一种实现sdn证书资源配置的方法及装置的制造方法
一种实现sdn证书资源配置的方法及装置的制造方法
【技术领域】
[0001] 本发明涉及通信领域,具体涉及一种实现SDN证书资源配置的方法及装置。
【背景技术】
[0002] 随着软件定义网络(SoftwareDefinedNetwork,简称为SDN)概念的提出及其应 用的发展,作为SDN核也技术的化enFlow(开放流,简称OF)技术正处于快速发展阶段,目 前利用化enFlow技术建设的化enFlow网络已经越来越多地应用于实际的生产生活中。
[0003] 化enFlow网络采用控制平面与转发平面(也称为数据平面或用户平面)相分离的 架构,图1是根据相关技术的化enFlow网络组件架构示意图,如图1所示,化enFlow控制器 与转发面设备之间通过化enflow协议相关联,化enflow配置点与转发面设备之间通过网 络配置协议相关联。化enFlow网络的控制平面由化enFlow控制器来实现,化enFlow控制 器是一种具备强大计算能力的设备,具体的设备形态可W是个人电脑、服务器或服务器集 群等。化enFlow网络的转发平面由化enFlow交换机来实现,化enFlow交换机是一种具备 强大交换能力的设备,具体的设备形态是配备多个网络端口、基于流表(FlowT油le)进行 报文处理与转发的网元设备。控制器可W通过openflow协议来控制化enFlow交换机中流 表的添加、删除和更新,从而达到控制数据转发的目的,也就是说,基于化enFlow的SDN架 构是在化enFlow交换机上实现数据转发,而在控制器上实现数据的转发控制,从而实现了 上述数据转发面和控制层的分离。而化enflow逻辑交换机的相关化enflow资源配置由网 络配置点通过网络配置协议下发的。
[0004]Openflow逻辑交换机与控制器之间的安全通道可W通过化S(TransportLayer Security,传输层安全协议)建立,在使用化S建立安全连接的过程中可W使用DSA(Digital Si即atureAlgorithm,数字签名算法)或RSA算法来进行双方证书的验证。
[0005] 化enflow协议规定化enflow-个逻辑交换机可W与多个控制器相连接,如图2所 示,逻辑交换机1分别与控制器0及控制器1相连,目前的做法是与同一个化enflow逻辑 交换机相连的所有控制器都使用同一个证书,该样就存在安全隐患。针对相关技术中与同 一个化enflow逻辑交换机相连的所有控制器都使用同一个证书,目前尚未提出有效的解 决方案。
【发明内容】
[0006] 本发明要解决的技术问题是提供一种实现SDN证书资源配置的方法及装置,W提 高网络验证的安全性。
[0007]为了解决上述技术问题,本发明提供了一种实现软件定义网络证书资源配置的方 法,包括:
[0008] 开放流配置点通过网络配置协议与开放流能力交换机建立连接;
[0009] 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机,向所述开 放流能力交换机的开放流逻辑交换机下发证书资源。
[0010] 进一步地,上述方法还具有下面特点:
[0011] 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机下发的证 书资源各不相同。
[0012] 进一步地,上述方法还具有下面特点:
[0013] 所述证书资源包括第一证书资源和第二证书资源,所述第一证书资源用于所述开 放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用于所述开放流 逻辑交换机对对应的开放流控制器进行身份验证。
[0014] 进一步地,上述方法还具有下面特点:
[0015] 所述第一证书资源包括第一证书和密钥,所述第二证书资源包括第二证书,所述 第一证书与所述第二证书为不同的证书。
[0016] 为了解决上述问题,本发明还提供了一种开放流配置点装置,其中,包括:
[0017] 建立模块,用于通过网络配置协议与开放流能力交换机建立连接;
[0018] 配置模块,用于针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力 交换机的开放流逻辑交换机下发证书资源。
[0019] 进一步地,上述开放流配置点装置还具有下面特点:
[0020] 所述配置模块,针对每对开放流控制器和开放流逻辑交换机下发的证书资源各不 相同。
[0021] 进一步地,上述开放流配置点装置还具有下面特点:
[0022] 所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第一证 书资源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资 源用于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。
[0023] 为了解决上述问题,本发明还提供了一种实现软件定义网络证书资源配置的方 法,包括:
[0024] 开放流配置点通过网络配置协议与开放流能力交换机建立连接;
[00巧]所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机之间的多 个安全通道,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。
[0026] 进一步地,上述方法还具有下面特点:
[0027] 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机之间的多 个安全通道下发的证书资源各不相同。
[0028] 进一步地,上述方法还具有下面特点:
[0029] 所述证书资源包括第一证书资源和第二证书资源,所述第一证书资源用于所述开 放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用于所述开放流 逻辑交换机对对应的开放流控制器进行身份验证。
[0030] 进一步地,上述方法还具有下面特点:
[0031] 所述第一证书资源包括第一证书和密钥,所述第二证书资源包括第二证书,所述 第一证书与所述第二证书为不同的证书。
[0032] 为了解决上述问题,本发明还提供了一种开放流配置点装置,其中,包括:
[0033] 建立模块,用于通过网络配置协议与开放流能力交换机建立连接;
[0034] 配置模块,用于针对每对开放流控制器和开放流逻辑交换机之间的多个安全通 道,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。
[00巧]进一步地,上述开放流配置点装置还具有下面特点:
[0036] 所述配置模块,针对每对开放流控制器和开放流逻辑交换机之间的多个安全通道 下发的证书资源各不相同。
[0037] 进一步地,上述开放流配置点装置还具有下面特点:
[0038] 所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第一证 书资源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资 源用于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。
[0039] 综上,本发明提供一种实现SDN证书资源配置的方法及装置,可W有效地提高网 络验证的安全性。
【附图说明】
[0040] 图1是现有技术的化enFlow网络组件架构示意图;
[0041] 图2是本发明实施例一的化enFlow网络组件架构示意图;
[0042] 图3是本发明实施例一的实现SDN证书资源配置的方法的流程图;
[0043] 图4是本发明实施例二的化enFlow网络组件架构示意图;
[0044] 图5是本发明实施例二的实现SDN证书资源配置方法的流程图;
[0045] 图6为本发明实施例的化enflow配置点装置的示意图。
【具体实施方式】
[0046]为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明 的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中 的特征可W相互任意组合。
[0047] 优选实施例一
[0048] 本发明实施例提供了一种实现SDN证书资源配置的方法,如图3所示,包括:
[0049] 步骤S402,化enflow配置点通过网络配置协议与能力交换机建立连接;
[0050] 步骤S404,基于建立的连接,针对每对(化enflow逻辑交换机,控制器)组,所述 化enflow配置点向能力交换机的逻辑交换机下发证书资源。
[0051] 其中,化enflow配置点可W针对每对(化enflow逻辑交换机,控制器)组下发的证 书资源各不相同。
[0052] 证书资源包括;本地证书与外部证书,在使用T LS建立安全连接的过程中,内部证 书用于化enflow控制器对所述的化enflow逻辑交换机的身份验证,外部证书用于所述的 化enflow逻辑交换机对化enflow控制器的身份验证。
[0053] 本地证书的内容包括一个证书及密钥参数(keyvalue),夕['部证书的内容包括一个 证书。本地证书验证可W通过两种算法来验证;一种是DSA算法,一种是RSA算法。使用 DSA算法时,本地证书的内容包含DSA密钥参数(DSAke^alue)及证书,其中DSA密钥参数 包括的内容可W是;P、Q、J、G、Y、Seed、PgenCounter、X;使用RSA算法时,本地证书的内容 包含RSA密钥参数(DSAk巧Value)及证书,其中RSA密钥参数包括的内容可W是;Mo化lus、 Exponent。
[0054] 下面是网络配置协议针对化enflow逻辑交换机1下发证书资源的一个实例,本实 例中逻辑交换机1分别与控制器0及控制器1相连,如图2所示,网络配置协议分别针对 (化enflow逻辑交换机1,控制器0)组及(化enflow逻辑交换机1,控制器1)组,向逻辑交 换机1下发了不同的证书资源,如下:
[00巧]
[0056]
[0057]
[0058]
[0059] 优选实施例二
[0060] 本实施例中,一个化enflow逻辑交换机与同一个控制器之间有多个化enflow安 全通道,即一个主通道,多个辅助通道,如图4所示,化enflow逻辑交换机1与化enflow控 制器之间有一个主通道和一个辅助通道。
