陈井泉 王龙 魏月莲 吴蒋

摘  要： 在不同干扰源下，传统架构对云计算数据中心保护效率较低，导致数据中心不安全，为了避免用户信息泄露，提出基于SDN的云计算数据中心安全架构。分析SDN在云计算数据中心的应用情况，并对OpenFlow协议进行研究，从分层安全、通信安全以及云计算控制中心安全三个方面完成SDN安全控制器的框架设计。采用面向服务体系结构，构建通信安全模式，使其升级为主动化安全模式，通过访问特定端点，获取具体服务行为。锁定主机，通过特定端点进行相关参数设置，经过远程主机传送指令，对数据中心进行控制。创建基于SDN技术的多区域安全服务，添加业务资源为业务云提供多种相关业务，通过安全代理控制有用和无用数据分离，在通信结构支持下进行基础通信交互，将SDN技术应用于虚拟桌面安全防护模式下，整合数据中心安全与等级保护措施，由此完成基于SDN的云计算数据中心安全架构设计。通过实验对比结果可知，该架构最高保护效率达到0.976 9，可有效保护用户信息安全。

关键词： 数据中心安全; SDN; 云计算; 应用分析; 数据中心控制; 通信安全

中图分类号： TN918.91?34; TP309                  文献标识码： A                   文章编号： 1004?373X（2020）03?0087?05

Research on cloud computing data center security architecture based on SDN

CHEN Jingquan， WANG Long， WEI Yuelian， WU Jiang

（Network and Educational Technology Center， Hainan Tropical Ocean University， Sanya 572022， China）

Abstract： Under different interference sources， the traditional architecture has low protective efficiency for cloud computing data center， which leads to data center insecurity. In order to avoid user information leakage， a cloud computing data center security architecture based on SDN （Software Defined Network） is proposed. The application of SDN in cloud computing data center is analyzed， and the OpenFlow protocol is studied. The framework of SDN security controller is designed in consideration of hierarchical security， communication security and cloud computing control center security. The service?oriented architecture is adopted to construct communication security mode， which will make it upgraded to active security mode. The specific service behaviors are obtained by accessing the specific endpoints. Under the condition that the host is locked， the related parameters are set on the basis of the specific endpoints， and the commands are sent by remote host to control the data center. A multi?area security service based on SDN technology is created. The business resources are added to provide a variety of related services for business cloud. The separation of useful and useless data is controlled by security agent. The basic communication interaction is performed with the support of communication structure. The SDN technology is applied to virtual desktop security protection mode to integrate the security and classified protection measures of data center， thus completing the design of the SDN?based cloud computing data center security architecture. The experimental results show that the maximum protective efficiency of this architecture reaches 0.976 9， which can effectively guarantee the user information security.

Keywords： data center safety; SDN; cloud computing; application analysis; data center control; communication security

0  引  言

云计算是以数据资源的形式向用户展示存储功能，其安全问题是被關注的焦点，将安全问题分为两类，分别是设备部署在云环境中需要的新防护手段和引入的新安全问题[1]。伴随计算机技术在各行各业中的广泛应用，传统数据中心因为虚拟化技术增加了安全设备识别难度，已经不能满足目前海量数据的存储，给数据集中带来一定安全风险。而云计算环境就是将存储与网络整合为一体，通过虚拟化设备以及动态网络资源实现数据中心的池化与管理[2]。因此，如何实现计算数据中心安全架构，成为人们重点考虑问题。采用传统方法设计的安全架构内部设备众多、网络相对复杂、资源高度虚拟化，很难对设备组件进行精准定位，为此，提出了基于SDN的云计算数据中心安全架构。在原有架构基础上，部署业务，通过SDN软件定义网络技术连接业务云，并动态划分多个业务区域，针对稳定业务实施防护[3]。

1  SDN在云计算数据中心的应用研究

软件定义网络SDN技术是一种新型网络创新技术，在该技术中，可将网络看作一个虚拟实体，由于网络控制平面相对集中，因此需根据网络功能，通过规范编程进行自动化网络管理，保证网络控制更加灵活化[4]。

