CN104917750B - 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 - Google Patents
一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 Download PDFInfo
- Publication number
- CN104917750B CN104917750B CN201510181751.2A CN201510181751A CN104917750B CN 104917750 B CN104917750 B CN 104917750B CN 201510181751 A CN201510181751 A CN 201510181751A CN 104917750 B CN104917750 B CN 104917750B
- Authority
- CN
- China
- Prior art keywords
- controller
- equipment
- usb flash
- flash disk
- sdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种面向SDN网络的控制层与数据层通信通道的自配置方法,通过自配置管理步骤,在SDN网络中,基于授权U盘,完成处于控制层的控制器与处于数据层的设备之间的相互认证后,建立控制器与设备之间的安全通信通道。
Description
技术领域
本发明属于计算机网络管理技术领域,是一种针对SDN(Software DefinedNetwork,简称SDN)网络的控制层与数据层的通信通道的自动配置的方法。
背景技术
随着云计算、大数据等新兴业务的迅猛发展,网络的变革已经刻不容缓,在这样的趋势下,SDN技术的发展空间将会越来越广泛。因为越来越多的企业和运营商选择将SDN加入它们的网络中,基于SDN构建的大规模网络的需求将不断增加。然而,建设SDN网络前期(在SDN功能完成之前)所投入的成本、人力将明显阻碍SDN的推广。刨去进行设备升级(由传统网络设备到支持SDN的设备)所花费的必须成本,进行SDN功能配置,特别是SDN控制层和数据层的通信通道的配置所花费的人工成本也会随着网络规模的增大而成倍增加。更糟糕的是,手动配置产生的错误严重影响了网络的性能。为了解决手动配置控制层和数据层的通信通道的低效率、高成本、低可靠性等问题,本发明针对单一控制器的SDN网络,提出基于授权U盘的控制层与数据层的通信通道自配置技术。通过授权U盘给设备授予加入网络的权限,保证未被授权的设备不会加入网络,设备与控制器的相互认证和通信通道的建立均是通过授权U盘作为中间代理完成,即保证了信息的安全性,又省时省力——因为无需逐个配置每台设备,从而提高了整个SDN网络建设的效率,同时降低了建设网络的成本。
软件定义网络(Software Defined Network,简称SDN)是由美国斯坦福大学CleanSlate研究组提出的一种新型网络创新架构,其基本架构如图1所示,包括三层:最上层是应用层(Application Layer),由使用SDN通信服务的终端用户的应用组成;中间是控制层(Control Layer),包含一个或多个控制器提供综合的网络监控功能,并为应用层提供操作网络的接口;最底层是设施层(Infrastructure Layer,也称为数据层),通过通信通道(一般称其为安全通道Secure Channel,目前主要是OpenFlow协议实现)与控制层进行交互,完成基本的报文交换和转发功能。SDN的核心技术包括:分离网络设备控制层与数据层,实现控制平面集中化,支持可编程网络,这三项技术相辅相成,最终实现对网络的灵活控制,并为核心网络及应用的创新提供了良好的平台。特别是,随着以云计算、大数据为代表的新兴业务的火热发展,现有网络架构已经无法满足云计算、大数据等带来的新需求,在这个趋势下,网络变革已经成为必然,而SDN恰是其中最具代表性和最为被认可的创新型网络架构。因而,越来越多的厂商(包括Cisco、华为、VMware等)投入到SDN的阵营中,也有越来越多的运营商(如电信、联通等)尝试将SDN应用到他们的网络中。
控制层与数据层的通信通道(即安全通道Secure Channel)是实现SDN的集中控制、可编程特性的关键,是将控制与数据分离的基础。虽然SDN使得网络管理变得更加灵活、敏捷、自动化,然而,这些优势均是在控制层与数据层的通信通道正确建立之后才能实现。而要建立控制层与数据层的通信通道,通常需要手动的到数据层的设备上逐个进行配置,随着设备规模的增大,工作量将成倍增加,耗时耗力;此外,由于手工工作准确率无法保证,容易造成网络故障,降低网络的性能。这些问题严重影响了大规模网络应用SDN技术的效率。自配置技术是解决手动配置问题的最佳选择,然而,传统的IP自配置技术关注的是设备IP地址的配置问题,并不适用于SDN的安全通道的自配置,因为在安全通道的配置过程包含的内容远远多于配置设备IP地址,其需要首先完成控制器和其管理的设备之间的安全认证工作,以防止非法设备进入网络,因为非法的设备可以通过DDoS攻击和利用OpenFlow协议的漏洞攻击控制器和其他设备,从而破坏整个网络的安全性;只有在认证通过后,才能进行安全通道的配置工作。授权U盘可以用于在控制器和要加入网络的设备的中介,在它们之间建立信任关系,无需到逐个配置各个设备,省时省力,可以显著提高建设SDN网络的效率。
在发明名称为“Automatic software defined network configuring method,involves obtaining starting time of main controller and destination IPaddress of distribution controller by switch controller,and indicatingmessage by switch”(公开号CN103618621-A)的现有技术中,公开了一种交换机通过switch controller获取被分配的控制器的目的IP,从而进行通信通道的配置,但没有考虑对交换机合法性的认证,也没有进行控制器与交换机之间的相互认证来保证通信通道的安全性。
在发明名称为“SDN cloud computing and virtualizing method,involvesreceiving agency Flow Visor information by controller,connecting open flowswitcher with controller,and controlling open flow protocol transmittingprocess by controller”(公开号CN103905523-A)的现有技术中,公开了一种SDN云计算和虚拟化环境下的FlowVisor信息接收问题、控制器和交换机的连接问题以及OpenFlow协议传播问题,但并没有解决在SDN网络建设过程中控制层与数据层的相互认证、通道建立的问题。
