[发明专利]软件定义网安全控制系统和控制方法

摘要

本发明解决传统安全策略配置、策略冲突消解技术不能随资源状态变化的问题。本发明的核心是在SDN的控制架构中将业务解析、数据层资源统计、策略冲突检测集成形成了改进的控制层装置并制定了相应的处理流程，在SDN架构控制器上配置适应业务需求和数据层资源状态的策略。本发明软件定义网安全控制系统包含以下部分：业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口；本发明软件定义网安全控制方法包含策略配置、资源状态统计、策略优先级生成、策略下发等步骤。采用本发明方法和装置，在控制器策略配置时通过资源统计参数为业务提供有效的资源状态信息量化依据，将业务需求和资源信息有机结合，进一步保证业务安全。

主权项

1.一种软件定义网安全控制系统，其特征在于，包含业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口，所述工作数据库中包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表；所述数据包过滤规则，是预先设定的数据包的源、目的地址，源、目的端口，协议类型信息；所述资源统计参数，是针对业务类型设置的对数据层资源进行统计的规则；每一个所述无冲突策略集对应一种安全应用，包含至少1个策略；所述无冲突策略集，是对策略进行边界冲突检测形成；所述冲突，包含资源使用冲突、包过滤规则边界冲突；所述边界冲突检测，包括包过滤规则边界冲突检测和资源使用冲突检测；所述资源使用冲突，是指需要执行的多个业务需求在进行资源分配时占用相同的资源，导致无法同时满足；所述包过滤规则边界冲突，是指多条规则的条件有交集，而执行的动作不一致；所述策略优先级列表包含策略的执行顺序；所述业务处理模块解析业务请求；对于涉及资源统计参数的策略，查询所述控制模块所提供的资源统计参数值，判断域内资源是否可以满足该业务的需求，并将所述业务请求发送至所述策略模块；所述业务处理模块包含北向接口，用于输入所述业务请求，返回业务执行结果；所述策略模块根据所述数据包过滤规则检测业务的安全性，综合业务所涉及的资源统计参数值，更新策略优先级列表；所述策略模块分别与所述业务处理模块和所述控制模块相连接，向所述业务处理模块返回业务执行结果，向所述控制模块传递所述策略优先级列表；所述策略模块包含策略配置接口，用于配置资源统计参数和策略；所述控制模块使用资源状态信息计算所述资源统计参数值；所述控制模块使用所述策略优先级列表和数据层正在执行的策略进行边界冲突检测，形成无冲突策略；所述控制模块包含南向接口，用于连接数据层设备，接收所述资源状态信息、发送所述无冲突策略。