[发明专利]基于SDN的移动数据安全保护系统及方法

权利要求书

1.基于SDN的移动数据安全保护系统，其特征在于，该系统包括移动数据安全控制台、系统基础功能模块和第三方移动数据安全保护产品接口；

移动数据安全控制台是系统中最重要的模块，包括流表控制模块、身份服务模块、移动用户操作权限判断、数据加密模块、移动数据安全控制台安全保障模块；身份服务模块向移动用户提供身份认证服务；移动用户操作权限判断模块根据身份服务模块和移动用户信息数据库提供的信息，判断移动用户使用某应用对某数据进行操作的权限；数据加密模块根据移动用户对数据操作的权限对数据进行加密；移动数据安全控制台安全保障模块保证移动数据安全控制台自身系统的安全；

系统基础功能模块为系统的运行提供基础设施的保证，包括交换机接口通信模块、控制器同步模块、分布式管理模块、故障恢复模块和冗余备份模块；交换机接口通信模块确保移动数据能安全的进行传输，确保基于SDN实现的移动数据安全保护产品的系统之间的通信基于安全的传输方式；控制器同步模块提供控制台所在的服务器集群之间的信息同步保证；冗余备份模块对各区域内的移动数据安全控制台、移动用户信息数据库、移动用户身份认证信息进行冗余备份，以防止机器突然中断发生的信息丢失情况的出现；故障恢复模块在系统所在机器发生故障后，快速的恢复相关安全保护的措施；

第三方移动数据安全保护产品接口向第三方移动安全产品提供接口。

2.根据权利要求1所述的系统，其特征在于，流表控制模块包括流表生成模块、流表下发模块和流表同步模块；流表生成模块根据移动用户操作权限模块输入的用户权限生成数据转发规则和规则的有效期，并且生成相应的流表；流表下发模块将流表生成模块输入的流表下发到相关的SDN交换机；流表同步模块根据系统基础功能模块中反映的控制器和交换机变化信息，保持流表在控制器和交换机上的一致性。

3.根据权利要求1所述的系统，其特征在于，身份认证服务包括注册用户，Mac地址，身份认证，权限授予。

4.根据权利要求1所述的系统，其特征在于，第三方移动安全产品可调用基于SDN的移动数据安全保护系统的系统基础功能模块和移动数据安全控制台的服务功能，或与基于SDN的移动数据安全保护系统进行联动，共同保护组织中移动数据的安全。

5.基于SDN的移动数据安全保护方法，其特征在于，该方法基于SDN能动态感知移动设备接入组织内网及对数据访问情况，并自动判断是否授权用户操作移动数据，从而实现了控制对移动数据的访问、处理，从而实现移动数据安全保护，最终达到对组织移动数据保密性的安全管理，该方法包括移动设备接入注册和移动设备访问数据，其中移动设备接入注册的流程为：

s11：移动用户使用设备通过Wi-Fi或2G/3G/LTE接入组织内网，组织内网边界的支持SDN的交换机收到移动设备发出的数据包，查找流表进行匹配；

s12：如果匹配成功则交换机按流表规则进行下一步操作，允许移动用户进一步操作或拒绝移动用户访问组织内网；如果匹配不成功，则说明此移动设备是初次接入组织内网或者流表的有效期已过，交换机将移动设备发出的此数据包复制转发至控制台，控制台查找移动用户信息数据库，查看此移动设备是否已注册；

s13：如果用户信息不存在，则说明移动用户是初次登入组织内网，控制台下发流表至交换机，指引移动用户完成身份注册服务；用户收到要求注册的请求，通过交换机连接到移动数据安全保护控制网络，与身份/认证服务器进行通信完成注册，之后用户重新开始其业务请求；

s14：如果用户信息存在，则控制台通过移动数据安全控制台的移动用户操作权限判断模块判断此移动用户的相关权限，下发相应流表回交换机，交换机根据流表进行下一步操作：允许移动用户进一步操作或拒绝移动用户访问组织内网；

移动设备访问数据的流程为：

s21：移动用户发送数据包请求访问组织内网数据，数据所在的PC或服务器直接连接的交换机收到该数据包，交换机查找流表匹配；

s22：如果匹配不成功，交换机将移动设备发出的此数据包转发至控制台，控制台提取移动设备使用的移动应用信息和预访问的数据信息，联合身份/认证服务器、移动用户信息数据库，最终移动用户操作权限判断确定用户使用该应用对此数据进行操作的权限；流表生成模块根据权限信息生成相应的流表，通过流表下发模块将流表推送至相应的交换机；

s23：如果匹配成功，交换机根据流表规则对数据包进行操作。