一种动态调度网络操作系统的方法及系统与流程
该发明涉及网络安全技术领域,特别是涉及一种动态调度网络操作系统的方法及系统。
背景技术:
sdn思想是将完成决策功能的控制平面从网络设备中迁移到独立的主机或商业服务器中形成sdn控制器,称为网络操作系统(networkoperatingsystem,nos)。伴随着云数据中心等新技术的发展,sdn这类构建灵活、可扩展网络的架构为网络领域变革带来巨大的影响和推动力。但同时其自身存在的设计漏洞也给其应用带来了严峻的安全隐患。尤其是服务过程中已广泛出现的虚假流注入和控制器劫持等攻击与威胁使其安全问题愈发突出。包括:集中式的控制架构易成为首选攻击目标;开放网络操作系统存在着未知漏洞和后门;当前网络操作系统的静态特性有利于攻击者对控制层进行探测及分析。而现有的传统基于特征匹配的被动防御技术无法抵御未知威胁,因此,为解决上述问题,必须设计具有主动防御特性的网络操作系统架构,为其提供有效安全性的保障。
技术实现要素:
本发明克服了现有技术中,基于特征匹配的被动防御技术无法抵御未知威胁的问题,提供一种安全性能高,安全威胁小的动态调度网络操作系统的方法及系统。
本发明的技术解决方案是,提供一种具有以下步骤的动态调度网络操作系统的方法,含有以下步骤:
步骤1:系统初始化;
步骤2:感知器负责评估所有nos的工作状态,并给出评估报告;
步骤3:感知器定时将评估报告发送到调度器,更新注册信息;
步骤4:若当前master角色的nos评估结果为正常,执行步骤5,否则执行步骤6;
步骤5:判断调度计时器是否为零,若为零,则调度器基于调度策略,根据评估报告,选择一个最佳slaver代替master成为新的master,同时更新注册信息;若不为零,跳转到步骤2;
步骤6:若监控发现master角色的nos异常,停止调度器计时,并清零,由调度器从slaver集合中选择一个健康的、最佳的nos代替当前master成为新的master,同时更新注册信息。
所述步骤1包括:
步骤101:开启动态模式,调度层从配置文件读取异构nos的注册信息,或者动态从异构nos接收注册信息,完成注册;
步骤102:从注册链表中随机选择一个nos作为master,并将nos角色信息写进注册链表,对于nos角色定义基于openflow协议的规范实施;
步骤103:调度器倒计时开启,感知器模块启动;
步骤104:底层网络数据请求经数据代理分发至各个执行体,其包括master和所有slavers;
步骤105:master执行体对底层数据请求进行响应。
所述步骤101中注册分为自动注册和静态配置;自动注册:nos执行体集合自动向调度器注册nos的标识信息,增加或减少nos都会使得调度器内核中nos的注册信息发生相应的变化;静态配置:用户作为管理员手工将nos的标识信息配置进调度器内核中,这些配置信息包括端口以及ip地址。
所述步骤5中的调度策略具体为:主动式调度策略和反应式调度策略;其中主动式调度策略,调度器在时间轴上的调度间隔一致,无论底层网络拓扑如何变化,调度器定时自发地对nos进行切换;其中反应式调度策略,感知器模块将感知网络的安全状态以及一些实时信息,若发现异常情况,立即启动调度策略。
提供一种实现动态调度网络操作系统的方法的系统,含有以下单元:
应用层单元:各类功能app通过控制层提供的编程接口对底层设备进行编程;
控制层单元:包含功能等价结构相异的n个nos执行体集合,一类是masternos,有且仅有一个,是实际上管理网络的nos;一类是slavernos,是备选的nos,slaver被调用成为master;
调度层单元:对底层的网络以及上层的网络操作系统透明。
所述调度层单元含有数据代理模块、感知器模块、调度器模块,其中
数据代理模块:是控制平面和数据平面数据交互的中间点,底层的网络请求通过此分发至nos执行体集合,控制器的管理控制数据也经次下发给底层网络和其他的调度层模块;
感知器模块:感知器感知网络的安全状态,并将信息交互到调度器;
调度器模块:包含所有nos的注册信息,接受数据代理的信息,内有倒计时功能,一旦计时器清零,调度器依据调度策略选择一个slavernos作为masternos。
与现有技术相比,本发明动态调度网络操作系统的方法及系统具有以下优点:该架构具有感知动态调度异构nos的功能,进而避免了利用nos漏洞和后门发起的虚假流表注入和nos劫持等攻击与威胁,也避免攻击者基于一次成功攻击而持续利用同一漏洞控制nos。本申请的安全架构,将动态性、异构性引入网络操作系统中,通过动态实时调度nos执行体实现动态性,不仅可以实现传统上网络资源与计算资源、存储资源的协同调度,也极大地提高了网络操作系统的安全性,解决当前现有的网络操作系统被动防御只有“后天获得性免疫”的被动局面。
