面向云计算的软件定义安全关键技术研究
基本信息
结项摘要
Cloud computing provides convenience and low cost properties, at the same time it brings more serious security threat than traditional computing pattern. At present solutions for cloud computing security are all still the combination of many security technologies, by which there exist some problems. For example, the commonality and scalability of the technologies are absent; the protection capability of the whole system by them is weak; the efficiency of security management is low; the users couldn’t know whether their programs and data are protected by security technologies, and so on. Software Defined Security (SDS) provides a new prospective for these problems, it decouples the implement and functionality of resources, and at upper-level self-adapting security analysis and policy implement are proceed via software programming. The researches includes: 1) SDS infrastructure, including management protocol, state collection mechanism and security control mechanism. 2) SDS management, to improve the management efficiency and the whole safeguarding of cloud computing, we study security analysis and unified configuration based on global security state. 3) SDS visualization, we provide comprehensive and visual security state information for users, and user perception of cloud security. The project will transfer cloud security from traditional integration to software definition, and from user transparency to user visualization.
云计算在提供方便易用与低成本特性的同时也带来了较传统计算模式更严重的安全威胁,当前云计算的安全性仍由众多安全技术的集成提供保障,存在如下问题:通用性和扩展性差,无法适应云环境的动态异构特征;整体防护能力弱,各安全技术无法联动;安全管理效率低下,没有统一的配置方法,以及安全无法为用户所感知。软件定义安全为解决上述问题提供了新视角:它将底层资源与其部署方式和功能实现进行解耦,上层通过软件编程进行安全分析和响应。拟开展研究包括:1)软件定义安全基础架构,包括:管理协议、状态收集与安全控制机制等,解决云安全的通用性和扩展性问题;2)软件定义安全管理,基于全局状态的安全分析和统一配置既提高了安全管理的效率,又能增强整体安全防护能力;3)软件定义安全可视化,为用户提供全面、直观的安全状态信息,实现云安全的用户可感知。项目研发成功将实现云安全从传统集成方式向软件定义方式转变,从用户透明化向可视化转变。
项目摘要
云计算在提供方便易用与低成本特性的同时也带来了较传统计算模式更严重的安全威胁,当前云计算的安全性仍由众多安全技术的集成提供保障,存在如下问题:通用性和扩展性差,无法适应云环境的动态异构特征;整体防护能力弱,各安全技术无法联动;安全管理效率低下,没有统一的配置方法,以及安全无法为用户所感知。软件定义安全为解决上述问题提供了新视角:它将底层资源与其部署方式和功能实现进行解耦,上层通过软件编程进行安全分析和响应。故项目采用软件定义方式,以集中化的管理配置为目标,从网络与系统两个角度出发,开展云计算软件定义安全研究。研究内容主要包括:1)提出了一个多层次的SDN架构设计安全机制。在每个级别中,流数据包使用不同的指标进行分析,最后到达安全控制器进行处理。在提升架构整体安全性的同时交换机与控制器进行验证产生的时间延迟比之前的工作降低约2%,吞吐量增加20%-40%,延迟抖动降低20%-40%。2)针对多用户 SDN/NFV 网络的特点,基于动态分级的细粒度权限管理框架设计了新的权限管理方法,能够有效防止控制器 API被滥用,保护网络服务的安全共享。在 RYU 控制器上实现的原型系统及实验结果表明,细粒度权限管理框架能够确保所有的 API 调用都符合权限要求,从而有效地保护控制器安全,并且只会对控制器造成启动时间上 3ms 的额外开销以及核心 API 不到 0.1ms 的处理延迟。3)提出一种云服务网络权限隔离的方法,通用构建基于SDN的租户云服务网络安全控制器TNGuard实现最小特权和职责分离,从而保证每个租户监控到的云服务网络安全状态视图与其实际管控的网络服务分片的安全状态一致。TNGuard 可以有效阻止恶意云管理员攻击 TN,在性能方面,TNGuard 的系统启动时间为 2.635 秒,相对于传统 SDN 控制器只引入了 2.9%的额外开销。TNGuard 的系统响应效率很高,其跨域通信速率为 200M/S,能够满足网络应用的需求。4)提出一种SDN与NFV场景下服务链规则组合机制,不仅能够检测服务链之间的冲突,同时能够有效解决服务链组合过程中发生的异常问题。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
论大数据环境对情报学发展的影响
论大数据环境对情报学发展的影响
硬件木马:关键问题研究进展及新动向
硬件木马:关键问题研究进展及新动向
面向云工作流安全的任务调度方法
面向云工作流安全的任务调度方法
TGF-β1-Smad2/3信号转导通路在百草枯中毒致肺纤维化中的作用
TGF-β1-Smad2/3信号转导通路在百草枯中毒致肺纤维化中的作用
生物炭用量对东北黑土理化性质和溶解有机质特性的影响
生物炭用量对东北黑土理化性质和溶解有机质特性的影响
邹德清的其他基金
相似国自然基金
软件定义容器式云存储的自治管理关键技术研究
面向高性能计算应用的软件定义网络技术研究
基于软件定义的物联网设备安全管理关键技术研究
移动云计算环境下软件跨平台运行与安全机制关键技术研究