本發(fā)明涉及無線Mesh網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域：
，更具體的說是涉及一種基于SDN的無線mesh安全分級(jí)傳輸方法。
背景技術(shù)：
：隨著國家“雙網(wǎng)”融合的大背景下，互聯(lián)網(wǎng)與工業(yè)控制網(wǎng)的結(jié)合已不可避免，針對工業(yè)控制系統(tǒng)在“最后一公里”問題上，工業(yè)無線Mesh是應(yīng)用非常廣泛的組織形式，目前國內(nèi)外都已形成相關(guān)的技術(shù)標(biāo)準(zhǔn)進(jìn)行推廣與實(shí)施，并取得了很好的效果。傳統(tǒng)網(wǎng)絡(luò)的層次結(jié)構(gòu)是互聯(lián)網(wǎng)取得巨大成功的關(guān)鍵。但是隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，封閉的網(wǎng)絡(luò)設(shè)備內(nèi)置了過多的復(fù)雜協(xié)議，增加了運(yùn)營商定制優(yōu)化網(wǎng)絡(luò)的難度，科研人員無法在真實(shí)環(huán)境中規(guī)模部署新協(xié)議。由于工業(yè)現(xiàn)場設(shè)備的海量、異構(gòu)、多樣等特點(diǎn)，利用分層思想的軟件定義網(wǎng)絡(luò)(SDN，SoftwareDefinedNetwork)，目前由于很好的滿足了開發(fā)體系架構(gòu)及動(dòng)態(tài)部署的需求，受到了來著工業(yè)界、產(chǎn)業(yè)界和學(xué)術(shù)界的重點(diǎn)關(guān)注，被網(wǎng)絡(luò)領(lǐng)域認(rèn)為是一場革命性的技術(shù)方法。SDN分層的思想是將數(shù)據(jù)與控制相分離，在控制層，包括具有邏輯中心化和可編程的控制器，可掌握全局網(wǎng)絡(luò)信息，負(fù)責(zé)交換機(jī)流表的生成、部署、配置和維護(hù)，方便運(yùn)營商和科研人員管理配置網(wǎng)絡(luò)和部署新協(xié)議等。在數(shù)據(jù)層交換機(jī)(與傳統(tǒng)的二層交換機(jī)不同，指用于轉(zhuǎn)發(fā)數(shù)據(jù)的設(shè)備)。交換機(jī)提供簡單的數(shù)據(jù)轉(zhuǎn)發(fā)功能，可以快速處理匹配的數(shù)據(jù)包，適應(yīng)流量日益增長的需求。兩層之間采用開放的統(tǒng)一接口(如OpenFlow等)進(jìn)行交互，控制器通過標(biāo)準(zhǔn)接口向交換機(jī)下發(fā)統(tǒng)一標(biāo)準(zhǔn)規(guī)則，交換機(jī)僅需按照這些規(guī)則執(zhí)行相應(yīng)的動(dòng)作即可。目前軟件定義網(wǎng)絡(luò)(SDN，SoftwareDefinedNetwork)已成為國內(nèi)外研究的熱點(diǎn)，在工業(yè)網(wǎng)絡(luò)安全領(lǐng)域也正開展相關(guān)的研究工作，在2013年10月由美國能源部(DOE)計(jì)劃執(zhí)行了基于SDN的控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)項(xiàng)目，它將基于SDN的流控制器應(yīng)用于自己系統(tǒng)中，用于能源管理，滿足自身動(dòng)態(tài)、安全的信 息交換目標(biāo)，實(shí)現(xiàn)一種能有效抵御網(wǎng)絡(luò)威脅、保持基礎(chǔ)設(shè)施持續(xù)生產(chǎn)、具有一個(gè)能夠維持關(guān)鍵功能、抵御攻擊事件、具有彈性的能源輸送系統(tǒng)，并且工業(yè)4.0也將SDN網(wǎng)絡(luò)作為用于工業(yè)通信的重要研究內(nèi)容。工業(yè)無線mesh網(wǎng)絡(luò)為了適應(yīng)未來智能制造工廠，需滿足靈活變遷、動(dòng)態(tài)配置、互聯(lián)互通等特點(diǎn)，目前AP節(jié)點(diǎn)的實(shí)現(xiàn)方式不適合未來多樣化技術(shù)發(fā)展的需要，同樣安全作為智能制造工廠最重要的屬性之一，需要研究全新網(wǎng)絡(luò)架構(gòu)下的安全傳輸機(jī)制。技術(shù)實(shí)現(xiàn)要素：有鑒于此，本發(fā)明的目的是提供一種基于SDN的無線mesh安全分級(jí)傳輸方法，基于SDN架構(gòu)，能靈活的滿足不同安全需求數(shù)據(jù)流的傳遞要求，解決網(wǎng)絡(luò)功能靈活性差、更新成本高等未來發(fā)展的需要，保障工業(yè)無線系統(tǒng)的安全穩(wěn)定運(yùn)行。本發(fā)明的進(jìn)一步目的是提供一種基于SDN架構(gòu)的無線mesh安全分級(jí)傳輸方法，實(shí)現(xiàn)工業(yè)無線動(dòng)態(tài)配置、互聯(lián)互通特點(diǎn)的全新架構(gòu)方案，解決智能制造工廠中無線節(jié)點(diǎn)安全分等級(jí)的傳輸需求。本發(fā)明實(shí)現(xiàn)以上目標(biāo)的發(fā)明技術(shù)方案是：一種基于SDN架構(gòu)的無線mesh安全分級(jí)傳輸方法，包括以下步驟：步驟一：請求階段，終端層設(shè)備向數(shù)據(jù)層中的SDN交換設(shè)備發(fā)送無線通信數(shù)據(jù)請求，SDN交換設(shè)備識(shí)別請求報(bào)文，通過自身的本地子策略庫轉(zhuǎn)發(fā)請求報(bào)文到控制層中的控制管理器；步驟二：策略生成階段，控制管理器基于整體網(wǎng)絡(luò)系統(tǒng)的配置信息初始化狀態(tài)，通過解析請求報(bào)文中地址信息、配置屬性，規(guī)劃請求報(bào)文的傳遞路徑，并生成策略分配策略；步驟三：策略分配/維護(hù)階段，如果策略生成成功，則控制管理器根據(jù)生成策略中的分配屬性，將響應(yīng)信息按照安全通信方式傳遞到請求報(bào)文起始的SDN交換設(shè)備，并將其他策略按照安全通信方式傳遞到相關(guān)SDN數(shù)據(jù)層交換設(shè)備； 如果策略生成錯(cuò)誤，則控制管理器將響應(yīng)信息傳遞到請求報(bào)文起始的SDN交換設(shè)備，不進(jìn)行策略的分配下發(fā)；步驟四：策略更新/加載階段，各SDN交換設(shè)備收到分配下發(fā)策略，自身的更新/加載模塊根據(jù)策略屬性規(guī)定和功能模塊進(jìn)行檢查，如果子策略庫中存在則進(jìn)行更新操作，如果子策略庫中不存在但有功能模塊則進(jìn)行加載操作，如果子策略庫中不存在且設(shè)備沒有相關(guān)功能模塊，則從控制管理器進(jìn)行下載及加載；步驟五：策略執(zhí)行階段，SDN交換設(shè)備基于子策略庫和功能模塊通過策略執(zhí)行引擎進(jìn)行安全分級(jí)數(shù)據(jù)流傳輸。所述請求報(bào)文具有SDN交換設(shè)備可識(shí)別的表項(xiàng)結(jié)構(gòu)，包括源身份域、目的身份域、簽名域、時(shí)間戳、動(dòng)作優(yōu)先級(jí)、報(bào)文標(biāo)識(shí)碼。所述動(dòng)作優(yōu)先級(jí)劃分為5級(jí)：1級(jí)為絕密級(jí)；2級(jí)為秘密級(jí)；3級(jí)為驗(yàn)證級(jí)；4級(jí)為用戶級(jí)；5級(jí)為臨時(shí)級(jí)。所述控制管理器中整體網(wǎng)絡(luò)系統(tǒng)的配置信息初始化的方法，由三部分融合組成：第一部分在系統(tǒng)運(yùn)行初期由SDN數(shù)據(jù)層交換設(shè)備進(jìn)行發(fā)現(xiàn)與上報(bào)，控制管理器配置統(tǒng)計(jì)模塊此時(shí)處于自學(xué)習(xí)模式，自動(dòng)化更新管理器資產(chǎn)管理庫；第二部分是系統(tǒng)正常運(yùn)行階段，對新發(fā)現(xiàn)的設(shè)備控制管理器進(jìn)行提示與更新；第三部是通過系統(tǒng)管理員人工配置。所述的自學(xué)習(xí)模式方法，在初始化狀態(tài)下，SDN數(shù)據(jù)交換設(shè)備請求身份驗(yàn)證進(jìn)行控制管理器的自動(dòng)識(shí)別，并存儲(chǔ)到本地子策略庫中；SDN數(shù)據(jù)交換設(shè)備開啟自學(xué)習(xí)模塊，并進(jìn)行定時(shí)上報(bào)處理，控制管理器更新資產(chǎn)管理庫。所述策略分配包括：以SDN交換設(shè)備為節(jié)點(diǎn)單位，生成各自子策略，并進(jìn)行編碼，進(jìn)行算術(shù)表達(dá)式轉(zhuǎn)換，存儲(chǔ)分配策略到總策略庫中。所述算術(shù)表達(dá)式轉(zhuǎn)換表達(dá)式由報(bào)文識(shí)別碼、執(zhí)行表達(dá)式、決策表達(dá)式兩部分組成，總體結(jié)構(gòu)如下：[報(bào)文標(biāo)識(shí)碼][執(zhí)行表達(dá)式]*/+[策略表達(dá)式]所述策略更新包括以下步驟：更新模塊根據(jù)策略算術(shù)表達(dá)式檢查本地子策 略庫中是否已存在，首先基于編號(hào)進(jìn)行檢測下發(fā)分配的子策略是否存在，如果編號(hào)匹配，則檢查下發(fā)分配的子策略是否與本地子策略內(nèi)容的一致性，如果完全匹配，則更新計(jì)數(shù)、時(shí)間屬性，如果沒完全匹配，則更新子策略的內(nèi)容。所述策略加載包括以下步驟：如果SDN交換設(shè)備沒有匹配的功能模塊，則SDN數(shù)據(jù)層交換設(shè)備向控制管理器的發(fā)送模塊請求，控制管理器收到更新信息，進(jìn)行驗(yàn)證及響應(yīng)。SDN數(shù)據(jù)層交換設(shè)備獲得更新報(bào)文后，存儲(chǔ)加載報(bào)文內(nèi)容到子加載模塊庫，并進(jìn)行加載功能模塊。所述策略執(zhí)行階段包括以下步驟：SDN交換設(shè)備解析數(shù)據(jù)包內(nèi)容中的報(bào)文識(shí)別碼ID，之后基于報(bào)文識(shí)別碼ID查找子策略庫中的算術(shù)表達(dá)，將數(shù)據(jù)報(bào)文按子策略庫中報(bào)文識(shí)別碼ID的策略進(jìn)行轉(zhuǎn)發(fā)執(zhí)行。本發(fā)明具有以下優(yōu)點(diǎn)及有益效果：1.本發(fā)明公開提供了基于SDN的無線mesh安全分級(jí)傳輸方法，符合現(xiàn)有網(wǎng)絡(luò)協(xié)議的安全分級(jí)傳輸，保證了無線數(shù)據(jù)報(bào)文的安全分級(jí)傳輸，使高安全級(jí)的數(shù)據(jù)報(bào)文得到了更好的保護(hù)。2.本發(fā)明方法具備SDN架構(gòu)方案的特點(diǎn)，通過控制管理器能動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)架構(gòu)、靈活配置安全分級(jí)的傳輸通道，同時(shí)SDN數(shù)據(jù)層交換設(shè)備能實(shí)時(shí)、動(dòng)態(tài)的下載、更新功能模塊，為今后其他功能模塊的擴(kuò)展提供了開放式的二次開發(fā)接口。3.本發(fā)明方法在控制管理器上設(shè)計(jì)了流控制、自學(xué)習(xí)、規(guī)劃等功能模塊，更加高效、智能的對SDN數(shù)據(jù)層交換設(shè)備進(jìn)行管控。附圖說明圖1為本發(fā)明SDN的典型架構(gòu)方案；圖2為本發(fā)明一個(gè)實(shí)施例的示意圖；圖3為本發(fā)明中策略執(zhí)行階段的一個(gè)實(shí)施例示意圖；圖4為本發(fā)明中控制管理器總策略庫中算術(shù)表達(dá)式的一個(gè)實(shí)施例示意圖；圖5為本發(fā)明的更新/加載策略的實(shí)施例流程圖。具體實(shí)施方式本發(fā)明結(jié)合具體實(shí)施圖例進(jìn)行說明，對本發(fā)明方法進(jìn)行完整、清晰地描述，所描述的實(shí)例僅僅是本發(fā)明的一部分實(shí)例情況，而不是全部方法的具體實(shí)施實(shí)例。基于本發(fā)明的實(shí)施例，本領(lǐng)域的人員可能在沒有做出創(chuàng)造性勞動(dòng)成果的前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。本發(fā)明的方法屬于軟件定義網(wǎng)絡(luò)(SDN)的范疇，SDN是目前創(chuàng)新型的架構(gòu)網(wǎng)絡(luò)方案，以O(shè)penFlow技術(shù)為核心技術(shù)，通過控制器集中策略制定與交換機(jī)策略執(zhí)行，實(shí)現(xiàn)控制層面與轉(zhuǎn)發(fā)層面的分離，從而建立全網(wǎng)絡(luò)的動(dòng)態(tài)策略執(zhí)行的機(jī)制，較傳統(tǒng)靜態(tài)路由配置變換成動(dòng)態(tài)變換的軟件自定義策略形式，將控制權(quán)分離，進(jìn)行集中管理，對控制層進(jìn)行了清晰、正確的抽象，同時(shí)控制權(quán)的開放性，為用戶提供了最大化的自定義路由或和傳輸路徑的規(guī)劃方案，使網(wǎng)絡(luò)傳輸變得更加智能，圖1為SND的典型架構(gòu)方案。本發(fā)明提出了的一種基于SDN的無線mesh安全分級(jí)傳輸方法，是為了保障無線通信傳輸?shù)姆旨?jí)安全策略實(shí)現(xiàn)，參見圖2所示，本方法將網(wǎng)絡(luò)系統(tǒng)分為數(shù)據(jù)層、管理層、底層設(shè)備三個(gè)層面。管理層一般是指控制管理服務(wù)器組成的控制架構(gòu)網(wǎng)絡(luò)，負(fù)責(zé)數(shù)據(jù)層設(shè)備的策略分發(fā)、策略制定、設(shè)備管理、最新版本功能模塊傳遞、總策略庫更新、安全模塊庫更新、Qos保障庫更新、學(xué)習(xí)統(tǒng)計(jì)庫更新等等總體策略相關(guān)的任務(wù)。一般控制管理器由多個(gè)或一個(gè)服務(wù)設(shè)備組成，多個(gè)服務(wù)設(shè)備需要進(jìn)行并行、同步等處理，保存總體庫的一致性，控制管理器應(yīng)由一個(gè)統(tǒng)一的監(jiān)管界面進(jìn)行集中管理，提供如配置管理、拓?fù)淇梢暬⒂?jì)算參數(shù)調(diào)整、優(yōu)化保障參數(shù)調(diào)整等等總體配置文件的維護(hù)，為每個(gè)SDN數(shù)據(jù)層交換設(shè)備的正常工作提供實(shí)施正確的安全策略。數(shù)據(jù)層一般是指被負(fù)責(zé)數(shù)據(jù)層設(shè)備具體Mesh報(bào)文轉(zhuǎn)發(fā)的執(zhí)行器，負(fù)責(zé)策略執(zhí)行、安全分級(jí)傳輸、安全算法選擇、優(yōu)先權(quán)排序等等具體與報(bào)文轉(zhuǎn)發(fā)相關(guān)的任務(wù)。多個(gè)SDN數(shù)據(jù)層交換設(shè)備通過Mesh組網(wǎng)機(jī)制共同組成可到達(dá)的網(wǎng)絡(luò)拓 撲結(jié)構(gòu)，SDN安全分級(jí)傳輸通過算術(shù)表達(dá)式的流表進(jìn)行轉(zhuǎn)發(fā)控制，包括報(bào)文標(biāo)識(shí)碼、源節(jié)點(diǎn)、節(jié)點(diǎn)個(gè)數(shù)、版本號(hào)、下一跳節(jié)點(diǎn)組成、關(guān)系(*/+)、轉(zhuǎn)發(fā)優(yōu)先級(jí)、安全優(yōu)先級(jí)等幾個(gè)部分組成。策略執(zhí)行引擎通過子策略庫中的算術(shù)表達(dá)式進(jìn)行安全、正確的數(shù)據(jù)報(bào)文傳輸。底層傳感器設(shè)備是最終的用戶設(shè)備，一般是負(fù)責(zé)請求報(bào)文、響應(yīng)報(bào)文處理、應(yīng)用數(shù)據(jù)收發(fā)的任務(wù)。底層傳感器設(shè)備包括典型工業(yè)終端，如RTU、DCS控制器、工程師站、可編程邏輯控制器PLC、OPC客戶端與服務(wù)端、HMI等支持無線的智能設(shè)備。本發(fā)明方法構(gòu)建的Mesh架構(gòu)不影響典型工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)架構(gòu)，具有向下兼容能力，同時(shí)支持更加動(dòng)態(tài)、互聯(lián)互通的數(shù)字化智能制造工廠的具體實(shí)施。為了更清晰說明本發(fā)明方法對無線Mesh的安全分級(jí)傳輸方法的實(shí)施和處理過程，以具體實(shí)例進(jìn)行介紹，參見圖3所示。發(fā)明一種基于SDN的無線Mesh安全分級(jí)傳輸方法的執(zhí)行過程實(shí)施例示意圖；(1)首先，在系統(tǒng)初始化階段，控制管理器通過Mesh網(wǎng)下發(fā)身份驗(yàn)證信息；同時(shí)在初始化狀態(tài)下，SDN數(shù)據(jù)交換設(shè)備請求身份驗(yàn)證模塊下載與加載，進(jìn)行控制管理器的自動(dòng)識(shí)別。之后控制管理器向下分配設(shè)備發(fā)現(xiàn)命令，SDN數(shù)據(jù)層交換設(shè)備ss1、ss2、ss3、ss4、ss5接收到設(shè)備發(fā)現(xiàn)命令后，啟動(dòng)自學(xué)習(xí)統(tǒng)計(jì)模塊，統(tǒng)計(jì)模塊通過廣播報(bào)文進(jìn)行發(fā)現(xiàn)，發(fā)現(xiàn)列表列表如下：SDN交換層數(shù)據(jù)設(shè)備統(tǒng)計(jì)設(shè)備ss1ss2、ss3ss2ss1、ss3、ss4、ss5ss3sensor1、ss1、ss2、ss4ss4ss3、ss2、ss5ss5sensor2、sensor3、ss2、ss4各SDN數(shù)據(jù)層交換設(shè)備上報(bào)統(tǒng)計(jì)自學(xué)習(xí)信息，控制管理器將學(xué)習(xí)信息自動(dòng)地添加到其資產(chǎn)管理庫中，其中包括資產(chǎn)屬性信息、資產(chǎn)網(wǎng)絡(luò)功能模塊、資產(chǎn) 負(fù)載能力、資產(chǎn)負(fù)載狀態(tài)、資產(chǎn)安全功能模塊、資產(chǎn)網(wǎng)絡(luò)連接映射。資產(chǎn)管理庫根據(jù)上報(bào)信息，進(jìn)行融合。其中資產(chǎn)安全功能模塊主要包括如下功能：RSA公鑰身份認(rèn)證、ECC橢圓曲線身份認(rèn)證、國密SM1、國密SM4、CRC校驗(yàn)、Hash校驗(yàn)、Hash密鑰校驗(yàn)、AES加密、DES加密。其中負(fù)載Qos功能模塊主要包括如下功能：FIFO(先入先出)隊(duì)列模塊、CQ(用戶定制)隊(duì)列模塊、WFQ(加權(quán))隊(duì)列模塊、LLQ(低延遲)隊(duì)列模塊、流量限制隊(duì)列模塊。(2)初始化結(jié)束之后，系統(tǒng)正常運(yùn)行，沒有新設(shè)備的加入及管理員確認(rèn)設(shè)備信息的完全，本方法安全分級(jí)傳輸支持1對多的分等級(jí)安全傳輸，sensor1發(fā)送向sensor2和sensor3不同安全等級(jí)但是相同內(nèi)容的傳輸請求，通過ss3的SDN數(shù)據(jù)層交換設(shè)備將請求發(fā)送到控制管理器，控制管理器基于總資產(chǎn)管理庫中的位置、跳數(shù)、可信度、安全功能模塊、負(fù)載狀態(tài)等屬性進(jìn)行自動(dòng)化地規(guī)劃請求報(bào)文的傳遞路徑，避免了靜態(tài)規(guī)劃中路徑冗余的現(xiàn)象，節(jié)省節(jié)點(diǎn)傳遞數(shù)據(jù)的能量。規(guī)劃請求報(bào)文的傳遞路徑([1]秦瑩瑩.基于動(dòng)態(tài)規(guī)劃的無線Mesh網(wǎng)絡(luò)路由協(xié)議研究[D].中南民族大學(xué),2012.[2]宋文,方旭明.基于動(dòng)態(tài)規(guī)劃法的無線Mesh網(wǎng)絡(luò)QoS路由算法和性能評(píng)價(jià)[J].電子與信息學(xué)報(bào),2007,12:3001-3005.)，基于資產(chǎn)管理庫中位置、跳數(shù)、可信度等實(shí)現(xiàn)動(dòng)態(tài)路徑規(guī)劃。如圖4所示的算術(shù)表達(dá)式的格式：報(bào)文編碼：Sid:34vk0168算術(shù)表達(dá)式：[1-002v1.0(ss3,ss2,ss5)]*[4-002v1.0(1,5:4:3:2:1)+4-002v1.0(2,5:4:3:2:1)]，其中1-002v1.0表示一個(gè)發(fā)送端和2個(gè)接收端，且兩個(gè)接收端的算術(shù)表達(dá)式可以合并，版本號(hào)為v1.0，(ss3,ss2,ss5)表示為考慮到傳輸節(jié)點(diǎn)各個(gè)屬性之后的最優(yōu)化的自動(dòng)規(guī)劃路徑，*表示順序命令關(guān)系，可以共享一個(gè)執(zhí)行表達(dá)式，4-002v1.0表示Qos權(quán)重等級(jí)為4級(jí)及選擇隊(duì)列的功能模塊為002的方法，版本號(hào)為v1.0，(3,5:4:3:2:1)表示在5-1的安全級(jí)別分級(jí)傳輸中最終 由自動(dòng)化規(guī)劃方法分配的安全級(jí)別為3，+表示并行執(zhí)行關(guān)系，每條路徑有自己規(guī)劃的策略表達(dá)式。(3)在初始化策略算術(shù)表達(dá)式生成成功之后，存儲(chǔ)到控制管理器的總策略庫中，之后分配模塊基于(ss3,ss2,ss5)SDN數(shù)據(jù)交換設(shè)備節(jié)點(diǎn)進(jìn)行子策略的分配，子策略包含報(bào)文編碼、SDN數(shù)據(jù)交換設(shè)備的執(zhí)行策略、功能模塊、權(quán)重優(yōu)先級(jí)、安全優(yōu)先級(jí)等信息，SDN數(shù)據(jù)層交換設(shè)備分別接收自身的子策略。如實(shí)施例分配的給ss3的子策略庫為：報(bào)文編碼：sid34vk0168安全模塊需求：securityM為根據(jù)安全級(jí)別進(jìn)行選取，安全級(jí)別分別1級(jí)和2級(jí)，需要的安全模塊為：1級(jí)對應(yīng)AES加密方法模塊的實(shí)現(xiàn)，2級(jí)對應(yīng)DES加密方法模塊的實(shí)現(xiàn)。執(zhí)行策略控制：F-control為ss3-ss2，由于此處有兩個(gè)報(bào)文映射關(guān)系，但總策略規(guī)劃為一條融合策略。Qos保障：根據(jù)總策略庫分配的是一條融合的策略，為4-002v1.0。Map映射關(guān)系：分別為sensor1→sensor2和sensor1→sensor3，表示為兩條獨(dú)立的鏈路映射，以上的安全模塊、執(zhí)行策略控制、Qos保障等都是基于此映射關(guān)系一一對應(yīng)的。(4)在分配/維護(hù)階段介紹之后，SDN數(shù)據(jù)層交換設(shè)備進(jìn)行更新/加載階段的操作，如圖5所示。更新模塊根據(jù)策略算術(shù)表達(dá)式檢查本地子策略庫中是否已存在。更新模塊首先基于報(bào)文編號(hào)進(jìn)行檢查已分配子策略是否存在，如果編號(hào)匹配，則檢查已分配子策略是否與本地子策略中屬性是否一致性，如果完全匹配，則更新計(jì)數(shù)、時(shí)間等屬性，如果沒完全匹配，則更新子策略可內(nèi)容。加載模塊根據(jù)SDN數(shù)據(jù)層交換設(shè)備在加載功能時(shí)沒有功能模塊的情況，則SDN數(shù)據(jù)層交換設(shè)備向控制管理器的發(fā)送加載模塊請求，包括：SDN數(shù)據(jù)層交換設(shè)備身份ID、版本號(hào)、功能模塊身份ID?？刂乒芾砥魇盏郊虞d請求后，進(jìn)行 身份驗(yàn)證及響應(yīng)處理。SDN數(shù)據(jù)層交換設(shè)備獲得更新功能模塊信息后，存儲(chǔ)加載功能模塊內(nèi)容到子加載模塊庫，并進(jìn)行加載相關(guān)的功能模塊。(5)在SDN數(shù)據(jù)層交換設(shè)備ss3、ss2、ss5執(zhí)行階段，每個(gè)設(shè)備按照子策略庫進(jìn)行安全分級(jí)轉(zhuǎn)發(fā)，如ss3收到報(bào)文識(shí)別碼ID為：sid34vk0168的報(bào)文時(shí)，查找對應(yīng)的子策略庫的表達(dá)式，將報(bào)文按照此策略進(jìn)行轉(zhuǎn)發(fā)執(zhí)行。本說明書中各個(gè)實(shí)施例采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同相似部分互相參見即可。對所公開的實(shí)施例的上述說明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實(shí)施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實(shí)施例中實(shí)現(xiàn)。因此，本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例，而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。當(dāng)前第1頁1 2 3