面向SDN环境的软件定义安全架构

doi:10.3778/j.issn.1673-9418.1407061

计算机科学与探索 ›› 2015, Vol. 9 ›› Issue (1): 63-70.DOI: 10.3778/j.issn.1673-9418.1407061

面向SDN环境的软件定义安全架构

刘文懋1,2+，裘晓峰3，陈鹏程3，文旭韬3，何新新3，汪东升1，李军1

1. 清华大学信息技术研究院，北京 100084
2. 北京神州绿盟科技股份有限公司，北京 100089
3. 北京邮电大学移动生活与新媒体实验室，北京 100876

出版日期:2015-01-01 发布日期:2014-12-31

SDN Oriented Software-Defined Security Architecture

LIU Wenmao1,2+, QIU Xiaofeng3, CHEN Pengcheng3, WEN Xutao3, HE Xinxin3, WANG Dongsheng1, LI Jun1

1. Research Institute of Information Techonlogy, Tsinghua University, Beijing 100084, China
2. NSFOCUS Information Technology Co., Ltd., Beijing 100089, China
3. Mobile Life and New Media Lab, Beijing University of Posts and Telecommunications, Beijing 100876, China

Online:2015-01-01 Published:2014-12-31

摘要/Abstract

摘要： OpenFlow协议无深度包检测能力使其在安全应用中受限，同时现有安全解决方案不能适应软件定义网络（software-defined networking，SDN）的发展。提出了一个分布式的软件定义安全架构（software-defined security architecture，SDSA），可将安全功能从SDN控制器解耦到专有的安全控制器和安全APP，提供了全局流和局部数据包层面的检测和防护，以抵御SDN和虚拟化环境中的各类攻击。全局视图和知识库有助于进行快速准确的决策，安全数据和控制分离既极大简化了安全设备的处理逻辑，又使得安全控制器具有灵活的控制平面，并且实时下发策略到设备和动态牵引流量，从而使得整个防护响应大大加快。实验表明SDSA架构可有效防护DoS、端口扫描和异常大流量等各类攻击。

关键词: 软件定义安全, 云计算, 网络虚拟化

Abstract: Current OpenFlow specifications provide limited access to packet details, making it inefficient to deploy security applications. Moreover, current security solutions become less flexible as software defined-networking (SDN) develops. This paper proposes a distributed software-defined security architecture (SDSA), which offloads heavy security processing from SDN controller to a dedicated security controller and security APPs, providing both flow and packet level protections against various attacks in the SDN and virtual environment. This paper gives the global view and knowledge of flows, IaaS assets and devices, which can make accurate decisions and ensures devices to execute security rules instantly. The architecture simplifies security device logic greatly by separating security data and control planes, the detection and protection are automated with standardized control messages, making the security reaction fast. The experiments demonstrate that SDSA can detect DoS attack, port scan and abnormal high traffic with low cost and little overhead.

Key words: software-defined security, cloud computing, network virtualization

刘文懋，裘晓峰，陈鹏程，文旭韬，何新新，汪东升，李军. 面向SDN环境的软件定义安全架构[J]. 计算机科学与探索, 2015, 9(1): 63-70.

LIU Wenmao, QIU Xiaofeng, CHEN Pengcheng, WEN Xutao, HE Xinxin, WANG Dongsheng, LI Jun. SDN Oriented Software-Defined Security Architecture[J]. Journal of Frontiers of Computer Science and Technology, 2015, 9(1): 63-70.

[1]	吴虹佳，刘芳，刘斌，蔡志平. 分散计算：技术、应用与挑战[J]. 计算机科学与探索, 2020, 14(5): 721-730.
[2]	郑良汉，何亨，童潜，杨湘，陈享. 云环境中的多授权机构访问控制方案[J]. 计算机科学与探索, 2020, 14(11): 1865-1878.
[3]	张胜霞，田呈亮. 在幺模矩阵加密方法下的安全外包算法[J]. 计算机科学与探索, 2020, 14(1): 73-82.
[4]	陈彦橦，裴树军，苗辉. 云科学工作流截止期限约束代价优化调度算法[J]. 计算机科学与探索, 2019, 13(8): 1307-1318.
[5]	任晓莉，杨建卫，李乃乾. 云计算中基于动态虚拟化电子流密码的安全存储[J]. 计算机科学与探索, 2019, 13(8): 1331-1340.
[6]	赵倩，谢上钦，韩轲，龚青泽，冯光升，林俊宇. 远程直接内存访问与检查点相结合的容器迁移[J]. 计算机科学与探索, 2019, 13(12): 1995-2007.
[7]	李勇，滕飞，黄齐川，李天瑞. 基于Spark的时间序列并行分解模型[J]. 计算机科学与探索, 2018, 12(7): 1055-1063.
[8]	裴树军，宋冬梅，孔德凯. Map/Reduce下快速剪枝算法在复杂任务调度中的应用[J]. 计算机科学与探索, 2018, 12(1): 72-81.
[9]	刘沛东，安博，钟业弘，王虎，曹东刚. 私有云环境下基于虚拟集群的资源共享方法[J]. 计算机科学与探索, 2017, 11(8): 1204-1213.
[10]	王虹旭，吴斌，刘旸. 基于Spark的并行图数据分析系统[J]. 计算机科学与探索, 2015, 9(9): 1066-1074.
[11]	宋宝燕，李雪城，任才，丁琳琳. 云环境下分层的中间数据容错方法[J]. 计算机科学与探索, 2015, 9(5): 546-554.
[12]	于炯，廖彬，张陶，孙华，国冰磊，杨兴耀. 云存储系统节能研究综述[J]. 计算机科学与探索, 2014, 8(9): 1025-1040.
[13]	杨荣，李兵，杜宝同，熊伟，何鹏. 满足原子事务的QoS感知的自适应服务选择[J]. 计算机科学与探索, 2014, 8(5): 582-592.
[14]	师金钢，郑艳，孙焕良，栾方军. 云环境中海量数据的并行分组密码体制研究[J]. 计算机科学与探索, 2014, 8(2): 161-170.
[15]	程振东，栾钟治，孟由，李亮淑，和荣，杨婷婷，钱德沛，管刚，陈伟. 云文件系统中纠删码技术的研究与实现[J]. 计算机科学与探索, 2013, 7(4): 315-325.

面向SDN环境的软件定义安全架构

SDN Oriented Software-Defined Security Architecture

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics