一種可編程的軟件定義網絡安全策略系統，它使網絡管理員能夠以聲明式和組合式的風格編寫程序，定義策略時無需考慮數據平面的工作機制，不同策略組合時不易相互影響。借鑒于一些函數式編程的思想，本系統提供了豐富的模式代數，用于將數據包分類為流量流，并提供了一套用于轉換流的運算符。本發明能對網絡與安全策略描述語言進行解析處理，經過解析模塊、轉化模塊和查詢管理模塊的協同工作將策略轉化為SDN的北向接口調用。本系統提供了一種北向協議，保證了本系統能使用多種已有的SDN控制器向可編程交換機下發配置和本系統與下層SDN控制器的相對獨立性。

技術領域

本發明涉及計算機科學中的網絡技術領域，特別是一種基于軟件定義網絡的可編程的網絡安全策略系統。

背景技術

軟件定義網絡(Software-Defined Networking，SDN)是一種新型網絡架構。它利用OpenFlow協議將路由器的控制平面從數據平面中分離，改以軟件方式實現，從而使得將分散在各個網絡設備上的控制平面進行集中化管理成為可能，該架構可使網絡管理員在不改動硬件設備的前提下，以中央控制方式用程序重新規劃網絡，為控制網絡流量提供了新方案，也為核心網絡和應用創新提供了良好平臺。在SDN中，各種網絡與安全策略表現為一個個運行在控制器上的應用模塊。現有的控制器平臺是通過提供北向API (ApplicationProgramming Interface)支持用戶下發網絡與安全策略。

針對現有SDN的北向API抽象層次低，與底層數據平面的硬件實現耦合性較強，用戶定義策略時需考慮數據平面的工作機制，且不同策略組合時容易相互影響，導致用戶難以描述、測試復雜的網絡策略的問題，定義網絡與安全策略描述語言PyNPPL(PythonNetwork Policy Programming Language)，突破策略即函數的網絡與安全功能抽象模型、基于北向接口的PyNPPL運行框架等技術，實現轉發、保護、檢測和響應等網絡與安全策略的高層次描述和靈活組合，以及策略的高效、準確和自動化的部署。

發明內容

網絡管理員必須對網絡設備進行配置以部署所需的網絡安全策略。然而，用于進行網絡安全編程的大多數接口都是在底層硬件支持的低抽象級別上定義的，從而導致編出來的程序往往很復雜并帶有不易察覺的錯誤和漏洞。本發明基于OpenFlow網絡設計了一種網絡安全策略系統，它使網絡管理員能夠以聲明式和組合式的風格編寫程序，并具有高級抽象級別的模式。借鑒于一些函數式編程的思想，本發明提供了豐富的模式代數，用于將數據包分類為流量流，并提供了一套用于轉換流的運算符。運行時系統有效地管理在交換機中安裝或者取消數據包處理規則的底層細節。本發明還提供了一套PyNPPL運行系統，能對網絡與安全策略描述語言進行解析處理，經過解析模塊、轉化模塊和查詢管理模塊的協同工作將策略轉化為 SDN的北向接口調用。為保證本系統能使用多種已有的SDN控制器向可編程交換機下發配置和本系統與下層SDN控制器的相對獨立性，本發明設計并實現了一種PyNPPL北向協議，提供了POX和RYU等SDN 控制器客戶端接入接口。

附圖說明

圖1可編程的軟件定義網絡安全策略系統架構圖。

具體實施方式

1.系統結構

如附圖1所示，本發明由網絡與安全功能策略、PyNPPL運行框架和SDN控制器組成。其中：①網絡與安全功能策略為用戶使用網絡與安全策略描述語言對網絡與安全功能策略涉及的內容進行抽象描述，生成PyNPPL格式的策略文件。②PyNPPL運行框架負責對PyNPPL策略文件進行解析處理，經過解析模塊、轉化模塊和查詢管理模塊的協同工作，PyNPPL運行系統將策略轉化為相應的北向接口調用，經由PyNPPL 后端生成指定的PyNPPL北向協議，發送給SDN控制器進行處理。③SDN控制器為實現了PyNPPL北向協議的SDN控制器，在本發明中使用了POX和RYU兩種控制器。SDN控制器根據接收到的PyNPPL北向協議的請求，對控制器上的應用進行配置，或者通過南向接口在交換機上配置策略定義的流表規則，從而完成對網絡與安全功能策略的部署。