CN106713243A - 一种应用程序业务策略的处理方法、装置及控制器 - Google Patents
一种应用程序业务策略的处理方法、装置及控制器 Download PDFInfo
- Publication number
- CN106713243A CN106713243A CN201510789317.2A CN201510789317A CN106713243A CN 106713243 A CN106713243 A CN 106713243A CN 201510789317 A CN201510789317 A CN 201510789317A CN 106713243 A CN106713243 A CN 106713243A
- Authority
- CN
- China
- Prior art keywords
- app
- priority
- flow table
- table item
- interval
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种应用程序业务策略的处理方法、装置及控制器,该方法包括:为应用程序APP配置一优先级,其中,APP包括管理APP、安全APP以及除管理APP和安全APP之外的普通APP,且管理APP的优先级高于安全APP的优先级,安全APP的优先级高于普通APP的优先级;获取APP的业务策略;将业务策略转化成流表项,并为流表项配置与APP的优先级相同的优先级;将配置了优先级的流表项发送给交换机。本发明的方案,通过对APP优先级的设置,使得普通APP对应的流表项的优先级低于安全APP和管理APP对应的流表项的优先级,从而有效避免了普通APP产生的策略绕过安全和管理策略。
Description
技术领域
本发明涉及网络与信息安全领域,尤其涉及一种应用程序业务策略的处理方法、装置及控制器。
背景技术
软件定义网路(Software Defined Network,SDN)是2006年出现的一种网络技术,该技术将现有的网络控制与转发功能解耦,通过一个集中控制器,实现对整个网络通信的控制。SDN将网络分为三层,应用层,控制层和设备层。应用层提供用户与控制层的接口,用户通过应用层发送需求。控制层上部署控制器,控制器从应用层接收到用户的请求后,将请求转化为符合原有的策略的命令,下发到设备层。设备层包含各种转发设备,统称为交换机。正常工作时,交换机接收到数据包后,按照预置的流表中路由策略转发到下一跳,或者随时接收控制器的命令,修改和删除流表项。其中控制器与应用层之间的接口称为北向接口(NBI),控制器与设备层之间的接口称为南向接口,南向接口使用OPENFLOW协议进行通信。
其中,SDN架构图如图1所示。应用层的应用程序(APP)将策略通过NBI下发到控制器,控制器将策略转化成流表项并下发到交换机,交换机将流表项加入到流表。在生成流表项的时候控制器会根据该应用APP请求的优先级为该流表项分配一个优先级(priority)。其中,流表项的priority是流表项中一个参数,用于确定流表项在流表中的匹配顺序。
由于应用层上安装有多个APP,因此APP的策略与控制器本身的安全策略或管理策略可能互相冲突,使得流量最终绕过安全策略。如图2所示,安全管理员配置了一个策略是从用户A到用户B的数据包必须经过防火墙进行检测,用户A(172.0.0.1)→SDN交换机1(10.0.0.1)→SDN交换机2(10.0.0.2)→防火墙→SDN交换机3(10.0.0.3)→用户B(172.0.0.2)。但是,某个APP1产生的路由策略是从用户A到用户B之间,数据经过最短路径传输,即用户A(172.0.0.1)→SDN交换机1(10.0.0.1)→SDN交换机3(10.0.0.3)→用户B(172.0.0.2)。这个路径中的数据包没有经过防火墙扫描,这违反了管理员的安全原则,使得原定的安全策略被绕过。
因此,恶意的攻击者可以利用这种策略冲突,发起新的流表策略,绕过管理员的安全策略,使得SDN网络的安全性遭到威胁。其中,攻击者可能采用以下手段:
1、恶意APP生成新的流表项,该流表项格式正常,其优先级大于安全策略的优先级。
2、控制器收到该策略之后,根据优先级将原策略丢弃,将新策略保存。
3、该路径的数据包不再遵守原安全策略,而按照新策略执行,从而造成安全策略被绕过。网络陷入危险状态。
除了安全策略,管理策略也是SDN网络中的重要策略。攻击者可以通过制造策略冲突,使得流表项策略绕过控制器的安全策略和管理策略,从而使得网络流量不再受到安全策略和管理策略的保护和限制,才能实现一些攻击,比如攻击者绕过防火墙的过滤策略,导致攻击流量不能被防火墙过滤。
发明内容
为了克服现有技术中存在的上述问题,本发明的实施例提供了一种应用程序业务策略的处理方法、装置及控制器,通过对APP优先级的设置,使得普通APP对应的流表项的优先级低于安全APP和管理APP对应的流表项的优先级,从而有效避免了普通APP产生的策略绕过安全和管理策略。
为了解决上述技术问题,本发明采用如下技术方案:
依据本发明实施例的一个方面,提供了一种应用程序业务策略的处理方法,该方法包括:
为应用程序APP配置一优先级,其中,所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP,且管理APP的优先级高于安全APP的优先级,安全APP的优先级高于普通APP的优先级;
获取所述APP的业务策略;
将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级;
