陳井泉 王龍 魏月蓮 吳蔣

摘? 要： 在不同干擾源下，傳統(tǒng)架構對云計算數(shù)據(jù)中心保護效率較低，導致數(shù)據(jù)中心不安全，為了避免用戶信息泄露，提出基于SDN的云計算數(shù)據(jù)中心安全架構。分析SDN在云計算數(shù)據(jù)中心的應用情況，并對OpenFlow協(xié)議進行研究，從分層安全、通信安全以及云計算控制中心安全三個方面完成SDN安全控制器的框架設計。采用面向服務體系結構，構建通信安全模式，使其升級為主動化安全模式，通過訪問特定端點，獲取具體服務行為。鎖定主機，通過特定端點進行相關參數(shù)設置，經(jīng)過遠程主機傳送指令，對數(shù)據(jù)中心進行控制。創(chuàng)建基于SDN技術的多區(qū)域安全服務，添加業(yè)務資源為業(yè)務云提供多種相關業(yè)務，通過安全代理控制有用和無用數(shù)據(jù)分離，在通信結構支持下進行基礎通信交互，將SDN技術應用于虛擬桌面安全防護模式下，整合數(shù)據(jù)中心安全與等級保護措施，由此完成基于SDN的云計算數(shù)據(jù)中心安全架構設計。通過實驗對比結果可知，該架構最高保護效率達到0.976 9，可有效保護用戶信息安全。

關鍵詞： 數(shù)據(jù)中心安全; SDN; 云計算; 應用分析; 數(shù)據(jù)中心控制; 通信安全

中圖分類號： TN918.91?34; TP309? ? ? ? ? ? ? ? ? 文獻標識碼： A? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）03?0087?05

Research on cloud computing data center security architecture based on SDN

CHEN Jingquan， WANG Long， WEI Yuelian， WU Jiang

（Network and Educational Technology Center， Hainan Tropical Ocean University， Sanya 572022， China）

Abstract： Under different interference sources， the traditional architecture has low protective efficiency for cloud computing data center， which leads to data center insecurity. In order to avoid user information leakage， a cloud computing data center security architecture based on SDN （Software Defined Network） is proposed. The application of SDN in cloud computing data center is analyzed， and the OpenFlow protocol is studied. The framework of SDN security controller is designed in consideration of hierarchical security， communication security and cloud computing control center security. The service?oriented architecture is adopted to construct communication security mode， which will make it upgraded to active security mode. The specific service behaviors are obtained by accessing the specific endpoints. Under the condition that the host is locked， the related parameters are set on the basis of the specific endpoints， and the commands are sent by remote host to control the data center. A multi?area security service based on SDN technology is created. The business resources are added to provide a variety of related services for business cloud. The separation of useful and useless data is controlled by security agent. The basic communication interaction is performed with the support of communication structure. The SDN technology is applied to virtual desktop security protection mode to integrate the security and classified protection measures of data center， thus completing the design of the SDN?based cloud computing data center security architecture. The experimental results show that the maximum protective efficiency of this architecture reaches 0.976 9， which can effectively guarantee the user information security.

Keywords： data center safety; SDN; cloud computing; application analysis; data center control; communication security

0? 引? 言

云計算是以數(shù)據(jù)資源的形式向用戶展示存儲功能，其安全問題是被關注的焦點，將安全問題分為兩類，分別是設備部署在云環(huán)境中需要的新防護手段和引入的新安全問題[1]。伴隨計算機技術在各行各業(yè)中的廣泛應用，傳統(tǒng)數(shù)據(jù)中心因為虛擬化技術增加了安全設備識別難度，已經(jīng)不能滿足目前海量數(shù)據(jù)的存儲，給數(shù)據(jù)集中帶來一定安全風險。而云計算環(huán)境就是將存儲與網(wǎng)絡整合為一體，通過虛擬化設備以及動態(tài)網(wǎng)絡資源實現(xiàn)數(shù)據(jù)中心的池化與管理[2]。因此，如何實現(xiàn)計算數(shù)據(jù)中心安全架構，成為人們重點考慮問題。采用傳統(tǒng)方法設計的安全架構內(nèi)部設備眾多、網(wǎng)絡相對復雜、資源高度虛擬化，很難對設備組件進行精準定位，為此，提出了基于SDN的云計算數(shù)據(jù)中心安全架構。在原有架構基礎上，部署業(yè)務，通過SDN軟件定義網(wǎng)絡技術連接業(yè)務云，并動態(tài)劃分多個業(yè)務區(qū)域，針對穩(wěn)定業(yè)務實施防護[3]。

1? SDN在云計算數(shù)據(jù)中心的應用研究

軟件定義網(wǎng)絡SDN技術是一種新型網(wǎng)絡創(chuàng)新技術，在該技術中，可將網(wǎng)絡看作一個虛擬實體，由于網(wǎng)絡控制平面相對集中，因此需根據(jù)網(wǎng)絡功能，通過規(guī)范編程進行自動化網(wǎng)絡管理，保證網(wǎng)絡控制更加靈活化[4]。

軟件定義網(wǎng)絡SDN體系結構可分為3層，如圖1所示。

圖1中的轉發(fā)層軟件與控制層軟件進行數(shù)據(jù)交互時，采用開放式應用程序界面標準接口，而控制層與管理層網(wǎng)絡設備都是通過數(shù)據(jù)平面接口進行數(shù)據(jù)轉發(fā)的[5]。

根據(jù)實際情況，提出了基于SDN的云計算數(shù)據(jù)中心安全架構，該架構能夠?qū)崿F(xiàn)數(shù)據(jù)中心的動態(tài)調(diào)控，如果網(wǎng)絡資源不足，可從另一個資源庫中調(diào)用[6]。SDN在云計算數(shù)據(jù)中心的應用情況如表1所示。

1） 管理層主要負責整個數(shù)據(jù)中心的資源管理，通過OpenStack創(chuàng)建網(wǎng)絡資源和存儲資源，新建的虛擬機可對管理員權限進行用戶管理[7]。經(jīng)過兩個數(shù)據(jù)中心計算資源管理情況，為安全架構提供虛擬網(wǎng)絡配置服務。

2） 控制層可將網(wǎng)絡實例化，根據(jù)上層下發(fā)的路徑策略對流表進行查詢、修改。

3） 轉發(fā)層主要負責接收基礎設置層下發(fā)的流表，并對數(shù)據(jù)進行處理和狀態(tài)收集，通過SDN網(wǎng)關二層互聯(lián)，可對SDN控制器進行直接管理與控制[8]。

2? OpenFlow協(xié)議研究

為了解決無法修改網(wǎng)絡中網(wǎng)絡設備的問題，設計了OpenFlow控制轉發(fā)分離架構，將控制邏輯與網(wǎng)絡設備進行分離化處理，由此實現(xiàn)了新型的OpenFlow網(wǎng)絡協(xié)議。隨著OpenFlow協(xié)議的產(chǎn)生，創(chuàng)建了支持OpenFlow協(xié)議的交換機設備。OpenFlow協(xié)議經(jīng)由控制器向安全通道進行傳輸與應用，其應用規(guī)范包括三個主要方面：

1） 在物理端口上抽象出邏輯端口。

2） 在用戶規(guī)則下，亦或是默認規(guī)則下，匹配網(wǎng)絡包。OpenFlow協(xié)議通過流表進行網(wǎng)絡包的匹配和處理。一個流表中通常包括多條流表項，而流表項是由優(yōu)先級、匹配域以及丟棄、轉發(fā)行為等字段構成。

3） OpenFlow交換機與SDN安全控制器之間的橋梁結構是通信信道。OpenFlow規(guī)范中存在三種類型的信息，三種類型的信息均要遵循OpenFlow協(xié)議，經(jīng)由通信信道從OpenFlow交換機中傳向SDN安全控制器。

3? SDN安全控制器的框架設計

將SDN安全控制器的框架結構劃分為四個模塊，分別是普通安全服務模塊、核心計算存儲模塊、服務管理模塊和存儲備份模塊。給出SDN安全控制器的框架結構如圖2所示。

由圖2可知，在SDN安全控制器的框架結構中部署防火墻、安全隔離和入侵檢測防御模塊，能夠掃描安全漏洞，并對數(shù)據(jù)庫進行安全審計[9]。

3.1? 分層安全模塊

分層安全模塊是針對網(wǎng)絡層、應用層、主機層和數(shù)據(jù)層進行安全設計的，按照信息系統(tǒng)可將業(yè)務處理過程劃分為三個部分，分別是計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡，由這三部分可構成SDN技術支撐下的重要防護體系結構，如圖3所示。

