亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)管理技術(shù)

        2021-04-17 16:04:10朱泓藝陸肖元李毅
        電信科學(xué) 2021年3期
        關(guān)鍵詞:試驗(yàn)場(chǎng)內(nèi)生異構(gòu)

        朱泓藝,陸肖元,李毅

        (上海寬帶技術(shù)及應(yīng)用工程研究中心,上海 200436)

        1 引言

        隨著互聯(lián)網(wǎng)技術(shù)與垂直行業(yè)的緊密結(jié)合,網(wǎng)絡(luò)空間安全作為國(guó)家安全的組成部分,其重要性日益凸顯。尤其是在云網(wǎng)融合、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、天地一體化等技術(shù)發(fā)展的加速推進(jìn)下,移動(dòng)通信、智能網(wǎng)聯(lián)汽車、工業(yè)系統(tǒng)、衛(wèi)星通信均逐漸暴露在網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)之下。網(wǎng)絡(luò)空間安全造成的影響,也從個(gè)人隱私、企業(yè)機(jī)密的泄露,提升到危害人民財(cái)產(chǎn)、生命安全以及國(guó)家利益的高度??焖俚木W(wǎng)絡(luò)架構(gòu)、設(shè)備以及應(yīng)用場(chǎng)景,使傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)信息產(chǎn)品安全性能檢測(cè)技術(shù)捉襟見(jiàn)肘,難以承擔(dān)維護(hù)國(guó)家網(wǎng)絡(luò)空間安全的重要任務(wù)。

        在網(wǎng)絡(luò)安全防御技術(shù)方面,“內(nèi)生化”的網(wǎng)絡(luò)安全在近年來(lái)已成為研究熱點(diǎn)。由于網(wǎng)絡(luò)攻防態(tài)勢(shì)的普遍不對(duì)稱性,被動(dòng)式的防御技術(shù)與產(chǎn)品僅依靠阻擋、檢測(cè)和修復(fù)[1-2]等手段存在一定的滯后性。因此,在面對(duì)未知的系統(tǒng)漏洞后門與惡意網(wǎng)絡(luò)攻擊時(shí),往往無(wú)法及時(shí)有效地發(fā)現(xiàn)威脅,只能在網(wǎng)絡(luò)受到攻擊造成損失后進(jìn)行修補(bǔ),無(wú)法滿足如今工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域的高安全性要求。采用主動(dòng)防御技術(shù),為系統(tǒng)引入動(dòng)態(tài)隨機(jī)性使之呈現(xiàn)不可預(yù)知的特點(diǎn),從而減少對(duì)網(wǎng)絡(luò)攻擊先驗(yàn)知識(shí)的依賴,成為網(wǎng)絡(luò)安全領(lǐng)域新的主流觀點(diǎn)。基于此,擬態(tài)防御原理引入動(dòng)態(tài)異構(gòu)冗余架構(gòu)[3-4],從網(wǎng)絡(luò)空間的根本結(jié)構(gòu)上為系統(tǒng)提供“內(nèi)生”的安全性能。擬態(tài)防御作為目前實(shí)現(xiàn)網(wǎng)絡(luò)空間內(nèi)生安全的一種最具有可行性的技術(shù)體系,已被廣泛應(yīng)用于網(wǎng)絡(luò)架構(gòu)與軟硬件設(shè)備的設(shè)計(jì)之中[5-6]。

        在網(wǎng)絡(luò)安全檢測(cè)技術(shù)方面,網(wǎng)絡(luò)靶場(chǎng)[7](cyber range,CR)和試驗(yàn)床(test-bed,TB)作為一種網(wǎng)絡(luò)空間安全研究的信息基礎(chǔ)設(shè)施,可承擔(dān)網(wǎng)絡(luò)信息產(chǎn)品安全性能的評(píng)估、網(wǎng)絡(luò)安全性策略的制定和在典型網(wǎng)絡(luò)應(yīng)用場(chǎng)景進(jìn)行網(wǎng)絡(luò)攻防演練等任務(wù),為新型網(wǎng)絡(luò)技術(shù)與設(shè)備提供一個(gè)具有高度可操作性的試驗(yàn)環(huán)境。因此,CR技術(shù)已受到國(guó)際社會(huì)的高度重視,世界各國(guó)均將CR作為體現(xiàn)國(guó)家安全實(shí)力的重要信息基礎(chǔ)設(shè)施。

        作為兩者的融合,網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)是一種主要面向網(wǎng)絡(luò)空間內(nèi)生安全技術(shù)的CR/TB。參考文獻(xiàn)[8]重點(diǎn)探討了基于面向?qū)ο笤O(shè)計(jì)思想的網(wǎng)絡(luò)空間先進(jìn)防御技術(shù)試驗(yàn)場(chǎng)構(gòu)建方法,為網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)的設(shè)計(jì)與建設(shè)提出了一種可行的方法。

        在我國(guó),CR/TB的研究主要以科研院所如國(guó)防科學(xué)技術(shù)大學(xué)、中國(guó)科學(xué)院計(jì)算技術(shù)研究所、北京郵電大學(xué)等機(jī)構(gòu)牽頭建設(shè),在網(wǎng)絡(luò)攻防演練、場(chǎng)景仿真、數(shù)據(jù)采集等多個(gè)方面均有重大突破。同時(shí),在南京紫金山實(shí)驗(yàn)室的支持下,全球首個(gè)網(wǎng)絡(luò)內(nèi)生安全試驗(yàn)場(chǎng)在南京落地,主要面向全球提供真實(shí)的人機(jī)對(duì)抗環(huán)境,提供網(wǎng)絡(luò)設(shè)備的安全測(cè)試與網(wǎng)絡(luò)安全人員的技能培訓(xùn)。

        國(guó)外關(guān)于CR/TB的研究情況見(jiàn)表1,國(guó)外關(guān)于CR/TB的相關(guān)研究于20世紀(jì)初已經(jīng)開(kāi)始,其中美國(guó)的起步相對(duì)較早。各國(guó)CR/TB的主要建設(shè)機(jī)構(gòu)分為兩類,分別為國(guó)家政府部門與科研機(jī)構(gòu),前者如美國(guó)國(guó)防部更側(cè)重于網(wǎng)絡(luò)攻擊防御技術(shù)與網(wǎng)絡(luò)武器有效性評(píng)估等,后者例如各世界著名高校與非營(yíng)利科研組織則更側(cè)重下一代網(wǎng)絡(luò)體系架構(gòu)研究。無(wú)論出于何種建設(shè)目的,所有的CR/TB均具有大規(guī)模網(wǎng)絡(luò)環(huán)境模擬以及構(gòu)建可重復(fù)實(shí)驗(yàn)的需求。

        本文基于對(duì)CR/TB的全球趨勢(shì)研究與5G新形勢(shì)下對(duì)于網(wǎng)絡(luò)安全試驗(yàn)的需求分析,提出了一種網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)管理技術(shù),針對(duì)先進(jìn)防御技術(shù)的模擬測(cè)試、內(nèi)生安全設(shè)備的部署驗(yàn)證以及攻防演練場(chǎng)景的快速構(gòu)建與切換等需求,設(shè)計(jì)了以內(nèi)生安全軟件定義網(wǎng)絡(luò)控制器為核心的虛實(shí)結(jié)合試驗(yàn)場(chǎng)管理架構(gòu),通過(guò)雙層隔離的方式,在保障試驗(yàn)環(huán)境獨(dú)立安全的前提下,提供網(wǎng)絡(luò)信息可視化、場(chǎng)景快速重構(gòu)、多場(chǎng)景并行運(yùn)行以及信息資源可編排等功能。同時(shí),提出了一種內(nèi)生安全網(wǎng)絡(luò)控制系統(tǒng)的架構(gòu)設(shè)計(jì),采用中間層轉(zhuǎn)發(fā)代理實(shí)現(xiàn)數(shù)據(jù)安全隔離,支持多種異構(gòu)開(kāi)源控制器執(zhí)行體構(gòu)建擬態(tài)資源池,并采用了基于關(guān)鍵字段流一致策略的裁決算法。最后,基于一種試驗(yàn)場(chǎng)組網(wǎng)方案提出試驗(yàn)場(chǎng)場(chǎng)景重構(gòu)與資源編排方法。考慮到篇幅問(wèn)題,在下文中,主要以試驗(yàn)場(chǎng)來(lái)指代網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)。

        表1 國(guó)外關(guān)于CR/TB的研究情況

        2 虛實(shí)結(jié)合的試驗(yàn)場(chǎng)管理架構(gòu)

        本節(jié)基于以5G為核心的網(wǎng)絡(luò)空間安全新形勢(shì),重點(diǎn)分析了建設(shè)虛實(shí)結(jié)合的試驗(yàn)場(chǎng)管理體系架構(gòu)的必要性以及需要實(shí)現(xiàn)的技術(shù)要求,最終提出一種以內(nèi)生安全軟件定義網(wǎng)絡(luò)控制器銜接實(shí)體網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)的試驗(yàn)場(chǎng)管理架構(gòu),實(shí)現(xiàn)對(duì)于虛實(shí)結(jié)合試驗(yàn)場(chǎng)的統(tǒng)一控制管理與資源編排。

        2.1 需求分析

        5G的到來(lái)不僅強(qiáng)化了網(wǎng)絡(luò)功能虛擬化(network function virtualization,NFV)與軟件定義網(wǎng)絡(luò)(software defined network,SDN)的重要性,更使得兩者緊密結(jié)合。一方面,隨著云計(jì)算的發(fā)展,許多新型高科技企業(yè)與電信服務(wù)運(yùn)營(yíng)商都青睞部署于原生云中的虛擬網(wǎng)絡(luò)功能(virtual network function,VNF)。容器與微服務(wù)技術(shù)的發(fā)展更促進(jìn)了NFV技術(shù)的應(yīng)用,以容器運(yùn)行VNF可以提供自動(dòng)擴(kuò)/縮容、編排等功能,對(duì)于新型企業(yè)而言,是較為高效的業(yè)務(wù)部署方式,也是擺脫傳統(tǒng)設(shè)備商軟硬一體化限制的重要手段;另一方面,隨著分布式計(jì)算、邊緣計(jì)算等技術(shù)的發(fā)展,SDN技術(shù)重新被廣泛應(yīng)用于數(shù)據(jù)中心網(wǎng)絡(luò),通過(guò)解耦網(wǎng)絡(luò)設(shè)備的控制層與數(shù)據(jù)層,在控制層實(shí)現(xiàn)了網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)化與可編程,從而更有效地分配東西向網(wǎng)絡(luò)資源。5G在核心網(wǎng)控制面實(shí)現(xiàn)全面的虛擬化,而在用戶面則基于SDN技術(shù)實(shí)現(xiàn)高效的轉(zhuǎn)發(fā)與分流,通過(guò)以NFV/SDN融合技術(shù)為代表的網(wǎng)絡(luò)結(jié)構(gòu)轉(zhuǎn)型,滿足多種垂直行業(yè)不同應(yīng)用場(chǎng)景的差異化用戶體驗(yàn)保障要求。

