[发明专利]用于消解安全策略冲突的方法、装置和系统

说明书

技术领域

本发明涉及通信领域，特别涉及一种用于消解安全策略冲突的方 法、装置和系统。

背景技术

SDN(SoftwareDefinedNetwork，软件定义网络)是一种新型网络 架构和技术体系，将传统紧耦合的网络架构分拆成应用、控制、转发三 层分离的架构，上层应用和底层转发设施被抽象成多个逻辑实体，具有 开放可编程的特点。

在SDN架构下，通过集中控制器对分布式交换机进行编程，定义路 由规则，上层应用的策略通过控制器下发给交换机执行，防火墙等安全 功能也以上层应用形式实现。OpenFlow(开放流)作为SDN的典型解 决方案，定义了集中控制器与数据转发平面进行交互的协议。

FlowVisor是一种OpenFlow网络中的网络虚拟化层实现。通过 FlowVisor，一个完整的OpenFlow网络可以划分成多个逻辑网络，每个 逻辑网络被称为一个分片，上层每个应用被限制在单独的网络虚拟化分 片中，从而避免各应用间的策略相互影响。

在SDN架构下，当上层多个应用同时下发流规则策略时，不同策 略之间可能产生冲突，比如防火墙策略阻止了从10.0.0.1到10.0.0.2的 数据流，但某个应用策略采用组合策略或其他方式允许该数据流，从而 导致策略间的冲突。即使在FlowVisor的网络分片环境下，同一网络分 片中可能同时存在安全应用及其他应用，导致策略冲突。这可被黑客利 用来绕过安全策略，带来安全隐患。

例如，虽然防火墙策略阻止了从10.0.0.1到10.0.0.2的数据流，但 是黑客可选择从10.0.0.1到10.0.0.3、从10.0.0.3到10.0.0.2路径，将数 据流从10.0.0.1发送到10.0.0.2，从而使防火墙策略无法有效发挥作用， 带来了安全隐患。

发明内容

本发明实施例提供一种用于消解安全策略冲突的方法、装置和系统。 通过对下发的流规则策略进行语义识别以建立别名规则集，利用别名规 则集进行统一的策略冲突检测，从而可有效防止通过其它流规则策略或 策略组合绕过安全规则，提高基于OpenFlow的SDN架构的安全性。

根据本发明的一个方面，提供一种用于消解安全策略冲突的方法， 包括：

当接收到应用代理装置下发的流规则策略时，对所述流规则策略进 行基于别名的语义分析，从而形成所述流规则策略的别名规则集；

将所述流规则策略的别名规则集与当前规则的别名规则集进行比 对，以判断是否存在策略冲突；

若不存在策略冲突，则将所述流规则策略发送给相应交换机，以便 相应交换机根据所述流规则策略进行相应的路由转发。

在一个实施例中，若存在策略冲突，则提取所述流规则策略中包括 的签名；

利用所述签名验证所述流规则策略是否完整；

若利用所述签名验证所述流规则完整，则查询与所述签名相对应的 角色信息；

利用所述角色信息，识别所述流规则策略的权限级别；

判断所述流规则策略的权限级别是否高于当前规则的权限级别；

若所述流规则策略的权限级别高于当前规则的权限级别，则执行将 所述流规则策略发送给相应交换机的步骤。

在一个实施例中，若所述流规则策略的权限级别不高于当前规则的 权限级别，则丢弃所述流规则策略。

在一个实施例中，若利用所述签名验证所述流规则策略不完整，则 丢弃所述流规则策略。

根据本发明的另一方面，提供一种用于消解安全策略冲突的流规则 控制装置，包括接收单元、流规则冲突分析单元和发送单元，其中：

接收单元，用于接收应用代理装置下发的流规则策略；

流规则冲突分析单元，用于当接收单元接收到应用代理装置下发的 流规则策略时，对所述流规则策略进行基于别名的语义分析，从而形成 所述流规则策略的别名规则集；将所述流规则策略的别名规则集与当前 规则的别名规则集进行比对，以判断是否存在策略冲突；

发送单元，用于根据流规则冲突分析单元的判断结果，若不存在策 略冲突，则将所述流规则策略发送给相应交换机，以便相应交换机根据 所述流规则策略进行相应的路由转发。

在一个实施例中，装置还包括源授权识别单元和流规则状态管理单 元，其中：