CN104702577B - 数据流安全处理方法及装置 - Google Patents

数据流安全处理方法及装置 Download PDF

Info

Publication number
CN104702577B
CN104702577B CN201310661766.XA CN201310661766A CN104702577B CN 104702577 B CN104702577 B CN 104702577B CN 201310661766 A CN201310661766 A CN 201310661766A CN 104702577 B CN104702577 B CN 104702577B
Authority
CN
China
Prior art keywords
path
node
data flow
fractionation
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310661766.XA
Other languages
English (en)
Other versions
CN104702577A (zh
Inventor
王东晖
李金明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310661766.XA priority Critical patent/CN104702577B/zh
Priority to EP14196841.2A priority patent/EP2882162B1/en
Priority to ES14196841.2T priority patent/ES2627755T3/es
Priority to US14/564,963 priority patent/US9401928B2/en
Publication of CN104702577A publication Critical patent/CN104702577A/zh
Application granted granted Critical
Publication of CN104702577B publication Critical patent/CN104702577B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/123Evaluation of link metrics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种数据流安全处理方法及装置。本发明数据流安全处理方法,包括:获取数据流的特征信息,所述特征信息包括所述数据流的源和目的信息;根据所述特征信息,确定所述数据流的安全等级;根据所述安全等级,确定用于传输所述数据流的转发路径;向所述转发路径上的各设备下发用于表示所述转发路径的信息。本发明实施例通过根据不同的数据流特征信息确定其安全等级,根据安全等级确定该数据流对应的转发路径,该转发路径可以经过安全设备实现其对应的安全功能,提高了数据流转发的安全性,减轻了中央控制器的负荷。

Description

数据流安全处理方法及装置
技术领域
本发明实施例涉及通信技术,尤其涉及一种数据流安全处理方法及装置。
背景技术
软件定义网络(software defined network,简称SDN)技术是一种新兴的控制与转发相分离的网络架构,SDN技术中两个主要的设备是中央控制器(也称为controller)与网络设备。
在SDN技术的基础上,现有的数据流安全处理方法为数据流首先通过在contrller内部的软件模块进行安全检测,然后由controller下发只经过转发设备的转发路径。
上述现有的数据流安全处理方法中,软件模块进行安全检测的安全性能不高,另外,controller不但需要决策数据流的传输路径,而且需要对数据流进行安全检测,其负荷量较重。
发明内容
本发明实施例提供一种数据流安全处理方法及装置,以一定程度上解决现有技术中软件模块进行安全检测的安全性能不高,以及负荷量较重的问题。
本发明的第一方面提供了一种数据流安全处理方法,包括:
获取数据流的特征信息,所述特征信息包括所述数据流的源和目的信息;
根据所述特征信息,确定所述数据流的安全等级;
根据所述安全等级,确定用于传输所述数据流的转发路径;
向所述转发路径上的各设备下发用于表示所述转发路径的信息。
在第一方面的第一种可能的实现方式中,所述根据所述安全等级,确定用于传输所述数据流的转发路径,包括:
根据所述安全等级,确定对应的路径查找规则;
根据所述路径查找规则,确定用于传输所述数据流的转发路径。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述路径查找规则为最短路径查找规则;
所述根据所述路径查找规则,确定用于传输所述数据流的转发路径,包括:
根据所述最短路径查找规则,确定源节点到目的节点的最短路径为所述转发路径,所述最短路径不经过安全设备。
结合第一方面的第一种或第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述路径查找规则为最短安全路径查找规则;
所述根据所述路径查找规则,确定用于传输所述数据流的转发路径,包括:
将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
获取源节点到所述拆分节点的路径;
获取目的节点到所述拆分节点的路径;
确定用于传输所述数据流的转发路径为所述源节点到所述拆分节点的路径与所述目的节点到所述拆分节点的路径中,经过相同安全节点但经过不同的拆分节点的路径中最短的路径。
结合第一方面的第一种或第二种可能的实现方式,在第一方面的第四种可能的实现方式中,所述路径查找规则为最快检测路径查找规则;
所述根据所述路径查找规则,确定用于传输所述数据流的转发路径,包括:
将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
获取源节点到当前的所述拆分节点的最短路径;
获取目的节点到所述安全节点的另一拆分节点的路径,所述另一拆分节点为所述最短路径经过的所述当前的拆分节点以外的拆分节点;
确定用于传输所述数据流的转发路径,所述用于传输所述数据流的转发路径为所述转发路径先经过所述源节点到所述拆分节点的最短路径,然后经过所述安全设备,最后经过所述目的节点到所述安全节点的另一拆分节点的路径。
结合第一方面,在第一方面的第五种可能的实现方式中,还包括:
获取网络拓扑信息,所述网络拓扑信息为包括转发设备和安全设备所在网络的拓扑信息,所述拓扑信息包括所述安全设备的安全能力信息;
所述根据所述安全等级,确定用于传输所述数据流的转发路径,包括:
根据所述安全等级和所述安全设备的安全能力信息,确定用于传输所述数据流的转发路径。
结合第一方面的第五种可能的实现方式,在第一方面的第六种可能的实现方式中,所述安全能力信息,包括下述信息中的至少一种信息:
2~3层的安全能力信息、2~7层的安全能力信息。
本发明的第二方面提供了一种数据流安全处理装置,包括:
特征获取模块,用于获取数据流的特征信息,所述特征信息包括所述数据流的源和目的信息;
等级确定模块,用于根据所述特征信息,确定所述数据流的安全等级;
路径确定模块,用于根据所述安全等级,确定用于传输所述数据流的转发路径;
路径下发模块,用于向所述转发路径上的各设备下发用于表示所述转发路径的信息。
在本发明的第二方面的第一种可能的实现方式中,所述等级确定模块,具体用于:
根据所述安全等级,确定对应的路径查找规则;
根据所述路径查找规则,确定用于传输所述数据流的转发路径。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述路径查找规则为最短路径查找规则;
所述路径确定模块,具体用于:
根据所述最短路径查找规则,确定源节点到目的节点的最短路径为所述转发路径,所述最短路径不经过安全设备。
结合第二方面的第一种或第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述路径查找规则为最短安全路径查找规则;
所述路径确定模块,具体用于:
将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
获取源节点到所述拆分节点的路径;
获取目的节点到所述拆分节点的路径;
确定用于传输所述数据流的转发路径为所述源节点到所述拆分节点的路径与所述目的节点到所述拆分节点的路径中,经过相同安全节点但经过不同的拆分节点的路径中最短的路径。
结合第二方面的第一种或第二种可能的实现方式,在第二方面的第四种可能的实现方式中,所述路径查找规则为最快检测路径查找规则;
所述路径确定模块,具体用于:
将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
获取源节点到当前的所述拆分节点的最短路径;
获取目的节点到所述安全节点的另一拆分节点的路径,所述另一拆分节点为所述最短路径经过的所述当前的拆分节点以外的拆分节点;
确定用于传输所述数据流的转发路径,所述用于传输所述数据流的转发路径为所述转发路径先经过所述源节点到所述拆分节点的最短路径,然后经过所述安全设备,最后经过所述目的节点到所述安全节点的另一拆分节点的路径。
结合第二方面,在第二方面的第五种可能的实现方式中,还包括:
拓扑获取模块,用于获取网络拓扑信息,所述网络拓扑信息为包括转发设备和安全设备所在网络的拓扑信息,所述拓扑信息包括所述安全设备的安全能力信息;
所述路径确定模块,具体用于:
根据所述安全等级和所述安全设备的安全能力信息,确定用于传输所述数据流的转发路径。
结合第二方面的第五种可能的实现方式,在第二方面的第六种可能的实现方式中,所述安全能力信息,包括下述信息中的至少一种信息:
2~3层的安全能力信息、2~7层的安全能力信息。
本发明提供一种数据流安全处理方法及装置,现有的数据流处理方法中数据流首先通过在controller内部的软件模块进行安全检测,然后由controller下发只经过转发设备的转发路径,本发明的数据流处理方法通过根据不同的数据流特征信息确定数据流的安全等级,根据数据流的安全等级确定该数据流对应的转发路径,相对于现有技术中,转发路径只经过转发设备,而不经过安全设备,本发明的数据流处理方法由于是通过根据不同的数据流特征信息确定数据流的安全等级,根据数据流的安全等级确定该数据流对应的转发路径,因此本发明实施例中确定的转发路径存在经过安全设备的可能性,这样的话,该转发路径可以经过安全设备实现其对应的安全功能,提高了数据流转发的安全性,减轻了controller的负荷。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1A为本发明实施例一提供的数据流安全处理方法流程图;
图1B为本发明实施例一提供的转发网络结构示意图;
图2A本发明实施例二提供的最短安全路径查找机制方法流程图;
图2B为本发明实施例二提供的网络拓扑示意图;
图2C为本发明实施例二提供的全网拓扑安全节点拆分示意图;
图2D本发明实施例二提供的最快检测路径查找机制方法流程图;
图3为本发明实施例三提供的数据流安全处理方法流程图;
图4为本发明实施例四提供的数据流安全处理装置结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明下述实施例是基于SDN技术,开放流(openflow,简称OF)网络中的数据流安全处理的方法与装置的实施例。本发明下述实施例中的网络设备包括转发设备和安全设备,其中,安全设备可以是防火墙,也可以是入侵防御系统(Intrusion PreventionSystem,简称IPS)或入侵检测系统(Intrusion Detection Systems,简称IDS)类安全设备,本发明不对此做限制,转发设备可以是交换机,也可以是路由器,本发明不对此做限制。
实施例一
图1A为本发明实施例一提供的数据流安全处理方法流程图,如图1A所示,具体包括如下步骤:
步骤101、获取数据流的特征信息,所述特征信息包括所述数据流的源和目的信息;
步骤102、根据所述特征信息,确定所述数据流的安全等级;
当有数据流需要转发时,controller可获取该数据流的特征信息,与当前网络设备的链路情况(如端口拥塞情况、转发线速等),然后综合链路情况与数据流的特征信息确定该数据流的安全等级,本发明不对安全等级的确定方法做限定。
步骤103、根据所述安全等级,确定用于传输所述数据流的转发路径;
步骤104、向所述转发路径上的各设备下发用于表示所述转发路径的信息。
具体来说,当有数据流需要在OF网络内传递时,controller可以获取该数据流的特征信息,并根据该特征信息,确定该数据流的安全等级,根据该数据流对应的安全等级确定其转发路径,不同的安全等级可对应不同的转发路径,不同的转发路径以不同的方式经过转发设备或安全设备,将确定的用于表示该转发路径的信息下发至该路径上的各设备,该设备可以包括转发设备和安全设备,也可以只包括转发设备。
本发明提供一种数据流安全处理方法及装置,现有的数据流处理方法中数据流首先通过在controller内部的软件模块进行安全检测,然后由controller下发只经过转发设备的转发路径,本发明的数据流处理方法通过根据不同的数据流特征信息确定数据流的安全等级,根据数据流的安全等级确定该数据流对应的转发路径,相对于现有技术中,转发路径只经过转发设备,而不经过安全设备,本发明的数据流处理方法由于是通过根据不同的数据流特征信息确定数据流的安全等级,根据数据流的安全等级确定该数据流对应的转发路径,因此本发明实施例中确定的转发路径存在经过安全设备的可能性,这样的话,该转发路径可以经过安全设备实现其对应的安全功能,提高了数据流转发的安全性,减轻了controller的负荷。
进一步地,上述实施例还可以包括:
获取网络拓扑信息,所述网络拓扑信息为包括转发设备和安全设备所在网络的拓扑信息,所述拓扑信息包括所述安全设备的安全能力信息;
相应的,上述步骤103可以具体为:
根据所述安全等级和所述安全设备的安全能力信息,确定用于传输所述数据流的转发路径。
可选的,安全能力信息,可以包括下述信息中的至少一种信息:
2~3层的安全能力信息、2~7层的安全能力信息。
具体来讲,在根据某一数据流的安全等级确定其转发路径之前,controller获取网络拓扑信息,可以通过以下三种方式:
方式一:握手类消息交互获取,OF网络中的网络设备向controller提出建立链接的请求,双方建立传输控制协议(Transmission Control Protocol,简称TCP)连接,网络设备可通过TCP连接传输其设备标识,同时controller与网络设备可交换双方的通信协议版本等信息,然后选择通信协议版本建立通信。
方式二:网络设备请求类消息交互获取,当OF网络中的网络设备状态信息产生变化时,网络设备可以主动向controller汇报其变化的状态信息,controller根据汇报的变化的状态信息对应的改变网络拓扑信息,其中状态信息可以包括但不限制于下述信息:设备状态信息、端口状态信息、安全能力信息,安全能力信息可以包括但不限制于下述两种信息:支持检测的数据包字段,如数据包过滤的网间协议(Internet Protocol,简称IP),虚拟局域网(Virtual Local Area Network,简称vlan)vlan,每英寸点数(Deep PacketInspection,简称DPI)等;攻击形式,如能检测的如磁盘操作系统(Disk OperatingSystem,简称DOS)命令、地址解析协议(Address Resolution Protocol,简称ARP)欺骗等攻击形式。
方式三:controller请求类消息交互获取,controller可以向OF网络中的网络设备请求获取状态信息,网络设备向controller发送对应的状态信息,controller根据接收到的状态信息对应的改变网络网络拓扑信息。
上述三种方式的网络拓扑信息获取方式,可在OF网络controller执行步骤103之前的任意时刻进行,可以以上说三种方式其中一种获取网络拓扑,也可以三种方式结合获取,本发明不对此做限制。
举例来说,图1B为本发明实施例一提供的转发网络结构示意图,如图1B所示,具体举例为OF网络的物理架构包含3个转发设备、2个安全设备,其连接方式如图2B所示。controller执行步骤103之前,可先通过上述三种方式获得全网拓扑。具体举例为controller可先应用方式一所述方法获取网络拓扑信息,即图1B所示的各网络设备(安全设备与转发设备)的状态信息,以及它们之间的连接关系,其中一个安全设备对应一个安全节点,一个转发设备对应一个转发节点;当网络中网络设备的状态信息发生变化时,可应用方式二对应的改变网络拓扑信息中变化的状态信息,另外,controller也可应用方式三,请求获取网络中的网络设备的状态信息。
通过controller获取包括安全设备和转发设备的网络拓扑信息后确定数据流的转发路径,提高了数据流转发的安全性。
更进一步地,根据所述安全等级,确定与所述数据流对应的转发路径,即步骤103可以具体包括:
根据所述安全等级,确定对应的路径查找机制;
根据所述路径查找机制,确定用于传输所述数据流的转发路径。
具体来说,当controller确定了需要在网络中传递的数据流的安全等级后,可确定该安全等级对应的路径查找机制,通过该路径查找机制确定该数据流的转发路径。
通过对不同的数据流划分不同的安全等级,不同的安全等级对应不同的路径查找机制确定转发路径,实现了数据流根据不同安全等级经过不同安全设备或不经过安全设备,提高了数据流转发的效率与安全性。
实施例二
实施例二为在实施例一的基础上,对实施例一中根据不同安全等级确定不同路径查找机制的具体描述,实施例一中的路径查找机制可以为最短路径查找机制、最短安全路径查找机制和最快检测路径查找机制,本发明的路径查找机制不限制于上述三种路径查找机制。
安全等级的确定可具体举例为以下两种方式,但不限定于以下两种方式。
方式一:以数据流的来源划分安全等级,可具体举例为根据数据流来源的可靠性划分安全等级,不同的安全等级对应不同的路径查找机制,其具体划分情况可举例为如表1所示。
表1、方式一安全等级划分情况
数据流来源的可靠性 安全等级 对应的路径查找机制
最短路径查找机制
最短安全路径查找机制
最快检测路径查找机制
方式二:将数据流的特征信息按某种的方式计算,按其计算结果划分安全等级。数据流的特征信息可以是该数据流的源和目的信息,具体可以是数据包到达的交换机端口、来源以太网端口、来源IP端口、VLAN标签、目标以太网或IP端口及许多其他数据包特性。该计算方式可具体举例为,Level_packet=(k1*Level_vlan ID+k2*Level_MAC)/2,其中,Level_packet为数据流等级、Level_vlan ID为虚拟网络安全等级、Level_MAC为物理网卡等级、k1和k2为预设的常数。这里提到的数据流特征值并不限于举例的几种。更具体的,在SDN网络中,可以从openflow消息中的“匹配域”字段获取上述提到的表征数据流特性的特征值。根据计算结果可划分区域,将每个区域对应一个安全等级,具体举例如表2所示,其中a、b、c、d为计算结果区域边界值,数据流特征信息计算结果属于表2中的那个区域,则该区域所对应的安全等级为该数据流的安全等级,可具体举例划分表2所示三个安全等级。
表2方式二安全等级划分情况
特征信息区域 安全等级 对应的路径查找机制
[a,b) 最短路径查找机制
[b,c) 最短安全路径查找机制
[c,d) 最快检测路径查找机制
上述三种路径查找机制的实现方式为:
一、最短路径查找机制
最短路径查找机制确定对应的转发路径包括:根据所述最短路径查找机制,确定源节点到目的节点的最短路径为所述转发路径,所述最短路径不经过安全设备。
具体来说,当OF网络中需要转发的数据流为对安全保障要求较低、或无安全需求的情况下,该数据流的安全等级较低,则根据该较低的安全等级可以选用最短路径查找机制确定转发路径。最短路径查找机制的实现过程为:确定需要转发的数据流的源节点到目的节点的最短路径,为了提高转发的速度该最短路径不经过安全设备。
二、最短安全路径查找机制
图2A本发明实施例二提供的最短安全路径查找机制方法流程图,如图2A所示,最短安全路径查找机制确定对应的转发路径,具体包括如下步骤:
步骤210、将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
步骤211、获取源节点到所述拆分节点的路径;
步骤212、获取目的节点到所述拆分节点的路径;
步骤213、确定用于传输所述数据流的转发路径为所述源节点到所述拆分节点的路径与所述目的节点到所述拆分节点的路径中,经过相同安全节点但经过不同的拆分节点的路径中最短的路径。
具体来说,当OF网络中需要转发的数据流为对安全保障与转发速度要求较高的数据流,该数据流对应的安全等级较高,则根据该较高的安全等级可以选择最短安全路径查找机制确定转发路径。最短安全路径查找机制的实现方式为:将每个安全设备对应的安全节点按度拆分为与度的数量相同的拆分节点;获取需要转发的数据流对应的源节点到每个拆分节点的路径,即执行步骤211;其中,所述“度”为一个节点可能通过多条链路和其它节点连接,那么和该节点有多少链路连接就有多少个度。进一步的,获取需要转发的数据对应的目的节点到各拆分节点的路径,即执行步骤212;对每一个安全节点的拆分节点执行步骤211~212,确定该数据流对应的转发路径,该转发路径为所述源节点到所述拆分节点的路径与所述目的节点到所述拆分节点的路径经过相同安全节点的不同的拆分节点的路径中最短的路径。
举例来说,图2B为本发明实施例二提供的网络拓扑示意图,图2C为本发明实施例二提供的全网拓扑安全节点拆分示意图,如图2B所示,具体举例为全网拓扑包括4个转发节点:V1~V4,2个安全节点S1和S2,其中,安全节点S1的度为3,安全节点S2的度为2,各安全节点与转发节点之间的权值表征两节点之间的路径长度,权值越大代表路径长度越长,反之亦然。如图2C所示,为图2B所示全网拓扑中安全节点拆分后的示意图,其中安全节点S1按度拆分为3个拆分节点,安全节点S2按度拆分为2个拆分节点。
图2B所示网络拓扑中最短安全路径查找机制的算法流程可以具体举例为:
STEP1、将图2B所示拓扑图进行拓扑重构,按照安全节点的度拆分安全节点,重构拓扑如图2C所示。
STEP2、在新的拓扑图中,利用迪杰斯特拉算法计算从源点V1到拆分节点S1-1~S1-3与S2-1~S2-2的权值之和,由该权值之和表征路径的长短,则计算得:
获得V1->S1-1=7;
获得V1->S1-2=2;
获得V1->S1-3=13;
获得V1->S2-1=4;
获得V1->S2-2=15。
STEP3、利用迪杰斯特拉算法计算从源点V2到拆分节点S1-1~S1-3与S2-1~S2-2的权值之和,计算得:
获得V2->S1-1=8;
获得V2->S1-2=1;
获得V2->S1-3=14;
获得V2->S2-1=5;
获得V2->S2-2=16。
STEP4、确定对于各安全节点的最终路径:
对安全节点S1:V1和V2两段路径和最小且为不同拆分节点的结果是V1->S1-1=7加上V2->S1-2=1,所以经过S1的最小长度是8;
对安全节点S2:V1和V2两段路径和最小且为不同拆分节点的结果是V1->S2-1=4加上V2->S2-2=16,所以经过S2的最小长度是20。
STEP5、取各个安全节点中最小长度最小的路径为最终路径,即V1->V4->S1->V2,算法结束。
上述过程为计算V1到V2的最短路径,利用同样的方法计算可获得任意两点间的最短路径,其计算过程如下:
节点V1到各拆分节点的权值之和:
获得V1->S1-1=7;
获得V1->S1-2=2;
获得V1->S1-3=13;
获得V1->S2-1=4;
获得V1->S2-2=1。
节点V2到各拆分节点的权值之和:
获得V2->S1-1=8;
获得V2->S1-2=1;
获得V2->S1-3=14;
获得V2->S2-1=5;
获得V2->S2-2=16。
节点V3到各拆分节点的权值之和:
获得V3->S1-1=11;
获得V3->S1-2=10;
获得V3->S1-3=5;
获得V3->S2-1=12;
获得V3->S2-2=7。
节点V4到各拆分节点的权值之和:
获得V4->S1-1=5;
获得V4->S1-2=4;
获得V4->S1-3=1;
获得V4->S2-1=6;
获得V4->S2-2=13。
综上可获得任意两点间的最短路径为:
V1->V2:min(V1->S1->V2)=V1->S1-1+V2->S1-2=8,
min(V1->S2->V2)=V1->S2-1+V2->S2-2=20,
所以V1->V2最短路径是8.路径为V1->V4->S1->V2;
V1->V3:min(V1->S1->V3)=V1->S1-2+V3->S1-3=7,
min(V1->S2->V3)=V1->S2-1+V3->S2-2=11,
所以V1->V3最短路径是7.路径为V1->V2->S1->V3;
V1->V4:min(V1->S1->V4)=V1->S1-2+V4->S1-1=7,
min(V1->S2->V4)=V1->S2-1+V4->S2-2=17,
所以V1->V4最短路径是7.路径为V1->V2->S1->V4;
V2->V3:min(V2->S1->V3)=V2->S1-2+V3->S1-3=6,
min(V2->S2->V3)=V2->S2-1+V3->S2-2=12,
所以V2->V3最短路径是6.路径是V2->S1->V3;
V2->V4:min(V2->S1->V4)=V2->S1-2+V4->S1-1=6,
min(V2->S2->V4)=V2->S2-1+V4->S2-2=18,
所以V2->V4最短路径是6.路径为V2->S1->V4;
V3->V4:min(V3->S1->V4)=V3->S1-3+V4->S1-2=9,
min(V3->S2->V4)=V3->S2-2+V4->S2-1=13,
所以V3->V4最短路径是9.路径为V3->S1->V2->V1->V4;
算法结束。
三、最快检测路径查找机制
图2D本发明实施例二提供的最快检测路径查找机制方法流程图。如图2D所示,最快检测路径查找机制确定对应的转发路径,具体包括如下步骤:
步骤220、将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
步骤221、获取源节点到当前的拆分节点的最短路径;
步骤222、获取目的节点到所述安全节点的另一拆分节点的路径,所述另一拆分节点为所述最短路径经过的所述拆分节点以外的拆分节点;
步骤223、确定用于传输所述数据流的转发路径,所述用于传输所述数据流的转发路径为所述转发路径先经过所述源节点到所述拆分节点的最短路径,然后经过所述安全设备,最后经过所述目的节点到所述安全节点的另一拆分节点的路径。
具体来说,当OF网络中需要转发的数据流危险系数较高或来自信任度较低的租户等,该数据流对应的安全等级特高,则根据该特高的安全等级可以选择最快检测路径查找机制确定转发路径。最快检测路径查找机制的实现方式为:将每个安全设备对应的安全节点按度拆分为与所述度的数量相同的拆分节点;获取需要转发的数据流对应的源节点到每个拆分节点的路径,并选择一条最短的源节点到拆分节点的路径,即执行步骤221;获取需要转发的数据流的目的节点到步骤211选择的路径经过的安全节点的另一拆分节点的路径,该另一拆分节点为步骤211选择的路径经过的拆分节点以外的属于同一安全节点的拆分节点;该数据流通过最快检测路径查找机制确定的转发路径先经过该数据流对应的源节点到所有拆分节点的最短路径,然后经过该拆分节点对应的安全设备,最后经过数据流对应的目的节点到该安全节点的另一拆分节点的路径。
通过不同的安全等级对应不同的路径查找机制确定转发路径,实现了数据流根据不同安全等级经过不同安全设备或不经过安全设备,提高了数据流转发的效率与安全性。
实施例三
实施例三为综合实施例一和实施例二,对数据流安全处理方法的具体描述。图3为本发明实施例三提供的数据流安全处理方法流程图,如图3所示,具体包括如下步骤:
步骤301、获取网络拓扑信息;
网络拓扑信息包括安全设备与转发设备的状态信息,以及相互之间的连接关系,同时也可获取安全设备的安全能力信息,该安全能力信息包括2~3层的安全能力信息和2~7层的安全能力信息。
步骤302、获取数据流的特征信息,确定数据流的安全等级;
步骤303、根据安全等级确定,确定对应的路径查找机制;
步骤304、根据确定的路径查找机制,确定数据流的转发路径;
步骤305、根据确定的转发路径向该转发路径上的各设备下发该转发路径。
步骤301获取网络拓扑信息为一个动态过程,即当网络中的安全设备或转发设备的状态信息或安全设备的安全能力信息发生变化时,controller会同步更新,其更新方式为实施例一中的三种方式,此处不再赘述。
本实施例的数据流安全处理方法,通过获取包括转发设备和安全设备的网络拓扑信息,根据数据流的特征信息确定数据流的安全等级,根据数据流的安全等级选择不同的路径查找机制确定数据流的转发路径,减轻了controller的负荷,提高了数据流转发的安全性。
实施例四
图4为本发明实施例四提供的数据流安全处理装置结构示意图,如图4所示,本实施例的数据流安全处理装置40包括:特征获取模块41、等级确定模块42、路径确定模块43、路径下发模块44,其中,特征获取模块41,用于获取数据流的特征信息,所述特征信息包括所述数据流的源和目的信息;等级确定模块42,用于根据所述特征信息,确定所述数据流的安全等级;路径确定模块43,用于根据所述安全等级,确定用于传输所述数据流的转发路径;路径下发模块44,用于向所述转发路径上的各设备下发用于表示所述转发路径的信息。
进一步地,等级确定模块42,具体用于:
根据所述安全等级,确定对应的路径查找规则;
根据所述路径查找规则,确定用于传输所述数据流的转发路径。
进一步地,路径查找规则为最短路径查找规则;
相应的,路径确定模块43,具体用于:
根据所述最短路径查找规则,确定源节点到目的节点的最短路径为所述转发路径,所述最短路径不经过安全设备。
进一步的,所述路径查找规则为最短安全路径查找规则;
相应的,路径确定模块43,具体用于:
将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
获取源节点到所述拆分节点的路径;
获取目的节点到所述拆分节点的路径;
确定用于传输所述数据流的转发路径为所述源节点到所述拆分节点的路径与所述目的节点到所述拆分节点的路径中,经过相同安全节点但经过不同的拆分节点的路径中最短的路径。
或者,路径查找规则为最快检测路径查找规则;
相应的,路径确定模块43,具体用于:
将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
获取源节点到当前的所述拆分节点的最短路径;
获取目的节点到所述安全节点的另一拆分节点的路径,所述另一拆分节点为所述最短路径经过的所述当前的拆分节点以外的拆分节点;
确定用于传输所述数据流的转发路径,所述用于传输所述数据流的转发路径为所述转发路径先经过所述源节点到所述拆分节点的最短路径,然后经过所述安全设备,最后经过所述目的节点到所述安全节点的另一拆分节点的路径。
另外,本实施例所述的数据流安全处理装置40,还可以包括:拓扑获取模块45,用于获取网络拓扑信息,所述网络拓扑信息为包括转发设备和安全设备所在网络的拓扑信息,所述拓扑信息包括所述安全设备的安全能力信息;相应的,路径确定模块43,具体用于根据所述安全等级和所述安全设备的安全能力信息,确定用于传输所述数据流的转发路径。
优选地,所述安全能力信息,包括下述信息中的至少一种信息:2~3层的安全能力信息、2~7层的安全能力信息。
本实施例的数据流安全处理装置可以用于执行实施例一、实施例二与实施例三所述的方法实施例的技术方案,其实现原理和技术效果类似,详细可以参见上述实施例中的相关记载,此处不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (6)

1.一种数据流安全处理方法,其特征在于,包括:
获取数据流的特征信息,所述特征信息包括所述数据流的源和目的信息;
根据所述特征信息,确定所述数据流的安全等级;
根据所述安全等级,确定用于传输所述数据流的转发路径;
向所述转发路径上的各设备下发用于表示所述转发路径的信息;
所述根据所述安全等级,确定用于传输所述数据流的转发路径,包括:
根据所述安全等级,确定对应的路径查找规则;
根据所述路径查找规则,确定用于传输所述数据流的转发路径;
具体的,当所述路径查找规则为最短路径查找规则;
所述根据所述路径查找规则,确定用于传输所述数据流的转发路径,包括:
根据所述最短路径查找规则,确定源节点到目的节点的最短路径为所述转发路径,所述最短路径不经过安全设备;
当所述路径查找规则为最短安全路径查找规则;
所述根据所述路径查找规则,确定用于传输所述数据流的转发路径,包括:
将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
获取源节点到所述拆分节点的路径;
获取目的节点到所述拆分节点的路径;
确定用于传输所述数据流的转发路径为所述源节点到所述拆分节点的路径与所述目的节点到所述拆分节点的路径中,经过相同安全节点但经过不同的拆分节点的路径中最短的路径;
当所述路径查找规则为最快检测路径查找规则;
所述根据所述路径查找规则,确定用于传输所述数据流的转发路径,包括:
将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
获取源节点到当前的所述拆分节点的最短路径;
获取目的节点到所述安全节点的另一拆分节点的路径,所述另一拆分节点为所述最短路径经过的所述当前的拆分节点以外的拆分节点;
确定用于传输所述数据流的转发路径,所述用于传输所述数据流的转发路径为所述转发路径先经过所述源节点到所述拆分节点的最短路径,然后经过所述安全设备,最后经过所述目的节点到所述安全节点的另一拆分节点的路径。
2.根据权利要求1所述的方法,其特征在于,还包括:
获取网络拓扑信息,所述网络拓扑信息为包括转发设备和安全设备所在网络的拓扑信息,所述拓扑信息包括所述安全设备的安全能力信息;
所述根据所述安全等级,确定用于传输所述数据流的转发路径,包括:
根据所述安全等级和所述安全设备的安全能力信息,确定用于传输所述数据流的转发路径。
3.根据权利要求2所述的方法,其特征在于,所述安全能力信息,包括下述信息中的至少一种信息:
2~3层的安全能力信息、2~7层的安全能力信息。
4.一种数据流安全处理装置,其特征在于,包括:
特征获取模块,用于获取数据流的特征信息,所述特征信息包括所述数据流的源和目的信息;
等级确定模块,用于根据所述特征信息,确定所述数据流的安全等级;
路径确定模块,用于根据所述安全等级,确定用于传输所述数据流的转发路径;
路径下发模块,用于向所述转发路径上的各设备下发用于表示所述转发路径的信息;
所述等级确定模块,具体用于:
根据所述安全等级,确定对应的路径查找规则;
根据所述路径查找规则,确定用于传输所述数据流的转发路径;
具体的,当所述路径查找规则为最短路径查找规则;
所述路径确定模块,具体用于:
根据所述最短路径查找规则,确定源节点到目的节点的最短路径为所述转发路径,所述最短路径不经过安全设备;
当所述路径查找规则为最短安全路径查找规则;
所述路径确定模块,具体用于:
将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
获取源节点到所述拆分节点的路径;
获取目的节点到所述拆分节点的路径;
确定用于传输所述数据流的转发路径为所述源节点到所述拆分节点的路径与所述目的节点到所述拆分节点的路径中,经过相同安全节点但经过不同的拆分节点的路径中最短的路径;
当所述路径查找规则为最快检测路径查找规则;
所述路径确定模块,具体用于:
将安全设备对应的安全节点按本节点的度拆分为与所述度的数量相同的拆分节点;
获取源节点到当前的所述拆分节点的最短路径;
获取目的节点到所述安全节点的另一拆分节点的路径,所述另一拆分节点为所述最短路径经过的所述当前的拆分节点以外的拆分节点;
确定用于传输所述数据流的转发路径,所述用于传输所述数据流的转发路径为所述转发路径先经过所述源节点到所述拆分节点的最短路径,然后经过所述安全设备,最后经过所述目的节点到所述安全节点的另一拆分节点的路径。
5.根据权利要求4所述的数据流安全处理装置,其特征在于,还包括:
拓扑获取模块,用于获取网络拓扑信息,所述网络拓扑信息为包括转发设备和安全设备所在网络的拓扑信息,所述拓扑信息包括所述安全设备的安全能力信息;
所述路径确定模块,具体用于:
根据所述安全等级和所述安全设备的安全能力信息,确定用于传输所述数据流的转发路径。
6.根据权利要求5所述的数据流安全处理装置,其特征在于,所述安全能力信息,包括下述信息中的至少一种信息:
2~3层的安全能力信息、2~7层的安全能力信息。
CN201310661766.XA 2013-12-09 2013-12-09 数据流安全处理方法及装置 Active CN104702577B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201310661766.XA CN104702577B (zh) 2013-12-09 2013-12-09 数据流安全处理方法及装置
EP14196841.2A EP2882162B1 (en) 2013-12-09 2014-12-08 Data stream security processing method and apparatus
ES14196841.2T ES2627755T3 (es) 2013-12-09 2014-12-08 Método y equipo de procesamiento de seguridad de flujos de datos
US14/564,963 US9401928B2 (en) 2013-12-09 2014-12-09 Data stream security processing method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310661766.XA CN104702577B (zh) 2013-12-09 2013-12-09 数据流安全处理方法及装置

Publications (2)

Publication Number Publication Date
CN104702577A CN104702577A (zh) 2015-06-10
CN104702577B true CN104702577B (zh) 2018-03-16

Family

ID=52484314

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310661766.XA Active CN104702577B (zh) 2013-12-09 2013-12-09 数据流安全处理方法及装置

Country Status (4)

Country Link
US (1) US9401928B2 (zh)
EP (1) EP2882162B1 (zh)
CN (1) CN104702577B (zh)
ES (1) ES2627755T3 (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2598337C2 (ru) * 2014-12-19 2016-09-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выбора средств перехвата данных, передаваемых по сети
CN105591953B (zh) * 2015-09-18 2019-09-06 新华三技术有限公司 一种OpenFlow实例的实现方法和装置
WO2017069736A1 (en) * 2015-10-20 2017-04-27 Hewlett Packard Enterprise Development Lp Sdn controller assisted intrusion prevention systems
CN105634962B (zh) * 2016-01-22 2018-07-24 北京航空航天大学 Sdn网络拓扑的生成方法和装置
CN106657015B (zh) * 2016-11-23 2020-09-22 中国银联股份有限公司 基于sdn网络的数据传输方法
CN106550049B (zh) * 2016-12-02 2019-04-30 清华大学深圳研究生院 一种中间件部署方法、装置及系统
CN108462633B (zh) * 2016-12-09 2021-05-28 中兴通讯股份有限公司 基于sdn的网络安全路由调度方法及系统
CN106790263A (zh) * 2017-02-08 2017-05-31 佛山易识科技有限公司 一种智能的敏感及私密数据传输保护方法
KR102304709B1 (ko) 2017-03-03 2021-09-23 현대자동차주식회사 V2x 통신 메시지에 대하여 적응적 보안 레벨을 적용하는 방법 및 장치
CN108846310B (zh) * 2018-04-28 2021-02-02 Oppo广东移动通信有限公司 图像处理方法、装置、电子设备和计算机可读存储介质
CN109033603B (zh) * 2018-07-18 2022-03-25 电子科技大学 基于源流路径链的智能变电站二次系统仿真方法
CN110808945B (zh) * 2019-09-11 2020-07-28 浙江大学 一种基于元学习的小样本场景下网络入侵检测方法
CN112765218A (zh) * 2021-01-29 2021-05-07 威讯柏睿数据科技(北京)有限公司 一种多层级安全保护的流数据处理方法及系统
CN112688882A (zh) * 2021-03-11 2021-04-20 广东省新一代通信与网络创新研究院 一种基于设备信任度的网络流量控制方法及系统
CN112671671B (zh) * 2021-03-16 2021-06-29 北京邮电大学 基于第三方库的第三方流量识别方法、装置及设备
CN113965508B (zh) * 2021-12-22 2022-08-02 北京华云安信息技术有限公司 双路径数据传输方法、电子设备和计算机可读存储介质
CN114859935A (zh) * 2022-05-27 2022-08-05 中国电信股份有限公司 应用于多节点组网的路径规划方法、装置、产品及介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2549577A1 (en) * 2004-09-09 2006-03-16 Avaya Technology Corp. Methods of and systems for network traffic security
CN101155196B (zh) * 2006-09-27 2011-05-11 中国电信股份有限公司 面向业务的IPv6地址分类与分配方法及实现该方法的终端和系统
CN101600227B (zh) * 2009-06-26 2013-04-24 北京邮电大学 一种分布式网络路由选择方法和路由设备
US20110202682A1 (en) 2010-02-12 2011-08-18 Microsoft Corporation Network structure for data center unit interconnection
US9250941B2 (en) 2011-09-30 2016-02-02 Telefonaktiebolaget L M Ericsson (Publ) Apparatus and method for segregating tenant specific data when using MPLS in openflow-enabled cloud computing

Also Published As

Publication number Publication date
CN104702577A (zh) 2015-06-10
US20150163243A1 (en) 2015-06-11
ES2627755T3 (es) 2017-07-31
US9401928B2 (en) 2016-07-26
EP2882162B1 (en) 2017-03-22
EP2882162A1 (en) 2015-06-10

Similar Documents

Publication Publication Date Title
CN104702577B (zh) 数据流安全处理方法及装置
CN105337857B (zh) 一种基于软件定义网络的多路径传输方法
CN105357046B (zh) 一种用于软件定义网络sdn的网络信息探测的方法
CN103609070B (zh) 网络流量检测方法、系统、设备及控制器
WO2013118873A1 (ja) 制御装置、通信システム、通信方法およびプログラム
CN106961387B (zh) 一种基于转发路径自迁移的链路型DDoS防御方法及系统
CN105684365A (zh) 利用软件定义流映射和虚拟化的网络功能的网络控制
CN104811326A (zh) 一种管理业务链的方法、系统及装置
CN106572120A (zh) 一种基于混合云的访问控制方法及系统
CN104521199A (zh) 用于分布式虚拟交换机的适应性基础设施
Hu et al. Towards a reliable {SDN} firewall
CN105391634B (zh) 一种报文处理方法、装置及交换机
CN104065571B (zh) 一种广播报文处理方法、装置及系统
CN104184708B (zh) Evi网络中抑制mac地址攻击的方法及边缘设备ed
CN108462633B (zh) 基于sdn的网络安全路由调度方法及系统
WO2014112616A1 (ja) 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム
Dangovas et al. SDN-driven authentication and access control system
Kumar et al. Open flow switch with intrusion detection system
CN106302525A (zh) 一种基于伪装的网络空间安全防御方法及系统
KR20180056692A (ko) 데이터 루팅 방법 및 장치
Wang et al. Defending DDoS attacks in software-defined networking based on legitimate source and destination IP address database
CN106341336B (zh) 一种通过聚合口转发报文的方法和装置
Odi et al. The proposed roles of VLAN and inter-VLAN routing in effective distribution of network services in Ebonyi State University
Islam et al. SDoT-NFV: Enhancing a distributed SDN-IoT architecture security with NFV implementation for smart city
Saharan et al. Prevention of DrDoS amplification attacks by penalizing the attackers in SDN environment

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant