CN103051557B - 数据流处理方法及***、控制器、交换设备 - Google Patents
数据流处理方法及***、控制器、交换设备 Download PDFInfo
- Publication number
- CN103051557B CN103051557B CN201210579220.5A CN201210579220A CN103051557B CN 103051557 B CN103051557 B CN 103051557B CN 201210579220 A CN201210579220 A CN 201210579220A CN 103051557 B CN103051557 B CN 103051557B
- Authority
- CN
- China
- Prior art keywords
- data stream
- switching equipment
- feature information
- instruction
- described data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明实施例提供一种数据流处理方法及***、控制器、交换设备,数据流处理方法包括:接收软件定义网络中任一交换设备发送的数据流的第一特征信息,根据预设安全规则检测数据流的第一特征信息所对应的数据流是否安全,获得检测结果;若检测结果为安全,则为数据流制定数据流转发策略,并下发给交换设备,以供交换设备根据转发策略对数据流进行转发处理;若检测结果为不安全,则指示交换设备丢弃数据流,本发明实施例的数据流处理方法及***、控制器、交换设备能够实现对SDN网络中任意交换设备的数据流进行安全检测。
Description
技术领域
本发明实施例涉及通信技术,尤其涉及数据流处理方法及***、控制器、交换设备。
背景技术
传统网络架构中,通常包括若干路由交换设备,每个路由交换设备可以连接若干主机设备,所有路由交换设备均直接或间接与网关设备相连,由网关设备与外部网络连接。在对网络中的流量安全性进行检测时,可以在网络的关键路径处部署流量检测设备。例如,对于一个局域网或者公司网,通常可以在网关设备与外部网络的连接路径上部署流量检测设备,以此检测局域网或者公司网的整体流量安全性。
随着通信技术的发展,出现了一种新型的网络架构,即软件定义网络(SoftwareDefinedNetwork,简称SDN),也被称为可编程网络,SDN网络将网络设备控制平面与数据转发平面分离开来,是一种新的网络控制平面的实现方法,SDN网络不仅能够降低网络复杂度、满足网络虚拟化和云计算的要求,还能够减少数据转发平面设备的复杂度,因此,是新型网络架构的发展趋势。
发明人在对现有技术的研究过程发现,如果在SDN网络中采用传统网络的流量检测方法,则仅能检测网络整体流量的安全性,而难以对网络内部交换设备之间所传输流量的安全性进行检测,从而导致网络流量检测不准确。
发明内容
本发明实施例的目的在于提供一种数据流处理方法及***、控制器、交换设备,解决SDN网络中无法检测交换设备接收或转发的数据流是否安全的问题。
第一方面,本发明实施例提供一种数据流处理方法,包括:
接收软件定义网络中任一交换设备发送的数据流的第一特征信息,根据预设安全规则和所述第一特征信息,检测所述数据流是否安全,获得检测结果;
若所述检测结果为安全,则为所述数据流制定转发策略,向所述交换设备下发所述转发策略,以供所述交换设备根据所述转发策略对所述数据流进行转发处理;
若所述检测结果为不安全,则生成第一指示,并向所述交换设备下发所述第一指示,所述第一指示用以指示所述交换设备丢弃所述数据流。
结合第一方面,在第一方面的第一种可能的实现方式中,所述预设安全规则包括:
禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。
结合第一方面,在第一方面的第二种可能的实现方式中,所述第一特征信息为所述数据流首报文的包头,或所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包。
结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式中,在第一方面的第三种可能的实现方式中,若所述检测结果为暂时无法确认是否安全,则向所述交换设备下发第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息。
结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述第二特征信息为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包。
第二方面,本发明实施例提供一种数据流处理方法,包括:
接收数据流,判断存储的转发策略表中是否存在所述数据流对应的转发策略;
若所述转发策略表中不存在对应的转发策略,则向软件定义网络中的控制器发送所述数据流的第一特征信息;
接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;
若所述处理指示为转发策略,则根据所述转发策略对所述数据流进行转发处理,所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的;
若所述处理指示为用以指示所述交换设备丢弃所述数据流的第一指示,则根据所述第一指示丢弃所述数据流。
结合第二方面,在第二方面的第一种可能的实现方式中,所述预设安全规则包括:
禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。
结合第二方面,在第二方面的第二种可能的实现方式中,所述数据流的第一特征信息为所述数据流首报文的包头,或所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包。
结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,还包括:
若所述处理指示为用以指示所述交换设备发送所述数据流的第二特征信息的第二指示,则向所述控制器发送所述数据流的第二特征信息。
结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,所述数据流的第二特征信息为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包。
第三方面,本发明实施例提供一种控制器,包括:
接收模块,用于接收软件定义网络中任一交换设备发送的数据流的第一特征信息;
安全检测模块,用于根据预设安全规则和所述接收模块接收的所述第一特征信息,检测所述数据流是否安全,获得检测结果;
安全策略生成模块,用于在所述安全检测模块的检测结果为安全时,为所述数据流制定转发策略;或者,在所述安全检测模块的检测结果为不安全时,生成第一指示,所述第一指示用以指示所述交换设备丢弃所述数据流;
发送模块,用于向所述交换设备下发所述安全策略生成模块生成的所述转发策略,以供所述交换设备根据所述转发策略对所述数据流进行转发处理;或者,向所述交换设备下发所述安全策略生成模块生成的所述第一指示。
结合第三方面,在第三方面的第一种可能的实现方式中,所述安全策略生成模块,还用于在所述安全检测模块的检测结果为暂时无法确认是否安全时,生成第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息;所述发送模块还用于在所述检测结果为暂时无法确认是否安全时,向所述交换设备下发第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息。
第四方面,本发明实施例提供一种交换设备,包括:
接收模块,用于接收数据流,判断存储的转发策略表中是否存在所述数据流对应的转发策略;
发送模块,用于在所述接收模块判断出所述转发策略表中不存在对应的转发策略时,向软件定义网络中的控制器发送所述数据流的第一特征信息;
所述接收模块,还用于接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述发送模块发送的所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;
处理模块,用于在所述接收模块接收的所述处理指示为转发策略时,根据所述转发策略对所述数据流进行转发处理,所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的;在所述处理指示为用以指示所述交换设备丢弃所述数据流的第一指示时,根据所述第一指示丢弃所述数据流。
结合第四方面,在第四方面的第一种可能的实现方式中,所述处理模块还用于在所述处理指示为用以指示所述交换设备发送所述数据流的第二特征信息的第二指示时,通知所述发送模块向所述控制器发送所述数据流的第二特征信息。
第五方面,本发明实施例提供一种数据流处理***,包括本发明实施例第三方面或第三方面的第一种可能的实现方式中任一控制器,以及至少一个如本发明第四方面或第四方面的第一种可能的实现方式中的任一交换设备。
本发明实施例的数据流处理方法及***、控制器、交换设备,通过预设安全规则检测对软件定义网络中任一交换设备发送的数据流的第一特征信息进行安全检测,若检测结果为安全,则为数据流制定数据流转发策略,并下发给交换设备,以供交换设备根据转发策略对数据流进行转发处理;若检测结果为不安全,则指示交换设备丢弃数据流,能够实现对SDN网络中任意交换设备的数据流进行安全检测,提高***安全性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为SND网络结构示意图;
图2为本发明数据流处理方法实施例一的流程图;
图3为本发明数据流处理方法实施例二的流程图;
图4为本发明控制器实施例一的结构示意图;
图5为本发明交换设备实施例一的结构示意图;
图6为本发明数据流处理***实施例一的结构示意图;
图7为本发明控制器实施例二的结构示意图;
图8为本发明交换设备实施例二的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为SDN网络结构示意图,如图1所示,SDN网络包含两种设备,一种是控制器(Controller)11,一种是交换设备(Switchingequipment,简称SW)12,控制器11主要负责向该控制器11所连接的各个交换设备12发送流量转发策略以告知交换设备12如何处理数据流,交换设备12根据接收的流量转发策略丢弃或向指定的终端设备121转发数据流,可见,在现有的SDN网络中,当需要检测交换设备12的数据流是否安全时,现有的SDN网络的数据流检测方法无法满足,因此,亟需一种适用于SDN网络的数据流安全检测方案。
针对上述问题,本发明实施例提供了一种数据流的处理方法。本实施例的数据流处理方法可以采用控制器实现,控制器可以集成在计算机中实现本实施例的数据流处理方法,或集成在软件定义网络的控制器网元中实现本实施例的数据流处理方法。
图2为本发明数据流处理方法实施例一的流程图,如图2所示,本实施例数据流处理方法,包括:
S201、接收软件定义网络中任一交换设备发送的数据流的第一特征信息。
在SDN网络中,交换设备在传输每一条数据流时,都需要从控制器获得转发规则,并将转发规则作为一个表项存储在流表中,即交换机所存储流表的每个表项可以标识一条数据流。通常当交换机传输某个数据流时,由于流表中没有这条数据流的转发规则,因此,交换机将该数据流的第一特征信息发送给控制器,以便向控制器请求该数据流的转发规则。
S202、根据预设安全规则和第一特征信息,检测数据流是否安全,获得检测结果,若所述检测结果为安全,则执行S203;若所述检测结果为不安全,则执行S204。
具体地,预设的安全规则可以为禁止特定网段内特定互联网地址的设备访问另一特定网段内特定互联网地址的设备,或者,禁止特定网段内特定端口的设备访问另一特定网段内特定端口的设备,或者,禁止特定网段内的特定设备向另一特定网段内的特定设备执行发送测试数据包操作,在其它实施例中,预设的安全规则还可以为禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作,该特定操作例如可以为:发送测试数据包、发送访问请求消息或检查网络连接情况。
控制器将接收的数据流的第一特征信息与预设的安全规则中设定的规则进行比较,若数据流的第一特征信息与预设的安全规则中的任意一条规则中的特征完全相同,则表示该数据流特征信息所对应的数据流不符合安全规则,根据该数据流的第一特征信息的检测结果为不安全,并执行下述S203;若数据流的第一特征信息与预设的安全规则中的任意一条规则中的特征都不相同,则表示该数据流的第一特征信息所对应的数据流符合安全规则,根据该数据流特征信息的检测结果为安全,并执行下述S204。
S203、为数据流制定转发策略,向交换设备下发转发策略,以供交换设备根据转发策略对数据流进行转发处理。
具体地,数据流的第一特征信息例如可以通过如下多个域来反应,每个域中有具体的值以标识该域所表示的特征。
控制器根据域中的特征信息制定该数据流的转发策略,该转发策略中至少包括一行为指示,该行为指示例如可以为:将该数据流的第一特征信息所对应的数据流从交换设备的某一端口向特定设备转发。
确定该数据流的第一特征信息的检测结果为安全以后,控制器将该数据流的转发策略发送给交换设备,交换设备可以根据该转发策略将数据流转发给特征为目的端口号、目的互联网地址、目的介质访问控制地址的目标交换设备。
S204、生成第一指示,向所述交换设备下发第一指示,第一指示用以指示交换设备丢弃数据流。
具体地,确定该数据流的第一特征信息的检测结果为不安全以后,控制器向交换设备发送第一指示,指示交换设备丢弃该数据流的第一特征信息所对应的数据流,从而使交换设备免于遭受被不安全数据流入侵。
在本实施例中,通过预设安全规则检测对SDN网络中任一交换设备发送的数据流的第一特征信息进行安全检测,若检测结果为安全,则为数据流制定数据流转发策略,并下发给交换设备,以供交换设备根据转发策略对数据流进行转发处理;若检测结果为不安全,则指示交换设备丢弃数据流,能够实现对SDN网络中任意交换设备的数据流进行安全检测,以提高***安全性能。
进一步地,在上述实施例的基础上,数据流的第一特征信息可以为数据流首报文的包头,或数据流的首报文,或数据流中包括首报文在内的多个数据,若检测结果为暂时无法确认是否安全,例如,若数据流的第一特征信息与预设的安全规则中的任意一条规则中的特征都不完全相同,则表示该数据流的第一特征信息所对应的数据流不完全符合安全规则,根据该数据流特征信息的检测结果为暂时无法确认是否安全,则控制器可以向交换设备下发第二指示,第二指示用以指示交换设备发送数据流的第二特征信息,第二特征信息可以为数据流的首报文,或数据流中包括首报文在内的多个数据包,或数据流的全部数据包。
具体地,控制器接收的数据流的第一特征信息可以为数据流的首报文的包头、控制器根据该数据流的首报文的包头判断该数据流的首报文的包头所对应的数据流是否安全,可以减少控制器的负担,当控制器接收的数据流的首报文的包头信息不足,控制器无法根据该数据流的首报文的包头判断该数据流的首报文的包头所对应的数据流是否安全时,还可以接收数据流的第二特征信息即数据流的首报文,或者,数据流的首报文的信息也不足,控制器无法根据该数据流的首报文判断该数据流的首报文所对应的数据流是否安全时,还可以接收包括首报文在内的多个数据包以使控制器根据该包括首报文在内的多个数据包判断该包括首报文在内的多个数据包所对应的数据流是否安全,或者,数据流的包括首报文在内的多个数据包的信息也不足,控制器无法根据该包括首报文在内的多个数据包判断数据流是否安全时,控制器还可以接收数据流的全部数据包。也就是说,控制器向交换设备发送第二指示,请求交换设备发送所述数据流的更多特征信息的过程,可以重复执行多次。
下述实施例的数据流处理方法可以采用交换设备实现,交换设备可以集成在路由器中实现本实施例的数据流处理方法,或集成在软件定义网络的交换网元中实现本实施例的数据流处理方法。
图3为本发明数据流处理方法实施例二的流程图,如图3所示,本实施例的数据流处理方法包括:
301、接收数据流,判断存储的转发策略表中是否存在数据流对应的转发策略。
具体地,在SDN网络中,交换设备接收每一条数据流时,查找交换设备存储的由转发规则构成的流表,判断该流表中是否存在该数据流的转发策略,若流表中存在一项标识该数据流的转发规则,则说明该数据流为非陌生数据流,交换设备可以按照该项流表中记录的处理规则对该数据流进行处理,将该数据流转发给该项流表中记录的目标设备。
302、若转发策略表中不存在对应的转发策略,则向软件定义网络中的控制器发送数据流的第一特征信息。
具体地,若流表中不存在该数据流的转发策略,则说明该数据流为陌生数据流,向SDN网络的控制器发送数据流的第一特征信息,以供控制器根据预设安全规则对该数据流进行安全检测,并根据检测结果向该交换设备下发对应的处理指示。
303、接收控制器下发的处理指示,处理指示是控制器根据预设安全规则、以及第一特征信息检测数据流是否安全后,根据检测结果下发的,若处理指示为转发策略,则执行304;若处理指示为用以指示交换设备丢弃数据流的第一指示,则执行305。
304、根据转发策略对数据流进行转发处理,所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的。
具体地,控制器对交换设备向其发送的数据流的第一特征信息,根据预设安全规则进行安全检测后,根据处理结果向交换设备发送处理指示,若处理指示为转发策略,交换设备根据该数据流转发策略向转发策略中指示的目的设备转发该数据流。
305、根据第一指示丢弃数据流。
具体地,控制器对交换设备向其发送的数据流的第一特征信息,根据预设安全规则进行安全检测后,根据处理结果向交换设备发送处理指示,若处理指示为第一指示,则说明该数据流为不安全数据流,交换设备根据该第一指示将该不安全的数据流进行丢弃处理。
在本实施例中,通过根据转发策略表判断接收的数据流是否为陌生数据流,向控制器发送陌生数据流的第一特征信息,获取该数据流的安全检测结果,根据安全检测结果对该数据流进行转发或丢弃处理,实现了根据安全检测结果对接收的SDN网络中的数据流进行转发或丢弃处理,以提高***安全性能。
在上述实施例的基础上,进一步地,数据流的第一特征信息可以为数据流首报文的包头,或数据流的首报文,或数据流中包括首报文在内的多个数据包,或数据流的全部数据包,若处理指示为用以指示交换设备发送数据流的第二特征信息的第二指示,则向控制器发送数据流的第二特征信息,数据流的第二特征信息可以为所数据流的首报文,或数据流中包括首报文在内的多个数据包,或数据流的全部数据包。
