基于SDN的開放SaaS平臺(tái)網(wǎng)絡(luò)安全體系設(shè)計(jì)和研究

申淑平

（江蘇聯(lián)合職業(yè)技術(shù)學(xué)院南通衛(wèi)生分院，江蘇南通226010）

基于SDN的開放SaaS平臺(tái)網(wǎng)絡(luò)安全體系設(shè)計(jì)和研究

申淑平

（江蘇聯(lián)合職業(yè)技術(shù)學(xué)院南通衛(wèi)生分院，江蘇南通226010）

針對(duì)開放軟件即服務(wù)（SaaS）平臺(tái)網(wǎng)絡(luò)安全性差的問題，文中基于軟件定義網(wǎng)絡(luò)（SDN）技術(shù)，結(jié)合國內(nèi)外SDN的研究現(xiàn)狀和開放SaaS平臺(tái)的特點(diǎn)，自頂而下設(shè)計(jì)了一套基于SDN的開放SaaS平臺(tái)網(wǎng)絡(luò)安全體系。分析了系統(tǒng)物理和功能模型以及協(xié)同模型，并設(shè)計(jì)了相應(yīng)的系統(tǒng)體系結(jié)構(gòu)。平臺(tái)經(jīng)過封裝后，可使用戶無需了解底層接口和相關(guān)安全技術(shù)，只需使用上層提供的接口即可進(jìn)行安全體系設(shè)計(jì)與功能實(shí)現(xiàn)，能滿足平臺(tái)構(gòu)建對(duì)動(dòng)態(tài)性、開放性、強(qiáng)擴(kuò)展性和高安全性的需求。最終通過系統(tǒng)典型實(shí)例驗(yàn)證了，該網(wǎng)絡(luò)安全體系的實(shí)用性與有效性。

軟件即服務(wù)；軟件定義網(wǎng)絡(luò)；網(wǎng)絡(luò)安全體系；網(wǎng)絡(luò)防護(hù)

SaaS平臺(tái)，即開放軟件即服務(wù)平臺(tái)，屬于開放的云計(jì)算架構(gòu)平臺(tái)。其特點(diǎn)是面向使用者提供動(dòng)態(tài)可擴(kuò)展編程的軟件即服務(wù)，具有動(dòng)態(tài)擴(kuò)展性強(qiáng)、開放性大等優(yōu)點(diǎn)，但這也帶來了安全性的關(guān)鍵問題[1-2]。針對(duì)這一問題，國內(nèi)外研究人員進(jìn)行了廣泛的思考和研究，包括從SaaS數(shù)據(jù)、業(yè)務(wù)流程與云計(jì)算模型、架構(gòu)等方面對(duì)安全性進(jìn)行考慮[3-6]。直到具有集中化控制、開放可編程結(jié)構(gòu)以及控制平面分析等特征的軟件定義網(wǎng)絡(luò)技術(shù)SDN的出現(xiàn)，才為SaaS平臺(tái)安全性問題提供了新的解決方案，從而成為網(wǎng)絡(luò)與云計(jì)算安全領(lǐng)域的焦點(diǎn)[7-9]。SDN在網(wǎng)絡(luò)和云計(jì)算平臺(tái)安全體系中的運(yùn)用，被認(rèn)為是目前乃至未來網(wǎng)絡(luò)安全體系的發(fā)展趨勢(shì)，能為云計(jì)算平臺(tái)提供必要的安全保障。當(dāng)前，基于SDN的應(yīng)用探索主要從SDN設(shè)備著手，較少將其放在應(yīng)用體系中進(jìn)行全面而系統(tǒng)的研究。

因此，文中依托于框架和應(yīng)用研究，充分發(fā)揮SDN封裝后向上提供編程接口的優(yōu)勢(shì)，從建設(shè)體系的角度將SDN應(yīng)用于開放SaaS平臺(tái)安全體系的建設(shè)。自頂向下研究了系統(tǒng)的體系結(jié)構(gòu)和安全模型，分析了系統(tǒng)構(gòu)建、構(gòu)件管理、數(shù)據(jù)表示和協(xié)同等關(guān)鍵要素。并根據(jù)SaaS平臺(tái)的相關(guān)集成標(biāo)準(zhǔn)，為基于SDN開發(fā)的網(wǎng)絡(luò)安全應(yīng)用制作了封裝，以方便用戶只需通過調(diào)用SaaS編程接口，而無需關(guān)注底層接口便可實(shí)現(xiàn)所需的網(wǎng)絡(luò)安全功能。該體系同時(shí)具有SDN安全性高、路由可控和開放SaaS平臺(tái)的特點(diǎn)，且依托于該體系結(jié)構(gòu)可于后期進(jìn)行持續(xù)性建設(shè)和更新。并逐步形成按需定制、動(dòng)態(tài)開放的網(wǎng)絡(luò)安全系統(tǒng)，從而不斷提升系統(tǒng)協(xié)同預(yù)警、識(shí)別、防護(hù)和反擊能力。

