实验室首页 |  教师介绍  |  学生简历  |  课题研究  |  成果共享  |  联系方式  |  学术活动 
网包分类 
特征匹配 
流量管理 
策略部署 
系统实现 
 
覆盖网络 
技术服务 
 

策略部署(policy enforcement)

课题介绍:

网络安全策略定义了网络区域隔离、攻击检测和动态响应的逻辑,是网络安全的关键依托。网络安全策略部署,是将全局安全策略转化为安全设备执行逻辑的过程。近年来,软件定义网络(Software-Defined Networking,SDN)和网络功能虚拟化(Network Function Virtualization,NFV)技术不断发展,在数据中心网络、运营商网络等大规模分布式网络的典型应用场景下,安全策略部署的对象由单点扩展为全网,安全策略部署的规模和复杂度也持续增长。传统安全策略部署由管理员依靠经验进行人工操作的方式在复杂安全策略支持、部署效率和正确性等方面越来越难以适应虚拟化、动态化的场景。因此,在软件定义的架构下,研究设计高速、可扩展的网络安全策略部署理论与方法,可以推进网络安全管理的创新和应用,加速软件定义网络和网络功能虚拟化的落地,具有重要的理论意义和应用价值。

研究内容

  1)策略分析

  1. 研究目标::
    • 研究网络安全策略表示结构,设计对应结构的高效布尔运算。
  2. 研究方法:
    • 依据计算几何理论建模,分析安全策略以及安全策略所包含的安全规则。定义规则间和策略间的布尔运算,分析相关运算的代数性质。进一步通过引入空间索引结构,如搜索树、Bitmap,加速策略间布尔运算。

  2)策略分配

  1. 研究目标:
    • 研究满足资源优化配置的多约束多优化目标的安全策略分配方法。
  2. 研究方法:
    • 将分配问题建模为集合覆盖问题,分配方法需要通过划分策略空间,选择策略不同部署点以及对应的部署策略。满足复杂安全策略自身约束,如服务功能序列的功能保序性。考虑多种网络资源的约束,如转发设备规则容量、网络链路带宽和安全设备处理能力。考虑多种资源优化目标,如提高计算资源利用率、实现链路流量负载均衡。

  3)策略校验

  1. 研究目标:
    • 研究网络安全策略正确性,设计可扩展的安全策略校验方法。
  2. 研究方法:
    • 形式化描述安全策略的正确性,涉及数据平面执行逻辑与控制平面的语义一致性,以及数据平面网络不变量的约束。以策略分析的策略布尔运算为基础,层次化求解策略校验问题。将全网校验问题以路径流量粒度进行分解,进一步进行剪枝,以路径分析过程中得到的少量转发空间作为安全策略运算基础。

Copyright© 2004 NSLab. All Rights Reserved