SDN 基礎資源層主要提供哪些安全功能

SDN基礎資源層主要提供以下安全功能：

• 認證：SDN交換機對SDN控制器進行身份認證，以確保SDN控制器是真實的，不是偽造的；SDN交換機對管理員進行身份認證，以確保管理員身份是真實的。常用的身份認證機制包括但不限于基于用戶名/密碼的身份驗證、基于相移鍵控的身份驗證、基于證書的身份驗證。

• 授權：SDN控制器和管理員訪問SDN交換機時需要遵守訪問控制策略。常用的訪問控制機制包括但不限于白名單/黑名單、訪問控制列表、基于角色的訪問控制。

• 數據保密性：SDN交換機應具備數據加密功能，并在必要時對利用南向接口向控制器發送的流規則請求進行加密，以防止攻擊者竊聽。敏感信息（如配置信息、用戶信息）應加密存儲在SDN交換機中，防止信息被竊取。敏感信息（如配置信息、用戶信息）應加密存儲在SDN交換機中，防止信息被竊取。

• 數據完整性：SDN控制器下發的表項在被添加至流表前，需要先由SDN交換機進行數據完整性驗證；SDN交換機在利用南向接口向控制器發送流規則請求時，應對該流規則請求進行完整性保護，以防止攻擊者篡改，管理控制平臺下發的配置信息，應先由SDN交換機進行完整性驗證，再執行相應的配置更新；應為存儲在SDN交換機上的敏感信息（如配置信息、用戶信息）提供完整性保護功能，防止其被攻擊者篡改。常用的數據完整性保護技術包括但不限于散列值、MAC、HMAC和數字簽名。

• 密鑰/證書管理：密鑰/證書管理中的密鑰管理同ITU-T X.800中所定義的一致，證書管理同IETF RFC 4210中所定義的一致。

• 防止流表溢出：除常見的幾種防止緩沖區溢出策略（如指針保護、可執行空間保護）外，SDN交換機和流表設計應進一步增強這方面的能力。例如，SDN交換機自身可以決定刪除某個流條目，并與SDN控制器進行同步。

• 安全管理：安全管理是指對系統平臺、資源進行訪問控制，避免非授權使用或修改相關的安全策略。安全管理可以對用戶進行審計、控制錯誤密碼嘗試次數、最小化系統平臺需要的配置、強制執行操作系統的安全策略。安全管理還可以對網絡中的各類信息數據進行整合分析，用來支撐相應攻擊檢測等功能。

回答所涉及的環境：聯想天逸510S、Windows 10。