LS建立安全連接的過程中����,內(nèi)部證 書用于化enflow控制器對所述的化enflow邏輯交換機(jī)的身份驗(yàn)證�,外部證書用于所述的 化enflow邏輯交換機(jī)對化enflow控制器的身份驗(yàn)證。
[0053] 本地證書的內(nèi)容包括一個(gè)證書及密鑰參數(shù)(keyvalue)��,夕['部證書的內(nèi)容包括一個(gè) 證書���。本地證書驗(yàn)證可W通過兩種算法來驗(yàn)證�����;一種是DSA算法�����,一種是RSA算法���。使用 DSA算法時(shí)�,本地證書的內(nèi)容包含DSA密鑰參數(shù)(DSAke^alue)及證書���,其中DSA密鑰參數(shù) 包括的內(nèi)容可W是��;P���、Q、J��、G���、Y��、Seed�、PgenCounter、X;使用RSA算法時(shí)�,本地證書的內(nèi)容 包含RSA密鑰參數(shù)(DSAk巧Value)及證書,其中RSA密鑰參數(shù)包括的內(nèi)容可W是��;Mo化lus����、 Exponent���。
[0054] 下面是網(wǎng)絡(luò)配置協(xié)議針對化enflow邏輯交換機(jī)1下發(fā)證書資源的一個(gè)實(shí)例���,本實(shí) 例中邏輯交換機(jī)1分別與控制器0及控制器1相連,如圖2所示���,網(wǎng)絡(luò)配置協(xié)議分別針對 (化enflow邏輯交換機(jī)1�����,控制器0)組及(化enflow邏輯交換機(jī)1�,控制器1)組����,向邏輯交 換機(jī)1下發(fā)了不同的證書資源����,如下:
[00巧]
[0056]
[0057]
[0058]
[0059] 優(yōu)選實(shí)施例二
[0060] 本實(shí)施例中����,一個(gè)化enflow邏輯交換機(jī)與同一個(gè)控制器之間有多個(gè)化enflow安 全通道,即一個(gè)主通道�����,多個(gè)輔助通道���,如圖4所示�����,化enflow邏輯交換機(jī)1與化enflow控 制器之間有一個(gè)主通道和一個(gè)輔助通道�����。
[0061] 本實(shí)施例的實(shí)現(xiàn)SDN證書資源配置的方法的流程圖��,如圖5所示�,包括:
[0062] 步驟S502,化enflow配置點(diǎn)通過網(wǎng)絡(luò)配置協(xié)議與能力交換機(jī)建立連接;
[0063] 步驟S504,基于建立的連接���,針對每對(化enflow邏輯交換機(jī)����,控制器)組的主通 道與輔助通道��,化enflow配置點(diǎn)向能力交換機(jī)的邏輯交換機(jī)下發(fā)不同的證書資源�。
[0064] 如果沒有針對輔助通道配置證書參數(shù)的話,默認(rèn)與主通道配置的證書參數(shù)相同��。
[0065] 證書資源包括����;本地證書與外部證書�,在使用TLS建立安全連接的過程中,內(nèi)部證 書用于化enflow控制器對所述的化enflow邏輯交換機(jī)的身份驗(yàn)證��,外部證書用于所述的 化enflow邏輯交換機(jī)對化enflow控制器的身份驗(yàn)證�����。
[0066] 本地證書的內(nèi)容包括一個(gè)證書及密鑰(key)����,外部證書的內(nèi)容包括一個(gè)證書��。
[0067] 圖6為本發(fā)明實(shí)施例的化enflow配置點(diǎn)裝置的示意圖����,如圖6所示��,本實(shí)施例的 化enflow配置點(diǎn)裝置包括:
[0068] 建立模塊����,用于通過網(wǎng)絡(luò)配置協(xié)議與開放流能力交換機(jī)建立連接;
[0069] 配置模塊�,用于針對每對開放流控制器和開放流邏輯交換機(jī),向所述開放流能力 交換機(jī)的開放流邏輯交換機(jī)下發(fā)證書資源�。
[0070] 在一優(yōu)選實(shí)施例中,所述配置模塊�,針對每對開放流控制器和開放流邏輯交換機(jī) 下發(fā)的證書資源可W各不相同。
[0071] 在另一優(yōu)選實(shí)施例中�����,所述配置模塊��,可W用于針對每對開放流控制器和開放流 邏輯交換機(jī)之間的多個(gè)安全通道����,向所述開放流能力交換機(jī)的開放流邏輯交換機(jī)下發(fā)證書 資源�。
[0072] 其中�,所述配置模塊,針對每對開放流控制器和開放流邏輯交換機(jī)之間的多個(gè)安 全通道下發(fā)的證書資源可W各不相同����。
[0073] 其中,所述配置模塊���,下發(fā)的證書資源包括第一證書資源和第二證書資源����,所述第 一證書資源用于所述開放流控制器對對應(yīng)的開放流邏輯交換機(jī)進(jìn)行身份驗(yàn)證�����,所述第二證 書資源用于所述開放流邏輯交換機(jī)對對應(yīng)的開放流控制器進(jìn)行身份驗(yàn)證����。
[0074] 本領(lǐng)域普通技術(shù)人員可W理解上述方法中的全部或部分步驟可通過程序來指令 相關(guān)硬件完成��,所述程序可W存儲(chǔ)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中���,如只讀存儲(chǔ)器����、磁盤或光盤 等?����?蛇x地�����,上述實(shí)施例的全部或部分步驟也可W使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)��。相應(yīng) 地�,上述實(shí)施例中的各模塊/單元可W采用硬件的形式實(shí)現(xiàn),也可W采用軟件功能模塊的 形式實(shí)現(xiàn)���。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合�����。
[0075] W上僅為本發(fā)明的優(yōu)選實(shí)施例���,當(dāng)然��,本發(fā)明還可有其他多種實(shí)施例���,在不背離本 發(fā)明精神及其實(shí)質(zhì)的情況下,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變 和變形����,但該些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
【主權(quán)項(xiàng)】
1. 一種實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)證書資源配置的方法���,包括: 開放流配置點(diǎn)通過網(wǎng)絡(luò)配置協(xié)議與開放流能力交換機(jī)建立連接���; 所述軟件定義網(wǎng)絡(luò)配置點(diǎn)針對每對開放流控制器和開放流邏輯交換機(jī),向所述開放流 能力交換機(jī)的開放流邏輯交換機(jī)下發(fā)證書資源�。2. 如權(quán)利要求1所述的方法,其特征在于: 所述軟件定義網(wǎng)絡(luò)配置點(diǎn)針對每對開放流控制器和開放流邏輯交換機(jī)下發(fā)的證書資 源各不相同���。3. 如權(quán)利要求1或2所述的方法�,其特征在于: 所述證書資源包括第一證書資源和第二證書資源�,所述第一證書資源用于所述開放流 控制器對對應(yīng)的開放流邏輯交換機(jī)進(jìn)行身份驗(yàn)證,所述第二證書資源用于所述開放流邏輯 交換機(jī)對對應(yīng)的開放流控制器進(jìn)行身份驗(yàn)證����。4. 如權(quán)利要求3所述的方法,其特征在于: 所述第一證書資源包括第一證書和密鑰�����,所述第二證書資源包括第二證書�,所述第一 證書與所述第二證書為不同的證書。5. -種開放流配置點(diǎn)裝置�,其特征在于,包括: 建立模塊��,用于通過網(wǎng)絡(luò)配置協(xié)議與開放流能力交換機(jī)建立連接�����; 配置模塊����,用于針對每對開放流控制器和開放流邏輯交換機(jī),向所述開放流能力交換 機(jī)的開放流邏輯交換機(jī)下發(fā)證書資源���。6. 如權(quán)利要求5所述的開放流配置點(diǎn)裝置��,其特征在于: 所述配置模塊����,針對每對開放流控制器和開放流邏輯交換機(jī)下發(fā)的證書資源各不相 同。7. 如權(quán)利要求5或6所述的開放流配置點(diǎn)裝置�,其特征在于: 所述配置模塊,下發(fā)的證書資源包括第一證書資源和第二證書資源�����,所述第一證書資 源用于所述開放流控制器對對應(yīng)的開放流邏輯交換機(jī)進(jìn)行身份驗(yàn)證��,所述第二證書資源用 于所述開放流邏輯交換機(jī)對對應(yīng)的開放流控制器進(jìn)行身份驗(yàn)證�����。8. -種實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)證書資源配置的方法�����,包括: 開放流配置點(diǎn)通過網(wǎng)絡(luò)配置協(xié)議與開放流能力交換機(jī)建立連接���; 所述軟件定義網(wǎng)絡(luò)配置點(diǎn)針對每對開放流控制器和開放流邏輯交換機(jī)之間的多個(gè)安 全通道���,向所述開放流能力交換機(jī)的開放流邏輯交換機(jī)下發(fā)證書資源。9. 如權(quán)利要求8所述的方法�����,其特征在于: 所述軟件定義網(wǎng)絡(luò)配置點(diǎn)針對每對開放流控制器和開放流邏輯交換機(jī)之間的多個(gè)安 全通道下發(fā)的證書資源各不相同����。10. 如權(quán)利要求8或9所述的方法,其特征在于: 所述證書資源包括第一證書資源和第二證書資源����,所述第一證書資源用于所述開放流 控制器對對應(yīng)的開放流邏輯交換機(jī)進(jìn)行身份驗(yàn)證,所述第二證書資源用于所述開放流邏輯 交換機(jī)對對應(yīng)的開放流控制器進(jìn)行身份驗(yàn)證�����。11. 如權(quán)利要求10所述的方法�,其特征在于: 所述第一證書資源包括第一證書和密鑰,所述第二證書資源包括第二證書����,所述第一 證書與所述第二證書為不同的證書。12. -種開放流配置點(diǎn)裝置��,其特征在于�,包括: 建立模塊,用于通過網(wǎng)絡(luò)配置協(xié)議與開放流能力交換機(jī)建立連接�; 配置模塊,用于針對每對開放流控制器和開放流邏輯交換機(jī)之間的多個(gè)安全通道���,向 所述開放流能力交換機(jī)的開放流邏輯交換機(jī)下發(fā)證書資源�����。13. 如權(quán)利要求12所述的開放流配置點(diǎn)裝置����,其特征在于: 所述配置模塊,針對每對開放流控制器和開放流邏輯交換機(jī)之間的多個(gè)安全通道下發(fā) 的證書資源各不相同�����。14. 如權(quán)利要求12或13所述的開放流配置點(diǎn)裝置�����,其特征在于: 所述配置模塊�����,下發(fā)的證書資源包括第一證書資源和第二證書資源��,所述第一證書資 源用于所述開放流控制器對對應(yīng)的開放流邏輯交換機(jī)進(jìn)行身份驗(yàn)證���,所述第二證書資源用 于所述開放流邏輯交換機(jī)對對應(yīng)的開放流控制器進(jìn)行身份驗(yàn)證�。
【專利摘要】本發(fā)明提供一種實(shí)現(xiàn)SDN證書資源配置的方法及裝置,該方法包括:開放流配置點(diǎn)通過網(wǎng)絡(luò)配置協(xié)議與開放流能力交換機(jī)建立連接�;所述軟件定義網(wǎng)絡(luò)配置點(diǎn)針對每對開放流控制器和開放流邏輯交換機(jī),向所述開放流能力交換機(jī)的開放流邏輯交換機(jī)下發(fā)證書資源����。通過本發(fā)明可以有效地提高網(wǎng)絡(luò)驗(yàn)證的安全性��。
【IPC分類】H04L9/32
【公開號】CN104901799
【申請?zhí)枴緾N201410077220
【發(fā)明人】陳然, 梁乾燈, 焦琳, 王寒凝
【申請人】中興通訊股份有限公司
【公開日】2015年9月9日
【申請日】2014年3月4日