《軟件定義安全SDN/NFV新型網(wǎng)絡(luò)的安全揭秘》

一、SDN研究方向
基礎(chǔ)設(shè)施層：交換機處理流程的設(shè)計與實現(xiàn)、轉(zhuǎn)發(fā)規(guī)則對交換機流表的高效利用，以及交換機流表正確性的驗證
控制層：單點控制器設(shè)計、集群控制器架構(gòu)、控制器接口和模型設(shè)計、控制器部署位置、控制器的分布式系統(tǒng)特性、控制器安全
應(yīng)用層：網(wǎng)絡(luò)安全、服務(wù)質(zhì)量、負(fù)載均衡、流量工程，以及在企業(yè)網(wǎng)、校園網(wǎng)、數(shù)據(jù)中心、無線網(wǎng)絡(luò)、廣域網(wǎng)等不同場景下的應(yīng)用
二、目前存在兩大開源控制器項目：OpenDaylight和ONOS
三、SDN控制器的安全風(fēng)險：1）由于安全設(shè)備和被保護節(jié)點/網(wǎng)絡(luò)之間不再是物理連接，因此，可通過流的重定向使流繞過安全策略所要求的安全機制，從而使安全機制失效。 2）業(yè)務(wù)可用性被破壞，如DNS查詢被破壞，使業(yè)務(wù)流無法建立；也不像傳統(tǒng)網(wǎng)絡(luò)需控制大規(guī)模的botnet節(jié)點，只通過SDN控制器就可改變流轉(zhuǎn)發(fā)路徑，將大量的數(shù)據(jù)流發(fā)往被攻擊節(jié)點。 3）中間人攻擊，非安全的控制通道容易受到中間人攻擊。 4）流的完整性被破壞，如插入惡意代碼（內(nèi)容）。