轉(zhuǎn)發(fā)與控制分離引入的安全威脅,從網(wǎng)絡(luò)安全的角度看，軟件定義網(wǎng)絡(luò)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離，在實現(xiàn)網(wǎng)絡(luò)流量靈活控制的同時，也引入了新的安全威脅和挑戰(zhàn)。

根據(jù)SDN交換機對數(shù)據(jù)包的處理流程，當(dāng)數(shù)據(jù)包不能匹配所有流表中的所有流表項時，交換機將包通過與控制器間的安全通道轉(zhuǎn)發(fā)給控制器處理。在控制面，新引入的SDN控制器由于邏輯集中的特點，容易成為攻擊的對象，脆弱的SDN控制器面臨的具體安全風(fēng)險如下：

（1）拒絕服務(wù)攻擊。攻擊者通過攻擊交換機，修改交換機流表中各表項的actions字符項，使交換機將所有數(shù)據(jù)包轉(zhuǎn)發(fā)給控制器，從而導(dǎo)致控制器需要處理大量的消息?；蛘吖粽邆卧齑罅吭诮粨Q機流表中并不存在或無法處理的數(shù)據(jù)報文，由交換機提交偽造報文給控制器處理，從而占用控制器資源，造成拒絕服務(wù)攻擊。

（2）繞過安全機制。由于安全設(shè)備與被保護的節(jié)點/網(wǎng)絡(luò)之間不再是物理連接，而是可通過流的重定向機制使流繞過安全策略所要求的安全機制，造成安全機制失效。

（3）非安全的控制通道容易受到中間人的攻擊，一旦控制器被攻擊者劫持，不同于傳統(tǒng)網(wǎng)絡(luò)需要控制大規(guī)模僵尸節(jié)點，只通過SDN控制器就可以改變流轉(zhuǎn)發(fā)路徑，可將大量的數(shù)據(jù)流發(fā)往其他被攻擊的業(yè)務(wù)節(jié)點，破壞業(yè)務(wù)可用性，造成網(wǎng)絡(luò)服務(wù)的大面積癱瘓。

針對控制器的拒絕服務(wù)攻擊的主要防護機制是采用流量控制和多控制器兩種思路。流量控制提供主動遏制手段。例如，通過限制控制器的訪問頻度，避免控制器在短時間內(nèi)處理大量頻繁事件（如未知流規(guī)則請求等）。多控制器結(jié)構(gòu)中，可采用應(yīng)用層負載均衡提供控制器在DDoS攻擊下的生存性。在協(xié)議方面，OpenFlow協(xié)議1.2版已經(jīng)增加了對多控制器的支持，可為不同控制器設(shè)定不同角色，但協(xié)議并未規(guī)定交換機的控制權(quán)如何在控制器之間切換，參考文獻中設(shè)計了不同角色的控制器在交換機之間的切換方式，實現(xiàn)了一種負載均衡的彈性控制面。

數(shù)據(jù)面的主要攻擊對象是數(shù)據(jù)平面的關(guān)鍵節(jié)點——SDN交換機。除面臨傳統(tǒng)網(wǎng)絡(luò)中的消耗交換機資源實施拒絕服務(wù)攻擊、非法接入等攻擊外，由于SDN交換機與控制層更多的交互，攻擊者通過部署非法應(yīng)用、入侵控制器等實現(xiàn)對交換機流表的非法操作，完成以下對用戶數(shù)據(jù)流的攻擊。

（1）改變流轉(zhuǎn)發(fā)路徑，非法復(fù)制數(shù)據(jù)包并通過另外的路徑轉(zhuǎn)發(fā)給攻擊者用以竊取信息或?qū)嵤┲虚g人攻擊。

（2）修改對數(shù)據(jù)包的操作動作，改變交換機在轉(zhuǎn)發(fā)流時對數(shù)據(jù)包的操作動作。例如，丟棄數(shù)據(jù)包實施拒絕服務(wù)攻擊。

（3）設(shè)定非法的轉(zhuǎn)發(fā)路徑，從而占用某用戶的轉(zhuǎn)發(fā)端口等網(wǎng)絡(luò)資源或通過注入精心設(shè)計的數(shù)據(jù)包進行會話劫持攻擊。

應(yīng)對SDN交換機的拒絕服務(wù)攻擊通常使用的方法就是采用流控、時間過濾、擁塞丟包和超時調(diào)整，并且在交換機上實施攻擊監(jiān)測。流控能夠讓交換機在DDoS攻擊過程中保持響應(yīng)，事件過濾能讓控制器選擇處理時間，提供系統(tǒng)恢復(fù)能力，擁塞丟包能夠丟掉異常的數(shù)據(jù)包，并在無法隔離攻擊者的時候通過QoS機制共同發(fā)揮作用，超時調(diào)整機制可以減輕DDoS攻擊的危害。

參考文獻把檢測算法分別部署在不同交換機上，創(chuàng)新性地提出了在SDN網(wǎng)絡(luò)中針對數(shù)據(jù)平面隱蔽DDoS攻擊的方法和檢測方法，但算法的實現(xiàn)和升級特別復(fù)雜。

SDN網(wǎng)絡(luò)的另一個重要特征就是將封閉的網(wǎng)絡(luò)能力進行抽象，并通過接口進行開放?？刂破鞅毕蚪涌诳蓪DN網(wǎng)絡(luò)中底層資源由控制器呈現(xiàn)給應(yīng)用層開發(fā)者。不安全的接口可能使整個網(wǎng)絡(luò)的安全受到威脅，例如：

（1）網(wǎng)絡(luò)行為被修改。如果惡意攻擊者通過注入等手段，使某應(yīng)用發(fā)送的請求參數(shù)與業(yè)務(wù)邏輯期望不符，可使該應(yīng)用的網(wǎng)絡(luò)行為被篡改，從而下發(fā)惡意指令。

（2）網(wǎng)絡(luò)通信被非法監(jiān)聽。如果接口是未加密的，攻擊者就能監(jiān)聽整個調(diào)用過程，從而使敏感信息（如用戶信息、調(diào)用token等）被竊取。

（3）截獲并修改數(shù)據(jù)包。攻擊者可以采用中間人攻擊，重放或修改后重發(fā)請求，達到偽造請求的目的。

（4）引發(fā)DDoS攻擊。如果應(yīng)用接口沒有檢查機制，容易被攻擊者反復(fù)調(diào)用，向網(wǎng)絡(luò)設(shè)備下發(fā)大量無用的流表，影響數(shù)據(jù)面效率；或?qū)⒋罅苛鞅硪叫阅茌^弱的節(jié)點，造成該節(jié)點拒絕服務(wù)。

因此，接口的安全設(shè)計非常重要，它保證了接口數(shù)據(jù)交互的完整性、機密性，保證接口的可用性，具有權(quán)限管理機制，以保證底層資源被合理調(diào)用，無越權(quán)操作。

對SDN網(wǎng)絡(luò)運營者來說，在其具有更強管控能力的控制層采用必要機制應(yīng)對應(yīng)用層和開放接口引入的安全風(fēng)險是可行的方案，如采用細粒度API訪問權(quán)限控制策略，控制層針對每一個應(yīng)用賦予滿足其功能要求的最低限度API訪問權(quán)限，并對通過API接口下發(fā)的應(yīng)用層策略進行規(guī)則檢查，檢測下發(fā)的規(guī)則是否符合安全策略、業(yè)務(wù)邏輯及行為特征等的要求。參考文獻在控制器上擴展出對應(yīng)用程序的角色認證、規(guī)則沖突檢測和安全規(guī)則轉(zhuǎn)換等功能，構(gòu)建了一個強制安全的控制器內(nèi)核。