【摘要】：隨著網(wǎng)絡(luò)發(fā)展觸及世界的每個(gè)角落,網(wǎng)絡(luò)在加速“世界被抹平”過程的同時(shí),安全問題的層出不窮也給網(wǎng)絡(luò)部署運(yùn)維帶來了一定的困擾。安全威脅影響了網(wǎng)絡(luò)的穩(wěn)定性和發(fā)展,成為了不容忽視的問題。并且隨著網(wǎng)絡(luò)和業(yè)務(wù)環(huán)境的發(fā)展,傳統(tǒng)的安全運(yùn)維、安全服務(wù)面臨了新的挑戰(zhàn):(1)原有的安全設(shè)備不具有開放性,導(dǎo)致安全設(shè)備封閉僵化,不便于后期擴(kuò)展,也阻礙了業(yè)務(wù)部門快速適應(yīng)業(yè)務(wù)變化的需求,同時(shí)容易造成供應(yīng)商鎖定。(2)安全運(yùn)維系統(tǒng)依賴于當(dāng)前網(wǎng)絡(luò)環(huán)境,安全設(shè)備的部署要根據(jù)網(wǎng)絡(luò)拓?fù)�、�?shí)際環(huán)境進(jìn)行調(diào)整配置,難以實(shí)現(xiàn)高效的遷移重用。(3)網(wǎng)絡(luò)安全策略還停留在落后的人工配置階段,安全策略部署的有效性和合理性極大的依賴于運(yùn)維人員,運(yùn)維成本也因此居高不下。目前隨著軟件定義網(wǎng)絡(luò)SDN的興起,出現(xiàn)了各種各樣的軟件定義系統(tǒng),這些概念是圍繞著把控制層從數(shù)據(jù)層分離出來,而在安全領(lǐng)域也不例外,軟件定義安全SDS也漸漸進(jìn)入大家的視野。相對(duì)于傳統(tǒng)的僵硬分散的安全機(jī)制,軟件定義安全SDS通過把安全機(jī)制從安全硬件層提取的到軟件層的方法提供一種靈活和集中的解決方案�，F(xiàn)已提出的各種軟件定義安全架構(gòu),基本上都是借鑒了SDN的三層架構(gòu)思想,把控制層從數(shù)據(jù)層分離出來。然而現(xiàn)在提出和已實(shí)現(xiàn)的各種軟件定義安全SDS架構(gòu)中,都忽略了底層物理資源的資源調(diào)度機(jī)制,并且這些已提出的SDS架構(gòu)的特點(diǎn)的實(shí)現(xiàn)都離不開資源調(diào)度機(jī)制。因此本文提出一種基于軟件定義安全的資源調(diào)度機(jī)制,設(shè)計(jì)了南向API接口、安全資源抽象和負(fù)載均衡調(diào)度算法,以掃描服務(wù)為應(yīng)用案例,提出了包含應(yīng)用層、控制層和物理層的原型系統(tǒng),進(jìn)一步研發(fā)改造了安全控制器資源調(diào)度軟件模塊、物理層掃描器軟件模塊,搭建了實(shí)驗(yàn)環(huán)境,實(shí)驗(yàn)表明,基于軟件定義安全的資源調(diào)度機(jī)制能夠有效實(shí)現(xiàn)安全資源的調(diào)度,支持安全資源的負(fù)載均衡。主要工作如下:第一、通過學(xué)習(xí)研究目前學(xué)術(shù)界以及市場(chǎng)上的主要安全廠商對(duì)SDS的理解認(rèn)識(shí)的基礎(chǔ)上,進(jìn)一步的對(duì)SDS架構(gòu)及特點(diǎn)進(jìn)行分析,最后本文提出基于軟件定義安全的資源調(diào)度機(jī)制。第二、本文通過設(shè)計(jì)統(tǒng)一的南向API、底層安全資源虛擬化、負(fù)載均衡的調(diào)度算法,實(shí)現(xiàn)了的基于軟件定義安全的資源調(diào)度機(jī)制的原型系統(tǒng),并且通過一個(gè)實(shí)際應(yīng)用測(cè)試了安全資源調(diào)度機(jī)制的效果。
[Abstract]:With the development of the network which touches every corner of the world, the network accelerates the process of "the world being wiped out", and at the same time, the endless emergence of security problems also brings some troubles to the network deployment and maintenance. Security threats affect the stability and development of the network and become a problem that can not be ignored. And with the development of network and business environment, the traditional security operation and maintenance, security services are faced with new challenges: (1) the original security equipment is not open, resulting in the security equipment closed and rigid, which is not convenient for later expansion. It also hinders the business department to adapt to the needs of business changes quickly and easily causes vendor locking. (2) the security operation and maintenance system depends on the current network environment, and the deployment of security equipment should be adjusted according to the network topology and the actual environment. It is difficult to realize efficient migration reuse. (3) the network security policy is still in the backward manual configuration stage, the effectiveness and rationality of security policy deployment depend heavily on the operators, and the cost of operation and maintenance is high. At present, with the rise of software definition network SDN, a variety of software definition systems have emerged. These concepts revolve around separating the control layer from the data layer, and it is no exception in the field of security. The software definition security SDS also gradually enters everybody's vision. Compared with the traditional rigid and decentralized security mechanism, the software definition security SDS provides a flexible and centralized solution by extracting the security mechanism from the security hardware layer to the software layer. All kinds of software definition security architecture have been put forward, which are based on the three-tier architecture of SDN and separate the control layer from the data layer. However, the resource scheduling mechanism of the underlying physical resources is ignored in the proposed and implemented software definition security SDS architecture, and the implementation of these proposed SDS architectures is inseparable from the resource scheduling mechanism. Therefore, this paper proposes a resource scheduling mechanism based on software definition security, designs a southward API interface, security resource abstraction and load balancing scheduling algorithm, taking scanning service as an application case, proposes an application layer. The prototype system of the control layer and the physical layer has further developed and modified the resource scheduling software module of the security controller and the scanner software module of the physical layer, and the experimental environment has been built. The resource scheduling mechanism based on software definition security can effectively realize the scheduling of security resources and support the load balance of security resources. The main work is as follows: first, through the study of the current academic and market security manufacturers understanding of the understanding of SDS on the basis of further analysis of the structure and characteristics of SDS, Finally, a resource scheduling mechanism based on software definition security is proposed. Secondly, this paper designs a unified south API, security resource virtualization and load balancing scheduling algorithm, and implements a prototype system of resource scheduling mechanism based on software definition security. The effect of security resource scheduling mechanism is tested by a practical application.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 安暉;;從“世界定義軟件”穩(wěn)穩(wěn)做起[J];軟件和信息服務(wù);2013年11期

2 郭嘉凱;;軟件定義存儲(chǔ):將用戶從硬件綁定中解放[J];軟件和信息服務(wù);2014年05期

3 章必雄;基于軟件定義的多模式無線網(wǎng)絡(luò)[J];武漢理工大學(xué)學(xué)報(bào)(信息與管理工程版);2005年02期

4 Ron Harrison;;通訊測(cè)量無國界 軟件定義測(cè)試平臺(tái)后勢(shì)看漲[J];電子測(cè)試;2006年11期

5 袁航;;軟件定義負(fù)載均衡[J];軟件和信息服務(wù);2014年02期

6 王偉;;趨勢(shì)之七 金融業(yè)“軟件定義”濫觴期[J];金融電子化;2014年03期

7 王叢;;軟件定義存儲(chǔ)市場(chǎng)趨勢(shì)[J];電腦與電信;2014年06期

8 王叢;;軟件定義存儲(chǔ)價(jià)值[J];電腦與電信;2014年06期

9 王叢;;如何評(píng)估軟件定義存儲(chǔ)[J];電腦與電信;2014年06期

10 翁繼東;;軟件定義網(wǎng)絡(luò)關(guān)鍵技術(shù)及其實(shí)現(xiàn)研究[J];電子技術(shù)與軟件工程;2014年04期

相關(guān)會(huì)議論文 前2條

1 王加瑩;;軟件定義OTN軟件定義網(wǎng)絡(luò)[A];OFweek寬帶通信與物聯(lián)網(wǎng)前沿技術(shù)研討會(huì)論文集[C];2013年

2 張曉玲;臧傳治;于海斌;梁椺;;SDS調(diào)度機(jī)制系統(tǒng)容量分析[A];第六屆全國信息獲取與處理學(xué)術(shù)會(huì)議論文集（3）[C];2008年

相關(guān)重要報(bào)紙文章 前10條

1 何寶宏;軟件定義的世界[N];人民郵電;2012年

2 本報(bào)記者 郭平;網(wǎng)絡(luò)向軟件定義融合演進(jìn)[N];計(jì)算機(jī)世界;2012年

3 鄧光青;軟件定義網(wǎng)絡(luò)風(fēng)頭正勁[N];中國質(zhì)量報(bào);2013年

4 本報(bào)記者 郭濤;軟件定義存儲(chǔ)：市場(chǎng)“二八”開[N];中國計(jì)算機(jī)報(bào);2013年

5 本報(bào)記者 郭濤 策劃;軟件定義未來[N];中國計(jì)算機(jī)報(bào);2013年

6 本報(bào)記者 李旭陽;軟件定義汽車[N];計(jì)算機(jī)世界;2013年

7 梁敏;軟件定義時(shí)代來臨[N];電腦報(bào);2013年

8 本報(bào)記者 劉春輝;全面的虛擬化是實(shí)現(xiàn)“軟件定義”的重要基石[N];人民郵電;2013年

9 本報(bào)記者 郭濤;軟件定義存儲(chǔ)也要“打假”[N];中國計(jì)算機(jī)報(bào);2014年

10 沈建苗　編譯;軟件定義存儲(chǔ),你準(zhǔn)備好了嗎？[N];計(jì)算機(jī)世界;2014年

相關(guān)博士學(xué)位論文 前10條

1 李索恒;軟件定義網(wǎng)絡(luò)中多媒體傳輸路由及緩存算法研究[D];中國科學(xué)技術(shù)大學(xué);2016年

2 肖鵬;數(shù)據(jù)中心下軟件定義網(wǎng)絡(luò)的部署及應(yīng)用[D];大連海事大學(xué);2016年

3 唐思圓;軟件定義網(wǎng)絡(luò)中資源高效的多播傳輸研究[D];中國科學(xué)技術(shù)大學(xué);2017年

4 王軍鋒;軟件定義物聯(lián)網(wǎng)路由研究[D];華中科技大學(xué);2016年

5 楊恩眾;軟件定義多媒體組播系統(tǒng)與傳輸策略研究[D];中國科學(xué)技術(shù)大學(xué);2017年

6 朱明;高效軟件定義車載網(wǎng)絡(luò)關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2016年

7 周俊龍;實(shí)時(shí)系統(tǒng)的可靠性驅(qū)動(dòng)任務(wù)調(diào)度機(jī)制研究[D];華東師范大學(xué);2017年

8 林萍萍;軟件定義網(wǎng)的東西向?qū)Φ然ヂ?lián)機(jī)制研究[D];清華大學(xué);2014年

9 彭宏玉;軟件定義移動(dòng)網(wǎng)絡(luò)中能效優(yōu)化技術(shù)研究[D];北京郵電大學(xué);2016年

10 胡瀅;軟件定義網(wǎng)絡(luò)節(jié)能技術(shù)研究[D];北京郵電大學(xué);2017年

相關(guān)碩士學(xué)位論文 前10條

1 汪澤浪;基于軟件定義安全的資源調(diào)度機(jī)制研究與實(shí)現(xiàn)[D];北京郵電大學(xué);2017年

2 吳慶彪;軟件定義網(wǎng)絡(luò)Web認(rèn)證與訪問控制技術(shù)研究[D];西南交通大學(xué);2015年

3 羅雨佳;一種內(nèi)容中心網(wǎng)絡(luò)的通用架構(gòu)研究[D];電子科技大學(xué);2014年

4 陳實(shí);云計(jì)算中基于多租戶的策略驅(qū)動(dòng)型軟件定義網(wǎng)絡(luò)應(yīng)用研究[D];復(fù)旦大學(xué);2014年

5 袁建明;基于SDN的ICN網(wǎng)絡(luò)設(shè)計(jì)[D];云南財(cái)經(jīng)大學(xué);2015年

6 李澤旺;軟件定義一體化網(wǎng)絡(luò)仿真平臺(tái)研究與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

7 馬俊青;面向軟件定義網(wǎng)絡(luò)的流量分析與識(shí)別技術(shù)研究[D];南京郵電大學(xué);2015年

8 黃錦松;軟件定義的內(nèi)容中心網(wǎng)絡(luò)關(guān)鍵技術(shù)研究[D];南京郵電大學(xué);2015年

9 王小威;軟件定義移動(dòng)自組網(wǎng)技術(shù)及原型設(shè)計(jì)[D];南京郵電大學(xué);2015年

10 李杰;云環(huán)境下一種基于軟件定義安全服務(wù)的入侵檢測(cè)算法研究[D];南京郵電大學(xué);2015年

，

本文編號(hào)：2390475