[发明专利]数据流处理方法及系统、控制器、交换设备

说明书

技术领域

本发明实施例涉及通信技术，尤其涉及数据流处理方法及系统、控制器、交换设备。

背景技术

传统网络架构中，通常包括若干路由交换设备，每个路由交换设备可以连接若干主机设备，所有路由交换设备均直接或间接与网关设备相连，由网关设备与外部网络连接。在对网络中的流量安全性进行检测时，可以在网络的关键路径处部署流量检测设备。例如，对于一个局域网或者公司网，通常可以在网关设备与外部网络的连接路径上部署流量检测设备，以此检测局域网或者公司网的整体流量安全性。

随着通信技术的发展，出现了一种新型的网络架构，即软件定义网络（Software Defined Network,简称SDN），也被称为可编程网络，SDN网络将网络设备控制平面与数据转发平面分离开来，是一种新的网络控制平面的实现方法，SDN网络不仅能够降低网络复杂度、满足网络虚拟化和云计算的要求，还能够减少数据转发平面设备的复杂度，因此，是新型网络架构的发展趋势。

发明人在对现有技术的研究过程发现，如果在SDN网络中采用传统网络的流量检测方法，则仅能检测网络整体流量的安全性，而难以对网络内部交换设备之间所传输流量的安全性进行检测，从而导致网络流量检测不准确。

发明内容

本发明实施例的目的在于提供一种数据流处理方法及系统、控制器、交换设备，解决SDN网络中无法检测交换设备接收或转发的数据流是否安全的问题。

第一方面，本发明实施例提供一种数据流处理方法，包括：

接收软件定义网络中任一交换设备发送的数据流的第一特征信息，根据预设安全规则和所述第一特征信息，检测所述数据流是否安全，获得检测结果；

若所述检测结果为安全，则为所述数据流制定转发策略，向所述交换设备下发所述转发策略，以供所述交换设备根据所述转发策略对所述数据流进行转发处理；

若所述检测结果为不安全，则生成第一指示，并向所述交换设备下发所述第一指示，所述第一指示用以指示所述交换设备丢弃所述数据流。

结合第一方面，在第一方面的第一种可能的实现方式中，所述预设安全规则包括：

禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。

结合第一方面，在第一方面的第二种可能的实现方式中，所述第一特征信息为所述数据流首报文的包头，或所述数据流的首报文，或所述数据流中包括首报文在内的多个数据包。

结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式中，在第一方面的第三种可能的实现方式中，若所述检测结果为暂时无法确认是否安全，则向所述交换设备下发第二指示，所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息。

结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述第二特征信息为所述数据流的首报文，或所述数据流中包括首报文在内的多个数据包，或所述数据流的全部数据包。

第二方面，本发明实施例提供一种数据流处理方法，包括：

接收数据流，判断存储的转发策略表中是否存在所述数据流对应的转发策略；

若所述转发策略表中不存在对应的转发策略，则向软件定义网络中的控制器发送所述数据流的第一特征信息；

接收所述控制器下发的处理指示，所述处理指示是所述控制器根据预设安全规则、以及所述第一特征信息检测所述数据流是否安全后，根据检测结果下发的；

若所述处理指示为转发策略，则根据所述转发策略对所述数据流进行转发处理，所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的；

若所述处理指示为用以指示所述交换设备丢弃所述数据流的第一指示，则根据所述第一指示丢弃所述数据流。

结合第二方面，在第二方面的第一种可能的实现方式中，所述预设安全规则包括：

禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。

结合第二方面，在第二方面的第二种可能的实现方式中，所述数据流的第一特征信息为所述数据流首报文的包头，或所述数据流的首报文，或所述数据流中包括首报文在内的多个数据包。

结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，还包括：

若所述处理指示为用以指示所述交换设备发送所述数据流的第二特征信息的第二指示，则向所述控制器发送所述数据流的第二特征信息。