具体地,交换设备向控制器发送的数据流的第一特征信息或第二特征信息具体为数据流首报文的包头,或数据流的首报文,或数据流中包括首报文在内的多个数据包,或数据流的全部数据包可以与上述实施例一致,此处不再赘述。
在上述实施例的基础上,更进一步地,还可以将步骤303接收到的数据流转发策略存储在转发策略表中。
具体地,交换设备在接收到控制器向其发送的数据流转发策略之后,还可以将该数据流转发策略存储在该交换设备的转发策略表中,以使交换设备以后再接收到与该数据流的特征信息相同的数据流时,可以直接按照该转发策略执行相应的处理,而不需要向控制器发送安全检测请求,可以提高处理效率。
图4为本发明控制器实施例一的结构示意图,如图4所示,本实施例的控制器包括:接收模块401、安全检测模块402、安全策略生成模块403和发送模块404,其中,接收模块401,用于接收软件定义网络中任一交换设备发送的数据流的第一特征信息;安全检测模块402与接收模块401相连,用于根据预设安全规则和接收模块401接收的数据流的第一特征信息,检测数据流是否安全,获得检测结果;安全策略生成模块403与安全检测模块402相连,用于在安全检测模块402的检测结果为安全时,为数据流制定转发策略;或者,在安全检测模块402的检测结果为不安全时,生成第一指示。发送模块404与安全策略生成模块403相连,用于向交换设备下发安全检测模块402的生成的转发策略,以供交换设备根据转发策略对数据流进行转发处理;或者,向交换设备下发安全检测模块402的生成的第一指示,第一指示用以指示交换设备丢弃数据流。
在本实施例中,控制器的安全检测模块根据预设安全规则对接收模块接收的软件定义网络中任一交换设备发送的数据流的第一特征信息进行安全检测,若检测结果为安全,安全策略生成模块则为数据流制定数据流转发策略,并通过发送模块下发给交换设备,以供交换设备根据转发策略对数据流进行转发处理;若检测结果为不安全,安全策略生成模块则生成第一指示以指示交换设备丢弃数据流,能够实现对SDN网络中任意交换设备的数据流进行安全检测,以提高***安全性能。
在上述实施例的基础上,预设安全规则具体地可以包括:禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。
具体地,例如,安全检测模块402具体地可以将接收模块401接收的数据流的第一特征信息与预设安全规则包括的禁止特定网段内特定互联网地址的设备访问另一特定网段内特定互联网地址的设备,或者,禁止特定网段内特定端口的设备访问另一特定网段内特定端口的设备,或者,禁止特定网段内的特定设备向另一特定网段内的特定设备执行发送测试数据包操作等规则逐一比较,以获得检测结果。
在上述实施例的基础上,进一步地,安全策略生成模块403,还用于在所述安全检测模块的检测结果为暂时无法确认是否安全时,生成第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息;
发送模块404还可以用于在安全策略生成模块403的检测结果为暂时无法确认是否安全时,向交换设备下发第二指示,第二指示用以指示交换设备发送数据流的第二特征信息。
在上述实施例的基础上,进一步地,接收模块401,还可以用于接收软件定义网络中任一交换设备发送的数据流首报文的包头,或数据流的首报文,或数据流中包括首报文在内的多个数据包,或数据流的全部数据包。
图5为本发明交换设备实施例一的结构示意图,如图5所示,本实施例的交换设备包括:接收模块501、发送模块502和处理模块503,其中,接收模块501,用于接收数据流,判断存储的转发策略表中是否存在所述数据流对应的转发策略;发送模块502与处理模块503相连,用于在转发策略表中不存在对应的数据流转发策略时,向软件定义网络中的控制器发送数据流的第一特征信息;接收模块501,还用于接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述发送模块502发送的所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;处理模块503与接收模块501和发送模块502相连,用于在接收模块501接收的处理指示为转发策略时,根据转发策略对数据流进行转发处理,转发策略是控制器在检测结果为安全的情况下为数据流制定的;在处理指示为用以指示所述交换设备丢弃所述数据流的第一指示时,根据第一指示丢弃数据流。
在本实施例中,交换设备在根据转发策略表判断获知转发策略表中没有对应的数据流转发策略时通过发送模块502向控制器发送数据流的数据流特征信息,获取该数据流的安全检测结果,处理模块503根据安全检测结果对该数据流进行转发或丢弃处理,实现了根据安全检测结果对接收的SDN网络中的数据流进行转发或丢弃处理,以提高***安全性能,且不需要交换设备具备安全检测功能,降低了交换设备成本。
在上述实施例的基础上,进一步地,预设安全规则包括:禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。
在上述实施例的基础上,更进一步地,处理模块503还用于在处理指示为用以指示交换设备发送数据流的第二特征信息的第二指示时,通知发送模块501向控制器发送数据流的第二特征信息。
在上述实施例的基础上,更进一步地,发送模块502,还用于向控制器发送数据流首报文的包头,或数据流的首报文,或数据流中包括首报文在内的多个数据包,或数据流的全部数据包。
图6为本发明数据流处理***实施例一的结构示意图,如图6所示,本实施例的数据流处理***包括:控制器601和至少一个交换设备602,交换设备602与控制器601通过软件定义网络连接,其中,控制器601,可以用于接收软件定义网络中任一交换设备发送的数据流的第一特征信息,根据预设安全规则和第一特征信息,检测数据流是否安全,获得检测结果;若检测结果为安全,则为数据流制定转发策略,向交换设备下发转发策略,以供交换设备根据转发策略对数据流进行转发处理;若检测结果为不安全,则生成第一指示,并向交换设备下发第一指示,第一指示用以指示交换设备丢弃数据流;交换设备602用于接收数据流,判断存储的转发策略表中是否存在数据流对应的转发策略,若转发策略表中不存在对应的转发策略,则向软件定义网络中的控制器发送数据流的第一特征信息;接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;若处理指示为转发策略,则根据转发策略对数据流进行转发处理,转发策略是控制器在检测结果为安全的情况下为数据流制定的;若处理指示为用以指示所述交换设备丢弃所述数据流的第一指示,则根据第一指示丢弃数据流。
控制器601和交换设备602的工作原理请参照前面方法实施例中的描述,在这里不再重复。
进一步地,在上述实施例的基础上,数据流处理***还可以包括多个控制器,当SDN网络中的交换设备很多时,通过设置多个控制器还可以减少单个控制器的处理压力,提高单个控制器的安全检测效率。
请参照附图7,本发明另一个实施例提供一种控制器,包括存储器701处理器702,其中,
存储器701,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。
该处理器702用于读取存储器701中存储的程序代码,执行以下步骤:
接收软件定义网络中任一交换设备发送的数据流的第一特征信息,根据预设安全规则和数据流的第一特征信息,检测所述数据流是否安全,获得检测结果;
若所述检测结果为安全,则为所述数据流制定转发策略,向所述交换设备下发所述转发策略,以供所述交换设备根据所述转发策略对所述数据流进行转发处理;
若所述检测结果为不安全,则生成第一指示,并向所述交换设备下发所述第一指示,所述第一指示用以指示所述交换设备丢弃所述数据流。
进一步地,控制器的处理器702执行的上述步骤中,所述预设安全规则可以包括:
禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。
更进一步地,控制器的处理器702执行的上述步骤中,所述第一特征信息可以为所述数据流首报文的包头,或所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包。
再进一步地,控制器的处理器702执行的上述步骤中,若所述检测结果为暂时无法确认是否安全,则可以向所述交换设备下发第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息。
又进一步地,控制器的处理器执行的上述步骤中,所述第二特征信息可以为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包。
请参照附图8,本发明又一个实施例提供一种交换设备,包括存储器801和处理器802,其中,
存储器801,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。
该处理器802用于执行以下步骤:
接收数据流,判断存储的转发策略表中是否存在所述数据流对应的转发策略,若所述转发策略表中不存在对应的转发策略,则向软件定义网络中的控制器发送所述数据流的第一特征信息;
接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;
若所述处理指示为转发策略,则根据所述转发策略对所述数据流进行转发处理,所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的;
若所述处理指示为用以指示所述交换设备丢弃所述数据流的第一指示,则根据所述第一指示丢弃所述数据流。
进一步地,交换机的处理器802执行的上述步骤中,所述预设安全规则包括:
禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作。
更进一步地,交换机的处理器802执行的上述步骤中,所述数据流第一特征信息可以为所述数据流首报文的包头,或所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包。
再进一步地,交换机的处理器802执行的上述步骤中,若所述处理指示为用以指示所述交换设备发送所述数据流的第二特征信息的第二指示,则可以向所述控制器发送所述数据流的第二特征信息。
又进一步地,交换机的处理器802执行的上述步骤中,所述数据流的第二特征信息可以为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包。
更进一步地,交换机的处理器802还可以执行将所述数据流转发策略存储在所述转发策略表中。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (5)
1.一种数据流处理方法,其特征在于,包括:
接收软件定义网络中任一交换设备发送的数据流的第一特征信息,根据预设安全规则和所述第一特征信息,检测所述数据流是否安全,获得检测结果;其中,所述预设安全规则包括:禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作;
若所述检测结果为安全,则为所述数据流制定转发策略,向所述交换设备下发所述转发策略,以供所述交换设备根据所述转发策略对所述数据流进行转发处理;
若所述检测结果为不安全,则生成第一指示,并向所述交换设备下发所述第一指示,所述第一指示用以指示所述交换设备丢弃所述数据流;
若所述检测结果为暂时无法确认是否安全,则向所述交换设备下发第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息;其中,当所述第一特征信息为所述数据流首报文的包头时,所述第二特征信息为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包;当所述第一特征信息为所述数据流中包括首报文在内的多个数据包时,所述第二特征信息为所述数据流的全部数据包。
2.一种数据流处理方法,其特征在于,包括:
接收数据流,判断存储的转发策略表中是否存在所述数据流对应的转发策略;
若所述转发策略表中不存在对应的转发策略,则向软件定义网络中的控制器发送所述数据流的第一特征信息;
接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;其中,所述预设安全规则包括:禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作;
若所述处理指示为转发策略,则根据所述转发策略对所述数据流进行转发处理,所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的;
若所述处理指示为用以指示所述交换设备丢弃所述数据流的第一指示,则根据所述第一指示丢弃所述数据流;
若所述处理指示为用以指示所述交换设备发送所述数据流的第二特征信息的第二指示,则向所述控制器发送所述数据流的第二特征信息;其中,当所述第一特征信息为所述数据流首报文的包头时,所述第二特征信息为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包;当所述第一特征信息为所述数据流中包括首报文在内的多个数据包时,所述第二特征信息为所述数据流的全部数据包。
3.一种控制器,其特征在于,包括:
接收模块,用于接收软件定义网络中任一交换设备发送的数据流的第一特征信息;
安全检测模块,用于根据预设安全规则和所述接收模块接收的所述第一特征信息,检测所述数据流是否安全,获得检测结果;其中,所述预设安全规则包括:禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作;
安全策略生成模块,用于在所述安全检测模块的检测结果为安全时,为所述数据流制定转发策略;或者,在所述安全检测模块的检测结果为不安全时,生成第一指示,所述第一指示用以指示所述交换设备丢弃所述数据流;或者,在所述安全检测模块的检测结果为暂时无法确认是否安全时,生成第二指示,所述第二指示用以指示所述交换设备发送所述数据流的第二特征信息;
发送模块,用于向所述交换设备下发所述安全策略生成模块生成的所述转发策略,以供所述交换设备根据所述转发策略对所述数据流进行转发处理;或者,向所述交换设备下发所述安全策略生成模块生成的所述第一指示;或者,向所述交换设备下发所述安全策略生成模块生成的所述第二指示;
其中,当所述第一特征信息为所述数据流首报文的包头时,所述第二特征信息为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包;当所述第一特征信息为所述数据流中包括首报文在内的多个数据包时,所述第二特征信息为所述数据流的全部数据包。
4.一种交换设备,其特征在于,包括:
接收模块,用于接收数据流,判断存储的转发策略表中是否存在所述数据流对应的转发策略;
发送模块,用于在所述接收模块判断出所述转发策略表中不存在对应的转发策略时,向软件定义网络中的控制器发送所述数据流的第一特征信息;
所述接收模块,还用于接收所述控制器下发的处理指示,所述处理指示是所述控制器根据预设安全规则、以及所述发送模块发送的所述第一特征信息检测所述数据流是否安全后,根据检测结果下发的;其中,所述预设安全规则包括:禁止或允许具有特定特征信息的数据流发起设备对另一具有特定特征信息的数据流接收设备执行特定操作;
处理模块,用于在所述接收模块接收的所述处理指示为转发策略时,根据所述转发策略对所述数据流进行转发处理,所述转发策略是控制器在所述检测结果为安全的情况下为所述数据流制定的;在所述处理指示为用以指示所述交换设备丢弃所述数据流的第一指示时,根据所述第一指示丢弃所述数据流;在所述处理指示为用以指示所述交换设备发送所述数据流的第二特征信息的第二指示时,通知所述发送模块向所述控制器发送所述数据流的第二特征信息;
其中,当所述第一特征信息为所述数据流首报文的包头时,所述第二特征信息为所述数据流的首报文,或所述数据流中包括首报文在内的多个数据包,或所述数据流的全部数据包;当所述第一特征信息为所述数据流中包括首报文在内的多个数据包时,所述第二特征信息为所述数据流的全部数据包。
5.一种数据流处理***,其特征在于,包括如权利要求3所述的控制器以及如权利要求4所述交换设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210579220.5A CN103051557B (zh) | 2012-12-27 | 2012-12-27 | 数据流处理方法及***、控制器、交换设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210579220.5A CN103051557B (zh) | 2012-12-27 | 2012-12-27 | 数据流处理方法及***、控制器、交换设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103051557A CN103051557A (zh) | 2013-04-17 |
| CN103051557B true CN103051557B (zh) | 2016-07-06 |
Family
ID=48064062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210579220.5A Active CN103051557B (zh) | 2012-12-27 | 2012-12-27 | 数据流处理方法及***、控制器、交换设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103051557B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254338A (zh) * | 2016-07-29 | 2016-12-21 | 杭州华三通信技术有限公司 | 报文检测方法以及装置 |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103281318B (zh) * | 2013-05-09 | 2016-06-08 | 浙江师范大学 | 一种针对软件定义网络的攻击测试装置 |
| CN104158749A (zh) * | 2013-05-14 | 2014-11-19 | 华为技术有限公司 | 软件定义网络中报文转发方法、网络设备及软件定义网络 |
| CN103326884B (zh) * | 2013-05-30 | 2016-06-01 | 烽火通信科技股份有限公司 | Sdn网络中结合流检测和包检测的业务流感知***及方法 |
| CN104219218B (zh) * | 2013-06-04 | 2018-05-08 | 新华三技术有限公司 | 一种主动安全防御的方法及装置 |
| CN105009529B (zh) | 2013-06-14 | 2018-11-16 | 华为技术有限公司 | 一种处理报文的方法和转发器 |
| WO2014202021A1 (en) * | 2013-06-20 | 2014-12-24 | Huawei Technologies Co., Ltd. | A method and network apparatus of establishing path |
| CN103457819B (zh) * | 2013-08-01 | 2016-08-10 | 北京华为数字技术有限公司 | 共网关用户业务报文的处理方法及装置 |
| US9137140B2 (en) * | 2013-09-10 | 2015-09-15 | Cisco Technology, Inc. | Auto tunneling in software defined network for seamless roaming |
| CN104601526B (zh) * | 2013-10-31 | 2018-01-09 | 华为技术有限公司 | 一种冲突检测及解决的方法、装置 |
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、***及控制器 |
| CN104639504B (zh) | 2013-11-12 | 2018-09-21 | 华为技术有限公司 | 网络协同防御方法、装置和*** |
| FI20136138L (fi) * | 2013-11-18 | 2015-05-19 | Tellabs Oy | Verkkoelementti ja kontrolleri verkkoelementin hallitsemiseksi |
| CN103647658B (zh) * | 2013-11-27 | 2016-12-07 | 华为技术有限公司 | 一种软件定义网络***中网络设备的管理方法和控制器 |
| CN104734987A (zh) * | 2013-12-19 | 2015-06-24 | 上海宽带技术及应用工程研究中心 | 软件定义网络中的流量管理***及方法 |
| CN104753704B (zh) * | 2013-12-27 | 2019-03-12 | 中兴通讯股份有限公司 | 一种软件定义网络中的状态迁移方法及交换机 |
| CN103763309B (zh) * | 2013-12-31 | 2018-03-30 | 曙光云计算集团有限公司 | 基于虚拟网络的安全域控制方法和*** |
| CN104811392B (zh) * | 2014-01-26 | 2018-04-17 | 国际商业机器公司 | 用于处理网络中的资源访问请求的方法和*** |
| CN104104614B (zh) * | 2014-06-13 | 2018-05-01 | 中国科学院计算技术研究所 | 命名数据网络中的软件定义网络控制器***及其方法 |
| CN104023034B (zh) * | 2014-06-25 | 2017-05-10 | 武汉大学 | 一种基于软件定义网络的安全防御***及防御方法 |
| CN105721334B (zh) * | 2014-12-04 | 2020-02-18 | ***通信集团公司 | 确定传输路径和更新acl的方法及设备 |
| CN104580168B (zh) | 2014-12-22 | 2019-02-26 | 华为技术有限公司 | 一种攻击数据包的处理方法、装置及*** |
| CN105871576A (zh) * | 2015-01-21 | 2016-08-17 | 杭州华三通信技术有限公司 | 基于sdn的策略管理方法及装置 |
| CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计***技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
| CN104917760B (zh) * | 2015-05-26 | 2018-12-11 | 北京邮电大学 | 一种基于sdn的全局流表生成方法及装置 |
| CN106412880B (zh) * | 2015-07-29 | 2019-09-24 | 中国科学院沈阳自动化研究所 | 一种基于SDN的无线mesh安全分级传输方法 |
| CN106411820B (zh) * | 2015-07-29 | 2019-05-21 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
| CN105187424A (zh) * | 2015-08-31 | 2015-12-23 | 广州市优普计算机有限公司 | 一种网络安全检测方法及装置 |
| CN107210969B (zh) * | 2015-10-31 | 2020-05-26 | 北京花旺在线商贸有限公司 | 一种基于软件定义网络的数据处理方法及相关设备 |
| CN105681102A (zh) * | 2016-03-01 | 2016-06-15 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的行为策略方法和*** |
| CN107181720B (zh) * | 2016-03-11 | 2021-06-15 | 中兴通讯股份有限公司 | 一种软件定义网路sdn安全通信的方法及装置 |
| CN105933225B (zh) * | 2016-04-20 | 2020-04-10 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的策略路由方法和*** |
| CN106027405B (zh) * | 2016-05-03 | 2020-04-10 | 浙江宇视科技有限公司 | 数据流的分流方法及装置 |
| CN107645400B (zh) * | 2016-07-22 | 2019-09-03 | 中兴通讯股份有限公司 | 策略发送、接收方法、装置及控制器 |
| CN109644159B (zh) * | 2016-08-26 | 2021-07-20 | 华为技术有限公司 | 数据传输网中的数据包转发单元 |
| CN106330625A (zh) * | 2016-11-25 | 2017-01-11 | 国网安徽省电力公司信息通信分公司 | 一种基于sdn的流量检测方法 |
| CN108156117B (zh) * | 2016-12-05 | 2021-04-27 | ***通信有限公司研究院 | 一种进行安全控制的方法、交换机以及过滤设备 |
| CN108289007B (zh) * | 2017-01-10 | 2022-04-15 | 中兴通讯股份有限公司 | 数据包传输方法及装置 |
| CN110943996B (zh) * | 2019-12-03 | 2022-03-22 | 迈普通信技术股份有限公司 | 一种业务加解密的管理方法、装置及*** |
| CN111294344A (zh) * | 2020-01-19 | 2020-06-16 | 中移(杭州)信息技术有限公司 | 数据转发的控制***、方法、电子设备及存储介质 |
| CN112152854B (zh) * | 2020-09-25 | 2023-11-07 | 绿盟科技集团股份有限公司 | 一种信息处理方法及装置 |
| CN112351044A (zh) * | 2020-12-02 | 2021-02-09 | 杭州云梯科技有限公司 | 一种基于大数据的网络安全*** |
| EP4295554A4 (en) * | 2021-03-06 | 2024-04-17 | Huawei Tech Co Ltd | SYSTEMS AND METHODS FOR EXCHANGE OF IDs DURING DATA TRANSMISSION |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102763382A (zh) * | 2010-01-29 | 2012-10-31 | 日本电气株式会社 | 前端***和前端处理方法 |
-
2012
- 2012-12-27 CN CN201210579220.5A patent/CN103051557B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102763382A (zh) * | 2010-01-29 | 2012-10-31 | 日本电气株式会社 | 前端***和前端处理方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254338A (zh) * | 2016-07-29 | 2016-12-21 | 杭州华三通信技术有限公司 | 报文检测方法以及装置 |
| CN106254338B (zh) * | 2016-07-29 | 2019-09-06 | 新华三技术有限公司 | 报文检测方法以及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103051557A (zh) | 2013-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103051557B (zh) | 数据流处理方法及***、控制器、交换设备 | |
| CN107342952B (zh) | 业务链路选择控制方法以及设备 | |
| US9871781B2 (en) | Systems and methods for path maximum transmission unit discovery | |
| WO2018054397A1 (zh) | 业务功能链检测路径的方法和装置 | |
| CN104660565A (zh) | 恶意攻击的检测方法和装置 | |
| CN101304389B (zh) | 报文处理方法、装置和*** | |
| US20150319090A1 (en) | Method and apparatus for notifying network abnormality | |
| CN102377640B (zh) | 一种报文处理装置和报文处理方法、及预处理器 | |
| CN103746911A (zh) | 一种sdn网络结构及其通信方法 | |
| EP2798800B1 (en) | Expanding member ports of a link aggregation group between clusters | |
| CN102571492B (zh) | 检测路由设备故障的方法和装置 | |
| RU2013148947A (ru) | Сетевая система, коммутатор и способ обнаружения подсоединенного терминала | |
| CN103401707B (zh) | 链路聚合方法及接入设备 | |
| CN101699786A (zh) | 一种丢包检测的方法、装置和*** | |
| CN106685827B (zh) | 一种下行报文的转发方法及ap设备 | |
| CN102447638A (zh) | 负载均衡的方法及转发设备 | |
| CN106470116A (zh) | 一种网络故障检测与恢复方法及装置 | |
| CN110011941B (zh) | 一种报文转发方法及设备 | |
| CN105141637A (zh) | 一种以流为粒度的传输加密方法 | |
| CN108028828A (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| CN106685693A (zh) | 一种网络异常检测方法、***及网络设备 | |
| CN107547430A (zh) | 一种报文发送方法及装置 | |
| CN104506548A (zh) | 一种数据包重定向装置、虚拟机安全保护方法及*** | |
| CN102523113A (zh) | 以太网oam中跨芯片聚合链路上配置mep的芯片实现方法及*** | |
| CN103812746A (zh) | 基于linux操作***的桥接设备及其通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |