CN110225008B - 一种云环境下sdn网络状态一致性验证方法 - Google Patents

Abstract

本发明公开了一种云环境下SDN网络状态一致性验证方法，从网络更新请求和响应两个方面进行验证，包括请求验证、安全规则验证和转发层路径验证；在网络更新请求阶段，通过解析网络状态元数据形成约束空间，并解析安全策略形成安全空间，解析网络更新请求并依次与约束空间和安全空间进行快速验证，实时检测出恶意请求，确保控制器维护正确的全局网络视图，同时保证控制器向转发层下发的流规则与安全策略一致；在网络状态更新响应阶段，通过SDN控制器主动发送探测数据包验证流转发路径，采用OpenFlow的组表方式在探测数据包头部添加标签标记数据包在转发层的实际转发路径，实现了轻量级的数据包转发路径验证及异常路径定位。

Description

一种云环境下SDN网络状态一致性验证方法

技术领域

本发明涉及云环境下虚拟网络安全技术领域，尤其是涉及一种云环境下SDN网络状态一致性验证方法。

背景技术

软件定义网络(Software Defined Networking，SDN)是一种将数据平面与控制平面解耦合，在逻辑上实现集中控制和管理的新型网络架构。SDN的出现为管理云环境下大规模虚拟网络提供了一种有效的解决方案。SDN中一个重要的挑战是保障高层定义的网络功能与底层转发设备配置的一致性，即保证控制层配置的网络功能和策略在转发层得到了相应的实现。SDN是典型的流规则驱动型网络，流规则的合法性和一致性是保证SDN正常且有效运行的基础，由于转发层的网络设备对控制器下发的流规则完全信任，一旦由恶意应用程序提供的流规则或被恶意攻击更改的流规则被执行，将使SDN的安全性面临严重威胁。因此，对流规则的合法性和一致性进行检查，防止恶意和非法流规则的扩散，并确保流规则的正确下发和执行对SDN的安全运行至关重要。

在SDN网络状态更新的整个过程中，依次会面临控制器错误网络视图、流规则与安全规则冲突以及流表分布式拒绝服务(DDoS)攻击或流规则下发延迟等三类安全威胁导致网络状态发生不一致。云环境中，底层网络配置分布在许多终端主机上且终端主机中实现的虚拟网络设备可靠性低于专用的网络设备，更容易遭受各种攻击破坏预期的网络功能，导致转发层与控制层的网络状态不一致。在多租户环境中，转发层错误的网络配置可能将租户私有网络流量暴露给未授权的用户而产生安全漏洞。

目前针对SDN网络状态一致性问题的研究主要分为三类：第一类是针对控制层策略冲突检测及消解，控制层运行着多个自定义或第三方提供的应用，这些应用生成的流规则间可能会出现相互竞争、彼此冲突或覆盖的情况。但控制层的策略正确不能保障转发层转发状态的正确，所以还需对转发层进行监控确保数据正常转发。第二类是针对转发层异常行为进行检测，SDN的灵活机制导致对转发层攻击的防御变得非常复杂，目前对转发层网络状态的研究主要集中在转发行为异常检测及验证上。第三类是针对控制层与转发层网络状态一致性的验证。通过获取两层的网络状态进行全局对比定位出网络状态的不一致。

现有的研究方法存在的缺陷主要有：1)集中解决SDN中单层网络状态不一致，或者某一类攻击导致的网络状态不一致，由于网络中有多种攻击，一种攻击不能保证网络状态的一致性；2)由于云环境下网络状态是灵活多变的，通过获取网络状态进行全局对比定位出网络状态的不一致，不能确保获取到的网络状态是最新的，且进行全局对比会带来巨大的计算和通信开销；3)在云环境中，网络配置分散在多个虚拟网络终端中，依靠终端主机在数据平面上实现网络功能，因此云环境下SDN的实现机制与纯SDN环境中有差别，基于核心的SDN开发技术不能直接用于云平台。

发明内容

本发明所要解决的技术问题是提供一种云环境下SDN网络状态一致性验证方法，实时验证网络更新请求的合法性并确保下发到转发层的流转发路径与控制层定义的转发逻辑的一致性。

为解决上述技术问题，本发明采用的技术方案是：

一种云环境下SDN网络状态一致性验证方法，包括以下步骤：

步骤1：通过控制器全局网络视图获取当前网络中虚拟机的IP-MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息，将这些信息解析形成约束空间；调用应用程序编程接口(API)获取网络中的安全策略，解析形成安全空间；

