安全檢測(cè)服務(wù)動(dòng)態(tài)接入虛擬網(wǎng)絡(luò)的方法

摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)安全問題日益突出，而傳統(tǒng)的安全檢測(cè)工具無法在接入云計(jì)算虛擬網(wǎng)絡(luò)的環(huán)境下為用戶進(jìn)行安全檢測(cè)。研究了安全檢測(cè)服務(wù)動(dòng)態(tài)接入虛擬網(wǎng)絡(luò)的方法，該方法可實(shí)現(xiàn)在原有虛擬網(wǎng)絡(luò)環(huán)境下系統(tǒng)檢測(cè)工具的虛擬化，并可并行地為多個(gè)不同區(qū)域的租戶進(jìn)行安全檢測(cè)服務(wù)，從而降低資源消耗，有效提升安全檢測(cè)效率。

關(guān)鍵詞：網(wǎng)絡(luò)安全；安全檢測(cè)服務(wù)；動(dòng)態(tài)接入；虛擬網(wǎng)絡(luò)

DOIDOI：10.11907/rjdk.162152

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-7800（2016）012-0141-03

0 引言

隨著計(jì)算機(jī)技術(shù)的普及，作為現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)重要組成部分的虛擬網(wǎng)絡(luò)（VPN）技術(shù)也得到了不斷發(fā)展。同時(shí)，網(wǎng)絡(luò)安全問題和隱患逐漸出現(xiàn)。為避免不必要的損失，計(jì)算機(jī)網(wǎng)絡(luò)的安全保障問題顯得相當(dāng)重要?；趥鹘y(tǒng)的安全檢測(cè)工具無法在接入云計(jì)算虛擬網(wǎng)絡(luò)環(huán)境下為用戶進(jìn)行安全檢測(cè)的問題，本文對(duì)安全檢測(cè)服務(wù)動(dòng)態(tài)接入虛擬網(wǎng)絡(luò)的方法進(jìn)行研究。首先，搭建安全檢測(cè)服務(wù)資源池，利用安全檢測(cè)服務(wù)多進(jìn)程化和網(wǎng)絡(luò)功能虛擬化（NFV）技術(shù)實(shí)現(xiàn)安全檢測(cè)服務(wù)器并行多個(gè)服務(wù)進(jìn)程；其次，借助軟件定義網(wǎng)絡(luò)（SDN）技術(shù)使安全檢測(cè)服務(wù)器動(dòng)態(tài)接入虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)了安全檢測(cè)服務(wù)動(dòng)態(tài)、按需接入用戶網(wǎng)絡(luò)并提供安全服務(wù)。該方法可以有效提升安全檢測(cè)效率，同時(shí)實(shí)現(xiàn)為多用戶并行地提供安全服務(wù)。

1 安全系統(tǒng)設(shè)計(jì)

1.1 總體布局

云計(jì)算網(wǎng)絡(luò)環(huán)境的最大特點(diǎn)是虛擬多域，要實(shí)現(xiàn)在動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境下并行地為多個(gè)隔離網(wǎng)絡(luò)域的用戶提供安全檢測(cè)服務(wù)，可以從兩方面入手：①搭建動(dòng)態(tài)任務(wù)進(jìn)程，對(duì)不同的虛擬網(wǎng)絡(luò)資源進(jìn)行監(jiān)測(cè)，如虛擬端口、虛擬交換機(jī)與虛擬鏈路等；②通過附加通信策略的方式，保障虛擬網(wǎng)絡(luò)檢測(cè)服務(wù)和目標(biāo)區(qū)域的網(wǎng)絡(luò)連通及不同隔離區(qū)域的網(wǎng)絡(luò)隔離[1]。因此，利用SDN動(dòng)態(tài)編程，借助資源管理控制器動(dòng)態(tài)調(diào)度虛擬網(wǎng)絡(luò)資源，搭建滿足用戶要求可連接目標(biāo)子網(wǎng)的虛擬路徑，并建立安全檢查任務(wù)，從而實(shí)現(xiàn)基于SDN的安全檢測(cè)服務(wù)動(dòng)態(tài)接入虛擬網(wǎng)絡(luò)?；谔摂M網(wǎng)絡(luò)資源，借助SDN擴(kuò)展控制器創(chuàng)建安全檢測(cè)任務(wù)以及目標(biāo)子網(wǎng)通信策略，同時(shí)傳遞到對(duì)應(yīng)的策略加載點(diǎn)，使檢測(cè)任務(wù)正確接入目標(biāo)子網(wǎng)。系統(tǒng)架構(gòu)如圖1所示。

云計(jì)算虛擬網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)由控制單元、安全服務(wù)代理、任務(wù)運(yùn)行空間、虛擬網(wǎng)絡(luò)接入組件4部分構(gòu)成，采用單安全服務(wù)引擎、多進(jìn)程任務(wù)的服務(wù)方式在多域網(wǎng)絡(luò)環(huán)境下進(jìn)行安全服務(wù)，各部分的具體功能為：①控制單元：包括SDN控制器和資源管理控制器，可管理、調(diào)度安全任務(wù)，建立并管理虛擬網(wǎng)絡(luò)資源以及傳遞策略；②安全服務(wù)代理：合理調(diào)配任務(wù)運(yùn)行空間及虛擬網(wǎng)絡(luò)接入組件；③任務(wù)運(yùn)行空間：即安全檢測(cè)任務(wù)資源池，具備獨(dú)立網(wǎng)絡(luò)資源（包含路由信息、地址解析協(xié)議等）、安全檢測(cè)任務(wù)和網(wǎng)絡(luò)運(yùn)行環(huán)境，可以并行支持多個(gè)用戶的虛擬機(jī)服務(wù)；④虛擬網(wǎng)絡(luò)接入組件：主要任務(wù)是確保安全檢測(cè)任務(wù)順利接入目標(biāo)虛擬機(jī)網(wǎng)絡(luò)，并保障不同區(qū)域的網(wǎng)絡(luò)隔離。

1.2 任務(wù)進(jìn)程

用戶發(fā)出請(qǐng)求，控制單元收到請(qǐng)求后，調(diào)配資源管理控制器和SDN控制器；資源管理控制器借助OVSDB和自定義協(xié)議（SDP）向安全服務(wù)代理傳遞創(chuàng)建安全檢測(cè)資源和虛擬網(wǎng)絡(luò)資源的需求；安全服務(wù)代理接收到任務(wù)需求后，搭建不同的虛擬網(wǎng)絡(luò)組件，實(shí)現(xiàn)目標(biāo)網(wǎng)絡(luò)或主機(jī)的安全服務(wù)[2]。SDN控制器借助OpenFlow和SDP協(xié)議向任務(wù)運(yùn)行空間和虛擬交換機(jī)傳遞通信策略。

1.3 過程初始化

當(dāng)系統(tǒng)接收到用戶的檢測(cè)請(qǐng)求后，會(huì)發(fā)起一系列安全檢測(cè)服務(wù)初始化，完成檢測(cè)任務(wù)到目標(biāo)虛擬網(wǎng)絡(luò)的連通。初始化進(jìn)程主要包括創(chuàng)建并配置虛擬網(wǎng)絡(luò)資源、安全檢測(cè)資源，并進(jìn)行通信策略的傳遞。為滿足不同用戶重復(fù)IP虛擬機(jī)的檢測(cè)需求，需進(jìn)行目標(biāo)IP地址虛擬化，即將目標(biāo)虛擬機(jī)IP地址映射為虛擬IP地址，通過控制虛擬系統(tǒng)IP地址來確保任務(wù)IP地址不重復(fù)，借助虛擬IP地址資源池執(zhí)行檢測(cè)任務(wù)[3]。初始化進(jìn)程分為6步：①服務(wù)代理接收并解析安全檢測(cè)命令，得到相關(guān)目標(biāo)虛擬網(wǎng)絡(luò)和虛擬機(jī)信息；②在任務(wù)運(yùn)行空間進(jìn)行任務(wù)比對(duì)，若相關(guān)空間不存在，則需創(chuàng)建該任務(wù)空間；③搭建虛擬端口和虛擬鏈路，虛擬鏈路連接任務(wù)運(yùn)行空間和軟件交換機(jī)；④SDN控制器將通信策略傳遞給軟件交換機(jī)；⑤任務(wù)代理在虛擬IP資源池分配虛擬端口的IP資源，搭建目標(biāo)虛擬網(wǎng)絡(luò)接口；⑥在任務(wù)運(yùn)行空間建立檢測(cè)任務(wù)，對(duì)虛擬機(jī)IP進(jìn)行地址虛擬化，從虛擬IP資源池獲得目標(biāo)IP，借助本地路由連接到相應(yīng)的虛擬網(wǎng)絡(luò)接口。

