The present invention discloses a SDN-based security service chain system, including control plane, flow classification node, service node and service chain. The control plane mainly includes SDN controller and OpenFlow 1.3 switch, which are the core control parts of SDN service chain. SDN controller creates service chain according to user's needs and deploys business logic of each service node in the service chain. User message characteristics processed into service chain are sent to OpenFlow 1.3 switch. OpenFlow 1.3 switch introduces data message into service chain according to corresponding message characteristics. The SDN-based data packet matching and forwarding method for secure service chain system is also disclosed. Based on SDN technology, network service chain is constructed and deployed, and network visualization and service chain linkage are realized through feedback of information, so that it has higher data forwarding efficiency and lower processing time under the premise of massive data and multi-service nodes, in order to improve the efficiency of network monitoring. The invention designs a service chain architecture based on SDN, and proposes a matching and forwarding process of data packets in the service chain under the architecture.
【技术实现步骤摘要】
一种基于SDN的安全服务链系统及数据包匹配转发方法
本专利技术属于网络服务领域,主要涉及一种基于SDN的安全服务链系统及数据包匹配转发方法。
技术介绍
电子商务、数据中心、社交网络等多样化网络业务的迅猛发展,向传统安全服务模式提出了严峻挑战,表现为:1)安全功能实现方式的耦合性:现有安全功能,如防火墙、IDS等大都基于硬件中间盒子实现,其在功能上具有专属私有性,建设所需成本较高、可扩展性差、灵活性不足、运用中难以统一管理。2)安全功能部署位置的静态性:现有安全功能大都以静态方式部署在网络的关键位置,拓扑依赖严重,这种僵化的部署方式使其难以根据业务请求的服务构成进行重复使用或者动态重构。同时,《网络安全法》规定网络运营者应当制定网络安全事件应急预案,及时处理系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。在新的网络架构下,如何利用新的技术将安全业务更好的融合进来,从而提供便捷、安全的网络架构,是各方面临的难题。当前,软件定义网络(SoftwareDefinedNetworking,SDN)兴起为探寻新型网络安全服务模式提供了支撑。SDN将控制功能从传统的分布式网络设备中迁移到集中的控制平台,进而通过开放可编程的软件模式来实现网络的自动控制。通过SDN控制器的控制,可以引导转发流量自动穿过服务节点,实现拓扑无关的、灵活、便捷、高效、安全地调配转发流量到服务节点上进行安全业务的处理。目前,已经有一些学者提出了一些动态服务链的部署方案。2014年,Blendi提出了一种新的上层概念和架构,利用SDN将网络中的服务整合到服务链中,但该文没有关注网络管理员对服务的 ...
【技术保护点】
1.一种基于SDN的安全服务链系统,其特征在于,包括控制平面、流分类节点、服务节点和服务链,所述控制平面主要包括SDN服务链的核心控制部件SDN控制器和OpenFlow1.3交换机,SDN控制器根据用户需求,创建服务链,并部署服务链上的每个服务节点的业务逻辑;控制器将需要进入服务链处理的用户报文特征下发至OpenFlow1.3交换机,OpenFlow1.3交换机根据相应的报文特征将数据报文引入服务链。
【技术特征摘要】
1.一种基于SDN的安全服务链系统,其特征在于,包括控制平面、流分类节点、服务节点和服务链,所述控制平面主要包括SDN服务链的核心控制部件SDN控制器和OpenFlow1.3交换机,SDN控制器根据用户需求,创建服务链,并部署服务链上的每个服务节点的业务逻辑;控制器将需要进入服务链处理的用户报文特征下发至OpenFlow1.3交换机,OpenFlow1.3交换机根据相应的报文特征将数据报文引入服务链。2.根据权利要求1所述的基于SDN的安全服务链系统,其特征在于,所述控制平面部署跨层的控制器架构:第一层由“主-从”顶层控制器及负载均衡模块构成;第二层是底层控制器集群系;第三层是数据共享系统;负载均衡模块通过定时收集各个底层控制器的负载状态对交换机在控制器间的迁移过程进行编排,控制器对交换机的管理按照OpenFlow1.3中协议执行。3.根据权利要求1所述的基于SDN的安全服务链系统,其特征在于,所述SDN控制器为OpenDayLight控制器。4.根据权利要求1所述的基于SDN的安全服务链系统,其特征在于,所述流分类节点为原始数据报文的接入节点,按照流分类规则匹配数据报文,对报文做服务链封装,并将其转发到服务链进行处理。5.根据权利要求1所述的基于SDN的安全服务链系统,...
【专利技术属性】
技术研发人员:李国燕,王新强,李凯心,
申请(专利权)人:天津城建大学,天津中德应用技术大学,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。