CN104641594B - 组播消息更新 - Google Patents
组播消息更新 Download PDFInfo
- Publication number
- CN104641594B CN104641594B CN201280075908.8A CN201280075908A CN104641594B CN 104641594 B CN104641594 B CN 104641594B CN 201280075908 A CN201280075908 A CN 201280075908A CN 104641594 B CN104641594 B CN 104641594B
- Authority
- CN
- China
- Prior art keywords
- network infrastructure
- controller
- infrastructure device
- multiple network
- multicast
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/1863—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast comprising mechanisms for improved reliability, e.g. status reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/1863—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast comprising mechanisms for improved reliability, e.g. status reports
- H04L12/1877—Measures taken prior to transmission
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/1886—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with traffic restrictions for efficiency improvement, e.g. involving subnets or subdomains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5069—Address allocation for group communication, multicast communication or broadcast communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/604—Address structures or formats
Abstract
一种示例控制器包括管理模块,该管理模块用于(i)建立与网络基础设施设备的安全信道;(ii)通过该安全信道向该网络基础设施设备提供组播组地址;(iii)检测网络事件;以及(iv)通过组播消息生成要向网络基础设施设备提供的更新,该组播消息具有被设置为该组播组地址的目的地地址。
Description
背景技术
网络体系结构开始向软件定义网络(SDN)转变,在软件定义网络中,除了其它事项外,控制器(例如,基于OpenFlow规范的控制器)与网络基础设施设备(例如,交换机和接入点)交互,以“控制”与其关联的通信参数和/或规定正处理实际数据业务的网络基础设施设备的行为。该控制可以针对至网络基础设施设备的通信以及来自网络基础设施设备的通信的所有方面,在一些情况下,多个控制器可以用于与网络基础设施设备交互以及控制各种功能(例如,安全、鉴权、初始化等等)。
附图说明
在下面的详细描述中并且参考附图描述示例,其中:
图1描绘根据实现方式的示例系统;
图2描绘根据实现方式的示例过程流程图;
图3描绘根据实现方式的另一示例系统;
图4描绘根据实现方式的另一示例过程流程图;
图5描绘根据实现方式的又一示例过程流程图;以及
图6描绘根据实现方式的示例控制器。
具体实施方式
本公开的各方面针对以有效而实际的方式向网络基础设施设备提供更新。更具体地,本公开的各方面针对通过利用组播消息收发技术,从至少一个控制器向多个网络基础设施设备提供全局更新和/或特定组更新。
如上所述,SDN是联网技术领域中新兴的体系结构,这些体系结构利用控制器来“控制”与该控制器域中的网络基础设施设备关联的参数。例如,该控制器可以向诸如交换机和接入点之类的网络基础设施设备提供与被允许的和/或被禁止的活动有关的定期更新。该控制通常是对每个设备进行的,其中该控制器以点对点的方式与每个网络基础设施设备分别通信。也即,如果该控制器期望发送全局更新(例如,响应于检测到的安全威胁的安全更新),该控制器分别向每个网络基础设施设备发送该更新。尽管此方法可以满足较小网络,但是该方法可能对较大网络无效。例如,在控制器域中具有1500个交换机的网络中,该控制器将不得不发送1500个单独的更新以实施该全局更新。至少由于该方法利用大量控制器处理带宽以及导致像拥塞和延迟这样的网络问题,所以此方法无效。
本公开的各方面通过利用组播技术来向控制器域中的网络基础设施设备有效地传递更新或其它消息,至少解决上述问题。更准确地,各方面为该控制器创建一个或多个组播组,以向网络基础设施设备发送全局更新、特定组更新和/或特定功能更新,使得可以例如以更及时和需较少过程的方式分配新安全过滤器信息。在一个实现方式中,该控制器可以建立与其域中的多个网络基础设施设备的安全关系,且该控制器可以向该多个网络基础设施设备提供组播组地址。此后,当该控制器检测到事件(例如,安全威胁)且期望提供全局或特定组更新(例如,新安全过滤器)时,该控制器可以向该组播组中的多个网络基础设施设备发送单个组播消息,使得与传统点对点方法相比,网络拥塞和延迟被最小化。下面参照各示例和图更详细地描述与本公开关联的此新颖和之前未预见到的方法及其它概念。
在根据本公开的一个示例中,提供一种用于向多个网络基础设施设备提供安全更新的方法。该方法包括:(i)由控制器建立与多个网络基础设施设备中每个网络基础设施设备的安全信道;(ii)由该控制器通过多个安全信道向多个网络基础设施设备中每个网络基础设施设备提供组播组地址;以及(iii)由该控制器通过多个安全信道以及通过组播消息,向该多个网络基础设施设备提供安全更新,该组播消息具有被设置为目的地地址的该组播组地址。
在另一示例中,提供一种非暂时性机器可读介质。该非暂时性机器可读介质包括指令,该指令在被执行时引起控制器(i)建立与多个网络基础设施设备中每个网络基础设施设备的安全信道,其中多个安全信道至少将来自该控制器的组播消息提供给多个网络基础设施设备中每个网络基础设施设备,且其中多个网络基础设施设备与组播组关联;(ii)检测网络事件,且响应于该网络事件,生成组播消息,该组播消息具有被设置为与该组播组关联的组播组地址的目的地地址;以及(iii)通过多个安全信道,向该多个网络基础设施设备提供该组播消息。
在又一示例中,提供一种控制器。该控制器包括管理模块,该管理模块用于(i)建立与网络基础设施设备的安全信道;(ii)通过该安全信道向该网络基础设施设备提供组播组地址;(iii)检测网络安全事件;以及(iv)通过组播消息生成要向网络基础设施设备提供的安全更新,该组播消息具有被设置为该组播组地址的目的地地址。
图1描绘根据实现方式的示例系统100的框图。应容易理解,图1中描绘的系统100表示概括图示,且可以增加其它组件或可以移除、修改或重新设置已有组件而不脱离本公开的范围。
系统100包括控制器110及多个网络基础设施设备120(例如,交换机和/或接入点)。根据该实现方式,控制器110可以是主控制器、安全控制器或另一种特定功能控制器。此外,根据该实现方式,控制器110和/或其中的管理模块130可以呈硬件形式、机器可读指令形式或硬件和机器可读指令结合的形式。
控制器110可以被配置为在SDN中操作和/或根据OpenFlow规范操作。控制器110可以包括管理模块130,管理模块130除了其它事项之外可以负责(i)建立与每个网络基础设施设备120的安全信道140,(ii)通过所建立的安全信道140向每个网络基础设施设备120提供组播组地址,(iii)检测网络事件(例如,安全威胁、网络负载问题、网络拥塞等等),(iv)生成呈组播消息160形式的更新150,组播消息160具有被设置为该组播组地址的目的地地址,和/或(v)通过所建立的安全信道140向每个网络基础设施设备120提供组播消息160。该更新可以包括与允许的/禁止的活动有关的信息、安全过滤器更新、与如何处理特定流(例如,处理、转发、不允许、丢弃和/或重定向)相关的信息等等。
图2描绘根据实现方式的与图1中描绘的系统相关的示例过程流程图200。应容易理解,图2中描绘的过程表示概括图示,且可以增加其它过程或可以移除、修改、或重新设置已有过程而不脱离本公开的范围和精神。此外,应理解,这些过程可以表示存储在机器可读存储介质上的指令,该指令在被执行时可以引起控制器做出响应、实施动作、改变状态和/或做决策。可选地或此外,这些过程可以表示诸如模拟电路、数字信号处理设备电路、专用集成电路(ASIC)或与控制器关联的其它设备之类的功能等效电路执行的功能和/或动作。此外,如关于图1提到的,这些指令和/或功能等效电路可以与该控制器的管理模块关联。再有,图2的目的不在于限制本公开的实现方式,相反地该图图示功能信息,本领域技术人员能够使用该功能信息来设计/制造电路、生成机器可读指令或使用硬件和机器可读指令的结合执行所图示的过程。
过程200可以在框210处开始,此时控制器建立与多个网络基础设施设备中每个网络基础设施设备的安全信道。该安全信道可以抵抗偷听和/或篡改,且可以利用加密/解密技术。在一些实现方式中,该安全信道的建立可以响应于该控制器接收到用于建立与至少一个网络基础设施设备的安全信道的指令(例如,来自另一控制器或模块)而发生。此外,在一些实现方式中,此安全信道可能是为了传递组播消息,且可能是除了该控制器和基础设施设备之间建立的其它安全/不安全信道之外的。