2 安全檢測(cè)服務(wù)

2.1 通信策略

為了保障安全檢測(cè)任務(wù)與目標(biāo)子網(wǎng)的聯(lián)通及不同區(qū)域檢測(cè)任務(wù)的隔離，該系統(tǒng)定義了ARP緩存策略、路由策略和軟件交換機(jī)轉(zhuǎn)發(fā)策略（流表）等安全任務(wù)接入和隔離策略。通過策略傳遞使安全檢測(cè)任務(wù)動(dòng)態(tài)接入目標(biāo)子網(wǎng)，實(shí)現(xiàn)并行安全檢測(cè)。

定義1：本地ARP緩存AC（ARP ache）={virt_IP，virt_mac，veth}。其中virt_IP指虛擬目標(biāo)IP， virt_mac指虛擬目標(biāo)mac，veth指出口虛擬以太網(wǎng)端口（VETH）設(shè)備。

定義2：本地路由RP（Route Policy）={virt_IP，mask，veth}。其中virt_IP指虛擬目標(biāo)IP，mask指子網(wǎng)掩碼，veth指接入目標(biāo)網(wǎng)絡(luò)的VETH設(shè)備。

定義3：數(shù)據(jù)包傳送至目標(biāo)網(wǎng)絡(luò)流表SFE（Send Flow Entry）={match：dl_src=veth_mac，action：set_tag（tag），modnw_dst（vm_ip）， mod_dl_dst（vm_mac）}。其中dl_src=veth_mac指匹配源為VETH設(shè)備的數(shù)據(jù)幀，set_tag（tag） 指執(zhí)行數(shù)據(jù)包標(biāo)識(shí)tag，mod_nw_dst（vm_ip） 指將虛擬目標(biāo)IP映射為虛擬機(jī)IP， mod_dl_dst（vm_mac） 指將虛擬目標(biāo)MAC映射為虛擬機(jī)MAC。

定義4：返回?cái)?shù)據(jù)包送至安全任務(wù)流表RcFE（Receive Flow Entry）={match：nw_dst=veth_ip，action：remove_tag（tag），mod_nw_ src（virt_ip），mod_dl_src（virt_mac）}。其中nw_dst=veth_ip指VETH設(shè)備IP的數(shù)據(jù)包，remove_tag（tag） 指執(zhí)行去掉數(shù)據(jù)包標(biāo)識(shí)，mod_nw_src（virt_ip） 指源IP映射為虛擬IP，mod_dl_src（virt_mac） 指源MAC映射為虛擬MAC。

定義5：虛擬機(jī)流量重定向RdFE （Redirect Flow Entry ）={match：nw_dst=veth_ip，action：mod_dl_dst（veth_mac）}。其中nw_dst=veth_ip指VETH設(shè)備IP的數(shù)據(jù)包，mod_dl_dst（veth_mac） 指目標(biāo)MAC映射為VETH設(shè)備。

2.2 位置

位置與策略加載點(diǎn)相關(guān)，決定了安全檢測(cè)接入系統(tǒng)的方式。由圖1的系統(tǒng)架構(gòu)可知，策略加載位置由安全檢測(cè)任務(wù)運(yùn)行空間、虛擬網(wǎng)絡(luò)接入組件及虛擬網(wǎng)絡(luò)設(shè)備構(gòu)成[4]。

2.3 檢測(cè)流程

整個(gè)安全服務(wù)檢測(cè)流程從數(shù)據(jù)流角度而言，即檢測(cè)任務(wù)發(fā)起數(shù)據(jù)包，經(jīng)由檢測(cè)設(shè)備、匹配策略到目標(biāo)虛擬機(jī)收到數(shù)據(jù)包終止[5]。例如，租戶虛擬機(jī)（VMA）的安全檢測(cè)數(shù)據(jù)流如下：

（1）安全服務(wù)進(jìn)程發(fā)送數(shù)據(jù)包流程：結(jié)合本地虛擬網(wǎng)絡(luò)接口地址和目標(biāo)虛擬機(jī)虛擬地址，安全任務(wù)進(jìn)程將任務(wù)通信流進(jìn)行封裝，封裝通信數(shù)據(jù)包地址信息是SRC：=（vport. mac，vport. ip），DST=（vir. mac，vir. ip） ，TAU= null。其中vport.ip和vir.ip可以預(yù)選虛擬地址資源池，該地址禁止租戶子網(wǎng)配置使用；虛擬交換機(jī)接收到數(shù)據(jù)包時(shí)，結(jié)合之前的租戶虛擬機(jī)VLAN TAU ID信息對(duì)安全任務(wù)數(shù)據(jù)包進(jìn)行標(biāo)記，并使目的地址映射返回真正的目標(biāo)虛擬機(jī)地址，同時(shí)將信息傳遞至底層網(wǎng)絡(luò)鏈路，數(shù)據(jù)包地址信息是SRC=（vport. mac， vport. ip）， DST =（vm. mac，vm. ip），TAU=ID；目的地址到達(dá)接入層虛擬交換機(jī)時(shí)，對(duì)相同的安全服務(wù)數(shù)據(jù)包采用VLAN TAU標(biāo)記，之后對(duì)數(shù)據(jù)流進(jìn)行去TAU處理，并傳送至目標(biāo)虛擬機(jī)，數(shù)據(jù)包地址信息是SRC= （vport.mac，vporr.ip），DST=（vm. mac，vm. ip），TAG=null。

（2）安全服務(wù)進(jìn)程接收數(shù)據(jù)包流程：因設(shè)置的任務(wù)進(jìn)程和虛擬機(jī)處于不同網(wǎng)絡(luò)中，需采用網(wǎng)關(guān)地址回復(fù)數(shù)據(jù)包，結(jié)合本地地址及儲(chǔ)存的安全服務(wù)進(jìn)程地址，虛擬機(jī)對(duì)回復(fù)信息進(jìn)行封裝，數(shù)據(jù)包回復(fù)信息是SRC=（vm. mac，vm. ip），DST=（gw. mac，vport.ip），TAG=null；當(dāng)虛擬交換機(jī)接收到數(shù)據(jù)包時(shí)，采用RdFE規(guī)則對(duì)安全任務(wù)進(jìn)程地址數(shù)據(jù)包進(jìn)行二層標(biāo)記，同時(shí)改寫目的MAC地址，并采用重定向方式傳遞至安全服務(wù)進(jìn)程的vport虛擬網(wǎng)絡(luò)接口，數(shù)據(jù)包信息是SRC=（vm. mac，vm. ip），DST=（vport. mac，vport. ip），TAU=ID；當(dāng)安全服務(wù)進(jìn)程連接的虛擬交換機(jī)接收到數(shù)據(jù)包時(shí)，采用RIFE規(guī)則把目標(biāo)IP地址的源IP和源MAC映射成虛擬IP和MAC地址，之后進(jìn)行去TAU信息處理，通信流回復(fù)完畢，數(shù)據(jù)包信息是SRC=（vm. mac， vm. ip）， DST=（vport.mac，vport. ip），TAU=null。

其中，VMA的真正地址是（vm.mac， vm. ip ），對(duì)應(yīng)的任務(wù)運(yùn)行空間虛擬地址為（vir. mac， vir. ip）；借助VETH設(shè)備搭建的接入任務(wù)運(yùn)行空間的虛擬接口是vport，詳細(xì)地址為（vport. mac， vport. ip）；虛擬網(wǎng)絡(luò)網(wǎng)關(guān)地址為（gw. Mac.）。

3 測(cè)驗(yàn)結(jié)果及分析

3.1 基本環(huán)境

本實(shí)驗(yàn)使用了2. 6 UHz CPU、8 UB內(nèi)存、千兆以太網(wǎng)卡的物理服務(wù)器4臺(tái)，普通千兆以太網(wǎng)交換機(jī)及Ubuntu 14. 04版本的操作系統(tǒng)。

3.2 測(cè)試內(nèi)容

（1）有效性測(cè)試：為了使實(shí)驗(yàn)結(jié)果更具代表性，選用兩個(gè)租戶T1、T2，搭建虛擬子網(wǎng)及配置虛擬機(jī)VM1、VM2。初始化配置如表1所示，其中IP→VIP和MAC→VMAC分別代表真實(shí)到虛擬的映射。

實(shí)驗(yàn)結(jié)果顯示，結(jié)果與預(yù)期數(shù)據(jù)包發(fā)送、接收過程一致，說明本方法有效。因地址虛擬化過程中相同IP映射的虛擬IP地址不同，所以運(yùn)行安全任務(wù)時(shí)不會(huì)出現(xiàn)干擾問題，同時(shí)采用VI、AN通信流標(biāo)記方法確保租戶任務(wù)的隔離性。

（2）性能測(cè)試：本實(shí)驗(yàn)從資源性能消耗及掃描通信延時(shí)方面對(duì)系統(tǒng)性能進(jìn)行測(cè)試，采用對(duì)比分析，將該方法和從虛擬機(jī)粒度方面進(jìn)行安全掃描的方法進(jìn)行對(duì)比。測(cè)試性能相同時(shí)，增加漏洞掃描租戶數(shù)量，本方法和已有安全虛擬機(jī)方法測(cè)試的資源消耗情況如表2所示。

實(shí)驗(yàn)結(jié)果顯示，采用安全虛擬機(jī)粒度進(jìn)行漏洞檢測(cè)服務(wù)時(shí)，選用增加虛擬機(jī)數(shù)量為多個(gè)用戶服務(wù)，將導(dǎo)致資源消耗急劇增加。本方法因選用單引擎、多任務(wù)進(jìn)程方式為用戶服務(wù)，當(dāng)用戶增多時(shí)只需增加更多掃描任務(wù)進(jìn)程即可，而且其資源消耗有限。與安全虛擬機(jī)方法相比，資源消耗可節(jié)省一半以上。

參考文獻(xiàn)：

[1] 劉培.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)的作用[J].通訊世界，2015（11）：313.

[2] 朱強(qiáng)，王慧強(qiáng)，馬春光.虛擬網(wǎng)絡(luò)可生存的啟發(fā)式可靠映射算法[J].通信學(xué)報(bào)，2015（7）：77-79.

[3] 李連峰.試論虛擬網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].電子技術(shù)與軟件工程，2015（20）：217.

[4] 尹振鶴.探究智慧城市建設(shè)中的網(wǎng)絡(luò)安全建設(shè)——以徐州為例[J].電腦知識(shí)與技術(shù)，2015（27）：37-39.

[5] 鄒鈺.基于網(wǎng)格的數(shù)據(jù)傳輸與復(fù)制技術(shù)研究[J].電腦知識(shí)與技術(shù)，2015（27）：45-46.

（責(zé)任編輯：黃 ?。?