CN109947534A - 一种基于sdn的云安全功能调度系统 - Google Patents
一种基于sdn的云安全功能调度系统 Download PDFInfo
- Publication number
- CN109947534A CN109947534A CN201910185937.3A CN201910185937A CN109947534A CN 109947534 A CN109947534 A CN 109947534A CN 201910185937 A CN201910185937 A CN 201910185937A CN 109947534 A CN109947534 A CN 109947534A
- Authority
- CN
- China
- Prior art keywords
- module
- virtual
- cloud
- security
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明公开一种基于SDN的云安全功能调度系统,系统包括云安全虚拟编排模块、云安全虚拟功能模块、云安全虚拟载荷模块、云安全实现模块和虚拟资源服务端模块。该系统基于云环境下的计算资源虚拟化和网络虚拟化,定义了从单个安全功能的部署到一整套安全编排的虚拟化过程,为用户在不同网络环境下实现统一的安全功能调度建立基础。系统在实现层面利用SDN架构控制与数据的分离,因而具有简单灵活和易扩展等特点。
Description
技术领域
本发明涉及网络技术领域,更具体地,涉及一种基于SDN的云安全功能调度系统。
背景技术
云数据中心作为大数据时代的重要基石在近几年得到了迅速发展,承载了越来越多的个人、企业和政府的数据服务。在云环境下,各种新应用和协议的出现,动态的拓扑结构和快速扩张的网络规模等为网络安全功能的部署提出了巨大的挑战。而现有技术在面对复杂多变的云网络环境下不同种类和规模的网络攻击时还存在着诸多不足。
发明内容
为了解决现有技术无法不同种类和规模的网络攻击时还存在着诸多不足的问题,本发明提供了一种基于SDN的云安全功能调度系统。
为实现以上发明目的,采用的技术方案是:
一种基于SDN的云安全功能调度系统,包括云安全虚拟编排模块、云安全虚拟功能模块、云安全虚拟载荷模块、云安全实现模块以及虚拟资源服务端模块;
所述的云安全虚拟编排模块用于实现对安全编排的定义,调用云安全虚拟功能模块完成对安全编排的整体操作;
所述的云安全虚拟功能模块用于建立安全配置服务器和调用云安全虚拟载荷模块完成对单个安全功能的自动配置和部署;
所述的云安全虚拟载荷模块用于定义不同类型的虚拟安全载荷并实现自动化部署;
所述的云安全实现模块用于接收并处理对于安全载荷的部署命令;
所述的虚拟资源服务端模块用于对单个宿主机内部虚拟的虚拟机、docker和OVS的虚拟资源进行管理。
优选的,所述的云安全虚拟编排模块,云安全虚拟功能模块和云安全虚拟载荷模块的设计分别对应三个虚拟化层次:编排层,功能层和载荷层,每个子模块负责对应层次的虚拟化,并屏蔽下层细节以及对外提供标准的操作接口。
优选的,所述的云安全虚拟编排模块基于安全功能层定义并具有独立于实际网络平台的安全编排的结构,并提供安全编排操作函数,包括对安全编排的新建、复制、移动、删除、合并和裁剪。该模块最终调用云安全虚拟功能模块相关函数来完成具体操作。
优选的,所述的云安全虚拟功能模块基于安全功能的定义实现层定义可自由调度的安全功能,内容包括安全功能配置,安全载荷和安全载荷物理环境;通过建立安全配置服务器来实现对安全载荷进行安全规则的自动配置;实现并提供针对安全功能的操作函数,包括新建、复制、移动和删除;该模块最终调用云安全虚拟载荷模块相关函数来完成具体操作。
优选的,所述的云安全虚拟载荷模块基于云环境下的NFV定义多种不同类型的虚拟安全载荷,实现并提供对安全载荷的新建、复制、移动和删除的接口函数。
优选的,所述的云安全实现模块以从虚拟资源服务端模块和SDN控制器获取的实际网络信息为基础,分析并整理从云安全虚拟载荷模块下发的操作指令;远程调用虚拟资源服务端模块的RPC接口和宿主机上的libvirt服务,完成对虚拟资源的管理;对虚拟网络拓扑结构的调整和VLAN,VXLAN和GRE的配置,调用SDN控制器的API,对交换机的流表进行管理,从而完成目标数据流的导通。
优选的,所述的虚拟资源服务端模块作为服务安装在各个宿主机上,通过调用libvirt服务,docker服务和OVSDB数据库来管理管理本机上的各种虚拟资源如VM,docker,OVS,Linux Bridge等,并通过建立RPC服务器对外提供管理接口和数据查询接口。
与现有技术相比,本发明的有益效果是:
本发明以云环境下的计算资源虚拟化和网络虚拟化为基础,提出并实现了一套安全功能虚拟化的框架;用户可以在此框架内自由定义并调配不同层次的安全功能。利用SDN架构数据层和控制层分离的特点,对网络中的资源进行统一控制,实现了在不同平台,不同网络之间对安全功能的自由调度;这种设计适应了复杂多变的云网络环境,利用了云数据中心自身的计算资源和网络资源,能动态和高效的防御不同方向,不同种类和规模的网络攻击。
