基于软件定义网络与网络功能虚拟化的高可用性及安全性研究

摘要：作为下一代网络的主流技术，软件定义网络已经在学术界和产业界得到了广泛关注。本文主要研究多个网络服务提供商场景下可用性的软件定义网络和软件功能虚拟化集成与安全防护方法，通过虚拟网络服务体系结构展现实施的可行性，并针对于单个网络服务提供商场景，提出了软件定义网络的环境感知服务组合综合评估。最后，对软件定义网络中高可用虚拟网络服务的安全等级保护进行探讨。

1 概述

软件定义网络（Software-defined Networks，SDN）将网络控制与数据转发分离。随着控制与数据平面的分离，网络交换机变成了简单的转发设备，逻辑集中控制器出现。SDN优势在于易用和强大的网络控制、便捷和高效的网络管理，以及出色的网络性能。与SDN类似，网络功能虚拟化（Network Function Virtualization，NFV）使用虚拟化技术将服务功能从底层基础设施中分离。它将网络功能从专用硬件转移到通用服务器上。NFV使得服务部署更加迅捷、服务提供更加简单。此外，NFV也降低了网络开支。SDN与NFV技术的相互结合能够进一步提升下一代网络服务能力。

另一方面，用户希望网络畅通、在任何时候都有非常好的线上体验和业务响应速度。这种趋势使得基础运营商和服务提供商需要加强合作，提供易于扩展的网络服务，同时基础投资费用又不过高。基于此，SDN和NFV不在通过一个服务提供商来提供网络服务，而是整合多项服务提供商的服务，实现虚拟网络服务（Virtual Network Service，VNS）。

目前的研究主要集中于SDN和NFV技术集成上，在研究网络功能服务组合时，需要考虑SDN的特性。这些特性包括集中控制、全局视图和动态环境。首先，在SDN中存在逻辑上的集中控制器，有利于服务注册、服务发现等。通过逻辑集中控制器，服务机制可以发现和选择符合需求的服务实例。其次，SDN技术为网络管理员提供了可以网络编程的能力，允许创建动态流策略。集中控制和全局视图的特点给SDN服务组合带来了新的优势，使得服务注册、服务发现更加容易。不过，动态属性使得服务费用在运行时会变化，为了利用SDN的这些特性并满足服务需求，在确保安全性的前提下，更有效的利用网络资源，需要通过环境感知和安全等级保护来保障软件定义网络（高可用安全虚拟网络）的高可用性和安全性。

2 基于SDN/NFV的虚拟网络的脆弱性分析

在多服务提供商场景下分析基于SDN/NFV的虚拟网络服务的脆弱性，网络服务提供商组合基础服务提供商的底层服务，为用户提供网络服务，如图1所示。

图1 虚拟网络服务场景

在该场景中，存在三种角色：用户、网络服务提供商和基础设施服务提供商。基础设施服务提供商管理基于SDN的物理网络或者基于NFV的数据中心，通过子层功能API将基础设施服务发布给网络服务提供商。网络服务提供商可以启动服务、也可以选择关闭服务。但是，他们不能直接访问基础设施。网络服务提供商根据用户的需求组合基础设施服务实现网络服务。用户可以配置虚拟网络，如IP过滤规则等。在上述场景中，对于网络服务可用性而言存在如表1所列的脆弱性问题。这些脆弱性存在于用户层、网络服务层和基础设施服务层。

表1 网络服务脆弱性分析

在用户层，因为使用网络服务API操作底层服务是合法的，所以对可用性存在潜在的脆弱性。在该层存在两种子类型的脆弱性。一是用户通过网络服务API执行拒绝服务DoS。例如，用户频繁更改配置，使得网络服务层的控制器不能响应其它请求等。二是合法的用户使用网络服务API进行违规操作，使得网络服务中断。例如，配置了全流量的引入策略使得流量超载等。

在网络服务层，存在潜在的基础设备服务层的脆弱性。根本的原因是攻击者或者合法的网络服务提供商可以通过基础设备服务API操作底层服务。比如攻击者或者合法网络服务提供商频繁移动和关闭基础设施服务，这些动作在短时间内就可耗尽物理资源，使得基础设备服务不在可用，无法提供给其它网络服务提供商。

在基础设施层，也存在几种潜在的可降低网络服务层可用性的脆弱性。攻击者或者恶意基础设施服务提供商中断基础设施服务，使得网络服务层没有资源支持。此外，也可能由于不可预测的原因（如设备故障等）导致基础设备服务提供商不能提供正常的服务。由于网络服务提供商没有控制和恢复基础设施的能力，这些脆弱性对网络服务层而言是威胁较高。

3 基于SDN/NFV面向多服务提供商的高可用性安全服务

3.1体系架构及关键组件

基于SDN/NFV面向多服务提供商的的高可用性安全服务体系结构分为用户层、网络服务层和基础设施层三个层级，如图2所示。用户可以管理控制台配置虚拟网络，网络服务层拥有九个关键组件，基础设施服务层除了SDN控制器和NFV控制器，还引入了抗DoS和违规组件。

图2 基于SDN和NFV的多服务提供商的虚拟网络服务体系架构

具体来说，在用户层中，用户通过多组虚拟网络管理控制台来远程管理与控制虚拟网络配置。

在网络服务层中，网络服务提供商通过基础设施服务API管理虚拟资源，并根据用户请求组合网络服务，这些服务可以通过网络服务API访问。与基础设施服务层类似，网络服务层也具有抗DoS和违规操作的机制，以防止来自北向API的威胁。此外，网络服务层还有监视底层基础设施的机制，并在需要时重组网络服务。

网络服务层拥有九个关键组件，其中七个是关于服务组合的，两个是关于保护网络服务可用性的：

1) 基础设施服务注册组件维护来自基础设施服务层的信息，用于网络服务编排执行决策和编排任务；
2) 基础设施服务发现组件提供服务选择和协商能力。它与服务注册组件联系，选择符合用户偏好、场景信息或者其它选择准则的基础设施服务；
3) 场景信息管理组件从控制面板搜集场景信息。信息包括虚拟资源的全局视图和历史场景信息；
4) 服务控制组件给用户应用提供北向接口，北向接口用于请求满足特定需求的网络服务。它利用网络服务编排组件选择合适的基础设施服务链，并满足来自用户层的网络服务需求；
5) 网络服务编排触发组件与资源可用性评估组件、场景信息管理组件和服务控制组件交互，监视场景信息和用户请求，然后触发服务编排。网络服务编排组件组合虚拟资源以满足用户的要求，并通过适用性机制管理来解决需求与场景的变化。
6) 抗DoS和违规操作组件用于防止虚拟/物理资源被来自用户层的恶意或者异常行为耗尽。
7) 资源可用性评估组件将评估底层基础设施资源的可用性，并在需要时触发网络服务重新编排。

在基础设施服务层中，基础设施服务提供商管理SDN和NFV服务功能，并通过基础设施服务API为网络服务提供商提供基础设施服务。此外，基础设施服务提供层还具有安全保护操作机制（与网络服务层相关组件联动），用于阻止来自网络服务层的恶意或者异常事件导致物理资源耗尽，保护网络基础设施和服务的安全。

3.2 体系架构的优势

SDN和NFV是相互独立的，一个基础设施服务提供商管理基于SDN的网络，而其他基础设施服务提供商管理NFV资源。这两种类型的基础设施服务提供商没有任何交集。SDN控制和NFV控制器之上的抗DoS和违规组件是在SDN体系结构和NFV体系结构的应用层。它们未对当前的SDN和NFV体系结构做任何改动。

1） 支持多提供商场景
在本体系架构下，虚拟网络服务是在多域范围内的异构网络和计算基础设施实现的，可以提供对多提供商场景的全面支持。

2） 支持环境感知
在网络服务层，环境信息管理组件搜集所有的环境信息，包括来自基础设施服务层、用户层及网络层的信息。服务编排触发组件基于环境信息管理组件，并与其它组件协同后，通知网络服务编排组件重组网络服务。该特性为本架构提升了服务能力的弹性和质量。

3） 具有高可用性和安全性
本架构采用抗DoS和违规防御机制，基础设施服务层能够防御来自网络服务层的威胁，避免资源耗尽。该特性提升了基础设施服务层的安全性。与此同时，使用资源可用性评估机制，网络服务层可以感知每个基础设施服务的可用性。一旦发现某些基础设施服务的服务质量不能满足需求，系统可以自动调度其它满足需求的基础设施服务来保障输出能力。

总之，这些特性提供了一系列切实可行的方法来集成SDN和NFV，以支持网络服务安全与性能保障，也体现了整个体系架构优势所在。

4 软件定义网络的等级保护级别分类

作为下一代主流的通信网络，软件定义网络（高可用安全虚拟网络）的安全保护等级参照国家网络安全等级保护标准要求，分为以下五级：
第一级，系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护；
第二级，系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导；
第三级，系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查；
第四级，系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查；
第五级，系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

5 结束语

软件定义网络技术已经成为5G、车联网、智能电网等新型通信网络的主流技术，其软件定义网络（虚拟网络）的可用性是至关重要的核心问题，同时虚拟网络服务的安全也尤为重要。

为了解决这些问题，本文首先提出了一种建立在没有考虑修改SDN/NFV技术标准的前提下，基于多网络服务提供商场景提供可用性与安全性的集成体系框架，提出了针对软件定义网络的环境感知服务组合思路来解决可用性与安全性问题，并对可行性进行了综合评估与分析。最后，对软件定义网络的等级保护级别分类进行了探讨，随着等级保护2.0的即将推出，以及软件定义网络技术不断发展，还有很多值得我们一同去思考和改进的地方。

本文作者： 江家仁 / 上海证券交易所 技术管理部