在发明名称为“Network configuration method,involves sending node tomaster controller,so that master controller configures control rulecorresponding to node type for node according to node type,and sendingcontrol rule to node”(公开号WO2014179923-A1)的现有技术中,公开了一种依据控制器的负载状态为交换机分配控制器,并在数据平面配置相应地控制平面,从而达到配置效率优化,并满足网络性能的需求。然而,该发明没有对交换机的合法性进行认证,在网络建设初期和网络重建过程中并不适用。
在开源项目OpenDaylight的SNBI(Secure Network BootstrappingInfrastructure,安全网络引导基础设施)项目的现有技术中,公开了一种面向SDN网络的SNBI设备与控制器自动发现、自动分配IP地址和自动建立安全IP连接的方法,但该方法的认证措施仅适用于已知网络设备信息且设备信息固定的情况,此外,由于SNBI并没有提供一种设备信息采集的解决方案,所以不能完全适用于大规模SDN网络建设,特别是网络重建过程中,设备信息未知(需通过采集方案收集)且动态变化的情况。
在文献名称为:“Silva Delgado,Mendez Penuela,Morales Medina,RuedaRodriguez,‘Automatic network reconfiguration because of security events’,in2014IEEE Colombian Conference on Communications and Computing(COLCOM),2014.06”的现有技术中,公开了一种利用SDN技术自动地重配置网络以应对安全威胁的方法。然而,该方法只有在SDN网络完全建立完成后才可以使用,并没有解决在SDN网络建设过程中控制层与数据层的相互认证、通道建立的问题。
发明内容
本发明的目的在于提供一种面向SDN网络的控制层与数据层通信通道自配置方法及其系统,用于解决当前大规模SDN网络中,手动配置控制层和数据层通信通道耗时耗力,可靠性差的问题。
为达上述目的,本发明提出了一种面向SDN网络的控制层与数据层通信通道自配置方法,用于SDN网络中在处于控制层的控制器与处于数据层的设备之间建立通信通道,所述方法,包括:
自配置管理步骤:基于授权U盘,进行所述控制器与所述设备的相互认证后,建立所述控制器与所述设备之间的安全通信通道。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述自配置管理步骤,包括:
预配置步骤:在所述授权U盘和所述控制器各预先配置一对公钥和私钥,所述授权U盘和所述控制器分别存储对方的公钥,并在所述授权U盘和所述控制器中预先配置相同的响应生成算法,最后,在所述授权U盘中存储所述控制器的签名,用于后续的认证过程;
认证步骤:基于所述授权U盘、所述的2对公钥和私钥,以及所述响应生成算法完成所述控制器及所述设备间相互身份合法性认证;
通道配置步骤:针对所述认证步骤中已经完成身份合法性认证的所述控制器及所述设备,完成自配置,建立通过身份认证的所述控制器与所述设备之间的安全通信通道。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述自配置管理步骤,还包括:
自动解除通道步骤:设置于所述待删除设备上的所述授权U盘与所述控制器完成相互间的身份合法性认证后,所述控制器向所述待删除设备发送解除通信通道的指令,解除通道。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述认证步骤,包括:
初步建联步骤:当携带所述授权U盘的设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息广播,所述控制器对接收的所述身份信息通过加密消息进行响应;
控制器身份认证步骤:所述设备接收的所述控制器的加密消息,通过所述授权U盘解密后进行所述控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证步骤:所述控制器接收经由所述设备发送的所述授权U盘的加密消息,解密后进行所述设备身份合法性认证。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述初步建联步骤,包括:
广播步骤:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息的广播;
广播响应步骤:所述控制器收到广播信息后,通过所述授权U盘的公钥加密一组随机码及所述控制器的签名,并将加密信息发送给所述设备。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述控制器身份认证步骤,包括:
U盘解密步骤:所述设备收到所述控制器的加密信息后,发给所述授权U盘,由所述授权U盘通过私钥解密出随机码和控制器的签名;
U盘判断步骤:所述授权U盘验证解密出的签名与所述授权U盘的本地存储的控制器签名是否相同,如果相同,则所述控制器的身份合法性认证成功,否则,所述控制器身份验证失败。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述设备身份认证步骤,包括:
U盘发送消息步骤:所述控制器认证通过后,所述授权U盘通过所述响应生成算法,计算所述随机码的响应,并采用所述控制器公钥加密所述随机码的响应及所述设备的相关信息,由所述设备发送给所述控制器;
控制器判断步骤:所述控制器采用所述响应生成算法计算所述随机码的响应,所述控制器收到经由所述设备发送的所述授权U盘的返回信息后,采用所述控制器的私钥进行解密,将解密出的响应与所述控制器本地计算出的响应值进行比较,如果相同,则设置有所述授权U盘的所述设备身份认证成功。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述通道配置步骤,包括:
邀请信息发送步骤:所述控制器向通过身份认证的所述设备发送邀请消息,并用所述授权U盘的公钥加密所述邀请消息;
