朱泓藝，陸肖元，李毅

（上海寬帶技術(shù)及應(yīng)用工程研究中心，上海 200436）

1 引言

隨著互聯(lián)網(wǎng)技術(shù)與垂直行業(yè)的緊密結(jié)合，網(wǎng)絡(luò)空間安全作為國(guó)家安全的組成部分，其重要性日益凸顯。尤其是在云網(wǎng)融合、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、天地一體化等技術(shù)發(fā)展的加速推進(jìn)下，移動(dòng)通信、智能網(wǎng)聯(lián)汽車、工業(yè)系統(tǒng)、衛(wèi)星通信均逐漸暴露在網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)之下。網(wǎng)絡(luò)空間安全造成的影響，也從個(gè)人隱私、企業(yè)機(jī)密的泄露，提升到危害人民財(cái)產(chǎn)、生命安全以及國(guó)家利益的高度?？焖俚木W(wǎng)絡(luò)架構(gòu)、設(shè)備以及應(yīng)用場(chǎng)景，使傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)信息產(chǎn)品安全性能檢測(cè)技術(shù)捉襟見(jiàn)肘，難以承擔(dān)維護(hù)國(guó)家網(wǎng)絡(luò)空間安全的重要任務(wù)。

在網(wǎng)絡(luò)安全防御技術(shù)方面，“內(nèi)生化”的網(wǎng)絡(luò)安全在近年來(lái)已成為研究熱點(diǎn)。由于網(wǎng)絡(luò)攻防態(tài)勢(shì)的普遍不對(duì)稱性，被動(dòng)式的防御技術(shù)與產(chǎn)品僅依靠阻擋、檢測(cè)和修復(fù)[1-2]等手段存在一定的滯后性。因此，在面對(duì)未知的系統(tǒng)漏洞后門與惡意網(wǎng)絡(luò)攻擊時(shí)，往往無(wú)法及時(shí)有效地發(fā)現(xiàn)威脅，只能在網(wǎng)絡(luò)受到攻擊造成損失后進(jìn)行修補(bǔ)，無(wú)法滿足如今工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域的高安全性要求。采用主動(dòng)防御技術(shù)，為系統(tǒng)引入動(dòng)態(tài)隨機(jī)性使之呈現(xiàn)不可預(yù)知的特點(diǎn)，從而減少對(duì)網(wǎng)絡(luò)攻擊先驗(yàn)知識(shí)的依賴，成為網(wǎng)絡(luò)安全領(lǐng)域新的主流觀點(diǎn)。基于此，擬態(tài)防御原理引入動(dòng)態(tài)異構(gòu)冗余架構(gòu)[3-4]，從網(wǎng)絡(luò)空間的根本結(jié)構(gòu)上為系統(tǒng)提供“內(nèi)生”的安全性能。擬態(tài)防御作為目前實(shí)現(xiàn)網(wǎng)絡(luò)空間內(nèi)生安全的一種最具有可行性的技術(shù)體系，已被廣泛應(yīng)用于網(wǎng)絡(luò)架構(gòu)與軟硬件設(shè)備的設(shè)計(jì)之中[5-6]。

在網(wǎng)絡(luò)安全檢測(cè)技術(shù)方面，網(wǎng)絡(luò)靶場(chǎng)[7]（cyber range，CR）和試驗(yàn)床（test-bed，TB）作為一種網(wǎng)絡(luò)空間安全研究的信息基礎(chǔ)設(shè)施，可承擔(dān)網(wǎng)絡(luò)信息產(chǎn)品安全性能的評(píng)估、網(wǎng)絡(luò)安全性策略的制定和在典型網(wǎng)絡(luò)應(yīng)用場(chǎng)景進(jìn)行網(wǎng)絡(luò)攻防演練等任務(wù)，為新型網(wǎng)絡(luò)技術(shù)與設(shè)備提供一個(gè)具有高度可操作性的試驗(yàn)環(huán)境。因此，CR技術(shù)已受到國(guó)際社會(huì)的高度重視，世界各國(guó)均將CR作為體現(xiàn)國(guó)家安全實(shí)力的重要信息基礎(chǔ)設(shè)施。

作為兩者的融合，網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)是一種主要面向網(wǎng)絡(luò)空間內(nèi)生安全技術(shù)的CR/TB。參考文獻(xiàn)[8]重點(diǎn)探討了基于面向?qū)ο笤O(shè)計(jì)思想的網(wǎng)絡(luò)空間先進(jìn)防御技術(shù)試驗(yàn)場(chǎng)構(gòu)建方法，為網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)的設(shè)計(jì)與建設(shè)提出了一種可行的方法。

在我國(guó)，CR/TB的研究主要以科研院所如國(guó)防科學(xué)技術(shù)大學(xué)、中國(guó)科學(xué)院計(jì)算技術(shù)研究所、北京郵電大學(xué)等機(jī)構(gòu)牽頭建設(shè)，在網(wǎng)絡(luò)攻防演練、場(chǎng)景仿真、數(shù)據(jù)采集等多個(gè)方面均有重大突破。同時(shí)，在南京紫金山實(shí)驗(yàn)室的支持下，全球首個(gè)網(wǎng)絡(luò)內(nèi)生安全試驗(yàn)場(chǎng)在南京落地，主要面向全球提供真實(shí)的人機(jī)對(duì)抗環(huán)境，提供網(wǎng)絡(luò)設(shè)備的安全測(cè)試與網(wǎng)絡(luò)安全人員的技能培訓(xùn)。

