SDN 特有的网络安全问题

由于 SDN 采用与传统网络不同的体系结构，因此 SDN 网络安全很难与传统网络安全技术找到对应关系。SDN 网络采用应用平面、控制平面与数据平面的三层结构，并且采用很多新的实现技术与方法，而这些层次内部、层次之间的通信与协议都会成为网络攻击者的潜在目标。

一、SDN 体系结构的安全性

由于 SDN 从体系结构上颠覆了传统网络，采用数据平面与控制平面分离的方式，控制平面通过逻辑集中的控制器来控制数据平面的数据交换过程，因此控制平面中的控制器的安全性将直接影响网络服务的可用性、可靠性与数据安全。从网络安全的角度来看，控制器的安全风险表现在以下几个方面：

• 由于网络安全设备与被保护的节点、网络之间不再采用物理连接，因此攻击者可以通过流的重定向绕过安全策略要求的安全机制。

• 攻击者可通过传统的网络窃听、蠕虫、恶意代码等方法，窃取 SDN 网络管理员的账户与密码进入控制器，进行非法操作，实施网络攻击。

• 利用控制器的安全漏洞或开放接口，攻击者通过注入或下达错误指令等手段，更改应用系统的请求，造成发送的请求参数与业务逻辑不符，实施 DoS 攻击。

• 攻击者通过对不安全的开放接口进行监听，窃取敏感数据或修改数据包内容，也可以采用中间人攻击方法，重放或修改数据请求。

• 如果应用接口没有采取安全检查机制，则很容易被攻击者利用，向网络设备发送大量无用的流表，引发 DDoS 攻击。

二、数据平面的安全问题

数据平面中关键的风险区域是南向 API，例如 OpenFlow、Open vSwitch、数据库管理协议（OVSDB）等。OVSDB 是管理数据平面网络元素的工具，同时它也使得网络安全不再被限制在网络设备供应商，而是显著增加了网络基础设施的攻击表面。这里所说的“攻击表面”是指系统中可利用的漏洞。网络安全性可能被不安全的南向协议破坏，攻击者能够在流表中增加非法的流，进行流量欺骗或窃听数据等攻击。更直接的攻击是破坏南向 API，使攻击者能够直接控制整个网络元素。针对这类攻击，可采用传输层的 TLS 协议，为数据传输提供三种安全保护：

• 保密性：保证传输层的数据不会被窃听或泄露。

• 消息完整性：保证传输层的数据不会被篡改或替换。

• 身份鉴别：通过公钥证书验证通信双方的身份，有助于阻止欺骗性的控制器活动，以及攻击者在网络设备中发起的欺骗性的流。

三、控制平面的安全问题

在 SDN 系统中，所有对管理、编排、路由和网络流量的控制，都集中在单个控制器或几个分布式的控制器中。如果攻击者能够成功渗透到控制器中，就可以获取对全网的控制能力。因此，SDN 控制器必然是一个重点保护的目标。对控制器安全技术的研究主要涉及以下几个方面：

• DDoS 攻击防护：一个高可用的控制器体系结构可在某种程度上降低 DDoS 攻击的影响。为了实现这个目标，一是要加强对 DDoS 攻击检测方法的研究，二是研究在发生 DDoS 之后如何利用冗余控制器来弥补失效控制器。

• 访问控制：针对控制器的访问控制技术方面的研究，主要有基于角色的访问控制（RBAC）、基于属性的访问控制（ABAC）等。

• 恶意代码防护：针对控制器的病毒、蠕虫、木马等防护技术。

• 网络安全设备：针对控制器的防火墙、IDS 与 IPS、网络审计与取证等技术。

四、应用平面的安全问题

北向接口的 API 与协议也是攻击者的一个重要目标。如果网络攻击者成功地突破了北向接口，就可以获得网络基础设施的控制权，这样造成的后果会更加严重。

SDN 应用平面的安全防护有两个目标：一是阻止未授权用户与应用访问控制器；二是防止攻击者利用应用系统的漏洞，获取对应用平面的控制权。针对这个问题，可以采用的防护技术包括：一是通过身份认证来鉴别应用系统对控制平面的访问权，二是针对黑客有可能攻击应用系统和控制器之间的通信，采用 TLS 或类似协议来确保通信的安全性。

SDN 体系结构中任何环节的漏洞和考虑不周，都有可能形成对 SDN 的潜在安全隐患。随着 SDN 技术及其应用的快速发展，SDN 的安全问题的研究也会不断演变与发展。