面向多域網路的安全按需服務關鍵技術研究

本項目研究面向多域網路的安全按需服務關鍵技術，研究內容如下：借鑑軟體定義網路SDN架構解決多域網路擴展性差、可控可管性差問題；借鑑服務功能鏈實現網路服務的靈活高效配置與組合；借鑑網路虛擬化技術提高異構網路的利用效率和配置靈活性。主要考慮在數據中心網路、無線接入網路等多域環境中，基於SDN技術，提出一種多域安全隔離網路的管控模型，重點建立邏輯上集中化、具有全局最佳化能力的控制架構；基於SDN對數據流的接入控制技術並結合公鑰基礎設施技術實現域間安全隔離、域內和跨域數據流的認證和授權；基於服務功能鏈技術提出按需的網路資源分配方法和跨域服務業務調度模型及算法；研究SDN控制器與虛擬化數據中心網路設施的集成和套用的適配技術；提交SDN控制器和交換機原理樣機。通過上述問題的研究，提高多域異構網路安全管控以及按需服務能力，促進異構網路互聯互通。

項目圍繞面向多域網路的安全按需服務關鍵技術開展研究，主要取得成果分為四方面。 （1）研究基於SDN技術的具有一定按需服務和安全管控能力的多域安全隔離網路的管控模型。提出一種面向服務的多域網路安全管控模型，實現從安全服務需求到底層安全功能部署。提出在數據中心部署安全服務鏈，實現安全功能動態組合。提出一種動態部署網路安全服務的系統架構及其方法，實現安全服務鏈的自動化編排與服務路徑的自動化部署。提出水平和分層的多域網路安全服務編排框架，實現安全服務動態編排。 （2）研究多域安全隔離網路域內和跨域的授權、認證技術以及數據隔離技術。提出多域網路安全策略配置系統，實現可視化和自動化的安全規則配置方式，並提出安全功能之間策略異常處理機制。提出對網路中設備的域內與域間認證授權技術，實現數據中心網路的對域內接入設備和域間訪問設備的安全認證。針對多數據中心的數據隔離需求，提出基於VPN的安全服務鏈設計，滿足數據安全隔離與隱私保護的需求。 （3）研究滿足網路按需服務要求、具有集中式全局最佳化能力的網路資源分配方法和業務調度策略與模型。提出3種適用於數據中心的網路資源分配方法，包括基於模糊推理系統的安全服務組合算法、針對端到端時延性能最佳化的服務功能鏈跨域編排方法及基於半馬爾可夫過程服務資源分配算法。提出2種基於服務功能鏈的按需全局業務調度模型算法，包括基於灰色系統理論的服務組合與流量調配算法與基於能源感知的服務鏈部署算法。 （4）研究SDN控制器同現有數據中心網路設施的集成技術和套用的適配技術。搭建多數據中心網路仿真平台，提出基於SDN的多域網路安全管控模型與多域數據中心的集成適配技術，實現在多域數據中心環境下動態感知網路安全態勢，實現跨域安全保障。 上述研究成果可提高多域異構網路安全管控以及按需服務能力，促進異構網路互聯互通。 研製SDN控制器和SDN交換機原理樣機各1台，形成原型樣機技術測試報告3份，技術總結報告4份。共發表論文34篇，其中在IEEE Network、IEEE Transactions on Mobile Computing、IEEE Access等SCI期刊發表論文20篇，在GLOBECOM 2016、ICC 2017等國際學術會議上發表論文14篇。申請發明專利5項。提交IETF標準草案3項。參加研究工作的博士畢業3名，碩士畢業2名。