[发明专利]软件定义网安全控制系统和控制方法

权利要求书

1.一种软件定义网安全控制系统，其特征在于，包含业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口，

所述工作数据库中包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表；

所述数据包过滤规则，是预先设定的数据包的源、目的地址，源、目的端口，协议类型信息；

所述资源统计参数，是针对业务类型设置的对数据层资源进行统计的规则；

每一个所述无冲突策略集对应一种安全应用，包含至少1个策略；所述无冲突策略集，是对策略进行边界冲突检测形成；所述冲突，包含资源使用冲突、包过滤规则边界冲突；所述边界冲突检测，包括包过滤规则边界冲突检测和资源使用冲突检测；所述资源使用冲突，是指需要执行的多个业务需求在进行资源分配时占用相同的资源，导致无法同时满足；所述包过滤规则边界冲突，是指多条规则的条件有交集，而执行的动作不一致；

所述策略优先级列表包含策略的执行顺序；

所述业务处理模块解析业务请求；对于涉及资源统计参数的策略，查询所述控制模块所提供的资源统计参数值，判断域内资源是否可以满足该业务的需求，并将所述业务请求发送至所述策略模块；

所述业务处理模块包含北向接口，用于输入所述业务请求，返回业务执行结果；

所述策略模块根据所述数据包过滤规则检测业务的安全性，综合业务所涉及的资源统计参数值，更新策略优先级列表；

所述策略模块分别与所述业务处理模块和所述控制模块相连接，向所述业务处理模块返回业务执行结果，向所述控制模块传递所述策略优先级列表；

所述策略模块包含策略配置接口，用于配置资源统计参数和策略；

所述控制模块使用资源状态信息计算所述资源统计参数值；

所述控制模块使用所述策略优先级列表和数据层正在执行的策略进行边界冲突检测，形成无冲突策略；

所述控制模块包含南向接口，用于连接数据层设备，接收所述资源状态信息、发送所述无冲突策略。

2.如权利要求1所述软件定义网安全控制系统，其特征在于，

所述业务处理模块获取资源统计参数值并判断此时域内资源的情况是否可以满足所述业务请求的要求。

3.如权利要求1所述软件定义网安全控制系统，其特征在于，

所述工作数据库进一步包含应用数据库、资源数据库、策略数据库；

所述应用数据库存储安全应用与无冲突的策略集的映射关系；所述安全应用与无冲突的策略集的映射关系由策略模块根据包过滤规则检测所述无冲突策略集所对应业务的安全性后，记入所述应用数据库；

所述资源数据库存储与资源状态信息对应的资源统计参数和资源统计参数值；控制模块根据资源统计参数，对数据层资源进行抽象，并将资源统计参数值存储至所述资源数据库；所述资源状态信息包括占用率，是否可用信息；

所述策略数据库存储策略信息与对应优先级，以及是否执行的状态，控制模块进行策略检测，向所述策略数据库写入策略执行状态信息；在业务接入时，策略模块针对该业务生成策略优先级列表，写入所述策略数据库。