本发明涉及计算机及通信技术领域， 尤其涉及一种访问控制方法及设备、 系统。

背景技术 安全设备的 "多实例"， 是指在云计算等安全应用场景中， 多个租户共用 一个安全设备， 每个租户都可以按照自己的需要设置自己所需 的安全策略而 不用担心与其它租户的安全策略相冲突的技术 。

通常为了实现安全设备的 "多实例"， 需要将一个物理安全设备划分为多 个逻辑安全设备来使用。 多个逻辑安全设备可以分别配置单独不同的安 全策 略， 同时默认情况下， 不同的逻辑安全设备的网络流量之间是默认隔 离的。 比如： 对于防火墙系统接收到的数据流， 系统会根据数据的虚拟局域网标识 (Virtual Local Area Network IDentity , Vlan ID)/ 多协议标签交换和虚拟专用 网络标签 (； Multi-Protocol Label Switching Virtual Private Network , MPLS VPN ), 虚拟入接口来确定数据流所属的虚拟防火墙（ 即： 此流量属于哪一个 租户）。 在各个虚拟防火墙系统中， 数据流将根据各自系统的安全和转发策略 完成处理。

目前的安全设备都 于安全设备本身对网络隔离技术 (比如虚拟局域网 /虚拟专用网， VLAN/VPN)的支持来实现以上功能。 比如防火墙设备大多基于 VLAN或者 VPN来实现 "多实例"，即：在防火墙设备上需要针对不同� �� VLAN 或者 VPN设置虚拟端口，再针对每个虚拟端口设置对 应的安全策略 (其中，安 全策略包括数据流属性)， 即将安全策略与虚拟端口进行绑定， 因此， 当防火 墙接收到网络数据流后， 根据数据流属性找到对应的安全策略， 通过绑定的 虚拟端口对数据流进行处理。

但是这种方式， 受到安全设备中网络隔离技术的限制和设备虚 拟端口数 量的限制， 应用具有一定的局限性。 发明内容 本申请实施例提供一种访问控制方法及设备、 系统， 用以避免现有技术 实现多租户共用一个安全设备时， 高度依赖于安全设备本身所支持的网络隔 离技术的虚拟端口（如： VLAN虚拟端口）或者网络隔离技术 (如： VLAN/VPN 技术等)的问题。

有鉴于此， 本申请提供一种访问控制方法及设备、 系统， 可以根据常规 网络数据流属性来对应不同租户的安全策略， 目的在于实现不再依赖于 VLAN/VPN等特定技术而解决多个租户共用一个安� ��设备而互不影响。

第一方面， 提供一种访问控制方法， 包括： 网络流量处理设备接收到网 络数据流后， 向策略管理设备请求所述网络数据流对应的控 制行为， 所述控 制行为包括允许网络数据流通过或阻断网络数 据流； 所述网络流量处理设备 根据所述控制行为对所述网络数据流进行处理 。

结合第一方面， 在第一方面的第一种可能的实现方式中： 所述向策略管 理设备请求所述网络数据流对应的控制行为， 具体包括： 所述网络流量处理 设备向所述策略管理设备发送所述数据流， 接收所述策略管理设备返回的控 制行为； 或所述网络流量处理设备从所述网络数据流中 提取所述网络数据流 的属性值， 向所述策略管理设备发送所述属性值， 接收所述策略管理设备返 回的控制行为， 所述属性值包括源物理端口、 虚拟局域网标识、 源网络硬件 地址、 目标网络硬件地址、 源 IP地址、 目标 IP地址、 源传输控制协议端口、 目标传输控制协议端口中的至少一种属性值。

第二方面， 提供一种访问控制方法， 包括： 策略管理设备接收来自网络 流量处理设备的网络数据流控制行为请求， 从所述请求中获取所述网络数据 流的属性值， 所述属性值包括源物理端口、 虚拟局域网标识、 源网络硬件地 址、 目标网络硬件地址、 源 IP地址、 目标 IP地址、 源传输控制协议端口、 目 标传输控制协议端口中的至少一种属性值； 根据所述网络数据流属性确定所 述网络数据流所属的安全域， 所述安全域是同一租户采用相同安全策略的网 络或系统的集合， 属于同一安全域的网络数据流共享一组相同的 控制策略； 根据所述安全域查找对应的基于网络数据流的 控制策略， 所述控制策略包括 对属于该安全域的符合预设条件的网络数据流 采用的控制行为， 所述预设条 件包括至少一种所述属性的属性值范围， 所述控制行为包括允许网络数据流 通过或阻断网络数据流； 根据查找到的控制策略和所述网络数据流的属 性值， 确定对所述网络数据流采用的控制行为； 将所述控制行为发送给所述网络流 量处理设备， 以使网络流量处理设备根据所述控制行为对所 述网络数据流进 行处理。

结合第二方面， 在第二方面的第一种可能的实现方式中： 所述策略管理 设备接收来自网络流量处理设备的网络数据流 控制行为请求， 从所述请求中 获取所述网络数据流的属性的步骤之前， 还包括： 策略管理设备根据各个租 户的安全策略信息， 生成每个安全域基于网络数据流属性的所述控 制策略。

结合第二方面的第一种可能的实现方式， 在第二方面的第二种可能的实 现方式中： 所述各个租户的安全策略信息至少包括安全域 标识、 安全域与网 络数据流属性的对应关系以及安全域内的安全 策略； 所述根据所述网络数据 流的属性值确定所述网络数据流所属的安全域 ， 具体包括： 根据所述安全域 与网络数据流属性的对应关系， 从所述网络数据流的属性值中提取安全域对 应的属性值； 将提取的属性值与各安全域对应的属性值进行 匹配， 确定所述 网络数据流所属的安全域。

结合第二方面的第二种可能的实现方式， 在第二方面的第三种可能的实 现方式中： 所述安全域与网络数据流属性的对应关系包括 安全域与虚拟局域 网标识、 网络硬件地址集合、 虚拟专用网隧道集合、 源物理端口的集合中任 一种或两种以上网络数据流属性值组合的对应 关系。

