張林杰，李 倩，賈 哲，曹麗惠

(1.通信網(wǎng)信息傳輸與分發(fā)技術重點實驗室，河北 石家莊 050081； 2.空軍指揮學院，北京 100097)

0 引言

21世紀的網(wǎng)絡安全已經(jīng)成為安全研究的一個焦點，“網(wǎng)絡戰(zhàn)”、“網(wǎng)絡主權”等概念層出不窮，網(wǎng)絡空間作為繼“陸、海、空、天”后的第五空間而備受矚目?，F(xiàn)有安全防護手段如入侵檢測、防火墻等，都是構建在高成本的專用硬件和封閉軟件的設備中，本質(zhì)上都是通過不斷升級或補充特征庫的方式對安全問題做出被動響應。隨著網(wǎng)絡安全形勢的日益嚴峻，查漏補缺、外圍封堵的傳統(tǒng)安全防護模式正在走進“死胡同”。

傳統(tǒng)安全設備(例如防火墻、入侵檢測)是基于特定的硬件環(huán)境實現(xiàn)特定的安全防護功能，部署在網(wǎng)絡中的固定位置，很難滿足當今網(wǎng)絡服務和應用的不同安全要求。一是傳統(tǒng)的安全服務設備與網(wǎng)絡拓撲緊耦合，管理配置固定繁瑣，無法隨業(yè)務安全需求變化而動態(tài)變化，無法根據(jù)網(wǎng)絡狀態(tài)和安全威脅進行網(wǎng)絡防御能力的動態(tài)調(diào)整；二是當前網(wǎng)絡攻擊的演變速度大大超過了安全防護技術的開發(fā)和更新速度，管理員需要根據(jù)各種新型攻擊擴充檢測攻擊特征庫，現(xiàn)有的網(wǎng)絡架構下進行各種安全設備的升級和更新?lián)Q代，安全服務升級周期長、擴展難、成本高、易出錯，管理員無法實時高效地實現(xiàn)對網(wǎng)絡的安全管理；三是網(wǎng)絡中部署的各種安全防護設備功能重復交叉，網(wǎng)絡的安全防護設備繁多，重復建設，開銷成本高，資源消耗大；四是各廠商之間的安全設備缺乏透明度，軟硬件種類繁多，阻礙了技術融合，不利于形成全網(wǎng)統(tǒng)一的態(tài)勢呈現(xiàn)。

網(wǎng)絡功能虛擬化(NFV)[1]通過在通用服務器上部署虛擬網(wǎng)絡功能(VNF)軟件取代基于專用硬件的網(wǎng)絡設備，在降低網(wǎng)絡成本和運營支出的同時，部署使用更加靈活。軟件定義網(wǎng)絡(SDN)[2]可對全網(wǎng)流量進行細粒度控制，支持應用的動態(tài)部署和重新配置。SDN和NFV技術[3]的發(fā)展，使得網(wǎng)絡服務和應用系統(tǒng)可采用服務功能鏈(SFC)這種高效、可擴展的方式，實現(xiàn)快速自動部署。作為網(wǎng)絡服務和應用的關鍵特征之一的安全性[4]也必須滿足當今快速增長和不斷發(fā)展的網(wǎng)絡及應用的不同安全需求[5]。

SHIN S等[6]提出FRESCO安全架構，其以安全模塊組合的方式生成安全服務，但僅給出了功能上的驗證。QAZI Z等[7]通過對SDN/NFV技術的分析，提出通過組合虛擬安全應用模塊來構建安全服務鏈(SSC)的技術思想，但并未給出服務構建策略。LEE W等[8]提出的SIMPLE方案利用SDN技術設計了針對數(shù)據(jù)層中網(wǎng)絡功能中間件的管理機制，然而其仍缺乏對應用層的組合策略。GUSHCHIN A等[9]也僅在假設網(wǎng)絡節(jié)點具有安全服務能力條件下，研究了節(jié)點間的路由問題。Martini B等[10]通過修改OpenFlow 協(xié)議QoS字段來標識不同網(wǎng)絡流服務需求，提出了基于服務類型的SSC理論模型。但該方案拓展了SDN網(wǎng)絡的南向標準協(xié)議，兼容性較差且需預先編排各個服務類型對應的服務鏈。Giotis K等[11]提出了基于策略的網(wǎng)絡虛擬資源管理機制，根據(jù)不同數(shù)據(jù)流的業(yè)務需求動態(tài)地編排服務節(jié)點，但其并未涉及應用策略更新引起的策略沖突問題。

Cloud4NFV[12]基于ETSI的架構規(guī)范，設計了一種端到端的NFV平臺，對服務鏈的管理和編排進行了優(yōu)化。Clayman等[13]針對高動態(tài)網(wǎng)絡提出了一個基于協(xié)調(diào)器的架構，通過監(jiān)控網(wǎng)絡服務配置和資源狀況，確保VNF的自動編排，實現(xiàn)虛擬網(wǎng)絡的自動化部署及資源的自動化分配。NetFATE[14]考慮到網(wǎng)絡流量所需通過的服務鏈，提出了將業(yè)務流程虛擬化的方法，在設計服務鏈的同時，也需要考慮物理資源的有效利用，從而實現(xiàn)預期的經(jīng)濟效益。劉鎏等[15]針對傳統(tǒng)虛擬網(wǎng)絡映射算法的不足提出了基于資源主動拆分的vNFC映射策略，并利用最優(yōu)化算法，將vNFC的映射問題建模成整型優(yōu)化問題，有效地提高了物理資源利用率。

本文提出了一種SSC構建方法。該方法基于SSC體系架構，通過SDN控制器下發(fā)SSC構建策略，包括分流策略和流量牽引策略，到SDN交換機，來構建SSC。試驗結(jié)果證明，利用提出的SSC構建方法可實現(xiàn)防火墻、入侵檢測以及深度包檢測等功能，并能夠借助流量牽引模塊按需編排安全服務，形成SSC。

1 安全服務鏈

基于SDN的服務功能鏈[16](SFC)定義了一組有序的抽象服務功能和排序約束，SSC作為一種服務功能鏈，定義了一組有序的安全功能，以及針對特定數(shù)據(jù)包和/或流的安全策略。用戶可根據(jù)不同業(yè)務需求動態(tài)部署安全功能(如vFW、vIDS等)，按需編排安全功能形成SSC，在應用生命周期內(nèi)，為應用提供安全服務，支持安全服務的彈性伸縮和故障遷移，同時支持實時威脅檢測和基于策略的自動化響應[17]。安全服務提供商利用SSC，可管理和運營獨立的安全服務，并提供可集成到其他服務(如智能交通系統(tǒng)(ITS)、視頻服務和位置服務)中的定制安全服務。服務提供商可以只關注基本服務邏輯，從安全服務提供商那里獲得專業(yè)安全服務，以便為終端用戶提供安全服務。

根據(jù)部署方式的不同，SSC可以分為2種：① 獨立的SSC[18]，安全服務提供商可自行管理和運營獨立的安全服務；② 互通SSC，與其他SFC整合，以將安全機制嵌入到數(shù)據(jù)流的提供端到端的服務/應用。

根據(jù)服務對象不同，SSC可以分為非面向用戶的SSC和面向用戶的SSC。非面向用戶的SSC既不面向特定用戶也不面向特定業(yè)務邏輯提供通用的安全服務，如數(shù)據(jù)包過濾、入侵檢測和預防等功能；面向用戶的SSC是面向特定用戶和/或特定業(yè)務邏輯，并且通過與SFC控制器協(xié)作而以特定順序集成到SFC(服務功能鏈)中。例如，面向用戶的SSC提供認證、授權和單用戶加密/解密等安全服務，以實現(xiàn)更高的安全級別保護。非用戶導向的SSC可以作為獨立的SSC和互通SSC進行部署。面向用戶的SSC只能部署為互通SSC，因為必須集成到特定的業(yè)務邏輯中。

2 基于SDN/NFV的SSC體系架構

SSC的構建同時利用了軟件定義安全(Software Defined Security，SDS)和虛擬化安全(Virtualized Security Appliance，VSA)2種技術思路。

SDS的特點是將安全的控制平面和數(shù)據(jù)平面進行分離和重構，實現(xiàn)模塊化、服務化、可重用。SDS將現(xiàn)有安全技術分解成基本安全服務，并進一步劃分為原子安全服務。然后，通過SDN控制層的可編程能力及安全防護控制器，利用服務重構技術和安全狀態(tài)表將各安全原子服務有機整合，形成定制的安全能力。

VSA的特點是通過傳統(tǒng)安全設備的虛擬化來實現(xiàn)SDN網(wǎng)絡中的安全嵌入。SDN網(wǎng)絡被劃分為基礎設施層(主要包括計算和存儲資源，以及負責網(wǎng)絡轉(zhuǎn)發(fā)的交換和路由設備等)、控制層(主要有SDN控制器組成)和服務層(主要包括業(yè)務應用和網(wǎng)絡安全應用等)，在VSA模式下，安全設備，例如防火墻、入侵檢測和防護系統(tǒng)、反病毒系統(tǒng)、蜜罐等安全設備工作于服務層，由網(wǎng)絡控制器根據(jù)策略將目標流量調(diào)度到相應的安全設備進行處理。

基于SDN/NFV的SSC體系架構如圖1所示，包括SSC控制器和SSC功能域2部分。網(wǎng)絡服務/應用和安全管理根據(jù)安全需求向SSC控制器發(fā)送SSC請求，SSC控制器根據(jù)安全需求，創(chuàng)建SSC，提供定制的安全保護。

圖1 基于SDN/NFV的SSC體系架構

SSC各部分功能詳細描述如下：

① Restful編程接口：SSC控制器對上提供基于Restful的編程接口，方便與其他服務或應用的集成。

② SSC管理：包括服務鏈目錄、服務鏈創(chuàng)建以及服務鏈列表。服務鏈目錄，用于管理定義服務鏈；服務鏈創(chuàng)建，用于創(chuàng)建SSC實例；服務鏈列表，用于管理創(chuàng)建的服務鏈。

③ 安全功能管理：包括安全功能目錄、安全功能創(chuàng)建以及安全功能列表。安全功能目錄，用于管理定義安全功能；安全功能創(chuàng)建，用于構建安全功能實例；安全功能列表，用于管理安全功能實例。

④ 策略管理：主要包括對分流策略以及流量牽引策略的管理。

⑤ 動態(tài)編排：主要包括安全事件分析以及動態(tài)響應。安全事件分析：用于分析異常事件；動態(tài)響應：當安全事件分析模塊發(fā)現(xiàn)安全攻擊后，動態(tài)響應模塊根據(jù)規(guī)則生成SSC請求，并把SSC請求通過消息總線發(fā)送給中央調(diào)度器。

⑥ 分流引擎：基于分流策略，識別數(shù)據(jù)流；一旦識別數(shù)據(jù)流，則將服務鏈實例ID作為服務鏈標簽插入到數(shù)據(jù)包中，從而為后續(xù)流量牽引做準備；將打上服務鏈標簽的數(shù)據(jù)包轉(zhuǎn)發(fā)給vSwitch。

⑦ 流量牽引：模塊內(nèi)嵌于vSwitch模塊；根據(jù)數(shù)據(jù)包中的服務鏈標簽以及相應的流量牽引策略，將流量牽引到1個或多個安全功能實例；從安全功能實例回收流量，然后將流量牽引到下一跳的流量牽引模塊或分流引擎，實現(xiàn)安全功能服務鏈。

⑧ 安全功能實例：基于虛擬化技術創(chuàng)建的安全功能引擎：vIDS，vFW，vDPI等。

3 SSC創(chuàng)建

創(chuàng)建SSC的過程描述如下：

① 服務/應用或管理平臺請求來自SSC控制器的定制安全保護，并根據(jù)安全要求向SSC控制器發(fā)送SSC請求。

② 在接收到來自服務/應用程序，管理平臺的SSC請求后，SSC管理將查找服務鏈目錄并選擇適當?shù)腟SC。

③ 服務鏈列表檢查是否在SSC列表中注冊并激活了此類SSC的實例。如果是，則將選擇并重用該SSC的活動實例。然后轉(zhuǎn)到步驟⑤。如果此類SSC的實例沒有被激活，服務鏈列表會查找安全功能目錄，并在步驟②根據(jù)選定的SSC選擇相應的安全功能。

④ 根據(jù)選定的安全功能，服務鏈列表檢查這些安全功能的實例是否已在安全功能列表中注冊和激活。如果是，則這些活動實例將被選中并重用于此SSC。然后轉(zhuǎn)到步驟⑤。如果選定的安全功能沒有被激活，將查找虛擬安全功能鏡像存儲庫并選擇安全功能鏡像，并通過SDN控制器提供的網(wǎng)絡拓撲結(jié)構將安全功能鏡像實例化并部署在相應的主機中。然后把相應的信息反饋到服務鏈列表和安全功能列表中。

⑤ 創(chuàng)建對應的分流策略和流量牽引策略，分別反饋到服務功能轉(zhuǎn)發(fā)器(SFF)的分類策略表和流量牽引轉(zhuǎn)發(fā)表中。

4 SSC試驗

SSC試驗拓撲圖如圖2所示，主要由外部設備1.0.0.14、內(nèi)部設備8.0.0.14、網(wǎng)關以及流量牽引模塊組成。外部設備經(jīng)過網(wǎng)關后進入流量牽引模塊，由ONOS控制器牽引流量流經(jīng)vFW，vIDS，vDPI等安全功能，最后到達內(nèi)部設備8.0.0.14。內(nèi)部設備8.0.0.14經(jīng)由網(wǎng)關聯(lián)通外部設備1.0.0.14。

圖2 SSC試驗拓撲圖

4.1 vFW防火墻功能測試

在vFW內(nèi)部添加規(guī)則攔截源地址為1.0.0.14或目的地址為8.0.0.14的數(shù)據(jù)包后，外部設備1.0.0.14向內(nèi)部設備8.0.0.14的ping請求失敗。添加iptables規(guī)則后外部設備抓包圖如圖3所示。由圖3可以看出，SSC中的vFW安全服務能夠起到防火墻的作用。

4.2 vIDS入侵檢測功能測試

由外部設備1.0.0.14發(fā)起對內(nèi)部設備8.0.0.14的端口掃描攻擊。vIDS的告警信息如圖4所示。

圖3 添加iptables規(guī)則后外部設備抓包圖

從圖4可以看出，SSC的vIDS安全功能具有入侵檢測功能。

圖4 由外部設備發(fā)起端口掃描攻擊后vIDS的告警信息

4.3 安全服務vDPI深度包檢測功能測試

此處采用與上述同樣的試驗方法，vDPI深度包檢測結(jié)果圖如圖5所示。由圖5可以看出，SSC的vDPI安全服務可以對數(shù)據(jù)包進行深度檢測。

圖5 vDPI深度包檢測結(jié)果

5 結(jié)束語

SSC是一種服務功能鏈(SFC)，包含一組有序的安全功能，可實現(xiàn)安全功能的動態(tài)部署以及按需編排。提出了一種SSC構建方法，由試驗結(jié)果可以看出，該方法能夠借助流量牽引模塊按需編排安全服務，形成SSC；并且系統(tǒng)內(nèi)的安全功能vFW，vIDS，vDPI分別具有防火墻、入侵檢測以及深度包檢測功能。