随着互联网的飞速发展,网络安全形势日益严峻。传统互联网静态、僵化的结构和专用安全设备具有较高的建设与维护成本,使其无法及时有效地应对层出不穷的安全威胁。智慧标识网络体系结构,提出“三层”、“两域”的概念,实现“身份与位置分离”、“控制与转发分离”、“资源与位置分离”等三重分离,可以灵活、动态地组合网络安全服务,满足用户复杂且多样化的安全服务需求。本论文基于智慧标识网络架构的安全服务框架,分别从安全服务层、资源适配层和数据转发层研究网络安全服务提供的关键技术,实现根据用户自定义的安全需求提供灵活、高效的安全服务组合。本论文主要工作分为以下四点:(1)基于模糊推理系统的安全服务需求映射机制研究。由于从安全服务层到资源适配层需要解析模糊的用户安全需求,本机制采用模糊推理系统模型,基于人们对不同影响因素的主观看法对多个优化目标的主观评价共同进行解模糊处理,以期反映实际情景中用户抽象模糊的安全服务需求。在此基础上,结合匈牙利算法可以进一步确定安全服务组合的执行次序,进一步优化用户可获得的安全服务。原型系统验证了提出的安全服务链架构,性能评估实验表明提出的算法可以实现安全服务需求映射,优化效果和执行时间方面得到改进。(2)基于半马尔可夫决策过程的安全服务资源适配机制研究。在资源适配层实现抽象的安全服务组合与安全服务资源的匹配过程中,需要综合考虑用户请求接受率与安全服务资源池所能接纳的服务需求能力,在资源受限情况下满足尽可能多的安全服务需求。基于半马尔可夫决策过程建立服务资源分配模型,同时考虑资源利用率和用户请求接受率的收益,并利用值迭代算法求得极大值,以获取较大的用户请求接受率。性能评估实验证明提出的模型及算法可以获得具有较高系统报酬的安全服务资源分配策略,并给出了不同场景下的最优参数配置方案。(3)基于优先级的安全服务规则协同机制研究。满足实际的用户安全服务需求,不仅需要对安全服务资源进行有效组合,还需要考虑安全服务策略的部署方式与不同安全服务策略之间的相互影响。首先,由于多种安全服务资源的策略配置方式异构,为其建立统一的描述模型与自动化配置方式。其次,安全策略之间可能存在冲突,提出基于优先级的安全服务规则异常检测与消除机制,确保安全服务资源的正常运作。原型系统验证了提出的安全服务策略部署系统,性能评估实验证明了所提的基于优先级的安全规则异常检测与消除算法的性能优于传统算法。(4)基于二进制粒子群的安全服务控制器部署机制研究。在数据转发层基于互联的数据中心网络建立大规模安全服务资源池,池化的安全服务资源可通过分布式的控制器共同管理调度。因此,在应对某一用户安全需求时,可能涉及安全服务资源的跨域调配,基于线性规划理论划分资源池的逻辑空间,在适当的位置部署安全服务控制器,实现灵活满足用户需求的同时保证服务效率(降低延迟)。性能评估实验证明了提出的安全服务控制器部署算法能够在可接受的运行时间内获得较好的性能表现。