软件定义信息安全

软件定义信息安全（精选3篇）

软件定义信息安全 篇1

0 引言

SDICN (软件定义信息中心网络)[1,2,3,4]结合了ICN (信息中心网络)[5]和SDN (软件定义网络)[6]两种新型架构的优点,以软件可编程的方式实现高效、安全的内容分发。鉴于SDN和ICN分别从分组流和内容视角来处理数据,现有SDICN系统[1,2,3,4]采用内容名至流标识符的映射,并在交换节点集成存储器,但其存在两种局限:(1)有限的数据包首部字段空间无法映射海量的内容名;(2)交换传输与内容存储集成的系统难以分别扩展或升级。

针对上述问题,本文提出一种基于边缘缓存的SDICN系统架构,由边缘节点缓存内容,系统运行逻辑由SDN控制器软件集中控制。无需内容名至流标识符的映射,支持海量内容分发;内容缓存独立于数据交换,有利于交换节点和缓存节点分别扩展和升级;内容请求路由、数据缓存均由控制器软件基于全局视图集中控制,实现了资源的优化调度和灵活的策略管理。与采用边缘缓存的idICN[7](增量部署的ICN)不同,本文采用SDN框架,在数据交换、内容存储两个维度都能利用全局视图和集中式控制优化内容请求路由和数据缓存,避免了覆盖系统由于局部视图只能实现次优控制的基本局限。

1 SDICN系统框架

SDICN系统结构如图1 所示,构成节点组成SDN之上的覆盖网络,相应功能如下:(1)缓存节点:缓存内容数据,响应和转发内容请求。 (2)SDICN控制器:运行于SDN控制器中的软件,确定缓存节点和CSN,登记ICN命名内容,执行URI(统一资源标识符)命名内容的DNS(域名系统)解析,管理缓存节点和源节点。(3)ICN CSN:向SDICN控制器注册ICN命名内容,为请求节点提供内容数据。(4)URI CSN:URI命名内容源服务器,如Web(万维网)服务器。(5)内容请求节点:请求ICN和URI命名内容。

注:CSN为内容源节点;DCN为指定缓存节点。

SDICN系统主要流程如下:

(1)内容名解析:请求者查询内容名对应主机地址,接入SDN交换机将查询消息转发至DCN ,DCN回复以自身地址;如DCN无CSN信息,则通过控制会话通道B1向SDICN控制器查询。

(2)请求内容:根据响应消息给出的DCN地址,请求节点向其发送内容请求。

(3)内容请求转发:DCN如已缓存请求内容,则转至步骤(4),反之查询内部表格获知CSN(ICN、URI源节点或缓存节点),向其请求和获取内容数据,同时缓存。

(4)传送内容:DCN向请求者传输内容数据。

系统流程还包括节点间控制信息交互:A1表示ICN源节点与SDICN控制器的控制会话,用于节点注册、ICN命名内容发布。B1 对应缓存节点与SDICN控制器的控制会话,用于缓存节点注册以及缓存内容、剩余空间、请求数量和链路负载等状态信息的周期性报告。

内容命名同时支持ICN和URI。ICN命名支持两类现有机制,即CCN(内容中心网络)[8]的可读取命名和DONA(面向数据的网络架构)[9]的自认证命名。支持URI命名,使得现有互联网内容分发也能受益。 内容名完整表达形式为Protocol://Name。Protocol为CCN、DONA时分别对应于CCN、DONA命名,并可进一步扩展;Name为内容名。为了兼容URI内容获取,ICN命名还可采用“域名+命名方式+内容名”复合方式,其中域名统一采用http://sdicn.org,如http://sdicn.org/ccn/xxx。采用这种方式易于兼容现有DNS,但也限制了内容名长度,尤其是DONA命名。

2 内容请求路由与数据缓存

基于系统全局视图,SDICN控制器计算内容请求路由,将结果写入缓存节点及SDN接入交换机,缓存节点据此转发内容请求和缓存更新内容数据。

2.1 内容请求路由

内容请求路由计算包括缓存节点选择和供给节点选择。SDICN控制器基于网络距离和节点负载选择缓存节点。对于给定内容请求,首先选择最短距离缓存节点作为其DCN;如最短距离缓存节点负载较重,则选择距离较长但负载较轻的缓存节点。为避免频繁地计算处理,综合采用固定设置与动态调整:根据网络拓扑和节点容量,按照网络区域固定指派缓存节点作为区域所有请求的DCN;运行过程中,动态地将负载过高的缓存节点所服务的部分请求转移至轻载节点。

供给节点选择与缓存节点选择类似,区别在于:(1)备选节点包含源节点、缓存节点两种;(2)应减少域间流量。如源节点与DCN在同一SDN域内,选择CSN时不区分源节点和缓存节点;反之则优先选择域内缓存节点作为CSN。为减少供给节点选择的计算量,采取主动式和反应式混合方式,对于高流行度内容,预先计算选择供给节点,推送结果至相应缓存节点;对于低流行度内容请求,缓存节点按需请求SDICN控制器进行计算。考虑到流行度及缓存分布随时间变化,SDICN控制器根据实时统计,周期进行主动式供给节点计算,并推送更新结果。

2.2 内容请求转发与数据缓存

根据SDICN控制器计算的内容请求路由,DCN响应内容请求,并缓存和更新内容数据。缓存节点维护ACL (内容缓存表)、PRL (处理请求表)和CST (供给节点缓存表),用于请求转发、缓存更新。其中,ACL存储缓存内容列表,PRL存储已收到但尚未回复的请求及请求者列表,CST则包含可用内容供给节点。

在SDICN控制器的控制下,内容请求被转发至DCN。DCN处理内容请求转发、数据传输及缓存的流程如图2 所示。数据传输采用流水线方式,即DCN从CSN下载内容数据的同时,向请求者传输数据。

缓存节点是资源限制系统,当缓存数据量接近其存储容量时,新内容的获取将触发缓存更新。普适缓存会使缓存节点负载较重,难以运行复杂的缓存更新算法。LRU(近期最少使用置换)和LFU(最少使用置换)两类算法中,LRU所需参数较少且性能接近最优[7],因此本系统缓存更新采用LRU算法。获得完整内容数据后,DCN将更新其ACL。对于ICN命名内容,DCN还需进行一致性检查。

3 原型系统实现及性能分析

基于上述技术方案,本文还实现了一个SDICN原型系统,除了URI CSN和内容请求节点采用现有标准系统及软件,其他构成节点的原型实现如下:

(1)缓存节点:基于可支持高并发访问的开源Web服务器框架Tornado,扩展该平台实现内容请求转发、缓存更新等模块,以及缓存节点、SDICN控制器、CSN的接口、ACL、PRL和CST。

(2)SDICN控制器:基于开源SDN控制器平台RYU,以组件形式扩展实现缓存节点选择、供给节点选择、缓存节点管理、源节点解析和内容管理等主要功能;计算所需的基础数据和运行结果并存入内容源及缓存库、缓存节点状态库、缓存节点路由表和内容访问统计库4个基础信息库中;与缓存节点、ICN CSN的通信接口采用自行设计的协议,另外采用DNS协议实现与标准DNS系统的接口,以支持URI命名形式内容分发。

(3)ICN CSN:同样采用开源Web服务器框架Tornado,扩展实现内容ICN命名、ICN内容注册和ICN内容传输,与SDICN控制器的通信接口采用自行设计协议。

对于所实现的SDICN原型系统,本文进行了初步的实验评估分析。考虑到系统部署开销和配置的复杂性,采用SDN仿真软件Mininet作为实验平台。Mininet的优点在于可直接运行基于Open-Flow的SDN系统及扩展开发的代码,通过Python脚本配置和控制系统运行过程,并搜集运行过程数据用于统计分析。仿真网络为三层星形拓扑,交换节点采用SDN软交换机Open vSwitch,SDICN系统节点均接入边缘交换机,SDICN控制器、缓存节点和ICN源节点如前所述,URI源节点直接采用基于Tornado的Web服务器,内容请求节点采用基于HTTP(超文本传输协议)的curl命令行工具。

图3所示为内容请求响应时间与访问次数的关系。响应时间是指内容请求节点发出请求至收到内容的时间间隔。图3表明,内容请求响应时间平均值随着访问次数的增加而下降,访问次数开始增加时,内容缓存带来的响应时间降低效应较为显著,随后开始趋缓至接近饱和。

4 结束语

本文提出的SDICN系统框架中,内容请求转发、缓存及更新独立于SDN交换节点,仅需边缘缓存节点和源节点参与;内容请求路由简化为缓存、供给节点选择对应的两跳式路由,由SDICN控制器基于全局视图集中计算;缓存节点选择采用固定设置与动态调整结合的方法,供给节点选择采取主动式和反应式混合的方式,提高了扩展性。系统避免了内容名与数据流标识符的映射,利用SDN的集中式控制克服了覆盖系统次优控制的局限,内容缓存与数据包交换解耦合有利于交换和缓存设备分别扩展升级,为SDN和ICN的扩展及应用提供了重要的技术参考。进一步的研究包括大规模系统性能评估分析、扩展支持现有ICN系统、SDN与非SDN混合式环境运行支持和域间内容分发。

摘要：现有SDICN(软件定义信息中心网络)技术方案难以支持海量内容分发、交换和缓存组件的分别升级。文章提出一种基于覆盖网络的SDICN系统架构,由网络边缘的缓存节点转发内容请求和缓存内容数据,缓存与交换不再耦合,克服了现有技术方案的上述局限;基于SDN(软件定义网络)的集中式控制,避免了覆盖网络系统的次优控制问题。原型系统实验分析表明,所提系统可直接运行于通常的SDN中,少量的边缘节点即可有效减少内容分发响应时间。研究结果有利于SDN和ICN(信息中心网络)技术的扩展及应用。

关键词：信息中心网络,软件定义网络,边缘缓存,集中式控制

参考文献

[1]Chanda A,Westphal C.ContentFlow:Adding Content Primitives to Software Defined Networks[C]//IEEE Globecom 2013.New York,US:IEEE,2013:2132-2138.

[2]Vahlenkamp M,Schneider F,Kutscher D,et al.Enabling Information Centric Networking in IP Networks Using SDN[C]//Proc SDN4FNS 2013.New York,US:IEEE,2013:1-6.

[3]Salsano S,Blefari-Melazzi N,Detti A,et al.Information centric networking over SDN and OpenFlow:Architectural aspects and experiments on the OFELIA testbed[J].Computer Networks,2013,57(16):3207-3221.

[4]Syrivelis D,Parisis G,Trossen D,et al.Pursuing a Software Defined Information-Centric Network[C]//Proc EWSDN 2012.New York,US:IEEE,2012:103-108.

[5]Ahlgren B,Dannewitz C,Imbrenda C,et al.A Survey of Information-Centric Networking[J].IEEE Communications Magazine,2012,50(7):26-36.

[6]Nunes B A A,Mendonca M,Nguyen X N,et al.A Survey of Software-Defined Networking:Past,Present,and Future of Programmable Networks[J].IEEE Communications Surveys&Tutorials,2014,16(3):1617-1634.

[7]Fayazbakhsh S K,Lin Y,Tootoonchian A,et al.Less Pain,Most of the Gain:Incrementally Deployable ICN[C]//ACMSIGCOMM 2013.New York,US:ACM,2013:147-158.

[8]Jacobson V,Diana K S,Thornton J D,et al.Networking Named Content[C]//CoNEXT 2009.New York,US:ACM,2009:1-12.

[9]Koponen T,Chawla M,Chun B G,et al.A Data-Oriented(and Beyond)Network Architecture[C]//SIGCOMM 2007.New York,US:ACM,2007:181-192.

软件定义信息安全 篇2

结合现有电子信息通信技术水平,软件定义下的能源互联网信息通信技术和能源电力在未来的发展,可以以三个阶段模块进行讨论,并且每一阶段所体现的意义和价值也是各不相同的:第一阶段是数字化信息化阶段,为其发展起到一定的快捷和仿版的作用,与现阶段的作用较为相似;第二阶段为智能化阶段,在上一阶段的基础上有了更大的提升,自动化和智能化无疑是未来最大的、最具优势的发展方向;第三阶段是信息能源基础设施一体化意义下的能源互联网阶段。

