[发明专利]一种基于SDN的安全服务链系统及数据包匹配转发方法

说明书

本发明公开基于SDN的安全服务链系统，包括控制平面、流分类节点、服务节点和服务链，所述控制平面主要包括SDN服务链的核心控制部件SDN控制器和OpenFlow1.3交换机，SDN控制器根据用户需求，创建服务链，并部署服务链上的每个服务节点的业务逻辑；控制器将需要进入服务链处理的用户报文特征下发至OpenFlow1.3交换机，OpenFlow1.3交换机根据相应的报文特征将数据报文引入服务链。还公开了基于SDN的安全服务链系统的数据包匹配转发方法。基于SDN技术，构建、部署网络服务链，并通过信息的反馈，实现网络可视化与服务链联动，从而使其在海量数据和多服务节点的前提下，具有较高的数据转发效率和较低的处理时间，以提升网络监控效率。本发明设计了基于SDN的服务链架构，并提出该架构下服务链数据包匹配转发流程。

技术领域

本发明属于网络服务领域，主要涉及一种基于SDN的安全服务链系统及数据包匹配转发方法。

背景技术

电子商务、数据中心、社交网络等多样化网络业务的迅猛发展，向传统安全服务模式提出了严峻挑战，表现为：1)安全功能实现方式的耦合性：现有安全功能，如防火墙、IDS等大都基于硬件中间盒子实现，其在功能上具有专属私有性，建设所需成本较高、可扩展性差、灵活性不足、运用中难以统一管理。2)安全功能部署位置的静态性：现有安全功能大都以静态方式部署在网络的关键位置，拓扑依赖严重，这种僵化的部署方式使其难以根据业务请求的服务构成进行重复使用或者动态重构。同时，《网络安全法》规定网络运营者应当制定网络安全事件应急预案，及时处理系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。在新的网络架构下，如何利用新的技术将安全业务更好的融合进来，从而提供便捷、安全的网络架构，是各方面临的难题。

当前，软件定义网络(Software DefinedNetworking,SDN)兴起为探寻新型网络安全服务模式提供了支撑。SDN将控制功能从传统的分布式网络设备中迁移到集中的控制平台，进而通过开放可编程的软件模式来实现网络的自动控制。通过SDN控制器的控制，可以引导转发流量自动穿过服务节点，实现拓扑无关的、灵活、便捷、高效、安全地调配转发流量到服务节点上进行安全业务的处理。

目前，已经有一些学者提出了一些动态服务链的部署方案。2014年，Blendi提出了一种新的上层概念和架构，利用SDN将网络中的服务整合到服务链中，但该文没有关注网络管理员对服务的个性化定制需求。2013年，张扬提出STEERING，这是一个动态可扩展的框架，管理网络中通过多个辅助设备的流量。采用基于策略的路由方法，在SDN的顶部，STEERING能够支持有效转发和大规模的应用的扩展。利用软件定义网络(softwaredefined networking，SDN)集中式管控的优势来实现中间件的部署和管理，其采用OpenFlow1.1多级流表对流表中metadata(元数据)域进行编码，设定需要的服务类型和服务实例，从而将流量路由至相应的中间件。该方法考虑了通过改变中间件部署优化服务路径，但该方法对中间件可能会造成的数据分组头修改行为未作考虑。2015年，Martini提出了一个面向服务的SDN控制器，允许对数据传输路径的可编程性提供通过动态建立虚拟中间件功能的序列，从而完成在NGSON中适应网络服务链的部署。2013年，Qazi利用OpenFlow1.0流表中一些匹配域(VLAN、IP ToS等)，在交换机为服务链数据分组增加标签标识，以保证服务链策略正确执行，并分析数据分组前后进出中间件的相似性以解决中间件造成的数据分组头修改行为，但是这种方法需要控制器收集数据分组进行相似性比较，有较高的复杂性且需要较高的匹配精度。

现有技术主要是利用OpenFlow交换机流表特性，搭建服务器架构，部署服务链系统。

有些研究比较侧重单一的计算机技术应用，缺乏实用控制技术的支持配合，占用了过多的服务资源，致使系统服务潜能得不到充分挖掘，难以实现网络可视化与服务链控制联动，使得系统的安全服务能力难以有效提高。

发明内容