附图说明
图1为本发明的系统总体结构示意图。
图2为实际部署的网络拓扑示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
以下结合附图和实施例对本发明做进一步的阐述。
实施例1
如图1所示,系统包括云安全虚拟编排模块、云安全虚拟功能模块、云安全虚拟载荷模块、云安全实现模块和虚拟资源服务端模块。所述的云安全虚拟编排模块用于实现对安全编排的定义,调用云安全虚拟功能模块完成对安全编排的整体操作;
所述的云安全虚拟功能模块用于建立安全配置服务器和调用云安全虚拟载荷模块完成对单个安全功能的自动配置和部署;
所述的云安全虚拟载荷模块用于定义不同类型的虚拟安全载荷并实现自动化部署;
所述的云安全实现模块负责接收并处理对于安全载荷的部署命令;
所述的虚拟资源服务端模块负责对单个宿主机内部虚拟的虚拟机、docker和OVS等虚拟资源进行管理。
实施例2
如图2所示,本发明基于SDN架构。SDN控制器通过openflow协议与各级SDN交换机通信。云安全功能调度系统的主体部分可以部署于任意接入网络的物理主机甚至是虚拟机上,包括云安全虚拟编排模块、云安全虚拟功能模块、云安全虚拟载荷模块和云安全实现模块;虚拟资源服务端模块安装在每个宿主机内部,通过RPC与主体系统形成逻辑联系。系统主体部分通过调用REST API与控制器交互。
云安全对用户屏蔽了特定网络平台的物理特性从而为统一和标准化的安全功能调度提供基础。模块的设计分为三个虚拟化层次:编排层,功能层和载荷层,对应三个子模块:云安全虚拟编排模块,云安全虚拟功能模块和云安全虚拟载荷模块。每个子模块负责对应层次的虚拟化,屏蔽下层细节,对外提供标准的操作接口。上层模块的设计基于下层。用户可以直接或间接调用这些接口来进行不同层次的安全功能定制和调度。
云安全虚拟载荷模块:
定义了基于云计算中心和网络中心的各种资源而虚拟化的具有相应的不同类别的安全载荷。每一种安全载荷在可扩展性,可定制性上表现相同,所承载安全功能处于相同的网络层次,能适应大致相似的网络结构和规模。安全载荷种类包括虚拟机,容器、硬交换机、软交换机、硬件防火墙和硬件IDS等。每一种安全载荷具有以下属性和方法:安全载荷的物理特性(包括网口数目、网口类型、包处理能力、协议版本,所处网络层次,支持安全功能等等),安全载荷接入不同类型网络的方法。
提供对安全载荷的操作函数,包括新建、复制、移动和删除。每一种操作都与具体的安全载荷种类有关,并最终调用云安全实现模块的相关接口来实现。
云安全虚拟功能模块:
云安全虚拟功能模块通过调用云安全虚拟载荷模块来实现单一安全功能的部署。安全功能包括防火墙,深度包解析,入侵检测和防御等。提供了云安全功能的新建,复制,移动和删除等操作接口。
云安全虚拟功能模块实现了对安全载荷进行安全功能规则的自动配置。对于虚拟机,配置是通过建立一个安全配置服务器来下发安全规则到指定虚拟载荷来实现的。对于docker,是直接利用宿主机上的管理后端模块自动脚本完成。
以在附图2中左侧宿主机ovs1下方新建一个虚拟机防火墙为例来简要说明。
a、调用云安全虚拟载荷模块的新建函数来创建虚拟机,参数包括:载荷类(虚拟机),位置(ovs1与ovs2之间),连接方式(物理直连)等。
b、虚拟机新建完毕,返回虚拟机所有网口MAC地址。
c、配置安全配置服务器,使其对含有指定MAC地址的请求报文返回指定的安全规则类型和具体配置。
d、启动虚拟机,虚拟机自动向安全配置服务器发起配置请求,并依据获得的配置信息加载相应的安全功能。
云安全虚拟编排模块:
定义了不同类型不同位置的安全功能如何组合成一个特定的安全编排(orchestration),如图2中的两个防火墙。安全编排由其内部安全功能的类型,数目,安全功能之间的逻辑联系和拓扑相对位置决定,与具体网络细节无关。云安全编排层向云安全策略层提供对于安全编排的整体操作和局部操作,包括新建,复制,移动,删除,合并,裁剪。安全编排的具体实施依赖于对安全功能层操作接口的调用。
云安全实现模块:
轮询虚拟资源管理模块和SDN控制器以实时获取并更新实际网络信息,包括全网物理安全资源清单,网络拓扑,链路速率,节点负载等。在必要时,该模块还会主动查询网络中的特定信息,比如节点间延迟等。
接收并实现云安全虚拟载荷模块给出的配置要求,包括对安全载荷的定义和操作类型(新建,复制,移动和删除)以及部署环境。
实现在目标宿主机中新建,复制和删除VM或Docker的操作。对VM的操作是通过远程调用目标宿主机上的Libvirt服务完成,对docker的操作是通过RPC调用目标宿主机上的虚拟资源服务端模块来完成。例如,在新建VM时,将资源调度前端模块给出的虚拟机特性描述(包括系统类型,CPU数目,内存大小,网口数目等)转换为适应目标宿主机的LibvirtDomain描述文件,调用python-libvirt库中的createDomain函数完成新建动作。
对OVS或者Linux Bridge新建和删除。这是通过xmlRPC调用位于宿主机上的虚拟资源服务端模块对应接口来完成。
对虚拟网络拓扑进行修改,包括增删tap、tun、veth、Linux Bridge和OVS端口并链接;配置OVS来导通VLAN、VXLAN或GRE。该模块通过RPC(Remote Process Call)调用目标网络宿主机上的虚拟资源服务端模块中的相应函数来完成。
接收由资源调度前端模块给出的目标数据流定义,将其转化为适合特定SDN交换机的目标流规则。然后查询获取与目标数据流相关的各个SDN交换机的流信息,得出对各个SDN交换机中相关流的处理报告。最后,调用SDN控制器接口,对流处理报告中的相关流执行对应的增加,删除或更改操作,完成目标数据流的导通。
虚拟资源服务端模块:
虚拟资源服务端模块以服务的形式安装在各个宿主机,负责对本机内部的VM,docker,OVS,Linux Bridge等进行实际管理。比如,通过python-libvirt库来管理VM,通过OVSDB来管理OVS,通过Bash来管理docker和Linux Bridge。同时,该模块建立一个RPC服务器,对外提供管理接口和信息查询接口。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (5)
1.一种基于SDN的云安全功能调度系统,其特征在于,包括云安全虚拟编排模块、云安全虚拟功能模块、云安全虚拟载荷模块、云安全实现模块以及虚拟资源服务端模块;
所述的云安全虚拟编排模块用于实现对安全编排的定义,调用云安全虚拟功能模块完成对安全编排的整体操作;
所述的云安全虚拟功能模块用于建立安全配置服务器和调用云安全虚拟载荷模块完成对单个安全功能的自动配置和部署;
所述的云安全虚拟载荷模块用于定义不同类型的虚拟安全载荷并实现自动化部署;
所述的云安全实现模块用于接收并处理对于安全载荷的部署命令;
所述的虚拟资源服务端模块用于对单个宿主机内部虚拟的虚拟机、docker和OVS的虚拟资源进行管理。
2.根据权利要求1所述的一种基于SDN的云安全功能调度系统,其特征在于,所述的云安全虚拟编排模块,云安全虚拟功能模块和云安全虚拟载荷模块的设计分别对应三个虚拟化层次:编排层,功能层和载荷层,每个子模块负责对应层次的虚拟化,并屏蔽下层细节以及对外提供标准的操作接口。
3.根据权利要求2所述的一种基于SDN的云安全功能调度系统,其特征在于,所述的云安全虚拟编排模块基于安全功能层定义并具有独立于实际网络平台的安全编排的结构,并提供安全编排操作函数,包括对安全编排的新建、复制、移动、删除、合并和裁剪。
4.根据权利要求3所述的一种基于SDN的云安全功能调度系统,其特征在于,所述的云安全虚拟功能模块基于安全功能的定义实现层定义可自由调度的安全功能,内容包括安全功能配置,安全载荷和安全载荷物理环境;并提供针对安全功能的操作函数,包括新建、复制、移动和删除。
5.根据权利要求4所述的一种基于SDN的云安全功能调度系统,其特征在于,所述的云安全虚拟载荷模块基于云环境下的NFV定义多种不同类型的虚拟安全载荷,实现并提供对安全载荷的新建、复制、移动和删除的接口函数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910185937.3A CN109947534B (zh) | 2019-03-12 | 2019-03-12 | 一种基于sdn的云安全功能调度系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910185937.3A CN109947534B (zh) | 2019-03-12 | 2019-03-12 | 一种基于sdn的云安全功能调度系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109947534A true CN109947534A (zh) | 2019-06-28 |
| CN109947534B CN109947534B (zh) | 2022-12-27 |
Family
ID=67009691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910185937.3A Active CN109947534B (zh) | 2019-03-12 | 2019-03-12 | 一种基于sdn的云安全功能调度系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109947534B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756692A (zh) * | 2020-05-19 | 2020-10-09 | 中国科学院信息工程研究所 | 一种网络安全防护方法及系统 |
