CN104967615B - 一种安全sdn控制器及基于该控制器的网络安全方法 - Google Patents

一种安全sdn控制器及基于该控制器的网络安全方法 Download PDF

Info

Publication number
CN104967615B
CN104967615B CN201510298008.5A CN201510298008A CN104967615B CN 104967615 B CN104967615 B CN 104967615B CN 201510298008 A CN201510298008 A CN 201510298008A CN 104967615 B CN104967615 B CN 104967615B
Authority
CN
China
Prior art keywords
module
network
security
key
course
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510298008.5A
Other languages
English (en)
Other versions
CN104967615A (zh
Inventor
滕达
毕研山
姜凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Inspur Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Group Co Ltd filed Critical Inspur Group Co Ltd
Priority to CN201510298008.5A priority Critical patent/CN104967615B/zh
Publication of CN104967615A publication Critical patent/CN104967615A/zh
Application granted granted Critical
Publication of CN104967615B publication Critical patent/CN104967615B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种安全SDN控制器及基于该控制器的网络安全方法,包括应用层、控制层、网络基础设施,该网络基础设施通过控制层控制,且该控制层实现网络的可编程性,提供接口连接上述应用层和控制层,在该控制层内,依次设计三层安全策略,加强安全控制,其网络安全方法基于该控制器实现。该安全SDN控制器及基于该控制器的网络安全方法与现有技术相比,在有效控制并提高网络效率的基础上,加强了网络的安全功能,具有较强的应用价值,实用性强,易于推广。

Description

一种安全SDN控制器及基于该控制器的网络安全方法
技术领域
本发明涉及网络安全技术领域,具体地说是一种实用性强、安全SDN控制器及基于该控制器的网络安全方法。
背景技术
传统网络发展至今,网络设备承载的功能不断扩展,耦合越来越多的控制逻辑,已难以满足云计算、大数据、虚拟化及相关业务发展对数据传输处理高速处理、资源灵活管理、新型协议快速部署的需求。软件定义网络(Software DefinedNetwork,SDN)是由Emulex提出的一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。该架构将路由器、交换机等网络设备中的控制平面和数据转发平面的分离,通过控制层集中控制,实现网络的可编程性,提供开放的网络接口,进而支持网络资源更加细粒度的管理,使网络和网络数据更接近应用层。SDN 将网络设备从分组过滤、选路、服务区分等控制功能解放出来,使其专注于数据转发,提高网络速率和网络利用率。
SDN控制器作为SDN网络的核心,对SDN网络起着至关重要的作用,合理的设计SDN控制器可大大提升网络利用效率,并增加网络的安全性。基于此,现提供一种通过安全设计,提高数据安全性的安全SDN控制器及基于该控制器的网络安全方法。
发明内容
本发明的技术任务是针对以上不足之处,提供一种实用性强、安全SDN控制器及基于该控制器的网络安全方法。
一种安全SDN控制器,包括应用层、控制层、网络基础设施,该网络基础设施通过控制层控制,且该控制层实现网络的可编程性,提供接口连接上述应用层和控制层,在该控制层内,依次设计三层安全策略,加强安全控制。
所述控制层提供的接口为南向接口、北向接口,该控制层通过南向接口连接网络基础设施,应用层与控制层之间通过北向接口通信连接。
所述网络基础设施包括路由器、交换机。
所述控制层内包括基础控制模块、安全沙箱模块、入侵容忍模块、虚拟化模块、资源池模块和南向服务协议模块,其中:
基础控制模块用于解析应用层命令,向南向服务协议模块下发流表,并配置安全沙箱的安全策略;
安全沙箱模块负责安全策略的存储与执行;
入侵容忍模块通过与外部设备的互相备份,形成抗破坏能力;
虚拟化模块,负责对网络资源的虚拟化工作;
资源池模块,负责将本地与共享的资源进行存储,并隔离可疑资源;
南向服务协议模块,负责向网络基础设施下发流表与上传协议。
所述控制器中的三层安全策略分别位于资源池模块、入侵容忍模块、安全沙箱模块中。
一种基于安全SDN控制器的网络安全方法,其具体实现过程为:
将至少两台网络基础设备连接到安全SDN控制器上,SDN控制器与上层应用连接;
首先SDN控制器通过北向接口获取上层应用的策略,通过基础控制模块送至安全沙箱模块进行安全策略配置;
把基本流表通过南向服务协议模块送至网络基础设备完成交换机配置;
当有数据包进入网络基础设备时,该网络基础设备根据流表策略进行端口的转发;
当遇到明确不安全的包时则将其按照安全沙箱中的策略进行丢弃,安全的包则送至资源池进行隔离;当有攻击报文时,入侵容忍模块进行异地备份,保证系统的抗压能力。
本发明的一种安全SDN控制器及基于该控制器的网络安全方法,具有以下优点:
本发明提出的一种安全SDN控制器及基于该控制器的网络安全方法,在有效控制并提高网络效率的基础上,加强了网络的安全功能,具有较强的应用价值,实用性强,易于推广。
附图说明
附图1为本发明的SDN控制器结构框图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
本发明提供一种安全SDN控制器及基于该控制器的网络安全方法,在南向接口处增加逻辑分层组件,在控制器原有设计基础上新增加了资源池、应用管理模块、入侵容忍等模块,并对各数据交换接口和基础控制模块的业务编排进行安全改进。
如附图1所示,一种安全SDN控制器,包括应用层、控制层、网络基础设施,该网络基础设施通过控制层控制,且该控制层实现网络的可编程性,提供接口连接上述应用层和控制层,在该控制层内,依次设计三层安全策略,加强安全控制。
所述控制层提供的接口为南向接口、北向接口,该控制层通过南向接口连接网络基础设施,应用层与控制层之间通过北向接口通信连接。
所述网络基础设施包括路由器、交换机。
所述控制层内包括基础控制模块、安全沙箱模块、入侵容忍模块、虚拟化模块、资源池模块和南向服务协议模块,其中:
基础控制模块用于解析应用层命令,向南向服务协议模块下发流表,并配置安全沙箱的安全策略;
安全沙箱模块负责安全策略的存储与执行;
入侵容忍模块通过与外部设备的互相备份,形成抗破坏能力;
虚拟化模块,负责对网络资源的虚拟化工作;
资源池模块,负责将本地与共享的资源进行存储,并隔离可疑资源;
南向服务协议模块,负责向网络基础设施下发流表与上传协议。
所述控制器中的三层安全策略分别位于资源池模块、入侵容忍模块、安全沙箱模块中。
一种基于安全SDN控制器的网络安全方法,其具体实现过程为:
假设两台路由器分别为A和B,连接与安全SDN控制器之上,SDN控制器与上层应用连接。
首先SDN控制器通过北向接口获取上层应用的策略,通过基础控制模块101,送至安全沙箱102进行安全策略配置;
并把基本流表通过南向服务协议模块106送至交换机A与交换机B完成交换机配置。
当有数据包进入路由器A或B时,A或B交换机根据流表策略进行端口的转发,如果遇到明确不安全的包则将其按照安全沙箱102中的策略进行丢弃,可以包则可送至资源池105进行隔离。
若有攻击报文,由于有入侵容忍模块103进行异地备份,可保证系统有一定的抗压能力。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种安全SDN控制器及基于该控制器的网络安全方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。

Claims (4)

1.一种安全SDN控制器,其特征在于,包括应用层、控制层、网络基础设施,该网络基础设施通过控制层控制,且该控制层实现网络的可编程性,提供接口连接上述应用层和控制层,在该控制层内,依次设计三层安全策略,加强安全控制;
所述控制层提供的接口为南向接口、北向接口,该控制层通过南向接口连接网络基础设施,应用层与控制层之间通过北向接口通信连接;
所述控制层内包括基础控制模块、安全沙箱模块、入侵容忍模块、虚拟化模块、资源池模块和南向服务协议模块,其中:
基础控制模块用于解析应用层命令,向南向服务协议模块下发流表,并配置安全沙箱的安全策略;
安全沙箱模块负责安全策略的存储与执行;
入侵容忍模块通过与外部设备的互相备份,形成抗破坏能力;
虚拟化模块,负责对网络资源的虚拟化工作;
资源池模块,负责将本地与共享的资源进行存储,并隔离可疑资源;
南向服务协议模块,负责向网络基础设施下发流表与上传协议。
2.根据权利要求1所述的一种安全SDN控制器,其特征在于,所述网络基础设施包括路由器、交换机。
3.根据权利要求1所述的一种安全SDN控制器,其特征在于,所述控制器中的三层安全策略分别位于资源池模块、入侵容忍模块、安全沙箱模块中。
4.根据权利要求1所述的一种安全SDN控制器,其特征在于,该安全SDN控制器用于保护网络安全,具体实现过程为:
将至少两台网络基础设备连接到安全SDN控制器上,SDN控制器与上层应用连接;
首先SDN控制器通过北向接口获取上层应用的策略,通过基础控制模块送至安全沙箱模块进行安全策略配置;
把基本流表通过南向服务协议模块送至网络基础设备完成交换机配置;
当有数据包进入网络基础设备时,该网络基础设备根据流表策略进行端口的转发;
当遇到明确不安全的包时则将其按照安全沙箱中的策略进行丢弃,安全的包则送至资源池进行隔离;当有攻击报文时,入侵容忍模块进行异地备份,保证系统的抗压能力。
CN201510298008.5A 2015-06-03 2015-06-03 一种安全sdn控制器及基于该控制器的网络安全方法 Active CN104967615B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510298008.5A CN104967615B (zh) 2015-06-03 2015-06-03 一种安全sdn控制器及基于该控制器的网络安全方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510298008.5A CN104967615B (zh) 2015-06-03 2015-06-03 一种安全sdn控制器及基于该控制器的网络安全方法

Publications (2)

Publication Number Publication Date
CN104967615A CN104967615A (zh) 2015-10-07
CN104967615B true CN104967615B (zh) 2018-02-23

Family

ID=54221557

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510298008.5A Active CN104967615B (zh) 2015-06-03 2015-06-03 一种安全sdn控制器及基于该控制器的网络安全方法

Country Status (1)

Country Link
CN (1) CN104967615B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170056879A (ko) * 2015-11-16 2017-05-24 한국전자통신연구원 Sdn 다중 오케스트레이터
CN105516091B (zh) * 2015-11-27 2018-09-25 武汉邮电科学研究院 一种基于sdn控制器的安全流过滤器及过滤方法
CN105515844A (zh) * 2015-12-01 2016-04-20 国家电网公司 一种提高软件定义网络可靠性的系统
CN105912936B (zh) * 2016-04-11 2018-09-21 浪潮集团有限公司 一种提高sdn交换机性能及安全的方法
CN106792692B (zh) * 2016-12-27 2019-11-05 兴唐通信科技有限公司 一种基于sdn技术的物理切片方法
CN108809958A (zh) * 2018-05-23 2018-11-13 郑州云海信息技术有限公司 一种基于mdc管理系统的sdn控制器架构
CN112787861B (zh) * 2020-12-31 2022-05-10 中国电子科技集团公司第五十四研究所 一种基于sdn的网络安全监测一体化可编程控制器
CN113132382B (zh) * 2021-04-19 2022-09-02 中文出版集团有限公司 一种智能计算机网络信息安全控制器

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795596A (zh) * 2014-03-03 2014-05-14 北京邮电大学 可编程控制的sdn网络测量系统和测量方法
CN104410170A (zh) * 2014-12-19 2015-03-11 重庆大学 一种适用于电力通信sdn技术

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8601579B2 (en) * 2011-06-03 2013-12-03 Apple Inc. System and method for preserving references in sandboxes

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795596A (zh) * 2014-03-03 2014-05-14 北京邮电大学 可编程控制的sdn网络测量系统和测量方法
CN104410170A (zh) * 2014-12-19 2015-03-11 重庆大学 一种适用于电力通信sdn技术

Also Published As

Publication number Publication date
CN104967615A (zh) 2015-10-07

Similar Documents

Publication Publication Date Title
CN104967615B (zh) 一种安全sdn控制器及基于该控制器的网络安全方法
CN102255903B (zh) 一种云计算虚拟网络与物理网络隔离安全方法
CN103986663B (zh) 数据中心及其实现数据处理的方法和网络控制器
CN105553849B (zh) 一种传统ip网络与sptn网络互通方法与系统
CN105162721B (zh) 基于软件定义网络的全光互连数据中心网络系统及数据通信方法
CN106982149A (zh) 基于sdn的报文镜像方法及网络流量监控管理系统
CN107819742B (zh) 一种动态部署网络安全服务的系统架构及其方法
CN106936777A (zh) 基于OpenFlow的云计算分布式网络实现方法、系统
CN105939499B (zh) 一种移动potn传输网隧道快速配置的方法及系统
CN104253767B (zh) 一种虚拟分片网络的实现方法及一种交换机
CN107276783A (zh) 一种实现虚拟机统一管理及互通的方法、装置和系统
CN103067277B (zh) 建立控制通道的方法、转发设备和控制设备
CN109495391A (zh) 一种基于sdn的安全服务链系统及数据包匹配转发方法
CN102347900A (zh) 整合虚拟和物理网络交换设备到异构交换域的方法和系统
CN102511151A (zh) 一种路由器、虚拟集群路由器系统及建立方法
CN109150604A (zh) 一种基于sdn的电力通信网络系统及跨域切片方法
CN106027626A (zh) 基于sdn实现虚拟化数据中心的系统
CN103414631B (zh) 一种适用于电力应用的Openflow控制器通道加密优化方法
CN106656905A (zh) 防火墙集群实现方法及装置
CN105531966B (zh) 一种网络中实现报文路由的方法、设备和系统
CN105577540B (zh) 一种业务链路的建立方法、装置及系统
CN106027428A (zh) 动态资源管理方法
CN105224385A (zh) 一种基于云计算的虚拟化系统及方法
CN103534985B (zh) 业务负载分配方法、装置和通信系统
CN103346950B (zh) 一种机架式无线控制器用户业务板间负载均摊方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20180807

Address after: 250100 S06 tower, 1036, Chao Lu Road, hi tech Zone, Ji'nan, Shandong.

Patentee after: Shandong wave cloud Mdt InfoTech Ltd

Address before: No. 1036, Shandong high tech Zone wave road, Ji'nan, Shandong

Patentee before: Inspur Group Co., Ltd.

TR01 Transfer of patent right
CP03 Change of name, title or address

Address after: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park

Patentee after: Inspur cloud Information Technology Co., Ltd

Address before: 250100 Ji'nan science and technology zone, Shandong high tide Road, No. 1036 wave of science and Technology Park, building S06

Patentee before: SHANDONG LANGCHAO YUNTOU INFORMATION TECHNOLOGY Co.,Ltd.

CP03 Change of name, title or address