将配置了优先级的所述流表项发送给交换机。
其中,上述方案中,所述将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级的步骤之后还包括:
检测配置了优先级的所述流表项与预存储的管理APP的流表项或安全APP的流表项相冲突时,丢弃优先级低的流表项。
其中,上述方案中,所述为应用程序APP配置一优先级的步骤包括:
接收所述APP发送的注册请求,其中,所述注册请求中包括APP类型,所述APP类型包括普通APP、安全APP和管理APP;
根据所述APP类型为所述APP配置一优先级。
其中,上述方案中,所述根据所述APP类型为所述APP配置一优先级的步骤包括:
分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
根据所述APP的APP类型,并与所述APP进行协商,从所述第一优先级区间或所述第二优先级区间或所述第三优先级区间为所述APP分配一个优先级,并生成APP对应表,其中,所述APP优先级对应表中包括不同APP对应的优先级;
将所述优先级发送给所述APP。
其中,上述方案中,所述将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级的步骤之后,所述方法还包括:
对比所述APP优先级对应表,判断所述流表项的优先级是否与所述流表项对应的APP的优先级一致;
若不一致,则将所述流表项的优先级修改为所述APP优先级对应表中与所述流表项对应的APP的优先级。
其中,上述方案中,所述根据所述APP类型为所述APP配置一优先级的步骤包括:
分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
从所述第一优先级区间、所述第二优先级区间以及所述第三优先级区间中选择一个与所述APP的APP类型相匹配的优先级区间作为所述APP的匹配区间,并生成APP优先级区间对应表,其中,所述APP优先级区间对应表中包括不同APP对应的匹配区间;
将匹配区间发送给所述APP;
接收所述APP根据业务类型,并与控制器进行协商,从所述匹配区间中确定的一个优先级。
其中,上述方案中,所述将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级的步骤之后,所述方法还包括:
对比所述APP优先级区间对应表,判断所述流表项的优先级是否位于与所述流表项对应的APP的匹配区间之内;
若判断结果为否,则舍弃所述流表项,并向所述APP发送提示消息。
依据本发明实施例的另一个方面,还提供了一种应用程序业务策略的处理装置,包括:
配置模块,用于为应用程序APP配置一优先级,其中,所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP,且管理APP的优先级高于安全APP的优先级,安全APP的优先级高于普通APP的优先级;
策略获取模块,用于获取所述APP的业务策略;
转化模块,用于将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级;
发送模块,用于将配置了优先级的所述流表项发送给交换机。
其中,上述方案中,所述装置还包括:
冲突检测模块,用于检测配置了优先级的所述流表项与预存储的管理APP的流表项或安全APP的流表项相冲突时,丢弃优先级低的流表项。
其中,上述方案中,所述配置模块包括:
接收单元,用于接收所述APP发送的注册请求,其中,所述注册请求中包括APP类型,所述APP类型包括普通APP、安全APP和管理APP;
配置单元,用于根据所述APP类型为所述APP配置一优先级。
其中,上述方案中,所述配置单元包括:
第一分配子单元,用于分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
第二分配子单元,用于根据所述APP的APP类型,并与所述APP进行协商,从所述第一优先级区间或所述第二优先级区间或所述第三优先级区间为所述APP分配一个优先级,并生成APP对应表,其中,所述APP优先级对应表中包括不同APP对应的优先级;
第一发送子单元,用于将所述优先级发送给所述APP。
其中,上述方案中,所述装置还包括:
第一校验模块,用于对比所述APP优先级对应表,判断所述流表项的优先级是否与所述流表项对应的APP的优先级一致;
第一处理模块,用于当所述第一校验模块判断所述流表项的优先级与所述流表项对应的APP的优先级不一致时,将所述流表项的优先级修改为所述APP优先级对应表中与所述流表项对应的APP的优先级。
其中,上述方案中,所述配置单元包括:
第三分配子单元,用于分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
第四分配子单元,用于从所述第一优先级区间、所述第二优先级区间以及所述第三优先级区间中选择一个与所述APP的APP类型相匹配的优先级区间作为所述APP的匹配区间,并生成APP优先级区间对应表,其中,所述APP优先级区间对应表中包括不同APP对应的匹配区间;
第二发送子单元,用于将所述匹配区间发送给所述APP;
接收子单元,用于接收所述APP根据业务类型,并与控制器进行协商,从所述匹配区间中确定的一个优先级。
其中,上述方案中,所述装置还包括:
第二校验模块,用于对比所述APP优先级区间对应表,判断所述流表项的优先级是否位于与所述流表项对应的APP的匹配区间之内;
第二处理模块,用于当所述第一校验模块判断所述流表项的优先级位于与所述流表项对应的APP的匹配区间之外时,舍弃所述流表项,并向所述APP发送提示消息。