邀请信息验证步骤:所述设备通过所述授权U盘的私钥解密接收到的所述邀请消息信息,并验证所述控制器的签名,如果验证通过,则所述设备生成用于通信的公钥和私钥,否则,进行报警提示;
开机请求信息发送步骤:所述设备向所述控制器发送开机请求信息,并向所述控制器提供一个证书、所述证书的签名以及所述设备的公钥,用所述控制器的公钥加密所述证书、所述证书签名以及所述设备的公钥;
开机请求信息应答步骤:所述控制器接收到加密的所述证书、所述证书签名以及所述设备的公钥,采用所述控制器的私钥解密,并向所述设备发送由所述授权U盘公钥加密的开机应答信息,所述设备与所述控制器建立安全的通信通道。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述开机请求信息应答步骤中,所述控制器通过建立的所述安全通信通道为所述设备分配IP地址,以实现对所述设备的唯一标识。
本发明还提供一种面向SDN网络的控制层与数据层通信通道自配置系统,用于SDN网络中在处于控制层的控制器与处于数据层的设备之间建立通信通道,采用如上所述面向SDN网络的控制层与数据层通信通道自配置方法,所述系统,包括:
自配置管理模块:基于授权U盘,进行所述控制器与所述设备的相互认证后,建立所述控制器与所述设备之间的安全通信通道。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述自配置管理模块,包括:
预配置模块:在所述授权U盘和所述控制器各预先配置一对公钥和私钥,所述授权U盘和所述控制器分别存储对方的公钥,并在所述授权U盘和所述控制器中预先配置相同的响应生成算法,最后,在所述授权U盘中存储所述控制器的签名,用于后续的认证过程;
认证模块:基于所述授权U盘、所述的2对公钥和私钥,以及所述响应生成算法完成所述控制器及所述设备间相互身份合法性认证;
通道配置模块:针对已经完成身份合法性认证的所述控制器及所述设备,完成自配置,建立通过身份认证的所述控制器与所述设备之间的安全通信通道。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述自配置管理模块,还包括:
自动解除通道模块:设置于所述待删除设备上的所述授权U盘与所述控制器完成相互间的身份合法性认证后,所述控制器向所述待删除设备发送解除通信通道的指令,解除通道。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述认证模块,包括:
初步建联模块:当携带所述授权U盘的设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息广播,所述控制器对接收的所述身份信息通过加密消息进行响应;
控制器身份认证模块:所述设备接收的所述控制器的加密消息,通过所述授权U盘解密后进行所述控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证模块:所述控制器接收经由所述设备发送的所述授权U盘的加密消息,解密后进行所述设备身份合法性认证。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述初步建联模块,包括:
广播模块:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息的广播;
广播响应模块:所述控制器收到广播信息后,通过所述授权U盘的公钥加密一组随机码及所述控制器的签名,并将加密信息发送给所述设备。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述控制器身份认证模块,包括:
U盘解密模块:所述设备收到所述控制器的加密信息后,发给所述授权U盘,由所述授权U盘通过私钥解密出随机码和控制器的签名;
U盘判断模块:所述授权U盘验证解密出的签名与所述授权U盘的本地存储的控制器签名是否相同,如果相同,则所述控制器的身份合法性认证成功,否则,所述控制器身份验证失败。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述设备身份认证模块,包括:
U盘发送消息模块:所述控制器认证通过后,所述授权U盘通过所述响应生成算法,计算所述随机码的响应,并采用所述控制器公钥加密所述随机码的响应及所述设备的相关信息,由所述设备发送给所述控制器;
控制器判断模块:所述控制器采用所述响应生成算法计算所述随机码的响应,所述控制器收到经由所述设备发送的所述授权U盘的返回信息后,采用所述控制器的私钥进行解密,将解密出的响应与所述控制器本地计算出的响应值进行比较,如果相同,则设置有所述授权U盘的所述设备身份认证成功。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述通道配置模块,包括:
邀请信息发送模块:所述控制器向通过身份认证的所述设备发送邀请消息,并用所述授权U盘的公钥加密所述邀请消息;
邀请信息验证模块:所述设备通过所述授权U盘的私钥解密接收到的所述邀请消息信息,并验证所述控制器的签名,如果验证通过,则所述设备生成用于通信的公钥和私钥,否则,进行报警提示;
开机请求信息发送模块:所述设备向所述控制器发送开机请求信息,并向所述控制器提供一个证书、所述证书的签名以及所述设备的公钥,用所述控制器的公钥加密所述证书、所述证书签名以及所述设备的公钥;
开机请求信息应答模块:所述控制器接收到加密的所述证书、所述证书签名以及所述设备的公钥,采用所述控制器的私钥解密,并向所述设备发送由所述授权U盘公钥加密的开机应答信息,所述设备与所述控制器建立安全的通信通道。
与现有技术相比,本发明的有益效果在于:实现了一种控制层和数据层的通信通道配置的自动化技术方案。
1)本发明提出的基于授权U盘代理的控制器与设备的相互认证技术,有效阻止了非法的设备加入网络,保证了网络的安全;
2)本发明提出的基于授权U盘代理的控制层与数据层通信通道的自配置技术,有助于自动、安全地建立控制层和数据层通信通道,无需任何手动操作,安全、简单、高效;
3)本发明提出的基于授权U盘代理的控制层与数据层通信通道的自动解除技术,可以自动地完成设备删除的工作,提高了网络调整及重部署的效率。
本发明技术方案能够高效、简单、低成本、安全、自动地完成大规模SDN网络建设初期和重建过程中控制层与数据层通信通道的配置工作,以及设备故障和网络调整时控制层与相关设备的数据层的通信通道的解除工作。
附图说明
图1为现有技术SDN网络架构示意图;
图2为本发明面向SDN网络控制层与数据层通信通道自配置方法流程示意图;
图3~图4为本发明控制层与数据层通信通道自配置方法详细流程示意图;
图5为本发明方法具体实施例场景示意图;
图6为本发明面向SDN网络控制层与数据层通信通道自配置系统结构示意图;
图7~图8为本发明控制层与数据层通信通道自配置系统详细结构示意图。
其中,附图标记:
1自配置管理模块
11预配置模块 12认证模块
13通道配置模块 14自动解除通道模块
121初步建联模块 122控制器身份认证模块
123设备身份认证模块
131邀请信息发送模块 132邀请信息验证模块
133开机请求信息发送模块 134开机请求信息应答模块
1211广播模块 1212广播响应模块
1221U盘解密模块 1222U盘判断模块
1231U盘发送消息模块 1232控制器判断模块
S11~S14、S121~S123、S131~S134、S1211~S1212、S1221~S1222、S1231~S1232:本发明各实施例的施行步骤
具体实施方式
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
本发明提出基于授权U盘代理的面向单控制器SDN的控制层与数据层通信通道的自配置技术。本发明用于解决当前大规模SDN网络建设过程中,手动配置控制层与数据层通信通道耗时耗力,可靠性差等问题。
本发明的技术面向只有一个控制器的SDN环境,基于授权U盘作为中间代理实现控制层设备和数据层设备间的相互认证;认证通过后,即可进行控制层与数据层的通信通道自配置过程。本发明的技术显著减少了SDN网络建设(特别是网络初建和重建)过程中的手动工作,提高了网络配置工作的效率和可靠性。
如图2所示,本发明提供一种面向SDN网络的控制层与数据层通信通道自配置方法,用于SDN网络中在处于控制层的控制器与处于数据层(即设施层)的设备之间建立通信通道,该方法,包括:
自配置管理步骤S1:基于授权U盘,完成控制器与设备的相互认证后,建立控制器与设备之间的安全通信通道。
其中,自配置管理步骤S1,包括:
预配置步骤S11:在授权U盘和控制器各预先配置一对公钥和私钥,授权U盘和控制器分别存储对方的公钥,并在授权U盘和控制器中预先配置相同的响应生成算法,最后,在授权U盘中存储控制器的签名,用于后续的认证过程;
认证步骤S12:基于授权U盘、预配置的2对公钥和私钥,以及响应生成算法完成控制器及设备间相互身份合法性认证;
通道配置步骤S13:针对认证步骤中已经完成身份合法性认证的控制器及设备,完成自配置,建立通过身份认证的控制器与设备之间的安全通信通道。
自动解除通道步骤S14:设置于待删除设备上的授权U盘与控制器完成相互间的身份合法性认证后,控制器向待删除设备发送解除通信通道的指令,解除通道。
其中,如图3所示,认证步骤S12,包括:
初步建联步骤S121:当携带授权U盘的设备初次加入SDN网络时,设备会在SDN网络中进行身份信息进行广播,控制器对接收的身份信息通过加密消息进行响应;
控制器身份认证步骤S122:设备接收的控制器的加密消息,通过授权U盘解密后进行控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证步骤S123:控制器接收经由设备发送的授权U盘的加密消息,解密后进行设备身份合法性认证。
其中,如图4所示,初步建联步骤S121,包括:
广播步骤S1211:当设备初次加入SDN网络时,设备会在SDN网络中进行身份信息的广播;
广播响应步骤S1212:控制器收到广播信息后,通过授权U盘的公钥加密一组随机码及控制器的签名,并将加密信息发送给设备。
其中,如图4所示,控制器身份认证步骤S122,包括:
U盘解密步骤S1221:设备收到控制器的加密信息后,发给授权U盘,由授权U盘通过其私钥解密出随机码和控制器的签名;
U盘判断步骤S1222:授权U盘验证解密出的签名与授权U盘的本地存储的控制器签名是否相同,如果相同,则控制器的身份合法性认证成功,否则,控制器身份验证失败。
其中,如图4所示,设备身份认证步骤S123,包括:
U盘发送消息步骤S1231:控制器认证通过后,授权U盘通过响应生成算法,计算随机码的响应,并采用控制器公钥加密随机码的响应及设备的相关信息,由设备发送给控制器;
控制器判断步骤S1232:控制器采用响应生成算法计算随机码的响应,控制器收到经由设备发送的授权U盘的返回信息后,控制器采用其私钥进行解密,将解密出的响应与控制器本地计算出的响应值进行比较,如果相同,则设置有授权U盘的设备身份认证成功。
其中,如图3所示,通道配置步骤S13,包括:
邀请信息发送步骤S131:控制器向通过身份认证的设备发送邀请消息,并用授权U盘的公钥加密邀请消息;
邀请信息验证步骤S132:设备通过授权U盘的私钥解密接收到的邀请消息信息,并验证控制器的签名,如果验证通过,则设备生成用于通信的公钥和私钥,否则,进行报警提示;
开机请求信息发送步骤S133:设备向控制器发送开机请求信息,并向控制器提供一个证书、证书的签名以及设备的公钥,用控制器的公钥加密证书、证书签名以及设备的公钥;
开机请求信息应答步骤S134:控制器接收到加密的证书、证书签名以及设备的公钥,采用控制器的私钥解密,并向设备发送由授权U盘公钥加密的开机应答信息,设备与控制器建立安全的通信通道;控制器通过建立的安全通信通道为设备分配IP地址,以实现对设备的唯一标识。
下面结合附图和具体实施方式,对本发明做进一步的说明。
本发明在实际应用中,如图5所示,网络的场景是一个控制器和多个需要加入网络的设备。为了实现控制层与数据层通信通道的自配置,需要在控制器和设备中增加新的用于自配置管理的模块(Auto-Configuration Management),以完成自配置的工作。此外,在整个过程之前,需要预先在控制器和授权U盘上配置其相应地公钥和私钥、响应生成算法,同时要将授权U盘的公钥保存在控制器中,将控制器的签名信息和公钥信息保存到授权U盘上。在实现上述场景的网络中,就可以采用本发明所提出的技术简单、高效、安全地完成单控制器SDN的控制层与数据层通信通道的自动配置,同样可以简单、高效、安全地完成设备删除时通信通道的自动解除。
本发明具体实施例,基于授权U盘代理的控制器与设备的相互认证技术。为了保证加入网络的设备的合法性,使其可以与控制器进行通信,同时防止非法设备进入网络,从而造成潜在的网络威胁,使用授权U盘作为媒介完成控制器和设备的相互认证。只有授权U盘插入的设备才被认为是合法设备,且无需对设备做任何处理,只要插入授权U盘即可。
授权U盘和控制器均会预先配置一对公钥和私钥,控制器保存授权U盘的公钥,授权U盘保存控制器的签名信息和控制器的公钥,以便验证控制器和保证两者通信信息的安全性。此外,授权U盘和控制器中配置相同的“响应”生成算法f,以便进行相互认证。授权U盘是全局唯一的,要加入网络的所有合法设备均经过授权U盘作为代理,完成与控制器相互认证,因而,在网络建设过程中,需要管理和配置的只有全局授权U盘和控制器,可以大大降低手动工作量和出错率,提高效率和可靠性。