软件定义网络SDN体系结构可分为3层，如图1所示。

图1中的转发层软件与控制层软件进行数据交互时，采用开放式应用程序界面标准接口，而控制层与管理层网络设备都是通过数据平面接口进行数据转发的[5]。

根据实际情况，提出了基于SDN的云计算数据中心安全架构，该架构能够实现数据中心的动态调控，如果网络资源不足，可从另一个资源库中调用[6]。SDN在云计算数据中心的应用情况如表1所示。

1） 管理层主要负责整个数据中心的资源管理，通过OpenStack创建网络资源和存储资源，新建的虚拟机可对管理员权限进行用户管理[7]。经过两个数据中心计算资源管理情况，为安全架构提供虚拟网络配置服务。

2） 控制层可将网络实例化，根据上层下发的路径策略对流表进行查询、修改。

3） 转发层主要负责接收基础设置层下发的流表，并对数据进行处理和状态收集，通过SDN网关二层互联，可对SDN控制器进行直接管理与控制[8]。

2  OpenFlow协议研究

为了解决无法修改网络中网络设备的问题，设计了OpenFlow控制转发分离架构，将控制逻辑与网络设备进行分离化处理，由此实现了新型的OpenFlow网络协议。随着OpenFlow协议的产生，创建了支持OpenFlow协议的交换机设备。OpenFlow协议经由控制器向安全通道进行传输与应用，其应用规范包括三个主要方面：

1） 在物理端口上抽象出逻辑端口。

2） 在用户规则下，亦或是默认规则下，匹配网络包。OpenFlow协议通过流表进行网络包的匹配和处理。一个流表中通常包括多条流表项，而流表项是由优先级、匹配域以及丢弃、转发行为等字段构成。

3） OpenFlow交换机与SDN安全控制器之间的桥梁结构是通信信道。OpenFlow规范中存在三种类型的信息，三种类型的信息均要遵循OpenFlow协议，经由通信信道从OpenFlow交换机中传向SDN安全控制器。

3  SDN安全控制器的框架设计

将SDN安全控制器的框架结构划分为四个模块，分别是普通安全服务模块、核心计算存储模块、服务管理模块和存储备份模块。给出SDN安全控制器的框架结构如图2所示。

由图2可知，在SDN安全控制器的框架结构中部署防火墙、安全隔离和入侵检测防御模块，能够扫描安全漏洞，并对数据库进行安全审计[9]。

3.1  分层安全模块

分层安全模块是针对网络层、应用层、主机层和数据层进行安全设计的，按照信息系统可将业务处理过程划分为三个部分，分别是计算环境、区域边界和通信网络，由这三部分可构成SDN技术支撑下的重要防护体系结构，如图3所示。

1） 网络层具备云计算环境结构，在SDN软件网络技术下，可对网络设备进行直接访问与控制，保证用户和流量安全审计[10]。

2） 应用层包括安全漏洞修补和检测，及时发现攻击行为，并在入侵检测时还原协议，为数据中心安全提供审计依据。

3） 主机层包括系统安全加固、防病毒体系、入侵防范机制。

4） 数据层负责云计算数据的完整性，实现系统管理数据传输和存储的保密性，并及时对安全数据进行备份。

3.2  通信安全模块

云计算发展在计算机应用领域独树一帜，将数据存放在企业内部具有SDN基础架构数据中心，有效保障数据中心的安全[11]。以被动化安全模式升级为主动化安全模式，需在云计算数据中心安全通信，以此保障个人信息安全。

通信基础是数据通信应用程序开发的主要接口，允许远程程序之间的互相通信，用于应用程序分布式构建，采用面向服务的体系结构可对分布式处理性能进行优化[12]。通信安全模块结构如图4所示。

由图4可知，在通信安全模块框架中，将某一宿主的服务端以端点为外通信接口，设置常用地址，绑定相关契约。其中，地址是服务中心的主要位置，通过给定的编码信息，定义契约下的具体服务行为。通过访问特定端点，获取具体服务，以双工模式与服务进行交互。