依据本发明实施例的另一个方面,还提供了一种控制器,包括上述所述的应用程序业务策略的处理装置。
本发明实施例的有益效果是:
本发明实施例的应用程序业务策略的处理方法,通过配置APP的优先级,使得管理APP的优先级高于安全APP的优先级,安全APP的优先级高于管理APP和安全APP之外的其他APP(即普通APP)的优先级,使得普通APP对应的流表项的有优先级低于预先存储的任意一个安全APP或管理APP对应的流表项,因此,即使普通APP的流表项与安全APP或管理APP的流表项存在冲突,普通APP的流表项也会由于优先级相对较低,而不会被执行。因此,本发明实施例的应用程序业务策略的处理方法,能够有效避免普通APP产生的策略绕过安全和管理策略,提高网络安全性。
附图说明
图1表示现有技术中的SDN架构图;
图2表示现有技术中策略冲造成绕过必经节点的原理示意图;
图3表示本发明第一实施例的应用程序业务策略的处理方法流程图;
图4表示本发明第二实施例的应用程序业务策略的处理装置的结构框图;
图5表示本发明第三实施例的应用程序业务策略的处理装置的结构框图;
图6表示本发明第四实施例的应用程序业务策略的处理装置的结构框图;
图7表示本发明实施例中APP优先级与对应的流表项优先级映射关系示意图;
图8表示本发明实施例中APP的匹配区间与对应的流表项优先级映射关系示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
第一实施例
依据本发明实施例的一个方面,提供了一种应用程序业务策略的处理方法,该方法首先,为应用程序APP配置一优先级;接着,获取所述APP的业务策略;再次,将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级;最后,将配置了优先级的所述流表项发送给交换机。
因此,本发明实施例的应用程序业务策略的处理方法,通过对APP优先级的设置,使得普通APP对应的流表项的优先级低于安全APP和管理APP对应的流表项的优先级,从而有效避免了普通APP产生的策略绕过安全和管理策略。
如图3所示,该方法包括:
步骤S31、为应用程序APP配置一优先级。
本发明实施例的应用程序业务策略的处理方法,将APP按照类型,分为管理APP、安全APP以及普通APP,其中,普通APP是除管理APP和安全APP之外的其他APP,并为不同类型的APP分配不同的优先级,且管理APP的优先级高于安全APP的优先级,安全APP的优先级高于普通APP的优先级。
具体地,控制器首先需要接收APP发送的注册请求,因为该注册请求中携带有APP的类型,所以控制器在接收到注册请求后,在APP的注册过程中为APP分配一个优先级。
其中,在为APP分配优先级的时候,可采用级别设定法或级别区间设定法。
级别设定:
首先,分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
接着,根据所述APP的APP类型,并与所述APP进行协商,从所述第一优先级区间或所述第二优先级区间或所述第三优先级区间为所述APP分配一个优先级,并生成APP对应表,其中,所述APP优先级对应表中包括不同APP对应的优先级;
最后,将所述优先级发送给所述APP。
级别区间设定法:
首先,分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
接着,从所述第一优先级区间、所述第二优先级区间以及所述第三优先级区间中选择一个与所述APP的APP类型相匹配的优先级区间作为所述APP的匹配区间,并生成APP优先级区间对应表,其中,所述APP优先级区间对应表中包括不同APP对应的匹配区间;
再次,将为所述匹配区间发送给所述APP;
最后,接收所述APP根据业务类型,并与控制器进行协商,从所述匹配区间中确定的一个优先级。
其中,无论是级别设定法还是级别区间设定法,对于配置给APP的优先级是控制器与APP协商进行确定的,但是,其协商范围不能超过APP所属于的相关APP类型对应的优先级区间。例如,若APP普通APP,则控制器与APP协商为该APP配置优先级时,其协商范围应该位于第一优先级区间。
另外,无论是采用级别设定法还是级别区间设定法,本发明实施例的应用程序业务策略的处理方法,都是首先为不同类型的APP分配不同的优先级区间,即普通APP对应第一优先级区间,安全APP对应第二优先级区间,管理APP对应第三优先级区间。由于上述普通APP与安全APP和管理APP并无交集部分,所以第一优先级区间与第二优先级区间或第三优先级区间并与相同部分,即不存在优先级相同的普通APP和管理APP,或优先级相同的普通APP与安全APP。
所以,即使普通APP的流表项与安全APP或管理APP的流表项存在冲突,普通APP的流表项也会由于优先级相对较低,而不会被执行。因此,本发明实施例的应用程序业务策略的处理方法,能够有效避免普通APP产生的策略绕过安全和管理策略,提高网络安全性。
步骤S33、获取所述APP的业务策略。
当APP注册完成后,需要执行某一项业务时,该APP需要向控制器发送相关的策略,从而进入步骤S35。
步骤S35、将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级。
在步骤S31中为APP分配的优先级或匹配区间,在业务策略转化为流表项时,均可映射到根据APP产生的策略所生成的流表项的优先级,举例来说,如图7和图8所示。
另外,当APP向控制器发送业务策略时,可能存在APP私自篡改自身优先级的情况,从而使得APP向控制器发送的业务策略生成的流表项的优先级与控制器之前为该APP分配的优先级不一致,或者流表项的优先级并不位于为该APP分配的匹配区间内。
因此,为了避免APP私自篡改自身优先级后,导致生成的流表项的优先级与已有安全APP或管理APP对应的流表项的优先级相同,而仍然导致普通策略绕过安全或管理策略,本发明实施例的应用程序业务策略的处理方法,在将生成的流表项下发到交换机之前,还需要进一步对新生成的流表项的优先级进行验证。
其中,在步骤S31中,采用级别设定法为APP配置优先级时,最后生成了APP优先级对应表,所以,可对比所述APP优先级对应表,判断所述流表项的优先级是否与所述流表项对应的APP的优先级一致,并在判断不一致时,将所述流表项的优先级修改为所述APP优先级对应表中与所述流表项对应的APP的优先级。
另外,在步骤S31中,采用级别区间设定法时,生成了APP优先级区间对应表,所以,可对比所述APP优先级区间对应表,判断所述流表项的优先级是否位于与所述流表项对应的APP的匹配区间之内;并在判断结果为否时,舍弃所述流表项,并向所述APP发送提示消息。
步骤S37、将配置了优先级的所述流表项发送给交换机。
当交换机接收到控制器发送的配置了优先级的流表项后,交换机会按照优先级进行匹配顺序的排列,由于普通APP产生的流表项的优先级小于安全和管理级别APP的流表项的优先级,因此在匹配顺序上,安全和管理APP产生的策略位于普通APP的策略之前,因此当普通APP的流表项与安全和管理APP的流表项有冲突的时候,会优先执行安全和管理APP的流表项,按照OPENFLOW协议的原则,数据包遇到匹配的流表项时,会执行该流表项,而不会再继续执行后续的流表项。如果恶意APP企图产生与安全和管理APP的策略相冲突的流表项,这种流表项将不能被执行。
但是,新生成的普通APP的流表项可能与预先存储的安全APP或管理APP的流表项存在冲突,虽然这些与安全APP或管理APP的流表项的流表项由于自身优先级较低而不被执行,不会影响系统的安全性,但是仍会占用一定的流表存储空间。
因此,在步骤S37之前,可包括如下步骤:
检测配置了优先级的所述流表项与预存储的管理APP的流表项或安全APP的流表项相冲突时,丢弃优先级低的流表项。
即,在将配置了优先级的流表项下发到交换机之前,将该新生成的流表项只与控制器中预先存储的安全APP和管理APP的流表项进行对比,当检测配置了优先级的所述流表项与预存储的管理APP的流表项或安全APP的流表项相冲突时,丢弃优先级低的流表项。
因此,通过上述步骤,将有冲突的流表项提前丢弃,因此不存在占用流表存储空间的问题。即,在尽量减少控制器负担的情况下,避免了普通APP产生的策略绕过安全和管理策略。
另一方面,对比现有解决策略冲突的方法,首先控制器将APP产生的策略转化成流表项,由控制器对这些流表项的来源进行验证后添加上优先级,然后将这些新的流表项与已有的流表项进行比对,如果新产生的流表项与现有的流表项有冲突,并且新流表的级别高于已有流表项的优先级,那么新流表项取代优先级低的旧流表项,反之丢弃新的流表项。
还有一种策略是在检测到流表项的冲突后,由控制器采用冲突解决算法将已经发生冲突的流表项进行合成,生成一种不与已有流表项冲突的新的流表项。
但是,这两种都是由控制器直接对根据APP产生的策略所生成的流表项进行的检测和处理,每产生一个新的流表项就要执行该新流表项与现有所有流表项的比较,看是否存在冲突。随着软件定义网络的发展,APP的数量会日益增加,所以将会有大量的APP产生大量的策略,实现通过控制器使用底层的网络资源。此时,大量APP产生的大量的策略将会被控制器翻译成大量的新的流表项,而每生成一个新的流表项就会让控制器进行一次与现有所有流表项的比对,这种方法会大量消耗控制器的资源。
因此,与现有的策略冲突解决方法相比,本发明实施例的应用程序业务策略的处理方法,在进行冲突检测时,只将新生成的流表项与预先存储的安全APP和管理APP对应的流表项进行对比,大大减小了控制器的资源消耗。
综上所述,本发明实施例的应用程序业务策略的处理方法,可包括四种实现方式,如表1所示:
表1不同组合对应的实现方式
具体地,举例如下:(设第一级优先级区间为[1,MAXreg],第二优先级区间为[MAXreg+1,MAXsec],第三优先级区间为[MAXsec+1,MAXadm])
方式一:
假设MAXreg=1000,MAXsec=2000,MAXadm=3000。
首先,APP1首次安装到控制器上的时候,首先在控制器中进行注册,控制器根据APP的类型为该APP1分配优先级,确认APP1为普通APP,其级别区间为[1-1000],并进一步将优先级设为9,之后将优先级9发送给APP1。APP1可以与控制器进行级别协商,但是范围不能超过限定区间[1,1000]。APP1根据此优先级生成以后的所有流表项;控制器将APP的优先级存储到“APP级别对应表”中。
接着,级别协商成功后,APP1将生成的策略P(该策略级别为9)发送给控制器,控制器将策略转化成流表项a,并对比“APP级别对应表”,验证APP1的流表项级别是否与控制器分配的级别一致,如果不一致的话,将该流表项级别修改为控制器设定的级别9。因此a的优先级延续P的优先级,为9。
再次,将流表项a对比控制器中预先存储的安全APP和管理APP对应的流表项,进行冲突检测,对于有冲突的流表项,检查这两个流表项的优先级,将优先级较低的流表项丢弃掉。
最后,将被保留的流表项发送交换机中。
方式二:
假设MAXreg=1000,MAXsec=2000,MAXadm=3000。
首先,APP1首次安装到控制器上的时候,在控制器上注册,控制器根据APP的类型对该APP1进行级别区间评估后,确认APP1为普通APP,其级别区间为[1-1000],之后将该级别区间发送给APP1。后续APP1将根据自己的业务需求,并与控制器进行协商,在此级别区间为自己的策略设定具体的级别。例如APP1在此级别区间内根据自己的业务需求选择“9”作为此次业务对应策略的级别,并根据此级别生成以后的所有策略;控制器将APP的级别区间存储到“APP级别区间对应表”中。
接着,级别协商成功后,APP1将生成的策略P(该策略优先级为9)发送到控制器,控制器将策略转化成流表项a,a的优先级延续P的优先级,为9,并对比“APP级别区间对应表”,验证APP的流表项级别是否在控制器分配的级别区间内,如果不一致的话,将该流表项丢弃,并发送提示消息返回给APP。
再次,将流表项a与控制器中预先存储的安全APP和管理APP的流表项对比,进行冲突检测,对于有冲突的流表项,检查这两个流表项的优先级,将优先级较低的流表项丢弃掉。
最后,将被保留的流表项发送到交换机中。
方式三:
假设MAXreg=1000,MAXsec=2000,MAXadm=3000。
首先,APP1首次安装到控制器上的时候,首先在控制器中进行注册,控制器根据APP的类型为该APP1分配优先级,确认APP1为普通APP,其级别区间为[1-1000],并进一步将优先级设为9,之后将优先级9发送给APP1。APP1可以与控制器进行级别协商,但是范围不能超过限定区间[1,1000]。APP1根据此优先级生成以后的所有流表项;控制器将APP的优先级分配存储到“APP级别对应表”中。
接着,级别协商成功后,APP1将生成的策略P(该策略级别为9)发送给控制器,控制器将策略转化成流表项a,并对比“APP级别对应表”,验证APP1的流表项级别是否与控制器分配的级别一致,如果不一致的话,将该流表项级别修改为控制器设定的级别9。因此a的优先级延续P的优先级,为9。
最后,将新生成的流表项发送交换机中。
方式四:
首先,APP1首次安装到控制器上的时候,在控制器上注册,控制器根据APP的类型对该APP1进行级别区间评估后,确认APP1为普通APP,其级别区间为[1-1000],之后将该级别区间发送给APP1。后续APP1将根据自己的业务需求,与控制器进行协商,在此级别区间为自己的策略设定具体的级别。例如APP1在此级别区间内根据自己的业务需求选择“9”作为此次业务对应策略的级别,并根据此级别生成以后的所有策略;控制器将APP的级别区间分配存储到“APP级别区间对应表”中。
接着,级别协商成功后,APP1将生成的策略P(该策略优先级为9)发送到控制器,控制器将策略转化成流表项a,a的优先级延续P的优先级,为9,并对比“APP级别区间对应表”,验证APP的流表项级别是否在控制器分配的级别区间内,如果不一致的话,将该流表项丢弃,并发送提示消息返回给APP。
最后,将新生成的流表项发送到交换机中。
综上所述,本发明实施例的应用程序业务策略的处理方法能有效防止在SDN网络环境下,多个APP的场景下,APP的下发策略与安全和管理策略发生冲突,从而绕过安全策略和管理策略,造成系统的安全风险。
在本发明实施例的应用程序业务策略的处理方法中,首先根据APP的类型对APP进行级别设定或者级别区间设定,使得不同类别APP生成的流表项具有互不相同的优先级,从而能够保证普通APP生成的策略的优先级不会高于安全APP和管理APP的策略的优先级。上述四种方式解决了普通APP产生的策略与安全和管理策略冲突的问题,避免了恶意攻击者故意通过策略冲突绕过安全和管理策略,从而进一步攻击网络的情况。并且,本发明实施例的应用程序业务策略的处理方法,对现有设备改动小,不会带来很多成本问题。
因此,上述方式一和方式二能够在减少控制器负担的情况下,有效避免普通APP产生的策略绕过安全和管理策略,而方式三和方式四不需要控制器做策略冲突检测就能够防止恶意APP故意绕过安全和管理策略。
第二实施例
依据本发明实施例的另一个方面,还提供了一种应用程序业务策略的处理装置,如图4所示,该装置400包括:
配置模块401,用于为应用程序APP配置一优先级,其中,所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP,且管理APP的优先级高于安全APP的优先级,安全APP的优先级高于普通APP的优先级;
策略获取模块403,用于获取所述APP的业务策略;
转化模块405,用于将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级;
发送模块411,用于将配置了优先级的所述流表项发送给交换机。
可选地,所述装置还包括:
冲突检测模块417,用于检测配置了优先级的所述流表项与预存储的管理APP的流表项或安全APP的流表项相冲突时,丢弃优先级低的流表项。
第三实施例
依据本发明实施例的另一个方面,还提供了一种应用程序业务策略的处理装置,如图5所示,该装置400包括:
配置模块401,用于为应用程序APP配置一优先级,其中,所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP,且管理APP的优先级高于安全APP的优先级,安全APP的优先级高于普通APP的优先级;
策略获取模块403,用于获取所述APP的业务策略;
转化模块405,用于将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级;
发送模块411,用于将配置了优先级的所述流表项发送给交换机。
可选地,所述配置模块401包括:
接收单元4011,用于接收所述APP发送的注册请求,其中,所述注册请求中包括APP类型,所述APP类型包括普通APP、安全APP和管理APP;
配置单元4012,用于根据所述APP类型为所述APP配置一优先级。
可选地,所述配置单元4012包括:
第一分配子单元40121,用于分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
第二分配子单元40122,用于根据所述APP的APP类型,并与所述APP进行协商,从所述第一优先级区间或所述第二优先级区间或所述第三优先级区间为所述APP分配一个优先级,并生成APP对应表,其中,所述APP优先级对应表中包括不同APP对应的优先级;
第一发送子单元40123,用于将所述优先级发送给所述APP。
可选地,所述装置还包括:
第一校验模块407,用于对比所述APP优先级对应表,判断所述流表项的优先级是否与所述流表项对应的APP的优先级一致;
第一处理模块409,用于当所述第一校验模块407判断所述流表项的优先级与所述流表项对应的APP的优先级不一致时,将所述流表项的优先级修改为所述APP优先级对应表中与所述流表项对应的APP的优先级。
第四实施例
依据本发明实施例的另一个方面,还提供了一种还提供了一种应用程序业务策略的处理装置,如图6所示,该装置400包括:
配置模块401,用于为应用程序APP配置一优先级,其中,所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP,且管理APP的优先级高于安全APP的优先级,安全APP的优先级高于普通APP的优先级;
策略获取模块403,用于获取所述APP的业务策略;
转化模块405,用于将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级;
发送模块411,用于将配置了优先级的所述流表项发送给交换机。
可选地,所述配置模块401包括:
接收单元4011,用于接收所述APP发送的注册请求,其中,所述注册请求中包括APP类型,所述APP类型包括普通APP、安全APP和管理APP;
配置单元4012,用于根据所述APP类型为所述APP配置一优先级。
可选地,所述配置单元4012包括:
第三分配子单元40124,用于分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
第四分配子单元40125,用于从所述第一优先级区间、所述第二优先级区间以及所述第三优先级区间中选择一个与所述APP的APP类型相匹配的优先级区间作为所述APP的匹配区间,并生成APP优先级区间对应表,其中,所述APP优先级区间对应表中包括不同APP对应的匹配区间;
第二发送子单元40126,用于将所述匹配区间发送给所述APP;
接收子单元40127,用于接收所述APP根据业务类型,并与控制器进行协商,从所述匹配区间中确定的一个优先级。
可选地,所述装置还包括:
第二校验模块413,用于对比所述APP优先级区间对应表,判断所述流表项的优先级是否位于与所述流表项对应的APP的匹配区间之内;
第二处理模块415,用于当所述第一校验模块判断所述流表项的优先级位于与所述流表项对应的APP的匹配区间之外时,舍弃所述流表项,并向所述APP发送提示消息。
第五实施例
依据本发明实施例的另一个方面,还提供了一种控制器,包括上述所述的应用程序业务策略的处理装置。
以上所述的是本发明的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本发明所述的原理前提下还可以作出若干改进和润饰,这些改进和润饰也在本发明的保护范围内。
Claims (15)
1.一种应用程序业务策略的处理方法,其特征在于,包括:
为应用程序APP配置一优先级,其中,所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP,且管理APP的优先级高于安全APP的优先级,安全APP的优先级高于普通APP的优先级;
获取所述APP的业务策略;
将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级;
将配置了优先级的所述流表项发送给交换机。
2.如权利要求1所述的方法,其特征在于,所述将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级的步骤之后还包括:
检测配置了优先级的所述流表项与预存储的管理APP的流表项或安全APP的流表项相冲突时,丢弃优先级低的流表项。
3.如权利要求1所述的方法,其特征在于,所述为应用程序APP配置一优先级的步骤包括:
接收所述APP发送的注册请求,其中,所述注册请求中包括APP类型,所述APP类型包括普通APP、安全APP和管理APP;
根据所述APP类型为所述APP配置一优先级。
4.如权利要求3所述的方法,其特征在于,所述根据所述APP类型为所述APP配置一优先级的步骤包括:
分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
根据所述APP的APP类型,并与所述APP进行协商,从所述第一优先级区间或所述第二优先级区间或所述第三优先级区间为所述APP分配一个优先级,并生成APP对应表,其中,所述APP优先级对应表中包括不同APP对应的优先级;
将所述优先级发送给所述APP。
5.如权利要求4所述的方法,其特征在于,所述将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级的步骤之后,所述方法还包括:
对比所述APP优先级对应表,判断所述流表项的优先级是否与所述流表项对应的APP的优先级一致;
若不一致,则将所述流表项的优先级修改为所述APP优先级对应表中与所述流表项对应的APP的优先级。
6.如权利要求3所述的方法,其特征在于,所述根据所述APP类型为所述APP配置一优先级的步骤包括:
分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
从所述第一优先级区间、所述第二优先级区间以及所述第三优先级区间匹配区间中选择一个与所述APP的APP类型相匹配的优先级区间作为所述APP的匹配区间,并生成APP优先级区间对应表,其中,所述APP优先级区间对应表中包括不同APP对应的匹配区间;
将匹配区间发送给所述APP;
接收所述APP根据业务类型,并与控制器进行协商,从所述匹配区间中确定的一个优先级。
7.如权利要求6所述的方法,其特征在于,所述将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级的步骤之后,所述方法还包括:
对比所述APP优先级区间对应表,判断所述流表项的优先级是否位于与所述流表项对应的APP的匹配区间之内;
若判断结果为否,则舍弃所述流表项,并向所述APP发送提示消息。
8.一种应用程序业务策略的处理装置,其特征在于,包括:
配置模块,用于为应用程序APP配置一优先级,其中,所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP,且管理APP的优先级高于安全APP的优先级,安全APP的优先级高于普通APP的优先级;
策略获取模块,用于获取所述APP的业务策略;
转化模块,用于将所述业务策略转化成流表项,并为所述流表项配置与所述APP的优先级相同的优先级;
发送模块,用于将配置了优先级的所述流表项发送给交换机。
9.如权利要求8所述的装置,其特征在于,所述装置还包括:
冲突检测模块,用于检测配置了优先级的所述流表项与预存储的管理APP的流表项或安全APP的流表项相冲突时,丢弃优先级低的流表项。
10.如权利要求8所述的装置,其特征在于,所述配置模块包括:
接收单元,用于接收所述APP发送的注册请求,其中,所述注册请求中包括APP类型,所述APP类型包括普通APP、安全APP和管理APP;
配置单元,用于根据所述APP类型为所述APP配置一优先级。
11.如权利要求10所述的装置,其特征在于,所述配置单元包括:
第一分配子单元,用于分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
第二分配子单元,用于根据所述APP的APP类型,并与所述APP进行协商,从所述第一优先级区间或所述第二优先级区间或所述第三优先级区间为所述APP分配一个优先级,并生成APP对应表,其中,所述APP优先级对应表中包括不同APP对应的优先级;
第一发送子单元,用于将所述优先级发送给所述APP。
12.如权利要求11所述的装置,其特征在于,所述装置还包括:
第一校验模块,用于对比所述APP优先级对应表,判断所述流表项的优先级是否与所述流表项对应的APP的优先级一致;
第一处理模块,用于当所述第一校验模块判断所述流表项的优先级与所述流表项对应的APP的优先级不一致时,将所述流表项的优先级修改为所述APP优先级对应表中与所述流表项对应的APP的优先级。
13.如权利要求10所述的装置,其特征在于,所述配置单元包括:
第三分配子单元,用于分别为所述普通APP、所述安全APP以及所述管理APP分配第一优先级区间、第二优先级区间以及第三优先级区间,其中,所述第一优先级区间的最大值小于所述第二优先级区间的最小值,所述第二优先级区间的最大值小于所述第三优先级区间的最小值;
第四分配子单元,用于从所述第一优先级区间、所述第二优先级区间以及所述第三优先级区间中选择一个与所述APP的APP类型相匹配的优先级区间作为所述APP的匹配区间,并生成APP优先级区间对应表,其中,所述APP优先级区间对应表中包括不同APP对应的匹配区间;
第二发送子单元,用于将所述匹配区间发送给所述APP;
接收子单元,用于接收所述APP根据业务类型,并与控制器进行协商,从所述匹配区间中确定的一个优先级。
14.如权利要求13所述的装置,其特征在于,所述装置还包括:
第二校验模块,用于对比所述APP优先级区间对应表,判断所述流表项的优先级是否位于与所述流表项对应的APP的匹配区间之内;
第二处理模块,用于当所述第一校验模块判断所述流表项的优先级位于与所述流表项对应的APP的匹配区间之外时,舍弃所述流表项,并向所述APP发送提示消息。
15.一种控制器,其特征在于,包括如权利要求8~14任意一项所述的应用程序业务策略的处理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510789317.2A CN106713243A (zh) | 2015-11-17 | 2015-11-17 | 一种应用程序业务策略的处理方法、装置及控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510789317.2A CN106713243A (zh) | 2015-11-17 | 2015-11-17 | 一种应用程序业务策略的处理方法、装置及控制器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106713243A true CN106713243A (zh) | 2017-05-24 |
Family
ID=58932980
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510789317.2A Pending CN106713243A (zh) | 2015-11-17 | 2015-11-17 | 一种应用程序业务策略的处理方法、装置及控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106713243A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111274005A (zh) * | 2018-12-04 | 2020-06-12 | 成都鼎桥通信技术有限公司 | 事件处理方法、装置及终端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101548502A (zh) * | 2007-06-18 | 2009-09-30 | 松下电器产业株式会社 | 加密装置和加密操作方法 |
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
| CN104967670A (zh) * | 2015-06-01 | 2015-10-07 | 南京邮电大学 | 一种基于IEEE 802.11p的车辆接入网络的方法 |
-
2015
- 2015-11-17 CN CN201510789317.2A patent/CN106713243A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101548502A (zh) * | 2007-06-18 | 2009-09-30 | 松下电器产业株式会社 | 加密装置和加密操作方法 |
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
| CN104967670A (zh) * | 2015-06-01 | 2015-10-07 | 南京邮电大学 | 一种基于IEEE 802.11p的车辆接入网络的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111274005A (zh) * | 2018-12-04 | 2020-06-12 | 成都鼎桥通信技术有限公司 | 事件处理方法、装置及终端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110263936B (zh) | 横向联邦学习方法、装置、设备及计算机存储介质 | |
| CN103650436B (zh) | 业务路径分配方法、路由器和业务执行实体 | |
| CN104025073B (zh) | 用于计算环境中的策略实施的装置和方法 | |
| CN106161335A (zh) | 一种网络数据包的处理方法和装置 | |
| US20170357528A1 (en) | Customer premises equipment (cpe) with device slicing | |
| CN102132532B (zh) | 用于避免不需要的数据分组的方法和装置 | |
| JP6940240B2 (ja) | 証明書取得方法、認証方法及びネットワークデバイス | |
| CN105721420B (zh) | 访问权限控制方法和反向代理服务器 | |
| CN109565500A (zh) | 按需安全性架构 | |
| EP3238057A1 (en) | Method for controlling on-demand service provisioning | |
| CN103441932B (zh) | 一种主机路由表项生成方法及设备 | |
| JP2004295337A (ja) | 著作権保護システム、送信装置、著作権保護方法、媒体及び情報集合体 | |
| CN104253820A (zh) | 软件定义网安全控制系统和控制方法 | |
| CN104870068B (zh) | 一种接入网络的方法及路由器 | |
| CN103748861A (zh) | 动态vpn地址分配 | |
| CN105472048B (zh) | 一种地址分配方法、信息聚合方法及相关设备 | |
| CN105933245A (zh) | 一种软件定义网络中安全的可信接入方法 | |
| CN112714097A (zh) | 一种安全通信方法、装置及系统 | |
| CN102823219B (zh) | 保护对经由实现本方法的设备可访问的数据或服务的访问的方法和相应设备 | |
| CN105721487B (zh) | 信息处理方法及电子设备 | |
| CN105939267A (zh) | 带外管理方法及装置 | |
| CN108521397B (zh) | 一种访问资源服务的方法及系统 | |
| CN105933235A (zh) | 数据通信方法及装置 | |
| CN101364877B (zh) | 安全策略配置方法及其装置 | |
| CN106713243A (zh) | 一种应用程序业务策略的处理方法、装置及控制器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170524 |
|
| RJ01 | Rejection of invention patent application after publication |