隨著大數(shù)據(jù)、云計(jì)算等新技術(shù)的發(fā)展，人們對傳統(tǒng)網(wǎng)絡(luò)的帶寬、安全、速率等提出了更高要求。軟件定義網(wǎng)絡(luò)（Software Defined Networks，SDN）是一種有望改變現(xiàn)有網(wǎng)絡(luò)困局的新型網(wǎng)絡(luò)范例，它在簡化網(wǎng)絡(luò)管理的同時，極大地促進(jìn)了網(wǎng)絡(luò)創(chuàng)新。

什么是軟件定義網(wǎng)絡(luò)？

SDN是由美國斯坦福大學(xué)Clean Slate研究組于2006年提出來的，其以O(shè)penFlow的概念為基礎(chǔ)，通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來，由集中的控制器管理，無須依賴底層網(wǎng)絡(luò)設(shè)備，從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺。與傳統(tǒng)網(wǎng)絡(luò)相比，SDN大大加快了變更網(wǎng)絡(luò)拓?fù)洹⒖刂凭W(wǎng)絡(luò)流量的速度。

SDN能帶來哪些機(jī)遇？

SDN的主要技術(shù)特點(diǎn)包括集中性、可編程性和開放性。它將應(yīng)用與網(wǎng)絡(luò)服務(wù)、設(shè)備之間的交互更緊密地結(jié)合起來，向上將應(yīng)用程序接口提供給應(yīng)用層，從而構(gòu)建了開放可編程的網(wǎng)絡(luò)環(huán)境；向下將路由策略下發(fā)到路由器，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備集中管理。SDN實(shí)現(xiàn)了網(wǎng)絡(luò)資源虛擬化和流量編程，可在固定物理網(wǎng)上靈活構(gòu)建多張相互獨(dú)立的業(yè)務(wù)承載網(wǎng)，滿足多業(yè)務(wù)、多租戶需求。可見，SDN的出現(xiàn)使網(wǎng)絡(luò)設(shè)計(jì)更簡單，業(yè)務(wù)部署更快捷，網(wǎng)絡(luò)設(shè)備更通用。SDN將網(wǎng)絡(luò)智能從硬件轉(zhuǎn)移到軟件，用戶無需更新已有的硬件就可以為網(wǎng)絡(luò)增加新的功能，簡化并整合了控制功能，讓網(wǎng)絡(luò)設(shè)備變得更可靠，還有助于降低設(shè)備購買和運(yùn)營成本。簡言之，SDN的出現(xiàn)解決了傳統(tǒng)網(wǎng)絡(luò)缺乏統(tǒng)一管理、可編程可擴(kuò)展能力不足、靈活性不高、升級緩慢等缺點(diǎn)。

SDN面臨哪些安全挑戰(zhàn)？

SDN的控制集中性、可編程性、開放性帶來了許多新的安全挑戰(zhàn)。一是管理集中性使網(wǎng)絡(luò)配置、網(wǎng)絡(luò)服務(wù)訪問控制、網(wǎng)絡(luò)安全服務(wù)部署等都集中在SDN控制器上。攻擊者一旦實(shí)現(xiàn)對控制器的控制，將造成網(wǎng)絡(luò)服務(wù)的大面積癱瘓，影響控制器覆蓋的整個范圍。二是可編程性使控制器向應(yīng)用層提供大量的可編程接口，該層面可能會帶來很多安全威脅，如，向應(yīng)用層的應(yīng)用中植入惡意程序等，達(dá)到竊取網(wǎng)絡(luò)信息、更改網(wǎng)絡(luò)配置、占用網(wǎng)絡(luò)資源等目的，從而干擾控制面的正常工作進(jìn)程，影響網(wǎng)絡(luò)的可靠性和可用性。三是安全和網(wǎng)絡(luò)的應(yīng)用插件都具備一定的規(guī)則寫入權(quán)限，隨著應(yīng)用的復(fù)雜化，多個應(yīng)用之間會出現(xiàn)安全規(guī)則沖突，從而造成網(wǎng)絡(luò)管理混亂、安全規(guī)則被繞過、服務(wù)中斷等現(xiàn)象；第三方應(yīng)用或插件可能帶有惡意功能、未聲明功能、安全漏洞等多種風(fēng)險。

總之，SDN技術(shù)目前還處在初級階段，在體系結(jié)構(gòu)上、協(xié)議上、硬件上都有很大的提升空間。但從SDN的發(fā)展來說，真正的困難是對網(wǎng)絡(luò)的理解及網(wǎng)絡(luò)的頂層設(shè)計(jì)。可以說，SDN的機(jī)遇與挑戰(zhàn)并存，機(jī)遇大于挑戰(zhàn)。

（原載于《保密科學(xué)技術(shù)》雜志2017年1月刊）