CN110855651B - 一种基于流量驱动的访问控制策略的自动生成方法及系统 - Google Patents
一种基于流量驱动的访问控制策略的自动生成方法及系统 Download PDFInfo
- Publication number
- CN110855651B CN110855651B CN201911069190.1A CN201911069190A CN110855651B CN 110855651 B CN110855651 B CN 110855651B CN 201911069190 A CN201911069190 A CN 201911069190A CN 110855651 B CN110855651 B CN 110855651B
- Authority
- CN
- China
- Prior art keywords
- service
- application
- information
- access control
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于流量驱动的访问控制策略的自动生成方法及系统,其中,该方法包括:根据首包信息,向业务管理系统提交流量转发申请信息;向资产管理系统确认主机所属的业务系统及主机上的应用信息;在业务申请管理数据库查询业务申请记录;向SDN控制器提交流量转发申请指令,向SDS控制器提交访问控制申请信息;由SDN控制器根据流量转发申请指令,进行流表下发,将流量定向到网关设备,并由SDS控制器根据访问控制申请信息,自动生成访问控制策略,并下发到相应的设备。该方法及系统可以实现流量驱动访问控制策略的自动生成,大大减少了人工配置的成本,简化策略申请的流程,同时也提升了网关设备的性能,提高策略开通的效率。
Description
技术领域
本发明涉及通信技术领域,尤指一种基于流量驱动的访问控制策略的自动生成方法及系统。
背景技术
随着SDN(Software Defined Network,软件定义网络)的飞速发展,企业对SDN的期望也是越来越高,如改善网络利用率、自动化配置管理、支持创建私有云和混合云等,为业务应用提供更好的IT基础支撑。
目前,在云计算业务发展的过程中,访问控制策略通常是由人工管理,配置下发,整个流程需要经过层层审批,实现起来繁琐且效率较低,如果跨设备,还需要多人协作。
因此,亟需一种适应云计算、准确性高、能够自动生成下发策略的技术方案。
发明内容
为解决上述问题,本发明提出了一种基于流量驱动的访问控制策略的自动生成方法及系统,通过流量驱动自动生成访问控制策略,能够减少人工配置的成本,提高处理效率,提升网关设备的性能。
在本发明一实施例中,提出了一种基于流量驱动的访问控制策略的自动生成方法,该方法包括:
接收SDN控制器提交的流量转发申请信息;
根据所述流量转发申请信息,向资产管理系统确认主机所属的业务系统及主机上的应用信息;
根据所述主机所属的业务系统及主机上的应用信息,在业务申请管理数据库查询业务申请记录;
根据查询到的所述业务申请记录生成流量转发申请指令及访问控制申请信息,并向SDN控制器提交流量转发申请指令,向SDS控制器提交所述访问控制申请信息;
由SDN控制器根据流量转发申请指令,进行流表下发,将流量定向到网关设备,并由SDS控制器根据所述访问控制申请信息,自动生成访问控制策略,并下发到相应的设备。
在本发明一实施例中,还提出了一种基于流量驱动的访问控制策略的自动生成系统,该系统包括:业务管理系统、资产管理系统及SDN控制器、SDS控制器;其中,
业务管理系统,用于根据流量转发申请信息,向资产管理系统确认主机所属的业务系统及主机上的应用信息;根据所述主机所属的业务系统及主机上的应用信息,在业务申请管理数据库查询业务申请记录;根据查询到的所述业务申请记录生成流量转发申请指令及访问控制申请信息,并向SDN控制器提交所述流量转发申请指令,向SDS控制器提交所述访问控制申请信息;
资产管理系统,用于纳管网络中所有的设备信息,存储所有的资产的位置信息、运行状态、IP信息、MAC地址、主机所归属的业务系统及主机中所运行的应用信息;
SDN控制器,用于根据首包信息,向业务管理系统提交流量转发申请信息;根据所述业务管理系统下发的流量转发申请指令,进行流表下发,将流量定向到网关设备;
SDS控制器,用于根据所述业务管理系统下发的访问控制申请信息,自动生成访问控制策略,并下发到相应的设备。
在本发明一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现基于流量驱动的访问控制策略的自动生成方法。
在本发明一实施例中,还提出了一种计算机可读存储介质,所述计算机可读存储介质存储有执行基于流量驱动的访问控制策略的自动生成方法的计算机程序。
本发明提出的基于流量驱动的访问控制策略的自动生成方法及系统可以实现流量驱动访问控制策略的自动生成,大大减少了人工配置的成本,简化策略申请的流程,同时也提升了网关设备的性能,提高策略开通的效率。
附图说明
图1是本发明一实施例的基于流量驱动的访问控制策略的自动生成方法流程图。
图2是本发明一实施例的基于流量驱动的访问控制策略的自动生成系统架构示意图。
图3是本发明一具体实施例的流量转发申请信息的示意图。
图4是本发明实施例一的业务申请记录的示意图。
图5是本发明实施例二的业务申请记录的示意图。
图6是本发明一实施例的计算机设备结构示意图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神。应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种基于流量驱动的访问控制策略的自动生成方法及系统,该方法及系统是利用SDN控制器根据首包信息,向业务管理系统提交转发申请;由业务管理系统根据数据库中的业务申请记录,向SDN控制器提交流量转发申请以及向SDS(Software Defined Security,软件定义安全)控制器提交访问控制申请信息;最后,由SDN控制器根据流量转发申请信息,进行流表下发,将流量定向到网关设备,并由SDS控制器根据访问控制申请信息,自动生成访问控制策略,并将策略下发到相应的设备。该方法及系统,可以适应云计算,以及虚拟机扩容,迁移等场景,提高配置的准确性、可维护性,做到由流量驱动自动下发策略,减少人工的干预,实现自动运维。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
图1是本发明一实施例的基于流量驱动的访问控制策略的自动生成方法流程图。
如图1所示,该方法包括:
步骤S101,接收SDN控制器提交的流量转发申请信息;
其中,该步骤中的流量转发申请信息是由SDN控制器根据首包信息,向业务管理系统提交的。
具体过程是SDN控制器根据交换机上送的流量转发请求报文(packet_in报文),经过解析得到流量转发申请信息,该流量转发申请信息包括:源地址信息、目的地址信息、协议及端口。
SDN控制器还根据所述流量转发申请信息,计算出流量经过的网络路径,确定源端主机的位置信息、目的端主机的位置信息以及流量需要经过的防火墙设备;并在确定该些信息后,将所述源端主机的位置信息、目的端主机的位置信息以及流量需要经过的防火墙设备提交到业务管理系统。
步骤S102,根据所述流量转发申请信息,向资产管理系统确认主机所属的业务系统及主机上的应用信息。
在一实施例中,该步骤是由业务管理系统根据所述流量申请信息中的协议及端口,详细产管理系统确认目的端主机上的应用信息;
根据源端主机的位置信息以及源地址信息,确定源端所归属的源业务系统;
根据目的端主机的位置信息以及目的地址信息,确定目的端所归属的目的业务系统;
至此,资产信息确认完成。
步骤S103,根据所述主机所属的业务系统及主机上的应用信息,在业务申请管理数据库查询业务申请记录。
在一实施例中,基于前述步骤S102,业务管理系统可以根据所述源业务系统、目的业务系统及目的端主机上的应用信息,在业务申请管理数据库查询相应的业务申请记录。
步骤S104,根据查询到的所述业务申请记录生成流量转发申请指令及访问控制申请信息,并向SDN控制器提交流量转发申请指令,向SDS控制器提交所述访问控制申请信息。
具体可以包含以下几种情况:
1、如果存在相应的业务申请记录,且业务申请记录的动作状态为允许,根据业务申请记录生成流量转发申请指令及访问控制申请信息,并向SDN控制器提交所述流量转发申请指令,向SDS控制器提交所述访问控制申请信息。
2、如果不存在完全一致的业务申请记录,且所述业务数据记录中的源业务系统和目的业务系统之间允许通信,向资产管理系统认证源端和目的端的主机信息,在认证通过的情况下,由业务管理系统自动生成业务申请记录,根据业务申请记录生成流量转发申请指令及访问控制申请信息,并向SDN控制器提交所述流量转发申请指令,向SDS控制器提交所述访问控制申请信息。
3、如果查询到与业务申请管理数据库中的业务申请记录有冲突;
根据预设的优先级信息,向管理员发出告警提示,由管理员对业务申请的优先级进行调整;
在业务申请管理数据库中的现有业务的优先级高的情况下,可以向SDN控制器下发拒绝消息,由SDN控制器将流量进行丢弃处理,并向SDS控制器下发拒绝访问的请求。
4、在业务管理系统向SDN控制器下发流量转发申请指令以及向SDS控制器发送访问控制器申请信息时,可以根据业务决策的策略,向SDN控制器下发所申请流量的允许或者拒绝操作,也可以向SDN控制器下发与该业务相关的所有的流量的允许或者拒绝操作。
步骤S105,由SDN控制器根据流量转发申请指令,进行流表下发,将流量定向到网关设备,并由SDS控制器根据所述访问控制申请信息,自动生成访问控制策略,并下发到相应的设备。
在一实施例中,步骤S105的详细处理过程为:
由SDN控制器接收到业务管理系统发出的流量转发申请指令之后,根据计算的网络路径,向交换机发送packet_out报文以及下发相应的流表,将流量引向相应的网关设备;
由SDS控制器接收到访问控制申请信息之后,将所述访问控制申请信息映射成为访问控制策略,并下发到相应的网关设备。
基于前述方法实现了流量驱动访问控制策略的自动生成,大大减少了人工配置的成本,同时也提升了网关设备的性能,做到真正的与业务一致。
需要说明的是,尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
在介绍了本发明示例性实施方式的方法之后,接下来,参考图2对本发明示例性实施方式的基于流量驱动的访问控制策略的自动生成系统进行介绍。
基于流量驱动的访问控制策略的自动生成系统的实施可以参见上述方法的实施,重复之处不再赘述。以下所使用的术语“模块”或者“单元”,可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
基于同一发明构思,本发明还提出了一种基于流量驱动的访问控制策略的自动生成系统,如图2所示,该系统包括:
业务管理系统100、资产管理系统200及SDN控制器300、SDS控制器400;
其中,
业务管理系统100,用于管理业务申请记录,控制业务系统之间的访问,协调资产管理系统、SDN控制器以及SDS控制器,开通端到端的业务。
具体的,该业务管理系统100在进行访问控制策略的自动生成过程中,用于根据流量转发申请信息,向资产管理系统确认主机所属的业务系统及主机上的应用信息;根据所述主机所属的业务系统及主机上的应用信息,在业务申请管理数据库110查询业务申请记录;根据查询到的所述业务申请记录生成流量转发申请指令及访问控制申请信息,并向SDN控制器提交所述流量转发申请指令,向SDS控制器提交所述访问控制申请信息。
业务管理系统100的业务申请管理数据库110中记录着业务申请记录;每条业务申请记录由源业务系统、目的业务系统、源和目的主机信息、协议、端口、动作、来源、角色及状态构成,动作标识为允许和拒绝。业务申请记录中还记录着该条记录的生成是手动还是自动的,自动的优先级低于手动的,对于是手动的申请还需要区分角色,其中管理员权限的优先级是最高的。当业务申请记录之间冲突关系,按照优先级的方式来解决冲突。
资产管理系统200,用于纳管网络中所有的设备信息,包括虚拟的、物理的设备,以及设备中的应用等。在资产管理系统200的资产信息数据库210中,存储所有的资产的位置信息、运行状态、IP信息、MAC地址、主机所归属的业务系统及主机中所运行的应用信息。
SDN控制器300,用于管理网络交换单元(包括OPENFLOW交换机和传统的网络交换设备),计算端到端的网络路径,控制网络设备的转发行为。
具体的,该SDN控制器300用于根据首包信息,向业务管理系统提交流量转发申请信息;根据所述业务管理系统下发的流量转发申请指令,进行流表下发,将流量定向到网关设备。
SDS控制器400,用于根据所述业务管理系统下发的访问控制申请信息,自动生成访问控制策略,并下发到相应的设备。该SDS控制器400管理和控制着安全业务以及所有的安全相关的设备。SDS控制器400的策略数据库410中维护着访问控制申请信息以及相应的安全策略。SDS控制器接收到访问控制申请信息,则将访问控制信息存入数据库,并将访问控制申请信息映射为安全策略,并下发到防火墙等相关的安全设备中。
应当注意,尽管在上文详细描述中提及了基于流量驱动的访问控制策略的自动生成系统的若干模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
为了对上述基于流量驱动的访问控制策略的自动生成方法及系统进行更为清楚的解释,下面结合两个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
以某一流量转发申请为例,结合图1至图2所示,通过流量驱动自动生成访问控制策略,实现策略管理。
实施例一:
首先,步骤S201,由SDN控制器接收到交换机上送的流量转发请求报文(packet_in报文)。SDN控制器根据该流量转发请求报文,解析出流量转发申请信息:源地址、目的地址、协议和端口等,如图3所示,为本实施例的流量转发申请信息的示意图。由图3可知,流量转发申请信息为:
源位置信息:Sw1;
源端主机:192.168.0.1;
目的端位置信息:Sw8;
目的端主机:192.168.20.10;
协议:Tcp;
端口:3306。
步骤S202,SDN控制器根据流量转发申请信息,计算出流量经过的网络路径,确定源端主机和目的端主机的位置信息以及流量需要经过的防火墙设备;然后将流量申请信息,以及需要通信的主机信息和需要打通的防火墙设备信息提交到业务管理系统。
步骤S203,业务管理系统根据流量转发申请信息、源端和目的端的位置信息向资产管理系统确认主机所属的业务系统以及主机上的应用。
具体的,根据源端的主机位置信息以及源地址信息,确定源端所归属业务系统:SysWeb;
根据目的端主机的位置信息以及目的地址信息,确定目的业务系统SysDb;
根据流量转发申请信息中的协议和端口向资产管理系统中确认目的端主机上存在相应的应用:mysql。
步骤S204,资产信息确认成功之后,业务管理系统根据源业务系统和目的业务系统,向业务申请管理数据库查询相应的业务申请记录;
如图4所示,业务申请管理数据库中存在相应的业务申请记录。由图4可知,该业务申请记录中,
源业务系统:SysWeb;
源端主机:192.168.0.1、192.168.0.2;
目的业务系统:SysDb;
目的端主机:192.168.20.10、192.168.20.11;
协议:Tcp;
端口:3306;
动作:允许;
来源:手动/自动;
角色:管理员;
状态:待处理。
业务管理系统基于上述信息,向SDN控制器下发流量转发申请指令;以及向SDS控制器发送访问控制申请信息,并修改业务申请记录的状态为生效。
步骤S205,SDN控制器接收到流量转发申请指令之后,根据网络路径,下发相应的流表信息,并将流量引向相应的网关设备或者防火墙设备。
步骤S206,SDS控制器接收到访问控制申请信息之后,将访问控制申请信息映射成为访问控制策略,并下发到相应的网关设备或者防火墙设备。
经过前述步骤,通过SDN控制器下发流表以及由SDS控制器下发访问控制策略,实现了端到端的策略打通。
实施例二:
首先,步骤S301,由SDN控制器接收到交换机上送的流量转发请求报文(packet_in报文)。SDN控制器根据该流量转发请求报文,解析出流量转发申请信息:源地址、目的地址、协议和端口等,如图3所示,为本实施例的流量转发申请信息的示意图。由图3可知,流量转发申请信息为:
源位置信息:Sw1;
源端主机:192.168.0.1;
目的端位置信息:Sw8;
目的端主机:192.168.20.10;
协议:Tcp;
端口:3306。
步骤S302,SDN控制器根据流量转发申请信息,计算出流量经过的网络路径,确定源端主机和目的端主机的位置信息以及流量需要经过的防火墙设备;然后将流量申请信息,以及需要通信的主机信息和需要打通的防火墙设备信息提交到业务管理系统。
步骤S303,业务管理系统根据流量转发申请信息、源端和目的端的位置信息向资产管理系统确认主机所属的业务系统以及主机上的应用。
具体的,根据源端的主机位置信息以及源地址信息,确定源端所归属业务系统:SysWeb;
根据目的端主机的位置信息以及目的地址信息,确定目的业务系统SysDb;
根据流量转发申请信息中的协议和端口向资产管理系统中确认目的端主机上存在相应的应用:mysql。
至此,与前述实施例一的步骤内容相同。
步骤S304,资产信息确认成功之后,业务管理系统根据源业务系统和目的业务系统,向业务申请管理数据库查询相应的业务申请记录;
如图5所示,业务申请记录为:
源业务系统:SysWeb;
源端主机:192.168.0.1、192.168.0.2;
目的业务系统:SysDb;
目的端主机:192.168.20.10、192.168.20.11;
协议:Tcp;
端口:3306;
动作:拒绝;
来源:手动;
角色:管理员;
状态:审核通过。
本次流量转发申请出现与业务申请管理数据库中的业务申请记录冲突,业务申请记录为手动申请,则认为数据中的业务申请信息优先级比较高,并向SDN控制器下发拒绝消息,让SDN控制器将流量做Drop(丢弃)处理,并向SDS控制器下发拒绝访问的请求。
步骤S305,SDN控制器接收到拒绝消息之后,下发packet_out消息以及相应的流量信息,将相关的流量做Drop处理。
步骤S306,SDS控制器接收到拒绝访问的请求信息之后,将访问控制申请信息映射成为访问控制策略,并下发到相应的网关设备或者防火墙设备。
该方法及系统可以适应云计算,以及虚拟机扩容,迁移等场景,提高配置的准确性、可维护性,做到由流量驱动自动下发策略,减少人工的干预,实现自动运维。
基于前述发明构思,如图6所示,本发明还提出了一种计算机设备600,包括存储器610、处理器620及存储在存储器610上并可在处理器620上运行的计算机程序630,所述处理器620执行所述计算机程序630时实现前述基于流量驱动的访问控制策略的自动生成方法。
基于前述发明构思,本还提出了一种计算机可读存储介质,所述计算机可读存储介质存储有执行基于流量驱动的访问控制策略的自动生成方法的计算机程序。
本发明提出的基于流量驱动的访问控制策略的自动生成方法及系统可以实现流量驱动访问控制策略的自动生成,大大减少了人工配置的成本,简化策略申请的流程,同时也提升了网关设备的性能,提高策略开通的效率。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。
Claims (10)
1.一种基于流量驱动的访问控制策略的自动生成方法,其特征在于,该方法包括:
接收SDN控制器提交的流量转发申请信息;
根据所述流量转发申请信息,向资产管理系统确认主机所属的业务系统及主机上的应用信息;
根据所述主机所属的业务系统及主机上的应用信息,在业务申请管理数据库查询业务申请记录;
根据查询到的所述业务申请记录生成流量转发申请指令及访问控制申请信息,并向SDN控制器提交流量转发申请指令,向SDS控制器提交所述访问控制申请信息,由SDN控制器根据流量转发申请指令,进行流表下发,将流量定向到网关设备,并由SDS控制器根据所述访问控制申请信息,自动生成访问控制策略,并下发到相应的设备。
2.根据权利要求1所述的基于流量驱动的访问控制策略的自动生成方法,其特征在于,接收SDN控制器提交的流量转发申请信息,还包括:
接收由所述SDN控制器根据交换机上送的packet_in报文,经过解析得到流量转发申请信息,所述流量转发申请信息包括源地址信息、目的地址信息、协议及端口。
3.根据权利要求2所述的基于流量驱动的访问控制策略的自动生成方法,其特征在于,接收SDN控制器提交的流量转发申请信息,还包括:
接收所述SDN控制器提交的源端主机的位置信息、目的端主机的位置信息以及流量需要经过的防火墙设备信息;其中,所述SDN控制器根据所述流量转发申请信息,计算出流量经过的网络路径,并根据所述流量经过的网络路径得到源端主机的位置信息、目的端主机的位置信息以及流量需要经过的防火墙设备。
4.根据权利要求3所述的基于流量驱动的访问控制策略的自动生成方法,其特征在于,根据所述流量转发申请信息,向资产管理系统确认主机所属的业务系统及主机上的应用信息,还包括:
根据所述流量转发申请信息中的协议及端口,向资产管理系统确认目的端主机上的应用信息;
根据源端主机的位置信息以及源地址信息,确定源端所归属的源业务系统;
根据目的端主机的位置信息以及目的地址信息,确定目的端所归属的目的业务系统。
5.根据权利要求4所述的基于流量驱动的访问控制策略的自动生成方法,其特征在于,根据所述业务系统及应用信息,在业务申请管理数据库查询业务申请记录,包括:
根据所述源业务系统、目的业务系统及目的端主机上的应用信息,在业务申请管理数据库查询相应的业务申请记录;
如果存在相应的业务申请记录,且业务申请记录的动作状态为允许,根据业务申请记录生成流量转发申请指令及访问控制申请信息,并向SDN控制器提交所述流量转发申请指令,向SDS控制器提交所述访问控制申请信息;
如果不存在完全一致的业务申请记录,且所述业务申请记录中的源业务系统和目的业务系统之间允许通信,向资产管理系统认证源端和目的端的主机信息,在认证通过的情况下,由业务管理系统自动生成业务申请记录,根据业务申请记录生成流量转发申请指令及访问控制申请信息,并向SDN控制器提交所述流量转发申请指令,向SDS控制器提交所述访问控制申请信息。
6.根据权利要求5所述的基于流量驱动的访问控制策略的自动生成方法,其特征在于,根据所述业务系统及应用信息,在业务申请管理数据库查询业务申请记录,还包括:
如果查询到与业务申请管理数据库中的业务申请记录有冲突,根据预设的优先级信息,向管理员发出告警提示,由管理员对业务申请的优先级进行调整;在业务申请管理数据库中的现有业务的优先级高的情况下,向SDN控制器下发拒绝消息,由SDN控制器将流量进行丢弃处理,并向SDS控制器下发拒绝访问的请求。
7.根据权利要求6所述的基于流量驱动的访问控制策略的自动生成方法,其特征在于,该方法还包括:
由SDN控制器接收到业务管理系统发出的流量转发申请指令之后,根据计算的网络路径,向交换机发送packet_out报文以及下发相应的流表,将流量引向相应的网关设备;
由SDS控制器接收到访问控制申请信息之后,将所述访问控制申请信息映射成为访问控制策略,并下发到相应的网关设备。
8.一种基于流量驱动的访问控制策略的自动生成系统,其特征在于,该系统包括:业务管理系统、资产管理系统及SDN控制器、SDS控制器;其中,
业务管理系统,用于根据流量转发申请信息,向资产管理系统确认主机所属的业务系统及主机上的应用信息;根据所述主机所属的业务系统及主机上的应用信息,在业务申请管理数据库查询业务申请记录;根据查询到的所述业务申请记录生成流量转发申请指令及访问控制申请信息,并向SDN控制器提交所述流量转发申请指令,向SDS控制器提交所述访问控制申请信息;
资产管理系统,用于纳管网络中所有的设备信息,存储所有的资产的位置信息、运行状态、IP信息、MAC地址、主机所归属的业务系统及主机中所运行的应用信息;
SDN控制器,用于根据packet_in报文,向业务管理系统提交流量转发申请信息;根据所述业务管理系统下发的流量转发申请指令,进行流表下发,将流量定向到网关设备;
SDS控制器,用于根据所述业务管理系统下发的访问控制申请信息,自动生成访问控制策略,并下发到相应的设备。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一所述方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911069190.1A CN110855651B (zh) | 2019-11-05 | 2019-11-05 | 一种基于流量驱动的访问控制策略的自动生成方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911069190.1A CN110855651B (zh) | 2019-11-05 | 2019-11-05 | 一种基于流量驱动的访问控制策略的自动生成方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110855651A CN110855651A (zh) | 2020-02-28 |
