面向服務的數據中心安全框架

胡騰，李觀文，周華春

?

面向服務的數據中心安全框架

胡騰1，李觀文2，周華春2

（1. 中國工程物理研究院計算機應用研究所，四川 綿陽 621900； 2. 北京交通大學電子信息工程學院，北京 100044）

隨著數據中心網絡在云計算領域的大規模商用，數據網絡的安全問題愈發受到重視。然而，由于傳統數據中心安全設備部署方式靜態僵化，難以滿足動態多變的網絡安全態勢，無法應對新的安全威脅。因此，提出一種面向服務的數據中心安全框架。基于虛擬化技術和軟件定義網絡，將虛擬化的安全功能靈活組合，并實現安全策略動態更新的過程。通過原型系統測試驗證了所提安全框架的可行性和有效性，為數據中心網絡的靈活性和安全性提升提供了一種解決方案。

數據中心網絡；安全功能鏈；安全策略部署

1 引言

隨著云計算的發展與普及，數據中心規模化增長的需求與日俱增。但是，當前網絡安全態勢十分嚴峻，數據中心網絡面臨的安全威脅更是不容忽視。Cisco 2017 數據中心安全研究報告[1]指出，88% 的數據中心管理者稱2016年收到的安全攻擊有所增多，而只有38% 的管理者認為數據中心應對安全威脅的能力較好。面對不斷增多的安全威脅，數據中心網絡需要更加靈活和動態的安全保障方案。

然而，面對復雜的網絡安全局勢，一方面，傳統數據中心安全設備集成度高、安裝部署復雜、更新成本大等局限，導致其難以有效應對新的安全威脅和更多樣化的安全需求[2]；另一方面，云計算的應用帶來更加個性化的用戶服務，也對數據中心安全提出更高的要求，過去靜態僵化的安全服務將無法滿足未來數據中心網絡動態靈活的安全需求[3,4]。因此，需要建立面向服務的數據中心按需安全框架。

逐漸成熟的NFV（network function virtualization，網絡功能虛擬化）技術[5]結合SDN（software- defined networking，軟件定義網絡）[6]，可以實現對網絡流量的靈活調度與網絡資源的動態組合。參考文獻[7]由此提出了一種移動目標防御框架，實現靈活的數據中心安全防護，可以有效緩解多種安全攻擊。參考文獻[8]則基于SDN架構提出一種分析網絡流量安全需求并部署相應安全功能的框架。直到SFC（service function chaining，服務功能鏈）工作組[9]提出一種基于SDN/NFV的服務功能鏈架構，將現有的基礎網絡功能進行有序組合，首先提出在數據中心部署安全功能鏈[10]，以滿足未來數據中心網絡更加靈活、多樣化的安全需求。參考文獻[11]綜合考慮了當前網絡面臨的主要安全威脅，總結了12種基本的網絡安全防御模式，提出針對不同類型安全威脅的安全功能鏈構建方式，現已經基本實現常見安全場景的覆蓋。參考文獻[12]進一步將SFC的設計思想融入數據中心安全防護，通過動態調整流量的安全檢測路徑，適應用戶動態的安全需求。然而，為應對新的安全威脅，除了安全功能的動態組合，還需要安全策略的快速部署與及時更新。I2NSF（interface to network security function，網絡安全功能接口）工作組[13]提出一種安全策略部署框架，期望實現安全策略動態按需的管理，可以為數據中心網絡的安全管理員提供更加便捷、靈活的安全策略管理模式，有效降低安全策略，更新成本。然而，目前尚缺乏一種統一的數據中心安全框架，可以同時實現安全功能的靈活組合與安全策略的動態更新。

因此，本文結合I2NSF與SFC的設計思想，提出一種面向服務的數據中心安全框架。該架構將傳統的基礎安全功能進行虛擬化與資源池化，同時解耦控制層面與數據轉發層面，可以針對不同安全威脅靈活組合所需的安全功能，有效降低安全功能重新部署的成本，并支持數據中心網絡動態可變的安全需求。同時，采用面向服務的策略管理方法，降低數據中心網絡安全維護成本和網絡管理員的操作復雜度，從而提高策略配置的效率和正確性。

