CN106533968A - 基于网络中间设备的软件定义移动网络安全策略配置方法 - Google Patents

基于网络中间设备的软件定义移动网络安全策略配置方法 Download PDF

Info

Publication number
CN106533968A
CN106533968A CN201611189935.4A CN201611189935A CN106533968A CN 106533968 A CN106533968 A CN 106533968A CN 201611189935 A CN201611189935 A CN 201611189935A CN 106533968 A CN106533968 A CN 106533968A
Authority
CN
China
Prior art keywords
network
intermediate equipment
switch
intermediary device
mobile network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611189935.4A
Other languages
English (en)
Other versions
CN106533968B (zh
Inventor
刘宴兵
邝瑶
肖云鹏
李唯果
刘雨恬
赵金哲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing University of Post and Telecommunications
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN201611189935.4A priority Critical patent/CN106533968B/zh
Publication of CN106533968A publication Critical patent/CN106533968A/zh
Application granted granted Critical
Publication of CN106533968B publication Critical patent/CN106533968B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/72Admission control; Resource allocation using reservation actions during connection setup
    • H04L47/726Reserving resources in multiple paths to be used simultaneously
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/78Architectures of resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明请求保护一种基于网络中间设备的软件定义移动网络安全策略。首先,为了把相应中间设备放在网络中最合适的位置,结合dataflow抽象技术,针对外部网络以及内部网络文件系统(NFS),本文制定了不同的策略及其对应的中间设备序列,从而更加灵活地处理网络路由;其次,为了避免某一中间设备成为网络热点造成单点失效,本文基于中间设备和SDN交换机容量限制,制定了整数线性规划(ILP)逻辑路由减枝算法以及线性规划(LP)流量控制算法,使得整个网络能够负载均衡;最后,为了避免中间设备的缓存阻碍访问控制策略的实施,结合常用的数据流跟踪技术,本文对流经中间设备的数据包头部添加标签,使得访问控制规则能正常运行。

Description

基于网络中间设备的软件定义移动网络安全策略配置方法
技术领域
本发明属于网络安全领域,涉及移动互联网安全技术,具体涉及一种软件定义移动网络安全技术。
背景技术
传统网络的层次结构是互联网取得巨大成功的关键。随着网络以及数据的规模和复杂度不断增长,封闭的网络设备内置了过多的复杂协议,这增加了运营商定制优化网络并自动管理网络资源的难度。基于上述挑战,软件定义网络(SDN)应运而生。SDN将数据与控制相分离。在控制层,包括具有逻辑中心化和可编程的控制器,可掌握全局网络信息,方便运营商和科研人员管理配置网络和部署新协议等。在数据层,包括哑的(dumb)交换机(与传统的二层交换机不同,专指用于转发数据的设备)。交换机仅提供简单的数据转发功能,可以快速处理匹配的数据包,适应流量日益增长的需求.两层之间采用开放的统一接口(如OpenFlow)进行交互。
SDMN架构是结合了SDN、网络功能虚拟化(NFV)以及云计算的观点来构建的一个可编程的、灵活的以流为中心的移动网络。它提供了诸如中心化管控、有效的分割、增强自动的灵活性,减少了操作以及设备上的花费。
OpenFlow为网络安全社区提供了新的研究机遇.例如,OF极大简化了大型网络中设计整合复杂网络安全应用的步骤。然而软件定义移动网络(SDMN)开放式接口的引入产生了新一轮的网络攻击形式,造成SDMN的脆弱性。首先,SDMN为数据平面细粒度地追踪管理网络应用提供了有限的支持,这很难支持要求迅速访问网络中关键变化的安全应用。其次,SDMN没有限制任何数据流的通行,因此恶意用户可以很容易地通过控制器向交换机发送蠕虫病毒,通过交换机向控制器进行DDos攻击。最后,SDMN没有控制整个网络中的流量,在恶意用户恶意发送大量数据流的情况下,非法用户恶意占用整个SDMN网络带宽等,都会导致SDMN全方位瘫痪。
网络监测应用通常需要收集完成数据流追踪、统计网络数据、判定通过交换机进行攻击的可疑入口数据等任务的数据。当前的SDMN架构允许应用仅允许应用从交换机中取出明确的信息。然而,这对于要求数据平面的数据来追踪数据流的监测应用来说是不够的。
防火墙、入侵检测系统等网络中间设备是网流监控的物理载体,而网流监控是提供网络高级处理服务的基础,同时是保障网络安全的核心技术手段。因此,为了提升SDMN的安全性能,本文提出了一种基于网络中间设备的软件定义移动网络安全策略。
发明内容
本发明旨在解决以上现有技术的问题。提出了一种基于网络中间设备的软件定义移动网络安全策略配置方法。本发明的技术方案如下:
一种基于网络中间设备的软件定义移动网络安全策略配置方法,配置一个中间设备与SDN交换机直接相连的策略,即根据每个数据流的入口地址、出口地址以及IP前缀将其分为不同类型,每种类型对应不同的中间设备序列,以确定其先后经过的中间设备顺序;还配置一个流量控制算法,制定了整数线性规划ILP逻辑路由减枝算法以及线性规划LP流量控制算法,使得整个网络能够负载均衡;再配置一个增强访问控制性能的策略,结合常用的数据流追踪技术通过对流经中间设备的数据包头部添加标签,使得访问控制规则能正常运行。这三个策略之间首先根据入口地址以及出口地址对数据流进行分类,确定其需要经过的中间设备序列,其次通过ILP线路选择算法选择合适的线路,接着通过LP流量控制算法控制每个设备负载的流量,最后增强中间设备的访问控制性能。
进一步的,所述中间设备与SDN交换机直接相连的策略具体包括:引入防火墙、入侵检测系统、代理服务器在内的网络中间设备;网络中间设备通过与支持SDN功能的交换机直接相连以连接互联网;为每个交换机添加两个转发列表,一个FwdTable确定每一个数据包如何传送给具体的网络中间设备,一个TunnelTable确定如何到达网络中的其他交换机;未与任何网络中间设备相连的交换机使用TunnelTable来将数据包送往具体的交换机,与网络中间设备直接相连的交换机将数据包直接发往具体的网络中间设备并且标记下数据包应该通过的下一个交换机信道编号。
进一步的,所述流量控制算法的策略中,将整个网络控制分为路由选择部分以及负载均衡部分;
路由选择部分制定了整数线性规划ILP逻辑路由减枝算法,主要用于发现网络拓扑结构以及决定整个数据流的流向,数据流量不能超过每个交换机所能承载的最大容量并且每条逻辑线路上都必须有足够多的物理设备保证其顺利通行;
负载均衡部分通过运行线性规划LP流量控制算法,确保经过每个中间设备的流量不超过其上限,从而完成流量限制功能。
进一步的,所述软件定义移动网络包括MobileFlow转发引擎MFFE以及MobileFlow控制器,所述MobileFlow控制器主要有三个功能模块:移动网络功能模块、移动网络抽象功能模块、以及三个接口模块,MFC的南向接口控制转发引擎,横向接口用于与其他的MFC通信并且可以构建内部可信的域间合作;
MobileFlow控制器对应三个接口的功能模块包括网络拓扑自动发现,拓扑资源视图、网络资源管理以及网络功能虚拟化。
本发明的优点及有益效果如下:
本发明提出了一种基于网络中间设备的软件定义移动网络安全策略。首先,为了把相应中间设备放在网络中最合适的位置,结合dataflow抽象技术,针对外部网络以及内部网络文件系统(NFS),本文制定了不同的策略及其对应的中间设备序列,从而更加灵活地处理网络路由;其次,为了避免某一中间设备成为网络热点造成单点失效,本文基于中间设备和SDN交换机容量限制,制定了整数线性规划(ILP)逻辑路由减枝算法以及线性规划(LP)流量控制算法,使得整个网络能够负载均衡;最后,为了避免中间设备的缓存阻碍访问控制策略的实施,结合常用的数据流跟踪技术,本文对流经中间设备的数据包头部添加标签,使得访问控制规则能正常运行。
附图说明
图1是本发明提供优选实施例涉及的SDMN架构图;
图2是本发明涉及的SDMN数据流图;
图3是本发明涉及的SDMN的MFC的结构图;
图4是本发明提出的一种基于网络中间设备的软件定义移动网络安全策略的架构图;
图5是本发明的网络中间设备路由选择策略图;
图6是本发明的网络中间设备访问控制策略图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、详细地描述。所描述的实施例仅仅是本发明的一部分实施例。
本发明解决上述技术问题的技术方案是,
如图1所示为SDMN架构图,SDMN的要求就是为未来网络架构提供最大化的灵活性、开放性以及可编程性而不需要对用户设备做任何改进。SDMN架构中最重要的结构部分是MobileFlow转发引擎(MFFE)以及MobileFlow控制器(MFC),SDMN将移动网络控制功能从用户平面组件中抽取出来。这样用户平面及MobileFlow转发引擎(MFFE)变得简单、稳定并且高效同时控制平面即(MFC以及移动网络应用)可以以一种逻辑上集中控制地方式被部署。MFFE中的数据转发可以完全被软件定义,同时控制软件可以灵活地将用户通信数据发送给不同的服务支持者。
每一个MFFE包括标准的移动网络信道处理能力(例如GTP-U以及GRE封装/解封装功能),因此在MFC的支持下MFFE可以与分组核心演进(EPC)设备融合在一起。MFFE也包括移动接入点的核心功能例如一个无线接口来管理无线承载。如图2所示SDMN并未要求UE做任何改动,无线接入MFFE可以通过现有的eNodeBs以及在核心网络中对MFFEs增加的SGW/PGW的功能。
每一个MFFE通过在MobileFlow控制接口中实现了的lightweight协议与MFC通信,按照从MFC接收到的规则对用户数据包进行封装/解封装并将数据包发送到通信网络中。
如图3所示为MFC的结构图。MFC主要有三个功能模块:移动网络功能、移动网络抽象功能、以及对应三个接口的功能。MFC的南向接口控制MFFE,横向接口用于与其他的MFC通信并且可以构建内部可信的域间合作。
MFC依赖于网络层次抽象,对应三个接口的功能模块包括网络拓扑自动发现,拓扑资源视图、网络资源管理以及网络功能虚拟化。网络功能模块包括信道处理、路由、移动锚等。这些抽象响应了高层次的描述并且对于特定的MFFE实施是不可知的。因此一个操作者可以很轻松地适用不同生产厂商生产的MFFE来部署新的不依赖于信道的移动网络架构。
下面详细阐述本发明中网络中间设备的路由选择步骤(如图5所示):
1、为每个交换机添加两个转发列表,一个FwdTable确定每一个数据包如何传送给具体的网络中间设备,一个TunnelTable确定如何到达网络中的其他交换机。
2、未与任何网络中间设备相连的交换机使用TunnelTable来将数据包送往具体的交换机,与网络中间设备直接相连的交换机将数据包直接发往具体的网络中间设备并且标记下数据包应该通过的下一个交换机信道编号。
下面详细阐述本发明中访问控制步骤(如图6所示):
3、为每个网络中间设备添加一个actiontable以及一个flowtable
4、当C2第一次访问proxy时proxy添加tag=4,并将该请求发送到ACRL当ACRL接收到该请求时便向actiontable查询查询到阻塞,便不允许该请求通过。从而成功地完成了访问控制。
下面详细阐述本发明中拓扑发现算法:
5、拓扑发现部分,主要用于发现网络拓扑结构以及减枝选择过程,即决定整个数据流的流向,不能超过每个交换机所能承载的最大容量并且每条逻辑线路上都必须有足够多的物理设备保证其顺利通行运行算法如下:
运行基于整数线性规划(ILP)的减枝算法完成路线选择。
min MaxMboxOccurs
s.t dc,q∈{0,1}
MaxMboxOccurs=max(MboxUsedj)
具体步骤如下:当一个物理序列被选中时,其对应的dc,q=1,否则dc,q=0.为了保证每条逻辑序列都被很好地划分到具体的物理序列,给定一个覆盖值Cov
并计算交换机所承载的容量令其小于交换机总的容量上限TCAM.
为了确保没有安全设备成为网络中的热点设备,承载过多流量最后造成单点失效。通过线性规划算法,首先计算所选物理序列中使用安全设备的个数,
再找出其中的最大值
MaxMboxOccurs=max(MboxUsedj)
最后将该最大值最小化
MaxMboxOccurs>=MboxUsedj
从而选择最佳路由。
6、负载均衡部分运行基于线性规划(LP)的负载限制算法从而完成流量限制功能。
运行如下算法:
min MaxMboxLoad
MaxMboxLoad=max(Loadj)
具体步骤如下:
首先要确保所有逻辑策略的网络均被分配到具体的物理序列中,
其次,计算每一个安全设备所负载的流量
并找出安全设备负载流量的最大值并将其最小化
MaxMboxLoad>=Loadj
最后,按照拓扑发现中得到的fc,q将网络通信分为小的序列。假设所有的数据包都是按照其子前缀来划分的,如果网络负载有所偏斜将通过交换机的规则匹配来重新使网络负载均衡。根据网络规模选择SwitchTunnel。对每一个物理序列PhysSeqc,q为数据包头部添加ProcState标签。根据标签的判别如何对数据包进行下一步操作。
以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (4)

1.一种基于网络中间设备的软件定义移动网络安全策略配置方法,其特征在于,配置一个中间设备与SDN交换机直接相连的策略,即根据每个数据流的入口地址、出口地址以及IP前缀将其分为不同类型,每种类型对应不同的中间设备序列,以确定其先后经过的中间设备顺序;还配置一个流量控制算法,制定了整数线性规划ILP逻辑路由减枝算法以及线性规划LP流量控制算法,使得整个网络能够负载均衡;再配置一个增强访问控制性能的策略,结合常用的数据流追踪技术通过对流经中间设备的数据包头部添加标签,使得访问控制规则能正常运行。
2.根据权利要求1所述的基于网络中间设备的软件定义移动网络安全策略配置方法,其特征在于,所述中间设备与SDN交换机直接相连的策略具体包括:引入防火墙、入侵检测系统、代理服务器在内的网络中间设备;网络中间设备通过与支持SDN功能的交换机直接相连以连接互联网;为每个交换机添加两个转发列表,一个FwdTable确定每一个数据包如何传送给具体的网络中间设备,一个TunnelTable确定如何到达网络中的其他交换机;未与任何网络中间设备相连的交换机使用TunnelTable来将数据包送往具体的交换机,与网络中间设备直接相连的交换机将数据包直接发往具体的网络中间设备并且标记下数据包应该通过的下一个交换机信道编号。
3.根据权利要求1或2所述的基于网络中间设备的软件定义移动网络安全策略配置方法,其特征在于,所述流量控制算法的策略中,将整个网络控制分为路由选择部分以及负载均衡部分;
路由选择部分制定了整数线性规划ILP逻辑路由减枝算法,主要用于发现网络拓扑结构以及决定整个数据流的流向,数据流量不能超过每个交换机所能承载的最大容量并且每条逻辑线路上都必须有足够多的物理设备保证其顺利通行;
负载均衡部分通过运行线性规划LP流量控制算法,确保经过每个中间设备的流量不超过其上限,从而完成流量限制功能。
4.根据权利要求1或2所述的基于网络中间设备的软件定义移动网络安全策略配置方法,其特征在于,所述软件定义移动网络包括MobileFlow转发引擎MFFE以及MobileFlow控制器,所述MobileFlow控制器主要有三个功能模块:移动网络功能模块、移动网络抽象功能模块、以及三个接口模块,MFC的南向接口控制转发引擎,横向接口用于与其他的MFC通信并且可以构建内部可信的域间合作;MobileFlow控制器对应三个接口的功能模块包括网络拓扑自动发现,拓扑资源视图、网络资源管理以及网络功能虚拟化。
CN201611189935.4A 2016-12-21 2016-12-21 基于网络中间设备的软件定义移动网络安全策略配置方法 Active CN106533968B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611189935.4A CN106533968B (zh) 2016-12-21 2016-12-21 基于网络中间设备的软件定义移动网络安全策略配置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611189935.4A CN106533968B (zh) 2016-12-21 2016-12-21 基于网络中间设备的软件定义移动网络安全策略配置方法

Publications (2)

Publication Number Publication Date
CN106533968A true CN106533968A (zh) 2017-03-22
CN106533968B CN106533968B (zh) 2019-09-10

Family

ID=58340803

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611189935.4A Active CN106533968B (zh) 2016-12-21 2016-12-21 基于网络中间设备的软件定义移动网络安全策略配置方法

Country Status (1)

Country Link
CN (1) CN106533968B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109669737A (zh) * 2018-12-19 2019-04-23 百度在线网络技术(北京)有限公司 应用处理方法、装置、设备和介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681305A (zh) * 2016-01-15 2016-06-15 北京工业大学 一种sdn防火墙系统及实现方法
CN106209336A (zh) * 2016-07-14 2016-12-07 东南大学 一种软件定义移动网络中的资源分配方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681305A (zh) * 2016-01-15 2016-06-15 北京工业大学 一种sdn防火墙系统及实现方法
CN106209336A (zh) * 2016-07-14 2016-12-07 东南大学 一种软件定义移动网络中的资源分配方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
KOSTAS PENTIKOUSIS等: "Mobileflow: Toward software-defined mobile networks", 《IEEE COMMUNICATIONS MAGAZINE 》 *
MADHUSANKA LIYANAGE 等: "Security for Future Software Defined Mobile Networks", 《2015 9TH INTERNATIONAL CONFERENCE ON NEXT GENERATION MOBILE APPLICATIONS, SERVICES AND TECHNOLOGIES》 *
MADHUSANKA LIYANAGE等: "Load Balancing in Software Defined Mobile Networks", 《SOFTWARE DEFINED MOBILE NETWORKS (SDMN): BEYOND LTE NETWORK ARCHITECTURE》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109669737A (zh) * 2018-12-19 2019-04-23 百度在线网络技术(北京)有限公司 应用处理方法、装置、设备和介质
CN109669737B (zh) * 2018-12-19 2023-04-18 百度在线网络技术(北京)有限公司 应用处理方法、装置、设备和介质

Also Published As

Publication number Publication date
CN106533968B (zh) 2019-09-10

Similar Documents

Publication Publication Date Title
US11343152B2 (en) Traffic management for smart network interface cards
CN105591978B (zh) 基于网络的服务功能链接
CN109561108B (zh) 一种基于策略的容器网络资源隔离控制方法
CN106105115B (zh) 用于由服务节点始发的服务链的方法、介质、及装置
CN104350467B (zh) 用于使用sdn的云安全性的弹性实行层
CN105493450B (zh) 动态检测网络中的业务异常的方法和系统
CN103782546B (zh) 拆分架构网络中的全网络流量监测
CN105429870B (zh) Sdn环境下的vxlan安全网关装置及其应用方法
CN103548376B (zh) 通过openflow数据平面在云计算机中实现epc
CN106302206B (zh) 报文的转发处理方法、装置及系统
CN105337881B (zh) 一种数据报文的处理方法、业务节点以及引流点
CN107925589A (zh) 将远程设备管理属性分发给服务节点以用于服务规则处理
CN106610888A (zh) 电源供应单元、测试方法以及非暂态计算机可读存储介质
US11102169B2 (en) In-data-plane network policy enforcement using IP addresses
CN105765946A (zh) 支持数据网络中的服务链接的方法和系统
CN107733795B (zh) 以太网虚拟私有网络evpn与公网互通方法及其装置
WO2022011578A1 (en) Method and apparatus for isolation support in network slicing
US11516184B2 (en) Firewall service insertion across secure fabric preserving security group tags end to end with dual homed firewall
US20210226866A1 (en) Threat detection of application traffic flows
US11811613B2 (en) Method and apparatus for automated spanning-tree loop detection in networks
US11012412B2 (en) Method and system for network traffic steering towards a service device
CN112956159A (zh) 针对有线网络的主动定向数据平面业务监视
CN107979614A (zh) 数据包检测方法及装置
CN108833305A (zh) 主机的虚拟网络架构
CN109120492A (zh) 一种存储单元、源交换机、报文转发方法及镜像系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant