軟件定義與網(wǎng)絡(luò)安全主講人：軟件定義與網(wǎng)絡(luò)安全課程組第5單元：軟件定義網(wǎng)絡(luò)安全技術(shù)針對(duì)現(xiàn)有網(wǎng)絡(luò)安全機(jī)制的配置部署僵化、優(yōu)化擴(kuò)展困難等問(wèn)題，軟件定義理念提供了新的思路和靈感，很快被應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域，對(duì)網(wǎng)絡(luò)安全技術(shù)的變革與發(fā)展產(chǎn)生了重大影響。五、軟件定義網(wǎng)絡(luò)安全技術(shù)五、軟件定義網(wǎng)絡(luò)安全技術(shù)

1軟件定義安全概述

2軟件定義防火墻

3軟件定義移動(dòng)目標(biāo)防御技術(shù)

4基于P4的軟件定義加密隧道技術(shù)

5安全服務(wù)功能鏈編排技術(shù)

6軟件定義邊界技術(shù)

7微分段技術(shù)五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義安全概述1早在2012年，著名咨詢(xún)機(jī)構(gòu)Gartner就提出了軟件定義安全（SoftwareDefinedSecurity，SD-Security）概念，認(rèn)為其是通過(guò)分離安全數(shù)據(jù)平面與控制平面，將物理及虛擬的網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實(shí)現(xiàn)功能進(jìn)行解耦，在底層將物理及虛擬的網(wǎng)絡(luò)安全設(shè)備抽象為安全資源池，頂層通過(guò)軟件編程的方式進(jìn)行業(yè)務(wù)編排和管理，從而實(shí)現(xiàn)靈活的安全防護(hù)機(jī)制。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義安全概述1在具體實(shí)踐中，由于不同企業(yè)和機(jī)構(gòu)專(zhuān)注領(lǐng)域和技術(shù)積累的不同，因此在詮釋軟件定義安全概念時(shí)側(cè)重點(diǎn)也存在差異。

觀點(diǎn)一：認(rèn)為軟件定義安全是基于虛擬化的安全即服務(wù)模式，即將軟件定義安全理解為加快安全資源交付和就緒的速度，提供虛擬化的安全資源池解決方案，基于云模式提供虛擬化的安全服務(wù)。例如：OpenStack平臺(tái)的防火墻即服務(wù)（FirewallasaService，F(xiàn)WaaS）解決方案五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義安全概述1

觀點(diǎn)二：將軟件定義安全理解為安全運(yùn)維自動(dòng)化。例如：Securosis公司利用AmazonAWS和Chef產(chǎn)品構(gòu)建了一個(gè)軟件定義安全的實(shí)現(xiàn)樣例，具體做法是編寫(xiě)一個(gè)腳本，通過(guò)AWSAPI獲取當(dāng)前正在運(yùn)行的實(shí)例列表，并利用ChefAPI從Chef服務(wù)器獲取被管理相關(guān)信息，然后利用Chef的安全策略配置管理，自動(dòng)下發(fā)配置腳本，使得整個(gè)策略配置過(guò)程擺脫繁瑣的人工操作，提高配置效率和降低出錯(cuò)的可能性。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義安全概述1

觀點(diǎn)三：認(rèn)為軟件定義安全是一種可對(duì)安全功能實(shí)施靈活控制的安全服務(wù)架構(gòu)或模式。例如：Fortinet公司提出的軟件定義安全架構(gòu)由數(shù)據(jù)、控制和管理三個(gè)平面組成，其把“軟件定義”化作為實(shí)現(xiàn)靈活、彈性安全運(yùn)維的一種手段，其與Gartner公司提出的軟件定義安全一樣側(cè)重于與數(shù)據(jù)中心方案結(jié)合。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義安全概述1

其它觀點(diǎn)：許多研究機(jī)構(gòu)利用軟件定義的理念，對(duì)現(xiàn)有網(wǎng)絡(luò)安全技術(shù)或設(shè)備進(jìn)行優(yōu)化改造，目的是增強(qiáng)技術(shù)與設(shè)備的適應(yīng)性和靈活性。

例如，基于SDN技術(shù)架構(gòu)設(shè)計(jì)研制的軟件定義防火墻與入侵檢測(cè)系統(tǒng)，以及國(guó)際云安全聯(lián)盟CSA提出的軟件定義邊界（SoftwareDefinedPerimeter，SDP）技術(shù)，它們都采用了數(shù)控分離的軟件定義架構(gòu)，并實(shí)現(xiàn)了安全功能的可編程控制。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義安全概述1軟件定義網(wǎng)絡(luò)安全技術(shù)應(yīng)滿足以下兩個(gè)條件：①技術(shù)架構(gòu)遵循數(shù)控分離特征，其是軟件定義安全的基礎(chǔ)與條件；

②支持安全功能的可編程控制，其是軟件定義安全的根本與目標(biāo)。五、軟件定義網(wǎng)絡(luò)安全技術(shù)

1軟件定義安全概述

2軟件定義防火墻

3軟件定義移動(dòng)目標(biāo)防御技術(shù)

4基于P4的軟件定義加密隧道技術(shù)

5安全服務(wù)功能鏈編排技術(shù)

6軟件定義邊界技術(shù)

7微分段技術(shù)五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻2（1）防火墻技術(shù)概述（2）軟件定義防火墻系統(tǒng)架構(gòu)（3）服務(wù)機(jī)制設(shè)計(jì)（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——防火墻技術(shù)概述2①基本概念

防火墻是一種用于進(jìn)行網(wǎng)絡(luò)間安全隔離和防護(hù)的安全裝置，能夠基于策略的方式對(duì)內(nèi)外網(wǎng)絡(luò)間的數(shù)據(jù)通信進(jìn)行控制，限制外部用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，以及管理內(nèi)部用戶(hù)訪問(wèn)外部網(wǎng)絡(luò)的權(quán)限，以防止信息的非法訪問(wèn)。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——防火墻技術(shù)概述2②技術(shù)原理包過(guò)濾防火墻狀態(tài)檢測(cè)防火墻應(yīng)用代理防火墻五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——防火墻技術(shù)概述2②技術(shù)原理——包過(guò)濾防火墻核心思想：當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)過(guò)防火墻時(shí)，要根據(jù)安全策略實(shí)施數(shù)據(jù)包的過(guò)濾處理，即當(dāng)數(shù)據(jù)包頭信息滿足所制訂的訪問(wèn)控制策略并允許通過(guò)時(shí)，放行數(shù)據(jù)包并將其轉(zhuǎn)發(fā)；當(dāng)策略規(guī)則拒絕通過(guò)時(shí)，則阻止并丟棄數(shù)據(jù)包。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——防火墻技術(shù)概述2②技術(shù)原理——狀態(tài)檢測(cè)防火墻核心思想：不僅可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行包過(guò)濾處理，而且能夠基于會(huì)話連接狀態(tài)進(jìn)行檢測(cè)與控制，即將屬于同一會(huì)話連接的所有數(shù)據(jù)包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成動(dòng)態(tài)連接狀態(tài)表，然后通過(guò)訪問(wèn)控制列表與連接狀態(tài)表的共同配合實(shí)施數(shù)據(jù)包的過(guò)濾控制。通過(guò)會(huì)話連接狀態(tài)檢測(cè)，改變了原有包過(guò)濾匹配機(jī)制五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——防火墻技術(shù)概述2②技術(shù)原理——狀態(tài)檢測(cè)防火墻（續(xù)）在狀態(tài)檢測(cè)防火墻中，會(huì)話連接狀態(tài)信息的抽取和分析是關(guān)鍵，其工作流程如圖所示：五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——防火墻技術(shù)概述2②技術(shù)原理——應(yīng)用代理防火墻核心思想：將網(wǎng)絡(luò)數(shù)據(jù)包上傳到應(yīng)用層，由應(yīng)用代理查詢(xún)?cè)L問(wèn)控制表，檢查是否允許該數(shù)據(jù)包通過(guò)。優(yōu)勢(shì)：能夠理解特定的應(yīng)用程序和協(xié)議，因此可以做復(fù)雜的訪問(wèn)控制和精細(xì)的日志。不足：由于各種網(wǎng)絡(luò)服務(wù)與應(yīng)用的協(xié)議千差萬(wàn)別，導(dǎo)致不能完全透明地支持各種網(wǎng)絡(luò)服務(wù)與應(yīng)用，因此需要為每種網(wǎng)絡(luò)應(yīng)用服務(wù)分別編設(shè)計(jì)構(gòu)建代理程序，目前常用的應(yīng)用代理防火墻有WEB防火墻、FTP防火墻、電子郵件防火墻等。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——防火墻技術(shù)概述2③傳統(tǒng)防火墻面臨的挑戰(zhàn)靈活性與適應(yīng)性不足依賴(lài)固定規(guī)則，難以適應(yīng)動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境和安全需求云和虛擬化支持不足擴(kuò)展性與性能瓶頸硬件設(shè)備的擴(kuò)展性有限可能成為性能瓶頸，影響網(wǎng)絡(luò)效率管理與安全能力不足多設(shè)備管理復(fù)雜，配置和維護(hù)耗時(shí)，容易出錯(cuò)難以識(shí)別內(nèi)部威脅和高級(jí)攻擊軟件定義防火墻五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻2（1）防火墻技術(shù)概述

（2）軟件定義防火墻系統(tǒng)架構(gòu)（3）服務(wù)機(jī)制設(shè)計(jì)（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——軟件定義防火墻系統(tǒng)架構(gòu)2

軟件定義防火墻是遵循的軟件定義系統(tǒng)架構(gòu)，構(gòu)建的具有數(shù)控分離、開(kāi)放可編程等特征的防火墻實(shí)現(xiàn)機(jī)制，通常由數(shù)據(jù)、控制和應(yīng)用等平面構(gòu)成。

數(shù)據(jù)平面：是防火墻安全隔離功能的執(zhí)行層，負(fù)責(zé)安全策略的執(zhí)行、網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)，并向上層（即控制平面）提供功能調(diào)用的編程接口（即南向接口）。

控制平面：是防火墻系統(tǒng)的配置管理層，通常由包過(guò)濾、狀態(tài)檢測(cè)等安全服務(wù)及其配置數(shù)據(jù)與安全策略，以及日志模塊等組成，并向上層（即應(yīng)用平面）提供安全功能服務(wù)的編程接口（即北向接口）。

應(yīng)用平面：是防火墻系統(tǒng)安全服務(wù)與功能的拓展層，可基于北向接口與其它安全機(jī)制（或?qū)嶓w）達(dá)成信息共享與功能聯(lián)動(dòng)，實(shí)現(xiàn)靈活高效的聯(lián)合防御。由OpenFlow交換機(jī)組成，承擔(dān)網(wǎng)絡(luò)安全隔離與防護(hù)功能的執(zhí)行功能，如網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)、防火墻安全策略的執(zhí)行以及網(wǎng)絡(luò)流量的監(jiān)控。由防火墻核心功能服務(wù)組成，本案例包括包過(guò)濾、狀態(tài)檢測(cè)、流量監(jiān)控等安全功能服務(wù)。應(yīng)用平面具體包括管理中心與聯(lián)動(dòng)防御服務(wù)兩部分。管理中心是軟件定義防火墻的運(yùn)維管理平臺(tái)，負(fù)責(zé)策略、服務(wù)等配置；聯(lián)動(dòng)防御服務(wù)是基于北向接口構(gòu)建的與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的防御機(jī)制，是拓展安全功能服務(wù)。軟件定義防火墻系統(tǒng)架構(gòu)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻2（1）防火墻技術(shù)概述（2）軟件定義防火墻系統(tǒng)架構(gòu)

（3）服務(wù)機(jī)制設(shè)計(jì)（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2包過(guò)濾服務(wù)狀態(tài)檢測(cè)服務(wù)聯(lián)動(dòng)防御服務(wù)五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2①包過(guò)濾服務(wù)原理上與傳統(tǒng)包過(guò)濾相同，但是其改變了防火墻的部署和運(yùn)行方式：任一OpenFlow交換機(jī)可以執(zhí)行包過(guò)濾防火墻功能，以此保護(hù)整個(gè)網(wǎng)絡(luò)，包括網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)內(nèi)部。安全策略按照設(shè)備號(hào)進(jìn)行分組，從而可以將不同粒度的安全策略靈活地應(yīng)用在整個(gè)SDN網(wǎng)絡(luò)。提供了一組北向接口，可通過(guò)接口以編程的方式自動(dòng)地配置防火墻服務(wù)及安全策略，當(dāng)然也能手動(dòng)進(jìn)行配置管理。軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2①包過(guò)濾服務(wù)——組成結(jié)構(gòu)控制包過(guò)濾防火墻安全服務(wù)的加載/卸載。存儲(chǔ)包過(guò)濾服務(wù)的配置數(shù)據(jù)和安全策略，并提供對(duì)內(nèi)和對(duì)外兩種接口。用于監(jiān)聽(tīng)安全策略變化產(chǎn)生的事件，并判斷該事件的類(lèi)型，根據(jù)事件類(lèi)型采取不同的操作?；谟成湟?guī)則生成包過(guò)濾規(guī)則對(duì)應(yīng)的OpenFlow流表項(xiàng)。負(fù)責(zé)向OpenFlow交換機(jī)下發(fā)流表項(xiàng)或刪除交換機(jī)中的流表項(xiàng)。軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2①包過(guò)濾服務(wù)——運(yùn)行機(jī)制案例中包過(guò)濾服務(wù)采取主動(dòng)方式下發(fā)流表項(xiàng)（即安全策略），它將包過(guò)濾防火墻規(guī)則轉(zhuǎn)換成OpenFlow流表項(xiàng)下發(fā)至交換機(jī)以執(zhí)行安全隔離功能。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2①包過(guò)濾服務(wù)——策略設(shè)計(jì)不同位置部署的包過(guò)濾服務(wù)執(zhí)行不同安全策略設(shè)計(jì)的安全策略機(jī)制能夠根據(jù)網(wǎng)絡(luò)中OpenFlow交換機(jī)進(jìn)行區(qū)分別軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2①包過(guò)濾服務(wù)——策略設(shè)計(jì)包過(guò)濾防火墻策略規(guī)則主要包括兩個(gè)部分：

匹配域：定義防火墻規(guī)則所作用的數(shù)據(jù)流范圍；

動(dòng)作域：定義針對(duì)數(shù)據(jù)流的不同處理操作動(dòng)作，例如允許通過(guò)或拒絕通過(guò)等。是防火墻規(guī)則的唯一標(biāo)識(shí)，由switch-id和rule-id兩部分組成。防火墻規(guī)則在安全策略組中的執(zhí)行優(yōu)先等級(jí)，等級(jí)越高越優(yōu)先執(zhí)行。規(guī)定了防火墻策略規(guī)則的匹配條件，包括8個(gè)匹配字段。規(guī)定策略規(guī)則對(duì)應(yīng)的處理動(dòng)作，具體包括Allow和Drop兩種。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2①包過(guò)濾服務(wù)——流表設(shè)計(jì)

OpenFlow交換機(jī)基于流表進(jìn)行數(shù)據(jù)包匹配并做相應(yīng)過(guò)濾處理，因此流表就是包過(guò)濾服務(wù)的存取控制列表（ACL：AccessControlList）。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2①包過(guò)濾服務(wù)——流表設(shè)計(jì)在本案例中，由于OpenFlow交換機(jī)既要承擔(dān)網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)任務(wù)，又要執(zhí)行包過(guò)濾服務(wù)，因此設(shè)計(jì)了一種流表流水線工作模式，流水線中包含兩張流表：

流表1：存儲(chǔ)的是由防火墻規(guī)則轉(zhuǎn)換得到的安全控制流表項(xiàng)；流表2：存儲(chǔ)數(shù)據(jù)轉(zhuǎn)發(fā)流表項(xiàng)。對(duì)于匹配流表1中動(dòng)作為Allow的數(shù)據(jù)，就將數(shù)據(jù)包交由流表2進(jìn)行匹配和轉(zhuǎn)發(fā)；

對(duì)于匹配流表1中動(dòng)作為Drop的數(shù)據(jù)，則進(jìn)行阻攔丟棄處理。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2②狀態(tài)檢測(cè)服務(wù)狀態(tài)檢測(cè)服務(wù)是在包過(guò)濾服務(wù)的基礎(chǔ)上進(jìn)行改進(jìn)，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包當(dāng)成一個(gè)個(gè)會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)，對(duì)數(shù)據(jù)包的檢查不僅根據(jù)規(guī)則表，而且考慮數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)。維護(hù)一張狀態(tài)表來(lái)記錄當(dāng)前網(wǎng)絡(luò)存在的合法會(huì)話檢測(cè)數(shù)據(jù)包是否屬于某個(gè)已經(jīng)存在的會(huì)話如果屬于則允許該數(shù)據(jù)包通過(guò)；否則進(jìn)行包過(guò)濾處理。②狀態(tài)檢測(cè)服務(wù)——組成結(jié)構(gòu)負(fù)責(zé)狀態(tài)檢測(cè)服務(wù)的加載/卸載。用于存儲(chǔ)狀態(tài)檢測(cè)服務(wù)的配置數(shù)據(jù)和安全策略，并提供對(duì)內(nèi)和對(duì)外兩種接口。接收OpenFlow交換機(jī)發(fā)送的會(huì)話尚未建立的網(wǎng)絡(luò)數(shù)據(jù)包，數(shù)據(jù)包被封裝在packet-in消息中。將原始數(shù)據(jù)從packet-in消息中提取出來(lái)。將數(shù)據(jù)包與防火墻規(guī)則進(jìn)行匹配，結(jié)果包括允許會(huì)話建立和拒絕會(huì)話建立兩種。將數(shù)據(jù)包封裝為packet-out消息發(fā)送給交換機(jī)，消息中包含對(duì)數(shù)據(jù)包的處理方式，丟棄或轉(zhuǎn)發(fā)。構(gòu)造相應(yīng)的流表項(xiàng)，即安全策略。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2②狀態(tài)檢測(cè)服務(wù)——運(yùn)行機(jī)制

狀態(tài)檢測(cè)服務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)方式是根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包是否屬于某個(gè)已建立的網(wǎng)絡(luò)會(huì)話來(lái)對(duì)數(shù)據(jù)包進(jìn)行處理，未知數(shù)據(jù)包相當(dāng)于所屬的網(wǎng)絡(luò)會(huì)話尚未建立，需要將其與防火墻規(guī)則進(jìn)行匹配來(lái)判定如何處理。②狀態(tài)檢測(cè)服務(wù)——運(yùn)行機(jī)制狀態(tài)檢測(cè)服務(wù)網(wǎng)絡(luò)數(shù)據(jù)包處理流程O(píng)penFlow交換機(jī)判斷進(jìn)入的網(wǎng)絡(luò)數(shù)據(jù)包是否屬于某個(gè)已建立的網(wǎng)絡(luò)會(huì)話。如果屬于則與該會(huì)話的流表項(xiàng)進(jìn)行匹配做相應(yīng)轉(zhuǎn)發(fā)處理。如果不屬于已建立網(wǎng)絡(luò)會(huì)話，則被認(rèn)定為是未知數(shù)據(jù)包，交由狀態(tài)檢測(cè)服務(wù)將其與防火墻規(guī)則進(jìn)行匹配來(lái)判定如何處理。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2②狀態(tài)檢測(cè)服務(wù)——數(shù)據(jù)設(shè)計(jì)安全策略防火墻規(guī)則：由規(guī)則ID號(hào)、源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、傳輸層協(xié)議類(lèi)型和動(dòng)作等組成。配置數(shù)據(jù)狀態(tài)檢測(cè)服務(wù)運(yùn)行狀態(tài)；執(zhí)行狀態(tài)檢測(cè)服務(wù)的設(shè)備表、雙向轉(zhuǎn)發(fā)流表項(xiàng)的超時(shí)時(shí)間、單向拒絕流表項(xiàng)的超時(shí)時(shí)間和流表項(xiàng)優(yōu)先級(jí)等信息。軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2②狀態(tài)檢測(cè)服務(wù)——流表設(shè)計(jì)PriorityMatchTimeoutActionnsrc_ip,dest_ip,src_port,dest_port,protocol_typehard_timeoutidle_timeoutgoto_table雙向OpenFlow流表項(xiàng)PriorityMatchTimeoutActionnsrc_ip,src_port,protocol_typehard_timeoutdrop單向拒絕OpenFlow流表項(xiàng)匹配結(jié)果允許該數(shù)據(jù)包通過(guò)。匹配結(jié)果拒絕該數(shù)據(jù)包通過(guò)。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2③聯(lián)動(dòng)防御服務(wù)軟件定義防火墻具有集中化管控與開(kāi)放可編程的南北向接口，在管理和控制的統(tǒng)一協(xié)調(diào)下，更便于與其它安全功能實(shí)體進(jìn)行信息共享與互相聯(lián)動(dòng)，實(shí)現(xiàn)靈活高效的聯(lián)合防御。入侵檢測(cè)能夠進(jìn)行惡意攻擊行為的分析與識(shí)別，但不能夠阻斷惡意攻擊，因此通常需要與防火墻系統(tǒng)進(jìn)行聯(lián)動(dòng)配合，實(shí)現(xiàn)對(duì)惡意攻擊行為的檢測(cè)與防御?；诖吮景咐每删幊探涌冢O(shè)計(jì)了一套聯(lián)動(dòng)防御服務(wù)軟件定義防火墻——服務(wù)機(jī)制設(shè)計(jì)2③聯(lián)動(dòng)防御服務(wù)基于軟件定義的聯(lián)動(dòng)防御機(jī)制五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻2（1）防火墻技術(shù)概述（2）軟件定義防火墻系統(tǒng)架構(gòu)（3）服務(wù)機(jī)制設(shè)計(jì)

（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——技術(shù)特點(diǎn)與優(yōu)勢(shì)2數(shù)控分離防火墻功能不再集中部署于網(wǎng)絡(luò)邊界處，而是可以采用分布式部署方式；能夠以邏輯集中的方式對(duì)整個(gè)網(wǎng)絡(luò)中的流量進(jìn)行防御，從而達(dá)到全網(wǎng)訪問(wèn)控制的目的。開(kāi)放可編程具有開(kāi)放的南向接口和北向接口。通過(guò)南向接口控制平面能夠?qū)崿F(xiàn)網(wǎng)絡(luò)流量的全局監(jiān)控，基于北向接口向應(yīng)用平面提供靈活的防火墻配置與安全服務(wù)調(diào)度的可編程能力。對(duì)比維度傳統(tǒng)防火墻軟件定義防火墻（SDFW）架構(gòu)設(shè)計(jì)基于硬件設(shè)備、固定架構(gòu)，通常部署在網(wǎng)絡(luò)邊界。基于SDN架構(gòu)設(shè)計(jì)，支持分布式部署。策略管理本地配置，缺乏全局視圖。通過(guò)控制器統(tǒng)一管理，支持自動(dòng)化策略部署和動(dòng)態(tài)調(diào)整。部署與擴(kuò)展性依賴(lài)專(zhuān)用硬件，擴(kuò)展性有限?；赟DN網(wǎng)絡(luò)架構(gòu)通過(guò)軟件實(shí)現(xiàn)，支持彈性擴(kuò)展。安全功能集成與其他安全功能服務(wù)集成能力有限。支持多功能集成（如IDS/IPS、負(fù)載均衡），可與其他安全功能服務(wù)協(xié)同工作?？梢?jiàn)性與分析缺乏全局流量可見(jiàn)性，難以全面監(jiān)控和分析。提供全局流量視圖，支持全局流量分析和威脅檢測(cè)。適用場(chǎng)景適合傳統(tǒng)網(wǎng)絡(luò)邊界防護(hù)。適合SDN網(wǎng)絡(luò)防御。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義防火墻——技術(shù)特點(diǎn)與優(yōu)勢(shì)2五、軟件定義網(wǎng)絡(luò)安全技術(shù)

1軟件定義安全概述

2軟件定義防火墻

3軟件定義移動(dòng)目標(biāo)防御技術(shù)

4基于P4的軟件定義加密隧道技術(shù)

5安全服務(wù)功能鏈編排技術(shù)

6軟件定義邊界技術(shù)

7微分段技術(shù)五、軟件定義網(wǎng)絡(luò)安全技術(shù)（1）移動(dòng)目標(biāo)防御技術(shù)（MTD：MovingTargetDefense）概述（2）軟件定義MTD系統(tǒng)架構(gòu)（3）軟件定義MTD技術(shù)案例（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)軟件定義移動(dòng)目標(biāo)防御技術(shù)3五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述3MTD的基本概念MTD的技術(shù)原理與分類(lèi)（1）分析階段：

洛克希德

馬丁公司提出的網(wǎng)絡(luò)殺傷鏈(cyberkill-chain)是被廣泛認(rèn)同的分段式網(wǎng)絡(luò)入侵模型，其描述了攻擊方對(duì)網(wǎng)絡(luò)目標(biāo)實(shí)施攻擊時(shí)遵從的通用行為模式，可歸結(jié)為分析、利用和損害三個(gè)階段。定位目標(biāo)探測(cè)漏洞五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的基本概念3

洛克希德

馬丁公司提出的網(wǎng)絡(luò)殺傷鏈(cyberkill-chain)是被廣泛認(rèn)同的分段式網(wǎng)絡(luò)入侵模型，其描述了攻擊方對(duì)網(wǎng)絡(luò)目標(biāo)實(shí)施攻擊時(shí)遵從的通用行為模式，可歸結(jié)為分析、利用和損害三個(gè)階段。利用漏洞實(shí)施突防（2）利用階段：五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的基本概念3

洛克希德

馬丁公司提出的網(wǎng)絡(luò)殺傷鏈(cyberkill-chain)是被廣泛認(rèn)同的分段式網(wǎng)絡(luò)入侵模型，其描述了攻擊方對(duì)網(wǎng)絡(luò)目標(biāo)實(shí)施攻擊時(shí)遵從的通用行為模式，可歸結(jié)為分析、利用和損害三個(gè)階段。（3）損害階段：實(shí)施破壞行為為了防御網(wǎng)絡(luò)殺傷鏈（攻擊行為）通?？梢栽趺醋?？五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的基本概念3嵌入阻塞防御方法

針對(duì)系統(tǒng)缺陷，通過(guò)增加身份認(rèn)證、訪問(wèn)控制、安全隔離等防御方法堵塞漏洞、阻斷攻擊行為。一、移動(dòng)目標(biāo)防御基本理念在嵌入阻塞防御方法中，攻防雙方在對(duì)抗中具有不對(duì)稱(chēng)性五、軟件定義網(wǎng)絡(luò)安全技術(shù)信息不對(duì)稱(chēng)性網(wǎng)絡(luò)信息系統(tǒng)構(gòu)成的確定性為攻擊方實(shí)施長(zhǎng)期分析提供了必備條件。攻擊方可通過(guò)長(zhǎng)期收集目標(biāo)網(wǎng)絡(luò)信息準(zhǔn)確定位目標(biāo)節(jié)點(diǎn)；防御方由于認(rèn)知方法和手段的局限性，難以掌握所有潛在的攻擊者和所有可能的攻擊手段。49嵌入阻塞防御中攻防雙方對(duì)抗中的不對(duì)稱(chēng)性信息不對(duì)稱(chēng)性網(wǎng)絡(luò)信息系統(tǒng)構(gòu)成的確定性為攻擊方實(shí)施長(zhǎng)期分析提供了必備條件。攻擊方可通過(guò)長(zhǎng)期收集目標(biāo)網(wǎng)絡(luò)信息準(zhǔn)確定位目標(biāo)節(jié)點(diǎn)；防御方由于認(rèn)知方法和手段的局限性，難以掌握所有潛在的攻擊者和可能的攻擊手段。時(shí)間不對(duì)稱(chēng)性網(wǎng)絡(luò)信息系統(tǒng)構(gòu)成的靜態(tài)性為攻擊方入侵提供了時(shí)間優(yōu)勢(shì)。攻擊方網(wǎng)絡(luò)探測(cè)時(shí)間越長(zhǎng)，獲得的信息就越多、攻擊行為越易于實(shí)施；防御方很難實(shí)時(shí)檢測(cè)新型安全威脅，另外補(bǔ)丁下發(fā)的滯后性為攻擊實(shí)施提供了時(shí)間保證。嵌入阻塞防御中攻防雙方對(duì)抗中的不對(duì)稱(chēng)性信息不對(duì)稱(chēng)性網(wǎng)絡(luò)信息系統(tǒng)構(gòu)成的確定性為攻擊方實(shí)施長(zhǎng)期分析提供了必備條件。攻擊方可通過(guò)長(zhǎng)期收集目標(biāo)網(wǎng)絡(luò)信息準(zhǔn)確定位目標(biāo)節(jié)點(diǎn)；防御方由于認(rèn)知方法和手段的局限性，難以掌握所有潛在的攻擊者和可能的攻擊手段。時(shí)間不對(duì)稱(chēng)性網(wǎng)絡(luò)信息系統(tǒng)構(gòu)成的靜態(tài)性為攻擊方入侵提供了時(shí)間優(yōu)勢(shì)。攻擊方網(wǎng)絡(luò)探測(cè)時(shí)間越長(zhǎng)，挖掘的漏洞越多、攻擊行為越易于實(shí)施；防御方很難實(shí)時(shí)檢測(cè)新型安全威脅，另外補(bǔ)丁下發(fā)的滯后性為攻擊實(shí)施提供了時(shí)間保證。51成本不對(duì)稱(chēng)性網(wǎng)絡(luò)信息系統(tǒng)要素的同構(gòu)性為攻擊方入侵提供了成本優(yōu)勢(shì)。攻擊方只需找到一個(gè)有效漏洞即可實(shí)施攻擊，并可迅速在具有相同漏洞的節(jié)點(diǎn)上擴(kuò)散威脅；防御方需對(duì)所有可能被利用的漏洞進(jìn)行全面防御才能提高系統(tǒng)的安全性。嵌入阻塞防御中攻防雙方對(duì)抗中的不對(duì)稱(chēng)性信息不對(duì)稱(chēng)性網(wǎng)絡(luò)信息系統(tǒng)構(gòu)成的確定性為攻擊方實(shí)施長(zhǎng)期分析提供了必備條件。攻擊方可通過(guò)長(zhǎng)期收集目標(biāo)網(wǎng)絡(luò)信息準(zhǔn)確定位目標(biāo)節(jié)點(diǎn)；防御方由于認(rèn)知方法和手段的局限性，難以掌握所有潛在的攻擊者和可能的攻擊手段。時(shí)間不對(duì)稱(chēng)性網(wǎng)絡(luò)信息系統(tǒng)構(gòu)成的靜態(tài)性為攻擊方入侵提供了時(shí)間優(yōu)勢(shì)。攻擊方網(wǎng)絡(luò)探測(cè)時(shí)間越長(zhǎng)，挖掘的漏洞越多、攻擊行為越易于實(shí)施；防御方很難實(shí)時(shí)檢測(cè)新型安全威脅，另外補(bǔ)丁下發(fā)的滯后性為攻擊實(shí)施提供了時(shí)間保證。52成本不對(duì)稱(chēng)性網(wǎng)絡(luò)信息系統(tǒng)要素的同構(gòu)性為攻擊方入侵提供了成本優(yōu)勢(shì)。攻擊方只需找到一個(gè)有效漏洞即可實(shí)施攻擊，并可迅速在具有相同漏洞的節(jié)點(diǎn)上擴(kuò)散威脅；防御方需對(duì)所有可能被利用的漏洞進(jìn)行全面防御才能提高系統(tǒng)的安全性。如何才能降低或甚至消除以上的不對(duì)稱(chēng)性呢？嵌入阻塞防御中攻防雙方對(duì)抗中的不對(duì)稱(chēng)性動(dòng)態(tài)重塑防御方法動(dòng)態(tài)改變網(wǎng)絡(luò)信息系統(tǒng)的配置與組成結(jié)構(gòu)，迷惑攻擊者，以達(dá)到防御攻擊。一、移動(dòng)目標(biāo)防御基本理念五、軟件定義網(wǎng)絡(luò)安全技術(shù)

移動(dòng)目標(biāo)防御MTD（MovingTargetDefense）：指通過(guò)構(gòu)建和實(shí)施動(dòng)態(tài)變換的多樣性策略，不斷改變目標(biāo)系統(tǒng)形態(tài)特征，增加系統(tǒng)資源屬性的多樣性、動(dòng)態(tài)性和隨機(jī)性，限制漏洞持續(xù)暴露及被利用的機(jī)會(huì)，增加攻擊難度和攻擊代價(jià)，提高系統(tǒng)彈性，增強(qiáng)主動(dòng)防御能力?！绹?guó)國(guó)家科學(xué)技術(shù)委員會(huì)NITRD發(fā)布《可信網(wǎng)絡(luò)空間：聯(lián)邦網(wǎng)絡(luò)

空間安全研發(fā)戰(zhàn)略規(guī)劃》，2011年9月在2009年美國(guó)國(guó)家賽博跨越式發(fā)展年會(huì)首先提出了移動(dòng)目標(biāo)防御這一概念。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的基本概念3

移動(dòng)目標(biāo)防御的基本思想：實(shí)質(zhì)上就是變換攻擊面，從攻擊分析、利用和損害三個(gè)階段破壞網(wǎng)絡(luò)殺傷鏈實(shí)施所要依賴(lài)的必要條件，從而改變攻防對(duì)抗雙方的不對(duì)稱(chēng)局面。攻擊者角度攻擊面通俗來(lái)說(shuō)就是系統(tǒng)中可被利用實(shí)施攻擊的系統(tǒng)資源集合,攻擊者可通過(guò)攻擊面實(shí)施攻擊,達(dá)到其竊取、破壞系統(tǒng)的目的。例如目標(biāo)系統(tǒng)開(kāi)放的端口、IP地址配置、操作系統(tǒng)信息和軟件版本信息等。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的基本概念3攻擊方很難基于確定的網(wǎng)絡(luò)構(gòu)成利用長(zhǎng)期的偵測(cè)信息，網(wǎng)絡(luò)系統(tǒng)的時(shí)變特性使其不再具有信息優(yōu)勢(shì)。攻擊方無(wú)法再利用靜態(tài)的網(wǎng)絡(luò)環(huán)境構(gòu)建可靠的攻擊路徑，網(wǎng)絡(luò)系統(tǒng)的不確定性使其不再具有時(shí)間累積優(yōu)勢(shì)。攻擊方無(wú)法再利用同構(gòu)的網(wǎng)絡(luò)要素?cái)U(kuò)大損害收益，網(wǎng)絡(luò)系統(tǒng)的多樣性使其不再具有成本優(yōu)勢(shì)。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的基本概念3

移動(dòng)目標(biāo)防御并不嘗試構(gòu)建一個(gè)沒(méi)有漏洞的系統(tǒng)，而是在保證目標(biāo)系統(tǒng)功能完整的前提下，充分利用目標(biāo)系統(tǒng)自身資源及其所處的時(shí)間和空間環(huán)境，讓被保護(hù)的目標(biāo)系統(tǒng)“動(dòng)”起來(lái)，從而增加攻擊者對(duì)目標(biāo)系統(tǒng)的認(rèn)知難度和攻擊代價(jià)，提高目標(biāo)系統(tǒng)彈性和主動(dòng)防御能力。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的基本概念3

移動(dòng)目標(biāo)防御并不嘗試構(gòu)建一個(gè)沒(méi)有漏洞的系統(tǒng)，而是在保證目標(biāo)系統(tǒng)功能完整的前提下，充分利用目標(biāo)系統(tǒng)自身資源及其所處的時(shí)間和空間環(huán)境，讓被保護(hù)的目標(biāo)系統(tǒng)“動(dòng)”起來(lái)，從而增加攻擊者對(duì)目標(biāo)系統(tǒng)的認(rèn)知難度和攻擊代價(jià)，提高目標(biāo)系統(tǒng)彈性和主動(dòng)防御能力。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的基本概念3阻塞式防御思想是堵住全部漏洞；移動(dòng)目標(biāo)防御思想是使攻擊者檢測(cè)分析漏洞難、攻擊利用漏洞難五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述3MTD的基本概念MTD的技術(shù)原理與分類(lèi)五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3移動(dòng)目標(biāo)防御是通過(guò)不斷改變網(wǎng)絡(luò)系統(tǒng)資源的屬性與結(jié)構(gòu)，使攻擊方面臨的攻擊面不斷發(fā)生變化，從而達(dá)到迷惑攻擊方，增加攻擊方實(shí)施攻擊的難度與成本，以降低甚至消除攻擊方在時(shí)間、信息和成本方面的優(yōu)勢(shì)。MTD理論模型軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3MTD理論模型物理網(wǎng)絡(luò)被映射到邏輯任務(wù)模型，即進(jìn)行攻擊面調(diào)整的邏輯任務(wù)模型。軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3MTD理論模型分析引擎：獲取物理網(wǎng)絡(luò)的實(shí)時(shí)事件并進(jìn)行脆弱性分析。軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3MTD理論模型邏輯安全模型：依據(jù)分析的脆弱性生成安全狀態(tài)并發(fā)送給調(diào)整引擎。軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3MTD理論模型調(diào)整引擎：依據(jù)獲取的邏輯任務(wù)和安全狀態(tài)進(jìn)行攻擊面調(diào)整決策，并通過(guò)配置管理模塊調(diào)整物理網(wǎng)絡(luò)狀態(tài)，從而形成一個(gè)閉合自反饋的動(dòng)態(tài)調(diào)整系統(tǒng)。軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3在實(shí)施攻擊面動(dòng)態(tài)變換與轉(zhuǎn)移調(diào)整處理中，涉及三個(gè)核心問(wèn)題：轉(zhuǎn)移對(duì)象：指MTD中不斷變換的攻擊面資源要素（如IP地址、端口號(hào)等），在選擇變換對(duì)象時(shí)需要研究攻擊，選擇攻擊者關(guān)注的攻擊面資源要素進(jìn)行變換，從而實(shí)施有針對(duì)性地防御。轉(zhuǎn)移時(shí)機(jī)：為了達(dá)到防御效果，攻擊面的變換轉(zhuǎn)移應(yīng)當(dāng)在合適的時(shí)機(jī)觸發(fā)，常用觸發(fā)轉(zhuǎn)移的策略有預(yù)定事件觸發(fā)、固定周期觸發(fā)或動(dòng)態(tài)隨機(jī)觸發(fā)等。轉(zhuǎn)移方式：攻擊面的變換轉(zhuǎn)移方式對(duì)于移動(dòng)目標(biāo)防御的效果至關(guān)重要，通常須確保攻擊面變換轉(zhuǎn)移方式具有時(shí)效性、隨機(jī)性和多樣性等特點(diǎn)。軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3信息系統(tǒng)執(zhí)行棧層次可變換對(duì)象MTD分類(lèi)數(shù)據(jù)層應(yīng)用數(shù)據(jù)和內(nèi)存數(shù)據(jù)的格式、語(yǔ)法、編碼等數(shù)據(jù)層MTD軟件層指令序列、地址空間、編程語(yǔ)言、數(shù)據(jù)結(jié)構(gòu)等軟件層MTD平臺(tái)層操作系統(tǒng)、處理器架構(gòu)、虛擬機(jī)、主機(jī)安全配置等平臺(tái)層MTD網(wǎng)絡(luò)層IP地址、通信端口、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等網(wǎng)絡(luò)層MTD五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3（1）數(shù)據(jù)層MTD數(shù)據(jù)資源作為系統(tǒng)中最基本的組成成分，是攻擊者實(shí)施攻擊的重要目標(biāo)之一。數(shù)據(jù)層移動(dòng)目標(biāo)防御：是指在保持?jǐn)?shù)據(jù)語(yǔ)義不發(fā)生變更的前提下，通過(guò)對(duì)數(shù)據(jù)的形式、編碼、格式、排列等進(jìn)行動(dòng)態(tài)變換，實(shí)現(xiàn)脆弱性的規(guī)避，從而提升數(shù)據(jù)安全性的技術(shù)方法。數(shù)據(jù)層移動(dòng)目標(biāo)防御實(shí)施方法：數(shù)據(jù)隨機(jī)化和數(shù)據(jù)多樣化。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3（1）數(shù)據(jù)層MTD——數(shù)據(jù)隨機(jī)化數(shù)據(jù)隨機(jī)化的基本思想：主要是改變數(shù)據(jù)在存儲(chǔ)器中的存儲(chǔ)方式，利用隨機(jī)生成的密鑰，通過(guò)異或操作或加密運(yùn)算對(duì)數(shù)據(jù)對(duì)象（例如指令操作數(shù)、數(shù)組、指針等）進(jìn)行隨機(jī)化操作，使得數(shù)據(jù)形式呈現(xiàn)隨機(jī)動(dòng)態(tài)變化的特性，從而達(dá)到抵御外部攻擊。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3（1）數(shù)據(jù)層MTD——數(shù)據(jù)多樣化數(shù)據(jù)多樣化的基本思想：主要是通過(guò)對(duì)數(shù)據(jù)集進(jìn)行多樣化處理，構(gòu)造等價(jià)或等語(yǔ)義的多個(gè)數(shù)據(jù)集，再監(jiān)測(cè)測(cè)試過(guò)程中的行為與輸出，以鑒別系統(tǒng)或程序運(yùn)行過(guò)程中是否存在攻擊行為。數(shù)據(jù)多樣化的方法主要包括：多副本運(yùn)行和多變體數(shù)據(jù)兩大類(lèi)。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3（2）軟件層MTD軟件層移動(dòng)目標(biāo)防御：是指在軟件開(kāi)發(fā)、編譯、鏈接、部署和運(yùn)行的全生命周期，利用多樣化、動(dòng)態(tài)化和隨機(jī)化方法構(gòu)造出多個(gè)功能相同但指令結(jié)構(gòu)或布局不同的軟件體，降低軟件的同質(zhì)化水平，使得攻擊者難以根據(jù)已經(jīng)掌握的程序片段分析出軟件內(nèi)在結(jié)構(gòu)，增強(qiáng)防御攻擊的能力。軟件資源：與數(shù)據(jù)資源一樣也是攻擊者實(shí)施攻擊的重要目標(biāo)。軟件層移動(dòng)目標(biāo)防御實(shí)施方法：地址空間布局隨機(jī)化、指令集隨機(jī)化、代碼隨機(jī)化、軟件多態(tài)化技術(shù)等。