【技术实现步骤摘要】
一种流规则的检测方法、设备及可读介质
本专利技术涉及网络管理
,更具体地,特别是指一种流规则的检测方法、设备及可读介质。
技术介绍
流规则冲突是指不同网络功能之间的流规则相互干扰,导致网络功能的失效。一旦攻击者通过恶意应用通过下发与安全策略相冲突的流规则,使得网络中被转发的数据包包头中的源地址与目的地址发生改变,绕过防火墙等安全策略,进而任意下发恶意流规则,引起流规则冲突,从而造成严重的安全威胁。许多国内外的研究人员对该问题进行深入研究,并取得了大量的成果。很多方案中基于优先级的语义匹配编码,对网络全局进行建模,最后提供一个通用的基于属性的校验接口。虽然可以验证不同交换机与控制器之间的流规则一致性,但是其针对静态网络配置,对于网络中的策略和配置动态变化时,不能很好地应对。
技术实现思路
有鉴于此,本专利技术实施例的目的在于提出一种流规则的检测方法、设备及介质,控制器对应用及其业务的合法性进行审核,防止非法应用对网络下发恶意流规则;应用对下发的流规则进行签名,控制器对签名进行认证,保证消息的完
【技术保护点】
1.一种流规则的检测方法,其特征在于,包括在可信管理模块执行以下步骤:/n对应用的信息进行审核,并为所述应用分配应用号、以及事务号;/n基于所述应用号和所述事务号生成公钥和私钥;以及/n将所述事务号和所述私钥下发给所述应用以用来对流规则进行签名加密,并将所述公钥发送给认证模块以用来验证所述流规则是否通过审核。/n
【技术特征摘要】
1.一种流规则的检测方法,其特征在于,包括在可信管理模块执行以下步骤:
对应用的信息进行审核,并为所述应用分配应用号、以及事务号;
基于所述应用号和所述事务号生成公钥和私钥;以及
将所述事务号和所述私钥下发给所述应用以用来对流规则进行签名加密,并将所述公钥发送给认证模块以用来验证所述流规则是否通过审核。
2.根据权利要求1的检测方法,其特征在于,对应用的信息进行审核,并为所述应用分配应用号、以及事务号包括:
基于网络管理协议对应用的应用信息和功能信息进行审核;
响应于所述应用信息审核通过,为所述应用分配应用号;
响应于所述功能信息审核通过,为所述应用分配事务号和优先级号。
3.根据权利要求1的检测方法,其特征在于,还包括在控制模块执行以下步骤:
接收所述应用发送的封装消息和签名文件,并向所述认证模块发起对所述签名文件的验证;
响应于验证通过,检测所述应用的流规则是否与现有流规则冲突;
响应于不冲突,将所述应用的流规则下发至对应网络中的网络设备。
4.根据权利要求3的检测方法,其特征在于,所述封装消息包括所述应用的流规则和所述事务号,所述签名文件为所述应用基于所述私钥进行签名得到;
所述认证模块对所述签名文件进行验证包括:基于所述公钥对所述签名文件进行验证。
5.根据权利要求1的检测方法,其特征在于,所述流规则配置用于驱动SDN网络,所述可信管理模块和所述认证模块为上层主SDN控制器,所述控制模块为下层从SDN控制器。
6.一种计算机设备,其特征在...
【专利技术属性】
技术研发人员:黄帅,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。