业务处理方法及装置制造方法及图纸

本发明专利技术提供了一种业务处理方法及装置，其中，该处理方法包括：控制器根据指定条件生成业务级别信息，所述控制器向交换机下发所述业务级别信息，其中，所述业务级别信息用于指示软件定义网络SDN系统支持的业务所对应的业务级别，不同级别对应不同的业务处理方式。采用上述技术方案，解决了相关技术中，只能通过外部检测设备、在某些特定场景下对SDN控制器进行安全保护，无法提供适用各种攻击场景下的控制面安全保护的技术问题，进而可以实现对SDN控制器的全面的安全保护，达到了通用、高效智能的SDN控制器控制面安全保护的效果。

Business processing methods and devices

The invention provides a device and a service processing method, which includes the processing method: controller according to the specified conditions to generate business level information, the controller to switch under the service level of information, including the service level information indicating software business support semantic network SDN system corresponding to the level of business business, different processing modes correspond to different levels. By adopting the technical scheme, to solve the relevant technology, only through external testing equipment, security protection of SDN controller in some specific conditions, to provide technical problems of control surface to protect the safety of the application of various attack scenarios, and can realize the comprehensive protection to the SDN controller, reached a general SDN controller efficient intelligent control, safety protection effect.

【技术实现步骤摘要】
业务处理方法及装置
本专利技术涉及通信领域，具体而言，涉及一种业务处理方法及装置。
技术介绍
以网络协议(InternetProtocol，简称IP)为基础的传统网络组织结构复杂，运营维护成本高昂，越来越难以满足新兴业务对网络的灵活性、扩展性的要求，因此软件定义网络(SoftwareDefinedNetwork，简称SDN)技术应运而生。SDN重新定义了网络架构，将网络划分为应用层面、控制层面和数据传层面，实现网络可编程。在基于SDN技术的网络架构中，数据包在网络中的具体转发路径和转发策略均通过SDN控制器控制，由SDN控制器将数据包的转发路径和转发策略等通过openflow协议，发送到SDN架构的交换机群，由交换机群中的交换机将数据包转发至云数据中心中的云服务器。SDN网络架构实现了传统网络架构中网络管理功能的集中，是对传统网络架构的革命性创新。这种创新除了带来管理，运营等方面的灵活性，也使得SDN中的安全问题呈现特有的特点。通过现有技术的分析，对于SDN的安全保护的重点比较集中在数据转发层面的安全防范，这里安全核心模块需要承担网络状态的实时监控以及攻击检测的作用，其主要目的是对SDN网络中转发数据进行安全防护，实施的难度较为复杂，在实际网络部署时可操作性不大。此外，还有部分专利所提出了控制面的安全保护，但是只解决了某些特定具体业务的攻击场景，并不具备适应多场景多种攻击保护的通用性，而且这种针对控制面的保护为静态保护，通过添加入侵检测设备来实现。分析SDN架构，SDN控制器上集中化的控制面承载着网络环境中的所有控制流，是整个网络服务的中枢机构，其安全性直接关系着网络服务的可用性、可靠性和数据安全性，是SDN安全首要解决问题。众所周知，控制面的攻击类型众多，如各种分布式阻断服务攻击(DistributedDenialofService，简称DDOS)攻击，举例说明：控制器与外部设备需要建立正常的传输控制协议(TransmissionControlProtocol，简称TCP)连接，而攻击者可以通过相同TCP侦听端口的SYNflooding攻击破坏正常的TCP连接，从而达到攻击设备资源的目的。针对相关技术中，只能通过外部检测设备、或在某些特定场景下对SDN控制器进行安全保护，无法提供适用各种攻击场景下的控制面安全保护技术问题，尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种业务处理方法及装置，以至少解决相关技术中只能通过外部检测设备、或在某些特定场景下对SDN控制器进行安全保护，无法提供适用各种攻击场景下的控制面安全保护的技术问题。根据本专利技术的一个方面，提供了一种业务处理方法，包括：控制器根据指定条件生成业务级别信息，其中，所述业务级别信息用于指示SDN系统支持的业务所对应的业务级别，所述业务级别至少包括：第一级别、第二级别、第三级别，不同级别对应不同的业务处理方式；所述控制器向交换机下发所述业务级别信息，其中，所述业务级别信息用于指示所述交换机根据所述业务级别信息对待发送至所述控制器的业务，执行与所述业务所属级别对应的业务处理方式。可选地，控制器根据指定条件生成业务级别信息，包括：所述控制器获取业务的特征信息；根据所述特征信息生成业务级别信息。可选地，所述特征信息至少包括以下之一：数据报文的五元组信息、数据报文的链路层信息、数据报文接收的设备端口信息。可选地，第一级别的业务的优先级高于第二级别的业务的优先级，对于所述第三级别的业务，指示所述交换机执行丢弃操作。可选地，所述控制器向交换机下发所述业务级别信息之前，所述方法还包括：所述控制器将生成的业务级别信息转化为携带有所述业务级别信息的流表。根据本专利技术的另一个方面，还提供了一种业务处理处理方法，包括：交换机接收控制器下发的业务级别信息，其中，所述业务级别信息用于指示软件定义网络SDN系统支持的业务所对应的业务级别，所述业务级别至少包括：第一级别、第二级别、第三级别，不同级别对应不同的业务处理方式；所述交换机根据所述业务级别信息对待发送至所述控制器的业务，执行与所述业务所属级别对应的业务处理方式。可选地，第一级别的业务的优先级高于第二级别的业务的优先级，对于所述第三级别的业务，所述交换机执行丢弃操作。可选地，所述交换机根据所述业务级别信息对待发送至所述控制器的业务，执行与所述业务所属级别对应的业务处理方式，包括：所述交换机根据所述业务级别信息确定待发送至所述控制器的业务的所属级别；所述交换机根据确定的所属级别对待发送至所述控制器的业务执行与所属级别对应的业务处理方式。根据本专利技术的另一个方面，还提供了一种业务处理装置，应用于控制器，包括：生成模块，用于根据指定条件生成业务级别信息，其中，所述业务级别信息用于指示软件定义网络SDN系统支持的业务所对应的业务级别，所述业务级别至少包括：第一级别、第二级别、第三级别，不同级别对应不同的业务处理方式；下发模块，用于向交换机下发所述业务级别信息，其中，所述业务级别信息用于指示所述交换机根据所述业务级别信息对待发送至所述控制器的业务，执行与所述业务所属级别对应的业务处理方式。根据本专利技术的另一个方面，还提供了一种业务处理装置，应用于交换机，包括：接收模块，用于接收控制器下发的业务级别信息，其中，所述业务级别信息用于指示软件定义网络SDN系统支持的业务所对应的业务级别，所述业务级别至少包括：第一级别、第二级别、第三级别，不同级别对应不同的业务处理方式；执行模块，用于根据所述业务级别信息对待发送至所述控制器的业务，执行与所述业务所属级别对应的业务处理方式。通过本专利技术，SDN控制器能够根据指定条件，动态地生成业务级别信息，交换机可以根据业务级别信息将待发送到控制器的所有业务，根据不同的业务级别执行不同的业务处理方式，从而不用借助外部检测设备，解决了相关技术中，只能通过外部检测设备、在某些特定场景下对SDN控制器进行安全保护，无法提供适用各种攻击场景下的控制面安全保护的技术问题，进而可以实现对SDN控制器的通用全面的安全保护，达到了通用、高效智能的SDN控制器控制面安全保护的效果。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1为相关技术中SDN系统的基本结构模型图；图2是本专利技术实施例的业务处理方法的流程图(一)；图3是本专利技术实施例的业务处理方法的流程图(二)；图4是根据本专利技术实施例的业务处理装置的结构框图(一)；图5是根据本专利技术实施例的业务处理装置的结构框图(二)；图6是根据本专利技术优选实施例SDN网络控制器保护装置的结构框图；图7为根据本专利技术实施例的SDN控制器安全名单表项示意图；图8是本专利技术优选实施例的业务处理方法的流程图；图9是本专利技术优选实施例的业务处理方法的流程图。具体实施方式下文中将参考附图并结合实施例来详细说明本专利技术。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。需要说明的是，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本本文档来自技高网...

【技术保护点】
一种业务处理方法，其特征在于，包括：控制器根据指定条件生成业务级别信息，其中，所述业务级别信息用于指示软件定义网络SDN系统支持的业务所对应的业务级别，所述业务级别至少包括：第一级别、第二级别、第三级别，不同级别对应不同的业务处理方式；所述控制器向交换机下发所述业务级别信息，其中，所述业务级别信息用于指示所述交换机根据所述业务级别信息对待发送至所述控制器的业务，执行与所述业务所属级别对应的业务处理方式。

【技术特征摘要】
1.一种业务处理方法，其特征在于，包括：控制器根据指定条件生成业务级别信息，其中，所述业务级别信息用于指示软件定义网络SDN系统支持的业务所对应的业务级别，所述业务级别至少包括：第一级别、第二级别、第三级别，不同级别对应不同的业务处理方式；所述控制器向交换机下发所述业务级别信息，其中，所述业务级别信息用于指示所述交换机根据所述业务级别信息对待发送至所述控制器的业务，执行与所述业务所属级别对应的业务处理方式。2.根据权利要求1所述的业务处理方法，其特征在于，控制器根据指定条件生成业务级别信息，包括：所述控制器获取业务的特征信息；根据所述特征信息生成业务级别信息。3.根据权利要求2所述的业务处理方法，其特征在于，所述特征信息至少包括以下之一：数据报文的五元组信息、数据报文的链路层信息、数据报文接收的设备端口信息。4.根据权利要求1所述的业务处理方法，其特征在于，第一级别的业务的优先级高于第二级别的业务的优先级，对于所述第三级别的业务，指示所述交换机执行丢弃操作。5.根据权利要求1所述的业务处理方法，其特征在于，所述控制器向交换机下发所述业务级别信息之前，所述方法还包括：所述控制器将生成的业务级别信息转化为携带有所述业务级别信息的流表。6.一种业务处理方法，其特征在于，包括：交换机接收控制器下发的业务级别信息，其中，所述业务级别信息用于指示软件定义网络SDN系统支持的业务所对应的业务级别，所述业务级别至少包括：第一级别、第二级别、第三级别，不同级别对应不同的业务处理方式；所述交换机根据所述业务级别信息对待发送至所述控制...

【专利技术属性】
技术研发人员：张丽晖，张岩，赵艳杰，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44