【技术实现步骤摘要】
软件定义网安全控制系统和控制方法
本专利技术涉及通信领域,尤其涉及一种软件定义网(SDN)架构下保护网络业务及资源安全的方法。
技术介绍
SDN架构包含数据层、控制层、应用层。数据层的网络资源能够接收控制层的指令。控制层屏蔽了网络基础设施资源在类型、协议等方面的异构性;控制层为应用层提供了开放的接口,并使得用户可以通过软件从逻辑上定义虚拟网络,提供虚拟运营商服务。针对应用层和控制层之间的安全需求,HartmanS和WassemanM等人开发出一种FRESCO模型(ModularComposableSecurityServicesforSoftware-DefinedNetworks.InInternetSocietyNDSS,Feb.2013),研究如何在SDN架构上部署传统的网络安全应用,如访问控制、防火墙、入侵检测、入侵防御,在控制层定义了相关API以实现上述功能,对应用进行授权、认证、隔离以及消解策略冲突。一般地,可以通过包过滤技术检查包头信息,根据匹配和规则决定包的转发或舍弃,拒绝发送可疑的包,从而保护整个网络安全性。一种策略冲突消解技术是为了解决数据层网络环境更新或新技术引入所导致的策略边界冲突,通过分析策略目标与制定策略优先级来构建无冲突策略集。特别地,在使用OpenFlow协议的SDN架构下,所有策略均可通过控制器下发FLOW_MODE消息来实现配置。但当前的安全策略主要防范外部入侵行为,安全策略是静态的,未考略网络内部设备故障及资源问题。上述安全性研究主要在应用层与控制层之间,所制定的策略仅为控制层阻挡应用层所定制的存在安全威胁的业务、消除 ...
【技术保护点】
一种软件定义网安全控制系统,其特征在于,包含业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口,所述工作数据库中包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表;所述数据包过滤规则,是预先设定的数据包的源、目的地址,源、目的端口,协议类型等信息;所述资源统计参数,是针对业务类型设置的对数据层资源进行统计的规则;每一个所述无冲突策略集对应一种安全应用,包含至少1个策略;所述策略优先级列表包含策略的执行顺序;所述业务处理模块解析业务请求;对于涉及资源统计参数的策略,查询所述控制模块所提供的资源统计参数值,判断域内资源是否可以满足该业务的需求,并将所述业务请求发送至所述策略模块;所述业务处理模块包含北向接口,用于输入所述业务请求,返回业务执行结果;所述策略模块根据所述数据包过滤规则检测业务的安全性,综合业务所涉及的资源统计参数值,更新策略优先级列表;所述策略模块分别与所述业务处理模块和所述控制模块相连接,向所述业务处理模块返回业务执行结果,向所述控制模块传递所述策略优先级列表;所述策略模块包含策略配置接口,用于配置资源统计参数和策略;所述控制模块使用 ...
【技术特征摘要】
1.一种软件定义网安全控制系统,其特征在于,包含业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口,所述工作数据库中包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表;所述数据包过滤规则,是预先设定的数据包的源、目的地址,源、目的端口,协议类型信息;所述资源统计参数,是针对业务类型设置的对数据层资源进行统计的规则;每一个所述无冲突策略集对应一种安全应用,包含至少1个策略;所述无冲突策略集,是对策略进行边界冲突检测形成;所述冲突,包含资源使用冲突、包过滤规则边界冲突;所述边界冲突检测,包括包过滤规则边界冲突检测和资源使用冲突检测;所述资源使用冲突,是指需要执行的多个业务需求在进行资源分配时占用相同的资源,导致无法同时满足;所述包过滤规则边界冲突,是指多条规则的条件有交集,而执行的动作不一致;所述策略优先级列表包含策略的执行顺序;所述业务处理模块解析业务请求;对于涉及资源统计参数的策略,查询所述控制模块所提供的资源统计参数值,判断域内资源是否可以满足该业务的需求,并将所述业务请求发送至所述策略模块;所述业务处理模块包含北向接口,用于输入所述业务请求,返回业务执行结果;所述策略模块根据所述数据包过滤规则检测业务的安全性,综合业务所涉及的资源统计参数值,更新策略优先级列表;所述策略模块分别与所述业务处理模块和所述控制模块相连接,向所述业务处理模块返回业务执行结果,向所述控制模块传递所述策略优先级列表;所述策略模块包含策略配置接口,用于配置资源统计参数和策略;所述控制模块使用资源状态信息计算所述资源统计参数值;所述控制模块使用所述策略优先级列表和数据层正在执行的策略进行边界冲突检测,形成无冲突策略;所述控制模块包含南向接口,用于连接数据层设备,接收所述资源状态信息、发送所述无冲突策略。2.如权利要求1所述软件定义网安全控制系统,其特征在于,所述业务处理模块获取资源统计参数值并判断此时域内资源的情况是否可以满足所述业务请求的要求。3.如权利要求1所述软件定义网安全控制系统,其特征在于,所述工作数据库进一步包含应用数据库、资源数据库、策略数据库;所述应用数据库存储安全应用与无冲突的策略集的映射关系;所述安全应用与无冲突的策略集的映射关系由策略模块根据包过滤规则检测所述无冲突策略集所对应业务的安全性后,记入所述应用数据库;所述资源数据库存储与资源状态信息对应的资源统计参数和资源统计参数值;控制模块根据资源统计参数,对数据层资源进行抽象,并将资源统计参数值存储至所述资源数据库;所述资源状态信息包括占用率,是否可用信息;所述策略数据库存储策略信...
【专利技术属性】
技术研发人员:张杰,赵永利,安培蓉,高冠军,郁小松,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。