[0061] 本实施例的实现SDN证书资源配置的方法的流程图,如图5所示,包括:
[0062] 步骤S502,化enflow配置点通过网络配置协议与能力交换机建立连接;
[0063] 步骤S504,基于建立的连接,针对每对(化enflow逻辑交换机,控制器)组的主通 道与辅助通道,化enflow配置点向能力交换机的逻辑交换机下发不同的证书资源。
[0064] 如果没有针对辅助通道配置证书参数的话,默认与主通道配置的证书参数相同。
[0065] 证书资源包括;本地证书与外部证书,在使用TLS建立安全连接的过程中,内部证 书用于化enflow控制器对所述的化enflow逻辑交换机的身份验证,外部证书用于所述的 化enflow逻辑交换机对化enflow控制器的身份验证。
[0066] 本地证书的内容包括一个证书及密钥(key),外部证书的内容包括一个证书。
[0067] 图6为本发明实施例的化enflow配置点装置的示意图,如图6所示,本实施例的 化enflow配置点装置包括:
[0068] 建立模块,用于通过网络配置协议与开放流能力交换机建立连接;
[0069] 配置模块,用于针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力 交换机的开放流逻辑交换机下发证书资源。
[0070] 在一优选实施例中,所述配置模块,针对每对开放流控制器和开放流逻辑交换机 下发的证书资源可W各不相同。
[0071] 在另一优选实施例中,所述配置模块,可W用于针对每对开放流控制器和开放流 逻辑交换机之间的多个安全通道,向所述开放流能力交换机的开放流逻辑交换机下发证书 资源。
[0072] 其中,所述配置模块,针对每对开放流控制器和开放流逻辑交换机之间的多个安 全通道下发的证书资源可W各不相同。
[0073] 其中,所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第 一证书资源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证 书资源用于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。
[0074] 本领域普通技术人员可W理解上述方法中的全部或部分步骤可通过程序来指令 相关硬件完成,所述程序可W存储于计算机可读存储介质中,如只读存储器、磁盘或光盘 等。可选地,上述实施例的全部或部分步骤也可W使用一个或多个集成电路来实现。相应 地,上述实施例中的各模块/单元可W采用硬件的形式实现,也可W采用软件功能模块的 形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
[0075] W上仅为本发明的优选实施例,当然,本发明还可有其他多种实施例,在不背离本 发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变 和变形,但该些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
【主权项】
1. 一种实现软件定义网络证书资源配置的方法,包括: 开放流配置点通过网络配置协议与开放流能力交换机建立连接; 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机,向所述开放流 能力交换机的开放流逻辑交换机下发证书资源。2. 如权利要求1所述的方法,其特征在于: 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机下发的证书资 源各不相同。3. 如权利要求1或2所述的方法,其特征在于: 所述证书资源包括第一证书资源和第二证书资源,所述第一证书资源用于所述开放流 控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用于所述开放流逻辑 交换机对对应的开放流控制器进行身份验证。4. 如权利要求3所述的方法,其特征在于: 所述第一证书资源包括第一证书和密钥,所述第二证书资源包括第二证书,所述第一 证书与所述第二证书为不同的证书。5. -种开放流配置点装置,其特征在于,包括: 建立模块,用于通过网络配置协议与开放流能力交换机建立连接; 配置模块,用于针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力交换 机的开放流逻辑交换机下发证书资源。6. 如权利要求5所述的开放流配置点装置,其特征在于: 所述配置模块,针对每对开放流控制器和开放流逻辑交换机下发的证书资源各不相 同。7. 如权利要求5或6所述的开放流配置点装置,其特征在于: 所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第一证书资 源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用 于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。8. -种实现软件定义网络证书资源配置的方法,包括: 开放流配置点通过网络配置协议与开放流能力交换机建立连接; 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机之间的多个安 全通道,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。9. 如权利要求8所述的方法,其特征在于: 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机之间的多个安 全通道下发的证书资源各不相同。10. 如权利要求8或9所述的方法,其特征在于: 所述证书资源包括第一证书资源和第二证书资源,所述第一证书资源用于所述开放流 控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用于所述开放流逻辑 交换机对对应的开放流控制器进行身份验证。11. 如权利要求10所述的方法,其特征在于: 所述第一证书资源包括第一证书和密钥,所述第二证书资源包括第二证书,所述第一 证书与所述第二证书为不同的证书。12. -种开放流配置点装置,其特征在于,包括: 建立模块,用于通过网络配置协议与开放流能力交换机建立连接; 配置模块,用于针对每对开放流控制器和开放流逻辑交换机之间的多个安全通道,向 所述开放流能力交换机的开放流逻辑交换机下发证书资源。13. 如权利要求12所述的开放流配置点装置,其特征在于: 所述配置模块,针对每对开放流控制器和开放流逻辑交换机之间的多个安全通道下发 的证书资源各不相同。14. 如权利要求12或13所述的开放流配置点装置,其特征在于: 所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第一证书资 源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用 于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。
【专利摘要】本发明提供一种实现SDN证书资源配置的方法及装置,该方法包括:开放流配置点通过网络配置协议与开放流能力交换机建立连接;所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。通过本发明可以有效地提高网络验证的安全性。
【IPC分类】H04L9/32
【公开号】CN104901799
【申请号】CN201410077220
【发明人】陈然, 梁乾灯, 焦琳, 王寒凝
【申请人】中兴通讯股份有限公司
【公开日】2015年9月9日
【申请日】2014年3月4日
【技术领域】
[0001] 本发明涉及通信领域,具体涉及一种实现SDN证书资源配置的方法及装置。
【背景技术】
[0002] 随着软件定义网络(SoftwareDefinedNetwork,简称为SDN)概念的提出及其应 用的发展,作为SDN核也技术的化enFlow(开放流,简称OF)技术正处于快速发展阶段,目 前利用化enFlow技术建设的化enFlow网络已经越来越多地应用于实际的生产生活中。
[0003] 化enFlow网络采用控制平面与转发平面(也称为数据平面或用户平面)相分离的 架构,图1是根据相关技术的化enFlow网络组件架构示意图,如图1所示,化enFlow控制器 与转发面设备之间通过化enflow协议相关联,化enflow配置点与转发面设备之间通过网 络配置协议相关联。化enFlow网络的控制平面由化enFlow控制器来实现,化enFlow控制 器是一种具备强大计算能力的设备,具体的设备形态可W是个人电脑、服务器或服务器集 群等。化enFlow网络的转发平面由化enFlow交换机来实现,化enFlow交换机是一种具备 强大交换能力的设备,具体的设备形态是配备多个网络端口、基于流表(FlowT油le)进行 报文处理与转发的网元设备。控制器可W通过openflow协议来控制化enFlow交换机中流 表的添加、删除和更新,从而达到控制数据转发的目的,也就是说,基于化enFlow的SDN架 构是在化enFlow交换机上实现数据转发,而在控制器上实现数据的转发控制,从而实现了 上述数据转发面和控制层的分离。而化enflow逻辑交换机的相关化enflow资源配置由网 络配置点通过网络配置协议下发的。
[0004]Openflow逻辑交换机与控制器之间的安全通道可W通过化S(TransportLayer Security,传输层安全协议)建立,在使用化S建立安全连接的过程中可W使用DSA(Digital Si即atureAlgorithm,数字签名算法)或RSA算法来进行双方证书的验证。
[0005] 化enflow协议规定化enflow-个逻辑交换机可W与多个控制器相连接,如图2所 示,逻辑交换机1分别与控制器0及控制器1相连,目前的做法是与同一个化enflow逻辑 交换机相连的所有控制器都使用同一个证书,该样就存在安全隐患。针对相关技术中与同 一个化enflow逻辑交换机相连的所有控制器都使用同一个证书,目前尚未提出有效的解 决方案。
【发明内容】
[0006] 本发明要解决的技术问题是提供一种实现SDN证书资源配置的方法及装置,W提 高网络验证的安全性。
[0007]为了解决上述技术问题,本发明提供了一种实现软件定义网络证书资源配置的方 法,包括:
[0008] 开放流配置点通过网络配置协议与开放流能力交换机建立连接;
[0009] 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机,向所述开 放流能力交换机的开放流逻辑交换机下发证书资源。
[0010] 进一步地,上述方法还具有下面特点:
[0011] 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机下发的证 书资源各不相同。
[0012] 进一步地,上述方法还具有下面特点:
[0013] 所述证书资源包括第一证书资源和第二证书资源,所述第一证书资源用于所述开 放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用于所述开放流 逻辑交换机对对应的开放流控制器进行身份验证。
[0014] 进一步地,上述方法还具有下面特点:
[0015] 所述第一证书资源包括第一证书和密钥,所述第二证书资源包括第二证书,所述 第一证书与所述第二证书为不同的证书。
[0016] 为了解决上述问题,本发明还提供了一种开放流配置点装置,其中,包括:
[0017] 建立模块,用于通过网络配置协议与开放流能力交换机建立连接;
[0018] 配置模块,用于针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力 交换机的开放流逻辑交换机下发证书资源。
[0019] 进一步地,上述开放流配置点装置还具有下面特点:
[0020] 所述配置模块,针对每对开放流控制器和开放流逻辑交换机下发的证书资源各不 相同。
[0021] 进一步地,上述开放流配置点装置还具有下面特点:
[0022] 所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第一证 书资源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资 源用于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。
[0023] 为了解决上述问题,本发明还提供了一种实现软件定义网络证书资源配置的方 法,包括:
[0024] 开放流配置点通过网络配置协议与开放流能力交换机建立连接;
[00巧]所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机之间的多 个安全通道,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。
[0026] 进一步地,上述方法还具有下面特点:
[0027] 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机之间的多 个安全通道下发的证书资源各不相同。
[0028] 进一步地,上述方法还具有下面特点:
[0029] 所述证书资源包括第一证书资源和第二证书资源,所述第一证书资源用于所述开 放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用于所述开放流 逻辑交换机对对应的开放流控制器进行身份验证。
[0030] 进一步地,上述方法还具有下面特点:
[0031] 所述第一证书资源包括第一证书和密钥,所述第二证书资源包括第二证书,所述 第一证书与所述第二证书为不同的证书。
[0032] 为了解决上述问题,本发明还提供了一种开放流配置点装置,其中,包括:
[0033] 建立模块,用于通过网络配置协议与开放流能力交换机建立连接;
[0034] 配置模块,用于针对每对开放流控制器和开放流逻辑交换机之间的多个安全通 道,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。
[00巧]进一步地,上述开放流配置点装置还具有下面特点:
[0036] 所述配置模块,针对每对开放流控制器和开放流逻辑交换机之间的多个安全通道 下发的证书资源各不相同。
[0037] 进一步地,上述开放流配置点装置还具有下面特点:
[0038] 所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第一证 书资源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资 源用于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。
[0039] 综上,本发明提供一种实现SDN证书资源配置的方法及装置,可W有效地提高网 络验证的安全性。
【附图说明】
[0040] 图1是现有技术的化enFlow网络组件架构示意图;
[0041] 图2是本发明实施例一的化enFlow网络组件架构示意图;
[0042] 图3是本发明实施例一的实现SDN证书资源配置的方法的流程图;
[0043] 图4是本发明实施例二的化enFlow网络组件架构示意图;
[0044] 图5是本发明实施例二的实现SDN证书资源配置方法的流程图;
[0045] 图6为本发明实施例的化enflow配置点装置的示意图。
【具体实施方式】
[0046]为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明 的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中 的特征可W相互任意组合。
[0047] 优选实施例一
[0048] 本发明实施例提供了一种实现SDN证书资源配置的方法,如图3所示,包括:
[0049] 步骤S402,化enflow配置点通过网络配置协议与能力交换机建立连接;
[0050] 步骤S404,基于建立的连接,针对每对(化enflow逻辑交换机,控制器)组,所述 化enflow配置点向能力交换机的逻辑交换机下发证书资源。
[0051] 其中,化enflow配置点可W针对每对(化enflow逻辑交换机,控制器)组下发的证 书资源各不相同。
[0052] 证书资源包括;本地证书与外部证书,在使用T LS建立安全连接的过程中,内部证 书用于化enflow控制器对所述的化enflow逻辑交换机的身份验证,外部证书用于所述的 化enflow逻辑交换机对化enflow控制器的身份验证。
[0053] 本地证书的内容包括一个证书及密钥参数(keyvalue),夕['部证书的内容包括一个 证书。本地证书验证可W通过两种算法来验证;一种是DSA算法,一种是RSA算法。使用 DSA算法时,本地证书的内容包含DSA密钥参数(DSAke^alue)及证书,其中DSA密钥参数 包括的内容可W是;P、Q、J、G、Y、Seed、PgenCounter、X;使用RSA算法时,本地证书的内容 包含RSA密钥参数(DSAk巧Value)及证书,其中RSA密钥参数包括的内容可W是;Mo化lus、 Exponent。
[0054] 下面是网络配置协议针对化enflow逻辑交换机1下发证书资源的一个实例,本实 例中逻辑交换机1分别与控制器0及控制器1相连,如图2所示,网络配置协议分别针对 (化enflow逻辑交换机1,控制器0)组及(化enflow逻辑交换机1,控制器1)组,向逻辑交 换机1下发了不同的证书资源,如下:
[00巧]
[0056]
[0057]
[0058]
[0059] 优选实施例二
[0060] 本实施例中,一个化enflow逻辑交换机与同一个控制器之间有多个化enflow安 全通道,即一个主通道,多个辅助通道,如图4所示,化enflow逻辑交换机1与化enflow控 制器之间有一个主通道和一个辅助通道。
[0061] 本实施例的实现SDN证书资源配置的方法的流程图,如图5所示,包括:
[0062] 步骤S502,化enflow配置点通过网络配置协议与能力交换机建立连接;
[0063] 步骤S504,基于建立的连接,针对每对(化enflow逻辑交换机,控制器)组的主通 道与辅助通道,化enflow配置点向能力交换机的逻辑交换机下发不同的证书资源。
[0064] 如果没有针对辅助通道配置证书参数的话,默认与主通道配置的证书参数相同。
[0065] 证书资源包括;本地证书与外部证书,在使用TLS建立安全连接的过程中,内部证 书用于化enflow控制器对所述的化enflow逻辑交换机的身份验证,外部证书用于所述的 化enflow逻辑交换机对化enflow控制器的身份验证。
[0066] 本地证书的内容包括一个证书及密钥(key),外部证书的内容包括一个证书。
[0067] 图6为本发明实施例的化enflow配置点装置的示意图,如图6所示,本实施例的 化enflow配置点装置包括:
[0068] 建立模块,用于通过网络配置协议与开放流能力交换机建立连接;
[0069] 配置模块,用于针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力 交换机的开放流逻辑交换机下发证书资源。
[0070] 在一优选实施例中,所述配置模块,针对每对开放流控制器和开放流逻辑交换机 下发的证书资源可W各不相同。
[0071] 在另一优选实施例中,所述配置模块,可W用于针对每对开放流控制器和开放流 逻辑交换机之间的多个安全通道,向所述开放流能力交换机的开放流逻辑交换机下发证书 资源。
[0072] 其中,所述配置模块,针对每对开放流控制器和开放流逻辑交换机之间的多个安 全通道下发的证书资源可W各不相同。
[0073] 其中,所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第 一证书资源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证 书资源用于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。
[0074] 本领域普通技术人员可W理解上述方法中的全部或部分步骤可通过程序来指令 相关硬件完成,所述程序可W存储于计算机可读存储介质中,如只读存储器、磁盘或光盘 等。可选地,上述实施例的全部或部分步骤也可W使用一个或多个集成电路来实现。相应 地,上述实施例中的各模块/单元可W采用硬件的形式实现,也可W采用软件功能模块的 形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
[0075] W上仅为本发明的优选实施例,当然,本发明还可有其他多种实施例,在不背离本 发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变 和变形,但该些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
【主权项】
1. 一种实现软件定义网络证书资源配置的方法,包括: 开放流配置点通过网络配置协议与开放流能力交换机建立连接; 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机,向所述开放流 能力交换机的开放流逻辑交换机下发证书资源。2. 如权利要求1所述的方法,其特征在于: 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机下发的证书资 源各不相同。3. 如权利要求1或2所述的方法,其特征在于: 所述证书资源包括第一证书资源和第二证书资源,所述第一证书资源用于所述开放流 控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用于所述开放流逻辑 交换机对对应的开放流控制器进行身份验证。4. 如权利要求3所述的方法,其特征在于: 所述第一证书资源包括第一证书和密钥,所述第二证书资源包括第二证书,所述第一 证书与所述第二证书为不同的证书。5. -种开放流配置点装置,其特征在于,包括: 建立模块,用于通过网络配置协议与开放流能力交换机建立连接; 配置模块,用于针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力交换 机的开放流逻辑交换机下发证书资源。6. 如权利要求5所述的开放流配置点装置,其特征在于: 所述配置模块,针对每对开放流控制器和开放流逻辑交换机下发的证书资源各不相 同。7. 如权利要求5或6所述的开放流配置点装置,其特征在于: 所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第一证书资 源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用 于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。8. -种实现软件定义网络证书资源配置的方法,包括: 开放流配置点通过网络配置协议与开放流能力交换机建立连接; 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机之间的多个安 全通道,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。9. 如权利要求8所述的方法,其特征在于: 所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机之间的多个安 全通道下发的证书资源各不相同。10. 如权利要求8或9所述的方法,其特征在于: 所述证书资源包括第一证书资源和第二证书资源,所述第一证书资源用于所述开放流 控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用于所述开放流逻辑 交换机对对应的开放流控制器进行身份验证。11. 如权利要求10所述的方法,其特征在于: 所述第一证书资源包括第一证书和密钥,所述第二证书资源包括第二证书,所述第一 证书与所述第二证书为不同的证书。12. -种开放流配置点装置,其特征在于,包括: 建立模块,用于通过网络配置协议与开放流能力交换机建立连接; 配置模块,用于针对每对开放流控制器和开放流逻辑交换机之间的多个安全通道,向 所述开放流能力交换机的开放流逻辑交换机下发证书资源。13. 如权利要求12所述的开放流配置点装置,其特征在于: 所述配置模块,针对每对开放流控制器和开放流逻辑交换机之间的多个安全通道下发 的证书资源各不相同。14. 如权利要求12或13所述的开放流配置点装置,其特征在于: 所述配置模块,下发的证书资源包括第一证书资源和第二证书资源,所述第一证书资 源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证,所述第二证书资源用 于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。
【专利摘要】本发明提供一种实现SDN证书资源配置的方法及装置,该方法包括:开放流配置点通过网络配置协议与开放流能力交换机建立连接;所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机,向所述开放流能力交换机的开放流逻辑交换机下发证书资源。通过本发明可以有效地提高网络验证的安全性。
【IPC分类】H04L9/32
【公开号】CN104901799
【申请号】CN201410077220
【发明人】陈然, 梁乾灯, 焦琳, 王寒凝
【申请人】中兴通讯股份有限公司
【公开日】2015年9月9日
【申请日】2014年3月4日
最新回复(0)