煤矿企业数据中心网络安全服务链技术研究

目前,煤矿企业生产网络和数据中心之间的网络安全设备大多采用串行部署方式,存在单点故障、链路瓶颈、运维耦合等问题。针对上述问题,研究了基于软件定义网络（SDN）的煤矿企业数据中心网络安全服务链技术。设计了煤矿企业数据中心安全设备并行部署方式,在物理拓扑上串入1台服务功能链（SFC）交换机,将各安全设备接入SFC交换机,通过SDN控制器控制安全设备及经过SFC交换机的流量,通过SFC交换机定期向安全设备发送检测报文来实现安全设备健康状况检测,并根据配置实现安全设备故障、升级、增加情况下的SDN安全服务链,保障安全设备无感知上下线。测试结果表明,该技术支持安全服务资源的可视化灵活调度,可按需启用/停用服务链上安全服务或配置不同优先级的服务链,在安全设备故障情况下可自动更新安全服务路径,且丢包率低,实现了无感知切换。     

基于QoS的卫星信息应用链服务调度方法

服务调度问题是卫星信息应用链功能结构设计完成之后必须解决的问题．在卫星信息应用链服务调度问题的相关概念进行描述之后,提出了卫星信息应用链的服务质量参数体系,为链的性能评价和服务选择提供了依据,并在此基础上建立了卫星信息应用链的服务调度问题的数学模型,提出了一种基于GA的服务调度算法．实验结果表明,本文所提出的服务质量参数体系能有效解决应用链性能评估问题,基于QoS的卫星信息应用链服务调度方法可行性较强．     

基于SDN/NFV的安全服务链自动编排部署框架

针对云计算等虚拟化环境的安全防护问题,提出了一种基于SDN/NFV技术思想的安全服务链自动编排部署框架.论文通过扩展ABAC策略模型以描述用户的安全需求,采用优先级解决策略冲突以编排虚拟安全设备,依据网络中虚拟安全设备实例负载与实时链路传输时延来调度网络流,最终由SDN控制器生成流表下发到网络中完成流量重定向,实现了根据安全需求自动构建安全服务链的过程.整个框架在基于开源控制器FloodLight和虚拟安全设备的实验环境中实现了自动编排部署,取得了预期效果.     

基于服务功能链的多域安全服务按需适配方法

传统网络的服务管理和供应模式静态僵化,难以从全局角度为跨域数据流制定统一的安全和调度策略,无法满足多样化的安全需求。提出一种基于服务功能链（SFC）的多域安全服务按需适配方法,利用软件定义网络（SDN）和网络功能虚拟化（NFV）等技术,通过多层接口建立统一的描述模型,配置所需的安全服务资源,实例化所需的安全服务功能,并使用服务功能链将安全服务功能组合,进而实现安全服务的按需适配。最后,通过搭建原型系统,在不同的实验场景中验证所提方法的可行性。     

网络功能虚拟化下服务功能链的资源管理研究综述

伴随着云计算,软件定义网络和网络功能虚拟化等网络新技术的出现,未来网络运维向着虚拟化、智能化的方向不断迈进.网络功能虚拟化提供了一种服务节点虚拟化的方法,它采用通用服务器替代传统网络中的专用中间件,可以大大降低网络运营商的建设和运营成本,提升网络管理的灵活性和可扩展性.由于网络端到端服务通常需要不同的服务功能,采用虚拟化技术构建网络服务功能链,进行资源的合理分配和调度成为一个重要的研究课题,引起了学术界和工业界的广泛关注.从网络功能虚拟化的技术背景出发,介绍了网络功能虚拟化下服务功能链资源管理的基础架构、技术基础和应用场景.而后基于服务功能链编排的不同阶段,将现有理论研究划分为4个部分：组链、部署、调度和按需缩放分别展开论述,从问题出发介绍和分析了研究现状.最后,针对现有存在问题,提出了一些拟解决方案,并对未来的研究方向进行了展望.     

