2017全球未来网络发展峰会
创新合作共赢 引领未来发展
谢谢主持人。我去年开始在浙大全职工作,所以这个PPT还是用英文写的。
这个前头的部分都能比较快的过,因为大家都听了很多SDN的介绍了,整个架构,大家都知道这个结构。刚才大家听了很多各种运营商,还有我们的政府的介绍,基本上SDN的用途,现在大部分,我觉得主要是在Data里头。运营商这一块我觉得大家基本上奋起直追,各大运营商都有白皮书出来,都说几年之内要能够快速部署。
昨天不知道大家有没有参加,谈到几个趋势,一个是垂直化厂商,像华为,从最底层到最上面都是他们卖的,这种垂直化厂商的销售模式慢慢会消亡。随之而来,以后运营商买的这个存储转化的设备,下面是一些白盒的机器。整个这个架构都很不一样了,从此而带来几个主要的问题,就是今天我想探讨的。
一个就是安全的问题。刚才早上张老师也讲,他说SDN集中化管理带来安全性怎么样,这确实是一个非常重要的问题,也是我今天讲的重点问题。第二个,就是可靠性的问题,因为白盒化硬件,再加上软件,心里有这么多白盒化的硬件进来,又有开放性的软件,可能每一层都有不同的厂商过来,现在出了问题你去找哪一层?这是部署上一个很重要的问题,所以这个地方就是可靠性的问题。现在SDN虽然提供比较好的效率,但是在运营商骨干网上能不能还能够承载那么大的速度和这种效率,也还是有相当多的问题。
我作为一个学者,首先介绍一下我们在这方面这几年做的一些工作,主要也是解决这三个方面的问题,比如说这个方面,我们后面待会儿重点会讲的,我们这个系统有一些发表,现在正在进行部署的改进。第二个问题就是说你这个垂直化厂商消亡之后,随之带来的整个部署和运营的,就是一个非常重要的问题。我们在这方面主要是准备数据平面和控制平面结合起来来做实时的诊断,我们在数据平面有相当多的工作。现在控制平面这一块正在做。第三块,就是这个安全问题,我们这里也有一些知名的厂商。
今天时间所限,我主要讲第一块,这个是三个模块在一起的架构,因为现在主要是集中在控制平面这一块。下面还有一些时间,我就主要给大家介绍一下,这个SDNshield,最主要的就是能够做一种主动防御。根据一些调研显示安全性、可靠性,都是这个主要的障碍。现在来说SDNShield控制器,都是北向开放的,通过这些北向的IPI可以访问任何网络功能的操作。我们觉得这样会导致不管是从英特网还是各种内网的用户,都会产生各种针对北向API产生的攻击。
我们刚才大家都看到很多厂商讲云化,所以现在后面的会越来越多,而且开源也是一个趋势,在各种第三方开源软件的情况下,这里面很难保证没有什么漏洞。这里头一般来说,它这个是一些网络厂商,他们是自己相对有比较好的开发,相对会安全一点。我们现在觉得主要的问题,这个安全问题是集中在外面的上层的这个SDN,他们在调用这些北向API的时候产生的这些问题。
不管是学术界,还是工业界,SDN已经提出这么多年了,也有相当的工作。我就快速总结一下,一种是比如说通过这种Cryptojraphic authentication进行认证,第二个是Android—like permissions,第三个相关工作是Strong heav isolation。相关安全策略能够在这个SDN这个平台上,从而能够真正有效地控制,能够控制这些环节。
现在SDN/NFV的平台是这样的,每个APP可能会调用多个Agent,然后Agent在这个里头,每个会独立地提供SPI,这是一个相当复杂和异构的场景。我们想做的事情是什么呢?在这么复杂异构的场景下,我们怎么对SDN/NFV进行工作,第一个是对各种通用性的都能用,第二个就是这些管理员是很容易设置的,能够自动设置进去的,而且不是光基于某一个权限,而对这些权限里面的参数,比如对某一个网段进行操作,或者在某一个时间内的某一个网段进行操作。同时我们希望加了安全的东西,我们对正常的操作基本上没有影响。也希望这个能够非常容易被操作,所以我们不希望改变任何的APPS,可以直接上来就用,这个Access也是希望基本上可以不用改它。然后这个就是一直不停运行的,这个中间你如果想改的话,你不希望把这个网停下来。
另外就是我们现在这个SDN,你现在不光是靠一个来提供大规模高速的功能,同时我们会支持这种操作。大家可以看到有这么多要求,也就是说没有任何已有的工作能够为我们提供满足所有要求的系统,这就是我们下面要做的事情。
我们的Approach,通过管理员可以定义,能够定义这个就能够被放到系统里面去,我们同时来执行这些操作,任何时候能够改这个定义,同时能够执行它。
我们的系统框架大概是这个样子,就是说这里头可以看到上层是这些APPS和管理员。这样每次upper来通过这个APPS来调用这个软件的时候,每次都会读取相应的请求。
回到我们前头举的主要几个问题,我们这个设计是怎么满足这些要求的,首先我们这里头不需要做任何的更改,因为我们只是在这个中间插了这么一个程序进去,同时我们有这些模块。
我们这里头一个主要的理论基础,是我们用所谓的Attributed—Based Access Control。我们这个Policy languagu Definition是用一个数据来表达的,结合起来的,这样的话,每一个数据都能够快速地比对,整个在比对的时候,可以做得非常快。
这地方就是一个具体的Example,它限定你只有读的时间,还是限定写的操作,还是只有读的操作或者是写的操作。这个只要根据这个格式把它写出来,我们后面这个会自动插装到我们的系统里头去。
这是另外一张图,这就是我们很流行的一个程序,你按照这个写好之后,自动插装到这个里面去,这样的话,当上层的APPS有调用的时候,它通过SAPI进行调用,然后就会自动地对这些模块进行调用,这样就可以保证对这个APPS有最小权限的控制。
我们这个东西就是在Openstack和apen source上实现的,我们觉得后面的话,以后不管是运营商还是数据中心,很可能都用openstack来部署和开发。这个里面有一个Nechron,通过它来把这个openstack送过来,我们整个是在这个架构上来实现的。一共大概有200多个API calls,基本上你就可以有任何的权限。我们现在做的就是说通过我们的openstack,可以量身订做他们需要最小的模块,需要什么样的参数,进行具体的操作。
具体的流程就不讲了,就希望跟大家分享一下,我们在这方面做的一个工作,可以提供非常访问可以通过我们来表达,然后自动地插入到模块里头。我们现在大家如果对SDN和NFV方面的工作感兴趣的话,我们可以会后再交流。
我今天就讲到这里。好,谢谢大家!