CN111212036A - 一种流规则的检测方法、设备及可读介质 - Google Patents
一种流规则的检测方法、设备及可读介质 Download PDFInfo
- Publication number
- CN111212036A CN111212036A CN201911322969.XA CN201911322969A CN111212036A CN 111212036 A CN111212036 A CN 111212036A CN 201911322969 A CN201911322969 A CN 201911322969A CN 111212036 A CN111212036 A CN 111212036A
- Authority
- CN
- China
- Prior art keywords
- application
- flow rule
- network
- transaction number
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims description 23
- 230000006870 function Effects 0.000 claims abstract description 26
- 238000007726 management method Methods 0.000 claims abstract description 22
- 238000001514 detection method Methods 0.000 claims abstract description 11
- 238000012550 audit Methods 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims description 20
- 238000005538 encapsulation Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 9
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 206010033799 Paralysis Diseases 0.000 abstract description 2
- 230000007246 mechanism Effects 0.000 abstract description 2
- 230000003287 optical effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种流规则的检测方法,包括在可信管理模块执行以下步骤:对应用的信息进行审核,并为应用分配应用号、以及事务号;基于应用号和事务号生成公钥和私钥;以及将事务号和私钥下发给应用以用来对流规则进行签名加密,并将公钥发送给认证模块以用来验证流规则是否通过审核。本发明还公开了一种计算机设备和可读存储介质。本发明通过控制器对应用及其业务的合法性进行审核并分配公私钥,防止非法应用对网络下发恶意流规则。增加SDN网络中应用的可靠性检测,避免恶意应用通过流规则冲突机制,恶意下发流规则而产生的网络服务瘫痪、网络混乱等问题,在保证网络功能丰富多彩的前提下,提高网络的健壮性。
Description
技术领域
本发明涉及网络管理技术领域,更具体地,特别是指一种流规则的检测方法、设备及可读介质。
背景技术
流规则冲突是指不同网络功能之间的流规则相互干扰,导致网络功能的失效。一旦攻击者通过恶意应用通过下发与安全策略相冲突的流规则,使得网络中被转发的数据包包头中的源地址与目的地址发生改变,绕过防火墙等安全策略,进而任意下发恶意流规则,引起流规则冲突,从而造成严重的安全威胁。
许多国内外的研究人员对该问题进行深入研究,并取得了大量的成果。很多方案中基于优先级的语义匹配编码,对网络全局进行建模,最后提供一个通用的基于属性的校验接口。虽然可以验证不同交换机与控制器之间的流规则一致性,但是其针对静态网络配置,对于网络中的策略和配置动态变化时,不能很好地应对。
发明内容
有鉴于此,本发明实施例的目的在于提出一种流规则的检测方法、设备及介质,控制器对应用及其业务的合法性进行审核,防止非法应用对网络下发恶意流规则;应用对下发的流规则进行签名,控制器对签名进行认证,保证消息的完整性和真实性。
基于上述目的,本发明实施例的一方面提供了一种流规则的检测方法,包括在可信管理模块执行以下步骤:对应用的信息进行审核,并为应用分配应用号、以及事务号;基于应用号和事务号生成公钥和私钥;以及将事务号和私钥下发给应用以用来对流规则进行签名加密,并将公钥发送给认证模块以用来验证流规则是否通过审核。
在一些实施方式中,对应用的信息进行审核,并为应用分配应用号、以及事务号包括:基于网络管理协议对应用的应用信息和功能信息进行审核;响应于应用信息审核通过,为应用分配应用号;响应于功能信息审核通过,为应用分配事务号和优先级号。
在一些实施方式中,还包括在控制模块执行以下步骤:接收应用发送的封装消息和签名文件,并向认证模块发起对签名文件的验证;响应于验证通过,检测应用的流规则是否与现有流规则冲突;响应于不冲突,将应用的流规则下发至对应网络中的网络设备。
在一些实施方式中,封装消息包括应用的流规则和事务号,签名文件为应用基于私钥进行签名得到;认证模块对签名文件进行验证包括:基于公钥对签名文件进行验证。
在一些实施方式中,还包括:流规则配置用于驱动SDN网络,可信管理模块和认证模块为上层主SDN控制器,控制模块为下层从SDN控制器。
本发明实施例的另一方面,还提供了一种计算机设备,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由可信管理模块处理器执行以实现如下步骤:对应用的信息进行审核,并为应用分配应用号、以及事务号;基于应用号和事务号生成公钥和私钥;以及将事务号和私钥下发给应用以用来对流规则进行签名加密,并将公钥发送给认证模块以用来验证流规则是否通过审核。
在一些实施方式中,对应用的信息进行审核,并为应用分配应用号、以及事务号包括:基于网络管理协议对应用的应用信息和功能信息进行审核;响应于应用信息审核通过,为应用分配应用号;响应于功能信息审核通过,为应用分配事务号和优先级号。
在一些实施方式中,还包括在控制模块执行以下步骤:接收应用发送的封装消息和签名文件,并向认证模块发起对签名文件的验证;响应于验证通过,检测应用的流规则是否与现有流规则冲突;响应于不冲突,将应用的流规则下发至对应网络中的网络设备。
在一些实施方式中,封装消息包括应用的流规则和事务号,签名文件为应用基于私钥进行签名得到;认证模块对签名文件进行验证包括:基于公钥对签名文件进行验证。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。
本发明具有以下有益技术效果:控制器对应用及其业务的合法性进行审核并分配公私钥,防止非法应用对网络下发恶意流规则;应用对下发的流规则进行签名,控制器对签名进行认证,保证流规则的完整性和真实性。增加SDN网络中应用的可靠性检测,避免恶意应用通过流规则冲突机制,恶意下发流规则而产生的网络服务瘫痪、网络混乱等问题,在保证网络功能丰富多彩的前提下,提高网络的健壮性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明提供的流规则的检测方法的实施例的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了一种流规则的检测方法的实施例。图1示出的是本发明提供的一种流规则的检测方法的实施例的示意图。如图1所示,本发明实施例包括如下步骤:
S1、对应用的信息进行审核,并为应用分配应用号、以及事务号;
S2、基于应用号和事务号生成公钥和私钥;以及
S3、将事务号和私钥下发给应用以用来对流规则进行签名加密,并将公钥发送给认证模块以用来验证流规则是否通过审核。
在本发明的一些实施例中,为了阻止恶意应用访问控制器,确保应用下发的流规则的真实性和完整性。每个应用都需要向一个可信管理模块提供自身的信息,可信管理模块对信息进行审核,并根据应用提供的信息,为其分配应用号、事务号和在一些实施例中分配优先级号,然后将应用号和事务号作为公钥PK,并生成相应私钥SK。可信管理模块将事务号和私钥发给应用,将公钥发给认证模块。
在本发明的一些实施方式中,对应用的信息进行审核,并为应用分配应用号、以及事务号包括:基于网络管理协议对应用的应用信息和功能信息进行审核;响应于应用信息审核通过,为应用分配应用号;响应于功能信息审核通过,为应用分配事务号和优先级号。应用将自身的应用信息和功能信息提交给可信管理模块进行审核:应用信息包括序列号(SN)、版本号(VERSION)和开发者(PROVIDER),其中序列号为应用的唯一标识,版本号为应用当前的版本号,开发者为应用的提供方;功能信息包括功能说明和模块说明,功能说明提供网络功能的说明,模块说明提供网络功能涉及的子模块说明。可信模块对应用提交的信息进行审核:响应于应用信息审核通过,为应用分配一个唯一的应用号;响应于功能信息审核通过,为应用分配唯一的事务号和事务优先级号。
在本发明的一些实施方式中,还包括在控制模块执行以下步骤:接收应用发送的封装消息和签名文件,并向认证模块发起对签名文件的验证;响应于验证通过,检测应用的流规则是否与现有流规则冲突;响应于不冲突,将应用的流规则下发至对应网络中的网络设备。应用根据自身提供的网络功能,生成流规则集合R,并与相应的事务号进行绑定,封装成封装消息M。应用基于私钥对封装消息M进行签名,并将封装消息M和签名文件发送给控制模块。控制模块接收到封装消息M和签名文件,首先向认证模块发起对签名文件的验证,如果校验通过,则控制模块发起对流规则集合R的检测,检测其是否与现有流规则冲突:如果不冲突,则将应用的流规则下发至对应网络中的网络设备;如果冲突,则拒绝对该流规则集合进行处理。
在本发明的一些实施方式中,封装消息包括应用的流规则和事务号,签名文件为应用基于私钥进行签名得到;认证模块对签名文件进行验证包括:基于公钥对签名文件进行验证。认证模块接收可信管理模块发来的通过审核的应用的公钥,当控制模块对应用发起验证时,基于对应应用的事务号获取相应的公钥进行对签名文件的解密,响应于验证通过,则证明该应用通过可信管理模块的审核,可以下发到相应的网络中,向对应控制模块发送验证通过信息。反之,验证不通过,则拒绝对该应用流规则的处理。
在本发明的一些实施方式中,流规则配置用于驱动SDN网络,可信管理模块和认证模块为上层主SDN控制器,控制模块为下层从SDN控制器。SDN作为一种新型的网络架构,它将网络的控制平面与数据转发平面相分离,并通过控制逻辑集中的SDN控制器向用户提供一个开放的网络编程接口,使得网络具有可编程的特性。SDN是一个流规则驱动的网络,随着SDN网络中的应用不断增多,通过强大的流规则,SDN使得网络变得更加灵活与智能,因此存在不同网络功能之间的流规则相互干扰,导致网络功能的失效,即流冲突问题。一旦攻击者通过恶意应用通过下发与安全策略相冲突的流规则,使得网络中被转发的数据包包头中的源地址与目的地址发生改变,从而绕过防火墙等安全策略,进而任意下发恶意流规则,引起流规则冲突,从而造成严重的安全威胁。将上述流规则的检测方法应用在SDN网络,可有效解决上述问题,其中可信管理模块和认证模块为上层主SDN控制器,控制模块为若干功能不同的SDN控制器,用于将不同的流规则下发至整个网络中。
需要特别指出的是,上述流规则的检测方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于流规则的检测方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种计算机设备,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由可信模块处理器执行以实现如下步骤:S1、对应用的信息进行审核,并为应用分配应用号、以及事务号号;S2、基于应用号和事务号生成公钥和私钥;以及S3、将事务号和私钥下发给应用以用来对流规则进行签名加密,并将公钥发送给认证模块以用来验证流规则是否通过审核。
在本发明的一些实施方式中,对应用的信息进行审核,并为应用分配应用号、以及事务号包括:基于网络管理协议对应用的应用信息和功能信息进行审核;响应于应用信息审核通过,为应用分配应用号;响应于功能信息审核通过,为应用分配事务号和优先级号。
在本发明的一些实施方式中,还包括在控制模块执行以下步骤:接收应用发送的封装消息和签名文件,并向认证模块发起对签名文件的验证;响应于验证通过,检测应用的流规则是否与现有流规则冲突;响应于不冲突,将应用的流规则下发至对应网络中的网络设备。
在本发明的一些实施方式中,封装消息包括应用的流规则和事务号,签名文件为应用基于私钥进行签名得到;认证模块对签名文件进行验证包括:基于公钥对签名文件进行验证。
本发明还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时执行如上方法的计算机程序。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,流规则的检测方法的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
此外,应该明白的是,本文的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDRSDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)、以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种流规则的检测方法,其特征在于,包括在可信管理模块执行以下步骤:
对应用的信息进行审核,并为所述应用分配应用号、以及事务号;
基于所述应用号和所述事务号生成公钥和私钥;以及
将所述事务号和所述私钥下发给所述应用以用来对流规则进行签名加密,并将所述公钥发送给认证模块以用来验证所述流规则是否通过审核。
2.根据权利要求1的检测方法,其特征在于,对应用的信息进行审核,并为所述应用分配应用号、以及事务号包括:
基于网络管理协议对应用的应用信息和功能信息进行审核;
响应于所述应用信息审核通过,为所述应用分配应用号;
响应于所述功能信息审核通过,为所述应用分配事务号和优先级号。
3.根据权利要求1的检测方法,其特征在于,还包括在控制模块执行以下步骤:
接收所述应用发送的封装消息和签名文件,并向所述认证模块发起对所述签名文件的验证;
响应于验证通过,检测所述应用的流规则是否与现有流规则冲突;
响应于不冲突,将所述应用的流规则下发至对应网络中的网络设备。
4.根据权利要求3的检测方法,其特征在于,所述封装消息包括所述应用的流规则和所述事务号,所述签名文件为所述应用基于所述私钥进行签名得到;
所述认证模块对所述签名文件进行验证包括:基于所述公钥对所述签名文件进行验证。
5.根据权利要求1的检测方法,其特征在于,所述流规则配置用于驱动SDN网络,所述可信管理模块和所述认证模块为上层主SDN控制器,所述控制模块为下层从SDN控制器。
6.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,存储器存储有可在处理器上运行的计算机指令,指令由可信管理模块处理器执行时实现以下步骤:
对应用的信息进行审核,并为所述应用分配应用号、以及事务号;
基于所述应用号和所述事务号生成公钥和私钥;以及
将所述事务号和所述私钥下发给所述应用以用来对流规则进行签名加密,并将所述公钥发送给认证模块以用来验证所述流规则是否通过审核。
7.根据权利要求6的计算机设备,其特征在于,对应用的信息进行审核,并为所述应用分配应用号、以及事务号包括:
基于网络管理协议对应用的应用信息和功能信息进行审核;
响应于所述应用信息审核通过,为所述应用分配应用号;
响应于所述功能信息审核通过,为所述应用分配事务号和优先级号。
8.根据权利要求6的计算机设备,其特征在于,还包括在控制模块执行以下步骤:
接收所述应用发送的封装消息和签名文件,并向所述认证模块发起对所述签名文件的验证;
响应于验证通过,检测所述应用的流规则是否与现有流规则冲突;
响应于不冲突,将所述应用的流规则下发至对应网络中的网络设备。
9.根据权利要求8的计算机设备,其特征在于,所述封装消息包括所述应用的流规则和所述事务号,所述签名文件为所述应用基于所述私钥进行签名得到;
所述认证模块对所述签名文件进行验证包括:基于所述公钥对所述签名文件进行验证。
10.一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,其特征在于,计算机程序被处理器执行时实现权利要求1-5任意一项方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911322969.XA CN111212036A (zh) | 2019-12-20 | 2019-12-20 | 一种流规则的检测方法、设备及可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911322969.XA CN111212036A (zh) | 2019-12-20 | 2019-12-20 | 一种流规则的检测方法、设备及可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111212036A true CN111212036A (zh) | 2020-05-29 |
Family
ID=70788174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911322969.XA Withdrawn CN111212036A (zh) | 2019-12-20 | 2019-12-20 | 一种流规则的检测方法、设备及可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111212036A (zh) |
-
2019
- 2019-12-20 CN CN201911322969.XA patent/CN111212036A/zh not_active Withdrawn
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11438338B2 (en) | Core network access provider | |
| US11902277B2 (en) | Secure modification of manufacturer usage description files based on device applications | |
| US11070591B2 (en) | Distributed network application security policy enforcement | |
| JP2022545627A (ja) | 分散化されたデータ認証 | |
| US20040264697A1 (en) | Group security | |
| US20150067337A1 (en) | Techniques to Classify Virtual Private Network Traffic Based on Identity | |
| US20090126002A1 (en) | System and method for safeguarding and processing confidential information | |
| KR20190114434A (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| EP3550786B1 (en) | Certificate acquisition method, authentication method and network device | |
| US11128438B1 (en) | Systems, methods, and media for sharing IoT device profile data | |
| CN112712372B (zh) | 联盟链跨链系统和信息调用方法 | |
| KR20190030317A (ko) | 블록체인을 이용한 사물인터넷 보안 시스템 및 보안 방법 | |
| EP3817320B1 (en) | Blockchain-based system for issuing and validating certificates | |
| WO2022170821A1 (zh) | 业务证书管理方法、装置、系统及电子设备 | |
| Riad et al. | A blockchain-based key-revocation access control for open banking | |
| Al-Alaj et al. | A formal access control model for se-floodlight controller | |
| US11757827B2 (en) | Network security from host and network impersonation | |
| CN110875930A (zh) | 一种可信状态监控的方法、设备及介质 | |
| CN111212036A (zh) | 一种流规则的检测方法、设备及可读介质 | |
| US10524188B2 (en) | Method and apparatus for cellular access point control | |
| EP3942770B1 (en) | Chained trusted platform modules (tpms) as a secure bus for pre-placement of device capabilities | |
| CN112311556B (zh) | 设备认证的方法、设备控制的方法、节点、设备、区块链 | |
| WO2022183694A1 (zh) | 主叫信息认证方法、装置和系统 | |
| Latah et al. | HostSec: A blockchain-based authentication framework for SDN hosts | |
| Riad et al. | Research Article A Blockchain-Based Key-Revocation Access Control for Open Banking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200529 |