[發明專利]一種基于SDN技術實現網絡邊界訪問控制的方法及系統在審
| 申請號: | 202011032103.8 | 申請日: | 2020-09-27 |
| 公開(公告)號: | CN112202756A | 公開(公告)日: | 2021-01-08 |
| 發明(設計)人: | 袁浩;崔新安 | 申請(專利權)人: | 中孚安全技術有限公司;中孚信息股份有限公司;北京中孚泰和科技發展股份有限公司;南京中孚信息技術有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京久維律師事務所 11582 | 代理人: | 邢江峰 |
| 地址: | 250101 山東省濟南市高新*** | 國省代碼: | 山東;37 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 sdn 技術 實現 網絡 邊界 訪問 控制 方法 系統 | ||
1.一種基于SDN技術實現網絡邊界訪問控制的方法,其特征是,該方法包括:
基于五元組對SDN控制器設置批量靜態策略對流經邊界網絡域的網絡包進行控制;或,
對SDN交換機設置策略,將流經邊界的特定網絡流鏡像或串流到SDN控制器中,SDN控制器對流經邊界網絡域的網絡包進行控制。
2.根據權利要求1所述的方法,其特征是,所述的基于五元組對SDN控制器設置批量靜態策略具體包括:
通過Openflow協議控制SDN交換機,對流經SDN交換機的每個IP包進行檢查;
根據源IP,源端口,目的IP,目的端口和傳輸層協議特征對IP包進行處理。
3.根據權利要求2所述的方法,其特征是,對IP包進行處理包括:
對IP包丟棄、指定IP包流向的目的交換機接口、對IP包計數統計、把IP包鏡像到SDN控制器、把IP包轉發到SDN控制器。
4.根據權利要求1所述的方法,其特征是,當將流經邊界的特定網絡流鏡像到SDN控制器時,SDN控制器通過DPI功能還原應用層協議數據,還原出流經邊界的特定網絡流的原始內容,對流經邊界的特定網絡流的數據交換進行審計,根據審計內容,下發至指定的網絡策略,對該特定網絡流進行控制;
當將流經邊界的特定網絡流串流到SDN控制器時,SDN控制器通過DPI功能還原應用層協議數據,根據預設的指定特征對應用層協議數據進行匹配,實現對邊界網絡包的實時控制。
5.根據權利要求4所述的方法,其特征是,所述根據預設的指定特征對應用層協議數據進行匹配還可以替換為利用人工智能分析模塊通過對接外部的身份系統、策略系統對流程的數據包內容在多個維度進行智能判斷。
6.根據權利要求5所述的方法,其特征是,所述的多個維度包括但不限于網絡層特征、用戶層特征。
7.根據權利要求5所述的方法,其特征是,所述利用人工智能分析模塊對流程的數據包內容在多個維度進行智能判斷具體通過對流經的數據進行學習,推斷出網內的網絡訪問習慣,發現異常訪問情況時報警或阻斷。
8.一種基于SDN技術實現網絡邊界訪問控制的系統,利用權利要求1-7任意一項所述的方法,其特征是,該系統包括:
SDN交換機,部署在用戶域和服務器域之間,用于執行設施對用戶域和服務器域之間的網絡數據交換并進行管控;
SDN控制器,通過控制平面通道與SDN交換機進行通信,用于通過OpenFlow協議對SDN交換機的具體網絡控制行為進行配置;
控制平面通道,設置于SDN交換機與SDN控制器之間,用于實現SDN交換機與SDN控制器的通信,對用戶的網絡數據進行中轉;
數據平面通道,用于對SDN交換機設置策略,監控SDN交換機狀態,控制SDN交換機處理用戶數據流程的層次。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中孚安全技術有限公司;中孚信息股份有限公司;北京中孚泰和科技發展股份有限公司;南京中孚信息技術有限公司,未經中孚安全技術有限公司;中孚信息股份有限公司;北京中孚泰和科技發展股份有限公司;南京中孚信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011032103.8/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種紅景天有效活性成分的提取方法
- 下一篇:一種四咪唑中間體羥鹽的制備方法
