CN110881023A - 一种基于sdn/nfv提供网络区分安全服务的方法 - Google Patents

Abstract

本发明基于各种类型的网络用户具有不同的安全需求和安全环境的事实，提出了一种根据用户安全等级不同而提供有差别的安全服务的方法和一种基于SDN/NFV设计实现安全接入网的方法，该种提供差别性网络安全服务的方法可以有效地降低网络安全服务开销，提升网络性能，并且能够适应网络安全技术发展的需要。此外，基于SDN/NFV设计实现的安全接入网的方法具有实用价值，并且具有增加激励用户规范网络安全行为的动力。

Description

一种基于SDN/NFV提供网络区分安全服务的方法

技术领域

本发明属于网络安全和网络通信领域，具体地说是提出了一种根据用户安全等级不同而向其提供有差别的区分安全服务的方法和一种基于SDN/NFV设计实现具有区分安全特征的安全接入网的方法。

背景技术

随着网络应用在各行各业的普及，网络攻击手段层出不穷。为了防范网络安全威胁，现行的TCP/IP网络体系结构采用“打补丁”的思路，通过不断增加具有不同安全功能的专用设备，诸如防火墙、入侵检测***(IDS/IPS)、深度报文检测(DPI)等中间盒来加以应对。这导致了安全中间盒的类型、数量越来越多，并且使网络的结构越来越复杂、开销越来越高、性能越来越差、维护难度越来越大，从而使得网络运营商不堪重负，严重抵消了IP技术带来的性价比优势。更严重的是，如果我们任由这种趋势蔓延，互联网可能变成一个功能上令人鼓舞，而技术上难以驾驭，开销上难以承受的人造巨作。然而，提供一个完整的IP网络安全性解决方案是非常困难的，它涉及到IP网络体系结构等许多根本性问题。

考虑到在网络的每个层次、每种协议设计上的不完善之处都可能成为网络攻击的对象，因此网络安全问题实际上是许多安全问题的集合，难以通过加入具有某种安全机制的安全设备就能一劳永逸地保证网络的安全性。“打补丁”的网络安全架构浪费了大量资源，也导致网络性能越来越差。这就要求网络安全***的架构应当能够根据网络安全需求进行智能定制，以改变现有的网络安全***存在的结构与功能僵化问题：一是能够根据网络安全的发展需求，采用软件定义网络(Software-Defined Network，SDN)技术灵活定制网络安全***的架构；二是能够根据网络安全机制多样化的需求，采用网络功能虚拟化(Network Function Virtualization，NFV)的方式定制各种网络安全机制和功能，降低资本支出(CAPEX)和运营支出(OPEX)，因此这种将SDN与NFV综合的技术是设计实现智能网络安全***的理想候选者。

在另一方面，不同的用户群体有着不同的安全需求和业务需求，相应地网络对于不同用户群体也应当提供不同的网络服务。例如，某类用户一直遵从网络安全规则，没有违反网络安全的不良记录。我们就没有必要对这类用户部署高强度、高开销的安全中间盒处理序列(即安全服务链)。只需要部署用户业务所需的中间盒和低开销的安全服务链，提供网络服务和监视他们的通信行为，如：Firewall-＞IDS-＞NAT。而对于出现网络攻击概率较大的高威胁用户群体，就应当由特定的安全服务链进行专门安全监测和防范处理，如：Firewall-＞IDS/IPS-＞DDoS检测-＞DPI-＞NAT。可见，在保证业务需求和网络安全的情况下，为普通用户部署的安全服务链与高威胁用户群体部署的安全服务链相比，CAPEX和OPEX低，处理时延也低。

根据观察与测试，绝大多数网络用户都是不会主动对网络进行恶意攻击的普通用户。也存在普通用户因为种种原因，如其设备没有及时下载操作***补丁程序等，导致被恶意攻击者利用，成为发起网络恶意攻击的傀儡机。我们将偶尔出现网络恶意行为的用户称为观察用户。的确存在少量用户，他们为了达到某种目的，在网络中尝试恶意行为，向网络中的其他用户发起恶意攻击，我们将其称为可疑用户。由此，我们将网络中的用户分为普通用户、观察用户和可疑用户三类群体，其中观察用户和可疑用户的群体数量通常较少，普通用户的群体数量占多数。这样，由于为多数的普通用户提供的网络服务的中间盒处理序列结构简单且开销支出低，而为可疑用户或观察用户提供专门安全服务的中间盒序列尽管昂贵但数量有限，从而使得网络安全服务整体开销大为降低。我们将这种为不同的网络用户群体提供不同安全级别的服务称为区分安全(Differentiated Security，DiffSec)。

本发明的意义和重要性在于，提出了一种利用网络用户对于网络安全差异性的机制，并给出了基于SDN/NFV技术为IP边缘接入网设计实现该机制的方法。

发明内容

[发明目的]：

针对现有的网络安全机制采用“打补丁”的思路使得网络安全的成本越来越高、时延越来越大、维护越来越复杂等问题，本发明提出了一种根据网络用户安全需求不同而提供有差别的区分安全服务的方法，并给出了一种基于SDN/NFV的设计实现具有区分安全特征的安全接入网方法。

[技术方案]：

本发明针对的技术方案是：

1、一种利用网络用户对于网络安全服务的需求存在差异而设计的方法，其特征是它包括：

A.一种将网络接入用户进行安全等级划分的方法。该方法对可识别身份的网络用户的通信行为进行分析，将这些用户划分为具有不同安全等级的集合；用户安全等级由高到底包括：没有发现对网络进行恶意攻击的普通用户子集；偶尔出现网络恶意行为的观察用户子集；向其他用户发起恶意攻击的多种可疑用户子集(如v₁，v₂，...)等；将无法识别身份的用户归于观察用户子集。

B.一种根据用户安全等级设置安全服务链的方法：根据用户安全等级，该方法为每一种用户安全等级设置一条安全服务链；安全服务链是指由一个或多个网络安全中间盒组成的提供安全服务的转发分组的通道；每一种网络安全中间盒能够处理一种或多种网络攻击，因此一条安全服务链具有检测、处理对应该种安全级别的用户常见的多种安全攻击的功能；基于区分安全的网络安全结构如图1所示。

C.特征B满足以下要求：较高安全等级用户集合对应的安全服务链，仅需要设置较少数量、较少种类的网络安全中间盒；而对于较低安全等级对应的安全服务链，需要设置更多数量、更多种类的网络安全中间盒；对于特定安全需求用户集合的安全服务链，还可能设置一些特殊的安全检测设备以应对额外的安全需求。

D.基于区分安全的网络安全结构满足以下要求：较高安全等级用户对应的安全服务链具有较好的网络传输质量，如传输带宽更宽、传输延时更低等，以激励用户遵从网络安全规则的动机。

E.一种复用安全服务链的构成单元的方法：一个网络安全中间盒可同时应用于一条或多条安全服务链，应用流在经过该安全中间盒处理后，能够按照安全服务需求转发到其他网络安全中间盒，限制其转发的因素是该中间盒的分组转发能力。

F.一种向下调整用户安全等级的策略：当某安全服务链检测到某用户应用流中出现了不符合该类别安全等级要求的流(称为异常流量)时，能够根据异常流量的出现频率对用户安全等级进行转换：

(1)当检测到攻击时，将对应用户添加到观察列表(即进入观察用户子集)，并在列表中设定特定的时间长度，在这段时间中观察该用户的行为；

(2)如在观察列表中的用户流持续出现攻击行为，且流大小或持续时间大于该安全类别的阈值(如某个值w₁，通常根据经验值来设定w₁)时，将用户对应的安全级别下调至可疑用户子集某个相应级别(如从v₁调至v₂等)。

(3)在观察时长达到后，没有出现F(2)的情况，将该用户移出观察列表，恢复原来安全类别。

G.一种向上调整用户安全等级的策略；当某用户的流持续满足安全要求，且总流量达到一定大小或持续时间达到一定长度且满足某个安全等级的阈值(如某个值w₂，通常根据经验值来设定w₂)时，将该用户的安全等级向上调整1个级别。

H.用户安全等级的调整策略满足“上调慢，下调快”的原则，可疑用户子集中的等级及其阈值的设置应根据网络安全具体应用与场景，通过***管理员经验或人工智能方法来定。

2、基于SDN/NFV技术设计实现安全接入网的方法，其特征是它包括：

A.一种位于IP网络边缘的接入网络，该安全接入网主要包括3种组件：SDN控制器、OpenFlow交换机和网络安全功能组件，这些组件可以是实体设备，也可以是虚拟设备，它的组成如图2所示。

B.基于NFV的安全接入网构成：安全接入网的3种组件都运行在虚拟机中；虚拟OpenFlow交换机vOFS为符合OpenFlow规范的交换机软件，能够根据SDN控制器下发的流表转发分组；特定的安全虚拟网络功能(VNF)提供了虚拟网络安全中间盒vNSF，多个vNSF能够构成特定的安全服务链；物理服务器通过网络接口与外部实际网络链路相连。

C.安全接入网中的分组转发：SDN控制器对vOFS的控制以及设置安全服务链SSC的方法，需要根据本发明专利技术方案1的方法进行。

D.安全接入网的工作流程主要包括4个阶段：(1)用户鉴别：当某用户接入到边缘接入网时，SDN控制器会收到该用户的Packet-In消息；控制器与端***之间的流鉴别协议能够透明地鉴别该用户身份并基于用户库信息确定其安全类别；流鉴别协议利用非对称密钥密码来保证用户身份的唯一性和鉴别信息的安全交互，实现用户身份属性鉴别和应用属性鉴别。(2)控制器选路：SDN控制器根据该用户的安全等级和差异化安全控制策略，计算得到最适合的转发路由，并向相关vOFS下发流表形成应用流的路径，使得该用户流能够到达特定的SSC。(3)SSC处理：用户分组流经特定的SSC时，安全服务链中的vNSF进行安全检测或特定网络安全处理，得到相应的网络安全服务，使得分组流或被转发到达目的网络，或被丢弃；该SSC也会根据安全处理的结果和该流的状态，来决定它是否满足安全类别调整的条件；如果该条件满足，将会通告控制器。(4)安全等级调整：SDN控制器收到某SSC发来的安全类别调整请求，要基于差异化安全规则和***状态进行分析，改变该用户的安全类别并调整网络路径。

[有益效果]：本发明的意义在于，提出了一种根据用户安全等级不同而提供有差别的安全服务的方法和一种基于SDN/NFV设计实现安全接入网的方法。这些方法能够有效地降低网络安全服务开销，提升网络性能，适应网络安全技术不断发展的需要。此外，这种基于SDN/NFV设计实现安全接入网的方法具有实用价值，能够具有激励用户规范网络安全行为的作用。

附图说明

图1 基于区分安全的网络安全架构

图2 一种基于区分安全的安全接入网结构

图3 某用户user1的带宽和时延变化

图4 区分安全流表下发时间和用户数量的关系

图5 宿主服务器CPU、内存占用率与匹配规则的关系

图6 90名用户的带宽、时延和丢包性能

具体实施方式

以下结合附图和具体实例具体介绍本发明的应用。

1、构建安全接入网

在实验室的Lenovo ThinkServer RD550服务器上根据图2实现了一个安全接入网的原型***。该服务器具有2颗Intel Xeon E5-2620 v3 2.40GHz CPU，RAM 32GB，操作***为Ubuntu 16.04.4，其中Linux内核版本是4.4.0-122-generic。

(1)基于虚拟中间盒的组件

我们采用Linux容器(LXC)作为虚拟中间盒，在该中间盒上运行相应的VNF，以构建相应的SDN控制器、vOFS、vNSF、虚拟路由器和虚拟主机等。为实现SDN网络功能，我们在LXC中间盒上安装和配置了开源SDN控制器ONOS，版本为1.14.0-SNAPSHOT，以作为虚拟SDN控制器；安装和配置了Open vSwitch，使用OpenFlow 1.3协议与ONOS控制器通信，以作为虚拟SDN交换机。

而对于vNSF的配置，在LXC上安装配置了iptables、Snort/Suricata等软件，形成具有防火墙、IDS/IPS等特定功能的vNSF。为了实现IP的路由功能，在LXC上安装配置了Quagga，以作为虚拟路由器。通过使用Linux虚拟网桥技术作为模拟的网络链路，将虚拟中间盒按照图2连接起来，形成了基于NFV的安全接入网的案例***。

(2)用户安全服务映射

通过在ONOS控制器运行的差异性安全控制应用程序，原型***实现了预定的功能，包括用户身份识别、安全等级与身份映射、建立特定路径、vNSF功能、控制器的北向接口以及用户安全等级转换等。在原型***中，将用户安全等级定义为3类安全级别：Level1、Level2和Level3。为每个授权用户分配一个Host ID；在控制器中存储用户安全服务映射表，表中的键值对表示形式为<Host ID，Level，Service>，Level表示该用户现在的安全等级，Service表示该用户能够使用的网络服务资源，如访问Web服务器、SMTP服务器、FTP服务器和DATABASE等。表1展示了一些用户安全服务映射表的示例。

表1 用户安全服务映射表

(3)用户行为审计记录

vOFS默认流表规则会将每条流的首报文发送到ONOS控制器，控制器摘要性地提取报文首部信息以键值对的方式存储在内存或MySQL数据库中供后面使用。

(4)安全服务链

SSC_j中的vNSF检测到网络攻击并进行处理，由vNSF将有关处理信息发送给控制器ONOS，由编写的SDN应用进行分析处理。原型***中基于RESTful API以HTTP请求的方式访问接口，以实现对用户的安全等级控制、流量分析和***报警等功能。

2、功能测试

在原型***中，设置了3个用户user1、user2和user3，其安全等级分别预设为普通类、观察类和可疑类。为此，首先在控制器的用户安全服务映射表中设置相关信息，并使用他们终端***上的浏览器经过接入网访问互联网上的某个Web服务器S1。之后在ONOS控制器中运行差异化安全控制应用。随后通过分析SDN控制器下发的流表，以及对SSCj中的虚拟安全中间盒使用Wireshark捕获分组进行分析，可以观察到这些用户流量经过接入网时的路径正确。

试验方案与过程：对于属于观察类的user2端***，以100Mbps的速率发送分组，当阈值w₁分别设置为106、107、108，再次检查其安全等级，发现分别经过约8、80、800秒后，该用户可以转变为普通类了；对于属于普通类的user1端***，首先让user1和user2端***使用nmap软件模拟攻击行为，发送测试报文。该攻击行为包括两个特征：一是在短时间内高速发送大量报文，二是访问TCP的5050和6060端口。其次，在SMB1的一个vNSF中设置Snort程序(一个常见的IDS软件)，设置两条检测规则：检测DDoS攻击和禁止访问TCP的5050、6060端口的规则。经上述试验后，user1由普通类转为观察类。

为了激励用户养成遵守网络安全规则的习惯，在原型***设计中，将SSC₁路径的SMB1带宽设置为1Gbps，时延设置为1ms；而SSC₂路径的SMB2带宽设置为10Mbps，时延设置为100ms。先将user1端***设为普通类，让其正常发送流量10s，然后转而发送端口扫描的流量40s。

图3为user1发送流量的带宽和时延变化情况。网络性能的这种变化反映出user1安全等级从普通类调整为观察类。对user1的安全等级的检查也证实了这一点。

对于用户数量很多的情形，我们的实验也有类似结果，参见图6。

试验表明：安全接入网原型***设计根据用户类别选路的功能正确，用户浏览器能够访问到Web服务器S1；而用户安全等级的动态调整功能也正常执行，并且使得较高的安全等级的用户具有较好的网络性能。

3、性能测试

在不同用户数量时，SDN控制器在所有用户同时发出网络请求时，完成区分安全控制方法的计算过程，并向vOFS发送命令，直到vOFS流表项创建完成，这个过程需要的时间称为流表下发时间。试验中，在同一个端***上启动不同数量的线程发送请求，以模拟多用户同时使用接入网的情况，统计在边界vOFS上所有流表下发的平均时间。试验结果如图4所示。

当分别运行防火墙(使用iptables)、IDS(使用snort)和DPI(使用suricata)时，统计分析了资源使用情况。此时在iptables、snort上添加了数量相同的检测规则，即检测所有经过某个特定目的端口的TCP报文，处理方式则分别为丢弃和在日志文件中记录特定消息。而在suricata中则添加了一个与应用层报文的匹配的规则，以模拟DPI功能，处理方式是在日志文件中记录特定信息。在配置文件中分别添加了1000和2000条相同形式的规则，并且3个虚拟端***每个都以10个线程进行网络请求。图5展示了同时使用3种安全功能对宿主服务器CPU和内存占用的影响，在设置2000条规则时，此时CPU最大值没有超过6％，而内存占用率没有超过7％。

采用上述测试安全等级与网络性能试验场景，将接入网中用户数增加至90个。接入网原型***中包括三条SSC路径，其中SSC₁和SSC₂路径SMB带宽和时延设置与上述试验完全相同，而SSC₃路径作为可信的普通用户的通信链路，对它设置较小的时延参数，链路带宽设置为10Gbps。让这90名用户分别归属于3种安全类别，即普通类、观察类和可疑类。通过用户鉴别和路径控制，原型***使这三个类用户分别经过上述三条SSC路径，以测试原型***在此场合下能否满足性能需求。图6为我们在10分钟内使用Iperf发送UDP流量，测试得到各种安全类别的用户经过原型***所经历的平均带宽、平均时延和平均丢包的性能情况。

由图6(a)可见，当用户数量较多时，原型***对于普通用户的用户平均带宽能够到达120Mbps以上，对于观察类用户平均带宽也能够限制在高于12Mbps，对于可疑类用户平均带宽则被限制为较小。由图6(b)可见，当用户数量较多时，原型***对于普通用户的平均时延为0.01毫秒左右，对于观察类用户的平均时延也能够控制在1毫秒以上，对于可疑类用户的平均时延则达到100毫秒以上。由图6(c)可知，当用户数量较多时，原型***在SDN未建立流路径时，丢包率为100％，因此在运行前30秒中平均丢包率达到30％左右；而随着流路径的建立，所有用户的平均丢包率迅速下降，直至稳定在0.5％附近。

该试验表明：流表下发时间随用户量增加而呈大致线性增长，并且具有较高的性能；普通的宿主服务器能够支持相当规模的接入网原型***的传输与安全功能，并且网络性能能够满足许多实际应用的需求。

Claims (2)

1.一种利用网络用户对于网络安全服务的需求存在差异而设计的方法，其特征是它包括：

A.一种将网络接入用户进行安全等级划分的方法。该方法对可识别身份的网络用户的通信行为进行分析，将这些用户划分为具有不同安全等级的集合；用户安全等级由高到底包括：没有发现对网络进行恶意攻击的普通用户子集；偶尔出现网络恶意行为的观察用户子集；向其他用户发起恶意攻击的多种可疑用户子集(如v₁，v₂，...)等；将无法识别身份的用户归于观察用户子集。

B.一种根据用户安全等级设置安全服务链的方法：根据用户安全等级，该方法为每一种用户安全等级设置一条安全服务链。安全服务链是指由一个或多个网络安全中间盒组成的提供安全服务的转发分组的通道；每一种网络安全中间盒能够处理一种或多种网络攻击，因此一条安全服务链具有检测、处理对应该种安全级别的用户常见的多种安全攻击的功能；基于区分安全的网络安全结构如图1所示。

C.特征B满足以下要求：较高安全等级用户集合对应的安全服务链，仅需要设置较少数量、较少种类的网络安全中间盒；而对于较低安全等级对应的安全服务链，需要设置更多数量、更多种类的网络安全中间盒；对于特定安全需求用户集合的安全服务链，还可能设置一些特殊的安全检测设备以应对额外的安全需求。

D.基于区分安全的网络安全结构满足以下要求：较高安全等级用户对应的安全服务链具有较好的网络传输质量，如传输带宽更宽、传输延时更低等，以激励用户遵从网络安全规则的动机。

E.一种复用安全服务链的构成单元的方法：一个网络安全中间盒可同时应用于一条或多条安全服务链，应用流在经过该安全中间盒处理后，能够按照安全服务需求转发到其他网络安全中间盒，限制其转发的因素是该中间盒的分组转发能力。

F.一种向下调整用户安全等级的策略：当某安全服务链检测到某用户应用流中出现了不符合该类别安全等级要求的流(称为异常流量)时，能够根据异常流量的出现频率对用户安全等级进行转换：

(1)当检测到攻击时，将对应用户添加到观察列表(即进入观察用户子集)，并在列表中设定特定的时间长度，在这段时间中观察该用户的行为；

(2)如在观察列表中的用户流持续出现攻击行为，且流大小或持续时间大于该安全类别的阈值(如某个值w₁，通常根据经验值来设定w₁)时，将用户对应的安全级别下调至可疑用户子集某个相应级别(如从v₁调至v₂等)。

(3)在观察时长达到后，没有出现F(2)的情况，将该用户移出观察列表，恢复原来安全类别。

G.一种向上调整用户安全等级的策略；当某用户的流持续满足安全要求，且总流量达到一定大小或持续时间达到一定长度且满足某个安全等级的阈值(如某个值w₂，通常根据经验值来设定w₂)时，将该用户的安全等级向上调整1个级别。

H.用户安全等级的调整策略满足“上调慢，下调快”的原则，可疑用户子集中的等级及其阈值的设置应根据网络安全具体应用与场景，通过***管理员经验或人工智能方法来定。

2.基于SDN/NFV技术设计实现安全接入网的方法，其特征是它包括：

A.一种位于IP网络边缘的接入网络，该安全接入网主要包括3种组件：SDN控制器、OpenFlow交换机和网络安全功能组件，这些组件可以是实体设备，也可以是虚拟设备，它的组成如图2所示。

B.基于NFV的安全接入网构成：安全接入网的3种组件都运行在虚拟机中；虚拟OpenFlow交换机vOFS为符合OpenFlow规范的交换机软件，能够根据SDN控制器下发的流表转发分组；特定的安全虚拟网络功能(VNF)提供了虚拟网络安全中间盒vNSF，多个vNSF能够构成特定的安全服务链；物理服务器通过网络接口与外部实际网络链路相连。

C.安全接入网中的分组转发：SDN控制器对vOFS的控制以及设置安全服务链SSC的方法，需要根据本发明专利技术方案1的方法进行。

D.安全接入网的工作流程主要包括4个阶段：(1)用户鉴别：当某用户接入到边缘接入网时，SDN控制器会收到该用户的Packet-In消息；控制器与端***之间的流鉴别协议能够透明地鉴别该用户身份并基于用户库信息确定其安全类别；流鉴别协议利用非对称密钥密码来保证用户身份的唯一性和鉴别信息的安全交互，实现用户身份属性鉴别和应用属性鉴别。(2)控制器选路：SDN控制器根据该用户的安全等级和差异化安全控制策略，计算得到最适合的转发路由，并向相关vOFS下发流表形成应用流的路径，使得该用户流能够到达特定的SSC。(3)SSC处理：用户分组流经特定的SSC时，安全服务链中的vNSF进行安全检测或特定网络安全处理，得到相应的网络安全服务，使得分组流或被转发到达目的网络，或被丢弃；该SSC也会根据安全处理的结果和该流的状态，来决定它是否满足安全类别调整的条件；如果该条件满足，将会通告控制器。(4)安全等级调整：SDN控制器收到某SSC发来的安全类别调整请求，要基于差异化安全规则和***状态进行分析，改变该用户的安全类别并调整网络路径。

Images