國(guó)艷群，韓 敏，孫林夫

(1.西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院,成都 610031；2.西南電子設(shè)備研究所,成都 610036)

一種基于SDN的開(kāi)放SaaS平臺(tái)網(wǎng)絡(luò)安全體系設(shè)計(jì)*1

國(guó)艷群1，2，韓 敏1,**2，孫林夫1

(1.西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院,成都 610031；2.西南電子設(shè)備研究所,成都 610036)

為解決開(kāi)放軟件即服務(wù)(SaaS)平臺(tái)下的網(wǎng)絡(luò)安全問(wèn)題，將軟件定義網(wǎng)絡(luò)(SDN)與開(kāi)放SaaS平臺(tái)建設(shè)相結(jié)合，提出了一種基于SDN的開(kāi)放SaaS平臺(tái)網(wǎng)絡(luò)安全體系設(shè)計(jì)思路。在對(duì)系統(tǒng)物理模型、功能模型與協(xié)同模型進(jìn)行分析的基礎(chǔ)上，設(shè)計(jì)了系統(tǒng)體系結(jié)構(gòu)，分析了體系構(gòu)成關(guān)鍵要素，給出了系統(tǒng)典型應(yīng)用示例?；赟DN開(kāi)展SaaS平臺(tái)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)，對(duì)提高系統(tǒng)的安全性與開(kāi)放性、構(gòu)建滿足用戶個(gè)性化需求的網(wǎng)絡(luò)安全體系具有重要意義。

軟件定義網(wǎng)絡(luò)；軟件即服務(wù)；網(wǎng)絡(luò)防護(hù)；體系結(jié)構(gòu)設(shè)計(jì)

1 引 言

開(kāi)放軟件即服務(wù)(Software as a Service, SaaS)平臺(tái)[1-2]是一種開(kāi)放的云計(jì)算體系架構(gòu)，面向用戶提供可動(dòng)態(tài)擴(kuò)展編程的軟件即服務(wù)平臺(tái)。SaaS在具有開(kāi)放性、動(dòng)態(tài)擴(kuò)展性等優(yōu)點(diǎn)的同時(shí)，對(duì)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系也提出了更高的要求。為提高SaaS平臺(tái)的安全性，國(guó)內(nèi)外開(kāi)展了廣泛的研究：文獻(xiàn)[3]從架構(gòu)、機(jī)制、與模型方面進(jìn)行了云計(jì)算安全體系設(shè)計(jì)，文獻(xiàn)[4-5]從SaaS數(shù)據(jù)安全的角度開(kāi)展了相關(guān)研究工作，文獻(xiàn)[6]則對(duì)SaaS業(yè)務(wù)流程定制安全技術(shù)進(jìn)行了研究。

軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN)是一種新興的基于軟件的網(wǎng)絡(luò)技術(shù)[7-8]，由于其特有的控制平面與數(shù)據(jù)平面分析、開(kāi)放的可編程接口以及集中化的控制等特征[9]，一經(jīng)出現(xiàn)，在網(wǎng)絡(luò)安全及云計(jì)算安全領(lǐng)域就引起了廣泛關(guān)注。文獻(xiàn)[10-11]提出了將SDN應(yīng)用于云計(jì)算的框架結(jié)構(gòu)，文獻(xiàn)[12]對(duì)未來(lái)網(wǎng)絡(luò)的體系架構(gòu)進(jìn)行了研究并提出將SDN應(yīng)用于網(wǎng)絡(luò)體系建設(shè)的思路。從發(fā)展趨勢(shì)上看，探索基于SDN構(gòu)建網(wǎng)絡(luò)安全體系并將其應(yīng)用于云計(jì)算平臺(tái)建設(shè)，已成為當(dāng)前及未來(lái)網(wǎng)絡(luò)安全體系建設(shè)的一個(gè)重要方向，對(duì)提高云計(jì)算平臺(tái)的安全性具有重要意義。然而，從組成的角度看，SDN設(shè)備作為網(wǎng)絡(luò)交換設(shè)備的一種，屬于基礎(chǔ)設(shè)施建設(shè)的范疇，對(duì)基于SDN的應(yīng)用研究也大多基于SDN設(shè)備開(kāi)展相關(guān)研究工作，未從應(yīng)用體系上開(kāi)展系統(tǒng)性的研究。

本文在框架及應(yīng)用研究的基礎(chǔ)上，利用SDN對(duì)上提供編程接口的特點(diǎn)，將SDN與開(kāi)放SaaS平臺(tái)安全體系建設(shè)需求相結(jié)合，從體系建設(shè)的角度，自頂向下，對(duì)系統(tǒng)安全模型、體系結(jié)構(gòu)進(jìn)行了研究，對(duì)體系建設(shè)中涉及到的數(shù)據(jù)表示與協(xié)同、構(gòu)件管理以及系統(tǒng)構(gòu)建等關(guān)鍵要素進(jìn)行了分析，并遵循SaaS平臺(tái)集成標(biāo)準(zhǔn)，對(duì)基于SDN的網(wǎng)絡(luò)安全應(yīng)用進(jìn)行了封裝，使用戶可以在不關(guān)心底層接口的情況下，按需調(diào)用SaaS編程接口，實(shí)現(xiàn)相應(yīng)的網(wǎng)絡(luò)安全功能。該體系兼具SDN路由可控、高安全性等特點(diǎn)以及開(kāi)放SaaS平臺(tái)動(dòng)態(tài)可擴(kuò)展、需求可定制等優(yōu)點(diǎn)。遵循系統(tǒng)體系結(jié)構(gòu)，通過(guò)系統(tǒng)的持續(xù)建設(shè)與構(gòu)件的開(kāi)放迭代更新，可形成開(kāi)放SaaS平臺(tái)下動(dòng)態(tài)開(kāi)放、按需定制的網(wǎng)絡(luò)安全系統(tǒng)，并實(shí)現(xiàn)系統(tǒng)協(xié)同預(yù)警、協(xié)同識(shí)別、協(xié)同防護(hù)以及協(xié)同反擊等能力的不斷提升。

2 系統(tǒng)模型

2.1 物理模型

從構(gòu)成網(wǎng)絡(luò)安全系統(tǒng)的物理要素看，基于SDN的開(kāi)放SaaS平臺(tái)網(wǎng)絡(luò)安全系統(tǒng)由網(wǎng)絡(luò)服務(wù)提供商(Internet Service Provider,ISP)、交換設(shè)備(路由器、交換機(jī)等)、安全服務(wù)中心、SaaS平臺(tái)服務(wù)器以及應(yīng)用客戶端組成，如圖1所示。交換設(shè)備、安全服務(wù)中心、SaaS平臺(tái)服務(wù)器為體系構(gòu)成的關(guān)鍵物理要素。從理論上講，交換設(shè)備應(yīng)全部由支持SDN的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備組成，但在實(shí)際應(yīng)用方面，不可能對(duì)所有的網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí)更換，交換設(shè)備在組成上為普通網(wǎng)絡(luò)設(shè)備與SDN交換設(shè)備的組合，從安全體系構(gòu)建的角度，可將普通網(wǎng)絡(luò)設(shè)備與互聯(lián)網(wǎng)絡(luò)共同等效抽象成透明互聯(lián)網(wǎng)絡(luò)，將交換設(shè)備狹義定義為分布于互聯(lián)網(wǎng)絡(luò)的SDN設(shè)備(后文所提到的交換設(shè)備統(tǒng)一特指具備SDN功能的交換設(shè)備)。

2.2 功能模型

從系統(tǒng)可實(shí)現(xiàn)的功能層次，將系統(tǒng)功能分為控制域、功能域與服務(wù)域三個(gè)功能域。交換設(shè)備、控制器及定義的轉(zhuǎn)發(fā)規(guī)則是控制域的主體，是網(wǎng)絡(luò)安全體系的物理基礎(chǔ)層；基于控制域?qū)崿F(xiàn)的轉(zhuǎn)發(fā)功能，按照典型網(wǎng)絡(luò)安全系統(tǒng)功能要求，在功能域?qū)崿F(xiàn)協(xié)同預(yù)警、協(xié)同識(shí)別、協(xié)同防護(hù)以及協(xié)同反擊等網(wǎng)絡(luò)防護(hù)功能；在服務(wù)域，按照面向服務(wù)的方式，對(duì)功能域安全功能進(jìn)行封裝，同時(shí)結(jié)合開(kāi)放SaaS平臺(tái)的功能，向用戶提供虛擬網(wǎng)絡(luò)服務(wù)、基礎(chǔ)傳輸服務(wù)、網(wǎng)絡(luò)防護(hù)服務(wù)以及基于平臺(tái)的安全編程服務(wù)。系統(tǒng)功能模型如圖2所示。

圖2 功能模型

2.3 協(xié)同模型

從協(xié)同原理的角度，協(xié)同過(guò)程主要包含了協(xié)同群組的建立/解除、信息獲取請(qǐng)求、信息發(fā)送動(dòng)作等三部分，對(duì)于基于SDN的安全體系，發(fā)送的信息除網(wǎng)絡(luò)原始數(shù)據(jù)外，還包含了元規(guī)則信息(即轉(zhuǎn)發(fā)規(guī)則)。根據(jù)以上協(xié)同過(guò)程，將分布于網(wǎng)絡(luò)節(jié)點(diǎn)的交換設(shè)備作為協(xié)同對(duì)象，由各級(jí)安全中心作為發(fā)起協(xié)同的主題，通過(guò)協(xié)同原語(yǔ)的方式，對(duì)系統(tǒng)進(jìn)行建模分析，設(shè)計(jì)了網(wǎng)絡(luò)管理、數(shù)據(jù)獲取及數(shù)據(jù)發(fā)送三種原語(yǔ)。

2.3.1 網(wǎng)絡(luò)管理原語(yǔ)

功能：以虛擬方式建立或注銷虛擬網(wǎng)絡(luò)。

語(yǔ)法：NetEstablish(NetID, ,, ,flag)。

語(yǔ)義：當(dāng)flag為1時(shí)，建立以NetID為唯一標(biāo)識(shí)的分布式虛擬網(wǎng)絡(luò)群落，sdn-list為虛擬網(wǎng)絡(luò)中涉及的sdn設(shè)備ID集合，net-center為本網(wǎng)絡(luò)安全中心用戶集合，可為一個(gè)或多個(gè)中心，purpose-describe為組建本網(wǎng)絡(luò)的功能描述，可空；當(dāng)flag為-1時(shí)，注銷以NetID為標(biāo)識(shí)的網(wǎng)絡(luò)。

2.3.2 數(shù)據(jù)獲取原語(yǔ)

功能：以主動(dòng)獲取的方式，從交換設(shè)備獲取網(wǎng)絡(luò)數(shù)據(jù)。

語(yǔ)法：GetMessage(netcenteri, , ,)。

語(yǔ)義：netcenteri為采樣數(shù)據(jù)的安全中心的統(tǒng)一編號(hào)；sdn-set為需要提供數(shù)據(jù)的交換設(shè)備集合；data-character-set為采樣數(shù)據(jù)的樣本特征要求，由(sdnid，[關(guān)鍵詞i，約束條件i]n)的約束對(duì)組成，其中關(guān)鍵詞及其約束規(guī)則包括協(xié)議、數(shù)據(jù)前序位置、數(shù)據(jù)后序位置乃至數(shù)據(jù)包內(nèi)關(guān)鍵字等，其形式由系統(tǒng)預(yù)先設(shè)定，并可根據(jù)需要?jiǎng)討B(tài)進(jìn)行擴(kuò)展；time-requirement為采樣的時(shí)間要求，為空時(shí)代表長(zhǎng)期采樣。

2.3.3 數(shù)據(jù)發(fā)送原語(yǔ)

功能：交換設(shè)備發(fā)送網(wǎng)絡(luò)數(shù)據(jù)給安全中心。

語(yǔ)法：PutMessage(targetidi, message-type, )

語(yǔ)義：targetidi代表目標(biāo)編碼，可以為交換設(shè)備id，也可以為安全中心id；當(dāng)message-type為0時(shí)代表推送的是網(wǎng)絡(luò)數(shù)據(jù)，當(dāng)message-type為1時(shí)，代表推送的是安全規(guī)則；data-set為推送數(shù)據(jù)的集合。

3 體系結(jié)構(gòu)設(shè)計(jì)

3.1 體系框架

基于系統(tǒng)模型，按照面向服務(wù)、分層設(shè)計(jì)的思想，基于SDN的開(kāi)放SaaS平臺(tái)網(wǎng)絡(luò)安全體系由設(shè)備層、控制層、虛擬層、功能層及服務(wù)層組成。圖3是系統(tǒng)體系結(jié)構(gòu)組成，其中設(shè)備層為SDN交換設(shè)備，控制層為支持SDN的Controler模型，虛擬層為當(dāng)前流行的網(wǎng)絡(luò)虛擬化技術(shù)。利用SDN提供的網(wǎng)絡(luò)傳輸、交換控制、虛擬組網(wǎng)等服務(wù)，在功能層基于統(tǒng)一的數(shù)據(jù)描述及數(shù)據(jù)獲取、信息協(xié)同共享等基礎(chǔ)功能，構(gòu)建威脅預(yù)警、攻擊識(shí)別、網(wǎng)絡(luò)防護(hù)、定位反擊等應(yīng)用，并在平臺(tái)層面對(duì)各類應(yīng)用進(jìn)行服務(wù)封裝，依托開(kāi)放SaaS平臺(tái)提供的動(dòng)態(tài)編程服務(wù)，為各類用戶提供基于平臺(tái)的體系級(jí)網(wǎng)絡(luò)安全防護(hù)。

圖3 系統(tǒng)體系結(jié)構(gòu)

3.2 基于網(wǎng)絡(luò)描述字的信息獲取與協(xié)同

3.2.1 定義與結(jié)構(gòu)

為便于描述從SDN設(shè)備獲取的數(shù)據(jù)包信息，定義網(wǎng)絡(luò)描述字(Net Describe Word，NDW)對(duì)其進(jìn)行描述，可用五元組表示，即NDW:=(Widi，ProtocalSeti，Areavipre-vi-viback，Ti，DataPacki)，在NDW中，包含了該數(shù)據(jù)包的協(xié)議維、區(qū)域維、時(shí)域維信息，并包含了具體的數(shù)據(jù)內(nèi)容，其中：

(1)Widi為NDW的網(wǎng)絡(luò)唯一標(biāo)識(shí)；

(2)ProtocalSeti為NDW所包含的協(xié)議的集合，如TCP/IP、ICMP等；

(3)Areavipre-vi-viback為數(shù)據(jù)包的區(qū)域位置及上下文信息，其中vipre、viback分別為該數(shù)據(jù)包的前向交換設(shè)備節(jié)點(diǎn)編號(hào)及后向交換設(shè)備節(jié)點(diǎn)編號(hào)；

(4)Ti為該數(shù)據(jù)包的獲取時(shí)間；

(5)DataPacki為獲取的原始數(shù)據(jù)包信息，可以是由一個(gè)數(shù)據(jù)包或一組數(shù)據(jù)包組成。

3.2.2 協(xié)同網(wǎng)絡(luò)數(shù)據(jù)獲取

傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)主要在核心入口交換設(shè)備節(jié)點(diǎn)上部署防火墻與網(wǎng)絡(luò)預(yù)警系統(tǒng)，將收到的可疑數(shù)據(jù)送往安全中心進(jìn)行分析，存在安防節(jié)點(diǎn)固定、以“點(diǎn)防護(hù)”為主的問(wèn)題，而在本體系中，不需要專門(mén)設(shè)置防火墻，按照既定的轉(zhuǎn)發(fā)規(guī)則，每一個(gè)SDN設(shè)備都可以成為一個(gè)信息獲取設(shè)備。全網(wǎng)的SDN設(shè)備組成協(xié)同網(wǎng)絡(luò)，則可實(shí)現(xiàn)網(wǎng)絡(luò)攻擊信息的全網(wǎng)預(yù)警與協(xié)同數(shù)據(jù)獲取。圖4為協(xié)同網(wǎng)絡(luò)數(shù)據(jù)獲取的時(shí)序示意。

圖4 數(shù)據(jù)采樣時(shí)序

從圖4可以看出，安全中心獲取NDW的方式主要有以下三種：

(1)按統(tǒng)一規(guī)則報(bào)送：安全中心利用PutMessage原語(yǔ)向SDN設(shè)備推送告警規(guī)則，當(dāng)出現(xiàn)與告警規(guī)則匹配的數(shù)據(jù)包時(shí)SDN設(shè)備根據(jù)告警規(guī)則，利用PutMessage原語(yǔ)向安全中心推送采樣數(shù)據(jù)；

(2)SDN設(shè)備主動(dòng)報(bào)送：各SDN設(shè)備根據(jù)自身狀態(tài)，如數(shù)據(jù)滿足本地Controler規(guī)定的告警規(guī)則或出現(xiàn)設(shè)備異常等，則利用PutMessage原語(yǔ)主動(dòng)向安全中心推送采樣數(shù)據(jù)；

(3)安全中心按需采樣：安全中心根據(jù)處理需要，利用GetMessage原語(yǔ)向SDN設(shè)備發(fā)送采樣需求，SDN設(shè)備收到采樣需求后，采集滿足需求的數(shù)據(jù)并利用PutMessage原語(yǔ)向安全中心報(bào)送。

3.2.3 基于矩陣的數(shù)據(jù)存儲(chǔ)與協(xié)同

以網(wǎng)絡(luò)內(nèi)交換設(shè)備ID為行列，在處理中心，可將獲取的數(shù)據(jù)用矩陣表示，矩陣的列代表數(shù)據(jù)的前序交換設(shè)備節(jié)點(diǎn)，矩陣的行代表后序交換設(shè)備節(jié)點(diǎn)，行列的組合即代表的數(shù)據(jù)的流向及唯一位置信息。矩陣數(shù)據(jù)表示具有直觀、求精及相關(guān)運(yùn)算簡(jiǎn)便等優(yōu)點(diǎn)，通過(guò)行列運(yùn)算可實(shí)現(xiàn)網(wǎng)絡(luò)獲取數(shù)據(jù)的快速相關(guān)。同時(shí)，利用矩陣結(jié)構(gòu)與樹(shù)形結(jié)構(gòu)易相互轉(zhuǎn)換的特點(diǎn)，可方便地應(yīng)用于數(shù)據(jù)包全路徑樹(shù)的獲取，對(duì)攻擊源的跟蹤與定位具有重要意義。

以對(duì)攻擊源定位為例，圖5是對(duì)1、2、3號(hào)節(jié)點(diǎn)對(duì)11號(hào)節(jié)點(diǎn)攻擊的路徑圖，將采樣數(shù)據(jù)按照矩陣方式進(jìn)行描述，如圖6所示。

圖5 攻擊路徑示意圖

圖6 NDW的矩陣

依據(jù)圖6所示矩陣，以11號(hào)被攻擊節(jié)點(diǎn)作為根節(jié)點(diǎn)，按照列對(duì)攻擊路徑進(jìn)行逐級(jí)回朔，即可以O(shè)(n2)的時(shí)間復(fù)雜度生成圖7(左)所示的攻擊圖。在算法中加入裁剪算法，即可形成攻擊樹(shù)。

圖7 攻擊路徑

3.3 面向服務(wù)的網(wǎng)絡(luò)防護(hù)功能構(gòu)建

從網(wǎng)絡(luò)安全應(yīng)用的角度，典型的網(wǎng)絡(luò)功能包括威脅預(yù)警、攻擊識(shí)別、網(wǎng)絡(luò)防護(hù)以及定位反擊[13]等維度，相應(yīng)功能的防護(hù)系統(tǒng)也主要由以上幾類構(gòu)件組成，雖然采取的技術(shù)體制與算法不同[14-16]，但在開(kāi)放SaaS平臺(tái)下，可通過(guò)對(duì)各種算法的服務(wù)化封裝，形成開(kāi)放的構(gòu)件管理與運(yùn)行環(huán)境，并通過(guò)不斷的迭代與升級(jí)，實(shí)現(xiàn)系統(tǒng)防護(hù)功能的持續(xù)提高。

對(duì)網(wǎng)絡(luò)防護(hù)算法進(jìn)行封裝的示意如圖8所示，從圖中可以看出，首先按照統(tǒng)一的平臺(tái)接口標(biāo)準(zhǔn)，對(duì)低層的防護(hù)算法進(jìn)行封裝，通過(guò)SaaS平臺(tái)構(gòu)件管理功能，將服務(wù)進(jìn)程實(shí)例化，形成可供多用戶并發(fā)訪問(wèn)的服務(wù)資源池。對(duì)于訪問(wèn)用戶，首先通過(guò)數(shù)據(jù)接口適配，將訪問(wèn)需求轉(zhuǎn)換成滿足服務(wù)調(diào)用的數(shù)據(jù)接口，通過(guò)調(diào)用服務(wù)實(shí)例，實(shí)現(xiàn)網(wǎng)絡(luò)防護(hù)功能的服務(wù)化訪問(wèn)。

圖8 服務(wù)封裝示意圖

3.4 基于平臺(tái)的動(dòng)態(tài)安全編程

按照開(kāi)放SaaS平臺(tái)設(shè)計(jì)思想，系統(tǒng)建設(shè)者與使用者均可參與系統(tǒng)開(kāi)發(fā)，其中系統(tǒng)使用者可通過(guò)自己開(kāi)發(fā)的方式對(duì)系統(tǒng)功能進(jìn)行個(gè)性化定制，并面向其他用戶提供個(gè)性化服務(wù)，安全系統(tǒng)的開(kāi)發(fā)也不例外。為便于維護(hù)管理，可將安全構(gòu)件的開(kāi)發(fā)分為平臺(tái)級(jí)、專業(yè)級(jí)和應(yīng)用級(jí)3類，如圖9所示，其中：

(1)平臺(tái)級(jí)構(gòu)件為系統(tǒng)提供基礎(chǔ)安全服務(wù)，由平臺(tái)開(kāi)發(fā)者提供并維護(hù)；

(2)專業(yè)級(jí)構(gòu)件由信息化能力較強(qiáng)的應(yīng)用者提供(如龍頭企業(yè)的信息安全部門(mén))，在平臺(tái)級(jí)構(gòu)件提供的安全服務(wù)基礎(chǔ)上，根據(jù)企業(yè)需要，開(kāi)發(fā)專業(yè)性較強(qiáng)的網(wǎng)絡(luò)安全構(gòu)件；

(3)應(yīng)用級(jí)構(gòu)件利用平臺(tái)級(jí)構(gòu)件、專業(yè)級(jí)構(gòu)件提供的安全服務(wù)，通過(guò)安全措施組合、安全規(guī)則配置等方式，提供應(yīng)用級(jí)安全構(gòu)件，開(kāi)發(fā)者一般為信息化能力較弱、但又有信息化安全個(gè)性化需求的系統(tǒng)使用者，如子公司等。

圖9 系統(tǒng)構(gòu)件組成及接口關(guān)系

4 系統(tǒng)典型應(yīng)用

圖10是一個(gè)基于SDN構(gòu)建的開(kāi)放SaaS平臺(tái)網(wǎng)絡(luò)安全應(yīng)用示例，不失一般性，對(duì)具體的節(jié)點(diǎn)名稱進(jìn)行了符號(hào)化處理。在實(shí)際建設(shè)中，在云端由平臺(tái)開(kāi)發(fā)者建立平臺(tái)級(jí)安全中心，對(duì)為全系統(tǒng)提供安全服務(wù)，同時(shí)依托服務(wù)平臺(tái)，依次構(gòu)建涵蓋企業(yè)級(jí)、商業(yè)級(jí)及設(shè)備級(jí)的網(wǎng)絡(luò)安全應(yīng)用平臺(tái)，各級(jí)系統(tǒng)間通過(guò)基礎(chǔ)網(wǎng)絡(luò)及SDN節(jié)點(diǎn)設(shè)備互聯(lián)，形成了物理上無(wú)中心分散、邏輯上有中心按需組網(wǎng)的安全防護(hù)網(wǎng)絡(luò)，為系統(tǒng)運(yùn)行提供體系性防護(hù)保障。在系統(tǒng)運(yùn)行效率方面，從前文網(wǎng)絡(luò)攻擊追蹤的分析可以看出，基于SDN構(gòu)建的開(kāi)放SaaS平臺(tái)應(yīng)用可利用SDN作為定位源，快速對(duì)攻擊者進(jìn)行追蹤，同樣，在系統(tǒng)運(yùn)行效率方面，由于云計(jì)算中心掌握全系統(tǒng)的拓?fù)錉顟B(tài)，可大幅提高路由收斂時(shí)間，并可根據(jù)系統(tǒng)狀態(tài)，制定預(yù)先解決方案部署于SDN節(jié)點(diǎn)，因而，可在提高網(wǎng)絡(luò)安全性能的同時(shí)，以更高的效率實(shí)現(xiàn)比傳統(tǒng)方式更大規(guī)模的網(wǎng)絡(luò)，對(duì)提高系統(tǒng)的效率與擴(kuò)展性也具有廣泛意義。

圖10 一個(gè)基于SDN的開(kāi)放SaaS平臺(tái)網(wǎng)絡(luò)安全系統(tǒng)示例

5 結(jié)束語(yǔ)

基于SDN的開(kāi)放SaaS平臺(tái)網(wǎng)絡(luò)安全體系將SDN設(shè)備“轉(zhuǎn)發(fā)與控制分離”、“對(duì)上提供編程接口”等特點(diǎn)應(yīng)用于開(kāi)放SaaS平臺(tái)的建設(shè)，并在國(guó)內(nèi)外研究的基礎(chǔ)上，創(chuàng)新性提出了自頂向下基于SDN構(gòu)建SaaS安全體系的思路，通過(guò)平臺(tái)封裝，使用戶在不用了解底層編程接口及復(fù)雜網(wǎng)絡(luò)安全技術(shù)的情況下，實(shí)現(xiàn)網(wǎng)絡(luò)安全體系的設(shè)計(jì)，可滿足平臺(tái)建設(shè)對(duì)開(kāi)放性、動(dòng)態(tài)性及高安全性的要求，具備縮短預(yù)警時(shí)間、提高預(yù)警靈敏度、應(yīng)對(duì)復(fù)雜攻擊威脅等特點(diǎn)。但同時(shí)，由于SDN與開(kāi)放SaaS都是比較新的技術(shù)，如何綜合利用現(xiàn)有網(wǎng)絡(luò)資源進(jìn)行集成建設(shè)，將開(kāi)放SaaS平臺(tái)安全體系建設(shè)與企業(yè)現(xiàn)有安全體系相集成，構(gòu)建統(tǒng)一的開(kāi)發(fā)與集成標(biāo)準(zhǔn)并推廣應(yīng)用，都是亟待解決的問(wèn)題，也是后續(xù)的研究方向。

[1] 國(guó)艷群，韓敏，孫林夫.開(kāi)放SaaS產(chǎn)業(yè)服務(wù)平臺(tái)模型與體系結(jié)構(gòu)[J].西南交通大學(xué)學(xué)報(bào)，2014,49(6):1068-1072. GUO Yanqun, HAN Min, SUN Linfu.Research on Model and Architecture of Open SaaS Industry Service Platform[J]. Journal of Southwest Jiaotong University, 2014,49(6): 1068-1072. (in Chinese)

[2] 國(guó)艷群，韓敏，孫林夫.基于開(kāi)放架構(gòu)的SaaS服務(wù)平臺(tái)數(shù)據(jù)管理技術(shù)研究[J].電子科技大學(xué)學(xué)報(bào)，2015,44(2): 295-298. GUO Yanqun, HAN Min, SUN Linfu.Research on the Data Manage Technology of SaaS Service Platform Based on Open Architecture[J]. Journal of University of Electronic Science and Technology of China, 2015, 44(2): 295-298. (in Chinese)

[3] 林闖，蘇文博，孟坤,等.云計(jì)算安全：架構(gòu)、機(jī)制與模型評(píng)價(jià)[J].計(jì)算機(jī)學(xué)報(bào)，2013, 36(9):1765-1784. LIN Chuang, SU Wenbo, MENG Kun, et al. Cloud Computing Security: Architecture , Mechanism and Modeling[J]. Chinese Journal of Computers, 2013, 36(9):1765-1784. (in Chinese)

[4] 陳靜，孫林夫.基于SaaS的產(chǎn)業(yè)鏈寫(xiě)作公共服務(wù)平臺(tái)數(shù)據(jù)安全解決方案[J].計(jì)算機(jī)集成制造系統(tǒng)，2011, 17(6):1318-1324. CHEN Jing, SUN Linfu. Solutions of Data Security for Industrial Chain Collaboration Public Service Platform Based on SaaS[J]. Computer Integrated Manufacturing Systems,2011, 17(6): 1318-1324. (in Chinese)

[5] ZHANG Q, CUI D. Enhance the user data privacy for SAAS by separation of data[C]// Proceedings of 2009 International Conference on Information Management, Innovation Management and Industrial Engineering. Washington DC, USA: IEEE, 2009: 130-132.

[6] 曹帥，王淑營(yíng).產(chǎn)業(yè)鏈協(xié)同SaaS平臺(tái)業(yè)務(wù)流程定制安全技術(shù)研究[J].計(jì)算機(jī)科學(xué)，2014, 41(1): 230-234. CAO Shuai, WANG Shuying. Research on Security Technology of Workflow Customization for Collaborative SaaS Platform of Industrial Chains[J]. Computer Science, 2014, 41(1): 230-234. (in Chinese)

[7] 鄧書(shū)華，盧澤斌，羅成程,等.SDN研究綜述[J].計(jì)算機(jī)應(yīng)用研究，2014,31(11):3208-3212. DENG Shuhua, LU Zebin, LUO Chengcheng,et al.Outline of Software Defined Networking[J]. Application Research of Computers, 2014,31(11):3208-3212.(in Chinese)

[8] McKeown N，Anderson T, Balakrishnan, et al. OpenFlow: enabling Innovation in Campus Networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2):69-74. (in Chinese)

[9] 雷葆華，王峰，王茜,等.SDN核心技術(shù)解剖和實(shí)戰(zhàn)指南[M].北京：電子工業(yè)出版社，2013：2-7. LEI Baohua, WANG Feng, WANG Qian, et al. SDN Core Technology Anatomy and Actual Combat Manual[M]. Beijing: Electronics Industry Press,2013:2-7.(in Chinese)

[10] Yen T C，Su C S. A SDN-based cloud computing architecture and its mathematical model[C]//Proceedings of 2014 International Conference on Information Science, Electronics and Electrical Engineering. Hokkaido: IEEE, 2014:1728-1731.

[11] Azodolmolky S,Wieder P,Yahyapour R. SDN-Based Cloud Computing Networking[C]//Proceedings of 2013 15th International Conference on Transparent Optical Networks. Cartagena: IEEE, 2013:1-4.

[12] 黃韜，劉江，霍如,等.未來(lái)網(wǎng)絡(luò)體系架構(gòu)研究綜述[J].通信學(xué)報(bào)，2014, 35(8):184-197. HUANG Tao,LIU Jiang,HUO Ru,et al.Survey of Research on Future Network Architectures[J]. Journal on Communications,2014,35(8):184-197. (in Chinese)

[13] 周海剛，邱正倫,肖軍模,等.網(wǎng)絡(luò)主動(dòng)防御安全模型及體系結(jié)構(gòu)[J].解放軍理工大學(xué)學(xué)報(bào)(自然科學(xué)版)，2005, 6(1):40-43. ZHOU Haigang,QIU Zhenglun,XIAO Junmo,et al. Network Active Defensive Security Model and Architecture[J]. Journal of PLA University of Science and Technology(Natural Science Edition), 2005, 6(1):40-43. (in Chinese)

[14] 張峰，秦志光，劉錦德.基于入侵事件預(yù)測(cè)的網(wǎng)絡(luò)安全預(yù)警方法[J].計(jì)算機(jī)科學(xué)，2004, 31(11):77-79. ZHANG Feng, QIN Zhiguang, LIU Jinde.Intrusion Event Based Early Warning Method for Network Security[J]. Computer Science,2004,31(11):77-79. (in Chinese)

[15] 高能，馮登國(guó)，向繼.一種基于數(shù)據(jù)挖掘的拒絕服務(wù)攻擊檢測(cè)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào)，2006,29(6):944-951.GAO Neng,FENG Dengguo, XIANG Ji. A Data-Mining Based DoS Detection Technique[J]. Chinese Journal of Computers,2006,29(6):944-951. (in Chinese)

[16] 田濤，魯士文.分布式DoS攻擊及其反向追蹤系統(tǒng)的實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2005,22(2):102-104.

TIAN Tao, LU Shiwen. DDos and the Realization of ITS IP Traceback[J]. Compute Application and Software,2005, 22(2):102-104. (in Chinese)

GUO Yanqun was born in Hengshui, Hebei Province,in 1980. He is now a senior engineer and currently working toward the Ph.D. degree.His research concerns systems engineering and cloud computing.

Email:82807578@qq.com.

韓 敏(1970—)，女，重慶人，博士，副研究員，主要研究方向?yàn)楫a(chǎn)業(yè)鏈協(xié)同和云計(jì)算；

HAN Min was born in Chongqing,in 1970.She is now an associate researcher with the Ph.D. degree.Her research concerns industry chain collaboration and cloud computing.

Email：15908180960@163.com

孫林夫(1964—)，男，浙江紹興人，教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)化制造和云計(jì)算。

SUN Linfu was born in Shaoxing,Zhejiang Province,in 1964.He is now a professor and also the Ph.D. supervisor.His research concerns networked manufacturing and cloud computing.

更正聲明

本刊2014年第11期發(fā)表的論文《美軍戰(zhàn)場(chǎng)頻譜管理現(xiàn)狀與發(fā)展》(doi:10.3969/j.issn.1001-893x.2014.11.024)作者“劉剛”應(yīng)為“劉鋼”。特此更正。

本刊編輯部

Design of a Network Security Architecture forOpen SaaS Platform Based on SDN

GUO Yanqun1,2, HAN Min1, SUN Linfu1

(1.School of Information Science and Technology,Southwest Jiaotong University,Chengdu 610031,China；2.Southwest Institute of Electronic Equipment, Chengdu 610036, China)

To solve the network security problem of open software as a service(SaaS) platform, this paper combines the software defined network(SDN) technology and the platform building, and puts forward an idea of building a network security architecture for open SaaS platform based on the SDN devices.According to the analysis of the physical model, the functional model and the cooperation model of the system,the architecture of the system is designed,the key elements of the architecture are analyzed, and then,the typical application of the system is provided. Building the network security system based on SDN has great significance on improving the security and expansibility of network security system and providing the user characteristic security service.

software defined network; software as a service; network defense; architecture design

10.3969/j.issn.1001-893x.2015.07.002

國(guó)艷群，韓敏，孫林夫.一種基于SDN的開(kāi)放SaaS平臺(tái)網(wǎng)絡(luò)安全體系設(shè)計(jì)[J].電訊技術(shù)，2015,55(7):718-724.[GUO Yanqun,HAN Min,SUN Linfu.Design of a Network Security Architecture for Open SaaS Platform Based on SDN[J].Telecommunication Engineering,2015,55(7):718-724.]

2015-06-15；

2015-07-16 Received date:2015-06-15；Revised date：2015-07-16

國(guó)家科技支撐計(jì)劃項(xiàng)目(2015BAF32B05)；四川省科技支撐計(jì)劃項(xiàng)目(2015GZ0076)

Foundation Item:The National Key Technology Support Program (2015BAF32B05)；The Science and Technology Support Item of Sichuan Province (2015GZ0076)

TN918.91

A

1001-893X(2015)07-0718-07

國(guó)艷群(1980—)，男，河北衡水人，高級(jí)工程師、博士研究生，主要研究方向?yàn)橄到y(tǒng)工程、云計(jì)算;

**通訊作者：15908180960@163.com Corresponding author：15908180960@163.com