本文分析了当前SDN安全相关的研究论文，综合各类观点总结出本篇文章

文章目录

一：网络空间安全概述
- 1.1：网络空间
- 1.2：网络空间安全
- 1.3：网络空间安全形势
二：SDN概述
- 2.1：简介
- 2.2：技术优势
- 2.3：发展现状
三：SDN安全问题
- 3.1：SDN安全模型与传统网络安全模型对比
- 3.2：OpenFlow协议安全性
- 3.3：SDN各层/接口面临的安全问题
四：SDN安全机制
- 4.1：解决方案：
- - 4.1.1 SDN安全控制器的设计与开发
  - 4.1.2 可组合安全模块库的开发和部署
  - 4.1.3 控制器DoS/DDoS攻击防御
  - 4.1.4 流规则的合法性和一致性检测
  - 4.1.5 北向接口的安全性
  - 4.1.6 应用程序安全性
- 4.2：SDN安全研究展望.
五：参考文献

一：网络空间安全概述

1.1：网络空间

人类社会在经历了机械化、电气化之后, 进入了一个崭新的信息化时代. 在信息时代, 信息产业成为第一大产业. 信息就像水、电、石油一样, 与所有行业和所有人都相关, 成为一种基础资源. 信息和信息技术改变着人们的生活和工作方式. 离开计算机、网络、电视和手机等电子信息设备, 人们将无法正常生活和工作. 因此可以说, 在信息时代人们生存在物理世界、人类社会和信息空间组成的三维世界中. 为了刻画人类生存的信息环境或信息空间, 人们创造了 Cyberspace 一词. 然而 Cyberspace 一词在我国的译名尚不统一. 如有信息空间、网络空间、网电空间、数字世界等, 甚至还有译音: 赛博空间. 早在 1982 年, 加拿大作家 William Gibson 在其短篇科幻小说《燃烧的铬》中创造了 Cyberspace 一词, 意指由计算机创建的虚拟信息空间, Cyber 在这里强调电脑爱好者在游戏机前体验到交感幻觉, 体现了 Cyberspace 不仅是信息的聚合体, 也包含了信息对人类思想认知的影响. 此后, 随着信息技术的快速发展和互联网的广泛应用, Cyberspace 的概念不断丰富和演化

目前, 国内外对 Cyberspace 还没有统一的定义. 我们认为它是信息时代人们赖以生存的信息环境, 是所有信息系统的集合. 因此把 Cyberspace 翻译成信息空间或网络空间是比较好的. 其中信息空间突出了信息这一核心内涵, 网络空间突出了网络互联这一重要特征.

1.2：网络空间安全

信息安全是信息的影子, 哪里有信息哪里就存在信息安全问题. 从信息论角度来看, 系统是载体, 信息是内涵. 网络空间是所有信息系统的集合, 是人类生存的信息环境, 人在其中与信息相互作用相互影响. 因此, 网络空间存在更加突出的信息安全问题. 其核心内涵仍是信息安全. 当前, 一方面是信息技术与产业的空前繁荣, 另一方面是危害信息安全的事件不断发生. 敌对势力的破坏、黑客攻击、恶意软件侵扰、利用计算机犯罪、隐私泄露等, 对信息安全构成了极大威胁. 除此之外, 科学技术的进步也对信息安全提出新的挑战. 由于量子和 DNA 计算机具有并行性, 从而使得许多现有公钥密码 (RSA、ELGamal、ECC 等) 在量子和 DNA 计算机环境下将不再安全. 因此, 网络空间安全的形势是严峻的 . 对于我国来说, 网络空间安全形势的严峻性, 不仅在于上面这些威胁, 更在于我国在 CPU 芯片和操作系统等核心芯片和基础软件方面主要依赖国外产品. 这就使我国的网络空间安全失去了自主可控的基础.