在该控制器建立与至少一个网络基础设施设备的安全信道之后,在框220处该控制器通过该多个安全信道向该多个网络基础设施设备中每个网络基础设施设备提供组播组地址。该组播组地址可以是计算机网络中可用于处理旨在针对指定网络服务组播的数据报或帧的一群主机所用的逻辑标识符。此外,该组播地址可以允许该控制器在一次传输中向一组受关注的网络基础设施设备发送IP数据报或帧。该组播组地址可以是例如互联网协议版本4(IPv4)组播地址(例如,10.110.135.51)和/或互联网协议版本6(IPv6)组播地址(例如,2002:12d5:b8d7::10d4:b8d7)。除该组播组地址之外,该控制器可以向网络基础设施设备提供解密与该组播组地址相关的消息所需要的任何密钥。
在一些实现方式中,该控制器可以将多个组播组用于不同功能。例如,该控制器可以利用第一组播组来向网络基础设施设备有效地传递安全更新或安全过滤器,且可以利用第二组播组来向网络基础设施设备有效地传递配置信息或服务质量(QoS)信息。此外,在一些实现方式中,可选地或此外,该控制器可以利用多个组播组来向特定一组网络基础设施设备或网络基础设施设备的特定子集传递消息。例如,该控制器可以利用第一组播组来向边缘交换机传递消息,利用第二组播组来向室内接入点传递消息,利用第三组播组来向室外接入点传递消息,以及利用第四组播组来向所有交换机和接入点传递消息。因此,根据期望的接收方(即,所有网络基础设施设备或网络基础设施设备的子集),该控制器可以选择适当的组播组来接收该消息。此功能可以与特定功能分组结合使用,以例如向特定组(例如,室内接入点)传递特定功能消息(例如,安全更新)。
在框230中,该控制器通过多个安全信道以及通过组播消息向多个网络基础设施设备提供安全更新。特别地,该组播消息的目的地地址被设置为之前已分配给网络基础设施设备的上述组播组地址。该控制器可以响应于检测到安全威胁或需要安全更新的另一事件,提供此安全更新。例如,该控制器可能已经检测到或以其它方式已被告知对与www.badwebsite.com连接的任何设备的网络的威胁。因此,该控制器可能期望提供安全更新,该安全更新引起该控制器域中的网络基础设施设备(例如,交换机和/或接入点)在尝试访问该网站时重定向业务。
尽管上面的示例描绘安全更新,但是应理解,在一些实现方式中该控制器可以通过上述组播技术提供非安全更新。例如,在网络高利用率期间,该控制器可能期望减少被允许的联网视频游戏的速率。因此,该控制器可以生成并发送组播消息,该组播消息表示特定一组目的地地址或套接字的最大速率。结果,可以将该网络上的负载控制或平衡到可接受的水平。
图3描绘根据实现方式的另一系统的示例。类似于图1的系统描述,应容易理解,图3描绘的系统300表示概括说明,且可以增加其它组件或可以移除、修改或重新设置已有组件而不脱离本公开的范围。
系统300包括主控制器310、安全控制器320以及多个网络基础设施设备330(例如,交换机和/或接入点)。根据该实现方式,主控制器310和/或安全控制器320可以呈硬件的形式、呈存储在机器可读介质上的机器可读指令的形式或二者结合的形式。此外,主控制器310和/或安全控制器320可以被配置为在SDN中和/或根据OpenFlow规范操作。再有,主控制器310和安全控制器320可以在一些实现方式中集成在一个设备中,或在其它实现方式中分离在两个独立的设备中。
主控制器310包括第一管理模块340,第一管理模块340除了其它事项外可以(i)建立与多个网络基础设施设备330中每个网络基础设施设备的安全信道350;(ii)通过多个安全信道350与多个网络基础设施设备330中每个网络基础设施设备交换建立信息;和/或(iii)指导安全控制器320和多个网络基础设施设备330建立与彼此的安全信道360以及关系。
安全控制器320包括第二管理模块370,第二管理模块370除了其它事项之外可以(i)建立与每个网络基础设施设备330的安全信道360,(ii)通过所建立的安全信道360向每个网络基础设施设备330提供组播组地址,(iii)检测网络事件(例如,安全威胁、网络负载问题、网络拥塞等等),(iv)生成呈组播消息390形式的更新380,该组播消息390具有设置为该组播组地址的目的地地址,和/或(v)通过所建立的安全信道360向每个网络基础设施设备330提供组播消息390。
图4描绘根据实现方式的与图3的系统有关的示例过程流程图400。应容易理解,图4中描绘的过程表示概括说明,且可以增加其它过程或可以移除、修改或重新设置已有过程而不脱离本公开的范围和精神。此外,应理解,这些过程可以表示存储在机器可读存储介质上的指令,该指令在被执行时可以引起主控制器和/或安全控制器做出响应、执行动作、改变状态和/或做出决策。可选地或此外,这些过程可以表示由诸如模拟电路、数字信号处理设备电路、专用集成电路(ASIC)或与主控制器和/或安全控制器关联的其它设备之类的功能等效电路执行的功能和/或动作。此外,如关于图3提到的,这些指令和/或功能等效电路可以与主控制器或安全控制器的管理模块关联。再有,图4目的不在于限制本公开的实现方式,相反地该图说明功能信息,本领域技术人员能够利用该功能信息来设计/制造电路、生成软件、或使用硬件和软件的结合来执行所说明的过程。
