面向SDN网络的安全服务链映射与调整方法研究

发布时间：2020-10-09 01:30

　　 软件定义网络(Software-defined Networking,SDN)是一种逻辑控制与数据转发分离的新型网络体系结构,它能够为互联网提供满足当前及未来需求的平滑演进能力,已成为未来互联网的发展方向,为解决网络安全问题提供了新思路。安全服务链(Security Service Chain,SSC)是解决SDN网络端端安全的核心技术,它将借助网络功能虚拟化(Network Function Virtualization,NFV)技术从硬件安全设备中解耦出来的虚拟安全功能(Virtual Security Function,VSF)编排成安全服务链条,并映射到实现VSF的通用服务器上,利用SDN网络的细粒度流量管控功能,引导流量按照SSC的顺序要求依次处理,从而为用户提供端端安全服务。本文围绕SSC部署过程中的两个主要问题——“SSC优化映射”和“SSC自适应调整”展开研究,重点研究了面向单域、多域网络的SSC映射方法、面向安全服务需求变化的SSC随需调整方法和面向故障网络的SSC抗毁调整方法,取得了以下研究成果:1.提出基于安全服务拓扑的单域SSC映射方法。针对现有方法未考虑VSF在服务能力和资源需求方面存在差异、映射效果不佳的问题,设计了安全服务拓扑生成算法,为SSC分配满足其服务能力需求的VSF组合,规划VSF之间的连接关系、VSF与SSC的共享关系形成全局安全服务拓扑;设计了基于双向记忆的服务节点选择算法,改进人工免疫算法为VSF寻找最优部署方案,在降低服务器资源碎片化程度的同时缩短VSF所在服务节点之间的距离,减轻了VSF部署位置对后续优化安全服务时延的影响;设计了基于混合禁忌搜索的服务路径建立算法,在允许多径路由的情况下为SSC寻找时延最低的服务路径,减小了安全服务时延。2.提出基于多域协同的分布式跨域SSC映射方法。针对现有方法难以获得整体最优的映射方案、未考虑平衡自治域之间的负载等问题,提出了由SSC域级划分、片段域内映射和域间负载平衡三阶段构成的多域协同映射框架。设计了基于片段拍卖的域级划分算法,将自治域映射目标转化为“效益”,允许不同的自治域在收到相同的SSC片段集合后,依据自身域内信息对片段投标,并通过有限次自治域投标和协商迭代,使得自治域整体映射效果达到最优;设计了能力交易算法,将在高负载自治域中部署的若干片段迁移至低负载自治域,有效解决了域间负载不平衡问题。3.提出基于资源动态分配的SSC随需调整方法。针对现有方法无法有效支持多种SSC变化类型、未考虑降低SSC迁移影响的问题,依据VSF纵向扩展机制和SSC迁移机制,给出了新启VSF、直接复用已有VSF、扩展已有VSF、迁移SSC等四项操作,设计了两种SSC调整算法。面向扩容SSC的资源分发算法通过灵活组合四项操作生成若干候选调整方案,利用带权多层图和Viterbi算法求解最佳选择,确保选中的SSC调整方案带来的底层网络资源开销和影响最小;面向缩容SSC的资源回收算法在减少VSF所占据的服务器资源的同时,通过为资源设置休眠状态,避免了频繁变更VSF配置。4.提出基于等级区分的SSC抗毁调整方法。针对现有方法存在失效SSC恢复成功率低、恢复后安全服务时延长的问题,将SSC划分为提供重要服务的关键SSC和提供一般服务的普通SSC两个等级,设计了相应的抗毁调整方法。关键SSC抗毁调整方法通过预先分配备用资源,在主备安全服务路径之间建立桥接路径,采用贪心思想交替进行节点和链路映射,减小了安全服务时延;普通SSC抗毁调整方法只对失效部分重建,将失效VSF重部署问题转化为最大流问题进行求解,为失效VSF连接链路利用改进的Dijkstra最短路径算法重新选择一条低时延的服务路径,提高了恢复失效SSC的成功率,有效解决了底层网络发生单点和单链路故障情况下的SSC抗毁调整问题。通过仿真实验验证了上述方法的可行性和有效性,可为推进SDN网络的大规模应用与部署提供有力的安全支撑。
【学位单位】：战略支援部队信息工程大学
【学位级别】：博士
【学位年份】：2019
【中图分类】：TP393.08
【文章目录】：
摘要
ABSTRACT
第一章 绪论
    1.1 研究背景与意义
    1.2 主要问题
    1.3 国内外研究现状
        1.3.1 面向单域网络的基本安全服务链映射方法研究现状
        1.3.2 面向多域网络的跨域安全服务链映射方法研究现状
        1.3.3 安全服务链随需调整方法研究现状
        1.3.4 安全服务链抗毁调整方法研究现状
        1.3.5 问题归纳
    1.4 本文研究内容
    1.5 论文组织结构
第二章 基于安全服务拓扑的单域安全服务链映射方法
    2.1 引言
    2.2 问题描述
        2.2.1 基本定义
        2.2.2 单域SSC优化映射问题描述
    2.3 安全服务拓扑生成算法
        2.3.1 算法描述
        2.3.2 算法的时间复杂度分析
    2.4 基于双向记忆的服务节点选择算法
        2.4.1 问题建模
        2.4.2 算法描述
        2.4.3 算法的时间复杂度分析
    2.5 基于混合禁忌搜索的服务路径建立算法
        2.5.1 问题建模
        2.5.2 算法描述
        2.5.3 算法的时间复杂度分析
    2.6 实验与结果分析
        2.6.1 实验环境
        2.6.2 实验结果分析
    2.7 小结
第三章 基于多域协同的分布式跨域安全服务链映射方法
    3.1 引言
    3.2 问题描述
        3.2.1 基本定义
        3.2.2 跨域SSC优化映射问题描述
    3.3 多域协同映射框架
    3.4 基于片段拍卖的域级划分算法
        3.4.1 问题建模
        3.4.2 算法描述
        3.4.3 算法分析
    3.5 能力交易算法
        3.5.1 算法描述
        3.5.2 算法的时间复杂度分析
    3.6 实验与结果分析
        3.6.1 实验环境
        3.6.2 实验结果分析
    3.7 总结
第四章 基于资源动态分配的安全服务链随需调整方法
    4.1 引言
    4.2 问题描述
        4.2.1 基本定义
        4.2.2 SSC随需调整问题描述
    4.3 SSC随需调整问题建模
    4.4 面向扩容SSC的资源分发算法
        4.4.1 带权多层图和迁移因子定义
        4.4.2 带权多层图构建子算法
        4.4.3 带权多层图最短路径搜索子算法
        4.4.4 算法的时间复杂度分析
    4.5 面向缩容SSC的资源回收算法
    4.6 实验与结果分析
        4.6.1 实验环境
        4.6.2 实验结果分析
    4.7 总结
第五章 基于等级区分的安全服务链抗毁调整方法
    5.1 引言
    5.2 问题描述
        5.2.1 基本定义
        5.2.2 面向KSSC的抗毁调整问题描述
        5.2.3 面向NSSC的抗毁调整问题描述
    5.3 面向KSSC的抗毁调整建模与求解
        5.3.1 面向KSSC的抗毁调整模型
        5.3.2 主备安全服务路径构建算法
        5.3.3 算法的时间复杂度分析
    5.4 面向NSSC的抗毁调整建模与求解
        5.4.1 面向NSSC的抗毁调整模型
        5.4.2 失效安全服务路径重建算法
        5.4.3 算法的时间复杂度分析
    5.5 实验与结果分析
        5.5.1 实验环境
        5.5.2 实验结果分析
    5.6 总结
第六章 总结与展望
    6.1 研究总结与创新点
        6.1.1 研究总结
        6.1.2 主要创新点
    6.2 展望
致谢
参考文献
作者简历


本文编号：2833034