[发明专利]一种转发流表的内生安全实现装置与方法

权利要求书

1.一种转发流表的内生安全实现装置，其特征在于，包括控制单元、安全处理单元和数据平面；

所述控制单元用于通过不同执行体基于不同算法分别计算当前网络设备的转发流表，并根据业务流属性为各转发流表分配统一的流标识ID，分配完成后将各转发流表下发到所述安全处理单元；其中，所述转发流表包括流标识ID在内的一个或多个表项，每个业务对应转发流表的一个条目；

所述安全处理单元用于通过比较不同算法生成的转发流表来检测各执行体的安全性，并根据检测结果将安全执行体生成的转发流表下发到所述数据平面，对危险执行体发出告警并进行溯源；

所述数据平面用于接收到数据包之后根据数据包关键字段计算流标识ID，并基于该流标识ID从收到的安全转发流表中查找相应的条目，进而根据查找结果进行数据包的转发。

2.如权利要求1所述的转发流表的内生安全实现装置，其特征在于，所述控制单元包括配置管理模块、流标识生成管理模块和至少三个执行体；

所述配置管理模块用于为各执行体配置流表生成算法、流表生成方式以及相关QoS约束参数，且不同执行体配置不同的流表生成算法；

各执行体根据收集到的网络拓扑信息和配置的流表生成算法各自计算当前网络设备的转发流表，并下发到所述安全处理单元；

所述流标识生成管理模块用于根据业务流属性生成流标识ID，并为不同执行体计算的转发流表分配统一的流标识ID；其中，每个业务对应生成一个流标识ID。

3.如权利要求1所述的转发流表的内生安全实现装置，其特征在于，所述安全处理单元包括执行体通信接口、执行体检测模块以及流表裁决管理模块；

所述执行体通信接口用于将接收到的不同执行体计算的转发流表，分别下发到所述执行体检测模块和所述流表裁决管理模块；

所述执行体检测模块用于根据不同执行体计算的转发流表检测各执行体的安全性，并将检测出的安全执行体的编号发送至所述流表裁决管理模块，对检测出的危险执行体发出告警并进行溯源；

所述流表裁决管理模块用于将所述安全执行体生成的转发流表下发至所述数据平面，并在安全执行体出现变更时对下发的转发流表进行更新。

4.一种转发流表的内生安全实现方法，其特征在于，包括：

控制单元通过不同执行体基于不同算法分别计算当前网络设备的转发流表，并根据业务流属性为各转发流表分配统一的流标识ID，分配完成后将各转发流表下发到安全处理单元；其中，所述转发流表包括流标识ID在内的一个或多个表项，每个业务对应转发流表的一个条目；

所述安全处理单元通过比较不同算法生成的转发流表检测各执行体的安全性，并根据检测结果将安全执行体生成的转发流表下发到数据平面，对危险执行体发出告警并进行溯源；

所述数据平面接收到数据包之后根据数据包关键字段计算流标识ID，并基于该流标识ID从收到的安全转发流表中查找相应的条目，进而根据查找结果进行数据包的转发。

5.如权利要求4所述的转发流表的内生安全实现方法，其特征在于，每个业务对应一个流标识ID，所述流标识ID由用于区分不同网络类型的网络编号和用于区分不同业务的业务编号组成；

对于不同网络类型，所述流标识ID中业务编号的映射方法不同：对于具有流标识的网络，直接使用该网络的流标识数值作为所述流标识ID中的业务编号；对于IP网络，将源IP地址和/或目的IP地址映射为所述流标识ID中的业务编号；对于MPLS网络，将转发标签或者流标识标签映射为所述流标识ID中的业务编号；对于其他网络，根据VLAN ID将相应的转发流映射为所述流标识ID中的业务编号。