一种基于软件定义安全的混合资源管理系统技术方案

本发明专利技术涉及一种基于软件定义安全的混合资源管理系统，属于软件定义安全领域及虚拟化技术领域。本发明专利技术提供的一种基于软件定义安全的混合资源管理系统遵循标准的软件定义安全架构，考虑了传统软件定义安全的优点，实现了数据与控制的解耦，确保了数据层与控制层的相互分离，解决了软件服务管控和混合资源调度所出现的问题。

【技术实现步骤摘要】
一种基于软件定义安全的混合资源管理系统
本专利技术属于软件定义安全领域及虚拟化
，具体涉及一种基于软件定义安全的混合资源管理系统。
技术介绍
软件定义安全从软件定义网络的概念中引申而来，传统的软件定义安全聚焦于安全设备上，对安全设备的功能进行抽象，使得安全设备不再采用各自为政、单独部署的工作模式，其优点在于利用软件定义网络的组网划分效果，将物理分区不在一起的网络设备划分至同一个管理系统内管理，方便安全功能的调度与管理；解除了数据处理层和控制管理层的耦合，便于中心管理对各个同类功能设备进行单独的管控，进而忽略由于厂商版本等管理控制层面的差异。但传统软件定义安全也存在缺点，例如仅针对物理或虚拟的网络安全设备，而非面向安全功能。它可以对IDS、防火墙、服务器等硬件设备进行管控，也可以对虚拟网络设备进行配置，但针对软件类型的安全服务或安全插件缺少管理；其次，软件定义安全还缺少针对多个安全资源的编排手段，尤其是软硬件结合的资源调度。
技术实现思路
(一)要解决的技术问题本专利技术要解决的技术问题是：如何针对当前软件定义安本文档来自技高网...

【技术保护点】
1.一种基于软件定义安全的混合资源管理系统，其特征在于，包括：包含各种混合资源的安全资源模块，负责资源调度和分发的集中控制模块，为用户提供调用接口的应用管理模块。/n

【技术特征摘要】
1.一种基于软件定义安全的混合资源管理系统，其特征在于，包括：包含各种混合资源的安全资源模块，负责资源调度和分发的集中控制模块，为用户提供调用接口的应用管理模块。


2.如权利要求1所述的系统，其特征在于，所述安全资源模块作为数据层的组成部分，提供容器、物理设备、虚拟设备、安全应用及安全服务这些混合资源；集中控制模块和应用管理模块组成控制层，其中集中控制模块直接与安全资源交互，实现对安全资源模块中各类资源的统一调度与管理，应用管理模块与用户的应用及服务相关联，为各类应用、服务提供统一的接口。


3.如权利要求2所述的系统，其特征在于，所述安全资源模块由物理及虚拟安全网络设备、容器、安全服务与安全进程组成，安全资源模块整合由SDN拆分得到的数据层，再使用NFV技术完成网络功能的虚拟化，并保证所有混合资源拥有各自足够的系统资源，提供安全存储、启动环境与运行依赖；集中控制模块整合SDN拆分出来的控制层，按资源类型整合控制管理模块，因此，集中控制模块向下对混合资源的功能组件进行编排及状态管理；集中控制模块将各类资源的功能点与控制配对，形成“控制-功能对”，并将其整合为控制接口向上为应用管理模块提供控制管理API，向下对安全资源模块进行资源分配调度，实现对混合资源的调度编排进行管理，通过配置服务链完成对安全资源模块的业务分发，控制管理API根据功能点及功能类型分类，重新适配混合资源的控制接口，进而统一整合所有功能接口，并提供安全资源的占用分配管理与系统资源调配；应用管理模块直接对接用户，为用户提供安全服务接口、安全应用接口、资源管理接口及编排引擎任务下发接口；应用管理模块通过资源管理接口查询并管理，安全资源模块内安全资源的资源分配情况，物理及虚拟安全设备的部署管理，网络虚拟化模块的调度使用情况；查看集中管理模块内控制管理模块对各个“控制-功能对”的管理情况，功能元使用情况及详细配置，服务链配置情况。


4.如权利要求3所述的系统，其特征在于，所述安全资源模块，由多种载体类型组成，物理及虚拟安全网络设备、容器、安全服务与安全进程；根据安全产品分为防火墙类、安全漏洞扫描分析类、入侵检测类、网络设备安全模块类、病毒防护类、网络3A、安全操作系统类、网络安全隔离类、安全协议类和加密类这10类；这10类功能通过NFV实现对数据处理层的网络、计算和存储拆分，得到相对独立的10类安全功能元，集中控制模块对安全功能元进行调度，进而完成用户所需的安全任务。


5.如权利要求4所述的系统，其特征在于，所述集中控制模块对照各类安全资源的功能元将控制层重组，统一管理并将其适配为对外接口提供给应用管理模块；集中控制模块由资源调度引擎、控制管理模块，以及从安全资源中解耦出来的控制接口组成；资源调度引擎用于针对当前系统资源是否能够启动功能元，当前功能元是否被占用，是否出现死锁进行判断分配与调度，启动方面采用FIFO的方式确保容器、软件这些运行环境；控制管理模块负责配对和管理“控制-功能对”，对资源访问权限进行管理，对功能元的状态进行信息采集并及时反馈给资源调度引擎；针对安全资源模块的功能元，由负责动态分配的资源调度引擎和负责资源管控的控制管理模块对功能元进行调度。


6.如权利要求5所述的系统，其特征在于，所述应用管理模块，承接集中控制模块提供的对外接口，应用管理模块包含对该接口格式规范化的安全服务接口和安全应用接口、对安全资源进行修改和查询的资源管理接口及处理安全任务的编排引擎任务下发...

【专利技术属性】
技术研发人员：杨茂深，赵慧，于然，张雨，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京;11