基于SDN网络虚拟化安全研究.docVIP

基于SDN网络虚拟化安全研究 　　摘要：该文首先介绍了软件定义网络（SDN）概念，基于SDN技术构建网络，实现了网络虚拟化发展和应用，然后分析了网络虚拟化所带来的主要网络信息安全威胁情况，沿着软件定义思路出发，针对网络虚拟化存在的安全风险，提出了软件定义信息安全（SDIS）的概念，并结合SDN架构体系设计了软件定义信息安全架构体系，最后给出软件定义信息安全攻击防护过程中的数据采集、异常检测和策略执行等3个具体实现环节。 　　关键字：软件定义网络；网络虚拟化；软件定义信息安全 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）15-0023-03 　　Abstract： The paper first introduces the concept of software-defined networking （SDN） and the network framework basing on SDN which realizes the development and application of network virtualization. It then analyzes new threats brought by SDN to network information security. To address the existing security risks， the paper follows the software-defined idea to propose the concept of software-defined information security （SDIS）， designs its framework and shows the concrete steps of SDIS protection―data collection， anomaly detection and strategy execution. 　　Key words： SDN（software-defined networking）； network virtualization； software-defined information security 　　随着信息技术和网络的快速发展，信息系统越来越庞大，传统网络架构和模式越发复杂，很难管理和控制，业务迁移难，已无法满足“简单、高效、灵活、通用”等要求，需要进行革新，由此催生了软件定义网络（Software Defined Network，SDN）诞生。网络虚拟化必然面临新的信息安全的挑战，其信息安全的防护不断向前演进，信息安全架构随着网络结构虚拟化而产生相应的改变，把SDN的理念延伸到信息安全领域，遵循“软件定义（SDX）”研究路径，我们将它称为软件定义信息安全（Software Defined Information Security，SDIS）。 　　1软件定义网络（SDN） 　　软件定义网络（SDN）的诞生是网络技术发展的一场全新变革，创建了一种全新的网络架构，它最初是由斯坦福大学Clean Slate研究组开发出来的，其核心思想就是把网络设备的控制平面与网络设备本身相分离，形成一种可以通过软件编程定义的网络，使得网络架构和流量可以得到快速、高效和灵活掌控。形象的说，SDN实现了计算机网络如同计算机（PC）般可编程操控，可以创建方便管理的网络虚拟化层，从而为核心网络搭建了良好的控制平台。 　　开放网络基金会（ONF）组织最初在白皮书中提到SDN体系结构[1]，并于2013年底发布最新版本[2]，其架构如图1所示。SDN由下到上（或称由南向北）分为数据平面、控制平面和应用平面。数据平面与控制平面之间利用SDN控制数据平面接口（Control-Data-Plane Interface，简称CDPI）进行通信，CDPI具有统一的通信标准，采用OpenFlow协议作为标准化的应用协议，用来描述控制器和交换机之间交互所用信息的标准，以及控制器和交换机的接口标准，实现对网络的集中控制。控制平面与应用平面之间由SDN北向接口（Northbound Interface，简称NBI）负责通信，SDN应用则可以根据用户不同的需求而进行相应的个性化开发[3]。 　　2 网络虚拟化安全风险 　　SDN将网络虚拟化成为现实，能够更好的支持云计算和虚拟化技术的广泛运用，给网络管理带来了颠覆性变化，可以通过编程快速改变网络拓扑、动态组网等技术来简化网络管理。同时，SDN面临的最大挑战，就是与网络虚拟化所提供的网络拓扑灵活性“孪生”的网络边界动态性，云内网络安全的保障将更加依赖于安全策略和安全构件的动态部署、配置和管理，更加依赖于