全碩，王旭亮，朱澤亞

5G+時(shí)代的軟件定義安全技術(shù)架構(gòu)研究與實(shí)踐

全碩，王旭亮，朱澤亞

（中國電信股份有限公司研究院，北京 102209）

新基建和數(shù)字經(jīng)濟(jì)激發(fā)了云網(wǎng)安全的保障需求，云網(wǎng)融合安全也是未來的重要發(fā)展趨勢。首先分析了面向5G專網(wǎng)用戶提供整體安全服務(wù)面臨的三大類問題，提出了在5G+時(shí)代軟件定義安全整體架構(gòu)。其次基于該架構(gòu)介紹了相應(yīng)的原型系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。最后驗(yàn)證了基于云化構(gòu)架的軟件定義安全編排與調(diào)度體系有助于精確化地整體解決5G+時(shí)代5G專網(wǎng)企業(yè)客戶的業(yè)務(wù)安全威脅和隱患，為后續(xù)的研究提供了系統(tǒng)性的參考價(jià)值。

軟件定義安全；服務(wù)功能鏈；網(wǎng)絡(luò)功能虛擬化

1 引言

云網(wǎng)安融合基礎(chǔ)設(shè)施作為新基建的重要組成部分，正在快速推動(dòng)企業(yè)業(yè)務(wù)的數(shù)字化轉(zhuǎn)型，在Gartner的《網(wǎng)絡(luò)安全的未來在云端》報(bào)告闡明了在新的網(wǎng)絡(luò)和安全模型的基礎(chǔ)上進(jìn)行云網(wǎng)絡(luò)和安全轉(zhuǎn)型的潛力，該模型稱為安全訪問服務(wù)邊緣（secure access service edge，SASE）。隨著符合零信任網(wǎng)絡(luò)和SASE理念的云網(wǎng)安產(chǎn)品的不斷成熟，才能在5G+時(shí)代真正打消企業(yè)數(shù)字化轉(zhuǎn)型中最大的疑慮，快速推動(dòng)云網(wǎng)安基礎(chǔ)設(shè)施+數(shù)字化應(yīng)用的整體生態(tài)發(fā)展。

運(yùn)營商作為新基建與數(shù)字經(jīng)濟(jì)的重要市場參與方，在SASE理念基礎(chǔ)之上，提出了5G專網(wǎng)+云化安全服務(wù)的綜合解決方案。5G定制網(wǎng)業(yè)務(wù)基于5G SA 2B網(wǎng)絡(luò)進(jìn)行承載，采用大區(qū)集約管理、省級(jí)集中控制的方式，按需構(gòu)建多級(jí)2B業(yè)務(wù)轉(zhuǎn)發(fā)面，形成“2+31”5G定制網(wǎng)框架結(jié)構(gòu)，具體如圖1所示，在全國，部署2個(gè)5G定制網(wǎng)集約節(jié)點(diǎn)，包括數(shù)據(jù)面網(wǎng)元UDM和部分信令面網(wǎng)元（PCF、NRF、SCP），滿足用戶數(shù)據(jù)、業(yè)務(wù)策略控制、計(jì)費(fèi)的統(tǒng)一集約管理。在省層面，分省部署控制面網(wǎng)元SMF和用戶面網(wǎng)元UPF，用于實(shí)現(xiàn)全國各省份業(yè)務(wù)承載。基于上述網(wǎng)絡(luò)框架，在全國開通5G定制網(wǎng)政企2B默認(rèn)切片和定制網(wǎng)物聯(lián)網(wǎng)默認(rèn)切片，支持集約場景業(yè)務(wù)全國服務(wù)。

圖1 運(yùn)營商5G定制網(wǎng)網(wǎng)絡(luò)架構(gòu)

5G專網(wǎng)雖然為企業(yè)提供組網(wǎng)與上網(wǎng)業(yè)務(wù)的便利性，但專線業(yè)務(wù)本身的安全隱患和防護(hù)問題依然沒有得到充分解決。反而隨著5G專網(wǎng)的推出，企業(yè)客戶的業(yè)務(wù)和應(yīng)用變得更加多樣化，提供能夠按需定義、快速開通、動(dòng)態(tài)可重構(gòu)的安全服務(wù)與產(chǎn)品是亟須解決的核心問題之一；如何基于5G專網(wǎng)面向客戶業(yè)務(wù)提供按需、高效、精確以及整體化的安全防護(hù)服務(wù)面臨如下3方面的問題：第一，云化部署的5G定制網(wǎng)本身帶來的靈活定制組網(wǎng)的特點(diǎn)使網(wǎng)絡(luò)的安全邊界模糊，新一代安全威脅凸顯，依靠相對(duì)獨(dú)立、局部、煙囪式的安全能力無法滿足防護(hù)需求；第二，用戶業(yè)務(wù)的安全防護(hù)需求從客戶側(cè)延伸到云側(cè)，需要整體安全能力解決方案，實(shí)現(xiàn)主動(dòng)防御；第三，無法基于網(wǎng)絡(luò)安全威脅分析數(shù)據(jù)的“頭疼醫(yī)頭”式方案無法有效消除安全威脅，安全服務(wù)碎片化、防護(hù)手段數(shù)據(jù)采集離散且缺少關(guān)聯(lián)協(xié)同以及缺乏多個(gè)安全服務(wù)能力的自動(dòng)化調(diào)度能力。

針對(duì)上述存在的問題，本文提出一種基于云化部署的軟件定義安全服務(wù)整體架構(gòu)與方案，經(jīng)過原型系統(tǒng)驗(yàn)證可以有效解決安全服務(wù)能力碎片化、安全能力部署分散造成的無法根據(jù)客戶安全定制化需求進(jìn)行高效自動(dòng)化調(diào)度與部署的問題。

本文解決方案中大量采用云計(jì)算、NFV、SDN以及包括多種服務(wù)功能鏈（service function chain，SFC）實(shí)現(xiàn)技術(shù)等。根據(jù)ETSI NFV組在2018年發(fā)布標(biāo)準(zhǔn)ETSI GS NFV-EVE 011[1]，NFV技術(shù)旨在推動(dòng)傳統(tǒng)網(wǎng)絡(luò)設(shè)備的云化，具體來說，是在標(biāo)準(zhǔn)IT服務(wù)器組成的云資源池上運(yùn)行虛擬機(jī)，將網(wǎng)絡(luò)設(shè)備的應(yīng)用程序運(yùn)行在這些虛擬機(jī)像傳統(tǒng)物理網(wǎng)元一樣向最終用戶提供網(wǎng)元功能服務(wù)。通過標(biāo)準(zhǔn)服務(wù)器和虛擬機(jī)配合的方式承載傳統(tǒng)網(wǎng)元服務(wù)實(shí)現(xiàn)了傳統(tǒng)網(wǎng)元設(shè)備的軟硬件解耦，從而獲得網(wǎng)元應(yīng)用的統(tǒng)一云化承載、彈性伸/縮、網(wǎng)絡(luò)業(yè)務(wù)自動(dòng)化編排等傳統(tǒng)網(wǎng)絡(luò)不具備的先天技術(shù)優(yōu)勢。NFV最大的特色是它在傳統(tǒng)云計(jì)算技術(shù)框架的基礎(chǔ)之上定義了一整套管理編排框架——MANO[2]（management and network orchestration，MANO）。根據(jù)ETSI NFV組在2020年發(fā)布的標(biāo)準(zhǔn)ETSI GR NFV-REL 011[3]，它由3部分組成，包括網(wǎng)絡(luò)服務(wù)編排器（network function virtualization orchestration，NFVO）、虛擬網(wǎng)元管理器（virtual network function，VNF）以及虛擬基礎(chǔ)設(shè)施資源管理器（virtual infrastructure manager，VIM）。

SDN技術(shù)從2009年被提出，一直被視為近10年網(wǎng)絡(luò)能力開放和網(wǎng)絡(luò)架構(gòu)創(chuàng)新的核心基石性技術(shù)。主要包括SDN控制器和被控制器所管理的網(wǎng)絡(luò)設(shè)備組成。SDN控制器會(huì)根據(jù)上層業(yè)務(wù)的要求給其所管理的網(wǎng)元設(shè)備進(jìn)行配置下發(fā)、網(wǎng)絡(luò)流量調(diào)度、網(wǎng)絡(luò)設(shè)備狀態(tài)監(jiān)控與收集以及相應(yīng)的運(yùn)維操作。本文在一套SDN控制器的基礎(chǔ)之上，按需采用多種SFC技術(shù)對(duì)云資源池內(nèi)的軟件交換機(jī)、硬件交換機(jī)以及硬件路由器進(jìn)行統(tǒng)一的管理和配置下發(fā)。

SDN控制器對(duì)安全業(yè)務(wù)的引流方式逐漸豐富且可以按需采用。SDN overlay虛擬網(wǎng)絡(luò)提供了一種集中的管控網(wǎng)絡(luò)，通過把傳統(tǒng)網(wǎng)絡(luò)設(shè)備的所有功能拆分為控制平面和轉(zhuǎn)發(fā)平面并解耦，將控制邏輯集中控制到控制平面的SDN控制器中。通過標(biāo)準(zhǔn)化南向接口控制和管理數(shù)據(jù)平面的網(wǎng)元，與北向的開放接口和各種定制化的程序進(jìn)行交互，以調(diào)用索取的各種網(wǎng)絡(luò)資源，從而建立高度可編程、可拓展和自動(dòng)化的網(wǎng)絡(luò)，簡化了網(wǎng)絡(luò)的配置、管理和優(yōu)化[2]。

SFC技術(shù)的目的是動(dòng)態(tài)建立服務(wù)功能鏈?zhǔn)共煌鈶舻牧髁靠梢园凑詹煌樞驅(qū)虿煌姆?wù)功能模塊[4]。SFC使網(wǎng)絡(luò)報(bào)文流量走特定的路徑，而不是通過IP目的地址查看路由表的最終目的地[4]。基于SDN/NFV的SFC可以有效靈活地調(diào)整到端的安全服務(wù)路徑，達(dá)到安全服務(wù)資源的高效利用。本文提出的方案中基于一套SDN控制器實(shí)現(xiàn)4種安全業(yè)務(wù)引流方式，包括PBR（policy based routing，PBR）、SRv6、VxLAN以及Networking-SFC等，重點(diǎn)介紹其中3種。

· SRv6由于具備很強(qiáng)的網(wǎng)絡(luò)編程能力以及流量工程能力，契合了網(wǎng)絡(luò)虛擬化思想，為服務(wù)功能鏈技術(shù)提供了新的實(shí)施思路。SRv6基于IPv6協(xié)議棧，支持SDN集中控制方案，適應(yīng)了當(dāng)前網(wǎng)絡(luò)虛擬化發(fā)展趨勢和推進(jìn)IPv6轉(zhuǎn)發(fā)平面部署需求，SRv6所具備的流量工程能力以更加簡潔的方式實(shí)現(xiàn)了服務(wù)功能鏈路徑SFP編排與轉(zhuǎn)發(fā)過程，且無須大規(guī)模設(shè)備升級(jí)即可實(shí)現(xiàn)服務(wù)功能鏈功能，降低了服務(wù)功能鏈部署開銷和運(yùn)維成本[4]。

· VxLAN作為過去十年來網(wǎng)絡(luò)虛擬化最成功的實(shí)現(xiàn)方案之一，通常與SDN控制器配合實(shí)現(xiàn)對(duì)各類網(wǎng)絡(luò)設(shè)備的overlay網(wǎng)絡(luò)流量進(jìn)行轉(zhuǎn)發(fā)。其中，VxLAN利用network overlay的理念，實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)路徑與真實(shí)網(wǎng)絡(luò)設(shè)備解耦的做法，真正實(shí)現(xiàn)了上層多種業(yè)務(wù)網(wǎng)絡(luò)與底層統(tǒng)一基礎(chǔ)設(shè)施網(wǎng)絡(luò)解耦，大大解放了生產(chǎn)力，帶動(dòng)了網(wǎng)絡(luò)生態(tài)近十年的大繁榮，催生了SD-WAN、云網(wǎng)絡(luò)以及SASE等一大批新型網(wǎng)絡(luò)產(chǎn)品。本文中為了提升云網(wǎng)安產(chǎn)品能力的快速開通也遵循SDN的理念，且成功地在運(yùn)營商安全資源池場景中實(shí)現(xiàn)了體系化的軟件定義安全能力。

· Networking-SFC主要應(yīng)用于SDN技術(shù)中，根據(jù)不同的安全策略聯(lián)同NFV提供安全SFC。SFC利用了SDN/NFV的優(yōu)勢，根據(jù)安全業(yè)務(wù)的需求可以個(gè)性化將一系列虛擬網(wǎng)絡(luò)功能有序組合，形成若干個(gè)邏輯上的鏈?zhǔn)椒?wù)功能集，同時(shí)通過入口分類器的分類規(guī)則和邏輯集中的控制器制定的流量調(diào)度規(guī)則[5]。

2 相關(guān)研究

針對(duì)軟件定義網(wǎng)絡(luò)的管控引流和編排問題，從業(yè)者已經(jīng)提出使用軟件定義網(wǎng)絡(luò)的思路構(gòu)建云網(wǎng)協(xié)作整體架構(gòu)解決安全設(shè)備資源的調(diào)度管理問題。本文選取文獻(xiàn)[6-8]與本文的方案相比對(duì)。

文獻(xiàn)[6]提出了6G可定義的6G安全架構(gòu)模型，探討了基于軟件定義的理念實(shí)現(xiàn)6G安全架構(gòu)、能力定制與協(xié)同。該研究力圖基于軟件定義的理念設(shè)計(jì)基礎(chǔ)資源網(wǎng)絡(luò)資源和安全資源之間的控制編排承載架構(gòu)，但是缺少了對(duì)安全能力進(jìn)一步的抽象，對(duì)安全能力的調(diào)度和基礎(chǔ)能力。本文在安全能力的基礎(chǔ)上對(duì)安全產(chǎn)品與應(yīng)用抽象為安全可編排調(diào)度的內(nèi)容，對(duì)安全服務(wù)功能鏈的引流和開通業(yè)務(wù)給出了解決方案。

文獻(xiàn)[7]提出了一種基于軟件定義的安全能力架構(gòu)，該架構(gòu)能夠?qū)崿F(xiàn) 5G 網(wǎng)絡(luò)模塊化的、可調(diào)用的、快速部署的內(nèi)生安全能力，以滿足 5G 業(yè)務(wù)多樣化和 5G 系統(tǒng)架構(gòu)變遷所帶來的安全需求。該方案考慮的是5G時(shí)代的網(wǎng)絡(luò)業(yè)務(wù)模式和針對(duì)業(yè)務(wù)的可能安全需求，然而網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)沒有全面完成全面解耦，物理設(shè)備管控面沒有統(tǒng)一，不能按需、差異化地定義安全產(chǎn)品內(nèi)容。本設(shè)計(jì)方案使用了基于PBR、SRv6、SFC等方式全面將安全能力云網(wǎng)資源統(tǒng)一編排。

文獻(xiàn)[8]對(duì)軟件定義網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)安全設(shè)備資源池化進(jìn)行了研究，通過SDN平臺(tái)實(shí)現(xiàn)港口網(wǎng)絡(luò)安全設(shè)備統(tǒng)一集中調(diào)配使用和安全設(shè)備重新整合。該研究著重于使用軟件定義網(wǎng)絡(luò)對(duì)硬件安全資源的部署和管控，但是沒有考慮使用虛擬化網(wǎng)元對(duì)安全設(shè)備解耦的方式重新編排，無法自由管理和調(diào)度復(fù)雜多樣的物理硬件資源。本方案使用NFV技術(shù)對(duì)硬件設(shè)備進(jìn)行解耦，使用容器部署等方式可以同時(shí)對(duì)云網(wǎng)安資源統(tǒng)一管控和云化承載。

綜上所述，本文遵循軟件定義各類服務(wù)的理念，在運(yùn)營商的云網(wǎng)安融合的基礎(chǔ)設(shè)施上，提出了面向5G企業(yè)客戶的安全產(chǎn)品編排、調(diào)度、承載以及管理等多維度的整體技術(shù)框架，根據(jù)原型系統(tǒng)的驗(yàn)證結(jié)論，本研究具備獨(dú)創(chuàng)性和較高的研究價(jià)值。

3 設(shè)計(jì)與實(shí)現(xiàn)

針對(duì)5G專線業(yè)務(wù)安全產(chǎn)品服務(wù)迭代周期慢、用戶差異化的安全需求無法滿足、局部單一的安全防護(hù)體系無法應(yīng)對(duì)新一代安全威脅、安全設(shè)備資源利用率低下等問題，本文通過借鑒云網(wǎng)融合、軟件定義、服務(wù)建模等理念，提出了在5G+時(shí)代軟件定義安全體系架構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)方案。通過該方案可以實(shí)現(xiàn)安全產(chǎn)品服務(wù)的快速定制開通、安全能力的按需編排調(diào)度、網(wǎng)絡(luò)控制與安全控制的聯(lián)動(dòng)協(xié)同、云網(wǎng)安資源的高效利用，構(gòu)建云網(wǎng)安融合、協(xié)同、全面的安全能力服務(wù)體系。

3.1 軟件定義安全總體架構(gòu)

軟件定義安全總體架構(gòu)如圖2所示，分為安全產(chǎn)品/應(yīng)用、安全服務(wù)定義/設(shè)計(jì)、安全服務(wù)編排、SDN控制器、基礎(chǔ)設(shè)施、云網(wǎng)安資源統(tǒng)一管理6個(gè)模塊。

圖2 軟件定義安全總體架構(gòu)

·安全產(chǎn)品/應(yīng)用：包括各種各樣的安全產(chǎn)品和應(yīng)用。

·安全服務(wù)定義/設(shè)計(jì)：將安全產(chǎn)品與應(yīng)用自動(dòng)轉(zhuǎn)義為安全服務(wù)編排模塊可編排調(diào)度的內(nèi)容（編排包）。

·安全服務(wù)編排：解析編排包，根據(jù)資源需求進(jìn)行基礎(chǔ)設(shè)施資源的編排調(diào)度；根據(jù)規(guī)則策略和動(dòng)作，進(jìn)行相應(yīng)的引流控制。

·SDN控制器：實(shí)現(xiàn)5G專線用戶流量的引流控制。分為池內(nèi)引流和大網(wǎng)引流兩部分。池內(nèi)引流根據(jù)用戶購買的安全產(chǎn)品，將用戶流量按需引流到各個(gè)安全原子能力（指安全特性組件，如FW、IPS、WAF、主機(jī)漏掃、Web漏洞掃描等）；大網(wǎng)引流則將用戶的流量引流到安全資源池內(nèi)。

·基礎(chǔ)設(shè)施：由安全資源、網(wǎng)絡(luò)資源、云計(jì)算資源組成的安全資源池。其中安全資源包括各種硬件、軟件形態(tài)的安全設(shè)備、安全原子能力等；網(wǎng)絡(luò)資源包括物理網(wǎng)絡(luò)設(shè)備、虛擬網(wǎng)元等；云計(jì)算資源包括承載安全能力、網(wǎng)元等組件的物理機(jī)、虛擬機(jī)和容器。

·云網(wǎng)安資源的統(tǒng)一管理：云計(jì)算資源、網(wǎng)絡(luò)資源、安全資源的統(tǒng)一管理，包括資源的生命周期管理、資源信息的實(shí)時(shí)采集與控制、鏡像管理等功能。

3.1.1 安全服務(wù)定義

安全服務(wù)定義與設(shè)計(jì)參考PSR服務(wù)建模體系，通過構(gòu)建PSR（product service resource）安全能力對(duì)象模型，進(jìn)行產(chǎn)品－服務(wù)－資源的三層解耦，實(shí)現(xiàn)安全產(chǎn)品的靈活組裝、快速加載和開通。

PSR模型定義了產(chǎn)品與服務(wù)、服務(wù)與資源的映射關(guān)系，PSR安全產(chǎn)品模型如圖3所示。

定義一個(gè)新的安全產(chǎn)品時(shí)，根據(jù)安全產(chǎn)品的屬性、服務(wù)動(dòng)作等定義，自動(dòng)生成PST（product service template）。開通業(yè)務(wù)時(shí)，PST能夠?qū)踩a(chǎn)品自動(dòng)解析成對(duì)應(yīng)的安全服務(wù)CFS組合，再根據(jù)預(yù)先定義的CFS→RFS→RES的映射關(guān)系，得到所需資源，再通過編排器完成相應(yīng)資源的編排、調(diào)度與控制下發(fā)。

PSR模型的引入，減少人工干預(yù)過程，實(shí)現(xiàn)安全產(chǎn)品的靈活組合和快速開通。當(dāng)引入不同安全廠商、新的安全原子能力類型時(shí)，只需在安全服務(wù)和安全產(chǎn)品中進(jìn)行定義，即可完成安全原子能力、服務(wù)的更新迭代，具有較高的靈活性和可擴(kuò)展能力。

PSR模型是安全服務(wù)編排的基石。通過產(chǎn)品到服務(wù)、服務(wù)到資源的拆分，可以實(shí)現(xiàn)更加靈活的編排調(diào)度；通過不同類型資源的解耦，編排器可以根據(jù)資源的需求、資源的特性進(jìn)行自由組合，為實(shí)現(xiàn)網(wǎng)絡(luò)控制和安全控制的聯(lián)動(dòng)協(xié)同、資源的高效利用提供了基礎(chǔ)。

3.1.2 安全服務(wù)編排

安全服務(wù)編排模塊能夠自動(dòng)高效地完成資源分配、策略下發(fā)等，實(shí)現(xiàn)安全服務(wù)的快速開通。該模塊包括業(yè)務(wù)的編排控制、資源的編排調(diào)度兩部分。在進(jìn)行編排時(shí)，具體步驟如下。

·安全服務(wù)定義與設(shè)計(jì)模塊通過PST模板將安全產(chǎn)品應(yīng)用解析成資源需求、規(guī)則動(dòng)作等信息，并將這些信息告知安全服務(wù)編排模塊。

圖3 PSR安全產(chǎn)品模型

·安全服務(wù)編排模塊根據(jù)產(chǎn)品信息、資源需求等內(nèi)容，向云網(wǎng)安資源統(tǒng)一管理模塊請(qǐng)求可用資源。如果現(xiàn)有資源滿足需求，將信息返回給安全服務(wù)編排模塊，如果現(xiàn)有資源不滿足，則按需進(jìn)行創(chuàng)建。安全服務(wù)編排模塊接收到信息后，根據(jù)一定的策略：比如用戶的地理位置（就近分配安全資源池，減少引流造成的網(wǎng)絡(luò)資源損耗）、資源的剩余情況（優(yōu)先分配資源使用率較低安全資源池，優(yōu)化資源利用率）、網(wǎng)絡(luò)組網(wǎng)情況（不同的組網(wǎng)情況，需要不同控制協(xié)議支持）等，進(jìn)行資源的自動(dòng)化編排調(diào)度，并通過云網(wǎng)安資源統(tǒng)一管理模塊進(jìn)行具體的配置策略下發(fā)。

·在完成資源的編排調(diào)度后，需要按照產(chǎn)品需求進(jìn)行業(yè)務(wù)的編排控制，分別調(diào)用大網(wǎng)控制器和安全資源池控制器向?qū)?yīng)的設(shè)備下發(fā)大網(wǎng)業(yè)務(wù)配置信息。安全服務(wù)編排流程如圖4所示。

通過上述架構(gòu)，實(shí)現(xiàn)資源編排和業(yè)務(wù)編排的分離，增加了系統(tǒng)的靈活性；實(shí)現(xiàn)云網(wǎng)安資源的統(tǒng)一編排、網(wǎng)絡(luò)控制和安全控制的聯(lián)動(dòng)協(xié)同，提高資源的整體利用效率。

3.1.3 SDN控制器

SDN控制器包括大網(wǎng)引流和池內(nèi)引流兩部分。

圖4 安全服務(wù)編排流程

通過控制器在相應(yīng)網(wǎng)絡(luò)設(shè)備、流分類器和vRouter等網(wǎng)元節(jié)點(diǎn)上下發(fā)引流控制信息，實(shí)現(xiàn)安全能力端到端的打通。

SDN控制器北向?qū)影踩?wù)編排模塊，通過應(yīng)用程序編程接口（API）接收編排信息，南向通過OpenFlow、Netconf等標(biāo)準(zhǔn)協(xié)議對(duì)接網(wǎng)絡(luò)設(shè)備、虛擬網(wǎng)元。

（1）池內(nèi)引流

池內(nèi)引流要求用戶的流量通過轉(zhuǎn)發(fā)流經(jīng)特定的安全原子能力，可以參考SFC架構(gòu)。

SFC服務(wù)功能鏈系統(tǒng)架構(gòu)如圖5所示，主要包含以下關(guān)鍵部分。

· SF（service function）提供特定網(wǎng)絡(luò)服務(wù)的節(jié)點(diǎn)[4]。

圖5 SFC系統(tǒng)架構(gòu)

·SFF（service function forwarder）支持SFC的轉(zhuǎn)發(fā)器，一般掛接SF節(jié)點(diǎn)，用于將報(bào)文轉(zhuǎn)發(fā)到SF節(jié)點(diǎn)。

·SFP（service function path）是SFC對(duì)應(yīng)的轉(zhuǎn)發(fā)路徑[9]。

·classifier用于將數(shù)據(jù)流分類，并轉(zhuǎn)發(fā)到對(duì)應(yīng)的SFP。

·SFC proxy：為不支持SFC的SF節(jié)點(diǎn)提供代理接入SFC的能力。

·SFC：服務(wù)功能鏈，指一組SF（服務(wù)功能）節(jié)點(diǎn)組成的序列。

安全資源池內(nèi)的引流方案中，SF通常指的是安全原子能力，SFF指的是vRouter、vSwitch等虛擬網(wǎng)元，classifier指資源池的入口設(shè)備或流量經(jīng)過的第一個(gè)虛擬網(wǎng)元。池內(nèi)SDN控制器根據(jù)池內(nèi)的網(wǎng)絡(luò)設(shè)備能力、組網(wǎng)情況以及SFC架構(gòu)，通過不同的協(xié)議框架（PBR、Networking-SFC、SRv6等），向流分類器和業(yè)務(wù)功能轉(zhuǎn)發(fā)器下發(fā)配置，實(shí)現(xiàn)用戶安全業(yè)務(wù)的按需引流。

圖6 大網(wǎng)引流模式

1）大網(wǎng)引流

大網(wǎng)引流目的是把用戶的流量牽引到安全資源池內(nèi)。大網(wǎng)引流模式如圖6所示，安全服務(wù)編排器將安全資源池路由器作為流量的結(jié)束點(diǎn)，然后對(duì)流量經(jīng)過的路徑進(jìn)行編排，到相應(yīng)的網(wǎng)絡(luò)控制器上下發(fā)引流策略。

大網(wǎng)引流還需要池內(nèi)控制器和網(wǎng)絡(luò)控制器之間的協(xié)同。以SRv6方案引流策略為例，企業(yè)客戶2經(jīng)過城域網(wǎng)和163網(wǎng)絡(luò)到達(dá)安全資源池，控制器A和控制器B分別創(chuàng)建SRv6 policy進(jìn)行引流，池內(nèi)的SRv6 policy綁定一個(gè)binding SID對(duì)外發(fā)布，作為大網(wǎng)SRv6 policy中segment list的一個(gè)SID，完成整個(gè)流量端到端的控制。

3.1.4 基礎(chǔ)設(shè)施

基礎(chǔ)設(shè)施主要包括安全資源、網(wǎng)絡(luò)資源和云計(jì)算資源。

安全資源主要包括基于硬件的安全設(shè)備以及能夠虛擬化部署的安全原子能力。隨著安全設(shè)備運(yùn)維復(fù)雜、利用率低下、網(wǎng)絡(luò)穩(wěn)定性差、投入成本較高等問題，安全能力也在逐步向虛擬化方向發(fā)展，因此安全資源池應(yīng)該能同時(shí)兼顧不同形態(tài)的安全能力。同時(shí)，需要制定標(biāo)準(zhǔn)化和規(guī)范化的安全原子能力接口，屏蔽不同廠商不同安全原子能力在服務(wù)編排調(diào)度的差異性，實(shí)現(xiàn)安全產(chǎn)品服務(wù)的快速定制開通、安全能力的按需編排調(diào)度的基礎(chǔ)。

網(wǎng)絡(luò)資源主要分為網(wǎng)絡(luò)設(shè)備和虛擬網(wǎng)元。網(wǎng)絡(luò)設(shè)備指的是具有高性能轉(zhuǎn)發(fā)的路由器、交換機(jī)，通常部署在大網(wǎng)和安全資源池的出入口。這部分設(shè)備需要保證流量的高效、穩(wěn)定、可靠，因此采用物理設(shè)備。虛擬網(wǎng)元指的是池內(nèi)的業(yè)務(wù)轉(zhuǎn)發(fā)模塊，采用NFV（網(wǎng)絡(luò)功能虛擬化）技術(shù)，實(shí)現(xiàn)軟硬件解耦，使得網(wǎng)絡(luò)服務(wù)可以快速迭代，以應(yīng)對(duì)通信技術(shù)的升級(jí)換代并降低硬件成本[5]。

云計(jì)算資源是安全能力和網(wǎng)絡(luò)功能云化承載的基礎(chǔ)。主要包含物理機(jī)、虛擬機(jī)和容器，分別用于部署虛擬化網(wǎng)絡(luò)和安全功能以及容器化的網(wǎng)絡(luò)和安全功能。

3.1.5 云網(wǎng)安資源統(tǒng)一管理

云網(wǎng)安資源的統(tǒng)一管理實(shí)現(xiàn)資源的生命周期管理、信息實(shí)時(shí)采集與控制、鏡像管理、監(jiān)控運(yùn)維等功能。

資源的生命周期管理包括了虛擬機(jī)、容器、容器集群、網(wǎng)元、安全原子能力等資源的動(dòng)態(tài)按需創(chuàng)建、刪除、遷移、擴(kuò)/縮容、災(zāi)備、狀態(tài)管理等。

信息實(shí)時(shí)采集與控制包括將各類資源的使用情況、狀態(tài)、運(yùn)維信息等數(shù)據(jù)實(shí)時(shí)采集，輔助安全服務(wù)編排模塊在進(jìn)行編排時(shí)計(jì)算資源的調(diào)度情況；對(duì)于部分安全原子能力，能夠根據(jù)用戶的業(yè)務(wù)進(jìn)行安全策略和配置的下發(fā)。

鏡像管理包括了鏡像的上傳、分發(fā)、同步、檢索、存儲(chǔ)等功能。

監(jiān)控運(yùn)維模塊能夠及時(shí)地掌握各類資源的實(shí)際使用情況，在出現(xiàn)異常、告警時(shí)能夠通過異常檢查、根因分析等手段保障用戶業(yè)務(wù)的正常運(yùn)行。

云網(wǎng)安資源的統(tǒng)一控制是實(shí)現(xiàn)資源高效利用的基礎(chǔ)，也是云網(wǎng)安深度融合的前提。

3.2 關(guān)鍵技術(shù)

3.2.1 支持多種協(xié)議的池內(nèi)引流控制

綜合考慮網(wǎng)絡(luò)設(shè)備能力、安全資源池內(nèi)組網(wǎng)情況的差異性以及引流方案的完備性和可擴(kuò)展能力，控制器支持多種協(xié)議的引流控制，在實(shí)際應(yīng)用中按需采用。

以基于PBR、Networking-SFC、SRv6共3種框架協(xié)議的引流方案進(jìn)行闡述。

（1）基于PBR的引流方案

池內(nèi)引流將用戶的流量按需引流到各個(gè)安全原子能力中，而安全原子能力本身所具備的轉(zhuǎn)發(fā)能力是不確定的，例如是否支持PBR、SRv6等協(xié)議。因此，通過vRouter掛接安全原子能力的方式實(shí)現(xiàn)流量的高效轉(zhuǎn)發(fā)。

基于策略路由（policy based routing，PBR）通過在流分類器和vRouter上面配置靜態(tài)路由實(shí)現(xiàn)流量轉(zhuǎn)發(fā)。PBR策略路由流程如圖7所示。

圖7 PBR策略路由流程

基于PBR的引流策略是一個(gè)通用的解決方案，通過靜態(tài)路由實(shí)現(xiàn)，網(wǎng)絡(luò)設(shè)備基本支持。其缺陷也比較明顯：需要在路徑上的各個(gè)節(jié)點(diǎn)都進(jìn)行配置，開發(fā)運(yùn)維復(fù)雜，特別是隨著產(chǎn)品業(yè)務(wù)的復(fù)雜度提升，維護(hù)會(huì)變得更加困難；可擴(kuò)展性受限不夠靈活，安全產(chǎn)品服務(wù)的變動(dòng)復(fù)雜；通過流量的源地址和目的地址進(jìn)行分類，無法進(jìn)行更細(xì)力度的流量控制，如區(qū)分上下行流量等。

（2）基于Networking-SFC的引流方案

Networking-SFC服務(wù)功能鏈流程如圖8所示，Networking-SFC通過動(dòng)態(tài)建立服務(wù)功能鏈?zhǔn)共煌脩舻牧髁靠梢园凑詹煌樞驅(qū)虿煌陌踩幽芰10]。在創(chuàng)建虛擬機(jī)時(shí)會(huì)創(chuàng)建多個(gè)網(wǎng)絡(luò)端口（port），選擇其中的兩個(gè)port組成port pair，一個(gè)作為流量入口（Ingress），一個(gè)作為流量出口（Engress）。將一連串的port pair組合形成一個(gè)port chain代表實(shí)際的安全服務(wù)功能鏈，通過port chain使用戶流量走特定的路徑。在實(shí)際使用中，port chain數(shù)量較多較復(fù)雜，則可以把多個(gè)port pair定義為port pair group，可以簡化操作以及實(shí)現(xiàn)多條安全服務(wù)功能鏈的負(fù)載均衡。

Networking-SFC依賴于OVS，優(yōu)點(diǎn)是不需要額外的轉(zhuǎn)發(fā)模塊，安全原子能力的端口在虛擬交換機(jī)上，可以很方便地進(jìn)行引流。但是也受限于OVS的性能、穩(wěn)定和可擴(kuò)展性。例如當(dāng)安全能力使用SR-IOV、PCI Passthrough等直通類型網(wǎng)卡，則需要物理交換機(jī)支持OpenFlow 流表。

圖8 Networking-SFC服務(wù)功能鏈流程

圖9 SRv6服務(wù)功能鏈流程

（3）基于SRv6的引流方案

SRv6服務(wù)功能鏈流程如圖9所示，分段路由支持在入節(jié)點(diǎn)顯式的編程流量轉(zhuǎn)發(fā)路徑，通過構(gòu)建分段列表使用戶的流量按照Sid的組合依次流經(jīng)各安全原子能力。考慮安全原子能力對(duì)SRv6協(xié)議的支持情況，引入SR Proxy組件。

通過SRv6的方式，只需要在安全服務(wù)功能鏈的入節(jié)點(diǎn)下發(fā)SRv6 policy即可，不需要在網(wǎng)絡(luò)節(jié)點(diǎn)中維護(hù)逐流的轉(zhuǎn)發(fā)狀態(tài)，降低了控制平面的部署難度；與底層的物理組網(wǎng)解耦，可以進(jìn)行靈活的擴(kuò)展；通過service type、traffic type等信息進(jìn)行細(xì)粒度的控制。同時(shí)，基于SRv6的引流方案也存在一定的問題：當(dāng)安全原子能力數(shù)量過多時(shí)，分段列表中SID數(shù)量較多，SRv6的報(bào)文開銷相對(duì)較大；SR proxy的引入增加了部署難度；支持SRv6協(xié)議的網(wǎng)絡(luò)設(shè)備成本較高，現(xiàn)網(wǎng)不具備條件。

3.2.2 安全原子能力的云化承載

為實(shí)現(xiàn)安全原子能力的靈活組合、安全產(chǎn)品的快速迭代，除了通過PSR模型構(gòu)建映射關(guān)系，還需要底層能力支持。

安全原子能力隨著網(wǎng)絡(luò)攻擊和安全防御手段快速變化呈現(xiàn)多樣化的趨勢；本文提出的軟件定義安全體系架構(gòu)也支持實(shí)現(xiàn)了標(biāo)準(zhǔn)化接口的安全原子能力靈活接入。可以想象，5G+時(shí)代不同安全設(shè)備廠商、不同種類的安全原子能力數(shù)量呈爆發(fā)式增長，但是安全資源池可能受資源限制無法部署所有類型的安全原子能力（特別是邊緣資源池），導(dǎo)致部分用戶無法按需定義安全產(chǎn)品。因此，本文提出了一種基于多容器集群的安全原子能力云化承載方案，實(shí)現(xiàn)安全原子能力跨集群、跨DC、跨地域的靈活組合。

安全能力云化承載方案的整體架構(gòu)如圖10所示。

圖10 安全能力云化承載方案

容器集群采用K8S作為編排管理工具。將可容器化部署的安全原子能力封裝為Pod，非容器化部署的安全能力使用代理網(wǎng)關(guān)的方式接入K8S進(jìn)行統(tǒng)一管理調(diào)度。引流所需要的vRouter等網(wǎng)元和控制器進(jìn)行按需部署。多個(gè)K8S集群通過多容器集群的管理、編排與調(diào)度模塊拉通，實(shí)現(xiàn)不同容器集群內(nèi)應(yīng)用（安全原子能力）的夸集群訪問。

通過上述方案，還可以將常用的安全原子能力進(jìn)行集群化部署（一個(gè)容器集群只部署一類安全原子能力），便于維護(hù)和訪問控制，實(shí)現(xiàn)安全原子能力的可靠性、穩(wěn)定性以及負(fù)載均衡。

4 關(guān)鍵問題

通過軟件定義安全整體架構(gòu)的設(shè)計(jì)與關(guān)鍵技術(shù)實(shí)現(xiàn)，基本驗(yàn)證了本文方案的可行性。但是在實(shí)現(xiàn)的過程中，也碰到一些問題需要進(jìn)一步討論解決。

4.1 多廠商網(wǎng)絡(luò)設(shè)備適配

SDN控制器在網(wǎng)絡(luò)設(shè)備上配置引流策略時(shí)，需要適配多個(gè)廠商的各類網(wǎng)絡(luò)設(shè)備。雖然有標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議（例如Netconf）和統(tǒng)一的數(shù)據(jù)建模語言規(guī)范（例如YANG），但是在不同網(wǎng)絡(luò)設(shè)備配置相同策略時(shí)，構(gòu)建的數(shù)據(jù)模型仍然有較大的差異性，需要開發(fā)相應(yīng)的適配器進(jìn)行適配，這給底層網(wǎng)絡(luò)設(shè)備的接入帶來了極大的挑戰(zhàn)。

現(xiàn)有方案采用SDN控制器的傳統(tǒng)架構(gòu)，在SDN控制器與網(wǎng)絡(luò)設(shè)備的南向API中間加了SAL（service abstraction layer），通過抽象邏輯和接口在一定程度上簡化了設(shè)備的適配難度，但是面對(duì)多廠商、多種類、多版本的海量設(shè)備接入，仍然沒有從根本上解決問題。

針對(duì)該問題提出了兩種思路。

· 不同網(wǎng)絡(luò)設(shè)備通常會(huì)有相應(yīng)的控制器，SDN控制器通過調(diào)用設(shè)備控制器的北向接口，實(shí)現(xiàn)引流策略配置下發(fā)。優(yōu)點(diǎn)是減少SDN控制器適配設(shè)備的工作；缺點(diǎn)是需要廠商按照規(guī)范開放北向接口，增加了購買設(shè)備控制器成本。

· 在SAL層之上構(gòu)建共享數(shù)據(jù)與結(jié)構(gòu)模塊。該模塊通過使用標(biāo)準(zhǔn)數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)建模語言，定義標(biāo)準(zhǔn)化的數(shù)據(jù)模型，使其能在不同協(xié)議、不同廠商設(shè)備的應(yīng)用程序中實(shí)現(xiàn)數(shù)據(jù)共享。設(shè)備進(jìn)行接入時(shí)，根據(jù)共享數(shù)據(jù)自動(dòng)組裝成設(shè)備可識(shí)別的配置指令，實(shí)現(xiàn)引流配置下發(fā)。優(yōu)點(diǎn)是進(jìn)一步簡化設(shè)備適配難度；限制是需要針對(duì)不同協(xié)議制定標(biāo)準(zhǔn)化的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)模型。

4.2 避免SRv6環(huán)路

池內(nèi)引流采用SRv6協(xié)議時(shí)，需要將流量引入SRv6 policy。流量的數(shù)據(jù)報(bào)文格式分為SRv6和非SRv6兩種，對(duì)于SRv6格式的報(bào)文，通過匹配SRv6 policy的BSID直接引入；對(duì)于非SRv6格式的報(bào)文，則使用路由匹配的方式引入。

安全資源池的實(shí)際部署中，考慮網(wǎng)絡(luò)設(shè)備成本通常使用一臺(tái)物理路由器同時(shí)作為流量的出入口。對(duì)于非SRv6格式報(bào)文以路由匹配方式接入，存在環(huán)路問題。當(dāng)流量進(jìn)入路由器后，查表轉(zhuǎn)發(fā)到SFF中，流經(jīng)安全原子能力后回到路由器，查表會(huì)再次轉(zhuǎn)發(fā)到SFF中，從而形成環(huán)路。

現(xiàn)有方案采取的策略是在路由器中通過PBR的方式將流量引入SRv6 policy，也引入了PBR的缺點(diǎn)，比如配置煩瑣。針對(duì)該問題提出了另一種思路：將物理路由器虛擬成兩個(gè)虛擬路由器，一個(gè)作為入口設(shè)備，一個(gè)作為出口設(shè)備。這種方案的優(yōu)點(diǎn)是邏輯比較明確，無須額外配置，限制是需要物理設(shè)備支持，并且虛擬化后設(shè)備的性能有待驗(yàn)證。

5 結(jié)束語

本文從分析了5G+時(shí)代專線業(yè)務(wù)所面臨的安全隱患和防護(hù)問題。針對(duì)上述分析，提出了一種基于云化部署的軟件定義安全服務(wù)整體架構(gòu)與方案，通過引入PBR服務(wù)建模體系可以實(shí)現(xiàn)安全服務(wù)的按需定義與設(shè)計(jì)、安全產(chǎn)品的快速定制開通，滿足專線用戶多樣化差異化的安全產(chǎn)品需求；同時(shí)基于安全能力、網(wǎng)絡(luò)功能的云化承載、安全控制和網(wǎng)絡(luò)控制的聯(lián)動(dòng)協(xié)同，云計(jì)算資源、網(wǎng)絡(luò)資源、安全資源的統(tǒng)一編排調(diào)度與管理，實(shí)現(xiàn)了云網(wǎng)安能力的深度融合，為用戶提供端到端的安全防護(hù)體系。經(jīng)過系統(tǒng)原型驗(yàn)證表明基于云化構(gòu)架的軟件定義安全編排與調(diào)度體系有助于精確化的整體解決5G專網(wǎng)用戶的業(yè)務(wù)安全威脅。

本文完成了5G+時(shí)代軟件定義安全的整體設(shè)計(jì)以及SDN控制器和云化承載等原型的實(shí)現(xiàn)，初步驗(yàn)證該方案可以有效地解決5G專網(wǎng)用戶的安全問題。未來工作主要從以下兩方面展開：繼續(xù)完善整個(gè)系統(tǒng)的實(shí)現(xiàn)，包括安全服務(wù)定義與設(shè)計(jì)、安全服務(wù)編排等模塊；結(jié)合區(qū)塊鏈、AI、大數(shù)據(jù)等新技術(shù)，使安全架構(gòu)向可信增強(qiáng)、自主防御、智能決策等方向演進(jìn)。

[1] ETSI GS NFV-EVE 011-2018.Virtualised Network Function; Specification of the Classification of Cloud Native VNF implementations[S]. 2018.

[2] 王旭亮, 劉增義, 胡雅婕, 等. 基于NFV MANO的邊緣計(jì)算多種智能化部署方案研究[J]. 電子技術(shù)應(yīng)用, 2019, 45(10): 19-24, 28.

WANG X L, LIU Z Y, HU Y J, et al. Research of various intelligent multi-access edge computing deployment solutions based on NFV MAN Chinese Full Text[J]. Application of Electronic Technique, 2019, 45(10): 19-24, 28.

[3] ETSI GR NFV-REL 011-2020.Management and Orchestration; Report on NFV-MANO software modification[S]. 2020.

[4] 錢成功. 基于SRv6的服務(wù)功能鏈系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D]. 北京: 北京郵電大學(xué), 2020.

QIAN C G. Design and implementation of service function chain system based on SRv6[D]. Beijing: Beijing University of Posts and Telecommunications, 2020.

[5] 徐玉偉, 趙寶康, 時(shí)向泉, 等. 容器化安全服務(wù)功能鏈低延遲優(yōu)化編排研究[J]. 信息網(wǎng)絡(luò)安全, 2020, 20(7): 11-18.

XU Y W, ZHAO B K, SHI X Q, et al. Low-latency optimal orchestration of containerized security service function Chain Chinese full text[J]. Netinfo Security, 2020, 20(7): 11-18.

[6] 劉國榮, 沈軍, 白景鵬. 可定義的6G安全架構(gòu)[J]. 移動(dòng)通信, 2021, 45(4): 54-57.

LIU G R, SHEN J, BAI J P. A definable 6G security Architecture Chinese full text[J]. Mobile Communications, 2021, 45(4): 54-57.

[7] 張鑒, 唐洪玉, 侯云曉. 基于軟件定義的5G網(wǎng)絡(luò)安全能力架構(gòu)[J]. 中興通訊技術(shù), 2019, 25(4): 25-29.

ZHANG J, TANG H Y, HOU Y X. Security capability architecture of software-defined 5G Network Chinese full text[J]. ZTE Technology Journal, 2019, 25(4): 25-29.

[8] 張華, 岳皓. 基于SDN的港口安全資源池建設(shè)[J]. 網(wǎng)絡(luò)空間安全, 2020, 11(3): 39-43.

ZHANG H, YUE H. Construction of port security resource pool based on SDN Chinese Full Text[J]. Cyberspace Security, 2020, 11(3): 39-43.

[9] 李暢, 徐琪, 李光磊, 等. 基于服務(wù)功能鏈的多域安全服務(wù)按需適配方法[J]. 計(jì)算機(jī)工程與應(yīng)用, 2018, 54(21): 56-64, 119.

LI C, XU Q, LI G L, et al. On-demand adaptation method for multi-domain security services based on service function chaining Chinese Full Text[J]. Computer Engineering and Applications, 2018, 54(21): 56-64, 119.

[10] 華彥裴. 智慧協(xié)同網(wǎng)絡(luò)下基于流量感知的功能族群適配機(jī)制設(shè)計(jì)與實(shí)現(xiàn)[D]. 北京: 北京交通大學(xué), 2020.

HUA Y P. Design and implementation of functional group adaptation mechanism based on traffic awareness in smart collaborative network[D]. Beijing: Beijing Jiaotong University, 2020.

Research and practice of software-defined security technology architecture in the 5G+ era

QUAN Shuo, WANG Xuliang, ZHU Zeya

Research Institute of China Telecom Co., Ltd., Beijing 102209, China

Cloud network security has become a strong need under the background of the new infrastructure and digital economy, while cloud network integration security has been defined as an ongoing trends. Initially, three major types of problems facing 5G private network users were presented in providing overall security services, and an overall software-defined security architecture in the 5G+ era was proposed. Furthermore, the corresponding prototype system design and implementation was discussed based on this architecture. At the end, the verification shows that the software-defined security orchestration and scheduling system based on the cloud-based architecture helps to accurately solve the overall business security threats and hidden dangers of 5G private network enterprise customers in the 5G+ era, providing systematic reference value for subsequent research.

software-defined security, service function chain, network function virtualization

TP393

A

10.11959/j.issn.1000?0801.2021277

2021?10?20；

2021?12?10

全碩（1991?），男，中國電信股份有限公司研究院工程師，主要研究方向?yàn)樵凭W(wǎng)融合、云計(jì)算與大數(shù)據(jù)和云網(wǎng)運(yùn)營等。

王旭亮（1986?），中國電信股份有限公司研究院高級(jí)工程師，主要研究方向?yàn)樵凭W(wǎng)融合技術(shù)、云數(shù)據(jù)中心網(wǎng)絡(luò)和邊緣計(jì)算等。

朱澤亞（1995?），男，中國電信股份有限公司研究院工程師，主要研究方向?yàn)樵凭W(wǎng)融合技術(shù)、云網(wǎng)運(yùn)營技術(shù)和大數(shù)據(jù)與云計(jì)算等。