基于SDN的開放SaaS平臺網絡安全體系設計和研究

申淑平

（江蘇聯合職業技術學院南通衛生分院，江蘇南通226010）

基于SDN的開放SaaS平臺網絡安全體系設計和研究

申淑平

（江蘇聯合職業技術學院南通衛生分院，江蘇南通226010）

針對開放軟件即服務（SaaS）平臺網絡安全性差的問題，文中基于軟件定義網絡（SDN）技術，結合國內外SDN的研究現狀和開放SaaS平臺的特點，自頂而下設計了一套基于SDN的開放SaaS平臺網絡安全體系。分析了系統物理和功能模型以及協同模型，并設計了相應的系統體系結構。平臺經過封裝后，可使用戶無需了解底層接口和相關安全技術，只需使用上層提供的接口即可進行安全體系設計與功能實現，能滿足平臺構建對動態性、開放性、強擴展性和高安全性的需求。最終通過系統典型實例驗證了，該網絡安全體系的實用性與有效性。

軟件即服務；軟件定義網絡；網絡安全體系；網絡防護

SaaS平臺，即開放軟件即服務平臺，屬于開放的云計算架構平臺。其特點是面向使用者提供動態可擴展編程的軟件即服務，具有動態擴展性強、開放性大等優點，但這也帶來了安全性的關鍵問題[1-2]。針對這一問題，國內外研究人員進行了廣泛的思考和研究，包括從SaaS數據、業務流程與云計算模型、架構等方面對安全性進行考慮[3-6]。直到具有集中化控制、開放可編程結構以及控制平面分析等特征的軟件定義網絡技術SDN的出現，才為SaaS平臺安全性問題提供了新的解決方案，從而成為網絡與云計算安全領域的焦點[7-9]。SDN在網絡和云計算平臺安全體系中的運用，被認為是目前乃至未來網絡安全體系的發展趨勢，能為云計算平臺提供必要的安全保障。當前，基于SDN的應用探索主要從SDN設備著手，較少將其放在應用體系中進行全面而系統的研究。

因此，文中依托于框架和應用研究，充分發揮SDN封裝后向上提供編程接口的優勢，從建設體系的角度將SDN應用于開放SaaS平臺安全體系的建設。自頂向下研究了系統的體系結構和安全模型，分析了系統構建、構件管理、數據表示和協同等關鍵要素。并根據SaaS平臺的相關集成標準，為基于SDN開發的網絡安全應用制作了封裝，以方便用戶只需通過調用SaaS編程接口，而無需關注底層接口便可實現所需的網絡安全功能。該體系同時具有SDN安全性高、路由可控和開放SaaS平臺的特點，且依托于該體系結構可于后期進行持續性建設和更新。并逐步形成按需定制、動態開放的網絡安全系統，從而不斷提升系統協同預警、識別、防護和反擊能力。

1 系統模型

1.1 物理和功能模型

從構成系統的物理層面看，該網絡安全體系系統主要組成部分為路由器等交換設備、SaaS平臺相關服務器、安全服務中心、網絡服務提供商ISP和應用客戶端等。其中，前三者為關鍵物理要素，相關結構示意圖可見圖1（a）。交換設備理論上應要求全部是支持SDN的路由器、交換機等網絡設備，但實際上無法達到該要求，只能通過對SDN交換設備和普通網絡設備進行有機組合來克服該問題。本文將普通網絡設備以及互聯網絡作為整體，從安全體系的建設角度將其等效抽象出來，稱為透明互聯網絡，并將交換設備狹義得定義成布局在互聯網絡中的SDN設備。下文中若是提到交換設備，則默認特指支持SDN功能的相關交換設備。

從系統功能角度，從內向外可分為控制域、功能域和服務域?？刂朴蚴窃擉w系的物理基礎層，主體為控制器、交換設備以及定義的轉發規則，能夠實現轉發功能；功能域依照網絡安全系統的典型功能要求，實現協同預警、識別、防護和反擊等網絡相關防護功能；服務域負責對功能域相關安全功能進行面向服務的封裝，并增加了開放SaaS平臺的特點和功能，共同給用戶帶來基礎傳輸、虛擬網絡及網絡防護等相關安全編程服務。系統功能的模型結構圖，可見圖1（b）。

圖1 物理模型結構和系統功能模型結構示意圖

1.2 協同模型

協同過程基于協同原理，涵蓋了協同群組的建立及解除、信息獲取請求和最后的信息發送動作。由于本文網絡安全體系基于SDN，所發送的信息包括了網絡原始數據和元規則信息，后者也就是轉發規則。至此，本文的協同對象確定為布局在各網絡節點上的各交換設備，協同主題由各級安全中心進行發起，并設計了3種原語方式（網絡管理、數據獲取和發送），采用協同原語的方式，對本文體系系統進行建模和后續分析。

網絡管理原語，即采用虛擬方式對虛擬網絡進行建立及注銷，其語法如下所示:

其中，括號中各選項依次代表:網絡標識NetID；SDN設備的各ID集合；一個或多個中心用戶集合；本網絡的功能描述（該選項可空）；建立或注銷虛擬網絡標志，flag為-1則注銷網絡，為1則建立相應標識名的分布式虛擬網絡群落。

數據獲取原語，即通過主動獲取從各交換設備得到網絡數據，其語法如下所示:

括號內各選項依次代表:采樣數據所處的安全中心編號；準備提供數據所對應的各交換設備的集合；采樣數據所應滿足的樣本特征及要求；采樣時間約束要求，留空則表示長期采樣。

數據發送原語，即各交換設備將網絡數據發送給安全中心，其語法如下所示:

括號內各選項依次代表:目標編碼（交換設備亦或是安全中心ID）；推送的數據類型，為0則表示網絡數據，1則表示安全規則；推送數據的集合。

2 體系結構設計

2.1 框架設計

基于上述系統模型和分層設計、面向服務等思想，基于SDN的開放SaaS平臺網絡安全體系設備組成如圖2所示。從上至下依次為面向用戶提供動態編程服務的服務層、實現功能和封裝的功能層、采用虛擬化網絡技術的虛擬層、支持SDN技術相關Controller模型的控制層以及SDN交換設備所處的設備層。

圖2 系統體系結構示意圖

2.2 基于網絡描述字的信息獲取和協同

文中定義了網絡描述字NDW（Widi，ProtocalSeti，Areavipre-vi-viback，Ti，DataPacki）描述從支持 SDN技術的設備獲得數據包信息，括號內各項依次代表:該網絡的唯一標識；該網絡所應滿足的諸如TCP/IP等協議的集合；數據包所處區域的位置及上下文信息；數據包的獲取時間；獲取的由一個或一組數據包構成的原始數據包信息。

傳統的網絡安全系統由于大多只在核心入口處的交換設備節點上，布置一定的防火墻和相關的網絡預警系統。主要是以點防護為主，防護節點也比較固定，會帶來一定的安全隱患[10-15]。而文中設計的安全體系，無需使用防火墻，每個SDN設備按照既定的轉發規則，均能當做一個信息獲取設備來使用，組成協同網絡。在有攻擊信息存在時，實現全網共同預警以及對數據協同獲取的功能，后者的時序示意圖可見圖3。

圖3 數據協同獲取采樣時序圖

從圖中可知，安全中心主要存在3種獲取NDW的方式，具體為用PutMessage原語推送報警規則給SDN設備，若遇到與數據包匹配時利用原語反饋采樣數據的按統一規則報送；SDN設備按照各自狀態判斷數據包是否匹配本地Controller告警規則等異常狀況，并利用PutMessage原語主動反饋采樣數據給安全中心的SDN設備主動報送；安全中心根據設定需要，利用GetMessage原語發送采樣數據需求給SDN設備，并通過PutMessage原語獲得相應采樣數據的安全中心按需采樣。

矩陣數據具有顯示數據和關系直觀了當、運算簡便、求解精確、獲取數據相關快速和樹形結構轉換便利等優點，有利于對攻擊源的定位與跟蹤。因此，本文采用矩陣形式對數據進行存儲和協同。行列表示了網絡內各交換設備ID，列（行）表示數據的前（后）序交換設備節點，行列組合在一起可以表示數據的流動方向，確定數據的位置信息，且該位置信息具有唯一性。

圖4（a）是定位攻擊源案例的示意圖。其中，節點1、2、3向節點11發動攻擊，并將采樣數據描述為矩陣形式可見圖4（b）所示。將矩陣形式以被攻擊節點11為根節點通過逐級回朔（按照列）和裁剪算法，即可獲得攻擊圖和相應攻擊樹，可見圖5。

圖4 攻擊路徑和矩陣形式數據示意圖

圖5 攻擊路徑

2.3 面向服務的網絡防護功能建設

典型的網絡安全功能按應用角度可分為威脅預警、識別、防護、定位甚至反擊等維度，基于這些維度建立對應的防護系統。在開放SaaS平臺下，通過對各功能維度對應的算法進行服務化封裝，可以獲得開放的構建管理和相應所需的運行環境，并結合后續迭代及升級操作，對系統的防護功能進行不斷升級與增強。

相關防護算法封裝，可見圖6。根據統一的SaaS平臺下接口標準將最底層防護算法優先進行封裝，并借助構件管理功能實例化服務進程，構建服務資源池，供多用戶實現并發訪問。用戶功能訪問時只需先適配數據接口，再調用相關服務實例，對網絡防護功能進行服務化訪問[16-18]。

圖6 服務封裝結構示意圖

2.4 基于平臺的動態安全編程

開放SaaS平臺的設計初衷和思想就是讓系統的建設者與用戶共同參與系統開發，后者根據自身所需自行開發個性化的系統功能，并可以為其他用戶提供所需的服務，安全系統的開發也應符合這個特點。因此，文中設計安全系統的構件開發包括平臺級、應用級和專業級這3類，組成與接口關系可如圖7所示。

圖7 系統構件開發的組成和相應接口關系

平臺級構件負責提供系統基礎的安全服務，該構件的提供和維護由平臺的開發者負責完成。專業級構件用于根據需要以平臺級構件為基礎開發更專業的網絡安全構件，其提供和維護工作由具有較強信息化能力的應用者負責完成。而應用級構件用于提供應用級的安全服務，該構件主要由上述兩種構件安全措施與規則的組合及配置實現，主要為信息化能力一般但又有安全需要的系統使用者提供個性化安全服務。

3 系統應用舉證

如圖8所示，即為某基于SDN技術建立的開放SaaS平臺網絡安全系統的應用實例。為確保一般性，符號化處理了具體的網絡節點名稱。建設過程中，平臺開發者在云端構建平臺級安全中心提供整體的安全服務。此外，基于服務平臺，依次建設企業級、商業級和設備級的安全中心平臺，利用基礎網絡和相應的SDN節點設備完成各級系統之間的互聯，最終實現了一套在物理層面上存在無中心分散特點，而在邏輯層面上存在有中心按所需組網特點的安全防護網絡體系，能夠保障系統平穩安全運行。從系統的運行效率角度看，該安全體系能有效利用SDN進行定位和追蹤，前文對網絡攻擊進行追蹤的相關分析也證實了這一點。此外，云計算憑借對全系統拓撲狀態的掌握，能有效提高路由的收斂速度，并可依據系統的當前狀態制定相應的預先解決方案，在SDN各節點上實現部署。整體上看，基于SDN的開放SaaS平臺網絡安全體系，能有效提高網絡安全性能、運行效率和擴展性，且具有較好的實用性和參考價值。

圖8 某應用實例

4 結束語

文中基于SDN技術和設備具有封裝后向上提供編程接口以及轉發、控制分離等特點，結合國內外SDN的研究現狀，以自上而下的思路設計了一套基于SDN的開放SaaS平臺網絡安全體系。平臺經過封裝后，可使用戶無需關注底層接口和相關安全技術，而只需通過上層提供的接口進行安全體系的設計與功能的實現。從而滿足了平臺構建對動態性、開放性和高安全性的需求，有效降低預警時間，及時對攻擊進行應對和處理。最終通過系統典型實例也驗證了，該基于SDN網絡安全體系的實用性和有效性，并具有一定的參考價值。

[1]國艷群，韓敏，孫林夫.開放SaaS產業服務平臺模型與體系結構[J].西南交通大學學報，2014，49（6）:1068-1072.

[2]國艷群，韓敏，孫林夫.基于開放架構的SaaS服務平臺數據管理技術研究[J].電子科技大學學報，2015，44（2）:295-298.

[3]陳靜，孫林夫.基于SaaS的產業鏈協作公共服務平臺數據安全解決方案[J].計算機集成制造系統，2011，17（6）:1317-1324.

[4]林闖，蘇文博，孟坤，等.云計算安全:架構、機制與模型評價[J].計算機學報，2013，36（9）:1765-1784.

[5]曹帥，王淑營.產業鏈協同SaaS平臺業務流程定制安全技術研究[J].計算機科學，2014，41（1）:230-234.

[6]Qiang Z，Dong C.Enhance the User Data Privacy for SAAS by Separation of Data[C].International Conference on Information Management，Innovation Management and Industrial Engineering.IEEE，2009:130-132.

[7]Mckeown N，Anderson T，Balakrishnan H，et al.OpenFlow:enabling innovation in campus networks[J].Acm Sigcomm ComputerCommunication Review，2008，38（2）:69-74.

[8]Yen T C，Su C S.An SDN-based cloud computing architecture and its mathematical model[C]//International Conference on Information Science，Electronics and Electrical Engineering.IEEE，2014:1728-1731.

[9]黃韜，劉江，霍如，等.未來網絡體系架構研究綜述[J].通信學報，2014，35（8）:184-197.

[10]趙洪靜，周創明，翟平利，等.基于網絡主動防御安全模型的入侵誘騙系統[J].空軍工程大學學報:自然科學版，2010，11（3）:76-79.

[11]劉龍龍，張建輝，楊夢.網絡攻擊及其分類技術研究[J].電子科技，2017，30（2）:169-172.

[12]黃海軍.基于云計算的網絡安全評估[J].電子設計工程，2016，24（12）:115-117.

[13]張耀元，郭淑明，汪小雨.基于入侵檢測技術的MANET 安全研究[J].電子科技，2016，29（11）:157-160.

[14]鄧立博.MANET入侵檢測系統研究與實現[D].哈爾濱:哈爾濱工程大學，2012.

[15]李秀娟.探析網絡主動防御系統的設計與實現[J].電子設計工程，2017，25（1）:27-30.

[16]張團利，呂光宏，楊沛霖.基于OpenFlow的SDN可靠性綜述[J].電子科技，2016（2）：177-181.

[17]張帆，毋濤.基于云計算的服裝物料管理系統[J].西安工程大學學報，2015（6）：740-745.

[18]趙衛.一種基于網絡安全的WIFI系統身份認證設計[J].電子設計工程，2016（14）：81-83.

Design and research of network security architecture for open SaaS platform based on SDN

SHEN Shu-ping
（Nantong Health Branch，Jiangsu Union Technical Institute，Nantong226010，China）

Combined with the characteristics of the open software as a service（SaaS）platform as well as researches on the software defined network（SDN），a set of network security architecture for open SaaS platform based on the SDN technology is top-down designed，aiming to solve the network security problem of SaaS platform.The physical and functional model and cooperation model are analyzed，and the corresponding architecture of system is designed.After the package of the platform，the user can ignore the underlying interface and related security technologies and use the upper interface to design and complete functions of the security system，satisfying the dynamic，openness，strong scalability and high security requirements for the building of the SaaS platform.The practicability and validity of this network security architecture are verified by a typical example，providing references values for designs of other open SaaS platform.

software as a service；software defined network；network security architecture；network defense

TP311

A

1674-6236（2017）23-0085-05

2017-07-03稿件編號：201707014

申淑平（1979—），男，江蘇南通人，碩士，講師。研究方向：網絡安全。