        5G技術(shù)的發(fā)展也為網(wǎng)絡(luò)安全問(wèn)題帶來(lái)了巨大的挑戰(zhàn):(1)由于5G建設(shè)過(guò)程中大量應(yīng)用了支持通用白盒設(shè)備以及通用接口的NFV/SDN技術(shù),與過(guò)去的傳統(tǒng)移動(dòng)網(wǎng)絡(luò)相比,與固定寬帶網(wǎng)絡(luò)聯(lián)系更為緊密,同時(shí)也為惡意網(wǎng)絡(luò)攻擊者提供了方便之門;(2)VNF的部署與應(yīng)用為網(wǎng)絡(luò)控制層帶來(lái)了具有較高復(fù)雜度的程序構(gòu)成與底層操作系統(tǒng),大幅提升了網(wǎng)絡(luò)控制層中存在漏洞或后門的概率;(3)在5G技術(shù)應(yīng)用于垂直行業(yè)的過(guò)程中,NFV/SDN技術(shù)也逐漸滲透至例如工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、衛(wèi)星網(wǎng)絡(luò)等,而這些場(chǎng)景過(guò)去未曾考慮網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),部分基礎(chǔ)設(shè)施安全防護(hù)措施薄弱、業(yè)務(wù)系統(tǒng)復(fù)雜,安全等級(jí)要求卻遠(yuǎn)高于傳統(tǒng)互聯(lián)網(wǎng)。

        為了應(yīng)對(duì)網(wǎng)絡(luò)空間安全新形勢(shì),本文提出的試驗(yàn)場(chǎng)的構(gòu)建方法與管理架構(gòu)以面向虛實(shí)結(jié)合網(wǎng)絡(luò)空間的大規(guī)模多場(chǎng)景攻防演練為目標(biāo),從試驗(yàn)場(chǎng)管理層面實(shí)現(xiàn)對(duì)于虛實(shí)網(wǎng)絡(luò)的統(tǒng)一控制管理與資源編排;在面向用戶的應(yīng)用平臺(tái)層面則需要消除對(duì)于虛實(shí)網(wǎng)絡(luò)差異的感知,從而支持內(nèi)生安全虛擬/實(shí)體網(wǎng)元的聯(lián)合測(cè)試驗(yàn)證以及可重構(gòu)的攻防演練場(chǎng)景。

        2.2 架構(gòu)設(shè)計(jì)

        在試驗(yàn)場(chǎng)管理方面涉及大規(guī)模虛實(shí)網(wǎng)絡(luò)的互聯(lián)組網(wǎng)、高可靠高安全的網(wǎng)絡(luò)控制、高效率的資源編排、可重構(gòu)切換的攻防演練場(chǎng)景等多項(xiàng)關(guān)鍵技術(shù)。本文所提出的試驗(yàn)場(chǎng)管理架構(gòu)如圖1所示,主要分為試驗(yàn)場(chǎng)平臺(tái)、SDN控制器、虛擬/實(shí)體網(wǎng)絡(luò)3部分,其中實(shí)線表示數(shù)據(jù)鏈路,虛線表示管理鏈路。試驗(yàn)場(chǎng)平臺(tái)作為整個(gè)試驗(yàn)場(chǎng)的應(yīng)用層,提供網(wǎng)絡(luò)拓?fù)淇梢暬?dòng)態(tài)信息資源編排、攻防演練場(chǎng)景構(gòu)建與切換以及先進(jìn)防御技術(shù)與設(shè)備的測(cè)試評(píng)估等功能。SDN控制器為統(tǒng)一網(wǎng)絡(luò)控制的關(guān)鍵網(wǎng)元,通過(guò)動(dòng)態(tài)異構(gòu)冗余架構(gòu)以及異構(gòu)SDN控制器執(zhí)行體池的構(gòu)建,為SDN控制層提供內(nèi)生安全保護(hù)。虛擬網(wǎng)絡(luò)主要提供大規(guī)模組網(wǎng)場(chǎng)景的快速構(gòu)建以及內(nèi)生安全虛擬網(wǎng)元的部署;實(shí)體網(wǎng)絡(luò)主要部署內(nèi)生安全實(shí)體網(wǎng)元以及攻擊、測(cè)試等專業(yè)設(shè)備。整個(gè)試驗(yàn)場(chǎng)在SDN控制層與物理硬件設(shè)備管理接口采用了雙層隔離的設(shè)計(jì)思路保障試驗(yàn)場(chǎng)平臺(tái)的安全可靠。整個(gè)試驗(yàn)場(chǎng)管理架構(gòu)在設(shè)計(jì)中遵循以下原則。

        · 先進(jìn)性:針對(duì)先進(jìn)防御技術(shù)與設(shè)備的部署需求提供模擬環(huán)境建立的功能,以滿足測(cè)試評(píng)估需求。

        · 可重構(gòu)性:支持攻防演練場(chǎng)景的快速構(gòu)建、釋放、切換,提供高效靈活的測(cè)試驗(yàn)證環(huán)境;

        · 可擴(kuò)展性:支持新增設(shè)備與硬件資源,可支持大規(guī)模分布式試驗(yàn)場(chǎng)部署。

        · 規(guī)范性:以先進(jìn)防御技術(shù)標(biāo)準(zhǔn)體系為導(dǎo)向,保障先進(jìn)防御技術(shù)測(cè)試驗(yàn)證的規(guī)范性。

        · 安全性:試驗(yàn)場(chǎng)管理系統(tǒng)需要與試驗(yàn)場(chǎng)環(huán)境進(jìn)行高度隔離。

        圖1 虛實(shí)結(jié)合的網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)管理架構(gòu)

