◆牛長(zhǎng)喜 劉 堅(jiān) 張 玲 馬曉旭

(中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司 四川 610000)

0 引言

軟件定義網(wǎng)絡(luò)（SDN, Software Defined Network）技術(shù)是目前新興的一種網(wǎng)絡(luò)技術(shù)。該技術(shù)為網(wǎng)絡(luò)和使用網(wǎng)絡(luò)的應(yīng)用之間提供了靈活有效的信息交互接口，使網(wǎng)絡(luò)具備“集中控制、開放性、網(wǎng)絡(luò)可編程、網(wǎng)絡(luò)功能虛擬化”等技術(shù)特征，從而賦予網(wǎng)絡(luò)較強(qiáng)的動(dòng)態(tài)捷變能力。

目前，SDN技術(shù)主要應(yīng)用于多租戶云計(jì)算數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)的構(gòu)建上，基于SDN技術(shù)架構(gòu)所建設(shè)的網(wǎng)絡(luò)稱為SDN網(wǎng)絡(luò)。由于不同租戶共享云計(jì)算基礎(chǔ)設(shè)施資源，出于安全方面的考慮，要求云計(jì)算數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)必須保證不同租戶之間的嚴(yán)格隔離性，不允許不同租戶之間發(fā)生未被準(zhǔn)許的網(wǎng)絡(luò)流量傳輸行為。由于SDN技術(shù)具備“集中控制、網(wǎng)絡(luò)可編程”等特征，使得SDN網(wǎng)絡(luò)對(duì)在其上傳輸?shù)臄?shù)據(jù)流具有極強(qiáng)的管控能力，可以較方便地實(shí)現(xiàn)多租戶云計(jì)算數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)中不同子網(wǎng)之間的安全隔離，從而滿足不同租戶對(duì)網(wǎng)絡(luò)安全防護(hù)能力的不同需求。

但是，由于網(wǎng)絡(luò)配置錯(cuò)誤等原因，多租戶子網(wǎng)之間的隔離性有可能被破壞。本文提出一種 SDN網(wǎng)絡(luò)隔離性檢測(cè)技術(shù)，用于檢測(cè)SDN網(wǎng)絡(luò)的不同子網(wǎng)之間是否具備所要求的隔離性。

1 SDN網(wǎng)絡(luò)隔離性檢測(cè)

由于在 SDN網(wǎng)絡(luò)中進(jìn)行網(wǎng)絡(luò)隔離的基本技術(shù)原理是“配置流表阻斷數(shù)據(jù)流”，因此，要判斷SDN網(wǎng)絡(luò)中的子網(wǎng)之間是否實(shí)現(xiàn)了隔離，需要獲取網(wǎng)絡(luò)中各個(gè) SDN交換機(jī)內(nèi)所配置的流表信息，進(jìn)而分析當(dāng)前網(wǎng)絡(luò)中所配置的流表能否在需要被隔離的子網(wǎng)之間達(dá)到阻止指定數(shù)據(jù)流傳輸?shù)哪繕?biāo)。

由于在 SDN網(wǎng)絡(luò)中，應(yīng)用層軟件會(huì)不斷地發(fā)出變更網(wǎng)絡(luò)交換機(jī)內(nèi)流表項(xiàng)的控制指令，并且交換機(jī)中的一些流表項(xiàng)也會(huì)隨著時(shí)間的流逝自動(dòng)失效，因此 SDN交換機(jī)內(nèi)配置的流表項(xiàng)通常會(huì)隨著時(shí)間變化。為了準(zhǔn)確判斷子網(wǎng)之間是否實(shí)現(xiàn)了隔離，必須在網(wǎng)絡(luò)狀態(tài)不變（即網(wǎng)絡(luò)中的流表保持固定的時(shí)間段內(nèi)）的情況下進(jìn)行判斷。

2 輸入

為了判斷SDN網(wǎng)絡(luò)中的兩個(gè)子網(wǎng)之間是否實(shí)現(xiàn)了安全隔離，必須獲取以下信息：

（1）SDN網(wǎng)絡(luò)全網(wǎng)網(wǎng)絡(luò)拓?fù)洌喊⊿DN網(wǎng)絡(luò)中各個(gè)SDN交換機(jī)之間的互聯(lián)關(guān)系，每個(gè) SDN交換機(jī)的端口編號(hào)，此信息可以通過網(wǎng)管獲得。

（2）全網(wǎng)所有SDN交換機(jī)內(nèi)當(dāng)前已經(jīng)配置的所有流表項(xiàng)：此信息可以通過網(wǎng)管提供只讀接口獲取或者網(wǎng)管直接提供流表項(xiàng)記錄文件。

（3）SDN控制器內(nèi)部路由計(jì)算模塊的路由策略數(shù)據(jù)：包括SDN控制器已計(jì)算得到的網(wǎng)絡(luò)路由，此信息可以通過網(wǎng)管提供只讀接口獲取或者網(wǎng)管直接提供控制器路由計(jì)算記錄文件。

（4）需要隔離的多個(gè)子網(wǎng)的具體位置和范圍：一個(gè)子網(wǎng)的范圍指的是組成子網(wǎng)的所有 SDN交換機(jī)，其具體位置指的是這些SDN交換機(jī)的DPID(Data Path IDentification, 數(shù)據(jù)通路標(biāo)識(shí))，此信息可以通過網(wǎng)管獲得。

（5）不允許在隔離子網(wǎng)間傳輸?shù)臄?shù)據(jù)流的特征：數(shù)據(jù)流的特征指的是不允許在子網(wǎng)之間傳輸?shù)臄?shù)據(jù)流的5元組信息，此信息可以通過網(wǎng)管獲得。

3 核心算法

本節(jié)以兩個(gè)子網(wǎng)之間的隔離性檢測(cè)為例，提出核心算法。兩個(gè)子網(wǎng)中的一個(gè)定為源子網(wǎng)，另一個(gè)定為目的子網(wǎng)。要在 SDN網(wǎng)絡(luò)中判斷從源子網(wǎng)產(chǎn)生的指定特征的網(wǎng)絡(luò)數(shù)據(jù)流能否到達(dá)目的子網(wǎng)，即在源子網(wǎng)與目的子網(wǎng)之間是否針對(duì)特定數(shù)據(jù)流達(dá)到了隔離效果，采用如下步驟：

（1）將SDN網(wǎng)絡(luò)整體進(jìn)行抽象，抽象成一個(gè)只包含頂點(diǎn)和邊的有向圖 G(V,E)。在該有向圖中，頂點(diǎn)表示網(wǎng)絡(luò)中的 SDN交換機(jī)，邊表示網(wǎng)絡(luò)中交換機(jī)之間的鏈路。進(jìn)一步地，在該有向圖中需要根據(jù)源子網(wǎng)（發(fā)送數(shù)據(jù)流的子網(wǎng)）和目的子網(wǎng)的范圍，將其分別抽象為兩個(gè)單獨(dú)的頂點(diǎn)。

（2）在有向圖 G(V,E)中，將每條邊的權(quán)重初始化設(shè)置為一個(gè)數(shù)值較大的正數(shù)K（本文選擇K=1000）。

（3）在有向圖 G(V,E)中，在一條指定的邊上，判斷該有向邊能否使指定特征的網(wǎng)絡(luò)數(shù)據(jù)流通過。判斷方法：獲取組成該邊的節(jié)點(diǎn)所分別對(duì)應(yīng)的兩個(gè) SDN交換機(jī)上的流表信息，結(jié)合獲取到的 SDN控制器中的路由策略數(shù)據(jù)，判斷指定的數(shù)據(jù)流是否能夠從源節(jié)點(diǎn)沿著該有向邊傳輸?shù)侥康墓?jié)點(diǎn)。如果能夠傳輸指定的數(shù)據(jù)流，則改變?cè)撨叺臋?quán)重，將其設(shè)置為一個(gè)很小的正數(shù)n（本文選擇n=1）。

（4）重復(fù)步驟3，對(duì)有向圖G(V,E)中的每條邊都進(jìn)行一次判定。最終確定該有向圖G(V,E)中所有邊在傳輸指定特征的數(shù)據(jù)時(shí)的權(quán)重。

（5）利用最小路徑開銷算法（如Dijkstra算法），計(jì)算一條從源子網(wǎng)到目的子網(wǎng)開銷最小的路徑，并獲取路徑開銷值（即組成該路徑的所有邊的權(quán)重相加結(jié)果）。

（6）基于路徑開銷值進(jìn)行判斷，如果開銷值小于單條邊上所設(shè)置的正數(shù)K（本文選擇K=1000），則說明計(jì)算出的路徑能夠?qū)⒅付ǖ臄?shù)據(jù)流從源子網(wǎng)傳輸?shù)侥康淖泳W(wǎng)，表示指定的數(shù)據(jù)流能夠在源子網(wǎng)與目的子網(wǎng)之間流通，意味著兩個(gè)子網(wǎng)對(duì)于該特征的數(shù)據(jù)隔離無效；相反，如果計(jì)算所得的路徑開銷值大于單條邊上所設(shè)置的正數(shù)K，則表示計(jì)算出的路徑中至少存在有一條邊不能傳輸指定的數(shù)據(jù)流，說明該路徑不能將指定的數(shù)據(jù)流從源子網(wǎng)傳輸?shù)侥康淖泳W(wǎng)。由于此路徑是通過最小路徑開銷算法計(jì)算得到的，它已經(jīng)是開銷最小的路徑，網(wǎng)絡(luò)中其它所有路徑的開銷必然大于K，因此其它路徑也無法傳輸指定的網(wǎng)絡(luò)數(shù)據(jù)流。因此，對(duì)于該特征的數(shù)據(jù)，兩個(gè)子網(wǎng)之間的隔離性有效。

（7）針對(duì)不允許在源子網(wǎng)與目的子網(wǎng)之間傳輸?shù)拿恳环N特征的數(shù)據(jù)流，重復(fù)步驟3～6，分析每一種特征的數(shù)據(jù)流是否能夠從源子網(wǎng)傳輸?shù)侥康淖泳W(wǎng)。如果對(duì)于所考察的每一種特征的數(shù)據(jù)流，計(jì)算表明網(wǎng)絡(luò)中都不存在能夠傳輸此數(shù)據(jù)流的路徑，則表明源子網(wǎng)與目的子網(wǎng)之間的網(wǎng)絡(luò)隔離性能夠通過檢測(cè)，滿足要求。

4 結(jié)論

本文基于SDN技術(shù)“集中控制”的特點(diǎn)，提出一種SDN網(wǎng)絡(luò)隔離性檢測(cè)技術(shù)，能夠檢測(cè)云計(jì)算環(huán)境中不同租戶之間的網(wǎng)絡(luò)是否具備所要求的隔離性，設(shè)計(jì)了網(wǎng)絡(luò)隔離性檢測(cè)算法。初步實(shí)驗(yàn)表明，所設(shè)計(jì)的算法能夠完成既定目標(biāo)。

[1]NUNES B A A, MENDONCA M, XUAN-NAM N, et al. A survey of software-defined networking: past, present, and future of programmable networks[J].Communications Surveys and Tutorials, IEEE, 2014.

[2]MCKEOWN N, ANDERSON T, BALAKRISHNAN H,et al. OpenFlow: enabling innovation in campus networks[J].ACM SIGCOMM Computer Communication Review, 2008.

[3]FOSTER N, HARRISON R, FREEDMAN M J, et al.Frenetic: a network programming language[J].ACM SIGPLAN Notices, 2011.