步骤2：控制器收到流规则请求消息Packet-In时，提取请求数据包中的元数据与约束空间进行对比，如果有冲突，则控制器拒绝该请求；

步骤3：约束空间验证通过后，控制器计算请求数据包的转发路径，在流规则下发前将转发路径信息与安全空间进行对比验证，验证请求的转发路径是否与网络当前的安全策略有冲突，有冲突则验证不通过，控制器不下发流规则，并向管理员发出恶意请求告警；

步骤4：若约束空间验证和安全空间验证都通过，则控制器向转发层下发流规则，同时将流转发路径和根据流转发路径计算出的流转发路径标签存储在流路径表中，存储格式为<header,path(f),tag(f)>，其中header为流f请求的数据包包头信息，path(f)是解析出的流f的路径端口序列，tag(f)是根据路径端口序列计算出的哈希值；

步骤5：构建控制器探测数据包，控制器构造探测数据包需满足两个条件，其一，控制器构造探测数据包的头部匹配域字段要与转发路径请求流的匹配域字段完全一致，其二，探测数据包需要用数据包头部的保留字段标识，且该保留字段必须不属于OpenFlow协议中规定的匹配域；

步骤6：交换机在转发层对探测数据包添加流转发路径标签，从而标记探测数据包的转发路径；即在入口交换机上为探测数据包添加流转发路径标签来记录流转发路径信息，在中间交换机上更新流转发路径标签，当探测数据包转发到出口交换机时，交换机触发Packet-In事件，将探测数据包包头和流转发路径标签上报给控制器；

步骤7：控制器收到出口交换机报告的探测数据包时，快速解析探测数据包头部信息，通过探测数据包头部中的流转发路径标签值与流路径表中tag值进行对比验证，若tag值一致，则验证成功；若控制层接收不到探测数据包的流转发路径标签值且超过设置时间，则判断该流转发路径不一致，将流转发路径标记成异常路径。

进一步的，在步骤4中，存储header时使用二叉决策图形式。

与现有技术相比，本发明的有益效果是：在网络更新请求阶段，本发明解析网络状态元数据形成约束空间，且解析安全策略形成安全空间，解析网络更新请求并依次与约束空间和安全空间进行快速验证，实时检测出恶意请求，确保控制器维护正确的全局网络视图，同时保证控制器向转发层下发的流规则与安全策略一致。在网络状态更新响应阶段，本发明通过SDN的组表方式在数据包头部添加标签标记数据包转发路径，同时控制器主动发送探测包验证路径，实现了轻量级的数据包转发路径验证及异常路径定位。

附图说明

图1是本发明网络状态一致性验证框架图；

图2是本发明中网络更新请求合法性验证过程示意图；

图3是本发明中网络更新响应中转发层路径验证过程示意图。

具体实施方式

本发明实现原理为：在网络更新请求阶段，通过控制器全局网络视图获取当前网络中虚拟机的IP-MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息等，并将这些信息解析形成约束空间。

调用API接口获取网络中的安全策略，解析形成安全空间。在云平台中安全策略以链的形式组织，每条链定义了一系列规则，每个规则定义了匹配数据包集和相关的ACCEPT、DROP及调用其他链的动作。本发明提出的安全链解析算法如下。安全链解析算法顺序的解析一条链包含的所有规则，分别获得数据包的ACCEPT/DROP(S_A/S_D)空间。安全空间用规则匹配的数据包源信息P_Src和目的信息P_Dst表示，P_Src由(SrcIP,SrcPort,Protocol)组成，P_Dst由(DstIP,DstPort)组成。规则由匹配数据包集合(p_m)、规则动作(action)和被调用的链(CalledChain)构成。解析完一个新规则后，算法在相关的动作类型空间中增加新的匹配的数据包信息。如果动作是调用另一个链，该算法会递归地遍历调用链并获得它的ACCEPT和DROP空间并相应的更新到安全链的安全空间中。因为链之间的调用关系是一个有向无环图，该算法可以遍历一组安全规则配置中的所有链，且每个链只需遍历一次。每条链解析到的信息的并集组成安全空间，当平台中增加或更新安全规则时，实时解析相应的规则并更新到安全空间里。

算法安全链解析(ParseSecurityChain)

输入：securityChain

输出：s_a,s_d

通过截取Packet-In请求并解析请求数据包信息，将请求信息与维护的约束空间对比，若是恶意请求，则验证不会通过，拒绝该请求。

若请求验证通过，控制器根据当前网络状态为该请求计算出一条转发路径，在流规则下发前将转发路径信息与安全空间进行对比验证，验证请求的转发路径是否与网络当前的安全策略有冲突。本发明基于头部空间分析(HSA)计算流路径。流f的路径可描述为交换机端口的一个序列，即