1） 網(wǎng)絡層具備云計算環(huán)境結構，在SDN軟件網(wǎng)絡技術下，可對網(wǎng)絡設備進行直接訪問與控制，保證用戶和流量安全審計[10]。

2） 應用層包括安全漏洞修補和檢測，及時發(fā)現(xiàn)攻擊行為，并在入侵檢測時還原協(xié)議，為數(shù)據(jù)中心安全提供審計依據(jù)。

3） 主機層包括系統(tǒng)安全加固、防病毒體系、入侵防范機制。

4） 數(shù)據(jù)層負責云計算數(shù)據(jù)的完整性，實現(xiàn)系統(tǒng)管理數(shù)據(jù)傳輸和存儲的保密性，并及時對安全數(shù)據(jù)進行備份。

3.2? 通信安全模塊

云計算發(fā)展在計算機應用領域獨樹一幟，將數(shù)據(jù)存放在企業(yè)內(nèi)部具有SDN基礎架構數(shù)據(jù)中心，有效保障數(shù)據(jù)中心的安全[11]。以被動化安全模式升級為主動化安全模式，需在云計算數(shù)據(jù)中心安全通信，以此保障個人信息安全。

通信基礎是數(shù)據(jù)通信應用程序開發(fā)的主要接口，允許遠程程序之間的互相通信，用于應用程序分布式構建，采用面向服務的體系結構可對分布式處理性能進行優(yōu)化[12]。通信安全模塊結構如圖4所示。

由圖4可知，在通信安全模塊框架中，將某一宿主的服務端以端點為外通信接口，設置常用地址，綁定相關契約。其中，地址是服務中心的主要位置，通過給定的編碼信息，定義契約下的具體服務行為。通過訪問特定端點，獲取具體服務，以雙工模式與服務進行交互。

3.3? 云計算控制中心安全模塊

云計算控制中心安全模塊由通信、遠程控制、遠程監(jiān)視和管理四大模塊組成，其結構圖如圖5所示。由圖5可知，鎖定主機，通過終端接口進行即時通信，設置相關參數(shù)，通過向遠程主機發(fā)送相關指令，并調(diào)用自身應用程序界面實現(xiàn)云計算環(huán)境下的數(shù)據(jù)中心安全控制。

4? 基于SDN的云計算數(shù)據(jù)中心安全架構設計

要對基于SDN的云計算數(shù)據(jù)中心安全架構進行設計，需結合云計算數(shù)據(jù)中心信息現(xiàn)狀，將數(shù)據(jù)中心信息劃分為六個不同安全風險區(qū)域：

安全區(qū)域1：生產(chǎn)服務核心數(shù)據(jù)庫，存放關鍵業(yè)務數(shù)據(jù);

安全區(qū)域2：公共服務數(shù)據(jù)庫;

安全區(qū)域3：輔助業(yè)務數(shù)據(jù)庫;

安全區(qū)域4：安全管理數(shù)據(jù)庫，包含測試服務;

安全區(qū)域5：外網(wǎng)連接至不同網(wǎng)站，安全層次低于上述區(qū)域;

安全區(qū)域6：網(wǎng)絡連接區(qū)域，安全層次達到最低。

在安全風險區(qū)域下，研究基于SDN技術的多區(qū)域安全服務如圖6所示。

添加業(yè)務資源為業(yè)務云提供多種相關業(yè)務，通過安全代理實現(xiàn)有用數(shù)據(jù)和無用數(shù)據(jù)的隔離。安全代理是實現(xiàn)隔離的關鍵步驟，通過動態(tài)配置，對數(shù)據(jù)是否安全進行檢測，決定數(shù)據(jù)傳輸方向，進而實現(xiàn)業(yè)務子云的邏輯隔離。經(jīng)過安全云大數(shù)據(jù)分析引擎提供數(shù)據(jù)分析服務，通過管理中心，研究業(yè)務云實時狀態(tài)，動態(tài)調(diào)整安全代理實施步驟，控制安全功能的實現(xiàn)。

基礎通信交互過程如下所示：客戶端向服務端發(fā)送服務請求，服務端開始執(zhí)行操作，操作完成后，向客戶端發(fā)送回調(diào)請求。將結果顯示在客戶端，并向服務端發(fā)送回調(diào)應答，之后執(zhí)行后續(xù)操作，所有操作完成之后，服務端向客戶端發(fā)送服務應答。通信控制主要負責各個子模塊之間的通信，可實時與遠程主機進行信息交流。

在云計算環(huán)境下，用戶通過網(wǎng)絡連接虛擬桌面，再通過虛擬桌面直接訪問服務器，虛擬桌面安全防護過程如圖7所示。

用戶1是以遠程登錄方式訪問的虛擬機B1，當用戶1訪問虛擬機B2上業(yè)務時，發(fā)送的數(shù)據(jù)被安全代理獲取。安全代理通過網(wǎng)絡將信息傳至管理中心。管理中心解析信息，確認信息安全后，傳遞給S1，并同時發(fā)送一個令牌。用戶2也以遠程桌面形式登錄服務器A2上的虛擬機B2，通過類似上述過程，實現(xiàn)虛擬桌面安全防護。

在虛擬桌面安全防護模式下，使用SDN技術將云計算數(shù)據(jù)中心安全措施與等級保護措施整合，如表2所示。

根據(jù)表2內(nèi)容，可有效保證云計算數(shù)據(jù)中心安全，由此完成基于SDN的云計算數(shù)據(jù)中心安全架構研究。

5? 實? 驗

傳統(tǒng)架構受到外界干擾，導致云計算數(shù)據(jù)中心不安全，而采用SDN技術設計的架構可對云計算數(shù)據(jù)中心進行安全保護，不會受到外界任何條件干擾。為了證實該點，分別在WEP加密攻擊、偵測入侵無線存取設備攻擊和掃描開放型無線存取點網(wǎng)絡攻擊情況下，驗證基于SDN的云計算數(shù)據(jù)中心安全架構比傳統(tǒng)架構安全性更高。

5.1? WEP加密攻擊

WEP加密攻擊采取主動出擊方式，通過復制數(shù)據(jù)包可發(fā)送虛假信息，以此獲取反饋信息，這種攻擊方式會使云計算數(shù)據(jù)中心安全受到威脅。在這種情況下，對比傳統(tǒng)架構與SDN架構的安全性，結果如圖8所示。

由圖8可知：隨著調(diào)查人數(shù)的增加，兩種架構對云計算數(shù)據(jù)中心保護效率都有所降低，但傳統(tǒng)架構降低程度較大，最低保護效率達到了20%，已經(jīng)無法有效保護數(shù)據(jù)中心安全;而基于SDN安全架構最低保護效率能達到78%以上，能夠有效保護數(shù)據(jù)中心安全，因此，在該攻擊條件下，基于SDN安全架構具有較高保護效率。

5.2? 偵測入侵無線存取設備攻擊

偵測入侵無線存取設備攻擊是在某一網(wǎng)絡下，黑客設置無線存取設備，使用戶誤認為該處是無線網(wǎng)絡，一旦連接成功，黑客就可盜取用戶輸入密碼，這種攻擊方式會使云計算數(shù)據(jù)中心安全受到威脅。在這種情況下，對比傳統(tǒng)架構與SDN架構的安全性，結果如圖9所示。

由圖9可知：當公共網(wǎng)絡接入后，傳統(tǒng)架構保護效率下降速度較快，而基于SDN架構基本保持不變，即使后續(xù)有些小幅度下降，但依然保持在75%以上保護效率。而傳統(tǒng)架構保護效率已經(jīng)下降到20%，因此，在該攻擊條件下，基于SDN安全架構具有較高保護效率。

5.3? 掃描開放型無線存取點網(wǎng)絡攻擊

掃描開放型無線存取點網(wǎng)絡攻擊多出現(xiàn)在免費上網(wǎng)，通過用戶自身的網(wǎng)絡攻擊第三方，這種攻擊方式會使云計算數(shù)據(jù)中心安全受到威脅。在這種情況下，對比傳統(tǒng)架構與SDN架構的安全性，結果如表3所示。

由表3可知：當調(diào)查人數(shù)為60人時，傳統(tǒng)架構下的保護效率依然大于60%，但隨著人數(shù)的增加，該架構下的保護效率降到了最低為0.398 2;而基于SDN架構下的保護效率最低也高于90%，因此，在該攻擊條件下，基于SDN安全架構具有較高保護效率。

根據(jù)上述內(nèi)容，可得出如下結論：

1） WEP加密攻擊：傳統(tǒng)架構最高保護效率為86%，最低為20%;基于SDN安全架構最高保護效率為86%，最低為78%。

2） 偵測入侵無線存取設備攻擊：傳統(tǒng)架構最高保護效率為90%，最低為20%;基于SDN安全架構最高保護效率為90%，最低為75%。

3） 掃描開放型無線存取點網(wǎng)絡攻擊：當調(diào)查人數(shù)為20人、40人、60人、80人、100人時，基于SDN安全架構保護效率比傳統(tǒng)架構保護效率分別高0.188 8，0.223 3，0.285 6，0.345 5，0.513 1。傳統(tǒng)架構最高保護效率為0.885 7，最低為0.398 2;基于SDN安全架構最高保護效率為0.976 9，最低為0.911 3。

綜上所述，基于SDN的云計算數(shù)據(jù)中心安全架構比傳統(tǒng)架構安全性更高。

6? 結? 語

數(shù)據(jù)中心安全問題已成為制約云計算發(fā)展的主要因素，通過使用SDN軟件定義網(wǎng)絡技術可將其劃分為多個區(qū)域，將云環(huán)境中的安全問題從復雜問題中分離出來，不僅僅依賴業(yè)務云就能實現(xiàn)數(shù)據(jù)中心安全保護。相比于傳統(tǒng)架構，該架構安全等級更高，為實現(xiàn)云安全提供了一種可行思路。雖然該架構安全等級較高，但安全代理方式還是相對簡單，直接利用云環(huán)境連接安全代理，容易出現(xiàn)利用效率過低的問題。因此，需進一步解決數(shù)據(jù)傳輸方面的問題，避免極端情況下數(shù)據(jù)爆發(fā)式增長給數(shù)據(jù)處理中心帶來難題，為此，仍需進一步研究，完善云計算數(shù)據(jù)中心安全架構。

注：本文通訊作者為王龍。

參考文獻

[1] 劉漢江，歐亮，陳文華，等.基于SDN的跨數(shù)據(jù)中心承載技術[J].電信科學，2016，32（3）：28?34.

[2] 王昌平，蔡岳平.數(shù)據(jù)中心網(wǎng)絡流量分類路由機制研究[J].小型微型計算機系統(tǒng)，2016，37（11）：2488?2492.

[3] 張凱，裘曉峰，朱新寧.基于SDN的網(wǎng)絡虛擬化平臺及其隔離性研究[J].電信科學，2016，32（9）：125?131.

[4] 朱丹紅，林清祥，張棟.基于SDN數(shù)據(jù)中心網(wǎng)絡的時限感知的擁塞控制算法[J].計算機工程與應用，2018，30（5）：12?13.

[5] 陸一飛，朱書宏.數(shù)據(jù)中心網(wǎng)絡下基于SDN的TCP擁塞控制機制研究與實現(xiàn)[J].計算機學報，2017，40（9）：2167?2180.

[6] 程克非，高江明，段潔，等.面向SDN的數(shù)據(jù)中心網(wǎng)絡更新研究綜述[J].電訊技術，2017，57（10）：1224?1232.

[7] 孫三山，汪帥，樊自甫.軟件定義網(wǎng)絡架構下基于流調(diào)度代價的數(shù)據(jù)中心網(wǎng)絡擁塞控制路由算法[J].計算機應用，2016，36（7）：1784?1788.

[8] 文學敏，韓言妮，于冰，等.軟件定義數(shù)據(jù)中心內(nèi)一種基于拓撲感知的VDC映射算法[J].計算機研究與發(fā)展，2016，53（4）：785?797.

[9] 王化冰.基于網(wǎng)絡數(shù)據(jù)的計算機網(wǎng)絡系統(tǒng)設計與開發(fā)[J].電子設計工程，2017，25（17）：185?190.

[10] 韓美芳.云計算下敏感數(shù)據(jù)安全傳輸可靠性評估仿真[J].計算機仿真，2018，35（9）：405?408.

[11] LI Wenwei， JI Meng， DAI Fei. Research and design of SDN platform based on router virtualization technology [J]. Study on optical communications， 2016， 18（5）： 12?15.

[12] FAN Zifu， LI Shu， ZHANG Dan. Traffic scheduling based congestion control algorithm for data center network on software defined network [J]. Computer science， 2017， 44（S1）： 266?269.