[发明专利]软件定义网络中的安全

权利要求书

1.一种方法，包括：

在软件定义的网络的控制器处从策略生成器获得至少一个安全策略；

基于指定所述安全策略的特性、所述安全策略的所述生成器的角色以及所述安全策略的所述生成器的所述角色的安全权限等级的一个或者多个属性在所述软件定义的网络中经由所述控制器实施所述安全策略，

其中所述安全策略的属性的所述特性描述所述安全策略是实时策略还是能够具有一些延迟地生效；

将所获得的至少一个安全策略翻译成反映至少所述一个或多个属性的流规则；

在所述控制器的一个或多个流表中更新所述一个或多个流规则；以及

根据所述安全策略的属性，将所述一个或多个流规则与所述软件定义的网络中的相关SDN交换机同步，其中对于实时策略，所述一个或多个流规则的同步是实时实现的，并且对于能够具有一些延迟地生效的安全策略，所述一个或多个流规则的同步是周期地实现的。

2.根据权利要求1所述的方法，其中所述从策略生成器获得至少一个安全策略的步骤还包括所述控制器利用所述策略生成器执行认证操作、授权操作、完整性验证操作以及机密性验证操作中的至少一项。

3.根据权利要求2所述的方法，其中所述从策略生成器获得至少一个安全策略的步骤还包括所述控制器在所述认证操作、所述授权操作、所述完整性验证操作以及所述机密性验证操作中的至少一项失败的条件下丢弃所述安全策略。

4.根据权利要求1所述的方法，其中所获得的所述安全策略是响应于由所述软件定义的网络的安全装置检测到的新安全威胁而开发的安全策略。

5.根据权利要求1所述的方法，其中所述安全策略的所述特性为紧急、一般以及默认中的一个。

6.根据权利要求1所述的方法，其中所述安全策略的所述生成器的所述角色指定向所述安全策略的所述生成器指配的网络角色。

7.根据权利要求6所述的方法，其中所述安全策略的所述生成器的所述角色为安全管理员、一般管理员、用户以及访客中的一个。

8.根据权利要求1所述的方法，其中所述安全策略的所述生成器的所述角色的所述安全权限等级针对可向所述策略生成器指配的每个不同角色指定不同层级的安全权限等级。

9.根据权利要求8所述的方法，其中在指配给第一角色的所述安全权限等级在层级上低于指配给第二角色的所述安全权限等级的条件下，与所述第二角色关联的所述安全策略取得超过与所述第一角色关联的所述安全策略的实施优先权。

10.根据权利要求1所述的方法，其中所述实施所述安全策略的步骤还包括所述控制器基于指定所述安全策略的特性、所述安全策略的所述生成器的角色以及所述安全策略的所述生成器的所述角色的安全权限等级的所述一个或者多个属性来将所述安全策略翻译成至少一个流规则。

11.根据权利要求10所述的方法，其中所述实施所述安全策略的步骤还包括所述控制器执行以下一项或多项：

确定从所述安全策略翻译的所述流规则与流表中的现有流规则之间是否存在冲突；

基于所述安全策略的所述生成器的所述角色的所述安全权限等级解决从所述安全策略翻译的所述流规则与所述流表中的所述现有流规则之间的冲突；

利用从所述安全策略翻译的所述流规则来更新所述流表；

向所述软件定义的网络中的一个或者多个交换机分发从所述安全策略翻译的所述流规则，以使得所述一个或者多个交换机能够根据所述流规则完成所述软件定义的网络中的数据流；以及

在向一个或者多个交换机分发所述流规则之前利用所述一个或者多个交换机执行认证操作、完整性验证操作以及机密性验证操作中的至少一项。

12.根据权利要求1所述的方法，其中所获得的所述安全策略包括分组扫描检测指令。