軟件定義網(wǎng)絡的機遇與挑戰(zhàn)

隨著大數(shù)據(jù)、云計算等新技術的發(fā)展，人們對傳統(tǒng)網(wǎng)絡的帶寬、安全、速率等提出了更高要求。軟件定義網(wǎng)絡（Software Defined Networks，SDN）是一種有望改變現(xiàn)有網(wǎng)絡困局的新型網(wǎng)絡范例，它在簡化網(wǎng)絡管理的同時，極大地促進了網(wǎng)絡創(chuàng)新。

什么是軟件定義網(wǎng)絡？

SDN是由美國斯坦福大學Clean Slate研究組于2006年提出來的，其以OpenFlow的概念為基礎，通過將網(wǎng)絡設備控制面與數(shù)據(jù)面分離開來，由集中的控制器管理，無須依賴底層網(wǎng)絡設備，從而實現(xiàn)了網(wǎng)絡流量的靈活控制，為核心網(wǎng)絡及應用的創(chuàng)新提供了良好的平臺。與傳統(tǒng)網(wǎng)絡相比，SDN大大加快了變更網(wǎng)絡拓撲、控制網(wǎng)絡流量的速度。

SDN能帶來哪些機遇？

SDN的主要技術特點包括集中性、可編程性和開放性。它將應用與網(wǎng)絡服務、設備之間的交互更緊密地結合起來，向上將應用程序接口提供給應用層，從而構建了開放可編程的網(wǎng)絡環(huán)境；向下將路由策略下發(fā)到路由器，實現(xiàn)網(wǎng)絡設備集中管理。SDN實現(xiàn)了網(wǎng)絡資源虛擬化和流量編程，可在固定物理網(wǎng)上靈活構建多張相互獨立的業(yè)務承載網(wǎng)，滿足多業(yè)務、多租戶需求�？梢�，SDN的出現(xiàn)使網(wǎng)絡設計更簡單，業(yè)務部署更快捷，網(wǎng)絡設備更通用。SDN將網(wǎng)絡智能從硬件轉(zhuǎn)移到軟件，用戶無需更新已有的硬件就可以為網(wǎng)絡增加新的功能，簡化并整合了控制功能，讓網(wǎng)絡設備變得更可靠，還有助于降低設備購買和運營成本。簡言之，SDN的出現(xiàn)解決了傳統(tǒng)網(wǎng)絡缺乏統(tǒng)一管理、可編程可擴展能力不足、靈活性不高、升級緩慢等缺點。

SDN面臨哪些安全挑戰(zhàn)？

SDN的控制集中性、可編程性、開放性帶來了許多新的安全挑戰(zhàn)。一是管理集中性使網(wǎng)絡配置、網(wǎng)絡服務訪問控制、網(wǎng)絡安全服務部署等都集中在SDN控制器上。攻擊者一旦實現(xiàn)對控制器的控制，將造成網(wǎng)絡服務的大面積癱瘓，影響控制器覆蓋的整個范圍。二是可編程性使控制器向應用層提供大量的可編程接口，該層面可能會帶來很多安全威脅，如，向應用層的應用中植入惡意程序等，達到竊取網(wǎng)絡信息、更改網(wǎng)絡配置、占用網(wǎng)絡資源等目的，從而干擾控制面的正常工作進程，影響網(wǎng)絡的可靠性和可用性。三是安全和網(wǎng)絡的應用插件都具備一定的規(guī)則寫入權限，隨著應用的復雜化，多個應用之間會出現(xiàn)安全規(guī)則沖突，從而造成網(wǎng)絡管理混亂、安全規(guī)則被繞過、服務中斷等現(xiàn)象；第三方應用或插件可能帶有惡意功能、未聲明功能、安全漏洞等多種風險。

總之，SDN技術目前還處在初級階段，在體系結構上、協(xié)議上、硬件上都有很大的提升空間。但從SDN的發(fā)展來說，真正的困難是對網(wǎng)絡的理解及網(wǎng)絡的頂層設計�？梢哉f，SDN的機遇與挑戰(zhàn)并存，機遇大于挑戰(zhàn)。

（原載于《保密科學技術》雜志2017年1月刊）