一種軟件定義網(wǎng)絡(luò)安全實(shí)施方法、系統(tǒng)及控制器的制造方法
【專利摘要】本發(fā)明涉及一種軟件自定義網(wǎng)絡(luò)安全實(shí)施方法����、系統(tǒng)及控制器,屬于網(wǎng)絡(luò)技術(shù)安全領(lǐng)域���。本發(fā)明公開的一種軟件定義網(wǎng)絡(luò)安全實(shí)施方法�,包括:部署在控制器網(wǎng)絡(luò)操作系統(tǒng)(NOS)中的安全核心模塊實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息�;安全應(yīng)用根據(jù)網(wǎng)絡(luò)狀態(tài)信息,分析網(wǎng)絡(luò)安全狀態(tài)����,檢測到網(wǎng)絡(luò)安全威脅時,生成相應(yīng)的安全策略�����;所述安全核心模塊將所述安全應(yīng)用生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則��,安裝或更新至數(shù)據(jù)層交換機(jī)。本發(fā)明還公開了另兩種軟件定義網(wǎng)絡(luò)安全實(shí)施方法����,一種軟件定義網(wǎng)絡(luò)安全實(shí)施系統(tǒng)及控制器。本申請技術(shù)方案有效地解決軟件定義網(wǎng)絡(luò)面臨的安全問題����。
【專利說明】一種軟件定義網(wǎng)絡(luò)安全實(shí)施方法、系統(tǒng)及控制器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)技術(shù)安全領(lǐng)域����,具體是一種軟件自定義網(wǎng)絡(luò)安全實(shí)施方法、系統(tǒng)及控制器�����。
【背景技術(shù)】
[0002]隨著云計(jì)算��、移動互聯(lián)網(wǎng)技術(shù)的興起推動了數(shù)據(jù)中心的快速發(fā)展和變革�����,以IP為基礎(chǔ)的傳統(tǒng)網(wǎng)絡(luò)組織結(jié)構(gòu)復(fù)雜����,管理維護(hù)困難��,運(yùn)營成本高昂�����,變得難以應(yīng)對新需求對靈活性��、擴(kuò)展性、安全性的要求���。為解決傳統(tǒng)網(wǎng)絡(luò)難以滿足的新需求���,軟件自定義網(wǎng)絡(luò)應(yīng)運(yùn)而生。
[0003]軟件定義網(wǎng)絡(luò)重新定義了網(wǎng)絡(luò)架構(gòu)����,將網(wǎng)絡(luò)劃分為應(yīng)用層面、控制層面和數(shù)據(jù)轉(zhuǎn)發(fā)層面���,實(shí)現(xiàn)了網(wǎng)絡(luò)可編程���。基于Openflow的軟件定義網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)實(shí)現(xiàn)的差異����,使得傳統(tǒng)網(wǎng)絡(luò)實(shí)現(xiàn)的網(wǎng)絡(luò)安全服務(wù)�,如入侵檢測��、串行防火墻����、病毒防護(hù)、流量清洗等技術(shù)�,不再完全適用于軟件定義網(wǎng)絡(luò)?���?刂坪蛿?shù)據(jù)層面分離,基于DPI的傳統(tǒng)安全服務(wù)雖然可以檢測網(wǎng)絡(luò)異常���,卻無法制定和實(shí)施有效的響應(yīng)策略���。
[0004]軟件定義網(wǎng)絡(luò)不僅需要應(yīng)對傳統(tǒng)網(wǎng)絡(luò)威脅,其新架構(gòu)也顯現(xiàn)出了新的安全問題:
[0005]策略一致性����,隨著多種不同類型應(yīng)用接入控制層,應(yīng)用控制邏輯復(fù)雜�����,不同應(yīng)用之間會產(chǎn)生策略沖突,使數(shù)據(jù)層網(wǎng)絡(luò)轉(zhuǎn)發(fā)產(chǎn)生紊亂����,以致整個網(wǎng)絡(luò)無法正常工作。
[0006]惡意應(yīng)用�����,控制層為應(yīng)用層開放接口是軟件定義網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)絡(luò)可編程的前提���,但這種開放性可以被惡意應(yīng)用利用,當(dāng)惡意應(yīng)用接入控制層����,會嚴(yán)重影響整個網(wǎng)絡(luò)的安全和穩(wěn)定。
[0007]軟件定義網(wǎng)絡(luò)由控制器集中管理網(wǎng)絡(luò)資源��,掌控全局網(wǎng)絡(luò)拓?fù)湟晥D�����,通過安裝和修改交換機(jī)中的流表規(guī)則�����,動態(tài)改變網(wǎng)絡(luò)視圖,該特征使得軟件定義網(wǎng)絡(luò)可以高效的檢測與應(yīng)對網(wǎng)絡(luò)安全問題�����。
【發(fā)明內(nèi)容】
[0008]本發(fā)明所要解決的技術(shù)問題是��,提供一種軟件自定義網(wǎng)絡(luò)安全實(shí)施方法及系統(tǒng)���,以解決軟件定義網(wǎng)絡(luò)面臨的安全問題�。
[0009]為了解決上述技術(shù)問題���,本發(fā)明公開了一種軟件定義網(wǎng)絡(luò)安全實(shí)施方法���,該方法包括:
[0010]部署在控制器網(wǎng)絡(luò)操作系統(tǒng)(NOS)中的安全核心模塊實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息;
[0011]安全應(yīng)用根據(jù)網(wǎng)絡(luò)狀態(tài)信息�����,分析網(wǎng)絡(luò)安全狀態(tài)��,檢測到網(wǎng)絡(luò)安全威脅時��,生成相應(yīng)的安全策略;
[0012]所述安全核心模塊將所述安全應(yīng)用生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則�,安裝或更新至數(shù)據(jù)層交換機(jī)。
[0013]可選地�,上述方法中,所述安全應(yīng)用根據(jù)網(wǎng)絡(luò)狀態(tài)信息��,分析網(wǎng)絡(luò)安全狀態(tài)�����,生成安全策略的過程包括:
[0014]各類安全應(yīng)用分別針對不同類網(wǎng)絡(luò)安全威脅執(zhí)行各自的安全分析算法�,分析網(wǎng)絡(luò)安全狀態(tài),在該類網(wǎng)絡(luò)安全威脅發(fā)生時��,生成相應(yīng)的安全策略�����。[0015]可選地����,上述方法還包括:
[0016]當(dāng)應(yīng)用層接入的一般應(yīng)用需要安裝或更新流表規(guī)則時��,所述安全核心模塊檢測策略一致性���,若需要安裝或更新的流表規(guī)則與現(xiàn)有網(wǎng)絡(luò)全局策略產(chǎn)生沖突�����,則由相應(yīng)的安全應(yīng)用執(zhí)行策略一致性算法解決沖突�����,其中��,所述策略一致性算法中的權(quán)重采用應(yīng)用優(yōu)先級�。
[0017]可選地,上述方法還包括:
[0018]所述安全核心模塊根據(jù)受信模型建立應(yīng)用優(yōu)先級�����,其中��,安全應(yīng)用具有最高應(yīng)用優(yōu)先等級�����,一般應(yīng)用根據(jù)所屬角色劃分為若干應(yīng)用優(yōu)先級���。
[0019]可選地��,上述方法中��,所述安全核心模塊��,具備認(rèn)證和授權(quán)功能�����,執(zhí)行一般應(yīng)用軟件接入訪問認(rèn)證和授權(quán)服務(wù)�。
[0020]可選地,上述方法中���,所述安全核心模塊����,具備安全服務(wù)匯報(bào)功能�,提供第三方安全異常匯報(bào)接口,兼容基于深層報(bào)文檢測(DPI)的傳統(tǒng)安全服務(wù)�。
[0021]可選地�����,上述方法中��,當(dāng)安全應(yīng)用獲取到第三方安全威脅匯報(bào)時,直接生成對應(yīng)的安全策略�����。
[0022]本發(fā)明還公開了一種軟件定義網(wǎng)絡(luò)安全實(shí)施系統(tǒng)��,該系統(tǒng)包括部署在控制器NOS中的安全核心模塊��,部署在應(yīng)用層的安全應(yīng)用程序集����,其中:
[0023]所述安全核心模塊,實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息����,以及將所述安全應(yīng)用程序集生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則,安裝或更新至數(shù)據(jù)層交換機(jī)�����;
[0024]所述安全應(yīng)用程序集���,根據(jù)網(wǎng)絡(luò)狀態(tài)信息���,分析網(wǎng)絡(luò)安全狀態(tài)�,在檢測到網(wǎng)絡(luò)安全威脅時�,生成安全策略。
[0025]可選地�����,上述系統(tǒng)中����,所述安全應(yīng)用程序集包括多個安全應(yīng)用單元,每個安全應(yīng)用單元��,針對一類網(wǎng)絡(luò)安全威脅執(zhí)行安全分析算法���,分析網(wǎng)絡(luò)安全狀態(tài)��,并在該類網(wǎng)絡(luò)安全威脅產(chǎn)生時生成相應(yīng)的安全策略����,以消除該類網(wǎng)絡(luò)安全威脅����。
[0026]可選地,上述系統(tǒng)中���,所述安全核心模塊包括:
[0027]采集單元����,實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息�;
[0028]流表項(xiàng)規(guī)則轉(zhuǎn)換單元,將所述安全應(yīng)用程序集生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則��,安裝或更新至數(shù)據(jù)層交換機(jī)���。
[0029]可選地����,上述系統(tǒng)中�����,所述安全核心模塊還包括:
[0030]策略一致性檢測單元�����,在一般應(yīng)用需要安裝或更新流表規(guī)則時�����,檢測策略一致性并在需要安裝或更新的流表規(guī)則與現(xiàn)有網(wǎng)絡(luò)全局策略產(chǎn)生沖突時,控制相應(yīng)的安全應(yīng)用單元執(zhí)行策略一致性算法解決沖突����,其中,所述策略一致性算法中的權(quán)重采用應(yīng)用優(yōu)先級����。
[0031]可選地,上述系統(tǒng)中�����,所述安全核心模塊還包括:
[0032]應(yīng)用優(yōu)先級設(shè)置單元�����,根據(jù)受信模型建立應(yīng)用優(yōu)先級���,其中����,安全應(yīng)用具有最高應(yīng)用優(yōu)先等級�,一般應(yīng)用根據(jù)所屬角色劃分為若干應(yīng)用優(yōu)先級���。
[0033]可選地,上述系統(tǒng)中����,所述安全核心模塊還包含:
[0034]認(rèn)證和授權(quán)邏輯單元����,執(zhí)行一般應(yīng)用軟件接入訪問認(rèn)證和授權(quán)服務(wù)。
[0035]可選地���,上述系統(tǒng)中�,所述安全核心模塊還包含:
[0036]安全服務(wù)匯報(bào)邏輯單元����,提供第三方安全異常匯報(bào)接口,兼容基于DPI的傳統(tǒng)安全服務(wù)�。
[0037]本發(fā)明還公開了一種軟件定義網(wǎng)絡(luò)安全實(shí)施方法,該方法包括:[0038]部署在控制器網(wǎng)絡(luò)操作系統(tǒng)(NOS)中的安全核心模塊實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息�����,將所檢測到的網(wǎng)絡(luò)狀態(tài)信息發(fā)送給應(yīng)用層的安全應(yīng)用��;
[0039]當(dāng)所述安全應(yīng)用生成安全策略時,所述安全核心模塊將所生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則�,安裝或更新至數(shù)據(jù)層交換機(jī)。
[0040]可選地���,上述方法還包括:
[0041]當(dāng)應(yīng)用層接入的一般應(yīng)用需要安裝或更新流表規(guī)則時����,所述安全核心模塊檢測策略一致性�����,若需要安裝或更新的流表規(guī)則與現(xiàn)有網(wǎng)絡(luò)全局策略產(chǎn)生沖突��,則控制相應(yīng)的安全應(yīng)用執(zhí)行策略一致性算法解決沖突���,其中��,所述策略一致性算法中的權(quán)重采用應(yīng)用優(yōu)先級�����。
[0042]本發(fā)明還公開了一種軟件定義網(wǎng)絡(luò)安全實(shí)施方法���,該方法包括:
[0043]應(yīng)用層的安全應(yīng)用實(shí)時獲取網(wǎng)絡(luò)狀態(tài)信息�����,根據(jù)所獲取的網(wǎng)絡(luò)狀態(tài)信息�����,分析網(wǎng)絡(luò)安全狀態(tài)��;
[0044]在檢測到網(wǎng)絡(luò)安全威脅時,生成相應(yīng)的安全策略�。
[0045]可選地,上述方法中����,所述應(yīng)用層的安全應(yīng)用實(shí)時獲取網(wǎng)絡(luò)狀態(tài)信息指:
[0046]所述安全應(yīng)用接收部署在控制器網(wǎng)絡(luò)操作系統(tǒng)(NOS)中的安全核心模塊發(fā)送的網(wǎng)絡(luò)狀態(tài)信息。
[0047]可選地�,上述方法中,所述安全應(yīng)用根據(jù)網(wǎng)絡(luò)狀態(tài)信息���,分析網(wǎng)絡(luò)安全狀態(tài)�����,生成安全策略的過程包括:
[0048]各類安全應(yīng)用分別針對不同類網(wǎng)絡(luò)安全威脅執(zhí)行各自的安全分析算法��,分析網(wǎng)絡(luò)安全狀態(tài)�,在該類網(wǎng)絡(luò)安全威脅發(fā)生時,生成相應(yīng)的安全策略�����。
[0049]本發(fā)明還公開了一種控制器�����,包括:
[0050]采集單元����,實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息,發(fā)送給應(yīng)用層的安全應(yīng)用���;
[0051]流表項(xiàng)規(guī)則轉(zhuǎn)換單元�����,將安全應(yīng)用生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則��,安裝或更新至數(shù)據(jù)層交換機(jī)����。
[0052]可選地,上述控制器�����,還包括:
[0053]策略一致性檢測單元����,在一般應(yīng)用需要安裝或更新流表規(guī)則時,檢測策略一致性并在需要安裝或更新的流表規(guī)則與現(xiàn)有網(wǎng)絡(luò)全局策略產(chǎn)生沖突時����,控制相應(yīng)的安全應(yīng)用執(zhí)行策略一致性算法解決沖突����,其中,所述策略一致性算法中的權(quán)重采用應(yīng)用優(yōu)先級��。
[0054]可選地�����,上述控制器��,還包括:
[0055]應(yīng)用優(yōu)先級設(shè)置單元,根據(jù)受信模型建立應(yīng)用優(yōu)先級���,其中�,安全應(yīng)用具有最高應(yīng)用優(yōu)先等級��,一般應(yīng)用根據(jù)所屬角色劃分為若干應(yīng)用優(yōu)先級�。
[0056]可選地,上述控制器����,還包含:
[0057]認(rèn)證和授權(quán)邏輯單元,執(zhí)行一般應(yīng)用軟件接入訪問認(rèn)證和授權(quán)服務(wù)�。
[0058]可選地,上述控制器���,還包含:
[0059]安全服務(wù)匯報(bào)邏輯單元�,提供第三方安全異常匯報(bào)接口����,兼容基于DPI的傳統(tǒng)安全服務(wù)。
[0060]本申請技術(shù)方案針對軟件定義網(wǎng)絡(luò)特性�����,定制了一種軟件定義網(wǎng)絡(luò)安全實(shí)施方案,在控制層NOS部署安全核心模塊�����,將網(wǎng)絡(luò)安全作為獨(dú)立切面�,抽象出安全接口提供給上層安全應(yīng)用,安全應(yīng)用分析網(wǎng)絡(luò)安全狀態(tài)并制定安全策略����,從而有效地解決軟件定義網(wǎng)絡(luò)面臨的安全問題。
【專利附圖】
【附圖說明】
[0061]圖1為本實(shí)施例提供的軟件定義網(wǎng)絡(luò)安全實(shí)施流程圖����;
[0062]圖2為本實(shí)施例提供的軟件定義網(wǎng)絡(luò)安全實(shí)施系統(tǒng)架構(gòu)示意圖;
[0063]圖3為一般應(yīng)用接入認(rèn)證授權(quán)流程圖�����。
【具體實(shí)施方式】
[0064]為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白�����,下文將結(jié)合附圖對本發(fā)明技術(shù)方案作進(jìn)一步詳細(xì)說明。需要說明的是�����,在不沖突的情況下�,本申請的實(shí)施例和實(shí)施例中的特征可以任意相互組合。
[0065]實(shí)施例1
[0066]本申請發(fā)明人提出���,針對軟件定義網(wǎng)絡(luò)特性�����,可以在控制層NOS部署安全核心模塊����,將網(wǎng)絡(luò)安全作為獨(dú)立切面�����,抽象出安全接口提供給上層安全應(yīng)用�����,安全應(yīng)用分析網(wǎng)絡(luò)安全狀態(tài)并制定安全策略�����。
[0067]基于上述思想,本實(shí)施例提供一種軟件定義網(wǎng)絡(luò)安全實(shí)施方法��,如圖1所示�,包括如下操作:
[0068]步驟100,在控制器NOS中部署安全核心模塊�,將網(wǎng)絡(luò)安全作為獨(dú)立切面,抽象出安全接口提供給上層安全應(yīng)用�,安全核心模塊檢測網(wǎng)絡(luò)狀態(tài)信息;
[0069]可選地����,還可以提供一般應(yīng)用接入認(rèn)證和授權(quán)服務(wù)。
[0070]步驟200���,安全應(yīng)用根據(jù)網(wǎng)絡(luò)狀態(tài)信息���,分析絡(luò)安全狀態(tài),在檢測到網(wǎng)絡(luò)安全威脅時�,生成相應(yīng)的安全策略。
[0071]步驟300��,安全核心模塊將安全應(yīng)用生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則���,安裝或更新至數(shù)據(jù)層交換機(jī)�。
[0072]其中����,安全核心模塊可以屏蔽數(shù)據(jù)層交換機(jī)操作和控制層具體實(shí)現(xiàn),為安全應(yīng)用提供安全接口�����。安全核心模塊實(shí)時監(jiān)測網(wǎng)絡(luò)資源及設(shè)備運(yùn)行狀況��,為安全應(yīng)用提供安全策略制定依據(jù)�。
[0073]安全核心模塊提供第三方安全異常匯報(bào)接口,以兼容基于DPI的傳統(tǒng)安全服務(wù)�����,傳統(tǒng)入侵檢測服務(wù)以入侵檢測消息交換格式向安全核心模塊提交入侵檢測告警�,作為網(wǎng)絡(luò)運(yùn)行異常信息提供至應(yīng)用層。
[0074]另外���,具體安全應(yīng)用根據(jù)功能需求不同��,針對性獲取并分析特定信息數(shù)據(jù)�����。也就是說�,安全應(yīng)用根據(jù)安全核心模塊提供網(wǎng)絡(luò)狀態(tài)信息,不同安全應(yīng)用類分別針對不同類網(wǎng)絡(luò)安全威脅執(zhí)行各自安全分析算法����,分析網(wǎng)絡(luò)安全狀態(tài),若檢測出某一類網(wǎng)絡(luò)安全威脅異常發(fā)生����,則制定相應(yīng)的安全策略。例如�����,反拒絕服務(wù)安全應(yīng)用��,分析網(wǎng)絡(luò)中是否存在某主機(jī)端口遭受拒絕服務(wù)攻擊���,如判斷為是����,則生成并下發(fā)相應(yīng)數(shù)據(jù)流重定向保護(hù)安全策略��。
[0075]而安全策略經(jīng)安全核心模塊轉(zhuǎn)換成流表規(guī)則安裝至數(shù)據(jù)交換機(jī)�,實(shí)現(xiàn)數(shù)據(jù)包丟棄、重定向等操作����,動態(tài)改變網(wǎng)絡(luò)拓?fù)洌綦x威脅因素�����,達(dá)到防護(hù)網(wǎng)絡(luò)安全的目的�����。通過部署不通安全應(yīng)用����,可以靈活的實(shí)施多樣化、差異化的安全策略�。下面再說明一下安全核心模塊執(zhí)行NOS —般應(yīng)用軟件接入訪問認(rèn)證和授權(quán)服務(wù)的過程,該過程包括:[0076]一般應(yīng)用在接入控制器NOS前��,需要向安全核心模塊發(fā)起授權(quán)申請���,申請中攜帶認(rèn)證信息��。
[0077]安全核心模塊驗(yàn)證申請認(rèn)證信息��,認(rèn)證通過則頒發(fā)授權(quán)令牌��,令牌中攜帶個人標(biāo)示�����、角色優(yōu)先等級����、令牌有效期等信息。
[0078]—般應(yīng)用嘗試接入控制器以及提交策略規(guī)則時��,需要出示授權(quán)令牌����,當(dāng)令牌驗(yàn)證通過后其相關(guān)行為權(quán)限才能被控制器NOS授權(quán)執(zhí)行。
[0079]安全核心模塊根據(jù)受信模型為接入控制器的應(yīng)用建立優(yōu)先等級����,安全應(yīng)用擁有最高優(yōu)先等級,一般應(yīng)用根據(jù)所屬角色劃分為若干優(yōu)先級�����。安全等級作為一致性沖突決策的
權(quán)重之一。
[0080]安全核心模塊運(yùn)行策略一致性檢測服務(wù)�����,當(dāng)需要安裝新流表規(guī)則時��,檢測流表規(guī)則策略一致性���,若產(chǎn)生沖突,安全應(yīng)用執(zhí)行策略一致性決策算法�����,合理流表規(guī)則被成功安裝至交換機(jī)���。
[0081]實(shí)施例2
[0082]本實(shí)施例提供一種軟件定義網(wǎng)絡(luò)安全實(shí)施系統(tǒng)���,通過在控制層NOS部署安全核心模塊,將軟件定義網(wǎng)絡(luò)安全切面獨(dú)立呈現(xiàn)��,為應(yīng)用層安全應(yīng)用程序提供安全接口�����。
[0083]如圖2所示,軟件定義網(wǎng)絡(luò)安全實(shí)施系統(tǒng)包括部署在控制器NOS中的安全核心模塊����,安全核心模塊屏蔽數(shù)據(jù)層交換機(jī)操作和控制層具體實(shí)現(xiàn),實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息(包括網(wǎng)絡(luò)資源及設(shè)備運(yùn)行狀況)�,為安全應(yīng)用提供專屬安全接口,將安全應(yīng)用程序集生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則����,安裝或更新至數(shù)據(jù)層交換機(jī)。
[0084]以及安全應(yīng)用程序集�����,根據(jù)網(wǎng)絡(luò)狀態(tài)信息�����,分析網(wǎng)絡(luò)安全狀態(tài)����,在檢測到網(wǎng)絡(luò)安全威脅時,生成安全策略����。
[0085]具體地�����,安全應(yīng)用程序集包括多個安全應(yīng)用單元�����,每個安全應(yīng)用單元���,針對一類網(wǎng)絡(luò)安全威脅執(zhí)行安全分析算法�,分析網(wǎng)絡(luò)安全狀態(tài),并在該類網(wǎng)絡(luò)安全威脅產(chǎn)生時生成相應(yīng)的安全策略��,以消除該類網(wǎng)絡(luò)安全威脅�����。
[0086]本實(shí)施例�����,安全核心模塊包含:
[0087]采集單元���,實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息���;
[0088]流表項(xiàng)規(guī)則轉(zhuǎn)換單元��,將安全應(yīng)用程序集生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則����,安裝或更新至數(shù)據(jù)層交換機(jī)�����。
[0089]優(yōu)化地���,安全核心模塊除了包括有上述采集單元和流表項(xiàng)規(guī)則轉(zhuǎn)換單元外�����,還可以包括策略一致性檢測邏輯單元����,在一般應(yīng)用需要安裝或更新流表規(guī)則時�,檢測策略一致性;
[0090]處理單元���,當(dāng)需要安裝或更新的流表規(guī)則與現(xiàn)有網(wǎng)絡(luò)全局策略產(chǎn)生沖突�����,控制相應(yīng)的安全應(yīng)用單元執(zhí)行策略一致性算法解決沖突����,其中,策略一致性算法中的權(quán)重采用應(yīng)用優(yōu)先級����。
[0091]相應(yīng)的,安全核心模塊可以增加應(yīng)用優(yōu)先級設(shè)置單元����,該單元根據(jù)受信模型建立應(yīng)用優(yōu)先級��,其中��,安全應(yīng)用具有最高應(yīng)用優(yōu)先等級���,一般應(yīng)用根據(jù)所屬角色劃分為若干應(yīng)用優(yōu)先級�����。
[0092]為兼容基于DPI的傳統(tǒng)安全服務(wù)����,安全核心模塊還可以包含安全服務(wù)匯報(bào)邏輯單元,提供第三方安全異常匯報(bào)接口��,傳統(tǒng)入侵檢測服務(wù)以入侵檢測消息交換格式向安全核心模塊提交入侵檢測告警��,作為網(wǎng)絡(luò)運(yùn)行異常信息提供至應(yīng)用層����。
[0093]控制層對應(yīng)用層接口的開放性,杜絕惡意應(yīng)用接入是保證網(wǎng)絡(luò)安全的必要因素之一���,因此上述安全核心模塊還可以包含認(rèn)證和授權(quán)邏輯單元��,執(zhí)行一般應(yīng)用軟件接入訪問認(rèn)證和授權(quán)服務(wù)�����。該單元執(zhí)行一般應(yīng)用軟件接入訪問認(rèn)證和授權(quán)服務(wù)的過程如圖3所示��,包括:
[0094]一般應(yīng)用在接入控制器NOS前�����,需要向安全核心模塊發(fā)起授權(quán)申請�����,申請中攜帶認(rèn)證信息�����。
[0095]安全核心模塊驗(yàn)證申請認(rèn)證信息��,認(rèn)證通過則頒發(fā)授權(quán)令牌���,令牌中攜帶個人標(biāo)示����、角色優(yōu)先等級���、令牌有效期等信息。
[0096]一般應(yīng)用嘗試接入控制器以及提交策略規(guī)則時�,需要出示授權(quán)令牌,當(dāng)令牌驗(yàn)證通過后其相關(guān)行為權(quán)限才能被控制器NOS授權(quán)執(zhí)行�。
[0097]需要說明的是,本實(shí)施例還提供一種控制器�����,該控制器包括有上述安全核心模塊的所有功能。具體地���,該控制器至少包括:
[0098]采集單元�����,實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息�����,發(fā)送給應(yīng)用層的安全應(yīng)用�;
[0099]流表項(xiàng)規(guī)則轉(zhuǎn)換單元����,將安全應(yīng)用生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則,安裝或更新至數(shù)據(jù)層交換機(jī)��。
[0100]優(yōu)選地�,上述控制器還可以包括策略一致性檢測單元,該單元在一般應(yīng)用需要安裝或更新流表規(guī)則時��,檢測策略一致性并在需要安裝或更新的流表規(guī)則與現(xiàn)有網(wǎng)絡(luò)全局策略產(chǎn)生沖突時�����,控制相應(yīng)的安全應(yīng)用執(zhí)行策略一致性算法解決沖突,其中��,所述策略一致性算法中的權(quán)重采用應(yīng)用優(yōu)先級���。
[0101]另外�����,基于上述控制器的結(jié)構(gòu)��,還可以包括應(yīng)用優(yōu)先級設(shè)置單元�,主要根據(jù)受信模型建立應(yīng)用優(yōu)先級�,其中,安全應(yīng)用具有最高應(yīng)用優(yōu)先等級�����,一般應(yīng)用根據(jù)所屬角色劃分為若干應(yīng)用優(yōu)先級����。
[0102]由于一般應(yīng)用在接入控制器前����,還可能會發(fā)起授權(quán)申請��,因此上述控制器還可以包含:認(rèn)證和授權(quán)邏輯單元��,用于執(zhí)行一般應(yīng)用軟件接入訪問認(rèn)證和授權(quán)服務(wù)����。
[0103]相應(yīng)地�����,為了兼容基于DPI的傳統(tǒng)安全服務(wù)����,優(yōu)選方案提出,控制器還能包括安全服務(wù)匯報(bào)邏輯單元���,用于提供第三方安全異常匯報(bào)接口���。
[0104]從上述實(shí)施例可以看出,本申請技術(shù)方案中數(shù)據(jù)轉(zhuǎn)發(fā)層應(yīng)用新的轉(zhuǎn)發(fā)規(guī)則���,動態(tài)改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)��,實(shí)現(xiàn)對網(wǎng)絡(luò)威脅隔離或重定向�����,達(dá)到網(wǎng)絡(luò)安全防護(hù)的目的�����。并且�,通過在應(yīng)用層面部署不同安全應(yīng)用,可實(shí)現(xiàn)多樣性�、差異化的網(wǎng)絡(luò)安全策略,以靈活應(yīng)對不同網(wǎng)絡(luò)安全需求�����。
[0105]本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成�,所述程序可以存儲于計(jì)算機(jī)可讀存儲介質(zhì)中,如只讀存儲器��、磁盤或光盤等�。可選地��,上述實(shí)施例的全部或部分步驟也可以使用一個或多個集成電路來實(shí)現(xiàn)。相應(yīng)地�����,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn)���,也可以采用軟件功能模塊的形式實(shí)現(xiàn)。本申請不限制于任何特定形式的硬件和軟件的結(jié)合����。
[0106]以上所述,僅為本發(fā)明的較佳實(shí)例而已�,并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)�,所做的任何修改、等同替換��、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種軟件定義網(wǎng)絡(luò)安全實(shí)施方法����,其特征在于�����,該方法包括: 部署在控制器網(wǎng)絡(luò)操作系統(tǒng)(NOS)中的安全核心模塊實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息�����; 安全應(yīng)用根據(jù)網(wǎng)絡(luò)狀態(tài)信息�����,分析網(wǎng)絡(luò)安全狀態(tài)��,檢測到網(wǎng)絡(luò)安全威脅時����,生成相應(yīng)的安全策略��; 所述安全核心模塊將所述安全應(yīng)用生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則����,安裝或更新至數(shù)據(jù)層交換機(jī)。
2.如權(quán)利要求1所述的方法�,其特征在于,所述安全應(yīng)用根據(jù)網(wǎng)絡(luò)狀態(tài)信息��,分析網(wǎng)絡(luò)安全狀態(tài),生成安全策略的過程包括: 各類安全應(yīng)用分別針對不同類網(wǎng)絡(luò)安全威脅執(zhí)行各自的安全分析算法���,分析網(wǎng)絡(luò)安全狀態(tài)����,在該類網(wǎng)絡(luò)安全威脅發(fā)生時��,生成相應(yīng)的安全策略����。
3.如權(quán)利要求1所述的方法��,其特征在于�,該方法還包括: 當(dāng)應(yīng)用層接入的一般應(yīng)用需要安裝或更新流表規(guī)則時,所述安全核心模塊檢測策略一致性�����,若需要安裝或更新的流表規(guī)則與現(xiàn)有網(wǎng)絡(luò)全局策略產(chǎn)生沖突��,則由相應(yīng)的安全應(yīng)用執(zhí)行策略一致性算法解決沖突����,其中��,所述策略一致性算法中的權(quán)重采用應(yīng)用優(yōu)先級���。
4.如權(quán)利要求3所述的方法,其特征在于�����,該方法還包括: 所述安全核心模塊根據(jù)受信模型建立應(yīng)用優(yōu)先級�����,其中����,安全應(yīng)用具有最高應(yīng)用優(yōu)先等級,一般應(yīng)用根據(jù)所屬角色劃分為若干應(yīng)用優(yōu)先級�。
5.如權(quán)利要求1至4任一項(xiàng)所述的方法,其特征在于����,` 所述安全核心模塊,具備認(rèn)證和授權(quán)功能��,執(zhí)行一般應(yīng)用軟件接入訪問認(rèn)證和授權(quán)服務(wù)����。
6.如權(quán)利要求5所述的方法�����,其特征在于�, 所述安全核心模塊����,具備安全服務(wù)匯報(bào)功能,提供第三方安全異常匯報(bào)接口�,兼容基于深層報(bào)文檢測(DPI)的傳統(tǒng)安全服務(wù)��。
7.如權(quán)利要求6所述的方法���,其特征在于��, 當(dāng)安全應(yīng)用獲取到第三方安全威脅匯報(bào)時�����,直接生成對應(yīng)的安全策略����。
8.一種軟件定義網(wǎng)絡(luò)安全實(shí)施系統(tǒng),其特征在于�,該系統(tǒng)包括部署在控制器NOS中的安全核心模塊,部署在應(yīng)用層的安全應(yīng)用程序集�,其中: 所述安全核心模塊,實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息���,以及將所述安全應(yīng)用程序集生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則��,安裝或更新至數(shù)據(jù)層交換機(jī)�����; 所述安全應(yīng)用程序集����,根據(jù)網(wǎng)絡(luò)狀態(tài)信息���,分析網(wǎng)絡(luò)安全狀態(tài)�����,在檢測到網(wǎng)絡(luò)安全威脅時��,生成安全策略����。
9.如權(quán)利要求8所述的系統(tǒng),其特征在于�, 所述安全應(yīng)用程序集包括多個安全應(yīng)用單元,每個安全應(yīng)用單元����,針對一類網(wǎng)絡(luò)安全威脅執(zhí)行安全分析算法,分析網(wǎng)絡(luò)安全狀態(tài)��,并在該類網(wǎng)絡(luò)安全威脅產(chǎn)生時生成相應(yīng)的安全策略�����,以消除該類網(wǎng)絡(luò)安全威脅����。
10.如權(quán)利要求9所述的系統(tǒng)�,其特征在于,所述安全核心模塊包括: 采集單元����,實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息; 流表項(xiàng)規(guī)則轉(zhuǎn)換單元���,將所述安全應(yīng)用程序集生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則���,安裝或更新至數(shù)據(jù)層交換機(jī)���。
11.如權(quán)利要求10所述的系統(tǒng),其特征在于�,所述安全核心模塊還包括: 策略一致性檢測單元,在一般應(yīng)用需要安裝或更新流表規(guī)則時���,檢測策略一致性并在需要安裝或更新的流表規(guī)則與現(xiàn)有網(wǎng)絡(luò)全局策略產(chǎn)生沖突時����,控制相應(yīng)的安全應(yīng)用單元執(zhí)行策略一致性算法解決沖突�,其中,所述策略一致性算法中的權(quán)重采用應(yīng)用優(yōu)先級��。
12.如權(quán)利要求11所述的系統(tǒng)���,其特征在于��,所述安全核心模塊還包括: 應(yīng)用優(yōu)先級設(shè)置單元�����,根據(jù)受信模型建立應(yīng)用優(yōu)先級����,其中,安全應(yīng)用具有最高應(yīng)用優(yōu)先等級���,一般應(yīng)用根據(jù)所屬角色劃分為若干應(yīng)用優(yōu)先級�。
13.如權(quán)利要求8至12任一項(xiàng)所述的系統(tǒng)����,其特征在于,所述安全核心模塊還包含: 認(rèn)證和授權(quán)邏輯單元����,執(zhí)行一般應(yīng)用軟件接入訪問認(rèn)證和授權(quán)服務(wù)。
14.如權(quán)利要求13所述的系統(tǒng)�,其特征在于,所述安全核心模塊還包含: 安全服務(wù)匯報(bào)邏輯單元����,提供第三方安全異常匯報(bào)接口��,兼容基于DPI的傳統(tǒng)安全服務(wù)。
15.一種軟件定義網(wǎng)絡(luò)安全實(shí)施方法�����,其特征在于����,該方法包括: 部署在控制器網(wǎng)絡(luò)操作系統(tǒng)(NOS)中的安全核心模塊實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息,將所檢測到的網(wǎng)絡(luò)狀態(tài)信息發(fā) 當(dāng)所述安全應(yīng)用生成安全策略時���,所述安全核心模塊將所生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則��,安裝或更新至數(shù)據(jù)層交換機(jī)���。
16.如權(quán)利要求15所述的方法,其特征在于�,該方法還包括: 當(dāng)應(yīng)用層接入的一般應(yīng)用需要安裝或更新流表規(guī)則時,所述安全核心模塊檢測策略一致性����,若需要安裝或更新的流表規(guī)則與現(xiàn)有網(wǎng)絡(luò)全局策略產(chǎn)生沖突,則控制相應(yīng)的安全應(yīng)用執(zhí)行策略一致性算法解決沖突�����,其中,所述策略一致性算法中的權(quán)重采用應(yīng)用優(yōu)先級���。
17.一種軟件定義網(wǎng)絡(luò)安全實(shí)施方法���,其特征在于,該方法包括: 應(yīng)用層的安全應(yīng)用實(shí)時獲取網(wǎng)絡(luò)狀態(tài)信息�����,根據(jù)所獲取的網(wǎng)絡(luò)狀態(tài)信息����,分析網(wǎng)絡(luò)安全狀態(tài); 在檢測到網(wǎng)絡(luò)安全威脅時���,生成相應(yīng)的安全策略���。
18.如權(quán)利要求17所述的方法,其特征在于����,所述應(yīng)用層的安全應(yīng)用實(shí)時獲取網(wǎng)絡(luò)狀態(tài)息指: 所述安全應(yīng)用接收部署在控制器網(wǎng)絡(luò)操作系統(tǒng)(NOS)中的安全核心模塊發(fā)送的網(wǎng)絡(luò)狀態(tài)息。
19.如權(quán)利要求17或18所述的方法����,其特征在于,所述安全應(yīng)用根據(jù)網(wǎng)絡(luò)狀態(tài)信息�����,分析網(wǎng)絡(luò)安全狀態(tài)��,生成安全策略的過程包括: 各類安全應(yīng)用分別針對不同類網(wǎng)絡(luò)安全威脅執(zhí)行各自的安全分析算法�,分析網(wǎng)絡(luò)安全狀態(tài),在該類網(wǎng)絡(luò)安全威脅發(fā)生時�����,生成相應(yīng)的安全策略��。
20.—種控制器,其特征在于,包括: 采集單元�,實(shí)時檢測網(wǎng)絡(luò)狀態(tài)信息,發(fā)送給應(yīng)用層的安全應(yīng)用����; 流表項(xiàng)規(guī)則轉(zhuǎn)換單元,將安全應(yīng)用生成的安全策略轉(zhuǎn)換成流表項(xiàng)規(guī)則���,安裝或更新至數(shù)據(jù)層交換機(jī)����。
21.如權(quán)利要求20所述的控制器,其特征在于����,還包括: 策略一致性檢測單元,在一般應(yīng)用需要安裝或更新流表規(guī)則時�����,檢測策略一致性并在需要安裝或更新的流表規(guī)則與現(xiàn)有網(wǎng)絡(luò)全局策略產(chǎn)生沖突時�����,控制相應(yīng)的安全應(yīng)用執(zhí)行策略一致性算法解決沖突���,其中�����,所述策略一致性算法中的權(quán)重采用應(yīng)用優(yōu)先級�����。
22.如權(quán)利要求21所述的控制器��,其特征在于��,還包括: 應(yīng)用優(yōu)先級設(shè)置單元��,根據(jù)受信模型建立應(yīng)用優(yōu)先級����,其中���,安全應(yīng)用具有最高應(yīng)用優(yōu)先等級����,一般應(yīng)用根據(jù)所屬角色劃分為若干應(yīng)用優(yōu)先級���。
23.如權(quán)利要求20至22任一項(xiàng)所述的控制器��,其特征在于�����,還包含: 認(rèn)證和授權(quán)邏輯單元�����,執(zhí)行一般應(yīng)用軟件接入訪問認(rèn)證和授權(quán)服務(wù)�。
24.如權(quán)利要求23所述的控制器,其特征在于�����,還包含: 安全服務(wù)匯報(bào)邏輯單元�����,提供第三方安全異常匯報(bào)接口�����,兼容基于DPI的傳統(tǒng)安全服務(wù)���。`
【文檔編號】H04L29/06GK103607379SQ201310539052
【公開日】2014年2月26日 申請日期:2013年11月4日 優(yōu)先權(quán)日:2013年11月4日
【發(fā)明者】張玉軍 申請人:中興通訊股份有限公司