本發明提出了一種基于流量驅動的訪問控制策略的自動生成方法及系統，其中，該方法包括：根據首包信息，向業務管理系統提交流量轉發申請信息；向資產管理系統確認主機所屬的業務系統及主機上的應用信息；在業務申請管理數據庫查詢業務申請記錄；向SDN控制器提交流量轉發申請指令，向SDS控制器提交訪問控制申請信息；由SDN控制器根據流量轉發申請指令，進行流表下發，將流量定向到網關設備，并由SDS控制器根據訪問控制申請信息，自動生成訪問控制策略，并下發到相應的設備。該方法及系統可以實現流量驅動訪問控制策略的自動生成，大大減少了人工配置的成本，簡化策略申請的流程，同時也提升了網關設備的性能，提高策略開通的效率。

技術領域

本發明涉及通信技術領域，尤指一種基于流量驅動的訪問控制策略的自動生成方法及系統。

背景技術

隨著SDN(Software Defined Network，軟件定義網絡)的飛速發展，企業對SDN的期望也是越來越高，如改善網絡利用率、自動化配置管理、支持創建私有云和混合云等，為業務應用提供更好的IT基礎支撐。

目前，在云計算業務發展的過程中，訪問控制策略通常是由人工管理，配置下發，整個流程需要經過層層審批，實現起來繁瑣且效率較低，如果跨設備，還需要多人協作。

因此，亟需一種適應云計算、準確性高、能夠自動生成下發策略的技術方案。

發明內容

為解決上述問題，本發明提出了一種基于流量驅動的訪問控制策略的自動生成方法及系統，通過流量驅動自動生成訪問控制策略，能夠減少人工配置的成本，提高處理效率，提升網關設備的性能。

在本發明一實施例中，提出了一種基于流量驅動的訪問控制策略的自動生成方法，該方法包括：

接收SDN控制器提交的流量轉發申請信息；

根據所述流量轉發申請信息，向資產管理系統確認主機所屬的業務系統及主機上的應用信息；

根據所述主機所屬的業務系統及主機上的應用信息，在業務申請管理數據庫查詢業務申請記錄；

根據查詢到的所述業務申請記錄生成流量轉發申請指令及訪問控制申請信息，并向SDN控制器提交流量轉發申請指令，向SDS控制器提交所述訪問控制申請信息；

由SDN控制器根據流量轉發申請指令，進行流表下發，將流量定向到網關設備，并由SDS控制器根據所述訪問控制申請信息，自動生成訪問控制策略，并下發到相應的設備。

在本發明一實施例中，還提出了一種基于流量驅動的訪問控制策略的自動生成系統，該系統包括：業務管理系統、資產管理系統及SDN控制器、SDS控制器；其中，

業務管理系統，用于根據流量轉發申請信息，向資產管理系統確認主機所屬的業務系統及主機上的應用信息；根據所述主機所屬的業務系統及主機上的應用信息，在業務申請管理數據庫查詢業務申請記錄；根據查詢到的所述業務申請記錄生成流量轉發申請指令及訪問控制申請信息，并向SDN控制器提交所述流量轉發申請指令，向SDS控制器提交所述訪問控制申請信息；

資產管理系統，用于納管網絡中所有的設備信息，存儲所有的資產的位置信息、運行狀態、IP信息、MAC地址、主機所歸屬的業務系統及主機中所運行的應用信息；

SDN控制器，用于根據首包信息，向業務管理系統提交流量轉發申請信息；根據所述業務管理系統下發的流量轉發申請指令，進行流表下發，將流量定向到網關設備；

SDS控制器，用于根據所述業務管理系統下發的訪問控制申請信息，自動生成訪問控制策略，并下發到相應的設備。

在本發明一實施例中，還提出了一種計算機設備，包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，所述處理器執行所述計算機程序時實現基于流量驅動的訪問控制策略的自動生成方法。