CN110855651B true CN110855651B (zh) | 2021-12-24 |
Family
ID=69598076
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911069190.1A Active CN110855651B (zh) | 2019-11-05 | 2019-11-05 | 一种基于流量驱动的访问控制策略的自动生成方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110855651B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112187799B (zh) * | 2020-09-28 | 2023-04-07 | 京东科技控股股份有限公司 | 资源访问策略生成方法及装置、存储介质、电子设备 |
CN114567481B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 一种数据传输方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105406992A (zh) * | 2015-10-28 | 2016-03-16 | 浙江工商大学 | 一种面向sdn的业务需求转化和部署方法 |
CN108123919A (zh) * | 2016-11-29 | 2018-06-05 | 上海有云信息技术有限公司 | 网络的监控防护系统和方法 |
CN109246141A (zh) * | 2018-10-26 | 2019-01-18 | 电子科技大学 | 一种基于sdn的反过度爬虫方法 |
CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
CN110224990A (zh) * | 2019-07-17 | 2019-09-10 | 浙江大学 | 一种基于软件定义安全架构的入侵检测系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10616050B2 (en) * | 2017-05-05 | 2020-04-07 | VCE IP Holding Company LLC | Software defined storage (SDS) system with network tiering |
US10491529B2 (en) * | 2017-06-30 | 2019-11-26 | Cisco Technology, Inc. | Automatic rule generation for flow management in software defined networking networks |
CN108040268B (zh) * | 2017-11-30 | 2021-03-09 | 浙江宇视科技有限公司 | 一种基于sdn的视频监控网络安全控制方法及系统 |
US10798061B2 (en) * | 2018-03-26 | 2020-10-06 | Fortinet, Inc. | Automated learning of externally defined network assets by a network security device |
-
2019
- 2019-11-05 CN CN201911069190.1A patent/CN110855651B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105406992A (zh) * | 2015-10-28 | 2016-03-16 | 浙江工商大学 | 一种面向sdn的业务需求转化和部署方法 |
CN108123919A (zh) * | 2016-11-29 | 2018-06-05 | 上海有云信息技术有限公司 | 网络的监控防护系统和方法 |
CN109246141A (zh) * | 2018-10-26 | 2019-01-18 | 电子科技大学 | 一种基于sdn的反过度爬虫方法 |
CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
CN110224990A (zh) * | 2019-07-17 | 2019-09-10 | 浙江大学 | 一种基于软件定义安全架构的入侵检测系统 |
Non-Patent Citations (2)
Title |
---|
"A security controller-based software defined security architecture";Xiaofeng Qiu 等;《2017 20th Conference on Innovations in Clouds, Internet and Networks (ICIN)》;20170417;第191-195页 * |
"基于自适应的软件定义安全架构";陶云祥 等;《电信工程技术与标准化》;20190615;第66-71页 * |
Also Published As
Publication number | Publication date |
---|---|
CN110855651A (zh) | 2020-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102025535B (zh) | 虚拟机管理方法、装置及网络设备 | |
EP3337097B1 (en) | Network element upgrading method and device | |
CN103795602B (zh) | 虚拟网络的网络策略配置方法及装置 | |
CN108322467B (zh) | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 | |
RU2560821C2 (ru) | Система связи, устройство управления, способ и программа связи | |
US9912633B2 (en) | Selective IP address allocation for probes that do not have assigned IP addresses | |
US11671363B2 (en) | Method and apparatus for cross-service-zone communication, and data center network | |
CN110855651B (zh) | 一种基于流量驱动的访问控制策略的自动生成方法及系统 | |
CN109587286B (zh) | 一种设备接入控制方法及装置 | |
US20180191614A1 (en) | Communication system, control apparatus, communication apparatus, communication control method, and program | |
CN106911648B (zh) | 一种环境隔离方法及设备 | |
CN105634956A (zh) | 一种报文转发方法、装置和系统 | |
CN113014427A (zh) | 网络管理方法和设备,及存储介质 | |
US10868835B2 (en) | Method for managing data traffic within a network | |
CN110061855A (zh) | 一种业务处理方法、系统和装置 | |
CN112398902A (zh) | 高可用负载均衡方法、系统及计算机可读存储介质 | |
CN108462752B (zh) | 一种访问共享网络的方法、系统及vpc管理设备以及可读存储介质 | |
CN110798341B (zh) | 业务开通方法、装置及系统 | |
US10785147B2 (en) | Device and method for controlling route of traffic flow | |
CN108366087B (zh) | 一种基于分布式文件系统的iscsi服务实现方法和装置 | |
CN112995349B (zh) | 地址管理方法、服务器和计算机可读存储介质 | |
CN115412319B (zh) | 一种基于策略随行的网络权限控制方法、设备及介质 | |
CN107493181B (zh) | 虚拟扩展端口的指示方法和装置 | |
CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
CN114978580B (zh) | 网络检测方法及装置、存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder |
Address after: Room 702-2, No. 4811, Cao'an Highway, Jiading District, Shanghai Patentee after: CHINA UNITECHS Address before: 100872 5th floor, Renmin culture building, 59 Zhongguancun Street, Haidian District, Beijing Patentee before: CHINA UNITECHS |
|
CP02 | Change in the address of a patent holder |