1 系統(tǒng)模型

1.1 物理和功能模型

從構(gòu)成系統(tǒng)的物理層面看，該網(wǎng)絡(luò)安全體系系統(tǒng)主要組成部分為路由器等交換設(shè)備、SaaS平臺(tái)相關(guān)服務(wù)器、安全服務(wù)中心、網(wǎng)絡(luò)服務(wù)提供商ISP和應(yīng)用客戶端等。其中，前三者為關(guān)鍵物理要素，相關(guān)結(jié)構(gòu)示意圖可見圖1（a）。交換設(shè)備理論上應(yīng)要求全部是支持SDN的路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，但實(shí)際上無法達(dá)到該要求，只能通過對(duì)SDN交換設(shè)備和普通網(wǎng)絡(luò)設(shè)備進(jìn)行有機(jī)組合來克服該問題。本文將普通網(wǎng)絡(luò)設(shè)備以及互聯(lián)網(wǎng)絡(luò)作為整體，從安全體系的建設(shè)角度將其等效抽象出來，稱為透明互聯(lián)網(wǎng)絡(luò)，并將交換設(shè)備狹義得定義成布局在互聯(lián)網(wǎng)絡(luò)中的SDN設(shè)備。下文中若是提到交換設(shè)備，則默認(rèn)特指支持SDN功能的相關(guān)交換設(shè)備。

從系統(tǒng)功能角度，從內(nèi)向外可分為控制域、功能域和服務(wù)域。控制域是該體系的物理基礎(chǔ)層，主體為控制器、交換設(shè)備以及定義的轉(zhuǎn)發(fā)規(guī)則，能夠?qū)崿F(xiàn)轉(zhuǎn)發(fā)功能；功能域依照網(wǎng)絡(luò)安全系統(tǒng)的典型功能要求，實(shí)現(xiàn)協(xié)同預(yù)警、識(shí)別、防護(hù)和反擊等網(wǎng)絡(luò)相關(guān)防護(hù)功能；服務(wù)域負(fù)責(zé)對(duì)功能域相關(guān)安全功能進(jìn)行面向服務(wù)的封裝，并增加了開放SaaS平臺(tái)的特點(diǎn)和功能，共同給用戶帶來基礎(chǔ)傳輸、虛擬網(wǎng)絡(luò)及網(wǎng)絡(luò)防護(hù)等相關(guān)安全編程服務(wù)。系統(tǒng)功能的模型結(jié)構(gòu)圖，可見圖1（b）。

圖1 物理模型結(jié)構(gòu)和系統(tǒng)功能模型結(jié)構(gòu)示意圖

1.2 協(xié)同模型

協(xié)同過程基于協(xié)同原理，涵蓋了協(xié)同群組的建立及解除、信息獲取請(qǐng)求和最后的信息發(fā)送動(dòng)作。由于本文網(wǎng)絡(luò)安全體系基于SDN，所發(fā)送的信息包括了網(wǎng)絡(luò)原始數(shù)據(jù)和元規(guī)則信息，后者也就是轉(zhuǎn)發(fā)規(guī)則。至此，本文的協(xié)同對(duì)象確定為布局在各網(wǎng)絡(luò)節(jié)點(diǎn)上的各交換設(shè)備，協(xié)同主題由各級(jí)安全中心進(jìn)行發(fā)起，并設(shè)計(jì)了3種原語方式（網(wǎng)絡(luò)管理、數(shù)據(jù)獲取和發(fā)送），采用協(xié)同原語的方式，對(duì)本文體系系統(tǒng)進(jìn)行建模和后續(xù)分析。

網(wǎng)絡(luò)管理原語，即采用虛擬方式對(duì)虛擬網(wǎng)絡(luò)進(jìn)行建立及注銷，其語法如下所示:

其中，括號(hào)中各選項(xiàng)依次代表:網(wǎng)絡(luò)標(biāo)識(shí)NetID；SDN設(shè)備的各ID集合；一個(gè)或多個(gè)中心用戶集合；本網(wǎng)絡(luò)的功能描述（該選項(xiàng)可空）；建立或注銷虛擬網(wǎng)絡(luò)標(biāo)志，flag為-1則注銷網(wǎng)絡(luò)，為1則建立相應(yīng)標(biāo)識(shí)名的分布式虛擬網(wǎng)絡(luò)群落。

數(shù)據(jù)獲取原語，即通過主動(dòng)獲取從各交換設(shè)備得到網(wǎng)絡(luò)數(shù)據(jù)，其語法如下所示:

括號(hào)內(nèi)各選項(xiàng)依次代表:采樣數(shù)據(jù)所處的安全中心編號(hào)；準(zhǔn)備提供數(shù)據(jù)所對(duì)應(yīng)的各交換設(shè)備的集合；采樣數(shù)據(jù)所應(yīng)滿足的樣本特征及要求；采樣時(shí)間約束要求，留空則表示長期采樣。

數(shù)據(jù)發(fā)送原語，即各交換設(shè)備將網(wǎng)絡(luò)數(shù)據(jù)發(fā)送給安全中心，其語法如下所示:

括號(hào)內(nèi)各選項(xiàng)依次代表:目標(biāo)編碼（交換設(shè)備亦或是安全中心ID）；推送的數(shù)據(jù)類型，為0則表示網(wǎng)絡(luò)數(shù)據(jù)，1則表示安全規(guī)則；推送數(shù)據(jù)的集合。

2 體系結(jié)構(gòu)設(shè)計(jì)

2.1 框架設(shè)計(jì)

基于上述系統(tǒng)模型和分層設(shè)計(jì)、面向服務(wù)等思想，基于SDN的開放SaaS平臺(tái)網(wǎng)絡(luò)安全體系設(shè)備組成如圖2所示。從上至下依次為面向用戶提供動(dòng)態(tài)編程服務(wù)的服務(wù)層、實(shí)現(xiàn)功能和封裝的功能層、采用虛擬化網(wǎng)絡(luò)技術(shù)的虛擬層、支持SDN技術(shù)相關(guān)Controller模型的控制層以及SDN交換設(shè)備所處的設(shè)備層。

圖2 系統(tǒng)體系結(jié)構(gòu)示意圖

2.2 基于網(wǎng)絡(luò)描述字的信息獲取和協(xié)同

文中定義了網(wǎng)絡(luò)描述字NDW（Widi，ProtocalSeti，Areavipre-vi-viback，Ti，DataPacki）描述從支持 SDN技術(shù)的設(shè)備獲得數(shù)據(jù)包信息，括號(hào)內(nèi)各項(xiàng)依次代表:該網(wǎng)絡(luò)的唯一標(biāo)識(shí)；該網(wǎng)絡(luò)所應(yīng)滿足的諸如TCP/IP等協(xié)議的集合；數(shù)據(jù)包所處區(qū)域的位置及上下文信息；數(shù)據(jù)包的獲取時(shí)間；獲取的由一個(gè)或一組數(shù)據(jù)包構(gòu)成的原始數(shù)據(jù)包信息。

傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)由于大多只在核心入口處的交換設(shè)備節(jié)點(diǎn)上，布置一定的防火墻和相關(guān)的網(wǎng)絡(luò)預(yù)警系統(tǒng)。主要是以點(diǎn)防護(hù)為主，防護(hù)節(jié)點(diǎn)也比較固定，會(huì)帶來一定的安全隱患[10-15]。而文中設(shè)計(jì)的安全體系，無需使用防火墻，每個(gè)SDN設(shè)備按照既定的轉(zhuǎn)發(fā)規(guī)則，均能當(dāng)做一個(gè)信息獲取設(shè)備來使用，組成協(xié)同網(wǎng)絡(luò)。在有攻擊信息存在時(shí)，實(shí)現(xiàn)全網(wǎng)共同預(yù)警以及對(duì)數(shù)據(jù)協(xié)同獲取的功能，后者的時(shí)序示意圖可見圖3。

圖3 數(shù)據(jù)協(xié)同獲取采樣時(shí)序圖

從圖中可知，安全中心主要存在3種獲取NDW的方式，具體為用PutMessage原語推送報(bào)警規(guī)則給SDN設(shè)備，若遇到與數(shù)據(jù)包匹配時(shí)利用原語反饋采樣數(shù)據(jù)的按統(tǒng)一規(guī)則報(bào)送；SDN設(shè)備按照各自狀態(tài)判斷數(shù)據(jù)包是否匹配本地Controller告警規(guī)則等異常狀況，并利用PutMessage原語主動(dòng)反饋采樣數(shù)據(jù)給安全中心的SDN設(shè)備主動(dòng)報(bào)送；安全中心根據(jù)設(shè)定需要，利用GetMessage原語發(fā)送采樣數(shù)據(jù)需求給SDN設(shè)備，并通過PutMessage原語獲得相應(yīng)采樣數(shù)據(jù)的安全中心按需采樣。

矩陣數(shù)據(jù)具有顯示數(shù)據(jù)和關(guān)系直觀了當(dāng)、運(yùn)算簡(jiǎn)便、求解精確、獲取數(shù)據(jù)相關(guān)快速和樹形結(jié)構(gòu)轉(zhuǎn)換便利等優(yōu)點(diǎn)，有利于對(duì)攻擊源的定位與跟蹤。因此，本文采用矩陣形式對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)和協(xié)同。行列表示了網(wǎng)絡(luò)內(nèi)各交換設(shè)備ID，列（行）表示數(shù)據(jù)的前（后）序交換設(shè)備節(jié)點(diǎn)，行列組合在一起可以表示數(shù)據(jù)的流動(dòng)方向，確定數(shù)據(jù)的位置信息，且該位置信息具有唯一性。

圖4（a）是定位攻擊源案例的示意圖。其中，節(jié)點(diǎn)1、2、3向節(jié)點(diǎn)11發(fā)動(dòng)攻擊，并將采樣數(shù)據(jù)描述為矩陣形式可見圖4（b）所示。將矩陣形式以被攻擊節(jié)點(diǎn)11為根節(jié)點(diǎn)通過逐級(jí)回朔（按照列）和裁剪算法，即可獲得攻擊圖和相應(yīng)攻擊樹，可見圖5。

圖4 攻擊路徑和矩陣形式數(shù)據(jù)示意圖

圖5 攻擊路徑

2.3 面向服務(wù)的網(wǎng)絡(luò)防護(hù)功能建設(shè)

典型的網(wǎng)絡(luò)安全功能按應(yīng)用角度可分為威脅預(yù)警、識(shí)別、防護(hù)、定位甚至反擊等維度，基于這些維度建立對(duì)應(yīng)的防護(hù)系統(tǒng)。在開放SaaS平臺(tái)下，通過對(duì)各功能維度對(duì)應(yīng)的算法進(jìn)行服務(wù)化封裝，可以獲得開放的構(gòu)建管理和相應(yīng)所需的運(yùn)行環(huán)境，并結(jié)合后續(xù)迭代及升級(jí)操作，對(duì)系統(tǒng)的防護(hù)功能進(jìn)行不斷升級(jí)與增強(qiáng)。

相關(guān)防護(hù)算法封裝，可見圖6。根據(jù)統(tǒng)一的SaaS平臺(tái)下接口標(biāo)準(zhǔn)將最底層防護(hù)算法優(yōu)先進(jìn)行封裝，并借助構(gòu)件管理功能實(shí)例化服務(wù)進(jìn)程，構(gòu)建服務(wù)資源池，供多用戶實(shí)現(xiàn)并發(fā)訪問。用戶功能訪問時(shí)只需先適配數(shù)據(jù)接口，再調(diào)用相關(guān)服務(wù)實(shí)例，對(duì)網(wǎng)絡(luò)防護(hù)功能進(jìn)行服務(wù)化訪問[16-18]。

圖6 服務(wù)封裝結(jié)構(gòu)示意圖

2.4 基于平臺(tái)的動(dòng)態(tài)安全編程

開放SaaS平臺(tái)的設(shè)計(jì)初衷和思想就是讓系統(tǒng)的建設(shè)者與用戶共同參與系統(tǒng)開發(fā)，后者根據(jù)自身所需自行開發(fā)個(gè)性化的系統(tǒng)功能，并可以為其他用戶提供所需的服務(wù)，安全系統(tǒng)的開發(fā)也應(yīng)符合這個(gè)特點(diǎn)。因此，文中設(shè)計(jì)安全系統(tǒng)的構(gòu)件開發(fā)包括平臺(tái)級(jí)、應(yīng)用級(jí)和專業(yè)級(jí)這3類，組成與接口關(guān)系可如圖7所示。

圖7 系統(tǒng)構(gòu)件開發(fā)的組成和相應(yīng)接口關(guān)系

平臺(tái)級(jí)構(gòu)件負(fù)責(zé)提供系統(tǒng)基礎(chǔ)的安全服務(wù)，該構(gòu)件的提供和維護(hù)由平臺(tái)的開發(fā)者負(fù)責(zé)完成。專業(yè)級(jí)構(gòu)件用于根據(jù)需要以平臺(tái)級(jí)構(gòu)件為基礎(chǔ)開發(fā)更專業(yè)的網(wǎng)絡(luò)安全構(gòu)件，其提供和維護(hù)工作由具有較強(qiáng)信息化能力的應(yīng)用者負(fù)責(zé)完成。而應(yīng)用級(jí)構(gòu)件用于提供應(yīng)用級(jí)的安全服務(wù)，該構(gòu)件主要由上述兩種構(gòu)件安全措施與規(guī)則的組合及配置實(shí)現(xiàn)，主要為信息化能力一般但又有安全需要的系統(tǒng)使用者提供個(gè)性化安全服務(wù)。

3 系統(tǒng)應(yīng)用舉證

如圖8所示，即為某基于SDN技術(shù)建立的開放SaaS平臺(tái)網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)用實(shí)例。為確保一般性，符號(hào)化處理了具體的網(wǎng)絡(luò)節(jié)點(diǎn)名稱。建設(shè)過程中，平臺(tái)開發(fā)者在云端構(gòu)建平臺(tái)級(jí)安全中心提供整體的安全服務(wù)。此外，基于服務(wù)平臺(tái)，依次建設(shè)企業(yè)級(jí)、商業(yè)級(jí)和設(shè)備級(jí)的安全中心平臺(tái)，利用基礎(chǔ)網(wǎng)絡(luò)和相應(yīng)的SDN節(jié)點(diǎn)設(shè)備完成各級(jí)系統(tǒng)之間的互聯(lián)，最終實(shí)現(xiàn)了一套在物理層面上存在無中心分散特點(diǎn)，而在邏輯層面上存在有中心按所需組網(wǎng)特點(diǎn)的安全防護(hù)網(wǎng)絡(luò)體系，能夠保障系統(tǒng)平穩(wěn)安全運(yùn)行。從系統(tǒng)的運(yùn)行效率角度看，該安全體系能有效利用SDN進(jìn)行定位和追蹤，前文對(duì)網(wǎng)絡(luò)攻擊進(jìn)行追蹤的相關(guān)分析也證實(shí)了這一點(diǎn)。此外，云計(jì)算憑借對(duì)全系統(tǒng)拓?fù)錉顟B(tài)的掌握，能有效提高路由的收斂速度，并可依據(jù)系統(tǒng)的當(dāng)前狀態(tài)制定相應(yīng)的預(yù)先解決方案，在SDN各節(jié)點(diǎn)上實(shí)現(xiàn)部署。整體上看，基于SDN的開放SaaS平臺(tái)網(wǎng)絡(luò)安全體系，能有效提高網(wǎng)絡(luò)安全性能、運(yùn)行效率和擴(kuò)展性，且具有較好的實(shí)用性和參考價(jià)值。

圖8 某應(yīng)用實(shí)例

4 結(jié)束語

文中基于SDN技術(shù)和設(shè)備具有封裝后向上提供編程接口以及轉(zhuǎn)發(fā)、控制分離等特點(diǎn)，結(jié)合國內(nèi)外SDN的研究現(xiàn)狀，以自上而下的思路設(shè)計(jì)了一套基于SDN的開放SaaS平臺(tái)網(wǎng)絡(luò)安全體系。平臺(tái)經(jīng)過封裝后，可使用戶無需關(guān)注底層接口和相關(guān)安全技術(shù)，而只需通過上層提供的接口進(jìn)行安全體系的設(shè)計(jì)與功能的實(shí)現(xiàn)。從而滿足了平臺(tái)構(gòu)建對(duì)動(dòng)態(tài)性、開放性和高安全性的需求，有效降低預(yù)警時(shí)間，及時(shí)對(duì)攻擊進(jìn)行應(yīng)對(duì)和處理。最終通過系統(tǒng)典型實(shí)例也驗(yàn)證了，該基于SDN網(wǎng)絡(luò)安全體系的實(shí)用性和有效性，并具有一定的參考價(jià)值。

[1]國艷群，韓敏，孫林夫.開放SaaS產(chǎn)業(yè)服務(wù)平臺(tái)模型與體系結(jié)構(gòu)[J].西南交通大學(xué)學(xué)報(bào)，2014，49（6）:1068-1072.

[2]國艷群，韓敏，孫林夫.基于開放架構(gòu)的SaaS服務(wù)平臺(tái)數(shù)據(jù)管理技術(shù)研究[J].電子科技大學(xué)學(xué)報(bào)，2015，44（2）:295-298.

[3]陳靜，孫林夫.基于SaaS的產(chǎn)業(yè)鏈協(xié)作公共服務(wù)平臺(tái)數(shù)據(jù)安全解決方案[J].計(jì)算機(jī)集成制造系統(tǒng)，2011，17（6）:1317-1324.

[4]林闖，蘇文博，孟坤，等.云計(jì)算安全:架構(gòu)、機(jī)制與模型評(píng)價(jià)[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（9）:1765-1784.

[5]曹帥，王淑營.產(chǎn)業(yè)鏈協(xié)同SaaS平臺(tái)業(yè)務(wù)流程定制安全技術(shù)研究[J].計(jì)算機(jī)科學(xué)，2014，41（1）:230-234.

[6]Qiang Z，Dong C.Enhance the User Data Privacy for SAAS by Separation of Data[C].International Conference on Information Management，Innovation Management and Industrial Engineering.IEEE，2009:130-132.

[7]Mckeown N，Anderson T，Balakrishnan H，et al.OpenFlow:enabling innovation in campus networks[J].Acm Sigcomm ComputerCommunication Review，2008，38（2）:69-74.

[8]Yen T C，Su C S.An SDN-based cloud computing architecture and its mathematical model[C]//International Conference on Information Science，Electronics and Electrical Engineering.IEEE，2014:1728-1731.

[9]黃韜，劉江，霍如，等.未來網(wǎng)絡(luò)體系架構(gòu)研究綜述[J].通信學(xué)報(bào)，2014，35（8）:184-197.

[10]趙洪靜，周創(chuàng)明，翟平利，等.基于網(wǎng)絡(luò)主動(dòng)防御安全模型的入侵誘騙系統(tǒng)[J].空軍工程大學(xué)學(xué)報(bào):自然科學(xué)版，2010，11（3）:76-79.

[11]劉龍龍，張建輝，楊夢(mèng).網(wǎng)絡(luò)攻擊及其分類技術(shù)研究[J].電子科技，2017，30（2）:169-172.

[12]黃海軍.基于云計(jì)算的網(wǎng)絡(luò)安全評(píng)估[J].電子設(shè)計(jì)工程，2016，24（12）:115-117.

[13]張耀元，郭淑明，汪小雨.基于入侵檢測(cè)技術(shù)的MANET 安全研究[J].電子科技，2016，29（11）:157-160.

[14]鄧立博.MANET入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D].哈爾濱:哈爾濱工程大學(xué)，2012.

[15]李秀娟.探析網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電子設(shè)計(jì)工程，2017，25（1）:27-30.

[16]張團(tuán)利，呂光宏，楊沛霖.基于OpenFlow的SDN可靠性綜述[J].電子科技，2016（2）：177-181.

[17]張帆，毋濤.基于云計(jì)算的服裝物料管理系統(tǒng)[J].西安工程大學(xué)學(xué)報(bào)，2015（6）：740-745.

[18]趙衛(wèi).一種基于網(wǎng)絡(luò)安全的WIFI系統(tǒng)身份認(rèn)證設(shè)計(jì)[J].電子設(shè)計(jì)工程，2016（14）：81-83.

Design and research of network security architecture for open SaaS platform based on SDN

SHEN Shu-ping
（Nantong Health Branch，Jiangsu Union Technical Institute，Nantong226010，China）

Combined with the characteristics of the open software as a service（SaaS）platform as well as researches on the software defined network（SDN），a set of network security architecture for open SaaS platform based on the SDN technology is top-down designed，aiming to solve the network security problem of SaaS platform.The physical and functional model and cooperation model are analyzed，and the corresponding architecture of system is designed.After the package of the platform，the user can ignore the underlying interface and related security technologies and use the upper interface to design and complete functions of the security system，satisfying the dynamic，openness，strong scalability and high security requirements for the building of the SaaS platform.The practicability and validity of this network security architecture are verified by a typical example，providing references values for designs of other open SaaS platform.

software as a service；software defined network；network security architecture；network defense

TP311

A

1674-6236（2017）23-0085-05

2017-07-03稿件編號(hào)：201707014

申淑平（1979—），男，江蘇南通人，碩士，講師。研究方向：網(wǎng)絡(luò)安全。