多数据中心的安全服务按需适配机制研究
发布时间:2020-07-10 13:16
【摘要】:传统网络架构的耦合性较高,导致在多数据中心环境中,安全服务的适配静态僵化,安全服务资源部署不灵活且无法按需供应,同时,缺少一种机制,能够从全局角度出发,为跨多数据中心的数据流制定统一的调度策略和安全策略。这些存在的问题,使得数据中心难以满足多样化的安全需求。随着网络技术的不断发展,以软件定义网络(SDN,Software Defined Network)和网络功能虚拟化(NFV,Network Function Virtualization)为基础的多数据中心已经成为数据中心组网的发展趋势。本文依托国家863计划“未来一体化网络关键技术和示范”(N0.2015AA015702)和国家自然科学基金项目“面向多域网络的安全按需服务关键技术研究”(U1530118)两项课题,提出了一种基于多数据中心的安全服务按需适配机制,该机制以SDN和NFV为研究背景,将服务功能链(SFC,Service Function Chaining)和网络安全功能接口(I2NSF,Interfaceto Network Security Function)技术集成,通过多层接口设计,为不同维度的策略建立统一的信息模型和数据模型,部署所需的安全服务资源,将安全服务功能按需、灵活组合,最终配置安全服务功能的策略规则,进而实现安全服务的按需适配。首先,本文深入分析当前网络架构的弊端导致的传统数据中心在进行安全服务供应时存在的问题,从而引出在多数据中心环境中亟需一种灵活且高效的安全服务按需适配机制来解决存在的问题。其次,分析当前云数据中心的发展趋势及其中的一些关键技术,并阐述在多云数据中心中,安全服务的管控与适配的实现思路。接着,本文提出了基于多数据中心的安全服务按需适配机制的方案设计,该机制的整体结构分为三层:服务编排层、控制层和数据层,并包含有管理接口、安全功能接口、安全服务链接口和SDN南向接口。随后,说明了方案的实现方法和技术细节,通过对三个层面的组件设计、各组件的模块构成和四个关键接口的定义做出介绍,同时结合各模块的功能实现以及层间、模块间的数据处理和信息交互流程,说明如何实现预期的功能和设计目标。最后,为了分析和验证安全服务按需适配机制的可行性和适用性,本文搭建了原型系统模拟多数据中心环境,通过设计和完成多数据中心基于不同需求的安全服务分级适配、安全服务链按需调整和基于VPN网关的安全服务按需适配三个场景实验体现该机制的特点和优势。实验结果表明,本文提出的多数据中心安全服务按需适配机制能够从安全需求出发,实现多数据中心安全服务的集中管控和动态灵活适配。
【学位授予单位】:北京交通大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP308;TP309
【图文】:
2多数据中心与安全服务逡逑本章首先对传统数据中心的特点和面临的安全挑战进行分析,其次描述了基逡逑于SDN/NFV的数据中心网络,最后结合多数据中心场景,对基于安全的服务功能逡逑链进行介绍。本章所阐述和分析的关键技术是论文的研究基础,为安全服务按需适逡逑配机制的研宄提供技术支撑和参考。逡逑2.1传统数据中心与安全挑战逡逑数据中心充当了基础设施服务供应的角色,用来传递、计算和存储数据信息,逡逑其可看作是集存储、管理等功能为一体的中央存储“仓库”,同时数据中心也同样逡逑可以传递一个或多个组织的数据或应用[3()]。逡逑
逦逡逑解耦。首先,它将控制逻辑从底层的转发设备(诸如路由器或者交换机)中分逡逑来。其次,控制逻辑是由控制层的控制组件来实现,数据层的网络设备只负责逡逑的处理,从而简化了网络配置[36],其基本架构如图2-2所示,从上至下包括应逡逑、控制层和数据层。逡逑应用层包含了多种网络应用,表现形式通常为用户自定义的应用程序,这些应逡逑程通过北向API邋(通常称为北向接口)与控制器进行信息交互,将应用请求通逡逑编程接口传递给控制器,再由控制器对数据层的网络单元进行相应的网络配逡逑控制层包含了邋SDN控制器,它作为SDN的核心通过控制-转发接口(通常称逡逑向接口)对数据层的网络单元进行集中控制和管理。南向接口是标准化的可编逡逑口,目前,使用最为广泛的是OpenFlowt37%议。逡逑数据层主要包括了底层的网络单元,单纯地用于接收控制层下发的命令,从而逡逑转发和处理网络数据流的功能。逡逑'
逦多数据中心与安全服务逦逡逑2.2.3基于SDN/NFV的云数据中心逡逑传统互联网架构阻碍了云数据中心的发展,而SDN/NFV的结合在云数据中心逡逑的环境中具有天然优势,SDN/NFV己经成为数据中心组网的发展趋势[44]。基于逡逑SDN/NFV的云数据中心网络分级架构如图2-4所示,分为四个层面,包括:应用层、逡逑协同层、控制层和转发层。应用层面向用户,通过提供的API接口,用户可以对虚逡逑拟链路、网元或网络拓扑进行配置。逡逑协同层包括资源池管理平台,具有存储、计算、网络等多个功能模块,协同层逡逑向上面向用户的策略配置,向下与控制层组件采用标准接口,屏蔽控制组件的差异逡逑实现对接,形成应用层到控制层的过渡。由于应用层和协同层的定制化程度较高,逡逑所以在不同的网络环境和场景下,二者的实现方式会有较大差异。逡逑■……-——
【学位授予单位】:北京交通大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP308;TP309
【图文】:
2多数据中心与安全服务逡逑本章首先对传统数据中心的特点和面临的安全挑战进行分析,其次描述了基逡逑于SDN/NFV的数据中心网络,最后结合多数据中心场景,对基于安全的服务功能逡逑链进行介绍。本章所阐述和分析的关键技术是论文的研究基础,为安全服务按需适逡逑配机制的研宄提供技术支撑和参考。逡逑2.1传统数据中心与安全挑战逡逑数据中心充当了基础设施服务供应的角色,用来传递、计算和存储数据信息,逡逑其可看作是集存储、管理等功能为一体的中央存储“仓库”,同时数据中心也同样逡逑可以传递一个或多个组织的数据或应用[3()]。逡逑
逦逡逑解耦。首先,它将控制逻辑从底层的转发设备(诸如路由器或者交换机)中分逡逑来。其次,控制逻辑是由控制层的控制组件来实现,数据层的网络设备只负责逡逑的处理,从而简化了网络配置[36],其基本架构如图2-2所示,从上至下包括应逡逑、控制层和数据层。逡逑应用层包含了多种网络应用,表现形式通常为用户自定义的应用程序,这些应逡逑程通过北向API邋(通常称为北向接口)与控制器进行信息交互,将应用请求通逡逑编程接口传递给控制器,再由控制器对数据层的网络单元进行相应的网络配逡逑控制层包含了邋SDN控制器,它作为SDN的核心通过控制-转发接口(通常称逡逑向接口)对数据层的网络单元进行集中控制和管理。南向接口是标准化的可编逡逑口,目前,使用最为广泛的是OpenFlowt37%议。逡逑数据层主要包括了底层的网络单元,单纯地用于接收控制层下发的命令,从而逡逑转发和处理网络数据流的功能。逡逑'
逦多数据中心与安全服务逦逡逑2.2.3基于SDN/NFV的云数据中心逡逑传统互联网架构阻碍了云数据中心的发展,而SDN/NFV的结合在云数据中心逡逑的环境中具有天然优势,SDN/NFV己经成为数据中心组网的发展趋势[44]。基于逡逑SDN/NFV的云数据中心网络分级架构如图2-4所示,分为四个层面,包括:应用层、逡逑协同层、控制层和转发层。应用层面向用户,通过提供的API接口,用户可以对虚逡逑拟链路、网元或网络拓扑进行配置。逡逑协同层包括资源池管理平台,具有存储、计算、网络等多个功能模块,协同层逡逑向上面向用户的策略配置,向下与控制层组件采用标准接口,屏蔽控制组件的差异逡逑实现对接,形成应用层到控制层的过渡。由于应用层和协同层的定制化程度较高,逡逑所以在不同的网络环境和场景下,二者的实现方式会有较大差异。逡逑■……-——
【相似文献】
相关期刊论文 前10条
1 ;数据中心不断扩张,如何应对布线的挑战?[J];现代传输;2019年05期
2 ;浪潮推出云海集装箱数据中心[J];科技浪潮;2011年02期
3 ;浪潮“行业云”和云数据中心演示引人注目[J];科技浪潮;2011年02期
4 ;云操作系统 云数据中心神经系统[J];科技浪潮;2011年03期
5 ;浪潮发布云海集装箱数据中心[J];科技浪潮;2011年03期
6 ;浪潮存储获“用户满意数据中心解决方案”大奖[J];科技浪潮;2009年05期
7 赵吉志;;浅谈数据中心绿色分级评估方法[J];科技浪潮;2012年05期
8 ;云操作系统 云数据中心神经系统[J];科技浪潮;2011年S1期
9 赵吉志;;数据中心效能评估指标简介[J];科技浪潮;2013年02期
10 李卓晖;;电网企业数据中心能效测量与计算方法研究[J];南方能源建设;2018年04期
相关会议论文 前10条
1 杨羽虎;;甘肃省烟草专卖商业系统数据中心面临的安全风险及对策[A];中国烟草学会2016年度优秀论文汇编—— 信息化管理主题[C];2016年
2 关丽红;刘彦
本文编号:2748962
本文链接:https://www.wllwen.com/kejilunwen/jisuanjikexuelunwen/2748962.html
