专利名称:数据流处理方法及系统、控制器、交换设备的制作方法
技术领域:
本发明实施例涉及通信技术,尤其涉及数据流处理方法及系统、控制器、交换设备。
背景技术:
传统网络架构中,通常包括若干路由交换设备,每个路由交换设备可以连接若干主机设备,所有路由交换设备均直接或间接与网关设备相连,由网关设备与外部网络连接。在对网络中的流量安全性进行检测时,可以在网络的关键路径处部署流量检测设备。例如,对于一个局域网或者公司网,通常可以在网关设备与外部网络的连接路径上部署流量检测设备,以此检测局域网或者公司网的整体流量安全性。随着通信技术的发展,出现了一种新型的网络架构,即软件定义网络(SoftwareDefined Network,简称SDN),也被称为可编程网络,SDN网络将网络设备控制平面与数据转发平面分离开来,是一种新的网络控制平面的实现方法,SDN网络不仅能够降低网络复杂度、满足网络虚拟化和云计算的要求,还能够减少数据转发平面设备的复杂度,因此,是新型网络架构的发展趋势。发明人在对现有技术的研究过程发现, 如果在SDN网络中采用传统网络的流量检测方法,则仅能检测网络整体流量的安全性,而难以对网络内部交换设备之间所传输流量的安全性进行检测,从而导致网络流量检测不准确。
发明内容
本发明实施例的目的在于提供一种数据流处理方法及系统、控制器、交换设备,解决SDN网络中无法检测交换设备接收或转发的数据流是否安全的问题。第一方面,本发明实施例提供一种数据流处理方法,包括接收软件定义网络中任一交换设备发送的数据流的第一特征信息,根据预设安全规则和所述第一特征信息,检测所述数据流是否安全,获得检测结果;若所述检测结果为安全,则为所述数据流制定转发策略,向所述交换设备下发所述转发策略,以供所述交换设备根据所述转发策略对所述数据流进行转发处理;若所述检测结果为不安全,则生成第一指示,并向所述交换设备下发所述第一指示,所述第一指示用以指示所述交换设备丢弃所述数据流。结合第一方面,在第一方面的第一种可能的实现方式中,所述预设安全规则包括禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。结合第一方面,在第一方面的第二种可能的实现方式中,所述第一特征信息为所述数据流首报文的包头,或所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包。
结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式中,在第一方面的第三种可能的实现方式中,若所述检测结果为暂时无法确认是否安全,则向所述交换设备下发第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息。结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述第二特征信息为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包。第二方面,本发明实施例提供一种数据流处理方法,包括接收数据流,判断存储的转发策略表中是否存在所述数据流对应的转发策略;若所述转发策略表中不存在对应的转发策略,则向软件定义网络中的控制器发送所述数据流的第一特征信息;接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;若所述处理指示为转发策略,则根据所述转发策略对所述数据流进行转发处理,所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的;若所述处理指示为用以指示所述交换设备丢弃所述数据流的第一指示,则根据所述第一指示丢弃所述数据流。结合第二方面,在第二方面的第一种可能的实现方式中,所述预设安全规则包括禁止或允许具有特定特征`信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。结合第二方面,在第二方面的第二种可能的实现方式中,所述数据流的第一特征信息为所述数据流首报文的包头,或所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包。结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,还包括若所述处理指示为用以指示所述交换设备发送所述数据流的第二特征信息的第二指示,则向所述控制器发送所述数据流的第二特征信息。结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,所述数据流的第二特征信息为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包。第三方面,本发明实施例提供一种控制器,包括接收模块,用于接收软件定义网络中任一交换设备发送的数据流的第一特征信安全检测模块,用于根据预设安全规则和所述接收模块接收的所述第一特征信息,检测所述数据流是否安全,获得检测结果;安全策略生成模块,用于在所述安全检测模块的检测结果为安全时,为所述数据流制定转发策略;或者,在所述安全检测模块的检测结果为不安全时,生成第一指示,所述第一指示用以指示所述交换设备丢弃所述数据流;
发送模块,用于向所述交换设备下发所述安全策略生成模块生成的所述转发策略,以供所述交换设备根据所述转发策略对所述数据流进行转发处理;或者,向所述交换设备下发所述安全策略生成模块生成的所述第一指示。结合第三方面,在第三方面的第一种可能的实现方式中,所述安全策略生成模块,还用于在所述安全检测模块的检测结果为暂时无法确认是否安全时,生成第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息;所述发送模块还用于在所述检测结果为暂时无法确认是否安全时,向所述交换设备下发第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息。第四方面,本发明实施例提供一种交换设备,包括接收模块,用于接收数据流,判断存储的转发策略表中是否存在所述数据流对应的转发策略;发送模块,用于在所述接收模块判断出所述转发策略表中不存在对应的转发策略时,向软件定义网络中的控制器发送所述数据流的第一特征信息;所述接收模块,还用于接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述发送模块发送的所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;处理模块,用于在所述接收模块接收的所述处理指示为转发策略时,根据所述转发策略对所述数据流进行转发处理,所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的;在所述处理指示为用以指示所述交换设备丢弃所述数据流的第一指示时,根据所述第一指示丢弃所述数据流。结合第四方面,在 第四方面的第一种可能的实现方式中,所述处理模块还用于在所述处理指示为用以指示所述交换设备发送所述数据流的第二特征信息的第二指示时,通知所述发送模块向所述控制器发送所述数据流的第二特征信息。第五方面,本发明实施例提供一种数据流处理系统,包括本发明实施例第三方面或第三方面的第一种可能的实现方式中任一控制器,以及至少一个如本发明第四方面或第四方面的第一种可能的实现方式中的任一交换设备。本发明实施例的数据流处理方法及系统、控制器、交换设备,通过预设安全规则检测对软件定义网络中任一交换设备发送的数据流的第一特征信息进行安全检测,若检测结果为安全,则为数据流制定数据流转发策略,并下发给交换设备,以供交换设备根据转发策略对数据流进行转发处理;若检测结果为不安全,则指示交换设备丢弃数据流,能够实现对SDN网络中任意交换设备的数据流进行安全检测,提高系统安全性能。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为SND网络结构示意图;图2为本发明数据流处理方法实施例一的流程图3为本发明数据流处理方法实施例二的流程图;图4为本发明控制器实施例一的结构示意图;图5为本发明交换设备实施例一的结构示意图;图6为本发明数据流处理系统实施例一的结构示意图;图7为本发明控制器实施例二的结构示意图;图8为本发明交换设备实施例二的结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为SDN网络结构示意图,如图1所示,SDN网络包含两种设备,一种是控制器(Controller)Il, 一种是交换设备(Switching equipment,简称SW)12,控制器11主要负责向该控制器11所连接的各个交换设备12发送流量转发策略以告知交换设备12如何处理数据流,交换设备12根据接收的流量转发策略丢弃或向指定的终端设备121转发数据流,可见,在现有的SDN网络中,当需要检测交换设备12的数据流是否安全时,现有的SDN网络的数据流检测方法无法满足,因此,亟需一种适用于SDN网络的数据流安全检测方案。针对上述问题,本发明实施例提供了一种数据流的处理方法。本实施例的数据流处理方法可以采用控制器实现,控制器可以集成在计算机中实现本实施例的数据流处理方法,或集成在软件定义网络的控制器网元中实现本实施例的数据流处理方法。图2为本发明数据流处理方法实施例一的流程图,如图2所示,本实施例数据流处理方法,包括S201、接收软件定义网络中任一交换设备发送的数据流的第一特征信息。在SDN网络中,交换设备在传输每一条数据流时,都需要从控制器获得转发规则,并将转发规则作为一个表项存储在流表中,即交换机所存储流表的每个表项可以标识一条数据流。通常当交换机传输某个数据流时,由于流表中没有这条数据流的转发规则,因此,交换机将该数据流的第一特征信息发送给控制器,以便向控制器请求该数据流的转发规则。S202、根据预设安全规则和第一特征信息,检测数据流是否安全,获得检测结果,若所述检测结果为安全,则执行S203 ;若所述检测结果为不安全,则执行S204。具体地,预设的安全规则可以为禁止特定网段内特定互联网地址的设备访问另一特定网段内特定互联网地址的设备,或者,禁止特定网段内特定端口的设备访问另一特定网段内特定端口的设备,或者,禁止特定网段内的特定设备向另一特定网段内的特定设备执行发送测试数据包操作,在其它实施例中,预设的安全规则还可以为禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作,该特定操作例如可以为发送测试数据包、发送访问请求消息或检查网络连接情况。控制器将接收的数据流的第一特征信息与预设的安全规则中设定的规则进行比较,若数据流的第一特征信息与预设的安全规则中的任意一条规则中的特征完全相同,则表示该数据流特征信息所对应的数据流不符合安全规则,根据该数据流的第一特征信息的检测结果为不安全,并执行下述S203;若数据流的第一特征信息与预设的安全规则中的任意一条规则中的特征都不相同,则表示该数据流的第一特征信息所对应的数据流符合安全规则,根据该数据流特征信息的检测结果为安全,并执行下述S204。S203、为数据流制定转发策略,向交换设备下发转发策略,以供交换设备根据转发策略对数据流进行转发处理。具体地,数据流的第一特征信息例如可以通过如下多个域来反应,每个域中有具体的值以标识该域所表示的特征。
权利要求
1.一种数据流处理方法,其特征在于,包括接收软件定义网络中任一交换设备发送的数据流的第一特征信息,根据预设安全规则和所述第一特征信息,检测所述数据流是否安全,获得检测结果;若所述检测结果为安全,则为所述数据流制定转发策略,向所述交换设备下发所述转发策略,以供所述交换设备根据所述转发策略对所述数据流进行转发处理;若所述检测结果为不安全,则生成第一指示,并向所述交换设备下发所述第一指示,所述第一指示用以指示所述交换设备丢弃所述数据流。
2.根据权利要求1所述的方法,其特征在于,所述预设安全规则包括禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。
3.根据权利要求1所述的方法,其特征在于,所述第一特征信息为所述数据流首报文的包头,或所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包。
4.根据权利要求1至3中任一所述的方法,其特征在于,还包括若所述检测结果为暂时无法确认是否安全,则向所述交换设备下发第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息。
5.根据权利要求4所述的方法,其特征在于,所述第二特征信息为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包。
6.一种数据流处理方法,其特征在于,包括接收数据流,判断存储的转发策略表中是否存在所述数据流对应的转发策略;若所述转发策略表中不存在对应的转发策略,则向软件定义网络中的控制器发送所述数据流的第一特征信息;接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;若所述处理指示为转发策略,则根据所述转发策略对所述数据流进行转发处理,所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的;若所述处理指示为用以指示所述交换设备丢弃所述数据流的第一指示,则根据所述第一指示丢弃所述数据流。
7.根据权利要求6所述的方法,其特征在于,所述预设安全规则包括禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。
8.根据权利要求6所述的方法,其特征在于,所述数据流的第一特征信息为所述数据流首报文的包头,或所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包。
9.根据权利要求6至8所述的方法,其特征在于,还包括若所述处理指示为用以指示所述交换设备发送所述数据流的第二特征信息的第二指示,则向所述控制器发送所述数据流的第二特征信息。
10.根据权利要求9所述的方法,其特征在于,所述数据流的第二特征信息为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包。
11.一种控制器,其特征在于,包括接收模块,用于接收软件定义网络中任一交换设备发送的数据流的第一特征信息;安全检测模块,用于根据预设安全规则和所述接收模块接收的所述第一特征信息,检测所述数据流是否安全,获得检测结果;安全策略生成模块,用于在所述安全检测模块的检测结果为安全时,为所述数据流制定转发策略;或者,在所述安全检测模块的检测结果为不安全时,生成第一指示,所述第一指示用以指示所述交换设备丢弃所述数据流;发送模块,用于向所述交换设备下发所述安全策略生成模块生成的所述转发策略,以供所述交换设备根据所述转发策略对所述数据流进行转发处理;或者,向所述交换设备下发所述安全策略生成模块生成的所述第一指示。
12.根据权利要求11所述的控制器,其特征在于,所述安全策略生成模块,还用于在所述安全检测模块的检测结果为暂时无法确认是否安全时,生成第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息;所述发送模块还用于向所述交换设备下发所述安全策略生成模块生成的所述第二指/Jn ο
13.—种交换设备,其特征在于,包括接收模块,用于接收数据流,判断存储的转发策略表中是否存在所述数据流对应的转发策略;发送模块,用于在所述接收模块判断出所述转发策略表中不存在对应的转发策略时, 向软件定义网络中的控制器发送所述数据流的第一特征信息;所述接收模块,还用于接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述发送模块发送的所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;处理模块,用于在所述接收模块接收的所述处理指示为转发策略时,根据所述转发策略对所述数据流进行转发处理,所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的;在所述处理指示为用以指示所述交换设备丢弃所述数据流的第一指示时,根据所述第一指示丢弃所述数据流。
14.根据权利要求13所述的交换设备,其特征在于,所述处理模块还用于在所述处理指示为用以指示所述交换设备发送所述数据流的第二特征信息的第二指示时,通知所述发送模块向所述控制器发送所述数据流的第二特征信肩、O
15.一种数据流处理系统,其特征在于,包括如权利要求11或12中任一所述的控制器以及至少一个如权利要求13或14中任一所述交换设备。
全文摘要
本发明实施例提供一种数据流处理方法及系统、控制器、交换设备,数据流处理方法包括接收软件定义网络中任一交换设备发送的数据流的第一特征信息,根据预设安全规则检测数据流的第一特征信息所对应的数据流是否安全,获得检测结果;若检测结果为安全,则为数据流制定数据流转发策略,并下发给交换设备,以供交换设备根据转发策略对数据流进行转发处理;若检测结果为不安全,则指示交换设备丢弃数据流,本发明实施例的数据流处理方法及系统、控制器、交换设备能够实现对SDN网络中任意交换设备的数据流进行安全检测。
文档编号H04L12/813GK103051557SQ201210579220
公开日2013年4月17日 申请日期2012年12月27日 优先权日2012年12月27日
发明者孟健, 王雨晨 申请人:华为技术有限公司