软件定义安全中安全资源池化技术研究及应用

发布时间：2020-07-02 21:20

【摘要】：软件定义安全通过分离安全数据平面与控制平面,将物理、虚拟的网络安全设备与其接入模式、部署方式和实现功能进行解耦,在底层将物理和虚拟的安全设备和网络设备抽象成资源池,在顶层通过软件编程的方式实现智能化、自动化的业务编排和管理,以完成相应的安全功能,从而实现灵活的安全防护机制。基于软件定义安全架构,本文设计了一套资源池系统,将安全设备完全以虚拟化的形式放入资源池,并做统一调度管理,旨在解决大型云平台中的安全部署和运维自动化的问题。以期便捷、高效地为云平台用户提供安全服务,同时减轻安全运维人员的负担。本文设计的安全资源池系统已经应用于中国移动苏州研究院,充分证明了系统的可行性。本文首先从背景入手,介绍了课题的意义所在。然后介绍软件定义安全和软件定义网络的相关概念,以及虚拟化技术和资源管理框架等关键技术。接着,从需求分析、架构和工作流程等方面介绍了资源池系统中最关键的两个模块:资源池管理模块和虚拟设备管理器。最后,展示了资源池系统在中国移动苏州研究院的应用,并对资源池的调度策略做了验证。本文的创新之处在于:提出了一套在云平台中基于软件定义安全架构的安全解决方案。资源池系统中设计并实现了一个虚拟安全设备管理器,用于管理资源池中多种虚拟安全设备,完全使用虚拟设备安全的资源池在国内属首次尝试。本文最后以中国电信的“安全帮”产品做参照,与本文系统作对比,详细阐明了本系统的优势以及不足。
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08
【图文】：

架构图,软件定义,架构,安全控制

用户存储和计算资源的相关信息、安全资源管理、安全资源调度等功能｜５】，所以在控制逡逑平而设置独立的安全控制软件完成上述功能，安全控制软件与ＳＤＮ网络控制器同处于逡逑控制、卜面，丨办同完成控制管理功能。安全控制软件的平面架构如图１－２所示，其架构主逡逑要由z诟筛龊诵哪？樽槌伞３酥猓莶煌挠τ贸【埃┨兀憾ǖ亩ㄖ颇？橐不徨义媳患尤氲桨踩刂迫砑募芄怪小Ｃ扛瞿？橛肟刂破教诓康哪？榛蛲獠康陌踩蛲珏义现魈褰惺萁换ィ傻氖荼４娴绞菘饣蛘呋捍嬷小ｅ义希樱荆眨椋穑椋茫耍浚祝惧澹校簦╁澹耍浚。渝义希樱澹悖酰颍椋簦澹悖铮睿簦颍铮欤欤澹蝈义稀澹恕澹茫耍桑校慑义希海龋纾纾幔礤澹猓浚猓麇澹恚螅幔幔殄义希恚螅酰殄澹辏纾蓿咤澹幔殄鍉栧澹椋纾殄义希颍徨义希龋眨牛樱义希妫幔悖簦幔簦箦宀峰澹欤铮鳎停椋儒五五五危藻螉謣逡逑Ｔｃｔ？ｉ0３ｗ逦ｊ邋Ｌｏｇｓ邋：逡逑ｉ邋备逦ｉ邋Ａｔｅ＇ｔｓ邋ｉ邋Ｃｏ？ｖｔＭ？ｒｌｓ逡逑＾邋￣￣￣：逦逦邋Ｄａｔ＊逡逑＾逡逑图卜２安全控制器的架构逡逑３逡逑

架构,控制层,三层,平面

向已经成为了业界广泛的共识。目前，己经有多家运营商、互联网公司和云服务提供商逡逑进行了邋ＳＤＮ的实践。逡逑下图１－３为ＳＤＮ网络的架构：逡逑ＡＰＰＬＩＣＡＴＩＯＮ邋ＬＡＹＥＲ逦１逦￣￣￣￣逡逑Ｂｕｓｉｎｅｓｓ邋Ａｐｐｌｉｃａｔｉｏｎｓ逦—逡逑＾ａｐｉ邋＾ａｐｉ逦Ｊａｐ邋ｉ逡逑ＣＯＮＴＲＯＬ邋ＬＡＶＥＲ逦二：二二二Ｕ调逡逑｜邋Ｃｏｎｔｒｏｌ邋Ｄａｔａ邋Ｐｌａｎｅ邋ｉｎｔｅｒｆａｃｅ逡逑Ｉ邋（ｅ．ｇ．．邋ＯｐｅｎＦｌｏｗ）逡逑ＩＮＦＲＡＳＴＲＵＣＴＵＲＥ邋ＬＡＹＥＲ逦±逡逑图１－３软件定义网络的架构图逡逑软件定义网络的架构被分为了三层：应用平面（Ａｐｐｌｉｃａｔｉｏｎ邋Ｌａｙｅｒ），控制层（Ｃｏｎｔｒｏｌ逡逑Ｌａｙｅｒ）和数据平面（Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ邋Ｌａｙｅｒ）。逡逑过去，在传统网络中紧密依存于每一台网络设备的控制功能，被集中迁移到控制平逡逑面上，达到了控制平面和数据平面的解耦合的目的。控制平面（ＳＤＮ网络控制器）自身逡逑具有可编程性，对网络有全局化视野，能够实现对网络的集中控制，可以为数据流配置逡逑路由路径，并向交换机下发流表。这使得底层设备的抽象实现了网络的虚拟化，形成了逡逑ＳＤＮ的数据平面。因为ＳＤＮ架构中的控制功能已经从数据平面中剥离出来，数据平面逡逑５逡逑

【相似文献】