CN104253820B - 软件定义网安全控制***和控制方法 - Google Patents
软件定义网安全控制***和控制方法 Download PDFInfo
- Publication number
- CN104253820B CN104253820B CN201410548547.5A CN201410548547A CN104253820B CN 104253820 B CN104253820 B CN 104253820B CN 201410548547 A CN201410548547 A CN 201410548547A CN 104253820 B CN104253820 B CN 104253820B
- Authority
- CN
- China
- Prior art keywords
- resource
- strategy
- policy
- business
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明解决传统安全策略配置、策略冲突消解技术不能随资源状态变化的问题。本发明的核心是在SDN的控制架构中将业务解析、数据层资源统计、策略冲突检测集成形成了改进的控制层装置并制定了相应的处理流程,在SDN架构控制器上配置适应业务需求和数据层资源状态的策略。本发明软件定义网安全控制***包含以下部分:业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口;本发明软件定义网安全控制方法包含策略配置、资源状态统计、策略优先级生成、策略下发等步骤。采用本发明方法和装置,在控制器策略配置时通过资源统计参数为业务提供有效的资源状态信息量化依据,将业务需求和资源信息有机结合,进一步保证业务安全。
Description
技术领域
本发明涉及通信领域,尤其涉及一种软件定义网(SDN)架构下保护网络业务及资源安全的方法。
背景技术
SDN架构包含数据层、控制层、应用层。数据层的网络资源能够接收控制层的指令。控制层屏蔽了网络基础设施资源在类型、协议等方面的异构性;控制层为应用层提供了开放的接口,并使得用户可以通过软件从逻辑上定义虚拟网络,提供虚拟运营商服务。
针对应用层和控制层之间的安全需求,Hartman S和Wasseman M等人开发出一种FRESCO模型(Modular Composable Security Services for Software-DefinedNetworks.In Internet Society NDSS,Feb.2013),研究如何在SDN架构上部署传统的网络安全应用,如访问控制、防火墙、入侵检测、入侵防御,在控制层定义了相关API以实现上述功能,对应用进行授权、认证、隔离以及消解策略冲突。
一般地,可以通过包过滤技术检查包头信息,根据匹配和规则决定包的转发或舍弃,拒绝发送可疑的包,从而保护整个网络安全性。一种策略冲突消解技术是为了解决数据层网络环境更新或新技术引入所导致的策略边界冲突,通过分析策略目标与制定策略优先级来构建无冲突策略集。特别地,在使用OpenFlow协议的SDN架构下,所有策略均可通过控制器下发FLOW_MODE消息来实现配置。
但当前的安全策略主要防范外部入侵行为,安全策略是静态的,未考略网络内部设备故障及资源问题。上述安全性研究主要在应用层与控制层之间,所制定的策略仅为控制层阻挡应用层所定制的存在安全威胁的业务、消除恶意占用网络资源行为。传统方案中由于所设置的优先级无法根据业务的变化而动态调整,也未随着数据层的资源状态信息(例如设备故障、链路故障)而改变,应用的边界条件会发生冲突造成业务阻塞,这就无法保证安全策略的完备性和整个***的安全性。
发明内容
本发明解决传统安全策略配置、策略冲突消解技术不能随资源状态变化的问题。本发明的核心是在软件定义网络(SDN)的控制架构中,设计了将业务解析、数据层资源统计、策略冲突检测集成的功能模块,形成了改进的控制层装置;并制定了相应的处理流程,在SDN架构下的集中控制器上配置适应数据层资源状态和业务需求的最佳策略。
本发明的软件定义网安全控制***,包含以下部分:业务处理模块MA、策略模块MS、控制模块MC、工作数据库D、南向接口SB、北向接口NB、策略配置接口SCI。
在所述工作数据库D中,包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表。所述数据包过滤规则,是预先设定的数据包的源、目的地址,源、目的端口,协议类型等信息;所述资源统计参数,是针对业务类型设置的对数据层资源进行统计的规则;每一个所述无冲突策略集对应一种安全应用,包含至少1个策略;所述策略优先级列表包含策略的执行顺序。
所述业务处理模块解析业务请求。对于涉及资源统计参数的策略,所述业务处理模块MA查询所述控制模块MC所提供的资源统计参数值,判断数据层资源是否可以满足该业务的需求,并将所述业务请求发送至所述策略模块MS。
所述业务处理模块MA的北向接口NB,用于输入所述业务请求,返回业务执行结果。
所述策略模块MS根据所述数据包过滤规则检测业务的安全性,综合业务所涉及的资源统计参数值,更新策略优先级列表。所述策略模块MS分别与所述业务处理模块MA和所述控制模块MC相连接,向所述业务处理模块MA返回业务执行结果,向所述控制模块MC传递所述策略优先级列表。
所述策略模块MS包含策略配置接口SCI,用于配置资源统计参数和策略。
所述控制模块MC使用资源状态信息计算所述资源统计参数值;使用所述策略优先级列表和数据层正在执行的策略进行边界冲突检测,形成无冲突策略。
所述控制模块MC的南向接口SB,用于连接数据层设备,接收所述资源状态信息、发送所述无冲突策略。
本发明软件定义网安全控制方法,包含以下步骤
第1步、策略配置:对控制层进行配置,新配置的策略中包含至少1个预定的资源统计参数。其中,所述资源统计参数是指将设备的物理资源使用状态、带宽等网络资源用一定的规则进行统计,从而为控制层处理业务需求提供数据层资源状态信息的量化依据。所述资源统计参数是用计算机可识别的字符串方式输入、或在预定的列表中选定的。
优选地,对所述新配置的策略逐一进行安全威胁检测、确定所述新配置的策略的完备性、对所述新配置的策略进行边界冲突检测,形成一无冲突策略集。
第2步、资源状态统计:按照资源统计参数对数据层设备资源进行统计,实时性根据所述数据层设备的资源状态的信息(例如设备故障、链路故障)改变所述资源统计参数值。
第3步、策略优先级生成:当有新业务请求、新策略配置、或数据层资源状态改变时,作如下处理:
第3.1步、解析接入业务,提取业务数据中的相关字节,生成策略优先级所需的必要参数,包括业务源、宿节点、源、宿端口、协议类型、到达时间等,分析业务需求,解析出策略目标及行为。
第3.2步、检测业务的安全性;根据资源统计参数值、该业务对应的无冲突策略集动态生成一个表示策略执行顺序的策略优先级列表。
优选地,判断数据层资源是否可以满足所述业务请求,如不满足,则直接拒绝该业务请求。
确定优先级的原则是:涉及包过滤规则的策略优先级高于涉及资源统计参数的策略;针对某一策略执行多个业务存在冲突时,优先执行QoS需求高的业务。
例如某一应用包含三个策略{策略1,策略2,策略3},其中策略3是包过滤规则;策略1和策略2涉及资源统计参数,策略2又依赖于策略1;该应用中包含两个业务{业务1,业务2},业务1的优先级高于业务2的优先级。则优先级列表是:“策略3(业务1,业务2);策略1(业务1,业务2);策略2(业务1,业务2)”。
假设,业务1的策略2与业务2的策略2存在冲突(资源不能同时保障业务1和业务2实现),因为业务1的优先级高于业务2的优先级,所以业务1的策略2优先执行,而业务2的策略2等待执行。存在冲突后就需要在数据库中排队等待业务处理,至少待业务1结束后,涉及策略2的两个业务不能同时执行的问题消失,便可以触发执行业务2。
所述“冲突”,包含资源使用冲突、包过滤规则边界冲突;所述边界冲突检测,包含包过滤规则边界冲突检测和资源使用冲突检测。
第4步、策略下发:将所述无冲突策略集与数据层正在执行的策略进行边界冲突检测,若无冲突则直接将配置策略发送至数据层。
采用本发明所述方法和装置,在控制器策略配置时,通过资源统计参数为业务提供有效的资源状态信息的量化依据,将业务需求和资源信息有机结合,与传统的方法相比进一步保证业务安全。
附图说明
图1是SDN安全代理控制***示意图
图2是SDN安全代理控制方法的流程图
具体实施方式
下面结合附图,对本发明的实施方式作进一步的详细描述。
图1是SDN安全代理控制***的架构图,SDN安全代理控制***包括:业务处理模块MA、策略模块MS、控制模块MC、工作数据库D、南向接口SB、北向接口NB、策略配置接口SCI。
在所述工作数据库D中,包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表。所述数据包过滤规则,是预先设定的数据包的源、目的地址,源、目的端口,协议类型等信息,确定数据包是否可以通过(可能存在边界冲突的问题);所述资源统计参数,是根据业务类型设置不同的法则对数据层资源进行统计;每一个所述无冲突策略集对应一种安全应用,包含至少1个策略;所述策略优先级列表包含策略的执行顺序。
所述业务处理模块MA一方面为业务提供北向接口;另一方面在业务接入时,负责解析业务策略信息。对于涉及资源统计参数的策略,所述业务处理模块MA查询所述控制模块MC所提供的资源统计参数值,判断数据层资源是否可以满足该业务的需求,并将所述业务请求发送至所述策略模块MS。
所述业务处理模块MA的北向接口NB中,进一步包含业务应用程序编程接口(API),用于输入所述业务请求,返回业务执行结果。
所述策略模块MS提供策略配置接口SCI,根据包过滤规则检测业务的安全性,综合业务所涉及的资源统计参数值,更新策略优先级列表。所述策略模块MS通过与所述业务处理模块MA之间的接口向所述业务处理模块MA返回业务执行结果,通过与所述控制模块MC之间的接口传递所述策略优先级列表。
所述控制模块MC,一方面通过南向接口SB获取资源状态信息并计算资源统计参数值,另一方面接收所述策略模块MS提供的策略优先级列表,和数据层正在执行的策略进行边界冲突检测,然后下发无冲突策略。
所述控制模块MC的南向接口,用于连接数据层设备,接收所述资源状态信息、下发所述无冲突策略。
作为本装置进一步优化的实施例,所述业务处理模块MA获取资源统计参数值并判断此时数据层资源的情况是否可以满足所述业务请求的要求。
作为本发明装置进一步优化的实施例,所述SDN安全代理控制***的工作数据库D进一步包含应用数据库DA,资源数据库DR,策略数据库DS。
所述应用数据库DA存储安全应用与无冲突的策略集的映射关系。所述安全应用与无冲突的策略集的映射关系由策略模块MS根据包过滤规则检测所述无冲突策略集所对应业务的安全性后,记入所述应用数据库DA。
所述资源数据库DR存储与资源状态信息对应的资源统计参数和资源统计参数值。控制模块MC根据资源统计参数,对数据层资源进行抽象,并将资源统计参数值存储至所述资源数据库DR。所述资源状态信息包括占用率,是否可用等信息。
所述策略数据库DS存储策略信息与对应优先级,以及是否执行的状态。控制模块MC进行策略检测,向所述策略数据库DS写入策略执行状态信息。在业务接入时,策略模块MS针对该业务生成的“策略优先级列表”,写入所述策略数据库DS。
图2是SDN安全代理控制方法流程图,下面以本发明的方法用于图1所述***作为实施例进行说明。
第1步、策略配置:通过策略配置接口SCI对策略模块MS进行配置,策略中包含至少1个预定的资源统计参数。其中,所述资源统计参数是针对业务类型设置的,对数据层的设备资源、带宽等网络资源进行统计的规则,从而为控制层处理业务需求提供数据层资源状态信息的量化依据。所述资源统计参数是用计算机可识别的字符串方式输入、或在预定的列表中选定的。
优选地,所述策略模块MS对所配置的策略逐一进行安全威胁检测;确定对应的策略集完备性;对所配置的策略进行边界冲突检测,形成一无冲突策略集。
第2步、资源状态统计:所述控制模块MC存储所述策略模块MS中无冲突策略集所包含的资源统计参数,所述控制模块MC按照所存储的资源统计参数对数据层设备资源进行统计,所述控制模块MC实时性地收到所述数据层设备的资源状态信息,所述资源状态信息(例如设备故障、链路故障)改变时,经过所述控制模块MC统计实时地改变所述资源统计参数值。
第3步、策略优先级生成:当有新业务请求、新策略配置、或数据层资源状态改变时,业务处理模块MA和策略模块MS分别作如下处理:
第3.1步、业务处理模块MA解析接入业务,提取业务数据中的相关字节,生成策略优先级所需的必要参数,包括业务源、宿节点、源、宿端口、协议类型、到达时间等,分析业务需求,解析出策略目标及行为。
第3.2步、所述策略模块MS根据策略规则检测业务的安全性;根据资源统计参数值、该业务对应的无冲突策略集动态生成一个表示策略执行顺序的策略优先级列表。
优选地,业务处理模块MA还判断数据层资源的情况是否可以满足该业务请求,如不满足,则直接拒绝该业务请求。
所述策略优先级列表中,涉及包过滤规则的策略优先级高于涉及资源统计参数的策略;针对某一策略执行多个业务存在冲突时,优先执行QoS需求高的业务。
例如某一应用包含三个策略{策略1,策略2,策略3},其中策略3是包过滤规则;策略1和策略2涉及资源统计参数,策略2又依赖于策略1;该应用中包含两个业务{业务1,业务2},业务1的优先级高于业务2的优先级。则优先级列表是:“策略3(业务1,业务2);策略1(业务1,业务2);策略2(业务1,业务2)”。
假设,业务1的策略2与业务2的策略2存在冲突(资源不能同时保障业务1和业务2实现),因为业务1的优先级高于业务2的优先级,所以业务1的策略2优先执行,而业务2的策略2等待执行。存在冲突后就需要在数据库中排队等待业务处理,至少待业务1结束后,涉及策略2的两个业务不能同时执行的问题消失,便可以触发执行业务2。
第4步、策略下发:为了将所配置的策略通过南向接口发送到数据层,所述控制模块MC将所述策略模块MS配置的策略集与数据层正在执行的策略进行边界冲突检测,若无冲突则直接将配置策略下发至数据层进行相应配置。这里所述“冲突”,可能是由于资源使用冲突造成的,也可能是由于包过滤规则边界冲突造成的。所述边界冲突检测,包括包过滤规则边界冲突检测和资源使用冲突检测。
上述方法中所述“资源使用冲突”,是指需要执行的多个业务需求在进行资源分配时占用相同的资源,导致无法同时满足。例如:在光网络中,对于业务1和业务2在进行波长分配时占用了相同的波长,而该波长一次不能被两个业务同时用,则出现了资源使用冲突。
上述方法中所述“包过滤规则边界冲突”,是指多条规则的条件有交集,而执行的动作不一致。包过滤规则由条件和动作组成,其中条件包含对于一个TCP包的源地址、目的地址、源端口号、目的端口号、协议类型、标志符号等信息,动作是规则匹配成功时采取的动作。例如,规则1中指明转发目的地址为IP1的包至IP2,而规则2中指明丢弃目的地址为IP1的包。此时规则1与规则2出现包过滤规则边界冲突。
下面通过策略配置和业务接入的具体例子来说明,给出在图1~2基础上的业务配置的实施例。
第1步、策略配置:策略模块MS通过策略配置接口SCI进行策略配置,例如配置了三条策略,
定义资源统计参数:节点资源利用率R=已占用带宽/总带宽。
策略T1:设置业务路径,路径设置在节点资源利用率R小于20%的数据层设备上。
策略T2:拒绝目的地址为IP1的业务。
策略模块MS对策略T1、T2进行业务安全性检测后,确定无安全威胁,生成安全应用APP1,对应无冲突安全策略集{T1,T2},将APP 1={T1,T2}存入所述应用数据库DA。
无冲突策略集{T1,T2}包含资源统计参数,即策略T1涉及资源统计参数。
第2步、资源状态统计:控制模块MC按照策略T1中的资源统计参数,对节点资源进行统计,并将所得资源统计参数即节点资源利用率R的当前值存入资源数据库DR。
第3步、策略优先级生成:
第3.1步、解析:假如此时有业务S1、S2使用安全应用APP 1,业务处理模块MA解析接入业务,生成策略优先级所需的必要参数,包括业务源、宿节点地址(分别为IP_src、IP_des),源、宿端口(分别为PORT_src、PORT_des),业务优先级为S_QoS,协议类型为S_protocal;
第3.2步、生成优先级列表:根据3.1步的解析结果,假如S1与S2通过相同的节点,对于数据层资源的使用存在冲突,例如该节点虽然资源利用率<20%,但是开通业务S1或S2之一均会使该节点资源利用率>20%,无法同时满足S1与S2对策略T1的要求,此时比较二者的S_QoS(业务生成时设定),得知S1的S_QoS高于S2。生成的策略优先级列表包含策略的执行顺序,保存在策略数据库DS。优先级说明:对于无冲突的策略优先执行。策略T2:S1:IP_des≠IP1,S2:IP_des≠IP1,即两个业务的宿节点IP均不等于拒绝服务地址IP1。其次执行策略T1:待S1的策略T1执行结束后,再执行S2的策略T1。
第4步、策略下发:所述控制模块MC将策略模块MS配置的策略优先级列表中的策略与数据层上已执行的策略进行边界冲突检测。如果此时资源可满足策略优先级列表中的策略资源需求,并不存在冲突,则发送控制消息到数据层。
本发明方案的用户使用场景1:当网络控制层向虚拟运营商开放后,网络运营商在控制层的外部编程接口通过使用资源统计参数对安全策略进行优化,使多个虚拟运营商的多个业务之间避免资源冲突。
本发明方案的用户使用场景2:网络发生故障(例如节点故障或链路故障),安全策略中预设的资源统计参数的值会发生变化。控制层感知到这种变化,对安全策略集进行冲突检测,由于资源状态发生变化原有的某些业务之间发生了冲突,自动更新策略优先级列表。
Claims (9)
1.一种软件定义网安全控制***,其特征在于,包含业务处理模块、策略模块、控制模块、工作数据库、南向接口、北向接口、策略配置接口,
所述工作数据库中包含数据包过滤规则、资源统计参数、无冲突策略集、策略优先级列表;
所述数据包过滤规则,是预先设定的数据包的源、目的地址,源、目的端口,协议类型信息;
所述资源统计参数,是针对业务类型设置的对数据层资源进行统计的规则;
每一个所述无冲突策略集对应一种安全应用,包含至少1个策略;所述无冲突策略集,是对策略进行边界冲突检测形成;所述冲突,包含资源使用冲突、包过滤规则边界冲突;所述边界冲突检测,包括包过滤规则边界冲突检测和资源使用冲突检测;所述资源使用冲突,是指需要执行的多个业务需求在进行资源分配时占用相同的资源,导致无法同时满足;所述包过滤规则边界冲突,是指多条规则的条件有交集,而执行的动作不一致;
所述策略优先级列表包含策略的执行顺序;
所述业务处理模块解析业务请求;对于涉及资源统计参数的策略,查询所述控制模块所提供的资源统计参数值,判断域内资源是否可以满足该业务的需求,并将所述业务请求发送至所述策略模块;
所述业务处理模块包含北向接口,用于输入所述业务请求,返回业务执行结果;
所述策略模块根据所述数据包过滤规则检测业务的安全性,综合业务所涉及的资源统计参数值,更新策略优先级列表;
所述策略模块分别与所述业务处理模块和所述控制模块相连接,向所述业务处理模块返回业务执行结果,向所述控制模块传递所述策略优先级列表;
所述策略模块包含策略配置接口,用于配置资源统计参数和策略;
所述控制模块使用资源状态信息计算所述资源统计参数值;
所述控制模块使用所述策略优先级列表和数据层正在执行的策略进行边界冲突检测,形成无冲突策略;
所述控制模块包含南向接口,用于连接数据层设备,接收所述资源状态信息、发送所述无冲突策略。
2.如权利要求1所述软件定义网安全控制***,其特征在于,
所述业务处理模块获取资源统计参数值并判断此时域内资源的情况是否可以满足所述业务请求的要求。
3.如权利要求1所述软件定义网安全控制***,其特征在于,
所述工作数据库进一步包含应用数据库、资源数据库、策略数据库;
所述应用数据库存储安全应用与无冲突的策略集的映射关系;所述安全应用与无冲突的策略集的映射关系由策略模块根据包过滤规则检测所述无冲突策略集所对应业务的安全性后,记入所述应用数据库;
所述资源数据库存储与资源状态信息对应的资源统计参数和资源统计参数值;控制模块根据资源统计参数,对数据层资源进行抽象,并将资源统计参数值存储至所述资源数据库;所述资源状态信息包括占用率,是否可用信息;
所述策略数据库存储策略信息与对应优先级,以及是否执行的状态,控制模块进行策略检测,向所述策略数据库写入策略执行状态信息;在业务接入时,策略模块针对该业务生成策略优先级列表,写入所述策略数据库。
4.一种软件定义网安全控制方法,包含以下步骤
第1步、策略配置:对控制层进行配置,新配置的策略中包含至少1个预定的资源统计参数;
第2步、资源状态统计:按照资源统计参数对数据层设备资源进行统计,实时性根据所述数据层设备的资源状态的信息改变资源统计参数值;
第3步、策略优先级生成:当有新业务请求、新策略配置、或数据层资源状态改变时,作如下处理:
第3.1步、解析接入业务,提取业务数据中的相关字节,生成策略优先级所需的必要参数,包括业务源、宿节点、源、宿端口、协议类型、到达时间,分析业务需求,解析出策略目标及行为;
第3.2步、检测业务的安全性;根据资源统计参数值、该业务对应的无冲突策略集动态生成一个表示策略执行顺序的策略优先级列表;
所述无冲突策略集,是对策略进行边界冲突检测形成;所述冲突,包含资源使用冲突、包过滤规则边界冲突;所述边界冲突检测,包括包过滤规则边界冲突检测和资源使用冲突检测;所述资源使用冲突,是指需要执行的多个业务需求在进行资源分配时占用相同的资源,导致无法同时满足;所述包过滤规则边界冲突,是指多条规则的条件有交集,而执行的动作不一致;
第4步、策略下发:将所述无冲突策略集与数据层正在执行的策略进行边界冲突检测,若无冲突则直接将配置策略发送至数据层。
5.如权利要求4所述软件定义网安全控制方法,其特征在于,
所述第1步对控制层进行配置时,所述资源统计参数是用计算机可识别的字符串方式输入、或在预定的列表中选定的。
6.如权利要求4所述软件定义网安全控制方法,其特征在于,所述第1步中还包含
对所述新配置的策略逐一进行安全威胁检测;
确定所述新配置的策略的完备性;
对所述新配置的策略进行边界冲突检测。
7.如权利要求4所述软件定义网安全控制方法,其特征在于,所述第3.1步中还包含
判断数据层资源是否可以满足所述业务请求,如不满足,则直接拒绝该业务请求。
8.如权利要求4所述软件定义网安全控制方法,其特征在于,
所述策略优先级列表中,涉及包过滤规则的策略优先级高于涉及资源统计参数的策略;针对某一策略执行多个业务存在冲突时,优先执行QoS需求高的业务。
9.如权利要求4所述软件定义网安全控制方法,其特征在于,
所述边界冲突检测,包含包过滤规则边界冲突检测和资源使用冲突检测;
所述包过滤规则边界冲突,是指多条规则的条件有交集,而执行的动作不一致;
所述资源使用冲突,是指需要执行的多个业务需求在进行资源分配时占用相同的资源,导致无法同时满足。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410548547.5A CN104253820B (zh) | 2014-10-16 | 2014-10-16 | 软件定义网安全控制***和控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410548547.5A CN104253820B (zh) | 2014-10-16 | 2014-10-16 | 软件定义网安全控制***和控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104253820A CN104253820A (zh) | 2014-12-31 |
| CN104253820B true CN104253820B (zh) | 2018-10-16 |
Family
ID=52188356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410548547.5A Active CN104253820B (zh) | 2014-10-16 | 2014-10-16 | 软件定义网安全控制***和控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104253820B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112073214A (zh) * | 2015-06-29 | 2020-12-11 | 华为技术有限公司 | 一种实现应用的方法及业务控制器 |
| US10181038B2 (en) * | 2015-11-17 | 2019-01-15 | Honeywell International Inc. | Deployment assurance checks for monitoring industrial control systems |
| US10867037B2 (en) | 2015-11-30 | 2020-12-15 | Hewlett-Packard Development Company, L.P. | Security mitigation action selection based on device usage |
| CN106888152B (zh) * | 2015-12-16 | 2019-11-12 | 华为技术有限公司 | 一种消息处理方法、装置和*** |
| CN106341256B (zh) * | 2016-08-17 | 2021-04-02 | 上海交通大学 | 基于软件定义网络的v2g***及其安全通信方法 |
| CN109936541B (zh) * | 2017-12-18 | 2021-10-01 | 中国电子科技集团公司第十五研究所 | 软件定义网络数据隔离交换方法 |
| CN110166266B (zh) * | 2018-02-12 | 2022-05-06 | 大唐移动通信设备有限公司 | 一种从节点配置更新的处理方法、主节点及从节点 |
| CN108777633B (zh) * | 2018-05-18 | 2021-04-23 | 重庆邮电大学 | 支持数据调度的意图型工业sdn北向接口***及交互方法 |
| CN108768714A (zh) * | 2018-05-22 | 2018-11-06 | 郑州云海信息技术有限公司 | 一种数据中心综合管理***及其网络安全实现方法 |
| CN112217770B (zh) * | 2019-07-11 | 2023-10-13 | 奇安信科技集团股份有限公司 | 一种安全检测方法、装置、计算机设备及存储介质 |
| CN112948103B (zh) * | 2019-12-10 | 2023-10-27 | 腾讯科技(深圳)有限公司 | 资源配置方法、装置、存储介质及电子设备 |
| CN112395206B (zh) * | 2020-12-08 | 2022-06-10 | 珠海格力电器股份有限公司 | 组态软件纠错方法及*** |
| CN115065596B (zh) * | 2022-03-29 | 2023-09-26 | 上海交通大学 | 一种基于软件定义的工业异构网络集成配置***和方法 |
| CN115622785B (zh) * | 2022-10-24 | 2024-06-07 | 哈尔滨工业大学 | 一种面向服务互联网的多层次零信任安全控制方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051629A (zh) * | 2012-12-24 | 2013-04-17 | 华为技术有限公司 | 一种基于软件定义网络中数据处理的***、方法和节点 |
| CN103346922A (zh) * | 2013-07-26 | 2013-10-09 | 电子科技大学 | 基于sdn的确定网络状态的控制器及其确定方法 |
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、***及控制器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9304801B2 (en) * | 2012-06-12 | 2016-04-05 | TELEFONAKTIEBOLAGET L M ERRICSSON (publ) | Elastic enforcement layer for cloud security using SDN |
-
2014
- 2014-10-16 CN CN201410548547.5A patent/CN104253820B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051629A (zh) * | 2012-12-24 | 2013-04-17 | 华为技术有限公司 | 一种基于软件定义网络中数据处理的***、方法和节点 |
| CN103346922A (zh) * | 2013-07-26 | 2013-10-09 | 电子科技大学 | 基于sdn的确定网络状态的控制器及其确定方法 |
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、***及控制器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104253820A (zh) | 2014-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104253820B (zh) | 软件定义网安全控制***和控制方法 | |
| US10868737B2 (en) | Security policy analysis framework for distributed software defined networking (SDN) based cloud environments | |
| CN106464577B (zh) | 网络***、控制装置、通信装置以及通信控制方法 | |
| CN109510846A (zh) | Api调用***、方法、装置、电子设备及存储介质 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN110401624A (zh) | 源网荷***交互报文异常的检测方法及*** | |
| US20140365634A1 (en) | Programmable Network Analytics Processing via an Inspect/Apply-Action Applied to Physical and Virtual Entities | |
| CN104717212B (zh) | 一种云端虚拟网络安全的防护方法与*** | |
| CN104168144A (zh) | 一种对sdn网络进行审计的方法 | |
| CN106656591A (zh) | 一种软件定义网络中多应用间的规则冲突检测与消除方法 | |
| CN111600863A (zh) | 网络入侵检测方法、装置、***和存储介质 | |
| CN105871811A (zh) | 控制应用程序权限的方法及控制器 | |
| CN103701822A (zh) | 访问控制方法 | |
| CN109040186A (zh) | 一种基于nbiot网络的mqtt数据处理方法和装置 | |
| CN113132293B (zh) | 攻击检测方法、设备及公共蜜罐*** | |
| Chowdhary et al. | Sdn based network function parallelism in cloud | |
| Sattar et al. | Proactive and dynamic slice allocation in sliced 5g core networks | |
| CN101355585B (zh) | 一种分布式架构数据通信设备的消息保护***及方法 | |
| CN110417687A (zh) | 一种报文发送与接收方法及装置 | |
| KR102314557B1 (ko) | 보안 통제 관리 시스템 및 그 방법 | |
| CN101686170B (zh) | 基于多出口用户路由的分级传输品质保障*** | |
| CN110569987A (zh) | 自动化运维方法、运维设备、存储介质及装置 | |
| Buzhin et al. | Evaluation of Telecommunication Equipment Delays in Software-Defined Networks | |
| CN110198246B (zh) | 一种流量监控的方法及*** | |
| CN101159955B (zh) | 基于媒体网关控制协议网络的服务质量测量方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |