一种sdn南向安全代理产品的制作方法

一种sdn南向安全代理产品的制作方法
【专利摘要】本发明公开了一种SDN南向安全代理产品，该产品由功能模块组、基础模块组、信息数据库、第三方安全产品接口组成。通过本发明实现了多控制器的SDN网络，并且确保SDN网络SDN控制流量的安全。
【专利说明】—种304南向安全代理产品

【技术领域】
[0001]本发明涉及信息安全【技术领域】，尤其涉及一种30^南向安全代理产品。

【背景技术】
[0002]软件定义网络116切01^1叩，简称如⑷技术分离了网络的控制平面和数据平面，为研发网络新应用和未来互联网技术提供了一种新的解决方案。
最初是为校园网络研究人员设计其创新网络架构提供真实的实验平台，随后，101(60^11等研究者开始推广30^概念,并引起学术界和产业界广泛关注。
[0003]自身的安全问题:作为一项新的技术，30^也很容易受到攻击。首先，根据0&8&138 860111-11:7公司共同创始人0^18 16)361'表示，将控制集中到30^控制器中能够模糊了防护的分层硬件的界限，例如防火墙。其次，根据分析师他11 12100011211(1表示，通过从数据平面解耦控制平面，31^引入了新的攻击面，例如网络控制器、其协议以及八?I。第三，30^的一个优势在于，软件控制器可以安装在操作系统(例如1111(10旧或者[化狀)之上的0313硬件上，这能够节省部署和其他成本。但根据公司合作货币1^1111867 0(3?表示，反复出现缓冲区溢出等攻击的主机会导致远程代码执行，从而危及这些系统。这使得31^控制器面临着与操作系统相同的风险。第四，由于31^控制器的集中化性质，高级持续性攻击(八?1)只需要感染这个控制器就可以有效地获取对整个网络的控制权。
[0004]80^多控制器设计之初，仅需要通过单控制器来实现网络的管控功能。很显然，随着网络规模的增大和业务需求的增加，需要研究控制平面的可扩展性解决方案，即多控制器解决方案.而控制单元的数量和它们之间网络状态(包括拓扑、传输能力、路由限制等)的协同和交互应该如何实现，以保证网络状态的一致性和可扩展性，还需要进行大量深入的研究。
[0005]论文4 ^6切01^ ^11-1:11811281:1011 匕761'中介绍了？1(3^1801'，其是在 0^)611510界控制器和0^)61^10?交换机之间充当透明代理的一种特殊用途的0^)61^10?控制器。？10^1801~通过切割网络资源并委派单个控制器观察控制自己切片范围内的交换机来实现随多个0^)611^10?控制器的管理。
[0006]？10^1801'在控制器和0^)61^10?交换机之间实现了基于0^)61^10?的网络虚拟层，它使得硬件转发平面能够被多个逻辑网络切片(811(36)共享，每个网络切片拥有不同的转发逻辑策略。在这种切片模式下，多个控制器能够同时管理一台交换机，多个网络实验能够同时运行在同一个真实网络中，网络管理者能够并行地控制网络，因此网络正常流量可以运行在独立的切片模式下，从而保证正常流量不受干扰。
[0007]该技术是仅实现网络切片功能，多个控制器同时管理一台交换机，易引起流表冲突，流表重复分发的问题，同时也形成了资源的浪费。而本发明通过最优化算法，指定一控制器通过代理来管理特定的交换机，有效利用了资源；并且在网络发生变化时能及时调整，如负载加重时新添新代理、节点崩溃时启用冗余代理，能及时满足网络需求。
[0008]此外，⑶201410006078.4的发明专利申请公开了一种应用于软件定义网络的多控制器管理网络设备的方法。它主要包括以下步骤:1)控制器发请求给其所管理的网络设备，建立两者之间的连接，部署支撑用户应用请求的虚拟网络控制器与网络设备连接期间，网络设备自动向控制器发布信息显示自己的资源状况；3〉控制器根据网络设备的发布的信息了解转发节点参与虚拟网情况，如果转发节点没有参与的虚拟网数目达到一定数量，控制器发信息给网络设备，断开与此网络设备的连接一段时间后，控制器将重新发连接请求给与其已断开连接的网络设备，建立连接。本方法提出了多个控制器管理多个网络设备的方法，实现了单个网络设备由多个控制器管理。
[0009]但是该方法将关于多控制器的研究就可以分为多个控制器由一个运营商提供和多个控制器由多个运营商提供的问题，不能建立一个统一的平台来统一管理。31^交换机和80^控制器直接通信，安全检测的任务完全分担在这两个网元上，而且也不能实现有效的隔离。


【发明内容】

[0010]本发明的目的是为了克服现有技术的缺陷，提供一种31^南向安全代理产品，从而实现了多控制器的网络，并且确保网络控制流量的安全。
[0011]本发明所述的一种31^南向安全代理产品，其由功能模块组、基础模块组、信息数据库、第三方安全产品接口组成。
[0012]功能模块组是30^南向安全代理产品实现多控制器网络并确保网络控制流量安全的主要模块集合，它包括全局拓扑视图模块、分域管理模块、南向协议通用模块、设备注册模块、流量安全检查模块、身份认证模块。
[0013]其中，全局拓扑视图模块是描绘出整体网络中30^控制器、30^交换机、南向安全代理的拓扑彳目息。
[0014]分域管理模块将30^交换机划分给合适的30^南向安全代理管理，并安排31^南向安全代理接收合适的501^1控制器控制。
[0015]南向协议通用模块负责处理30^南向协议和南向接口技术。
[0016]设备注册模块分为31^南向安全代理向31^控制器注册和30^交换机向指定的31^南向安全代理注册。
[0017]流量安全检查模块针对流经31^南向安全代理的流量进行防恶意软件扫描和杀毒。
[0018]身份认证模块对通信的30^南向安全代理、80^控制器、80^交换机的身份进行认证，确认对方具备相应的权限。
[0019]基础模块组包括流表分发丨同步模块、分布式存储模块、分布式管理模块、负载平衡模块、加密传输模块、冗余备份模块。
[0020]其中，流表分发/同步模块将流表推送到相关的31^边界交换机，并且根据保持流表在控制器和交换机上的一致性，实现多控制器之间的流表的同步。
[0021]分布式存储模块确保全网拓扑信息在分布式环境下存储保持一致，使用他661？3完成功能。
[0022]分布式管理模块对31^南向安全代理集群进行分布式管理。
[0023]负载平衡模块对当前31^南向安全代理的工作负载进行监控，当负载超过阈值时转移到其他31^南向安全代理进行处理或执行如简单丢包此类的安全措施。
[0024]加密传输模块确保31^南向安全代理、80^控制器、80^交换机之间通信的安全。
[0025]冗余备份模块防止30^南向安全代理发生故障影响整个系统的正常工作。
[0026]信息数据库包括网络拓扑信息数据库和交换机流表数据库；网络拓扑信息数据库保存着当前的网络全网拓扑情况，并由分布式存储模块在各处维护以保证同步；交换机流表数据库按照各个交换机来保存未过期的流表信息。
[0027]第三方安全产品接口，其向流量安全检查模块提供各种安全产品的服务。
[0028]本发明技术方案带来的有益效果:
[0029]一种30^南向安全代理产品能实现多控制器的网络，并且确保网络控制流量的安全。安全代理能有效的实现分层、分流查杀恶意软件等安全防护功能。一种31^南向安全代理产品的部署不用修改控制器，控制器以为就在和交换机直接通信，这样底层变动不影响上层网络应用，深化“可编程”概念；另外也不用修改交换机，交换机以为就与控制器通信。南向安全代理根据传输开销最优和负载进行分域，将31^控制器交换机关联到最合适的南向安全代理，这样能更好的管理31^控制器和31^交换机；另外也节省了资源，不影响正常业务的进行；并且在网络发生变化时能及时调整，如负载加重时新添新代理、节点崩溃时启用冗余代理，能及时满足网络需求。一种30^南向安全代理产品包括南向协议通用模块，不同南向协议能通用，能够跨厂商的管理31^交换机和控制器。

【专利附图】

【附图说明】
[0030]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0031]图1是本发明产品的架构位置图；
[0032]图2是本发明产品的各功能模块结构图；
[0033]图3是本发明的全局拓扑视图模块的算法流程图；
[0034]图4是本发明的产品网络拓扑示意图；
[0035]图5是本发明多控制器环境下的系统运行流程图3 ；
[0036]图6是本发明多控制器环境下的系统运行流程图匕

【具体实施方式】
[0037]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0038]一种30^南向安全代理产品能实现多控制器的网络，并且确保网络控制流量的安全。其是一个位于物理硬件和软件架构之间的网络虚拟层，截获5顯交换机和30^控制器之间传递的信息，以30^代理的方式实现。该产品使用南向协议如0？611？10界与转发层通信，使用南向协议与控制器通信；从这个角度上来看，一种31^南向安全代理产品也可以看作是一种特殊的控制器。一种30^南向安全代理产品的架构位置如图1所
0
[0039]一种31^南向安全代理产品的各功能模块结构图如图2所示，其由功能模块组、基础模块组、信息数据库、第三方安全产品接口组成。
[0040]功能模块组是30^南向安全代理产品实现多控制器网络并确保网络控制流量安全的主要模块集合，它包括全局拓扑视图模块、分域管理模块、南向协议通用模块、设备注册模块、流量安全检查模块、身份认证模块。
[0041]其中全局拓扑视图模块主要的功能是描绘出整体网络中31^控制器、31^交换机、南向安全代理的拓扑信息。全局拓扑视图模块的算法流程如图3所示，具体为:
[0042](1) 30^南向安全代理收到控制器发送的[⑶？数据包；
[0043](2) 31^南向安全代理查找网络信息拓扑数据库，确认此31^控制器是否已存入全网拓扑图；
[0044](3)如果存在记录，则继续转发数据包；
[0045](4)如果不存在记录；
[0046]幻80^南向安全代理向30^控制器注册信息；
[0047]幻使用分域管理模块将此控制器分配到最适合的31^南向安全代理报告范围，并加入全网拓扑；
[0048](5)如果，30^南向安全代理没收到10？数据包，30^南向安全代理的全局拓扑视图模块定期向网络发送110？数据包；
[0049](6) 80^交换机收到[⑶？数据包，查看匹配转发流表；
[0050](7)如果匹配转发流表；
[0051]幻此交换机已被全局拓扑视图模块加入全网拓扑图中；
[0052]幻80^交换机继续转发数据包；
[0053](8)如果不匹配转发流表；
[0054]此为南向安全代理新发现的交换机；
[0055]幻80^交换机无法匹配转发流表，发送给31^南向安全代理处理；
[0056]0)31^南向安全代理将此31^交换机标记为新添，下发流表继续转发10？数据包；
[0057](1)使用分域管理模块将此31^交换机分配给最适合的31^南向安全代理管理，并加入全网拓扑。
[0058]分域管理模块主要完成将31^交换机划分给合适的31^南向安全代理管理和将31^南向安全代理安排接收合适的31^控制器控制。分域管理模块的输入为31^交换机集合、31^控制器集合、31^南向安全代理集合、以上集合中任意两个网元之间的跳数、每一31^南向安全代理集合所关联的30^交换机和30^控制器、待归类的网元。分域管理模块的输出为网元所归类的30^南向安全代理集合。算法根据30^南向安全代理目前所关联的80^交换机和31^控制器的负载量，待归类的网元至各31^南向安全代理的开销，以分配网元关联至合适的30^南向安全代理集合。
[0059]南向协议通用模块负责处理30^南向协议和南向接口技术。30^南向安全代理与31^控制器及31^交换机的通信均使用31^南向协议。31^南向协议包括'⑶3、户⑶-？等，其中0？611？10界是最主流的南向协议。而南向接口技术主要是0？⑶即这个模块能识别不同的南向协议和接口，并将之最终转换为协议和0%0即％接口技术统一处理，实现了跨厂商的网络管理。
[0060]设备注册模块主要分为30^南向安全代理向30^控制器注册和30^交换机向指定的30^南向安全代理注册。其中30^南向安全代理向30^控制器注册，从30^控制器的角度来31^南向安全代理相当于一台31^交换机；31^交换机向指定的31^南向安全代理注册，从5顯交换机的角度来看31^南向安全代理相当于一台31^控制器。
[0061]流量安全检查模块针对流经31^南向安全代理的流量进行防恶意软件扫描和杀毒。可以针对指定流量进行病毒查杀，也可进行全部流量的病毒查杀。另外此模块通过第三方安全产品接口添加诸如103、1？3、防火墙等安全设备，对流量进行检测。
[0062]身份认证模块对通信的30^南向安全代理、80^控制器、80^交换机的身份进行认证，确认对方具备相应的权限。
[0063]基础模块组包括流表分发丨同步模块、分布式存储模块、分布式管理模块、负载平衡模块、加密传输模块、冗余备份模块。其中流表分发/同步模块将流表推送到相关的边界交换机，并且根据保持流表在控制器和交换机上的一致性，实现多控制器之间的流表的同步。分布式存储模块确保全网拓扑信息在分布式环境下存储保持一致，使用他661？3完成功能。分布式管理模块对31^南向安全代理集群进行分布式管理。负载平衡模块对当前30^南向安全代理的工作负载进行监控，当负载超过阈值时转移到其他30^南向安全代理进行处理或执行如简单丢包此类的安全措施。加密传输模块确保31^南向安全代理、
控制器、30^交换机之间通信的安全。冗余备份模块防止30^南向安全代理发生故障影响整个系统的正常工作。
[0064]信息数据库包括网络拓扑信息数据库和交换机流表数据库。网络拓扑信息数据库保存着当前的网络全网拓扑情况，并由分布式存储模块在各处维护以保证同步。交换机流表数据库按照各个交换机来保存未过期的流表信息。
[0065]第三方安全产品接口:第三方安全产品可通过第三方安全产品接口向流量安全检查模块提供各种安全产品的服务。
[0066]一种30^南向安全代理产品的网络拓扑示意图如图4所示，其中图中仅标出南向流量。连接的网元由实线相连，其中粗线代表当前划分的关联关系。
[0067]特别说明下多控制器环境下的系统运行情况:
[0068]如图5所示为本发明多控制器环境下的系统运行流程图3
[0069](1) 80^控制器向交换机发送信息的情况
[0070]80^控制器下发流表指令给关联的31^南向安全代理；
[0071]幻31^南向安全代理的分布式存储模块查找网络拓扑信息数据库；
[0072]0) 30^南向安全代理将指令发给关联的5顯交换机。
[0073]如图6所示为本发明多控制器环境下的系统运行流程图6:
[0074]⑵交换机向控制器发送信息的情况
[0075]幻80^交换机发送数据包给关联的30^南向安全代理；
[0076]幻31^南向安全代理的分布式存储模块查找网络拓扑信息数据库；
[0077]0) 31^南向安全代理将数据包转发给关联的31^控制器处理。
[0078]以上对本发明实施例所提供的一种31^南向安全代理产品进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种SDN南向安全代理产品，其特征在于，其由功能模块组、基础模块组、信息数据库、第三方安全产品接口组成； 功能模块组是SDN南向安全代理产品实现多控制器SDN网络并确保SDN网络SDN控制流量安全的主要模块集合，它包括全局拓扑视图模块、分域管理模块、南向协议通用模块、设备注册模块、流量安全检查模块、身份认证模块； 其中，全局拓扑视图模块是描绘出整体网络中SDN控制器、SDN交换机、南向安全代理的拓扑信息； 分域管理模块将SDN交换机划分给合适的SDN南向安全代理管理，并安排SDN南向安全代理接收合适的SDN控制器控制； 南向协议通用模块负责处理SDN南向协议和南向接口技术； 设备注册模块分为SDN南向安全代理向SDN控制器注册和SDN交换机向指定的SDN南向安全代理注册； 流量安全检查模块针对流经SDN南向安全代理的流量进行防恶意软件扫描和杀毒； 身份认证模块对通信的SDN南向安全代理、SDN控制器、SDN交换机的身份进行认证，确认对方具备相应的权限； 基础模块组包括流表分发/同步模块、分布式存储模块、分布式管理模块、负载平衡模块、加密传输模块、冗余备份模块； 其中，流表分发/同步模块将流表推送到相关的SDN边界交换机，并且根据保持流表在控制器和交换机上的一致性，实现多控制器之间的流表的同步； 分布式存储模块确保全网拓扑信息在分布式环境下存储保持一致，使用WheelFS完成功能； 分布式管理模块对SDN南向安全代理集群进行分布式管理； 负载平衡模块对当前SDN南向安全代理的工作负载进行监控，当负载超过阈值时转移到其他SDN南向安全代理进行处理或执行如简单丢包此类的安全措施； 加密传输模块确保SDN南向安全代理、SDN控制器、SDN交换机之间通信的安全； 冗余备份模块防止SDN南向安全代理发生故障影响整个系统的正常工作； 信息数据库包括网络拓扑信息数据库和交换机流表数据库；网络拓扑信息数据库保存着当前的网络全网拓扑情况，并由分布式存储模块在各处维护以保证同步；交换机流表数据库按照各个交换机来保存未过期的流表信息； 第三方安全产品接口，其向流量安全检查模块提供各种安全产品的服务。
2.根据权利要求1所述的产品，其特征在于，全局拓扑视图模块的算法流程为: slSDN南向安全代理收到SDN控制器发送的LLDP数据包； s2SDN南向安全代理查找网络信息拓扑数据库，确认此SDN控制器是否已存入全网拓扑图； s3如果存在记录，则继续转发数据包； s4如果不存在记录； alSDN南向安全代理向SDN控制器注册信息； a2使用分域管理模块将此SDN控制器分配到最适合的SDN南向安全代理报告范围，并加入全网拓扑； s5SDN南向安全代理没收到LLDP数据包，SDN南向安全代理的全局拓扑视图模块定期向网络发送LLDP数据包； s6SDN交换机收到LLDP数据包，查看匹配转发流表； s7如果匹配转发流表； bl此SDN交换机已被全局拓扑视图模块加入全网拓扑图中； b2SDN交换机继续转发数据包； s8如果不匹配转发流表； Cl此为SDN南向安全代理新发现的SDN交换机； C2SDN交换机无法匹配转发流表，发送给SDN南向安全代理处理； C3SDN南向安全代理将此SDN交换机标记为新添，下发流表继续转发LLDP数据包；c4使用分域管理模块将此SDN交换机分配给最适合的SDN南向安全代理管理，并加入全网拓扑。
3.根据权利要求1所述的产品，其特征在于，分域管理模块的输入为SDN交换机集合、SDN控制器集合、SDN南向安全代理集合、以上集合中任意两个网元之间的跳数、每一 SDN南向安全代理集合所关联的SDN交换机和SDN控制器、待归类的网元；分域管理模块的输出为网元所归类的SDN南向安全代理集合。
4.根据权利要求1所述的产品，其特征在于，SDN南向安全代理与SDN控制器及SDN交换机的通信均使用SDN南向协议；SDN南向协议包括OpenFlow、ForCES, PCE-P，其中OpenFlow是最主流的南向协议；而南向接口技术主要是0FC0NFIG。
5.根据权利要求1所述的产品，其特征在于，其中SDN南向安全代理向SDN控制器注册，从SDN控制器的角度来看SDN南向安全代理相当于一台SDN交换机；SDN交换机向指定的SDN南向安全代理注册，从SDN交换机的角度来看SDN南向安全代理相当于一台SDN控制器。
6.根据权利要求1所述的产品，其特征在于，流量安全检查模块针对指定流量进行病毒查杀，也能够进行全部流量的病毒查杀，另外此模块通过第三方安全产品接口添加诸如IDS、IPS、防火墙等安全设备，对流量进行检测。
7.根据权利要求1所述的产品，其特征在于，SDN控制器向SDN交换机发送信息的流程为: dlSDN控制器下发流表指令给关联的SDN南向安全代理； d2SDN南向安全代理的分布式存储模块查找网络拓扑信息数据库； d3SDN南向安全代理将指令发给关联的SDN交换机。
8.根据权利要求1所述的产品，其特征在于，SDN交换机向SDN控制器发送信息的流程为: elSDN交换机发送数据包给关联的SDN南向安全代理； e2SDN南向安全代理的分布式存储模块查找网络拓扑信息数据库； e3SDN南向安全代理将数据包转发给关联的SDN控制器处理。
【文档编号】H04L29/06GK104468633SQ201410855623
【公开日】2015年3月25日 申请日期:2014年12月31日 优先权日:2014年12月31日
【发明者】杨育斌, 程丽明, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司