軟件定義網(wǎng)絡(luò)(Software-defined Networking,SDN)是一種邏輯控制與數(shù)據(jù)轉(zhuǎn)發(fā)分離的新型網(wǎng)絡(luò)體系結(jié)構(gòu),它能夠?yàn)榛ヂ?lián)網(wǎng)提供滿足當(dāng)前及未來需求的平滑演進(jìn)能力,已成為未來互聯(lián)網(wǎng)的發(fā)展方向,為解決網(wǎng)絡(luò)安全問題提供了新思路。安全服務(wù)鏈(Security Service Chain,SSC)是解決SDN網(wǎng)絡(luò)端端安全的核心技術(shù),它將借助網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization,NFV)技術(shù)從硬件安全設(shè)備中解耦出來的虛擬安全功能(Virtual Security Function,VSF)編排成安全服務(wù)鏈條,并映射到實(shí)現(xiàn)VSF的通用服務(wù)器上,利用SDN網(wǎng)絡(luò)的細(xì)粒度流量管控功能,引導(dǎo)流量按照SSC的順序要求依次處理,從而為用戶提供端端安全服務(wù)。本文圍繞SSC部署過程中的兩個主要問題——“SSC優(yōu)化映射”和“SSC自適應(yīng)調(diào)整”展開研究,重點(diǎn)研究了面向單域、多域網(wǎng)絡(luò)的SSC映射方法、面向安全服務(wù)需求變化的SSC隨需調(diào)整方法和面向故障網(wǎng)絡(luò)的SSC抗毀調(diào)整方法,取得了以下研究成果:1.提出基于安全服務(wù)拓?fù)涞膯斡騍SC映射方法。針對現(xiàn)有方法未考慮VSF在服務(wù)能力和資源需求方面存在差異、映射效果不佳的問題,設(shè)計(jì)了安全服務(wù)拓?fù)渖伤惴?為SSC分配滿足其服務(wù)能力需求的VSF組合,規(guī)劃VSF之間的連接關(guān)系、VSF與SSC的共享關(guān)系形成全局安全服務(wù)拓?fù)?設(shè)計(jì)了基于雙向記憶的服務(wù)節(jié)點(diǎn)選擇算法,改進(jìn)人工免疫算法為VSF尋找最優(yōu)部署方案,在降低服務(wù)器資源碎片化程度的同時縮短VSF所在服務(wù)節(jié)點(diǎn)之間的距離,減輕了VSF部署位置對后續(xù)優(yōu)化安全服務(wù)時延的影響;設(shè)計(jì)了基于混合禁忌搜索的服務(wù)路徑建立算法,在允許多徑路由的情況下為SSC尋找時延最低的服務(wù)路徑,減小了安全服務(wù)時延。2.提出基于多域協(xié)同的分布式跨域SSC映射方法。針對現(xiàn)有方法難以獲得整體最優(yōu)的映射方案、未考慮平衡自治域之間的負(fù)載等問題,提出了由SSC域級劃分、片段域內(nèi)映射和域間負(fù)載平衡三階段構(gòu)成的多域協(xié)同映射框架。設(shè)計(jì)了基于片段拍賣的域級劃分算法,將自治域映射目標(biāo)轉(zhuǎn)化為“效益”,允許不同的自治域在收到相同的SSC片段集合后,依據(jù)自身域內(nèi)信息對片段投標(biāo),并通過有限次自治域投標(biāo)和協(xié)商迭代,使得自治域整體映射效果達(dá)到最優(yōu);設(shè)計(jì)了能力交易算法,將在高負(fù)載自治域中部署的若干片段遷移至低負(fù)載自治域,有效解決了域間負(fù)載不平衡問題。3.提出基于資源動態(tài)分配的SSC隨需調(diào)整方法。針對現(xiàn)有方法無法有效支持多種SSC變化類型、未考慮降低SSC遷移影響的問題,依據(jù)VSF縱向擴(kuò)展機(jī)制和SSC遷移機(jī)制,給出了新啟VSF、直接復(fù)用已有VSF、擴(kuò)展已有VSF、遷移SSC等四項(xiàng)操作,設(shè)計(jì)了兩種SSC調(diào)整算法。面向擴(kuò)容SSC的資源分發(fā)算法通過靈活組合四項(xiàng)操作生成若干候選調(diào)整方案,利用帶權(quán)多層圖和Viterbi算法求解最佳選擇,確保選中的SSC調(diào)整方案帶來的底層網(wǎng)絡(luò)資源開銷和影響最小;面向縮容SSC的資源回收算法在減少VSF所占據(jù)的服務(wù)器資源的同時,通過為資源設(shè)置休眠狀態(tài),避免了頻繁變更VSF配置。4.提出基于等級區(qū)分的SSC抗毀調(diào)整方法。針對現(xiàn)有方法存在失效SSC恢復(fù)成功率低、恢復(fù)后安全服務(wù)時延長的問題,將SSC劃分為提供重要服務(wù)的關(guān)鍵SSC和提供一般服務(wù)的普通SSC兩個等級,設(shè)計(jì)了相應(yīng)的抗毀調(diào)整方法。關(guān)鍵SSC抗毀調(diào)整方法通過預(yù)先分配備用資源,在主備安全服務(wù)路徑之間建立橋接路徑,采用貪心思想交替進(jìn)行節(jié)點(diǎn)和鏈路映射,減小了安全服務(wù)時延;普通SSC抗毀調(diào)整方法只對失效部分重建,將失效VSF重部署問題轉(zhuǎn)化為最大流問題進(jìn)行求解,為失效VSF連接鏈路利用改進(jìn)的Dijkstra最短路徑算法重新選擇一條低時延的服務(wù)路徑,提高了恢復(fù)失效SSC的成功率,有效解決了底層網(wǎng)絡(luò)發(fā)生單點(diǎn)和單鏈路故障情況下的SSC抗毀調(diào)整問題。通過仿真實(shí)驗(yàn)驗(yàn)證了上述方法的可行性和有效性,可為推進(jìn)SDN網(wǎng)絡(luò)的大規(guī)模應(yīng)用與部署提供有力的安全支撐。
【學(xué)位單位】：戰(zhàn)略支援部隊(duì)信息工程大學(xué)
【學(xué)位級別】：博士
【學(xué)位年份】：2019
【中圖分類】：TP393.08
【文章目錄】：
摘要
ABSTRACT
第一章 緒論
    1.1 研究背景與意義
    1.2 主要問題
    1.3 國內(nèi)外研究現(xiàn)狀
        1.3.1 面向單域網(wǎng)絡(luò)的基本安全服務(wù)鏈映射方法研究現(xiàn)狀
        1.3.2 面向多域網(wǎng)絡(luò)的跨域安全服務(wù)鏈映射方法研究現(xiàn)狀
        1.3.3 安全服務(wù)鏈隨需調(diào)整方法研究現(xiàn)狀
        1.3.4 安全服務(wù)鏈抗毀調(diào)整方法研究現(xiàn)狀
        1.3.5 問題歸納
    1.4 本文研究內(nèi)容
    1.5 論文組織結(jié)構(gòu)
第二章 基于安全服務(wù)拓?fù)涞膯斡虬踩⻊?wù)鏈映射方法
    2.1 引言
    2.2 問題描述
        2.2.1 基本定義
        2.2.2 單域SSC優(yōu)化映射問題描述
    2.3 安全服務(wù)拓?fù)渖伤惴?br>        2.3.1 算法描述
        2.3.2 算法的時間復(fù)雜度分析
    2.4 基于雙向記憶的服務(wù)節(jié)點(diǎn)選擇算法
        2.4.1 問題建模
        2.4.2 算法描述
        2.4.3 算法的時間復(fù)雜度分析
    2.5 基于混合禁忌搜索的服務(wù)路徑建立算法
        2.5.1 問題建模
        2.5.2 算法描述
        2.5.3 算法的時間復(fù)雜度分析
    2.6 實(shí)驗(yàn)與結(jié)果分析
        2.6.1 實(shí)驗(yàn)環(huán)境
        2.6.2 實(shí)驗(yàn)結(jié)果分析
    2.7 小結(jié)
第三章 基于多域協(xié)同的分布式跨域安全服務(wù)鏈映射方法
    3.1 引言
    3.2 問題描述
        3.2.1 基本定義
        3.2.2 跨域SSC優(yōu)化映射問題描述
    3.3 多域協(xié)同映射框架
    3.4 基于片段拍賣的域級劃分算法
        3.4.1 問題建模
        3.4.2 算法描述
        3.4.3 算法分析
    3.5 能力交易算法
        3.5.1 算法描述
        3.5.2 算法的時間復(fù)雜度分析
    3.6 實(shí)驗(yàn)與結(jié)果分析
        3.6.1 實(shí)驗(yàn)環(huán)境
        3.6.2 實(shí)驗(yàn)結(jié)果分析
    3.7 總結(jié)
第四章 基于資源動態(tài)分配的安全服務(wù)鏈隨需調(diào)整方法
    4.1 引言
    4.2 問題描述
        4.2.1 基本定義
        4.2.2 SSC隨需調(diào)整問題描述
    4.3 SSC隨需調(diào)整問題建模
    4.4 面向擴(kuò)容SSC的資源分發(fā)算法
        4.4.1 帶權(quán)多層圖和遷移因子定義
        4.4.2 帶權(quán)多層圖構(gòu)建子算法
        4.4.3 帶權(quán)多層圖最短路徑搜索子算法
        4.4.4 算法的時間復(fù)雜度分析
    4.5 面向縮容SSC的資源回收算法
    4.6 實(shí)驗(yàn)與結(jié)果分析
        4.6.1 實(shí)驗(yàn)環(huán)境
        4.6.2 實(shí)驗(yàn)結(jié)果分析
    4.7 總結(jié)
第五章 基于等級區(qū)分的安全服務(wù)鏈抗毀調(diào)整方法
    5.1 引言
    5.2 問題描述
        5.2.1 基本定義
        5.2.2 面向KSSC的抗毀調(diào)整問題描述
        5.2.3 面向NSSC的抗毀調(diào)整問題描述
    5.3 面向KSSC的抗毀調(diào)整建模與求解
        5.3.1 面向KSSC的抗毀調(diào)整模型
        5.3.2 主備安全服務(wù)路徑構(gòu)建算法
        5.3.3 算法的時間復(fù)雜度分析
    5.4 面向NSSC的抗毀調(diào)整建模與求解
        5.4.1 面向NSSC的抗毀調(diào)整模型
        5.4.2 失效安全服務(wù)路徑重建算法
        5.4.3 算法的時間復(fù)雜度分析
    5.5 實(shí)驗(yàn)與結(jié)果分析
        5.5.1 實(shí)驗(yàn)環(huán)境
        5.5.2 實(shí)驗(yàn)結(jié)果分析
    5.6 總結(jié)
第六章 總結(jié)與展望
    6.1 研究總結(jié)與創(chuàng)新點(diǎn)
        6.1.1 研究總結(jié)
        6.1.2 主要創(chuàng)新點(diǎn)
    6.2 展望
致謝
參考文獻(xiàn)
作者簡歷


本文編號：2833034