軟件定義網絡的機遇與挑戰

隨著大數據、云計算等新技術的發展，人們對傳統網絡的帶寬、安全、速率等提出了更高要求。軟件定義網絡（Software Defined Networks，SDN）是一種有望改變現有網絡困局的新型網絡范例，它在簡化網絡管理的同時，極大地促進了網絡創新。

什么是軟件定義網絡？

SDN是由美國斯坦福大學Clean Slate研究組于2006年提出來的，其以OpenFlow的概念為基礎，通過將網絡設備控制面與數據面分離開來，由集中的控制器管理，無須依賴底層網絡設備，從而實現了網絡流量的靈活控制，為核心網絡及應用的創新提供了良好的平臺。與傳統網絡相比，SDN大大加快了變更網絡拓撲、控制網絡流量的速度。

SDN能帶來哪些機遇？

SDN的主要技術特點包括集中性、可編程性和開放性。它將應用與網絡服務、設備之間的交互更緊密地結合起來，向上將應用程序接口提供給應用層，從而構建了開放可編程的網絡環境；向下將路由策略下發到路由器，實現網絡設備集中管理。SDN實現了網絡資源虛擬化和流量編程，可在固定物理網上靈活構建多張相互獨立的業務承載網，滿足多業務、多租戶需求。可見，SDN的出現使網絡設計更簡單，業務部署更快捷，網絡設備更通用。SDN將網絡智能從硬件轉移到軟件，用戶無需更新已有的硬件就可以為網絡增加新的功能，簡化并整合了控制功能，讓網絡設備變得更可靠，還有助于降低設備購買和運營成本。簡言之，SDN的出現解決了傳統網絡缺乏統一管理、可編程可擴展能力不足、靈活性不高、升級緩慢等缺點。

SDN面臨哪些安全挑戰？

SDN的控制集中性、可編程性、開放性帶來了許多新的安全挑戰。一是管理集中性使網絡配置、網絡服務訪問控制、網絡安全服務部署等都集中在SDN控制器上。攻擊者一旦實現對控制器的控制，將造成網絡服務的大面積癱瘓，影響控制器覆蓋的整個范圍。二是可編程性使控制器向應用層提供大量的可編程接口，該層面可能會帶來很多安全威脅，如，向應用層的應用中植入惡意程序等，達到竊取網絡信息、更改網絡配置、占用網絡資源等目的，從而干擾控制面的正常工作進程，影響網絡的可靠性和可用性。三是安全和網絡的應用插件都具備一定的規則寫入權限，隨著應用的復雜化，多個應用之間會出現安全規則沖突，從而造成網絡管理混亂、安全規則被繞過、服務中斷等現象；第三方應用或插件可能帶有惡意功能、未聲明功能、安全漏洞等多種風險。

總之，SDN技術目前還處在初級階段，在體系結構上、協議上、硬件上都有很大的提升空間。但從SDN的發展來說，真正的困難是對網絡的理解及網絡的頂層設計。可以說，SDN的機遇與挑戰并存，機遇大于挑戰。

（原載于《保密科學技術》雜志2017年1月刊）