一種面向sdn網(wǎng)絡(luò)的控制層與數(shù)據(jù)層通信通道自配置方法及其系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)領(lǐng)域，是一種針對(duì)SDN(Software DefinedNetwork,簡(jiǎn)稱SDN)網(wǎng)絡(luò)的控制層與數(shù)據(jù)層的通信通道的自動(dòng)配置的方法。
【背景技術(shù)】
[0002]隨著云計(jì)算、大數(shù)據(jù)等新興業(yè)務(wù)的迅猛發(fā)展，網(wǎng)絡(luò)的變革已經(jīng)刻不容緩，在這樣的趨勢(shì)下，SDN技術(shù)的發(fā)展空間將會(huì)越來越廣泛。因?yàn)樵絹碓蕉嗟钠髽I(yè)和運(yùn)營(yíng)商選擇將SDN加入它們的網(wǎng)絡(luò)中，基于SDN構(gòu)建的大規(guī)模網(wǎng)絡(luò)的需求將不斷增加。然而，建設(shè)SDN網(wǎng)絡(luò)前期(在SDN功能完成之前)所投入的成本、人力將明顯阻礙SDN的推廣。刨去進(jìn)行設(shè)備升級(jí)(由傳統(tǒng)網(wǎng)絡(luò)設(shè)備到支持SDN的設(shè)備)所花費(fèi)的必須成本，進(jìn)行SDN功能配置，特別是SDN控制層和數(shù)據(jù)層的通信通道的配置所花費(fèi)的人工成本也會(huì)隨著網(wǎng)絡(luò)規(guī)模的增大而成倍增加。更糟糕的是，手動(dòng)配置產(chǎn)生的錯(cuò)誤嚴(yán)重影響了網(wǎng)絡(luò)的性能。為了解決手動(dòng)配置控制層和數(shù)據(jù)層的通信通道的低效率、高成本、低可靠性等問題，本發(fā)明針對(duì)單一控制器的SDN網(wǎng)絡(luò)，提出基于授權(quán)U盤的控制層與數(shù)據(jù)層的通信通道自配置技術(shù)。通過授權(quán)U盤給設(shè)備授予加入網(wǎng)絡(luò)的權(quán)限，保證未被授權(quán)的設(shè)備不會(huì)加入網(wǎng)絡(luò)，設(shè)備與控制器的相互認(rèn)證和通信通道的建立均是通過授權(quán)U盤作為中間代理完成，即保證了信息的安全性，又省時(shí)省力一一因?yàn)闊o需逐個(gè)配置每臺(tái)設(shè)備，從而提高了整個(gè)SDN網(wǎng)絡(luò)建設(shè)的效率，同時(shí)降低了建設(shè)網(wǎng)絡(luò)的成本。
[0003]軟件定義網(wǎng)絡(luò)(Software Defined Network,簡(jiǎn)稱SDN)是由美國(guó)斯坦福大學(xué)Clean Slate研宄組提出的一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，其基本架構(gòu)如圖1所示，包括三層:最上層是應(yīng)用層(Applicat1n Layer)，由使用SDN通信服務(wù)的終端用戶的應(yīng)用組成；中間是控制層(Control Layer)，包含一個(gè)或多個(gè)控制器提供綜合的網(wǎng)絡(luò)監(jiān)控功能，并為應(yīng)用層提供操作網(wǎng)絡(luò)的接口 ；最底層是設(shè)施層(Infrastructure Layer，也稱為數(shù)據(jù)層)，通過通信通道(一般稱其為安全通道Secure Channel，目前主要是OpenFlow協(xié)議實(shí)現(xiàn))與控制層進(jìn)行交互，完成基本的報(bào)文交換和轉(zhuǎn)發(fā)功能。SDN的核心技術(shù)包括:分離網(wǎng)絡(luò)設(shè)備控制層與數(shù)據(jù)層，實(shí)現(xiàn)控制平面集中化，支持可編程網(wǎng)絡(luò)，這三項(xiàng)技術(shù)相輔相成，最終實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的靈活控制，并為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺(tái)。特別是，隨著以云計(jì)算、大數(shù)據(jù)為代表的新興業(yè)務(wù)的火熱發(fā)展，現(xiàn)有網(wǎng)絡(luò)架構(gòu)已經(jīng)無法滿足云計(jì)算、大數(shù)據(jù)等帶來的新需求，在這個(gè)趨勢(shì)下，網(wǎng)絡(luò)變革已經(jīng)成為必然，而SDN恰是其中最具代表性和最為被認(rèn)可的創(chuàng)新型網(wǎng)絡(luò)架構(gòu)。因而，越來越多的廠商(包括Cisco、華為、VMware等)投入到SDN的陣營(yíng)中，也有越來越多的運(yùn)營(yíng)商(如電信、聯(lián)通等)嘗試將SDN應(yīng)用到他們的網(wǎng)絡(luò)中。
[0004]控制層與數(shù)據(jù)層的通信通道(即安全通道Secure Channel)是實(shí)現(xiàn)SDN的集中控制、可編程特性的關(guān)鍵，是將控制與數(shù)據(jù)分離的基礎(chǔ)。雖然SDN使得網(wǎng)絡(luò)管理變得更加靈活、敏捷、自動(dòng)化，然而，這些優(yōu)勢(shì)均是在控制層與數(shù)據(jù)層的通信通道正確建立之后才能實(shí)現(xiàn)。而要建立控制層與數(shù)據(jù)層的通信通道，通常需要手動(dòng)的到數(shù)據(jù)層的設(shè)備上逐個(gè)進(jìn)行配置，隨著設(shè)備規(guī)模的增大，工作量將成倍增加，耗時(shí)耗力；此外，由于手工工作準(zhǔn)確率無法保證，容易造成網(wǎng)絡(luò)故障，降低網(wǎng)絡(luò)的性能。這些問題嚴(yán)重影響了大規(guī)模網(wǎng)絡(luò)應(yīng)用SDN技術(shù)的效率。自配置技術(shù)是解決手動(dòng)配置問題的最佳選擇，然而，傳統(tǒng)的IP自配置技術(shù)關(guān)注的是設(shè)備IP地址的配置問題，并不適用于SDN的安全通道的自配置，因?yàn)樵诎踩ǖ赖呐渲眠^程包含的內(nèi)容遠(yuǎn)遠(yuǎn)多于配置設(shè)備IP地址，其需要首先完成控制器和其管理的設(shè)備之間的安全認(rèn)證工作，以防止非法設(shè)備進(jìn)入網(wǎng)絡(luò)，因?yàn)榉欠ǖ脑O(shè)備可以通過DDoS攻擊和利用OpenFlow協(xié)議的漏洞攻擊控制器和其他設(shè)備，從而破壞整個(gè)網(wǎng)絡(luò)的安全性；只有在認(rèn)證通過后，才能進(jìn)行安全通道的配置工作。授權(quán)U盤可以用于在控制器和要加入網(wǎng)絡(luò)的設(shè)備的中介，在它們之間建立信任關(guān)系，無需到逐個(gè)配置各個(gè)設(shè)備，省時(shí)省力，可以顯著提高建設(shè)SDN網(wǎng)絡(luò)的效率。
[0005]在發(fā)明名稱為“Automaticsoftware defined network configuringmethod, involves obtaining starting time of main controller and destinat1n IPaddress of distribut1n controller by switch controller, and indicating messageby switch”(公開號(hào)CN103618621-A)的現(xiàn)有技術(shù)中，公開了一種交換機(jī)通過switchcontroller獲取被分配的控制器的目的IP，從而進(jìn)行通信通道的配置，但沒有考慮對(duì)交換機(jī)合法性的認(rèn)證，也沒有進(jìn)行控制器與交換機(jī)之間的相互認(rèn)證來保證通信通道的安全性。
[0006]在發(fā)明名稱為“SDNcloud computing and virtualizing method, involvesreceiving agency Flow Visor informat1n by controller, connecting open flowswitcher with controller, and controlling open flow protocol transmittingprocess by controller”(公開號(hào)CN103905523-A)的現(xiàn)有技術(shù)中，公開了一種SDN云計(jì)算和虛擬化環(huán)境下的FlowVisor信息接收問題、控制器和交換機(jī)的連接問題以及OpenFlow協(xié)議傳播問題，但并沒有解決在SDN網(wǎng)絡(luò)建設(shè)過程中控制層與數(shù)據(jù)層的相互認(rèn)證、通道建立的問題。
