5G+時代的軟件定義安全技術架構研究與實踐

全碩，王旭亮，朱澤亞

5G+時代的軟件定義安全技術架構研究與實踐

全碩，王旭亮，朱澤亞

（中國電信股份有限公司研究院，北京 102209）

新基建和數字經濟激發了云網安全的保障需求，云網融合安全也是未來的重要發展趨勢。首先分析了面向5G專網用戶提供整體安全服務面臨的三大類問題，提出了在5G+時代軟件定義安全整體架構。其次基于該架構介紹了相應的原型系統的設計與實現。最后驗證了基于云化構架的軟件定義安全編排與調度體系有助于精確化地整體解決5G+時代5G專網企業客戶的業務安全威脅和隱患，為后續的研究提供了系統性的參考價值。

軟件定義安全；服務功能鏈；網絡功能虛擬化

1 引言

云網安融合基礎設施作為新基建的重要組成部分，正在快速推動企業業務的數字化轉型，在Gartner的《網絡安全的未來在云端》報告闡明了在新的網絡和安全模型的基礎上進行云網絡和安全轉型的潛力，該模型稱為安全訪問服務邊緣（secure access service edge，SASE）。隨著符合零信任網絡和SASE理念的云網安產品的不斷成熟，才能在5G+時代真正打消企業數字化轉型中最大的疑慮，快速推動云網安基礎設施+數字化應用的整體生態發展。

運營商作為新基建與數字經濟的重要市場參與方，在SASE理念基礎之上，提出了5G專網+云化安全服務的綜合解決方案。5G定制網業務基于5G SA 2B網絡進行承載，采用大區集約管理、省級集中控制的方式，按需構建多級2B業務轉發面，形成“2+31”5G定制網框架結構，具體如圖1所示，在全國，部署2個5G定制網集約節點，包括數據面網元UDM和部分信令面網元（PCF、NRF、SCP），滿足用戶數據、業務策略控制、計費的統一集約管理。在省層面，分省部署控制面網元SMF和用戶面網元UPF，用于實現全國各省份業務承載。基于上述網絡框架，在全國開通5G定制網政企2B默認切片和定制網物聯網默認切片，支持集約場景業務全國服務。

圖1 運營商5G定制網網絡架構

5G專網雖然為企業提供組網與上網業務的便利性，但專線業務本身的安全隱患和防護問題依然沒有得到充分解決。反而隨著5G專網的推出，企業客戶的業務和應用變得更加多樣化，提供能夠按需定義、快速開通、動態可重構的安全服務與產品是亟須解決的核心問題之一；如何基于5G專網面向客戶業務提供按需、高效、精確以及整體化的安全防護服務面臨如下3方面的問題：第一，云化部署的5G定制網本身帶來的靈活定制組網的特點使網絡的安全邊界模糊，新一代安全威脅凸顯，依靠相對獨立、局部、煙囪式的安全能力無法滿足防護需求；第二，用戶業務的安全防護需求從客戶側延伸到云側，需要整體安全能力解決方案，實現主動防御；第三，無法基于網絡安全威脅分析數據的“頭疼醫頭”式方案無法有效消除安全威脅，安全服務碎片化、防護手段數據采集離散且缺少關聯協同以及缺乏多個安全服務能力的自動化調度能力。

針對上述存在的問題，本文提出一種基于云化部署的軟件定義安全服務整體架構與方案，經過原型系統驗證可以有效解決安全服務能力碎片化、安全能力部署分散造成的無法根據客戶安全定制化需求進行高效自動化調度與部署的問題。

本文解決方案中大量采用云計算、NFV、SDN以及包括多種服務功能鏈（service function chain，SFC）實現技術等。根據ETSI NFV組在2018年發布標準ETSI GS NFV-EVE 011[1]，NFV技術旨在推動傳統網絡設備的云化，具體來說，是在標準IT服務器組成的云資源池上運行虛擬機，將網絡設備的應用程序運行在這些虛擬機像傳統物理網元一樣向最終用戶提供網元功能服務。通過標準服務器和虛擬機配合的方式承載傳統網元服務實現了傳統網元設備的軟硬件解耦，從而獲得網元應用的統一云化承載、彈性伸/縮、網絡業務自動化編排等傳統網絡不具備的先天技術優勢。NFV最大的特色是它在傳統云計算技術框架的基礎之上定義了一整套管理編排框架——MANO[2]（management and network orchestration，MANO）。根據ETSI NFV組在2020年發布的標準ETSI GR NFV-REL 011[3]，它由3部分組成，包括網絡服務編排器（network function virtualization orchestration，NFVO）、虛擬網元管理器（virtual network function，VNF）以及虛擬基礎設施資源管理器（virtual infrastructure manager，VIM）。

SDN技術從2009年被提出，一直被視為近10年網絡能力開放和網絡架構創新的核心基石性技術。主要包括SDN控制器和被控制器所管理的網絡設備組成。SDN控制器會根據上層業務的要求給其所管理的網元設備進行配置下發、網絡流量調度、網絡設備狀態監控與收集以及相應的運維操作。本文在一套SDN控制器的基礎之上，按需采用多種SFC技術對云資源池內的軟件交換機、硬件交換機以及硬件路由器進行統一的管理和配置下發。

SDN控制器對安全業務的引流方式逐漸豐富且可以按需采用。SDN overlay虛擬網絡提供了一種集中的管控網絡，通過把傳統網絡設備的所有功能拆分為控制平面和轉發平面并解耦，將控制邏輯集中控制到控制平面的SDN控制器中。通過標準化南向接口控制和管理數據平面的網元，與北向的開放接口和各種定制化的程序進行交互，以調用索取的各種網絡資源，從而建立高度可編程、可拓展和自動化的網絡，簡化了網絡的配置、管理和優化[2]。

SFC技術的目的是動態建立服務功能鏈使不同租戶的流量可以按照不同順序導向不同的服務功能模塊[4]。SFC使網絡報文流量走特定的路徑，而不是通過IP目的地址查看路由表的最終目的地[4]。基于SDN/NFV的SFC可以有效靈活地調整到端的安全服務路徑，達到安全服務資源的高效利用。本文提出的方案中基于一套SDN控制器實現4種安全業務引流方式，包括PBR（policy based routing，PBR）、SRv6、VxLAN以及Networking-SFC等，重點介紹其中3種。

· SRv6由于具備很強的網絡編程能力以及流量工程能力，契合了網絡虛擬化思想，為服務功能鏈技術提供了新的實施思路。SRv6基于IPv6協議棧，支持SDN集中控制方案，適應了當前網絡虛擬化發展趨勢和推進IPv6轉發平面部署需求，SRv6所具備的流量工程能力以更加簡潔的方式實現了服務功能鏈路徑SFP編排與轉發過程，且無須大規模設備升級即可實現服務功能鏈功能，降低了服務功能鏈部署開銷和運維成本[4]。

· VxLAN作為過去十年來網絡虛擬化最成功的實現方案之一，通常與SDN控制器配合實現對各類網絡設備的overlay網絡流量進行轉發。其中，VxLAN利用network overlay的理念，實現業務網絡路徑與真實網絡設備解耦的做法，真正實現了上層多種業務網絡與底層統一基礎設施網絡解耦，大大解放了生產力，帶動了網絡生態近十年的大繁榮，催生了SD-WAN、云網絡以及SASE等一大批新型網絡產品。本文中為了提升云網安產品能力的快速開通也遵循SDN的理念，且成功地在運營商安全資源池場景中實現了體系化的軟件定義安全能力。

· Networking-SFC主要應用于SDN技術中，根據不同的安全策略聯同NFV提供安全SFC。SFC利用了SDN/NFV的優勢，根據安全業務的需求可以個性化將一系列虛擬網絡功能有序組合，形成若干個邏輯上的鏈式服務功能集，同時通過入口分類器的分類規則和邏輯集中的控制器制定的流量調度規則[5]。

2 相關研究

針對軟件定義網絡的管控引流和編排問題，從業者已經提出使用軟件定義網絡的思路構建云網協作整體架構解決安全設備資源的調度管理問題。本文選取文獻[6-8]與本文的方案相比對。

文獻[6]提出了6G可定義的6G安全架構模型，探討了基于軟件定義的理念實現6G安全架構、能力定制與協同。該研究力圖基于軟件定義的理念設計基礎資源網絡資源和安全資源之間的控制編排承載架構，但是缺少了對安全能力進一步的抽象，對安全能力的調度和基礎能力。本文在安全能力的基礎上對安全產品與應用抽象為安全可編排調度的內容，對安全服務功能鏈的引流和開通業務給出了解決方案。

文獻[7]提出了一種基于軟件定義的安全能力架構，該架構能夠實現 5G 網絡模塊化的、可調用的、快速部署的內生安全能力，以滿足 5G 業務多樣化和 5G 系統架構變遷所帶來的安全需求。該方案考慮的是5G時代的網絡業務模式和針對業務的可能安全需求，然而網絡架構設計沒有全面完成全面解耦，物理設備管控面沒有統一，不能按需、差異化地定義安全產品內容。本設計方案使用了基于PBR、SRv6、SFC等方式全面將安全能力云網資源統一編排。

文獻[8]對軟件定義網絡平臺實現安全設備資源池化進行了研究，通過SDN平臺實現港口網絡安全設備統一集中調配使用和安全設備重新整合。該研究著重于使用軟件定義網絡對硬件安全資源的部署和管控，但是沒有考慮使用虛擬化網元對安全設備解耦的方式重新編排，無法自由管理和調度復雜多樣的物理硬件資源。本方案使用NFV技術對硬件設備進行解耦，使用容器部署等方式可以同時對云網安資源統一管控和云化承載。

綜上所述，本文遵循軟件定義各類服務的理念，在運營商的云網安融合的基礎設施上，提出了面向5G企業客戶的安全產品編排、調度、承載以及管理等多維度的整體技術框架，根據原型系統的驗證結論，本研究具備獨創性和較高的研究價值。

3 設計與實現

針對5G專線業務安全產品服務迭代周期慢、用戶差異化的安全需求無法滿足、局部單一的安全防護體系無法應對新一代安全威脅、安全設備資源利用率低下等問題，本文通過借鑒云網融合、軟件定義、服務建模等理念，提出了在5G+時代軟件定義安全體系架構的設計和實現方案。通過該方案可以實現安全產品服務的快速定制開通、安全能力的按需編排調度、網絡控制與安全控制的聯動協同、云網安資源的高效利用，構建云網安融合、協同、全面的安全能力服務體系。

3.1 軟件定義安全總體架構

軟件定義安全總體架構如圖2所示，分為安全產品/應用、安全服務定義/設計、安全服務編排、SDN控制器、基礎設施、云網安資源統一管理6個模塊。

圖2 軟件定義安全總體架構

·安全產品/應用：包括各種各樣的安全產品和應用。

·安全服務定義/設計：將安全產品與應用自動轉義為安全服務編排模塊可編排調度的內容（編排包）。

·安全服務編排：解析編排包，根據資源需求進行基礎設施資源的編排調度；根據規則策略和動作，進行相應的引流控制。

·SDN控制器：實現5G專線用戶流量的引流控制。分為池內引流和大網引流兩部分。池內引流根據用戶購買的安全產品，將用戶流量按需引流到各個安全原子能力（指安全特性組件，如FW、IPS、WAF、主機漏掃、Web漏洞掃描等）；大網引流則將用戶的流量引流到安全資源池內。

·基礎設施：由安全資源、網絡資源、云計算資源組成的安全資源池。其中安全資源包括各種硬件、軟件形態的安全設備、安全原子能力等；網絡資源包括物理網絡設備、虛擬網元等；云計算資源包括承載安全能力、網元等組件的物理機、虛擬機和容器。

·云網安資源的統一管理：云計算資源、網絡資源、安全資源的統一管理，包括資源的生命周期管理、資源信息的實時采集與控制、鏡像管理等功能。

3.1.1 安全服務定義

安全服務定義與設計參考PSR服務建模體系，通過構建PSR（product service resource）安全能力對象模型，進行產品－服務－資源的三層解耦，實現安全產品的靈活組裝、快速加載和開通。

PSR模型定義了產品與服務、服務與資源的映射關系，PSR安全產品模型如圖3所示。

定義一個新的安全產品時，根據安全產品的屬性、服務動作等定義，自動生成PST（product service template）。開通業務時，PST能夠將安全產品自動解析成對應的安全服務CFS組合，再根據預先定義的CFS→RFS→RES的映射關系，得到所需資源，再通過編排器完成相應資源的編排、調度與控制下發。

PSR模型的引入，減少人工干預過程，實現安全產品的靈活組合和快速開通。當引入不同安全廠商、新的安全原子能力類型時，只需在安全服務和安全產品中進行定義，即可完成安全原子能力、服務的更新迭代，具有較高的靈活性和可擴展能力。

PSR模型是安全服務編排的基石。通過產品到服務、服務到資源的拆分，可以實現更加靈活的編排調度；通過不同類型資源的解耦，編排器可以根據資源的需求、資源的特性進行自由組合，為實現網絡控制和安全控制的聯動協同、資源的高效利用提供了基礎。

3.1.2 安全服務編排

安全服務編排模塊能夠自動高效地完成資源分配、策略下發等，實現安全服務的快速開通。該模塊包括業務的編排控制、資源的編排調度兩部分。在進行編排時，具體步驟如下。

·安全服務定義與設計模塊通過PST模板將安全產品應用解析成資源需求、規則動作等信息，并將這些信息告知安全服務編排模塊。

圖3 PSR安全產品模型

·安全服務編排模塊根據產品信息、資源需求等內容，向云網安資源統一管理模塊請求可用資源。如果現有資源滿足需求，將信息返回給安全服務編排模塊，如果現有資源不滿足，則按需進行創建。安全服務編排模塊接收到信息后，根據一定的策略：比如用戶的地理位置（就近分配安全資源池，減少引流造成的網絡資源損耗）、資源的剩余情況（優先分配資源使用率較低安全資源池，優化資源利用率）、網絡組網情況（不同的組網情況，需要不同控制協議支持）等，進行資源的自動化編排調度，并通過云網安資源統一管理模塊進行具體的配置策略下發。

·在完成資源的編排調度后，需要按照產品需求進行業務的編排控制，分別調用大網控制器和安全資源池控制器向對應的設備下發大網業務配置信息。安全服務編排流程如圖4所示。

通過上述架構，實現資源編排和業務編排的分離，增加了系統的靈活性；實現云網安資源的統一編排、網絡控制和安全控制的聯動協同，提高資源的整體利用效率。

3.1.3 SDN控制器

SDN控制器包括大網引流和池內引流兩部分。

圖4 安全服務編排流程

通過控制器在相應網絡設備、流分類器和vRouter等網元節點上下發引流控制信息，實現安全能力端到端的打通。

SDN控制器北向對接安全服務編排模塊，通過應用程序編程接口（API）接收編排信息，南向通過OpenFlow、Netconf等標準協議對接網絡設備、虛擬網元。

（1）池內引流

池內引流要求用戶的流量通過轉發流經特定的安全原子能力，可以參考SFC架構。

SFC服務功能鏈系統架構如圖5所示，主要包含以下關鍵部分。

· SF（service function）提供特定網絡服務的節點[4]。

圖5 SFC系統架構

·SFF（service function forwarder）支持SFC的轉發器，一般掛接SF節點，用于將報文轉發到SF節點。

·SFP（service function path）是SFC對應的轉發路徑[9]。

·classifier用于將數據流分類，并轉發到對應的SFP。

·SFC proxy：為不支持SFC的SF節點提供代理接入SFC的能力。

·SFC：服務功能鏈，指一組SF（服務功能）節點組成的序列。

安全資源池內的引流方案中，SF通常指的是安全原子能力，SFF指的是vRouter、vSwitch等虛擬網元，classifier指資源池的入口設備或流量經過的第一個虛擬網元。池內SDN控制器根據池內的網絡設備能力、組網情況以及SFC架構，通過不同的協議框架（PBR、Networking-SFC、SRv6等），向流分類器和業務功能轉發器下發配置，實現用戶安全業務的按需引流。

圖6 大網引流模式

1）大網引流

大網引流目的是把用戶的流量牽引到安全資源池內。大網引流模式如圖6所示，安全服務編排器將安全資源池路由器作為流量的結束點，然后對流量經過的路徑進行編排，到相應的網絡控制器上下發引流策略。

大網引流還需要池內控制器和網絡控制器之間的協同。以SRv6方案引流策略為例，企業客戶2經過城域網和163網絡到達安全資源池，控制器A和控制器B分別創建SRv6 policy進行引流，池內的SRv6 policy綁定一個binding SID對外發布，作為大網SRv6 policy中segment list的一個SID，完成整個流量端到端的控制。

3.1.4 基礎設施

基礎設施主要包括安全資源、網絡資源和云計算資源。

安全資源主要包括基于硬件的安全設備以及能夠虛擬化部署的安全原子能力。隨著安全設備運維復雜、利用率低下、網絡穩定性差、投入成本較高等問題，安全能力也在逐步向虛擬化方向發展，因此安全資源池應該能同時兼顧不同形態的安全能力。同時，需要制定標準化和規范化的安全原子能力接口，屏蔽不同廠商不同安全原子能力在服務編排調度的差異性，實現安全產品服務的快速定制開通、安全能力的按需編排調度的基礎。

網絡資源主要分為網絡設備和虛擬網元。網絡設備指的是具有高性能轉發的路由器、交換機，通常部署在大網和安全資源池的出入口。這部分設備需要保證流量的高效、穩定、可靠，因此采用物理設備。虛擬網元指的是池內的業務轉發模塊，采用NFV（網絡功能虛擬化）技術，實現軟硬件解耦，使得網絡服務可以快速迭代，以應對通信技術的升級換代并降低硬件成本[5]。

云計算資源是安全能力和網絡功能云化承載的基礎。主要包含物理機、虛擬機和容器，分別用于部署虛擬化網絡和安全功能以及容器化的網絡和安全功能。

3.1.5 云網安資源統一管理

云網安資源的統一管理實現資源的生命周期管理、信息實時采集與控制、鏡像管理、監控運維等功能。

資源的生命周期管理包括了虛擬機、容器、容器集群、網元、安全原子能力等資源的動態按需創建、刪除、遷移、擴/縮容、災備、狀態管理等。

信息實時采集與控制包括將各類資源的使用情況、狀態、運維信息等數據實時采集，輔助安全服務編排模塊在進行編排時計算資源的調度情況；對于部分安全原子能力，能夠根據用戶的業務進行安全策略和配置的下發。

鏡像管理包括了鏡像的上傳、分發、同步、檢索、存儲等功能。

監控運維模塊能夠及時地掌握各類資源的實際使用情況，在出現異常、告警時能夠通過異常檢查、根因分析等手段保障用戶業務的正常運行。

云網安資源的統一控制是實現資源高效利用的基礎，也是云網安深度融合的前提。

3.2 關鍵技術

3.2.1 支持多種協議的池內引流控制

綜合考慮網絡設備能力、安全資源池內組網情況的差異性以及引流方案的完備性和可擴展能力，控制器支持多種協議的引流控制，在實際應用中按需采用。

以基于PBR、Networking-SFC、SRv6共3種框架協議的引流方案進行闡述。

（1）基于PBR的引流方案

池內引流將用戶的流量按需引流到各個安全原子能力中，而安全原子能力本身所具備的轉發能力是不確定的，例如是否支持PBR、SRv6等協議。因此，通過vRouter掛接安全原子能力的方式實現流量的高效轉發。

基于策略路由（policy based routing，PBR）通過在流分類器和vRouter上面配置靜態路由實現流量轉發。PBR策略路由流程如圖7所示。

圖7 PBR策略路由流程

基于PBR的引流策略是一個通用的解決方案，通過靜態路由實現，網絡設備基本支持。其缺陷也比較明顯：需要在路徑上的各個節點都進行配置，開發運維復雜，特別是隨著產品業務的復雜度提升，維護會變得更加困難；可擴展性受限不夠靈活，安全產品服務的變動復雜；通過流量的源地址和目的地址進行分類，無法進行更細力度的流量控制，如區分上下行流量等。

（2）基于Networking-SFC的引流方案

Networking-SFC服務功能鏈流程如圖8所示，Networking-SFC通過動態建立服務功能鏈使不同用戶的流量可以按照不同順序導向不同的安全原子能力[10]。在創建虛擬機時會創建多個網絡端口（port），選擇其中的兩個port組成port pair，一個作為流量入口（Ingress），一個作為流量出口（Engress）。將一連串的port pair組合形成一個port chain代表實際的安全服務功能鏈，通過port chain使用戶流量走特定的路徑。在實際使用中，port chain數量較多較復雜，則可以把多個port pair定義為port pair group，可以簡化操作以及實現多條安全服務功能鏈的負載均衡。

Networking-SFC依賴于OVS，優點是不需要額外的轉發模塊，安全原子能力的端口在虛擬交換機上，可以很方便地進行引流。但是也受限于OVS的性能、穩定和可擴展性。例如當安全能力使用SR-IOV、PCI Passthrough等直通類型網卡，則需要物理交換機支持OpenFlow 流表。

圖8 Networking-SFC服務功能鏈流程

圖9 SRv6服務功能鏈流程

（3）基于SRv6的引流方案

SRv6服務功能鏈流程如圖9所示，分段路由支持在入節點顯式的編程流量轉發路徑，通過構建分段列表使用戶的流量按照Sid的組合依次流經各安全原子能力。考慮安全原子能力對SRv6協議的支持情況，引入SR Proxy組件。

通過SRv6的方式，只需要在安全服務功能鏈的入節點下發SRv6 policy即可，不需要在網絡節點中維護逐流的轉發狀態，降低了控制平面的部署難度；與底層的物理組網解耦，可以進行靈活的擴展；通過service type、traffic type等信息進行細粒度的控制。同時，基于SRv6的引流方案也存在一定的問題：當安全原子能力數量過多時，分段列表中SID數量較多，SRv6的報文開銷相對較大；SR proxy的引入增加了部署難度；支持SRv6協議的網絡設備成本較高，現網不具備條件。

3.2.2 安全原子能力的云化承載

為實現安全原子能力的靈活組合、安全產品的快速迭代，除了通過PSR模型構建映射關系，還需要底層能力支持。

安全原子能力隨著網絡攻擊和安全防御手段快速變化呈現多樣化的趨勢；本文提出的軟件定義安全體系架構也支持實現了標準化接口的安全原子能力靈活接入。可以想象，5G+時代不同安全設備廠商、不同種類的安全原子能力數量呈爆發式增長，但是安全資源池可能受資源限制無法部署所有類型的安全原子能力（特別是邊緣資源池），導致部分用戶無法按需定義安全產品。因此，本文提出了一種基于多容器集群的安全原子能力云化承載方案，實現安全原子能力跨集群、跨DC、跨地域的靈活組合。

安全能力云化承載方案的整體架構如圖10所示。

圖10 安全能力云化承載方案

容器集群采用K8S作為編排管理工具。將可容器化部署的安全原子能力封裝為Pod，非容器化部署的安全能力使用代理網關的方式接入K8S進行統一管理調度。引流所需要的vRouter等網元和控制器進行按需部署。多個K8S集群通過多容器集群的管理、編排與調度模塊拉通，實現不同容器集群內應用（安全原子能力）的夸集群訪問。

通過上述方案，還可以將常用的安全原子能力進行集群化部署（一個容器集群只部署一類安全原子能力），便于維護和訪問控制，實現安全原子能力的可靠性、穩定性以及負載均衡。

4 關鍵問題

通過軟件定義安全整體架構的設計與關鍵技術實現，基本驗證了本文方案的可行性。但是在實現的過程中，也碰到一些問題需要進一步討論解決。

4.1 多廠商網絡設備適配

SDN控制器在網絡設備上配置引流策略時，需要適配多個廠商的各類網絡設備。雖然有標準的網絡管理協議（例如Netconf）和統一的數據建模語言規范（例如YANG），但是在不同網絡設備配置相同策略時，構建的數據模型仍然有較大的差異性，需要開發相應的適配器進行適配，這給底層網絡設備的接入帶來了極大的挑戰。

現有方案采用SDN控制器的傳統架構，在SDN控制器與網絡設備的南向API中間加了SAL（service abstraction layer），通過抽象邏輯和接口在一定程度上簡化了設備的適配難度，但是面對多廠商、多種類、多版本的海量設備接入，仍然沒有從根本上解決問題。

針對該問題提出了兩種思路。

· 不同網絡設備通常會有相應的控制器，SDN控制器通過調用設備控制器的北向接口，實現引流策略配置下發。優點是減少SDN控制器適配設備的工作；缺點是需要廠商按照規范開放北向接口，增加了購買設備控制器成本。

· 在SAL層之上構建共享數據與結構模塊。該模塊通過使用標準數據結構和數據建模語言，定義標準化的數據模型，使其能在不同協議、不同廠商設備的應用程序中實現數據共享。設備進行接入時，根據共享數據自動組裝成設備可識別的配置指令，實現引流配置下發。優點是進一步簡化設備適配難度；限制是需要針對不同協議制定標準化的數據結構和數據模型。

4.2 避免SRv6環路

池內引流采用SRv6協議時，需要將流量引入SRv6 policy。流量的數據報文格式分為SRv6和非SRv6兩種，對于SRv6格式的報文，通過匹配SRv6 policy的BSID直接引入；對于非SRv6格式的報文，則使用路由匹配的方式引入。

安全資源池的實際部署中，考慮網絡設備成本通常使用一臺物理路由器同時作為流量的出入口。對于非SRv6格式報文以路由匹配方式接入，存在環路問題。當流量進入路由器后，查表轉發到SFF中，流經安全原子能力后回到路由器，查表會再次轉發到SFF中，從而形成環路。

現有方案采取的策略是在路由器中通過PBR的方式將流量引入SRv6 policy，也引入了PBR的缺點，比如配置煩瑣。針對該問題提出了另一種思路：將物理路由器虛擬成兩個虛擬路由器，一個作為入口設備，一個作為出口設備。這種方案的優點是邏輯比較明確，無須額外配置，限制是需要物理設備支持，并且虛擬化后設備的性能有待驗證。

5 結束語

本文從分析了5G+時代專線業務所面臨的安全隱患和防護問題。針對上述分析，提出了一種基于云化部署的軟件定義安全服務整體架構與方案，通過引入PBR服務建模體系可以實現安全服務的按需定義與設計、安全產品的快速定制開通，滿足專線用戶多樣化差異化的安全產品需求；同時基于安全能力、網絡功能的云化承載、安全控制和網絡控制的聯動協同，云計算資源、網絡資源、安全資源的統一編排調度與管理，實現了云網安能力的深度融合，為用戶提供端到端的安全防護體系。經過系統原型驗證表明基于云化構架的軟件定義安全編排與調度體系有助于精確化的整體解決5G專網用戶的業務安全威脅。

本文完成了5G+時代軟件定義安全的整體設計以及SDN控制器和云化承載等原型的實現，初步驗證該方案可以有效地解決5G專網用戶的安全問題。未來工作主要從以下兩方面展開：繼續完善整個系統的實現，包括安全服務定義與設計、安全服務編排等模塊；結合區塊鏈、AI、大數據等新技術，使安全架構向可信增強、自主防御、智能決策等方向演進。

[1] ETSI GS NFV-EVE 011-2018.Virtualised Network Function; Specification of the Classification of Cloud Native VNF implementations[S]. 2018.

[2] 王旭亮, 劉增義, 胡雅婕, 等. 基于NFV MANO的邊緣計算多種智能化部署方案研究[J]. 電子技術應用, 2019, 45(10): 19-24, 28.

WANG X L, LIU Z Y, HU Y J, et al. Research of various intelligent multi-access edge computing deployment solutions based on NFV MAN Chinese Full Text[J]. Application of Electronic Technique, 2019, 45(10): 19-24, 28.

[3] ETSI GR NFV-REL 011-2020.Management and Orchestration; Report on NFV-MANO software modification[S]. 2020.

[4] 錢成功. 基于SRv6的服務功能鏈系統設計與實現[D]. 北京: 北京郵電大學, 2020.

QIAN C G. Design and implementation of service function chain system based on SRv6[D]. Beijing: Beijing University of Posts and Telecommunications, 2020.

[5] 徐玉偉, 趙寶康, 時向泉, 等. 容器化安全服務功能鏈低延遲優化編排研究[J]. 信息網絡安全, 2020, 20(7): 11-18.

XU Y W, ZHAO B K, SHI X Q, et al. Low-latency optimal orchestration of containerized security service function Chain Chinese full text[J]. Netinfo Security, 2020, 20(7): 11-18.

[6] 劉國榮, 沈軍, 白景鵬. 可定義的6G安全架構[J]. 移動通信, 2021, 45(4): 54-57.

LIU G R, SHEN J, BAI J P. A definable 6G security Architecture Chinese full text[J]. Mobile Communications, 2021, 45(4): 54-57.

[7] 張鑒, 唐洪玉, 侯云曉. 基于軟件定義的5G網絡安全能力架構[J]. 中興通訊技術, 2019, 25(4): 25-29.

ZHANG J, TANG H Y, HOU Y X. Security capability architecture of software-defined 5G Network Chinese full text[J]. ZTE Technology Journal, 2019, 25(4): 25-29.

[8] 張華, 岳皓. 基于SDN的港口安全資源池建設[J]. 網絡空間安全, 2020, 11(3): 39-43.

ZHANG H, YUE H. Construction of port security resource pool based on SDN Chinese Full Text[J]. Cyberspace Security, 2020, 11(3): 39-43.

[9] 李暢, 徐琪, 李光磊, 等. 基于服務功能鏈的多域安全服務按需適配方法[J]. 計算機工程與應用, 2018, 54(21): 56-64, 119.

LI C, XU Q, LI G L, et al. On-demand adaptation method for multi-domain security services based on service function chaining Chinese Full Text[J]. Computer Engineering and Applications, 2018, 54(21): 56-64, 119.

[10] 華彥裴. 智慧協同網絡下基于流量感知的功能族群適配機制設計與實現[D]. 北京: 北京交通大學, 2020.

HUA Y P. Design and implementation of functional group adaptation mechanism based on traffic awareness in smart collaborative network[D]. Beijing: Beijing Jiaotong University, 2020.

Research and practice of software-defined security technology architecture in the 5G+ era

QUAN Shuo, WANG Xuliang, ZHU Zeya

Research Institute of China Telecom Co., Ltd., Beijing 102209, China

Cloud network security has become a strong need under the background of the new infrastructure and digital economy, while cloud network integration security has been defined as an ongoing trends. Initially, three major types of problems facing 5G private network users were presented in providing overall security services, and an overall software-defined security architecture in the 5G+ era was proposed. Furthermore, the corresponding prototype system design and implementation was discussed based on this architecture. At the end, the verification shows that the software-defined security orchestration and scheduling system based on the cloud-based architecture helps to accurately solve the overall business security threats and hidden dangers of 5G private network enterprise customers in the 5G+ era, providing systematic reference value for subsequent research.

software-defined security, service function chain, network function virtualization

TP393

A

10.11959/j.issn.1000?0801.2021277

2021?10?20；

2021?12?10

全碩（1991?），男，中國電信股份有限公司研究院工程師，主要研究方向為云網融合、云計算與大數據和云網運營等。

王旭亮（1986?），中國電信股份有限公司研究院高級工程師，主要研究方向為云網融合技術、云數據中心網絡和邊緣計算等。

朱澤亞（1995?），男，中國電信股份有限公司研究院工程師，主要研究方向為云網融合技術、云網運營技術和大數據與云計算等。