本发明专利技术提供一种实现SDN证书资源配置的方法及装置,该方法包括:开放流配置点通过网络配置协议与开放流能力交换机建立连接;所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。通过本发明专利技术可以有效地提高网络验证的安全性。
【技术实现步骤摘要】
本专利技术涉及通信领域,具体涉及一种实现SDN证书资源配置的方法及装置。
技术介绍
随着软件定义网络(SoftwareDefinedNetwork,简称为SDN)概念的提出及其应 用的发展,作为SDN核也技术的化enFlow(开放流,简称OF)技术正处于快速发展阶段,目 前利用化enFlow技术建设的化enFlow网络已经越来越多地应用于实际的生产生活中。 化enFlow网络采用控制平面与转发平面(也称为数据平面或用户平面)相分离的 架构,图1是根据相关技术的化enFlow网络组件架构示意图,如图1所示,化enFlow控制器 与转发面设备之间通过化enflow协议相关联,化enflow配置点与转发面设备之间通过网 络配置协议相关联。化enFlow网络的控制平面由化enFlow控制器来实现,化enFlow控制 器是一种具备强大计算能力的设备,具体的设备形态可W是个人电脑、服务器或服务器集 群等。化enFlow网络的转发平面由化enFlow交换机来实现,化enFlow交换机是一种具备 强大交换能力的设备,具体的设备形态是配备多个网络端口、基于流表(FlowT油le)进行 报文处理与转发的网元设备。控制器可W通过openflow协议来控制化enFlow交换机中流 表的添加、删除和更新,从而达到控制数据转发的目的,也就是说,基于化enFlow的SDN架 构是在化enFlow交换机上实现数据转发,而在控制器上实现数据的转发控制,从而实现了 上述数据转发面和控制层的分离。而化enflow逻辑交换机的相关化enflow资源配置由网 络配置点通过网络配置协议下发的。Openflow逻辑交换机与控制器之间的安全通道可W通过化S(TransportLayer Security,传输层安全协议)建立,在使用化S建立安全连接的过程中可W使用DSA(Digital Si即atureAlgorithm,数字签名算法)或RSA算法来进行双方证书的验证。 化enflow协议规定化enflow-个逻辑交换机可W与多个控制器相连接,如图2所 示,逻辑交换机1分别与控制器0及控制器1相连,目前的做法是与同一个化enflow逻辑 交换机相连的所有控制器都使用同一个证书,该样就存在安全隐患。针对相关技术中与同 一个化enflow逻辑交换机相连的所有控制器都使用同一个证书,目前尚未提出有效的解 决方案。
技术实现思路
本专利技术要解决的技术问题是提供一种实现SDN证书资源配置的方法及装置,W提 高网络验证的安全性。为了解决上述技术问题,本专利技术提供了一种实现软件定义网络证书资源配置的方 法,包括: 开放流配置点通过网络配置协议与开放流能力交换机建立连接; 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机,向所述开 放流能力交换机的开放流逻辑交换机下发证书资源。 进一步地,上述方法还具有下面特点: 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机下发的证 书资源各不相同。 进一步地,上述方法还具有下面特点: 所述证书资源包括第一证书资源和第二证书资源,所述第一证书资源用于所述开 放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用于所述开放流 逻辑交换机对对应的开放流控制器进行身份验证。 进一步地,上述方法还具有下面特点: 所述第一证书资源包括第一证书和密钥,所述第二证书资源包括第二证书,所述 第一证书与所述第二证书为不同的证书。 为了解决上述问题,本专利技术还提供了一种开放流配置点装置,其中,包括: 建立模块,用于通过网络配置协议与开放流能力交换机建立连接; 配置模块,用于针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力 交换机的开放流逻辑交换机下发证书资源。 进一步地,上述开放流配置点装置还具有下面特点: 所述配置模块,针对每对开放流控制器和开放流逻辑交换机下发的证书资源各不 相同。 进一步地,上述开放流配置点装置还具有下面特点: 所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第一证 书资源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资 源用于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。 为了解决上述问题,本专利技术还提供了一种实现软件定义网络证书资源配置的方 法,包括: 开放流配置点通过网络配置协议与开放流能力交换机建立连接;所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机之间的多 个安全通道,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。 进一步地,上述方法还具有下面特点: 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机之间的多 个安全通道下发的证书资源各不相同。 进一步地,上述方法还具有下面特点: 所述证书资源包括第一证书资源和第二证书资源,所述第一证书资源用于所述开 放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用于所述开放流 逻辑交换机对对应的开放流控制器进行身份验证。 进一步地,上述方法还具有下面特点: 所述第一证书资源包括第一证书和密钥,所述第二证书资源包括第二证书,所述 第一证书与所述第二证书为不同的证书。 为了解决上述问题,本专利技术还提供了一种开放流配置点装置,其中,包括: 建立模块,用于通过网络配置协议与开放流能力交换机建立连接; 配置模块,用于针对每对开放流控制器和开放流逻辑交换机之间的多个安全通 道,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。进一步地,上述开放流配置点装置还具有下面特点: 所述配置模块,针对每对开放流控制器和开放流逻辑交换机之间的多个安全通道 下发的证书资源各不相同。 进一步地,上述开放流配置点装置还具有下面特点: 所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第一证 书资源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资 源用于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。 综上,本专利技术提供一种实现SDN证书资源配置的方法及装置,可W有效地提高网 络验证的安全性。【附图说明】 图1是现有技术的化enFlow网络组件架构示意图; 图2是本专利技术实施例一的化enFlow网络组件架构示意图; 图3是本专利技术实施例一的实现SDN证书资源配置的方法的流程图; 图4是本专利技术实施例二的化enFlow网络组件架构示意图; 图5是本专利技术实施例二的实现SDN证书资源配置方法的流程图; 图6为本专利技术实施例的化enflow配置点装置的示意图。【具体实施方式】为使本专利技术的目的、技术方案和优点更加清楚明白,下文中将结合附图对本专利技术 的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中 的特征可W相互任意组合。 优选实施例一 本专利技术实施例提供了一种实现SDN证书资源配置的方法,如图3所示,包括: 步骤S402,化enflow配置点通过网络配置协议与能力交换机建立连接; 步骤S404,基于建立的连接,针对每对(化enflow逻辑交换机,控制器)组,所述 化enflow配置点向能力交换机的逻辑交换机下发证书资源。 其中,化enflow配置点可W针对每对(化enflow逻辑交换机,控制器)组下本文档来自技高网...
【技术保护点】
一种实现软件定义网络证书资源配置的方法,包括:开放流配置点通过网络配置协议与开放流能力交换机建立连接;所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈然,梁乾灯,焦琳,王寒凝,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。