构方案不具备可行性[4]。

2.3  系统负载不均衡

在控制平面环节，当其中一个控制器发生故障，其他控制器的网络状态也发生了改变，这给网络安全管理工作带来难度。但是在网络管理中，一些人员利用控制器对交换机进行管理，由于未考虑到控制器数量的变化，因此最终出现了系统负载不均衡的情况。

3  软件定义网络的安全控制技术

3.1  通信网络安全

通信网络安全技术的主要属性是完整性、保密性，通信网络的安全性是人们关注的热点问题。早期对通信网络安全问题的控制，主要是运用集中控制器来进行，采取主机验证策略逐步实施安全控制[5]。在网络体系架构中，工作人员将一个集中控制器引入全局，采用最简单的方式促进文字和数据的相互交换，简化网络策略，采用可编程技术提高对网络系统的安全控制技术，这使得恶意攻击的行为无法直接侵入用户电脑，同时利用集中防控策略控制整个网络。通信网络系统的安全问题主要存在于用户协议、恶意攻击方面，对于用户来说，要想保障个人电脑中的信息不被窃取，就要加强信息验证，及时采取验证的方式提高对网络传输层的防控能力。在交换机和控制器之间进行验证，积极体现安全控制过程的标准化处理，对各种网络攻击行为，工作人员及时了解集中控制和通信网络系统的本质，采用可编程法提高整个系统对黑客、恶意攻击等事件的防御能力，利用防护组件，提高数据传输层的安全程度，避免各个层次内的数据受到攻击。

3.2  安全管控机制

工作人员利用设备终端来提供有效的网络安全功能，依据系统的可编程特性，将流量及时导入网络中间设备中，从而形成了一个功能完善的网络安全系统。了解与安全检测有关的知识，加强对集中控制器的响应能力，通过再次改进让网络系统具备很强的安全状态检测和响应功能，将动态检测技术运用于网络安全状态检测中，提高整个网络系统的安全能力[6]。采用安全策略在控制装置中引入终端网络设备，以保障系统安全为主要目标，在安全管控机制运用中，引入实时跟踪机制，在系统中做好安全标记，便于网络信息在交换机与中间设备之间进行灵活转换，实现数据转换过程动态化。在中间设备运行中引入策略分解层，网络管理员在中间设備运行过程中采用主动策略进行管理，将系统中存在的缺陷进行及时修改，将中间设备与集成器结合起来，采取中间装置组合的形式提高网络运行的可靠性，加强网络安全防护，使系统在扩展方面的缺陷得到及时处理。

3.3  流量监控技术

在网络防御中作业人员采用流量监控技术，实时掌握网络流量运用情况和系统的运行状态，利用流量控制功能加强网络体系防御，这是防范网络攻击的一种主要方式。在网络管理中，工作人员采用逻辑集中控制器实施流量控制策略，在网络设备和主机之上增添安全控制装置，提倡利用高级安全策略来访问系统，采用查询终端、用户信息管理等多种方式加强安全防护，根据用户需求，及时考虑如何提升网络体系防护能力的问题。创新思路，借助系统的可编程性，加强系统功能改进的尝试，大胆尝试利用网络设备，借助集中控制器来实现部分功能分离，保持各个装置之间相对独立，且相互联系，避免某一装置遇到安全瓶颈。保障服务是检测系统运行的主要动力，利用网络体系架构，以免网络系统遭到攻击，及时明确网络防护方案，结合系统运作环境，采用安全防护理念，加强对计算机、网络体系的性能检测，便于增强入侵检测技术运作的实效性。

3.4  网络功能的实现

在软件定义网络实现的过程中，及时了解软件定义网络技术的运用关键，采用开放形式拓展网络系统，采用成熟技术进行系统功能完善，便于更好地实现软件定义网络。对控制器进行集中化处理，以系统运行技术作为基础，获得控制器支持以后，及时改变某一设备信息封闭的现状，采取虚拟化形式对控制器内部信息进行集中管控，便于掌握控制器内部数据信息的有效性[7]。根据底层网络对数据传输的影响，运用交换机快速转换数据层的信息，对整体网络进行虚拟化控制，利用集中化处理法，有效实现软件定义网络。数据层与信息传输层之间保持相对独立，工作人员在转发数据层信息的环节，运用交换机很好地保障控制层功能，最终实现对各个层次网络信息的集中化掌控。

3.5  云计算的实现

广泛利用软件定义网络开展工作，但是攻击事件时有发生，鉴于此，要及时突破网络安全防护技术，借助云计算的环境，利用专用设备对系统内部的虚拟化数据进行实时管控。云计算的功能还体现在网站安全、流量管理、数据监管、资源管理、服务开通、数据分析、服务编排、数据采集、入侵检测等多个环节，利用云管理平台提高网络系统的防护功能。云计算功能的实现还要依赖于硬件安全设备、虚拟化安全设备、安全资源管理等部件，利用安全控制平台为用户提供编程接口，同时形成完善的业务管理平台，对安全策略、信息采集、系统异常信息等各项工作进行严格监控，采用自动化管理流程提升云计算过程的安全性。

4  结  论

综上所述，本文以网络安全为探讨主题，首先介绍软件定义网络，然后分析现阶段软件定义网络在防护过程中存在的不足，最后研究软件定义网络的安全控制技术。为保障网络系统功能的正常实现，要加强通信网络安全管理，采取主机验证策略逐步实施安全控制，将动态检测技术运用于网络安全状态检测中，引入终端网络设备，采用主动策略进行管理，提升网络体系的防护能力，及时为用户提供编程接口，便于提升用户体验，增强系统防护能力。

参考文献：

[1] 张向银.软件定义网络技术及安全风险研究 [J].保密科学技术，2018（5）：36-43.

[2] 崔鸣石，杜娜，李国强，等.浅析软件定义网络（SDN）在电力信息通信网的研究与应用 [J].网络安全技术与应用，2018（3）：104-105.

[3] 卢振平，陈福才，程国振.软件定义网络中控制器调度时间机制设计与实现 [J].网络与信息安全学报，2018，4（1）：36-44.

[4] 卜毅，包学才.基于软件定义网络架构的无线传感网络研究进展 [J].信息通信，2018（1）：37-40.

[5] 王天明，符天.基于扩展OpenFlow流标结构增强SDN网络安全性研究 [J].软件，2018，39（7）：1-5.

[6] 石悦，李相龙，戴方芳.一种基于属性基加密的增强型软件定义网络安全框架 [J].信息网络安全，2018（1）：15-22.

[7] 刘世文，马多耀，雷程，等.基于网络安全态势感知的主动防御技术研究 [J].计算机工程与科学，2018，40（6）：1054-1061.

作者简介：卜莹雪（1981.10-），女，汉族，江西南昌人，讲师，本科，研究方向：计算机网络。