基于入侵容忍的sdn控制器端系统和安全通信方法

基于入侵容忍的sdn控制器端系统和安全通信方法
【技术领域】
[0001]本发明涉及SDN安全领域。更为具体的，本发明涉及一种基于前置代理群组和SDN控制器群组的具有入侵容忍能力的SDN控制器端系统，以及采用该系统的安全通信方法，以提高SDN控制器的可用性和可靠性，为SDN网络提供安全保证。
【背景技术】
[0002]SDN网络(Software Defined Network,软件定义网络)是一种新型网络创新架构，其核心技术OpenFlow通过将网络设备控制面与数据面分离开来，从而实现了网络流量的灵活控制。与传统网络相比，SDN网络的基本特征有三点:其一是控制与转发分离，转发平面由受控转发的设备组成，转发方式以及业务逻辑由运行在分离出去的控制面上的控制应用所控制；其二是控制平面与转发平面之间的开放接口，SDN为控制平面提供开放可编程接口，通过这种方式，控制应用只需要关注自身逻辑，而不需要关注底层更多的实现细节；其三是逻辑上的集中控制，逻辑上集中的控制平面可以控制多个转发面设备，也就是控制整个物理网络，因而可以获得全局的网络状态视图，并根据该全局网络状态视图实现对网络的优化控制。
[0003]由于在SDN网络中，控制平面和转发平面的分离，网络控制统一集中到网络控制器，交换机与控制器之间通过Openflow协议进行通信，这使得网络控制器成为SDN网络的安全焦点，网络控制器的可用性和可靠性直接关系到整个网络的安全性。在现有的部署模式和安全手段下，由于安全攻击的不可预知，难以保证SDN控制器的安全性。
[0004]上述问题的根源在于安全攻击手段的无法预知，而SDN控制器对于底层网络具有完整的控制能力，所以只有对未知攻击具有一定的容忍能力才能保证S D N控制器的安全性，才能保证底层网络的安全性。

【发明内容】

[0005]针对在现有单一 SDN控制器的局限，本发明提供了一种基于入侵容忍的SDN控制器7AEF系统，以及采用该系统的安全通信方法，能够提高SDN控制器的可用性和可靠性，为SDN网络提供安全保证。
[0006]为实现上述目的，本发明采用如下技术方案:
[0007]一种基于入侵容忍的SDN控制器端系统，包括SDN控制器群组、交换机和至少一个前置代理；所述前置代理位于SDN控制器群组和交换机之间，负责将交换机发出的Openflow请求消息发往SDN控制器群组中的多个SDN控制器，并提取各个SDN控制器发出的Openflow应答消息中的流规则，对提取的流规则进行比对，如果比对结果满足预设的入侵容忍策略，则向交换机转发正确的Openflow应答消息。
[0008]进一步地，所述SDN控制器群组中的各个SDN控制器运行不同的软件环境栈；所述前置代理为多个时，各个前置代理两两之间运行不同的软件环境栈。
[0009]进一步地，所述前置代理为多个，任意时刻只有一个活动的前置代理处于工作状态，剩余的前置代理处于备用状态，同时对活动的前置代理进行检测，一旦发现其行为异常，则从剩余的前置代理中选举出新的活动代理。
[0010]进一步地，所述入侵容忍策略表示为m/n，表示从至少η个SDN控制器中收到m个包含相同流规则的Openflow消息。
[0011]进一步地，所述前置代理将发送了可疑消息的SDN控制器移除出SDN控制器群组；如果不存在符合入侵容忍策略的Openflow消息，则前置代理向管理员预警，由管理员通过重新初始化系统进行恢复。
[0012]进一步地，所述前置代理以反向代理模式分别和SDN控制器和交换机数据连接。
[0013]一种采用上述系统的基于入侵容忍的SDN安全通信方法，其步骤包括:
[0014]I)前置代理收到交换机发出的Openflow请求消息时，对消息进行复制，同时发往多个SDN控制器；
[0015]2)前置代理收到控制器发出的Openflow应答消息时，对包含流规则的消息，提取其中的流规则进行比对，如果比对结果满足预设的入侵容忍策略，则向交换机转发正确的Openflow 消息。
[0016]与现有技术相比，本发明的有益效果是:
[0017]本发明基于冗余和环境的多样性(软件环境栈的多样性)提供了具有一定入侵容忍能力的SDN控制器端系统方案，将前置Openflow代理群组透明接入到交换机和SDN控制器的交互过程中，实现对SDN控制器发往交换机的流规则的控制，通过保证SDN控制器端的可用性和可靠性为SDN网络提供安全保障。本发明能够实现对于少数SDN控制器被入侵进行容忍的同时，还具有良好的可扩展性。
【附图说明】
[0018]图1是本发明的基于入侵容忍的SDN控制器端系统示意图。
[0019]图2为前置代理处理Openflow请求消息和应答消息的示意图。
【具体实施方式】
[0020]为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步说明。
[0021]图1是本发明的基于入侵容忍的SDN控制器端系统架构图。如图1所示，前置代理群组位于SDN控制器群组之前，在控制器之前接收来自交换机的Openflow消息(请求消息)，然后复制转发给SDN控制器群组；在交换机之前接收到来自SDN控制器的Openflow消息(应答消息)，分析比对其中的流规则，将包含了符合入侵容忍策略的Openflow消息转发给交换机。图2为前置代理处理Openflow消息的示意图。
[0022]上述方案中的入侵容忍能力依赖于冗余和软件环境栈的多样性，各个前置代理两两之间运行不同的软件环境栈(包括操作系统，运行环境和代理软件)，各个SDN控制器两两之间运行不同的软件环境栈(包括操作系统，运行环境和SDN控制器软件)；任意时刻只有一个活动的前置代理处于工作状态，剩余的前置代理处于备用状态，同时对活动的前置代理进行检测，一旦发现其行为异常，则从剩余的前置代理中选举出新的活动代理，前置代理以反向代理模式分别和所述交换机和多控制器建立连接，前置代理将交换机发往服务器的消息发往SDN控制器群组，然后将多控制器返回的消息中包含流规则的Openflow消息对其中的规则进行分析比对，如果符合入侵容忍策略则向交换机转发其中一份正确的消息，同时将发送了可疑消息的SDN控制器移除出群组；如果不存在符合入侵容忍策略的Openflow消息，则向管理员预警，管理员通过重新初始化系统进行恢复。
[0023]具体来说，整个方法的具体执行流程如下:
[0024]I)用户的网络控制逻辑需要在所有后端不同的SDN控制器环境上实现和部署。
[0025]2)用户配置所有前置代理的执行参数，包括入侵容忍策略、ID号、所有其他的前置代理的地址、所有后端SDN控制器地址、端口以及相关连接认证参数(如有必要)等，并与所有后端SDN控制器建立连接，并标记状态为“正常”。
[0026]其中，入侵容