附图说明
图1是本发明动态调度网络操作系统的方法及系统中方法的流程示意图;
图2是本发明动态调度网络操作系统的方法及系统方法中初始化的流程示意图;
图3是本发明动态调度网络操作系统的方法及系统的模拟图。
具体实施方式
下面结合附图和具体实施方式对本发明动态调度网络操作系统的方法及系统作进一步说明:
实施例一,如图1所示,一种动态调度网络操作系统的方法,含有以下步骤:
步骤1:系统初始化;
步骤2:感知器负责评估所有nos的工作状态,并给出评估报告;
步骤3:感知器定时将评估报告发送到调度器,更新注册信息;
步骤4:若当前master角色的nos评估结果为正常,执行步骤5,否则执行步骤6;
步骤5:判断调度计时器是否为零,若为零,则调度器基于调度策略,根据评估报告,选择一个最佳slaver代替master成为新的master,同时更新注册信息;若不为零,跳转到步骤2;
步骤6:若监控发现master角色的nos异常,停止调度器计时,并清零,由调度器从slaver集合中选择一个健康的、最佳的nos代替当前master成为新的master,同时更新注册信息。
所述步骤1包括:步骤101:开启动态模式,调度层从配置文件读取异构nos的注册信息,或者动态从异构nos接收注册信息,完成注册;
步骤102:从注册链表中随机选择一个nos作为master,并将nos角色信息写进注册链表,对于nos角色定义基于openflow协议的规范实施;
步骤103:调度器倒计时开启,感知器模块启动。
步骤104:底层网络数据请求经数据代理分发至各个执行体,其包括master和所有slavers;
步骤105:master执行体对底层数据请求进行响应。
所述步骤101中注册分为自动注册和静态配置;自动注册:nos执行体集合自动向调度器注册nos的标识信息,增加或减少nos都会使得调度器内核中nos的注册信息发生相应的变化;静态配置:用户作为管理员手工将nos的标识信息配置进调度器内核中,这些配置信息包括端口以及ip地址。
所述步骤5中的调度策略具体为:主动式调度策略和反应式调度策略;其中主动式调度策略,调度器在时间轴上的调度间隔一致,无论底层网络拓扑如何变化,调度器定时自发地对nos进行切换;其中反应式调度策略,感知器模块将感知网络的安全状态以及一些实时信息,若发现异常情况,立即启动调度策略。
实施例二,一种实现动态调度网络操作系统的方法的系统,含有以下单元:
应用层单元:各类功能app通过控制层提供的编程接口对底层设备进行编程。
控制层单元:包含功能等价结构相异的n个nos执行体集合,一类是masternos,有且仅有一个,是实际上管理网络的nos;一类是slavernos,是备选的nos,slaver被调用成为master。
调度层单元:对底层的网络以及上层的网络操作系统透明。
所述调度层单元含有数据代理模块、感知器模块、调度器模块,其中
数据代理模块:是控制平面和数据平面数据交互的中间点,底层的网络请求通过此分发至nos执行体集合,控制器的管理控制数据也经次下发给底层网络和其他的调度层模块;
感知器模块:感知器感知网络的安全状态,并将信息交互到调度器;
调度器模块:包含所有nos的注册信息,接受数据代理的信息,内有倒计时功能,一旦计时器清零,调度器依据调度策略选择一个slavernos作为masternos。
数据层:与现有的sdn架构中的数据平面功能一致。
从上述的架构方案可以看出,本申请公开基于动态调度的网络操作系统安全架构,通过利用多样化的开源异构nos,建立异构nos实例集合,综合各自的安全优势,并结合基于感知的动态调度方法,使得网络面临安全威胁时,能更好的保证网络攻击不可复制、弹性和生存能力,从而提升网络操作系统的安全性能。
本申请实施例公开的动态调度网络操作系统架构具有感知动态调度异构nos的功能,进而避免了nos单点失效、虚假流表注入和nos劫持等攻击与威胁,也使得攻击者一次攻击成功后可持续利用相同漏洞或特权达到一劳永逸控制nos的目的成为不可能。本申请的架构,将动态性、异构性引入网络操作系统中,通过动态实时调度nos执行体实现nos的动态性,不仅可以实现传统上网络资源与计算资源、存储资源的协同调度,也极大地提高了网络操作系统的安全性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
- 还没有人留言评论。精彩留言会获得点赞!