过程400可以在框410处开始,此时主控制器对网络基础设施设备进行初始配置过程。作为此过程的一部分,主控制器可以建立与网络基础设施设备中每个网络基础设施设备的安全关系以及安全信道。也即,可以在主控制器与网络基础设施设备中每个网络基础设施设备之间建立一对一的安全通信链路。此外,作为此过程的一部分,可以在主控制器和网络基础设施设备中每个网络基础设施设备之间交换控制和/或管理信息及安全凭证。这些过程可以响应于主控制器和/或网络基础设施设备执行发现操作并且发现彼此。
在框420中,主控制器可以指导安全控制器和/或网络基础设施设备建立与彼此的安全关系。特别地,主控制器可以向安全控制器和/或网络基础设施设备提供关于该安全控制器和/或网络基础设施设备的信息,并且命令安全控制器和/或网络基础设施设备之一或二者建立安全信道,使得能够根据上述组播技术有效地分配更新。作为此过程的一部分,主控制器还可以指导网络基础设施设备建立与除安全控制器之外的其它控制器的关系。
在框430中,安全控制器按照主控制器所指导的,建立与多个网络基础设施设备中每个网络基础设施设备的安全信道,其中该安全信道可以抵抗偷听和/或篡改且可以利用加密/解密技术。在完成时,每个网络基础设施设备可以具有与主控制器建立的安全信道,以及与安全控制器建立的另一安全信道。
在框440中,安全控制器通过与多个网络基础设施设备建立的多个安全信道,向多个网络基础设施设备中每个网络基础设施设备提供组播组地址。如上所述,该组播组地址可以是计算机网络中可用于处理旨在针对指定网络服务组播的数据报或帧的一组主机所用的逻辑标识符。此外,该组播地址可以允许该控制器在一次传输中向受关注的网络基础设施设备组发送IP数据报或帧。该组播组地址可以例如是互联网协议版本4(IPv4)组播地址(例如,10.110.135.51)和/或互联网协议版本6(IPv6)组播地址(例如,2002:12d5:b8d7::10d4:b8d7)。此外,如上所述,该安全控制器可以向多个网络基础设施设备提供多个组播地址。在各实现方式中,这些组播地址可以是特定功能和/或特定组的。例如,安全控制器可以将第一组播地址用于全局安全更新,将第二组播地址用于全局非安全更新,将第三组播地址用于网络基础设施设备的子集(例如,室外接入点)的安全更新,和/或将第四组播地址用于网络基础设施设备的该子集的非安全更新。
在框450中,安全控制器向每个网络基础设施设备提供加密/解密密钥,以允许该网络基础设施设备加密/解密与一个或多个组播组地址关联的消息。
在框460中,安全控制器检测或以其它方式知道需要更新多个网络基础设施设备的网络事件。网络事件可以例如是来自网站(例如,www.badwebsite.com)的威胁,其中该安全控制器需要通知网络基础设施设备重定向被送往该网站的任何业务。
此后,在框470中,安全控制器通过多个安全信道,向多个网络基础设施设备发送具有与检测到的网络事件关联的更新的组播消息。该组播消息的目的地地址被设置为之前给网络基础设施设备分配的上述组播组地址之一。
在框480中,安全控制器可以接收来自每个网络基础设施设备的确认消息,该确认消息表示接收到该组播消息和/或由该网络基础设施设备进行了适当的动作。
尽管图4描述安全控制器与主控制器通信,但是应理解,其它实现方式可以利用其它类型的控制器与该安全控制器结合或替代该安全控制器。这些控制器可以类似地建立与每个网络基础设施设备的安全信道,并通过上述组播技术向网络基础设施设备传递更新或其它信息。例如,另一控制器可以包括在该系统中,以监视网络使用/拥塞,且该控制器可以向组播组中的网络基础设施设备传递组播消息,以便响应于检测到的事件(例如,网络拥塞)而修改基础设施设备行为。
图5描绘根据实现方式的示例过程流程图500。特别地,图5更详细地描述根据实现方式可以在控制器处发生的用于触发上述组播更新的过程。应容易理解,图5中描绘的过程表示概括说明,且可以增加其它过程或可以移除、修改或重新设置已有过程而不脱离本公开的范围和精神。此外,应理解,过程可以表示存储在机器可读存储介质和/或功能等效电路上的指令。
该过程可以在框510处开始,此时控制器(例如,安全控制器和/或主控制器)处于空闲状态(例如,被初始化之后)。在框520处,控制器检查是否已发生数据库更新。数据库可以例如是包括与网络基础设施设备相关的信息(例如,安全参数、允许/不允许的DNS条目等等)的集成数据库或可由控制器访问的远程数据库。如果还未发生数据库更新,则控制器可以返回其空闲状态510。但是,如果已发生数据库更新,则控制器可以在框530处分析数据库的变化。此分析可以包括:控制器确定变化的类型、变化的原因、对网络和/或基础设施设备的影响和/或与变化关联的威胁。然后,在框540处,控制器确定更新是否对网络基础设施设备(例如,接入点和交换机)来说是必要的。如果控制器确定更新不是必要的,则控制器可以返回其空闲状态510。但是,如果控制器确定更新是必要的,则控制器可以转移至框550,在框550这里控制器确定全局更新或单个设备更新是否是必要的。如果控制器确定全局更新是必要的,则在框560处控制器可以根据上述组播技术,通过组播消息向已加入组播组的多个网络基础设施设备发送全局更新。另一方面,如果控制器确定单个设备更新更合适,则控制器可以通过与该单个设备的一对一通信链路发送该更新。当然,如果控制器确定需要通知多个设备且全局更新不是不要的,则可以以一对一的方式向多个设备发送多个这样的更新。此外,尽管未示出,但是应理解,如上面详细描述的,控制器还可以通过利用被送往网络基础设施设备的子集(例如,室内接入点、室外接入点等等)的组播组,选择以非全局的方式向该子集传递更新。
图6描绘根据实现方式的示例控制器600。应容易理解,该图表示概括说明,且可以增加其它组件,或可以移除、修改或重新设置已有组件而不脱离本公开的范围。控制器600包括处理设备610、机器可读介质620以及通信接口630,下面更详细地描述其中的每个。
处理设备610用于获取并执行存储在机器可读介质620中的指令。处理设备610可以是例如处理器、中央处理单元(CPU)、微控制器等等。机器可读介质620可以是非暂时性机器可读介质,其用于存储机器可读指令、代码、数据和/或其它信息(例如,根据上述实施例的管理模块指令640)。机器可读介质620可以是以下中的一个或多个:非易失性存储器、易失性存储器和/或一个或多个存储设备。非易失性存储器的示例包括但不限于:电可擦除可编程只读存储器(EEPROM)以及只读存储器(ROM)。易失性存储器的示例包括但不限于:静态随机存取存储器(SRAM)以及动态随机存取存储器(DRAM)。存储设备的示例包括但不限于:硬盘驱动器、光盘驱动器、数字多功能光盘驱动器、光学器件以及闪存设备。在特定实现方式中,机器可读介质620可以与处理设备610集成,而在其它实现方式中,机器可读介质620可以与处理设备610分离。
通信接口630用于发送及接收数据。这样的数据可以包括至少本公开整篇描述的数据类型。通信接口630可以包括一个或多个组件,如发射机、接收机、收发机、天线、端口和/或PHY。应理解,通信接口630可以包括多个接口,且每个可以用于不同目的(例如,用于与其它控制器交互、用于与交换机交互、用于与接入点交互等等)。
处理设备610可以被配置为执行存储在机器可读介质620上的代码,以使控制器能够进行本文讨论的操作。例如,处理器620可以执行管理模块指令640,以使控制器600(i)建立与多个网络基础设施设备中每个网络基础设施设备的安全信道,其中安全信道至少将来自控制器的组播消息提供给多个网络基础设施设备中每个网络基础设施设备,且其中该多个网络基础设施设备与组播组关联;(ii)检测网络事件,且响应于该网络事件,生成组播消息,该组播消息具有被设置为与该组播组关联的组播组地址的目的地地址;以及(iii)通过该多个安全信道,向该多个网络基础设施设备提供该组播消息。在可选实现方式中,该控制器可以利用功能等效电路进行上述功能。例如,该控制器设备可以包括通信接口以及电路(例如,专用集成电路(ASIC))。
前面描述新的且之前未预见的方法,以例如利用组播组允许SDN中的控制器向网络基础设施设备(例如,交换机和接入点)分配更新,使得能够以及时且过程敏感的方式分配信息(例如,新的安全过滤器信息)。该方法可以减少控制器开销,以及及时给控制器域中的设备给予更新。已参照前面的示例实现方式示出及描述了本公开。但是,应理解,可以在不脱离下面的权利要求限定的本公开的精神和范围的情况下作出其它形式、细节以及实现方式。
Claims (10)
1.一种用于向多个网络基础设施设备提供安全更新的方法,包括:
由控制器建立与多个网络基础设施设备中每个网络基础设施设备的安全信道;
由所述控制器通过所述多个安全信道,向所述多个网络基础设施设备中每个网络基础设施设备提供组播组地址;以及
由所述控制器通过所述多个安全信道以及通过组播消息,向所述多个网络基础设施设备提供安全更新,所述组播消息具有被设置为目的地地址的所述组播组地址;
其中所述多个网络基础设施设备包括接入点和交换机中至少一个,并且
其中所述安全更新规定被允许的行为和被禁止的行为中至少一个。
2.根据权利要求1所述的方法,其中由所述控制器响应于所述控制器检测到安全威胁,提供所述安全更新。
3.根据权利要求1所述的方法,其中所述控制器是安全控制器,且其中所述方法进一步包括:
由主控制器建立与所述多个网络基础设施设备中每个网络基础设施设备的第二安全信道;
由所述主控制器通过所述多个第二安全信道,与所述多个网络基础设施设备中每个网络基础设施设备交换建立信息;以及
由所述主控制器指导所述安全控制器以及所述多个网络基础设施设备建立与彼此的安全关系。
4.一种用于向多个网络基础设施设备提供安全更新的方法,包括被控制器执行的步骤:
建立与多个网络基础设施设备中每个网络基础设施设备的安全信道,其中所述多个安全信道至少将来自所述控制器的组播消息提供给多个网络基础设施设备中每个网络基础设施设备,且其中所述多个网络基础设施设备与组播组关联;
检测网络事件,并且响应于所述网络事件,生成组播消息,所述组播消息具有被设置为与所述组播组关联的组播组地址的目的地地址;以及
通过所述多个安全信道,向所述多个网络基础设施设备提供所述组播消息;
其中所述多个网络基础设施设备包括接入点和交换机中至少一个,
其中所述网络事件是安全事件,并且
其中所述安全更新规定被允许的行为和被禁止的行为中至少一个。
5.根据权利要求4所述的方法,进一步包括被所述控制器执行的步骤:通过所述多个安全信道向所述多个网络基础设施设备中每个网络基础设施设备提供组播组地址。
6.根据权利要求4所述的方法,进一步包括被所述控制器执行的步骤:通过所述多个安全信道向所述多个网络基础设施设备中每个网络基础设施设备提供多个组播组地址,其中每个组播组地址与关联于不同更新功能的组播组关联。
7.根据权利要求4所述的方法,进一步包括被所述控制器执行的步骤:通过所述多个安全信道向所述多个网络基础设施设备中每个网络基础设施设备提供解密密钥,其中所述解密密钥用于解密所述组播消息的至少一部分。
8.一种控制器,包括:
管理模块,用于:
建立与多个网络基础设施设备的安全信道;
通过所述安全信道向所述多个网络基础设施设备提供组播组地址;
检测网络安全事件;以及
通过组播消息生成要向所述多个网络基础设施设备提供的安全更新,所述组播消息具有被设置为所述组播组地址的目的地地址;
其中所述多个网络基础设施设备包括接入点和交换机中至少一个,并且
其中所述安全更新规定被允许的行为和被禁止的行为中至少一个。
9.根据权利要求8所述的控制器,其中所述组播组地址与所述多个网络基础设施设备的一子集关联,或与多个网络基础设施设备的全部关联。
10.根据权利要求8所述的控制器,其中所述管理模块进一步用于:
通过所述安全信道向所述多个网络基础设施设备传递所述组播消息。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2012/057176 WO2014051555A1 (en) | 2012-09-26 | 2012-09-26 | Multicast message update |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104641594A CN104641594A (zh) | 2015-05-20 |
| CN104641594B true CN104641594B (zh) | 2017-10-17 |
Family
ID=50388762
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280075908.8A Active CN104641594B (zh) | 2012-09-26 | 2012-09-26 | 组播消息更新 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9491191B2 (zh) |
| EP (1) | EP2901618A4 (zh) |
| CN (1) | CN104641594B (zh) |
| WO (1) | WO2014051555A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9537743B2 (en) * | 2014-04-25 | 2017-01-03 | International Business Machines Corporation | Maximizing storage controller bandwidth utilization in heterogeneous storage area networks |
| TW201605198A (zh) | 2014-07-31 | 2016-02-01 | 萬國商業機器公司 | 智慧網路管理裝置以及管理網路的方法 |
| CN105337904B (zh) * | 2014-08-05 | 2018-11-27 | 新华三技术有限公司 | 控制器集群的升级方法及装置 |
| US20180373795A1 (en) | 2017-06-27 | 2018-12-27 | International Business Machines Corporation | Detecting and grouping users in electronic communications |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7013389B1 (en) * | 1999-09-29 | 2006-03-14 | Cisco Technology, Inc. | Method and apparatus for creating a secure communication channel among multiple event service nodes |
| US7340597B1 (en) * | 2003-09-19 | 2008-03-04 | Cisco Technology, Inc. | Method and apparatus for securing a communications device using a logging module |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5818838A (en) | 1995-10-12 | 1998-10-06 | 3Com Corporation | Method and apparatus for transparent intermediate system based filtering on a LAN of multicast packets |
| US7444679B2 (en) * | 2001-10-31 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Network, method and computer readable medium for distributing security updates to select nodes on a network |
| WO2005036339A2 (en) * | 2003-10-03 | 2005-04-21 | Enterasys Networks, Inc. | System and method for dynamic distribution of intrusion signatures |
| US20050138380A1 (en) * | 2003-12-22 | 2005-06-23 | Fedronic Dominique L.J. | Entry control system |
| US8230480B2 (en) * | 2004-04-26 | 2012-07-24 | Avaya Inc. | Method and apparatus for network security based on device security status |
| US7933584B2 (en) | 2005-10-15 | 2011-04-26 | Huawei Technologies Co., Ltd. | Method for implementing security update of mobile station and a correlative reacting system |
| CN102217228B (zh) | 2007-09-26 | 2014-07-16 | Nicira股份有限公司 | 管理和保护网络的网络操作系统 |
| CA3081255C (en) | 2009-04-01 | 2023-08-22 | Nicira, Inc. | Method and apparatus for implementing and managing virtual switches |
| US9246763B2 (en) * | 2010-02-11 | 2016-01-26 | Nokia Solutions And Networks Oy | Device management |
| US8504718B2 (en) | 2010-04-28 | 2013-08-06 | Futurewei Technologies, Inc. | System and method for a context layer switch |
| US9525647B2 (en) | 2010-07-06 | 2016-12-20 | Nicira, Inc. | Network control apparatus and method for creating and modifying logical switching elements |
-
2012
- 2012-09-26 US US14/425,592 patent/US9491191B2/en active Active
- 2012-09-26 CN CN201280075908.8A patent/CN104641594B/zh active Active
- 2012-09-26 WO PCT/US2012/057176 patent/WO2014051555A1/en active Application Filing
- 2012-09-26 EP EP12885454.4A patent/EP2901618A4/en not_active Withdrawn
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7013389B1 (en) * | 1999-09-29 | 2006-03-14 | Cisco Technology, Inc. | Method and apparatus for creating a secure communication channel among multiple event service nodes |
| US7340597B1 (en) * | 2003-09-19 | 2008-03-04 | Cisco Technology, Inc. | Method and apparatus for securing a communications device using a logging module |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2901618A4 (en) | 2016-04-27 |
| CN104641594A (zh) | 2015-05-20 |
| US20150222651A1 (en) | 2015-08-06 |
| EP2901618A1 (en) | 2015-08-05 |
| US9491191B2 (en) | 2016-11-08 |
| WO2014051555A1 (en) | 2014-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9119077B2 (en) | Wireless network security | |
| US8612743B2 (en) | Wireless network security | |
| CN111464563B (zh) | 一种工业控制网络的防护方法及对应的装置 | |
| US11336622B2 (en) | Apparatus and method for deploying firewall on SDN and network using the same | |
| Khemariya et al. | An efficient algorithm for detection of blackhole attack in aodv based manets | |
| CN104641594B (zh) | 组播消息更新 | |
| Rghioui et al. | Analytical study of security aspects in 6LoWPAN networks | |
| KR20100120442A (ko) | 지그비 무선 통신 프로토콜상에서의 보안성 강화 방법 및 장치 | |
| JP7017520B2 (ja) | 通信装置、通信方法及び通信システム | |
| EP3448001A1 (en) | Communication security apparatus, control method, and storage medium storing a program | |
| KR100751991B1 (ko) | 보안기능이 개선된 데이터 네트워크 노드 | |
| KR101034380B1 (ko) | Nan에서의 이웃 검색을 이용한 보안 시스템 및 방법 | |
| CN109195160B (zh) | 网络设备资源探查信息的防篡改存储系统及其控制方法 | |
| Wang et al. | Topology poisoning attacks and countermeasures in SDN-enabled vehicular networks | |
| Chelani et al. | Detecting collaborative attacks by malicious nodes in MANET: An improved bait detection scheme | |
| Gantsou et al. | Toward a honeypot solution for proactive security in vehicular ad hoc networks | |
| Singh et al. | Establishment of bit selective mode storage covert channel in VANETS | |
| CN105530631A (zh) | 一种通信方法、装置及系统 | |
| CN111585813B (zh) | 一种物联网环境下网络节点的管理方法及系统 | |
| KR101448091B1 (ko) | 보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템 | |
| RU2509425C1 (ru) | Способ и устройство управления потоками данных распределенной информационной системы | |
| Dandare et al. | Detection of collision attacks and comparison of efficiency in wireless sensor network | |
| Govindasamy et al. | KD2SA: Key Distribution Scheme Shuffling algorithm for heightened secure data transmission | |
| KR102555773B1 (ko) | 네트워크 터널링 기반 동일 네트워크 내 장비 별 통신 제어 시스템 | |
| KR20130116475A (ko) | 내부 네트워크 침입 차단 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201030 Address after: texas Patentee after: HEWLETT-PACKARD DEVELOPMENT Co.,L.P. Address before: American Texas Patentee before: HEWLETT-PACKARD DEVELOPMENT Co.,L.P. |
|
| TR01 | Transfer of patent right |