一种软件定义网络安全实施方法、系统及控制器技术方案

本发明专利技术涉及一种软件自定义网络安全实施方法、系统及控制器，属于网络技术安全领域。本发明专利技术公开的一种软件定义网络安全实施方法，包括：部署在控制器网络操作系统（NOS）中的安全核心模块实时检测网络状态信息；安全应用根据网络状态信息，分析网络安全状态，检测到网络安全威胁时，生成相应的安全策略；所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则，安装或更新至数据层交换机。本发明专利技术还公开了另两种软件定义网络安全实施方法，一种软件定义网络安全实施系统及控制器。本申请技术方案有效地解决软件定义网络面临的安全问题。

【技术实现步骤摘要】
一种软件定义网络安全实施方法、系统及控制器
本专利技术涉及网络技术安全领域，具体是一种软件自定义网络安全实施方法、系统及控制器。
技术介绍
随着云计算、移动互联网技术的兴起推动了数据中心的快速发展和变革，以IP为基础的传统网络组织结构复杂，管理维护困难，运营成本高昂，变得难以应对新需求对灵活性、扩展性、安全性的要求。为解决传统网络难以满足的新需求，软件自定义网络应运而生。软件定义网络重新定义了网络架构，将网络划分为应用层面、控制层面和数据转发层面，实现了网络可编程。基于Openflow的软件定义网络和传统网络实现的差异，使得传统网络实现的网络安全服务，如入侵检测、串行防火墙、病毒防护、流量清洗等技术，不再完全适用于软件定义网络。控制和数据层面分离，基于DPI的传统安全服务虽然可以检测网络异常，却无法制定和实施有效的响应策略。软件定义网络不仅需要应对传统网络威胁，其新架构也显现出了新的安全问题:策略一致性，随着多种不同类型应用接入控制层，应用控制逻辑复杂，不同应用之间会产生策略冲突，使数据层网络转发产生紊乱，以致整个网络无法正常工作。恶意应用，控制层为应用层开放接口是软件定义网络实现网络可编程的前提，但这种开放性可以被恶意应用利用，当恶意应用接入控制层，会严重影响整个网络的安全和稳定。软件定义网络由控制器集中管理网络资源，掌控全局网络拓扑视图，通过安装和修改交换机中的流表规则，动态改变网络视图，该特征使得软件定义网络可以高效的检测与应对网络安全问题。
技术实现思路
本专利技术所要解决的技术问题是，提供一种软件自定义网络安全实施方法及系统，以解决软件定义网络面临的安全问题。为了解决上述技术问题，本专利技术公开了一种软件定义网络安全实施方法，该方法包括:部署在控制器网络操作系统(NOS)中的安全核心模块实时检测网络状态信息；安全应用根据网络状态信息，分析网络安全状态，检测到网络安全威胁时，生成相应的安全策略；所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则，安装或更新至数据层交换机。可选地，上述方法中，所述安全应用根据网络状态信息，分析网络安全状态，生成安全策略的过程包括:各类安全应用分别针对不同类网络安全威胁执行各自的安全分析算法，分析网络安全状态，在该类网络安全威胁发生时，生成相应的安全策略。可选地，上述方法还包括:当应用层接入的一般应用需要安装或更新流表规则时，所述安全核心模块检测策略一致性，若需要安装或更新的流表规则与现有网络全局策略产生冲突，则由相应的安全应用执行策略一致性算法解决冲突，其中，所述策略一致性算法中的权重采用应用优先级。可选地，上述方法还包括:所述安全核心模块根据受信模型建立应用优先级，其中，安全应用具有最高应用优先等级，一般应用根据所属角色划分为若干应用优先级。可选地，上述方法中，所述安全核心模块，具备认证和授权功能，执行一般应用软件接入访问认证和授权服务。可选地，上述方法中，所述安全核心模块，具备安全服务汇报功能，提供第三方安全异常汇报接口，兼容基于深层报文检测(DPI)的传统安全服务。可选地，上述方法中，当安全应用获取到第三方安全威胁汇报时，直接生成对应的安全策略。本专利技术还公开了一种软件定义网络安全实施系统，该系统包括部署在控制器NOS中的安全核心模块，部署在应用层的安全应用程序集，其中:所述安全核心模块，实时检测网络状态信息，以及将所述安全应用程序集生成的安全策略转换成流表项规则，安装或更新至数据层交换机；所述安全应用程序集，根据网络状态信息，分析网络安全状态，在检测到网络安全威胁时，生成安全策略。可选地，上述系统中，所述安全应用程序集包括多个安全应用单元，每个安全应用单元，针对一类网络安全威胁执行安全分析算法，分析网络安全状态，并在该类网络安全威胁产生时生成相应的安全策略，以消除该类网络安全威胁。可选地，上述系统中，所述安全核心模块包括:采集单元，实时检测网络状态信息；流表项规则转换单元，将所述安全应用程序集生成的安全策略转换成流表项规则，安装或更新至数据层交换机。可选地，上述系统中，所述安全核心模块还包括:策略一致性检测单元，在一般应用需要安装或更新流表规则时，检测策略一致性并在需要安装或更新的流表规则与现有网络全局策略产生冲突时，控制相应的安全应用单元执行策略一致性算法解决冲突，其中，所述策略一致性算法中的权重采用应用优先级。可选地，上述系统中，所述安全核心模块还包括:应用优先级设置单元，根据受信模型建立应用优先级，其中，安全应用具有最高应用优先等级，一般应用根据所属角色划分为若干应用优先级。可选地，上述系统中，所述安全核心模块还包含:认证和授权逻辑单元，执行一般应用软件接入访问认证和授权服务。可选地，上述系统中，所述安全核心模块还包含:安全服务汇报逻辑单元，提供第三方安全异常汇报接口，兼容基于DPI的传统安全服务。本专利技术还公开了一种软件定义网络安全实施方法，该方法包括:部署在控制器网络操作系统(NOS)中的安全核心模块实时检测网络状态信息，将所检测到的网络状态信息发送给应用层的安全应用；当所述安全应用生成安全策略时，所述安全核心模块将所生成的安全策略转换成流表项规则，安装或更新至数据层交换机。可选地，上述方法还包括:当应用层接入的一般应用需要安装或更新流表规则时，所述安全核心模块检测策略一致性，若需要安装或更新的流表规则与现有网络全局策略产生冲突，则控制相应的安全应用执行策略一致性算法解决冲突，其中，所述策略一致性算法中的权重采用应用优先级。本专利技术还公开了一种软件定义网络安全实施方法，该方法包括:应用层的安全应用实时获取网络状态信息，根据所获取的网络状态信息，分析网络安全状态；在检测到网络安全威胁时，生成相应的安全策略。可选地，上述方法中，所述应用层的安全应用实时获取网络状态信息指:所述安全应用接收部署在控制器网络操作系统(NOS)中的安全核心模块发送的网络状态信息。可选地，上述方法中，所述安全应用根据网络状态信息，分析网络安全状态，生成安全策略的过程包括:各类安全应用分别针对不同类网络安全威胁执行各自的安全分析算法，分析网络安全状态，在该类网络安全威胁发生时，生成相应的安全策略。本专利技术还公开了一种控制器，包括:采集单元，实时检测网络状态信息，发送给应用层的安全应用；流表项规则转换单元，将安全应用生成的安全策略转换成流表项规则，安装或更新至数据层交换机。可选地，上述控制器，还包括:策略一致性检测单元，在一般应用需要安装或更新流表规则时，检测策略一致性并在需要安装或更新的流表规则与现有网络全局策略产生冲突时，控制相应的安全应用执行策略一致性算法解决冲突，其中，所述策略一致性算法中的权重采用应用优先级。可选地，上述控制器，还包括:应用优先级设置单元，根据受信模型建立应用优先级，其中，安全应用具有最高应用优先等级，一般应用根据所属角色划分为若干应用优先级。可选地，上述控制器，还包含:认证和授权逻辑单元，执行一般应用软件接入访问认证和授权服务。可选地，上述控制器，还包含:安全服务汇报逻辑单元，提供第三方安全异常汇报接口，兼容基于DPI的传统安全服务。本申请技术方案针对软件定义网络特性，定制了一种软件定义网络安全实施方案，在控制层NOS部署安全核心模块，将本文档来自技高网...

【技术保护点】
一种软件定义网络安全实施方法，其特征在于，该方法包括：部署在控制器网络操作系统（NOS）中的安全核心模块实时检测网络状态信息；安全应用根据网络状态信息，分析网络安全状态，检测到网络安全威胁时，生成相应的安全策略；所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则，安装或更新至数据层交换机。

【技术特征摘要】
1.一种软件定义网络安全实施方法，其特征在于，该方法包括: 部署在控制器网络操作系统(NOS)中的安全核心模块实时检测网络状态信息； 安全应用根据网络状态信息，分析网络安全状态，检测到网络安全威胁时，生成相应的安全策略； 所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则，安装或更新至数据层交换机。2.如权利要求1所述的方法，其特征在于，所述安全应用根据网络状态信息，分析网络安全状态，生成安全策略的过程包括: 各类安全应用分别针对不同类网络安全威胁执行各自的安全分析算法，分析网络安全状态，在该类网络安全威胁发生时，生成相应的安全策略。3.如权利要求1所述的方法，其特征在于，该方法还包括: 当应用层接入的一般应用需要安装或更新流表规则时，所述安全核心模块检测策略一致性，若需要安装或更新的流表规则与现有网络全局策略产生冲突，则由相应的安全应用执行策略一致性算法解决冲突，其中，所述策略一致性算法中的权重采用应用优先级。4.如权利要求3所述的方法，其特征在于，该方法还包括: 所述安全核心模块根据受信模型建立应用优先级，其中，安全应用具有最高应用优先等级，一般应用根据所属角色划分为若干应用优先级。5.如权利要求1至4任一项所述的方法，其特征在于，` 所述安全核心模块，具备认证和授权功能，执行一般应用软件接入访问认证和授权服务。6.如权利要求5所述的方法，其特征在于， 所述安全核心模块，具备安全服务汇报功能，提供第三方安全异常汇报接口，兼容基于深层报文检测(DPI)的传统安全服务。7.如权利要求6所述的方法，其特征在于， 当安全应用获取到第三方安全威胁汇报时，直接生成对应的安全策略。8.一种软件定义网络安全实施系统，其特征在于，该系统包括部署在控制器NOS中的安全核心模块，部署在应用层的安全应用程序集，其中: 所述安全核心模块，实时检测网络状态信息，以及将所述安全应用程序集生成的安全策略转换成流表项规则，安装或更新至数据层交换机； 所述安全应用程序集，根据网络状态信息，分析网络安全状态，在检测到网络安全威胁时，生成安全策略。9.如权利要求8所述的系统，其特征在于， 所述安全应用程序集包括多个安全应用单元，每个安全应用单元，针对一类网络安全威胁执行安全分析算法，分析网络安全状态，并在该类网络安全威胁产生时生成相应的安全策略，以消除该类网络安全威胁。10.如权利要求9所述的系统，其特征在于，所述安全核心模块包括: 采集单元，实时检测网络状态信息； 流表项规则转换单元，将所述安全应用程序集生成的安全策略转换成流表项规则，安装或更新至数据层交换机。11.如权利要求10所述的系统，其特征在于，所述安全核心模块还包括: 策略一致性检测单元，在一般应用需要安装或更新流表规则时，检测策略一致性并在需要安装或更新的流表规则与现有网络全局策略产生冲突时，控制相应的安全应用单元执行策略一致性算法解决冲突，其中，所述策略一致性算法中的权重采用应用优先级。12.如权利要求11所述的系统，其特征在于，所述安...

【专利技术属性】
技术研发人员：张玉军，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：