2 面向服務的安全框架

本框架采用虛擬化技術，將傳統網絡安全功能資源池化，實現對網絡中安全服務資源的統一管理和靈活調度。該框架基于安全功能鏈思想，根據用戶業務的特定需求，將多種安全功能進行鏈式組合，并根據需要在各安全功能上部署相應的安全策略，動態構建所需的安全功能鏈。此外，考慮到用戶業務可能經過分布式的多數據中心結構，該框架可實現跨域的安全互聯，同時保障用戶側和數據側的安全。提出的面向服務的安全框架設計如圖1所示。

圖1 面向服務的安全框架設計

2.1 安全服務層

安全服務層致力于滿足網絡安全管理員的安全服務需求，并針對這些安全服務需求進行安全服務的分類與安全策略的分配，確定網絡安全管理員所需的邏輯安全功能鏈。安全服務管理器實現從安全服務需求到邏輯安全功能鏈及相應安全策略的匹配過程。

安全服務需求可以由網絡安全管理員手動配置，即先通過安全功能配置界面設定所需的安全功能，然后，跳轉到安全策略配置界面，根據安全功能的類型制定相應的安全策略。安全服務管理器根據網絡安全管理員的配置生成邏輯的安全功能鏈，通過安全功能鏈配置接口交付給資源適配層的安全功能鏈管理器，安全策略則通過安全策略配置接口交付給安全策略管理器做進一步處理。

2.2 資源適配層

資源適配層從安全服務層獲得網絡安全管理員所需的邏輯上的安全功能鏈與安全略，然后，分別交付給安全功能鏈管理器與安全策略管理器。其中，安全功能鏈管理器由安全適配模塊、容器管理模塊及流表管理模塊組成。

安全適配模塊首先解析安全服務層的邏輯安全功能鏈，匹配系統可提供安全功能實例資源，獲知所需安全功能的類型與具體數量，然后，向容器管理模塊發起資源請求。容器管理模塊可以基于當前網絡系統的運行狀態（如計算節點的CPU利用率和鏈路擁塞情況）和已開啟的安全功能實例資源的負載狀態信息，選擇創建新的安全功能實例或重用已有安全功能實例。之后，容器管理模塊會返回所請求的安全功能實例的相關信息（如網絡位置信息）給安全適配模塊。安全適配模塊由此構建完整的網絡拓撲信息，并通告流表管理模塊。流表管理模塊據此建立該安全功能鏈對應的完整的安全功能路徑配置信息。此外，容器管理模塊還可以動態調整安全功能實例資源，及時釋放空閑的網絡系統資源，提供系統資源的利用率。

安全策略管理器包括安全控制器和規則分發器，實現從面向用戶的安全策略向面向功能的安全規則轉換的翻譯過程與規則下發過程。面向用戶的安全策略由網絡安全管理員進行配置，采用人類可讀的語言描述，卻無法直接由安全功能實例執行，因此，需要安全控制器對其進行一次策略翻譯，實現從面向用戶的安全策略到面向功能的安全規則的轉換過程。與此同時，安全策略管理器也會收到來自安全功能鏈管理器分配的安全功能實例的相關信息，以生成實際可部署的安全規則，并調用規則分發器下發這些安全規則到對應的安全功能實例。

此外，資源適配層需要維護兩個數據庫，即安全功能信息庫（security function information base， SFIB）和安全策略信息庫（security policy information base，SPIB）。安全功能信息庫存儲網絡中所有的安全功能實例資源的相關信息，用于容器管理模塊動態查詢與更新。安全策略信息庫存儲所有的安全策略信息，并維護面向用戶的安全策略與面向功能的安全規則之間的映射關系。

2.3 數據轉發層

數據轉發層由兩類實體組成，分別是安全功能組件和路由轉發組件。

安全功能組件由容器管理模塊動態維護，負責提供安全功能實例資源。安全功能實例基于資源適配層的安全策略管理器下發的安全規則，對數據流執行實際的安全處理。

路由轉發組件是數據流的基礎轉發設備，根據資源適配層的流表管理模塊下發的流表信息，對數據流執行路由轉發操作。路由轉發組件包括分類器與轉發器。其中，分類器負責對不同數據流標記相應的SPI（service path ID，服務路徑標識）并分配初始的SI（service index，服務索引值），而轉發器負責將數據流導入相應的安全功能實例，并對經過安全處理的數據流的SI執行減一操作。

3 關鍵技術

該框架涉及的關鍵技術包括安全功能的靈活組合與安全策略的動態部署兩部分，分別介紹實現對應功能的安全功能鏈管理系統與安全策略管理系統。

3.1 安全功能鏈管理系統

安全功能鏈管理系統涉及安全服務層的安全需求配置界面、資源適配層的安全功能鏈管理系統與數據轉發層的安全功能組件與路由轉發組件。安全需求配置界面基于OpenDaylight SFC項目[14]實現。

安全功能鏈管理器是面向服務的數據中心安全框架中控制平面的重要組成部分，實現虛擬網絡資源的動態管理與適配、安全功能實例的按需選擇或實例化、安全功能路徑的動態創建與管理。安全功能鏈管理器的模塊組成如圖2所示。

安全功能鏈管理系統由安全適配模塊、容器管理模塊及流表管理模塊組成。由于虛擬化的安全功能采用容器技術實現，對應的容器管理模塊采用Docker Swarm技術[15]管理網絡中可用的安全功能資源。Docker Swarm采用TCP與基礎設施網絡中的安全功能組件（計算節點）組成集群，同時為安全適配模塊提供了系統調用的接口。流表管理模塊基于OpenDaylight SFC項目開發，它采用OpenFlow協議管理數據轉發層中的路由轉發組件，支持網絡安全管理員通過Web界面配置邏輯安全功能鏈，同時也為安全適配模塊提供了RESTful接口調用。考慮實際的安全功能鏈可能跨越多個數據中心域，擴展了OpenDaylight SFC的跨域互聯功能，可生成跨域的轉發流表。基于Python開發了安全適配模塊，它一方面負責從安全服務層獲得用戶或網絡安全管理員所需的邏輯上的安全功能鏈；另一方面，支持Docker Swarm與OpenDaylight SFC之間的通信與信息交互。

圖2 安全功能鏈管理系統設計

安全功能鏈管理系統的工作流程如下。

（1）網絡管理員通過安全需求配置界面定制所需的安全服務，生成邏輯的安全功能鏈。

（2）安全適配模塊采用系統調用的方式向容器管理器請求提供相應的安全功能實例，后者基于當前的資源信息，選擇已有的安全功能實例或創建新的安全功能實例，并返回所選實例的網絡信息。

（3）安全適配模塊調用RESTful接口向流表管理模塊通告該安全功能鏈的轉發配置。

（4）流表管理模塊利用OpenFlow協議向數據轉發層中的安全感知組件和路由轉發組件下發流表配置。

安全功能鏈管理系統的主要優勢如下。

（1）支持安全功能的虛擬化及對應實例的管理選擇

數據轉發層采用容器技術實現安全功能的輕量虛擬化，安全功能鏈管理器中容器管理模塊負責對這些虛擬化的安全功能實例進行統一管理。容器管理模塊可以遠程管理和控制每個計算節點的虛擬資源，根據系統運行狀態和負載狀態動態創建、刪除安全功能實例。安全適配器可以調用容器管理模塊選擇所需的安全功能實例。

（2）支持數據中心域內的安全功能鏈自動化部署

安全功能鏈管理器的安全適配模塊可以獲得網絡拓撲信息并告知流表管理模塊，由流表管理模塊根據安全功能鏈的路徑生成對應的轉發流表，下發到數據轉發層。數據轉發層的路由轉發組件采用Open vSwitch軟件交換機[16]實現，可以實現安全功能鏈中的分類器與轉發器。通過安全功能鏈管理器下發流表到Open vSwitch，可以實現數據中心域內安全功能鏈的自動化部署。

（3）支持跨數據中心域的安全功能鏈部署

擴展數據攜帶的頭部信息，可存儲數據流跨數據中心域轉發時所需的SPI/SI信息，并擴展OpenDaylight SFC，實現控制層面對跨域轉發邏輯的支持。通過預定義跨域所需的SPI/SI信息，可以支持在多數據中心域中自動化部署安全功能鏈。

3.2 安全策略管理系統

安全策略管理系統涉及安全服務層的安全策略配置界面、資源適配層的安全策略管理器和數據轉發層的安全功能組件。

安全策略管理器基于I2NSF控制平面設計，可以實現網絡安全管理員通過Web界面手動配置具體的安全策略，并通過安全控制器下發到格式化的策略到制定的安全功能組件。安全策略管理器的基本工作流程如圖3所示。

圖3 安全策略管理系統設計

安全策略管理系統由用戶界面和安全控制器組成。用戶界面為網絡安全管理員提供可視化的安全策略配置界面，可指定所需安全服務類型與策略。安全控制器實現面向用戶的安全策略到面向功能的安全規則的翻譯過程，并實現安全規則的自動化下發過程。

安全策略管理系統的工作流程如下。

（1）網絡安全管理員通過Web界面制定特定安全功能的安全策略，將策略存入安全策略信息庫，同時發送給安全控制器。

（2）安全控制器根據安全功能鏈管理器提供的安全功能實例信息，將收到的面向服務的安全策略翻譯為面向功能的安全規則，并對其進行XML格式化。

（3）安全控制器調用規則分發器將格式化的策略配置通過Netconf協議發送到安全功能實例上。

安全策略管理系統的主要優勢如下。

（1）支持動態策略更新

因為靜態設置的數據編號，過去同一安全對象的安全策略無法進行更新，而這將不利于本地的策略維護與多域策略協同處理。因此，應采用時間相關函數為安全策略分配動態編號，初步實現本地策略更新功能。

（2）支持多數據庫同步

考慮多域安全策略共享與查詢問題，控制平面采用可集群部署的數據庫存儲域內的安全策略。由于Redis數據庫[17]可以快速實現集群的部署且擁有較好的數據同步功能，因此，應選用Redis數據庫作為安全策略數據庫。

4 系統驗證

為驗證提出的面向服務的數據中心安全框架，本文基于OpenStack[18]建立虛擬化的測試床，參考SFC工作組草案[10]給出的多數據中心環境下的多SFC域互聯場景，建立如圖4所示的系統驗證場景。

該場景中，數據中心1構成一個云辦公平臺，可以為不同用戶提供定制化和安全的云辦公環境。而數據中心2通過虛擬化技術整合底層設施資源，可以為多個用戶同時提供應用層服務。每個數據中心域內采用SDN/NFV技術搭建傳統數據中心網絡的fat-tree拓撲。由于兩數據中心地理位置相距較遠，數據中心1的用戶可通過互聯網遠程訪問數據中心2中的服務資源。假定某一云辦公平臺用戶希望訪問位于數據中心2中的某種特定服務資源，則該用戶的數據請求與傳輸需要跨域兩個不同的數據中心。為保障整個通信過程的安全，需要為該用戶的服務流建立一條跨域的安全功能鏈。其中，每個數據中心的接入層和匯聚層的虛擬交換機與核心層交換機均可視為轉發器，入口/出口網關作為分類器，而安全功能實例則通過容器方式在虛擬交換機上按需開啟。該場景中的安全功能鏈需要跨兩個數據中心域，同時，保護用戶側和數據側安全。其中，用戶側包括用于流量監控的入侵檢測系統和進行內部防護的防火墻，數據側則包含阻止外部入侵的防火墻與用于DDoS攻擊緩解的入侵檢測服務。兩側安全功能實例分別部署在靠近用戶側和數據側的虛擬交換機上。

圖4 系統驗證場景

為驗證提出的面向服務的數據中心安全框架，首先，通過安全服務管理器的配置界面部署該安全功能鏈，包括兩個防火墻（FW）功能與兩個入侵檢測（IDS）功能。其中，左側的防火墻與入侵檢測系統位于數據中心1，右側的防火墻與入侵檢測系統位于數據中心2。安全功能鏈管理器根據安全需求分配安全功能鏈，并自動生成相應的SPI為165，如圖5所示。其中，防火墻功能由iptables軟件[19]實現，入侵檢測功能由Snort軟件[20]實現。

圖5 安全功能鏈配置界面

通過安全功能鏈管理系統對該安全功能鏈進行解析，并下發相應流表到對應的虛擬交換機上，以深度分組檢測為例，其流表配置如圖6所示。

圖6 將數據流導入入侵檢測功能的流表項

從圖6中可以看到，交換機接收到數據流后，通過流表逐條匹配SPI為165（流表項中表示為nsp）且SI為255（流表項中表示為nsi）的數據流。由于255為SI初始值，可以獲知需要該數據流需要經過第一個安全攻能，即入侵檢測功能。然后匹配最終的流表條目，通過基于NSH（network service header，網絡服務報頭）的SFC流轉發方式[21]，將數據流轉發到入侵檢測功能實例中。類似地，由于經過入侵檢測功能處理后的數據流的SI值會減一（即SPI仍為165，SI為254），通過匹配如圖7所示流表，以類似方式轉發數據流至下一跳交換機。

圖7 處理從入侵檢測功能流出數據的流表項

安全功能鏈系統通過解析網絡安全管理員配置的安全需求，自動向每個轉發器下發類似的流表，從而實現數據流在整個安全功能路徑內的轉發操作，確保數據流可以依次經過每個所需的安全功能實例。

安全功能鏈確定后，還要根據安全需求設定相應的安全策略。以該安全功能鏈中的入侵檢測功能為例，首先，通過安全策略配置界面中的安全功能選擇頁面，選擇需要配置策略的安全功能的類型，如圖8所示。

圖8 安全功能選擇界面

然后，可以看到如圖9所示安全策略詳細配置界面。在這里，網絡安全管理員可以定義該策略的名稱、策略的匹配項目和所需要執行的安全行為。對于入侵檢測功能，這里定義檢測到源IP地址為10.0.0.24的數據流后進行告警操作。

配置好后選擇提交，即可完成該功能的策略配置過程，后續的策略翻譯與下發均由安全策略管理系統自動完成。其中，安全策略管理系統基于Cisco的ConfD引擎[22]實現Netconf協議傳輸配置好的策略，在安全功能實例上可以實時看到策略接收過程，如圖10所示。此外，其他安全功能的策略配置過程也是類似的，此處不再贅述。

圖9 入侵檢測配置界面

圖10 入侵檢測功能實例的策略接收過程

此外，還可以通過如圖11所示的安全功能日志選項，查看已配置好的安全策略，為網絡安全管理員后續添加或修改安全策略做參考，避免錯誤配置或重復配置。

圖11 安全策略配置日志

最后，配置好的入侵檢測系統策略被部署到入侵檢測功能實例上。由于本文采用的入侵檢測功能實例由Snort實現，可以看到如圖12所示的Snort規則文件中存在新配置的條目，證明該安全策略已成功配置。

圖12 入侵檢測功能的規則文件

5 結束語

本文考慮到現有數據中心網絡靜態僵化的安全部署方案難以有效地應對日趨多樣化的安全威脅，提出一種面向服務的數據中心網絡安全框架，將網絡安全功能進行虛擬化后統一管理；設計相應的安全功能管理與安全策略下發系統，以實現安全功能的靈活組合與安全策略的動態更新。通過原型系統測試，驗證提出的安全框架可以滿足未來數據中心網絡更加靈活、個性的安全需求。

[1] Cisco. Cisco Data Center Security Study[R]. 2017.

[2] 韋樂平. SDN的戰略性思考[J]. 電信科學, 2015, 31(1): 7-12.

WEI L P. Strategic thinking on SDN [J]. Telecommunications Science, 2015, 31(1): 7-12.

[3] 王歆平, 王茜, 劉恩慧, 等. 基于SDN的按需智能路由系統研究與驗證[J]. 電信科學, 2014, 30(4): 8-14.

WANG X P, WANG Q, LIU E H, et al. Research and verification on SDN-based on-demand smart routing system [J]. Telecommunications Science, 2014, 30(4): 8-14.

[4] 李丹, 劉方明, 郭得科, 等. 軟件定義的云數據中心網絡基礎理論與關鍵技術[J]. 電信科學, 2014, 30(6): 48-59.

LI D, LIU F M, GUO D K, et al. Fundamental theory and key technology of software defined cloud data center network [J]. Telecommunications Science, 2014, 30(6): 48-59.

[5] HAN B, GOPALAKRISHNAN V, JI L, et al. Network function virtualization: challenges and opportunities for innovations[J]. IEEE Communications Magazine, 2015, 53(2): 90-97.

[6] NICK M, TOM A, HARI B, et al. OpenFlow: enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74.

[7] CHUNG C J, XING T, HUANG D, et al. SeReNe: on establishing secure and resilient networking services for an SDN-based multi-tenant datacenter environment[C]// IEEE International Conference on Dependable Systems and Networks Workshops, June 22-25, 2015, Rio de Janeiro, Brazil. Piscataway: IEEE Press, 2015.

[8] AMMAR M, RIZK M, ABDEL-HAMID A, et al. A framework for security enhancement in SDN-based datacenters[C]//2016 8th IFIP International Conference on New Technologies, Mobility and Security, November 21-23, 2016, Larnaca, Cyprus. Piscataway: IEEE Press, 2016.

[9] JOEL H, CARLOS P. Service function chaining, RFC Editor, October 2015[R/OL]. (2015-10-01)[2017-11-14]. https://www. rfc-editor.org/rfc/rfc7665.txt.

[10] KUMAR S, TUFAIL M, MAJEE S, et al. Service function chaining use cases in data centers. Internet-Draft draft-ietf- sfc- dc-use-cases-06[RB/OL]. (2017-01-01)[2017-11-14]. http://www. ietf.org/internet-drafts/draft-ietf-sfc-dc-use-cases-06.txt.

[11] LEIVADEAS A, FALKNER M, LAMBADARIS I, et al. Resource management and orchestration for a dynamic service chain steering model[C]//IEEE Global Communications Conference, December 4-8, 2016,Washington, DC, USA. Piscataway: IEEE Press, 2016.

[12] WANG X, LIU Z, LI J, et al. Tualatin: towards network security service provision in cloud datacenters[C]//2014 3rd International Conference on Computer Communication and Networks, August 4-7, 2014, Shanghai, China. Piscataway: IEEE Press, 2016.

[13] LOPEZ D, LOPEZ E, DUNBAR L, et al. Framework for interface to network security functions. Internet-Draft draft- ietf-i2nsf-framework-08, IETF Secretariat, October 2017[R/OL]. (2017-10-10)[2017-11-10]. https://www.ietf.org /archive/id/draft- ietf-i2nsf-framework-08.txt.

[14] OpenDaylight SFC project [EB/OL]. (2016-10-21)[2017-11-10]. https://github.com/opendaylight/sfc.

[15] Docker [EB/OL]. (2017-01-01)[2017-11-10]. https://www. docker.com.

[16] Open vSwitch [EB/OL]. (2016-01-01)[2017-11-10]. http:// openvswitch.org.

[17] Redis [EB/OL]. (2017-01-01)[2017-11-10]. https://redis.io.

[18] Openstack [EB/OL]. (2017-01-01)[2017-11-10]. https://www. openstack.org.

[19] Iptables [EB/OL]. (2014-01-01)[2017-11-10]. http://www.netfilter.

org/projects/iptables/index.html.

[20] Snort [EB/OL]. (2017-01-01)[2017-11-10]. https://www. snort.org.

[21] PAUL Q, URI E, CARLOS P. Network service header (NSH): Internet-Draft draft-ietf-sfc-nsh-28[EB/OL]. (2017-11-03) [2017-11-10]. http://www. ietf.org/internet- drafts/draft-ietf-sfc- nsh-28.txt.

[22] Conf D[EB/OL]. (2017-01-01)[2017-11-10]. http://developer. cisco.com/site/confd.

Service-oriented security framework for datacenter networks

HU Teng1, LI Guanwen2, ZHOU Huachun2

1. Institute of Computer Application, China Academy of Engineering Physics, Mianyang 621900, China 2. School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044, China

With the large-scale deployment of datacenters in cloud computing, there is an increasing attention to their security issues. However, with the ossify deployment of traditional security devices, it is hard to meet the requirements of dynamical network security situation and copy with new kinds of security threats. Therefore, a service-oriented security framework for datacenter networks was proposed, which was able to compose the virtualized security functions flexibly and update the security policies dynamically based on virtualization technology and software-defined networking. With the implementation of prototype, the feasibility and availability of the proposed security framework was proved, and a solution to promote the flexibility and security of datacenter networks was provided.

datacenter network, security function chaining, security policy deployment

TP393

A

10.11959/j.issn.1000?0801.2018031

2017?11?14；

2017?12?13

NSAF聯合基金資助項目（No. U1530118）；國家自然科學基金資助項目（No. 61271202）；國防基礎科研基金資助項目（No. JCKY2016212C005）

NSAF (No. U1530118), The National Natural Science Foundation of China(No. 61271202), National Defense Basic Scientific Research Program of China(No. JCKY2016212C005)

胡騰（1988?），男，中國工程物理研究院計算機應用研究所工程師，主要研究方向為計算機技術與信息安全。

李觀文（1992?），男，北京交通大學電子信息工程學院博士生，主要研究方向為軟件定義網絡與網絡安全。

周華春（1965?），男，博士，北京交通大學電子信息工程學院教授、博士生導師，主要研究方向為移動互聯網、網絡安全與衛星網絡。