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3（3）平臺(tái)層MTD平臺(tái)層移動(dòng)目標(biāo)防御：是指通過(guò)構(gòu)建多樣化的運(yùn)行平臺(tái)，動(dòng)態(tài)改變應(yīng)用程序運(yùn)行環(huán)境，縮短應(yīng)用程序在運(yùn)行平臺(tái)上的暴露時(shí)間或改變暴露內(nèi)容，使攻擊者難以模仿系統(tǒng)詳細(xì)構(gòu)造和發(fā)動(dòng)有效攻擊，包括虛擬機(jī)多樣化、主機(jī)配置多樣化、操作系統(tǒng)多樣化、Web服務(wù)多樣化、平臺(tái)多樣化等。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3二、移動(dòng)目標(biāo)防御關(guān)鍵技術(shù)平臺(tái)運(yùn)行環(huán)境動(dòng)態(tài)改變，即在不同層面上實(shí)現(xiàn)系統(tǒng)資源的動(dòng)態(tài)調(diào)度與排列，例如虛擬機(jī)、應(yīng)用程序從一個(gè)服務(wù)節(jié)點(diǎn)遷移到另一個(gè)服務(wù)節(jié)點(diǎn)。（3）平臺(tái)層MTD二、移動(dòng)目標(biāo)防御關(guān)鍵技術(shù)平臺(tái)運(yùn)行環(huán)境動(dòng)態(tài)改變，即在不同層面上實(shí)現(xiàn)系統(tǒng)資源的動(dòng)態(tài)調(diào)度與排列，例如虛擬機(jī)、應(yīng)用程序從一個(gè)服務(wù)節(jié)點(diǎn)遷移到另一個(gè)服務(wù)節(jié)點(diǎn)。（3）平臺(tái)層MTD攻擊者可被隔離到特定區(qū)域，充當(dāng)蜜罐對(duì)攻擊行為實(shí)施跟蹤分析。（4）基于網(wǎng)絡(luò)層MTD網(wǎng)絡(luò)層移動(dòng)目標(biāo)防御：是指通過(guò)多樣化、動(dòng)態(tài)化和隨機(jī)化方法改變網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)協(xié)議等網(wǎng)絡(luò)要素，打破其靜態(tài)性和確定性，實(shí)現(xiàn)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)可變、通信信道可變、承載協(xié)議可變，增加攻擊者進(jìn)行網(wǎng)絡(luò)探測(cè)、網(wǎng)絡(luò)竊聽(tīng)和拒絕服務(wù)等攻擊的難度。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3信息系統(tǒng)執(zhí)行棧層次可變換對(duì)象MTD分類(lèi)數(shù)據(jù)層應(yīng)用數(shù)據(jù)和內(nèi)存數(shù)據(jù)的格式、語(yǔ)法、編碼等數(shù)據(jù)層MTD軟件層指令序列、地址空間、編程語(yǔ)言、數(shù)據(jù)結(jié)構(gòu)等軟件層MTD平臺(tái)層操作系統(tǒng)、處理器架構(gòu)、虛擬機(jī)、主機(jī)安全配置等平臺(tái)層MTD網(wǎng)絡(luò)層IP地址、通信端口、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等網(wǎng)絡(luò)層MTD五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——MTD技術(shù)概述——MTD的技術(shù)原理與分類(lèi)3五、軟件定義網(wǎng)絡(luò)安全技術(shù)（1）移動(dòng)目標(biāo)防御技術(shù)（MTD：MovingTargetDefense）概述（2）軟件定義MTD系統(tǒng)架構(gòu)（3）軟件定義MTD技術(shù)案例（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)軟件定義移動(dòng)目標(biāo)防御技術(shù)3在MTD技術(shù)實(shí)現(xiàn)中，對(duì)于系統(tǒng)資源的動(dòng)態(tài)變換同步和轉(zhuǎn)移協(xié)調(diào)處理要求很高，一旦出現(xiàn)變換同步不一致或狀態(tài)轉(zhuǎn)移過(guò)程中出現(xiàn)資源協(xié)調(diào)失敗，就會(huì)導(dǎo)致系統(tǒng)運(yùn)行故障而無(wú)法正常提供服務(wù)，也就無(wú)從談起保障系統(tǒng)安全。傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)是分布式架構(gòu)，不易實(shí)現(xiàn)系統(tǒng)資源變換的嚴(yán)格同步，此外網(wǎng)絡(luò)設(shè)備通常是封閉硬件，其應(yīng)用部署與網(wǎng)絡(luò)拓?fù)渚o密耦合，也很難進(jìn)行資源地靈活、動(dòng)態(tài)調(diào)配。SDN網(wǎng)絡(luò)的集中控制機(jī)制相對(duì)于傳統(tǒng)網(wǎng)絡(luò)分布式架構(gòu)更易于實(shí)現(xiàn)網(wǎng)絡(luò)資源的動(dòng)態(tài)變換同步，靈活可編程特性使得網(wǎng)絡(luò)資源的轉(zhuǎn)移協(xié)調(diào)處理更加方便。軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD系統(tǒng)架構(gòu)3SDN網(wǎng)絡(luò)體系結(jié)構(gòu)框架軟件定義網(wǎng)絡(luò)提供的統(tǒng)一集中管控、靈活可編程的網(wǎng)絡(luò)架構(gòu)，使其成為MTD技術(shù)實(shí)踐的理想選擇。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD系統(tǒng)架構(gòu)32014年，思科工程師Kampanakis等人在SDN網(wǎng)絡(luò)上提出了一種軟件定義MTD實(shí)現(xiàn)架構(gòu)。在SDN控制器上部署MTD功能組件基于軟件定義的MTD實(shí)現(xiàn)架構(gòu)收集分析引擎適應(yīng)引擎配置管理計(jì)算引擎MTD網(wǎng)絡(luò)模型API接口信息收集策略下發(fā)數(shù)據(jù)層控制層五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD系統(tǒng)架構(gòu)3收集分析引擎適應(yīng)引擎配置管理計(jì)算引擎MTD網(wǎng)絡(luò)模型API接口信息收集策略下發(fā)數(shù)據(jù)層控制層控制層：負(fù)責(zé)依據(jù)收集到的網(wǎng)絡(luò)系統(tǒng)信息，進(jìn)行資源的動(dòng)態(tài)跳變控制與協(xié)調(diào)調(diào)配處理，即生成跳變與調(diào)配策略并將其下發(fā)給數(shù)據(jù)層。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD系統(tǒng)架構(gòu)3收集分析引擎適應(yīng)引擎配置管理計(jì)算引擎MTD網(wǎng)絡(luò)模型API接口信息收集策略下發(fā)數(shù)據(jù)層控制層收集分析引擎：捕獲網(wǎng)絡(luò)當(dāng)前配置的抽象視圖、網(wǎng)絡(luò)的功能要求，以及實(shí)時(shí)安全事件等。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD系統(tǒng)架構(gòu)3收集分析引擎適應(yīng)引擎配置管理計(jì)算引擎MTD網(wǎng)絡(luò)模型API接口信息收集策略下發(fā)數(shù)據(jù)層控制層配置管理：負(fù)責(zé)SDN網(wǎng)絡(luò)的拓?fù)?、參?shù)等的配置管理。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD系統(tǒng)架構(gòu)3收集分析引擎適應(yīng)引擎配置管理計(jì)算引擎MTD網(wǎng)絡(luò)模型API接口信息收集策略下發(fā)數(shù)據(jù)層控制層計(jì)算引擎從收集分析引擎獲取實(shí)時(shí)事件，從配置管理獲取當(dāng)前配置，以確定可能的漏洞和正在進(jìn)行的攻擊。計(jì)算引擎：從收集分析引擎獲取安全事件，從配置管理獲取當(dāng)前網(wǎng)絡(luò)配置，以確定可能暴露的脆弱性和面臨的攻擊。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD系統(tǒng)架構(gòu)3收集分析引擎適應(yīng)引擎配置管理計(jì)算引擎MTD網(wǎng)絡(luò)模型API接口信息收集策略下發(fā)數(shù)據(jù)層控制層適應(yīng)引擎：根據(jù)網(wǎng)絡(luò)的安全狀態(tài)，對(duì)網(wǎng)絡(luò)配置進(jìn)行適應(yīng)性調(diào)整，并將策略下發(fā)到數(shù)據(jù)轉(zhuǎn)發(fā)層執(zhí)行。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD系統(tǒng)架構(gòu)3收集分析引擎適應(yīng)引擎配置管理計(jì)算引擎MTD網(wǎng)絡(luò)模型API接口信息收集策略下發(fā)數(shù)據(jù)層控制層API接口：MTD機(jī)制提供的可編程控制接口，使得上層應(yīng)用可以對(duì)MTD機(jī)制進(jìn)行可編程控制。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD系統(tǒng)架構(gòu)3收集分析引擎適應(yīng)引擎配置管理計(jì)算引擎MTD網(wǎng)絡(luò)模型API接口信息收集策略下發(fā)數(shù)據(jù)層控制層數(shù)據(jù)層：依據(jù)控制層下發(fā)的調(diào)整策略進(jìn)行攻擊面資源跳變，以實(shí)現(xiàn)移動(dòng)目標(biāo)防御功能。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD系統(tǒng)架構(gòu)3五、軟件定義網(wǎng)絡(luò)安全技術(shù)（1）移動(dòng)目標(biāo)防御技術(shù)（MTD：MovingTargetDefense）概述

（2）軟件定義MTD系統(tǒng)架構(gòu)

（3）軟件定義MTD技術(shù)案例（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)軟件定義移動(dòng)目標(biāo)防御技術(shù)3五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例平臺(tái)層軟件定義MTD技術(shù)案例①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例

針對(duì)網(wǎng)絡(luò)層面的惡意攻擊，目前主要采用地址跳變、端口跳變、路由跳變（路徑跳變）等方法實(shí)現(xiàn)移動(dòng)目標(biāo)防御機(jī)制。五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3單控制域網(wǎng)絡(luò)層軟件定義MTD技術(shù)跨控制域網(wǎng)絡(luò)層軟件定義MTD技術(shù)①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3單控制域網(wǎng)絡(luò)層MTD技術(shù)案例單控制域網(wǎng)絡(luò)層MTD技術(shù)案例首先通過(guò)南向接口OpenFlow收集并監(jiān)控網(wǎng)絡(luò)的實(shí)時(shí)信息（例如網(wǎng)絡(luò)拓?fù)洌?。單控制域網(wǎng)絡(luò)層MTD技術(shù)案例其次通過(guò)北向接口將信息傳送到應(yīng)用層的跳變模塊，跳變模塊根據(jù)信息進(jìn)行跳變地址及跳變路徑的選擇。單控制域網(wǎng)絡(luò)層MTD技術(shù)案例最后通過(guò)北向接口調(diào)用相應(yīng)功能模塊，通過(guò)南向接口向目標(biāo)SDN交換機(jī)下發(fā)流表規(guī)則，保證跳變正常進(jìn)行。單控制域網(wǎng)絡(luò)層MTD技術(shù)案例IP地址跳變機(jī)制通信雙方根據(jù)預(yù)先約定好的規(guī)則進(jìn)行周期性的地址變化，即通過(guò)不斷改變通信所用IP地址，使攻擊者無(wú)法獲取當(dāng)前通信雙方真實(shí)IP地址，以迷惑攻擊者保護(hù)通信主機(jī)安全。①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3SDN網(wǎng)絡(luò)環(huán)境實(shí)施IP地址跳變機(jī)制優(yōu)勢(shì)：IP地址跳變需要嚴(yán)格的同步，在傳統(tǒng)網(wǎng)絡(luò)中地址跳變一般基于時(shí)間或事件同步等，在SDN網(wǎng)絡(luò)中地址跳變由控制器統(tǒng)一下發(fā)流表到SDN交換機(jī)完成地址的切換，更利于實(shí)現(xiàn)跳變的同步。IP地址跳變機(jī)制①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3SDN網(wǎng)絡(luò)環(huán)境IP地址跳變機(jī)制分類(lèi)：第一類(lèi)：在源目交換機(jī)處進(jìn)行地址跳變將每臺(tái)主機(jī)的真實(shí)IP地址與一個(gè)隨機(jī)跳變IP地址在跳變時(shí)間間隔內(nèi)相關(guān)聯(lián)，并且只在源目交換機(jī)處修改匹配數(shù)據(jù)包的真實(shí)IP地址為跳變IP地址，保證跳變過(guò)程對(duì)終端主機(jī)透明。源目交換機(jī)處進(jìn)行地址跳變Host2rIP=r2vIP=v2Host1rIP=r1vIP=v1目IP=r2源IP=r1目IP=v2源IP=v1目IP=r2源IP=r1目IP=r1源IP=r2目IP=v1源IP=v2目IP=r1源IP=r2SDN控制器源目交換機(jī)處進(jìn)行地址跳變Host2rIP=r2vIP=v2Host1rIP=r1vIP=v1目IP=r2源IP=r1目IP=v2源IP=v1目IP=r2源IP=r1目IP=r1源IP=r2目IP=v1源IP=v2目IP=r1源IP=r2SDN控制器SDN網(wǎng)絡(luò)環(huán)境IP地址跳變機(jī)制分類(lèi)：第一類(lèi)：在源目交換機(jī)處進(jìn)行地址跳變將每臺(tái)主機(jī)的真實(shí)IP地址與一個(gè)隨機(jī)跳變IP地址在跳變時(shí)間間隔內(nèi)相關(guān)聯(lián)，并且只在源目交換機(jī)處修改匹配數(shù)據(jù)包的真實(shí)IP地址為跳變IP地址，保證跳變過(guò)程對(duì)終端主機(jī)透明。第二類(lèi)：在路徑中的每一個(gè)交換機(jī)處都進(jìn)行地址跳變?cè)摲椒ㄔ诿恳粋€(gè)SDN交換機(jī)中，對(duì)需要跳變的數(shù)據(jù)包根據(jù)匹配流表的動(dòng)作域進(jìn)行源、目IP地址的修改并轉(zhuǎn)發(fā)。在路徑中的每一個(gè)交換機(jī)處都進(jìn)行地址跳變?cè)诼窂街械拿恳粋€(gè)交換機(jī)處都進(jìn)行地址跳變?cè)摲椒梢栽黾庸粽呔W(wǎng)絡(luò)嗅探的難度但是需要有足夠多的可用IP地址來(lái)支持這種IP地址跳變方法。跳變地址分配：是在未使用的IP地址范圍進(jìn)行跳變地址選擇分配，具體是通過(guò)設(shè)置跳變地址分配約束、地址跳變率約束以及跳變地址使用規(guī)則來(lái)保證跳變的不可預(yù)測(cè)性。IP地址跳變機(jī)制①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例首先，將可用IP地址對(duì)隨機(jī)分布在二維矩陣中，并維護(hù)一個(gè)相應(yīng)的0-1地址選擇矩陣。當(dāng)跳變開(kāi)始時(shí)，在地址矩陣中隨機(jī)選取地址對(duì)并把相應(yīng)選擇矩陣的值置為1；到下次地址跳變時(shí)，在前一次地址跳變的上下左右中隨機(jī)選取對(duì)應(yīng)選擇矩陣不為1的地址對(duì)，從而使得在界定通信時(shí)間內(nèi)每一次跳變的地址不一樣。IP地址跳變機(jī)制——隨機(jī)游走地址跳變策略①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例交換機(jī)根據(jù)SDN控制器下發(fā)的流表規(guī)則來(lái)完成地址跳變，跳變過(guò)程對(duì)通信主機(jī)透明性，減輕了通信主機(jī)的通信壓力。跳變地址分配：是在未使用的IP地址范圍進(jìn)行跳變地址選擇分配，具體是通過(guò)設(shè)置跳變地址分配約束、地址跳變率約束以及跳變地址使用規(guī)則來(lái)保證跳變的不可預(yù)測(cè)性。IP地址跳變機(jī)制①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例單控制域網(wǎng)絡(luò)層MTD技術(shù)案例路由（路徑）跳變：是網(wǎng)絡(luò)層移動(dòng)目標(biāo)防御的一種常見(jiàn)實(shí)現(xiàn)方式，其通過(guò)周期性改變通信的傳輸路徑，實(shí)現(xiàn)路由的不可預(yù)測(cè)性，以提高攻擊成本和攻擊復(fù)雜性。

路由跳變機(jī)制①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3在路由跳變中，跳變路徑通常應(yīng)滿足隨機(jī)和可用兩個(gè)特性：隨機(jī)性：需防止連續(xù)選擇相似或相同的路徑以避免規(guī)律性跳變，從而保證路徑跳變的隨機(jī)性及不可預(yù)測(cè)性?？捎眯裕簯?yīng)防止因路徑跳變導(dǎo)致數(shù)據(jù)傳輸時(shí)延過(guò)長(zhǎng)，使得網(wǎng)絡(luò)數(shù)據(jù)包丟失甚至通信中斷，從而無(wú)法保障通信的可用性。

路由跳變機(jī)制①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例路由跳變機(jī)制路徑是否滿足長(zhǎng)度約束路徑是否滿足使用時(shí)機(jī)約束備選跳變路徑選擇路徑長(zhǎng)度約束：可用來(lái)選取符合時(shí)延約束的路徑，避免跳變路徑由于時(shí)延過(guò)大而導(dǎo)致數(shù)據(jù)通信服務(wù)質(zhì)量下降的情況發(fā)生。路徑是否滿足長(zhǎng)度約束路徑是否滿足使用時(shí)機(jī)約束備選跳變路徑選擇路徑使用時(shí)機(jī)約束：可用于挑選在若干個(gè)跳變周期內(nèi)未被使用的路徑加入到備選路徑集合，以保證跳變的不可預(yù)測(cè)性。路由跳變機(jī)制路徑是否滿足長(zhǎng)度約束路徑是否滿足使用時(shí)機(jī)約束備選跳變路徑選擇路由跳變機(jī)制基于SDN控制器的路由跳變一般處理步驟：步驟一：基于合適的路由選取約束或策略選擇得到跳變路徑。步驟二：構(gòu)造流表下發(fā)規(guī)則，包括流表下發(fā)順序，以及流表中匹配域、修改域、優(yōu)先級(jí)以及存活時(shí)間等的設(shè)定。步驟三：控制器下發(fā)流表到交換機(jī)，完成路由跳變。需要對(duì)下發(fā)流表規(guī)則中的某些屬性域進(jìn)行設(shè)定

路由跳變機(jī)制①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例路由跳變機(jī)制——流表規(guī)則屬性設(shè)定要求例：流表規(guī)則的生存時(shí)間生存時(shí)間設(shè)置過(guò)長(zhǎng)，由于交換機(jī)的流表存儲(chǔ)空間有限，跳變周期結(jié)束后不能及時(shí)清除失效的流表規(guī)則，就會(huì)造成流表存儲(chǔ)空間浪費(fèi)。生存時(shí)間設(shè)置過(guò)短，則可能會(huì)導(dǎo)致上一跳變周期的網(wǎng)絡(luò)數(shù)據(jù)包還未完成通信，卻因?yàn)榱鞅硪?guī)則生存時(shí)間過(guò)期而無(wú)法正常通信。

流表規(guī)則生存時(shí)間

=Trm+γ其中：Trm：路由跳變時(shí)間間隔；γ：流表規(guī)則生存時(shí)間調(diào)節(jié)系數(shù)且γ>0.5RTT（RTT為通信往返時(shí)延）動(dòng)態(tài)隨機(jī)路由跳變處理流程示意圖路由跳變機(jī)制單控制域網(wǎng)絡(luò)層軟件定義MTD技術(shù)跨控制域網(wǎng)絡(luò)層軟件定義MTD技術(shù)①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3跨控制域網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例指令和IO模塊：負(fù)責(zé)移動(dòng)目標(biāo)防御組件與OpenFlow控制器的數(shù)據(jù)交互和北向接口的指令生成與解析。IP跳變模塊：負(fù)責(zé)實(shí)現(xiàn)域內(nèi)的IP地址跳變功能。IP跳變工作流程同步模塊：用于對(duì)部署在不同區(qū)域的防御系統(tǒng)進(jìn)行端口跳變信息的同步。端口跳變模塊：負(fù)責(zé)域間的端口跳變功能。端口跳變模塊：負(fù)責(zé)域間的端口跳變功能。同步模塊：用于對(duì)部署在不同區(qū)域的防御系統(tǒng)進(jìn)行端口跳變信息的同步?？缈刂朴蚓W(wǎng)絡(luò)層軟件定義MTD技術(shù)案例端口跳變：基于NAT方式，將內(nèi)部通信鏈路轉(zhuǎn)換成域間使用的區(qū)域公網(wǎng)IP地址和相應(yīng)綁定的端口。在每次通信會(huì)話過(guò)程中，不斷同步改變通信雙方網(wǎng)關(guān)綁定的通信端口。即使截取某次IP和端口信息，也無(wú)法在下一時(shí)刻再次利用跨域跳變工作流程跨域跳變工作流程一跨域跳變工作流程二跳變對(duì)象：地址跳變、端口跳變、路由跳變（路徑跳變）等。什么時(shí)機(jī)跳變？①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3跳變對(duì)象：地址跳變、端口跳變、路由跳變（路徑跳變）等。什么時(shí)機(jī)跳變？怎么跳變？——跳變算法①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3（1）基于固定時(shí)間間隔跳變（2）基于隨機(jī)時(shí)間間隔跳變（偽隨機(jī)）（3）基于系統(tǒng)異常狀態(tài)跳變什么時(shí)機(jī)跳變？跳變時(shí)機(jī)選擇原則：①防御質(zhì)量：確保防御效能②通信質(zhì)量：確保通信效能①網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3二、移動(dòng)目標(biāo)防御關(guān)鍵技術(shù)（1）跳變周期調(diào)整策略以網(wǎng)絡(luò)異常為調(diào)節(jié)因子計(jì)算下一跳變周期的持續(xù)時(shí)間，滿足跳變周期“快減小，慢增長(zhǎng)”的調(diào)整原則，提高端信息跳變的防御效果。為什么要對(duì)跳變周期進(jìn)行動(dòng)態(tài)調(diào)整呢？

如果跳變周期過(guò)長(zhǎng)：攻擊者就將有足夠的時(shí)間探測(cè)和獲取當(dāng)前跳變周期使用的端信息，進(jìn)而對(duì)目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)動(dòng)跟隨攻擊；

如果跳變周期過(guò)短：高頻率的跳變會(huì)造成跳變邊界數(shù)據(jù)丟包率的增加，降低網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃?。自適應(yīng)跳變機(jī)制二、移動(dòng)目標(biāo)防御關(guān)鍵技術(shù)（1）跳變周期調(diào)整策略以網(wǎng)絡(luò)異常為調(diào)節(jié)因子計(jì)算下一跳變周期的持續(xù)時(shí)間，滿足跳變周期“快減小，慢增長(zhǎng)”的調(diào)整原則，提高端信息跳變的防御效果。（2）跳變周期拉伸策略進(jìn)行網(wǎng)絡(luò)時(shí)延預(yù)測(cè)，延長(zhǎng)開(kāi)放活動(dòng)端信息周期以外的時(shí)間。為什么要對(duì)跳變周期進(jìn)行拉伸呢？

網(wǎng)絡(luò)傳輸延遲使得在跳變邊界的端信息切換過(guò)程中會(huì)不可避免地造成數(shù)據(jù)包丟失。為此，設(shè)計(jì)了跳變周期拉伸策略，即延長(zhǎng)開(kāi)放活動(dòng)端信息周期以外的時(shí)間，用于接收上一跳變周期延遲的數(shù)據(jù)包。自適應(yīng)跳變機(jī)制二、移動(dòng)目標(biāo)防御關(guān)鍵技術(shù)（1）跳變周期調(diào)整策略以網(wǎng)絡(luò)異常為調(diào)節(jié)因子計(jì)算下一跳變周期的持續(xù)時(shí)間，滿足跳變周期“快減小，慢增長(zhǎng)”的調(diào)整原則，提高端信息跳變的防御效果。（2）跳變周期拉伸策略進(jìn)行網(wǎng)絡(luò)時(shí)延預(yù)測(cè)，延長(zhǎng)開(kāi)放活動(dòng)端信息周期以外的時(shí)間。跳變周期調(diào)整策略隨網(wǎng)絡(luò)異常自適應(yīng)動(dòng)態(tài)變化，提高了跳變周期的隨機(jī)性；跳變周期拉伸策略延長(zhǎng)端信息跳變周期開(kāi)放時(shí)間，以接收網(wǎng)絡(luò)延遲數(shù)據(jù)包，提高了跳變通信數(shù)據(jù)傳輸?shù)目煽啃?。自適應(yīng)跳變機(jī)制五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3網(wǎng)絡(luò)層軟件定義MTD技術(shù)案例平臺(tái)層軟件定義MTD技術(shù)案例

針對(duì)控制層面（即控制器）的惡意攻擊，可采用動(dòng)態(tài)調(diào)整控制器平臺(tái)運(yùn)行環(huán)境實(shí)施防御。案例：針對(duì)SDN控制器的DDoS攻擊，采用控制器-交換機(jī)連接遷移、多控制器代理遷移等移動(dòng)目標(biāo)防御技術(shù)進(jìn)行防御。②平臺(tái)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3基于控制器-交換機(jī)連接遷移機(jī)制的MTD②平臺(tái)層軟件定義MTD技術(shù)案例基于控制器-交換機(jī)連接遷移機(jī)制的MTD控制器池異常交換機(jī)檢測(cè)交換機(jī)-控制器連接動(dòng)態(tài)遷移②平臺(tái)層軟件定義MTD技術(shù)案例第一階段異常檢測(cè)：安全檢測(cè)器監(jiān)控packet-in消息速率，一旦超過(guò)預(yù)設(shè)的請(qǐng)求閾值就將其標(biāo)識(shí)為異常交換機(jī)，對(duì)其實(shí)施交換機(jī)-控制器連接動(dòng)態(tài)遷移，保證正常交換機(jī)的流轉(zhuǎn)發(fā)請(qǐng)求不受影響。②平臺(tái)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3第二階段恢復(fù)處理，對(duì)異常交換機(jī)進(jìn)行監(jiān)測(cè)，如果檢測(cè)出重復(fù)流請(qǐng)求，則認(rèn)為該流請(qǐng)求是網(wǎng)絡(luò)突發(fā)的正常流請(qǐng)求，則將其轉(zhuǎn)移給原控制器。②平臺(tái)層軟件定義MTD技術(shù)案例五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——軟件定義MTD技術(shù)案例3五、軟件定義網(wǎng)絡(luò)安全技術(shù)（1）移動(dòng)目標(biāo)防御技術(shù)（MTD：MovingTargetDefense）概述（2）軟件定義MTD系統(tǒng)架構(gòu)（3）軟件定義MTD技術(shù)案例

（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)軟件定義移動(dòng)目標(biāo)防御技術(shù)3五、軟件定義網(wǎng)絡(luò)安全技術(shù)軟件定義移動(dòng)目標(biāo)防御技術(shù)——技術(shù)特點(diǎn)與優(yōu)勢(shì)3相較于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下的MTD技術(shù)，基于SDN的軟件定義MTD技術(shù)具有以下技術(shù)特點(diǎn)和優(yōu)勢(shì)：①部署靈活易實(shí)施缺少集中管控與靈活調(diào)度機(jī)制的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，使得資源跳變同步與轉(zhuǎn)移協(xié)調(diào)功能實(shí)現(xiàn)復(fù)雜困難，且會(huì)導(dǎo)致MTD功能機(jī)制的實(shí)現(xiàn)與網(wǎng)絡(luò)環(huán)境深度綁定，造成MTD部署困難且部署開(kāi)銷(xiāo)大SDN控轉(zhuǎn)分離、集中控制的特性，使得資源跳變同步與轉(zhuǎn)移協(xié)調(diào)功能更便于實(shí)現(xiàn)與應(yīng)用部署②開(kāi)放編程易拓展傳統(tǒng)網(wǎng)絡(luò)架構(gòu)由于缺乏開(kāi)放可編程接口，使得其上實(shí)現(xiàn)的MTD機(jī)制在功能、規(guī)模等方面進(jìn)行二次靈活擴(kuò)展受到限制SDN強(qiáng)大的可編程能力，使得用戶(hù)可以更靈活的定制移動(dòng)目標(biāo)防御策略，不僅更易于進(jìn)行功能和規(guī)模拓展，而且方便與其它安全設(shè)備聯(lián)動(dòng)防御，增強(qiáng)防御效果五、軟件定義網(wǎng)絡(luò)安全技術(shù)

1軟件定義安全概述

2軟件定義防火墻

3軟件定義移動(dòng)目標(biāo)防御技術(shù)

4基于P4的軟件定義加密隧道技術(shù)

5安全服務(wù)功能鏈編排技術(shù)

6軟件定義邊界技術(shù)

7微分段技術(shù)五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)4（1）加密隧道技術(shù)概述（2）基于P4的軟件定義加密隧道體系架構(gòu)（3）基于P4的可編程網(wǎng)絡(luò)隧道加密機(jī)制（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——加密隧道技術(shù)概述4

網(wǎng)絡(luò)隧道是基于一種網(wǎng)絡(luò)協(xié)議來(lái)傳輸另一種網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的技術(shù)，即利用一種網(wǎng)絡(luò)傳輸協(xié)議（即隧道協(xié)議）將其它協(xié)議的數(shù)據(jù)報(bào)文進(jìn)行封裝，在新封裝報(bào)文的報(bào)頭提供路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過(guò)網(wǎng)絡(luò)傳遞。

加密（網(wǎng)絡(luò)）隧道則還需要利用密碼技術(shù)對(duì)被封裝的隧道協(xié)議報(bào)文進(jìn)行加密等安全增強(qiáng)處理，是一種網(wǎng)絡(luò)數(shù)據(jù)安全交換技術(shù)。五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——加密隧道技術(shù)概述4

加密隧道構(gòu)建的核心是加密機(jī)制設(shè)計(jì)，其通常需要根據(jù)需求采用不同的加密協(xié)議和算法來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性保護(hù)。目前，根據(jù)加密保護(hù)對(duì)象的不同，常用的網(wǎng)絡(luò)數(shù)據(jù)加密機(jī)制可劃分為三類(lèi)：面向網(wǎng)絡(luò)載荷的加密機(jī)制網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的載荷數(shù)據(jù)進(jìn)行加密處理攻擊者依然能夠利用網(wǎng)絡(luò)探測(cè)等技術(shù)手段竊取數(shù)據(jù)的路由和協(xié)議類(lèi)型等信息面向網(wǎng)絡(luò)報(bào)頭的加密機(jī)制選擇需要加密保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)頭信息進(jìn)行加密處理網(wǎng)絡(luò)數(shù)據(jù)報(bào)文載荷部分未加密，則可能會(huì)被攻擊者竊聽(tīng)截獲綜合網(wǎng)絡(luò)數(shù)據(jù)加密機(jī)制載荷和報(bào)頭加密的綜合體，既對(duì)報(bào)文載荷進(jìn)行加密，又對(duì)選擇的報(bào)頭信息進(jìn)行加密提供更強(qiáng)的網(wǎng)絡(luò)數(shù)據(jù)保密服務(wù)五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——加密隧道技術(shù)概述4傳統(tǒng)加密隧道技術(shù)面臨的挑戰(zhàn)加密隧道大都采用固化的協(xié)議相關(guān)性設(shè)計(jì)一旦加密隧道協(xié)議確定，其能夠提供的安全服務(wù)功能也就固化、無(wú)法更改網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)交換安全需求的新發(fā)展不同網(wǎng)絡(luò)應(yīng)用對(duì)網(wǎng)絡(luò)數(shù)據(jù)交換的安全需求不盡相同，固化安全機(jī)制的加密隧道很難滿足需求亟需可定義加密隧道數(shù)據(jù)安全交換能夠通過(guò)編程的方式靈活配置、動(dòng)態(tài)調(diào)整加密隧道五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)4（1）加密隧道技術(shù)概述

（2）基于P4的軟件定義加密隧道體系架構(gòu)（3）基于P4的可編程網(wǎng)絡(luò)隧道加密機(jī)制（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4數(shù)據(jù)平面可編程技術(shù)P4的出現(xiàn)，為可定義加密隧道數(shù)據(jù)安全交換的實(shí)現(xiàn)提供了技術(shù)支撐。基于P4技術(shù)，可通過(guò)編程的方式靈活調(diào)整數(shù)據(jù)平面網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的處理邏輯，從而能夠?qū)崿F(xiàn)加密對(duì)象和加密策略的動(dòng)態(tài)定制與重構(gòu)，進(jìn)而根據(jù)不同網(wǎng)絡(luò)協(xié)議數(shù)據(jù)安全交換的需求，進(jìn)行加密隧道安全功能的定制與擴(kuò)展。五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4架構(gòu)組成工作流程下面給出一種基于P4的軟件定義加密隧道體系架構(gòu)實(shí)現(xiàn)案例：基于P4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4架構(gòu)組成數(shù)據(jù)平面由具有加密隧道功能的P4轉(zhuǎn)發(fā)設(shè)備（即隧道網(wǎng)關(guān)）構(gòu)成。架構(gòu)組成隧道網(wǎng)關(guān)實(shí)質(zhì)就是一臺(tái)支持P4編程的SDN交換機(jī)，作為安全隧道構(gòu)建的核心部件，其包含一套完整的加解密和數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制。架構(gòu)組成隧道網(wǎng)關(guān)實(shí)質(zhì)就是一臺(tái)支持P4編程的SDN交換機(jī)，作為安全隧道構(gòu)建的核心部件，其包含一套完整的加解密和數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制。其中：策略管理和加解密服務(wù)組件屬于加解密機(jī)制。依據(jù)隧道安全策略判定數(shù)據(jù)報(bào)文是否需要進(jìn)行加密保護(hù)，如果需要?jiǎng)t向控制器申請(qǐng)加密策略，并將報(bào)文發(fā)至加密服務(wù)組件實(shí)施加密處理，否則將報(bào)文發(fā)至數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)組件直接進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。利用P4編程機(jī)制實(shí)現(xiàn)的多組支持?jǐn)?shù)據(jù)轉(zhuǎn)發(fā)的密碼套件，每組密碼套件由兩個(gè)P4Extern程序?qū)崿F(xiàn)，即一個(gè)用于加密、一個(gè)用于解密。架構(gòu)組成隧道網(wǎng)關(guān)實(shí)質(zhì)就是一臺(tái)支持P4編程的SDN交換機(jī)，作為安全隧道構(gòu)建的核心部件，其包含一套完整的加解密和數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制。解析器、逆解析器和數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)組件屬于數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制。負(fù)責(zé)報(bào)文的解析，并根據(jù)報(bào)文是否加密將其分別轉(zhuǎn)發(fā)至策略管理服務(wù)組件或解密服務(wù)組件。主要是依據(jù)控制器下發(fā)的流表規(guī)則實(shí)施數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)處理。負(fù)責(zé)數(shù)據(jù)報(bào)文協(xié)議封裝?；赑4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4架構(gòu)組成數(shù)據(jù)平面由具備加密隧道控制管理功能的控制器構(gòu)成。五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4架構(gòu)組成流表配置服務(wù)組件流量信息采集服務(wù)組件安全策略存儲(chǔ)服務(wù)組件密鑰生成與更新服務(wù)組件流規(guī)則生成與下發(fā)服務(wù)組件五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4流表配置服務(wù)組件流量信息采集服務(wù)組件安全策略存儲(chǔ)服務(wù)組件密鑰生成與更新服務(wù)組件流規(guī)則生成與下發(fā)服務(wù)組件架構(gòu)組成通常采用主動(dòng)傳遞和被動(dòng)傳遞相結(jié)合的流表下發(fā)模式。當(dāng)控制器首次與數(shù)據(jù)平面的P4交換設(shè)備連接時(shí)，控制器會(huì)針對(duì)常規(guī)數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)操作向P4交換設(shè)備下發(fā)默認(rèn)的流表項(xiàng)規(guī)則；當(dāng)控制器檢測(cè)到P4交換設(shè)備發(fā)送的Packet-in事件時(shí)，將會(huì)解析輸入數(shù)據(jù)報(bào)文的特征，并根據(jù)報(bào)文特征向P4交換設(shè)備下發(fā)相應(yīng)的用于加密隧道構(gòu)建的流表項(xiàng)規(guī)則。五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4流表配置服務(wù)組件流量信息采集服務(wù)組件安全策略存儲(chǔ)服務(wù)組件密鑰生成與更新服務(wù)組件流規(guī)則生成與下發(fā)服務(wù)組件架構(gòu)組成負(fù)責(zé)收集和解析P4交換設(shè)備上傳的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。當(dāng)控制器檢測(cè)到來(lái)自P4交換設(shè)備的Packet-in事件時(shí)，該組件將從獲取的報(bào)文中提取報(bào)頭字段，然后對(duì)報(bào)頭字段進(jìn)行解析提取諸如協(xié)議號(hào)、報(bào)文類(lèi)型、源地址與目的地址等信息，最后依據(jù)報(bào)頭信息構(gòu)成用于匹配隧道加密策略的流量分類(lèi)數(shù)據(jù)。五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4流表配置服務(wù)組件流量信息采集服務(wù)組件安全策略存儲(chǔ)服務(wù)組件密鑰生成與更新服務(wù)組件流規(guī)則生成與下發(fā)服務(wù)組件架構(gòu)組成負(fù)責(zé)隧道加密策略的編輯與配置、存儲(chǔ)與下發(fā)，隧道加密策略用于定義不同類(lèi)型網(wǎng)絡(luò)報(bào)文的隧道安全增強(qiáng)處理規(guī)則。隧道加密策略存儲(chǔ)于匹配動(dòng)作表中，通常以鍵值對(duì)的形式存儲(chǔ)，其中鍵表示的是網(wǎng)絡(luò)流量的不同類(lèi)型，通常基于報(bào)文報(bào)頭信息進(jìn)行類(lèi)型特征定義，值是相應(yīng)的隧道加密規(guī)則。五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4流表配置服務(wù)組件流量信息采集服務(wù)組件安全策略存儲(chǔ)服務(wù)組件密鑰生成與更新服務(wù)組件流規(guī)則生成與下發(fā)服務(wù)組件架構(gòu)組成基于密鑰生成和更新服務(wù)組件用戶(hù)可以自定義加密隧道使用密鑰的生成與更新方法，并負(fù)責(zé)進(jìn)行密鑰的動(dòng)態(tài)生成與向隧道網(wǎng)關(guān)下發(fā)更新。五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4流表配置服務(wù)組件流量信息采集服務(wù)組件安全策略存儲(chǔ)服務(wù)組件密鑰生成與更新服務(wù)組件流規(guī)則生成與下發(fā)服務(wù)組件架構(gòu)組成流規(guī)則生成和下發(fā)服務(wù)組件主要負(fù)責(zé)根據(jù)隧道加密策略與數(shù)據(jù)轉(zhuǎn)發(fā)要求，生成相應(yīng)的流表規(guī)則，并將生成的流表規(guī)則下發(fā)給隧道網(wǎng)關(guān)，以進(jìn)行加密隧道的構(gòu)建?；赑4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4工作流程首先，用戶(hù)可根據(jù)不同協(xié)議類(lèi)型報(bào)文通信安全需求，進(jìn)行隧道協(xié)議解析與安全功能的可編程控制，實(shí)現(xiàn)協(xié)議解析與加密策略的靈活定制與動(dòng)態(tài)重構(gòu)。

然后，可利用P4Runtime協(xié)議將定義的協(xié)議解析策略、隧道加密策略和數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則等下發(fā)至數(shù)據(jù)平面的隧道網(wǎng)關(guān)，實(shí)施加密隧道功能的動(dòng)態(tài)定制化構(gòu)建。協(xié)商初始化實(shí)現(xiàn)隧道會(huì)話密鑰的安全協(xié)商核心是加密隧道密鑰協(xié)商協(xié)議數(shù)據(jù)轉(zhuǎn)發(fā)實(shí)現(xiàn)隧道數(shù)據(jù)報(bào)文的安全通信利用隧道網(wǎng)關(guān)中擴(kuò)展的加密隧道P4程序，結(jié)合協(xié)商初始化過(guò)程生成的會(huì)話密鑰實(shí)現(xiàn)報(bào)文數(shù)據(jù)的安全交互為了便于大家深入的認(rèn)識(shí)和理解，基于P4的軟件定義加密隧道數(shù)據(jù)轉(zhuǎn)發(fā)的工作流程，下面以源端隧道網(wǎng)關(guān)數(shù)據(jù)轉(zhuǎn)發(fā)處理為例講解其工作流程基于P4的軟件定義加密隧道技術(shù)——基于P4的軟件定義加密隧道體系架構(gòu)4工作流程源端隧道網(wǎng)關(guān)數(shù)據(jù)轉(zhuǎn)發(fā)處理示例網(wǎng)絡(luò)數(shù)據(jù)報(bào)文到達(dá)加密隧道網(wǎng)關(guān)首先進(jìn)行數(shù)據(jù)報(bào)文解析依據(jù)報(bào)文報(bào)頭信息進(jìn)行隧道加密策略匹配與隧道網(wǎng)關(guān)中已有隧道加密策略匹配成功利用對(duì)應(yīng)的加密方法與算法進(jìn)行報(bào)文數(shù)據(jù)隧道加密處理將加密處理后的數(shù)據(jù)報(bào)文發(fā)送給數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)組件進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)與隧道網(wǎng)關(guān)中已有隧道加密策略匹配不成功隧道網(wǎng)關(guān)向控制器發(fā)送Packet-in消息申請(qǐng)隧道加密策略隧道網(wǎng)關(guān)基于獲取的隧道加密策略進(jìn)行數(shù)據(jù)報(bào)文加密處理五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)4（1）加密隧道技術(shù)概述（2）基于P4的軟件定義加密隧道體系架構(gòu)

（3）基于P4的可編程網(wǎng)絡(luò)隧道加密機(jī)制（4）技術(shù)特點(diǎn)與優(yōu)勢(shì)五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——基于P4的可編程網(wǎng)絡(luò)隧道加密機(jī)制4

加密機(jī)制是加密隧道構(gòu)建的核心，通常需要根據(jù)隧道安全需求，采用不同的加密協(xié)議和算法來(lái)構(gòu)建加密機(jī)制，以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的安全保護(hù)。針對(duì)上述基于P4的軟件定義加密隧道體系架構(gòu)，下面給出一種網(wǎng)絡(luò)隧道加密機(jī)制實(shí)現(xiàn)示例：加密機(jī)制工作流程可定制網(wǎng)絡(luò)數(shù)據(jù)加密方法

①隧道加密機(jī)制主要由數(shù)據(jù)平面和控制平面構(gòu)成，工作流程如下圖所示：加密機(jī)制初始化將默認(rèn)隧道安全策略和流表規(guī)則分別下發(fā)至隧道網(wǎng)關(guān)安全策略匹配報(bào)文解析后先進(jìn)入安全策略服務(wù)組件進(jìn)行隧道安全策略匹配數(shù)據(jù)加密處理首次輸入的數(shù)據(jù)報(bào)文，會(huì)觸發(fā)Packet-in事件數(shù)據(jù)轉(zhuǎn)發(fā)處理加密后的數(shù)據(jù)報(bào)文被傳遞給數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)組件

②可定制網(wǎng)絡(luò)數(shù)據(jù)加密方法經(jīng)典的ESP（EncapsulatingSecurityPayload）協(xié)議隧道模式對(duì)整個(gè)數(shù)據(jù)報(bào)文進(jìn)行加密和認(rèn)證保護(hù)，以充分保障負(fù)載和路由信息的機(jī)密性與真實(shí)性。完全加密方式并不適用所有網(wǎng)絡(luò)協(xié)議數(shù)據(jù)實(shí)際中有很多網(wǎng)絡(luò)協(xié)議數(shù)據(jù)存在多級(jí)網(wǎng)絡(luò)報(bào)頭往往只有少數(shù)報(bào)頭攜帶關(guān)鍵信息加密過(guò)程的復(fù)雜性與系統(tǒng)的處理效率安全與效率間進(jìn)行平衡兼顧安全保護(hù)的針對(duì)性和報(bào)文轉(zhuǎn)發(fā)處理的效率……因此需要可定制網(wǎng)絡(luò)數(shù)據(jù)加密方法五、軟件定義網(wǎng)絡(luò)安全技術(shù)基于P4的軟件定義加密隧道技術(shù)——基于P4的可編程網(wǎng)絡(luò)隧道加密機(jī)制4可定制網(wǎng)絡(luò)數(shù)據(jù)加密方法：能夠根據(jù)安全保護(hù)需求，針對(duì)報(bào)文報(bào)頭不同字段和載荷進(jìn)行選擇性的加密、完整性校驗(yàn)等安全保護(hù)處理。

在實(shí)際應(yīng)用中，可定制網(wǎng)絡(luò)數(shù)據(jù)加密方法因?yàn)槠浒?/p>