一种基于sdn控制器的安全流过滤器及过滤方法
【技术领域】
[0001]本发明涉及计算机技术和网络领域,尤其涉及软件定义网络(SDN)和网络安全控制领域。
【背景技术】
[0002]对于创新的新技术而言,人们很容易忽略安全问题。发明人在部署SDN时注意到几个安全问题,使得SDN技术面临诸多挑战,如恶意数据流、交换机流表篡改,应用程序漏洞、数据管理机密性与可用性威胁等,这些都是传统网络中常见的攻击,在SDN网络中依然存在。大多数软件定义网络的安全问题主要围绕控制器本身,控制器可以被认为是交换/路由的“大脑”,它允许来自每个系统的控制平面得到集中管理。控制器一旦失效,整个网络就会崩溃。对于安全管理人员而言,SDN的最大挑战是不惜一切代价地保护控制器。现在“大脑”已经从路由器或交换机中取出,并使用新的控制器来替代。一个很重要的安全问题是了解和审核谁访问过控制器以及控制器在网络中的位置,访问控制器可能让攻击者完全控制,因此,必须保护控制器的安全。
[0003]网络信息在控制器上的维护,通常依赖开辟专门的存储模块。控制器及应用程序根据网络状态下发策略。控制器维护的网络信息分为静态和动态两种。由于可控制器根据网络信息在网络中执行相应功能,当信息被非法写入时才会对网络传输产生破坏,因此控制器上网络信息维护的安全问题主要指数据完整性和可用性被破坏。数据信息被恶意程序或者攻击者篡改,是传统网络中常见的问题。在多控制器系统工作时,被篡改的控制器可以通过东西向接口修改其他控制器的信息,也可通过南北向的接口修改SDN交换机和应用程序的信息,扰乱正确的控制逻辑和用户数据。多控制器协同管理是存在数据可用性问题,比如,一个控制器节点出现错误导致与之协商的所有控制器都得到错误的网络信息,影响最终数据流向的策略。应用程序通过控制器提供的北向接口接入控制器,调用控制器管理资源,如果没有身份认证、权限管理、日志管理等功能模块,依然会出现传统网络中常见的非法应用程序接入、应用程序越权操作、绕过审计追踪等安全问题。此外,多个应用程序同时运行时可能由于控制逻辑完备性的缺失,导致策略不一致,主要表现为策略冲突和局部策略失效等冋题。
[0004]攻击者可能会将攻击目标锁定为网络中的网元。理论上,攻击者能够非法获取对网络的物理或虚拟访问权,或是威胁到已与SDN连接的主机,然后发动攻击破坏网元的稳定性。这种攻击类似于拒绝服务(DoS)攻击,或是一种企图攻击网元的模糊攻击。目前控制器与网元之间的通信使用了大量的API(应用程序编程接口)和通信协议。SDN南向通信可能会用到OpenFlow(OF)、0pen vSwitch数据库管理协议(OVSDB)、路径计算单元通信协议(PCEP)、路由系统接口(I2RS)、BGP-LS、0penStack Neutron、开放管理基础设施(OMI)、卩卯口61:、016;1^、0丨31116丨61'、1^(1;[118、他1'(]0即、可扩展消息处理现场协议(XMPP )、定位/标识分离协议(LISP)、简单网络管理协议(SNMP)、CL1、嵌入式事件管理器(EEM)、思科onePK、应用中心基础设施(ACI)、0pf Iex等协议。这些协议各自都有着一些确保与网络单元通信安全的方法。尽管如此,许多协议都非常新,部署者们可能并没有以最安全的方式设置它们。
[0005]在目前的SDN安全攻击中,攻击者可以利用这些协议尝试着将一些新流实例化至设备的流表中。攻击者会企图伪造一些新流,以让不应当通过网络的流量被允许通过。尽管流量定向负责指导流量通过防火墙,但如果攻击者能够创建一个可绕开流量定向的流,攻击者将会攻击成功。如果攻击者能够控制流量转向自己设定的方向,那么他们可能会尝试利用这一功能对流量进行嗅探,然后发动“中间人(MITM)”攻击。
[0006]由于目前SDN网络的安全性管理使用的技术大多和传统网络的技术大同小异,还没有形成专门针对SDN网络进行防护的技术和设备,而传统的技术过于复杂冗余,维护成本也非常的高,在目前SDN网络还不具有相当规模的情况下,适用程度不高。随着SDN网络安全性问题的日益显著,各种针对SDN网络的安全协议也会不断出现,传统的安全技术可扩展能力不足,也失去了软件定义(Software Define)的精髓。
【发明内容】
[0007]针对【背景技术】的不足,本发明可以让来自各种类型的未知流量信息在写入SDN控制器中流表之前,在流的必经之处建立安全流过滤器,让其进行流的分析处理,识别各种攻击(中间人、Dos等)或者嗅探流量,保证流表中数据的合法性,弥补防火墙带来的不足。同时本发明能够处理和控制SDN交换机ACL,能够组建全局中的流视图、各类策略库、规则库和日志库等,能够动态实时管理安全设备,根据策略协调安全设施。
[0008]本发明的技术方案是:一种基于SDN控制器的安全流过滤器,包括流监测器、流用户管理模块、流生成器、策略规则管理模块、安全设备管理模块、安全信息库,其特征在于:
[0009]所述的流用户管理模块获得用户信息,在经过策略规则管理模块审核通过后,将用户信息写入安全信息库;如果审核未通过,属于非法用户,直接向Orchestrat1n Layer层的管理模块发送报警信息;
[0010]流监测器:使用DPDK架构和驱动程序,监控SDN网络北向应用程序和东西向SDN控制器发送的各种流,根据策略规则管理模块提交的信息对流是否合法进行审核,如果合法则将该流发送至流生成器模块进行转发,否则发送报警信息;
[0011]流生成器:使用DPDK驱动程序,向网络中某个SDN控制器转发流信息;流生成器解析流监控器提供的流信息,获得该流需要发送的目标对象,根据目标对象信息从安全性信息库中查询目标控制器北向或东西向接口标准化数据,然后对其进行标准协议的解析,重新包装该流使其和发送对象控制器一致,对于源和目的地标准相同的流,该模块只进行透传
[0012]策略规则管理模块:该模块定义SDN网络中的安全策略和规范,只有符合这些策略和规则的流才是合法的;
[0013]安全设备管理模块:该模块管理现网的传统安全设备,并记录到安全信息库中;
[0014]安全信息库:用户存储整个SDN网络的数据信息。
[0015]根据如上所述的基于SDN控制器的安全流过滤器,其特征在于:所述的流用户管理模块获得的用户信息为:连接SDN网络的北向应用程序和东西向的SDN控制器,对SDN网络中已知的应用服务和相邻的SDN控制器进行注册,获得北向应用程序和东西向的SDN控制器发来的用户信息。
[0016]一种基于SDN控制器的安全流过滤方法,其特征在于:它包括如下步骤:
[0017]流用户管理模块根据接收到的流信息自动探测网络中具有已知的北向应用程序和东西向的SDN控制器信息,并将这些信息记录到安全信息库中;
[0018]安全设备管理模块会探测网络中的传统安全设备,并将设备信息和它们的策略和规则记录到本系统安全信息库中;
[0019]流监控器通过DPDK驱动程序,接收北向应用程序和东西向的SDN控制器发送的待审查的流,并触发策略规则管理模块,反复的对待审查的流进行监控;
[0020]策略规则管理模块中定义的安全策略进行审核,向流监控器返回是否审核通过的消息;
[0021]策略管理模块定期向安全设备管理模块发送消息,获得传统安全设备更新的安全策略和规则;
[0022]审查合法后流监控器将合法的流转交给流生成器,通过DPDK驱动程序打包并SDN控制器转发。
[0023]本发明的有益效果是:
[0024]本发明可以防止攻击者建立绕开流量定向的流,规避防火墙的防护,对SDN网络的核心网元进行攻击。本发明对现有网络是透明的,不需要修改现有网络的任何网元和架构,而且使用DPDK驱动程序使得流量过滤效率极高,不影响网络性能,并具有弹性软件自定义的能力,可以针对具体应用搭建全局的安全控制策略、流视图和各自安全规则库等。在不修改已经存在的SDN网络的前期下,利用最小的投资,加固整个网络的安全性。该系统还给SDN网络的北向用户提供了一种安全虚拟化网络接入的能力。同时本发明还适应SDN网络未来安全性的要求,为其安全性的扩展预留了空间。
【附图说明】
[0025]图1为本系统结构图;
[0026]图2为本系统的工作流程图。
【具体实施方式】
[0027]名词解释:SDN控制器是软件定义网络(SDN)中的应用程序,负责流量控制以确保智能网络。SDN控制器是基于如OpenFlow等协议的,允许服务器告诉交换机向哪里发送数据包。
[0028]SDN网络:通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。
[0029]Orchestrat1n Layer:即SDN网络中的服务编排层,它是一个处于SDN控制器和业务层之间的一个抽象层。