本發(fā)明公開了一種流規(guī)則的檢測(cè)方法，包括在可信管理模塊執(zhí)行以下步驟：對(duì)應(yīng)用的信息進(jìn)行審核，并為應(yīng)用分配應(yīng)用號(hào)、以及事務(wù)號(hào)；基于應(yīng)用號(hào)和事務(wù)號(hào)生成公鑰和私鑰；以及將事務(wù)號(hào)和私鑰下發(fā)給應(yīng)用以用來對(duì)流規(guī)則進(jìn)行簽名加密，并將公鑰發(fā)送給認(rèn)證模塊以用來驗(yàn)證流規(guī)則是否通過審核。本發(fā)明還公開了一種計(jì)算機(jī)設(shè)備和可讀存儲(chǔ)介質(zhì)。本發(fā)明通過控制器對(duì)應(yīng)用及其業(yè)務(wù)的合法性進(jìn)行審核并分配公私鑰，防止非法應(yīng)用對(duì)網(wǎng)絡(luò)下發(fā)惡意流規(guī)則。增加SDN網(wǎng)絡(luò)中應(yīng)用的可靠性檢測(cè)，避免惡意應(yīng)用通過流規(guī)則沖突機(jī)制，惡意下發(fā)流規(guī)則而產(chǎn)生的網(wǎng)絡(luò)服務(wù)癱瘓、網(wǎng)絡(luò)混亂等問題，在保證網(wǎng)絡(luò)功能豐富多彩的前提下，提高網(wǎng)絡(luò)的健壯性。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)管理技術(shù)領(lǐng)域，更具體地，特別是指一種流規(guī)則的檢測(cè)方法、設(shè)備及可讀介質(zhì)。

背景技術(shù)

流規(guī)則沖突是指不同網(wǎng)絡(luò)功能之間的流規(guī)則相互干擾，導(dǎo)致網(wǎng)絡(luò)功能的失效。一旦攻擊者通過惡意應(yīng)用通過下發(fā)與安全策略相沖突的流規(guī)則，使得網(wǎng)絡(luò)中被轉(zhuǎn)發(fā)的數(shù)據(jù)包包頭中的源地址與目的地址發(fā)生改變，繞過防火墻等安全策略，進(jìn)而任意下發(fā)惡意流規(guī)則，引起流規(guī)則沖突，從而造成嚴(yán)重的安全威脅。

許多國(guó)內(nèi)外的研究人員對(duì)該問題進(jìn)行深入研究，并取得了大量的成果。很多方案中基于優(yōu)先級(jí)的語義匹配編碼，對(duì)網(wǎng)絡(luò)全局進(jìn)行建模，最后提供一個(gè)通用的基于屬性的校驗(yàn)接口。雖然可以驗(yàn)證不同交換機(jī)與控制器之間的流規(guī)則一致性，但是其針對(duì)靜態(tài)網(wǎng)絡(luò)配置，對(duì)于網(wǎng)絡(luò)中的策略和配置動(dòng)態(tài)變化時(shí)，不能很好地應(yīng)對(duì)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例的目的在于提出一種流規(guī)則的檢測(cè)方法、設(shè)備及介質(zhì)，控制器對(duì)應(yīng)用及其業(yè)務(wù)的合法性進(jìn)行審核，防止非法應(yīng)用對(duì)網(wǎng)絡(luò)下發(fā)惡意流規(guī)則；應(yīng)用對(duì)下發(fā)的流規(guī)則進(jìn)行簽名，控制器對(duì)簽名進(jìn)行認(rèn)證，保證消息的完整性和真實(shí)性。

基于上述目的，本發(fā)明實(shí)施例的一方面提供了一種流規(guī)則的檢測(cè)方法，包括在可信管理模塊執(zhí)行以下步驟：對(duì)應(yīng)用的信息進(jìn)行審核，并為應(yīng)用分配應(yīng)用號(hào)、以及事務(wù)號(hào)；基于應(yīng)用號(hào)和事務(wù)號(hào)生成公鑰和私鑰；以及將事務(wù)號(hào)和私鑰下發(fā)給應(yīng)用以用來對(duì)流規(guī)則進(jìn)行簽名加密，并將公鑰發(fā)送給認(rèn)證模塊以用來驗(yàn)證流規(guī)則是否通過審核。

在一些實(shí)施方式中，對(duì)應(yīng)用的信息進(jìn)行審核，并為應(yīng)用分配應(yīng)用號(hào)、以及事務(wù)號(hào)包括：基于網(wǎng)絡(luò)管理協(xié)議對(duì)應(yīng)用的應(yīng)用信息和功能信息進(jìn)行審核；響應(yīng)于應(yīng)用信息審核通過，為應(yīng)用分配應(yīng)用號(hào)；響應(yīng)于功能信息審核通過，為應(yīng)用分配事務(wù)號(hào)和優(yōu)先級(jí)號(hào)。

在一些實(shí)施方式中，還包括在控制模塊執(zhí)行以下步驟：接收應(yīng)用發(fā)送的封裝消息和簽名文件，并向認(rèn)證模塊發(fā)起對(duì)簽名文件的驗(yàn)證；響應(yīng)于驗(yàn)證通過，檢測(cè)應(yīng)用的流規(guī)則是否與現(xiàn)有流規(guī)則沖突；響應(yīng)于不沖突，將應(yīng)用的流規(guī)則下發(fā)至對(duì)應(yīng)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備。

在一些實(shí)施方式中，封裝消息包括應(yīng)用的流規(guī)則和事務(wù)號(hào)，簽名文件為應(yīng)用基于私鑰進(jìn)行簽名得到；認(rèn)證模塊對(duì)簽名文件進(jìn)行驗(yàn)證包括：基于公鑰對(duì)簽名文件進(jìn)行驗(yàn)證。

在一些實(shí)施方式中，還包括：流規(guī)則配置用于驅(qū)動(dòng)SDN網(wǎng)絡(luò)，可信管理模塊和認(rèn)證模塊為上層主SDN控制器，控制模塊為下層從SDN控制器。

本發(fā)明實(shí)施例的另一方面，還提供了一種計(jì)算機(jī)設(shè)備，包括：至少一個(gè)處理器；以及存儲(chǔ)器，存儲(chǔ)器存儲(chǔ)有可在處理器上運(yùn)行的計(jì)算機(jī)指令，指令由可信管理模塊處理器執(zhí)行以實(shí)現(xiàn)如下步驟：對(duì)應(yīng)用的信息進(jìn)行審核，并為應(yīng)用分配應(yīng)用號(hào)、以及事務(wù)號(hào)；基于應(yīng)用號(hào)和事務(wù)號(hào)生成公鑰和私鑰；以及將事務(wù)號(hào)和私鑰下發(fā)給應(yīng)用以用來對(duì)流規(guī)則進(jìn)行簽名加密，并將公鑰發(fā)送給認(rèn)證模塊以用來驗(yàn)證流規(guī)則是否通過審核。

在一些實(shí)施方式中，對(duì)應(yīng)用的信息進(jìn)行審核，并為應(yīng)用分配應(yīng)用號(hào)、以及事務(wù)號(hào)包括：基于網(wǎng)絡(luò)管理協(xié)議對(duì)應(yīng)用的應(yīng)用信息和功能信息進(jìn)行審核；響應(yīng)于應(yīng)用信息審核通過，為應(yīng)用分配應(yīng)用號(hào)；響應(yīng)于功能信息審核通過，為應(yīng)用分配事務(wù)號(hào)和優(yōu)先級(jí)號(hào)。