數(shù)據(jù)流安全處理方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明實(shí)施例涉及通信技術(shù)�,尤其涉及一種數(shù)據(jù)流安全處理方法及裝置�����。
【背景技術(shù)】
[0002] 軟件定義網(wǎng)絡(luò)(softwaredefinednetwork,簡(jiǎn)稱SDN)技術(shù)是一種新興的控制與 轉(zhuǎn)發(fā)相分離的網(wǎng)絡(luò)架構(gòu)����,SDN技術(shù)中兩個(gè)主要的設(shè)備是中央控制器(也稱為controller)與 網(wǎng)絡(luò)設(shè)備。
[0003] 在SDN技術(shù)的基礎(chǔ)上����,現(xiàn)有的數(shù)據(jù)流安全處理方法為數(shù)據(jù)流首先通過在 contrller內(nèi)部的軟件模塊進(jìn)行安全檢測(cè),然后由controller下發(fā)只經(jīng)過轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā) 路徑�����。
[0004] 上述現(xiàn)有的數(shù)據(jù)流安全處理方法中�,軟件模塊進(jìn)行安全檢測(cè)的安全性能不高,另 夕F����,controller不但需要決策數(shù)據(jù)流的傳輸路徑��,而且需要對(duì)數(shù)據(jù)流進(jìn)行安全檢測(cè)���,其負(fù)荷 量較重。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實(shí)施例提供一種數(shù)據(jù)流安全處理方法及裝置��,W-定程度上解決現(xiàn)有技術(shù) 中軟件模塊進(jìn)行安全檢測(cè)的安全性能不高�,W及負(fù)荷量較重的問題。
[0006] 本發(fā)明的第一方面提供了一種數(shù)據(jù)流安全處理方法����,包括:
[0007] 獲取數(shù)據(jù)流的特征信息,所述特征信息包括所述數(shù)據(jù)流的源和目的信息�����;
[0008] 根據(jù)所述特征信息����,確定所述數(shù)據(jù)流的安全等級(jí);
[0009] 根據(jù)所述安全等級(jí)���,確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑�����;
[0010] 向所述轉(zhuǎn)發(fā)路徑上的各設(shè)備下發(fā)用于表示所述轉(zhuǎn)發(fā)路徑的信息�。
[0011] 在第一方面的第一種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述安全等級(jí)�,確定用于傳輸 所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑,包括:
[0012] 根據(jù)所述安全等級(jí)�,確定對(duì)應(yīng)的路徑查找規(guī)則;
[0013] 根據(jù)所述路徑查找規(guī)則�,確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑���。
[0014] 結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式�,在第一方面的第二種可能的實(shí)現(xiàn)方式 中�,所述路徑查找規(guī)則為最短路徑查找規(guī)則;
[0015] 所述根據(jù)所述路徑查找規(guī)則���,確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑��,包括:
[0016] 根據(jù)所述最短路徑查找規(guī)則�����,確定源節(jié)點(diǎn)到目的節(jié)點(diǎn)的最短路徑為所述轉(zhuǎn)發(fā)路 徑���,所述最短路徑不經(jīng)過安全設(shè)備����。
[0017] 結(jié)合第一方面的第一種或第二種可能的實(shí)現(xiàn)方式���,在第一方面的第H種可能的實(shí) 現(xiàn)方式中��,所述路徑查找規(guī)則為最短安全路徑查找規(guī)則�;
[0018] 所述根據(jù)所述路徑查找規(guī)則��,確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑�,包括:
[0019] 將安全設(shè)備對(duì)應(yīng)的安全節(jié)點(diǎn)按本節(jié)點(diǎn)的度拆分為與所述度的數(shù)量相同的拆分節(jié) 占. ;、�����、��、?
[0020] 獲取源節(jié)點(diǎn)到所述拆分節(jié)點(diǎn)的路徑���;
[0021] 獲取目的節(jié)點(diǎn)到所述拆分節(jié)點(diǎn)的路徑�;
[0022] 確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑為所述源節(jié)點(diǎn)到所述拆分節(jié)點(diǎn)的路徑與所 述目的節(jié)點(diǎn)到所述拆分節(jié)點(diǎn)的路徑中�,經(jīng)過相同安全節(jié)點(diǎn)但經(jīng)過不同的拆分節(jié)點(diǎn)的路徑中 最短的路徑�。
[0023] 結(jié)合第一方面的第一種或第二種可能的實(shí)現(xiàn)方式�����,在第一方面的第四種可能的實(shí) 現(xiàn)方式中��,所述路徑查找規(guī)則為最快檢測(cè)路徑查找規(guī)則����;
[0024] 所述根據(jù)所述路徑查找規(guī)則,確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑��,包括:
[0025] 將安全設(shè)備對(duì)應(yīng)的安全節(jié)點(diǎn)按本節(jié)點(diǎn)的度拆分為與所述度的數(shù)量相同的拆分節(jié) 占. ;��、�����、���、 ?
[0026] 獲取源節(jié)點(diǎn)到當(dāng)前的所述拆分節(jié)點(diǎn)的最短路徑;
[0027] 獲取目的節(jié)點(diǎn)到所述安全節(jié)點(diǎn)的另一拆分節(jié)點(diǎn)的路徑��,所述另一拆分節(jié)點(diǎn)為所述 最短路徑經(jīng)過的所述當(dāng)前的拆分節(jié)點(diǎn)W外的拆分節(jié)點(diǎn)��;
[0028] 確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑,所述用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑為所 述轉(zhuǎn)發(fā)路徑先經(jīng)過所述源節(jié)點(diǎn)到所述拆分節(jié)點(diǎn)的最短路徑��,然后經(jīng)過所述安全設(shè)備��,最后 經(jīng)過所述目的節(jié)點(diǎn)到所述安全節(jié)點(diǎn)的另一拆分節(jié)點(diǎn)的路徑�����。
[0029] 結(jié)合第一方面�,在第一方面的第五種可能的實(shí)現(xiàn)方式中,還包括:
[0030] 獲取網(wǎng)絡(luò)拓?fù)湫畔?���,所述網(wǎng)絡(luò)拓?fù)湫畔榘ㄞD(zhuǎn)發(fā)設(shè)備和安全設(shè)備所在網(wǎng)絡(luò)的拓 撲信息,所述拓?fù)湫畔ㄋ霭踩O(shè)備的安全能力信息����;
[0031] 所述根據(jù)所述安全等級(jí),確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑�����,包括:
[0032] 根據(jù)所述安全等級(jí)和所述安全設(shè)備的安全能力信息�,確定用于傳輸所述數(shù)據(jù)流的 轉(zhuǎn)發(fā)路徑。
[0033] 結(jié)合第一方面的第五種可能的實(shí)現(xiàn)方式�����,在第一方面的第六種可能的實(shí)現(xiàn)方式 中,所述安全能力信息���,包括下述信息中的至少一種信息:
[0034] 2~3層的安全能力信息�、2~7層的安全能力信息�����。
[00巧]本發(fā)明的第二方面提供了一種數(shù)據(jù)流安全處理裝置����,包括:
[0036] 特征獲取模塊,用于獲取數(shù)據(jù)流的特征信息����,所述特征信息包括所述數(shù)據(jù)流的源 和目的信息���;
[0037] 等級(jí)確定模塊�,用于根據(jù)所述特征信息�����,確定所述數(shù)據(jù)流的安全等級(jí);
[0038] 路徑確定模塊�����,用于根據(jù)所述安全等級(jí)�,確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑;
[0039] 路徑下發(fā)模塊����,用于向所述轉(zhuǎn)發(fā)路徑上的各設(shè)備下發(fā)用于表示所述轉(zhuǎn)發(fā)路徑的信 肩、���。
[0040] 在本發(fā)明的第二方面的第一種可能的實(shí)現(xiàn)方式中�����,所述等級(jí)確定模塊�����,具體用 于:
[0041] 根據(jù)所述安全等級(jí)�,確定對(duì)應(yīng)的路徑查找規(guī)則�����;
[0042] 根據(jù)所述路徑查找規(guī)則,確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑���。
[0043] 結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式��,在第二方面的第二種可能的實(shí)現(xiàn)方式 中�,所述路徑查找規(guī)則為最短路徑查找規(guī)則�;
[0044] 所述路徑確定模塊,具體用于:
[0045] 根據(jù)所述最短路徑查找規(guī)則����,確定源節(jié)點(diǎn)到目的節(jié)點(diǎn)的最短路徑為所述轉(zhuǎn)發(fā)路 徑,所述最短路徑不經(jīng)過安全設(shè)備����。
[0046] 結(jié)合第二方面的第一種或第二種可能的實(shí)現(xiàn)方式,在第二方面的第H種可能的實(shí) 現(xiàn)方式中��,所述路徑查找規(guī)則為最短安全路徑查找規(guī)則�����;
[0047] 所述路徑確定模塊���,具體用于:
[0048] 將安全設(shè)備對(duì)應(yīng)的安全節(jié)點(diǎn)按本節(jié)點(diǎn)的度拆分為與所述度的數(shù)量相同的拆分節(jié) 占. ;�、�、、?
[0049] 獲取源節(jié)點(diǎn)到所述拆分節(jié)點(diǎn)的路徑���;
[0050] 獲取目的節(jié)點(diǎn)到所述拆分節(jié)點(diǎn)的路徑�;
[0051] 確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑為所述源節(jié)點(diǎn)到所述拆分節(jié)點(diǎn)的路徑與所 述目的節(jié)點(diǎn)到所述拆分節(jié)點(diǎn)的路徑中��,經(jīng)過相同安全節(jié)點(diǎn)但經(jīng)過不同的拆分節(jié)點(diǎn)的路徑中 最短的路徑�。
[0052] 結(jié)合第二方面的第一種或第二種可能的實(shí)現(xiàn)方式,在第二方面的第四種可能的實(shí) 現(xiàn)方式中�����,所述路徑查找規(guī)則為最快檢測(cè)路徑查找規(guī)則�����;
[0053] 所述路徑確定模塊��,具體用于:
[0054] 將安全設(shè)備對(duì)應(yīng)的安全節(jié)點(diǎn)按本節(jié)點(diǎn)的度拆分為與所述度的數(shù)量相同的拆分節(jié) 占. ;�����、、�����、?
[0055] 獲取源節(jié)點(diǎn)到當(dāng)前的所述拆分節(jié)點(diǎn)的最短路徑���;
[0056] 獲取目的節(jié)點(diǎn)到所述安全節(jié)點(diǎn)的另一拆分節(jié)點(diǎn)的路徑,所述另一拆分節(jié)點(diǎn)為所述 最短路徑經(jīng)過的所述當(dāng)前的拆分節(jié)點(diǎn)W外的拆分節(jié)點(diǎn)����;
[0057] 確定用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑�,所述用于傳輸所述數(shù)據(jù)流的轉(zhuǎn)發(fā)路徑為所 述轉(zhuǎn)發(fā)路徑先經(jīng)過所述源節(jié)點(diǎn)到所述拆分節(jié)點(diǎn)的最短路徑�����,然后經(jīng)過所述安全設(shè)備����,最后 經(jīng)過所述目的節(jié)點(diǎn)到所述安全節(jié)點(diǎn)的另一拆分節(jié)點(diǎn)的路徑。
[0058] 結(jié)合第二方面��,在第二方面的第五種可能的實(shí)現(xiàn)方式中�����,還包括:
[0059] 拓?fù)浍@取模塊�,用于獲取網(wǎng)絡(luò)拓?fù)湫畔?�,所述網(wǎng)絡(luò)拓?fù)湫畔榘ㄞD(zhuǎn)發(fā)設(shè)備和安 全設(shè)備所在網(wǎng)絡(luò)的拓?fù)湫畔ⅲ鐾負(fù)湫畔ㄋ霭踩O(shè)備的安全能力信息����;
[0060] 所述路徑確定模塊,具體用于:
[0061] 根據(jù)所述安全等級(jí)和所述安全設(shè)備的安全能力信息�����,確定用于傳輸所述數(shù)據(jù)流的 轉(zhuǎn)發(fā)路徑��。
[0062] 結(jié)合第二方面的第五種可能的實(shí)現(xiàn)方式��,在第二方面的第六種可能的實(shí)現(xiàn)方式 中�,所述安全能力信息,包括下述信息中的至少一種信息:
[0063] 2~3層的安全能力信息���、2~7層的安全能力信息�����。
[0064] 本發(fā)明提供一種數(shù)據(jù)流安全處