[发明专利]一种数据中心综合管理系统的安全服务设计方法

权利要求书

1.一种数据中心综合管理系统的安全服务设计方法，其特征在于，其设计过程为，

一、首先采用现有数据中心的云计算架构，搭建行业云模块；

二、配置服务代理模块，通过SDN技术连接行业云模块及下述服务云模块，将行业云模块动态划分为逻辑隔离的多个业务区域，该被划分的业务区域为行业子云模块，每个行业子云模块提供一种或多种相关业务；

三、配置服务云模块，为行业子云模块和服务代理模块提供安全服务，实现安全防护；

四、配置管理中心，该管理中心为服务云模块和服务代理模块的控制器，并根据行业云的实时状态，动态调整服务代理模块和服务云模块的策略，分配相关资源，控制服务云模块实现安全防护；

所述服务云模块通过云计算技术构建，为行业云模块和服务代理模块提供安全服务，这里的安全服务包括策略服务和检测服务，所述策略服务是指服务代理模块进行数据报文处理的策略；检测服务是指在数据报文传输时对服务代理模块进行包括传输环境、资源消耗的检测；

在安全服务中，所述策略服务包括：

当服务代理模块无法根据已有流表和安全策略表有效处理数据报文时，把数据报文转给管理中心处理，管理中心作为请求的统一入口，交给服务云模块做进一步处理；

服务云模块收到处理请求后，完成对数据报文的检测，把检测结果和处理方法返回给服务代理模块，完成报文处理请求；

提取与数据报文相关的策略，经过处理后推送给服务代理模块，更新服务代理模块的流表和安全策略表，完成策略服务请求；

服务云模块跟踪已推送的策略，在策略发生变化时及时通知各服务代理模块，如果服务代理模块中的策略超时，则由服务云模块重新向管理中心请求；

所述检测服务包括：

复杂检测服务，服务云模块负责包括入侵防御服务、病毒检测服务的复杂的安全处理，即：管理中心在服务代理模块中下发流表表项特征，行动，目标，当“行动”指定为“转发”，“目标”指定为服务云模块中包括入侵防御设备、防火墙或防病毒设备的设备时，则符合“特征”的报文就转发给服务云模块进行检测；

可缓存检测服务，每个服务代理模块保留1000～10000个条目的URL地址的缓存，服务云模块保留所有条目的URL 地址的缓存，当服务代理模块未检测成功时，由服务云模块实现完整检测；

资源消耗型检测服务，当服务代理模块遇到未知可疑流量时，由服务云模块进行包括沙箱分析、代码审查的检测；

综合检测服务，由服务云模块进行包括APT 攻击检测防御的安全检测功能，检测完成后进行分析，并把分析结果以服务的方式提供给服务代理模块，使服务代理模块具有综合检测的能力。

2.根据权利要求1所述的一种数据中心综合管理系统的安全服务设计方法，其特征在于，所述步骤一中，行业云模块中配置有若干条逻辑连接通路，相对应的，服务代理模块对行业云模块进行逻辑划分是指通过静态或动态配置，完成对数据报文进行检测，通过选择逻辑连接通路决定数据报文的走向，从而实现行业子云模块之间的逻辑隔离。

3.根据权利要求1或2所述的一种数据中心综合管理系统的安全服务设计方法，其特征在于，所述步骤一中，在行业云模块的逻辑连接通路中，用S、T表示每条逻辑连接通路的源端、目标端，并对属于同一组的多个连接用（Si、Ti）表示，i为≥1的自然数，这里的同一组是指某一类具有网络功能的业务主体，包括Web 服务、Ftp 服务、邮件客户端、通用TCP 协议端点，在服务代理模块中，配置有接口C连接至管理中心，每个行业子云模块接入一个或多个服务代理模块，各服务代理模块的接口均通过网络连接到管理中心，该服务代理模块进行数据报文检测并选择逻辑连接通路的过程为：

1）源端Si 发起到目标端Ti 的访问，报文P发送至服务代理模块；

2）服务代理模块第一次收到来自源端Si的报文P时，没有对（Si,Ti）的处理策略，通过接口C 把报文转给管理中心；

3）管理中心处理报文，当报文合法时，则通知服务代理模块转发报文，且管理中心给服务代理模块的通知中包含以后对连接（Si,Ti）的处理、发送策略；

4）服务代理模块再次收到来自Si的报文时，通过已存储的对（Si,Ti）的处理策略，处理后向Ti 转发。