一种SDN/NFV服务部署的拟态防御构架及方法技术

本发明专利技术公开了一种SDN/NFV服务部署的拟态防御构架及方法，该构架包括用户业务请求层、控制层以及网络层，而本方法主要对控制层这一关键部分进行拟态设计，在控制层中增加了执行体池、判决器和调度器。相比于传统服务部署方法，该方法能够更加有效的防御外来攻击。该方法为：利用动态异构冗余架构来实现服务部署过程，从而增大攻击难度，提高服务部署的安全性。

A Mock Defense Architecture and Method for SDN/NFV Service Deployment

The invention discloses a pseudo-defense architecture and method for SDN/NFV service deployment, which includes user service request layer, control layer and network layer. The pseudo-defense method mainly designs the key part of control layer, and adds execution pool, decision maker and scheduler to the control layer. Compared with traditional service deployment methods, this method can more effectively defend against foreign attacks. The method is to use dynamic heterogeneous redundancy architecture to implement service deployment process, thus increasing the difficulty of attack and improving the security of service deployment.

【技术实现步骤摘要】
一种SDN/NFV服务部署的拟态防御构架及方法
本专利技术涉及服务部署和拟态安全防御领域，具体涉及一种SDN/NFV服务部署的拟态防御构架及方法。
技术介绍
服务功能链(ServiceFunctionChain,SFC)是一组有序的服务功能的集合。对于传统的服务功能链部署，首先根据用户下发的业务请求得出具体的服务功能需求，生成最初的服务功能逻辑链，再将具体的物理设备手动部署到网络中。在传统的网络架构中，像网络地址转换(NAT)、防火墙(FW)、入侵检测(IDS)均是使用专业的物理设备来实现的，但是他们价格昂贵，升级困难，摆放位置固定。因此，网络管理人员需要对物理网络的部署方式进行复杂、严谨的设计。当网络拓扑发生变化时很难及时地进行调整，无法灵活调用服务功能，造成不必要的网络开销和潜在的利润损失。随着软件定义网络(SoftwareDefinedNetwork，SDN)技术和网络功能虚拟化(NetworkFunctionVirtualization，NFV)技术的出现和运用，服务功能链的部署又重新焕发出了生机。基于SDN/NFV技术进行服务功能链部署，NFV技术能够虚拟化常见的物理设备，并且能够为各种网络服务功能构建资源池。SDN技术通过将网络设备的控制与转发进行分离，可以动态的、集中地调度流量的路径，从而提供定制化和灵活的对接。用户和运营商可以通过NFV技术识别业务的需求，创建服务功能链上的各个虚拟服务功能(VirtualNetworkFunction，VNF)，并且可以自动地配置这些虚拟服务功能的业务逻辑，再通过SDN控制器自动地引导相关业务流量依次、有序的通过这些虚拟服务功能，来完成服务功能链的创建。当下越来越多的场景开始使用基于SDN和NFV技术的服务功能链部署，而网络空间的威胁也越来越多，各种网络系统被攻击与信息泄露事件屡见不鲜。服务部署是实现网络业务的关键，若在其过程中被黑客攻击，将造成较大影响和损失。其中，服务编排是服务功能链部署过程中的核心步骤，类似于整个服务部署的中心控制模块。它主要是通过NFV编排器对服务路径与服务功能进行编排和管理，形成逻辑上的服务功能链。SDN控制器将服务功能链转化成对应的转发规则，引导流量经过编排好的服务功能。最后将转发规则下发至网络层从而实现用户的服务功能链请求。在整个服务部署过程中，可能会出现如下安全问题：(1)攻击者篡改服务编排结果，致使服务路径发生改变，或选取错误的服务功能，导致形成的服务功能链与用户的要求不一致，甚至将攻击者自身的服务器伪装成服务功能加入服务功能链，从而导致部署失败，业务流量被截取。(2)攻击者可能会直接攻击SDN控制器的转发规则生成过程，从而篡改转发规则，导致网络层的流量无法通过正确的服务功能，甚至影响整个网络的正常运行。(3)黑客对服务部署系统直接进行DDOS或其他资源消耗式攻击，导致SDN控制器与NFV编排器非常缓慢地处理消息，导致服务部署过程变得非常得缓慢甚至直接失败。(4)当SDN控制器转发规则下发至网络层交换机的传输过程中可能会受到攻击者可能会在下发过程中截取、篡改或者伪造转发规则。(5)服务器的VNF实例化过程可能会受到攻击者的攻击，即攻击者直接对底层服务器或实例服务功能进行攻击。其中，第(4)(5)的安全问题分别是普遍的SDN中南向接口协议安全问题与服务器安全问题，已有较多相关研究与防御方法。
技术实现思路
本专利技术为了弥补传统服务部署方法安全防御的不足，提出了一种SDN/NFV服务部署的拟态防御构架及方法，本专利技术主要面对服务部署过程中关键步骤的安全问题，根据邬江兴院士的拟态安全防御思想研究提出了一种基于动态异构冗余模型(DynamicHeterogeneousRedundancy,DHR)的服务功能链部署拟态防御体系架构，并结合服务部署的实际需求进行关键技术的改进，从而实现服务部署过程的随机主动防御机制。本专利技术解决其技术问题所采用的技术方案如下：一种SDN/NFV服务部署的拟态防御构架，包括：用户业务请求层，用于用户下发服务功能链请求；控制层，控制层主要包括执行体池、调度器、判决器和南向接口协议栈，调度器动态随机的从执行体池中选择M个执行体进行工作，同时，调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体；执行体进行NFV服务编排与转发规则生成工作，最后将形成的OpenFlow流表发送到判决器中进行判决；判决器对M份OpenFlow流表进行判决，判决出相对正确的结果；根据统计的结果，判决器在正常的执行体集合中随机选择一个执行体，通过被选执行体的SDN控制器与底层的网络设备进行连接，由该SDN控制器向网络层下发流表，再将有执行体发生异常的消息发送给调度器；调度器对异常执行体进行下线或清洗工作；网络层，网络层与控制层之间通过南向接口协议进行通信，用于形成满足用户服务功能链请求的服务功能链。进一步的，所述网络层划分为物理设备层和虚拟服务功能层，物理设备层主要包括交换机、服务器，虚拟服务功能层主要包括若干虚拟服务功能。进一步的，所述虚拟服务功能包括网络地址转换(NAT)、防火墙(FW)、入侵检测(IDS)、深度包检测(DPI)、负载均衡(LB)。进一步的，所述执行体池由多个执行体构成，执行体的异构性是采用操作系统、SDN控制器以及NFV编排器的多样性来实现的，并且将不同的操作系统、SDN控制器以及NFV编排器通过不同方式的组合来增加执行体的异构性。本专利技术的另一目的是提供一种SDN/NFV服务部署的拟态防御方法，包括如下步骤：(1)用户向控制层下发一个服务功能链请求；(2)调度器动态随机的从执行体池中选择M个执行体进行工作，同时，调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体；(3)执行体进行NFV服务编排与转发规则生成工作，最后将形成的OpenFlow流表发送到判决器中进行判决；(4)判决器对M份OpenFlow流表进行判决，判决出相对正确的结果；(5)根据统计的结果，判决器在正常的执行体集合中随机选择一个执行体，通过被选执行体的SDN控制器与底层的网络设备进行连接，由该SDN控制器向网络层下发流表，再将有执行体发生异常的消息发送给调度器；(6)调度器对异常执行体进行下线或清洗工作；(7)网络层接收到控制层下发的Openflow流表，形成满足用户服务功能链请求的服务功能链。进一步的，所述M为奇数。进一步的，判决器进行流表判决的方法为：判决器对每个执行体发送来的M＝2m+1份Openflow流表中相同的流表进行统计工作，根据统计的结果，若统计出相同的流表大于m+1份，则为步骤(4)中所述的判决器最终相对正确的结果。与传统服务部署方法相比，本专利技术的有益效果如下：利用该方法可基本做到服务部署关键流程的防御，执行体的异构性与动态随机调度使得对增加了攻击者对系统扫描与漏洞挖掘难度。判决器随机选择控制器与网络层的连接，也对外呈现不确定性。若攻击者突破动态异构的阻碍，成功实现对某个或者相对多个执行体的入侵，即便对服务部署结果进行篡改也无法影响最终的结果，除非将执行体中的大部分均实现攻击，而执行体之间保持一定的异构度，这将大大增加攻击者的攻击难度与开销。附图说明图1是动态异构冗余模型；图2是SDN/N本文档来自技高网...

【技术保护点】
1.一种SDN/NFV服务部署的拟态防御构架，其特征在于，包括：用户业务请求层，用于用户下发服务功能链请求；控制层，控制层主要包括执行体池、调度器、判决器和南向接口协议栈，调度器动态随机的从执行体池中选择M个执行体进行工作，同时，调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体；执行体进行NFV服务编排与转发规则生成工作，最后将形成的OpenFlow流表发送到判决器中进行判决；判决器对M份OpenFlow流表进行判决，判决出相对正确的结果；根据统计的结果，判决器在正常的执行体集合中随机选择一个执行体，通过被选执行体的SDN控制器与底层的网络设备进行连接，由该SDN控制器向网络层下发流表，再将有执行体发生异常的消息发送给调度器；调度器对异常执行体进行下线或清洗工作；网络层，网络层与控制层之间通过南向接口协议进行通信，用于形成满足用户服务功能链请求的服务功能链。

【技术特征摘要】
1.一种SDN/NFV服务部署的拟态防御构架，其特征在于，包括：用户业务请求层，用于用户下发服务功能链请求；控制层，控制层主要包括执行体池、调度器、判决器和南向接口协议栈，调度器动态随机的从执行体池中选择M个执行体进行工作，同时，调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体；执行体进行NFV服务编排与转发规则生成工作，最后将形成的OpenFlow流表发送到判决器中进行判决；判决器对M份OpenFlow流表进行判决，判决出相对正确的结果；根据统计的结果，判决器在正常的执行体集合中随机选择一个执行体，通过被选执行体的SDN控制器与底层的网络设备进行连接，由该SDN控制器向网络层下发流表，再将有执行体发生异常的消息发送给调度器；调度器对异常执行体进行下线或清洗工作；网络层，网络层与控制层之间通过南向接口协议进行通信，用于形成满足用户服务功能链请求的服务功能链。2.根据权利要求1所述的一种SDN/NFV服务部署的拟态防御构架，其特征在于，所述网络层划分为物理设备层和虚拟服务功能层，物理设备层主要包括交换机、服务器，虚拟服务功能层主要包括若干虚拟服务功能。3.根据权利要求2所述的一种SDN/NFV服务部署的拟态防御构架，其特征在于，所述虚拟服务功能包括网络地址转换(NAT)、防火墙(FW)、入侵检测(IDS)、深度包检测(DPI)、负载均衡(LB)。4.根据权利要求1所述的一种SDN/NFV服务部署的拟态防御构架，其特征在于，所述执行体池由多个执行体构成，执行体...

【专利技术属性】
技术研发人员：汤中运，李传煌，王伟明，任云方，
申请(专利权)人：浙江工商大学，
类型：发明
国别省市：浙江,33