CN108924085A - 网络调度方法、装置及存储介质 - Google Patents

Abstract

本发明实施例公开了一种网络调度方法、装置及存储介质，涉及网络技术领域。本发明的方法包括：SDN安全控制器获取网络安全云的物理网络拓扑结构，所述网络安全云用于在云环境下提供网络安全服务；当检测到用户请求时，基于所述网络安全云的物理网络拓扑结构，调度所述用户请求对应的目标网络流量；将所述目标网络流量传输至虚拟安全设备。本发明能够实现基于SDN进行网络调度。

Description

网络调度方法、装置及存储介质

技术领域

本发明涉及网络技术领域，尤其涉及一种网络调度方法、装置及存储介质。

背景技术

软件定义网络(Software Defined Network，SDN)是一种新型的网络架构。其核心思想是将网络设备的控制与转发分离开来，从而通过集中的控制器中的软件平台去实现可编程化控制底层硬件，实现对网络资源灵活的按需调配。在SDN网络中，传统的交换机、路由器等概念不再存在，网络设备的功能都简化为数据转发，以便用户能够独立于现有的基础设施来移动虚拟机，而不需要重新配置网络。因此，SDN是实现网络虚拟化最重要的一种形式。

发明内容

本发明的实施例提供一种网络调度方法、装置及存储介质，能够实现基于SDN进行网络调度。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明的实施例提供一种网络调度方法，应用于软件定义网络SDN安全控制器，包括：

获取网络安全云的物理网络拓扑结构，所述网络安全云用于在云环境下提供网络安全服务；

当检测到用户请求时，基于所述网络安全云的物理网络拓扑结构，调度所述用户请求对应的目标网络流量；

将所述目标网络流量传输至虚拟安全设备。

结合第一方面，在第一方面的第一种可能的实现方式中，所述将所述目标网络流量传输至虚拟安全设备之前，还包括：

获取网络转发流表；

基于所述网络转发流表，识别虚拟网络和虚拟主机；

所述将所述目标网络流量传输至虚拟安全设备，包括：

将所述目标网络流量，基于所述虚拟网络传输至所述虚拟主机。

结合第一方面，在第一方面的第二种可能的实现方式中，所述方法还包括：

对网络入侵进行阻挡，并实时检测当前网络环境的入侵情况；

当所述当前网络环境的入侵情况在入侵容忍范围内时，返回当前网络安全的网络状态。

结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述方法还包括：

当所述当前网络环境的入侵情况超出所述入侵容忍范围时，隔离所述当前网络环境中的主控制器，并启用备用控制器；

其中，所述备用控制器用于实现所述主控制器具备的各项功能。

结合第一方面,或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述SDN安全控制器与所述网络安全云中包括的各物理节点之间进行数据交互。

第二方面，本发明的实施例提供一种一种网络调度装置，应用于软件定义网络SDN安全控制器，包括：

网络拓扑获取模块，用于获取网络安全云的物理网络拓扑结构，所述网络安全云用于在云环境下提供网络安全服务；

网络流量调度模块，用于当检测到用户请求时，基于所述网络安全云的物理网络拓扑结构，调度所述用户请求对应的目标网络流量；

网络流量传输模块，用于将所述目标网络流量传输至虚拟安全设备。

结合第二方面，在第二方面的第一种可能的实现方式中，所述装置还包括：

转发流表获取模块，用于获取网络转发流表；

识别模块，用于基于所述网络转发流表，识别虚拟网络和虚拟主机；

所述网络流量传输模块，还用于将所述目标网络流量，基于所述虚拟网络传输至所述虚拟主机。

结合第二方面，在第二方面的第二种可能的实现方式中，所述装置还包括：

入侵检测模块，用于对网络入侵进行阻挡，并实时检测当前网络环境的入侵情况；

安全保障模块，用于当所述当前网络环境的入侵情况在入侵容忍范围内时，返回当前网络安全的网络状态。

结合第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，

安全保障模块，还用于当所述当前网络环境的入侵情况超出所述入侵容忍范围时，隔离所述当前网络环境中的主控制器，并启用备用控制器；其中，所述备用控制器用于实现所述主控制器具备的各项功能。

结合第二方面，或者第二方面的第一种可能的实现方式，或者第二方面的第二种可能的实现方式，或者第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，所述装置还包括：

数据交互模块，用于与所述网络安全云中包括的各物理节点之间进行数据交互。

第三方面，本发明的实施例提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现第一方面提供的方法的步骤。

本发明实施例提供的网络调度方法、装置及存储介质，应用于软件定义网络SDN安全控制器，通过SDN安全控制器获取网络安全云的物理网络拓扑结构，所述网络安全云用于在云环境下提供网络安全服务；当检测到用户请求时，基于所述网络安全云的物理网络拓扑结构，调度所述用户请求对应的目标网络流量；将所述目标网络流量传输至虚拟安全设备。能够通过SDN安全控制器的集中控制能力，实现对网络安全云服务中的用户流量进行集中式的网络调度，从而实现基于SDN进行网络调度。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明实施例的网络调度方法的流程示意图；

图2是本发明实施例的网络调度方法的另一流程示意图；

图3是本发明实施例的基于SDN的网络调度示意图；

图4是本发明实施例的网络调度系统示意图；

图5是本发明实施例的网络调度装置结构示意图；

图6是本发明实施例的网络调度装置的另一结构示意图；

图7是本发明实施例的网络调度装置的另一结构示意图；

图8是本发明实施例的网络调度装置的另一结构示意图；

图9是本发明实施例的网络调度装置900的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明一实施例提供一种网络调度方法，应用于SDN(Software DefinedNetwork，软件定义网络)安全控制器，如图1所示，所述方法包括：

101、获取网络安全云的物理网络拓扑结构，所述网络安全云用于在云环境下提供网络安全服务。

对于本发明实施例，记录并实时反映网络安全云中的物理网络拓扑结构，并将物理网络拓扑结构发送至SDN安全控制器，以使得SDN安全控制器可以在动态流量调度时进行参考。

102、当检测到用户请求时，基于所述网络安全云的物理网络拓扑结构，调度所述用户请求对应的目标网络流量。

在本发明实施例中，通过利用SDN安全控制器的集中控制能力，实现对访问网络安全云服务的用户流量进行集中式的网络调度，从而实现结合SDN的安全服务链中的网络流量调度。

103、将所述目标网络流量传输至虚拟安全设备。

在本发明实施例中，通过动态流量牵引方式，将SDN安全控制器与网络安全云平台中的网络控制器进行对接，以实现二者之间的网络流量调度。

通过SDN安全控制器与网络安全云平台之间的对接，可以实现融合技术、管理、人员等各种要素，并结合规划、设计、运行、维护各个阶段的安全诉求的网络安全服务。

其中，SDN是一种新型的网络架构，其核心思想是将网络设备的控制与转发分离开来，从而通过集中的控制器中的软件平台去实现可编程化控制底层硬件，实现对网络资源灵活的按需调配。在SDN网络中，传统的交换机、路由器等概念不再存在，网络设备的功能都简化为数据转发，以便用户能够独立于现有的基础设施来移动虚拟机，而不需要重新配置网络。因此，SDN是实现网络虚拟化最重要的一种形式。

基于结合SDN的虚拟化控制技术，可以研究为网络安全云服务技术平台提供动态虚拟化的流量调度，从而可以实现与网络安全云服务技术平台中管理控制层的无缝集成，并对租户开放软件可定义的安全功能接口，进而可以实现网络安全云化的服务功能。

与现有技术相比，本发明实施例能够通过SDN安全控制器的集中控制能力，实现对网络安全云服务中的用户流量进行集中式的网络调度，从而实现基于SDN进行网络调度。

本发明又一实施例提供一种网络调度方法，应用于SDN安全控制器，如图2所示，所述方法包括：

201、获取网络安全云的物理网络拓扑结构，所述网络安全云用于在云环境下提供网络安全服务。

对于本发明实施例，记录并实时反映网络安全云中的物理网络拓扑结构，并将物理网络拓扑结构发送至SDN安全控制器，以使得SDN安全控制器可以在动态流量调度时进行参考。

202、当检测到用户请求时，基于所述网络安全云的物理网络拓扑结构，调度所述用户请求对应的目标网络流量。

在本发明实施例中，通过利用SDN安全控制器的集中控制能力，实现对访问网络安全云服务的用户流量进行集中式的网络调度，从而实现结合SDN的安全服务链中的网络流量调度。

203、获取网络转发流表。

204、基于所述网络转发流表，识别虚拟网络和虚拟主机。

在本发明实施例中，基于该网络转发流表，可以实现对虚拟网络和虚拟主机的动态识别，从而可以实现目标网络流量的动态牵引。

205、将所述目标网络流量，基于所述虚拟网络传输至所述虚拟主机。

在本发明实施例中，通过动态流量牵引方式，将SDN安全控制器与网络安全云平台中的网络控制器进行对接，以实现二者之间的网络流量调度。

通过SDN安全控制器与网络安全云平台之间的对接，可以实现融合技术、管理、人员等各种要素，并结合规划、设计、运行、维护各个阶段的安全诉求的网络安全服务。

206、对网络入侵进行阻挡，并实时检测当前网络环境的入侵情况。

对于本发明实施例，可以对任意入侵事件进行检测，例如可以包括：恶意入侵事件、非恶意入侵事件、全部病毒入侵事件、目标病毒入侵事件等，均可以用于反馈当前网络环境的入侵情况。

步骤206之后执行的步骤207a、当所述当前网络环境的入侵情况在入侵容忍范围内时，返回当前网络安全的网络状态。

其中，入侵容忍范围用于表征SDN安全控制器可以容忍的入侵范围。该入侵容忍范围可以是入侵事件的发生次数，也可以是各入侵事件的入侵程度，也可以是各入侵事件中入侵程度最严重的入侵事件的入侵程度，本发明实施例不做限制。

在本发明实施例中，入侵容忍范围可以是SDN安全控制器对应的默认入侵容忍范围，也可以由用户根据自身需求和/或当前场景的需求，进行地个性化设置。

步骤206之后执行的且与步骤207a并列的步骤207b、当所述当前网络环境的入侵情况超出所述入侵容忍范围时，隔离所述当前网络环境中的主控制器，并启用备用控制器。

其中，所述备用控制器用于实现所述主控制器具备的各项功能。

在本发明实施例中，步骤206、步骤207a、及步骤207b为SDN安全控制器的自身安全保障措施，这些步骤不限于在本发明实施例的步骤205之后执行，这些步骤可以在本发明实施例的步骤201-205中的任意步骤之前或任意步骤之后执行，也可以与任意步骤并行执行，本发明实施例不做限制。

对于本发明实施例，SDN安全控制器的自身安全保障措施(即步骤206、步骤207a、及步骤207b)采用多控制器入侵容忍架构，以保障SDN安全控制器的安全性。

对于本发明实施例，基于SDN的网络调度示意图，如图3所示，所述SDN安全控制器与所述网络安全云中包括的各物理节点之间进行数据交互。

其中，SDN是一种新型的网络架构，其核心思想是将网络设备的控制与转发分离开来，从而通过集中的控制器中的软件平台去实现可编程化控制底层硬件，实现对网络资源灵活的按需调配。在SDN网络中，传统的交换机、路由器等概念不再存在，网络设备的功能都简化为数据转发，以便用户能够独立于现有的基础设施来移动虚拟机，而不需要重新配置网络。因此，SDN是实现网络虚拟化最重要的一种形式。

基于结合SDN的虚拟化控制技术，可以研究为网络安全云服务技术平台提供动态虚拟化的流量调度，从而可以实现与网络安全云服务技术平台中管理控制层的无缝集成，并对租户开放软件可定义的安全功能接口，进而可以实现网络安全云化的服务功能。

与现有技术相比，本发明实施例能够通过SDN安全控制器的集中控制能力，实现对网络安全云服务中的用户流量进行集中式的网络调度，从而实现基于SDN进行网络调度。

本发明又一实施例提供一种网络调度系统，包括：SDN安全控制器41、及云平台网络控制器42。如图4所示，SDN安全控制器41与与平台网络控制器42之间进行数据交互，以实现上述图1、图2所示实施例提供的网络调度方法。

本发明又一实施例提供一种网络调度装置，应用于软件定义网络SDN安全控制器，如图5所示，所述装置包括：

网络拓扑获取模块51，用于获取网络安全云的物理网络拓扑结构，所述网络安全云用于在云环境下提供网络安全服务；

网络流量调度模块52，用于当检测到用户请求时，基于所述网络安全云的物理网络拓扑结构，调度所述用户请求对应的目标网络流量；

网络流量传输模块53，用于将所述目标网络流量传输至虚拟安全设备。

进一步的，如图6所示，所述装置还包括：

转发流表获取模块61，用于获取网络转发流表；

识别模块62，用于基于所述网络转发流表，识别虚拟网络和虚拟主机；

所述网络流量传输模块53，还用于将所述目标网络流量，基于所述虚拟网络传输至所述虚拟主机。

进一步的，如图7所示，所述装置还包括：

入侵检测模块71，用于对网络入侵进行阻挡，并实时检测当前网络环境的入侵情况；

安全保障模块72，用于当所述当前网络环境的入侵情况在入侵容忍范围内时，返回当前网络安全的网络状态。

安全保障模块72，还用于当所述当前网络环境的入侵情况超出所述入侵容忍范围时，隔离所述当前网络环境中的主控制器，并启用备用控制器；其中，所述备用控制器用于实现所述主控制器具备的各项功能。

进一步的，如图8所示，所述装置还包括：

数据交互模块81，用于与所述网络安全云中包括的各物理节点之间进行数据交互。

与现有技术相比，本发明实施例能够通过SDN安全控制器的集中控制能力，实现对网络安全云服务中的用户流量进行集中式的网络调度，从而实现基于SDN进行网络调度。

本发明实施例还提供另一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中的存储器中所包含的计算机可读存储介质；也可以是单独存在，未装配入终端中的计算机可读存储介质。所述计算机可读存储介质存储有一个或者一个以上程序，所述一个或者一个以上程序被一个或者一个以上的处理器用来执行图1、图2所示实施例提供的网络调度方法。

本发明实施例提供的网络调度装置、存储介质可以实现上述提供的方法实施例，具体功能实现请参见方法实施例中的说明，在此不再赘述。本发明实施例提供的网络调度方法、装置及存储介质可以适用于基于SDN进行网络调度，但不仅限于此。

如图9所示，网络调度装置900可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，个人数字助理等。

参照图9，网络调度装置900可以包括以下一个或多个组件：处理组件902，存储器904，电源组件906，多媒体组件908，音频组件910，输入/输出(I/O)的接口912，传感器组件914，以及通信组件916。

处理组件902通常控制无人机控制装置900的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件902可以包括一个或多个处理器920来执行指令。

此外，处理组件902可以包括一个或多个模块，便于处理组件902和其他组件之间的交互。例如，处理组件902可以包括多媒体模块，以方便多媒体组件908和处理组件902之间的交互。

存储器904被配置为存储各种类型的数据以支持在无人机控制装置900的操作。这些数据的示例包括用于在无人机控制装置900上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器904可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件906为无人机控制装置900的各种组件提供电力。电源组件906可以包括电源管理系统，一个或多个电源，及其他与为无人机控制装置900生成、管理和分配电力相关联的组件。

多媒体组件908包括在所述无人机控制装置900和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件908包括一个前置摄像头和/或后置摄像头。当无人机控制装置900处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件910被配置为输出和/或输入音频信号。例如，音频组件910包括一个麦克风(MIC)，当无人机控制装置900处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器904或经由通信组件916发送。在一些实施例中，音频组件910还包括一个扬声器，用于输出音频信号。

I/O接口912为处理组件902和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件914包括一个或多个传感器，用于为无人机控制装置900提供各个方面的状态评估。例如，传感器组件914可以检测到无人机控制装置900的打开/关闭状态，组件的相对定位，例如所述组件为无人机控制装置900的显示器和小键盘，传感器组件914还可以检测无人机控制装置900或无人机控制装置900一个组件的位置改变，用户与无人机控制装置900接触的存在或不存在，无人机控制装置900方位或加速/减速和无人机控制装置900的温度变化。传感器组件914可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件914还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件914还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件916被配置为便于无人机控制装置900和其他设备之间有线或无线方式的通信。无人机控制装置900可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件916经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件916还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，无人机控制装置900可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(RandomAccessMemory，RAM)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (11)

1.一种网络调度方法，其特征在于，应用于软件定义网络SDN安全控制器，包括：

获取网络安全云的物理网络拓扑结构，所述网络安全云用于在云环境下提供网络安全服务；

当检测到用户请求时，基于所述网络安全云的物理网络拓扑结构，调度所述用户请求对应的目标网络流量；

将所述目标网络流量传输至虚拟安全设备。

2.根据权利要求1所述的网络调度方法，其特征在于，所述将所述目标网络流量传输至虚拟安全设备之前，还包括：

获取网络转发流表；

基于所述网络转发流表，识别虚拟网络和虚拟主机；

所述将所述目标网络流量传输至虚拟安全设备，包括：

将所述目标网络流量，基于所述虚拟网络传输至所述虚拟主机。

3.根据权利要求1所述的网络调度方法，其特征在于，所述方法还包括：

对网络入侵进行阻挡，并实时检测当前网络环境的入侵情况；

当所述当前网络环境的入侵情况在入侵容忍范围内时，返回当前网络安全的网络状态。

4.根据权利要求3所述的网络调度方法，其特征在于，所述方法还包括：

当所述当前网络环境的入侵情况超出所述入侵容忍范围时，隔离所述当前网络环境中的主控制器，并启用备用控制器；

其中，所述备用控制器用于实现所述主控制器具备的各项功能。

5.根据权利要求1-4任一项所述的网络调度方法，其特征在于，所述SDN安全控制器与所述网络安全云中包括的各物理节点之间进行数据交互。

6.一种网络调度装置，其特征在于，应用于软件定义网络SDN安全控制器，包括：

网络拓扑获取模块，用于获取网络安全云的物理网络拓扑结构，所述网络安全云用于在云环境下提供网络安全服务；

网络流量调度模块，用于当检测到用户请求时，基于所述网络安全云的物理网络拓扑结构，调度所述用户请求对应的目标网络流量；

网络流量传输模块，用于将所述目标网络流量传输至虚拟安全设备。

7.根据权利要求6所述的网络调度装置，其特征在于，所述装置还包括：

转发流表获取模块，用于获取网络转发流表；

识别模块，用于基于所述网络转发流表，识别虚拟网络和虚拟主机；

所述网络流量传输模块，还用于将所述目标网络流量，基于所述虚拟网络传输至所述虚拟主机。

8.根据权利要求6所述的网络调度装置，其特征在于，所述装置还包括：

入侵检测模块，用于对网络入侵进行阻挡，并实时检测当前网络环境的入侵情况；

安全保障模块，用于当所述当前网络环境的入侵情况在入侵容忍范围内时，返回当前网络安全的网络状态。

9.根据权利要求8所述的网络调度装置，其特征在于，

安全保障模块，还用于当所述当前网络环境的入侵情况超出所述入侵容忍范围时，隔离所述当前网络环境中的主控制器，并启用备用控制器；其中，所述备用控制器用于实现所述主控制器具备的各项功能。

10.根据权利要求6-9任一项所述的网络调度装置，其特征在于，所述装置还包括：

数据交互模块，用于与所述网络安全云中包括的各物理节点之间进行数据交互。

11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现权利要求1-5所述方法的步骤。