一種基于OpenFlow流的網(wǎng)絡安全審計、接入系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡通信領(lǐng)域,具體地說是提出一種基于化enFloW流的網(wǎng)絡安全審 計/接入控制系統(tǒng)和方法。
【背景技術(shù)】
[0002] 目前,因特網(wǎng)是現(xiàn)代社會不可或缺的信息基礎(chǔ)設(shè)施,但它具有的開放性使其無時 無刻都面對著形形色色的網(wǎng)絡威脅,為此人們發(fā)展了各種各樣的網(wǎng)絡安全機制及其設(shè)備來 提升網(wǎng)絡的安全性。運些安全設(shè)備類型多、數(shù)量大、配置復雜,運既推高了網(wǎng)絡系統(tǒng)的造價, 也頻頻引發(fā)網(wǎng)絡故障和工作低效等問題。
[0003] 網(wǎng)絡安全審計和接入控制是兩種廣泛使用的網(wǎng)絡安全機制。網(wǎng)絡安全審計通過 記錄網(wǎng)絡實體巧日主機和路由器等的應用程序或協(xié)議)的行為和活動軌跡,形成了能夠追溯 網(wǎng)絡實體蹤跡使之對其行為后果負責的威懾力。網(wǎng)絡接入控制則通過鑒別網(wǎng)絡實體的身 份,確保其身份真實性,提供拒絕非法網(wǎng)絡實體入網(wǎng)的能力。目前實現(xiàn)運些網(wǎng)絡安全設(shè)備 還存在不少問題。問題1:實現(xiàn)安全設(shè)備的軟硬件成本較高,首先要將網(wǎng)絡流量轉(zhuǎn)化為流 (flow),而轉(zhuǎn)化時對相關(guān)設(shè)備的計算、存儲能力要求非常高。問題2 :使用不同的專用設(shè)備 并部署在網(wǎng)絡不同的位置,運導致網(wǎng)絡管理和設(shè)備造價的成本上升。
[0004] 軟件定義網(wǎng)絡(SoftwareDefinedNetworking,SDN)是一種新型網(wǎng)絡體系結(jié)構(gòu), 它分離了控制平面與數(shù)據(jù)平面,控制器W集中式方式處理網(wǎng)絡邏輯,交換機只根據(jù)控制器 下發(fā)的流表來轉(zhuǎn)發(fā)分組流,從而為創(chuàng)新網(wǎng)絡安全技術(shù)提供了可能?;痚nFlow-種是體現(xiàn) SDN概念的標準,已經(jīng)在數(shù)據(jù)中屯、、網(wǎng)絡管理等領(lǐng)域得到了廣泛使用,商用化enFlow交換機 價格較經(jīng)濟。當來自網(wǎng)絡實體應用流的首個分組到達化enFlow交換機時,會被轉(zhuǎn)發(fā)至控制 器;控制器則根據(jù)軟件定義的邏輯向化enFlow交換機下發(fā)相應流表項,W此控制管理應用 流??梢姡痚nFlow技術(shù)處理網(wǎng)絡流量W流為基礎(chǔ),運為解決上述兩個問題提供了新思路。 此外,由于安全審計機制需要W存儲、處理海量數(shù)據(jù)為支撐,而近年來發(fā)展起來的廉價開源 云平臺,具有實現(xiàn)高效存儲和快速查找流信息等能力。
【發(fā)明內(nèi)容】
陽0化]本發(fā)明針對目前IP網(wǎng)絡中廣泛使用的網(wǎng)絡安全審計/接入控制機制存在的實現(xiàn) 技術(shù)復雜、設(shè)備成本高等問題,提出了一種基于化enFlow流的網(wǎng)絡審計/接入控制系統(tǒng)和 方法。
[0006] 一種基于化enFlow流的網(wǎng)絡安全審計、接入系統(tǒng),它包括: 一臺或多臺化enFlow交換機、1臺SDN控制器、1個策略服務器和1個云平臺,其中; 策略服務器用于向SDN控制器下發(fā)主機接入控制安全策略和主機安全審計策略; SDN控制器與化enFlow網(wǎng)絡中的各化enFlow交換機相連,SDN控制器收集化enFlow網(wǎng)絡的拓撲和流信息,通過設(shè)置化enFlow交換機流表項來執(zhí)行網(wǎng)絡安全審計和接入控制, 并將流信息插入云平臺; 化enFloW交換機用于建立主機之間的通信鏈路。
[0007] 一種基于化enFloW流的網(wǎng)絡安全接入方法,它包括下列步驟: A、 策略服務器向SDN控制器下發(fā)主機接入控制安全策略,所述的接入控制安全策略包 含流信息,運些接入控制安全策略用于告知SDN控制器符合哪些條件的主機可W接入; B、 任一用戶主機化Stl通過化enFlow交換機接入網(wǎng)絡與其他主機通信之前,向目的主 機化st2發(fā)送請求報文; C、 當報文到達時,化enFlow交換機用本機的流表項匹配該報文,如果能夠匹配上,交換 機就按流表項轉(zhuǎn)發(fā)報文;如果不能匹配,則將該請求報文用Packet-in消息封裝,向SDN控 制器轉(zhuǎn)發(fā); D、SDN控制器接收到該分組入(Packet-in)報文,通過解析提取出相關(guān)流信息,將其與 接入控制安全策略中的流信息進行對比;若無法匹配,則丟棄該請求報文,使請求接入的主 機化Stl流無法接入網(wǎng)絡;若匹配,則計算主機化Stl到達目的主機化st2的通信路徑,主 機化Stl流能夠接入網(wǎng)絡; E、SDN控制器為通信路徑設(shè)及的化enFlow交換機下達修改狀態(tài)(Modify-State)報文, 使運些化enFlow交換機安裝流表項并能夠轉(zhuǎn)發(fā)主機化Stl請求報文及后繼報文。