[0007]在發(fā)明名稱為“Networkconfigurat1n method, involves sending nodeto master controller,so that master controller configures control rulecorresponding to node type for node according to node type, and sending controlrule to node”(公開號(hào)W02014179923-A1)的現(xiàn)有技術(shù)中，公開了一種依據(jù)控制器的負(fù)載狀態(tài)為交換機(jī)分配控制器，并在數(shù)據(jù)平面配置相應(yīng)地控制平面，從而達(dá)到配置效率優(yōu)化，并滿足網(wǎng)絡(luò)性能的需求。然而，該發(fā)明沒有對(duì)交換機(jī)的合法性進(jìn)行認(rèn)證，在網(wǎng)絡(luò)建設(shè)初期和網(wǎng)絡(luò)重建過程中并不適用。
[0008]在開源項(xiàng)目OpenDaylight 的 SNBI(Secure Network BootstrappingInfrastructure，安全網(wǎng)絡(luò)引導(dǎo)基礎(chǔ)設(shè)施)項(xiàng)目的現(xiàn)有技術(shù)中，公開了一種面向SDN網(wǎng)絡(luò)的SNBI設(shè)備與控制器自動(dòng)發(fā)現(xiàn)、自動(dòng)分配IP地址和自動(dòng)建立安全I(xiàn)P連接的方法，但該方法的認(rèn)證措施僅適用于已知網(wǎng)絡(luò)設(shè)備信息且設(shè)備信息固定的情況，此外，由于SNBI并沒有提供一種設(shè)備信息采集的解決方案，所以不能完全適用于大規(guī)模SDN網(wǎng)絡(luò)建設(shè)，特別是網(wǎng)絡(luò)重建過程中，設(shè)備信息未知(需通過采集方案收集)且動(dòng)態(tài)變化的情況。
[0009]在文獻(xiàn)名稱為:“SilvaDelgado, Mendez Penuela, Morales Medina, RuedaRodriguez, ‘Automatic network reconfigurat1n because of security events’，in2014IEEE Colombian Conference on Communicat1ns and Computing(C0LC0M)，2014.06”的現(xiàn)有技術(shù)中，公開了一種利用SDN技術(shù)自動(dòng)地重配置網(wǎng)絡(luò)以應(yīng)對(duì)安全威脅的方法。然而，該方法只有在SDN網(wǎng)絡(luò)完全建立完成后才可以使用，并沒有解決在SDN網(wǎng)絡(luò)建設(shè)過程中控制層與數(shù)據(jù)層的相互認(rèn)證、通道建立的問題。

【發(fā)明內(nèi)容】

[0010]本發(fā)明的目的在于提供一種面向SDN網(wǎng)絡(luò)的控制層與數(shù)據(jù)層通信通道自配置方法及其系統(tǒng)，用于解決當(dāng)前大規(guī)模SDN網(wǎng)絡(luò)中，手動(dòng)配置控制層和數(shù)據(jù)層通信通道耗時(shí)耗力，可靠性差的問題。
[0011]為達(dá)上述目的，本發(fā)明提出了一種面向SDN網(wǎng)絡(luò)的控制層與數(shù)據(jù)層通信通道自配置方法，用于SDN網(wǎng)絡(luò)中在處于控制層的控制器與處于數(shù)據(jù)層的設(shè)備之間建立通信通道，所述方法，包括:
[0012]自配置管理步驟:基于授權(quán)U盤，進(jìn)行所述控制器與所述設(shè)備的相互認(rèn)證后，建立所述控制器與所述設(shè)備之間的安全通信通道。
[0013]上述面向SDN網(wǎng)絡(luò)的控制層與數(shù)據(jù)層通信通道自配置方法，所述自配置管理步驟，包括:
[0014]預(yù)配置步驟:在所述授權(quán)U盤和所述控制器各預(yù)先配置一對(duì)公鑰和私鑰，所述授權(quán)U盤和所述控制器分別存儲(chǔ)對(duì)方的公鑰，并在所述授權(quán)U盤和所述控制器中預(yù)先配置相同的響應(yīng)生成算法，最后，在所述授權(quán)U盤中存儲(chǔ)所述控制器的簽名，用于后續(xù)的認(rèn)證過程;
[0015]認(rèn)證步驟:基于所述授權(quán)U盤、所述的2