认证的具体过程如下:
1)将授权U盘插到要加入网络的设备上,并将设备连入网络。
2)新设备向网络中广播自己。
3)控制器收到广播信息,向新设备发送一组随机码M,并和控制器的签名一起用授权U盘的公钥加密。——保证只有该授权U盘可以解密这些信息,从而防止信息被窃取。
4)设备收到信息后,交给其绑定的授权U盘,U盘通过自己的私钥解密出随机码M和控制器的签名,首先验证解密出的签名与本地存储的控制器签名是否相同,如果相同则可以认证控制器的身份。
5)控制器认证通过后,授权U盘通过其和控制器共有的响应生成算法f,计算随机码M的响应,与设备的相关信息一起用控制器的公钥加密,然后由设备发送给控制器。
6)控制器也采用相同的算法计算随机码M的响应。
7)控制器收到经由设备发送的授权U盘的返回信息后,用其私钥进行解密,将解密出的响应与本地计算出的响应值进行比较,如果相同,则可以认证授权U盘,即可以认证设备。
本发明具体实施例,基于授权U盘代理的控制层和数据层通信通道的自配置技术。经本发明认证方法可以完成控制器和设备的相互认证,此时控制器和设备的合法性都得到保证。控制器和新设备进行交互,完成控制层和数据层通信通道的配置,通信过程中经过授权U盘和控制器的密钥加解密保证消息的安全。其配置过程的主要步骤包括:
1)控制器向新认证过的设备发送Invite消息,消息用授权U盘的公钥加密,防止被窃取。
2)新设备收到Invite信息,首先,通过授权U盘用其私钥解密,并验证控制器的签名,如果验证通过,授权U盘通知设备,设备生成其用于通信的公钥和私钥;如果验证未通过,设备报错,通知管理员收到错误的控制器邀请信息。
3)如果控制器验证通过,设备向控制器发送“Boot strap request”信息,并向控制器提供一个PKCS10,PKCS10_signature(签名)以及其公钥,这些信息通过控制器的公钥加密。
4)控制器接收到消息,用其私钥解密,并向设备发送由授权U盘公钥加密的“Bootstrap reply”信息,其中包含控制器的管理域(由控制器所管理的设备组成)的证书,此时,设备就成了此域的一个成员,并且可与控制器建立安全的通信通道,并且通过此通道,控制器可以为设备分配IP来唯一标识设备。
5)此时,设备可以与控制器通信,依据此控制器或上层应用的策略决定对经过此设备的网络流的处理操作。
本发明具体实施例,基于授权U盘代理的控制层和数据层通信通道的自动解除技术。在网络实际运行过程中,通常会发生因为设备故障或网络拓扑调整而删除某台设备的情况,此时,控制层与此设备的数据层的通信通道也需要删除。此时,可以采用一个全局的专门用于删除设备的授权U盘作为代理,完成通信通道解除的工作,此授权U盘中配置的信息与前述授权U盘的信息完全一致,也是会预先配置一对公钥和私钥,控制器保存此授权U盘的公钥,此授权U盘保存控制器的签名信息和控制器的公钥,并且此授权U盘和控制器中配置相同的响应生成算法f',以便进行相互认证。
在进行通信通道解除时,首先将授权U盘插入要删除的设备中,并经由前述的“认证步骤”S12完成设备和控制器的相互认证,然后,控制器向设备发送解除通信通道的命令,设备验证信息的可靠性后,断开与控制器的连接。
此外,本发明还提供一种面向SDN网络的控制层与数据层通信通道自配置系统,用于SDN网络中在处于控制层的控制器与处于数据层的设备之间建立通信通道,采用如上所述面向SDN网络的控制层与数据层通信通道自配置方法,该系统,包括:
自配置管理模块1:基于授权U盘,完成控制器与设备的相互认证后,建立控制器与设备之间的安全通信通道。
其中,如图6所示,自配置管理模块1,包括:
预配置模块11:在授权U盘和控制器各预先配置一对公钥和私钥,授权U盘和控制器分别存储对方的公钥,并在授权U盘和控制器中预先配置相同的响应生成算法,最后,在授权U盘中存储控制器的签名,用于后续的认证过程;
认证模块12:基于授权U盘、预配置的2对公钥和私钥,以及响应生成算法完成控制器及设备间相互身份合法性认证;
通道配置模块13:针对认证步骤中已经完成身份合法性认证的控制器及设备,完成自配置,建立通过身份认证的控制器与设备之间的安全通信通道。
自动解除通道模块14:设置于待删除设备上的授权U盘与控制器完成相互间的身份合法性认证后,控制器向待删除设备发送解除通信通道的指令,解除通道。
其中,如图7所示,认证模块12,包括:
初步建联模块121:当携带授权U盘的设备初次加入SDN网络时,设备会在SDN网络中进行身份信息进行广播,控制器对接收的身份信息通过加密消息进行响应;
控制器身份认证模块122:设备接收的控制器的加密消息,通过授权U盘解密后进行控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证模块123:控制器接收经由设备发送的授权U盘的加密消息,解密后进行设备身份合法性认证。
其中,如图8所示,初步建联模块121,包括:
广播模块1211:当设备初次加入SDN网络时,设备会在SDN网络中进行身份信息的广播;
广播响应模块1212:控制器收到广播信息后,通过授权U盘公钥加密一组随机码及控制器的签名,并将加密信息发送给设备。
其中,如图8所示,控制器身份认证模块122,包括:
U盘解密模块1221:设备收到控制器的加密信息后,发给授权U盘,由授权U盘通过其私钥解密出随机码和控制器的签名;
U盘判断模块1222:授权U盘验证解密出的签名与授权U盘的本地存储的控制器签名是否相同,如果相同,则控制器的身份合法性认证成功,否则,控制器身份验证失败。
其中,如图8所示,设备身份认证模块123,包括:
U盘发送消息模块1231:控制器认证通过后,授权U盘通过响应生成算法,计算随机码的响应,并采用控制器公钥加密随机码的响应及设备的相关信息,由设备发送给控制器;
控制器判断模块1232:控制器采用响应生成算法计算随机码的响应,控制器收到经由设备发送的授权U盘的返回信息后,控制器采用其私钥进行解密,将解密出的响应与控制器本地计算出的响应值进行比较,如果相同,则设置有授权U盘的设备身份认证成功。
其中,如图7所示,通道配置模块13,包括:
邀请信息发送模块131:控制器向通过身份认证的设备发送邀请消息,并用授权U盘的公钥加密邀请消息;
邀请信息验证模块132:设备通过授权U盘的私钥解密接收到的邀请消息信息,并验证控制器的签名,如果验证通过,则设备生成用于通信的公钥和私钥,否则,进行报警提示;
开机请求信息发送模块133:设备向控制器发送开机请求信息,并向控制器提供一个证书、证书的签名以及设备的公钥,用控制器的公钥加密证书、证书签名以及设备的公钥;
开机请求信息应答模块134:控制器接收到加密的证书、证书签名以及设备的公钥,采用控制器的私钥解密,并向设备发送由授权U盘公钥加密的开机应答信息,设备与控制器建立安全的通信通道。
综上所述,本发明通过授权U盘作为中间媒介,控制器和新设备间相互认证对方,阻止了非法设备进入网络从而破坏网络的可能。此外,因为在整个过程中,只管理和配置控制器和授权U盘,明显降低了手动工作量和出错率,提高了工作效率和网络的可靠性;并实现了安全、简单、高效的控制层与数据层通道的自动建立过程,因为在正常情况下,不需要人工的参与,从而降低了网络建设的成本。此外,本发明通过作为删除设备功能的授权U盘作为代理,完成要删除设备与控制器间的相互认证,保证不会误删设备,因为整个过程中,无需对设备做任何手动操作,明显提高了网络调整的效率。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (15)
1.一种面向SDN网络的控制层与数据层通信通道自配置方法,用于SDN网络中在处于控制层的控制器与处于数据层的设备之间建立通信通道,其特征在于,所述方法,包括:
预配置步骤:在作为代理的授权U盘和所述控制器各预先配置一对公钥和私钥,所述授权U盘和所述控制器分别存储对方的公钥,并在所述授权U盘和所述控制器中预先配置相同的响应生成算法,最后,在所述授权U盘中存储所述控制器的签名,用于后续的认证过程;
认证步骤:基于所述授权U盘、所述的2对公钥和私钥,以及所述响应生成算法完成所述控制器及所述设备间相互身份合法性认证;
通道配置步骤:针对所述认证步骤中已经完成身份合法性认证的所述控制器及所述设备,完成自配置,建立通过身份认证的所述控制器与所述设备之间的安全通信通道。
2.根据权利要求1所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,还包括:
自动解除通道步骤:设置于待删除设备上的所述授权U盘与所述控制器完成相互间的身份合法性认证后,所述控制器向所述待删除设备发送解除通信通道的指令,解除通道。
3.根据权利要求1所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述认证步骤,包括:
初步建联步骤:当携带所述授权U盘的设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息广播,所述控制器对接收的所述身份信息通过加密消息进行响应;
控制器身份认证步骤:所述设备接收的所述控制器的加密消息,通过所述授权U盘解密后进行所述控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证步骤:所述控制器接收经由所述设备发送的所述授权U盘的加密消息,解密后进行所述设备身份合法性认证。
4.根据权利要求3所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述初步建联步骤,包括:
广播步骤:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息的广播;
广播响应步骤:所述控制器收到广播信息后,通过所述授权U盘的公钥加密一组随机码及所述控制器的签名,并将加密信息发送给所述设备。
5.根据权利要求3所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述控制器身份认证步骤,包括:
U盘解密步骤:所述设备收到所述控制器的加密信息后,发给所述授权U盘,由所述授权U盘通过其私钥解密出随机码和控制器的签名;
U盘判断步骤:所述授权U盘验证解密出的签名与所述授权U盘的本地存储的控制器签名是否相同,如果相同,则所述控制器的身份合法性认证成功,否则,所述控制器身份验证失败。
6.根据权利要求4所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述设备身份认证步骤,包括:
U盘发送消息步骤:所述控制器认证通过后,所述授权U盘通过所述响应生成算法,计算所述随机码的响应,并采用所述控制器公钥加密所述随机码的响应及所述设备的相关信息,由所述设备发送给所述控制器;
控制器判断步骤:所述控制器采用所述响应生成算法计算所述随机码的响应,所述控制器收到经由所述设备发送的所述授权U盘的返回信息后,采用所述控制器的私钥进行解密,将解密出的响应与所述控制器本地计算出的响应值进行比较,如果相同,则设置有所述授权U盘的所述设备身份认证成功。
7.根据权利要求1所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述通道配置步骤,包括:
邀请信息发送步骤:所述控制器向通过身份认证的所述设备发送邀请消息,并用所述授权U盘的公钥加密所述邀请消息;
邀请信息验证步骤:所述设备通过所述授权U盘的私钥解密接收到的所述邀请消息信息,并验证所述控制器的签名,如果验证通过,则所述设备生成用于通信的公钥和私钥,否则,进行报警提示;
开机请求信息发送步骤:所述设备向所述控制器发送开机请求信息,并向所述控制器提供一个证书、所述证书的签名以及所述设备的公钥,用所述控制器的公钥加密所述证书、所述证书签名以及所述设备的公钥;
开机请求信息应答步骤:所述控制器接收到加密的所述证书、所述证书签名以及所述设备的公钥,采用所述控制器的私钥解密,并向所述设备发送由所述授权U盘公钥加密的开机应答信息,所述设备与所述控制器建立安全的通信通道。
8.根据权利要求7所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述开机请求信息应答步骤中,所述控制器通过建立的所述安全通信通道为所述设备分配IP地址,以实现对所述设备的唯一标识。
9.一种面向SDN网络的控制层与数据层通信通道自配置系统,用于SDN网络中在处于控制层的控制器与处于数据层的设备之间建立通信通道,采用如权利要求1-8中任一项所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述系统,包括:
预配置模块:在作为代理的授权U盘和所述控制器各预先配置一对公钥和私钥,所述授权U盘和所述控制器分别存储对方的公钥,并在所述授权U盘和所述控制器中预先配置相同的响应生成算法,最后,在所述授权U盘中存储所述控制器的签名,用于后续的认证过程;
认证模块:基于所述授权U盘、所述的2对公钥和私钥,以及所述响应生成算法完成所述控制器及所述设备间相互身份合法性认证;
通道配置模块:针对已经完成身份合法性认证的所述控制器及所述设备,完成自配置,建立通过身份认证的所述控制器与所述设备之间的安全通信通道。
