一種實(shí)現(xiàn)sdn證書資源配置的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信領(lǐng)域,具體涉及一種實(shí)現(xiàn)SDN證書資源配置的方法及裝置。
【背景技術(shù)】
[0002] 隨著軟件定義網(wǎng)絡(luò)(SoftwareDefinedNetwork,簡稱為SDN)概念的提出及其應(yīng) 用的發(fā)展,作為SDN核也技術(shù)的化enFlow(開放流,簡稱OF)技術(shù)正處于快速發(fā)展階段,目 前利用化enFlow技術(shù)建設(shè)的化enFlow網(wǎng)絡(luò)已經(jīng)越來越多地應(yīng)用于實(shí)際的生產(chǎn)生活中。
[0003] 化enFlow網(wǎng)絡(luò)采用控制平面與轉(zhuǎn)發(fā)平面(也稱為數(shù)據(jù)平面或用戶平面)相分離的 架構(gòu),圖1是根據(jù)相關(guān)技術(shù)的化enFlow網(wǎng)絡(luò)組件架構(gòu)示意圖,如圖1所示,化enFlow控制器 與轉(zhuǎn)發(fā)面設(shè)備之間通過化enflow協(xié)議相關(guān)聯(lián),化enflow配置點(diǎn)與轉(zhuǎn)發(fā)面設(shè)備之間通過網(wǎng) 絡(luò)配置協(xié)議相關(guān)聯(lián)。化enFlow網(wǎng)絡(luò)的控制平面由化enFlow控制器來實(shí)現(xiàn),化enFlow控制 器是一種具備強(qiáng)大計算能力的設(shè)備,具體的設(shè)備形態(tài)可W是個人電腦、服務(wù)器或服務(wù)器集 群等。化enFlow網(wǎng)絡(luò)的轉(zhuǎn)發(fā)平面由化enFlow交換機(jī)來實(shí)現(xiàn),化enFlow交換機(jī)是一種具備 強(qiáng)大交換能力的設(shè)備,具體的設(shè)備形態(tài)是配備多個網(wǎng)絡(luò)端口、基于流表(FlowT油le)進(jìn)行 報文處理與轉(zhuǎn)發(fā)的網(wǎng)元設(shè)備??刂破骺蒞通過openflow協(xié)議來控制化enFlow交換機(jī)中流 表的添加、刪除和更新,從而達(dá)到控制數(shù)據(jù)轉(zhuǎn)發(fā)的目的,也就是說,基于化enFlow的SDN架 構(gòu)是在化enFlow交換機(jī)上實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā),而在控制器上實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)控制,從而實(shí)現(xiàn)了 上述數(shù)據(jù)轉(zhuǎn)發(fā)面和控制層的分離。而化enflow邏輯交換機(jī)的相關(guān)化enflow資源配置由網(wǎng) 絡(luò)配置點(diǎn)通過網(wǎng)絡(luò)配置協(xié)議下發(fā)的。
[0004]Openflow邏輯交換機(jī)與控制器之間的安全通道可W通過化S(TransportLayer Security,傳輸層安全協(xié)議)建立,在使用化S建立安全連接的過程中可W使用DSA(Digital Si即atureAlgorithm,數(shù)字簽名算法)或RSA算法來進(jìn)行雙方證書的驗(yàn)證。
[0005] 化enflow協(xié)議規(guī)定化enflow-個邏輯交換機(jī)可W與多個控制器相連接,如圖2所 示,邏輯交換機(jī)1分別與控制器0及控制器1相連,目前的做法是與同一個化enflow邏輯 交換機(jī)相連的所有控制器都使用同一個證書,該樣就存在安全隱患。針對相關(guān)技術(shù)中與同 一個化enflow邏輯交換機(jī)相連的所有控制器都使用同一個證書,目前尚未提出有效的解 決方案。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明要解決的技術(shù)問題是提供一種實(shí)現(xiàn)SDN證書資源配置的方法及裝置,W提 高網(wǎng)絡(luò)驗(yàn)證的安全性。
[0007]為了解決上述技術(shù)問題,本發(fā)明提供了一種實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)證書資源配置的方 法,包括:
[0008] 開放流配置點(diǎn)通過網(wǎng)絡(luò)配置協(xié)議與開放流能力交換機(jī)建立連接;
[0009] 所述軟件定義網(wǎng)絡(luò)配置點(diǎn)針對每對開放流控制器和開放流邏輯交換機(jī),向所述開 放流能力交換機(jī)的開放流邏輯交換機(jī)下發(fā)證書資源。
[0010] 進(jìn)一步地,上述方法還具有下面特點(diǎn):
[0011] 所述軟件定義網(wǎng)絡(luò)配置點(diǎn)針對每對開放流控制器和開放流邏輯交換機(jī)下發(fā)的證 書資源各不相同。
[0012] 進(jìn)一步地,上述方法還具有下面特點(diǎn):
[0013] 所述證書資源包括第一證書資源和第二證書資源,所述第一證書資源用于所述開 放流控制器對對應(yīng)的開放流邏輯交換機(jī)進(jìn)行身份驗(yàn)證,所述第二證書資源用于所述開放流 邏輯交換機(jī)對對應(yīng)的開放流控制器進(jìn)行身份驗(yàn)證。
[0014] 進(jìn)一步地,上述方法還具有下面特點(diǎn):
[0015] 所述第一證書資源包括第一證書和密鑰,所述第二證書資源包括第二證書,所述 第一證書與所述第二證書為不同的證書。
[0016] 為了解決上述問題,本發(fā)明還提供了一種開放流配置點(diǎn)裝置,其中,包括:
[0017] 建立模塊,用于通過網(wǎng)絡(luò)配置協(xié)議與開放流能力交換機(jī)建立連接;
[0018] 配置模塊,用于針對每對開放流控制器和開放流邏輯交換機(jī),向所述開放流能力 交換機(jī)的開放流邏輯交換機(jī)下發(fā)證書資源。
[0019] 進(jìn)一步地,上述開放流配置點(diǎn)裝置還具有下面特點(diǎn):
[0020] 所述配置模塊,針對每對開放流控制器和開放流邏輯交換機(jī)下發(fā)的證書資源各不 相同。
[0021] 進(jìn)一步地,上述開放流配置點(diǎn)裝置還具有下面特點(diǎn):
[0022] 所述配置模塊,下發(fā)的證書資源包括第一證書資源和第二證書資源,所述第一證 書資源用于所述開放流控制器對對應(yīng)的開放流邏輯交換機(jī)進(jìn)行身份驗(yàn)證,所述第二證書資 源用于所述開放流邏輯交換機(jī)對對應(yīng)的開放流控制器進(jìn)行身份驗(yàn)證。
[0023] 為了解決上述問題,本發(fā)明還提供了一種實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)證書資源配置的方 法,包括:
[0024] 開放流配置點(diǎn)通過網(wǎng)絡(luò)配置協(xié)議與開放流能力交換機(jī)建立連接;
[00巧]所述軟件定義網(wǎng)絡(luò)配置點(diǎn)針對每對開放流控制器和開放流邏輯交換機(jī)之間的多 個安全通道,向所述開放流能力交換機(jī)的開放流邏輯交換機(jī)下發(fā)證書資源。
[0026] 進(jìn)一步地,上述方法還具有下面特點(diǎn):
[0027] 所述軟件定義網(wǎng)絡(luò)配置點(diǎn)針對每對開放流控制器和開放流邏輯交換機(jī)之間的多 個安全通道下發(fā)的證書資源各不相同。
[0028] 進(jìn)一步地,上述方法還具有下面特點(diǎn):
[0029] 所述證書資源包括第一證書資源和第二證書資源,所述第一證書資源用于所述開 放流控制器對對應(yīng)的開放流邏輯交換機(jī)進(jìn)行身份驗(yàn)證,所述第二證書資源用于所述開放流 邏輯交換機(jī)對對應(yīng)的開放流控制器進(jìn)行身份驗(yàn)證。
[0030] 進(jìn)一步地,上述方法還具有下面特點(diǎn):
[0031] 所述第一證書資源包括第一證書和密鑰,所述第二證書資源包括第二證書,所述 第一證書與所述第二證書為不同的證書。
[0032] 為了解決上述問題,本發(fā)明還提供了一種開放流配置點(diǎn)裝置,其中,包括:
[0033] 建立模塊,用于通過網(wǎng)絡(luò)配置協(xié)議與開放流能力交換機(jī)建立連接;
[0034] 配置模塊,用于針對每對開放流控制器和開放流邏輯交換機(jī)之間的多個安全通 道,向所述開放流能力交換機(jī)的開放流邏輯交換機(jī)下發(fā)證書資源。
[00巧]進(jìn)一步地,上述開放流配置點(diǎn)裝置還具有下面特點(diǎn):
[0036] 所述配置模塊,針對每對開放流控制器和開放流邏輯交換機(jī)之間的多個安全通道 下發(fā)的證書資源各不相同。
[0037] 進(jìn)一步地,上述開放流配置點(diǎn)裝置還具有下面特點(diǎn):
[0038] 所述配置模塊,下發(fā)的證書資源包括第一證書資源和第二證書資源,所述第一證 書資源用于所述開放流控制器對對應(yīng)的開放流邏輯交換機(jī)進(jìn)行身份驗(yàn)證,所述第二證書資 源用于所述開放流邏輯交換機(jī)對對應(yīng)的開放流控制器進(jìn)行身份驗(yàn)證。
[0039] 綜上,本發(fā)明提供一種實(shí)現(xiàn)SDN證書資源配置的方法及裝置,可W有效地提高網(wǎng) 絡(luò)驗(yàn)證的安全性。
【附圖說明】
[0040] 圖1是現(xiàn)有技術(shù)的化enFlow網(wǎng)絡(luò)組件架構(gòu)示意圖;
[0041] 圖2是本發(fā)明實(shí)施例一的化enFlow網(wǎng)絡(luò)組件架構(gòu)示意圖;
[0042] 圖3是本發(fā)明實(shí)施例一的實(shí)現(xiàn)SDN證書資源配置的方法的流程圖;
[0043] 圖4是本發(fā)明實(shí)施例二的化enFlow網(wǎng)絡(luò)組件架構(gòu)示意圖;
[0044] 圖5是本發(fā)明實(shí)施例二的實(shí)現(xiàn)SDN證書資源配置方法的流程圖;
[0045] 圖6為本發(fā)明實(shí)施例的化enflow配置點(diǎn)裝置的示意圖。
【具體實(shí)施方式】
[0046]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下文中將結(jié)合附圖對本發(fā)明 的實(shí)施例進(jìn)行詳細(xì)說明。需要說明的是,在不沖突的情況下,本申請中的實(shí)施例及實(shí)施例中 的特征可W相互任意組合。
[0047] 優(yōu)選實(shí)施例一
[0048] 本發(fā)明實(shí)施例提供了一種實(shí)現(xiàn)SDN證書資源配置的方法,如圖3所示,包括:
[0049] 步驟S402,化enflow配置點(diǎn)通過網(wǎng)絡(luò)配置協(xié)議與能力交換機(jī)建立連接;
[0050] 步驟S404,基于建立的連接,針對每對(化enflow邏輯交換機(jī),控制器)組,所述 化enflow配置點(diǎn)向能力交換機(jī)的邏輯交換機(jī)下發(fā)證書資源。
[0051] 其中,化enflow配置點(diǎn)可W針對每對(化enflow邏輯交換機(jī),控制器)組下發(fā)的證 書資源各不相同。
[0052] 證書資源包括;本地證書與外部證書,在使用T