软件定义网络数据隔离交换方法与流程
本发明涉及数据隔离交换技术领域,尤其涉及一种软件定义网络数据隔离交换方法。
背景技术:
随着互联网和web信息系统的兴起,随之出现了大量的业务系统,在各业务系统逐步发展完备的情形下,逐步浮现出如下问题:各种信息系统自成一体,用户查看各种信息资源需要分别登录进入不同系统,操作繁琐,工作效率受限,且用户不能按需获取信息定制内容;再者信息系统由不同的厂商开发,信息资源的共享存在不同信息系统之间技术架构和跨域访问的壁垒。
基于安全保密的需求,政府、军队、企事业单位内网与互联网之间是物理隔离的,这些网络之间也是物理隔离的,随着业务的发展,需要在这些相互隔离的网络之间进行数据交换,比如政务网需要面向公众提供身份查询、证件注册流程查询等公共服务,就需要政务网与互联网之间能够进行数据交换。因而,需要在满足安全的前提下实现不同安全等级的网络系统之间的数据交换,保证高安全等级网络安全性不受低安全等级网络的影响。
数据隔离交换是在不同安全等级网络或不同信息系统之间进行数据安全交换。数据隔离交换技术需要保证数据交换两端网络是隔离的,相互之间不受影响,尤其是网络安全性不能受影响,安全事件不跨界传递。同时数据隔离交换技术还需要提供两个不同安全等级网络之间的安全数据交换。
目前较为普遍为人所知的网络安全隔离交换方法主要有人力交换、双网口隔离卡技术以及数据摆渡技术三种。
然而,现有的这些数据隔离交换技术大多是单点单设备形态,提供单一类型的数据交换能力和安全防御能力,无法满足多样化的业务应用需求,不能针对业务应用数据传输需求按需提供数据传输服务,也降低了资源利用率。并且,传统的数据隔离交换技术缺乏从系统的角度设计数据隔离交换系统,仅仅是通过多个分散的无联系的数据交换设备来提供不同类型的数据交换服务,存在管理分散,难以扩展的问题,无法满足新的数据交换需求或者需要增加新设备并更改现有网络部署。
技术实现要素:
本发明提供了一种软件定义网络数据隔离交换方法,能够解决现有技术中数据隔离交换方法无法满足多样化的业务应用需求的技术问题。
本发明提供了一种软件定义网络数据隔离交换方法,该方法包括:
s100,应用层接收业务网络发送的数据交换请求;
s102,管理控制层从所述数据交换请求中提取应用标识;
s104,所述管理控制层基于所述应用标识判断应用实例库中是否存在与所述应用标识对应的应用实例,如果是,转至s106,否则转至s108;
s106,所述管理控制层获取所述应用实例对应的策略集合,转至s110;
s108,所述管理控制层输出第一拒绝接入消息,结束流程;
s110,所述管理控制层判断所述策略集合中的策略是否全部下发至基础设施层中的策略执行代理模块中,如果是,转至s112,否则转至s114;
s112,所述管理控制层输出指示传输业务数据的信号;
s114,所述管理控制层从未下发策略中获取一条未下发策略,转至s116;
s116,所述管理控制层获取当前执行的策略集合,转至s118;
s118,所述管理控制层判断所述一条未下发策略与当前执行的策略集合之间是否存在冲突,如果是,转至s120,否则转至s122;
s120,所述管理控制层输出第二拒绝接入消息,结束流程;
s122,所述管理控制层判断所述策略执行代理模块中是否存在所述一条未下发策略,如果是,转至s124,否则转至s126;
s124,所述管理控制层将所述应用实例的应用标识添加到与所述一条未下发策略对应的应用实例集合中,返回至s110;
s126,所述管理控制层下发所述一条未下发策略至所述策略执行代理模块,转至s124。
优选地,s124还包括:将所述应用实例标记为所述一条未下发策略下发成功。
优选地,在s112之后,该方法还包括:
s128,所述管理控制层接收业务网络发送的表示业务数据传输结束的消息;
s130,所述管理控制层判断所述策略执行代理模块中与所述应用实例对应的策略集合中的策略是否全部删除,如果是,结束流程,否则转至s132;
s132,所述管理控制层从未删除策略中获取一条未删除策略;
s134,所述管理控制层判断所述策略执行代理模块中与所述一条未删除策略对应的应用实例集合是否具有所述应用实例的应用标识,如果是,转至s136,否则转至s130;
s136,所述管理控制层删除所述策略执行代理模块中所述应用实例的应用标识,并将所述应用实例标记为所述一条未删除策略删除;
s138,所述管理控制层判断所述一条未删除策略对应的应用实例集合是否为空,如果是,转至s140,否则转至s130;
s140,所述管理控制层从所述策略执行代理模块中删除所述一条未删除策略,转至s130。
优选地,通过下述步骤配置策略集合:
s200,所述管理控制层接收用户应用注册请求,并基于需求数据库输出需求分类结果给用户;
s202,所述管理控制层接收用户输入的应用相关信息;
s204,所述管理控制层判断用户是否具有注册应用权限,如果是转至s206,否则转至s208;
s206,所述管理控制层基于需求与策略映射关系获取应用对应的所有策略集合,转至s210;
s208,所述管理控制层输出表示用户没有注册应用的权限的消息给用户,结束流程;
s210,所述管理控制层基于所述应用相关信息对策略进行编排;
s212,所述管理控制层判断编排的策略之间是否存在冲突,如果是,转至s214,否则转至s216;
s214,所述管理控制层执行冲突预处理操作,转至s218;
s216,所述管理控制层生成策略集合,并保存与生成的策略集合对应的应用实例,转至s220;
s218,所述管理控制层判断冲突是否解决,如果是,返回至s216,否则转至s222;
s220,所述管理控制层输出表示用户应用注册成功的消息给用户;
s222,所述管理控制层输出表示用户应用注册失败的消息给用户。
优选地,所述应用相关信息包括应用名称和数据交换需求。
优选地,所述第一拒绝接入消息包括指示所述应用实例为未知应用的拒绝原因。
优选地,所述第二拒绝接入消息包括指示所述一条未下发策略与当前执行的策略冲突的拒绝原因。
应用本发明的技术方案,可以实现在不同安全等级网络中安全高效地交换数据,并且可以支持多种网络隔离交换方式、以及支持根据用户网络的业务应用需求按需定制数据交换服务。
附图说明
所包括的附图用来提供对本发明实施例的进一步的理解,其构成了说明书的一部分,用于例示本发明的实施例,并与文字描述一起来阐释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本发明一种实施例的一种软件定义网络数据隔离交换方法的流程图;以及
图2示出了根据本发明一种实施例的一种策略集合配置方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出了根据本发明一种实施例的一种软件定义网络数据隔离交换方法的流程图。
如图1所示,本发明一种实施例提供的软件定义网络数据隔离交换方法可以包括:
s100,应用层接收业务网络发送的数据交换请求;
s102,管理控制层从所述数据交换请求中提取应用标识;
s104,所述管理控制层基于所述应用标识判断应用实例库中是否存在与所述应用标识对应的应用实例,如果是,转至s106,否则转至s108;
也就是,可以根据应用标识查找对应的应用实例。
s106,所述管理控制层获取所述应用实例对应的策略集合,转至s110;
s108,所述管理控制层输出第一拒绝接入消息,结束流程;
也就是,通过输出第一拒绝接入消息,可以通知用户当前无法为用户提供数据传输服务。
s110,所述管理控制层判断所述策略集合中的策略是否全部下发至基础设施层中的策略执行代理模块中,如果是,转至s112,否则转至s114;
s112,所述管理控制层输出指示传输业务数据的信号;
也就是,不存在未下发策略则可以通知用户可以传输业务数据。由此,设备可以根据下发策略执行例如接入认证、安全检测、安全审计、数据交换等工作。并且,这些工作可以全部执行或者部分执行,具体执行哪些以及具体如何执行可以根据下发策略决定。
s114,所述管理控制层从未下发策略中获取一条未下发策略,转至s116;
s116,所述管理控制层获取当前执行的策略集合,转至s118;
s118,所述管理控制层判断所述一条未下发策略与当前执行的策略集合(例如,数据隔离交换设备中当前执行的策略集合)之间是否存在冲突,如果是,转至s120,否则转至s122;
s120,所述管理控制层输出第二拒绝接入消息,结束流程;
也就是,通过输出第二拒绝接入消息,可以通知用户当前无法为用户提供数据传输服务。
s122,所述管理控制层判断所述策略执行代理模块中是否存在所述一条未下发策略,如果是,转至s124,否则转至s126;
s124,所述管理控制层将所述应用实例的应用标识添加到与所述一条未下发策略对应的应用实例集合中,返回至s110;
s126,所述管理控制层下发所述一条未下发策略至所述策略执行代理模块,转至s124。
通过上述技术方案,可以实现在不同安全等级网络中安全高效地交换数据。
根据本发明一种实施例,s124还可以包括:将所述应用实例标记为所述一条未下发策略下发成功。
根据本发明一种实施例,在s112之后,该方法还可以包括:
s128,所述管理控制层接收业务网络发送的表示业务数据传输结束的消息;
s130,所述管理控制层判断所述策略执行代理模块中与所述应用实例对应的策略集合中的策略是否全部删除,如果是,结束流程,否则转至s132;
s132,所述管理控制层从未删除策略中获取一条未删除策略;
s134,所述管理控制层判断所述策略执行代理模块中与所述一条未删除策略对应的应用实例集合是否具有所述应用实例的应用标识,如果是,转至s136,否则转至s130;
s136,所述管理控制层删除所述策略执行代理模块中所述应用实例的应用标识(例如,从与所述一条未删除策略对应的应用实例集合删除该应用标识),并将所述应用实例标记为所述一条未删除策略删除(也就是,在应用实例中所述一条未删除策略标记为删除);
s138,所述管理控制层判断所述一条未删除策略对应的应用实例集合是否为空,如果是,转至s140,否则转至s130;
s140,所述管理控制层从所述策略执行代理模块中删除所述一条未删除策略,转至s130。
也就是,删除策略执行代理模块中该应用对应的所有策略:如果被删除策略有其他应用使用,则只从该策略对应的应用实例集合中删除该应用实例的应用标识,否则删除该条策略,该应用对应的所有策略全部删除则结束本次服务。
由此,可以避免不必要的资源占用,以及可以避免与后续应用策略的冲突,从而不对后续应用的下发造成影响。
图2示出了根据本发明一种实施例的一种策略集合配置方法的流程图。
根据本发明一种实施例,可以通过下述步骤配置策略集合:
s200,所述管理控制层接收用户应用注册请求,并基于需求数据库输出需求分类结果给用户;
例如,将系统支持的所有数据交换需求分类显示到界面供用户选择。
s202,所述管理控制层接收用户输入的应用相关信息;
s204,所述管理控制层判断用户是否具有注册应用权限,如果是转至s206,否则转至s208;
s206,所述管理控制层基于需求与策略映射关系获取应用对应的所有策略集合,转至s210;
s208,所述管理控制层输出表示用户没有注册应用的权限的消息给用户,结束流程;
s210,所述管理控制层基于所述应用相关信息对策略进行编排;
s212,所述管理控制层判断编排的策略之间是否存在冲突,如果是,转至s214,否则转至s216;
s214,所述管理控制层执行冲突预处理操作,转至s218;
s216,所述管理控制层生成策略集合,并保存与生成的策略集合对应的应用实例,转至s220;
s218,所述管理控制层判断冲突是否解决,如果是,返回至s216,否则转至s222;
s220,所述管理控制层输出表示用户应用注册成功的消息给用户;
s222,所述管理控制层输出表示用户应用注册失败的消息给用户。
由此,可以支持多种网络隔离交换方式,以及支持根据用户网络的业务应用需求按需定制数据交换服务。
根据本发明一种实施例,所述应用相关信息可以包括应用名称和数据交换需求。
举例来讲,可以根据数据交换需要与策略映射关系确定需要使用的资源,包含资源名称、数量、给资源配置的策略集合,对服务进行编排。
根据本发明一种实施例,所述第一拒绝接入消息包括指示所述应用实例为未知应用的拒绝原因。也就是,拒绝原因为所述应用实例是未知应用。
根据本发明一种实施例,所述第二拒绝接入消息包括指示所述一条未下发策略与当前执行的策略冲突的拒绝原因。也就是,拒绝原因为一条未下发策略与当前执行的策略冲突。
举例来讲,在本发明中,应用实例(亦称应用传输服务实例)可以包含以下数据元素:应用标识:表明该应用实例唯一性;应用名称:使用数据传输服务的应用名称;数据交换需求:表明该应用实例能够满足哪些数据交换需求,当只需要进行单一方向的数据交换时,传输服务实例包含一个数据交换需求数据;当需要进行双向的数据交换时,传输服务实例包含两个数据交换需求数据。
其中,数据交换需求包含如下数据元素:
交换双方网络:数据交换两端网络基本信息,包含数据发送方网络名称、数据发送方网络密级、数据接收方网络名称、数据接收方网络密级;
数据量级:每次数据交换的大小范围;
数据传输速率:可以接受的最低数据传输速率;
数据密级:被传输数据最高密级;
时延:能够接受的最大延迟时间;
策略集合:包含资源分配策略、数据传输策略、安全防御策略、安全审计策略。
此外,策略执行代理模块中的策略可以包含如下数据元素:策略规则:策略本身内容,执行条件、需要执行的操作、执行主体、客体等;应用实例集合:需要执行该策略的应用实例标识。
在本发明中,根据本发明一种实施例,基于软件定义网络框架搭建的数据隔离交换系统(交换区)包括:最上层的应用层、中间的管理控制层和最下层的基础设施层。其中,应用层可以包含多种实用网络隔离交换系统的业务应用,数据共享、业务协同、在线响应、数据库单向同步等;应用支撑负责构建业务应用与网络隔离交换系统之间的桥梁,与数据交换两端的应用对接,提供统一的数据传输接口服务或者应用代理服务给数据交换两端的业务应用系统。管理控制层采用软件定义网络的思想,集中管控网络隔离交换系统中所有设备(数据隔离交换设备),对上提供按需定制的数据传输服务(数据交换服务),对下统一管控系统所有设备,配置数据交换策略,使下层设备专注于数据传输处理,提高数据传输速率。管理控制层功能可以通过软件定义网络控制器实现,管理控制层可以通过任意类型的软件定义网络北向接口与应用层通信。基础设施层是网络隔离交换系统的资源层,包含数据传输资源、安全防护资源、安全审计资源等等,可以通过其包含的策略执行代理模块执行管理控制层下发的控制策略。
根据本发明一种实施例,举例来讲,管理控制层从上到下可以分为交互层、服务层和策略执行层。其中,交互层通过策略管理控制台实现系统用户与服务层之间的交互,接收系统用户各种请求和输入信息,并提交给服务层请求服务,最后将服务层处理结果返回给系统用户。并且,交互层可以为系统用户提供图形化的管理界面。服务层提供策略规则、应用需求、需求与策略映射关系、应用实例策略集合存储服务,提供策略编排服务、提供策略下发服务,是管理控制层的核心部分。策略执行层负责策略的具体执行,包含安全检测策略执行代理、应用管控策略执行代理、通道选择策略执行代理、审计策略执行代理。
从上述实施例可以看出,本发明上述的软件定义网络数据隔离交换方法以需要跨网数据交换服务的业务应用系统数据交换需求为依据,为每个应用定制应用传输服务实例,并基于业务应用类型按需提供安全高效跨网传输服务,且具有以下优点:(1)可以集中管控系统内所有数据隔离交换设备,统一配置资源,提高资源利用率;(2)扩展性好,且不需要更改网络部署,仅仅需要在管理控制部分添加对应的设备信息,就可以分配使用该设备;(3)能够根据业务应用数据交换需求按需定制数据交换服务;(4)底层数据交换设备和安全防御设备不需要做管控方面的工作,将资源全部用于交换数据或者安全检查,提高数据处理效率。
在本发明的描述中,需要理解的是,方位词如“前、后、上、下、左、右”、“横向、竖向、垂直、水平”和“顶、底”等所指示的方位或位置关系通常是基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,在未作相反说明的情况下,这些方位词并不指示和暗示所指的装置或元件必须具有特定的方位或者以特定的方位构造和操作,因此不能理解为对本发明保护范围的限制;方位词“内、外”是指相对于各部件本身的轮廓的内外。
为了便于描述,在这里可以使用空间相对术语,如“在……之上”、“在……上方”、“在……上表面”、“上面的”等,用来描述如在图中所示的一个器件或特征与其他器件或特征的空间位置关系。应当理解的是,空间相对术语旨在包含除了器件在图中所描述的方位之外的在使用或操作中的不同方位。例如,如果附图中的器件被倒置,则描述为“在其他器件或构造上方”或“在其他器件或构造之上”的器件之后将被定位为“在其他器件或构造下方”或“在其他器件或构造之下”。因而,示例性术语“在……上方”可以包括“在……上方”和“在……下方”两种方位。该器件也可以其他不同方式定位(旋转90度或处于其他方位),并且对这里所使用的空间相对描述作出相应解释。
此外,需要说明的是,使用“第一”、“第二”等词语来限定零部件,仅仅是为了便于对相应零部件进行区别,如没有另行声明,上述词语并没有特殊含义,因此不能理解为对本发明保护范围的限制。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!