10.根据权利要求9所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,还包括:
自动解除通道模块:设置于待删除设备上的所述授权U盘与所述控制器完成相互间的身份合法性认证后,所述控制器向所述待删除设备发送解除通信通道的指令,解除通道。
11.根据权利要求9所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述认证模块,包括:
初步建联模块:当携带所述授权U盘的设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息广播,所述控制器对接收的所述身份信息通过加密消息进行响应;
控制器身份认证模块:所述设备接收的所述控制器的加密消息,通过所述授权U盘解密后进行所述控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证模块:所述控制器接收经由所述设备发送的所述授权U盘的加密消息,解密后进行所述设备身份合法性认证。
12.根据权利要求11所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述初步建联模块,包括:
广播模块:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息的广播;
广播响应模块:所述控制器收到广播信息后,通过所述授权U盘的公钥加密一组随机码及所述控制器的签名,并将加密信息发送给所述设备。
13.根据权利要求11所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述控制器身份认证模块,包括:
U盘解密模块:所述设备收到所述控制器的加密信息后,发给所述授权U盘,由所述授权U盘通过其私钥解密出随机码和控制器的签名;
U盘判断模块:所述授权U盘验证解密出的签名与所述授权U盘的本地存储的控制器签名是否相同,如果相同,则所述控制器的身份合法性认证成功,否则,所述控制器身份验证失败。
14.根据权利要求12所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述设备身份认证模块,包括:
U盘发送消息模块:所述控制器认证通过后,所述授权U盘通过所述响应生成算法,计算所述随机码的响应,并采用所述控制器公钥加密所述随机码的响应及所述设备的相关信息,由所述设备发送给所述控制器;
控制器判断模块:所述控制器采用所述响应生成算法计算所述随机码的响应,所述控制器收到经由所述设备发送的所述授权U盘的返回信息后,采用所述控制器的私钥进行解密,将解密出的响应与所述控制器本地计算出的响应值进行比较,如果相同,则设置有所述授权U盘的所述设备身份认证成功。
15.根据权利要求9所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述通道配置模块,包括:
邀请信息发送模块:所述控制器向通过身份认证的所述设备发送邀请消息,并用所述授权U盘的公钥加密所述邀请消息;
邀请信息验证模块:所述设备通过所述授权U盘的私钥解密接收到的所述邀请消息信息,并验证所述控制器的签名,如果验证通过,则所述设备生成用于通信的公钥和私钥,否则,进行报警提示;
开机请求信息发送模块:所述设备向所述控制器发送开机请求信息,并向所述控制器提供一个证书、所述证书的签名以及所述设备的公钥,用所述控制器的公钥加密所述证书、所述证书签名以及所述设备的公钥;
开机请求信息应答模块:所述控制器接收到加密的所述证书、所述证书签名以及所述设备的公钥,采用所述控制器的私钥解密,并向所述设备发送由所述授权U盘公钥加密的开机应答信息,所述设备与所述控制器建立安全的通信通道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510181751.2A CN104917750B (zh) | 2015-04-16 | 2015-04-16 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510181751.2A CN104917750B (zh) | 2015-04-16 | 2015-04-16 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104917750A CN104917750A (zh) | 2015-09-16 |
| CN104917750B true CN104917750B (zh) | 2017-11-21 |
Family
ID=54086457
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510181751.2A Expired - Fee Related CN104917750B (zh) | 2015-04-16 | 2015-04-16 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104917750B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105430116B (zh) * | 2015-11-30 | 2019-03-01 | 北京邮电大学 | 一种建立控制信道的方法及装置 |
| US10944733B2 (en) | 2017-07-31 | 2021-03-09 | Cisco Technology, Inc. | Dynamic disassociated channel encryption key distribution |
| CN110300031B (zh) * | 2019-07-12 | 2021-12-07 | 中国电信集团工会上海市委员会 | 一种网关设备的远程管理系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009556A (zh) * | 2007-01-08 | 2007-08-01 | 中国信息安全产品测评认证中心 | 一种智能卡与u盘复合设备及其基于双向认证机制以提高访问安全性的方法 |
| CN101051292A (zh) * | 2007-01-08 | 2007-10-10 | 中国信息安全产品测评认证中心 | 一种可信u盘、实现可信u盘安全性及其与计算机数据通信的方法 |
| CN102013975A (zh) * | 2010-06-29 | 2011-04-13 | 北京飞天诚信科技有限公司 | 一种密钥管理方法及系统 |
