面向雲環境的動態可信SDN防火牆關鍵理論與技術研究

軟體定義網路(Software-Defined Networking,SDN)的提出為解決傳統網路無法適應雲數據中心虛擬化的問題指出了一條全新的道路。然而，由於雲虛擬網路安全邊界的不確定性、網路動態調整和可遷移性、網路流可重定向以及網路功能虛擬化的特性，使得設計動態可信的SDN防火牆成為一個難題。本項目擬面向雲虛擬網路，從面向雲環境的SDN防火牆模型、network-wide訪問控制策略動態衝突檢測與解決方法及SDN虛擬防火牆安全保護機制三個方面展開理論研究與關鍵技術探索，並實現面向雲環境的動態可信SDN防火牆原型系統。..本項目的開展將提出一套設計和實現動態可信的SDN防火牆模型、方法與機制，不但具有一定的創新性，而且可以直接套用到現有的雲虛擬網路中，這對於解決雲虛擬網路的安全保護問題，具有重要的學術意義和實用價值。本申請團隊對此已經具有較好的研究基礎，可以圓滿完成項目。

軟體定義網路（Software-Defined Networking，SDN）目前已經成為構建新一代雲網路的關鍵技術之一。防火牆作為雲網路的核心設備對雲安全尤為重要。然而，由於雲虛擬網路安全邊界的不確定性、網路動態調整和可遷移性、網路流可重定向以及網路功能虛擬化的特性，使得設計動態可信的SDN防火牆成為一個難題。為此，本項目在三年時間裡，圍繞面向雲環境的SDN防火牆模型、network-wide訪問控制策略動態衝突檢測與解決方法及SDN虛擬防火牆安全保護機制以及動態可信SDN防火牆實驗驗證系統四個方面開展理論研究與關鍵技術探索和實現。在面向雲環境的SDN防火牆模型方面，我們針對SDN防火牆不能支持數據包狀態處理和由於需要頻繁與控制器互動而帶來的開銷問題，提出了基於OpenFlow 的SDN狀態防火牆模型。在network-wide訪問控制策略動態衝突檢測與解決方法方面，我們針對現有SDN防火牆可以通過改寫交換機中的流表項而被旁路的安全威脅，提出了基於Flowpath的實時動態策略衝突檢測與解決方法，通過獲取實時的SDN網路狀態，我們的方法能夠準確地檢測防火牆策略的直接和間接違反，並且一旦發現衝突，可以基於Flowpath進行自動化和細粒度的衝突解決。在SDN虛擬防火牆安全保護機制方面，我們提出了基於可信計算和SGX技術的虛擬網元安全保護機制，為SDN虛擬防火牆構建了可信執行環境。在實驗驗證方面，我們基於Floodlight和Openstack實現了一款基於SDN的可信防火牆原形系統。通過以上研究，初步提出一套設計和實現動態可信的SDN防火牆模型、方法與機制。我們的研究工作基本達到了最初項目立項的設計目標，相關關鍵技術和原形系統也在華為公司和武漢大學勵思可信雲系統得到了初步套用。這對於解決雲虛擬網路的安全保護問題發揮了積極作用，也豐富和發展了SDN安全的理論與套用研究，推動我國網路空間安全建設。