[发明专利]一种实现软件定义安全的安全架构系统及安全控制器

说明书

技术领域

本发明涉及机算机网络架构，尤其是机算机网络的安全控制器及具有安全控制器的安全架构系统。

背景技术

软件定义网络(SDN，Software-Defined Networking)通过软件的形式重构网络，颠覆了现有的网络的通信和管理模式，近年来在业界和学术界得到越来越多的关注。将数据转发与路由控制分离，以中央控制的方式，用程序重新规划网络，以有效控制网络流量。

软件定义安全采用SDN架构设计思想，将安全的控制平面和数据平面进行分离，通过控制平面提供的可编程能力实现安全服务的重构，最大化SDN带来的安全机遇。

虽然软件定义网络和网络功能虚拟化(NFV，Network Function Virtualization)有诸多优点，但其使得网络边界模糊化及虚拟化，造成很多传统的安全产品无法适用。

例如当前的DDoS攻击，攻击者一般攻击单台服务器，但在虚拟化环境中，由于物理带宽是固定的，攻击者可能会攻击某个租户的多台虚拟机器(VM)，但是每台VM的流量不会超过既定阈值，所以应对这类攻击，安全应用(Security Application)进行细粒度的安全防护决策时，需要考虑虚拟化云环境中多租户的环境需求，这也使得安全判定流程较之传统的防DDoS攻击策略更加复杂。

因此有必要提出一种可适用于传统的安全设备和安全应用的安全控制器及具有安全控制器的安全架构，以实现软件定义安全。

发明内容

本发明的实施例提供一种安全控制器及具有安全控制器的安全架构系统，能够实现安全功能的控制和数据平面分离，通过控制平面提供的可编程能力实现安全服务的重构，能够简化安全设备的处理逻辑，并将复杂的安全策略逻辑移交给安全控制器和安全应用。

为达到上述目的，本发明的实施例采用如下技术方案：首先是一种安全控制器包含有一管理模块、一事件调度模块、一流轮询模块及一流监视模块。管理模块提供至少一安全设备或至少一安全应用进行注册。流轮询模块轮询一网络控制器获取数据流。流监视模块根据触发条件检测该数据流。事件调度模块根据该数据流的检测结果生成一执行策略事件。

优选的是，该管理模块包含一设备管理模块及一应用管理模块。设备管理模块提供该至少一安全设备进行注册，应用管理模块提供该至少一安全应用进行注册。安全控制器更包含一设备库，其连接到该设备管理模块，该设备库记录注册过的安全设备。安全控制器更包含一应用库，其连接到该应用管理模块，该应用库记录注册过的安全应用。该设备管理模块根据触发条件的检测结果调度注册过的安全设备，并为其完成资源调配、下发配置变更。

优选的是，事件调度模块根据注册过的安全设备生成一设备事件，且事件调度模块根据注册过的安全应用生成一应用事件。根据注册过的安全应用发出的一订阅请求，安全控制器将检测过的数据流发送至该注册过的安全应用。

优选的是，安全控制器更包含一策略解析模块，其解析该应用管理模块接收到的策略，根据该事件调度模块的执行策略事件生成相对应的执行指令，其中该应用管理模块接收到的该策略是由发出订阅请求的安全应用发出的策略。安全控制器还更包含一指令推送模块，其将该策略解析模块生成的执行指令推送至该网络控制器。

安全控制器更包含一流数据库，其连接到该流监视模块，该流数据库记录该流监视模块所检测的数据流。通过事件调度模块，该流数据库记录该流流轮询模块所获取的数据流。

另外，本发明还提供一种具有安全控制器的安全架构系统，其包含有上述的安全控制器、至少一安全应用、至少一安全设备、一网络控制器及安全控制器代理。安全控制器分别连接安全应用、安全设备及该网络控制器。安全控制器通过安全控制器代理可从网络控制器和安全设备两方面获取和下发控制(流指令、统计信息、策略、等)，可实现流级别和数据包级别的两层防护，提高防护效率，减少安全设备的负载。

附图说明

图1为本发明实施例的安全控制器的方块示意图；

图2为本发明优选实施例的具有安全控制器的安全架构系统示意图；

图3A-3C分别显示为应用库连接到应用管理模块、设备库连接到设备管理模块、以及流数据库连接到流轮询模块等的示意图。

【符号说明】

安全架构系统100安全控制器1、1a

管理模块10a设备管理模块17

应用管理模块12 事件调度模块11

流轮询模块13 流监视模块14

策略解析模块15 指令推送模块16