[发明专利]软件定义网安全控制系统和控制方法

说明书

本发明解决传统安全策略配置、策略冲突消解技术不能随资源状态变化的问题。本发明的核心是在SDN的控制架构中将业务解析、数据层资源统计、策略冲突检测集成形成了改进的控制层装置并制定了相应的处理流程，在SDN架构控制器上配置适应业务需求和数据层资源状态的策略。本发明软件定义网安全控制系统包含以下部分：业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口；本发明软件定义网安全控制方法包含策略配置、资源状态统计、策略优先级生成、策略下发等步骤。采用本发明方法和装置，在控制器策略配置时通过资源统计参数为业务提供有效的资源状态信息量化依据，将业务需求和资源信息有机结合，进一步保证业务安全。

技术领域

本发明涉及通信领域，尤其涉及一种软件定义网(SDN)架构下保护网络业务及资源安全的方法。

背景技术

SDN架构包含数据层、控制层、应用层。数据层的网络资源能够接收控制层的指令。控制层屏蔽了网络基础设施资源在类型、协议等方面的异构性；控制层为应用层提供了开放的接口，并使得用户可以通过软件从逻辑上定义虚拟网络，提供虚拟运营商服务。

针对应用层和控制层之间的安全需求，Hartman S和Wasseman M等人开发出一种FRESCO模型(Modular Composable Security Services for Software-DefinedNetworks.In Internet Society NDSS，Feb.2013)，研究如何在SDN架构上部署传统的网络安全应用，如访问控制、防火墙、入侵检测、入侵防御，在控制层定义了相关API以实现上述功能，对应用进行授权、认证、隔离以及消解策略冲突。

一般地，可以通过包过滤技术检查包头信息，根据匹配和规则决定包的转发或舍弃，拒绝发送可疑的包，从而保护整个网络安全性。一种策略冲突消解技术是为了解决数据层网络环境更新或新技术引入所导致的策略边界冲突，通过分析策略目标与制定策略优先级来构建无冲突策略集。特别地，在使用OpenFlow协议的SDN架构下，所有策略均可通过控制器下发FLOW_MODE消息来实现配置。

但当前的安全策略主要防范外部入侵行为，安全策略是静态的，未考略网络内部设备故障及资源问题。上述安全性研究主要在应用层与控制层之间，所制定的策略仅为控制层阻挡应用层所定制的存在安全威胁的业务、消除恶意占用网络资源行为。传统方案中由于所设置的优先级无法根据业务的变化而动态调整，也未随着数据层的资源状态信息(例如设备故障、链路故障)而改变，应用的边界条件会发生冲突造成业务阻塞，这就无法保证安全策略的完备性和整个系统的安全性。

发明内容

本发明解决传统安全策略配置、策略冲突消解技术不能随资源状态变化的问题。本发明的核心是在软件定义网络(SDN)的控制架构中，设计了将业务解析、数据层资源统计、策略冲突检测集成的功能模块，形成了改进的控制层装置；并制定了相应的处理流程，在SDN架构下的集中控制器上配置适应数据层资源状态和业务需求的最佳策略。

本发明的软件定义网安全控制系统，包含以下部分：业务处理模块MA、策略模块MS、控制模块MC、工作数据库D、南向接口SB、北向接口NB、策略配置接口SCI。

在所述工作数据库D中，包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表。所述数据包过滤规则，是预先设定的数据包的源、目的地址，源、目的端口，协议类型等信息；所述资源统计参数，是针对业务类型设置的对数据层资源进行统计的规则；每一个所述无冲突策略集对应一种安全应用，包含至少1个策略；所述策略优先级列表包含策略的执行顺序。

所述业务处理模块解析业务请求。对于涉及资源统计参数的策略，所述业务处理模块MA查询所述控制模块MC所提供的资源统计参数值，判断数据层资源是否可以满足该业务的需求，并将所述业务请求发送至所述策略模块MS。

所述业务处理模块MA的北向接口NB，用于输入所述业务请求，返回业务执行结果。