一種基于sdn控制器的安全流過濾器及過濾方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)領(lǐng)域����,尤其涉及軟件定義網(wǎng)絡(luò)(SDN)和網(wǎng)絡(luò)安全控制領(lǐng)域����。
【背景技術(shù)】
[0002]對(duì)于創(chuàng)新的新技術(shù)而言,人們很容易忽略安全問題�����。發(fā)明人在部署SDN時(shí)注意到幾個(gè)安全問題�,使得SDN技術(shù)面臨諸多挑戰(zhàn),如惡意數(shù)據(jù)流��、交換機(jī)流表篡改,應(yīng)用程序漏洞��、數(shù)據(jù)管理機(jī)密性與可用性威脅等���,這些都是傳統(tǒng)網(wǎng)絡(luò)中常見的攻擊,在SDN網(wǎng)絡(luò)中依然存在�。大多數(shù)軟件定義網(wǎng)絡(luò)的安全問題主要圍繞控制器本身,控制器可以被認(rèn)為是交換/路由的“大腦”���,它允許來自每個(gè)系統(tǒng)的控制平面得到集中管理�����?�?刂破饕坏┦?����,整個(gè)網(wǎng)絡(luò)就會(huì)崩潰��。對(duì)于安全管理人員而言��,SDN的最大挑戰(zhàn)是不惜一切代價(jià)地保護(hù)控制器?,F(xiàn)在“大腦”已經(jīng)從路由器或交換機(jī)中取出,并使用新的控制器來替代�����。一個(gè)很重要的安全問題是了解和審核誰(shuí)訪問過控制器以及控制器在網(wǎng)絡(luò)中的位置����,訪問控制器可能讓攻擊者完全控制,因此�,必須保護(hù)控制器的安全。
[0003]網(wǎng)絡(luò)信息在控制器上的維護(hù)���,通常依賴開辟專門的存儲(chǔ)模塊���。控制器及應(yīng)用程序根據(jù)網(wǎng)絡(luò)狀態(tài)下發(fā)策略��?���?刂破骶S護(hù)的網(wǎng)絡(luò)信息分為靜態(tài)和動(dòng)態(tài)兩種。由于可控制器根據(jù)網(wǎng)絡(luò)信息在網(wǎng)絡(luò)中執(zhí)行相應(yīng)功能�,當(dāng)信息被非法寫入時(shí)才會(huì)對(duì)網(wǎng)絡(luò)傳輸產(chǎn)生破壞,因此控制器上網(wǎng)絡(luò)信息維護(hù)的安全問題主要指數(shù)據(jù)完整性和可用性被破壞�����。數(shù)據(jù)信息被惡意程序或者攻擊者篡改,是傳統(tǒng)網(wǎng)絡(luò)中常見的問題�。在多控制器系統(tǒng)工作時(shí),被篡改的控制器可以通過東西向接口修改其他控制器的信息�,也可通過南北向的接口修改SDN交換機(jī)和應(yīng)用程序的信息,擾亂正確的控制邏輯和用戶數(shù)據(jù)��。多控制器協(xié)同管理是存在數(shù)據(jù)可用性問題�����,比如����,一個(gè)控制器節(jié)點(diǎn)出現(xiàn)錯(cuò)誤導(dǎo)致與之協(xié)商的所有控制器都得到錯(cuò)誤的網(wǎng)絡(luò)信息�����,影響最終數(shù)據(jù)流向的策略��。應(yīng)用程序通過控制器提供的北向接口接入控制器����,調(diào)用控制器管理資源,如果沒有身份認(rèn)證、權(quán)限管理���、日志管理等功能模塊�����,依然會(huì)出現(xiàn)傳統(tǒng)網(wǎng)絡(luò)中常見的非法應(yīng)用程序接入����、應(yīng)用程序越權(quán)操作��、繞過審計(jì)追蹤等安全問題�。此外,多個(gè)應(yīng)用程序同時(shí)運(yùn)行時(shí)可能由于控制邏輯完備性的缺失�,導(dǎo)致策略不一致,主要表現(xiàn)為策略沖突和局部策略失效等冋題����。
[0004]攻擊者可能會(huì)將攻擊目標(biāo)鎖定為網(wǎng)絡(luò)中的網(wǎng)元。理論上�,攻擊者能夠非法獲取對(duì)網(wǎng)絡(luò)的物理或虛擬訪問權(quán),或是威脅到已與SDN連接的主機(jī)�,然后發(fā)動(dòng)攻擊破壞網(wǎng)元的穩(wěn)定性。這種攻擊類似于拒絕服務(wù)(DoS)攻擊���,或是一種企圖攻擊網(wǎng)元的模糊攻擊����。目前控制器與網(wǎng)元之間的通信使用了大量的API(應(yīng)用程序編程接口)和通信協(xié)議。SDN南向通信可能會(huì)用到OpenFlow(OF)�、0pen vSwitch數(shù)據(jù)庫(kù)管理協(xié)議(OVSDB)、路徑計(jì)算單元通信協(xié)議(PCEP)�、路由系統(tǒng)接口(I2RS)、BGP-LS�、0penStack Neutron、開放管理基礎(chǔ)設(shè)施(OMI)�����、卩卯口61:���、016;1^��、0丨31116丨61'���、1^(1�;[118�����、他1'(]0即、可擴(kuò)展消息處理現(xiàn)場(chǎng)協(xié)議(XMPP )�����、定位/標(biāo)識(shí)分離協(xié)議(LISP)��、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)�����、CL1��、嵌入式事件管理器(EEM)����、思科onePK����、應(yīng)用中心基礎(chǔ)設(shè)施(ACI)�����、0pf Iex等協(xié)議�。這些協(xié)議各自都有著一些確保與網(wǎng)絡(luò)單元通信安全的方法�。盡管如此����,許多協(xié)議都非常新���,部署者們可能并沒有以最安全的方式設(shè)置它們。
[0005]在目前的SDN安全攻擊中,攻擊者可以利用這些協(xié)議嘗試著將一些新流實(shí)例化至設(shè)備的流表中���。攻擊者會(huì)企圖偽造一些新流,以讓不應(yīng)當(dāng)通過網(wǎng)絡(luò)的流量被允許通過。盡管流量定向負(fù)責(zé)指導(dǎo)流量通過防火墻�,但如果攻擊者能夠創(chuàng)建一個(gè)可繞開流量定向的流,攻擊者將會(huì)攻擊成功�����。如果攻擊者能夠控制流量轉(zhuǎn)向自己設(shè)定的方向,那么他們可能會(huì)嘗試?yán)眠@一功能對(duì)流量進(jìn)行嗅探����,然后發(fā)動(dòng)“中間人(MITM)”攻擊。
[0006]由于目前SDN網(wǎng)絡(luò)的安全性管理使用的技術(shù)大多和傳統(tǒng)網(wǎng)絡(luò)的技術(shù)大同小異��,還沒有形成專門針對(duì)SDN網(wǎng)絡(luò)進(jìn)行防護(hù)的技術(shù)和設(shè)備�,而傳統(tǒng)的技術(shù)過于復(fù)雜冗余,維護(hù)成本也非常的高�,在目前SDN網(wǎng)絡(luò)還不具有相當(dāng)規(guī)模的情況下,適用程度不高�����。隨著SDN網(wǎng)絡(luò)安全性問題的日益顯著�����,各種針對(duì)SDN網(wǎng)絡(luò)的安全協(xié)議也會(huì)不斷出現(xiàn)����,傳統(tǒng)的安全技術(shù)可擴(kuò)展能力不足��,也失去了軟件定義(Software Define)的精髓。
【發(fā)明內(nèi)容】
