基于SDN/NFV的安全服務(wù)鏈自動編排部署框架①

張 奇

(北京工業(yè)大學(xué) 計算機學(xué)院,北京 100124)

隨著云計算和軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)的快速發(fā)展,如何快速的重構(gòu)傳統(tǒng)網(wǎng)絡(luò)的安全解決方案,進而提升網(wǎng)絡(luò)安全防護的靈活性與效率,成為了亟待解決的問題. 傳統(tǒng)網(wǎng)絡(luò)的服務(wù)鏈(Service Chain,SC)將滿足特定屬性的網(wǎng)絡(luò)數(shù)據(jù)流牽引經(jīng)過由多個業(yè)務(wù)功能服務(wù)節(jié)點編排組成的服務(wù)序列,為傳統(tǒng)網(wǎng)絡(luò)提供了防控惡意攻擊的手段. 軟件定義安全(Software Defined Security,SDS)架構(gòu)將網(wǎng)絡(luò)安全設(shè)備的控制平面與數(shù)據(jù)平面進行了解耦,底層抽象為安全資源池里的資源,頂層通過軟件定義的方式彈性的編排安全服務(wù)來實現(xiàn)靈活的安全防護. 本文結(jié)合傳統(tǒng)網(wǎng)絡(luò)的服務(wù)鏈思想與軟件定義安全理念,研究虛擬化網(wǎng)絡(luò)環(huán)境中動態(tài)編排虛擬安全服務(wù)節(jié)點的策略,通過擴展基于屬性的訪問控制策略模型[1](Attribute-Based Access Control,ABAC) 對網(wǎng)絡(luò)中的數(shù)據(jù)流、虛擬安全設(shè)備(Virtualized Security Appliance,VSA)等資源進行描述,構(gòu)建網(wǎng)絡(luò)流與虛擬安全設(shè)備等資源的映射關(guān)系,形成針對特定網(wǎng)絡(luò)流的個性化的安全服務(wù)鏈. 本文提出了基于軟件定義網(wǎng)絡(luò)與網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization,NFV)技術(shù)思想的安全服務(wù)鏈自動化編排部署框架. 該框架根據(jù)策略構(gòu)建安全服務(wù)鏈,按照優(yōu)先級明確需要使用安全資源池中的哪些類虛擬安全設(shè)備,確定其先后順序以編排虛擬安全設(shè)備序列(VSA序列),然后選取負(fù)載與實時鏈路傳輸時延最優(yōu)的虛擬安全設(shè)備實例(VSA實例)加入安全服務(wù)鏈,組成針對該安全需求策略的安全服務(wù)鏈,并通過SDN網(wǎng)絡(luò)流表機制將網(wǎng)絡(luò)業(yè)務(wù)流依次牽引經(jīng)過所需的虛擬安全設(shè)備實例進行檢測防護. 論文重點討論了安全服務(wù)鏈的安全需求策略描述、策略沖突、設(shè)備編排以及網(wǎng)絡(luò)流調(diào)度問題.

1 相關(guān)工作

傳統(tǒng)網(wǎng)絡(luò)的服務(wù)鏈與物理網(wǎng)絡(luò)拓?fù)渚o密結(jié)合,通過手工配置多種防護策略,將安全設(shè)備串行到網(wǎng)絡(luò)流路徑中,設(shè)備之間耦合度大、拓?fù)湟蕾噰?yán)重,難以滿足業(yè)務(wù)快速迭代需求.

近年來,SDN領(lǐng)域也有一些關(guān)于安全服務(wù)鏈的相關(guān)研究. 當(dāng)前關(guān)于安全服務(wù)鏈的研究主要集中于策略構(gòu)建、網(wǎng)絡(luò)流調(diào)度等幾個方面. 在安全服務(wù)鏈的策略構(gòu)建方面,文獻[2]提出了基于SDN/NFV構(gòu)建安全服務(wù)鏈的技術(shù)思想,通過編排軟件安全模塊來滿足未來網(wǎng)絡(luò)安全業(yè)務(wù)需求,但其缺少具體的安全服務(wù)構(gòu)建策略. 文獻[3]基于OpenFlow協(xié)議對網(wǎng)絡(luò)資源進行集中的監(jiān)控和管理,通過下發(fā)交換機流指令牽引網(wǎng)絡(luò)流到中間設(shè)備,但并未提及應(yīng)用層的策略決策機制. 文獻[4]通過修改OpenFlow協(xié)議QoS字段來標(biāo)識不同網(wǎng)絡(luò)流服務(wù)需求,提出了基于服務(wù)類型的安全服務(wù)鏈理論模型. 但該方案拓展了SDN網(wǎng)絡(luò)的南向標(biāo)準(zhǔn)協(xié)議,兼容性較差且需預(yù)先編排各個服務(wù)類型對應(yīng)的服務(wù)鏈. 文獻[5]提出了基于策略的網(wǎng)絡(luò)虛擬資源管理機制,根據(jù)不同數(shù)據(jù)流的業(yè)務(wù)需求動態(tài)的編排服務(wù)節(jié)點,但其并未涉及應(yīng)用策略更新引起的策略沖突問題.

在安全服務(wù)鏈的網(wǎng)絡(luò)流調(diào)度研究方面,文獻[6]為了兼容傳統(tǒng)硬件安全設(shè)備,在SDN網(wǎng)絡(luò)中部署傳統(tǒng)硬件安全設(shè)備來實現(xiàn)安全防護目標(biāo),其主要思想是通過SDN的全局拓?fù)涓兄c網(wǎng)絡(luò)流調(diào)度能力將業(yè)務(wù)流依次牽引到各種實體安全設(shè)備中進行安全防護. 但該方案拓?fù)湟蕾噰?yán)重、且需手工部署安全設(shè)備. 文獻[7]提出了基于鏈路時延的貪婪算法,通過路由跳數(shù)來評估鏈路時延并根據(jù)流量規(guī)模來部署安全設(shè)備從而有效牽引數(shù)據(jù)流. 但其并未綜合考慮實時網(wǎng)絡(luò)鏈路狀態(tài)以及網(wǎng)絡(luò)流動態(tài)多變特性且缺乏對安全設(shè)備負(fù)載的有效評估.

2 安全服務(wù)鏈自動編排部署框架

要在網(wǎng)絡(luò)中實現(xiàn)安全防護解決方案的自動化部署,根據(jù)上層用戶的安全業(yè)務(wù)需求,自動構(gòu)建安全服務(wù)鏈策略,動態(tài)編排虛擬安全設(shè)備,快速調(diào)度網(wǎng)絡(luò)數(shù)據(jù)流到特定的虛擬安全設(shè)備序列實現(xiàn)安全防護的目標(biāo),如何有效的實現(xiàn)策略沖突處理與網(wǎng)絡(luò)流調(diào)度優(yōu)化是兩個關(guān)鍵難題. 本文設(shè)計的安全服務(wù)鏈自動部署框架包括以下幾個部分： 策略沖突決策節(jié)點、網(wǎng)絡(luò)流調(diào)度節(jié)點、SDN控制器,具體如圖1所示.

2.1 策略沖突決策節(jié)點

策略沖突決策節(jié)點通過開放北向接口,接收用戶安全業(yè)務(wù)需求,如為Web服務(wù)器提供安全防護,則需為其構(gòu)建一條由入侵檢測WAF和流量清洗ADS設(shè)備組成的安全服務(wù)鏈策略,并將訪問數(shù)據(jù)流依次牽引經(jīng)過上述策略的VSA序列進行過濾. 因細(xì)粒度的訪問控制及網(wǎng)絡(luò)流屬性復(fù)雜,描述不同安全業(yè)務(wù)需求的策略可能涉及相同的網(wǎng)絡(luò)流,使得先后下發(fā)的策略之間存在動作沖突. 策略沖突決策節(jié)點通過優(yōu)先級完成特定屬性網(wǎng)絡(luò)流的VSA序列的正確編排,保證網(wǎng)絡(luò)中不存在沖突,并將策略決策結(jié)果發(fā)送給網(wǎng)絡(luò)流調(diào)度節(jié)點.

2.2 網(wǎng)絡(luò)流調(diào)度節(jié)點

網(wǎng)絡(luò)流調(diào)度節(jié)點主要負(fù)責(zé)管理安全資源池的VSA實例,監(jiān)控它們的負(fù)載信息(CPU使用率、內(nèi)存使用率),配置它們的防護策略,同時根據(jù)策略決策結(jié)果解析 VSA 序列中安全設(shè)備類型并結(jié)合實時鏈路狀態(tài)信息,評估最優(yōu)的網(wǎng)絡(luò)流調(diào)度路由,選取合適的 VSA 實例,并將這些信息加入策略中,發(fā)送交給 SDN 控制器處理完成流量重定向.

2.3 SDN控制器

SDN控制器對網(wǎng)絡(luò)資源進行集中的控制與管理,具備全局網(wǎng)絡(luò)拓?fù)浔O(jiān)控與流指令下發(fā)能力. 當(dāng)收到網(wǎng)絡(luò)流調(diào)度節(jié)點的路由選擇結(jié)果,SDN控制器對其進行解析、生成流指令并下發(fā)給交換機,將網(wǎng)絡(luò)流重定向并依次牽引經(jīng)過對應(yīng)的VSA實例進行安全防護處理,完成整個安全服務(wù)鏈框架的自動化部署. 相反,SDN控制器也可根據(jù)上述網(wǎng)絡(luò)流調(diào)度路由等信息,刪除之前已下發(fā)的交換機流指令.

圖1 安全服務(wù)鏈自動編排部署框架

3 安全服務(wù)鏈實現(xiàn)機制

3.1 安全服務(wù)鏈策略描述

安全需求的描述是自動編排和部署安全服務(wù)鏈的依據(jù)和前提. 基于屬性的訪問控制模型提供了復(fù)雜信息系統(tǒng)中的動態(tài)的權(quán)限分配和更加細(xì)粒度的訪問控制[1]. 本文通過擴展ABAC策略模型對SDN網(wǎng)絡(luò)中的上層應(yīng)用的安全需求進行描述,構(gòu)建安全服務(wù)鏈策略,每條策略均可解析為一條安全服務(wù)鏈. 策略的主體、客體、權(quán)限以及VSA優(yōu)先級可表示為Policy(Subject,Object,Permission,Priority),策略語法樹如圖2所示.

圖2 策略語法樹

3.2 策略沖突決策算法

為了保證所有安全服務(wù)鏈策略正確實施,使得網(wǎng)絡(luò)流正確的經(jīng)過安全服務(wù)鏈策略對應(yīng)的VSA序列進行防護,需要建立完備的策略沖突決策機制. 為此,采用優(yōu)先級對安全服務(wù)鏈策略中的VSA序列進行動態(tài)的、合理的編排以解決策略沖突.

策略沖突決策節(jié)點為用戶的安全業(yè)務(wù)需求構(gòu)建安全服務(wù)鏈策略后,首先由SDN控制器檢索網(wǎng)絡(luò)中所有交換機上當(dāng)前正在執(zhí)行的包含有新構(gòu)建的安全服務(wù)鏈策略中12元組對應(yīng)的網(wǎng)絡(luò)流的流規(guī)則,將其刪除以觸發(fā)Packet-in消息. 然后,策略沖突決策節(jié)點監(jiān)聽所有的Packet-in消息并依次為這些消息描述的所有網(wǎng)絡(luò)流重構(gòu)相應(yīng)的安全服務(wù)鏈策略（該策略由用戶下發(fā)的安全服務(wù)鏈策略重構(gòu)所得,經(jīng)由網(wǎng)絡(luò)流調(diào)度節(jié)點、SDN控制器依次處理并轉(zhuǎn)換為流規(guī)則后即刪除）,以此解決策略沖突,下文將介紹具體過程.

(1) Packet-in消息觸發(fā)

在SDN網(wǎng)絡(luò)中,網(wǎng)絡(luò)流一般由多個數(shù)據(jù)包組成,當(dāng)沒有該網(wǎng)絡(luò)流的轉(zhuǎn)發(fā)流規(guī)則時,交換機會將該網(wǎng)絡(luò)流的首個數(shù)據(jù)包封裝為Packet-in消息并發(fā)送給SDN控制器請求下發(fā)流規(guī)則,后續(xù)數(shù)據(jù)包則按此流規(guī)則進行轉(zhuǎn)發(fā). 因此,為了保證安全服務(wù)鏈策略的正確實施,每當(dāng)安全服務(wù)鏈框架為用戶的安全業(yè)務(wù)需求構(gòu)建一條新的安全服務(wù)鏈策略時,會檢索網(wǎng)絡(luò)中所有交換機的流規(guī)則,根據(jù)OpenFlow協(xié)議[8]的12元組匹配域結(jié)構(gòu)來判斷流規(guī)則包頭域的12元組匹配域是否包含于策略的客體屬性域中,若是,則說明網(wǎng)絡(luò)中已經(jīng)有針對該12元組的網(wǎng)絡(luò)流的流規(guī)則在執(zhí)行,那么將這些流規(guī)則刪除以觸發(fā)Packet-in消息.

(2) 安全服務(wù)鏈策略重構(gòu)

策略沖突決策節(jié)點通過擴展SDN控制器以監(jiān)聽并解析交換機上傳的Packet-in消息,并依次將這些Packet-in消息封裝的數(shù)據(jù)包信息與用戶下發(fā)的所有安全服務(wù)鏈策略逐條進行檢測,判斷該數(shù)據(jù)包的12元組匹配域是否包含于這些策略的客體屬性域中; 若該數(shù)據(jù)包并未包含于某條安全服務(wù)鏈策略中,則直接交給SDN控制器的默認(rèn)轉(zhuǎn)發(fā)模塊Forwarding處理,該模塊會為該數(shù)據(jù)包建立轉(zhuǎn)發(fā)路由以使該數(shù)據(jù)包從屬的網(wǎng)絡(luò)流到達目的主機; 否則,則為該數(shù)據(jù)包重構(gòu)其安全服務(wù)鏈策略,具體過程如下：

1) 若該數(shù)據(jù)包包含于某一條安全服務(wù)鏈策略中,則直接為該數(shù)據(jù)包重構(gòu)相應(yīng)的安全服務(wù)鏈策略,策略客體屬性域為該數(shù)據(jù)包的12元組匹配域信息,動作權(quán)限與VSA優(yōu)先級為匹配上的安全服務(wù)鏈策略的VSA序列與VSA優(yōu)先級信息.

在安全服務(wù)鏈框架中,為了保證虛擬安全設(shè)備的有序編排,同一個策略內(nèi)不允許存在數(shù)值相等的優(yōu)先級; 為了保證安全服務(wù)鏈策略的重構(gòu),在用戶下發(fā)安全服務(wù)鏈策略時檢測該策略是否與已有策略存在沖突.若存在,則檢測新加入策略是否與已有策略存在相等數(shù)值的優(yōu)先級,若是則不執(zhí)行該策略并反饋給用戶; 在策略重構(gòu)過程中,若多條安全服務(wù)鏈策略的VSA序列中存在同一種類VSA且它們的優(yōu)先級數(shù)值不同,則以最新安全服務(wù)鏈策略的VSA優(yōu)先級覆蓋其他安全服務(wù)鏈策略的VSA優(yōu)先級,以滿足用戶更新VSA優(yōu)先級的業(yè)務(wù)需求.

2) 若該數(shù)據(jù)包同時包含于多條安全服務(wù)鏈策略中,則將這些策略加入策略集合policylist中,并以policylist中的所有策略為依據(jù),為該數(shù)據(jù)包重構(gòu)相應(yīng)的安全服務(wù)鏈策略policyn,具體如圖3所示.

圖3 安全服務(wù)鏈策略重構(gòu)

3.3 網(wǎng)絡(luò)流調(diào)度算法

為了提高虛擬安全設(shè)備VSA的利用率和網(wǎng)絡(luò)流調(diào)度效率,進而提升其承載物理服務(wù)器的利用率. 本文采用Qemu或Kvm等虛擬化技術(shù)實現(xiàn)虛擬安全設(shè)備的彈性部署,并根據(jù)安全設(shè)備需求、VSA實例負(fù)載、實時鏈路狀態(tài),動態(tài)的選取VSA實例完成安全服務(wù)鏈的網(wǎng)絡(luò)流調(diào)度路由選擇優(yōu)化.

3.3.1 安全資源池

(1) 安全資源池中有多個類型的安全設(shè)備,可提供多種不同安全能力,如： 入侵檢測ADS、網(wǎng)頁防護WAF、防火墻FW等. 具備p種類型安全設(shè)備的安全資源池表示為,其中,p為正整數(shù).

(3) 若某VSA實例的CPU或者內(nèi)存利用率的空閑程度小于零,則認(rèn)為該實例已過載,需要初始化新的實例并接入到網(wǎng)絡(luò)中.

3.3.2 鏈路狀態(tài)度量

安全服務(wù)鏈牽引網(wǎng)絡(luò)流經(jīng)過特定順序的安全服務(wù)節(jié)點,需要考慮鏈路傳輸時延對數(shù)據(jù)傳輸性能的影響.安全服務(wù)鏈中時延分為兩類：鏈路傳輸時延、服務(wù)節(jié)點處理時延. 服務(wù)節(jié)點處理時延為安全業(yè)務(wù)節(jié)點時延之和,指數(shù)據(jù)包進入虛擬安全設(shè)備后,對數(shù)據(jù)包進行相應(yīng)的檢測與分析,由于同一條服務(wù)鏈的內(nèi)部虛擬安全設(shè)備順序、類型固定,且時延差異不大,本文忽略不計.對,隨機測量t次時延取其均值,則鏈路時延可表示為：

3.3.3 安全服務(wù)鏈解析

安全服務(wù)鏈通過策略來描述,每條策略可解析為一條安全服務(wù)鏈. 如當(dāng)防御DDoS攻擊時,用戶需要構(gòu)建策略調(diào)度網(wǎng)絡(luò)流依次經(jīng)過Web防護設(shè)備WAF、流量清洗設(shè)備ADS形成細(xì)粒度的安全防護,該策略對應(yīng)的安全服務(wù)鏈可表示為：且可分解為三個子單元. 那么有：

算法1. 網(wǎng)絡(luò)流調(diào)度算法

輸入：G(V,E),policyn

輸出：policynwith VSA Instances’ Info

policyn所需VSA類型

3. For eachDpin

4. For eachdpqin

7. select the topkVSAs of each type and input toListpath//獲得種實例組合選擇,每種組合對應(yīng)一條網(wǎng)絡(luò)流調(diào)度路由path并存入集合Listpath中

9. End for

10. End for

11. For allpathinListpath

12. computeDelay(e)(3) //采用最短路徑優(yōu)先算法對每種網(wǎng)絡(luò)流調(diào)度路由計算其傳輸性能：時延消耗

13. select the min delay of allpath//最小時延的作為最優(yōu)數(shù)據(jù)流調(diào)度路由和最佳VSA實例組合

14. write VSA Instances’ Info intopolicyn//將最優(yōu)路由上的實例信息寫入policyn

15. End for

16. Sendpolicynto SDN Controller

4 實驗設(shè)計和結(jié)果分析

4.1 實驗環(huán)境

本文的實驗環(huán)境搭建在64位Ubuntu服務(wù)器上.通過擴展開源控制器FloodLight實現(xiàn)策略沖突決策與網(wǎng)絡(luò)流調(diào)度機制,并啟動兩臺虛擬交換機(OpenV Switch,OVS)連接至控制器,將安全設(shè)備Web應(yīng)用防火墻WAF(串聯(lián)部署模式)、流量清洗設(shè)備ADS(旁路部署模式)和流量生成器Tester部署至網(wǎng)絡(luò)中. 通過流量生成器模擬訪問者(正常數(shù)據(jù)流與攻擊數(shù)據(jù)流,IP地址為3.3.3.1)與被訪問者(Web服務(wù)器,IP地址為6.6.6.5),實驗環(huán)境如圖4所示.

圖4 實驗環(huán)境

4.2 實驗過程

基于上述環(huán)境,本文通過安全服務(wù)鏈框架開放的北向接口實現(xiàn)并測試了抗分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)實驗,其應(yīng)用層的安全需求為： 對部署在6.6.6.5上的Web服務(wù)器進行安全防護. 用戶構(gòu)建了兩條安全服務(wù)鏈,策略描述為： 策略1將訪問數(shù)據(jù)流重定向到WAF檢測異常數(shù)據(jù)流,VSA優(yōu)先級為10; 策略2將訪問數(shù)據(jù)流重定向到ADS清洗異常數(shù)據(jù)流,VSA優(yōu)先級為20. 可分別表示為： 策略1(策略沖突決策節(jié)點,訪問數(shù)據(jù)流,WAF,10); 策略2(策略沖突決策節(jié)點,訪問數(shù)據(jù)流,ADS,20).

如圖4所示,策略1被自動編排部署后,牽引訪問數(shù)據(jù)流至WAF做異常檢測. 當(dāng)在訪問Web服務(wù)器的數(shù)據(jù)流中混入DDoS攻擊數(shù)據(jù)流(SYN_FLOOD)后,用戶檢測WAF日志并發(fā)現(xiàn)異常流攻擊時,如圖5,觸發(fā)策略2下發(fā). 因策略2的VSA優(yōu)先級大于策略1,執(zhí)行策略沖突決策算法生成子策略(策略沖突決策節(jié)點,訪問數(shù)據(jù)流,ADS→WFA,20→10),來替代已下發(fā)策略1和新加入策略2. 網(wǎng)絡(luò)流調(diào)度算法解析編排結(jié)果,選取合適的VSA實例,配置其防護策略,更新策略執(zhí)行者,寫入ADS和WAF信息,然后發(fā)送給SDN控制器生成流指令并下發(fā)交換機,先牽引數(shù)據(jù)流至ADS清洗攻擊流如圖6,并將正常數(shù)據(jù)流回注網(wǎng)絡(luò)繼續(xù)發(fā)送給WAF檢測,此時并未發(fā)現(xiàn)異常攻擊流.

為了衡量該框架的時間性能,本文進一步統(tǒng)計了控制器FloodLight在收到各安全服務(wù)鏈策略與OpenFlow流表下發(fā)完成之間的時間差,每條策略均重復(fù)多次,取其均值. 具體如表1所示.

圖5 WAF檢測攻擊流記錄

圖6 ADS清洗攻擊流記錄

表1 安全服務(wù)鏈的時間開銷

實驗結(jié)果表明了安全服務(wù)鏈自動編排部署框架能準(zhǔn)確地進行策略相關(guān)性檢測、處理策略沖突、選取VSA實例、配置防護策略、生成并下發(fā)交換機流表,實現(xiàn)虛擬化環(huán)境中安全服務(wù)鏈的自動化編排和部署.同時,該框架具有毫秒級的響應(yīng)速度,雖然策略2下發(fā)時與已有策略1存在沖突,沖突檢測與處理增加了時間消耗但并不明顯,在實際網(wǎng)絡(luò)中用戶的安全服務(wù)鏈策略應(yīng)該避免過多復(fù)雜關(guān)聯(lián)的出現(xiàn),且與傳統(tǒng)網(wǎng)絡(luò)的人工手動部署安全設(shè)備與配置防護策略相比,該框架具備良好的時間性能,大大的縮減了人工部署與運維成本,提高了虛擬化網(wǎng)絡(luò)中安全防護的效率.

5 結(jié)論

本文設(shè)計了策略沖突決策算法和網(wǎng)絡(luò)流調(diào)度算法,通過優(yōu)先級解決策略沖突以保證VSA序列的正確編排,并將VSA實例負(fù)載和實時鏈路傳輸時延作為網(wǎng)絡(luò)流調(diào)度依據(jù),提出了基于SDN/NFV的彈性的、動態(tài)的安全服務(wù)鏈自動編排部署框架. 在云計算等虛擬化網(wǎng)絡(luò)中,安全服務(wù)鏈框架既可部署于網(wǎng)絡(luò)邊界位置作為邊界網(wǎng)關(guān),實現(xiàn)“南北向”網(wǎng)絡(luò)流防護,也可部署在租戶內(nèi)部VM之間,實現(xiàn)“東西向”網(wǎng)絡(luò)流防護,均可靈活、快速地按照用戶應(yīng)用的安全需求提供深度安全防護,同時提高虛擬安全設(shè)備和底層基礎(chǔ)設(shè)施的效率.

1Yuan E,Tong J. Attributed based access control (ABAC) for web services. Proceedings of 2015 IEEE International Conference on Web Services. Orlando,FL,USA. 2005. 569.

2Lee W,Choi YH,Kim N. Study on virtual service chain for secure software-defined networking. The International Conference on Control and Automation. 2013. 177-180.

3Gushchin A,Walid A,Tang A. Scalable routing in SDN-enabled networks with consolidated middleboxes. Proceedings of the 2015 ACM SIGCOMM Workshop on Hot Topics in Middleboxes and Network Function Virtualization. London,UK. 2015. 55-60.

4Martini B,Paganelli F,Mohammed AA,et al. SDN controller for context-aware data delivery in dynamic service chaining.Proceedings 1st IEEE Conference on Network Softwarization(NetSoft). London,UK. 2015. 1-5.

5Giotis K,Kryftis Y,Maglaris V. Policy-based orchestration of NFV services in software-defined networks. Proceedings of the 1st IEEE Conference on Network Softwarization. London,UK. 2015. 1-5.

6Qazi ZA,Tu CC,Chiang L,et al. SIMPLE-fying middlebox policy enforcement using SDN. Proceedings of the ACM SIGCOMM 2013. New York,NY,USA. 2013. 27-38.

7Zhang Y,Beheshti N,Beliveau L,et al. StEERING： A software-defined networking for inline service chaining.Proceedings of the 21st IEEE International Conference on Network Protocols. Goettingen,Germany. 2013. 1-10.

8McKeown N,Anderson T,Balakrishnan H,et al. OpenFlow：Enabling innovation in campus networks. ACM SIGCOMM Computer Communication Review,2014,38(2)： 69-74.