申淑平

（江苏联合职业技术学院南通卫生分院，江苏南通226010）

基于SDN的开放SaaS平台网络安全体系设计和研究

申淑平

（江苏联合职业技术学院南通卫生分院，江苏南通226010）

针对开放软件即服务（SaaS）平台网络安全性差的问题，文中基于软件定义网络（SDN）技术，结合国内外SDN的研究现状和开放SaaS平台的特点，自顶而下设计了一套基于SDN的开放SaaS平台网络安全体系。分析了系统物理和功能模型以及协同模型，并设计了相应的系统体系结构。平台经过封装后，可使用户无需了解底层接口和相关安全技术，只需使用上层提供的接口即可进行安全体系设计与功能实现，能满足平台构建对动态性、开放性、强扩展性和高安全性的需求。最终通过系统典型实例验证了，该网络安全体系的实用性与有效性。

软件即服务；软件定义网络；网络安全体系；网络防护

SaaS平台，即开放软件即服务平台，属于开放的云计算架构平台。其特点是面向使用者提供动态可扩展编程的软件即服务，具有动态扩展性强、开放性大等优点，但这也带来了安全性的关键问题[1-2]。针对这一问题，国内外研究人员进行了广泛的思考和研究，包括从SaaS数据、业务流程与云计算模型、架构等方面对安全性进行考虑[3-6]。直到具有集中化控制、开放可编程结构以及控制平面分析等特征的软件定义网络技术SDN的出现，才为SaaS平台安全性问题提供了新的解决方案，从而成为网络与云计算安全领域的焦点[7-9]。SDN在网络和云计算平台安全体系中的运用，被认为是目前乃至未来网络安全体系的发展趋势，能为云计算平台提供必要的安全保障。当前，基于SDN的应用探索主要从SDN设备着手，较少将其放在应用体系中进行全面而系统的研究。

因此，文中依托于框架和应用研究，充分发挥SDN封装后向上提供编程接口的优势，从建设体系的角度将SDN应用于开放SaaS平台安全体系的建设。自顶向下研究了系统的体系结构和安全模型，分析了系统构建、构件管理、数据表示和协同等关键要素。并根据SaaS平台的相关集成标准，为基于SDN开发的网络安全应用制作了封装，以方便用户只需通过调用SaaS编程接口，而无需关注底层接口便可实现所需的网络安全功能。该体系同时具有SDN安全性高、路由可控和开放SaaS平台的特点，且依托于该体系结构可于后期进行持续性建设和更新。并逐步形成按需定制、动态开放的网络安全系统，从而不断提升系统协同预警、识别、防护和反击能力。

1 系统模型

1.1 物理和功能模型

从构成系统的物理层面看，该网络安全体系系统主要组成部分为路由器等交换设备、SaaS平台相关服务器、安全服务中心、网络服务提供商ISP和应用客户端等。其中，前三者为关键物理要素，相关结构示意图可见图1（a）。交换设备理论上应要求全部是支持SDN的路由器、交换机等网络设备，但实际上无法达到该要求，只能通过对SDN交换设备和普通网络设备进行有机组合来克服该问题。本文将普通网络设备以及互联网络作为整体，从安全体系的建设角度将其等效抽象出来，称为透明互联网络，并将交换设备狭义得定义成布局在互联网络中的SDN设备。下文中若是提到交换设备，则默认特指支持SDN功能的相关交换设备。

从系统功能角度，从内向外可分为控制域、功能域和服务域。控制域是该体系的物理基础层，主体为控制器、交换设备以及定义的转发规则，能够实现转发功能；功能域依照网络安全系统的典型功能要求，实现协同预警、识别、防护和反击等网络相关防护功能；服务域负责对功能域相关安全功能进行面向服务的封装，并增加了开放SaaS平台的特点和功能，共同给用户带来基础传输、虚拟网络及网络防护等相关安全编程服务。系统功能的模型结构图，可见图1（b）。

图1 物理模型结构和系统功能模型结构示意图

1.2 协同模型

协同过程基于协同原理，涵盖了协同群组的建立及解除、信息获取请求和最后的信息发送动作。由于本文网络安全体系基于SDN，所发送的信息包括了网络原始数据和元规则信息，后者也就是转发规则。至此，本文的协同对象确定为布局在各网络节点上的各交换设备，协同主题由各级安全中心进行发起，并设计了3种原语方式（网络管理、数据获取和发送），采用协同原语的方式，对本文体系系统进行建模和后续分析。

网络管理原语，即采用虚拟方式对虚拟网络进行建立及注销，其语法如下所示:

其中，括号中各选项依次代表:网络标识NetID；SDN设备的各ID集合；一个或多个中心用户集合；本网络的功能描述（该选项可空）；建立或注销虚拟网络标志，flag为-1则注销网络，为1则建立相应标识名的分布式虚拟网络群落。

数据获取原语，即通过主动获取从各交换设备得到网络数据，其语法如下所示:

括号内各选项依次代表:采样数据所处的安全中心编号；准备提供数据所对应的各交换设备的集合；采样数据所应满足的样本特征及要求；采样时间约束要求，留空则表示长期采样。

数据发送原语，即各交换设备将网络数据发送给安全中心，其语法如下所示:

括号内各选项依次代表:目标编码（交换设备亦或是安全中心ID）；推送的数据类型，为0则表示网络数据，1则表示安全规则；推送数据的集合。

2 体系结构设计

2.1 框架设计

基于上述系统模型和分层设计、面向服务等思想，基于SDN的开放SaaS平台网络安全体系设备组成如图2所示。从上至下依次为面向用户提供动态编程服务的服务层、实现功能和封装的功能层、采用虚拟化网络技术的虚拟层、支持SDN技术相关Controller模型的控制层以及SDN交换设备所处的设备层。

图2 系统体系结构示意图

2.2 基于网络描述字的信息获取和协同

文中定义了网络描述字NDW（Widi，ProtocalSeti，Areavipre-vi-viback，Ti，DataPacki）描述从支持 SDN技术的设备获得数据包信息，括号内各项依次代表:该网络的唯一标识；该网络所应满足的诸如TCP/IP等协议的集合；数据包所处区域的位置及上下文信息；数据包的获取时间；获取的由一个或一组数据包构成的原始数据包信息。

传统的网络安全系统由于大多只在核心入口处的交换设备节点上，布置一定的防火墙和相关的网络预警系统。主要是以点防护为主，防护节点也比较固定，会带来一定的安全隐患[10-15]。而文中设计的安全体系，无需使用防火墙，每个SDN设备按照既定的转发规则，均能当做一个信息获取设备来使用，组成协同网络。在有攻击信息存在时，实现全网共同预警以及对数据协同获取的功能，后者的时序示意图可见图3。

图3 数据协同获取采样时序图

从图中可知，安全中心主要存在3种获取NDW的方式，具体为用PutMessage原语推送报警规则给SDN设备，若遇到与数据包匹配时利用原语反馈采样数据的按统一规则报送；SDN设备按照各自状态判断数据包是否匹配本地Controller告警规则等异常状况，并利用PutMessage原语主动反馈采样数据给安全中心的SDN设备主动报送；安全中心根据设定需要，利用GetMessage原语发送采样数据需求给SDN设备，并通过PutMessage原语获得相应采样数据的安全中心按需采样。

矩阵数据具有显示数据和关系直观了当、运算简便、求解精确、获取数据相关快速和树形结构转换便利等优点，有利于对攻击源的定位与跟踪。因此，本文采用矩阵形式对数据进行存储和协同。行列表示了网络内各交换设备ID，列（行）表示数据的前（后）序交换设备节点，行列组合在一起可以表示数据的流动方向，确定数据的位置信息，且该位置信息具有唯一性。

图4（a）是定位攻击源案例的示意图。其中，节点1、2、3向节点11发动攻击，并将采样数据描述为矩阵形式可见图4（b）所示。将矩阵形式以被攻击节点11为根节点通过逐级回朔（按照列）和裁剪算法，即可获得攻击图和相应攻击树，可见图5。

图4 攻击路径和矩阵形式数据示意图

图5 攻击路径

2.3 面向服务的网络防护功能建设

典型的网络安全功能按应用角度可分为威胁预警、识别、防护、定位甚至反击等维度，基于这些维度建立对应的防护系统。在开放SaaS平台下，通过对各功能维度对应的算法进行服务化封装，可以获得开放的构建管理和相应所需的运行环境，并结合后续迭代及升级操作，对系统的防护功能进行不断升级与增强。

相关防护算法封装，可见图6。根据统一的SaaS平台下接口标准将最底层防护算法优先进行封装，并借助构件管理功能实例化服务进程，构建服务资源池，供多用户实现并发访问。用户功能访问时只需先适配数据接口，再调用相关服务实例，对网络防护功能进行服务化访问[16-18]。

图6 服务封装结构示意图

2.4 基于平台的动态安全编程

开放SaaS平台的设计初衷和思想就是让系统的建设者与用户共同参与系统开发，后者根据自身所需自行开发个性化的系统功能，并可以为其他用户提供所需的服务，安全系统的开发也应符合这个特点。因此，文中设计安全系统的构件开发包括平台级、应用级和专业级这3类，组成与接口关系可如图7所示。

图7 系统构件开发的组成和相应接口关系

平台级构件负责提供系统基础的安全服务，该构件的提供和维护由平台的开发者负责完成。专业级构件用于根据需要以平台级构件为基础开发更专业的网络安全构件，其提供和维护工作由具有较强信息化能力的应用者负责完成。而应用级构件用于提供应用级的安全服务，该构件主要由上述两种构件安全措施与规则的组合及配置实现，主要为信息化能力一般但又有安全需要的系统使用者提供个性化安全服务。

3 系统应用举证

如图8所示，即为某基于SDN技术建立的开放SaaS平台网络安全系统的应用实例。为确保一般性，符号化处理了具体的网络节点名称。建设过程中，平台开发者在云端构建平台级安全中心提供整体的安全服务。此外，基于服务平台，依次建设企业级、商业级和设备级的安全中心平台，利用基础网络和相应的SDN节点设备完成各级系统之间的互联，最终实现了一套在物理层面上存在无中心分散特点，而在逻辑层面上存在有中心按所需组网特点的安全防护网络体系，能够保障系统平稳安全运行。从系统的运行效率角度看，该安全体系能有效利用SDN进行定位和追踪，前文对网络攻击进行追踪的相关分析也证实了这一点。此外，云计算凭借对全系统拓扑状态的掌握，能有效提高路由的收敛速度，并可依据系统的当前状态制定相应的预先解决方案，在SDN各节点上实现部署。整体上看，基于SDN的开放SaaS平台网络安全体系，能有效提高网络安全性能、运行效率和扩展性，且具有较好的实用性和参考价值。

图8 某应用实例

4 结束语

文中基于SDN技术和设备具有封装后向上提供编程接口以及转发、控制分离等特点，结合国内外SDN的研究现状，以自上而下的思路设计了一套基于SDN的开放SaaS平台网络安全体系。平台经过封装后，可使用户无需关注底层接口和相关安全技术，而只需通过上层提供的接口进行安全体系的设计与功能的实现。从而满足了平台构建对动态性、开放性和高安全性的需求，有效降低预警时间，及时对攻击进行应对和处理。最终通过系统典型实例也验证了，该基于SDN网络安全体系的实用性和有效性，并具有一定的参考价值。

[1]国艳群，韩敏，孙林夫.开放SaaS产业服务平台模型与体系结构[J].西南交通大学学报，2014，49（6）:1068-1072.

[2]国艳群，韩敏，孙林夫.基于开放架构的SaaS服务平台数据管理技术研究[J].电子科技大学学报，2015，44（2）:295-298.

[3]陈静，孙林夫.基于SaaS的产业链协作公共服务平台数据安全解决方案[J].计算机集成制造系统，2011，17（6）:1317-1324.

[4]林闯，苏文博，孟坤，等.云计算安全:架构、机制与模型评价[J].计算机学报，2013，36（9）:1765-1784.

[5]曹帅，王淑营.产业链协同SaaS平台业务流程定制安全技术研究[J].计算机科学，2014，41（1）:230-234.

[6]Qiang Z，Dong C.Enhance the User Data Privacy for SAAS by Separation of Data[C].International Conference on Information Management，Innovation Management and Industrial Engineering.IEEE，2009:130-132.

[7]Mckeown N，Anderson T，Balakrishnan H，et al.OpenFlow:enabling innovation in campus networks[J].Acm Sigcomm ComputerCommunication Review，2008，38（2）:69-74.

[8]Yen T C，Su C S.An SDN-based cloud computing architecture and its mathematical model[C]//International Conference on Information Science，Electronics and Electrical Engineering.IEEE，2014:1728-1731.

[9]黄韬，刘江，霍如，等.未来网络体系架构研究综述[J].通信学报，2014，35（8）:184-197.

[10]赵洪静，周创明，翟平利，等.基于网络主动防御安全模型的入侵诱骗系统[J].空军工程大学学报:自然科学版，2010，11（3）:76-79.

[11]刘龙龙，张建辉，杨梦.网络攻击及其分类技术研究[J].电子科技，2017，30（2）:169-172.

[12]黄海军.基于云计算的网络安全评估[J].电子设计工程，2016，24（12）:115-117.

[13]张耀元，郭淑明，汪小雨.基于入侵检测技术的MANET 安全研究[J].电子科技，2016，29（11）:157-160.

[14]邓立博.MANET入侵检测系统研究与实现[D].哈尔滨:哈尔滨工程大学，2012.

[15]李秀娟.探析网络主动防御系统的设计与实现[J].电子设计工程，2017，25（1）:27-30.

[16]张团利，吕光宏，杨沛霖.基于OpenFlow的SDN可靠性综述[J].电子科技，2016（2）：177-181.

[17]张帆，毋涛.基于云计算的服装物料管理系统[J].西安工程大学学报，2015（6）：740-745.

[18]赵卫.一种基于网络安全的WIFI系统身份认证设计[J].电子设计工程，2016（14）：81-83.

Design and research of network security architecture for open SaaS platform based on SDN

SHEN Shu-ping
（Nantong Health Branch，Jiangsu Union Technical Institute，Nantong226010，China）

Combined with the characteristics of the open software as a service（SaaS）platform as well as researches on the software defined network（SDN），a set of network security architecture for open SaaS platform based on the SDN technology is top-down designed，aiming to solve the network security problem of SaaS platform.The physical and functional model and cooperation model are analyzed，and the corresponding architecture of system is designed.After the package of the platform，the user can ignore the underlying interface and related security technologies and use the upper interface to design and complete functions of the security system，satisfying the dynamic，openness，strong scalability and high security requirements for the building of the SaaS platform.The practicability and validity of this network security architecture are verified by a typical example，providing references values for designs of other open SaaS platform.

software as a service；software defined network；network security architecture；network defense

TP311

A

1674-6236（2017）23-0085-05

2017-07-03稿件编号：201707014

申淑平（1979—），男，江苏南通人，硕士，讲师。研究方向：网络安全。