1信息能源基础设施一体化

1.1能源互联网概念解析

能源互联网是以互联网的思想概念为基础,同时结合了互联网的方法和相关的信息技术,达到信息的共享、开放和对等、交换等目的,这与互联网本身实现的目的没有太大差异,但两者之间还是有着明显的区别,并且,能源互联网与传统的能源设施以及互联网的本质特征又有所不同,其较为明显的区别在于对数据信息在现有的基础上进行物理上的融合和重组,主要是为了实现信息能源基础设施的一体化,比互联网概念下的数据信息体系构建更具发展意义。能源互联网中采用的是能量路由器,能源互联网中采用的是信息网络和能源网络两种网络,在进行数据和能量交换的过程,有着本质的区别,这也是影响互联网和能源互联网之间不能达成绝对一致的重要原因。

1.2软件定义网络

软件定义网络的主要思想是实现控制平面和传输平面的分离。在软件定义网络中,控制信道与数据平面上的数据传输信道是一个独立的传输通道,即不受其他信息传输通道的影响,也不依赖于其他信道;然而这一概念在传统的网络通信网络下是不可能实现的。在软件定义网络下,对数据平面做出详细的分析,得出其具有简单、逻辑清晰等特点;同时提出路由节点的转发表项不需要预先做出人工配置。

1.3软件定义能源互联网

软件定义网络和软件定义的能源互联网两者的控制对象是不同的,前者是对比特信息流的传输进行控制,而后者是对能量路由器中能量的传输进行控制。其中能量路由的作用是连接能量的传输路线,提升数据信息的传输速率和质量,并且使之形成一种动态的互为备用的关系,明显提高了设备的利用率。

由于信息和能量的交换有着很大的区别,如能量在传播过程中会出现一定的损耗,但实现能量存储具有的难度比实现数据存储的难度更大,这就需要研究出更多的可靠且有效的传输方法,所以能量的存储方式较为多样化。以电能的交换为例,结合本文的论述重点,以柔性直流为例加以说明;这一能量交流方式的优点有很多:为无源网络提供电流、动态补偿无功功率、无需交流侧就可以产生无功功率等。

2软件定义的能源互联网信息通信

能源互联网是由能源路由器连接而成,实现信息通信的目的。根据能源互联网的规模,其中还需要用到两种路由器,分别是网络路由器和能量路由器,两者在功能和性能上是一种相互对应的状态,同时存有一个能量自制单元。笔者以微网为例,对其建立电力的传输路径的过程进行解析和讨论。

本文在柔直微网互联的基础上,对能源互联网进行研究,主要的研究项目内容为建立、保持和切除SDN控制能量的交换路径;实现流程为:

(1)控制器需要根据已经搜集整理得到的数据现状,在此基础上分析、选定转换方式以完成需要进行能量传输的源微网、目的微网和相关电力等。

(2)确定转换形式后,控制器主机会发送形影的控制通知文件,至源微网中的源主机;结合能源互联网的特性,传输路径在建立的过程中有一定的复杂性,所以选用UDP的传输形式;一般情况下在传输的文件中,其内容主要为IP地址和直流保持时间和柔直控制的重要信息;其中IP地址是目的微网中的一个主机节点地址,传输这一地址的目的是为了便于源主机能准确地向目的主机发送文件。

(3)在完成以上地址发送和相关信息的传输之后,源主机并不会直接发送真实的信息文件,而是先发送一个测试报文,目的在于确认目的主机的状态是否良好、是否能准确接受文件和信息,同时以交换机为中心建立起相应的转发路径。由于SDN运行的特性,相关的流表项一般都是存在的,但如果是特殊情况下没有流表项的话,则需要通过控制器来进行确认,同时也可以对其存在时间进行添加或调整,这对相关的路径管理有利;另外,SDN网络的路由路径在一定时间内可以保持同一种状态不变化,具有较强的稳定性。

(4)在测试环节内,当目的主机接收到测试报文时,会予以回应,即发送成功响应报文,并且在正常的传输、发送过程中都会有这样的响应回复,这样的发送与回复的过程,与互联网中的协议相类似;不同的是能源互联网中对于能量的交换的可靠性有极高的要求,所有采用的面向连接法是有效可行的。

(5)在接收到目的主机回复的测试响应报文后,并且保证流表项是已经建立的状态下,向目的主机发送“开”报文,使得路由表可以查表快速转发。

(6)在“开”的状态下,源主机和目的主机之间可以互相发送和回复传输报文,当能量传输时间达到能源互联网调度控制设定的时间后,源主机会像一开始一样发送测试报文,当收到目的主机的回复后,将发送“关”报文,两者之间不断保持互动,才能更好地保证传输路径的一致性;其中“开”表示网络路由路径的建立开启,“关”则表示路径切除关闭。

(7)在源主机和目的主机进行信息传输的同时,网络路由器会获取每个报文的内容,并确认文件的发送时间和内容与开、关信号发送的时间是否一致,并且将确认得出的结果通过信息能源一体化的基础设施传输至能量路由器,可以实现传输路径的通或断的状态确认和调整。

建立网络连接路径一定要考虑全面,其中能量通路建立与网络路径的建立有着密不可分的联系,相辅相成。如果能量在SDN规划的路径上不具备建立通路的条件,那么可以认为SDN路径的建立状态为非有效。所以在执行以上流程的额同时,还要考虑到一些可能出错的、非有效的、异常的情况,并预先设定相关的解决策略:(1)源主机和目的主机在发送报文的过程中,有时候会出现系统反映超时的状态,这时对引起这一问题的原因进行检测,所使用的方式通常为:利用SDN控制节点;针对检测出的原因再进行详细的分析找出相应的解决方案。(2)报文传输过程中,路径的“开”和“关”路径不一致,说明路径已经发生变化:原有的传输路径已经不能正常发送或接收文件,新路径上没有能量或其他信息在进行传输,所以“关”信号的发出对这一路径不会带来太大的影响。(3)在过程中出现路由的多种信息或数据值超出正常范围的情况下,能量路由器会及时快速地将故障问题和实时情况反馈于网络路由器,进而做出相应的调整或重新规划。(4)在出现一些超出预计范围的故障时,可根据实际情况对能量流进行检测,从而操作、控制每个节点。

3结语

能源互联网的实现可以借鉴互联网的理念和技术,信息通信系统可以帮助实现运行调度控制;对于软件定义的实现方法,还可以采取更多的安全性更高、灵活性更强的方法,可以使动态管理、配置等工作变得更加简易快捷,然而这样的实现方法需要在实际的应用过程中分析总结,进而做出更有意义的探索和研究。

参考文献

[1]王羿.能源互联网的信息通信架构体系研究[J].电力信息与通信技术,2015(7),pp.15-21.

[2]李建岐,石文浩,詹德翔.能源互联网下用户侧信息通信网络研究[J].电力信息与通信技术,2016(4),pp.13-17.

[3]王继业,郭经红.能源互联网信息通信关键技术综述[J].智能电网,2015(6),pp.473-485.

软件定义信息安全 篇3

白皮书介绍了目前业界现状和相关工作,提出SDS架构,对安全应用商店、安全控制平台和安全设备的重构分别进行介绍, 并列举了若干绿盟科技的实践案例。本次报告中您可以看到如下主要内容:

软件定义安全体系的设计;

整体方案,概述SDS整体方案及架构;

APPStore,包括云安全应用及相关体系架构图;

安全控制平台,包括平台整体架构图及功能模块描述;

安全设备资源池化,包括设备形态、部署及功能架构图;

安全设备重构,包括重构思路及整体设计架构图;

软件定义的云安全实践;

部署模式,讲解中等规模的云计算业务系统部署方案;

安全设备的交付形态,讲解支持服务链的硬件设备交付模式;

DDo S检测清洗,结合绿盟科技安全产品及安全控制平台实现DDo S检测和清洗;

APT攻击检测和防护,讲解安全控制平台和安全设备协同机制;

Web安全应用,讲解融于Iaa S/SDN的Web安全及一体化的Web安全应用。

业界对云计算的研究及实践由来已久,但随之来而的云安全问题,需要有一套云环境中的安全建设及运维的框架和方法,同时更需要用户、云计算厂商与安全厂商多方协作实践的经验。面对这样的挑战,多年来,绿盟科技携手国际云安全联盟(CSA) 与全球各大开源和商用的虚拟化平台,与SDN控制器项目和厂商进行了深入合作,积累了一定的经验。