虚拟网络安全论文提纲

论文题目：基于网络功能虚拟化的网络资源优化与安全关键技术研究

摘要：近些年来,以网络功能虚拟化（Network Function Virtualization,NFV）和软件定义网络（Software-Defined Networking,SDN）为代表的新一代网络建构技术风起云涌,给信息系统基础设备与网络应用开发带来了深刻而巨大,甚至是颠覆性的影响。需要注意的是新的性能挑战和安全威胁也同样存在于NFV/SDN相关网络系统中,其中不乏在传统网络架构中未曾出现过的,或者在传统网络中存在,但在新的网络架构中表现出不一样的特性的问题。不过,更令人感兴趣的是网络功能虚拟化和软件定义网络技术所表现出的一系列新特征,例如资源的弹性调度与按需调配、系统的高可靠性及管理的集中化等。这些新的特性都间接或直接有利于网络资源优化与安全防护,这同时就给网络资源的优化与配置、网络安全措施及应用的设计与实现等领域带来了新的机遇。本文以基于网络功能虚拟化的网络资源部署、迁移与优化以及安全问题为主线,围绕其中的若干关键技术展开研究,试图为网络功能虚拟化建构高效稳定、安全可靠的框架奠定技术基础。本文以数据中心基础设施的构建需求为牵引,针对构建网络功能虚拟化环境下的网络资源优化与安全问题展开研究,主要研究内容和贡献分列如下:（1）针对安全约束下对服务功能链的部署问题提出了优化算法。在数据中心网络中,为了满足用户的复杂网络服务需求,需要将网络功能组织为按顺序为网络流量进行处理的服务功能链（Service Function Chain,SFC）。在网络功能虚拟化环境中,服务功能链表现为一系列部署在虚拟机上的虚拟网络功能,并由集中的管理与编排系统进行调配。在基于网络功能虚拟化的数据中心里,如何将服务功能链在满足安全约束的前提下进行优化的部署是一项关键的技术挑战。针对上述问题,本文对服务功能链的安全约束进行了抽象,并将服务功能链的部署问题建模为整数规划问题。在此基础上,提出了一种针对安全约束下服务功能链部署的两阶段优化算法。理论分析与仿真实验均表明该优化算法在实现服务功能链的优化部署上能够取得预期的效果。（2）针对虚拟网络功能迁移的开销以及迁移目标优化选择问题提出了优化算法。在如上所述的网络功能虚拟化环境中,当服务功能链部署后,虚拟网络功能需要随着网络环境以的变化而在网络中进行必要的迁移。本文以资源负载率的减少为原则进行迁移节点的排序,从高至低逐个选择安排直至队列为空。针对迁移过程中的开销以及迁移目标优化选择问题,提出了以占用软件定义网络控制器缓冲区大小作为虚拟网络功能迁移开销的模型,并作为基本出发点与归宿,构建相应的计算模型。在此基础上,提出了一种启发式的计算迁移目标优化算法,可在多项式时间内获得最优迁移的近似解。理论分析和仿真实验均表明了这种优化算法的合理性和有效性。（3）提出了一种基于虚拟机的虚拟网络功能迁移与优化技术。当前对虚拟网络功能迁移技术的研究主要集中于构建新的迁移机制来保持虚拟网络功能内部状态的一致性,但它们无一例外引入了大量的软件设计开发工作,并对网络服务的安全性与可靠性带来了巨大的冲击。针对上述现有迁移技术所带来的问题,本文设计了一种通过虚拟机进行虚拟网络功能进行迁移的方案。具体则是通过与整合中间件（Consolidated Middlebox）技术相结合,将服务于同一网络流类型的虚拟网络功能部署在同一部虚拟机中,并在迁移虚拟网络功能时同步迁移虚拟机,以此将迁移成本与资源消耗降低到合理的水平。考虑到网络中的带宽等资源约束,本文设计了在不同网络场景下的启发式算法,有助于实现虚拟机迁移成本的最小化。理论分析和仿真实验表明了相关算法的有效性。（4）提出了一种基于OpenFlow的抗ARP欺骗技术主动ARP检查机制。本文以ARP欺骗这种传统的网络攻击技术为典型样本,分析了NFV/SDN相关网络系统中网络安全威胁的表现与特性。在此基础上,针对OpenFlow环境下的ARP欺骗攻击,利用软件定义网络的集中管理特性,在OpenFlow控制器中构建了“采样检测应对”的三个阶段,对ARP回复消息的可信度进行分类,从控制层面消除攻击者伪造的ARP回复消息,从而构建并实现了在软件定义网络中的ARP欺骗防御体系。通过在POX控制器中实现该防御体系的原型系统,本文对主动ARP检查机制进行了实际测试,测试结果表明该体系在可接受的性能开销下能有效地对网络中的ARP欺骗进行防御。更进一步地,根据该体系的设计原则,将上述把消息按照可信度进行分类的方法推广到软件定义网络控制器上的一般消息,讨论了在软件定义环境中进一步构建针对一般性网络威胁的通用防御体系构建方法。毋庸置疑,基于网络功能虚拟化的网络资源优化与安全关键技术的研究有助于解决构建新一代网络技术所面临的若干关键基础问题,不过鉴于问题的复杂性,对于相关问题解决还存在两方面的难度,一是选择虚拟网络功能迁移的时机,二是对一般的安全问题的建模,这是在性能与成本之间始终要兼顾平衡的问题。

关键词：软件定义网络;网络功能虚拟化;网络资源优化;网络安全

学科专业：计算机科学与技术

摘要

ABSTRACT

第一章 绪论

1.1 研究背景及意义

1.2 国内外研究现状

1.2.1 网络功能虚拟化

1.2.2 软件定义网络

1.2.3 NFV/SDN技术挑战

1.3 本文研究内容

1.3.1 安全约束下的服务功能链部署问题

1.3.2 资源约束下的虚拟网络功能迁移问题

1.3.3 基于虚拟机的虚拟网络功能迁移问题

1.3.4 OpenFlow环境下的抗ARP欺骗技术

1.4 本文主要贡献

1.5 论文结构

第二章 研究基础与相关工作

2.1 网络功能虚拟化

2.1.1 网络功能虚拟化的技术基础

2.2 基于网络功能虚拟化的网络资源优化问题

2.2.1 服务功能链的部署优化问题

2.2.2 虚拟网络功能的迁移机制及优化问题

2.3 本章小结

第三章 安全约束下的服务功能链部署及其优化

3.1 引言

3.2 相关工作

3.3 安全约束下的虚拟网络功能部署问题

3.3.1 服务功能链的部署

3.3.2 安全约束

3.3.3 安全问题的抽象

3.4 系统建模

3.4.1 问题描述

3.4.2 优化目标

3.4.3 问题建模

3.5 安全约束下服务功能链部署算法

3.5.1 网络节点对特定虚拟网络功能的可用性

3.5.2 虚拟网络功能部署算法

3.5.3 网络路径部署算法

3.5.4 算法框架

3.6 仿真测试

3.6.1 仿真环境设置

3.6.2 实验结果分析

3.7 本章小结

第四章 资源约束下的虚拟网络功能迁移

4.1 引言

4.2 相关工作

4.3 虚拟网络功能迁移成本

4.4 系统建模

4.4.1 物理网络中的计算资源与网络延迟

4.4.2 开销函数及优化目标

4.4.3 问题建模

4.4.4 计算复杂性

4.5 资源约束下虚拟网络功能迁移算法

4.5.1 计算迁移源节点集合

4.5.2 计算候选迁移目标节点集合

4.5.3 迁移虚拟网络功能

4.6 仿真测试

4.6.1 仿真环境设置

4.6.2 实验结果分析

4.7 本章小结

第五章 基于虚拟机的网络功能迁移

5.1 引言

5.2 相关工作

5.3 基于整合中间件的虚拟网络功能迁移

5.3.1 问题描述

5.3.2 物理网络

5.3.3 虚拟机迁移路径及其关键边

5.3.4 开销函数及优化目标

5.3.5 问题建模

5.3.6 计算复杂性

5.4 关键边优化配置算法

5.4.1 预处理

5.4.2 关键边预分配法

5.4.3 关键边回溯法

5.5 仿真测试

5.5.1 仿真环境设置

5.5.2 实验结果分析

5.6 本章小结

第六章 OpenFlow环境中的抗ARP欺骗技术

6.1 引言

6.2 问题描述

6.2.1 ARP欺骗

6.2.2 OpenFlow环境下的ARP欺骗

6.3 OpenFlow环境下的反ARP欺骗技术

6.3.1 研究现状

6.3.2 OpenFlow环境下的ARP欺骗防御

6.3.3 主动ARP检查机制

6.3.4 主动ARP检查算法

6.4 主动ARP检查机制测试与评估

6.4.1 测试环境与参数设置

6.4.2功能验证实验

6.4.3性能测试实验

6.4.4可扩展性测试实验

6.5 讨论

6.6 本章小结

第七章 结论与展望

7.1 工作总结

7.2 研究展望

致谢

参考文献