[发明专利]一种自动化预防和编排处理策略冲突的系统和方法

权利要求书

1.一种自动化预防和编排处理策略冲突的方法，其特征在于，包括以下步骤：

1）当一个新的业务流的首包被发送到控制器后，控制器上的安全授权模块对数据包进行安全规则匹配，然后在网络入口交换机上允许或拒绝所述新的业务流；

2）采集网络流量信息建立流路径；

3）检测策略冲突，并根据不同的策略冲突采用不同的处理方法：

31）对于流规则依赖导致的冲突，采用流标记或者流重新路由来打破流规则依赖机制；

32）对于流策略更新导致的整体冲突，

以下情况选择更新拒绝：

321）当增加一个新的流策略，相应的流路径被检测为与安全策略冲突，并且这种冲突是一个整体冲突；

322）修改一个规则引起整体冲突；

323）删除一个规则导致新的整体冲突；

以下情况选择流移除：

324） 规则的改变和删除操作是允许的，即使他导致了整体冲突；

33）对于安全策略更新导致的整体冲突，采用流移除的方式；

34）对于部分违规，采用数据包阻塞。

2.根据权利要求1所述的自动化预防和编排处理策略冲突的方法，其特征在于，所述步骤31）中的所述流重新路由过程为：当一个新的业务流到达网络中，安全授权模块检测到控制器针对所述新的业务流产生的流路径导致了一个基于规则依赖的冲突，安全授权模块要求控制器为所述新的业务流寻找另一条路由路径以避免这些依赖；在此过程中，安全授权模块程序维护了一个交换机规避名单列表，包含了所有导致冲突的与规则依赖相关的交换机；安全授权模块程序提供所述交换机规避名单列表给控制器，然后，控制器计算一个新的路由路径来规避所述交换机规避名单列表上的交换机。

3.根据权利要求1所述的自动化预防和编排处理策略冲突的方法，其特征在于，所述步骤31）中的所述流标记过程为：新的流策略通过添加标签的预处理来区分与其他策略的匹配模式来打破规则依赖；在入口交换机的策略规则通过对新的业务流添加相同标签的附加动作来标记新的业务流；当数据包离开网络时，在出口交换机，策略相应的规则将除去数据包上的标签。

4.根据权利要求1所述的自动化预防和编排处理策略冲突的方法，其特征在于，所述步骤34）中的所述数据包阻塞的过程为：

341）如果流是一个新流，安全授权模块只需要在流的入口交换机阻塞所述流；

342）如果流是一个旧流，安全授权模块需要在交换机的入口和出口都阻塞所述流。

5.根据权利要求2至4任一项所述的自动化预防和编排处理策略冲突的方法，其特征在于，所述步骤1）中网络入口交换机上拒绝有安全威胁的新的业务流。