[发明专利]一种基于网络功能虚拟化的推演多域网络安全策略的系统和方法

权利要求书

1.一种支持DSPMN-NFV的系统，其特征在于它包括：

A.该系统具有一个与现实世界中的多域“安全白网络”(简称物理网络)完全相同的基于NFV的虚拟网络(简称虚拟网络)，这两个网络具有相同的网络结构、网络协议、网络安全设备和网络安全策略，并且两者保留着各自的配置参数。因此，虚拟网络能够产生与物理网络一样的行为，如网络故障或网络结构变化等。

B.虚拟网络具有一个安全策略管理系统，该管理系统能够基于物理网络故障或网络结构变化等信息，控制虚拟网络产生相同的变化，即产生相同的网络故障或网络结构变化的虚拟网络。图1显示了该支持DSPMN-NFV的系统组成。

C.安全策略管理系统具有如图2所示的架构，其中包括用于存放多域网络中所有安全对象和应用对象配置信息的目录服务器，用于提供策略编程的策略编辑器，用于决策推理以获得优化安全策略的策略决策管理器，在每个自治域中对域内防火墙、具有ACL功能的路由器实施安全策略的域策略实施器，和防火墙和具有ACL的路由器等安全设备。

2.一种基于DSPMN-NFV的推演安全策略方法，其特征在于它包括：

A.策略管理系统推演安全策略的工作流程是：

(1)当物理网络出现设备故障或调整网络结构时，相关外部应用信息传递给目录管理器；

(2)目录管理器搜索并计算相关信息，将其交付给策略决策管理器，由该管理器对虚拟网络进行设置，使虚拟网络产生与物理网络相同的现象；

(3)策略决策管理器将所有安全设备设置为“允许来自所有IP地址的所有端口号的分组通过”；

(4)策略决策管理器根据应用对象的通信需求，发起端到端网络测量以获取通信路径集合及其安全对象的信息；

(5)策略决策管理器根据各种应用的安全需求，计算安全对象应设置的安全参数集FWPara；

(6)策略决策管理器根据多域信息，将FWPara拆分为各域的安全参数子集SubFWPara。

B.策略管理系统推演安全策略的算法如算法1所示。

3.一种基于DSPMN-NFV的验证安全策略方法，其特征在于它包括：

A.策略管理系统验证安全策略的工作流程是：

(1)策略决策管理器与域策略实施器进行通信，该管理器将各域的安全参数子集SubFWPara分发给各个域的域策略实施器；

(2)各个域策略实施器按照SubFWPara对本域安全对象设置安全参数；

(3)策略决策管理器在虚拟网络中根据所有应用涉及的流进行测试，如果所有测试通过则安全策略验证成功，否则验证不成功；

(4)策略管理系统将验证成功的安全策略集合交付给管理员，可供物理网络按此安全策略集合。

B.策略管理系统验证安全策略的算法如算法2所示。