随着大数据、云计算等新技术的发展，人们对传统网络的带宽、安全、速率等提出了更高要求。软件定义网络（Software Defined Networks，SDN）是一种有望改变现有网络困局的新型网络范例，它在简化网络管理的同时，极大地促进了网络创新。

什么是软件定义网络？

SDN是由美国斯坦福大学Clean Slate研究组于2006年提出来的，其以OpenFlow的概念为基础，通过将网络设备控制面与数据面分离开来，由集中的控制器管理，无须依赖底层网络设备，从而实现了网络流量的灵活控制，为核心网络及应用的创新提供了良好的平台。与传统网络相比，SDN大大加快了变更网络拓扑、控制网络流量的速度。

SDN能带来哪些机遇？

SDN的主要技术特点包括集中性、可编程性和开放性。它将应用与网络服务、设备之间的交互更紧密地结合起来，向上将应用程序接口提供给应用层，从而构建了开放可编程的网络环境；向下将路由策略下发到路由器，实现网络设备集中管理。SDN实现了网络资源虚拟化和流量编程，可在固定物理网上灵活构建多张相互独立的业务承载网，满足多业务、多租户需求。可见，SDN的出现使网络设计更简单，业务部署更快捷，网络设备更通用。SDN将网络智能从硬件转移到软件，用户无需更新已有的硬件就可以为网络增加新的功能，简化并整合了控制功能，让网络设备变得更可靠，还有助于降低设备购买和运营成本。简言之，SDN的出现解决了传统网络缺乏统一管理、可编程可扩展能力不足、灵活性不高、升级缓慢等缺点。

SDN面临哪些安全挑战？

SDN的控制集中性、可编程性、开放性带来了许多新的安全挑战。一是管理集中性使网络配置、网络服务访问控制、网络安全服务部署等都集中在SDN控制器上。攻击者一旦实现对控制器的控制，将造成网络服务的大面积瘫痪，影响控制器覆盖的整个范围。二是可编程性使控制器向应用层提供大量的可编程接口，该层面可能会带来很多安全威胁，如，向应用层的应用中植入恶意程序等，达到窃取网络信息、更改网络配置、占用网络资源等目的，从而干扰控制面的正常工作进程，影响网络的可靠性和可用性。三是安全和网络的应用插件都具备一定的规则写入权限，随着应用的复杂化，多个应用之间会出现安全规则冲突，从而造成网络管理混乱、安全规则被绕过、服务中断等现象；第三方应用或插件可能带有恶意功能、未声明功能、安全漏洞等多种风险。

总之，SDN技术目前还处在初级阶段，在体系结构上、协议上、硬件上都有很大的提升空间。但从SDN的发展来说，真正的困难是对网络的理解及网络的顶层设计。可以说，SDN的机遇与挑战并存，机遇大于挑战。

（原载于《保密科学技术》杂志2017年1月刊）