| CN103428771A (zh) * | 2013-09-05 | 2013-12-04 | 迈普通信技术股份有限公司 | 通信方法、软件定义网络sdn交换机及通信系统 |
| CN103929422A (zh) * | 2014-04-08 | 2014-07-16 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
| WO2014179923A1 (zh) * | 2013-05-06 | 2014-11-13 | 华为技术有限公司 | 基于sdn的网络配置方法、装置及系统 |
-
2015
- 2015-04-16 CN CN201510181751.2A patent/CN104917750B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009556A (zh) * | 2007-01-08 | 2007-08-01 | 中国信息安全产品测评认证中心 | 一种智能卡与u盘复合设备及其基于双向认证机制以提高访问安全性的方法 |
| CN101051292A (zh) * | 2007-01-08 | 2007-10-10 | 中国信息安全产品测评认证中心 | 一种可信u盘、实现可信u盘安全性及其与计算机数据通信的方法 |
| CN102013975A (zh) * | 2010-06-29 | 2011-04-13 | 北京飞天诚信科技有限公司 | 一种密钥管理方法及系统 |
| WO2014179923A1 (zh) * | 2013-05-06 | 2014-11-13 | 华为技术有限公司 | 基于sdn的网络配置方法、装置及系统 |
| CN103428771A (zh) * | 2013-09-05 | 2013-12-04 | 迈普通信技术股份有限公司 | 通信方法、软件定义网络sdn交换机及通信系统 |
| CN103929422A (zh) * | 2014-04-08 | 2014-07-16 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104917750A (zh) | 2015-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN101127595B (zh) | 一种实现多方通信安全的方法、系统及设备 | |
| CN106685664B (zh) | 互联网下的电力设备安全控制系统及方法 | |
| US8577044B2 (en) | Method and apparatus for automatic and secure distribution of an asymmetric key security credential in a utility computing environment | |
| US7822982B2 (en) | Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment | |
| CN102195930B (zh) | 设备间安全接入方法和通信设备 | |
| CN102447679B (zh) | 一种保障对等网络数据安全的方法及系统 | |
| CN110808834B (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN108011754B (zh) | 转控分离系统、备份方法和装置 | |
| CN101282208B (zh) | 安全连接关联主密钥的更新方法和服务器及网络系统 | |
| CN102833256A (zh) | 注册集群控制服务器、节点控制服务器的方法及云系统 | |
| CN104618522B (zh) | 终端ip地址自动更新的方法及以太网接入设备 | |
| CN104917750B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN110611658B (zh) | 一种基于sd-wan的设备认证方法及系统 | |
| CN114465723B (zh) | 基于软件定义网络和切片的量子加密通信系统及通信方法 | |
| CN102333099A (zh) | 一种安全控制方法和设备 | |
| US6587943B1 (en) | Apparatus and method for limiting unauthorized access to a network multicast | |
| CN105981028B (zh) | 通信网络上的网络元件认证 | |
| CN111885436B (zh) | 一种基于epon技术的配电网自动化通信系统 | |
| CN110417706A (zh) | 一种基于交换机的安全通信方法 | |
| CN104811338B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN103763119A (zh) | 基于Telnet/SSH的网络终端管理的方法 | |
| CN114884771B (zh) | 基于零信任理念的身份化网络构建方法、装置和系统 | |
| CN102316119A (zh) | 一种安全控制方法和设备 | |
| CN105610667B (zh) | 建立虚拟专用网通道的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180131 Address after: 200233 Xuhui District, Xuhui District, Shanghai, Xuhui District, Putian Information Industry Park B2 11F Patentee after: SHANGHAI YINGLIAN INFORMATION TECHNOLOGY CO.,LTD. Address before: 100190 Haidian District, Zhongguancun Academy of Sciences, South Road, No. 6, No. Patentee before: Institute of Computing Technology, Chinese Academy of Sciences |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171121 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |