一种基于SDN的安全服务链系统及数据包匹配转发方法技术方案

本发明专利技术公开基于SDN的安全服务链系统，包括控制平面、流分类节点、服务节点和服务链，所述控制平面主要包括SDN服务链的核心控制部件SDN控制器和OpenFlow1.3交换机，SDN控制器根据用户需求，创建服务链，并部署服务链上的每个服务节点的业务逻辑；控制器将需要进入服务链处理的用户报文特征下发至OpenFlow1.3交换机，OpenFlow1.3交换机根据相应的报文特征将数据报文引入服务链。还公开了基于SDN的安全服务链系统的数据包匹配转发方法。基于SDN技术，构建、部署网络服务链，并通过信息的反馈，实现网络可视化与服务链联动，从而使其在海量数据和多服务节点的前提下，具有较高的数据转发效率和较低的处理时间，以提升网络监控效率。本发明专利技术设计了基于SDN的服务链架构，并提出该架构下服务链数据包匹配转发流程。

A SDN-based Security Service Chain System and Matching and Forwarding Method of Packets

The present invention discloses a SDN-based security service chain system, including control plane, flow classification node, service node and service chain. The control plane mainly includes SDN controller and OpenFlow 1.3 switch, which are the core control parts of SDN service chain. SDN controller creates service chain according to user's needs and deploys business logic of each service node in the service chain. User message characteristics processed into service chain are sent to OpenFlow 1.3 switch. OpenFlow 1.3 switch introduces data message into service chain according to corresponding message characteristics. The SDN-based data packet matching and forwarding method for secure service chain system is also disclosed. Based on SDN technology, network service chain is constructed and deployed, and network visualization and service chain linkage are realized through feedback of information, so that it has higher data forwarding efficiency and lower processing time under the premise of massive data and multi-service nodes, in order to improve the efficiency of network monitoring. The invention designs a service chain architecture based on SDN, and proposes a matching and forwarding process of data packets in the service chain under the architecture.

【技术实现步骤摘要】
一种基于SDN的安全服务链系统及数据包匹配转发方法
本专利技术属于网络服务领域，主要涉及一种基于SDN的安全服务链系统及数据包匹配转发方法。
技术介绍
电子商务、数据中心、社交网络等多样化网络业务的迅猛发展，向传统安全服务模式提出了严峻挑战，表现为：1)安全功能实现方式的耦合性：现有安全功能，如防火墙、IDS等大都基于硬件中间盒子实现，其在功能上具有专属私有性，建设所需成本较高、可扩展性差、灵活性不足、运用中难以统一管理。2)安全功能部署位置的静态性：现有安全功能大都以静态方式部署在网络的关键位置，拓扑依赖严重，这种僵化的部署方式使其难以根据业务请求的服务构成进行重复使用或者动态重构。同时，《网络安全法》规定网络运营者应当制定网络安全事件应急预案，及时处理系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。在新的网络架构下，如何利用新的技术将安全业务更好的融合进来，从而提供便捷、安全的网络架构，是各方面临的难题。当前，软件定义网络(SoftwareDefinedNetworking,SDN)兴起为探寻新型网络安全服务模式提供了支撑。SDN将控制功能从传统的分布式网络设备中迁移到集中的控制平台，进而通过开放可编程的软件模式来实现网络的自动控制。通过SDN控制器的控制，可以引导转发流量自动穿过服务节点，实现拓扑无关的、灵活、便捷、高效、安全地调配转发流量到服务节点上进行安全业务的处理。目前，已经有一些学者提出了一些动态服务链的部署方案。2014年，Blendi提出了一种新的上层概念和架构，利用SDN将网络中的服务整合到服务链中，但该文没有关注网络管理员对服务的个性化定制需求。2013年，张扬提出STEERING，这是一个动态可扩展的框架，管理网络中通过多个辅助设备的流量。采用基于策略的路由方法，在SDN的顶部，STEERING能够支持有效转发和大规模的应用的扩展。利用软件定义网络(softwaredefinednetworking，SDN)集中式管控的优势来实现中间件的部署和管理，其采用OpenFlow1.1多级流表对流表中metadata(元数据)域进行编码，设定需要的服务类型和服务实例，从而将流量路由至相应的中间件。该方法考虑了通过改变中间件部署优化服务路径，但该方法对中间件可能会造成的数据分组头修改行为未作考虑。2015年，Martini提出了一个面向服务的SDN控制器，允许对数据传输路径的可编程性提供通过动态建立虚拟中间件功能的序列，从而完成在NGSON中适应网络服务链的部署。2013年，Qazi利用OpenFlow1.0流表中一些匹配域(VLAN、IPToS等)，在交换机为服务链数据分组增加标签标识，以保证服务链策略正确执行，并分析数据分组前后进出中间件的相似性以解决中间件造成的数据分组头修改行为，但是这种方法需要控制器收集数据分组进行相似性比较，有较高的复杂性且需要较高的匹配精度。现有技术主要是利用OpenFlow交换机流表特性，搭建服务器架构，部署服务链系统。有些研究比较侧重单一的计算机技术应用，缺乏实用控制技术的支持配合，占用了过多的服务资源，致使系统服务潜能得不到充分挖掘，难以实现网络可视化与服务链控制联动，使得系统的安全服务能力难以有效提高。
技术实现思路
本专利技术的目的是为克服现有技术的不足,提供一种基于SDN的安全服务链系统及数据包匹配转发方法。本专利技术为解决传统安全业务的部署中，网络设备之间的耦合性大、拓扑依赖严重，安全设备无法池化、扩展性差，以及安全设备的能力无法在多业务间共享的技术问题，采用的技术方案是：基于SDN的安全服务链系统，包括控制平面、流分类节点、服务节点和服务链，所述控制平面主要包括SDN服务链的核心控制部件SDN控制器和OpenFlow1.3交换机，SDN控制器根据用户需求，创建服务链，并部署服务链上的每个服务节点的业务逻辑；控制器将需要进入服务链处理的用户报文特征下发至OpenFlow1.3交换机，OpenFlow1.3交换机根据相应的报文特征将数据报文引入服务链。所述控制平面部署跨层的控制器架构：第一层由“主-从”顶层控制器及负载均衡模块构成；第二层是底层控制器集群系；第三层是数据共享系统；负载均衡模块通过定时收集各个底层控制器的负载状态对交换机在控制器间的迁移过程进行编排，控制器对交换机的管理按照OpenFlow1.3中协议执行。所述SDN控制器为OpenDayLight控制器。所述流分类节点为原始数据报文的接入节点，按照流分类规则匹配数据报文，对报文做服务链封装，并将其转发到服务链进行处理。所述服务节点作为资源被分配使用，物理位置可以是任意的、分散的，通过SDN对服务链的定义和引流串联，完成预定义的工作；服务节点主要包括防火墙、负载均衡、入侵检测的资源/资源池等。本专利技术的第二个技术方案是基于SDN的安全服务链系统的数据包匹配转发方法，包括以下步骤：1)数据包上送控制器处理时，在控制器上解析Packet-In报文，根据报文目的地址确定是虚拟网络内的东西向流量还是通往传统网络的南北向流量；2)如果是南北向流量则将报文转发到网关设备，报文后续的处理由网关设备负责；如果是东西向流量，从收到的Packet-In报文中提取源端口，并根据源端口确定源subnet、network、router信息；同时根据Packet-In报文的目的IP地址获取目的端口，并根据目的端口确定目的subnet、network、router信息；3)对于东西向流量，根据报文特征进行服务链匹配：(1)首先使用源端口和目的端口的属性与服务链配置进行匹配，如果找到匹配的服务链，则下发导流表；如果存在匹配的服务链，则控制器会确定服务链所在交换机标签，并向交换机和后续处理节点下发流表项；当匹配到多条服务链时，按照最精确匹配的原则确定实际使用的服务链配置；(2)如果未找到匹配的服务链，则下发东西向卸载的流表项(即非服务链转发)。有益效果：基于SDN技术，构建、部署网络服务链，并通过信息的反馈，实现网络可视化与服务链联动，从而使其在海量数据和多服务节点的前提下，具有较高的数据转发效率和较低的处理时间，以提升网络监控效率。本专利技术设计了基于SDN的服务链架构，并提出该架构下服务链数据包匹配转发流程。附图说明图1是服务链架构图。图2是数据包匹配转发流程图。图3是SDN跨层控制架构图。具体实施方式为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。在园区网络中，对于业务资源的分配通常需要同时考虑应用层资源主要包括数据中心服务器的内存，占用率，虚拟机资源等)与网络层资源(包括底层链路等)，此时需实现一种架构，实现应用层资源和网络层资源联合调度，实现全局统一优化，增加资源利用率和网络可靠性。将防火墙、入侵检测和负载均衡等服务节点关联成链。根据各个服务的特点，将数据流的路径动态优化服务放在SDN控制器中来运行，恶意网站检测、DDoS攻击、DNS防篆改，DNS域名解析以及负载均衡单独放在不同的服务点上。服务链架构见图1所示。1)控制平面，其中主要包括SDN服务链的核心控制部件SDN控制器和OpenFlow1.3交换机。本专利技术中的SDN控制器为OpenDayLight控制本文档来自技高网...

