软件定义网安全控制系统和控制方法技术方案

本发明专利技术解决传统安全策略配置、策略冲突消解技术不能随资源状态变化的问题。本发明专利技术的核心是在SDN的控制架构中将业务解析、数据层资源统计、策略冲突检测集成形成了改进的控制层装置并制定了相应的处理流程，在SDN架构控制器上配置适应业务需求和数据层资源状态的策略。本发明专利技术软件定义网安全控制系统包含以下部分：业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口；本发明专利技术软件定义网安全控制方法包含策略配置、资源状态统计、策略优先级生成、策略下发等步骤。采用本发明专利技术方法和装置，在控制器策略配置时通过资源统计参数为业务提供有效的资源状态信息量化依据，将业务需求和资源信息有机结合，进一步保证业务安全。

【技术实现步骤摘要】
软件定义网安全控制系统和控制方法
本专利技术涉及通信领域，尤其涉及一种软件定义网(SDN)架构下保护网络业务及资源安全的方法。
技术介绍
SDN架构包含数据层、控制层、应用层。数据层的网络资源能够接收控制层的指令。控制层屏蔽了网络基础设施资源在类型、协议等方面的异构性；控制层为应用层提供了开放的接口，并使得用户可以通过软件从逻辑上定义虚拟网络，提供虚拟运营商服务。针对应用层和控制层之间的安全需求，HartmanS和WassemanM等人开发出一种FRESCO模型(ModularComposableSecurityServicesforSoftware-DefinedNetworks.InInternetSocietyNDSS，Feb.2013)，研究如何在SDN架构上部署传统的网络安全应用，如访问控制、防火墙、入侵检测、入侵防御，在控制层定义了相关API以实现上述功能，对应用进行授权、认证、隔离以及消解策略冲突。一般地，可以通过包过滤技术检查包头信息，根据匹配和规则决定包的转发或舍弃，拒绝发送可疑的包，从而保护整个网络安全性。一种策略冲突消解技术是为了解决数据层网络环境更新或新技术引入所导致的策略边界冲突，通过分析策略目标与制定策略优先级来构建无冲突策略集。特别地，在使用OpenFlow协议的SDN架构下，所有策略均可通过控制器下发FLOW_MODE消息来实现配置。但当前的安全策略主要防范外部入侵行为，安全策略是静态的，未考略网络内部设备故障及资源问题。上述安全性研究主要在应用层与控制层之间，所制定的策略仅为控制层阻挡应用层所定制的存在安全威胁的业务、消除恶意占用网络资源行为。传统方案中由于所设置的优先级无法根据业务的变化而动态调整，也未随着数据层的资源状态信息(例如设备故障、链路故障)而改变，应用的边界条件会发生冲突造成业务阻塞，这就无法保证安全策略的完备性和整个系统的安全性。
技术实现思路
本专利技术解决传统安全策略配置、策略冲突消解技术不能随资源状态变化的问题。本专利技术的核心是在软件定义网络(SDN)的控制架构中，设计了将业务解析、数据层资源统计、策略冲突检测集成的功能模块，形成了改进的控制层装置；并制定了相应的处理流程，在SDN架构下的集中控制器上配置适应数据层资源状态和业务需求的最佳策略。本专利技术的软件定义网安全控制系统，包含以下部分：业务处理模块MA、策略模块MS、控制模块MC、工作数据库D、南向接口SB、北向接口NB、策略配置接口SCI。在所述工作数据库D中，包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表。所述数据包过滤规则，是预先设定的数据包的源、目的地址，源、目的端口，协议类型等信息；所述资源统计参数，是针对业务类型设置的对数据层资源进行统计的规则；每一个所述无冲突策略集对应一种安全应用，包含至少1个策略；所述策略优先级列表包含策略的执行顺序。所述业务处理模块解析业务请求。对于涉及资源统计参数的策略，所述业务处理模块MA查询所述控制模块MC所提供的资源统计参数值，判断数据层资源是否可以满足该业务的需求，并将所述业务请求发送至所述策略模块MS。所述业务处理模块MA的北向接口NB，用于输入所述业务请求，返回业务执行结果。所述策略模块MS根据所述数据包过滤规则检测业务的安全性，综合业务所涉及的资源统计参数值，更新策略优先级列表。所述策略模块MS分别与所述业务处理模块MA和所述控制模块MC相连接，向所述业务处理模块MA返回业务执行结果，向所述控制模块MC传递所述策略优先级列表。所述策略模块MS包含策略配置接口SCI，用于配置资源统计参数和策略。所述控制模块MC使用资源状态信息计算所述资源统计参数值；使用所述策略优先级列表和数据层正在执行的策略进行边界冲突检测，形成无冲突策略。所述控制模块MC的南向接口SB，用于连接数据层设备，接收所述资源状态信息、发送所述无冲突策略。本专利技术软件定义网安全控制方法，包含以下步骤第1步、策略配置：对控制层进行配置，新配置的策略中包含至少1个预定的资源统计参数。其中，所述资源统计参数是指将设备的物理资源使用状态、带宽等网络资源用一定的规则进行统计，从而为控制层处理业务需求提供数据层资源状态信息的量化依据。所述资源统计参数是用计算机可识别的字符串方式输入、或在预定的列表中选定的。优选地，对所述新配置的策略逐一进行安全威胁检测、确定所述新配置的策略的完备性、对所述新配置的策略进行边界冲突检测，形成一无冲突策略集。第2步、资源状态统计：按照资源统计参数对数据层设备资源进行统计，实时性根据所述数据层设备的资源状态的信息(例如设备故障、链路故障)改变所述资源统计参数值。第3步、策略优先级生成：当有新业务请求、新策略配置、或数据层资源状态改变时，作如下处理：第3.1步、解析接入业务，提取业务数据中的相关字节，生成策略优先级所需的必要参数，包括业务源、宿节点、源、宿端口、协议类型、到达时间等，分析业务需求，解析出策略目标及行为。第3.2步、检测业务的安全性；根据资源统计参数值、该业务对应的无冲突策略集动态生成一个表示策略执行顺序的策略优先级列表。优选地，判断数据层资源是否可以满足所述业务请求，如不满足，则直接拒绝该业务请求。确定优先级的原则是：涉及包过滤规则的策略优先级高于涉及资源统计参数的策略；针对某一策略执行多个业务存在冲突时，优先执行QoS需求高的业务。例如某一应用包含三个策略{策略1，策略2，策略3}，其中策略3是包过滤规则；策略1和策略2涉及资源统计参数，策略2又依赖于策略1；该应用中包含两个业务{业务1，业务2}，业务1的优先级高于业务2的优先级。则优先级列表是：“策略3(业务1，业务2)；策略1(业务1，业务2)；策略2(业务1，业务2)”。假设，业务1的策略2与业务2的策略2存在冲突(资源不能同时保障业务1和业务2实现)，因为业务1的优先级高于业务2的优先级，所以业务1的策略2优先执行，而业务2的策略2等待执行。存在冲突后就需要在数据库中排队等待业务处理，至少待业务1结束后，涉及策略2的两个业务不能同时执行的问题消失，便可以触发执行业务2。所述“冲突”，包含资源使用冲突、包过滤规则边界冲突；所述边界冲突检测，包含包过滤规则边界冲突检测和资源使用冲突检测。第4步、策略下发：将所述无冲突策略集与数据层正在执行的策略进行边界冲突检测，若无冲突则直接将配置策略发送至数据层。采用本专利技术所述方法和装置，在控制器策略配置时，通过资源统计参数为业务提供有效的资源状态信息的量化依据，将业务需求和资源信息有机结合，与传统的方法相比进一步保证业务安全。附图说明图1是SDN安全代理控制系统示意图图2是SDN安全代理控制方法的流程图具体实施方式下面结合附图，对本专利技术的实施方式作进一步的详细描述。图1是SDN安全代理控制系统的架构图，SDN安全代理控制系统包括：业务处理模块MA、策略模块MS、控制模块MC、工作数据库D、南向接口SB、北向接口NB、策略配置接口SCI。在所述工作数据库D中，包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表。所述数据包过滤规则，是预先设定的数据包的源、目的地址，源、目的端口，协议类型等信息，确定数据包是否可以通过(可能存在边界冲突的本文档来自技高网...

【技术保护点】
一种软件定义网安全控制系统，其特征在于，包含业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口，所述工作数据库中包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表；所述数据包过滤规则，是预先设定的数据包的源、目的地址，源、目的端口，协议类型等信息；所述资源统计参数，是针对业务类型设置的对数据层资源进行统计的规则；每一个所述无冲突策略集对应一种安全应用，包含至少1个策略；所述策略优先级列表包含策略的执行顺序；所述业务处理模块解析业务请求；对于涉及资源统计参数的策略，查询所述控制模块所提供的资源统计参数值，判断域内资源是否可以满足该业务的需求，并将所述业务请求发送至所述策略模块；所述业务处理模块包含北向接口，用于输入所述业务请求，返回业务执行结果；所述策略模块根据所述数据包过滤规则检测业务的安全性，综合业务所涉及的资源统计参数值，更新策略优先级列表；所述策略模块分别与所述业务处理模块和所述控制模块相连接，向所述业务处理模块返回业务执行结果，向所述控制模块传递所述策略优先级列表；所述策略模块包含策略配置接口，用于配置资源统计参数和策略；所述控制模块使用资源状态信息计算所述资源统计参数值；所述控制模块使用所述策略优先级列表和数据层正在执行的策略进行边界冲突检测，形成无冲突策略；所述控制模块包含南向接口，用于连接数据层设备，接收所述资源状态信息、发送所述无冲突策略。...

【技术特征摘要】
1.一种软件定义网安全控制系统，其特征在于，包含业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口，所述工作数据库中包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表；所述数据包过滤规则，是预先设定的数据包的源、目的地址，源、目的端口，协议类型信息；所述资源统计参数，是针对业务类型设置的对数据层资源进行统计的规则；每一个所述无冲突策略集对应一种安全应用，包含至少1个策略；所述无冲突策略集，是对策略进行边界冲突检测形成；所述冲突，包含资源使用冲突、包过滤规则边界冲突；所述边界冲突检测，包括包过滤规则边界冲突检测和资源使用冲突检测；所述资源使用冲突，是指需要执行的多个业务需求在进行资源分配时占用相同的资源，导致无法同时满足；所述包过滤规则边界冲突，是指多条规则的条件有交集，而执行的动作不一致；所述策略优先级列表包含策略的执行顺序；所述业务处理模块解析业务请求；对于涉及资源统计参数的策略，查询所述控制模块所提供的资源统计参数值，判断域内资源是否可以满足该业务的需求，并将所述业务请求发送至所述策略模块；所述业务处理模块包含北向接口，用于输入所述业务请求，返回业务执行结果；所述策略模块根据所述数据包过滤规则检测业务的安全性，综合业务所涉及的资源统计参数值，更新策略优先级列表；所述策略模块分别与所述业务处理模块和所述控制模块相连接，向所述业务处理模块返回业务执行结果，向所述控制模块传递所述策略优先级列表；所述策略模块包含策略配置接口，用于配置资源统计参数和策略；所述控制模块使用资源状态信息计算所述资源统计参数值；所述控制模块使用所述策略优先级列表和数据层正在执行的策略进行边界冲突检测，形成无冲突策略；所述控制模块包含南向接口，用于连接数据层设备，接收所述资源状态信息、发送所述无冲突策略。2.如权利要求1所述软件定义网安全控制系统，其特征在于，所述业务处理模块获取资源统计参数值并判断此时域内资源的情况是否可以满足所述业务请求的要求。3.如权利要求1所述软件定义网安全控制系统，其特征在于，所述工作数据库进一步包含应用数据库、资源数据库、策略数据库；所述应用数据库存储安全应用与无冲突的策略集的映射关系；所述安全应用与无冲突的策略集的映射关系由策略模块根据包过滤规则检测所述无冲突策略集所对应业务的安全性后，记入所述应用数据库；所述资源数据库存储与资源状态信息对应的资源统计参数和资源统计参数值；控制模块根据资源统计参数，对数据层资源进行抽象，并将资源统计参数值存储至所述资源数据库；所述资源状态信息包括占用率，是否可用信息；所述策略数据库存储策略信...

【专利技术属性】
技术研发人员：张杰，赵永利，安培蓉，高冠军，郁小松，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京;11