The invention discloses a pseudo-defense architecture and method for SDN/NFV service deployment, which includes user service request layer, control layer and network layer. The pseudo-defense method mainly designs the key part of control layer, and adds execution pool, decision maker and scheduler to the control layer. Compared with traditional service deployment methods, this method can more effectively defend against foreign attacks. The method is to use dynamic heterogeneous redundancy architecture to implement service deployment process, thus increasing the difficulty of attack and improving the security of service deployment.
【技术实现步骤摘要】
一种SDN/NFV服务部署的拟态防御构架及方法
本专利技术涉及服务部署和拟态安全防御领域,具体涉及一种SDN/NFV服务部署的拟态防御构架及方法。
技术介绍
服务功能链(ServiceFunctionChain,SFC)是一组有序的服务功能的集合。对于传统的服务功能链部署,首先根据用户下发的业务请求得出具体的服务功能需求,生成最初的服务功能逻辑链,再将具体的物理设备手动部署到网络中。在传统的网络架构中,像网络地址转换(NAT)、防火墙(FW)、入侵检测(IDS)均是使用专业的物理设备来实现的,但是他们价格昂贵,升级困难,摆放位置固定。因此,网络管理人员需要对物理网络的部署方式进行复杂、严谨的设计。当网络拓扑发生变化时很难及时地进行调整,无法灵活调用服务功能,造成不必要的网络开销和潜在的利润损失。随着软件定义网络(SoftwareDefinedNetwork,SDN)技术和网络功能虚拟化(NetworkFunctionVirtualization,NFV)技术的出现和运用,服务功能链的部署又重新焕发出了生机。基于SDN/NFV技术进行服务功能链部署,NFV技术能够虚拟化常见的物理设备,并且能够为各种网络服务功能构建资源池。SDN技术通过将网络设备的控制与转发进行分离,可以动态的、集中地调度流量的路径,从而提供定制化和灵活的对接。用户和运营商可以通过NFV技术识别业务的需求,创建服务功能链上的各个虚拟服务功能(VirtualNetworkFunction,VNF),并且可以自动地配置这些虚拟服务功能的业务逻辑,再通过SDN控制器自动地引导相关业务流量依次、有序 ...
【技术保护点】
1.一种SDN/NFV服务部署的拟态防御构架,其特征在于,包括:用户业务请求层,用于用户下发服务功能链请求;控制层,控制层主要包括执行体池、调度器、判决器和南向接口协议栈,调度器动态随机的从执行体池中选择M个执行体进行工作,同时,调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体;执行体进行NFV服务编排与转发规则生成工作,最后将形成的OpenFlow流表发送到判决器中进行判决;判决器对M份OpenFlow流表进行判决,判决出相对正确的结果;根据统计的结果,判决器在正常的执行体集合中随机选择一个执行体,通过被选执行体的SDN控制器与底层的网络设备进行连接,由该SDN控制器向网络层下发流表,再将有执行体发生异常的消息发送给调度器;调度器对异常执行体进行下线或清洗工作;网络层,网络层与控制层之间通过南向接口协议进行通信,用于形成满足用户服务功能链请求的服务功能链。
【技术特征摘要】
1.一种SDN/NFV服务部署的拟态防御构架,其特征在于,包括:用户业务请求层,用于用户下发服务功能链请求;控制层,控制层主要包括执行体池、调度器、判决器和南向接口协议栈,调度器动态随机的从执行体池中选择M个执行体进行工作,同时,调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体;执行体进行NFV服务编排与转发规则生成工作,最后将形成的OpenFlow流表发送到判决器中进行判决;判决器对M份OpenFlow流表进行判决,判决出相对正确的结果;根据统计的结果,判决器在正常的执行体集合中随机选择一个执行体,通过被选执行体的SDN控制器与底层的网络设备进行连接,由该SDN控制器向网络层下发流表,再将有执行体发生异常的消息发送给调度器;调度器对异常执行体进行下线或清洗工作;网络层,网络层与控制层之间通过南向接口协议进行通信,用于形成满足用户服务功能链请求的服务功能链。2.根据权利要求1所述的一种SDN/NFV服务部署的拟态防御构架,其特征在于,所述网络层划分为物理设备层和虚拟服务功能层,物理设备层主要包括交换机、服务器,虚拟服务功能层主要包括若干虚拟服务功能。3.根据权利要求2所述的一种SDN/NFV服务部署的拟态防御构架,其特征在于,所述虚拟服务功能包括网络地址转换(NAT)、防火墙(FW)、入侵检测(IDS)、深度包检测(DPI)、负载均衡(LB)。4.根据权利要求1所述的一种SDN/NFV服务部署的拟态防御构架,其特征在于,所述执行体池由多个执行体构成,执行体...
【专利技术属性】
技术研发人员:汤中运,李传煌,王伟明,任云方,
申请(专利权)人:浙江工商大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。