【技术保护点】
1.一种基于SDN的安全服务链系统，其特征在于，包括控制平面、流分类节点、服务节点和服务链，所述控制平面主要包括SDN服务链的核心控制部件SDN控制器和OpenFlow1.3交换机，SDN控制器根据用户需求，创建服务链，并部署服务链上的每个服务节点的业务逻辑；控制器将需要进入服务链处理的用户报文特征下发至OpenFlow1.3交换机，OpenFlow1.3交换机根据相应的报文特征将数据报文引入服务链。

【技术特征摘要】
1.一种基于SDN的安全服务链系统，其特征在于，包括控制平面、流分类节点、服务节点和服务链，所述控制平面主要包括SDN服务链的核心控制部件SDN控制器和OpenFlow1.3交换机，SDN控制器根据用户需求，创建服务链，并部署服务链上的每个服务节点的业务逻辑；控制器将需要进入服务链处理的用户报文特征下发至OpenFlow1.3交换机，OpenFlow1.3交换机根据相应的报文特征将数据报文引入服务链。2.根据权利要求1所述的基于SDN的安全服务链系统，其特征在于，所述控制平面部署跨层的控制器架构：第一层由“主-从”顶层控制器及负载均衡模块构成；第二层是底层控制器集群系；第三层是数据共享系统；负载均衡模块通过定时收集各个底层控制器的负载状态对交换机在控制器间的迁移过程进行编排，控制器对交换机的管理按照OpenFlow1.3中协议执行。3.根据权利要求1所述的基于SDN的安全服务链系统，其特征在于，所述SDN控制器为OpenDayLight控制器。4.根据权利要求1所述的基于SDN的安全服务链系统，其特征在于，所述流分类节点为原始数据报文的接入节点，按照流分类规则匹配数据报文，对报文做服务链封装，并将其转发到服务链进行处理。5.根据权利要求1所述的基于SDN的安全服务链系统，...

【专利技术属性】
技术研发人员：李国燕，王新强，李凯心，
申请(专利权)人：天津城建大学，天津中德应用技术大学，
类型：发明
国别省市：天津,12