[0007]針對(duì)【背景技術(shù)】的不足���,本發(fā)明可以讓來自各種類型的未知流量信息在寫入SDN控制器中流表之前���,在流的必經(jīng)之處建立安全流過濾器�����,讓其進(jìn)行流的分析處理,識(shí)別各種攻擊(中間人�����、Dos等)或者嗅探流量,保證流表中數(shù)據(jù)的合法性�����,彌補(bǔ)防火墻帶來的不足����。同時(shí)本發(fā)明能夠處理和控制SDN交換機(jī)ACL,能夠組建全局中的流視圖����、各類策略庫(kù)����、規(guī)則庫(kù)和日志庫(kù)等,能夠動(dòng)態(tài)實(shí)時(shí)管理安全設(shè)備,根據(jù)策略協(xié)調(diào)安全設(shè)施����。
[0008]本發(fā)明的技術(shù)方案是:一種基于SDN控制器的安全流過濾器�����,包括流監(jiān)測(cè)器、流用戶管理模塊���、流生成器��、策略規(guī)則管理模塊��、安全設(shè)備管理模塊����、安全信息庫(kù),其特征在于:
[0009]所述的流用戶管理模塊獲得用戶信息�����,在經(jīng)過策略規(guī)則管理模塊審核通過后��,將用戶信息寫入安全信息庫(kù)�����;如果審核未通過,屬于非法用戶�����,直接向Orchestrat1n Layer層的管理模塊發(fā)送報(bào)警信息���;
[0010]流監(jiān)測(cè)器:使用DPDK架構(gòu)和驅(qū)動(dòng)程序,監(jiān)控SDN網(wǎng)絡(luò)北向應(yīng)用程序和東西向SDN控制器發(fā)送的各種流�,根據(jù)策略規(guī)則管理模塊提交的信息對(duì)流是否合法進(jìn)行審核,如果合法則將該流發(fā)送至流生成器模塊進(jìn)行轉(zhuǎn)發(fā)����,否則發(fā)送報(bào)警信息;
[0011]流生成器:使用DPDK驅(qū)動(dòng)程序�����,向網(wǎng)絡(luò)中某個(gè)SDN控制器轉(zhuǎn)發(fā)流信息�����;流生成器解析流監(jiān)控器提供的流信息�����,獲得該流需要發(fā)送的目標(biāo)對(duì)象,根據(jù)目標(biāo)對(duì)象信息從安全性信息庫(kù)中查詢目標(biāo)控制器北向或東西向接口標(biāo)準(zhǔn)化數(shù)據(jù)���,然后對(duì)其進(jìn)行標(biāo)準(zhǔn)協(xié)議的解析���,重新包裝該流使其和發(fā)送對(duì)象控制器一致,對(duì)于源和目的地標(biāo)準(zhǔn)相同的流�����,該模塊只進(jìn)行透?jìng)?br>[0012]策略規(guī)則管理模塊:該模塊定義SDN網(wǎng)絡(luò)中的安全策略和規(guī)范����,只有符合這些策略和規(guī)則的流才是合法的;
[0013]安全設(shè)備管理模塊:該模塊管理現(xiàn)網(wǎng)的傳統(tǒng)安全設(shè)備���,并記錄到安全信息庫(kù)中�����;
[0014]安全信息庫(kù):用戶存儲(chǔ)整個(gè)SDN網(wǎng)絡(luò)的數(shù)據(jù)信息�����。
[0015]根據(jù)如上所述的基于SDN控制器的安全流過濾器���,其特征在于:所述的流用戶管理模塊獲得的用戶信息為:連接SDN網(wǎng)絡(luò)的北向應(yīng)用程序和東西向的SDN控制器�����,對(duì)SDN網(wǎng)絡(luò)中已知的應(yīng)用服務(wù)和相鄰的SDN控制器進(jìn)行注冊(cè)�����,獲得北向應(yīng)用程序和東西向的SDN控制器發(fā)來的用戶信息�����。
[0016]一種基于SDN控制器的安全流過濾方法,其特征在于:它包括如下步驟:
[0017]流用戶管理模塊根據(jù)接收到的流信息自動(dòng)探測(cè)網(wǎng)絡(luò)中具有已知的北向應(yīng)用程序和東西向的SDN控制器信息���,并將這些信息記錄到安全信息庫(kù)中�����;
[0018]安全設(shè)備管理模塊會(huì)探測(cè)網(wǎng)絡(luò)中的傳統(tǒng)安全設(shè)備�����,并將設(shè)備信息和它們的策略和規(guī)則記錄到本系統(tǒng)安全信息庫(kù)中��;
[0019]流監(jiān)控器通過DPDK驅(qū)動(dòng)程序���,接收北向應(yīng)用程序和東西向的SDN控制器發(fā)送的待審查的流�,并觸發(fā)策略規(guī)則管理模塊����,反復(fù)的對(duì)待審查的流進(jìn)行監(jiān)控;
[0020]策略規(guī)則管理模塊中定義的安全策略進(jìn)行審核�����,向流監(jiān)控器返回是否審核通過的消息����;
[0021]策略管理模塊定期向安全設(shè)備管理模塊發(fā)送消息,獲得傳統(tǒng)安全設(shè)備更新的安全策略和規(guī)則�;
[0022]審查合法后流監(jiān)控器將合法的流轉(zhuǎn)交給流生成器,通過DPDK驅(qū)動(dòng)程序打包并SDN控制器轉(zhuǎn)發(fā)�����。
[0023]本發(fā)明的有益效果是:
[0024]本發(fā)明可以防止攻擊者建立繞開流量定向的流,規(guī)避防火墻的防護(hù)�,對(duì)SDN網(wǎng)絡(luò)的核心網(wǎng)元進(jìn)行攻擊。本發(fā)明對(duì)現(xiàn)有網(wǎng)絡(luò)是透明的��,不需要修改現(xiàn)有網(wǎng)絡(luò)的任何網(wǎng)元和架構(gòu)��,而且使用DPDK驅(qū)動(dòng)程序使得流量過濾效率極高�����,不影響網(wǎng)絡(luò)性能�����,并具有彈性軟件自定義的能力�,可以針對(duì)具體應(yīng)用搭建全局的安全控制策略、流視圖和各自安全規(guī)則庫(kù)等��。在不修改已經(jīng)存在的SDN網(wǎng)絡(luò)的前期下����,利用最小的投資�����,加固整個(gè)網(wǎng)絡(luò)的安全性。該系統(tǒng)還給SDN網(wǎng)絡(luò)的北向用戶提供了一種安全虛擬化網(wǎng)絡(luò)接入的能力�。同時(shí)本發(fā)明還適應(yīng)SDN網(wǎng)絡(luò)未來安全性的要求,為其安全性的擴(kuò)展預(yù)留了空間��。
【附圖說明】
[0025]圖1為本系統(tǒng)結(jié)構(gòu)圖��;
[0026]圖2為本系統(tǒng)的工作流程圖�����。
【具體實(shí)施方式】
[0027]名詞解釋:SDN控制器是軟件定義網(wǎng)絡(luò)(SDN)中的應(yīng)用程序�,負(fù)責(zé)流量控制以確保智能網(wǎng)絡(luò)。SDN控制器是基于如OpenFlow等協(xié)議的�,允許服務(wù)器告訴交換機(jī)向哪里發(fā)送數(shù)據(jù)包。
[0028]SDN網(wǎng)絡(luò):通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來���,從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制���,為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺(tái)。
[0029]Orchestrat1n Layer:即SDN網(wǎng)絡(luò)中的服務(wù)編排層�����,它是一個(gè)處于SDN控制器和業(yè)務(wù)層之間的一個(gè)抽象層�。