[发明专利]SDP架构下服务模式的切换方法和系统

权利要求书

1.一种软件定义边界SDP架构下服务模式的切换方法，包括：

SDP控制器对来自SDP客户端的合法认证请求进行流量识别，并且根据合法流量变化情况在网络隐身模式和性能模式之间进行服务模式切换，

其中，在网络隐身模式下，SDP控制器在与SDP客户端建立TCP连接之前进行单包授权SPA认证，

而在性能模式下，SDP控制器在与SDP客户端建立TCP连接之前不进行SPA认证，并且，SDP控制器接收SDP客户端在与SDP控制器建立TCP连接之后发送的SPA数据包以进行SPA认证，

其中，当合法流量上升至超过第一阈值时，SDP控制器将所述服务模式从网络隐身模式切换到性能模式，并且

其中，当合法流量下降至低于第二阈值时，SDP控制器将所述服务模式从性能模式切换到网络隐身模式。

2.根据权利要求1所述的方法，其中，

在网络隐身模式下，SDP控制器通过第一端口接收数据包；并且

在性能模式下，SDP控制器通过与第一端口不同的第二端口接收数据包。

3.根据权利要求2所述的方法，其中

在所述网络隐身模式下，SDP控制器通过第一端口接收来自SDP客户端的SPA数据包，在SDP控制器对所述SPA数据包进行认证后，使得SDP客户端与SDP控制器的第一端口建立TCP连接；以及

在所述性能模式下，在SDP客户端与SDP控制器的第二端口建立了TCP连接后，SDP控制器通过第二端口接收来自SDP客户端的SPA数据包并对所述SPA数据包进行认证。

4.根据权利要求3所述的方法，其中，

在所述网络隐身模式下，SDP控制器通过运行在防火墙侧的网络监听和数据包捕获程序获得所述SPA数据包以进行认证。

5.根据权利要求1所述的方法，还包括：

在服务模式从网络隐身模式切换到性能模式时，SDP控制器关闭网络隐身模式下用于接收SDP客户端发送的SPA数据包的第一端口，开放第二端口用于接收SDP客户端发送的SPA数据包，通知防火墙添加开放第二端口的规则，并且停用网络监听和数据包捕获程序；以及

在服务模式从性能模式切换到网络隐身模式时，SDP控制器启用网络监听和数据包捕获程序，关闭性能模式下用于接收SDP客户端发送的SPA数据包的第二端口，开放第一端口用于接收SDP客户端发送的SPA数据包，并且通知防火墙删除开放第二端口的规则。

6.根据权利要求1所述的方法，还包括：

SDP控制器基于接收到的SPA数据包的真实性、资产清单或流量模型中的至少一者，判定来自SDP客户端的认证请求是否是合法认证请求；并且

响应于判定认证请求为合法认证请求，将其计入合法流量。

7.根据权利要求1所述的方法，其中，

所述第一阈值大于或等于所述第二阈值。

8.根据权利要求1所述的方法，还包括：

SDP控制器在进行服务模式切换时向SDP客户端发送策略切换指令。

9.根据权利要求1所述的方法，还包括：

SDP控制器在服务模式从网络隐身模式切换到性能模式时不向SDP客户端发送策略切换指令，而在服务模式从性能模式切换到网络隐身模式时向SDP客户端发送策略切换指令。

10.根据权利要求8或9所述的方法，还包括：

SDP客户端针对网络隐身模式和性能模式两种服务模式预先设置两种工作机制和配置信息，其中，配置信息包括关于SDP控制器接收数据包的端口的信息；

SDP客户端在接收到策略切换指令的情况下响应于所述策略切换指令，将当前服务模式下的工作机制和配置信息切换为另一种服务模式下的工作机制和配置信息；以及

SDP客户端在没有接收到策略切换指令且在当前服务模式的工作机制下无法与SDP控制器建立TCP连接时，自动切换到另一种服务模式下的工作机制和配置信息。