基于软件定义安全的资源调度机制研究与实现

发布时间：2018-12-24 09:42

【摘要】：随着网络发展触及世界的每个角落,网络在加速“世界被抹平”过程的同时,安全问题的层出不穷也给网络部署运维带来了一定的困扰。安全威胁影响了网络的稳定性和发展,成为了不容忽视的问题。并且随着网络和业务环境的发展,传统的安全运维、安全服务面临了新的挑战:(1)原有的安全设备不具有开放性,导致安全设备封闭僵化,不便于后期扩展,也阻碍了业务部门快速适应业务变化的需求,同时容易造成供应商锁定。(2)安全运维系统依赖于当前网络环境,安全设备的部署要根据网络拓扑、实际环境进行调整配置,难以实现高效的迁移重用。(3)网络安全策略还停留在落后的人工配置阶段,安全策略部署的有效性和合理性极大的依赖于运维人员,运维成本也因此居高不下。目前随着软件定义网络SDN的兴起,出现了各种各样的软件定义系统,这些概念是围绕着把控制层从数据层分离出来,而在安全领域也不例外,软件定义安全SDS也渐渐进入大家的视野。相对于传统的僵硬分散的安全机制,软件定义安全SDS通过把安全机制从安全硬件层提取的到软件层的方法提供一种灵活和集中的解决方案。现已提出的各种软件定义安全架构,基本上都是借鉴了SDN的三层架构思想,把控制层从数据层分离出来。然而现在提出和已实现的各种软件定义安全SDS架构中,都忽略了底层物理资源的资源调度机制,并且这些已提出的SDS架构的特点的实现都离不开资源调度机制。因此本文提出一种基于软件定义安全的资源调度机制,设计了南向API接口、安全资源抽象和负载均衡调度算法,以扫描服务为应用案例,提出了包含应用层、控制层和物理层的原型系统,进一步研发改造了安全控制器资源调度软件模块、物理层扫描器软件模块,搭建了实验环境,实验表明,基于软件定义安全的资源调度机制能够有效实现安全资源的调度,支持安全资源的负载均衡。主要工作如下:第一、通过学习研究目前学术界以及市场上的主要安全厂商对SDS的理解认识的基础上,进一步的对SDS架构及特点进行分析,最后本文提出基于软件定义安全的资源调度机制。第二、本文通过设计统一的南向API、底层安全资源虚拟化、负载均衡的调度算法,实现了的基于软件定义安全的资源调度机制的原型系统,并且通过一个实际应用测试了安全资源调度机制的效果。
[Abstract]:With the development of the network which touches every corner of the world, the network accelerates the process of "the world being wiped out", and at the same time, the endless emergence of security problems also brings some troubles to the network deployment and maintenance. Security threats affect the stability and development of the network and become a problem that can not be ignored. And with the development of network and business environment, the traditional security operation and maintenance, security services are faced with new challenges: (1) the original security equipment is not open, resulting in the security equipment closed and rigid, which is not convenient for later expansion. It also hinders the business department to adapt to the needs of business changes quickly and easily causes vendor locking. (2) the security operation and maintenance system depends on the current network environment, and the deployment of security equipment should be adjusted according to the network topology and the actual environment. It is difficult to realize efficient migration reuse. (3) the network security policy is still in the backward manual configuration stage, the effectiveness and rationality of security policy deployment depend heavily on the operators, and the cost of operation and maintenance is high. At present, with the rise of software definition network SDN, a variety of software definition systems have emerged. These concepts revolve around separating the control layer from the data layer, and it is no exception in the field of security. The software definition security SDS also gradually enters everybody's vision. Compared with the traditional rigid and decentralized security mechanism, the software definition security SDS provides a flexible and centralized solution by extracting the security mechanism from the security hardware layer to the software layer. All kinds of software definition security architecture have been put forward, which are based on the three-tier architecture of SDN and separate the control layer from the data layer. However, the resource scheduling mechanism of the underlying physical resources is ignored in the proposed and implemented software definition security SDS architecture, and the implementation of these proposed SDS architectures is inseparable from the resource scheduling mechanism. Therefore, this paper proposes a resource scheduling mechanism based on software definition security, designs a southward API interface, security resource abstraction and load balancing scheduling algorithm, taking scanning service as an application case, proposes an application layer. The prototype system of the control layer and the physical layer has further developed and modified the resource scheduling software module of the security controller and the scanner software module of the physical layer, and the experimental environment has been built. The resource scheduling mechanism based on software definition security can effectively realize the scheduling of security resources and support the load balance of security resources. The main work is as follows: first, through the study of the current academic and market security manufacturers understanding of the understanding of SDS on the basis of further analysis of the structure and characteristics of SDS, Finally, a resource scheduling mechanism based on software definition security is proposed. Secondly, this paper designs a unified south API, security resource virtualization and load balancing scheduling algorithm, and implements a prototype system of resource scheduling mechanism based on software definition security. The effect of security resource scheduling mechanism is tested by a practical application.
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 安晖;;从“世界定义软件”稳稳做起[J];软件和信息服务;2013年11期

2 郭嘉凯;;软件定义存储:将用户从硬件绑定中解放[J];软件和信息服务;2014年05期

3 章必雄;基于软件定义的多模式无线网络[J];武汉理工大学学报(信息与管理工程版);2005年02期

4 Ron Harrison;;通讯测量无国界 软件定义测试平台后势看涨[J];电子测试;2006年11期

5 袁航;;软件定义负载均衡[J];软件和信息服务;2014年02期

6 王伟;;趋势之七 金融业“软件定义”滥觞期[J];金融电子化;2014年03期

7 王丛;;软件定义存储市场趋势[J];电脑与电信;2014年06期

8 王丛;;软件定义存储价值[J];电脑与电信;2014年06期

9 王丛;;如何评估软件定义存储[J];电脑与电信;2014年06期

10 翁继东;;软件定义网络关键技术及其实现研究[J];电子技术与软件工程;2014年04期

相关会议论文 前2条

1 王加莹;;软件定义OTN软件定义网络[A];OFweek宽带通信与物联网前沿技术研讨会论文集[C];2013年

2 张晓玲;臧传治;于海斌;梁椺;;SDS调度机制系统容量分析[A];第六届全国信息获取与处理学术会议论文集（3）[C];2008年

相关重要报纸文章 前10条

1 何宝宏;软件定义的世界[N];人民邮电;2012年

2 本报记者 郭平;网络向软件定义融合演进[N];计算机世界;2012年

3 邓光青;软件定义网络风头正劲[N];中国质量报;2013年

4 本报记者 郭涛;软件定义存储：市场“二八”开[N];中国计算机报;2013年

5 本报记者 郭涛 策划;软件定义未来[N];中国计算机报;2013年

6 本报记者 李旭阳;软件定义汽车[N];计算机世界;2013年

7 梁敏;软件定义时代来临[N];电脑报;2013年

8 本报记者 刘春辉;全面的虚拟化是实现“软件定义”的重要基石[N];人民邮电;2013年

9 本报记者 郭涛;软件定义存储也要“打假”[N];中国计算机报;2014年

10 沈建苗　编译;软件定义存储,你准备好了吗？[N];计算机世界;2014年

相关博士学位论文 前10条

1 李索恒;软件定义网络中多媒体传输路由及缓存算法研究[D];中国科学技术大学;2016年

2 肖鹏;数据中心下软件定义网络的部署及应用[D];大连海事大学;2016年

3 唐思圆;软件定义网络中资源高效的多播传输研究[D];中国科学技术大学;2017年

4 王军锋;软件定义物联网路由研究[D];华中科技大学;2016年

5 杨恩众;软件定义多媒体组播系统与传输策略研究[D];中国科学技术大学;2017年

6 朱明;高效软件定义车载网络关键技术研究[D];国防科学技术大学;2016年

7 周俊龙;实时系统的可靠性驱动任务调度机制研究[D];华东师范大学;2017年

8 林萍萍;软件定义网的东西向对等互联机制研究[D];清华大学;2014年

9 彭宏玉;软件定义移动网络中能效优化技术研究[D];北京邮电大学;2016年

10 胡滢;软件定义网络节能技术研究[D];北京邮电大学;2017年

相关硕士学位论文 前10条

1 汪泽浪;基于软件定义安全的资源调度机制研究与实现[D];北京邮电大学;2017年

2 吴庆彪;软件定义网络Web认证与访问控制技术研究[D];西南交通大学;2015年

3 罗雨佳;一种内容中心网络的通用架构研究[D];电子科技大学;2014年

4 陈实;云计算中基于多租户的策略驱动型软件定义网络应用研究[D];复旦大学;2014年

5 袁建明;基于SDN的ICN网络设计[D];云南财经大学;2015年

6 李泽旺;软件定义一体化网络仿真平台研究与实现[D];电子科技大学;2015年

7 马俊青;面向软件定义网络的流量分析与识别技术研究[D];南京邮电大学;2015年

8 黄锦松;软件定义的内容中心网络关键技术研究[D];南京邮电大学;2015年

9 王小威;软件定义移动自组网技术及原型设计[D];南京邮电大学;2015年

10 李杰;云环境下一种基于软件定义安全服务的入侵检测算法研究[D];南京邮电大学;2015年

，

本文编号：2390475