基于软件定义通信网络的技术与安全体系分析

◆钱富

基于软件定义通信网络的技术与安全体系分析

◆钱富

（海装驻杭州地区军代室浙江 浙江 310000）

本文主要基于软件定义通信网络，深入分析网络安全体系构建，同时总结企业内网应用经验，建设系统化技术体系，为实践应用提供参考。

软件定义通信网络；技术；安全体系

早期软件定义网络，构建了数据与控制分离软件定义网络架构，利用软件方式，编程网络控制，为安全解决方案提供处理思路，有效处理网络边界模糊、云数据中心流量监控难度大、安全按需交付、管理边界定义难问题。各研究机构、生产厂家参与软件定义网络研发，相应扩展了软件定义网络体系结构，且网络开放性、控制灵活性、运维高效性优势显著。研发深度持续加大，人们开始关注到安全问题。本文基于应用层、控制层，深入分析软件定义网络安全隐患，提出安全技术框架，为技术研究提供理论依据。

1 软件定义网络体系架构

按照ONF发布的软件定义网络白皮书，将软件定义网络划分为控制层、应用层、基础设施等框架。其中，应用层组成包括业务应用。控制层组成包括软件定义网络控制软件，负责维护拓扑信息、网络状态，科学编排处理数据平面。基础设施层涉及网络设备简化，负责收集流表状态，处理和转发数据等。从本质上看，软件定义网络具备控制、转发、分离功能；设备资源虚拟化功能；软件与硬件可编程功能，确保网络控制精细度，使管理复杂度降低，以此加强网络创新能力，还可以优化用户体验。

图1 软件定义网络应用框架

2 软件定义网络安全体系

软件定义网络安全体系，涉及应用层、控制层、数据转发层，必须关注每个层次网络威胁问题，同时提出科学化应对对策，图2为软件定义网络结构图。

图2 软件定义网络结构图

2.1 应用层

对于系统应用层，涉及到大量软件定义网络控制器接口，具备较高开放性，极易出现接口风险。由于应用授权机制成熟度不足，若攻击者利用漏洞隐患，将会导致接口攻击，恶意安装应用等。同时，策略冲突检测机制不成熟，应用程序所提供的流量策略，极易产生相互影响，从而丧失安全防护效果。

对于上述安全威胁，采用以下措施予以处理：首先，NICE方案：围绕事件处理程序、执行模型，做好强制检查，准确定位区块链技术平台，获取未修改控制器状态、空间。通过相关实践可知，在软件定义网络安全程序中，可以准确识别错误，具备显著应用优势。其次，Flover方案：通过断言集，对流策略予以验证，可以有效检查模型。借助NOX、YicesSMTsolver实现，对网络运行安全性进行检查。此外，技术能够实现批量化处理，加快控制器响应速度。NetPlumber，是关键策略检测方案，可以围绕网络变量增减，对网络一致性状态进行监控。Flover方案注重分析报头空间，借助项项子图，进行增量计算，注重网络状态验证。

2.2 控制层

在软件定义网络中，注重应用集中式软件控制器，由于采用集中式过程管理模式，借助控制器，完成网络配置、访问控制、网络安全部署等，会产生单点失效风险，主要涉及以下几种：第一，控制器稳定性、可靠性风险；第二，对于AAPT，会对集中控制方式产生攻击影响。如果出现攻击影响，将会加剧网络瘫痪。第三，集中式管理，极易受到DoS、DDoS攻击影响。第四，由于网络具备开放性特点，从而会产生网络监听、网络攻击风险。由于软件定义网络布设在通用服务器、计算机服务器上，因此控制器会加剧操作系统安全风险。

2.3 数据转发层

转发层位于软件定义网络底层，涉及到大量交换机，对数据包予以转发处理。对于交换器，能够为终端用户提供网络访问窗口，同时在交换器端口附加攻击链。对交换机安全性危害较大。转发层安全威胁比较多，涉及DoS攻击、中间人攻击，本文以中间人攻击为例分析。

第一，安全威胁：控制器、交换机运行中，会出现中间人攻击，为常见网络入侵方式。向源节点、目标节点间，通过代理节点，有效拦截和篡改通信数据，不能对过程予以检查。中间人攻击，牵扯到端口镜像、DNS欺骗、会话劫持等，在通信数据中的作用显著，且攻击方式简便。控制数据包转发之后，入侵者会进一步攻击系统。

第二，处理措施：当前，在处理中间人攻击时，需要将安全通道设置在控制器、交换机之间，通过安全传输层协议，有效保护数据通信。部分技术人员提出，通过FlowChecker，可以有效性处理上述问题，并且采集交换机模型。通过二进制决策图纸、模型检查技术，能够分析和验证配置执行情况，找寻出交换机内部配置措施。此外，FortNOX能够提供安全强化策略，基于身份验证、角色授权等，通过创新算法，可以找寻出规律冲突。由于算法具备较强鲁棒性，在遭受恶意攻击后，也可以发挥出功能作用。控制器、交换机，可以借助VeriFlow作为中间层，动态监测网络变量。当插入新规则，则开展Mininet实验。

3 软件定义网络具体应用

3.1 案例背景

某企业应用虚拟化技术、软件定义网络技术，作为专网建设技术，该企业内网规模非常大，管理难度高，且部分结构较为复杂。在网络体系中，节点数可以达到数千个。开展网络管理时，注重网络运行效率、安全防护管控。为了实现网络性能，企业注重业务发展，相应增加网络数据流体量。

3.2 优化方案设计

按照上述应用背景，将虚拟化技术、软件定义网络技术应用到专网设计中，可以建设高安全度、良好性能的网络架构。利用虚拟化技术，优化整合企业网络、终端软件、硬件资源，同时建立虚拟化网络、硬件资源库。注重网络重新规划，合理应用各类资源。融入软件定义网络技术，可以消除传统网络结构不足，确保数据转发层、控制层的独立状态，采用集中控制模式，改变网络拓扑结构。

3.3 安全体系

由于软件定义网络技术具备安全性，在优化设计企业专网时，建立软件定义网络安全体系，充分发挥出软件定义网络技术优势。第一，安全监测：安全检测模块，可以监测蠕虫、僵尸网络、DDoS攻击。该模块能够有效检测安全风险。深度挖掘安全风险，准确识别和判断风险类型。第二，DDoS检测：检测模块应用软件定义网络技术集中控制特点，通过流表统计法，高效采集攻击数据，通过静态流表方式，快速响应DDoS攻击。第三，网络监控：网络监控内容，牵扯到利用率、网络延时、安全开发、吞吐量。通过控制器，对网络行为进行分析，如果出现异常问题，及时提出报警指令，隔离异常点。在应用层，注重安全服务准则控制，则判断控制器接口、服务、应用安全性，同时确定异常应用，纳入到非法应用中。此外，利用可编程接口，能够有效控制和排除安全风险，加强控制器安全风险等级。第四，入侵检测系统/入侵防御系统：通过入侵检测系统，能够对网络范围进行划分。根据虚拟机迁移，对技术方案进行调整，安装静态流表，提升响应速度。

4 结束语

综上所述，软件定义网络属于新型网络体系，可以改善传统网络结构不足，消除安全防护单一、扁平化问题。软件定义网络可以提升网络安全等级，使运维管理难度降低，值得推广应用。

[1]向敏，饶华阳，张进进，等.基于图卷积神经网络的软件定义电力通信网络路由控制策略[J]. 电子与信息学报，2021，43（02）：388-395.

[2]安进朝.基于软件定义网络的技术与安全体系探索[J].网络安全技术与应用，2021，25（01）：6-7.

[3]严兰婷，曲至诚，张更新. 软件定义网络在卫星通信网络中的应用研究[C]. 中国通信学会卫星通信委员会、中国宇航学会卫星应用专业委员会. 第十六届卫星通信学术年会论文集.中国通信学会卫星通信委员会、中国宇航学会卫星应用专业委员会：中国通信学会，2020：137-143.

[4]李水宏，洪江. 软件定义网络（SDN）技术在现有通信网管中的应用与挑战[J]. 通讯世界，2019，26（07）：168-169.

[5]李赛飞，闫连山，李洪赭，等.铁路通信网络安全的分析测试与可信防御研究[J]. 西南交通大学学报，2018，53（06）：1130-1136+1149.

[6]季佳华.基于软件定义网络的技术与安全体系研究[J].网络安全技术与应用，2017，20（11）：36-37.

[7]杨阳，汪玉成，吕玉祥，等.基于软件定义的电力通信网络业务感知流量调度机制研究[J]. 自动化与仪器仪表，2017，36（08）：146-149.

[8]邝瑶. 基于流规则的软件定义网络安全技术及算法研究[D]. 重庆邮电大学，2018.

[9]董美霞. 通信体系构建过程中的软件定义网络研究[J]. 通信电源技术，2020，196（04）：198-199.

[10]朱良海，张义超，袁震. 构建基于SDP技术的网络安全体系[J]. 网络安全和信息化，2019，000（012）：109-112.