一种基于OpenFlow流的网络安全审计、接入系统和方法
【技术领域】
[0001] 本发明属于网络通信领域,具体地说是提出一种基于化enFloW流的网络安全审 计/接入控制系统和方法。
【背景技术】
[0002] 目前,因特网是现代社会不可或缺的信息基础设施,但它具有的开放性使其无时 无刻都面对着形形色色的网络威胁,为此人们发展了各种各样的网络安全机制及其设备来 提升网络的安全性。运些安全设备类型多、数量大、配置复杂,运既推高了网络系统的造价, 也频频引发网络故障和工作低效等问题。
[0003] 网络安全审计和接入控制是两种广泛使用的网络安全机制。网络安全审计通过 记录网络实体巧日主机和路由器等的应用程序或协议)的行为和活动轨迹,形成了能够追溯 网络实体踪迹使之对其行为后果负责的威慑力。网络接入控制则通过鉴别网络实体的身 份,确保其身份真实性,提供拒绝非法网络实体入网的能力。目前实现运些网络安全设备 还存在不少问题。问题1:实现安全设备的软硬件成本较高,首先要将网络流量转化为流 (flow),而转化时对相关设备的计算、存储能力要求非常高。问题2 :使用不同的专用设备 并部署在网络不同的位置,运导致网络管理和设备造价的成本上升。
[0004] 软件定义网络(SoftwareDefinedNetworking,SDN)是一种新型网络体系结构, 它分离了控制平面与数据平面,控制器W集中式方式处理网络逻辑,交换机只根据控制器 下发的流表来转发分组流,从而为创新网络安全技术提供了可能。化enFlow-种是体现 SDN概念的标准,已经在数据中屯、、网络管理等领域得到了广泛使用,商用化enFlow交换机 价格较经济。当来自网络实体应用流的首个分组到达化enFlow交换机时,会被转发至控制 器;控制器则根据软件定义的逻辑向化enFlow交换机下发相应流表项,W此控制管理应用 流。可见,化enFlow技术处理网络流量W流为基础,运为解决上述两个问题提供了新思路。 此外,由于安全审计机制需要W存储、处理海量数据为支撑,而近年来发展起来的廉价开源 云平台,具有实现高效存储和快速查找流信息等能力。
【发明内容】
阳0化]本发明针对目前IP网络中广泛使用的网络安全审计/接入控制机制存在的实现 技术复杂、设备成本高等问题,提出了一种基于化enFlow流的网络审计/接入控制系统和 方法。
[0006] 一种基于化enFlow流的网络安全审计、接入系统,它包括: 一台或多台化enFlow交换机、1台SDN控制器、1个策略服务器和1个云平台,其中; 策略服务器用于向SDN控制器下发主机接入控制安全策略和主机安全审计策略; SDN控制器与化enFlow网络中的各化enFlow交换机相连,SDN控制器收集化enFlow网络的拓扑和流信息,通过设置化enFlow交换机流表项来执行网络安全审计和接入控制, 并将流信息插入云平台; 化enFloW交换机用于建立主机之间的通信链路。
[0007] 一种基于化enFloW流的网络安全接入方法,它包括下列步骤: A、 策略服务器向SDN控制器下发主机接入控制安全策略,所述的接入控制安全策略包 含流信息,运些接入控制安全策略用于告知SDN控制器符合哪些条件的主机可W接入; B、 任一用户主机化Stl通过化enFlow交换机接入网络与其他主机通信之前,向目的主 机化st2发送请求报文; C、 当报文到达时,化enFlow交换机用本机的流表项匹配该报文,如果能够匹配上,交换 机就按流表项转发报文;如果不能匹配,则将该请求报文用Packet-in消息封装,向SDN控 制器转发; D、SDN控制器接收到该分组入(Packet-in)报文,通过解析提取出相关流信息,将其与 接入控制安全策略中的流信息进行对比;若无法匹配,则丢弃该请求报文,使请求接入的主 机化Stl流无法接入网络;若匹配,则计算主机化Stl到达目的主机化st2的通信路径,主 机化Stl流能够接入网络; E、SDN控制器为通信路径设及的化enFlow交换机下达修改状态(Modify-State)报文, 使运些化enFlow交换机安装流表项并能够转发主机化Stl请求报文及后继报文。
[000引 3、根据权利要求1所述的基于化enFlow流的网络安全接入方法,其特征是:步骤 A中,主机接入控制安全策略包括:接入时间、黑名单中主机流信息、白名单中主机流信息 和特定接入信息。
[0009] 4、一种基于化enFloW流的网络安全审计方法,其特征在于,它包括从流信息提取 审计日志的步骤和分析流日志的步骤; 从流信息提取审计日志的基本步骤如下: 1) SDN控制器向OpenFlow交换机发送控制器到交换机(controller-to-switch)的 修改状态(Modify-state)、读状态(Read-state)和发送分组(Send-packet) 3种子类型报 文,或者OpenFlow交换机向SDN控制器发起入分组(Packet-in)、流取消(Flow-removed)、 端口状态(Port-status)和差错(Error) 4种异步报文时,SDN控制器提取相关流信息形成 流记录; 2) SDN控制器W"目的IP地址"+"时间戳"为行键,将上述流记录插入云平台的库表 中; 分析流日志的步骤如下: 1) 策略服务器向SDN控制器下发主机安全审计策略,W告知SDN控制器如何进行安全 审计; 2) 用户向SDN控制器发送安全审计请求; 3) SDN控制器收到审计请求时,W"目的IP地址"+"时间戳"为行键在云平台查找出 所有符合条件的审计日志,并向SDN控制器反馈查找的结果; 4) SDN控制器根据用户的安全审计请求和存储的安全审计策略,对查找到的审计日志 进行进一步处理分析,其分析处理时序如图3所示。
[0010] 5、根据权利要求4所述的基于化enFloW流的网络安全审计方法,其特征是:从流 信息提取审计日志的步骤1)中,相关流信息包括提取流信息时的时间戳、目的/源IP地址、 目的/源MAC地址、运输层协议类型、目的/源端口号、化enFlow交换机标识、化enFlow交 换机接口和事件类型等。
[0011] 本发明的有益效果: 本发明无需采用价格贵的生成流的专用设备,利用化enFloW交换机基于流工作的特 性,经济、方便地提取流信息和进行接入控制。
[0012] 本发明能够利用廉价开源的云平台提供高速查找审计海量流记录的功能。
[0013] 本发明能够利用软件定义和基于安全策略控制,便于降低网络安全设备成本、简 化操作流程。
[0014]
【附图说明】
[0015] 图1为基于化enFlow流的网络安全审计/接入控制系统 图2为提取流日志的时序 图3为流日志分析的时序 图4为接入控制的时序 图5为本发明所需要的环境 图6为服务器h5的接收速率 图7为服务器h5的连接IP个数 图8为多维控制的连接情况 图9为皿ase与MyS化查询效率比较
【具体实施方式】
[0016] 下面结合附图和实施例对本发明作进一步的说明。
[0017] 一种安全审计方法,包括下列步骤: A. 从流信息提取审计日志的基本步骤如下: 1) SDN控制器向交换机发送controller-to-switch的Modify-state、Read-state和 Send-packet等3种子类型时,W及交换机向SDN控制器发起化cket-in、Flow-removed、 Port-status和化ror等4种异步报文时,控制器提取相关流信息形成流记录; 2) 流记录包括提取流信息时的时间戳、目的/源IP地址、目的/源MC地址、运输层协 议类型、目的/源端口号、化enFlow交换机标识、化enFlow交换机接口和事件类型等; 3) SDN控制器W"目的IP地址"+"时间戳"为行键,将上述流记录插入云平台的库表 中,提取流日志的时序如图2所示; B. 分析流日志的基本步骤如下: 1) SDN控制器收到审计请求,调用相应的安全审计逻辑,W"目的IP地址"+"时间戳" 为行键在云平台查找出所有符合条件的相关报文,并向控制器反馈查找的流日志结果; 2) 控制器上的安全审计逻辑根据策略服务器下达的审计策略,对流日志查找结果进行 处理分析,流日志分析的时序如图3所示。
[0018] 一种接入控制方法,在进行安全审计之前包括下列步骤: A. 策略服务器向SDN控制器下发接入控制安全策略; B. 主机化Stl通过化enFlow交换机接入网络与其他主机通信之前,向目的主机化st2 发送请求报文; C.化enFloW交换机用本机的流表项匹配请求报文,无法匹配上,则将该请求用Packet-in报文封装,向SDN控制器转发; 化SDN控制器接收到该Packet-in报文,解析出相关流信息,并与接入控制安全策略 进行匹配;若无法匹配,则丢弃该报