【摘要】：隨著網(wǎng)絡(luò)發(fā)展觸及世界的每個角落,網(wǎng)絡(luò)在加速“世界被抹平”過程的同時,安全問題的層出不窮也給網(wǎng)絡(luò)部署運維帶來了一定的困擾。安全威脅影響了網(wǎng)絡(luò)的穩(wěn)定性和發(fā)展,成為了不容忽視的問題。并且隨著網(wǎng)絡(luò)和業(yè)務(wù)環(huán)境的發(fā)展,傳統(tǒng)的安全運維、安全服務(wù)面臨了新的挑戰(zhàn):(1)原有的安全設(shè)備不具有開放性,導(dǎo)致安全設(shè)備封閉僵化,不便于后期擴展,也阻礙了業(yè)務(wù)部門快速適應(yīng)業(yè)務(wù)變化的需求,同時容易造成供應(yīng)商鎖定。(2)安全運維系統(tǒng)依賴于當(dāng)前網(wǎng)絡(luò)環(huán)境,安全設(shè)備的部署要根據(jù)網(wǎng)絡(luò)拓?fù)�、實際環(huán)境進行調(diào)整配置,難以實現(xiàn)高效的遷移重用。(3)網(wǎng)絡(luò)安全策略還停留在落后的人工配置階段,安全策略部署的有效性和合理性極大的依賴于運維人員,運維成本也因此居高不下。目前隨著軟件定義網(wǎng)絡(luò)SDN的興起,出現(xiàn)了各種各樣的軟件定義系統(tǒng),這些概念是圍繞著把控制層從數(shù)據(jù)層分離出來,而在安全領(lǐng)域也不例外,軟件定義安全SDS也漸漸進入大家的視野。相對于傳統(tǒng)的僵硬分散的安全機制,軟件定義安全SDS通過把安全機制從安全硬件層提取的到軟件層的方法提供一種靈活和集中的解決方案。現(xiàn)已提出的各種軟件定義安全架構(gòu),基本上都是借鑒了SDN的三層架構(gòu)思想,把控制層從數(shù)據(jù)層分離出來。然而現(xiàn)在提出和已實現(xiàn)的各種軟件定義安全SDS架構(gòu)中,都忽略了底層物理資源的資源調(diào)度機制,并且這些已提出的SDS架構(gòu)的特點的實現(xiàn)都離不開資源調(diào)度機制。因此本文提出一種基于軟件定義安全的資源調(diào)度機制,設(shè)計了南向API接口、安全資源抽象和負(fù)載均衡調(diào)度算法,以掃描服務(wù)為應(yīng)用案例,提出了包含應(yīng)用層、控制層和物理層的原型系統(tǒng),進一步研發(fā)改造了安全控制器資源調(diào)度軟件模塊、物理層掃描器軟件模塊,搭建了實驗環(huán)境,實驗表明,基于軟件定義安全的資源調(diào)度機制能夠有效實現(xiàn)安全資源的調(diào)度,支持安全資源的負(fù)載均衡。主要工作如下:第一、通過學(xué)習(xí)研究目前學(xué)術(shù)界以及市場上的主要安全廠商對SDS的理解認(rèn)識的基礎(chǔ)上,進一步的對SDS架構(gòu)及特點進行分析,最后本文提出基于軟件定義安全的資源調(diào)度機制。第二、本文通過設(shè)計統(tǒng)一的南向API、底層安全資源虛擬化、負(fù)載均衡的調(diào)度算法,實現(xiàn)了的基于軟件定義安全的資源調(diào)度機制的原型系統(tǒng),并且通過一個實際應(yīng)用測試了安全資源調(diào)度機制的效果。
[Abstract]:With the development of the network which touches every corner of the world, the network accelerates the process of "the world being wiped out", and at the same time, the endless emergence of security problems also brings some troubles to the network deployment and maintenance. Security threats affect the stability and development of the network and become a problem that can not be ignored. And with the development of network and business environment, the traditional security operation and maintenance, security services are faced with new challenges: (1) the original security equipment is not open, resulting in the security equipment closed and rigid, which is not convenient for later expansion. It also hinders the business department to adapt to the needs of business changes quickly and easily causes vendor locking. (2) the security operation and maintenance system depends on the current network environment, and the deployment of security equipment should be adjusted according to the network topology and the actual environment. It is difficult to realize efficient migration reuse. (3) the network security policy is still in the backward manual configuration stage, the effectiveness and rationality of security policy deployment depend heavily on the operators, and the cost of operation and maintenance is high. At present, with the rise of software definition network SDN, a variety of software definition systems have emerged. These concepts revolve around separating the control layer from the data layer, and it is no exception in the field of security. The software definition security SDS also gradually enters everybody's vision. Compared with the traditional rigid and decentralized security mechanism, the software definition security SDS provides a flexible and centralized solution by extracting the security mechanism from the security hardware layer to the software layer. All kinds of software definition security architecture have been put forward, which are based on the three-tier architecture of SDN and separate the control layer from the data layer. However, the resource scheduling mechanism of the underlying physical resources is ignored in the proposed and implemented software definition security SDS architecture, and the implementation of these proposed SDS architectures is inseparable from the resource scheduling mechanism. Therefore, this paper proposes a resource scheduling mechanism based on software definition security, designs a southward API interface, security resource abstraction and load balancing scheduling algorithm, taking scanning service as an application case, proposes an application layer. The prototype system of the control layer and the physical layer has further developed and modified the resource scheduling software module of the security controller and the scanner software module of the physical layer, and the experimental environment has been built. The resource scheduling mechanism based on software definition security can effectively realize the scheduling of security resources and support the load balance of security resources. The main work is as follows: first, through the study of the current academic and market security manufacturers understanding of the understanding of SDS on the basis of further analysis of the structure and characteristics of SDS, Finally, a resource scheduling mechanism based on software definition security is proposed. Secondly, this paper designs a unified south API, security resource virtualization and load balancing scheduling algorithm, and implements a prototype system of resource scheduling mechanism based on software definition security. The effect of security resource scheduling mechanism is tested by a practical application.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 安暉;;從“世界定義軟件”穩(wěn)穩(wěn)做起[J];軟件和信息服務(wù);2013年11期

2 郭嘉凱;;軟件定義存儲:將用戶從硬件綁定中解放[J];軟件和信息服務(wù);2014年05期

3 章必雄;基于軟件定義的多模式無線網(wǎng)絡(luò)[J];武漢理工大學(xué)學(xué)報(信息與管理工程版);2005年02期

4 Ron Harrison;;通訊測量無國界 軟件定義測試平臺后勢看漲[J];電子測試;2006年11期

5 袁航;;軟件定義負(fù)載均衡[J];軟件和信息服務(wù);2014年02期

6 王偉;;趨勢之七 金融業(yè)“軟件定義”濫觴期[J];金融電子化;2014年03期

7 王叢;;軟件定義存儲市場趨勢[J];電腦與電信;2014年06期

8 王叢;;軟件定義存儲價值[J];電腦與電信;2014年06期

9 王叢;;如何評估軟件定義存儲[J];電腦與電信;2014年06期

10 翁繼東;;軟件定義網(wǎng)絡(luò)關(guān)鍵技術(shù)及其實現(xiàn)研究[J];電子技術(shù)與軟件工程;2014年04期

相關(guān)會議論文 前2條

1 王加瑩;;軟件定義OTN軟件定義網(wǎng)絡(luò)[A];OFweek寬帶通信與物聯(lián)網(wǎng)前沿技術(shù)研討會論文集[C];2013年

2 張曉玲;臧傳治;于海斌;梁椺;;SDS調(diào)度機制系統(tǒng)容量分析[A];第六屆全國信息獲取與處理學(xué)術(shù)會議論文集（3）[C];2008年

相關(guān)重要報紙文章 前10條

1 何寶宏;軟件定義的世界[N];人民郵電;2012年

2 本報記者 郭平;網(wǎng)絡(luò)向軟件定義融合演進[N];計算機世界;2012年

3 鄧光青;軟件定義網(wǎng)絡(luò)風(fēng)頭正勁[N];中國質(zhì)量報;2013年

4 本報記者 郭濤;軟件定義存儲：市場“二八”開[N];中國計算機報;2013年

5 本報記者 郭濤 策劃;軟件定義未來[N];中國計算機報;2013年

6 本報記者 李旭陽;軟件定義汽車[N];計算機世界;2013年

7 梁敏;軟件定義時代來臨[N];電腦報;2013年

8 本報記者 劉春輝;全面的虛擬化是實現(xiàn)“軟件定義”的重要基石[N];人民郵電;2013年

9 本報記者 郭濤;軟件定義存儲也要“打假”[N];中國計算機報;2014年

10 沈建苗　編譯;軟件定義存儲,你準(zhǔn)備好了嗎？[N];計算機世界;2014年

相關(guān)博士學(xué)位論文 前10條

1 李索恒;軟件定義網(wǎng)絡(luò)中多媒體傳輸路由及緩存算法研究[D];中國科學(xué)技術(shù)大學(xué);2016年

2 肖鵬;數(shù)據(jù)中心下軟件定義網(wǎng)絡(luò)的部署及應(yīng)用[D];大連海事大學(xué);2016年

3 唐思圓;軟件定義網(wǎng)絡(luò)中資源高效的多播傳輸研究[D];中國科學(xué)技術(shù)大學(xué);2017年

4 王軍鋒;軟件定義物聯(lián)網(wǎng)路由研究[D];華中科技大學(xué);2016年

5 楊恩眾;軟件定義多媒體組播系統(tǒng)與傳輸策略研究[D];中國科學(xué)技術(shù)大學(xué);2017年

6 朱明;高效軟件定義車載網(wǎng)絡(luò)關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2016年

7 周俊龍;實時系統(tǒng)的可靠性驅(qū)動任務(wù)調(diào)度機制研究[D];華東師范大學(xué);2017年

8 林萍萍;軟件定義網(wǎng)的東西向?qū)Φ然ヂ?lián)機制研究[D];清華大學(xué);2014年

9 彭宏玉;軟件定義移動網(wǎng)絡(luò)中能效優(yōu)化技術(shù)研究[D];北京郵電大學(xué);2016年

10 胡瀅;軟件定義網(wǎng)絡(luò)節(jié)能技術(shù)研究[D];北京郵電大學(xué);2017年

相關(guān)碩士學(xué)位論文 前10條

1 汪澤浪;基于軟件定義安全的資源調(diào)度機制研究與實現(xiàn)[D];北京郵電大學(xué);2017年

2 吳慶彪;軟件定義網(wǎng)絡(luò)Web認(rèn)證與訪問控制技術(shù)研究[D];西南交通大學(xué);2015年

3 羅雨佳;一種內(nèi)容中心網(wǎng)絡(luò)的通用架構(gòu)研究[D];電子科技大學(xué);2014年

4 陳實;云計算中基于多租戶的策略驅(qū)動型軟件定義網(wǎng)絡(luò)應(yīng)用研究[D];復(fù)旦大學(xué);2014年

5 袁建明;基于SDN的ICN網(wǎng)絡(luò)設(shè)計[D];云南財經(jīng)大學(xué);2015年

6 李澤旺;軟件定義一體化網(wǎng)絡(luò)仿真平臺研究與實現(xiàn)[D];電子科技大學(xué);2015年

7 馬俊青;面向軟件定義網(wǎng)絡(luò)的流量分析與識別技術(shù)研究[D];南京郵電大學(xué);2015年

8 黃錦松;軟件定義的內(nèi)容中心網(wǎng)絡(luò)關(guān)鍵技術(shù)研究[D];南京郵電大學(xué);2015年

9 王小威;軟件定義移動自組網(wǎng)技術(shù)及原型設(shè)計[D];南京郵電大學(xué);2015年

10 李杰;云環(huán)境下一種基于軟件定義安全服務(wù)的入侵檢測算法研究[D];南京郵電大學(xué);2015年

，

本文編號：2390475