一種基于sdn虛擬交換機(jī)的安全策略的系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域����,尤其涉及一種基于SDN虛擬交換機(jī)的安全策略的系統(tǒng)及方法。
【背景技術(shù)】
[0002]軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN)�,是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu),是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式�����,其核心技術(shù)OpenFlow通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來,從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制����,使網(wǎng)絡(luò)作為管道變得更加智能。
[0003]SDN將控制與轉(zhuǎn)發(fā)分離��,通過控制器對(duì)整網(wǎng)實(shí)現(xiàn)集中控制����,實(shí)現(xiàn)轉(zhuǎn)發(fā)硬件通用化,控制智能集中化���,極大的提高了網(wǎng)絡(luò)的創(chuàng)新和靈活��。但在現(xiàn)有SDN技術(shù)中�,虛擬交換機(jī)只能作簡(jiǎn)單的報(bào)文轉(zhuǎn)發(fā)和VLAN隔離����,沒有報(bào)文深度解析功能,缺少安全策略保護(hù)�,安全性差。
【發(fā)明內(nèi)容】
[0004]有鑒于現(xiàn)有技術(shù)的上述缺陷�,本發(fā)明所要解決的技術(shù)問題是提供一種基于SDN虛擬交換機(jī)的安全策略的系統(tǒng)及方法,本發(fā)明在SDN控制器定義安全策略��,可與單臺(tái)VM的IP地址或一組VM的IP地址組綁定��,控制器通過Openflow協(xié)議將安全策略下發(fā)到虛擬交換機(jī)��,虛擬交換機(jī)接收策略并設(shè)置安全策略對(duì)應(yīng)的Openf low表項(xiàng)�����,當(dāng)VM報(bào)文到達(dá)時(shí)���,虛擬交換機(jī)會(huì)根據(jù)安全策略的Openflow表項(xiàng)來作相應(yīng)的動(dòng)作��,有效的提供了虛擬化網(wǎng)絡(luò)中的安全��。
[0005]為實(shí)現(xiàn)上述目的�����,本發(fā)明提供了一種基于SDN虛擬交換機(jī)的安全策略的系統(tǒng)����,其特征在于:包括多個(gè)虛擬機(jī)和設(shè)置在每個(gè)虛擬機(jī)上的虛擬網(wǎng)卡�����,所述虛擬網(wǎng)卡均與虛擬交換機(jī)相連接,所述虛擬交換機(jī)分別與物理網(wǎng)卡和SDN控制器連接��。
[0006]—種基于SDN虛擬交換機(jī)的安全策略的方法�����,其特征在于����,包括以下步驟:
[0007]S1、將虛擬機(jī)接入虛擬交換機(jī)����;
[0008]S2、SDN控制器與虛擬交換機(jī)通過Openflow協(xié)議連接成功����;
[0009]S3、在SDN控制器配置需要的安全策略���;
[0010]S4��、SDN控制器通過Openflow協(xié)議下發(fā)安全策略到虛擬交換機(jī)���,虛擬交換機(jī)根據(jù)安全策略自動(dòng)設(shè)置Openflow表項(xiàng)����;
[0011]S5�、當(dāng)收到虛機(jī)發(fā)來的報(bào)文時(shí)�����,虛擬交換機(jī)會(huì)檢查表項(xiàng)���,并判斷安全策略是否符合��;
[0012]S6�����、當(dāng)符合安全策略時(shí)�,轉(zhuǎn)發(fā)報(bào)文�����,否則丟棄報(bào)文��。
[0013]上述的一種基于SDN虛擬交換機(jī)的安全策略的方法�,其特征在于��,所述步驟S3在SDN控制器配置需要的安全策略可以基于單個(gè)虛擬機(jī)�,也可以基于虛機(jī)組���。
[0014]本發(fā)明的有益效果是:
[0015]1���、本發(fā)明在SDN控制器定義安全策略,可與單臺(tái)VM的IP地址或一組VM的IP地址組綁定�,控制器通過Openflow協(xié)議將安全策略下發(fā)到虛擬交換機(jī),虛擬交換機(jī)接收策略并設(shè)置安全策略對(duì)應(yīng)的Openflow表項(xiàng)����,當(dāng)VM報(bào)文到達(dá)時(shí),虛擬交換機(jī)會(huì)根據(jù)安全策略的Openflow表項(xiàng)來作相應(yīng)的動(dòng)作����,有效的提供了虛擬化網(wǎng)絡(luò)中的安全;
[0016]2����、本發(fā)明可以基于單個(gè)虛機(jī)或虛機(jī)組提供不同級(jí)別的安全保護(hù)及防御,進(jìn)一步提高了虛擬化網(wǎng)絡(luò)的安全�。
[0017]以下將結(jié)合附圖對(duì)本發(fā)明的構(gòu)思、具體結(jié)構(gòu)及產(chǎn)生的技術(shù)效果作進(jìn)一步說明,以充分地了解本發(fā)明的目的�、特征和效果。
【附圖說明】
[0018]圖1是本發(fā)明的結(jié)構(gòu)示意圖�;
[0019]圖2是本發(fā)明的工作流程圖。
【具體實(shí)施方式】
[0020]如圖1所示�,一種基于SDN虛擬交換機(jī)的安全策略的系統(tǒng),其特征在于:包括多個(gè)虛擬機(jī)1和設(shè)置在每個(gè)虛擬機(jī)1上的虛擬網(wǎng)卡2����,所述虛擬網(wǎng)卡2均與虛擬交換機(jī)3相連接���,所述虛擬交換機(jī)3分別與物理網(wǎng)卡4和SDN控制器5連接�。
[0021]如圖2所示��,一種基于SDN虛擬交換機(jī)的安全策略的方法����,其特征在于,包括以下步驟:
[0022]S1��、將虛擬機(jī)接入虛擬交換機(jī)����;
[0023]S2、SDN控制器與虛擬交換機(jī)通過Openflow協(xié)議連接成功�����;
[0024]S3、在SDN控制器配置需要的安全策略�����;
[0025]S4���、SDN控制器通過Openflow協(xié)議下發(fā)安全策略到虛擬交換機(jī)���,虛擬交換機(jī)根據(jù)安全策略自動(dòng)設(shè)置Openflow表項(xiàng);
[0026]S5���、當(dāng)收到虛機(jī)發(fā)來的報(bào)文時(shí)���,虛擬交換機(jī)會(huì)檢查表項(xiàng),并判斷安全策略是否符合�;
[0027]S6、當(dāng)符合安全策略時(shí)�����,轉(zhuǎn)發(fā)報(bào)文,否則丟棄報(bào)文�����。
[0028]本實(shí)施例中�����,所述步驟S3在SDN控制器配置需要的安全策略可以基于單個(gè)虛擬機(jī)�����,也可以基于虛機(jī)組����。
[0029]綜上所述�,本發(fā)明的基于SDN虛擬交換機(jī)的安全策略系統(tǒng)可以有效保護(hù)虛擬機(jī)的安全,并且可以基于單個(gè)虛機(jī)或虛機(jī)組提供不同級(jí)別的安全保護(hù)及防御���,有效的提供虛擬化網(wǎng)絡(luò)中的安全�。
[0030]以上詳細(xì)描述了本發(fā)明的較佳具體實(shí)施例����。應(yīng)當(dāng)理解,本領(lǐng)域的普通技術(shù)人員無需創(chuàng)造性勞動(dòng)就可以根據(jù)本發(fā)明的構(gòu)思做出諸多修改和變化。因此�,凡本技術(shù)領(lǐng)域中技術(shù)人員依本發(fā)明的構(gòu)思在現(xiàn)有技術(shù)的基礎(chǔ)上通過邏輯分析、推理或者有限的實(shí)驗(yàn)可以得到的技術(shù)方案��,皆應(yīng)在由權(quán)利要求書所確定的保護(hù)范圍內(nèi)���。
【主權(quán)項(xiàng)】
1.一種基于SDN虛擬交換機(jī)的安全策略的系統(tǒng)���,其特征在于:包括多個(gè)虛擬機(jī)(1)和設(shè)置在每個(gè)虛擬機(jī)(1)上的虛擬網(wǎng)卡(2),所述虛擬網(wǎng)卡(2)均與虛擬交換機(jī)(3)相連接���,所述虛擬交換機(jī)(3)分別與物理網(wǎng)卡(4)和SDN控制器(5)連接��。2.—種基于SDN虛擬交換機(jī)的安全策略的方法���,其特征在于,包括以下步驟: 51�、將虛擬機(jī)接入虛擬交換機(jī); 52����、SDN控制器與虛擬交換機(jī)通過Openflow協(xié)議連接成功; 53�、在SDN控制器配置需要的安全策略���; 54、SDN控制器通過Openflow協(xié)議下發(fā)安全策略到虛擬交換機(jī)�����,虛擬交換機(jī)根據(jù)安全策略自動(dòng)設(shè)置Openflow表項(xiàng)���; 55�����、當(dāng)收到虛機(jī)發(fā)來的報(bào)文時(shí)�����,虛擬交換機(jī)會(huì)檢查表項(xiàng)�,并判斷安全策略是否符合���; 56、當(dāng)符合安全策略時(shí)����,轉(zhuǎn)發(fā)報(bào)文���,否則丟棄報(bào)文。3.如權(quán)利要求2所述的一種基于SDN虛擬交換機(jī)的安全策略的方法�����,其特征在于��,所述步驟S3在SDN控制器配置需要的安全策略可以基于單個(gè)虛擬機(jī)�����,也可以基于虛機(jī)組�。
【專利摘要】本發(fā)明公開了一種基于SDN虛擬交換機(jī)的安全策略的系統(tǒng)及方法,包括多個(gè)虛擬機(jī)和設(shè)置在其上的虛擬網(wǎng)卡�,虛擬網(wǎng)卡均與虛擬交換機(jī)連接,虛擬交換機(jī)分別與物理網(wǎng)卡和SDN控制器連接�����。其實(shí)現(xiàn)方法為:S1���、將虛擬機(jī)接入虛擬交換機(jī)���;S2���、SDN控制器與虛擬交換機(jī)通過Openflow協(xié)議連接成功;S3�����、在SDN控制器配置需要的安全策略�;S4、SDN控制器通過Openflow協(xié)議下發(fā)安全策略到虛擬交換機(jī)����,并自動(dòng)設(shè)置Openflow表項(xiàng);S5�����、當(dāng)收到虛機(jī)發(fā)來的報(bào)文后檢查表項(xiàng)�����,并判斷安全策略是否符合�;S6�、當(dāng)符合安全策略時(shí),轉(zhuǎn)發(fā)報(bào)文����,否則丟棄報(bào)文�����。本發(fā)明提供不同級(jí)別的安全保護(hù)及防御��,有效的提供了虛擬化網(wǎng)絡(luò)中的安全���。
【IPC分類】H04L29/06
【公開號(hào)】CN105262753
【申請(qǐng)?zhí)枴緾N201510715914
【發(fā)明人】熊常春
【申請(qǐng)人】廣州西麥科技股份有限公司
【公開日】2016年1月20日
【申請(qǐng)日】2015年10月28日