基于Q-learning的虚拟网络功能调度方法

针对现有调度方法多数未考虑虚拟网络功能在实例化过程中的虚拟机选择问题,提出一种新的虚拟网络调度方法。建立基于马尔科夫决策过程的虚拟网络功能调度模型,以最小化所有服务功能链的服务延迟时间。通过设计基于Q-learning的动态调度算法,优化虚拟网络功能的调度顺序和虚拟机选择问题,实现最短网络功能虚拟化调度时间。仿真结果表明,与传统的随机虚拟机选择策略相比,该方法能够有效降低虚拟网络功能调度时间,特别是在大规模网络中调度时间可降低约40%。     

基于SDN网络的安全设备路由研究

SDN（Software Defined Networking,软件定义网络）是一种新型的网络架构,是网络实现自动化部署灵活管理的一个重要方式。SDN技术将网络的数据平面和控制平面相分离,从而实现了网络流量的灵活控制。因此,基于SDN技术提出了一种基于SDN网络的安全设备路由模型,该模型结合改进的内嵌式安全设备最短路由算法和旁路式最短路由算法及神经网络最短路由算法,得到一种高效的安全设备路由策略,并且在此基础上构建了一个网络安全服务调度系统,能够在安全设备混合部署的复杂网络环境中,按用户需求提供个性化的安全服务;同时,通过计算较低网络成本的最短安全路径,提高了网络的路由效率和资源利用率。     

安全域间信息资源访问的协议和方法

为了保护内部网络的安全,必须设置应用边界安全设备. Internet上不同的应用安全域间要实现信息资源的安全访问,首先需要认证. Kerberos是目前比较常用的认证协议,一般的应用边界安全设备(如Socks5)中就应用了该认证协议,但应用该协议存在一定的缺陷：在应用边界安全设备链的认证过程中,资源域中的应用边界安全设备认证对象是主体域中的应用边界安全设备,而不是真正发起资源请求的客户端,因此资源域中的应用边界安全设备审计的对象是主体域中的应用边界安全设备,而不是真正的客户端.在Kerberos域间认证的基础上,给出了新的域间认证协议以及身份传递协议,使用新的协议不仅能够提供应用边界安全设备对用户访问请求的安全审计而且只需要两次域间的网络连接,这两次域间网络连接不需要主体和客体直接进行,而是通过应用边界安全设备完成的,提高了系统的通信效率,扩大了该系统的应用范围,适合于现有的企业网环境,能有效地解决企业网与企业网之间的信息安全传输.     

安全集中管理中安全设备差异性的屏蔽方法

随着网络应用的不断发展、安全设备的类型和数量的不断增多,造成了安全资源描述形式各式各样,使得网络安全管理工作越来越复杂。本文提出了一套建设安全集中管理中心时如何屏蔽各种安全设备差异性的解决方案,实现了对安全资源的集中化、标准化．并将对这些标准化后的安全资源的操作描述为服务,管理中心通过使用这些服务实施对安全设备的监管。     

网络功能虚拟化中延时感知的资源调度优化方法

网络功能虚拟化(network function virtualization, NFV)旨在以软件的方式实现网络功能从而替代传统网络中的专有硬件设备.为了应对日益增长的资源密集型需求,面向软件的网络功能虚拟化带来了如虚拟网络功能的管理、低延迟的调度和虚拟网络资源分配等问题.虚拟网络功能调度问题本身为NP-hard,在虚拟网络功能资源调度延迟的特定问题上,为保证良好的用户体验,需要确保网络资源被合理地分配和协调以防止资源的过度供应和保持端到端低延迟.针对网络资源调度的延时问题建立了以最小化资源调度总体服务延迟为目标的整数线性规划模型.此外,为了满足网络动态性较高的特性,设计了一种基于贪婪的启发式算法,此算法首先构建辅助图,然后根据考虑到网络传播时延影响的不同业务链之间的时延影响分析来选择资源调度方案,并且对很多点处理功能采用了多路传输的方式.最终的实验结果表明：所提算法可以有效地指导模型的求解,在降低网络总体服务延时方面比之前相关研究有5%~15%的性能提升.     

面向网络安全资源池的智能服务链系统设计与分析

传统网络安全架构通过将流量引导经过硬件形式的网络安全功能设备来保障网络安全,该架构由形式固定的硬件组成,导致网络安全区域部署形式单一,可扩展性较差,在面对网络安全事件时无法灵活地做出调整,难以满足未来网络的安全需求。面向网络安全资源池的智能服务链系统基于软件定义网络与网络功能虚拟化技术,能够有效解决上述问题。基于网络功能虚拟化技术新增虚拟形式的网络安全功能网元,结合已有的硬件网元构建虚实结合的网络安全资源池,并基于软件定义网络技术实现对连接网元的交换设备的灵活控制,从而构建可动态调节的网络安全服务链;基于安全日志检测与安全规则专家库实现对网络安全事件的检测与生成对应的响应方案,从而能够在面对网络安全事件时通过集中式控制的方式实现服务链的动态智能调节;对服务链的部署过程进行数学建模并设计了一种启发式的服务链优化编排算法,实现服务链的优化部署。通过搭建原型系统并进行实验,结果表明,所设计系统能够在面对安全事件时在秒级时间内完成安全事件的检测,并能够在分钟级时间内完成对安全服务链的自动调整,所设计的服务链优化部署算法能够将服务链对虚拟安全资源池中资源的占用降低65%。所设计系统有望运用于园区...     

Multi-Authority-Based File Hierarchy Hidden CP-ABE Scheme for Cloud Security

Cloud technology is emerging as a widely accepted technology in the recent years due to its robust nature. Cloud computation is basically developed on the fact that the resources can be shared between numerous devices to achieve efficient network operation among devices with minimized computation expenses. However, the sharing nature poses a security risk for the devices whose resources are being shared. Almost in all the existing works on cloud security, a single trusted third party (TTP) is used for key issue and authorization. However, using a single TTP may results in single-point failure and security risks. Most of the previous works on cloud security focus on storage security rather than considering the computation security. In order to solve these issues, in this paper, multi-authority-based file hierarchy hidden CP-ABE scheme for cloud security is proposed. In this scheme, the files are arranged in hierarchical order based on their attribute weights. Then when a cloud user needs certain resources, it requests the cloud service provider (CSP). The CSP links with the cloud owner to provide the requested file after encrypting it. The cloud server encrypts and places the encrypted file in CSP, which is later retrieved by cloud user. In this way, all the files that are being used are encrypted along with strict authentication to ensure cloud security.     

A file-deduplicated private cloud storage service with CDMI standard

The emergence of cloud environments makes users convenient to synchronize files across platform and devices. However, the data security and privacy are still critical issues in public cloud environments. In this paper, a private cloud storage service with the potential for security and performance concerns is proposed. A data deduplication scheme is designed in the proposed private cloud storage system to reduce cost and increase the storage efficiency. Moreover, the Cloud Data Management Interface (CDMI) standard is implemented in the proposed system to increase the interoperability. The proposed service provides an easy way to for user to establish the system and access data across devices conveniently. The experiment results also show the superiority of the proposed interoperable private cloud storage service in terms of data transmission and storage efficiency. By comparing with the existing system Gluster Swift, the proposed system is demonstrated much suitable for the service environment where most of the transmitted data are small files.     

The yoking-proof-based authentication protocol for cloud-assisted wearable devices

Along with the development of IoT applications, wearable devices are becoming popular for monitoring user data to provide intelligent service support. The wearable devices confront severe security issues compared with traditional short-range communications. Due to the limitations of computation capabilities and communication resources, it brings more challenges to design security solutions for the resource-constrained wearable devices in IoT applications. In this work, a yoking-proof-based authentication protocol (YPAP) is proposed for cloud-assisted wearable devices. In the YPAP, a physical unclonable function and lightweight cryptographic operators are jointly applied to realize mutual authentication between a smart phone and two wearable devices, and yoking-proofs are established for the cloud server to perform simultaneous verification. Meanwhile, Rubin logic-based security formal analysis is performed to prove that the YPAP has theoretical design correctness. It indicates that the proposed YPAP is flexible for lightweight wearable devices in IoT applications.     

云计算环境下的网络安全技术

云计算机具有强大的数据处理功能,能够满足安全高效信息服务及高吞吐率信息服务等多种应用需求,且可以根据需要对存储能力与计算能力进行扩展。但在网络环境下云计算机同样面临许多网络安全问题,因此本文对云计算机环境下常见的网络安全问题进行了探讨,包括拒绝服务安全攻击、中间人安全攻击、SQL注入安全攻击、跨站脚本安全攻击及网络嗅探;同时分析了云计算机环境下的网络安全技术,包括用户端安全技术,服务器端安全技术,用户端与云端互动时的安全技术。     

可信服务链安全架构研究

针对网络功能虚拟化中服务链的安全性问题,提出一种基于可信计算的安全服务链架构。首先,基于可信计算为网络功能虚拟化架构设置可信管理中心模块,为虚拟网络功能实例的生成、服务链的生成和调整提供可信认证;然后,针对服务链的生成和调整设计了相关安全协议;最后,将HOTP协议引入模型之中,实现了服务链各实例之间的安全认证与安全传输,并支持服务链节点的动态扩充和调整。经过架构仿真分析表明,本安全架构在保证服务链动态性的同时提高了安全性。     

User Centric Block-Level Attribute Based Encryption in Cloud Using Blockchains

Cloud computing is a collection of distributed storage Network which can provide various services and store the data in the efficient manner. The advantages of cloud computing is its remote access where data can accessed in real time using Remote Method Innovation (RMI). The problem of data security in cloud environment is a major concern since the data can be accessed by any time by any user. Due to the lack of providing the efficient security the cloud computing they fail to achieve higher performance in providing the efficient service. To improve the performance in data security, the block chains are used for securing the data in the cloud environment. However, the traditional block chain technique are not suitable to provide efficient security to the cloud data stored in the cloud. In this paper, an efficient user centric block level Attribute Based Encryption (UCBL-ABE) scheme is presented to provide the efficient security of cloud data in cloud environment. The proposed approach performs data transaction by employing the block chain. The proposed system provides efficient privacy with access control to the user access according to the behavior of cloud user using Data Level Access Trust (DLAT). Based on DLAT, the user access has been restricted in the cloud environment. The proposed protocol is implemented in real time using Java programming language and uses IBM cloud. The implementation results justifies that the proposed system can able to provide efficient security to the data present in and cloud and also enhances the cloud performance.     

Safeguarding Cloud Computing Infrastructure: A Security Analysis

Cloud computing is the provision of hosted resources, comprising software, hardware and processing over the World Wide Web. The advantages of rapid deployment, versatility, low expenses and scalability have led to the widespread use of cloud computing across organizations of all sizes, mostly as a component of the combination/multi-cloud infrastructure structure. While cloud storage offers significant benefits as well as cost-effective alternatives for IT management and expansion, new opportunities and challenges in the context of security vulnerabilities are emerging in this domain. Cloud security, also recognized as cloud computing security, refers to a collection of policies, regulations, systematic processes that function together to secure cloud infrastructure systems. These security procedures are designed to safeguard cloud data, to facilitate regulatory enforcement and to preserve the confidentiality of consumers, as well as to lay down encryption rules for specific devices and applications. This study presents an overview of the innovative cloud computing and security challenges that exist at different levels of cloud infrastructure. In this league, the present research work would be a significant contribution in reducing the security attacks on cloud computing so as to provide sustainable and secure services.