数学 (代数、数论、博弈论等)、信息理论 (信息论、系统论、控制论)、计算理论 (可计算性理论、计算复杂性理论) 是网络空间安全学科的理论基础, 而博弈论、访问控制理论和密码学理论是网络空间安全学科所特有的理论基础.

在设计和分析信息系统安全时, 不仅涉及到技术, 还涉及到系统的组织管理和法律保障等诸多方面. 除此之外, 因为人是系统的管理者和使用者, 因此人是影响信息系统安全的重要因素. 又因为信息安全领域对抗的本质是人与人之间的对抗, 而人是最智能的. 不考虑人的因素, 是不可能有效解决信息安全问题的. 因此, 我们应当, 以人为核心, 运用定性分析与定量分析相结合、注意量变会引发质变、综合处理、追求整体效能, 解决信息安全中的理论、技术和应用问题。

1.3：网络空间安全形势

随着信息技术和网络的快速发展，国家安全的边界已经超越地理空间的限制，拓展到信息网络，网络安全成为事关国家安全的重要问题。当前世界主要国家进入网络空间战略集中部署期，国际互联网治理领域出现改革契机，同时网络安全威胁的范围和内容不断扩大和演化，网络安全形势与挑战日益严峻复杂。当前网络安全形势与挑战：

1、世界各国加速网络安全战略落地部署，网络空间国家间的竞争与合作日趋凸显
2、国际互联网治理领域迎来新热潮，ICANN全球化成为改革要务
3、网络安全威胁层出不穷，网络基础设施隐患重重
4、智能家居、工业控制系统、车联网等新兴技术产业面临严峻网络安全威胁
5、顶层统筹全面加强，我国网络安全工作立足新起点施展新作为

二：SDN概述

2.1：简介

随着信息化发展，传统网络逐步发展成提供多媒体业务的融合网络，但传统架构越来越无法满足高效灵活业务的承载需求，面临一系列困境。比如：管理运维复杂,缺少集中管控；新技术的引入严重依赖现网设备，网络技术创新困难；设备日益臃肿，技术演进实现的复杂度显著增加。

为了摆脱传统网络封闭架构的困境，增强网络灵活配置和可编程的能力，软件定义网络SDN（Software Defined Network）技术应运而生。相较于传统网络，SDN通过把网络的控制层和转发层分离，用集中控制器取代原来的路由协议自协商方式，极大提升了网络的管控效率和灵活性。

SDN 起源于2008年美国斯坦福大学教授Nick McKeown等人的Ethane项目研究，研究团队在ACM SIGCOMM发表了题为“OpenFlow：Enabling Innovation in Campus Networks”的论文，首次详细介绍了SDN 的概念，其主要思想是将传统网络设备的数据平面和控制平面分离，使用户能通过标准化的接口对各种网络转发设备进行统一管理和配置。这种架构具有可编程可定义的特性，对网络资源的设计、管理和使用提供了更多的可能性，更容易推动网络的革新与发展。

如下图所示，SDN 采用控制与转发分离、软件可编程的网络体系架构，其架构由应用平面（Application Plane）、控制平面（Control Plane）和数据平面（Data Plane）组成。

数据平面：该平面由若干网元组成，每个网元可以包含一个或多个SDN Datapath。每个SDN Datapath是一个逻辑上的网络设备，单纯被用来转发和处理数据。数据平面主要负责数据的处理、转发和状态收集。
控制平面：该平面由SDN控制器组成，主要负责两个任务：一是将SDN应用的请求转换到SDN Datapath，二是为SDN应用层提供底层网络的抽象模型。一个SDN控制器包括北向接口代理（NBI）、SDN控制逻辑和控制平面接口驱动（CDPI驱动，也称南向接口驱动）三部分。CDPI 将转发规则通过SDN控制逻辑发送到网络设备,要求能够匹配不同厂商和型号的设备,不影响控制层及以上的逻辑。NBI 允许第三方开发个人网络管理软件和应用,为管理人员提供更多选择。
应用平面：该平面由SDN应用构成，SDN应用能够通过可编程方式把需要请求的网络行为提交给控制器，其包含多个北向接口驱动（NBI驱动），同时可对自身功能进行抽象、封装来对外提供北向代理接口。

2.2：技术优势

SDN的控制转发分离、逻辑集中控制、开放网络编程API被视为SDN 区别于传统网络技术的三个主要特征，同时也为SDN带来很多优势：

1、更高效的资源利用：相比传统网络，SDN控制器监控网络基础设施的状态，能够更加智能和灵活地调配网络资源，减少盲目的网络资源投资，提高资源利用率。
2、更弹性的资源调度：应用层可通过标准的北向接口制定符合其业务需求的网络策略，由SDN 控制器将策略配置到网络设备中，实现资源的弹性调度。
3、更灵活的集中管理：标准化的南向接口屏蔽了设备的异构性，实现了异构网络设备的集中化统一管控。另外，SDN 控制器能够实现网络的集中管控，网络运维人员能够基于完整的网络全局视图实施网络规划。

2.3：发展现状

2011 年，Google、Microsoft、Facebook、Yahoo 等企业推动成立了非营利性组织开放网络基金会（ONF - Open Networking Foundation）。ONF 是目前推动SDN 发展和标准化的最有影响力的组织，其成员主要是网络服务提供商、电信运营商和科研机构。ONF推出了Open Flow协议及其后续版本，目前已推出 1.5版本。ONF对SDN 的南向接口协议也做出了贡献，推出了支持 Open Flow协议的交换机的配置协议 OF-Config，目前已经发展到 1.2版本。

2013 年，18 家企业共同成立了ODL（Open Day Light）组织，主要目标是推动SDN控制器的发展，但并不指定SDN标准。ODL要打造从南向接口开始的全方位网络操作系统，包括中心控制平台、北向接口、服务、网络应用，但不包括转发层面，允许全世界的开发人员基于他们的系统进行二次开发。ODL从2014 年 2 月开始，先后发布了SDN 控制器版本 Hydrogen、Helium、Lithium、Beryllium 等多个版本。

在运营商方面，SDN与 NFV（Network Function Virtualization，网络功能虚拟化）结合，实现以通用硬件以及虚拟化技术实现网络功能的方案，这种方案可以降低网络成本，使业务对硬件的依赖性降低，业务部署速度也大大提升。

三：SDN安全问题

3.1：SDN安全模型与传统网络安全模型对比

由图5可知.集中管控使得控制器对网络流量具有极强的控制能力.在各项配置策略的细粒度、实时推送方面具有独特优势.但这种工作模式也给网络的安全模型带来了较大冲击.主要体现在两个方面.

(1) SDN与传统网络对信息流的控制方式不同.在传统网络环境中.如图3(a所示.防火墙等安全设备被部署在网络的关键位置.信息流被强制性地从这些安全设备中流过,以便安全设备可以对其进行实时监控和检测.相对于传统网络.SDN是一个流规则驱动型网络.SDN中的信息流是否流过某个安全设备以及何时流过该安全设备,均由控制器下发的流规则决定.物理的安全设备自身并不具有决定权.如图3(b)所示.若控制器下发的流规则指定某些数据包的转发方式按路径1(红色路径)执行.因路径1中的数据包流经SDN的安全设备.所以安全设备可根据相关的安全策略对数据包进行检查.相反地.若数据包的转发方式按路径2(绿色路径)执行.则它们便能够绕过SDN中的安全设备,从而导致预先部署的安全防护措施失效.

(2) SDN 与传统网络对网络安全态势信息的获取方式不同.在传统网络中.如图5.a所示.当管理员需要获取当前网络的安全态势信息时.由于网络缺乏统一的控制中心.管理员需要同时向多个设备发送状态请求信息,在对收到的状态信息进行综合评估后.才能得出网络当前的安全态势信息.而在SDN中.如图5(b)所示.控制器作为整个网络的“指挥控制中心".已为整个网络建立了全局视图.能够实时获取全网的各种状态信息.因此.网络的安全态势信息可以直接从控制器中轻易获取.然而.SDN这种便捷的网络态势信息获取方式也极易被攻击者利用.使他们能够轻易地获取到网络的安全状态信息并伺机发起大规模的攻击.

3.2：OpenFlow协议安全性

OpenFlow协议是ONF 标准化组织唯一确定的SDN南向接口通信规范.目前协议版本已更新至OpenFlow1.5.依据OpenFlow 协议.控制器和交换机之间通过安全通道进行连接,安全通道采用安全传输层协议TLS对消息进行加密和认证.参照TLS 1.2协议标准.控制器和交换机建立TLS连接的基本认证过程如图6所示

当交换机启动时.首先尝试连接至用户指定的TCP端口或控制器的6653TCP端口.双方通过交换数字证书相互进行认证.同时,每个OpenFlow交换机至少需要配置两个证书.一个用于认证控制器的合法性.一个用来向服务器证实自身的合法身份.交换机和控制器证书的生成和分发过程如下

(1)由证书管理机构生成站点范围内的证书;
(2)生成控制器证书;
(3)生成交换机证书;
(4)使用站点范围内的私钥对证书进行签名;
(5)将密钥和证书分别发放到各个设备中.

由于TLS协议的认证过程涉及多次握手及信息确认步骤.操作较为繁琐.因此.继OpenFlow协议1.3.0版本之后.新版本的OpenFlow协议将TLS协议设为可选的选项.即允许控制通道不采取TLS加密处理近年来,虽然有关SDN的安全方案不断被提出;但OpenF1ow协议仍面临着一些重要的安全问题.

(1)安全通道可选.由于OpenF1ow 1.3.0版本之后的协议将TLS 设为可选的选项,这使得缺乏TLS协议保护的SDN网络非常易遭到窃听、控制器假冒或其他OpenF1ow通道上的攻击.
(2)TLS协议本身的脆弱性.OpenFlow协议1.5.1之前的版本并未指定TLS加密使用的参考规范和协议版本号.版本号的不一致或错误也可能会导致一些交互操作的失败.给SDN带来一些新的安全问题[6.同时:TLS协议自身的脆弱性也使得OpenFlow协议面临着中间人攻击等安全隐患!此外,TLS协议虽然能够增加交换机和控制器之间通道的安全性.但却无法阻止交换机修改流规则.
(3)缺乏多控制器之间通信的安全规范.现有的OpenFlow协议仅给出了控制器和交换机间的通信规范.但并未指定多个控制器之间通信的具体安全协议和标准,因而多个控制器之间的通信仍面临着认证、数据同步等方面的安全问题.

3.3：SDN各层/接口面临的安全问题

依据控制与转发分离的逻辑架构,可将SDN面临的安全问题分为5个方面,如图7所示.

(1)应用层安全
应用层主要包括各类应用程序.在SDN中,除管理员制定的流规则外.一些流规则还将由OpenFlow应用程序、安全服务类应用程序和一些其他的第三方应用程序制定.并通过控制器下发至相关的交换机和网络设备.目前.针对应用程序自身的安全性保护机制并不健全.由于基础设施层的各种交换机和网络设备对控制器下发的流规则完全信任.且不假思索地执行.一旦这些参与制定流规则的应用程序受到篡改和攻击.将给 SDN带来难以预估的危害.因此.应用层面临的安全威胁主要包括:应用程序隐含的恶意代码、应用程序代码的恶意算改、身份假冒、非法访问以及应用程序自身的配置缺陷等.
(2)控制层安全
控制器是SDN 的核心.也是安全链中最薄弱的环节.SDN通过控制器对网络进行集中管控.接入到控制器的攻击者.将有能力控制整个网络.进而给SDN带来难以预估的危害.控制层的典型安全问题是集中式管控带来的控制器单点故障问题,主要体现在两个方面:①DoS/DDoS攻击:攻击者制造一系列非法的访问致使控制器产生过量负荷,从而导致控制器系统资源在合法用户看来是无法使用的.由于新的流请求到达交换机之后.交换机上若没有与之匹配的流规则.便会将整个数据包或数据包的头部转发给控制器.由控制器来制定相应的应答流规则.因此.一些攻击者会利用SDN中的一些交换机向控制器发起大量虚假的请求信息,导致控制器负载过重而中断合法交换机的请求服务.控制器在逻辑上或物理上遭到破坏:这主要是指SDN中的关键控制器在物理上或逻辑上遭到破坏,致使用户的合理请求服务被拒绝此外.控制层面临的安全威胁主要还包括非法访问、身份假冒、恶意/虚假流规则注入以及控制器自身的配置缺陷等.
(3）基础设施层安全
基础设施层由交换机等一些基础设备组成.主要负责数据的处理、转发和状态收集.对控制器下发的流规则绝对信任.因此,该层面临的主要安全威胁包括:恶意/虚假流规则注入、DDoSDoS 攻击、数据泄露、非法访问、身份假冒和交换机自身的配置缺陷等.此外.基础设施层还可能面临着由虚假控制器的无序控制指令导致的交换机流表混乱等威胁.
(4)南向接口安全
这主要是指由OpenFlow协议的脆弱性而引发的安全性威胁.OpenFlow安全通道采用SSL/TLS对数据进行加密,但由于SSL/TLS协议本身并不安全，再加上OpenFlow 1.3.0版本之后的规范均将TLS设为可选的选项.允许控制通道不采取任何安全措施,因而南向接口面临着窃听、控制器假冒等安全威胁.
(5)北向接口安全
北向应用程序接口(northbound application programming interface.简称Northbound API)的标准化问题已成为SDN讨论的热点.由于应用程序种类繁多且不断更新.目前北向接口对应用程序的认证方法和认证粒度尚没有统一的规定.此外.相对于控制层和基础设施层之间的南向接口.北向接口在控制器和应用程序之间所建立的信赖关系更加脆弱.攻击者可利用北向接口的开放性和可编程性.对控制器中的某些重要资源进行访问.因此.对攻击者而言,攻击北向接口的门槛更低.目前.北向接口面临的安全问题主要包括非法访问、数据泄露、消息篡改、身份假冒、应用程序自身的漏洞以及不同应用程序在合作时引入的新漏洞等.

四：SDN安全机制

4.1：解决方案：

针对SDN中存在的各种典型安全问题.现有解决方案的主要思路可分为6类:(1) SDN安全控制器的开发;(2)控制器可组合安全模块库的开发和部署:(3）控制器DoSDDoS攻击防御:(4)流规则的合法性和一致性检测;:(5)北向接口的安全性:(6)应用程序安全性.下面主要上述6类解决方案的主要思路、原理和特点进行探讨和分析.

4.1.1 SDN安全控制器的设计与开发

控制器是SDN的核心.它对整个网络的状态和拓扑等信息进行集中管控.一旦受到攻击.会导致SDN网络的大面积瘫痪.因此.完善的安全机制对SDN控制器而言尤为重要.目前.学术界和商业界已开发出的控制器功能各具特色.种类繁多.按照控制层的基本架构,可将现有控制器分为集中式和分布式两类.其中.集中式控制器主要包括Floodlight,Nox POx%,Beacon,、Maestro、Rosemary、Ryu、 OpenIRIS1、Trema等,分布式控制器主要包括Onix、OpenDaylight, DISCo 、Fleet、HP VAN SDN、HyperFlow、Kandoo、NVP Controller、SMaRtLight等.

大多数SDN控制器在设计和开发之初.主要关注的是网络资源的调度和控制问题,如链路发现、拓扑管理、策略制定和表项下发等方面.基本没有将控制器自身的安全问题作为核心研究内容.随着SDN的不断推广:攻击者对控制器的攻击手段和攻击方式逐渐增多.集中式管控带来的扩展性、单点故障P等缺点不断凸显.因此.安全控制器的开发和设计逐渐引起了学术界和产业界的广泛关注.目前,在SDN安全控制器的设计和开发方面.现有的研究思路可以归纳为两类:演进式安全控制器的开发和革命式安全控制器的开发.

4.1.2 可组合安全模块库的开发和部署

控制器的安全是SDN网络能够安全运行的基础.SDN通过控制器对网络进行集中管控.这种工作模式虽然在安全策略的细粒度、实时推送和流量监控等方面具有较大优势.但同时也使得控制器成为被攻击的焦点.因此.在控制器上开发和部署相应的可组合安全模块库通过这些安全模块库的相互组含和协作,不断增强控制器的安全防护能力.是SDN安全的一个重要研究方向.

4.1.3 控制器DoS/DDoS攻击防御

DoS/DDoS攻击主要是指攻击者通过傀儡主机消耗攻击目标的计算资源.阻止目标为合法用户提供服务.对于SDN控制器而言,DoS/DDoS是简单且行之有效的攻击方式.当新的流请求到达交换机之后.若交换机的流表中没有与之匹配的流规则.该交换机会将请求信息转发给控制器.由控制器制定相应的应答策略.如图9所示.当攻击者通过不同的交换机持续地向控制器发送大规模的虚假请求信息时,会使得控制器一直忙于应答攻击者的非法请求.而无暇响应合法用户的正常请求.当控制器在短时间内接收到的虚假请求信息超过一定规模时.它便可能因计算资源和内存资源消耗过度而无法正常工作.致使整个SDN网络处于瘫痪状态.

4.1.4 流规则的合法性和一致性检测

SDN是典型的流规则驱动型网络,流规则的合法性和一致性是保证SDN正常、有效运行的基础.SDN中的流规则通常由系统管理员、OpenFlow应用程序、安全服务类应用程序和一些其他的第三方应用程序共同制定后.并通过控制器下发至基础设施层的网络设备中.这些流规则是SDN交换机执行转发、数据包处理等操作的依据.由于基础设施层的网络设备对控制器下发的流规则完全信任.一旦由虚假控制器或恶意应用程序提供的流规则被执行.将使SDN的安全性面临严重威胁.因此.对流规则的合法性和一致性进行检查.防止恶意和非法流规则的扩散并确保各类流规则的正确下发和执行.对SDN的安全运行至关重要.
针对SDN中流规则的合法性和一致性检测问题.目前研究者给出的解决方案的主要思路包括两种:(1)基于应用程序的角色和优先级.对流规则的等级进行划分;(2)采用形式化和数学分析方法.对不同流规则之间的一致性和冲突性进行分析.

4.1.5 北向接口的安全性

在SDN控制层和应用层的安全交互方面.北向接口的安全性扮演着重要角色.目前.现有的各类控制器并没有为北向应用程序提供标准化的安全接口.为满足不同控制器的安全需求.开发人员需根据控制器类型的不同.重新对应用程序及其接口进行开发.由于与控制器进行交互的应用程序种类多样.版本也在不断更新.攻击者可通过北向接口的安全漏洞直接向控制器发起攻击.从而使得SDN控制器对应用程序的认证和安全管理等工作变得更加复杂

4.1.6 应用程序安全性

在SDN网络中.应用程序自身的安全性主要是指SDN核心设备中的一些应用程序本身是否存在安全漏洞，以及这些应用程序是否会因为受到某些攻击而使得SDN中一些关键信息的安全性受到威胁.
SDN中的一些流规则是由OpenFlow应用程序、安全服务类应用程序和一些其他的第三方应用程序共同制定的.这些应用程序自身的安全程度直接决定着流规则能否正常生成和更新,而流规则又是SDN基础设施层对数据包处理的基本依据.因此.SDN中一些重要应用程序的安全性也是保障SDN安全的重要因素之一.针对应用程序自身的安全性问题,Bal1等人提出了一种验证SDN控制器应用程序是否正常运行的工具VeriCon;Canini等人也提出了NICE检测模型.并使用该模型对真实的Python应用程序进行了漏洞测试和验证.然而,由于目前SDN网络的部署和应用仍处于初级阶段.大多数用户和开发者在判断某个应用程序是否符合要求时,通常偏重于应用程序的功能性验证.而忽略或较少考虑应用程序自身的安全性验证.再加上SDN的开放性和可编程性特征,使得攻击者在很多情况下都能有机可乘.

除了上述6类SDN安全防护方案之外.在SDN安全方面的研究工作中.还有一些研究者致力于对网络防火墙、虚拟网络切片、进程级纵深防御体系结构等方面的研究.以期不断提升SDN的安全性然而.随着各类安全方案的不断出现.SDN面临的安全问题虽然在一定程度上得到了缓解.但一些关键的安全问题仍然存在,如集中管控带来的控制器单点失效问题,可编程性和开放接口带来的控制层和应用层之间信任关系脆弱问题以及多控制器之间的安全交互问题等.这些问题依然从很大程度上限制着SDN在诸多场景中的应用和部署.

4.2：SDN安全研究展望.

(1)面向安全的新型控制器/网络操作系统的设计与开发
大多数SDN控制器在设计之初主要关注的是网络资源的调度和控制.如链路发现、拓扑管理、策略制定和表项下发等.对控制器自身的安全问题考虑得较少随着SDN架构的推广和应用.控制器的安全问题不断暴露.未来,结合操作系统安全管理思想和密码学等知识,设计新型、内嵌安全机制的SDN控制器将是SDN安全领域的一个重要研究方向.
(2)控制器跨域协同安全通信问题
为缓解单控制器导致的单点失效、扩展性差等问题.OpenFlow 1.3版本之后的各规范分别增加了多控制器的部署策略.但由于多个控制器可能分布在不同的自治域.不同控制器之间需要进行身份切换和资源调度等操作.如何保证多个控制器之间安全、实时地通信.将是未来SDN安全领域需要解决的一个重要问题.
(3)北向接口安全协议的标准化
北向接口使得控制层对应用层更加开放.攻击者可通过北向接口间接实现对控制器的攻击.从而增加了北向接口遭受攻击的可能性.目前.SDN北向接口安全协议的标准化方面还面临着诸多问题.一方面,不同类型的控制器分别定义了自身的应用程序编程接口.且这些接口的编程语言和具体功能并不相同.从而限制了北向接口安全协议的移植性和可扩展性.另一方面由于北向接口大多由软件应用程序控制,不同的应用程序.如安全应用、路由应用和金融应用等.分别具有不同的安全需求,单一功能的北向接口安全通信协议并不适合所有的应用程序.因此.北向接口安全协议的设计和标准化也将是未来SDN面临的一个重要安全问题.
(4)控制器DoS/DDoS攻击检测与防范技术
SDN采用逻辑上集中控制的方式对整个网络进行管理.将网络的“智慧""集中在控制器上.因而增加了控制器遭受DoS/DDoS的可能性.已有的研究结果表明.,针对控制器实施DoSDDoS攻击是非常有效的.因此.需针对SDN的架构特征,不断研究和设计新型的DoS/DDoS检测与防范技术.

五：参考文献

[1]王蒙蒙,刘建伟,陈杰,毛剑,毛可飞.软件定义网络:安全模型、机制及研究进展[J].软件学报,2016,27(04):969-992.
[2]沈昌祥,张焕国,冯登国,曹珍富,黄继武.信息安全综述[J].中国科学(E辑:信息科学),2007(02):129-150.
[3]张焕国,韩文报,来学嘉,林东岱,马建峰,李建华.网络空间安全综述[J].中国科学:信息科学,2016,46(02):125-164.
[4]赛迪智库网络安全形势分析课题组. 2020年中国网络安全发展形势展望[N]. 中国计算机报,2020-04-20(012).
[5]刘晓曼,耿祎楠,吴雨霖.网络安全形势分析与未来发展趋势展望[J].保密科学技术,2018(12):9-13.
[6]冯登国,连一峰.网络空间安全面临的挑战与对策[J].中国科学院院刊,2021,36(10):1239-1245.
[7]王世伟,曹磊,罗天雨.再论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2016,42(05):4-28.
[8]左青云,陈鸣,赵广松,邢长友,张国敏,蒋培成.基于OpenFlow的SDN技术研究[J].软件学报,2013,24(05):1078-1097.
[9]戴彬,王航远,徐冠,杨军.SDN安全探讨:机遇与威胁并存[J].计算机应用研究,2014,31(08):2254-2262.

网络系列--SDN安全相关推荐

5 个需要知道的开源的软件定义网络（SDN）项目
SDN 开始重新定义企业网络.这里有五个应该知道的开源项目. 纵观整个 2016 年,软件定义网络(SDN)持续快速发展并变得成熟.我们现在已经超出了开源网络的概念阶段,两年前评估这些项目潜力的公司已 ...
SDN软件定义网络之SDN交换机物理设备
文章目录 SDN软件定义网络之SDN交换机交换芯片芯片详解主流芯片交换机产品物理交换机虚拟交换机设备选型主要考虑的参数背板带宽端口密度端口速率支持模块类型带宽类型其他时延 ...
开源、开放网络和SDN三者区别—Vecloud微云
在网络技术中,开源.开放网络和SDN(软件定义网络)都是很容易接触到的技术.由于这三者在技术上非常类似,判断的边界也非常模糊.其中,SDN既可以是开放网络,也可以是开源网络. 开源网络通常情况下,开 ...
【研究方向是SDN该怎么做？】软件定义网络（SDN）的安全挑战和机遇
软件定义网络(SDN)的安全挑战和机遇目录软件定义网络(SDN)的安全挑战和机遇写在前面的话 SDN是什么? 有必要研究SDN的安全问题吗? SDN的优点与缺点 SDN中的集中化对于攻击者和防 ...
全球未来网络与SDN技术大会5月18日拉开帷幕
2015年5月18日至19日,"2015全球未来网络与SDN技术大会"(http://www.conference.cn/sdnt/2015/)将在北京隆重召开.作为全球首个专注于 ...
理解OpenShift（3）：网络之 SDN
理解OpenShift(1):网络之 Router 和 Route 理解OpenShift(2):网络之 DNS(域名服务) 理解OpenShift(3):网络之 SDN 理解OpenShift(4) ...
运营商网络采用SDN所面临的挑战（一）
运营商网络采用SDN所面临的挑战(一) Babak Samimi 将数据平面.控制平面与管理平面分隔开来所实现的软件定义网络(SDN)改善了OPEX及CAPEX,并且使得网络资源的集中调配和管理成为可 ...
“2014全球未来网络与SDN技术大会”精彩剪辑（上）
为什么80%的码农都做不了架构师?>>> 编者按:刨根问底是人的本性,知其然就想要知其所以然,随着2015全球未来网络与SDN技术大会的临近,不少躁动的小伙伴已经将大会官网翻了 ...
《软件定义网络：SDN与OpenFlow解析》
<软件定义网络:SDN与OpenFlow解析> 基本信息原书名:SDN: Software Defined Networks 原出版社: O'Reilly Media 作者: (美)Th ...

网络系列--SDN安全