近些年来,以网络功能虚拟化(Network Function Virtualization,NFV)和软件定义网络(Software-Defined Networking,SDN)为代表的新一代网络建构技术风起云涌,给信息系统基础设备与网络应用开发带来了深刻而巨大,甚至是颠覆性的影响。需要注意的是新的性能挑战和安全威胁也同样存在于NFV/SDN相关网络系统中,其中不乏在传统网络架构中未曾出现过的,或者在传统网络中存在,但在新的网络架构中表现出不一样的特性的问题。不过,更令人感兴趣的是网络功能虚拟化和软件定义网络技术所表现出的一系列新特征,例如资源的弹性调度与按需调配、系统的高可靠性及管理的集中化等。这些新的特性都间接或直接有利于网络资源优化与安全防护,这同时就给网络资源的优化与配置、网络安全措施及应用的设计与实现等领域带来了新的机遇。本文以基于网络功能虚拟化的网络资源部署、迁移与优化以及安全问题为主线,围绕其中的若干关键技术展开研究,试图为网络功能虚拟化建构高效稳定、安全可靠的框架奠定技术基础。本文以数据中心基础设施的构建需求为牵引,针对构建网络功能虚拟化环境下的网络资源优化与安全问题展开研究,主要研究内容和贡献分列如下:(1)针对安全约束下对服务功能链的部署问题提出了优化算法。在数据中心网络中,为了满足用户的复杂网络服务需求,需要将网络功能组织为按顺序为网络流量进行处理的服务功能链(Service Function Chain,SFC)。在网络功能虚拟化环境中,服务功能链表现为一系列部署在虚拟机上的虚拟网络功能,并由集中的管理与编排系统进行调配。在基于网络功能虚拟化的数据中心里,如何将服务功能链在满足安全约束的前提下进行优化的部署是一项关键的技术挑战。针对上述问题,本文对服务功能链的安全约束进行了抽象,并将服务功能链的部署问题建模为整数规划问题。在此基础上,提出了一种针对安全约束下服务功能链部署的两阶段优化算法。理论分析与仿真实验均表明该优化算法在实现服务功能链的优化部署上能够取得预期的效果。(2)针对虚拟网络功能迁移的开销以及迁移目标优化选择问题提出了优化算法。在如上所述的网络功能虚拟化环境中,当服务功能链部署后,虚拟网络功能需要随着网络环境以的变化而在网络中进行必要的迁移。本文以资源负载率的减少为原则进行迁移节点的排序,从高至低逐个选择安排直至队列为空。针对迁移过程中的开销以及迁移目标优化选择问题,提出了以占用软件定义网络控制器缓冲区大小作为虚拟网络功能迁移开销的模型,并作为基本出发点与归宿,构建相应的计算模型。在此基础上,提出了一种启发式的计算迁移目标优化算法,可在多项式时间内获得最优迁移的近似解。理论分析和仿真实验均表明了这种优化算法的合理性和有效性。(3)提出了一种基于虚拟机的虚拟网络功能迁移与优化技术。当前对虚拟网络功能迁移技术的研究主要集中于构建新的迁移机制来保持虚拟网络功能内部状态的一致性,但它们无一例外引入了大量的软件设计开发工作,并对网络服务的安全性与可靠性带来了巨大的冲击。针对上述现有迁移技术所带来的问题,本文设计了一种通过虚拟机进行虚拟网络功能进行迁移的方案。具体则是通过与整合中间件(Consolidated Middlebox)技术相结合,将服务于同一网络流类型的虚拟网络功能部署在同一部虚拟机中,并在迁移虚拟网络功能时同步迁移虚拟机,以此将迁移成本与资源消耗降低到合理的水平。考虑到网络中的带宽等资源约束,本文设计了在不同网络场景下的启发式算法,有助于实现虚拟机迁移成本的最小化。理论分析和仿真实验表明了相关算法的有效性。(4)提出了一种基于OpenFlow的抗ARP欺骗技术主动ARP检查机制。本文以ARP欺骗这种传统的网络攻击技术为典型样本,分析了NFV/SDN相关网络系统中网络安全威胁的表现与特性。在此基础上,针对OpenFlow环境下的ARP欺骗攻击,利用软件定义网络的集中管理特性,在OpenFlow控制器中构建了“采样检测应对”的三个阶段,对ARP回复消息的可信度进行分类,从控制层面消除攻击者伪造的ARP回复消息,从而构建并实现了在软件定义网络中的ARP欺骗防御体系。通过在POX控制器中实现该防御体系的原型系统,本文对主动ARP检查机制进行了实际测试,测试结果表明该体系在可接受的性能开销下能有效地对网络中的ARP欺骗进行防御。更进一步地,根据该体系的设计原则,将上述把消息按照可信度进行分类的方法推广到软件定义网络控制器上的一般消息,讨论了在软件定义环境中进一步构建针对一般性网络威胁的通用防御体系构建方法。毋庸置疑,基于网络功能虚拟化的网络资源优化与安全关键技术的研究有助于解决构建新一代网络技术所面临的若干关键基础问题,不过鉴于问题的复杂性,对于相关问题解决还存在两方面的难度,一是选择虚拟网络功能迁移的时机,二是对一般的安全问题的建模,这是在性能与成本之间始终要兼顾平衡的问题。