基于SDN的云計算數據中心安全架構研究

陳井泉 王龍 魏月蓮 吳蔣

摘? 要： 在不同干擾源下，傳統架構對云計算數據中心保護效率較低，導致數據中心不安全，為了避免用戶信息泄露，提出基于SDN的云計算數據中心安全架構。分析SDN在云計算數據中心的應用情況，并對OpenFlow協議進行研究，從分層安全、通信安全以及云計算控制中心安全三個方面完成SDN安全控制器的框架設計。采用面向服務體系結構，構建通信安全模式，使其升級為主動化安全模式，通過訪問特定端點，獲取具體服務行為。鎖定主機，通過特定端點進行相關參數設置，經過遠程主機傳送指令，對數據中心進行控制。創建基于SDN技術的多區域安全服務，添加業務資源為業務云提供多種相關業務，通過安全代理控制有用和無用數據分離，在通信結構支持下進行基礎通信交互，將SDN技術應用于虛擬桌面安全防護模式下，整合數據中心安全與等級保護措施，由此完成基于SDN的云計算數據中心安全架構設計。通過實驗對比結果可知，該架構最高保護效率達到0.976 9，可有效保護用戶信息安全。

關鍵詞： 數據中心安全; SDN; 云計算; 應用分析; 數據中心控制; 通信安全

中圖分類號： TN918.91?34; TP309? ? ? ? ? ? ? ? ? 文獻標識碼： A? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）03?0087?05

Research on cloud computing data center security architecture based on SDN

CHEN Jingquan， WANG Long， WEI Yuelian， WU Jiang

（Network and Educational Technology Center， Hainan Tropical Ocean University， Sanya 572022， China）

Abstract： Under different interference sources， the traditional architecture has low protective efficiency for cloud computing data center， which leads to data center insecurity. In order to avoid user information leakage， a cloud computing data center security architecture based on SDN （Software Defined Network） is proposed. The application of SDN in cloud computing data center is analyzed， and the OpenFlow protocol is studied. The framework of SDN security controller is designed in consideration of hierarchical security， communication security and cloud computing control center security. The service?oriented architecture is adopted to construct communication security mode， which will make it upgraded to active security mode. The specific service behaviors are obtained by accessing the specific endpoints. Under the condition that the host is locked， the related parameters are set on the basis of the specific endpoints， and the commands are sent by remote host to control the data center. A multi?area security service based on SDN technology is created. The business resources are added to provide a variety of related services for business cloud. The separation of useful and useless data is controlled by security agent. The basic communication interaction is performed with the support of communication structure. The SDN technology is applied to virtual desktop security protection mode to integrate the security and classified protection measures of data center， thus completing the design of the SDN?based cloud computing data center security architecture. The experimental results show that the maximum protective efficiency of this architecture reaches 0.976 9， which can effectively guarantee the user information security.

Keywords： data center safety; SDN; cloud computing; application analysis; data center control; communication security

0? 引? 言

云計算是以數據資源的形式向用戶展示存儲功能，其安全問題是被關注的焦點，將安全問題分為兩類，分別是設備部署在云環境中需要的新防護手段和引入的新安全問題[1]。伴隨計算機技術在各行各業中的廣泛應用，傳統數據中心因為虛擬化技術增加了安全設備識別難度，已經不能滿足目前海量數據的存儲，給數據集中帶來一定安全風險。而云計算環境就是將存儲與網絡整合為一體，通過虛擬化設備以及動態網絡資源實現數據中心的池化與管理[2]。因此，如何實現計算數據中心安全架構，成為人們重點考慮問題。采用傳統方法設計的安全架構內部設備眾多、網絡相對復雜、資源高度虛擬化，很難對設備組件進行精準定位，為此，提出了基于SDN的云計算數據中心安全架構。在原有架構基礎上，部署業務，通過SDN軟件定義網絡技術連接業務云，并動態劃分多個業務區域，針對穩定業務實施防護[3]。

1? SDN在云計算數據中心的應用研究

軟件定義網絡SDN技術是一種新型網絡創新技術，在該技術中，可將網絡看作一個虛擬實體，由于網絡控制平面相對集中，因此需根據網絡功能，通過規范編程進行自動化網絡管理，保證網絡控制更加靈活化[4]。

軟件定義網絡SDN體系結構可分為3層，如圖1所示。

圖1中的轉發層軟件與控制層軟件進行數據交互時，采用開放式應用程序界面標準接口，而控制層與管理層網絡設備都是通過數據平面接口進行數據轉發的[5]。

根據實際情況，提出了基于SDN的云計算數據中心安全架構，該架構能夠實現數據中心的動態調控，如果網絡資源不足，可從另一個資源庫中調用[6]。SDN在云計算數據中心的應用情況如表1所示。

1） 管理層主要負責整個數據中心的資源管理，通過OpenStack創建網絡資源和存儲資源，新建的虛擬機可對管理員權限進行用戶管理[7]。經過兩個數據中心計算資源管理情況，為安全架構提供虛擬網絡配置服務。

2） 控制層可將網絡實例化，根據上層下發的路徑策略對流表進行查詢、修改。

3） 轉發層主要負責接收基礎設置層下發的流表，并對數據進行處理和狀態收集，通過SDN網關二層互聯，可對SDN控制器進行直接管理與控制[8]。

2? OpenFlow協議研究

為了解決無法修改網絡中網絡設備的問題，設計了OpenFlow控制轉發分離架構，將控制邏輯與網絡設備進行分離化處理，由此實現了新型的OpenFlow網絡協議。隨著OpenFlow協議的產生，創建了支持OpenFlow協議的交換機設備。OpenFlow協議經由控制器向安全通道進行傳輸與應用，其應用規范包括三個主要方面：

1） 在物理端口上抽象出邏輯端口。

2） 在用戶規則下，亦或是默認規則下，匹配網絡包。OpenFlow協議通過流表進行網絡包的匹配和處理。一個流表中通常包括多條流表項，而流表項是由優先級、匹配域以及丟棄、轉發行為等字段構成。

3） OpenFlow交換機與SDN安全控制器之間的橋梁結構是通信信道。OpenFlow規范中存在三種類型的信息，三種類型的信息均要遵循OpenFlow協議，經由通信信道從OpenFlow交換機中傳向SDN安全控制器。

3? SDN安全控制器的框架設計

將SDN安全控制器的框架結構劃分為四個模塊，分別是普通安全服務模塊、核心計算存儲模塊、服務管理模塊和存儲備份模塊。給出SDN安全控制器的框架結構如圖2所示。

由圖2可知，在SDN安全控制器的框架結構中部署防火墻、安全隔離和入侵檢測防御模塊，能夠掃描安全漏洞，并對數據庫進行安全審計[9]。

3.1? 分層安全模塊

分層安全模塊是針對網絡層、應用層、主機層和數據層進行安全設計的，按照信息系統可將業務處理過程劃分為三個部分，分別是計算環境、區域邊界和通信網絡，由這三部分可構成SDN技術支撐下的重要防護體系結構，如圖3所示。

1） 網絡層具備云計算環境結構，在SDN軟件網絡技術下，可對網絡設備進行直接訪問與控制，保證用戶和流量安全審計[10]。

2） 應用層包括安全漏洞修補和檢測，及時發現攻擊行為，并在入侵檢測時還原協議，為數據中心安全提供審計依據。

3） 主機層包括系統安全加固、防病毒體系、入侵防范機制。

4） 數據層負責云計算數據的完整性，實現系統管理數據傳輸和存儲的保密性，并及時對安全數據進行備份。

3.2? 通信安全模塊

云計算發展在計算機應用領域獨樹一幟，將數據存放在企業內部具有SDN基礎架構數據中心，有效保障數據中心的安全[11]。以被動化安全模式升級為主動化安全模式，需在云計算數據中心安全通信，以此保障個人信息安全。

通信基礎是數據通信應用程序開發的主要接口，允許遠程程序之間的互相通信，用于應用程序分布式構建，采用面向服務的體系結構可對分布式處理性能進行優化[12]。通信安全模塊結構如圖4所示。

由圖4可知，在通信安全模塊框架中，將某一宿主的服務端以端點為外通信接口，設置常用地址，綁定相關契約。其中，地址是服務中心的主要位置，通過給定的編碼信息，定義契約下的具體服務行為。通過訪問特定端點，獲取具體服務，以雙工模式與服務進行交互。

3.3? 云計算控制中心安全模塊

云計算控制中心安全模塊由通信、遠程控制、遠程監視和管理四大模塊組成，其結構圖如圖5所示。由圖5可知，鎖定主機，通過終端接口進行即時通信，設置相關參數，通過向遠程主機發送相關指令，并調用自身應用程序界面實現云計算環境下的數據中心安全控制。

4? 基于SDN的云計算數據中心安全架構設計

要對基于SDN的云計算數據中心安全架構進行設計，需結合云計算數據中心信息現狀，將數據中心信息劃分為六個不同安全風險區域：

安全區域1：生產服務核心數據庫，存放關鍵業務數據;

安全區域2：公共服務數據庫;

安全區域3：輔助業務數據庫;

安全區域4：安全管理數據庫，包含測試服務;

安全區域5：外網連接至不同網站，安全層次低于上述區域;

安全區域6：網絡連接區域，安全層次達到最低。

在安全風險區域下，研究基于SDN技術的多區域安全服務如圖6所示。

添加業務資源為業務云提供多種相關業務，通過安全代理實現有用數據和無用數據的隔離。安全代理是實現隔離的關鍵步驟，通過動態配置，對數據是否安全進行檢測，決定數據傳輸方向，進而實現業務子云的邏輯隔離。經過安全云大數據分析引擎提供數據分析服務，通過管理中心，研究業務云實時狀態，動態調整安全代理實施步驟，控制安全功能的實現。

基礎通信交互過程如下所示：客戶端向服務端發送服務請求，服務端開始執行操作，操作完成后，向客戶端發送回調請求。將結果顯示在客戶端，并向服務端發送回調應答，之后執行后續操作，所有操作完成之后，服務端向客戶端發送服務應答。通信控制主要負責各個子模塊之間的通信，可實時與遠程主機進行信息交流。

在云計算環境下，用戶通過網絡連接虛擬桌面，再通過虛擬桌面直接訪問服務器，虛擬桌面安全防護過程如圖7所示。

用戶1是以遠程登錄方式訪問的虛擬機B1，當用戶1訪問虛擬機B2上業務時，發送的數據被安全代理獲取。安全代理通過網絡將信息傳至管理中心。管理中心解析信息，確認信息安全后，傳遞給S1，并同時發送一個令牌。用戶2也以遠程桌面形式登錄服務器A2上的虛擬機B2，通過類似上述過程，實現虛擬桌面安全防護。

在虛擬桌面安全防護模式下，使用SDN技術將云計算數據中心安全措施與等級保護措施整合，如表2所示。

根據表2內容，可有效保證云計算數據中心安全，由此完成基于SDN的云計算數據中心安全架構研究。

5? 實? 驗

傳統架構受到外界干擾，導致云計算數據中心不安全，而采用SDN技術設計的架構可對云計算數據中心進行安全保護，不會受到外界任何條件干擾。為了證實該點，分別在WEP加密攻擊、偵測入侵無線存取設備攻擊和掃描開放型無線存取點網絡攻擊情況下，驗證基于SDN的云計算數據中心安全架構比傳統架構安全性更高。

5.1? WEP加密攻擊

WEP加密攻擊采取主動出擊方式，通過復制數據包可發送虛假信息，以此獲取反饋信息，這種攻擊方式會使云計算數據中心安全受到威脅。在這種情況下，對比傳統架構與SDN架構的安全性，結果如圖8所示。

由圖8可知：隨著調查人數的增加，兩種架構對云計算數據中心保護效率都有所降低，但傳統架構降低程度較大，最低保護效率達到了20%，已經無法有效保護數據中心安全;而基于SDN安全架構最低保護效率能達到78%以上，能夠有效保護數據中心安全，因此，在該攻擊條件下，基于SDN安全架構具有較高保護效率。

5.2? 偵測入侵無線存取設備攻擊

偵測入侵無線存取設備攻擊是在某一網絡下，黑客設置無線存取設備，使用戶誤認為該處是無線網絡，一旦連接成功，黑客就可盜取用戶輸入密碼，這種攻擊方式會使云計算數據中心安全受到威脅。在這種情況下，對比傳統架構與SDN架構的安全性，結果如圖9所示。

由圖9可知：當公共網絡接入后，傳統架構保護效率下降速度較快，而基于SDN架構基本保持不變，即使后續有些小幅度下降，但依然保持在75%以上保護效率。而傳統架構保護效率已經下降到20%，因此，在該攻擊條件下，基于SDN安全架構具有較高保護效率。

5.3? 掃描開放型無線存取點網絡攻擊

掃描開放型無線存取點網絡攻擊多出現在免費上網，通過用戶自身的網絡攻擊第三方，這種攻擊方式會使云計算數據中心安全受到威脅。在這種情況下，對比傳統架構與SDN架構的安全性，結果如表3所示。

由表3可知：當調查人數為60人時，傳統架構下的保護效率依然大于60%，但隨著人數的增加，該架構下的保護效率降到了最低為0.398 2;而基于SDN架構下的保護效率最低也高于90%，因此，在該攻擊條件下，基于SDN安全架構具有較高保護效率。

根據上述內容，可得出如下結論：

1） WEP加密攻擊：傳統架構最高保護效率為86%，最低為20%;基于SDN安全架構最高保護效率為86%，最低為78%。

2） 偵測入侵無線存取設備攻擊：傳統架構最高保護效率為90%，最低為20%;基于SDN安全架構最高保護效率為90%，最低為75%。

3） 掃描開放型無線存取點網絡攻擊：當調查人數為20人、40人、60人、80人、100人時，基于SDN安全架構保護效率比傳統架構保護效率分別高0.188 8，0.223 3，0.285 6，0.345 5，0.513 1。傳統架構最高保護效率為0.885 7，最低為0.398 2;基于SDN安全架構最高保護效率為0.976 9，最低為0.911 3。

綜上所述，基于SDN的云計算數據中心安全架構比傳統架構安全性更高。

6? 結? 語

數據中心安全問題已成為制約云計算發展的主要因素，通過使用SDN軟件定義網絡技術可將其劃分為多個區域，將云環境中的安全問題從復雜問題中分離出來，不僅僅依賴業務云就能實現數據中心安全保護。相比于傳統架構，該架構安全等級更高，為實現云安全提供了一種可行思路。雖然該架構安全等級較高，但安全代理方式還是相對簡單，直接利用云環境連接安全代理，容易出現利用效率過低的問題。因此，需進一步解決數據傳輸方面的問題，避免極端情況下數據爆發式增長給數據處理中心帶來難題，為此，仍需進一步研究，完善云計算數據中心安全架構。

注：本文通訊作者為王龍。

參考文獻

[1] 劉漢江，歐亮，陳文華，等.基于SDN的跨數據中心承載技術[J].電信科學，2016，32（3）：28?34.

[2] 王昌平，蔡岳平.數據中心網絡流量分類路由機制研究[J].小型微型計算機系統，2016，37（11）：2488?2492.

[3] 張凱，裘曉峰，朱新寧.基于SDN的網絡虛擬化平臺及其隔離性研究[J].電信科學，2016，32（9）：125?131.

[4] 朱丹紅，林清祥，張棟.基于SDN數據中心網絡的時限感知的擁塞控制算法[J].計算機工程與應用，2018，30（5）：12?13.

[5] 陸一飛，朱書宏.數據中心網絡下基于SDN的TCP擁塞控制機制研究與實現[J].計算機學報，2017，40（9）：2167?2180.

[6] 程克非，高江明，段潔，等.面向SDN的數據中心網絡更新研究綜述[J].電訊技術，2017，57（10）：1224?1232.

[7] 孫三山，汪帥，樊自甫.軟件定義網絡架構下基于流調度代價的數據中心網絡擁塞控制路由算法[J].計算機應用，2016，36（7）：1784?1788.

[8] 文學敏，韓言妮，于冰，等.軟件定義數據中心內一種基于拓撲感知的VDC映射算法[J].計算機研究與發展，2016，53（4）：785?797.

[9] 王化冰.基于網絡數據的計算機網絡系統設計與開發[J].電子設計工程，2017，25（17）：185?190.

[10] 韓美芳.云計算下敏感數據安全傳輸可靠性評估仿真[J].計算機仿真，2018，35（9）：405?408.

[11] LI Wenwei， JI Meng， DAI Fei. Research and design of SDN platform based on router virtualization technology [J]. Study on optical communications， 2016， 18（5）： 12?15.

[12] FAN Zifu， LI Shu， ZHANG Dan. Traffic scheduling based congestion control algorithm for data center network on software defined network [J]. Computer science， 2017， 44（S1）： 266?269.