论文部分内容阅读
近年来,网络安全事件频发,从2014年雅虎5亿用户信息遭窃取,到2017年全球范围的勒索病毒事件,无不昭示着网络安全问题已经成为关系国家民生经济的重大问题。随着计算机技术的发展,软件定义网络(SDN)、网络功能虚拟化(NFV)和云计算技术兴起,网络架构也正朝着数据中心网络迁移。传统的安全解决方案,由于对安全设备的过度依赖及封闭的服务交付方式,在灵活性、扩展性、移动性等方面难以满足新型数据中心网络的安全需求。于是,Gartner公司提出了软件定义安全(SDS,Software Defined Security)的思想,将安全功能软件化,通过对软件统一的逻辑管理,提升安全方案的灵活性和扩展性,提供快速的安全响应。软件定义安全的提出引发了业界的研究热潮,涌现出许多的研究成果和产品。但是现有的研究成果,虽然实现了安全功能的软件化,但这些安全功能仍然与控制层或数据层的耦合度比较高,移动性支持不足。此外,大部分研究都集中于安全控制器的设计以及应用服务的编排,忽略了安全功能的部署策略的研究,而安全功能的部署在很大程度上影响着安全功能的执行效果。针对以上问题,本文提出一种基于软件定义的网络动态安全系统,充分考虑到软件定义安全对于扩展性、灵活性和移动性的需求,实现对于安全功能的灵活管理,为用户提供动态的安全服务。本文主要工作包括:(1)基于软件定义安全思想设计了网络动态安全系统架构,提出了可行的安全解决方案;(2)提出了一种基于网络服务报头协议的分层安全功能链方案,通过策略驱动,进行主动式的安全防护;(3)提出了一种基于组路由介数中心性的网络关键位置节点集选择算法,用于网络安全功能的部署,并对该算法的性能进行了测试;(4)创新性地提出一种基于“发布/订阅”模式的安全功能部署方案,实现对安全功能的灵活调度,为网络提供动态的安全防护。(5)基于SDN开源控制器Ryu和Mininet工具,进行了网络动态安全系统的开发和搭建。在此基础上,本文结合搭建的系统环境,从多角度对所提出方案的功能进行了评估和测试,充分证明了其正确性和可行性。