一种动态部署网络安全服务的系统架构及其方法技术方案

本发明专利技术涉及一种动态部署网络安全服务的系统架构及其方法，该架构包括服务编排层，用于编排安全服务功能链路并进行发送；服务管理层，用于接收所述服务编排层发送的安全服务功能链路、采集网络链路和网络服务的物理资源信息、构建全局服务部署路径并将安全服务构建链表进行发送；服务数据层，用于接收所述服务管理层发送的安全服务构建链表并搭建网络安全服务链。本发明专利技术可以在多域数据中心中按需部署网络安全服务，从而满足不同用户的个性化需求。

A system architecture and method for dynamic deployment of network security services

The invention relates to a system architecture of dynamic deployment of network security service and method, the framework includes a service orchestration layer for editing and transmitting link security service function; service management, security services, link for receiving service choreography layer transmits the collected network link and network services, the establishment of global physical resource information service deployment and security service path of building a list to send data; service layer, for receiving the service management layer to send security services in network security and building a list of service chain. The invention can deploy network security service on demand in multi domain data center, so as to meet the individual needs of different users.

【技术实现步骤摘要】
一种动态部署网络安全服务的系统架构及其方法
本专利技术涉及互联网
，特别是涉及一种动态部署网络安全服务的系统架构及其方法。
技术介绍
现有网络采用“沙漏模型”，存在三重绑定的特性，即服务的资源与位置绑定、网络的控制与数据绑定、身份与位置绑定。网络拓扑与物理资源紧密耦合使得网络服务部署模型静态僵化，网络服务难以迅速部署、动态调整、按需迁移，在扩展性、安全性以及灵活性等方面难以满足当今运营商和用户的多元化需求。随着信息业的迅速发展，数据业务变得越来越重要，保证用户的数据安全成为网络设计的重要因素。因此，现有网络中存在着大量的网络安全服务中间件如防火墙、深度包检测、网络地址转换、入侵检测系统等用以处理数据流，保证用户的数据安全。这些复杂网络安全中间件的部署配置和运营管理也成为了现在网络面临的巨大挑战。近年来，随着网络用户的急剧增长，一些互联网企业为了降低业务成本和运维成本，借鉴传统分布式计算思想，采用计算机集群构成数据中心，在一定程度上简化了业务部署，降低了运维成本。但是由于传统数据中心物理拓扑与资源的不可分割，导致了现有数据中心灵活性差，资源利用率低，架构方案不能满足用户需求。所以提出了基于软件定义网络和网络功能虚拟化的新型动态数据中心网络架构。软件定义网络和网络功能虚拟化技术的出现使得灵活可控、按需分配的云数据中心成为了数据中心未来的主要发展趋势。目前，国外公司已经有了成熟的企业云架构方案与产品。我国云数据中心发展起步较晚，但随着运营商、厂商、应用服务商以及科研机构对云计算的不断研究，也涌现出各种较为成熟云产品。云数据中心发展高度集成化的虚拟环境使得动态可控的流量调度成为可能，为了满足用户对于多种服务资源的快速访问和流量的灵活调度，一种叫做服务功能链的架构被提出，实现了网络拓扑独立于网络服务的灵活管控，使得网络管理员可以自由组合多种现有服务，以应对个性化的用户需求。服务功能链是有序服务功能的集合，它根据不同的用户网络需求对IP数据报、链路帧、数据流进行分类分流，根据策略制定不同的服务功能路径对数据进行处理。服务功能链是一种广义的网络架构，可以在不同的场景中部署应用，如数据中心、固网、移动网络等。服务功能链在软件定义网络和网络功能虚拟化技术的发展带动之下，形成一个完整的网络应用架构，可以为现有数据中心网络环境提供灵活、可控的网络服务，其体现出来的模块化和完整性十分成熟。云数据中心在迅速部署虚拟服务器实现基础设施按需分配的同时，也暴露出一些安全方面的隐患与问题。由于云数据中心业务基于overlay网络集中在应用层，与基于网络层构建的传统数据中心不同，在面临可以绕过二层、三层网络保护的应用层攻击时，传统网络层安全服务不能起到应有的防护效果，云数据中心面临着新的安全问题与挑战。现如今有着大量的网络设备运营商，各自维护着不同架构的数据中心。服务功能链提供了灵活的网络服务管理技术，可以在一条网络链路中对不同用户的数据流进行区分。其中，协调部署不同数据中心、不同团队、不同区域的网络服务功能是最大的难点。本专利技术提供了一种自上而下的管理系统架构，通过按需建立安全服务功能链对网络安全服务进行灵活、可控的集中处理，可以选择网络安全服务功能的部署位置实现链路优化，对不同用户进行针对性的网络安全服务组合编排。云数据中心网络环境不同于传统的网络环境，它整合网络资源构建虚拟的服务环境，用户使用的资源来自云端，而不是固定的网络实体，不同用户的可能共享一个物理计算或网络资源，基于物理网络的安全方案不能直接部署于拥有多个网络域的云数据中心上。因此，需要提供一种基于多域数据中心的动态部署网络安全服务的系统架构。
技术实现思路
本专利技术的目的在于提供一种动态部署网络安全服务的系统架构及其方法，本专利技术提出的系统架构可以在多域数据中心中按需部署网络安全服务，从而满足不同用户的个性化需求。为达到上述目的，本专利技术采用下述技术方案：一种动态部署网络安全服务系统架构，该架构包括服务编排层，用于编排安全服务功能链路并进行发送；服务管理层，用于接收所述服务编排层发送的安全服务功能链路、采集网络链路和网络服务的物理资源信息、构建全局服务部署路径并将安全服务构建链表进行发送；服务数据层，用于接收所述服务管理层发送的安全服务构建链表并搭建网络安全服务链。优选地，所述服务编排层包括分类器，用于将用户网络流量封装为分类信息报文进行发送；服务编排器，用于接收所述分类器发送的所述分类信息报文并构建安全服务功能链路。优选地，所述分类信息报文包括源IP地址、目的IP地址、网络协议号、源MAC地址和目的MAC地址。优选地，所述服务管理层包括资源查询器，用于实时收集数据中心安全服务部署节点并进行发送；服务控制器，用于接收所述数据中心安全服务部署节点以及安全服务功能链路并构建服务部署路径；网络控制器，用于将网络安全服务串联连通；分布式数据库，用于存储用户网络安全服务功能链信息。一种动态部署网络安全服务的方法，包括如下步骤S1，将安全需求输入服务编排器；S2，分类器将用户网络流量报文信息封装为分类信息报文结构并发送至服务器编排器；S3，服务器接收安全需求以及分类信息报文结构以后生成网络安全服务功能链信息，并将网络安全服务功能链信息发送至服务控制器中；S4，服务控制器接收网络安全服务功能链信息并向服务查询器发送查询物理资源请求；S5，服务查询器向服务控制器返回各控制节点物理资源信息；S6，服务控制器接收物理资源信息并向服务构建器发起构建请求。本专利技术的有益效果如下：本专利技术所述技术方案具有原理明确、设计简单的优点，能够在多域数据中心中动态地部署网络安全服务，根据策略对通过不同服务功能路径的数据流进行处理，满足用户定制的网络安全服务。附图说明下面结合附图对本专利技术的具体实施方式作进一步详细的说明。图1示出本方案所述动态部署网络安全服务系统架构的架构模型示意图；图2示出本方案所述动态部署网络安全服务系统架构的网络拓扑示意图；图3示出本方案所述动态部署网络安全服务系统架构的跨域服务部署模型示意图；图4示出本方案所述网络安全服务部署节点内部结构示意图；图5示出本方案所述动态部署网络安全服务流程图；图6示出本方案所述动态部署网络安全服务的信令及数据传输流程图。具体实施方式为了更清楚地说明本专利技术，下面结合优选实施例和附图对本专利技术做进一步的说明。附图中相似的部件以相同的附图标记进行表示。本领域技术人员应当理解，下面所具体描述的内容是说明性的而非限制性的，不应以此限制本专利技术的保护范围。如图1所示，本专利技术公开了一种动态部署网络安全服务的系统架构及其方法，在该体系架构中，全网络被统一地划分为服务编排层、服务管理层、服务数据层。其中，服务编排层负责网络安全服务链路的逻辑顺序编排，同时也负责网络安全服务策略的制定；服务管理层负责将网络安全服务逻辑链路按照实时网络拓扑资源进行规划，将部署信息构建为链表结构发送给各个网络安全服务部署节点的服务构建器；服务数据层负责构建具体的网络安全服务，包括服务容器与网络接口。如图2所示，为动态部署网络安全服务系统架构的网络拓扑示意图。在部署的多域数据中心网络中，全网络分为数据中心域与核心网域，服务编排层部署在核心网域的全局控制器中，服务管理层部署在数据中心域的域内控制器，服本文档来自技高网...

【技术保护点】
一种动态部署网络安全服务系统架构，其特征在于，该架构包括服务编排层，用于编排安全服务功能链路并进行发送；服务管理层，用于接收所述服务编排层发送的安全服务功能链路、采集网络链路和网络服务的物理资源信息、构建全局服务部署路径并将安全服务构建链表进行发送；服务数据层，用于接收所述服务管理层发送的安全服务构建链表并搭建网络安全服务链。

【技术特征摘要】
1.一种动态部署网络安全服务系统架构，其特征在于，该架构包括服务编排层，用于编排安全服务功能链路并进行发送；服务管理层，用于接收所述服务编排层发送的安全服务功能链路、采集网络链路和网络服务的物理资源信息、构建全局服务部署路径并将安全服务构建链表进行发送；服务数据层，用于接收所述服务管理层发送的安全服务构建链表并搭建网络安全服务链。2.根据权利要求1所述的架构，其特征在于，所述服务编排层包括分类器，用于将用户网络流量封装为分类信息报文进行发送；服务编排器，用于接收所述分类器发送的所述分类信息报文并构建安全服务功能链路。3.根据权利要求2所述的架构，其特征在于，所述分类信息报文包括源IP地址、目的IP地址、网络协议号、源MAC地址和目的MAC地址。4.根据权利要求2所述的架构，其特征在于，所述服务管理层包括资源查询器，用于实时收集数据中心安全服务部署节点并进行发送；服务控制器，用于接收所述数据中心安全服务部署节点以及安全服务功能链路并构建服务部...

【专利技术属性】
技术研发人员：周华春，李天龙，李观文，徐琪，李光磊，冯博昊，张宏科，
申请(专利权)人：北京交通大学，
类型：发明
国别省市：北京,11