技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，特別涉及一種用于消解安全策略沖突的方 法、裝置和系統(tǒng)。

背景技術(shù)

SDN(SoftwareDefinedNetwork，軟件定義網(wǎng)絡(luò))是一種新型網(wǎng)絡(luò) 架構(gòu)和技術(shù)體系，將傳統(tǒng)緊耦合的網(wǎng)絡(luò)架構(gòu)分拆成應(yīng)用、控制、轉(zhuǎn)發(fā)三 層分離的架構(gòu)，上層應(yīng)用和底層轉(zhuǎn)發(fā)設(shè)施被抽象成多個邏輯實(shí)體，具有 開放可編程的特點(diǎn)。

在SDN架構(gòu)下，通過集中控制器對分布式交換機(jī)進(jìn)行編程，定義路 由規(guī)則，上層應(yīng)用的策略通過控制器下發(fā)給交換機(jī)執(zhí)行，防火墻等安全 功能也以上層應(yīng)用形式實(shí)現(xiàn)。OpenFlow(開放流)作為SDN的典型解 決方案，定義了集中控制器與數(shù)據(jù)轉(zhuǎn)發(fā)平面進(jìn)行交互的協(xié)議。

FlowVisor是一種OpenFlow網(wǎng)絡(luò)中的網(wǎng)絡(luò)虛擬化層實(shí)現(xiàn)。通過 FlowVisor，一個完整的OpenFlow網(wǎng)絡(luò)可以劃分成多個邏輯網(wǎng)絡(luò)，每個 邏輯網(wǎng)絡(luò)被稱為一個分片，上層每個應(yīng)用被限制在單獨(dú)的網(wǎng)絡(luò)虛擬化分 片中，從而避免各應(yīng)用間的策略相互影響。

在SDN架構(gòu)下，當(dāng)上層多個應(yīng)用同時下發(fā)流規(guī)則策略時，不同策 略之間可能產(chǎn)生沖突，比如防火墻策略阻止了從10.0.0.1到10.0.0.2的 數(shù)據(jù)流，但某個應(yīng)用策略采用組合策略或其他方式允許該數(shù)據(jù)流，從而 導(dǎo)致策略間的沖突。即使在FlowVisor的網(wǎng)絡(luò)分片環(huán)境下，同一網(wǎng)絡(luò)分 片中可能同時存在安全應(yīng)用及其他應(yīng)用，導(dǎo)致策略沖突。這可被黑客利 用來繞過安全策略，帶來安全隱患。

例如，雖然防火墻策略阻止了從10.0.0.1到10.0.0.2的數(shù)據(jù)流，但 是黑客可選擇從10.0.0.1到10.0.0.3、從10.0.0.3到10.0.0.2路徑，將數(shù) 據(jù)流從10.0.0.1發(fā)送到10.0.0.2，從而使防火墻策略無法有效發(fā)揮作用， 帶來了安全隱患。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種用于消解安全策略沖突的方法、裝置和系統(tǒng)。 通過對下發(fā)的流規(guī)則策略進(jìn)行語義識別以建立別名規(guī)則集，利用別名規(guī) 則集進(jìn)行統(tǒng)一的策略沖突檢測，從而可有效防止通過其它流規(guī)則策略或 策略組合繞過安全規(guī)則，提高基于OpenFlow的SDN架構(gòu)的安全性。

根據(jù)本發(fā)明的一個方面，提供一種用于消解安全策略沖突的方法， 包括：

當(dāng)接收到應(yīng)用代理裝置下發(fā)的流規(guī)則策略時，對所述流規(guī)則策略進(jìn) 行基于別名的語義分析，從而形成所述流規(guī)則策略的別名規(guī)則集；

將所述流規(guī)則策略的別名規(guī)則集與當(dāng)前規(guī)則的別名規(guī)則集進(jìn)行比 對，以判斷是否存在策略沖突；

若不存在策略沖突，則將所述流規(guī)則策略發(fā)送給相應(yīng)交換機(jī)，以便 相應(yīng)交換機(jī)根據(jù)所述流規(guī)則策略進(jìn)行相應(yīng)的路由轉(zhuǎn)發(fā)。

在一個實(shí)施例中，若存在策略沖突，則提取所述流規(guī)則策略中包括 的簽名；

利用所述簽名驗證所述流規(guī)則策略是否完整；

若利用所述簽名驗證所述流規(guī)則完整，則查詢與所述簽名相對應(yīng)的 角色信息；

利用所述角色信息，識別所述流規(guī)則策略的權(quán)限級別；

判斷所述流規(guī)則策略的權(quán)限級別是否高于當(dāng)前規(guī)則的權(quán)限級別；

若所述流規(guī)則策略的權(quán)限級別高于當(dāng)前規(guī)則的權(quán)限級別，則執(zhí)行將 所述流規(guī)則策略發(fā)送給相應(yīng)交換機(jī)的步驟。

在一個實(shí)施例中，若所述流規(guī)則策略的權(quán)限級別不高于當(dāng)前規(guī)則的 權(quán)限級別，則丟棄所述流規(guī)則策略。

在一個實(shí)施例中，若利用所述簽名驗證所述流規(guī)則策略不完整，則 丟棄所述流規(guī)則策略。

根據(jù)本發(fā)明的另一方面，提供一種用于消解安全策略沖突的流規(guī)則 控制裝置，包括接收單元、流規(guī)則沖突分析單元和發(fā)送單元，其中：

接收單元，用于接收應(yīng)用代理裝置下發(fā)的流規(guī)則策略；

流規(guī)則沖突分析單元，用于當(dāng)接收單元接收到應(yīng)用代理裝置下發(fā)的 流規(guī)則策略時，對所述流規(guī)則策略進(jìn)行基于別名的語義分析，從而形成 所述流規(guī)則策略的別名規(guī)則集；將所述流規(guī)則策略的別名規(guī)則集與當(dāng)前 規(guī)則的別名規(guī)則集進(jìn)行比對，以判斷是否存在策略沖突；

發(fā)送單元，用于根據(jù)流規(guī)則沖突分析單元的判斷結(jié)果，若不存在策 略沖突，則將所述流規(guī)則策略發(fā)送給相應(yīng)交換機(jī)，以便相應(yīng)交換機(jī)根據(jù) 所述流規(guī)則策略進(jìn)行相應(yīng)的路由轉(zhuǎn)發(fā)。

在一個實(shí)施例中，裝置還包括源授權(quán)識別單元和流規(guī)則狀態(tài)管理單 元，其中：