软件定义网络(Software-defined Networking,SDN)是一种逻辑控制与数据转发分离的新型网络体系结构,它能够为互联网提供满足当前及未来需求的平滑演进能力,已成为未来互联网的发展方向,为解决网络安全问题提供了新思路。安全服务链(Security Service Chain,SSC)是解决SDN网络端端安全的核心技术,它将借助网络功能虚拟化(Network Function Virtualization,NFV)技术从硬件安全设备中解耦出来的虚拟安全功能(Virtual Security Function,VSF)编排成安全服务链条,并映射到实现VSF的通用服务器上,利用SDN网络的细粒度流量管控功能,引导流量按照SSC的顺序要求依次处理,从而为用户提供端端安全服务。本文围绕SSC部署过程中的两个主要问题——“SSC优化映射”和“SSC自适应调整”展开研究,重点研究了面向单域、多域网络的SSC映射方法、面向安全服务需求变化的SSC随需调整方法和面向故障网络的SSC抗毁调整方法,取得了以下研究成果:1.提出基于安全服务拓扑的单域SSC映射方法。针对现有方法未考虑VSF在服务能力和资源需求方面存在差异、映射效果不佳的问题,设计了安全服务拓扑生成算法,为SSC分配满足其服务能力需求的VSF组合,规划VSF之间的连接关系、VSF与SSC的共享关系形成全局安全服务拓扑;设计了基于双向记忆的服务节点选择算法,改进人工免疫算法为VSF寻找最优部署方案,在降低服务器资源碎片化程度的同时缩短VSF所在服务节点之间的距离,减轻了VSF部署位置对后续优化安全服务时延的影响;设计了基于混合禁忌搜索的服务路径建立算法,在允许多径路由的情况下为SSC寻找时延最低的服务路径,减小了安全服务时延。2.提出基于多域协同的分布式跨域SSC映射方法。针对现有方法难以获得整体最优的映射方案、未考虑平衡自治域之间的负载等问题,提出了由SSC域级划分、片段域内映射和域间负载平衡三阶段构成的多域协同映射框架。设计了基于片段拍卖的域级划分算法,将自治域映射目标转化为“效益”,允许不同的自治域在收到相同的SSC片段集合后,依据自身域内信息对片段投标,并通过有限次自治域投标和协商迭代,使得自治域整体映射效果达到最优;设计了能力交易算法,将在高负载自治域中部署的若干片段迁移至低负载自治域,有效解决了域间负载不平衡问题。3.提出基于资源动态分配的SSC随需调整方法。针对现有方法无法有效支持多种SSC变化类型、未考虑降低SSC迁移影响的问题,依据VSF纵向扩展机制和SSC迁移机制,给出了新启VSF、直接复用已有VSF、扩展已有VSF、迁移SSC等四项操作,设计了两种SSC调整算法。面向扩容SSC的资源分发算法通过灵活组合四项操作生成若干候选调整方案,利用带权多层图和Viterbi算法求解最佳选择,确保选中的SSC调整方案带来的底层网络资源开销和影响最小;面向缩容SSC的资源回收算法在减少VSF所占据的服务器资源的同时,通过为资源设置休眠状态,避免了频繁变更VSF配置。4.提出基于等级区分的SSC抗毁调整方法。针对现有方法存在失效SSC恢复成功率低、恢复后安全服务时延长的问题,将SSC划分为提供重要服务的关键SSC和提供一般服务的普通SSC两个等级,设计了相应的抗毁调整方法。关键SSC抗毁调整方法通过预先分配备用资源,在主备安全服务路径之间建立桥接路径,采用贪心思想交替进行节点和链路映射,减小了安全服务时延;普通SSC抗毁调整方法只对失效部分重建,将失效VSF重部署问题转化为最大流问题进行求解,为失效VSF连接链路利用改进的Dijkstra最短路径算法重新选择一条低时延的服务路径,提高了恢复失效SSC的成功率,有效解决了底层网络发生单点和单链路故障情况下的SSC抗毁调整问题。通过仿真实验验证了上述方法的可行性和有效性,可为推进SDN网络的大规模应用与部署提供有力的安全支撑。