| CN112202724A (zh) * | 2020-09-09 | 2021-01-08 | 绿盟科技集团股份有限公司 | 一种多合一编排模式的数据汇聚方法及装置 |
| CN112822192A (zh) * | 2021-01-06 | 2021-05-18 | 中山大学 | 一种面向用户需求的安全功能服务网系统及其实现方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150263980A1 (en) * | 2014-03-14 | 2015-09-17 | Rohini Kumar KASTURI | Method and apparatus for rapid instance deployment on a cloud using a multi-cloud controller |
| US9166988B1 (en) * | 2014-04-22 | 2015-10-20 | Korea Internet & Security Agency | System and method for controlling virtual network including security function |
| US20160065618A1 (en) * | 2014-09-02 | 2016-03-03 | Symantec Corporation | Method and Apparatus for Automating Security Provisioning of Workloads |
| CN105450668A (zh) * | 2015-12-30 | 2016-03-30 | 中电长城网际系统应用有限公司 | 云安全服务实现系统和云安全服务实现方法 |
| CN108833335A (zh) * | 2018-04-16 | 2018-11-16 | 中山大学 | 一种基于云计算管理平台Openstack的网络安全功能服务链系统 |
-
2019
- 2019-03-12 CN CN201910185937.3A patent/CN109947534B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150263980A1 (en) * | 2014-03-14 | 2015-09-17 | Rohini Kumar KASTURI | Method and apparatus for rapid instance deployment on a cloud using a multi-cloud controller |
| US9166988B1 (en) * | 2014-04-22 | 2015-10-20 | Korea Internet & Security Agency | System and method for controlling virtual network including security function |
| US20160065618A1 (en) * | 2014-09-02 | 2016-03-03 | Symantec Corporation | Method and Apparatus for Automating Security Provisioning of Workloads |
| CN105450668A (zh) * | 2015-12-30 | 2016-03-30 | 中电长城网际系统应用有限公司 | 云安全服务实现系统和云安全服务实现方法 |
| CN108833335A (zh) * | 2018-04-16 | 2018-11-16 | 中山大学 | 一种基于云计算管理平台Openstack的网络安全功能服务链系统 |
Non-Patent Citations (2)
| Title |
|---|
| 张春明: "浅析云安全技术及实现", 《计算机时代》 * |
| 王秀磊 等: "一种防御DDoS攻击的软件定义安全网络机制", 《软件学报》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756692A (zh) * | 2020-05-19 | 2020-10-09 | 中国科学院信息工程研究所 | 一种网络安全防护方法及系统 |
| CN112202724A (zh) * | 2020-09-09 | 2021-01-08 | 绿盟科技集团股份有限公司 | 一种多合一编排模式的数据汇聚方法及装置 |
| CN112202724B (zh) * | 2020-09-09 | 2023-04-07 | 绿盟科技集团股份有限公司 | 一种多合一编排模式的数据汇聚方法及装置 |
| CN112822192A (zh) * | 2021-01-06 | 2021-05-18 | 中山大学 | 一种面向用户需求的安全功能服务网系统及其实现方法 |
| CN112822192B (zh) * | 2021-01-06 | 2022-10-21 | 中山大学 | 一种面向用户需求的安全功能服务网系统及其实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109947534B (zh) | 2022-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021017279A1 (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
| Abbasi et al. | Software-defined cloud computing: A systematic review on latest trends and developments | |
| US11765057B2 (en) | Systems and methods for performing end-to-end link-layer and IP-layer health checks between a host machine and a network virtualization device | |
| US11025711B2 (en) | Data centric resource management for edge cloud systems | |
| WO2021017301A1 (zh) | 基于Kubernetes集群的管理方法、装置及计算机可读存储介质 | |
| Lu et al. | Hybnet: Network manager for a hybrid network infrastructure | |
| EP3447965B1 (en) | Network function instance management method and relevant device | |
| WO2015021248A1 (en) | Hybrid network management | |
| WO2016119631A1 (zh) | 一种接入云服务的方法及接入设备 | |
| CN106953848B (zh) | 一种基于ForCES的软件定义网络实现方法 | |
| CN109947534A (zh) | 一种基于sdn的云安全功能调度系统 | |
| CN107819742A (zh) | 一种动态部署网络安全服务的系统架构及其方法 | |
| US10630808B1 (en) | Contextual routing for directing requests to different versions of an application | |
| CN105939356B (zh) | 一种虚拟防火墙划分方法和装置 | |
| CN111264048A (zh) | 定义用于网络服务(ns)的网络服务描述符(nsd)的方法和使用所述nsd的网络功能虚拟化(nfv)编排器(nfvo) | |
| WO2020259081A1 (zh) | 任务调度方法、装置、设备及计算机可读存储介质 | |
| US7974990B2 (en) | Managing program applications | |
| CN109074288A (zh) | 网络虚拟化场景中的冲突解决 | |
| CN111901154B (zh) | 基于nfv的安全架构系统和安全部署及安全威胁处理方法 | |
| CN106547790B (zh) | 一种关系型数据库服务系统 | |
| CN112256386A (zh) | 一种仿真运行支撑系统 | |
| US8200823B1 (en) | Technique for deployment and management of network system management services | |
| US11606268B2 (en) | Cloud computing environment with split connectivity and application interfaces that enable support of separate cloud services | |
| JP6591045B2 (ja) | ネットワークサービスを移行するための方法及びネットワークサービス装置 | |
| Ouedraogo et al. | Flyweight network functions for network slicing in IoT |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |