本发明专利技术公开的一种软件定义网络数据隔离交换方法包括:S100接收数据交换请求;S102提取应用标识;S104判断是否有与标识对应的应用实例,若是转S106,否则转S108;S106获取实例对应的策略集合,转S110;S108输出第一拒绝接入消息,结束;S110判断策略是否全部下发,若是转S112,否则转S114;S112输出指示传输业务数据的信号;S114获取一条未下发策略,转至S116;S116获取当前执行的策略集合;S118判断策略之间是否有冲突,若是转S120,否则转S122;S120输出第二拒绝接入消息,结束;S122判断策略执行代理模块中是否有未下发策略,若是转S124,否则转S126;S124将标识添加到与未下发策略对应的应用实例集合中,返回S110;S126下发未下发策略至策略执行代理模块,转至S124,以满足多样化的数据交换需求。
【技术实现步骤摘要】
软件定义网络数据隔离交换方法
本专利技术涉及数据隔离交换
,尤其涉及一种软件定义网络数据隔离交换方法。
技术介绍
随着互联网和Web信息系统的兴起,随之出现了大量的业务系统,在各业务系统逐步发展完备的情形下,逐步浮现出如下问题:各种信息系统自成一体,用户查看各种信息资源需要分别登录进入不同系统,操作繁琐,工作效率受限,且用户不能按需获取信息定制内容;再者信息系统由不同的厂商开发,信息资源的共享存在不同信息系统之间技术架构和跨域访问的壁垒。基于安全保密的需求,政府、军队、企事业单位内网与互联网之间是物理隔离的,这些网络之间也是物理隔离的,随着业务的发展,需要在这些相互隔离的网络之间进行数据交换,比如政务网需要面向公众提供身份查询、证件注册流程查询等公共服务,就需要政务网与互联网之间能够进行数据交换。因而,需要在满足安全的前提下实现不同安全等级的网络系统之间的数据交换,保证高安全等级网络安全性不受低安全等级网络的影响。数据隔离交换是在不同安全等级网络或不同信息系统之间进行数据安全交换。数据隔离交换技术需要保证数据交换两端网络是隔离的,相互之间不受影响,尤其是网络安全性不能受影响,安全事件不跨界传递。同时数据隔离交换技术还需要提供两个不同安全等级网络之间的安全数据交换。目前较为普遍为人所知的网络安全隔离交换方法主要有人力交换、双网口隔离卡技术以及数据摆渡技术三种。然而,现有的这些数据隔离交换技术大多是单点单设备形态,提供单一类型的数据交换能力和安全防御能力,无法满足多样化的业务应用需求,不能针对业务应用数据传输需求按需提供数据传输服务,也降低了资源利用率。并且,传统的数据隔离交换技术缺乏从系统的角度设计数据隔离交换系统,仅仅是通过多个分散的无联系的数据交换设备来提供不同类型的数据交换服务,存在管理分散,难以扩展的问题,无法满足新的数据交换需求或者需要增加新设备并更改现有网络部署。
技术实现思路
本专利技术提供了一种软件定义网络数据隔离交换方法,能够解决现有技术中数据隔离交换方法无法满足多样化的业务应用需求的技术问题。本专利技术提供了一种软件定义网络数据隔离交换方法,该方法包括:S100,应用层接收业务网络发送的数据交换请求;S102,管理控制层从所述数据交换请求中提取应用标识;S104,所述管理控制层基于所述应用标识判断应用实例库中是否存在与所述应用标识对应的应用实例,如果是,转至S106,否则转至S108;S106,所述管理控制层获取所述应用实例对应的策略集合,转至S110;S108,所述管理控制层输出第一拒绝接入消息,结束流程;S110,所述管理控制层判断所述策略集合中的策略是否全部下发至基础设施层中的策略执行代理模块中,如果是,转至S112,否则转至S114;S112,所述管理控制层输出指示传输业务数据的信号;S114,所述管理控制层从未下发策略中获取一条未下发策略,转至S116;S116,所述管理控制层获取当前执行的策略集合,转至S118;S118,所述管理控制层判断所述一条未下发策略与当前执行的策略集合之间是否存在冲突,如果是,转至S120,否则转至S122;S120,所述管理控制层输出第二拒绝接入消息,结束流程;S122,所述管理控制层判断所述策略执行代理模块中是否存在所述一条未下发策略,如果是,转至S124,否则转至S126;S124,所述管理控制层将所述应用实例的应用标识添加到与所述一条未下发策略对应的应用实例集合中,返回至S110;S126,所述管理控制层下发所述一条未下发策略至所述策略执行代理模块,转至S124。优选地,S124还包括:将所述应用实例标记为所述一条未下发策略下发成功。优选地,在S112之后,该方法还包括:S128,所述管理控制层接收业务网络发送的表示业务数据传输结束的消息;S130,所述管理控制层判断所述策略执行代理模块中与所述应用实例对应的策略集合中的策略是否全部删除,如果是,结束流程,否则转至S132;S132,所述管理控制层从未删除策略中获取一条未删除策略;S134,所述管理控制层判断所述策略执行代理模块中与所述一条未删除策略对应的应用实例集合是否具有所述应用实例的应用标识,如果是,转至S136,否则转至S130;S136,所述管理控制层删除所述策略执行代理模块中所述应用实例的应用标识,并将所述应用实例标记为所述一条未删除策略删除;S138,所述管理控制层判断所述一条未删除策略对应的应用实例集合是否为空,如果是,转至S140,否则转至S130;S140,所述管理控制层从所述策略执行代理模块中删除所述一条未删除策略,转至S130。优选地,通过下述步骤配置策略集合:S200,所述管理控制层接收用户应用注册请求,并基于需求数据库输出需求分类结果给用户;S202,所述管理控制层接收用户输入的应用相关信息;S204,所述管理控制层判断用户是否具有注册应用权限,如果是转至S206,否则转至S208;S206,所述管理控制层基于需求与策略映射关系获取应用对应的所有策略集合,转至S210;S208,所述管理控制层输出表示用户没有注册应用的权限的消息给用户,结束流程;S210,所述管理控制层基于所述应用相关信息对策略进行编排;S212,所述管理控制层判断编排的策略之间是否存在冲突,如果是,转至S214,否则转至S216;S214,所述管理控制层执行冲突预处理操作,转至S218;S216,所述管理控制层生成策略集合,并保存与生成的策略集合对应的应用实例,转至S220;S218,所述管理控制层判断冲突是否解决,如果是,返回至S216,否则转至S222;S220,所述管理控制层输出表示用户应用注册成功的消息给用户;S222,所述管理控制层输出表示用户应用注册失败的消息给用户。优选地,所述应用相关信息包括应用名称和数据交换需求。优选地,所述第一拒绝接入消息包括指示所述应用实例为未知应用的拒绝原因。优选地,所述第二拒绝接入消息包括指示所述一条未下发策略与当前执行的策略冲突的拒绝原因。应用本专利技术的技术方案,可以实现在不同安全等级网络中安全高效地交换数据,并且可以支持多种网络隔离交换方式、以及支持根据用户网络的业务应用需求按需定制数据交换服务。附图说明所包括的附图用来提供对本专利技术实施例的进一步的理解,其构成了说明书的一部分,用于例示本专利技术的实施例,并与文字描述一起来阐释本专利技术的原理。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出了根据本专利技术一种实施例的一种软件定义网络数据隔离交换方法的流程图;以及图2示出了根据本专利技术一种实施例的一种策略集合配置方法的流程图。具体实施方式需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本专利技术及其应用或使用的任何限制。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的本文档来自技高网...
【技术保护点】
1.一种软件定义网络数据隔离交换方法,其特征在于,该方法包括:S100,应用层接收业务网络发送的数据交换请求;S102,管理控制层从所述数据交换请求中提取应用标识;S104,所述管理控制层基于所述应用标识判断应用实例库中是否存在与所述应用标识对应的应用实例,如果是,转至S106,否则转至S108;S106,所述管理控制层获取所述应用实例对应的策略集合,转至S110;S108,所述管理控制层输出第一拒绝接入消息,结束流程;S110,所述管理控制层判断所述策略集合中的策略是否全部下发至基础设施层中的策略执行代理模块中,如果是,转至S112,否则转至S114;S112,所述管理控制层输出指示传输业务数据的信号;S114,所述管理控制层从未下发策略中获取一条未下发策略,转至S116;S116,所述管理控制层获取当前执行的策略集合,转至S118;S118,所述管理控制层判断所述一条未下发策略与当前执行的策略集合之间是否存在冲突,如果是,转至S120,否则转至S122;S120,所述管理控制层输出第二拒绝接入消息,结束流程;S122,所述管理控制层判断所述策略执行代理模块中是否存在所述一条未下发策略,如果是,转至S124,否则转至S126;S124,所述管理控制层将所述应用实例的应用标识添加到与所述一条未下发策略对应的应用实例集合中,返回至S110;S126,所述管理控制层下发所述一条未下发策略至所述策略执行代理模块,转至S124。...
【技术特征摘要】
1.一种软件定义网络数据隔离交换方法,其特征在于,该方法包括:S100,应用层接收业务网络发送的数据交换请求;S102,管理控制层从所述数据交换请求中提取应用标识;S104,所述管理控制层基于所述应用标识判断应用实例库中是否存在与所述应用标识对应的应用实例,如果是,转至S106,否则转至S108;S106,所述管理控制层获取所述应用实例对应的策略集合,转至S110;S108,所述管理控制层输出第一拒绝接入消息,结束流程;S110,所述管理控制层判断所述策略集合中的策略是否全部下发至基础设施层中的策略执行代理模块中,如果是,转至S112,否则转至S114;S112,所述管理控制层输出指示传输业务数据的信号;S114,所述管理控制层从未下发策略中获取一条未下发策略,转至S116;S116,所述管理控制层获取当前执行的策略集合,转至S118;S118,所述管理控制层判断所述一条未下发策略与当前执行的策略集合之间是否存在冲突,如果是,转至S120,否则转至S122;S120,所述管理控制层输出第二拒绝接入消息,结束流程;S122,所述管理控制层判断所述策略执行代理模块中是否存在所述一条未下发策略,如果是,转至S124,否则转至S126;S124,所述管理控制层将所述应用实例的应用标识添加到与所述一条未下发策略对应的应用实例集合中,返回至S110;S126,所述管理控制层下发所述一条未下发策略至所述策略执行代理模块,转至S124。2.根据权利要求1所述的方法,其特征在于,S124还包括:将所述应用实例标记为所述一条未下发策略下发成功。3.根据权利要求2所述的方法,其特征在于,在S112之后,该方法还包括:S128,所述管理控制层接收业务网络发送的表示业务数据传输结束的消息;S130,所述管理控制层判断所述策略执行代理模块中与所述应用实例对应的策略集合中的策略是否全部删除,如果是,结束流程,否则转至S132;S132,所述管理控制层从未删除策略中获取一条未删除策略;S134,所述管理控制层判断所述策略执行代...
【专利技术属性】
技术研发人员:张立茹,张先国,任传伦,
申请(专利权)人:中国电子科技集团公司第十五研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。