SDN将网路设备的控制面和转发面相互分离，SDN向上为应用层提供可编程应用程序接口API，从而构建了开放可编程的网络环境，向下通过虚拟化技术，实现对网络设备的统一管理和控制。从逻辑架构的角度，可以将SDN技术特点归纳为以下三个方面：

　　集中性。将控制面从交换机中分离出来，以控制器集中控制网络设备，实现全局策略，从而简化了网络设备，通过统一标准的南向接口和虚拟化技术，实现统一管理、控制和维护不同厂家的设备。

　　可编程性。控制面向上向应用层提供可编程接口API，网络配置、路与策略、安全策略等都以应用软件的方式部署在控制器，网络配置变得更加的多样化，可以快速的开展各种新型的业务，进行新业务实验。可编程性使得网络变得更加的智能，实现了对网络设备更加灵活的管理，简化业务流程，提高网络灵活性，降低设备要求。

　　开放性。SDN是一个开放的平台，现如今流行的几个SDN方案均是开源的。SDN的可编程能力使得用户的个性化业务得到前所未有的支持，为网络开发人员和运营商提供了一个全新的业务开发平台。

　　然而，SDN管理集中性、可编程性、开放性这些技术特点，虽然带来了很多好处，同时，在安全方面，也带来了新的特有的挑战。

　　1)控制层面挑战。管理集中性使得网络配置、网络服务访问控制、网络安全服务部署等都集中在SDN控制器上。攻击者一旦实现对控制器的控制，将造成网络服务的大面积瘫痪，影响控制器覆盖的整个范围。由于SDN网络的可编程性、开放性，SDN控制器安全防护的重要性远大于传统网络中网管系统的安全。所以围绕控制器的攻防是SDN自身体系安全中最关键的节点，例如，在OpenFlow交换机流表中不存在的初始流信息将通过集中的控制器进行处理，虽然控制器可能并不是某次分布式拒绝服务攻击的直接目标，但大量的初始流量将使控制器的负载急剧上升;攻击者向控制器发送多个服务请求并且所有请求的返回地址都是伪造的直到控制器因过载而拒绝提供服务。

　　2)应用层面的挑战。可编程性使控制器向应用层提供大量的可编程接口，这个层面上可能会带来很多安全威胁。例如向应用层的应用中植入蠕虫木马程序等达到窃取网络信息更改网络配置占用网络资源等目的，从而干扰控制面的正常工作进程影响网络的可靠性和可用性;利用某些接口实现拒绝服务攻击、进行网络窃听等。

　　3)开放性也给SDN带来很多安全隐患。安全和网络的应用插件都具备一定的规则写入权限，随着应用的复杂化，多个应用之间会出现安全规则冲突，从而造成网络管理混乱、安全规则被绕过、服务中断等现象;第三方应用或插件可能带有恶意功能、未声明功能、安全漏洞等多种风险。如表1，综合分析了SDN技术特点、优势和安全威胁。