[000引 3、根據(jù)權(quán)利要求1所述的基于化enFlow流的網(wǎng)絡安全接入方法,其特征是:步驟 A中,主機接入控制安全策略包括:接入時間、黑名單中主機流信息、白名單中主機流信息 和特定接入信息。
[0009] 4、一種基于化enFloW流的網(wǎng)絡安全審計方法,其特征在于,它包括從流信息提取 審計日志的步驟和分析流日志的步驟; 從流信息提取審計日志的基本步驟如下: 1) SDN控制器向OpenFlow交換機發(fā)送控制器到交換機(controller-to-switch)的 修改狀態(tài)(Modify-state)、讀狀態(tài)(Read-state)和發(fā)送分組(Send-packet) 3種子類型報 文,或者OpenFlow交換機向SDN控制器發(fā)起入分組(Packet-in)、流取消(Flow-removed)、 端口狀態(tài)(Port-status)和差錯(Error) 4種異步報文時,SDN控制器提取相關(guān)流信息形成 流記錄; 2) SDN控制器W"目的IP地址"+"時間戳"為行鍵,將上述流記錄插入云平臺的庫表 中; 分析流日志的步驟如下: 1) 策略服務器向SDN控制器下發(fā)主機安全審計策略,W告知SDN控制器如何進行安全 審計; 2) 用戶向SDN控制器發(fā)送安全審計請求; 3) SDN控制器收到審計請求時,W"目的IP地址"+"時間戳"為行鍵在云平臺查找出 所有符合條件的審計日志,并向SDN控制器反饋查找的結(jié)果; 4) SDN控制器根據(jù)用戶的安全審計請求和存儲的安全審計策略,對查找到的審計日志 進行進一步處理分析,其分析處理時序如圖3所示。
[0010] 5、根據(jù)權(quán)利要求4所述的基于化enFloW流的網(wǎng)絡安全審計方法,其特征是:從流 信息提取審計日志的步驟1)中,相關(guān)流信息包括提取流信息時的時間戳、目的/源IP地址、 目的/源MAC地址、運輸層協(xié)議類型、目的/源端口號、化enFlow交換機標識、化enFlow交 換機接口和事件類型等。
[0011] 本發(fā)明的有益效果: 本發(fā)明無需采用價格貴的生成流的專用設(shè)備,利用化enFloW交換機基于流工作的特 性,經(jīng)濟、方便地提取流信息和進行接入控制。
[0012] 本發(fā)明能夠利用廉價開源的云平臺提供高速查找審計海量流記錄的功能。
[0013] 本發(fā)明能夠利用軟件定義和基于安全策略控制,便于降低網(wǎng)絡安全設(shè)備成本、簡 化操作流程。
[0014]
【附圖說明】
[0015] 圖1為基于化enFlow流的網(wǎng)絡安全審計/接入控制系統(tǒng) 圖2為提取流日志的時序 圖3為流日志分析的時序 圖4為接入控制的時序 圖5為本發(fā)明所需要的環(huán)境 圖6為服務器h5的接收速率 圖7為服務器h5的連接IP個數(shù) 圖8為多維控制的連接情況 圖9為皿ase與MyS化查詢效率比較
【具體實施方式】
[0016] 下面結(jié)合附圖和實施例對本發(fā)明作進一步的說明。
[0017] 一種安全審計方法,包括下列步驟: A. 從流信息提取審計日志的基本步驟如下: 1) SDN控制器向交換機發(fā)送controller-to-switch的Modify-state、Read-state和 Send-packet等3種子類型時,W及交換機向SDN控制器發(fā)起化cket-in、Flow-removed、 Port-status和化ror等4種異步報文時,控制器提取相關(guān)流信息形成流記錄; 2) 流記錄包括提取流信息時的時間戳、目的/源IP地址、目的/源MC地址、運輸層協(xié) 議類型、目的/源端口號、化enFlow交換機標識、化enFlow交換機接口和事件類型等; 3) SDN控制器W"目的IP地址"+"時間戳"為行鍵,將上述流記錄插入云平臺的庫表 中,提取流日志的時序如圖2所示; B. 分析流日志的基本步驟如下: 1) SDN控制器收到審計請求,調(diào)用相應的安全審計邏輯,W"目的IP地址"+"時間戳" 為行鍵在云平臺查找出所有符合條件的相關(guān)報文,并向控制器反饋查找的流日志結(jié)果; 2) 控制器上的安全審計邏輯根據(jù)策略服務器下達的審計策略,對流日志查找結(jié)果進行 處理分析,流日志分析的時序如圖3所示。
[0018] 一種接入控制方法,在進行安全審計之前包括下列步驟: A. 策略服務器向SDN控制器下發(fā)接入控制安全策略; B. 主機化Stl通過化enFlow交換機接入網(wǎng)絡與其他主機通信之前,向目的主機化st2 發(fā)送請求報文; C.化enFloW交換機用本機的流表項匹配請求報文,無法匹配上,則將該請求用Packet-in報文封裝,向SDN控制器轉(zhuǎn)發(fā); 化SDN控制器接收到該Packet-in報文,解析出相關(guān)流信息,并與接入控制安全策略 進行匹配;若無法匹配,則丟棄該報