一种安全sdn控制器及基于该控制器的网络安全方法
【技术领域】
[0001]本发明涉及网络安全技术领域,具体地说是一种实用性强、安全SDN控制器及基于该控制器的网络安全方法。
【背景技术】
[0002]传统网络发展至今,网络设备承载的功能不断扩展,耦合越来越多的控制逻辑,已难以满足云计算、大数据、虚拟化及相关业务发展对数据传输处理高速处理、资源灵活管理、新型协议快速部署的需求。软件定义网络(Software DefinedNetwork, SDN)是由Emulex提出的一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。该架构将路由器、交换机等网络设备中的控制平面和数据转发平面的分离,通过控制层集中控制,实现网络的可编程性,提供开放的网络接口,进而支持网络资源更加细粒度的管理,使网络和网络数据更接近应用层。SDN将网络设备从分组过滤、选路、服务区分等控制功能解放出来,使其专注于数据转发,提高网络速率和网络利用率。
[0003]SDN控制器作为SDN网络的核心,对SDN网络起着至关重要的作用,合理的设计SDN控制器可大大提升网络利用效率,并增加网络的安全性。基于此,现提供一种通过安全设计,提高数据安全性的安全SDN控制器及基于该控制器的网络安全方法。
【发明内容】
[0004]本发明的技术任务是针对以上不足之处,提供一种实用性强、安全SDN控制器及基于该控制器的网络安全方法。
[0005]一种安全SDN控制器,包括应用层、控制层、网络基础设施,该网络基础设施通过控制层控制,且该控制层实现网络的可编程性,提供接口连接上述应用层和控制层,在该控制层内,依次设计三层安全策略,加强安全控制。
[0006]所述控制层提供的接口为南向接口、北向接口,该控制层通过南向接口连接网络基础设施,应用层与控制层之间通过北向接口通信连接。
[0007]所述网络基础设施包括路由器、交换机。
[0008]所述控制层内包括基础控制模块、安全沙箱模块、入侵容忍模块、虚拟化模块、资源池模块和南向服务协议模块,其中:
基础控制模块用于解析应用层命令,向南向服务协议模块下发流表,并配置安全沙箱的安全策略;
安全沙箱模块负责安全策略的存储与执行;
入侵容忍模块通过与外部设备的互相备份,形成抗破坏能力;
虚拟化模块,负责对网络资源的虚拟化工作;
资源池模块,负责将本地与共享的资源进行存储,并隔离可疑资源;
南向服务协议模块,负责向网络基础设施下发流表与上传协议。
[0009]所述控制器中的三层安全策略分别位于资源池模块、入侵容忍模块、安全沙箱模块中。
[0010]一种基于安全SDN控制器的网络安全方法,其具体实现过程为:
将至少两台网络基础设备连接到安全SDN控制器上,SDN控制器与上层应用连接;首先SDN控制器通过北向接口获取上层应用的策略,通过基础控制模块送至安全沙箱模块进行安全策略配置;
把基本流表通过南向服务协议模块送至网络基础设备完成交换机配置;
当有数据包进入网络基础设备时,该网络基础设备根据流表策略进行端口的转发;
当遇到明确不安全的包时则将其按照安全沙箱中的策略进行丢弃,安全的包则送至资源池进行隔离;当有攻击报文时,入侵容忍模块进行异地备份,保证系统的抗压能力。
[0011]本发明的一种安全SDN控制器及基于该控制器的网络安全方法,具有以下优点: 本发明提出的一种安全SDN控制器及基于该控制器的网络安全方法,在有效控制并提高网络效率的基础上,加强了网络的安全功能,具有较强的应用价值,实用性强,易于推广。
【附图说明】
[0012]附图1为本发明的SDN控制器结构框图。
【具体实施方式】
[0013]下面结合附图和具体实施例对本发明作进一步说明。
[0014]本发明提供一种安全SDN控制器及基于该控制器的网络安全方法,在南向接口处增加逻辑分层组件,在控制器原有设计基础上新增加了资源池、应用管理模块、入侵容忍等模块,并对各数据交换接口和基础控制模块的业务编排进行安全改进。
[0015]如附图1所示,一种安全SDN控制器,包括应用层、控制层、网络基础设施,该网络基础设施通过控制层控制,且该控制层实现网络的可编程性,提供接口连接上述应用层和控制层,在该控制层内,依次设计三层安全策略,加强安全控制。
[0016]所述控制层提供的接口为南向接口、北向接口,该控制层通过南向接口连接网络基础设施,应用层与控制层之间通过北向接口通信连接。
[0017]所述网络基础设施包括路由器、交换机。
[0018]所述控制层内包括基础控制模块、安全沙箱模块、入侵容忍模块、虚拟化模块、资源池模块和南向服务协议模块,其中:
基础控制模块用于解析应用层命令,向南向服务协议模块下发流表,并配置安全沙箱的安全策略;
安全沙箱模块负责安全策略的存储与执行;
入侵容忍模块通过与外部设备的互相备份,形成抗破坏能力;
虚拟化模块,负责对网络资源的虚拟化工作;
资源池模块,负责将本地与共享的资源进行存储,并隔离可疑资源;
南向服务协议模块,负责向网络基础设施下发流表与上传协议。
[0019]所述控制器中的三层安全策略分别位于资源池模块、入侵容忍模块、安全沙箱模块中。
[0020]一种基于安全SDN控制器的网络安全方法,其具体实现过程为:
假设两台路由器分别为A和B,连接与安全SDN控制器之上,SDN控制器与上层应用连接。
[0021]首先SDN控制器通过北向接口获取上层应用的策略,通过基础控制模块101,送至安全沙箱102进行安全策略配置;
并把基本流表通过南向服务协议模块106送至交换机A与交换机B完成交换机配置。
[0022]当有数据包进入路由器A或B时,A或B交换机根据流表策略进行端口的转发,如果遇到明确不安全的包则将其按照安全沙箱102中的策略进行丢弃,可以包则可送至资源池105进行隔离。
[0023]若有攻击报文,由于有入侵容忍模块103进行异地备份,可保证系统有一定的抗压能力。
[0024]上述【具体实施方式】仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述【具体实施方式】,任何符合本发明的一种安全SDN控制器及基于该控制器的网络安全方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
【主权项】
1.一种安全SDN控制器,其特征在于,包括应用层、控制层、网络基础设施,该网络基础设施通过控制层控制,且该控制层实现网络的可编程性,提供接口连接上述应用层和控制层,在该控制层内,依次设计三层安全策略,加强安全控制。2.根据权利要求1所述的一种安全SDN控制器,其特征在于,所述控制层提供的接口为南向接口、北向接口,该控制层通过南向接口连接网络基础设施,应用层与控制层之间通过北向接口通信连接。3.根据权利要求1所述的一种安全SDN控制器,其特征在于,所述网络基础设施包括路由器、交换机。4.根据权利要求1所述的一种安全SDN控制器,其特征在于,所述控制层内包括基础控制模块、安全沙箱模块、入侵容忍模块、虚拟化模块、资源池模块和南向服务协议模块,其中: 基础控制模块用于解析应用层命令,向南向服务协议模块下发流表,并配置安全沙箱的安全策略; 安全沙箱模块负责安全策略的存储与执行; 入侵容忍模块通过与外部设备的互相备份,形成抗破坏能力; 虚拟化模块,负责对网络资源的虚拟化工作; 资源池模块,负责将本地与共享的资源进行存储,并隔离可疑资源; 南向服务协议模块,负责向网络基础设施下发流表与上传协议。5.根据权利要求1所述的一种安全SDN控制器,其特征在于,所述控制器中的三层安全策略分别位于资源池模块、入侵容忍模块、安全沙箱模块中。6.一种基于安全SDN控制器的网络安全方法,其特征在于,具体实现过程为: 将至少两台网络基础设备连接到安全SDN控制器上,SDN控制器与上层应用连接;首先SDN控制器通过北向接口获取上层应用的策略,通过基础控制模块送至安全沙箱模块进行安全策略配置; 把基本流表通过南向服务协议模块送至网络基础设备完成交换机配置; 当有数据包进入网络基础设备时,该网络基础设备根据流表策略进行端口的转发; 当遇到明确不安全的包时则将其按照安全沙箱中的策略进行丢弃,安全的包则送至资源池进行隔离;当有攻击报文时,入侵容忍模块进行异地备份,保证系统的抗压能力。
【专利摘要】本发明公开了一种安全SDN控制器及基于该控制器的网络安全方法,包括应用层、控制层、网络基础设施,该网络基础设施通过控制层控制,且该控制层实现网络的可编程性,提供接口连接上述应用层和控制层,在该控制层内,依次设计三层安全策略,加强安全控制,其网络安全方法基于该控制器实现。该安全SDN控制器及基于该控制器的网络安全方法与现有技术相比,在有效控制并提高网络效率的基础上,加强了网络的安全功能,具有较强的应用价值,实用性强,易于推广。
【IPC分类】H04L29/06
【公开号】CN104967615
【申请号】CN201510298008
【发明人】滕达, 毕研山, 姜凯
【申请人】浪潮集团有限公司
【公开日】2015年10月7日
【申请日】2015年6月3日