本發(fā)明解決傳統(tǒng)安全策略配置、策略沖突消解技術(shù)不能隨資源狀態(tài)變化的問(wèn)題。本發(fā)明的核心是在SDN的控制架構(gòu)中將業(yè)務(wù)解析、數(shù)據(jù)層資源統(tǒng)計(jì)、策略沖突檢測(cè)集成形成了改進(jìn)的控制層裝置并制定了相應(yīng)的處理流程，在SDN架構(gòu)控制器上配置適應(yīng)業(yè)務(wù)需求和數(shù)據(jù)層資源狀態(tài)的策略。本發(fā)明軟件定義網(wǎng)安全控制系統(tǒng)包含以下部分：業(yè)務(wù)處理模塊、策略模塊、控制模塊、工作數(shù)據(jù)庫(kù)、南向接口、北向接口、策略配置接口；本發(fā)明軟件定義網(wǎng)安全控制方法包含策略配置、資源狀態(tài)統(tǒng)計(jì)、策略優(yōu)先級(jí)生成、策略下發(fā)等步驟。采用本發(fā)明方法和裝置，在控制器策略配置時(shí)通過(guò)資源統(tǒng)計(jì)參數(shù)為業(yè)務(wù)提供有效的資源狀態(tài)信息量化依據(jù)，將業(yè)務(wù)需求和資源信息有機(jī)結(jié)合，進(jìn)一步保證業(yè)務(wù)安全。

技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，尤其涉及一種軟件定義網(wǎng)(SDN)架構(gòu)下保護(hù)網(wǎng)絡(luò)業(yè)務(wù)及資源安全的方法。

背景技術(shù)

SDN架構(gòu)包含數(shù)據(jù)層、控制層、應(yīng)用層。數(shù)據(jù)層的網(wǎng)絡(luò)資源能夠接收控制層的指令。控制層屏蔽了網(wǎng)絡(luò)基礎(chǔ)設(shè)施資源在類型、協(xié)議等方面的異構(gòu)性；控制層為應(yīng)用層提供了開(kāi)放的接口，并使得用戶可以通過(guò)軟件從邏輯上定義虛擬網(wǎng)絡(luò)，提供虛擬運(yùn)營(yíng)商服務(wù)。

針對(duì)應(yīng)用層和控制層之間的安全需求，Hartman S和Wasseman M等人開(kāi)發(fā)出一種FRESCO模型(Modular Composable Security Services for Software-DefinedNetworks.In Internet Society NDSS，F(xiàn)eb.2013)，研究如何在SDN架構(gòu)上部署傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)用，如訪問(wèn)控制、防火墻、入侵檢測(cè)、入侵防御，在控制層定義了相關(guān)API以實(shí)現(xiàn)上述功能，對(duì)應(yīng)用進(jìn)行授權(quán)、認(rèn)證、隔離以及消解策略沖突。

一般地，可以通過(guò)包過(guò)濾技術(shù)檢查包頭信息，根據(jù)匹配和規(guī)則決定包的轉(zhuǎn)發(fā)或舍棄，拒絕發(fā)送可疑的包，從而保護(hù)整個(gè)網(wǎng)絡(luò)安全性。一種策略沖突消解技術(shù)是為了解決數(shù)據(jù)層網(wǎng)絡(luò)環(huán)境更新或新技術(shù)引入所導(dǎo)致的策略邊界沖突，通過(guò)分析策略目標(biāo)與制定策略優(yōu)先級(jí)來(lái)構(gòu)建無(wú)沖突策略集。特別地，在使用OpenFlow協(xié)議的SDN架構(gòu)下，所有策略均可通過(guò)控制器下發(fā)FLOW_MODE消息來(lái)實(shí)現(xiàn)配置。

但當(dāng)前的安全策略主要防范外部入侵行為，安全策略是靜態(tài)的，未考略網(wǎng)絡(luò)內(nèi)部設(shè)備故障及資源問(wèn)題。上述安全性研究主要在應(yīng)用層與控制層之間，所制定的策略僅為控制層阻擋應(yīng)用層所定制的存在安全威脅的業(yè)務(wù)、消除惡意占用網(wǎng)絡(luò)資源行為。傳統(tǒng)方案中由于所設(shè)置的優(yōu)先級(jí)無(wú)法根據(jù)業(yè)務(wù)的變化而動(dòng)態(tài)調(diào)整，也未隨著數(shù)據(jù)層的資源狀態(tài)信息(例如設(shè)備故障、鏈路故障)而改變，應(yīng)用的邊界條件會(huì)發(fā)生沖突造成業(yè)務(wù)阻塞，這就無(wú)法保證安全策略的完備性和整個(gè)系統(tǒng)的安全性。

發(fā)明內(nèi)容

本發(fā)明解決傳統(tǒng)安全策略配置、策略沖突消解技術(shù)不能隨資源狀態(tài)變化的問(wèn)題。本發(fā)明的核心是在軟件定義網(wǎng)絡(luò)(SDN)的控制架構(gòu)中，設(shè)計(jì)了將業(yè)務(wù)解析、數(shù)據(jù)層資源統(tǒng)計(jì)、策略沖突檢測(cè)集成的功能模塊，形成了改進(jìn)的控制層裝置；并制定了相應(yīng)的處理流程，在SDN架構(gòu)下的集中控制器上配置適應(yīng)數(shù)據(jù)層資源狀態(tài)和業(yè)務(wù)需求的最佳策略。

本發(fā)明的軟件定義網(wǎng)安全控制系統(tǒng)，包含以下部分：業(yè)務(wù)處理模塊MA、策略模塊MS、控制模塊MC、工作數(shù)據(jù)庫(kù)D、南向接口SB、北向接口NB、策略配置接口SCI。

在所述工作數(shù)據(jù)庫(kù)D中，包含數(shù)據(jù)包過(guò)濾規(guī)則、資源統(tǒng)計(jì)參數(shù)、無(wú)沖突策略集、策略優(yōu)先級(jí)列表。所述數(shù)據(jù)包過(guò)濾規(guī)則，是預(yù)先設(shè)定的數(shù)據(jù)包的源、目的地址，源、目的端口，協(xié)議類型等信息；所述資源統(tǒng)計(jì)參數(shù)，是針對(duì)業(yè)務(wù)類型設(shè)置的對(duì)數(shù)據(jù)層資源進(jìn)行統(tǒng)計(jì)的規(guī)則；每一個(gè)所述無(wú)沖突策略集對(duì)應(yīng)一種安全應(yīng)用，包含至少1個(gè)策略；所述策略優(yōu)先級(jí)列表包含策略的執(zhí)行順序。

所述業(yè)務(wù)處理模塊解析業(yè)務(wù)請(qǐng)求。對(duì)于涉及資源統(tǒng)計(jì)參數(shù)的策略，所述業(yè)務(wù)處理模塊MA查詢所述控制模塊MC所提供的資源統(tǒng)計(jì)參數(shù)值，判斷數(shù)據(jù)層資源是否可以滿足該業(yè)務(wù)的需求，并將所述業(yè)務(wù)請(qǐng)求發(fā)送至所述策略模塊MS。

所述業(yè)務(wù)處理模塊MA的北向接口NB，用于輸入所述業(yè)務(wù)請(qǐng)求，返回業(yè)務(wù)執(zhí)行結(jié)果。