國(guó)外關(guān)于CR/TB的研究情況見(jiàn)表1，國(guó)外關(guān)于CR/TB的相關(guān)研究于20世紀(jì)初已經(jīng)開(kāi)始，其中美國(guó)的起步相對(duì)較早。各國(guó)CR/TB的主要建設(shè)機(jī)構(gòu)分為兩類，分別為國(guó)家政府部門與科研機(jī)構(gòu)，前者如美國(guó)國(guó)防部更側(cè)重于網(wǎng)絡(luò)攻擊防御技術(shù)與網(wǎng)絡(luò)武器有效性評(píng)估等，后者例如各世界著名高校與非營(yíng)利科研組織則更側(cè)重下一代網(wǎng)絡(luò)體系架構(gòu)研究。無(wú)論出于何種建設(shè)目的，所有的CR/TB均具有大規(guī)模網(wǎng)絡(luò)環(huán)境模擬以及構(gòu)建可重復(fù)實(shí)驗(yàn)的需求。

本文基于對(duì)CR/TB的全球趨勢(shì)研究與5G新形勢(shì)下對(duì)于網(wǎng)絡(luò)安全試驗(yàn)的需求分析，提出了一種網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)管理技術(shù)，針對(duì)先進(jìn)防御技術(shù)的模擬測(cè)試、內(nèi)生安全設(shè)備的部署驗(yàn)證以及攻防演練場(chǎng)景的快速構(gòu)建與切換等需求，設(shè)計(jì)了以內(nèi)生安全軟件定義網(wǎng)絡(luò)控制器為核心的虛實(shí)結(jié)合試驗(yàn)場(chǎng)管理架構(gòu)，通過(guò)雙層隔離的方式，在保障試驗(yàn)環(huán)境獨(dú)立安全的前提下，提供網(wǎng)絡(luò)信息可視化、場(chǎng)景快速重構(gòu)、多場(chǎng)景并行運(yùn)行以及信息資源可編排等功能。同時(shí)，提出了一種內(nèi)生安全網(wǎng)絡(luò)控制系統(tǒng)的架構(gòu)設(shè)計(jì)，采用中間層轉(zhuǎn)發(fā)代理實(shí)現(xiàn)數(shù)據(jù)安全隔離，支持多種異構(gòu)開(kāi)源控制器執(zhí)行體構(gòu)建擬態(tài)資源池，并采用了基于關(guān)鍵字段流一致策略的裁決算法。最后，基于一種試驗(yàn)場(chǎng)組網(wǎng)方案提出試驗(yàn)場(chǎng)場(chǎng)景重構(gòu)與資源編排方法。考慮到篇幅問(wèn)題，在下文中，主要以試驗(yàn)場(chǎng)來(lái)指代網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)。

表1 國(guó)外關(guān)于CR/TB的研究情況

2 虛實(shí)結(jié)合的試驗(yàn)場(chǎng)管理架構(gòu)

本節(jié)基于以5G為核心的網(wǎng)絡(luò)空間安全新形勢(shì)，重點(diǎn)分析了建設(shè)虛實(shí)結(jié)合的試驗(yàn)場(chǎng)管理體系架構(gòu)的必要性以及需要實(shí)現(xiàn)的技術(shù)要求，最終提出一種以內(nèi)生安全軟件定義網(wǎng)絡(luò)控制器銜接實(shí)體網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)的試驗(yàn)場(chǎng)管理架構(gòu)，實(shí)現(xiàn)對(duì)于虛實(shí)結(jié)合試驗(yàn)場(chǎng)的統(tǒng)一控制管理與資源編排。

2.1 需求分析

5G的到來(lái)不僅強(qiáng)化了網(wǎng)絡(luò)功能虛擬化（network function virtualization，NFV）與軟件定義網(wǎng)絡(luò)（software defined network，SDN）的重要性，更使得兩者緊密結(jié)合。一方面，隨著云計(jì)算的發(fā)展，許多新型高科技企業(yè)與電信服務(wù)運(yùn)營(yíng)商都青睞部署于原生云中的虛擬網(wǎng)絡(luò)功能（virtual network function，VNF）。容器與微服務(wù)技術(shù)的發(fā)展更促進(jìn)了NFV技術(shù)的應(yīng)用，以容器運(yùn)行VNF可以提供自動(dòng)擴(kuò)/縮容、編排等功能，對(duì)于新型企業(yè)而言，是較為高效的業(yè)務(wù)部署方式，也是擺脫傳統(tǒng)設(shè)備商軟硬一體化限制的重要手段；另一方面，隨著分布式計(jì)算、邊緣計(jì)算等技術(shù)的發(fā)展，SDN技術(shù)重新被廣泛應(yīng)用于數(shù)據(jù)中心網(wǎng)絡(luò)，通過(guò)解耦網(wǎng)絡(luò)設(shè)備的控制層與數(shù)據(jù)層，在控制層實(shí)現(xiàn)了網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)化與可編程，從而更有效地分配東西向網(wǎng)絡(luò)資源。5G在核心網(wǎng)控制面實(shí)現(xiàn)全面的虛擬化，而在用戶面則基于SDN技術(shù)實(shí)現(xiàn)高效的轉(zhuǎn)發(fā)與分流，通過(guò)以NFV/SDN融合技術(shù)為代表的網(wǎng)絡(luò)結(jié)構(gòu)轉(zhuǎn)型，滿足多種垂直行業(yè)不同應(yīng)用場(chǎng)景的差異化用戶體驗(yàn)保障要求。

5G技術(shù)的發(fā)展也為網(wǎng)絡(luò)安全問(wèn)題帶來(lái)了巨大的挑戰(zhàn)：（1）由于5G建設(shè)過(guò)程中大量應(yīng)用了支持通用白盒設(shè)備以及通用接口的NFV/SDN技術(shù)，與過(guò)去的傳統(tǒng)移動(dòng)網(wǎng)絡(luò)相比，與固定寬帶網(wǎng)絡(luò)聯(lián)系更為緊密，同時(shí)也為惡意網(wǎng)絡(luò)攻擊者提供了方便之門；（2）VNF的部署與應(yīng)用為網(wǎng)絡(luò)控制層帶來(lái)了具有較高復(fù)雜度的程序構(gòu)成與底層操作系統(tǒng)，大幅提升了網(wǎng)絡(luò)控制層中存在漏洞或后門的概率；（3）在5G技術(shù)應(yīng)用于垂直行業(yè)的過(guò)程中，NFV/SDN技術(shù)也逐漸滲透至例如工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、衛(wèi)星網(wǎng)絡(luò)等，而這些場(chǎng)景過(guò)去未曾考慮網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，部分基礎(chǔ)設(shè)施安全防護(hù)措施薄弱、業(yè)務(wù)系統(tǒng)復(fù)雜，安全等級(jí)要求卻遠(yuǎn)高于傳統(tǒng)互聯(lián)網(wǎng)。

為了應(yīng)對(duì)網(wǎng)絡(luò)空間安全新形勢(shì)，本文提出的試驗(yàn)場(chǎng)的構(gòu)建方法與管理架構(gòu)以面向虛實(shí)結(jié)合網(wǎng)絡(luò)空間的大規(guī)模多場(chǎng)景攻防演練為目標(biāo)，從試驗(yàn)場(chǎng)管理層面實(shí)現(xiàn)對(duì)于虛實(shí)網(wǎng)絡(luò)的統(tǒng)一控制管理與資源編排；在面向用戶的應(yīng)用平臺(tái)層面則需要消除對(duì)于虛實(shí)網(wǎng)絡(luò)差異的感知，從而支持內(nèi)生安全虛擬/實(shí)體網(wǎng)元的聯(lián)合測(cè)試驗(yàn)證以及可重構(gòu)的攻防演練場(chǎng)景。

2.2 架構(gòu)設(shè)計(jì)

在試驗(yàn)場(chǎng)管理方面涉及大規(guī)模虛實(shí)網(wǎng)絡(luò)的互聯(lián)組網(wǎng)、高可靠高安全的網(wǎng)絡(luò)控制、高效率的資源編排、可重構(gòu)切換的攻防演練場(chǎng)景等多項(xiàng)關(guān)鍵技術(shù)。本文所提出的試驗(yàn)場(chǎng)管理架構(gòu)如圖1所示，主要分為試驗(yàn)場(chǎng)平臺(tái)、SDN控制器、虛擬/實(shí)體網(wǎng)絡(luò)3部分，其中實(shí)線表示數(shù)據(jù)鏈路，虛線表示管理鏈路。試驗(yàn)場(chǎng)平臺(tái)作為整個(gè)試驗(yàn)場(chǎng)的應(yīng)用層，提供網(wǎng)絡(luò)拓?fù)淇梢暬?dòng)態(tài)信息資源編排、攻防演練場(chǎng)景構(gòu)建與切換以及先進(jìn)防御技術(shù)與設(shè)備的測(cè)試評(píng)估等功能。SDN控制器為統(tǒng)一網(wǎng)絡(luò)控制的關(guān)鍵網(wǎng)元，通過(guò)動(dòng)態(tài)異構(gòu)冗余架構(gòu)以及異構(gòu)SDN控制器執(zhí)行體池的構(gòu)建，為SDN控制層提供內(nèi)生安全保護(hù)。虛擬網(wǎng)絡(luò)主要提供大規(guī)模組網(wǎng)場(chǎng)景的快速構(gòu)建以及內(nèi)生安全虛擬網(wǎng)元的部署；實(shí)體網(wǎng)絡(luò)主要部署內(nèi)生安全實(shí)體網(wǎng)元以及攻擊、測(cè)試等專業(yè)設(shè)備。整個(gè)試驗(yàn)場(chǎng)在SDN控制層與物理硬件設(shè)備管理接口采用了雙層隔離的設(shè)計(jì)思路保障試驗(yàn)場(chǎng)平臺(tái)的安全可靠。整個(gè)試驗(yàn)場(chǎng)管理架構(gòu)在設(shè)計(jì)中遵循以下原則。

· 先進(jìn)性：針對(duì)先進(jìn)防御技術(shù)與設(shè)備的部署需求提供模擬環(huán)境建立的功能，以滿足測(cè)試評(píng)估需求。

· 可重構(gòu)性：支持攻防演練場(chǎng)景的快速構(gòu)建、釋放、切換，提供高效靈活的測(cè)試驗(yàn)證環(huán)境；

· 可擴(kuò)展性：支持新增設(shè)備與硬件資源，可支持大規(guī)模分布式試驗(yàn)場(chǎng)部署。

· 規(guī)范性：以先進(jìn)防御技術(shù)標(biāo)準(zhǔn)體系為導(dǎo)向，保障先進(jìn)防御技術(shù)測(cè)試驗(yàn)證的規(guī)范性。

· 安全性：試驗(yàn)場(chǎng)管理系統(tǒng)需要與試驗(yàn)場(chǎng)環(huán)境進(jìn)行高度隔離。

圖1 虛實(shí)結(jié)合的網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)管理架構(gòu)

根據(jù)上述設(shè)計(jì)原則與需求，本架構(gòu)具備如下特點(diǎn)。

在虛實(shí)網(wǎng)絡(luò)的高速互聯(lián)方面，SDN使用軟件應(yīng)用程序?qū)μ搶?shí)網(wǎng)絡(luò)進(jìn)行集中控制編程，北向支持開(kāi)放的RESTconf API，使得試驗(yàn)場(chǎng)網(wǎng)絡(luò)管理無(wú)須考慮底層網(wǎng)絡(luò)技術(shù)的復(fù)雜性。南向則通過(guò)NETconf協(xié)議，在虛擬網(wǎng)絡(luò)側(cè)與云平臺(tái)的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行對(duì)接，例如在基于OpenStack平臺(tái)的虛擬網(wǎng)絡(luò)中，SDN控制器可與Neutron模塊對(duì)接，用以管理虛擬網(wǎng)絡(luò)中所有的計(jì)算、存儲(chǔ)和控制節(jié)點(diǎn)，實(shí)現(xiàn)虛擬網(wǎng)元的組網(wǎng)；實(shí)體網(wǎng)絡(luò)側(cè)對(duì)接SDN交換機(jī)，作為實(shí)體網(wǎng)元的數(shù)據(jù)匯聚節(jié)點(diǎn)。SDN控制器具備大規(guī)模網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、高速信息處理和流表下發(fā)的能力，采用流表聚合和標(biāo)簽路由算法，可以解決實(shí)體SDN交換機(jī)流表數(shù)量限制和查詢效率，從而實(shí)現(xiàn)大規(guī)模二層組網(wǎng)和高效率的二層交換，最終實(shí)現(xiàn)虛實(shí)網(wǎng)絡(luò)的萬(wàn)兆高速互聯(lián)。

安全可靠的網(wǎng)絡(luò)控制方面，在SDN控制層引入動(dòng)態(tài)異構(gòu)冗余的架構(gòu)，首先在數(shù)據(jù)層和應(yīng)用層之間加入中間層與擬態(tài)層，其中中間層不進(jìn)行路由計(jì)算僅作為數(shù)據(jù)采集、報(bào)文上傳、流表下發(fā)等任務(wù)的中間節(jié)點(diǎn)，擬態(tài)層則維護(hù)支持多個(gè)異構(gòu)SDN控制器執(zhí)行體的資源池，將報(bào)文信息同時(shí)轉(zhuǎn)發(fā)給多個(gè)執(zhí)行體，通過(guò)流表一致性裁決強(qiáng)化路由信息安全可靠性，同時(shí)實(shí)現(xiàn)對(duì)于異常執(zhí)行體的發(fā)現(xiàn)與清洗重啟。

在統(tǒng)一信息資源編排方面，網(wǎng)絡(luò)拓?fù)湫畔⒌木S護(hù)由SDN控制器統(tǒng)一管理，在虛擬網(wǎng)絡(luò)側(cè)通過(guò)路由器、端口、子網(wǎng)、主機(jī)與鏈路等元素的映射，將基于云平臺(tái)的虛擬網(wǎng)絡(luò)拓?fù)渑c實(shí)體網(wǎng)絡(luò)拓?fù)溥M(jìn)行整合，提供統(tǒng)一的網(wǎng)絡(luò)拓?fù)湔故?，?jiǎn)化試驗(yàn)場(chǎng)網(wǎng)絡(luò)運(yùn)維管理，提高試驗(yàn)場(chǎng)管理平臺(tái)可視化效果；承載虛擬網(wǎng)絡(luò)的云服務(wù)器以及構(gòu)成實(shí)體網(wǎng)絡(luò)的實(shí)體網(wǎng)元額外設(shè)置了管理接口與鏈路，將承載試驗(yàn)場(chǎng)攻防演練的數(shù)據(jù)鏈路和實(shí)現(xiàn)各設(shè)備配置管理與數(shù)據(jù)采集的管理鏈路進(jìn)行安全隔離，避免試驗(yàn)場(chǎng)中的攻擊數(shù)據(jù)流直接影響到試驗(yàn)場(chǎng)管理平臺(tái)。

在支持攻防演練場(chǎng)景的快速構(gòu)建與切換方面，試驗(yàn)場(chǎng)支持的獨(dú)立管理鏈路可以快速生成或釋放虛擬網(wǎng)元、啟動(dòng)或停止實(shí)體網(wǎng)元，并通過(guò)SDN控制器調(diào)整組網(wǎng)結(jié)構(gòu)，大幅簡(jiǎn)化攻防演練場(chǎng)景構(gòu)建的流程，同時(shí)支持不同設(shè)備組成多個(gè)測(cè)試環(huán)境并行試驗(yàn)，實(shí)現(xiàn)高效的測(cè)試評(píng)估。

3 內(nèi)生安全軟件定義網(wǎng)絡(luò)控制系統(tǒng)

在虛實(shí)結(jié)合的試驗(yàn)場(chǎng)管理架構(gòu)體系中，實(shí)現(xiàn)虛實(shí)網(wǎng)絡(luò)集中控制的SDN控制層為整個(gè)試驗(yàn)場(chǎng)的核心部位，需要承載虛擬網(wǎng)絡(luò)中與云平臺(tái)的對(duì)接、在實(shí)體網(wǎng)絡(luò)中控制SDN交換機(jī)實(shí)現(xiàn)拓?fù)渥兏约疤搶?shí)網(wǎng)絡(luò)的高速互聯(lián)等功能，其安全性能需要最高級(jí)別的保障。

本節(jié)提出基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)的內(nèi)生安全軟件定義網(wǎng)絡(luò)控制系統(tǒng)架構(gòu)保障SDN控制層安全，實(shí)現(xiàn)多異構(gòu)SDN控制器執(zhí)行體動(dòng)態(tài)調(diào)度、流表對(duì)比裁決、快速調(diào)度下線重啟控制器等關(guān)鍵性技術(shù)。

3.1 異構(gòu)開(kāi)源SDN控制器執(zhí)行體

基于擬態(tài)防御的SDN控制層安全機(jī)制在參考文獻(xiàn)[20]中進(jìn)行了充分的討論，研究了基于語(yǔ)義層面的異構(gòu)控制器流表項(xiàng)對(duì)比裁決。在實(shí)驗(yàn)中，選用了ODL（Open Day Light）控制器作為主控制器，而POX和ONOS（Open Network Operating System）作為等價(jià)異構(gòu)控制器提供對(duì)比裁決的流表數(shù)據(jù)。在本文中，選用自研的DCFabric開(kāi)源SDN控制器作為中間層，本身并不提供路由功能，僅為多個(gè)異構(gòu)SDN控制器執(zhí)行體提供報(bào)文上傳、網(wǎng)絡(luò)拓?fù)湫畔⒏乱约傲鞅磙D(zhuǎn)發(fā)的功能，構(gòu)成擬態(tài)防御架構(gòu)中的代理節(jié)點(diǎn)。在安全性上，該部分僅作為透?jìng)魍ǖ?，其功能具有?jiǎn)單可靠的特點(diǎn)，難以出現(xiàn)故障或被網(wǎng)絡(luò)攻擊。在功能性上，提供了與云平臺(tái)對(duì)接和可視化的能力，可以滿足虛實(shí)結(jié)合的試驗(yàn)場(chǎng)組網(wǎng)需求。

在異構(gòu)執(zhí)行體的選取方面，本文提出的內(nèi)生安全SDN控制器采用三大主流開(kāi)源SDN控制器ODL、ONOS、Ryu構(gòu)成異構(gòu)資源池，其各項(xiàng)特點(diǎn)對(duì)比見(jiàn)表2。其中，ODL控制器由Linux基金會(huì)主導(dǎo)開(kāi)發(fā)推進(jìn)，主要面向數(shù)據(jù)中心網(wǎng)絡(luò)支持SDN/NFV分布式框架和平臺(tái)；ONOS控制器則由非營(yíng)利性組織ONLab主導(dǎo)推出，主要聚焦控制器平臺(tái)層，業(yè)務(wù)組件則提供開(kāi)放接口供使用者自行開(kāi)發(fā)；Ryu控制器由日本NTT公司負(fù)責(zé)設(shè)計(jì)研發(fā)，完全采用Python語(yǔ)言實(shí)現(xiàn)，具有輕量化的優(yōu)點(diǎn)。

表2 開(kāi)源SDN控制器對(duì)比

根據(jù)測(cè)試對(duì)比可見(jiàn)，本文所引用的3種開(kāi)源SDN控制器分別采用不同的語(yǔ)言進(jìn)行編寫，在執(zhí)行體的異構(gòu)度上有足夠的保障。與ONOS和Ryu相比，ODL控制器由于功能模塊豐富，不僅代碼量為另外兩種控制器的上百倍，同時(shí)在啟動(dòng)時(shí)需要占用更多的時(shí)間。這一點(diǎn)在內(nèi)生安全SDN控制器運(yùn)行過(guò)程中，將會(huì)較大地影響ODL控制器下線清洗后恢復(fù)上線所需要的速度。而Ryu控制器屬于輕量級(jí)系統(tǒng)，在代碼量與ONOS相當(dāng)?shù)那闆r下，可以實(shí)現(xiàn)10 s以內(nèi)的快速啟動(dòng)，并且內(nèi)存占用也遠(yuǎn)低于其他兩種控制器。

3.2 控制器架構(gòu)

SDN控制器整體架構(gòu)如圖2所示，包括應(yīng)用層、中間層、數(shù)據(jù)層以及擬態(tài)層；應(yīng)用層與中間層之間使用RESTful API進(jìn)行消息傳遞，包括拓?fù)湫畔@取、配置下發(fā)等消息；中間層和數(shù)據(jù)層之間使用OpenFlow協(xié)議進(jìn)行消息交互，包括數(shù)據(jù)層的請(qǐng)求以及流表下發(fā)等消息；擬態(tài)層主要作為中間層的一部分，包括裁決器、調(diào)度器以及各種異構(gòu)控制器。

圖2 內(nèi)生安全SDN控制器架構(gòu)

其中，中間層和擬態(tài)層是內(nèi)生安全SDN控制器的兩個(gè)重要組成部分，中間層使用DCFabric與數(shù)據(jù)層的SDN交換機(jī)或云平臺(tái)中的網(wǎng)絡(luò)節(jié)點(diǎn)建立連接，數(shù)據(jù)層中的數(shù)據(jù)發(fā)生交換時(shí)，向中間層請(qǐng)求路由策略。在初始化完成之后，擬態(tài)層中的各個(gè)異構(gòu)控制器會(huì)各自獨(dú)立獲取并更新數(shù)據(jù)處理中整體網(wǎng)絡(luò)狀態(tài)，中間層收到交換發(fā)送的策略請(qǐng)求之后，通過(guò)輸入代理模塊將請(qǐng)求信息分發(fā)到層中的各個(gè)異構(gòu)控制器，各個(gè)控制器分別進(jìn)行路由策略計(jì)算。各個(gè)控制器計(jì)算得到的轉(zhuǎn)發(fā)策略會(huì)統(tǒng)一發(fā)到裁決器進(jìn)行匯總，裁決器將策略統(tǒng)一匯總發(fā)送到輸出代理，最后下發(fā)到SDN交換機(jī)。

擬態(tài)層中的各個(gè)控制器以虛擬機(jī)或容器的方式運(yùn)行，可以根據(jù)需求快速地創(chuàng)建或釋放一個(gè)控制器實(shí)例。其中裁決器不只是對(duì)策略進(jìn)行裁決，還會(huì)將裁決的結(jié)果向調(diào)度器反饋，調(diào)度器收到裁決結(jié)果后，對(duì)有安全風(fēng)險(xiǎn)的控制器執(zhí)行體進(jìn)行清洗。

應(yīng)用層主要是對(duì)網(wǎng)絡(luò)的可視化管理，包括可視化的查看以及配置，前端頁(yè)面向應(yīng)用層服務(wù)端獲取網(wǎng)絡(luò)當(dāng)前狀態(tài)數(shù)據(jù)，并將其展現(xiàn)在前端頁(yè)面，包括網(wǎng)絡(luò)拓?fù)湫畔?、?dāng)前各種異構(gòu)控制器的運(yùn)行狀態(tài)、當(dāng)前SDN交換機(jī)的流表信息等。應(yīng)用層服務(wù)端通過(guò)RESTful API向DCFabric控制器獲取狀態(tài)信息，不同的用戶擁有不同的配置管理權(quán)限以及查看權(quán)限，從而增強(qiáng)網(wǎng)絡(luò)管理的安全性。

3.3 擬態(tài)裁決的流程設(shè)計(jì)

內(nèi)生安全SDN控制器的擬態(tài)裁決主要針對(duì)“流一致”的要求進(jìn)行設(shè)計(jì)，即多個(gè)異構(gòu)SDN控制器執(zhí)行體流表的路由策略保持一致。在裁決器收到多個(gè)控制器發(fā)送的流表信息后，開(kāi)始裁決過(guò)程，主要由同步、折分、比較和裁定4個(gè)步驟組成。

同步：本步驟為了保證擬態(tài)裁決的對(duì)象是異構(gòu)控制器，是針對(duì)同一路由策略請(qǐng)求后下發(fā)的流表信息，該過(guò)程可通過(guò)報(bào)文標(biāo)識(shí)符Packet_ID完成。

拆分：由于逐比特比較計(jì)算量大，且無(wú)法處理異構(gòu)控制器私有的控制規(guī)則信息，難以在裁決器進(jìn)行流表的逐位匹配。因此，在本步驟對(duì)流表的關(guān)鍵信息進(jìn)行提取，按照路由策略的語(yǔ)義規(guī)則，將其分為多個(gè)關(guān)鍵字段。

比較：根據(jù)關(guān)鍵字段拆分結(jié)果，對(duì)多個(gè)流表每個(gè)字段進(jìn)行分別匹配比對(duì)，例如分別就源地址、目標(biāo)地址、轉(zhuǎn)發(fā)端口等字段進(jìn)行比對(duì)。

裁定：在比較過(guò)程結(jié)束后，根據(jù)比對(duì)結(jié)果裁定具有多數(shù)優(yōu)勢(shì)的流表信息為真，轉(zhuǎn)發(fā)至代理節(jié)點(diǎn)，并將流表信息裁定為假的控制器信息反饋至調(diào)度器進(jìn)行處理。

在本系統(tǒng)設(shè)計(jì)中，除了采用細(xì)粒度的流一致裁決算法，還添加了帶容忍閾值的自清洗機(jī)制強(qiáng)化內(nèi)生安全SDN控制器的可靠性與穩(wěn)定性。由于多個(gè)控制器執(zhí)行體的路由策略可能有一定的不一致，同時(shí)考慮到部分控制器執(zhí)行體的重啟時(shí)間較長(zhǎng)，裁決器在經(jīng)過(guò)裁定之后可以記錄控制器執(zhí)行體的錯(cuò)誤次數(shù)：在初始狀態(tài)時(shí)，所有控制器執(zhí)行體的錯(cuò)誤次數(shù)均為0，每當(dāng)發(fā)現(xiàn)有錯(cuò)誤消息出現(xiàn)將相應(yīng)控制器執(zhí)行體的錯(cuò)誤次數(shù)加1。當(dāng)錯(cuò)誤次數(shù)達(dá)到某個(gè)預(yù)設(shè)的容忍閾值時(shí)，裁決器將信息反饋至調(diào)度器，相應(yīng)控制器執(zhí)行體進(jìn)入自清洗階段——重啟/替換控制器執(zhí)行體。完成自清洗階段之后，該控制器執(zhí)行體的錯(cuò)誤次數(shù)重置。

基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)的內(nèi)生安全SDN控制系統(tǒng)由于采用了多個(gè)異構(gòu)控制器執(zhí)行體與流一致的擬態(tài)裁決算法，在少于半數(shù)的控制器執(zhí)行體被攻擊時(shí)，仍能保證正確的流表輸出。同時(shí)裁決器能夠識(shí)別這些具有安全風(fēng)險(xiǎn)的執(zhí)行體，并進(jìn)行調(diào)度清洗消除網(wǎng)絡(luò)攻擊對(duì)控制器執(zhí)行體的影響，大幅強(qiáng)化了SDN控制層的安全能力。

4 可快速切換場(chǎng)景的試驗(yàn)場(chǎng)部署管理技術(shù)

建設(shè)網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)的主要目的是對(duì)網(wǎng)絡(luò)空間內(nèi)生安全原理、技術(shù)、方法進(jìn)行全面的系統(tǒng)研制，從而促進(jìn)內(nèi)生安全理論體系的完善和深化，為內(nèi)生安全技術(shù)、設(shè)備提供測(cè)試認(rèn)證，支撐基于虛實(shí)結(jié)合網(wǎng)絡(luò)空間環(huán)境的攻防演練、人員培訓(xùn)和能力評(píng)價(jià)，最終實(shí)現(xiàn)相關(guān)產(chǎn)業(yè)鏈的標(biāo)準(zhǔn)化與商業(yè)化。本節(jié)提出一種可支持場(chǎng)景快速重構(gòu)、切換的試驗(yàn)場(chǎng)部署管理技術(shù)，以一個(gè)典型的組網(wǎng)方案為例，充分介紹面向服務(wù)、動(dòng)態(tài)充足、按需分發(fā)等能力的試驗(yàn)場(chǎng)管理策略。

4.1 虛實(shí)結(jié)合的試驗(yàn)場(chǎng)典型組網(wǎng)方案

網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)組網(wǎng)案例如圖3所示，一個(gè)典型的虛實(shí)結(jié)合試驗(yàn)場(chǎng)主要分為5個(gè)主要組成部分：試驗(yàn)場(chǎng)平臺(tái)、外部互聯(lián)網(wǎng)接入、虛擬網(wǎng)絡(luò)、實(shí)體網(wǎng)絡(luò)和管理接口鏈路。

試驗(yàn)場(chǎng)平臺(tái)是面向測(cè)試及運(yùn)維人員的用戶接口，也是整個(gè)試驗(yàn)場(chǎng)的應(yīng)用層，通過(guò)對(duì)接SDN控制器獲取全網(wǎng)信息感知，并通過(guò)管理接口鏈路獲得試驗(yàn)場(chǎng)各設(shè)備資源信息與管理配置能力，從而支持網(wǎng)絡(luò)可視化、場(chǎng)景構(gòu)建切換等功能；外部互聯(lián)網(wǎng)接入處首先完成用戶接入認(rèn)證以提供不同級(jí)別的測(cè)試服務(wù)，在接入側(cè)旁掛攻擊/背景流量生成器模擬網(wǎng)絡(luò)攻擊與雜訊干擾；虛擬網(wǎng)絡(luò)主要由例如OpenStack的云平臺(tái)支持，可基于鏡像實(shí)現(xiàn)虛擬網(wǎng)元的快速生成，并通過(guò)云平臺(tái)網(wǎng)絡(luò)節(jié)點(diǎn)與SDN控制器對(duì)接；實(shí)體網(wǎng)絡(luò)主要部署網(wǎng)絡(luò)空間內(nèi)生安全設(shè)備，如內(nèi)生安全路由、內(nèi)生安全存儲(chǔ)等系統(tǒng)，以一個(gè)或多個(gè)SDN控制器作為數(shù)據(jù)鏈路通道進(jìn)行互聯(lián)；管理接口鏈路獨(dú)立于試驗(yàn)場(chǎng)數(shù)據(jù)鏈路，通過(guò)管理接口交換機(jī)匯聚全試驗(yàn)場(chǎng)各網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機(jī)的管理配置信息與資源信息數(shù)據(jù)。

4.2 場(chǎng)景重構(gòu)與資源編排

基于物理設(shè)備和物理鏈路構(gòu)建的傳統(tǒng)網(wǎng)絡(luò)安全防御試驗(yàn)場(chǎng)，存在實(shí)驗(yàn)規(guī)模有限和場(chǎng)景重構(gòu)緩慢等缺陷。在虛實(shí)結(jié)合的試驗(yàn)場(chǎng)環(huán)境中，以基于云平臺(tái)構(gòu)建的虛擬網(wǎng)絡(luò)可以極快的速度提供大規(guī)模虛擬網(wǎng)元互聯(lián)的復(fù)雜網(wǎng)絡(luò)試驗(yàn)環(huán)境，可以較低的成本滿足多種大規(guī)模復(fù)雜網(wǎng)絡(luò)試驗(yàn)場(chǎng)景構(gòu)建的需求，強(qiáng)化了試驗(yàn)場(chǎng)針對(duì)異構(gòu)網(wǎng)絡(luò)架構(gòu)進(jìn)行試驗(yàn)測(cè)試與攻防演練的能力。同時(shí)，虛擬網(wǎng)絡(luò)在重構(gòu)網(wǎng)絡(luò)場(chǎng)景方面相對(duì)于實(shí)體網(wǎng)絡(luò)具有較高的優(yōu)勢(shì)，基于鏡像的虛擬網(wǎng)元具有快速生成、釋放實(shí)例的能力，并且部分云平臺(tái)支持藍(lán)圖功能，可以更為簡(jiǎn)便地實(shí)現(xiàn)場(chǎng)景切換。

圖3 網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)組網(wǎng)案例

在實(shí)體網(wǎng)絡(luò)方面，通過(guò)SDN控制器也可以相對(duì)快速地調(diào)整網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，實(shí)現(xiàn)實(shí)體網(wǎng)絡(luò)場(chǎng)景的重構(gòu)。如圖3所示的試驗(yàn)場(chǎng)組網(wǎng)方案中采用多網(wǎng)口的云平臺(tái)服務(wù)器設(shè)備與SDN交換機(jī)，以多重標(biāo)簽流量牽引的SDN動(dòng)態(tài)組網(wǎng)方式實(shí)現(xiàn)實(shí)體網(wǎng)元之間以及實(shí)體和虛擬網(wǎng)元的虛擬網(wǎng)絡(luò)鏈路動(dòng)態(tài)可定義，從而實(shí)現(xiàn)試驗(yàn)場(chǎng)應(yīng)用層與物理網(wǎng)絡(luò)環(huán)境的解耦。同時(shí)，這樣的組網(wǎng)方式支持多種場(chǎng)景的并行試驗(yàn)測(cè)試，通過(guò)內(nèi)生安全SDN控制器控制多個(gè)SDN交換機(jī)與虛擬網(wǎng)絡(luò)，隔離出多個(gè)互不影響的網(wǎng)絡(luò)場(chǎng)景，可供多個(gè)測(cè)試團(tuán)隊(duì)同時(shí)在試驗(yàn)場(chǎng)中針對(duì)不同的網(wǎng)絡(luò)技術(shù)與設(shè)備進(jìn)行攻防演練，提升了試驗(yàn)場(chǎng)的工作效率。

在大規(guī)模復(fù)雜組網(wǎng)條件下，試驗(yàn)場(chǎng)運(yùn)維人員對(duì)全網(wǎng)設(shè)備資源的感知、配置與調(diào)度存在困難。本組網(wǎng)部署方案在試驗(yàn)場(chǎng)測(cè)試環(huán)境的數(shù)據(jù)鏈路外，獨(dú)立部署管理接口鏈路匯聚至試驗(yàn)場(chǎng)平臺(tái)。通過(guò)試驗(yàn)場(chǎng)資源編排器管理維護(hù)全網(wǎng)設(shè)備資源信息數(shù)據(jù)，并基于此執(zhí)行試驗(yàn)場(chǎng)資源編排。試驗(yàn)場(chǎng)編排器可部署人工智能引擎，在長(zhǎng)期運(yùn)行中采集分析試驗(yàn)場(chǎng)數(shù)據(jù)，提供智能化的資源優(yōu)化能力。

5 結(jié)束語(yǔ)

本文提出面向虛實(shí)結(jié)合的試驗(yàn)場(chǎng)管理架構(gòu)與組網(wǎng)部署技術(shù)，可以針對(duì)性地滿足網(wǎng)絡(luò)空間安全新形勢(shì)下，對(duì)于內(nèi)生安全技術(shù)、設(shè)備的測(cè)試驗(yàn)證與人員技能的培訓(xùn)要求，有效利用了內(nèi)生安全SDN控制器與數(shù)據(jù)管理鏈路的隔離設(shè)計(jì)為試驗(yàn)場(chǎng)提供了安全可靠的可編排可重構(gòu)能力。該管理架構(gòu)基于人工智能編排器，有望發(fā)展為智能化的網(wǎng)絡(luò)空間內(nèi)生安全試驗(yàn)場(chǎng)。