本发明专利技术公开了一种流规则的检测方法,包括在可信管理模块执行以下步骤:对应用的信息进行审核,并为应用分配应用号、以及事务号;基于应用号和事务号生成公钥和私钥;以及将事务号和私钥下发给应用以用来对流规则进行签名加密,并将公钥发送给认证模块以用来验证流规则是否通过审核。本发明专利技术还公开了一种计算机设备和可读存储介质。本发明专利技术通过控制器对应用及其业务的合法性进行审核并分配公私钥,防止非法应用对网络下发恶意流规则。增加SDN网络中应用的可靠性检测,避免恶意应用通过流规则冲突机制,恶意下发流规则而产生的网络服务瘫痪、网络混乱等问题,在保证网络功能丰富多彩的前提下,提高网络的健壮性。
A flow rule detection method, device and readable medium
【技术实现步骤摘要】
一种流规则的检测方法、设备及可读介质
本专利技术涉及网络管理
,更具体地,特别是指一种流规则的检测方法、设备及可读介质。
技术介绍
流规则冲突是指不同网络功能之间的流规则相互干扰,导致网络功能的失效。一旦攻击者通过恶意应用通过下发与安全策略相冲突的流规则,使得网络中被转发的数据包包头中的源地址与目的地址发生改变,绕过防火墙等安全策略,进而任意下发恶意流规则,引起流规则冲突,从而造成严重的安全威胁。许多国内外的研究人员对该问题进行深入研究,并取得了大量的成果。很多方案中基于优先级的语义匹配编码,对网络全局进行建模,最后提供一个通用的基于属性的校验接口。虽然可以验证不同交换机与控制器之间的流规则一致性,但是其针对静态网络配置,对于网络中的策略和配置动态变化时,不能很好地应对。
技术实现思路
有鉴于此,本专利技术实施例的目的在于提出一种流规则的检测方法、设备及介质,控制器对应用及其业务的合法性进行审核,防止非法应用对网络下发恶意流规则;应用对下发的流规则进行签名,控制器对签名进行认证,保证消息的完整性和真实性。基于上述目的,本专利技术实施例的一方面提供了一种流规则的检测方法,包括在可信管理模块执行以下步骤:对应用的信息进行审核,并为应用分配应用号、以及事务号;基于应用号和事务号生成公钥和私钥;以及将事务号和私钥下发给应用以用来对流规则进行签名加密,并将公钥发送给认证模块以用来验证流规则是否通过审核。在一些实施方式中,对应用的信息进行审核,并为应用分配应用号、以及事务号包括:基于网络管理协议对应用的应用信息和功能信息进行审核;响应于应用信息审核通过,为应用分配应用号;响应于功能信息审核通过,为应用分配事务号和优先级号。在一些实施方式中,还包括在控制模块执行以下步骤:接收应用发送的封装消息和签名文件,并向认证模块发起对签名文件的验证;响应于验证通过,检测应用的流规则是否与现有流规则冲突;响应于不冲突,将应用的流规则下发至对应网络中的网络设备。在一些实施方式中,封装消息包括应用的流规则和事务号,签名文件为应用基于私钥进行签名得到;认证模块对签名文件进行验证包括:基于公钥对签名文件进行验证。在一些实施方式中,还包括:流规则配置用于驱动SDN网络,可信管理模块和认证模块为上层主SDN控制器,控制模块为下层从SDN控制器。本专利技术实施例的另一方面,还提供了一种计算机设备,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由可信管理模块处理器执行以实现如下步骤:对应用的信息进行审核,并为应用分配应用号、以及事务号;基于应用号和事务号生成公钥和私钥;以及将事务号和私钥下发给应用以用来对流规则进行签名加密,并将公钥发送给认证模块以用来验证流规则是否通过审核。在一些实施方式中,对应用的信息进行审核,并为应用分配应用号、以及事务号包括:基于网络管理协议对应用的应用信息和功能信息进行审核;响应于应用信息审核通过,为应用分配应用号;响应于功能信息审核通过,为应用分配事务号和优先级号。在一些实施方式中,还包括在控制模块执行以下步骤:接收应用发送的封装消息和签名文件,并向认证模块发起对签名文件的验证;响应于验证通过,检测应用的流规则是否与现有流规则冲突;响应于不冲突,将应用的流规则下发至对应网络中的网络设备。在一些实施方式中,封装消息包括应用的流规则和事务号,签名文件为应用基于私钥进行签名得到;认证模块对签名文件进行验证包括:基于公钥对签名文件进行验证。本专利技术实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。本专利技术具有以下有益技术效果:控制器对应用及其业务的合法性进行审核并分配公私钥,防止非法应用对网络下发恶意流规则;应用对下发的流规则进行签名,控制器对签名进行认证,保证流规则的完整性和真实性。增加SDN网络中应用的可靠性检测,避免恶意应用通过流规则冲突机制,恶意下发流规则而产生的网络服务瘫痪、网络混乱等问题,在保证网络功能丰富多彩的前提下,提高网络的健壮性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。图1为本专利技术提供的流规则的检测方法的实施例的示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术实施例进一步详细说明。需要说明的是,本专利技术实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本专利技术实施例的限定,后续实施例对此不再一一说明。基于上述目的,本专利技术实施例的第一个方面,提出了一种流规则的检测方法的实施例。图1示出的是本专利技术提供的一种流规则的检测方法的实施例的示意图。如图1所示,本专利技术实施例包括如下步骤:S1、对应用的信息进行审核,并为应用分配应用号、以及事务号;S2、基于应用号和事务号生成公钥和私钥;以及S3、将事务号和私钥下发给应用以用来对流规则进行签名加密,并将公钥发送给认证模块以用来验证流规则是否通过审核。在本专利技术的一些实施例中,为了阻止恶意应用访问控制器,确保应用下发的流规则的真实性和完整性。每个应用都需要向一个可信管理模块提供自身的信息,可信管理模块对信息进行审核,并根据应用提供的信息,为其分配应用号、事务号和在一些实施例中分配优先级号,然后将应用号和事务号作为公钥PK,并生成相应私钥SK。可信管理模块将事务号和私钥发给应用,将公钥发给认证模块。在本专利技术的一些实施方式中,对应用的信息进行审核,并为应用分配应用号、以及事务号包括:基于网络管理协议对应用的应用信息和功能信息进行审核;响应于应用信息审核通过,为应用分配应用号;响应于功能信息审核通过,为应用分配事务号和优先级号。应用将自身的应用信息和功能信息提交给可信管理模块进行审核:应用信息包括序列号(SN)、版本号(VERSION)和开发者(PROVIDER),其中序列号为应用的唯一标识,版本号为应用当前的版本号,开发者为应用的提供方;功能信息包括功能说明和模块说明,功能说明提供网络功能的说明,模块说明提供网络功能涉及的子模块说明。可信模块对应用提交的信息进行审核:响应于应用信息审核通过,为应用分配一个唯一的应用号;响应于功能信息审核通过,为应用分配唯一的事务号和事务优先级号。在本专利技术的一些实施方式中,还包括在控制模块执行以下步骤:接收应用发送的封装消息和签名文件,并向认证模块发起对签名文件的验证;响应于验证通过,检测应用的流规则是否与现有流规则冲突;响应于不冲突,将应用的流规则下发至对应网络中的网络设备。应用根据自身提供的网络功能,生成流本文档来自技高网...
【技术保护点】
1.一种流规则的检测方法,其特征在于,包括在可信管理模块执行以下步骤:/n对应用的信息进行审核,并为所述应用分配应用号、以及事务号;/n基于所述应用号和所述事务号生成公钥和私钥;以及/n将所述事务号和所述私钥下发给所述应用以用来对流规则进行签名加密,并将所述公钥发送给认证模块以用来验证所述流规则是否通过审核。/n
【技术特征摘要】
1.一种流规则的检测方法,其特征在于,包括在可信管理模块执行以下步骤:
对应用的信息进行审核,并为所述应用分配应用号、以及事务号;
基于所述应用号和所述事务号生成公钥和私钥;以及
将所述事务号和所述私钥下发给所述应用以用来对流规则进行签名加密,并将所述公钥发送给认证模块以用来验证所述流规则是否通过审核。
2.根据权利要求1的检测方法,其特征在于,对应用的信息进行审核,并为所述应用分配应用号、以及事务号包括:
基于网络管理协议对应用的应用信息和功能信息进行审核;
响应于所述应用信息审核通过,为所述应用分配应用号;
响应于所述功能信息审核通过,为所述应用分配事务号和优先级号。
3.根据权利要求1的检测方法,其特征在于,还包括在控制模块执行以下步骤:
接收所述应用发送的封装消息和签名文件,并向所述认证模块发起对所述签名文件的验证;
响应于验证通过,检测所述应用的流规则是否与现有流规则冲突;
响应于不冲突,将所述应用的流规则下发至对应网络中的网络设备。
4.根据权利要求3的检测方法,其特征在于,所述封装消息包括所述应用的流规则和所述事务号,所述签名文件为所述应用基于所述私钥进行签名得到;
所述认证模块对所述签名文件进行验证包括:基于所述公钥对所述签名文件进行验证。
5.根据权利要求1的检测方法,其特征在于,所述流规则配置用于驱动SDN网络,所述可信管理模块和所述认证模块为上层主SDN控制器,所述控制模块为下层从SDN控制器。
6.一种计算机设备,其特征在...
【专利技术属性】
技术研发人员:黄帅,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。