本發(fā)明涉及網(wǎng)絡(luò)與信息安全領(lǐng)域，尤其涉及一種應(yīng)用程序業(yè)務(wù)策略的處理方法、裝置及控制器。

背景技術(shù)：

軟件定義網(wǎng)路(Software Defined Network，SDN)是2006年出現(xiàn)的一種網(wǎng)絡(luò)技術(shù)，該技術(shù)將現(xiàn)有的網(wǎng)絡(luò)控制與轉(zhuǎn)發(fā)功能解耦，通過(guò)一個(gè)集中控制器，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)通信的控制。SDN將網(wǎng)絡(luò)分為三層，應(yīng)用層，控制層和設(shè)備層。應(yīng)用層提供用戶(hù)與控制層的接口，用戶(hù)通過(guò)應(yīng)用層發(fā)送需求?？刂茖由喜渴鹂刂破鳎刂破鲝膽?yīng)用層接收到用戶(hù)的請(qǐng)求后，將請(qǐng)求轉(zhuǎn)化為符合原有的策略的命令，下發(fā)到設(shè)備層。設(shè)備層包含各種轉(zhuǎn)發(fā)設(shè)備，統(tǒng)稱(chēng)為交換機(jī)。正常工作時(shí)，交換機(jī)接收到數(shù)據(jù)包后，按照預(yù)置的流表中路由策略轉(zhuǎn)發(fā)到下一跳，或者隨時(shí)接收控制器的命令，修改和刪除流表項(xiàng)。其中控制器與應(yīng)用層之間的接口稱(chēng)為北向接口(NBI)，控制器與設(shè)備層之間的接口稱(chēng)為南向接口，南向接口使用OPENFLOW協(xié)議進(jìn)行通信。

其中，SDN架構(gòu)圖如圖1所示。應(yīng)用層的應(yīng)用程序(APP)將策略通過(guò)NBI下發(fā)到控制器，控制器將策略轉(zhuǎn)化成流表項(xiàng)并下發(fā)到交換機(jī)，交換機(jī)將流表項(xiàng)加入到流表。在生成流表項(xiàng)的時(shí)候控制器會(huì)根據(jù)該應(yīng)用APP請(qǐng)求的優(yōu)先級(jí)為該流表項(xiàng)分配一個(gè)優(yōu)先級(jí)(priority)。其中，流表項(xiàng)的priority是流表項(xiàng)中一個(gè)參數(shù)，用于確定流表項(xiàng)在流表中的匹配順序。

由于應(yīng)用層上安裝有多個(gè)APP，因此APP的策略與控制器本身的安全策略或管理策略可能互相沖突，使得流量最終繞過(guò)安全策略。如圖2所示，安全管理員配置了一個(gè)策略是從用戶(hù)A到用戶(hù)B的數(shù)據(jù)包必須經(jīng)過(guò)防火墻進(jìn)行檢測(cè)，用戶(hù)A(172.0.0.1)→SDN交換機(jī)1(10.0.0.1)→SDN交換機(jī)2(10.0.0.2)→防火墻→SDN交換機(jī)3(10.0.0.3)→用戶(hù)B(172.0.0.2)。但是，某個(gè)APP1產(chǎn) 生的路由策略是從用戶(hù)A到用戶(hù)B之間，數(shù)據(jù)經(jīng)過(guò)最短路徑傳輸，即用戶(hù)A(172.0.0.1)→SDN交換機(jī)1(10.0.0.1)→SDN交換機(jī)3(10.0.0.3)→用戶(hù)B(172.0.0.2)。這個(gè)路徑中的數(shù)據(jù)包沒(méi)有經(jīng)過(guò)防火墻掃描，這違反了管理員的安全原則，使得原定的安全策略被繞過(guò)。

因此，惡意的攻擊者可以利用這種策略沖突，發(fā)起新的流表策略，繞過(guò)管理員的安全策略，使得SDN網(wǎng)絡(luò)的安全性遭到威脅。其中，攻擊者可能采用以下手段：

1、惡意APP生成新的流表項(xiàng)，該流表項(xiàng)格式正常，其優(yōu)先級(jí)大于安全策略的優(yōu)先級(jí)。

2、控制器收到該策略之后，根據(jù)優(yōu)先級(jí)將原策略丟棄，將新策略保存。

3、該路徑的數(shù)據(jù)包不再遵守原安全策略，而按照新策略執(zhí)行，從而造成安全策略被繞過(guò)。網(wǎng)絡(luò)陷入危險(xiǎn)狀態(tài)。

除了安全策略，管理策略也是SDN網(wǎng)絡(luò)中的重要策略。攻擊者可以通過(guò)制造策略沖突，使得流表項(xiàng)策略繞過(guò)控制器的安全策略和管理策略，從而使得網(wǎng)絡(luò)流量不再受到安全策略和管理策略的保護(hù)和限制，才能實(shí)現(xiàn)一些攻擊，比如攻擊者繞過(guò)防火墻的過(guò)濾策略，導(dǎo)致攻擊流量不能被防火墻過(guò)濾。

技術(shù)實(shí)現(xiàn)要素：

為了克服現(xiàn)有技術(shù)中存在的上述問(wèn)題，本發(fā)明的實(shí)施例提供了一種應(yīng)用程序業(yè)務(wù)策略的處理方法、裝置及控制器，通過(guò)對(duì)APP優(yōu)先級(jí)的設(shè)置，使得普通APP對(duì)應(yīng)的流表項(xiàng)的優(yōu)先級(jí)低于安全APP和管理APP對(duì)應(yīng)的流表項(xiàng)的優(yōu)先級(jí)，從而有效避免了普通APP產(chǎn)生的策略繞過(guò)安全和管理策略。

為了解決上述技術(shù)問(wèn)題，本發(fā)明采用如下技術(shù)方案：

依據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種應(yīng)用程序業(yè)務(wù)策略的處理方法，該方法包括：

為應(yīng)用程序APP配置一優(yōu)先級(jí)，其中，所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP，且管理APP的優(yōu)先級(jí)高于安全APP的優(yōu)先級(jí)，安全APP的優(yōu)先級(jí)高于普通APP的優(yōu)先級(jí)；

獲取所述APP的業(yè)務(wù)策略；

將所述業(yè)務(wù)策略轉(zhuǎn)化成流表項(xiàng)，并為所述流表項(xiàng)配置與所述APP的優(yōu)先級(jí)相同的優(yōu)先級(jí)；

將配置了優(yōu)先級(jí)的所述流表項(xiàng)發(fā)送給交換機(jī)。

其中，上述方案中，所述將所述業(yè)務(wù)策略轉(zhuǎn)化成流表項(xiàng)，并為所述流表項(xiàng)配置與所述APP的優(yōu)先級(jí)相同的優(yōu)先級(jí)的步驟之后還包括：

檢測(cè)配置了優(yōu)先級(jí)的所述流表項(xiàng)與預(yù)存儲(chǔ)的管理APP的流表項(xiàng)或安全APP的流表項(xiàng)相沖突時(shí)，丟棄優(yōu)先級(jí)低的流表項(xiàng)。

其中，上述方案中，所述為應(yīng)用程序APP配置一優(yōu)先級(jí)的步驟包括：

接收所述APP發(fā)送的注冊(cè)請(qǐng)求，其中，所述注冊(cè)請(qǐng)求中包括APP類(lèi)型，所述APP類(lèi)型包括普通APP、安全APP和管理APP；

根據(jù)所述APP類(lèi)型為所述APP配置一優(yōu)先級(jí)。

其中，上述方案中，所述根據(jù)所述APP類(lèi)型為所述APP配置一優(yōu)先級(jí)的步驟包括：

分別為所述普通APP、所述安全APP以及所述管理APP分配第一優(yōu)先級(jí)區(qū)間、第二優(yōu)先級(jí)區(qū)間以及第三優(yōu)先級(jí)區(qū)間，其中，所述第一優(yōu)先級(jí)區(qū)間的最大值小于所述第二優(yōu)先級(jí)區(qū)間的最小值，所述第二優(yōu)先級(jí)區(qū)間的最大值小于所述第三優(yōu)先級(jí)區(qū)間的最小值；

根據(jù)所述APP的APP類(lèi)型，并與所述APP進(jìn)行協(xié)商，從所述第一優(yōu)先級(jí)區(qū)間或所述第二優(yōu)先級(jí)區(qū)間或所述第三優(yōu)先級(jí)區(qū)間為所述APP分配一個(gè)優(yōu)先級(jí)，并生成APP對(duì)應(yīng)表，其中，所述APP優(yōu)先級(jí)對(duì)應(yīng)表中包括不同APP對(duì)應(yīng)的優(yōu)先級(jí)；

將所述優(yōu)先級(jí)發(fā)送給所述APP。

其中，上述方案中，所述將所述業(yè)務(wù)策略轉(zhuǎn)化成流表項(xiàng)，并為所述流表項(xiàng)配置與所述APP的優(yōu)先級(jí)相同的優(yōu)先級(jí)的步驟之后，所述方法還包括：

對(duì)比所述APP優(yōu)先級(jí)對(duì)應(yīng)表，判斷所述流表項(xiàng)的優(yōu)先級(jí)是否與所述流表項(xiàng)對(duì)應(yīng)的APP的優(yōu)先級(jí)一致；

若不一致，則將所述流表項(xiàng)的優(yōu)先級(jí)修改為所述APP優(yōu)先級(jí)對(duì)應(yīng)表中與所述流表項(xiàng)對(duì)應(yīng)的APP的優(yōu)先級(jí)。

其中，上述方案中，所述根據(jù)所述APP類(lèi)型為所述APP配置一優(yōu)先級(jí)的 步驟包括：

分別為所述普通APP、所述安全APP以及所述管理APP分配第一優(yōu)先級(jí)區(qū)間、第二優(yōu)先級(jí)區(qū)間以及第三優(yōu)先級(jí)區(qū)間，其中，所述第一優(yōu)先級(jí)區(qū)間的最大值小于所述第二優(yōu)先級(jí)區(qū)間的最小值，所述第二優(yōu)先級(jí)區(qū)間的最大值小于所述第三優(yōu)先級(jí)區(qū)間的最小值；

從所述第一優(yōu)先級(jí)區(qū)間、所述第二優(yōu)先級(jí)區(qū)間以及所述第三優(yōu)先級(jí)區(qū)間中選擇一個(gè)與所述APP的APP類(lèi)型相匹配的優(yōu)先級(jí)區(qū)間作為所述APP的匹配區(qū)間，并生成APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表，其中，所述APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表中包括不同APP對(duì)應(yīng)的匹配區(qū)間；

將匹配區(qū)間發(fā)送給所述APP；

接收所述APP根據(jù)業(yè)務(wù)類(lèi)型，并與控制器進(jìn)行協(xié)商，從所述匹配區(qū)間中確定的一個(gè)優(yōu)先級(jí)。

其中，上述方案中，所述將所述業(yè)務(wù)策略轉(zhuǎn)化成流表項(xiàng)，并為所述流表項(xiàng)配置與所述APP的優(yōu)先級(jí)相同的優(yōu)先級(jí)的步驟之后，所述方法還包括：

對(duì)比所述APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表，判斷所述流表項(xiàng)的優(yōu)先級(jí)是否位于與所述流表項(xiàng)對(duì)應(yīng)的APP的匹配區(qū)間之內(nèi)；

若判斷結(jié)果為否，則舍棄所述流表項(xiàng)，并向所述APP發(fā)送提示消息。

依據(jù)本發(fā)明實(shí)施例的另一個(gè)方面，還提供了一種應(yīng)用程序業(yè)務(wù)策略的處理裝置，包括：

配置模塊，用于為應(yīng)用程序APP配置一優(yōu)先級(jí)，其中，所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP，且管理APP的優(yōu)先級(jí)高于安全APP的優(yōu)先級(jí)，安全APP的優(yōu)先級(jí)高于普通APP的優(yōu)先級(jí)；

策略獲取模塊，用于獲取所述APP的業(yè)務(wù)策略；

轉(zhuǎn)化模塊，用于將所述業(yè)務(wù)策略轉(zhuǎn)化成流表項(xiàng)，并為所述流表項(xiàng)配置與所述APP的優(yōu)先級(jí)相同的優(yōu)先級(jí)；

發(fā)送模塊，用于將配置了優(yōu)先級(jí)的所述流表項(xiàng)發(fā)送給交換機(jī)。

其中，上述方案中，所述裝置還包括：

沖突檢測(cè)模塊，用于檢測(cè)配置了優(yōu)先級(jí)的所述流表項(xiàng)與預(yù)存儲(chǔ)的管理APP 的流表項(xiàng)或安全APP的流表項(xiàng)相沖突時(shí)，丟棄優(yōu)先級(jí)低的流表項(xiàng)。

其中，上述方案中，所述配置模塊包括：

接收單元，用于接收所述APP發(fā)送的注冊(cè)請(qǐng)求，其中，所述注冊(cè)請(qǐng)求中包括APP類(lèi)型，所述APP類(lèi)型包括普通APP、安全APP和管理APP；

配置單元，用于根據(jù)所述APP類(lèi)型為所述APP配置一優(yōu)先級(jí)。

其中，上述方案中，所述配置單元包括：

第一分配子單元，用于分別為所述普通APP、所述安全APP以及所述管理APP分配第一優(yōu)先級(jí)區(qū)間、第二優(yōu)先級(jí)區(qū)間以及第三優(yōu)先級(jí)區(qū)間，其中，所述第一優(yōu)先級(jí)區(qū)間的最大值小于所述第二優(yōu)先級(jí)區(qū)間的最小值，所述第二優(yōu)先級(jí)區(qū)間的最大值小于所述第三優(yōu)先級(jí)區(qū)間的最小值；

第二分配子單元，用于根據(jù)所述APP的APP類(lèi)型，并與所述APP進(jìn)行協(xié)商，從所述第一優(yōu)先級(jí)區(qū)間或所述第二優(yōu)先級(jí)區(qū)間或所述第三優(yōu)先級(jí)區(qū)間為所述APP分配一個(gè)優(yōu)先級(jí)，并生成APP對(duì)應(yīng)表，其中，所述APP優(yōu)先級(jí)對(duì)應(yīng)表中包括不同APP對(duì)應(yīng)的優(yōu)先級(jí)；

第一發(fā)送子單元，用于將所述優(yōu)先級(jí)發(fā)送給所述APP。

其中，上述方案中，所述裝置還包括：

第一校驗(yàn)?zāi)K，用于對(duì)比所述APP優(yōu)先級(jí)對(duì)應(yīng)表，判斷所述流表項(xiàng)的優(yōu)先級(jí)是否與所述流表項(xiàng)對(duì)應(yīng)的APP的優(yōu)先級(jí)一致；

第一處理模塊，用于當(dāng)所述第一校驗(yàn)?zāi)K判斷所述流表項(xiàng)的優(yōu)先級(jí)與所述流表項(xiàng)對(duì)應(yīng)的APP的優(yōu)先級(jí)不一致時(shí)，將所述流表項(xiàng)的優(yōu)先級(jí)修改為所述APP優(yōu)先級(jí)對(duì)應(yīng)表中與所述流表項(xiàng)對(duì)應(yīng)的APP的優(yōu)先級(jí)。

其中，上述方案中，所述配置單元包括：

第三分配子單元，用于分別為所述普通APP、所述安全APP以及所述管理APP分配第一優(yōu)先級(jí)區(qū)間、第二優(yōu)先級(jí)區(qū)間以及第三優(yōu)先級(jí)區(qū)間，其中，所述第一優(yōu)先級(jí)區(qū)間的最大值小于所述第二優(yōu)先級(jí)區(qū)間的最小值，所述第二優(yōu)先級(jí)區(qū)間的最大值小于所述第三優(yōu)先級(jí)區(qū)間的最小值；

第四分配子單元，用于從所述第一優(yōu)先級(jí)區(qū)間、所述第二優(yōu)先級(jí)區(qū)間以及所述第三優(yōu)先級(jí)區(qū)間中選擇一個(gè)與所述APP的APP類(lèi)型相匹配的優(yōu)先級(jí)區(qū)間作為所述APP的匹配區(qū)間，并生成APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表，其中，所述APP 優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表中包括不同APP對(duì)應(yīng)的匹配區(qū)間；

第二發(fā)送子單元，用于將所述匹配區(qū)間發(fā)送給所述APP；

接收子單元，用于接收所述APP根據(jù)業(yè)務(wù)類(lèi)型，并與控制器進(jìn)行協(xié)商，從所述匹配區(qū)間中確定的一個(gè)優(yōu)先級(jí)。

其中，上述方案中，所述裝置還包括：

第二校驗(yàn)?zāi)K，用于對(duì)比所述APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表，判斷所述流表項(xiàng)的優(yōu)先級(jí)是否位于與所述流表項(xiàng)對(duì)應(yīng)的APP的匹配區(qū)間之內(nèi)；

第二處理模塊，用于當(dāng)所述第一校驗(yàn)?zāi)K判斷所述流表項(xiàng)的優(yōu)先級(jí)位于與所述流表項(xiàng)對(duì)應(yīng)的APP的匹配區(qū)間之外時(shí)，舍棄所述流表項(xiàng)，并向所述APP發(fā)送提示消息。

依據(jù)本發(fā)明實(shí)施例的另一個(gè)方面，還提供了一種控制器，包括上述所述的應(yīng)用程序業(yè)務(wù)策略的處理裝置。

本發(fā)明實(shí)施例的有益效果是：

本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法，通過(guò)配置APP的優(yōu)先級(jí)，使得管理APP的優(yōu)先級(jí)高于安全APP的優(yōu)先級(jí)，安全APP的優(yōu)先級(jí)高于管理APP和安全APP之外的其他APP(即普通APP)的優(yōu)先級(jí)，使得普通APP對(duì)應(yīng)的流表項(xiàng)的有優(yōu)先級(jí)低于預(yù)先存儲(chǔ)的任意一個(gè)安全APP或管理APP對(duì)應(yīng)的流表項(xiàng)，因此，即使普通APP的流表項(xiàng)與安全APP或管理APP的流表項(xiàng)存在沖突，普通APP的流表項(xiàng)也會(huì)由于優(yōu)先級(jí)相對(duì)較低，而不會(huì)被執(zhí)行。因此，本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法，能夠有效避免普通APP產(chǎn)生的策略繞過(guò)安全和管理策略，提高網(wǎng)絡(luò)安全性。

附圖說(shuō)明

圖1表示現(xiàn)有技術(shù)中的SDN架構(gòu)圖；

圖2表示現(xiàn)有技術(shù)中策略沖造成繞過(guò)必經(jīng)節(jié)點(diǎn)的原理示意圖；

圖3表示本發(fā)明第一實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法流程圖；

圖4表示本發(fā)明第二實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理裝置的結(jié)構(gòu)框圖；

圖5表示本發(fā)明第三實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理裝置的結(jié)構(gòu)框圖；

圖6表示本發(fā)明第四實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理裝置的結(jié)構(gòu)框圖；

圖7表示本發(fā)明實(shí)施例中APP優(yōu)先級(jí)與對(duì)應(yīng)的流表項(xiàng)優(yōu)先級(jí)映射關(guān)系示意圖；

圖8表示本發(fā)明實(shí)施例中APP的匹配區(qū)間與對(duì)應(yīng)的流表項(xiàng)優(yōu)先級(jí)映射關(guān)系示意圖。

具體實(shí)施方式

下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi)，并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

第一實(shí)施例

依據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種應(yīng)用程序業(yè)務(wù)策略的處理方法，該方法首先，為應(yīng)用程序APP配置一優(yōu)先級(jí)；接著，獲取所述APP的業(yè)務(wù)策略；再次，將所述業(yè)務(wù)策略轉(zhuǎn)化成流表項(xiàng)，并為所述流表項(xiàng)配置與所述APP的優(yōu)先級(jí)相同的優(yōu)先級(jí)；最后，將配置了優(yōu)先級(jí)的所述流表項(xiàng)發(fā)送給交換機(jī)。

因此，本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法，通過(guò)對(duì)APP優(yōu)先級(jí)的設(shè)置，使得普通APP對(duì)應(yīng)的流表項(xiàng)的優(yōu)先級(jí)低于安全APP和管理APP對(duì)應(yīng)的流表項(xiàng)的優(yōu)先級(jí)，從而有效避免了普通APP產(chǎn)生的策略繞過(guò)安全和管理策略。

如圖3所示，該方法包括：

步驟S31、為應(yīng)用程序APP配置一優(yōu)先級(jí)。

本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法，將APP按照類(lèi)型，分為管理APP、安全APP以及普通APP，其中，普通APP是除管理APP和安全APP之外的其他APP，并為不同類(lèi)型的APP分配不同的優(yōu)先級(jí)，且管理APP的優(yōu)先級(jí)高于安全APP的優(yōu)先級(jí)，安全APP的優(yōu)先級(jí)高于普通APP的優(yōu)先級(jí)。

具體地，控制器首先需要接收APP發(fā)送的注冊(cè)請(qǐng)求，因?yàn)樵撟?cè)請(qǐng)求中攜帶有APP的類(lèi)型，所以控制器在接收到注冊(cè)請(qǐng)求后，在APP的注冊(cè)過(guò)程中為APP分配一個(gè)優(yōu)先級(jí)。

其中，在為APP分配優(yōu)先級(jí)的時(shí)候，可采用級(jí)別設(shè)定法或級(jí)別區(qū)間設(shè)定 法。

級(jí)別設(shè)定：

首先，分別為所述普通APP、所述安全APP以及所述管理APP分配第一優(yōu)先級(jí)區(qū)間、第二優(yōu)先級(jí)區(qū)間以及第三優(yōu)先級(jí)區(qū)間，其中，所述第一優(yōu)先級(jí)區(qū)間的最大值小于所述第二優(yōu)先級(jí)區(qū)間的最小值，所述第二優(yōu)先級(jí)區(qū)間的最大值小于所述第三優(yōu)先級(jí)區(qū)間的最小值；

接著，根據(jù)所述APP的APP類(lèi)型，并與所述APP進(jìn)行協(xié)商，從所述第一優(yōu)先級(jí)區(qū)間或所述第二優(yōu)先級(jí)區(qū)間或所述第三優(yōu)先級(jí)區(qū)間為所述APP分配一個(gè)優(yōu)先級(jí)，并生成APP對(duì)應(yīng)表，其中，所述APP優(yōu)先級(jí)對(duì)應(yīng)表中包括不同APP對(duì)應(yīng)的優(yōu)先級(jí)；

最后，將所述優(yōu)先級(jí)發(fā)送給所述APP。

級(jí)別區(qū)間設(shè)定法：

首先，分別為所述普通APP、所述安全APP以及所述管理APP分配第一優(yōu)先級(jí)區(qū)間、第二優(yōu)先級(jí)區(qū)間以及第三優(yōu)先級(jí)區(qū)間，其中，所述第一優(yōu)先級(jí)區(qū)間的最大值小于所述第二優(yōu)先級(jí)區(qū)間的最小值，所述第二優(yōu)先級(jí)區(qū)間的最大值小于所述第三優(yōu)先級(jí)區(qū)間的最小值；

接著，從所述第一優(yōu)先級(jí)區(qū)間、所述第二優(yōu)先級(jí)區(qū)間以及所述第三優(yōu)先級(jí)區(qū)間中選擇一個(gè)與所述APP的APP類(lèi)型相匹配的優(yōu)先級(jí)區(qū)間作為所述APP的匹配區(qū)間，并生成APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表，其中，所述APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表中包括不同APP對(duì)應(yīng)的匹配區(qū)間；

再次，將為所述匹配區(qū)間發(fā)送給所述APP；

最后，接收所述APP根據(jù)業(yè)務(wù)類(lèi)型，并與控制器進(jìn)行協(xié)商，從所述匹配區(qū)間中確定的一個(gè)優(yōu)先級(jí)。

其中，無(wú)論是級(jí)別設(shè)定法還是級(jí)別區(qū)間設(shè)定法，對(duì)于配置給APP的優(yōu)先級(jí)是控制器與APP協(xié)商進(jìn)行確定的，但是，其協(xié)商范圍不能超過(guò)APP所屬于的相關(guān)APP類(lèi)型對(duì)應(yīng)的優(yōu)先級(jí)區(qū)間。例如，若APP普通APP，則控制器與APP協(xié)商為該APP配置優(yōu)先級(jí)時(shí)，其協(xié)商范圍應(yīng)該位于第一優(yōu)先級(jí)區(qū)間。

另外，無(wú)論是采用級(jí)別設(shè)定法還是級(jí)別區(qū)間設(shè)定法，本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法，都是首先為不同類(lèi)型的APP分配不同的優(yōu)先級(jí)區(qū) 間，即普通APP對(duì)應(yīng)第一優(yōu)先級(jí)區(qū)間，安全APP對(duì)應(yīng)第二優(yōu)先級(jí)區(qū)間，管理APP對(duì)應(yīng)第三優(yōu)先級(jí)區(qū)間。由于上述普通APP與安全APP和管理APP并無(wú)交集部分，所以第一優(yōu)先級(jí)區(qū)間與第二優(yōu)先級(jí)區(qū)間或第三優(yōu)先級(jí)區(qū)間并與相同部分，即不存在優(yōu)先級(jí)相同的普通APP和管理APP，或優(yōu)先級(jí)相同的普通APP與安全APP。

所以，即使普通APP的流表項(xiàng)與安全APP或管理APP的流表項(xiàng)存在沖突，普通APP的流表項(xiàng)也會(huì)由于優(yōu)先級(jí)相對(duì)較低，而不會(huì)被執(zhí)行。因此，本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法，能夠有效避免普通APP產(chǎn)生的策略繞過(guò)安全和管理策略，提高網(wǎng)絡(luò)安全性。

步驟S33、獲取所述APP的業(yè)務(wù)策略。

當(dāng)APP注冊(cè)完成后，需要執(zhí)行某一項(xiàng)業(yè)務(wù)時(shí)，該APP需要向控制器發(fā)送相關(guān)的策略，從而進(jìn)入步驟S35。

步驟S35、將所述業(yè)務(wù)策略轉(zhuǎn)化成流表項(xiàng)，并為所述流表項(xiàng)配置與所述APP的優(yōu)先級(jí)相同的優(yōu)先級(jí)。

在步驟S31中為APP分配的優(yōu)先級(jí)或匹配區(qū)間，在業(yè)務(wù)策略轉(zhuǎn)化為流表項(xiàng)時(shí)，均可映射到根據(jù)APP產(chǎn)生的策略所生成的流表項(xiàng)的優(yōu)先級(jí)，舉例來(lái)說(shuō)，如圖7和圖8所示。

另外，當(dāng)APP向控制器發(fā)送業(yè)務(wù)策略時(shí)，可能存在APP私自篡改自身優(yōu)先級(jí)的情況，從而使得APP向控制器發(fā)送的業(yè)務(wù)策略生成的流表項(xiàng)的優(yōu)先級(jí)與控制器之前為該APP分配的優(yōu)先級(jí)不一致，或者流表項(xiàng)的優(yōu)先級(jí)并不位于為該APP分配的匹配區(qū)間內(nèi)。

因此，為了避免APP私自篡改自身優(yōu)先級(jí)后，導(dǎo)致生成的流表項(xiàng)的優(yōu)先級(jí)與已有安全APP或管理APP對(duì)應(yīng)的流表項(xiàng)的優(yōu)先級(jí)相同，而仍然導(dǎo)致普通策略繞過(guò)安全或管理策略，本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法，在將生成的流表項(xiàng)下發(fā)到交換機(jī)之前，還需要進(jìn)一步對(duì)新生成的流表項(xiàng)的優(yōu)先級(jí)進(jìn)行驗(yàn)證。

其中，在步驟S31中，采用級(jí)別設(shè)定法為APP配置優(yōu)先級(jí)時(shí)，最后生成了APP優(yōu)先級(jí)對(duì)應(yīng)表，所以，可對(duì)比所述APP優(yōu)先級(jí)對(duì)應(yīng)表，判斷所述流表項(xiàng)的優(yōu)先級(jí)是否與所述流表項(xiàng)對(duì)應(yīng)的APP的優(yōu)先級(jí)一致，并在判斷不一致時(shí)， 將所述流表項(xiàng)的優(yōu)先級(jí)修改為所述APP優(yōu)先級(jí)對(duì)應(yīng)表中與所述流表項(xiàng)對(duì)應(yīng)的APP的優(yōu)先級(jí)。

另外，在步驟S31中，采用級(jí)別區(qū)間設(shè)定法時(shí)，生成了APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表，所以，可對(duì)比所述APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表，判斷所述流表項(xiàng)的優(yōu)先級(jí)是否位于與所述流表項(xiàng)對(duì)應(yīng)的APP的匹配區(qū)間之內(nèi)；并在判斷結(jié)果為否時(shí)，舍棄所述流表項(xiàng)，并向所述APP發(fā)送提示消息。

步驟S37、將配置了優(yōu)先級(jí)的所述流表項(xiàng)發(fā)送給交換機(jī)。

當(dāng)交換機(jī)接收到控制器發(fā)送的配置了優(yōu)先級(jí)的流表項(xiàng)后，交換機(jī)會(huì)按照優(yōu)先級(jí)進(jìn)行匹配順序的排列，由于普通APP產(chǎn)生的流表項(xiàng)的優(yōu)先級(jí)小于安全和管理級(jí)別APP的流表項(xiàng)的優(yōu)先級(jí)，因此在匹配順序上，安全和管理APP產(chǎn)生的策略位于普通APP的策略之前，因此當(dāng)普通APP的流表項(xiàng)與安全和管理APP的流表項(xiàng)有沖突的時(shí)候，會(huì)優(yōu)先執(zhí)行安全和管理APP的流表項(xiàng)，按照OPENFLOW協(xié)議的原則，數(shù)據(jù)包遇到匹配的流表項(xiàng)時(shí)，會(huì)執(zhí)行該流表項(xiàng)，而不會(huì)再繼續(xù)執(zhí)行后續(xù)的流表項(xiàng)。如果惡意APP企圖產(chǎn)生與安全和管理APP的策略相沖突的流表項(xiàng)，這種流表項(xiàng)將不能被執(zhí)行。

但是，新生成的普通APP的流表項(xiàng)可能與預(yù)先存儲(chǔ)的安全APP或管理APP的流表項(xiàng)存在沖突，雖然這些與安全APP或管理APP的流表項(xiàng)的流表項(xiàng)由于自身優(yōu)先級(jí)較低而不被執(zhí)行，不會(huì)影響系統(tǒng)的安全性，但是仍會(huì)占用一定的流表存儲(chǔ)空間。

因此，在步驟S37之前，可包括如下步驟：

檢測(cè)配置了優(yōu)先級(jí)的所述流表項(xiàng)與預(yù)存儲(chǔ)的管理APP的流表項(xiàng)或安全APP的流表項(xiàng)相沖突時(shí)，丟棄優(yōu)先級(jí)低的流表項(xiàng)。

即，在將配置了優(yōu)先級(jí)的流表項(xiàng)下發(fā)到交換機(jī)之前，將該新生成的流表項(xiàng)只與控制器中預(yù)先存儲(chǔ)的安全APP和管理APP的流表項(xiàng)進(jìn)行對(duì)比，當(dāng)檢測(cè)配置了優(yōu)先級(jí)的所述流表項(xiàng)與預(yù)存儲(chǔ)的管理APP的流表項(xiàng)或安全APP的流表項(xiàng)相沖突時(shí)，丟棄優(yōu)先級(jí)低的流表項(xiàng)。

因此，通過(guò)上述步驟，將有沖突的流表項(xiàng)提前丟棄，因此不存在占用流表存儲(chǔ)空間的問(wèn)題。即，在盡量減少控制器負(fù)擔(dān)的情況下，避免了普通APP產(chǎn)生的策略繞過(guò)安全和管理策略。

另一方面，對(duì)比現(xiàn)有解決策略沖突的方法，首先控制器將APP產(chǎn)生的策略轉(zhuǎn)化成流表項(xiàng)，由控制器對(duì)這些流表項(xiàng)的來(lái)源進(jìn)行驗(yàn)證后添加上優(yōu)先級(jí)，然后將這些新的流表項(xiàng)與已有的流表項(xiàng)進(jìn)行比對(duì)，如果新產(chǎn)生的流表項(xiàng)與現(xiàn)有的流表項(xiàng)有沖突，并且新流表的級(jí)別高于已有流表項(xiàng)的優(yōu)先級(jí)，那么新流表項(xiàng)取代優(yōu)先級(jí)低的舊流表項(xiàng)，反之丟棄新的流表項(xiàng)。

還有一種策略是在檢測(cè)到流表項(xiàng)的沖突后，由控制器采用沖突解決算法將已經(jīng)發(fā)生沖突的流表項(xiàng)進(jìn)行合成，生成一種不與已有流表項(xiàng)沖突的新的流表項(xiàng)。

但是，這兩種都是由控制器直接對(duì)根據(jù)APP產(chǎn)生的策略所生成的流表項(xiàng)進(jìn)行的檢測(cè)和處理，每產(chǎn)生一個(gè)新的流表項(xiàng)就要執(zhí)行該新流表項(xiàng)與現(xiàn)有所有流表項(xiàng)的比較，看是否存在沖突。隨著軟件定義網(wǎng)絡(luò)的發(fā)展，APP的數(shù)量會(huì)日益增加，所以將會(huì)有大量的APP產(chǎn)生大量的策略，實(shí)現(xiàn)通過(guò)控制器使用底層的網(wǎng)絡(luò)資源。此時(shí)，大量APP產(chǎn)生的大量的策略將會(huì)被控制器翻譯成大量的新的流表項(xiàng)，而每生成一個(gè)新的流表項(xiàng)就會(huì)讓控制器進(jìn)行一次與現(xiàn)有所有流表項(xiàng)的比對(duì)，這種方法會(huì)大量消耗控制器的資源。

因此，與現(xiàn)有的策略沖突解決方法相比，本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法，在進(jìn)行沖突檢測(cè)時(shí)，只將新生成的流表項(xiàng)與預(yù)先存儲(chǔ)的安全APP和管理APP對(duì)應(yīng)的流表項(xiàng)進(jìn)行對(duì)比，大大減小了控制器的資源消耗。

綜上所述，本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法，可包括四種實(shí)現(xiàn)方式，如表1所示：

表1不同組合對(duì)應(yīng)的實(shí)現(xiàn)方式

具體地，舉例如下：(設(shè)第一級(jí)優(yōu)先級(jí)區(qū)間為[1，MAXreg]，第二優(yōu)先級(jí)區(qū)間為[MAXreg+1，MAXsec]，第三優(yōu)先級(jí)區(qū)間為[MAXsec+1，MAXadm])

方式一：

假設(shè)MAXreg＝1000，MAXsec＝2000，MAXadm＝3000。

首先，APP1首次安裝到控制器上的時(shí)候，首先在控制器中進(jìn)行注冊(cè)，控制器根據(jù)APP的類(lèi)型為該APP1分配優(yōu)先級(jí)，確認(rèn)APP1為普通APP，其級(jí)別區(qū)間為[1-1000]，并進(jìn)一步將優(yōu)先級(jí)設(shè)為9，之后將優(yōu)先級(jí)9發(fā)送給APP1。APP1可以與控制器進(jìn)行級(jí)別協(xié)商，但是范圍不能超過(guò)限定區(qū)間[1,1000]。APP1根據(jù)此優(yōu)先級(jí)生成以后的所有流表項(xiàng)；控制器將APP的優(yōu)先級(jí)存儲(chǔ)到“APP級(jí)別對(duì)應(yīng)表”中。

接著，級(jí)別協(xié)商成功后，APP1將生成的策略P(該策略級(jí)別為9)發(fā)送給控制器，控制器將策略轉(zhuǎn)化成流表項(xiàng)a，并對(duì)比“APP級(jí)別對(duì)應(yīng)表”，驗(yàn)證APP1的流表項(xiàng)級(jí)別是否與控制器分配的級(jí)別一致，如果不一致的話(huà)，將該流表項(xiàng)級(jí)別修改為控制器設(shè)定的級(jí)別9。因此a的優(yōu)先級(jí)延續(xù)P的優(yōu)先級(jí)，為9。

再次，將流表項(xiàng)a對(duì)比控制器中預(yù)先存儲(chǔ)的安全APP和管理APP對(duì)應(yīng)的流表項(xiàng)，進(jìn)行沖突檢測(cè)，對(duì)于有沖突的流表項(xiàng)，檢查這兩個(gè)流表項(xiàng)的優(yōu)先級(jí)，將優(yōu)先級(jí)較低的流表項(xiàng)丟棄掉。

最后，將被保留的流表項(xiàng)發(fā)送交換機(jī)中。

方式二：

假設(shè)MAXreg＝1000，MAXsec＝2000，MAXadm＝3000。

首先，APP1首次安裝到控制器上的時(shí)候，在控制器上注冊(cè)，控制器根據(jù)APP的類(lèi)型對(duì)該APP1進(jìn)行級(jí)別區(qū)間評(píng)估后，確認(rèn)APP1為普通APP，其級(jí)別區(qū)間為[1-1000]，之后將該級(jí)別區(qū)間發(fā)送給APP1。后續(xù)APP1將根據(jù)自己的業(yè)務(wù)需求，并與控制器進(jìn)行協(xié)商，在此級(jí)別區(qū)間為自己的策略設(shè)定具體的級(jí)別。例如APP1在此級(jí)別區(qū)間內(nèi)根據(jù)自己的業(yè)務(wù)需求選擇“9”作為此次業(yè)務(wù)對(duì)應(yīng)策略的級(jí)別，并根據(jù)此級(jí)別生成以后的所有策略；控制器將APP的級(jí)別區(qū)間存儲(chǔ)到“APP級(jí)別區(qū)間對(duì)應(yīng)表”中。

接著，級(jí)別協(xié)商成功后，APP1將生成的策略P(該策略?xún)?yōu)先級(jí)為9)發(fā)送到控制器，控制器將策略轉(zhuǎn)化成流表項(xiàng)a，a的優(yōu)先級(jí)延續(xù)P的優(yōu)先級(jí)，為9，并對(duì)比“APP級(jí)別區(qū)間對(duì)應(yīng)表”，驗(yàn)證APP的流表項(xiàng)級(jí)別是否在控制器分配的級(jí)別區(qū)間內(nèi)，如果不一致的話(huà)，將該流表項(xiàng)丟棄，并發(fā)送提示消息返回給APP。

再次，將流表項(xiàng)a與控制器中預(yù)先存儲(chǔ)的安全APP和管理APP的流表項(xiàng)對(duì)比，進(jìn)行沖突檢測(cè)，對(duì)于有沖突的流表項(xiàng)，檢查這兩個(gè)流表項(xiàng)的優(yōu)先級(jí)，將優(yōu)先級(jí)較低的流表項(xiàng)丟棄掉。

最后，將被保留的流表項(xiàng)發(fā)送到交換機(jī)中。

方式三：

假設(shè)MAXreg＝1000，MAXsec＝2000，MAXadm＝3000。

首先，APP1首次安裝到控制器上的時(shí)候，首先在控制器中進(jìn)行注冊(cè)，控制器根據(jù)APP的類(lèi)型為該APP1分配優(yōu)先級(jí)，確認(rèn)APP1為普通APP，其級(jí)別區(qū)間為[1-1000]，并進(jìn)一步將優(yōu)先級(jí)設(shè)為9，之后將優(yōu)先級(jí)9發(fā)送給APP1。APP1可以與控制器進(jìn)行級(jí)別協(xié)商，但是范圍不能超過(guò)限定區(qū)間[1,1000]。APP1根據(jù)此優(yōu)先級(jí)生成以后的所有流表項(xiàng)；控制器將APP的優(yōu)先級(jí)分配存儲(chǔ)到“APP級(jí)別對(duì)應(yīng)表”中。

接著，級(jí)別協(xié)商成功后，APP1將生成的策略P(該策略級(jí)別為9)發(fā)送給控制器，控制器將策略轉(zhuǎn)化成流表項(xiàng)a，并對(duì)比“APP級(jí)別對(duì)應(yīng)表”，驗(yàn)證APP1的流表項(xiàng)級(jí)別是否與控制器分配的級(jí)別一致，如果不一致的話(huà)，將該流表項(xiàng)級(jí)別修改為控制器設(shè)定的級(jí)別9。因此a的優(yōu)先級(jí)延續(xù)P的優(yōu)先級(jí)，為9。

最后，將新生成的流表項(xiàng)發(fā)送交換機(jī)中。

方式四：

首先，APP1首次安裝到控制器上的時(shí)候，在控制器上注冊(cè)，控制器根據(jù)APP的類(lèi)型對(duì)該APP1進(jìn)行級(jí)別區(qū)間評(píng)估后，確認(rèn)APP1為普通APP，其級(jí)別區(qū)間為[1-1000]，之后將該級(jí)別區(qū)間發(fā)送給APP1。后續(xù)APP1將根據(jù)自己的業(yè)務(wù)需求，與控制器進(jìn)行協(xié)商，在此級(jí)別區(qū)間為自己的策略設(shè)定具體的級(jí)別。例如APP1在此級(jí)別區(qū)間內(nèi)根據(jù)自己的業(yè)務(wù)需求選擇“9”作為此次業(yè)務(wù)對(duì)應(yīng)策略的級(jí)別，并根據(jù)此級(jí)別生成以后的所有策略；控制器將APP的級(jí)別區(qū)間分配存儲(chǔ)到“APP級(jí)別區(qū)間對(duì)應(yīng)表”中。

接著，級(jí)別協(xié)商成功后，APP1將生成的策略P(該策略?xún)?yōu)先級(jí)為9)發(fā)送到控制器，控制器將策略轉(zhuǎn)化成流表項(xiàng)a，a的優(yōu)先級(jí)延續(xù)P的優(yōu)先級(jí)，為9，并對(duì)比“APP級(jí)別區(qū)間對(duì)應(yīng)表”，驗(yàn)證APP的流表項(xiàng)級(jí)別是否在控制器分配的級(jí)別區(qū)間內(nèi)，如果不一致的話(huà)，將該流表項(xiàng)丟棄，并發(fā)送提示消息返回給 APP。

最后，將新生成的流表項(xiàng)發(fā)送到交換機(jī)中。

綜上所述，本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法能有效防止在SDN網(wǎng)絡(luò)環(huán)境下，多個(gè)APP的場(chǎng)景下，APP的下發(fā)策略與安全和管理策略發(fā)生沖突，從而繞過(guò)安全策略和管理策略，造成系統(tǒng)的安全風(fēng)險(xiǎn)。

在本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法中，首先根據(jù)APP的類(lèi)型對(duì)APP進(jìn)行級(jí)別設(shè)定或者級(jí)別區(qū)間設(shè)定，使得不同類(lèi)別APP生成的流表項(xiàng)具有互不相同的優(yōu)先級(jí)，從而能夠保證普通APP生成的策略的優(yōu)先級(jí)不會(huì)高于安全APP和管理APP的策略的優(yōu)先級(jí)。上述四種方式解決了普通APP產(chǎn)生的策略與安全和管理策略沖突的問(wèn)題，避免了惡意攻擊者故意通過(guò)策略沖突繞過(guò)安全和管理策略，從而進(jìn)一步攻擊網(wǎng)絡(luò)的情況。并且，本發(fā)明實(shí)施例的應(yīng)用程序業(yè)務(wù)策略的處理方法，對(duì)現(xiàn)有設(shè)備改動(dòng)小，不會(huì)帶來(lái)很多成本問(wèn)題。

因此，上述方式一和方式二能夠在減少控制器負(fù)擔(dān)的情況下，有效避免普通APP產(chǎn)生的策略繞過(guò)安全和管理策略，而方式三和方式四不需要控制器做策略沖突檢測(cè)就能夠防止惡意APP故意繞過(guò)安全和管理策略。

第二實(shí)施例

依據(jù)本發(fā)明實(shí)施例的另一個(gè)方面，還提供了一種應(yīng)用程序業(yè)務(wù)策略的處理裝置，如圖4所示，該裝置400包括：

配置模塊401，用于為應(yīng)用程序APP配置一優(yōu)先級(jí)，其中，所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP，且管理APP的優(yōu)先級(jí)高于安全APP的優(yōu)先級(jí)，安全APP的優(yōu)先級(jí)高于普通APP的優(yōu)先級(jí)；

策略獲取模塊403，用于獲取所述APP的業(yè)務(wù)策略；

轉(zhuǎn)化模塊405，用于將所述業(yè)務(wù)策略轉(zhuǎn)化成流表項(xiàng)，并為所述流表項(xiàng)配置與所述APP的優(yōu)先級(jí)相同的優(yōu)先級(jí)；

發(fā)送模塊411，用于將配置了優(yōu)先級(jí)的所述流表項(xiàng)發(fā)送給交換機(jī)。

可選地，所述裝置還包括：

沖突檢測(cè)模塊417，用于檢測(cè)配置了優(yōu)先級(jí)的所述流表項(xiàng)與預(yù)存儲(chǔ)的管理APP的流表項(xiàng)或安全APP的流表項(xiàng)相沖突時(shí)，丟棄優(yōu)先級(jí)低的流表項(xiàng)。

第三實(shí)施例

依據(jù)本發(fā)明實(shí)施例的另一個(gè)方面，還提供了一種應(yīng)用程序業(yè)務(wù)策略的處理裝置，如圖5所示，該裝置400包括：

配置模塊401，用于為應(yīng)用程序APP配置一優(yōu)先級(jí)，其中，所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP，且管理APP的優(yōu)先級(jí)高于安全APP的優(yōu)先級(jí)，安全APP的優(yōu)先級(jí)高于普通APP的優(yōu)先級(jí)；

策略獲取模塊403，用于獲取所述APP的業(yè)務(wù)策略；

轉(zhuǎn)化模塊405，用于將所述業(yè)務(wù)策略轉(zhuǎn)化成流表項(xiàng)，并為所述流表項(xiàng)配置與所述APP的優(yōu)先級(jí)相同的優(yōu)先級(jí)；

發(fā)送模塊411，用于將配置了優(yōu)先級(jí)的所述流表項(xiàng)發(fā)送給交換機(jī)。

可選地，所述配置模塊401包括：

接收單元4011，用于接收所述APP發(fā)送的注冊(cè)請(qǐng)求，其中，所述注冊(cè)請(qǐng)求中包括APP類(lèi)型，所述APP類(lèi)型包括普通APP、安全APP和管理APP；

配置單元4012，用于根據(jù)所述APP類(lèi)型為所述APP配置一優(yōu)先級(jí)。

可選地，所述配置單元4012包括：

第一分配子單元40121，用于分別為所述普通APP、所述安全APP以及所述管理APP分配第一優(yōu)先級(jí)區(qū)間、第二優(yōu)先級(jí)區(qū)間以及第三優(yōu)先級(jí)區(qū)間，其中，所述第一優(yōu)先級(jí)區(qū)間的最大值小于所述第二優(yōu)先級(jí)區(qū)間的最小值，所述第二優(yōu)先級(jí)區(qū)間的最大值小于所述第三優(yōu)先級(jí)區(qū)間的最小值；

第二分配子單元40122，用于根據(jù)所述APP的APP類(lèi)型，并與所述APP進(jìn)行協(xié)商，從所述第一優(yōu)先級(jí)區(qū)間或所述第二優(yōu)先級(jí)區(qū)間或所述第三優(yōu)先級(jí)區(qū)間為所述APP分配一個(gè)優(yōu)先級(jí)，并生成APP對(duì)應(yīng)表，其中，所述APP優(yōu)先級(jí)對(duì)應(yīng)表中包括不同APP對(duì)應(yīng)的優(yōu)先級(jí)；

第一發(fā)送子單元40123，用于將所述優(yōu)先級(jí)發(fā)送給所述APP。

可選地，所述裝置還包括：

第一校驗(yàn)?zāi)K407，用于對(duì)比所述APP優(yōu)先級(jí)對(duì)應(yīng)表，判斷所述流表項(xiàng)的優(yōu)先級(jí)是否與所述流表項(xiàng)對(duì)應(yīng)的APP的優(yōu)先級(jí)一致；

第一處理模塊409，用于當(dāng)所述第一校驗(yàn)?zāi)K407判斷所述流表項(xiàng)的優(yōu)先 級(jí)與所述流表項(xiàng)對(duì)應(yīng)的APP的優(yōu)先級(jí)不一致時(shí)，將所述流表項(xiàng)的優(yōu)先級(jí)修改為所述APP優(yōu)先級(jí)對(duì)應(yīng)表中與所述流表項(xiàng)對(duì)應(yīng)的APP的優(yōu)先級(jí)。

第四實(shí)施例

依據(jù)本發(fā)明實(shí)施例的另一個(gè)方面，還提供了一種還提供了一種應(yīng)用程序業(yè)務(wù)策略的處理裝置，如圖6所示，該裝置400包括：

配置模塊401，用于為應(yīng)用程序APP配置一優(yōu)先級(jí)，其中，所述APP包括管理APP、安全APP以及除所述管理APP和所述安全APP之外的普通APP，且管理APP的優(yōu)先級(jí)高于安全APP的優(yōu)先級(jí)，安全APP的優(yōu)先級(jí)高于普通APP的優(yōu)先級(jí)；

策略獲取模塊403，用于獲取所述APP的業(yè)務(wù)策略；

轉(zhuǎn)化模塊405，用于將所述業(yè)務(wù)策略轉(zhuǎn)化成流表項(xiàng)，并為所述流表項(xiàng)配置與所述APP的優(yōu)先級(jí)相同的優(yōu)先級(jí)；

發(fā)送模塊411，用于將配置了優(yōu)先級(jí)的所述流表項(xiàng)發(fā)送給交換機(jī)。

可選地，所述配置模塊401包括：

接收單元4011，用于接收所述APP發(fā)送的注冊(cè)請(qǐng)求，其中，所述注冊(cè)請(qǐng)求中包括APP類(lèi)型，所述APP類(lèi)型包括普通APP、安全APP和管理APP；

配置單元4012，用于根據(jù)所述APP類(lèi)型為所述APP配置一優(yōu)先級(jí)。

可選地，所述配置單元4012包括：

第三分配子單元40124，用于分別為所述普通APP、所述安全APP以及所述管理APP分配第一優(yōu)先級(jí)區(qū)間、第二優(yōu)先級(jí)區(qū)間以及第三優(yōu)先級(jí)區(qū)間，其中，所述第一優(yōu)先級(jí)區(qū)間的最大值小于所述第二優(yōu)先級(jí)區(qū)間的最小值，所述第二優(yōu)先級(jí)區(qū)間的最大值小于所述第三優(yōu)先級(jí)區(qū)間的最小值；

第四分配子單元40125，用于從所述第一優(yōu)先級(jí)區(qū)間、所述第二優(yōu)先級(jí)區(qū)間以及所述第三優(yōu)先級(jí)區(qū)間中選擇一個(gè)與所述APP的APP類(lèi)型相匹配的優(yōu)先級(jí)區(qū)間作為所述APP的匹配區(qū)間，并生成APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表，其中，所述APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表中包括不同APP對(duì)應(yīng)的匹配區(qū)間；

第二發(fā)送子單元40126，用于將所述匹配區(qū)間發(fā)送給所述APP；

接收子單元40127，用于接收所述APP根據(jù)業(yè)務(wù)類(lèi)型，并與控制器進(jìn)行協(xié)商，從所述匹配區(qū)間中確定的一個(gè)優(yōu)先級(jí)。

可選地，所述裝置還包括：

第二校驗(yàn)?zāi)K413，用于對(duì)比所述APP優(yōu)先級(jí)區(qū)間對(duì)應(yīng)表，判斷所述流表項(xiàng)的優(yōu)先級(jí)是否位于與所述流表項(xiàng)對(duì)應(yīng)的APP的匹配區(qū)間之內(nèi)；

第二處理模塊415，用于當(dāng)所述第一校驗(yàn)?zāi)K判斷所述流表項(xiàng)的優(yōu)先級(jí)位于與所述流表項(xiàng)對(duì)應(yīng)的APP的匹配區(qū)間之外時(shí)，舍棄所述流表項(xiàng)，并向所述APP發(fā)送提示消息。

第五實(shí)施例

依據(jù)本發(fā)明實(shí)施例的另一個(gè)方面，還提供了一種控制器，包括上述所述的應(yīng)用程序業(yè)務(wù)策略的處理裝置。

以上所述的是本發(fā)明的優(yōu)選實(shí)施方式，應(yīng)當(dāng)指出對(duì)于本技術(shù)領(lǐng)域的普通人員來(lái)說(shuō)，在不脫離本發(fā)明所述的原理前提下還可以作出若干改進(jìn)和潤(rùn)飾，這些改進(jìn)和潤(rùn)飾也在本發(fā)明的保護(hù)范圍內(nèi)。