CN111586026A - 一种基于sdn的软件定义边界实现方法及*** - Google Patents

Abstract

本发明公开了一种基于SDN的软件定义边界实现方法及***，其中该方法通过SDN控制器代替SDP控制器，通过SDN交换机代替SDP网关，以通过SDN网络的流表方法实现SPA单包授权业务逻辑，一方面，SDN交换机属于基础网络设施，在布设软件定义边界的***时无需增加额外的SDP网关设备，同时且SDN交换机的转发性能强，可按Tor分布式部署，解决单点处理性能问题，另一方面SDN交换机常作为内网的Tor交换机，因此本方法可用于内部网络间的安全防护，以用于防御内部网络间的非法访问或攻击。

Description

一种基于SDN的软件定义边界实现方法及***

技术领域

本发明属于软件定义边界技术领域，具体涉及一种基于SDN的软件定义边界实现方法及***。

背景技术

软件定义的边界(SDP)是由云安全联盟(CSA)开发的一种安全框架，它根据身份控制对资源的访问。每个终端在连接服务器前必须进行单播授权(SPA)验证，确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施，使之不直接暴露在互联网下，使得网络资产与设施免受外来安全威胁。传统的SDP架构由于受保护服务的范围较大，因此普遍采用网关模式，如图1所示：SDP控制器建立的访问规则只对被授权的用户和服务开放，密钥和策略也是动态和仅供单次使用的，通过这种类似“白名单”的访问控制形式，网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的，通过单一访问控制方式，将受保护服务对非法用户完全屏蔽，这样便大大防止了外部的暴力攻击(如DDoS流量攻击)、精准打击(如APT持续威胁)、漏洞利用(如心脏出血漏洞)等，通过SDP软件定义边界减小网络的被攻击面。

但传统的SDP软件定义边界架构存在以下几个缺点：

1.SDP网关的单点问题，SDP网关作为受保护服务的统一流量入口，网络处理性能不足。

2.由于SDP控制器作为单播授权中心，因此需要暴露在外网，容易被黑客作为攻击目标，导致网络瘫痪或SDP控制器被劫持控制。

3.SDP网关防御外部网络的非法访问或攻击，无法防御内部网络间的非法访问或攻击。

发明内容

为了克服上述技术缺陷，本发明提供一种基于SDN的软件定义边界实现方法及***，其中该方法在布设软件定义边界的***时无需增加额外的SDP网关设备，解决单点处理性能问题，可用于内部网络间的安全防护，以用于防御内部网络间的非法访问或攻击。

为了解决上述问题，本发明按以下技术方案予以实现的：

一种基于SDN的软件定义边界实现方法，其步骤包括：

SDN控制器下发SPA采集流表至SDN交换机；

所述SDN交换机根据所述SPA采集流表采集来自客户端的SPA授权报文，并将采集到的所述SPA授权报文发送至所述SDN控制器；所述SPA授权报文中包括加密证书、客户端信息和目标服务信息；

所述SDN控制器根据预设的注册信息和所述目标服务信息，判断所述加密证书的合法性，当所述加密证书被判定为合法时，所述SDN控制器根据所述客户端信息和目标服务信息生成授权转发流表；

所述SDN交换机根据所述授权转发流表对接收到的访问报文进行匹配，在匹配成功时转发所述访问报文至所述目标服务信息指定的目标服务。

作为本方法的进一步改进，其还包括步骤：

将受保护服务的网络信息注册至所述SDN控制器以生成所述注册信息以及所述加密证书；所述注册信息中包括用于解密所述加密证书的凭据。

作为本方法的进一步改进，其还包括步骤：所述客户端获取所述加密证书，并根据所述加密证书和欲访问的受保护服务的所述目标服务信息，生成所述SPA授权报文。

作为本方法的进一步改进，所述SPA授权报文中还包括对应于所述加密证书的加密信息。

作为本方法的进一步改进，所述加密信息包括加密类型、加密模式、签名数据和加密认证数据。

作为本方法的进一步改进，在所述SDN控制器生成所述授权转发流表的步骤之前，还包括步骤：所述SDN控制器根据所述受保护服务的网络信息下发默认拦截流表至所述SDN交换机，所述默认拦截流表被设置为将目标地址为所述受保护服务的访问报文进行丢弃。

作为本方法的进一步改进，所述SDN交换机根据所述授权转发流表对接收到的访问报文进行匹配，在匹配不成功时根据所述默认拦截流表对所述访问报文进行丢弃。

作为本方法的进一步改进，所述目标服务信息包括目标服务的IP地址和端口信息。

作为本方法的进一步改进，所述客户端获取所述加密证书的方式是线下获取。

本发明还公开了一种基于SDN的软件定义边界实现***，包括SDN控制器和SDN交换机，所述SDN控制器和SDN交换机用于执行上述的基于SDN的软件定义边界实现方法以实现软件定义边界。

相对于现有技术，本发明的有益效果为：

本发明公开了一种基于SDN的软件定义边界实现方法及***，其中该方法通过SDN控制器代替SDP控制器，通过SDN交换机代替SDP网关，以通过SDN网络的流表方法实现SPA单包授权业务逻辑，一方面，SDN交换机属于基础网络设施，在布设软件定义边界的***时无需增加额外的SDP网关设备，同时且SDN交换机的转发性能强，可按Tor分布式部署，解决单点处理性能问题，另一方面SDN交换机常作为内网的Tor交换机，因此本方法可用于内部网络间的安全防护，以用于防御内部网络间的非法访问或攻击。

附图说明

图1是本发明的背景技术中所述传统的SDP架构的结构示意图。

图2是本发明的实施例1中所述基于SDN的软件定义边界实现方法的步骤示意图。

图3是本发明的实施例2中所述具体应用方案的***架构及数据流示意图。

图4是本发明的实施例2中所述具体应用方案的数据传输流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。此外，本发明中的附图仅仅对本发明中的实施例的结构或功能做出示例性的说明，其大小、长度、比例在没有说明或标注的情况下，并不对实施例中的结构或功能做出具体的限定。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

在本发明的描述中，需要说明的是，术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该发明产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

如图2和图4所示，本实施例公开了一种基于SDN的软件定义边界实现方法，其步骤包括：

S1、将受保护服务的网络信息注册至SDN控制器以生成注册信息以及加密证书。

具体的，注册信息中包括用于解密加密证书的凭据。因此SDN控制器可在后续根据注册信息中的凭据对收到的加密证书的合法性进行验证。

S2、SDN控制器根据受保护服务的网络信息下发默认拦截流表至SDN交换机。

具体的，默认拦截流表被设置为将目标地址为受保护服务的访问报文进行丢弃。在本实施例中，这一设置的目的是在于当受保护服务在SDN控制器注册时，SDN控制器便确认该服务为受保护服务，此时为了安全起见，在没有客户端试图发送SPA授权报文之前，SDN控制器可通过默认拦截流表对所有试图访问受保护服务的未授权客户端进行拦截。

S3、客户端获取加密证书，根据加密证书和欲访问的受保护服务的目标服务信息，生成SPA授权报文。

具体的在本实施例中，客户端获取加密证书的方式是线下获取。这一设置的目的在于，传统的线上获取证书的方式会导致SDN控制器被暴露，从而容易成为网络攻击的目标，因此客户端通过线下获取加密证书可以有效降低SDN控制器被攻击的概率，从而提高了整个***的安全性。

具体的，SPA授权报文中包括加密证书、客户端信息和目标服务信息。具体的，目标服务信息为客户端欲访问的受保护服务的相关网络信息。具体的在本实施例中，目标服务信息包括目标服务的IP地址和端口信息。

具体的在本实施例中，SPA授权报文中还包括对应于加密证书的加密信息。具体的在本实施例中，加密信息包括加密类型、加密模式、签名数据和加密认证数据。

S4、SDN控制器下发SPA采集流表至SDN交换机。

S5、SDN交换机根据SPA采集流表采集来自客户端的SPA授权报文，并将采集到的SPA授权报文发送至SDN控制器。

S6、SDN控制器判断加密证书的合法性，当加密证书被判定为合法时，SDN控制器根据客户端信息和目标服务信息生成授权转发流表。

具体的，SDN控制器根据预设的注册信息和目标服务信息对加密证书进行判定，可选的，SDN控制器通过注册信息中的凭据对加密证书进行解密并在解密成功并校验成功时判定加密证书为合法。

S7、SDN交换机根据授权转发流表对接收到的访问报文进行匹配，在匹配成功时转发访问报文至目标服务信息指定的目标服务。

具体的在本实施例中，SDN交换机根据授权转发流表对接收到的访问报文进行匹配，在匹配不成功时根据所述默认拦截流表对访问报文进行丢弃。

本实施例公开了一种基于SDN的软件定义边界实现方法，该方法通过SDN控制器代替SDP控制器，通过SDN交换机代替SDP网关，以通过SDN网络的流表方法实现SPA单包授权业务逻辑，一方面，SDN交换机属于基础网络设施，在布设软件定义边界的***时无需增加额外的SDP网关设备，同时且SDN交换机的转发性能强，可按Tor分布式部署，解决单点处理性能问题，另一方面SDN交换机常作为内网的Tor交换机，因此本方法可用于内部网络间的安全防护，以用于防御内部网络间的非法访问或攻击。

实施例2

如图3和图4所示，本实施例对应于实施例1中公开的基于SDN的软件定义边界实现方法，公开了该方法的具体应用方案。

具体的，本应用方案包括以下步骤：

①管理员将用户注册至SDN控制器，并生成证书。

②客户端通过线下的方式获取用户证书，保障SDN控制器无需暴露外网，防止SDN控制器被黑客攻击。

③客户端根据证书生成SPA单包授权报文，并发送至受保护服务。SPA报文为UDP协议报文，报文目标IP为受保护服务的IP地址，报文的数据内容包括：用户名、时间戳、加密类型、加密模式、签名数据、加密认证数据、源IP地址(仿真客户端IP被NAT修改)等信息。

④SDN交换机接收到SPA单包授权报文，并将SPA报文通过SPA单包授权采集流表发送至SDN控制器。

⑤SDN控制器提取SPA报文的加密证书，判断证书的合法性。如果不合法则丢弃，如果合法则提取SPA报文中携带的客户端IP地址、目标IP地址、目标端口等信息生成授权转发流表。

⑥SDN控制器将授权转发流表下发至SDN交换机

⑦客户端访问受保护服务。

⑧SDN交换机的授权转发流表匹配报文的IP地址、目标IP地址、目标端口信息，如果匹配命中这转发至指定的受保护服务。

⑨如果匹配不命中，SDN交换机根据默认拦截流表丢弃报文，以拦截未授权客户端访问受保护服务。

实施例3

本实施例公开了一种基于SDN的软件定义边界实现***，其结构可参照图3，本***包括SDN控制器和SDN交换机，其中，SDN控制器通过SDN交换机对服务组中的多个虚拟机进行控制，具体的，本实施例中的SDN控制器和SDN交换机用于执行如实施例1所述的基于SDN的软件定义边界实现方法以实现软件定义边界。具体的，本实施例中的技术方案的技术效果与实施例1中的类似，在此不再赘述。

本领域普通技术人员可以意识到，结合本发明实施例中所公开的实施例描述的各示例的方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可查看存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上详细描述了本发明的较佳具体实施例，应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案，均应该在由本权利要求书所确定的保护范围之中。

Claims (10)

1.一种基于SDN的软件定义边界实现方法，其特征在于，其步骤包括：

SDN控制器下发SPA采集流表至SDN交换机；

所述SDN交换机根据所述SPA采集流表采集来自客户端的SPA授权报文，并将采集到的所述SPA授权报文发送至所述SDN控制器；所述SPA授权报文中包括加密证书、客户端信息和目标服务信息；

所述SDN控制器根据预设的注册信息和所述目标服务信息，判断所述加密证书的合法性，当所述加密证书被判定为合法时，所述SDN控制器根据所述客户端信息和目标服务信息生成授权转发流表；

所述SDN交换机根据所述授权转发流表对接收到的访问报文进行匹配，在匹配成功时转发所述访问报文至所述目标服务信息指定的目标服务。

2.根据权利要求1所述的基于SDN的软件定义边界实现方法，其特征在于，还包括步骤：

将受保护服务的网络信息注册至所述SDN控制器以生成所述注册信息以及所述加密证书；所述注册信息中包括用于解密所述加密证书的凭据。

3.根据权利要求2所述的基于SDN的软件定义边界实现方法，其特征在于，还包括步骤：

所述客户端获取所述加密证书，并根据所述加密证书和欲访问的受保护服务的所述目标服务信息，生成所述SPA授权报文。

4.根据权利要求3所述的基于SDN的软件定义边界实现方法，其特征在于，所述SPA授权报文中还包括对应于所述加密证书的加密信息。

5.根据权利要求4中所述的基于SDN的软件定义边界实现方法，其特征在于，所述加密信息包括加密类型、加密模式、签名数据和加密认证数据。

6.根据权利要求2中所述的基于SDN的软件定义边界实现方法，其特征在于，在所述SDN控制器生成所述授权转发流表的步骤之前，还包括步骤：

所述SDN控制器根据所述受保护服务的网络信息下发默认拦截流表至所述SDN交换机，所述默认拦截流表被设置为将目标地址为所述受保护服务的访问报文进行丢弃。

7.根据权利要求6中所述的基于SDN的软件定义边界实现方法，其特征在于，所述SDN交换机根据所述授权转发流表对接收到的访问报文进行匹配，在匹配不成功时根据所述默认拦截流表对所述访问报文进行丢弃。

8.根据权利要求1所述的基于SDN的软件定义边界实现方法，其特征在于，所述目标服务信息包括目标服务的IP地址和端口信息。

9.根据权利要求3所述的基于SDN的软件定义边界实现方法，其特征在于，所述客户端获取所述加密证书的方式是线下获取。

10.一种基于SDN的软件定义边界实现***，其特征在于，包括SDN控制器和SDN交换机，所述SDN控制器和SDN交换机用于执行如权利要求1-9任一项所述的基于SDN的软件定义边界实现方法以实现软件定义边界。

Images