3.3  云计算控制中心安全模块

云计算控制中心安全模块由通信、远程控制、远程监视和管理四大模块组成，其结构图如图5所示。由图5可知，锁定主机，通过终端接口进行即时通信，设置相关参数，通过向远程主机发送相关指令，并调用自身应用程序界面实现云计算环境下的数据中心安全控制。

4  基于SDN的云计算数据中心安全架构设计

要对基于SDN的云计算数据中心安全架构进行设计，需结合云计算数据中心信息现状，将数据中心信息划分为六个不同安全风险区域：

安全区域1：生产服务核心数据库，存放关键业务数据;

安全区域2：公共服务数据库;

安全区域3：辅助业务数据库;

安全区域4：安全管理数据库，包含测试服务;

安全区域5：外网连接至不同网站，安全层次低于上述区域;

安全区域6：网络连接区域，安全层次达到最低。

在安全风险区域下，研究基于SDN技术的多区域安全服务如图6所示。

添加业务资源为业务云提供多种相关业务，通过安全代理实现有用数据和无用数据的隔离。安全代理是实现隔离的关键步骤，通过动态配置，对数据是否安全进行检测，决定数据传输方向，进而实现业务子云的逻辑隔离。经过安全云大数据分析引擎提供数据分析服务，通过管理中心，研究业务云实时状态，动态调整安全代理实施步骤，控制安全功能的实现。

基础通信交互过程如下所示：客户端向服务端发送服务请求，服务端开始执行操作，操作完成后，向客户端发送回调请求。将结果显示在客户端，并向服务端发送回调应答，之后执行后续操作，所有操作完成之后，服务端向客户端发送服务应答。通信控制主要负责各个子模块之间的通信，可实时与远程主机进行信息交流。

在云计算环境下，用户通过网络连接虚拟桌面，再通过虚拟桌面直接访问服务器，虚拟桌面安全防护过程如图7所示。

用户1是以远程登录方式访问的虚拟机B1，当用户1访问虚拟机B2上业务时，发送的数据被安全代理获取。安全代理通过网络将信息传至管理中心。管理中心解析信息，确认信息安全后，传递给S1，并同时发送一个令牌。用户2也以远程桌面形式登录服务器A2上的虚拟机B2，通过类似上述过程，实现虚拟桌面安全防护。

在虚拟桌面安全防护模式下，使用SDN技术将云计算数据中心安全措施与等级保护措施整合，如表2所示。

根据表2内容，可有效保证云计算数据中心安全，由此完成基于SDN的云计算数据中心安全架构研究。

5  实  验

传统架构受到外界干扰，导致云计算数据中心不安全，而采用SDN技术设计的架构可对云计算数据中心进行安全保护，不会受到外界任何条件干扰。为了证实该点，分别在WEP加密攻击、侦测入侵无线存取设备攻击和扫描开放型无线存取点网络攻击情况下，验证基于SDN的云计算数据中心安全架构比传统架构安全性更高。

5.1  WEP加密攻击

WEP加密攻击采取主动出击方式，通过复制数据包可发送虚假信息，以此获取反馈信息，这种攻击方式会使云计算数据中心安全受到威胁。在这种情况下，对比传统架构与SDN架构的安全性，结果如图8所示。

由图8可知：随着调查人数的增加，两种架构对云计算数据中心保护效率都有所降低，但传统架构降低程度较大，最低保护效率达到了20%，已经无法有效保护数据中心安全;而基于SDN安全架构最低保护效率能达到78%以上，能够有效保护数据中心安全，因此，在该攻击条件下，基于SDN安全架构具有较高保护效率。

5.2  侦测入侵无线存取设备攻击

侦测入侵无线存取设备攻击是在某一网络下，黑客设置无线存取设备，使用户误认为该处是无线网络，一旦连接成功，黑客就可盗取用户输入密码，这种攻击方式会使云计算数据中心安全受到威胁。在这种情况下，对比传统架构与SDN架构的安全性，结果如图9所示。

由图9可知：当公共网络接入后，传统架构保护效率下降速度较快，而基于SDN架构基本保持不变，即使后续有些小幅度下降，但依然保持在75%以上保护效率。而传统架构保护效率已经下降到20%，因此，在该攻击条件下，基于SDN安全架构具有较高保护效率。

5.3  扫描开放型无线存取点网络攻击

扫描开放型无线存取点网络攻击多出现在免费上网，通过用户自身的网络攻击第三方，这种攻击方式会使云计算数据中心安全受到威胁。在这种情况下，对比传统架构与SDN架构的安全性，结果如表3所示。

由表3可知：当调查人数为60人时，传统架构下的保护效率依然大于60%，但随着人数的增加，该架构下的保护效率降到了最低为0.398 2;而基于SDN架构下的保护效率最低也高于90%，因此，在该攻击条件下，基于SDN安全架构具有较高保护效率。

根据上述内容，可得出如下结论：

1） WEP加密攻击：传统架构最高保护效率为86%，最低为20%;基于SDN安全架构最高保护效率为86%，最低为78%。

2） 侦测入侵无线存取设备攻击：传统架构最高保护效率为90%，最低为20%;基于SDN安全架构最高保护效率为90%，最低为75%。

3） 掃描开放型无线存取点网络攻击：当调查人数为20人、40人、60人、80人、100人时，基于SDN安全架构保护效率比传统架构保护效率分别高0.188 8，0.223 3，0.285 6，0.345 5，0.513 1。传统架构最高保护效率为0.885 7，最低为0.398 2;基于SDN安全架构最高保护效率为0.976 9，最低为0.911 3。

综上所述，基于SDN的云计算数据中心安全架构比传统架构安全性更高。

6  结  语

数据中心安全问题已成为制约云计算发展的主要因素，通过使用SDN软件定义网络技术可将其划分为多个区域，将云环境中的安全问题从复杂问题中分离出来，不仅仅依赖业务云就能实现数据中心安全保护。相比于传统架构，该架构安全等级更高，为实现云安全提供了一种可行思路。虽然该架构安全等级较高，但安全代理方式还是相对简单，直接利用云环境连接安全代理，容易出现利用效率过低的问题。因此，需进一步解决数据传输方面的问题，避免极端情况下数据爆发式增长给数据处理中心带来难题，为此，仍需进一步研究，完善云计算数据中心安全架构。

注：本文通讯作者为王龙。

参考文献

[1] 刘汉江，欧亮，陈文华，等.基于SDN的跨数据中心承载技术[J].电信科学，2016，32（3）：28?34.

[2] 王昌平，蔡岳平.数据中心网络流量分类路由机制研究[J].小型微型计算机系统，2016，37（11）：2488?2492.

[3] 张凯，裘晓峰，朱新宁.基于SDN的网络虚拟化平台及其隔离性研究[J].电信科学，2016，32（9）：125?131.

[4] 朱丹红，林清祥，张栋.基于SDN数据中心网络的时限感知的拥塞控制算法[J].计算机工程与应用，2018，30（5）：12?13.

[5] 陆一飞，朱书宏.数据中心网络下基于SDN的TCP拥塞控制机制研究与实现[J].计算机学报，2017，40（9）：2167?2180.

[6] 程克非，高江明，段洁，等.面向SDN的数据中心网络更新研究综述[J].电讯技术，2017，57（10）：1224?1232.

[7] 孙三山，汪帅，樊自甫.软件定义网络架构下基于流调度代价的数据中心网络拥塞控制路由算法[J].计算机应用，2016，36（7）：1784?1788.

[8] 文学敏，韩言妮，于冰，等.软件定义数据中心内一种基于拓扑感知的VDC映射算法[J].计算机研究与发展，2016，53（4）：785?797.

[9] 王化冰.基于网络数据的计算机网络系统设计与开发[J].电子设计工程，2017，25（17）：185?190.

[10] 韩美芳.云计算下敏感数据安全传输可靠性评估仿真[J].计算机仿真，2018，35（9）：405?408.

[11] LI Wenwei， JI Meng， DAI Fei. Research and design of SDN platform based on router virtualization technology [J]. Study on optical communications， 2016， 18（5）： 12?15.

[12] FAN Zifu， LI Shu， ZHANG Dan. Traffic scheduling based congestion control algorithm for data center network on software defined network [J]. Computer science， 2017， 44（S1）： 266?269.