验证通过表明流更新请求合理，控制器向转发层下发流规则，同时将转发路径和根据转发路径计算出的流转发路径标签存储在流路径表中。

在网络状态更新响应阶段，通过使用探测数据包验证转发层的实际转发路径来确保控制层的策略正确下发到转发层。实现的原理为：

控制器主动发送探测数据包来完成流转发路径的探测。控制器构造探测数据包时需满足两个要求，首先为了探测数据包的真实转发路径，控制器构造探测数据包的头部匹配域字段要与转发路径请求流的匹配域字段完全一致。其次，用于区分探测数据包与正常探测数据包，探测数据包需要用数据包头部的保留字段标识，且该保留字段必须不属于OpenFlow协议中规定的匹配域，本发明使用服务类型(ToS)字段来区分探测数据包与正常探测数据包。

交换机在转发层对数据包添加标签，从而标记数据包转发的路径。具体地，在入口交换机上为数据包添加标签记录路径信息，在中间交换机上更新标签，当数据包转发到出口交换机时，将数据包头和标签上报给控制器。

控制器收到出口交换机报告的流标签时，使用二叉决策图(BDD)快速解析数据包头部信息，通过验证标签值与流路径表中tag值进行对比，若tag值一致，则验证成功。若不一致，则验证失败，即控制层策略未能正确下发到转发层，数据包转发路径出现了异常，根据流路径表快速定位出异常路径。

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1给出了本发明中网络状态一致性框架。如图1所示，该系统可用于检测网络状态更新中导致网络状态产生不一致的各种安全威胁，确保网络状态的正确更新，基于网络更新请求和网络更新响应两个阶段设计的主要模块包括：请求验证模块(约束空间验证)，安全规则验证模块(安全空间验证)，转发层路径验证模块。

请求验证模块主要通过截取Packet-In请求并解析数据包信息，与在约束空间中维护的当前网络中虚拟机的IP-MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息等元数据进行验证，确保网络请求合法。

安全规则验证模块是在网络请求合法性验证通过后，控制器根据当前网络状态为该请求计算出一条转发路径，在流规则下发前将转发路径信息与安全空间进行对比验证，验证请求的转发路径是否与网络当前的安全策略有冲突。

转发层路径验证模块主要是验证控制器发送的流规则是否成功安装在数据平面中，即转发层的实际转发路径是否与控制层下发的转发路径一致。

图2给出了上述请求验证和安全规则验证模块的示意图，该两个模块都是在网络更新请求验证过程中验证的。

由于恶意主机会发出伪造的Packet-In消息毒害控制器网络视图或者欺骗控制器下发恶意流表。控制器收到流规则请求消息Packet-In时，提取数据包中的元数据与约束空间进行对比，如果有冲突，控制器则拒绝该请求。例如，恶意ARP请求时，解析到的IP-MAC绑定信息与约束空间存储的信息不一致，因此控制器会拒绝该请求。

请求验证模块验证通过后控制器计算请求数据包的转发路径，接着验证转发路径是否与安全规则冲突。若转发路径与安全空间冲突，则验证不通过，控制器不下发流规则，并向管理员发出恶意请求告警。

安全规则验证通过表明流更新请求合理，控制器向转发层下发流规则，同时将流转发路径和根据转发路径计算出的流标签存储在流路径表中，存储格式为<header，path(f)，tag(f)>，其中header为流f请求的数据包包头信息，path(f)是解析出的流f的转发路径端口序列，tag(f)是根据转发路径端口序列计算出的哈希值。

由于BDD可简洁而唯一的表示出每个字段的布尔值以及这些字段在匹配到某些条件后的相应操作，在存储header时使用BDD形式。

完成网络更新请求合法性的验证后，转发层路径验证模块验证控制层下发的流规则是否正确的安装到了转发层。

图3给出转发层路径验证过程示意图。在控制器向转发层下发流规则后，控制器主动发送探测数据包来完成流转发路径的探测。控制器构造探测数据包时需满足两个要求，首先为了探测数据包的真实转发路径，控制器构造探测数据包的头部匹配域字段要与被探测流的匹配域字段完全一致。其次，用于区分探测数据包与正常探测数据包，探测包需要用数据包头部的保留字段标识，且该保留字段必须不属于OpenFlow协议中规定的匹配域，本发明使用ToS字段来区分探测数据包与正常探测数据包。

控制器获取转发路径上的所有交换机，向第一跳交换机下发组表，组表中的动作为：

1)给探测数据包添加标签

使用哈希函数生成标签tag＝hash(p_in，switchID，p_out)，为了避免数据包在转发层发生环路或黑洞等给数据包附上生存时间值(TTL)，并初始化为最大路径长度；

2)正常转发数据包

向中间交换机下发组表，组表中的动作为：

1)更新探测数据包标签

同时TTL的值减1；

2)正常转发数据包

最后在出口交换机或探测数据包TTL为0时，交换机触发Packet-In事件，将探测数据包包头信息及标签信息发送给控制器，标签格式是<header,tag>二元组。

为了不修改OpenFlow协议需将标签存放在OpenFlow支持的包头域中，本发明将标签存放在数据包头虚拟局域网标签(VLAN tag)中。云环境下数据包可能自带有VLAN tag来进行数据包隔离，因此将路径标签添加在支持两层VLAN tag的QinQ帧的外层VLAN包头域中，在添加标签时将VLAN tag域中标签协议标识设为0x88a8。

控制器收到出口交换机报告的流标签时，使用BDD快速解析数据包头部信息，通过验证BDD表示是否有交集来确定数据包包头是否为header∈packet.header，其中header为转发层报告的数据包包头，packet.header为路径表项中存储的数据包包头信息；接着将转发路径标签值与路径表中tag值进行对比，若tag值一致，则验证成功。若不一致，则验证失败，即控制层流规则未能正确下发到转发层，数据包转发路径出现了异常，根据流路径表快速定位出异常路径。

当流规则未能正常下发到转发层时，探测数据包可能不会被转发到出口交换机，控制层接收不到探测数据包的转发路径标签值，因此流标签验证时会设置一个超时时钟，若时钟超时，也判断该流转发路径不一致，将流转发路径标记成异常路径。本发明中时钟时长是根据系统中测试的数据包总体延迟决定的，确保大部分情况下不会产生误报，同时也加快了检测异常的速度。

Claims (2)

1.一种云环境下SDN网络状态一致性验证方法，其特征在于，包括以下步骤：

步骤1：通过控制器全局网络视图获取当前网络中虚拟机的IP-MAC绑定信息、网络拓扑状态、交换机链路连接及端口信息，将这些信息解析形成约束空间；调用应用程序编程接口获取网络中的安全策略，解析形成安全空间；

步骤2：控制器收到流规则请求消息Packet-In时，提取请求数据包中的元数据与约束空间进行对比，如果有冲突，则控制器拒绝该请求；

步骤3：约束空间验证通过后，控制器计算请求数据包的转发路径，在流规则下发前将转发路径信息与安全空间进行对比验证，验证请求的转发路径是否与网络当前的安全策略有冲突，有冲突则验证不通过，控制器不下发流规则，并向管理员发出恶意请求告警；

步骤4：若约束空间验证和安全空间验证都通过，则控制器向转发层下发流规则，同时将流转发路径和根据流转发路径计算出的流转发路径标签存储在流路径表中，存储格式为<header,path(f),tag(f)>，其中header为流f请求的数据包包头信息，path(f)是解析出的流f的路径端口序列，tag(f)是根据路径端口序列计算出的哈希值；

步骤5：构建控制器探测数据包，控制器构造探测数据包需满足两个条件，其一，控制器构造探测数据包的头部匹配域字段要与转发路径请求流的匹配域字段完全一致，其二，探测数据包需要用数据包头部的保留字段标识，且该保留字段必须不属于OpenFlow协议中规定的匹配域；

步骤6：交换机在转发层对探测数据包添加流转发路径标签，从而标记探测数据包的转发路径；即在入口交换机上为探测数据包添加流转发路径标签来记录流转发路径信息，在中间交换机上更新流转发路径标签，当探测数据包转发到出口交换机时，交换机触发Packet-In事件，将探测数据包包头和流转发路径标签上报给控制器；

步骤7：控制器收到出口交换机报告的探测数据包时，快速解析探测数据包头部信息，通过探测数据包头部中的流转发路径标签值与流路径表中tag值进行对比验证，若tag值一致，则验证成功；若控制层接收不到探测数据包的流转发路径标签值且超过设置时间，则判断该流转发路径不一致，将流转发路径标记成异常路径。

2.如权利要求1所述的一种云环境下SDN网络状态一致性验证方法，其特征在于，在步骤4中，存储header时使用二叉决策图形式。

Images