结合第二方面或上述第四方面的任意一种可能 的实现方式， 在第二方面 的第四种可能的实现方式中： 所述网络流量处理设备为交换机， 所述策略管 理设备为控制器。

第三方面， 提供一种网络流量处理设备， 包括请求模块和处理模块， 其 中： 所述请求模块用于接收到网络数据流后， 向策略管理设备请求所述网络 数据流对应的控制行为， 所述控制行为包括允许网络数据流通过或阻断 网络 数据流； 所述处理模块用于根据策略管理设备返回的所 述控制行为对所述网 络数据流进行处理。

结合第三方面， 在第三方面的第一种可能的实现方式中： 所述请求模块 用于向所述策略管理设备发送所述网络数据流 或从所述网络数据流中提取的 网络数据流属性值， 以向策略管理设备请求所述网络数据流对应的 控制行为， 所述属性值包括源物理端口、 虚拟局域网标识、 源网络硬件地址、 目标网络 硬件地址、 源 IP地址、 目标 IP地址、 源传输控制协议端口、 目标传输控制协 议端口中的至少一种属性值。

第四方面， 提供一种策略管理设备， 包括接收模块、 第一确定模块、 查 找模块、 第二确定模块以及发送模块， 其中： 所述接收模块用于接收来自网 络流量处理设备的网络数据流控制行为请求， 从所述请求中获取所述网络数 据流的属性值， 并将所述属性值发送给所述确定模块， 所述属性值包括源物 理端口、 虚拟局域网标识、 源网络硬件地址、 目标网络硬件地址、 源 IP地址、 目标 IP地址、 源传输控制协议端口、 目标传输控制协议端口中的至少一种属 性值； 所述第一确定模块用于根据所述网络数据流的 属性值确定所述网络数 据流所属的安全域， 所述安全域是同一租户采用相同安全策略的网 络或系统 的集合， 属于同一安全域的网络数据流共享一组相同的 控制策略； 所述查找 模块用于根据所述确定模块确定出的所述安全 域查找对应的基于网络数据流 属性的控制策略， 所述第二确定模块用于根据查找模块查找到的 控制策略和 所述网络数据流的属性值， 确定对所述网络数据流采用的控制行为， 将所述 控制行为输出给所述发送模块 , 所述控制策略包括对属于该安全域的符合预 设条件的网络数据流采用的控制行为， 所述预设条件包括至少一种所述属性 的属性值范围， 所述控制行为包括允许网络数据流通过或阻断 网络数据流； 所述发送模块用于将所述查找模块得到的对所 述网络数据流采用的控制行为 发送给所述网络流量处理设备， 以使所述网络流量处理设备根据所述控制行 为对所述网络数据流进行处理。

结合第四方面， 在第四方面的第一种可能的实现方式中： 所述设备还包 括策略生成模块， 用于根据各个租户的安全策略信息， 生成每个安全域基于 网络数据流属性的所述控制策略。

结合第四方面的第一种可能的实现方式， 在第四方面的第二种可能的实 现方式中： 所述各个租户的安全策略信息至少包括安全域 标识、 安全域与网 络数据流属性的对应关系以及安全域内的安全 策略。

结合第四方面的第二种可能的实现方式， 在第四方面的第三种可能的实 现方式中： 所述安全域与网络数据流属性的对应关系包括 安全域与虚拟局域 网标识、 网络硬件地址集合、 虚拟专用网隧道集合、 源物理端口的集合中任 一种或两种以上网络数据流属性组合的对应关 系。

第五方面， 提供一种网络系统， 包括上述第三方面或第三方面的任意一 种可能的实现方式所述的网络流量处理设备以 及上述第四方面或第四方面的 任意一种可能的实现方式所述的策略管理设备 。

本发明实施例的有益效果是： 区别于现有技术的情况， 本申请实施方式 策略管理设备根据流经网络流量处理设备的网 络数据流的属性， 确定所述网 络数据流所属的安全域， 然后根据策略管理设备中所述安全域的基于网 络数 据流属性的控制策略以及所述网络数据流的属 性值， 确定对所述网络数据流 采用的控制行为； 所述网络流量处理设备根据所述控制行为对所 述网络数据 流进行处理。 由于安全域是基于各个租户安全策略的作用范 围而划分的。 因 此， 通过这种方式， 安全设备虚拟化的数量， 可以不再受限于专业安全设备 本身所支持的 "虚拟端口" 等与协议相关的虚拟设备的数量， 而仅受安全设 备本身处理能力的限制； 安全设备虚拟化的技术也不再需要基于 VLAN/VPN 等特定技术实现； 在安全设备虚拟化之后， 多个租户可以共用一个安全设备 而互不影响。 附图说明 图 1是本申请访问控制方法应用的网络系统一个� �施方式的示意图； 图 2是本申请访问控制方法一个实施方式的流程� �；

图 3是本申请访问控制方法另一个实施方式的流� �图

图 4是本申请网络流量处理设备一个实施方式的� �构示意图；

图 5是本申请策略管理设备一个实施方式的结构� �意图；

图 6是本申请网络流量处理设备另一个实施方式� �结构示意图； 图 7是本申请策略管理设备另一个实施方式的结� �示意图。 具体实施方式

参阅图 1 ,图 1为本申请访问控制方法应用的网络系统一个� �施方式的示 意图， 网络系统包括网络流量处理设备 100、 策略管理设备 200以及若干台虚 拟机 300, 其中， 同一个租户可能有几台虚拟机 300, 比如租户 1包括 A、 B、 C三台虚拟机， 租户 2包括 1、 2、 3三台虚拟机。 虚拟机 A、 虚拟机 B和虚 拟机 1位于宿主机 1中， 虚拟机 2、 虚拟机 3和虚拟机 C位于宿主机 2中。 网络流量处理设备可以是虚拟交换机， 也可以是物理交换机或防火墙。 每个 租户的虚拟机属于同一安全域。

某一租户的虚拟机之间进行数据访问时， 会产生相应的网络数据流， 网 络流量处理设备 100接收网络数据流后， 向策略管理设备 200请求其所接收 的网络数据流的控制行为， 策略管理设备 200根据数据流属性值， 找到网络 数据流所属的安全域， 根据安全域查找到对应的基于网络数据流属性 的控制 策略， 根据查找到的控制策略和网络数据流的属性值 ， 确定网络数据流对应 的控制行为， 以使网络流量处理设备 100根据策略管理设备 200返回的控制 行为对接收的网络数据流进行处理。

根据具体应用场景的不同， 网络流量处理设备 100和策略管理设备 200 可以是单独设置于网络中的实体设备， 也可以作为一个功能模块集成于现有 网络设备中。 例如， 在局域网中， 网络流量处理设备 100可以是宿主机中的 虚拟交换机， 普通物理交换机， 也可以是防火墙设备， 策略管理设备 200可 以集成于局域网中的 DNS服务器或邮件服务器中； 如果是应用在软件定义网 络 (Software Defined Network, SDN)这一场景中， 网络流量处理设备 100是交 换机 (Switch, SW), 策略管理设备 200为控制器。

请参阅图 2, 图 2为本申请访问控制方法一个实施方式的流程� �， 本实施 方式的访问控制方法是以上述的网络流量处理 设备角度来描述， 本实施方式 的访问控制方法包括：

步骤 S101 : 网络流量处理设备接收到网络数据流后， 向策略管理设备请 求网络数据流对应的控制行为；

当虚拟机之间进行数据访问时， 产生相应的网络数据流。 网络流量处理 设备接收到网络数据流之后， 向策略管理设备发出请求， 以获取该网络数据 流对应的控制行为。 其中， 网络流量处理设备向策略管理设备发出请求， 可以直接将网络数 据流发送给策略管理设备， 策略管理设备从网络数据流中提取网络数据流 的 属性值，这些属性值包括源物理端口、 Vlan ID、源网络硬件地址 (Media Access Control, MAC), 目标 MAC地址、 源 IP地址、 目标 IP地址、 源传输控制协 议 (Transmission Control Protocol, TCP)端口、 目标 TCP端口中的至少一种属 性值。 当然， 还可以包括其他的数据流属性值。

比如对于数据流 Flowl , 租户 1的 IP地址为 10.0.0.1虚拟机 A需要访问 IP地址为 10.0.0.2虚拟机 B的 80端口时， 产生的相应的网络数据流的属性如 表 1所示： （XX表示某个特定的值）；

表 1 : Flowl的数据流属性

数据流属性

源端 VLAN ID 源 目标 源 IP 目标 IP 协议 源

a MAC MAC 类型 TCP 标

端口 TCP

端

他表其属性流

XX NULL MacA MacB 10.0.0.1 10.0.0.2 TCP XX 80

策略管理设备根据数据流的属性值， 确定该条数据流属于哪个安全域， 根据策略管理设备中每个安全域内基于网络数 据流属性的控制策略以及网络 数据流的属性值， 确定对网络数据流采用的控制行为。

基于网络数据流属性的控制策略包括对属于该 安全域的符合预设条件的 网络数据流采用的控制行为 , 预设条件包括至少一种所述属性的属性值范围 , 控制行为包括对数据流可采用的各种处理方式 ， 其中控制行为包括允许网络 数据流通过或阻断网络数据流。 控制行为还可以包括地址替换、 地址翻译等 各种处理方式， 在这里不进行——列举。 基于网络数据流属性的控制策略还 可以包括网络数据流的一个或多个属性值。 比如控制策略包括流表匹配域 (即 上述的预设条件)和流表控制行为。 流表匹配域是指网络数据流的属性值与控 制策略中数据流属性的匹配结果， 而流表控制行为是对一条网络数据流的具 体处理方式， 比如但不限于是允许网络数据流通过 ( "Accept" )或阻断网络数 据流（"Drop" )等。 策略管理设备将控制行为发送给网络流量处理 设备。 另外， 网络流量处理设备也可以从网络数据流中提取 出数据流的属性值， 将提取的数据流属性值发送给策略管理设备以 获取该数据流对应的控制行 为。 策略管理设备直接根据数据流属性值找到数据 流所属的安全域， 根据策 略管理设备中每个安全域内基于网络数据流属 性的控制策略以及网络数据流 的属性值， 确定对网络数据流采用的控制行为并发送给网 络流量处理设备。

步骤 S102: 网络流量处理设备根据控制行为对网络数据流 进行处理； 网络流量处理设备接收策略管理设备返回的控 制行为， 根据控制行为对 网络数据流进行处理。

请参阅图 3 , 图 3为本申请访问控制方法另一个实施方式的流� �图， 本实 施方式的访问控制方法是以上述的策略管理设 备角度来进行描述， 本实施方 法的访问控制方法包括：

步骤 S201： 策略管理设备接收来自网络流量处理设备的网 络数据流控制 行为请求， 从请求中获取网络数据流的属性值；

网络流量处理设备接收网络数据流后， 向策略管理设备请求网络数据流 的控制行为。 策略管理设备接收该请求， 请求中携带有网络数据流或网络数 据流的属性值， 策略管理设备从网络数据流中提取网络数据流 的属性值或者 是直接从请求中获取网络数据流的属性值。

网络数据流的属性值包括源物理端口、 Vlan ID、源 MAC地址、目标 MAC 地址、 源 IP地址、 目标 IP地址、 源 TCP端口、 目标 TCP端口中的一种或多 种属性值。 当然， 还可以包括除此之外其他的属性值。

步骤 S202: 根据网络数据流属性值确定网络数据流所属的 安全域； 策略管理设备根据网络数据流属性值， 确定该条网络数据流所属的安全 域。 安全域是同一租户采用相同安全策略的网络或 系统的集合， 相同安全域 的数据流共享相同的控制策略。比如"租户 1"租用了 A,B,C三台计算机， "租 户 2" 租用了 1、 2、 3三台计算机； 可定义 "租户 Γ 的计算机属于 "安全域 1" , "租户 2" 的计算机属于 "安全域 2"。 而区分不同租户， 可以通过每个租 户的 VLAN— ID、 MAC地址、 VPN隧道等等。 比如以 MAC地址描述， "安全 域 Γ 可以包括以下 MAC地址组合： MACA、 MACB、 MACC; "安全域 2" 可以包括以下 MAC地址组合： MAC1、 MAC2、 MAC3 , 依次类推。

本申请实施方式中， 策略管理设备预先根据各个租户的安全策略信 息， 生成每个安全域基于网络数据流属性的控制策 略。 各个租户的安全策略信息至少包括安全域标识 、 安全域与网络数据流属 性的对应关系以及安全域内的安全策略。 所述安全域与网络数据流属性的对 应关系用于描述通过网络数据流哪些属性来确 定数据流所属的安全域。

比如 "安全域 Γ 由分布在不同 HOST上的 A、 B、 C三台虚拟机组成， 各自的 MAC地址为 MacA, MacB, MacC, IP地址分别为 10.0.0.1 , 10.0.0.2, 10.0.0.3;

"安全域 2" 由分布在不同 HOST上的 1、 2、 3三台虚拟机组成， 各自 的 MAC地址为 Macl , Mac2, Mac3 , IP地址分别为 10.0.0.1 , 10.0.0.2, 10.0.0.3;

"安全域 Γ 对应 "租户 Γ , 设置如下安全策略： any to 10.0.0.2 -dport 80 -j Accept; (即该租户要求， 防火墙允许所有主机通过任意端口向 IP地址 为 10.0.0.2的 80端口发送^艮文。 )

"安全域 2" 对应 "租户 2" , 设置如下安全策略： any to 10.0.0.3 -dport 80 -j Drop; (即该租户要求， 防火墙禁止任何主机通过任意端口发向 IP地址 为 10.0.0.3主机的 80端口的报文通过。 )

关于租户的安全策略信息的部分举例可参见下 表 2-5, 比如：

表 2: "租户 1" 的安全策略信息

其中， "安全域与网络数据流属性的对应关系" 可以有 4艮多种， 可以是任 意单一或多个网络流量的网络属性的组合。 上述实施方式仅以一种对应关系 为例。类似的对应关系还包括并不限于， VLAN ID对应 "安全域"、 MPLS VPN 标签对应 "安全域"、 源物理端口的组合对应 "安全域" 等。

在实际应用过程中， 具体使用多少种网络属性与安全域对应， 可以根据 用户对安全域的划分需求决定。 比如对于比较简单的策略， 可能就需要使用 一个网络属性描述就能实现， 如： 假设用户要求所有使用 TCP协议通信的网 络节点属于 "安全域 TCP" , 使用 UDP通信的设备都属于 "安全域 UDP" , 那 么这种安全域划分方法的网络特征描述， 就只需要 "协议类型" 一个属性与 安全域对应即可。 也就是说， 网络属性描述的少， 可划分的安全域就比较粗 略， 网络属性描述的多， 可划分的安全域就能更加细化。

表 4: "租户 Γ 和租户 2" 的安全策略信息

"租户 Γ 和租户 2" 的安全策略信息

根据 "安全域与网络数据流属性的对应关系"， 可以确定安全域是通过哪 些网络数据流属性来描述的， 从所述网络数据流的属性值中提取安全域对应 的属性值（也就是用于描述安全域的属性的属 性值）； 将提取的属性值与各安 全域对应的属性值进行匹配， 进而确定网络数据流所属的安全域。

比如安全域是通过 MAC地址组合来描述，那么就从网络数据流中提 取数 据流的源 MAC、 目标 MAC地址， 通过数据流的 MAC地址组合的确定该数 据流是属于哪个安全域。如果安全域是通过 VLAN— ID来描述，那么就从网络 数据流中提取数据流的 VLAN— ID, 通过数据流的 VLAN— ID获知该数据流属 于哪个安全 i或。

步骤 S203: 根据安全域查找对应的基于网络数据流属性的 控制策略； 策略管理设备确定一条数据流属于哪个安全域 ， 查找该安全域内基于网 络数据流属性的控制策略。

控制策略包括对属于该安全域的符合预设条件 的网络数据流采用的控制 行为。 预设条件包括至少一种所述属性的属性值范围 。 比如控制策略包括流 表匹配域和流表控制行为， 流表匹配域是指网络数据流的属性与控制策略 中 数据流属性的匹配结果 (即上述的预设条件)， 而流表控制行为是对一条网络数 据流的具体处理方式， 比如是允许网络数据流通过 "Accept"或阻断网络数据 流 "Drop" 等。 除此之外， 控制行为还可以是其他任何对网络数据流的处 理 方式， 比如地址交换等等。

以下举例说明每个安全域内基于网络数据流属 性的控制策略：

比如 "安全域 Γ 对应的是 MAC Group 1 : MacA、 MacB、 MacC, 即由 三台 MAC地址分别为 MacA、 MacB、 MacC的网络设备所组成的系统称为 "安 全域 1" ;

"安全域 2" 对应的是 MAC Group2: Macl、 Mac2、 Mac3 , 即由三台 MAC地址分别为 Macl、 Mac2、 Mac3的网络设备所组成的系统称为 "安全域 2" ;

表 6: 安全域 1内基于网络数据流属性的控制策略

表 7: 安全域 2内基于网络数据流属性的控帝 行为 源端 VLAN ID 源 目标 源 IP 目标 IP 协议 源 其

α MAC MAC 类型 TCP 标 他

端口 TCP

表

a 属

性

Any NULL Any Any Any 10.0.0.3 TCP Any 80 Drop 步骤 S204, 根据查找到的控制策略和网络数据流的属性值 ， 确定对网络 数据流采用的控制行为；

在本申请实施方式中， 每个安全域对应一个基于网络数据流属性的控 制 策略， 策略管理设备只要确定网络数据流属于哪个安 全域， 就可以根据该条 数据流所属的安全域查找到对应的基于网络数 据流属性的控制策略， 并将网 络数据流的属性值与控制策略中的网络数据流 属性值进行匹配而确定对该条 网络数据流采用的控制行为， 以指导网络流量处理设备对该条网络数据流进 行相应的处理。

比如上述 Flowl , 通过获取该数据流的属性值， 如上表 1所示， Flowl的 源 MAC地址 MacA, 目标 MAC地址 MacB的组合， 查表可知 Flowl属于 MAC Group 1 , 即： 属于 "安全域 1" , 采用 "安全域 1" 的控制策略对 Flowl 进行处理。 而 "安全域 1"基于网络数据流属性的控制策略如上表 6所示， 可 知对该安全域内的网络数据流 Flowl采用的控制行为为 "Accept" , 将该控制 行为发送给网络流量处理设备。 对于其他数据流的处理过程与上述方法相似， 每条数据流都根据其流表属性确定其所属的安 全域， 根据安全域查找到对应 网络数据流的控制行为。 对于那些与预设的安全域的规则都不匹配的数 据流， 策略管理设备需要通过设置其他控制策略以指 导网络流量处理设备进行处 理， 在此不——举例说明。

步骤 S205: 将控制行为发送给网络流量处理设备， 以使网络流量处理设 备根据控制行为对网络数据流进行处理。

策略管理设备将对应网络数据流的控制行为发 送给网络流量处理设备， 网络流量处理设备根据返回的控制行为对网络 数据流进行处理。 比如根据返回的针对 Flowl控制行为， 获知对应于该 Flowl的流表控制 行为应为 "Accept" , 决定对 Flowl进行 "Accept" 操作， 允许数据流的正常 访问。

值得一提的是， 本申请访问控制方法的应用场景为 SDN系统时， 上述提 到的网络流量处理设备为交换机， 策略管理设备为控制器 (controller), 当应用 到 SDN系统以外的场景时， 网络流量处理设备也可以是防火墙。 为了更详细 描述本申请访问控制方法， 以下以访问控制方法在 SDN系统中的具体应用为 例进行说明。

例 1 : 租户 1的 IP地址为 10.0.0.1的虚拟机 A访问 IP地址为 10.0.0.2的 虚拟机 B的 80端口

交换机接收到一条数据流 Flowl ,如： Flowl ,即租户 1的 IP地址为 10.0.0.1 的虚拟机 A访问 IP地址为 10.0.0.2的虚拟机 B的 80端口的时候， 获得该条 数据流属性： （XX表示某个特定的值）， 具体见上述表 1的描述。

交换机会把上述 flowl 的属性发送给 Controller询问对这条流的处理办 法。

另一种可选的方式，交换机直接将数据流 Flowl发送给 Controller询问对 这条数据流的处理办法。

Controller接收到数据流或数据流的属性后， 根据数据流的属性判断该条 数据流属于哪个安全域。 具体地， Controller通过 "安全域与网络数据流属性 的对应关系 "， 得知本实施方式中 "安全域"是通过 MAC grou 描述的； 进而 通过 Flowl中的源 MAC地址 MacA, 目标 MAC地址 MacB的组合， 查表可 知 Flowl属于 MAC Group 1 , 即： 属于 "安全域 1"。

Controller在网络数据流所属 "安全域" 的 "控制策略" 下获得对此数据 流的 "流表控制行为"。 即 Controller通过 MAC Groupl下的 "控制策略" 与 Flowl本身的属性相匹配， 上述表 1与上述表 6相匹配的结果见下表 8:

表 8: Flowl的属性与其所属安全域的控制策略匹配的� ��果

MAC MAC 议 TCP 标 他

α 类 TCP

型 a 表

a 属

性

XX NULL MacA MacB 10.0.0.1 10.0.0.2 TCP XX 80 Accept

由上表可知， 对应 Flow 1的 "流表控制行为" 应该是 "Accept" 交换机 SW根据 Controller返回的针对 Flowl的 "流表控制行为"决定对 Flowl进行 "Accept" 操作， 允许数据流的正常访问。

例 2: 租户 2的 IP地址为 10.0.0.2的虚拟机 2访问 IP地址为 10.0.0.3的 虚拟机 3的 80端口

交换机会接收到一条数据流 Flow2, 即租户 2的 IP地址为 10.0.0.2的虚 拟机 2访问 IP地址为 10.0.0.3的虚拟机 3的 80端口的时候，获得如下数据流 属性值（ XX表示某个特定的值）：

表 9 ： Flow2的数据流属性

交换机会把上述 flow2的属性值发送给 Controller询问对这条流的处理办 法。

另一种可选的方式 交换机直接将数据流 Flow2发送给 Controller询问对 这条数据流的处理办法。

Controller接收到数据流或数据流的属性值后， 根据数据流的属性值判断 该条数据流属于哪个安全域。 具体地， Controller通过 "安全域与网络数据流 属性的对应关系"， 得知本实施方式中 "安全域" 是通过 MAC group描述的； 进而通过 Flow2中的源 MAC地址 Mac2, 目标 MAC地址 Mac3的组合， 查 表可知 Flow2属于 MAC Group2, 即： 属于 "安全域 2"

Controller在网络数据流所属 "安全域" 的 "控制策略" 下获得对此数据 流的 "流表控制行为"。 即 Controller通过 MAC Group2下的 "控制策略" 与 Flow2本身的属性相匹配， 上述表 9与上述表 7相匹配的结果见下表 10: 表 10: Flow2的属性与其所属安全域的控制策略匹配的� ��果

由上表可知， 对应 Flow2的 "流表控制行为" 应该是 "Drop"„

交换机 SW根据 Controller返回的针对 Flow2的 "流表控制行为"决定对 Flow2进行 "Drop" 操作， 禁止数据流的正常访问。

通过上述实施方式的描述， 可以理解， 本申请实施方式策略管理设备根 据流经网络流量处理设备的网络数据流的属性 ， 确定所述网络数据流所属的 安全域， 然后根据策略管理设备中每个安全域内基于网 络数据流属性的控制 策略以及所述网络数据流的属性值， 确定对所述网络数据流采用的控制行为； 所述网络流量处理设备根据所述控制行为对所 述网络数据流进行处理。 由于 安全域是基于各个租户安全策略的作用范围而 划分的。 因此， 通过这种方式， 安全设备虚拟化的数量， 可以不再受限于专业安全设备本身所支持的 "虚拟 端口" 等与协议相关的虚拟设备的数量， 而仅受安全设备本身处理能力的限 制； 安全设备虚拟化的技术也不再需要基于 VLAN/VPN等特定技术实现； 在 安全设备虚拟化之后， 多个租户可以共用一个安全设备而互不影响， 并且能 在 SDN系统中使用不同租户的安全策略来实现安全 功能。 请参阅图 4,图 4为本申请网络流量处理设备一个实施方式的� �构示意图， 网络流量处理设备 100包括请求模块 11和处理模块 12, 其中：

请求模块 11用于接收到网络数据流后， 向策略管理设备请求网络数据流 对应的控制行为， 控制行为包括允许网络数据流通过或阻断网络 数据流通过； 当虚拟机之间进行数据访问时， 产生相应的网络数据流。 请求模块 11接 收到网络数据流之后， 向策略管理设备发出请求， 以获取该网络数据流对应 的控制行为。

其中， 请求模块 11向策略管理设备发出请求， 可以直接将网络数据流发 送给策略管理设备， 策略管理设备从网络数据流中提取网络数据流 的属性值， 这些属性值包括源物理端口、 Vlan ID、 源 MAC地址、 目标 MAC地址、 源 IP 地址、 目标 IP地址、 源 TCP端口、 目标 TCP端口中的至少一种属性值。 当 然， 还可以包括其他的数据流属性值。

请求模块 11也可以从网络数据流中提取出数据流的属性� ��， 将提取的数 据流属性值发送给策略管理设备以获取该数据 流对应的控制行为。 策略管理 设备直接根据数据流属性值找到数据流所属的 安全域， 根据安全域找到基于 网络数据流属性的控制策略， 根据查找到的控制策略和所述网络数据流属性 , 确定对所述网络数据流的控制行为， 并将所述控制行为发送给处理模块 12。

处理模块 12用于接收策略管理设备返回的控制行为， 根据控制行为对网 络数据流进行处理。

请参阅图 5, 图 5为本申请策略管理设备一个实施方式的结构� �意图， 策 略管理设备 200包括接收模块 21、 第一确定模块 22、 查找模块 23、 第一确定 模块 24以及发送模块 25, 其中：

接收模块 21 用于接收来自网络流量处理设备的网络数据流 控制行为请 求， 从请求中获取网络数据流的属性值， 并将属性值发送给确定模块 22, 所 述属性值包括源物理端口、 虚拟局域网标识、 源网络硬件地址、 目标网络硬 件地址、 源 IP地址、 目标 IP地址、 源传输控制协议端口、 目标传输控制协议 端口中的至少一种属性；

网络流量处理设备接收网络数据流后， 向策略管理设备请求网络数据流 的控制行为。 接收模块 21接收该请求， 请求中携带有网络数据流或网络数据 流的属性值， 接收模块 21从网络数据流中提取网络数据流的属性值或� ��是直 接从请求中获取网络数据流的属性值， 将网络数据流的属性值发送给确定模 块 22。

第一确定模块 22用于根据网络数据流属性值确定网络数据流� ��属的安全 域， 安全域是同一租户采用相同安全策略的网络或 系统的集合， 属于同一安 全域的网络数据流共享一组相同的控制策略；

第一确定模块 22根据网络数据流属性值， 确定该条网络数据流属于哪个 安全域。

查找模块 23用于根据确定模块 22确定得到的安全域查找对应的基于网 络数据流属性的控制策略；

第二确定模块 24用于根据查找模块 23查找到的控制策略和网络数据流 的属性值， 确定对应于网络数据流的控制行为， 将控制行为输出给发送模块 25 , 控制策略包括属于该安全域的符合预设条件的 网络数据流采用的控制行 为， 所述预设条件包括至少一种所述属性的属性值 范围， 所述控制行为包括 允许网络数据流通过或阻断网络数据流；

第一确定模块 22确定网络数据流所属的安全域后， 查找模块 23根据确 定模块 22确定的网络数据流所属的安全域查找到对应� ��基于网络数据流属性 的控制策略， 即所属安全域对应的控制策略， 根据查找到的控制策略和网络 数据流的属性值， 确定网络数据流对应的控制行为。

在本申请实施方式中， 每个安全域对应一个基于网络数据流属性的控 制 策略， 只要确定网络数据流属于哪个安全域， 就可以根据该条数据流所属的 安全域查找到对应的控制策略， 第二确定模块 24根据查找到的控制策略和网 络数据流属性， 确定网络数据流对应的控制行为， 以指导网络流量处理设备 对该条网络数据流进行相应的处理。

发送模块 25用于将控制行为发送给网络流量处理设备， 以使网络流量处 理设备根据控制行为对网络数据流进行处理。

发送模块 25将对应网络数据流的控制行为发送给网络流� ��处理设备， 网 络流量处理设备根据返回的控制行为对网络数 据流进行处理。 用于根据各个租户的安全策略信息， 生成每个安全域基于网络数据流属性的 控制策略。

各个租户的安全策略信息至少包括安全域标识 、 安全域与网络数据流属 性的对应关系以及安全域内的安全策略。 所述安全域与网络数据流属性的对 应关系用于描述通过网络数据流哪些属性来确 定数据流所属的安全域。

其中， "安全域与网络数据流属性的对应关系" 可以有 4艮多种， 可以是任 意单一或多个网络流量的网络属性值的组合。 上述实施方式仅以一种对应关 系为例。 类似的对应关系还包括并不限于， VLAN— ID对应 "安全域"、 MPLS VPN标签对应 "安全域"、 源物理端口的组合对应 "安全域" 等。

在实际应用过程中， 具体使用多少种网络数据流的属性值与安全域 对应， 可以根据用户对安全域的划分需求决定。 比如对于比较简单的策略， 可能就 需要使用一个网络数据流属性值描述就能实现 ， 如： 假设用户要求所有使用 TCP协议通信的网络节点属于 "安全域 TCP" , 使用 UDP通信的设备都属于 "安全域 UDP" , 那么这种安全域划分方法的网络特征描述， 就只需要 "协议 类型" 一个属性与安全域对应即可。 也就是说， 网络数据流的属性值描述的 少， 可划分的安全域就比较粗略， 网络数据流的属性值描述的多， 可划分的 安全域就能更加细化。

根据 "安全域与网络数据流属性的对应关系"， 可以确定安全域是通过哪 些网络数据流的属性值来描述的 , 接收模块 21在提取网络数据流属性值的时 候， 获取跟安全域有对应关系的网络数据流属性值 进行匹配， 第一确定模块 22进而确定网络数据流所属的安全域。

比如安全域是通过 MAC地址组合来描述，那么就从网络数据流中提 取数 据流的源 MAC、 目标 MAC地址， 通过数据流的 MAC地址组合的确定该数 据流是属于哪个安全域。如果安全域是通过 VLAN— ID来描述，那么就从网络 数据流中提取数据流的 VLAN— ID, 通过数据流的 VLAN— ID获知该数据流属 于哪个安全 i或。

确定一条数据流属于哪个安全域， 通过查找模块 23查找到对应的基于网 络数据流属性的控制策略， 第二确定模块 24根据查找到的控制策略和网络数 据流的属性， 确定网络数据流对应的控制行为。

控制策略包括安全域内符合预设条件的网络数 据流的控制行为。 比如控 制策略包括流表匹配域 (即上述的预设条件)和流表控制行为。流表匹� ��域是指 网络数据流的属性与控制策略中数据流属性的 匹配结果， 而流表控制行为是 对一条网络数据流的具体控制行为， 比如但不限于是 "Accept"或 "Drop"等。

针对于 SDN应用场景， 上述实施方式的网络流量处理设备为交换机， 策 略管理设备为控制器。 对于 SDN以外的应用场景， 网络流量处理设备也可以 是防火墙。

请参阅图 6,图 6为本申请网络流量处理设备另一个实施方式� �结构示意 图， 本实施方式的网络流量处理设备 100包括处理器 31、 接收器 32、 发送器

33、 随机存取存储器 34、 只读存储器 35、 总线 36以及网络接口单元 37。 其 中， 处理器 31通过总线 36分别耦接接收器 32、 发送器 33、 随机存取存储器

34、 只读存储器 35以及网络接口单元 37。 其中， 当需要运行网络流量处理设 备时， 通过固化在只读存储器 35中的基本输入输出系统或者嵌入式系统中的 bootloader引导系统进行启动， 引导网络流量处理设备进入正常运行状态。 在 网络流量处理设备进入正常运行状态后， 在随机存取存储器 34中运行应用程 序和操作系统， 从网络接收数据或者向网络发送数据， 使得：

接收器 32接收需要处理的网络数据流。

处理器 31用于从网络数据流中提取数据流的属性值， 其中， 数据流的属 性值包括源物理端口、 Vlan ID、 源 MAC地址、 目标 MAC地址、 源 IP地址、 目标 IP地址、 源 TCP端口、 目标 TCP端口中的至少一种属性值。 当然， 还 可以包括其他的数据流属性值。

发送器 33用于将数据流或处理器 31提取得到的数据流的属性值发送给 策略管理设备以获取网络数据流对应的控制行 为。

处理器 31进一步根据策略管理设备返回的网络数据流� ��应的控制行为， 对网络数据流进行处理。 所述控制行为包括各种对网络数据流的具体处 理方 式。 比如允许网络数据流通过或阻断网络数据流通 过， 还可以包括其他的处 理方式， 比如地址交换、 地址翻译等。

本实施方式中， 处理器 31可能是一个中央处理器 CPU, 或者是特定集成 电路 ASIC ( Application Specific Integrated Circuit ), 或者是被配置成实施本申 请实施方式的一个或多个集成电路。

请参阅图 7, 图 7为本申请策略管理设备另一个实施方式的结� �示意图， 本实施方式策略管理设备 200包括处理器 41、接收器 42、 发送器 43、 随机存 取存储器 44、 只读存储器 45以及总线 46。 其中， 处理器 41通过总线 46分 别耦接接收器 42、 发送器 43、 随机存取存储器 44以及只读存储器 45。 其中， 当需要运行策略管理设备时， 通过固化在只读存储器 45中的基本输入输出系 统或者嵌入式系统中的 bootloader引导系统进行启动，引导策略管理设� �进入 正常运行状态。 在策略管理设备进入正常运行状态后， 在随机存取存储器 44 中运行应用程序和操作系统， 并使得：

接收器 42从网络流量处理设备接收网络数据流的控制� ��为请求， 请求中 包括网络数据流或网络数据流的属性值。

处理器 41从控制行为请求中获取网络数据流的属性值� �� 根据网络数据流 的属性值， 确定网络数据流所属的安全域， 安全域是同一租户采用相同安全 策略的网络或系统的集合， 属于同一安全域的网络数据流共享一组相同的 控 制策略。 比如 "租户 Γ租用了 A,B,C三台计算机， "租户 2" 租用了 1、 2、 3 三台计算机； 可定义 "租户 Γ 的计算机属于 "安全域 1" , "租户 2" 的计算 机属于 "安全域 2"。 而区分不同租户， 可以通过每个租户的 VLAN— ID、 MAC 地址、 VPN 隧道等等。 比如以 MAC 地址描述， "安全域 Γ 可以包括以下 MAC地址组合： MACA、 MACB、 MACC; "安全域 2" 可以包括以下 MAC 地址组合： MAC1、 MAC2、 MAC3 , 依次类推。 处理器 41进一步根据网络数 据流所属的安全域， 查找对应的基于网络数据流属性的控制策略， 根据查找 到的控制策略和网络数据流属性， 确定网络数据流对应的控制行为， 将该控 制行为输出给所述发送器 43。

本申请实施方式中，处理器 41还用于预先根据各个租户的安全策略信息， 生成每个安全域基于网络数据流属性的控制策 略。

各个租户的安全策略信息至少包括安全域标识 、 安全域与网络数据流属 性的对应关系以及安全域内的安全策略。 所述安全域与网络数据流属性的对 应关系用于描述通过网络数据流哪些属性来确 定数据流所属的安全域。

其中， "安全域与网络数据流属性的对应关系" 可以有 4艮多种， 可以是任 意单一或多个网络流量的网络属性值的组合。 比如但不限于是 VLAN— ID对应 "安全域"、 MPLS VPN标签对应 "安全域"、 源物理端口的组合对应 "安全 域" 等。

在实际应用过程中， 具体使用多少种网络数据流的属性值与安全域 对应， 可以根据用户对安全域的划分需求决定。 比如对于比较简单的策略， 可能就 需要使用一个网络数据流的属性值描述就能实 现， 如： 假设用户要求所有使 用 TCP协议通信的网络节点属于 "安全域 TCP" , 使用 UDP通信的设备都属 于 "安全域 UDP" , 那么这种安全域划分方法的网络特征描述， 就只需要 "协 议类型" 一个属性值与安全域对应即可。 也就是说， 网络数据流的属性值描 述的少， 可划分的安全域就比较粗略， 网络数据流的属性值描述的多， 可划 分的安全域就能更加细化。

处理器 41 根据 "安全域与网络数据流属性的对应关系"， 可以确定安全 域是通过哪些网络数据流属性值来描述的， 在提取网络数据流属性值的时候， 获取跟安全域有对应关系的网络数据流属性值 进行匹配， 进而确定网络数据 流所属的安全域。

比如安全域是通过 MAC地址组合来描述，那么就从网络数据流中提 取数 据流的源 MAC、 目标 MAC地址， 通过数据流的 MAC地址组合的确定该数 据流是属于哪个安全域。如果安全域是通过 VLAN— ID来描述，那么就从网络 数据流中提取数据流的 VLAN— ID, 通过数据流的 VLAN— ID获知该数据流属 于哪个安全 i或。

确定一条数据流属于哪个安全域， 查找到对应的控制策略即数据流所属 的安全域的控制策略。

控制策略包括安全域内符合预设条件的网络数 据流的控制行为。 比如控 制策略包括流表匹配域 (即上述预设条件)和流表控制行为。流表匹配� ��是指网 络数据流的属性与控制策略中数据流属性的匹 配结果， 而流表控制行为是对 网络数据流的具体控制行为， 比如但不限于是 "Accept" 或 "Drop" 等。

本实施方式中， 处理器 41可能是一个中央处理器 CPU, 或者是特定集成 电路 ASIC ( Application Specific Integrated Circuit ), 或者是被配置成实施本申 请实施方式的一个或多个集成电路。

发送器 43是将处理器 41得到的对应网络数据流的控制行为发送给网� �� 流量处理设备， 以使网络流量处理设备根据控制行为对网络数 据流进行相应 的处理。

根据上述网络流量处理设备以及策略管理设备 ， 本申请还提供一种网络 系统， 网络系统包括网络流量处理设备 100以及策略管理设备 200, 其中网络 流量处理设备 100以及策略管理设备 200之间实现通信， 具体实现过程请参 阅 1 以及相关描述， 网络流量处理设备 100以及策略管理设备 200的具体功 能实现请参与图 4-图 7相关实施方式的描述， 在此不再贅述。

值得一提的是， 本申请访问控制方法如果应用于 SDN场景中， 上述实施 方式提到的网络流量处理设备为交换机， 策略管理设备为控制器。 如果应用 在 SDN以外的场景， 网络流量处理设备也可以是防火墙。

上述技术方案， 策略管理设备根据流经网络流量处理设备的网 络数据流 的属性， 确定所述网络数据流所属的安全域， 然后根据策略管理设备中每个 安全域内基于网络数据流属性的控制策略以及 所述网络数据流的属性值， 确 定对所述网络数据流采用的控制行为； 所述网络流量处理设备根据所述控制 行为对所述网络数据流进行处理。 由于安全域是基于各个租户安全策略的作 用范围而划分的。 因此， 通过这种方式， 安全设备虚拟化的数量， 可以不再 受限于专业安全设备本身所支持的 "虚拟端口" 等与协议相关的虚拟设备的 数量， 而仅受安全设备本身处理能力的限制； 安全设备虚拟化的技术也不再 需要基于 VLAN/VPN等特定技术实现； 在安全设备虚拟化之后， 多个租户可 以共用一个安全设备而互不影响， 并且能在 SDN系统中使用不同租户的安全 策略来实现安全功能。

在本申请所提供的几个实施方式中， 应该理解到， 所揭露的系统， 装置 和方法， 可以通过其它的方式实现。 例如， 以上所描述的装置实施方式仅仅 是示意性的， 例如， 所述模块或单元的划分， 仅仅为一种逻辑功能划分， 实 际实现时可以有另外的划分方式， 例如多个单元或组件可以结合或者可以集 成到另一个系统， 或一些特征可以忽略， 或不执行。 另一点， 所显示或讨论 的相互之间的耦合或直接耦合或通信连接可以 是通过一些接口， 装置或单元 的间接耦合或通信连接， 可以是电性， 机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可 以不是物理上分开的， 作 为单元显示的部件可以是或者也可以不是物理 单元， 即可以位于一个地方， 或者也可以分布到多个网络单元上。 可以根据实际的需要选择其中的部分或 者全部单元来实现本实施方式方案的目的。

另外， 在本申请各个实施方式中的各功能单元可以集 成在一个处理单元 中， 也可以是各个单元单独物理存在， 也可以两个或两个以上单元集成在一 个单元中。 上述集成的单元既可以采用硬件的形式实现， 也可以采用软件功 能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实 现并作为独立的产品销售 或使用时， 可以存储在一个计算机可读取存储介质中。 基于这样的理解， 本 申请的技术方案本质上或者说对现有技术做出 贡献的部分或者该技术方案的 全部或部分可以以软件产品的形式体现出来， 该计算机软件产品存储在一个 存储介质中， 包括若干指令用以使得一台计算机设备（可以 是个人计算机， 服务器， 或者网络设备等）或处理器（processor )执行本申请各个实施方式所 述方法的全部或部分步骤。 而前述的存储介质包括： U盘、 移动硬盘、 只读 存储器（ROM, Read-Only Memory ),随机存取存储器（RAM, Random Access Memory )、 磁碟或者光盘等各种可以存储程序代码的介质 。

以上所述仅为本申请的实施方式， 并非因此限制本申请的专利范围， 凡 是利用本申请说明书及附图内容所作的等效结 构或等效流程变换， 或直接或 间接运用在其他相关的技术领域， 均同理包括在本申请的专利保护范围内。

发明的精神和范围。 这样， 倘若本发明的这些修改和变型属于本发明权利 要 求及其等同技术的范围之内， 则本发明也意图包含这些改动和变型在内。