基于软件定义 络与 络功能虚拟化的高可用性及安全性研究

江家仁 / 上海证券交易所 技术管理部 jiarenjiang@sse.com.cn

1 概述

软件定义 络（Software-defined Networks，SDN）将 络控制与数据转发分离。随着控制与数据平面的分离， 络交换机变成了简单的转发设备，逻辑集中控制器出现。SDN优势在于易用和强大的 络控制、便捷和高效的 络管理，以及出色的 络性能。与SDN类似， 络功能虚拟化（Network Function Virtualization，NFV）使用虚拟化技术将服务功能从底层基础设施中分离。它将 络功能从专用硬件转移到通用服务器上。NFV使得服务部署更加迅捷、服务提供更加简单。此外，NFV也降低了 络开支。SDN与NFV技术的相互结合能够进一步提升下一代 络服务能力。

另一方面，用户希望 络畅通、在任何时候都有非常好的线上体验和业务响应速度。这种趋势使得基础运营商和服务提供商需要加强合作，提供易于扩展的 络服务，同时基础投资费用又不过高。基于此，SDN和NFV不在通过一个服务提供商来提供 络服务，而是整合多项服务提供商的服务，实现虚拟 络服务（Virtual Network Service，VNS）。

目前的研究主要集中于SDN和NFV技术集成上，在研究 络功能服务组合时，需要考虑SDN的特性。这些特性包括集中控制、全局视图和动态环境。首先，在SDN中存在逻辑上的集中控制器，有利于服务注册、服务发现等。通过逻辑集中控制器，服务机制可以发现和选择符合需求的服务实例。其次，SDN技术为 络管理员提供了可以 络编程的能力，允许创建动态流策略。集中控制和全局视图的特点给SDN服务组合带来了新的优势，使得服务注册、服务发现更加容易。不过，动态属性使得服务费用在运行时会变化，为了利用SDN的这些特性并满足服务需求，在确保安全性的前提下，更有效的利用 络资源，需要通过环境感知和安全等级保护来保障软件定义 络（高可用安全虚拟 络）的高可用性和安全性。

2 基于SDN/NFV的虚拟 络的脆弱性分析

在多服务提供商场景下分析基于SDN/NFV的虚拟 络服务的脆弱性， 络服务提供商组合基础服务提供商的底层服务，为用户提供 络服务，如图1所示。

图1 虚拟 络服务场景

在该场景中，存在三种角色：用户、 络服务提供商和基础设施服务提供商。基础设施服务提供商管理基于SDN的物理 络或者基于NFV的数据中心，通过子层功能API将基础设施服务发布给 络服务提供商。 络服务提供商可以启动服务、也可以选择关闭服务。但是，他们不能直接访问基础设施。 络服务提供商根据用户的需求组合基础设施服务实现 络服务。用户可以配置虚拟 络，如IP过滤规则等。在上述场景中，对于 络服务可用性而言存在如表1所列的脆弱性问题。这些脆弱性存在于用户层、 络服务层和基础设施服务层。

表1 络服务脆弱性分析

在用户层，因为使用 络服务API操作底层服务是合法的，所以对可用性存在潜在的脆弱性。在该层存在两种子类型的脆弱性。一是用户通过 络服务API执行拒绝服务DoS。例如，用户频繁更改配置，使得 络服务层的控制器不能响应其它请求等。二是合法的用户使用 络服务API进行违规操作，使得 络服务中断。例如，配置了全流量的引入策略使得流量超载等。

在 络服务层，存在潜在的基础设备服务层的脆弱性。根本的原因是攻击者或者合法的 络服务提供商可以通过基础设备服务API操作底层服务。比如攻击者或者合法 络服务提供商频繁移动和关闭基础设施服务，这些动作在短时间内就可耗尽物理资源，使得基础设备服务不在可用，无法提供给其它 络服务提供商。

在基础设施层，也存在几种潜在的可降低 络服务层可用性的脆弱性。攻击者或者恶意基础设施服务提供商中断基础设施服务，使得 络服务层没有资源支持。此外，也可能由于不可预测的原因（如设备故障等）导致基础设备服务提供商不能提供正常的服务。由于 络服务提供商没有控制和恢复基础设施的能力，这些脆弱性对 络服务层而言是威胁较高。

3 基于SDN/NFV面向多服务提供商的高可用性安全服务

3.1体系架构及关键组件

基于SDN/NFV面向多服务提供商的的高可用性安全服务体系结构分为用户层、 络服务层和基础设施层三个层级，如图2所示。用户可以管理控制台配置虚拟 络， 络服务层拥有九个关键组件，基础设施服务层除了SDN控制器和NFV控制器，还引入了抗DoS和违规组件。

图2 基于SDN和NFV的多服务提供商的虚拟 络服务体系架构

具体来说，在用户层中，用户通过多组虚拟 络管理控制台来远程管理与控制虚拟 络配置。

在 络服务层中， 络服务提供商通过基础设施服务API管理虚拟资源，并根据用户请求组合 络服务，这些服务可以通过 络服务API访问。与基础设施服务层类似， 络服务层也具有抗DoS和违规操作的机制，以防止来自北向API的威胁。此外， 络服务层还有监视底层基础设施的机制，并在需要时重组 络服务。

络服务层拥有九个关键组件，其中七个是关于服务组合的，两个是关于保护 络服务可用性的：

1) 基础设施服务注册组件维护来自基础设施服务层的信息，用于 络服务编排执行决策和编排任务；

2) 基础设施服务发现组件提供服务选择和协商能力。它与服务注册组件联系，选择符合用户偏好、场景信息或者其它选择准则的基础设施服务；

3) 场景信息管理组件从控制面板搜集场景信息。信息包括虚拟资源的全局视图和历史场景信息；

4) 服务控制组件给用户应用提供北向接口，北向接口用于请求满足特定需求的 络服务。它利用 络服务编排组件选择合适的基础设施服务链，并满足来自用户层的 络服务需求；

5) 络服务编排触发组件与资源可用性评估组件、场景信息管理组件和服务控制组件交互，监视场景信息和用户请求，然后触发服务编排。 络服务编排组件组合虚拟资源以满足用户的要求，并通过适用性机制管理来解决需求与场景的变化。

6) 抗DoS和违规操作组件用于防止虚拟/物理资源被来自用户层的恶意或者异常行为耗尽。

7) 资源可用性评估组件将评估底层基础设施资源的可用性，并在需要时触发 络服务重新编排。

在基础设施服务层中，基础设施服务提供商管理SDN和NFV服务功能，并通过基础设施服务API为 络服务提供商提供基础设施服务。此外，基础设施服务提供层还具有安全保护操作机制（与 络服务层相关组件联动），用于阻止来自 络服务层的恶意或者异常事件导致物理资源耗尽，保护 络基础设施和服务的安全。

3.2 体系架构的优势

SDN和NFV是相互独立的，一个基础设施服务提供商管理基于SDN的 络，而其他基础设施服务提供商管理NFV资源。这两种类型的基础设施服务提供商没有任何交集。SDN控制和NFV控制器之上的抗DoS和违规组件是在SDN体系结构和NFV体系结构的应用层。它们未对当前的SDN和NFV体系结构做任何改动。

1） 支持多提供商场景

在本体系架构下，虚拟 络服务是在多域范围内的异构 络和计算基础设施实现的，可以提供对多提供商场景的全面支持。

2） 支持环境感知

在 络服务层，环境信息管理组件搜集所有的环境信息，包括来自基础设施服务层、用户层及 络层的信息。服务编排触发组件基于环境信息管理组件，并与其它组件协同后，通知 络服务编排组件重组 络服务。该特性为本架构提升了服务能力的弹性和质量。

3） 具有高可用性和安全性

本架构采用抗DoS和违规防御机制，基础设施服务层能够防御来自 络服务层的威胁，避免资源耗尽。该特性提升了基础设施服务层的安全性。与此同时，使用资源可用性评估机制， 络服务层可以感知每个基础设施服务的可用性。一旦发现某些基础设施服务的服务质量不能满足需求，系统可以自动调度其它满足需求的基础设施服务来保障输出能力。

总之，这些特性提供了一系列切实可行的方法来集成SDN和NFV，以支持 络服务安全与性能保障，也体现了整个体系架构优势所在。

4 软件定义 络的等级保护级别分类

作为下一代主流的通信 络，软件定义 络（高可用安全虚拟 络）的安全保护等级参照国家 络安全等级保护标准要求，分为以下五级：

第一级，系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、 会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护；

第二级，系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对 会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导；

第三级，系统受到破坏后，会对 会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查；

第四级，系统受到破坏后，会对 会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查；

第五级，系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

5 结束语

软件定义 络技术已经成为5G、车联 、智能电 等新型通信 络的主流技术，其软件定义 络（虚拟 络）的可用性是至关重要的核心问题，同时虚拟 络服务的安全也尤为重要。

参考文献：

[1] ETSI Industry Specification Group. Network Functions Virtualisation (NFV): Terminology for main concepts in NFV.

http://www.etsi.org/deliver/etsi _gs/NFV/001_099/003/01.02.01_60/gs_NFV003v010201p.pdf, 2016-07-31.

[2] ITU-T. Requirements and Capabilities for NGN Service Integration and Delivery Environment.

http://www.itu.int/rec/T-REC-Y.2240-201104-I/en , 2016-07-31.

[3] Paganelli F, Ulema M., and Martini B. Context-Aware Service Composition and Delivery in NGSONs over SDN. In: IEEE Communications Magazine, volume:52, issue:8, 2014, 97-105.

[4] Telemanagement Forum. Service Delivery Framework (SDF) Overview, Release 2.0.

http://www.tmforum.org/, 2016-07-31.

[5] GB /T 22239.2 络安全等级保护基本要求 第2部分：云计算安全扩展要求

[6] Russ Whit, 驾驭复杂的 络 SDN+业务虚拟化+业务链, 人民邮电出版 , 2018-03-01