        根據(jù)上述設(shè)計(jì)原則與需求,本架構(gòu)具備如下特點(diǎn)。

        在虛實(shí)網(wǎng)絡(luò)的高速互聯(lián)方面,SDN使用軟件應(yīng)用程序?qū)μ搶?shí)網(wǎng)絡(luò)進(jìn)行集中控制編程,北向支持開(kāi)放的RESTconf API,使得試驗(yàn)場(chǎng)網(wǎng)絡(luò)管理無(wú)須考慮底層網(wǎng)絡(luò)技術(shù)的復(fù)雜性。南向則通過(guò)NETconf協(xié)議,在虛擬網(wǎng)絡(luò)側(cè)與云平臺(tái)的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行對(duì)接,例如在基于OpenStack平臺(tái)的虛擬網(wǎng)絡(luò)中,SDN控制器可與Neutron模塊對(duì)接,用以管理虛擬網(wǎng)絡(luò)中所有的計(jì)算、存儲(chǔ)和控制節(jié)點(diǎn),實(shí)現(xiàn)虛擬網(wǎng)元的組網(wǎng);實(shí)體網(wǎng)絡(luò)側(cè)對(duì)接SDN交換機(jī),作為實(shí)體網(wǎng)元的數(shù)據(jù)匯聚節(jié)點(diǎn)。SDN控制器具備大規(guī)模網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、高速信息處理和流表下發(fā)的能力,采用流表聚合和標(biāo)簽路由算法,可以解決實(shí)體SDN交換機(jī)流表數(shù)量限制和查詢效率,從而實(shí)現(xiàn)大規(guī)模二層組網(wǎng)和高效率的二層交換,最終實(shí)現(xiàn)虛實(shí)網(wǎng)絡(luò)的萬(wàn)兆高速互聯(lián)。

        安全可靠的網(wǎng)絡(luò)控制方面,在SDN控制層引入動(dòng)態(tài)異構(gòu)冗余的架構(gòu),首先在數(shù)據(jù)層和應(yīng)用層之間加入中間層與擬態(tài)層,其中中間層不進(jìn)行路由計(jì)算僅作為數(shù)據(jù)采集、報(bào)文上傳、流表下發(fā)等任務(wù)的中間節(jié)點(diǎn),擬態(tài)層則維護(hù)支持多個(gè)異構(gòu)SDN控制器執(zhí)行體的資源池,將報(bào)文信息同時(shí)轉(zhuǎn)發(fā)給多個(gè)執(zhí)行體,通過(guò)流表一致性裁決強(qiáng)化路由信息安全可靠性,同時(shí)實(shí)現(xiàn)對(duì)于異常執(zhí)行體的發(fā)現(xiàn)與清洗重啟。

        在統(tǒng)一信息資源編排方面,網(wǎng)絡(luò)拓?fù)湫畔⒌木S護(hù)由SDN控制器統(tǒng)一管理,在虛擬網(wǎng)絡(luò)側(cè)通過(guò)路由器、端口、子網(wǎng)、主機(jī)與鏈路等元素的映射,將基于云平臺(tái)的虛擬網(wǎng)絡(luò)拓?fù)渑c實(shí)體網(wǎng)絡(luò)拓?fù)溥M(jìn)行整合,提供統(tǒng)一的網(wǎng)絡(luò)拓?fù)湔故?,?jiǎn)化試驗(yàn)場(chǎng)網(wǎng)絡(luò)運(yùn)維管理,提高試驗(yàn)場(chǎng)管理平臺(tái)可視化效果;承載虛擬網(wǎng)絡(luò)的云服務(wù)器以及構(gòu)成實(shí)體網(wǎng)絡(luò)的實(shí)體網(wǎng)元額外設(shè)置了管理接口與鏈路,將承載試驗(yàn)場(chǎng)攻防演練的數(shù)據(jù)鏈路和實(shí)現(xiàn)各設(shè)備配置管理與數(shù)據(jù)采集的管理鏈路進(jìn)行安全隔離,避免試驗(yàn)場(chǎng)中的攻擊數(shù)據(jù)流直接影響到試驗(yàn)場(chǎng)管理平臺(tái)。

        在支持攻防演練場(chǎng)景的快速構(gòu)建與切換方面,試驗(yàn)場(chǎng)支持的獨(dú)立管理鏈路可以快速生成或釋放虛擬網(wǎng)元、啟動(dòng)或停止實(shí)體網(wǎng)元,并通過(guò)SDN控制器調(diào)整組網(wǎng)結(jié)構(gòu),大幅簡(jiǎn)化攻防演練場(chǎng)景構(gòu)建的流程,同時(shí)支持不同設(shè)備組成多個(gè)測(cè)試環(huán)境并行試驗(yàn),實(shí)現(xiàn)高效的測(cè)試評(píng)估。

        3 內(nèi)生安全軟件定義網(wǎng)絡(luò)控制系統(tǒng)

        在虛實(shí)結(jié)合的試驗(yàn)場(chǎng)管理架構(gòu)體系中,實(shí)現(xiàn)虛實(shí)網(wǎng)絡(luò)集中控制的SDN控制層為整個(gè)試驗(yàn)場(chǎng)的核心部位,需要承載虛擬網(wǎng)絡(luò)中與云平臺(tái)的對(duì)接、在實(shí)體網(wǎng)絡(luò)中控制SDN交換機(jī)實(shí)現(xiàn)拓?fù)渥兏约疤搶?shí)網(wǎng)絡(luò)的高速互聯(lián)等功能,其安全性能需要最高級(jí)別的保障。

        本節(jié)提出基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)的內(nèi)生安全軟件定義網(wǎng)絡(luò)控制系統(tǒng)架構(gòu)保障SDN控制層安全,實(shí)現(xiàn)多異構(gòu)SDN控制器執(zhí)行體動(dòng)態(tài)調(diào)度、流表對(duì)比裁決、快速調(diào)度下線重啟控制器等關(guān)鍵性技術(shù)。

        3.1 異構(gòu)開(kāi)源SDN控制器執(zhí)行體

        基于擬態(tài)防御的SDN控制層安全機(jī)制在參考文獻(xiàn)[20]中進(jìn)行了充分的討論,研究了基于語(yǔ)義層面的異構(gòu)控制器流表項(xiàng)對(duì)比裁決。在實(shí)驗(yàn)中,選用了ODL(Open Day Light)控制器作為主控制器,而POX和ONOS(Open Network Operating System)作為等價(jià)異構(gòu)控制器提供對(duì)比裁決的流表數(shù)據(jù)。在本文中,選用自研的DCFabric開(kāi)源SDN控制器作為中間層,本身并不提供路由功能,僅為多個(gè)異構(gòu)SDN控制器執(zhí)行體提供報(bào)文上傳、網(wǎng)絡(luò)拓?fù)湫畔⒏乱约傲鞅磙D(zhuǎn)發(fā)的功能,構(gòu)成擬態(tài)防御架構(gòu)中的代理節(jié)點(diǎn)。在安全性上,該部分僅作為透?jìng)魍ǖ?,其功能具有?jiǎn)單可靠的特點(diǎn),難以出現(xiàn)故障或被網(wǎng)絡(luò)攻擊。在功能性上,提供了與云平臺(tái)對(duì)接和可視化的能力,可以滿足虛實(shí)結(jié)合的試驗(yàn)場(chǎng)組網(wǎng)需求。

        在異構(gòu)執(zhí)行體的選取方面,本文提出的內(nèi)生安全SDN控制器采用三大主流開(kāi)源SDN控制器ODL、ONOS、Ryu構(gòu)成異構(gòu)資源池,其各項(xiàng)特點(diǎn)對(duì)比見(jiàn)表2。其中,ODL控制器由Linux基金會(huì)主導(dǎo)開(kāi)發(fā)推進(jìn),主要面向數(shù)據(jù)中心網(wǎng)絡(luò)支持SDN/NFV分布式框架和平臺(tái);ONOS控制器則由非營(yíng)利性組織ONLab主導(dǎo)推出,主要聚焦控制器平臺(tái)層,業(yè)務(wù)組件則提供開(kāi)放接口供使用者自行開(kāi)發(fā);Ryu控制器由日本NTT公司負(fù)責(zé)設(shè)計(jì)研發(fā),完全采用Python語(yǔ)言實(shí)現(xiàn),具有輕量化的優(yōu)點(diǎn)。

        表2 開(kāi)源SDN控制器對(duì)比

        根據(jù)測(cè)試對(duì)比可見(jiàn),本文所引用的3種開(kāi)源SDN控制器分別采用不同的語(yǔ)言進(jìn)行編寫,在執(zhí)行體的異構(gòu)度上有足夠的保障。與ONOS和Ryu相比,ODL控制器由于功能模塊豐富,不僅代碼量為另外兩種控制器的上百倍,同時(shí)在啟動(dòng)時(shí)需要占用更多的時(shí)間。這一點(diǎn)在內(nèi)生安全SDN控制器運(yùn)行過(guò)程中,將會(huì)較大地影響ODL控制器下線清洗后恢復(fù)上線所需要的速度。而Ryu控制器屬于輕量級(jí)系統(tǒng),在代碼量與ONOS相當(dāng)?shù)那闆r下,可以實(shí)現(xiàn)10 s以內(nèi)的快速啟動(dòng),并且內(nèi)存占用也遠(yuǎn)低于其他兩種控制器。

        3.2 控制器架構(gòu)

        SDN控制器整體架構(gòu)如圖2所示,包括應(yīng)用層、中間層、數(shù)據(jù)層以及擬態(tài)層;應(yīng)用層與中間層之間使用RESTful API進(jìn)行消息傳遞,包括拓?fù)湫畔@取、配置下發(fā)等消息;中間層和數(shù)據(jù)層之間使用OpenFlow協(xié)議進(jìn)行消息交互,包括數(shù)據(jù)層的請(qǐng)求以及流表下發(fā)等消息;擬態(tài)層主要作為中間層的一部分,包括裁決器、調(diào)度器以及各種異構(gòu)控制器。

        圖2 內(nèi)生安全SDN控制器架構(gòu)

        其中,中間層和擬態(tài)層是內(nèi)生安全SDN控制器的兩個(gè)重要組成部分,中間層使用DCFabric與數(shù)據(jù)層的SDN交換機(jī)或云平臺(tái)中的網(wǎng)絡(luò)節(jié)點(diǎn)建立連接,數(shù)據(jù)層中的數(shù)據(jù)發(fā)生交換時(shí),向中間層請(qǐng)求路由策略。在初始化完成之后,擬態(tài)層中的各個(gè)異構(gòu)控制器會(huì)各自獨(dú)立獲取并更新數(shù)據(jù)處理中整體網(wǎng)絡(luò)狀態(tài),中間層收到交換發(fā)送的策略請(qǐng)求之后,通過(guò)輸入代理模塊將請(qǐng)求信息分發(fā)到層中的各個(gè)異構(gòu)控制器,各個(gè)控制器分別進(jìn)行路由策略計(jì)算。各個(gè)控制器計(jì)算得到的轉(zhuǎn)發(fā)策略會(huì)統(tǒng)一發(fā)到裁決器進(jìn)行匯總,裁決器將策略統(tǒng)一匯總發(fā)送到輸出代理,最后下發(fā)到SDN交換機(jī)。

        擬態(tài)層中的各個(gè)控制器以虛擬機(jī)或容器的方式運(yùn)行,可以根據(jù)需求快速地創(chuàng)建或釋放一個(gè)控制器實(shí)例。其中裁決器不只是對(duì)策略進(jìn)行裁決,還會(huì)將裁決的結(jié)果向調(diào)度器反饋,調(diào)度器收到裁決結(jié)果后,對(duì)有安全風(fēng)險(xiǎn)的控制器執(zhí)行體進(jìn)行清洗。

        應(yīng)用層主要是對(duì)網(wǎng)絡(luò)的可視化管理,包括可視化的查看以及配置,前端頁(yè)面向應(yīng)用層服務(wù)端獲取網(wǎng)絡(luò)當(dāng)前狀態(tài)數(shù)據(jù),并將其展現(xiàn)在前端頁(yè)面,包括網(wǎng)絡(luò)拓?fù)湫畔?、?dāng)前各種異構(gòu)控制器的運(yùn)行狀態(tài)、當(dāng)前SDN交換機(jī)的流表信息等。應(yīng)用層服務(wù)端通過(guò)RESTful API向DCFabric控制器獲取狀態(tài)信息,不同的用戶擁有不同的配置管理權(quán)限以及查看權(quán)限,從而增強(qiáng)網(wǎng)絡(luò)管理的安全性。

        3.3 擬態(tài)裁決的流程設(shè)計(jì)

        內(nèi)生安全SDN控制器的擬態(tài)裁決主要針對(duì)“流一致”的要求進(jìn)行設(shè)計(jì),即多個(gè)異構(gòu)SDN控制器執(zhí)行體流表的路由策略保持一致。在裁決器收到多個(gè)控制器發(fā)送的流表信息后,開(kāi)始裁決過(guò)程,主要由同步、折分、比較和裁定4個(gè)步驟組成。

        同步:本步驟為了保證擬態(tài)裁決的對(duì)象是異構(gòu)控制器,是針對(duì)同一路由策略請(qǐng)求后下發(fā)的流表信息,該過(guò)程可通過(guò)報(bào)文標(biāo)識(shí)符Packet_ID完成。

        拆分:由于逐比特比較計(jì)算量大,且無(wú)法處理異構(gòu)控制器私有的控制規(guī)則信息,難以在裁決器進(jìn)行流表的逐位匹配。因此,在本步驟對(duì)流表的關(guān)鍵信息進(jìn)行提取,按照路由策略的語(yǔ)義規(guī)則,將其分為多個(gè)關(guān)鍵字段。

        比較:根據(jù)關(guān)鍵字段拆分結(jié)果,對(duì)多個(gè)流表每個(gè)字段進(jìn)行分別匹配比對(duì),例如分別就源地址、目標(biāo)地址、轉(zhuǎn)發(fā)端口等字段進(jìn)行比對(duì)。

        裁定:在比較過(guò)程結(jié)束后,根據(jù)比對(duì)結(jié)果裁定具有多數(shù)優(yōu)勢(shì)的流表信息為真,轉(zhuǎn)發(fā)至代理節(jié)點(diǎn),并將流表信息裁定為假的控制器信息反饋至調(diào)度器進(jìn)行處理。

        在本系統(tǒng)設(shè)計(jì)中,除了采用細(xì)粒度的流一致裁決算法,還添加了帶容忍閾值的自清洗機(jī)制強(qiáng)化內(nèi)生安全SDN控制器的可靠性與穩(wěn)定性。由于多個(gè)控制器執(zhí)行體的路由策略可能有一定的不一致,同時(shí)考慮到部分控制器執(zhí)行體的重啟時(shí)間較長(zhǎng),裁決器在經(jīng)過(guò)裁定之后可以記錄控制器執(zhí)行體的錯(cuò)誤次數(shù):在初始狀態(tài)時(shí),所有控制器執(zhí)行體的錯(cuò)誤次數(shù)均為0,每當(dāng)發(fā)現(xiàn)有錯(cuò)誤消息出現(xiàn)將相應(yīng)控制器執(zhí)行體的錯(cuò)誤次數(shù)加1。當(dāng)錯(cuò)誤次數(shù)達(dá)到某個(gè)預(yù)設(shè)的容忍閾值時(shí),裁決器將信息反饋至調(diào)度器,相應(yīng)控制器執(zhí)行體進(jìn)入自清洗階段——重啟/替換控制器執(zhí)行體。完成自清洗階段之后,該控制器執(zhí)行體的錯(cuò)誤次數(shù)重置。

        基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)的內(nèi)生安全SDN控制系統(tǒng)由于采用了多個(gè)異構(gòu)控制器執(zhí)行體與流一致的擬態(tài)裁決算法,在少于半數(shù)的控制器執(zhí)行體被攻擊時(shí),仍能保證正確的流表輸出。同時(shí)裁決器能夠識(shí)別這些具有安全風(fēng)險(xiǎn)的執(zhí)行體,并進(jìn)行調(diào)度清洗消除網(wǎng)絡(luò)攻擊對(duì)控制器執(zhí)行體的影響,大幅強(qiáng)化了SDN控制層的安全能力。

        4 可快速切換場(chǎng)景的試驗(yàn)場(chǎng)部署管理技術(shù)

        建設(shè)網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)的主要目的是對(duì)網(wǎng)絡(luò)空間內(nèi)生安全原理、技術(shù)、方法進(jìn)行全面的系統(tǒng)研制,從而促進(jìn)內(nèi)生安全理論體系的完善和深化,為內(nèi)生安全技術(shù)、設(shè)備提供測(cè)試認(rèn)證,支撐基于虛實(shí)結(jié)合網(wǎng)絡(luò)空間環(huán)境的攻防演練、人員培訓(xùn)和能力評(píng)價(jià),最終實(shí)現(xiàn)相關(guān)產(chǎn)業(yè)鏈的標(biāo)準(zhǔn)化與商業(yè)化。本節(jié)提出一種可支持場(chǎng)景快速重構(gòu)、切換的試驗(yàn)場(chǎng)部署管理技術(shù),以一個(gè)典型的組網(wǎng)方案為例,充分介紹面向服務(wù)、動(dòng)態(tài)充足、按需分發(fā)等能力的試驗(yàn)場(chǎng)管理策略。

        4.1 虛實(shí)結(jié)合的試驗(yàn)場(chǎng)典型組網(wǎng)方案

        網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)組網(wǎng)案例如圖3所示,一個(gè)典型的虛實(shí)結(jié)合試驗(yàn)場(chǎng)主要分為5個(gè)主要組成部分:試驗(yàn)場(chǎng)平臺(tái)、外部互聯(lián)網(wǎng)接入、虛擬網(wǎng)絡(luò)、實(shí)體網(wǎng)絡(luò)和管理接口鏈路。

        試驗(yàn)場(chǎng)平臺(tái)是面向測(cè)試及運(yùn)維人員的用戶接口,也是整個(gè)試驗(yàn)場(chǎng)的應(yīng)用層,通過(guò)對(duì)接SDN控制器獲取全網(wǎng)信息感知,并通過(guò)管理接口鏈路獲得試驗(yàn)場(chǎng)各設(shè)備資源信息與管理配置能力,從而支持網(wǎng)絡(luò)可視化、場(chǎng)景構(gòu)建切換等功能;外部互聯(lián)網(wǎng)接入處首先完成用戶接入認(rèn)證以提供不同級(jí)別的測(cè)試服務(wù),在接入側(cè)旁掛攻擊/背景流量生成器模擬網(wǎng)絡(luò)攻擊與雜訊干擾;虛擬網(wǎng)絡(luò)主要由例如OpenStack的云平臺(tái)支持,可基于鏡像實(shí)現(xiàn)虛擬網(wǎng)元的快速生成,并通過(guò)云平臺(tái)網(wǎng)絡(luò)節(jié)點(diǎn)與SDN控制器對(duì)接;實(shí)體網(wǎng)絡(luò)主要部署網(wǎng)絡(luò)空間內(nèi)生安全設(shè)備,如內(nèi)生安全路由、內(nèi)生安全存儲(chǔ)等系統(tǒng),以一個(gè)或多個(gè)SDN控制器作為數(shù)據(jù)鏈路通道進(jìn)行互聯(lián);管理接口鏈路獨(dú)立于試驗(yàn)場(chǎng)數(shù)據(jù)鏈路,通過(guò)管理接口交換機(jī)匯聚全試驗(yàn)場(chǎng)各網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機(jī)的管理配置信息與資源信息數(shù)據(jù)。

        4.2 場(chǎng)景重構(gòu)與資源編排

        基于物理設(shè)備和物理鏈路構(gòu)建的傳統(tǒng)網(wǎng)絡(luò)安全防御試驗(yàn)場(chǎng),存在實(shí)驗(yàn)規(guī)模有限和場(chǎng)景重構(gòu)緩慢等缺陷。在虛實(shí)結(jié)合的試驗(yàn)場(chǎng)環(huán)境中,以基于云平臺(tái)構(gòu)建的虛擬網(wǎng)絡(luò)可以極快的速度提供大規(guī)模虛擬網(wǎng)元互聯(lián)的復(fù)雜網(wǎng)絡(luò)試驗(yàn)環(huán)境,可以較低的成本滿足多種大規(guī)模復(fù)雜網(wǎng)絡(luò)試驗(yàn)場(chǎng)景構(gòu)建的需求,強(qiáng)化了試驗(yàn)場(chǎng)針對(duì)異構(gòu)網(wǎng)絡(luò)架構(gòu)進(jìn)行試驗(yàn)測(cè)試與攻防演練的能力。同時(shí),虛擬網(wǎng)絡(luò)在重構(gòu)網(wǎng)絡(luò)場(chǎng)景方面相對(duì)于實(shí)體網(wǎng)絡(luò)具有較高的優(yōu)勢(shì),基于鏡像的虛擬網(wǎng)元具有快速生成、釋放實(shí)例的能力,并且部分云平臺(tái)支持藍(lán)圖功能,可以更為簡(jiǎn)便地實(shí)現(xiàn)場(chǎng)景切換。

        圖3 網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)組網(wǎng)案例

        在實(shí)體網(wǎng)絡(luò)方面,通過(guò)SDN控制器也可以相對(duì)快速地調(diào)整網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),實(shí)現(xiàn)實(shí)體網(wǎng)絡(luò)場(chǎng)景的重構(gòu)。如圖3所示的試驗(yàn)場(chǎng)組網(wǎng)方案中采用多網(wǎng)口的云平臺(tái)服務(wù)器設(shè)備與SDN交換機(jī),以多重標(biāo)簽流量牽引的SDN動(dòng)態(tài)組網(wǎng)方式實(shí)現(xiàn)實(shí)體網(wǎng)元之間以及實(shí)體和虛擬網(wǎng)元的虛擬網(wǎng)絡(luò)鏈路動(dòng)態(tài)可定義,從而實(shí)現(xiàn)試驗(yàn)場(chǎng)應(yīng)用層與物理網(wǎng)絡(luò)環(huán)境的解耦。同時(shí),這樣的組網(wǎng)方式支持多種場(chǎng)景的并行試驗(yàn)測(cè)試,通過(guò)內(nèi)生安全SDN控制器控制多個(gè)SDN交換機(jī)與虛擬網(wǎng)絡(luò),隔離出多個(gè)互不影響的網(wǎng)絡(luò)場(chǎng)景,可供多個(gè)測(cè)試團(tuán)隊(duì)同時(shí)在試驗(yàn)場(chǎng)中針對(duì)不同的網(wǎng)絡(luò)技術(shù)與設(shè)備進(jìn)行攻防演練,提升了試驗(yàn)場(chǎng)的工作效率。

        在大規(guī)模復(fù)雜組網(wǎng)條件下,試驗(yàn)場(chǎng)運(yùn)維人員對(duì)全網(wǎng)設(shè)備資源的感知、配置與調(diào)度存在困難。本組網(wǎng)部署方案在試驗(yàn)場(chǎng)測(cè)試環(huán)境的數(shù)據(jù)鏈路外,獨(dú)立部署管理接口鏈路匯聚至試驗(yàn)場(chǎng)平臺(tái)。通過(guò)試驗(yàn)場(chǎng)資源編排器管理維護(hù)全網(wǎng)設(shè)備資源信息數(shù)據(jù),并基于此執(zhí)行試驗(yàn)場(chǎng)資源編排。試驗(yàn)場(chǎng)編排器可部署人工智能引擎,在長(zhǎng)期運(yùn)行中采集分析試驗(yàn)場(chǎng)數(shù)據(jù),提供智能化的資源優(yōu)化能力。

        5 結(jié)束語(yǔ)

        本文提出面向虛實(shí)結(jié)合的試驗(yàn)場(chǎng)管理架構(gòu)與組網(wǎng)部署技術(shù),可以針對(duì)性地滿足網(wǎng)絡(luò)空間安全新形勢(shì)下,對(duì)于內(nèi)生安全技術(shù)、設(shè)備的測(cè)試驗(yàn)證與人員技能的培訓(xùn)要求,有效利用了內(nèi)生安全SDN控制器與數(shù)據(jù)管理鏈路的隔離設(shè)計(jì)為試驗(yàn)場(chǎng)提供了安全可靠的可編排可重構(gòu)能力。該管理架構(gòu)基于人工智能編排器,有望發(fā)展為智能化的網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)。

        猜你喜歡
        試驗(yàn)場(chǎng)內(nèi)生異構(gòu)
        汽車試驗(yàn)場(chǎng)噪音試驗(yàn)路吸聲系數(shù)研究
        石油瀝青(2022年3期)2022-08-26 09:13:12
        試論同課異構(gòu)之“同”與“異”
        關(guān)于國(guó)內(nèi)主要汽車試驗(yàn)場(chǎng)運(yùn)營(yíng)情況的調(diào)研報(bào)告
        汽車縱橫(2021年3期)2021-03-18 01:29:24
        植物內(nèi)生菌在植物病害中的生物防治
        內(nèi)生微生物和其在作物管理中的潛在應(yīng)用
        “黨建+”激活鄉(xiāng)村發(fā)展內(nèi)生動(dòng)力
        近海海洋儀器試驗(yàn)場(chǎng)微波通信系統(tǒng)構(gòu)建與測(cè)試
        授人以漁 激活脫貧內(nèi)生動(dòng)力
        世界上最大的海上無(wú)人系統(tǒng)試驗(yàn)場(chǎng)開(kāi)放
        overlay SDN實(shí)現(xiàn)異構(gòu)兼容的關(guān)鍵技術(shù)
        男女视频在线一区二区| 亚洲一区二区三区av无码| 亚洲国产精品日韩av专区| 伊人网综合| 亚洲国产精品一区亚洲国产| 加勒比精品视频在线播放| 亚洲精品久久久久成人2007| 一卡二卡三卡视频| 四虎成人精品国产永久免费| 国产亚洲一本二本三道| 国产色系视频在线观看| 狠狠色狠狠色综合日日不卡| av手机在线天堂网| 午夜蜜桃视频在线观看| 国产精品福利一区二区| 吸咬奶头狂揉60分钟视频| 在线观看精品国产福利片87| 亚洲一区二区蜜桃视频| 久久亚洲av午夜福利精品一区| 久久久久久久女国产乱让韩| 日韩av无卡无码午夜观看| 国产亚洲av综合人人澡精品| 国产精品毛片一区二区三区| 久久久精品久久日韩一区综合| 亚洲一区不卡在线导航| 日本一区二区三区区视频| 免费a级毛片无码av| 中文字幕在线码一区| 久久久人妻一区精品久久久| 久久午夜av一区二区三区| 欧美国产一区二区三区激情无套| 日本成人字幕在线不卡| av天堂手机在线看片资源| 婷婷色香五月综合缴缴情| 亚洲男人第一av网站| 亚洲妇女av一区二区| 日本最新一区二区三区视频观看| 开心五月激情综合婷婷| 亚洲人成18禁网站| 亚洲国产日韩一区二区三区四区| 国模雨珍浓密毛大尺度150p|