CN105450440A - 网络控制安全 - Google Patents
网络控制安全 Download PDFInfo
- Publication number
- CN105450440A CN105450440A CN201510563406.5A CN201510563406A CN105450440A CN 105450440 A CN105450440 A CN 105450440A CN 201510563406 A CN201510563406 A CN 201510563406A CN 105450440 A CN105450440 A CN 105450440A
- Authority
- CN
- China
- Prior art keywords
- network
- control command
- identifier
- calculation element
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/308—Route determination based on user's profile, e.g. premium users
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Power Engineering (AREA)
Abstract
技术涉及网络控制安全,并且一般地描述了关于用于允许网络元件检索控制命令的系统、装置和方法的技术。在一些示例中,网络控制器装置可将标识符与控制命令相关联。网络控制器装置可通过具有第一安全级别的第一网络将标识符和相关联的控制命令发送到计算装置。网络控制器装置可通过具有不同于第一安全级别的第二安全级别的第二网络将激活信号发送到网络元件。网络控制器装置可通过第二网络将标识符发送到网络元件。标识符可用于允许网络元件检索控制命令。
Description
技术领域
本申请涉及网络技术,更具体地讲涉及网络控制安全。
背景技术
除非在本文中另外表明,否则本部分中所述的材料对于本申请中的权利要求来说不是现有技术并且不由于包括在本部分中而被承认是现有技术。
软件定义网络(“SDN”)可允许网络控制系统与网络元件的操作分离。诸如路由器、可编程交换机和/或计算装置的网络元件可发送和接收网络通信量。网络控制系统可被编程为通过网络元件控制网络通信流量。在一些示例中,软件定义网络可以能够快速地对变化的网络状况做出响应以便优化网络通信流量。
概述
在一些示例中,总体地描述了允许网络元件检索控制命令的方法。在一些示例中,所述方法可包括网络控制器装置将标识符与控制命令相关联。在各种其它的示例中,所述方法还可包括网络控制器装置通过具有第一安全级别的第一网络将标识符和相关联的控制命令发送到计算装置。在一些示例中,所述方法还可包括网络控制器装置通过具有不同于第一安全级别的第二安全级别的第二网络将激活信号发送到网络元件。在各种示例中,所述方法还可包括网络控制器装置通过第二网络将标识符发送到网络元件。在一些示例中,标识符可用于允许网络元件检索控制命令。
在一些示例中,总体地描述了网络通信系统。所述网络通信系统可包括网络控制器装置。在一些示例中,所述网络通信系统还可包括计算装置,其被配置为经由具有第一安全级别的第一网络与网络控制器装置进行通信。在一些示例中,所述网络通信系统还可包括网络元件,其被配置为与网络控制器装置和计算装置进行通信。在各种示例中,网络控制器装置可用于通过第一网络将标识符和相关联的控制命令发送到计算装置。在一些示例中,计算装置可用于将标识符和相关联的控制命令存储在计算装置的存储器中。在一些示例中,网络控制器装置可进一步用于通过具有不同于第一安全级别的第二安全级别的第二网络将激活信号发送到网络元件。在一些进一步的示例中,网络控制器装置可进一步用于通过第二网络将标识符的副本发送到网络元件。在一些示例中,网络元件可用于响应于激活信号的接收将标识符的所述副本发送到计算装置。在各种示例中,计算装置可进一步用于响应于标识符的副本的接收将与标识符相关联的控制命令发送到网络元件。
在一些示例中,总体地描述了网络控制器装置。在一些示例中,所述网络控制器装置可包括处理器和存储器,存储器被配置为与处理器进行通信,并且用于存储一条或多条指令。在一些示例中,处理器可用于根据所述一条或多条指令通过具有第一安全级别的第一网络将标识符和控制命令发送到计算装置。在各种示例中,处理器可进一步用于通过具有不同于第一安全级别的第二安全级别的第二网络将激活信号发送到网络元件。在一些进一步的示例中,处理器可用于通过第二网络将标识符的副本发送到网络元件。在一些示例中,网络元件可用于从计算装置接收控制命令。
前述概要仅仅是说明性的,而并不意图以任何方式是限制性的。除了说明性的上述方面、实施例和特征之外,另外的方面、实施例和特征将通过参考附图和下面的详细描述而变得显而易见。
附图说明
通过结合附图进行的以下描述和所附权利要求,本公开的前述和其它特征将变得更充分地显而易见。理解,这些附图仅仅描绘了根据本公开的几个实施例,因此,不应被认为是限制其范围,将通过使用附图来更具体地、更详细地描述本公开,在附图中:
图1说明可被用来实施网络控制安全的示例系统;
图2以与网络通信管理器相关的附加细节描绘图1的示例系统;
图3描绘实施网络控制安全的示例处理的流程图;
图4说明可被用来实施网络控制安全的示例计算机程序产品;以及
图5是说明被布置来实施网络控制安全的示例计算装置的框图;
所有附图都是依照本文所述的至少一些实施例来安排的。
具体实施方式
在以下详细描述中,对附图进行参考,所述附图形成详细描述的一部分。除非上下文另外指示,否则在附图中,相似的符号通常标识相似的部件。在详细描述、附图和权利要求中描述的说明性实施例并不意味着是限制性的。在不脱离本文所提供的主题的精神或范围的情况下,可以利用其它实施例,以及可以进行其它改变。如在本文中一般地描述的和在图中示出的那样,本公开的各方面可以以广泛多样的不同配置被布置、替代、组合、分割和设计,所有这些在本文中都被明确地构想。
本公开尤其是针对与网络控制安全相关的方法、设备、系统、装置和计算机程序产品进行一般性的描写的。
简要地说,总体地描述了关于用于允许网络元件检索控制命令的系统、装置和方法的技术。在一些示例中,网络控制器装置可将标识符与控制命令相关联。网络控制器装置可通过具有第一安全级别的第一网络将标识符和相关联的控制命令发送到计算装置。例如,网络控制器装置可通过安全网络将标识符和相关联的控制命令发送到网络通信管理器。网络控制器装置可通过具有不同于第一安全级别的第二安全级别的第二网络将激活信号发送到网络元件。例如,网络控制器装置可通过软件定义网络将ping发送到网络元件,诸如路由器。网络控制器装置可通过第二网络将标识符发送到网络元件。标识符可用于允许网络元件检索控制命令。在示例中,授权网络元件从安全服务器检索控制命令可防止黑客通过冒充网络控制器并将恶意命令直接发送到网络元件来劫持(hijack)网络元件。
图1说明根据本文中所述的至少一些实施例布置的可被用来实施网络控制安全的示例系统100。系统100可包括网络控制器102、网络104(包括网络元件106、108、110、112、114和/或116)以及网络通信管理器120,所有这些都被配置为彼此进行通信。在一些示例中,网络控制器102、网络104和/或网络通信管理器120可被布置在软件定义网络中。网络元件106、108、110、112、114和/或116可包括被配置为彼此进行通信并且被配置为接收和发送网络通信量的装置,诸如路由器、可编程交换机、计算装置和/或其它件硬件。网络元件106、108、110、112、114和/或116可通过网络控制器102被控制。在一些示例中,网络控制器102可由操作者140进行编程以控制网络元件106、108、110、112、114和/或116。
网络控制器102可以例如是计算装置,并且可包括处理器170。在一些示例中,网络控制器102可被配置为与存储器172进行通信。在各种示例中,存储器172可存储如下所述的用于实施网络控制安全的指令。
在示例中,操作者140可将网络控制器102编程为对网络元件(诸如网络元件116)做出一个或多个改变。操作者140可被认证和授权访问网络控制器102和/或网络通信管理器120。在示例中,操作者140可将编程指令142发送到网络控制器102。编程指令142可用于为网络控制器102编程以产生控制命令144。在一些示例中,编程指令142可被配置为改变软件定义网络的特性。控制命令144可用于将一个或多个网络元件(诸如网络元件106、108、110、112、114和/或116)配置以采取与软件定义网络(诸如,举例来说,网络104)相关的一个或多个动作。在当前示例中,控制命令144可用于指示网络元件116(在当前示例中,其可以是路由器)从第一路由算法变为第二路由算法或者改变网络104中的通信流量。网络控制器102可用于产生标识符146。标识符146可以是用于标识控制命令144的代码。网络控制器102可用于将控制命令144与标识符146相关联。
标识符146和相关联的控制命令144可被从网络控制器102发送到网络通信管理器120。网络通信管理器120可包括一个或多个服务器(诸如服务器122和/或服务器124)和存储器160。服务器122和/或124可被配置为与存储器160进行通信。在一些进一步的示例中,网络通信管理器120可用于通过交换机118与网络控制器102和/或网络104进行通信。在各种示例中,网络控制器102、交换机118和网络通信管理器120可被配置在安全网络150中。在一些示例中,安全网络150可包括第一安全级别。例如,安全网络150可包括被设计为阻止被配置为通过安全网络150进行通信的装置的非授权访问的一个或多个安全措施。在一些示例中,被配置为通过安全网络150进行通信的装置可被给予对网络通信管理器120的存储器进行写入的特权。例如,网络控制器102可被给予将控制命令144写入到网络通信管理器120的存储器160的特权。相反,不是安全网络150的一部分的装置(例如,网络元件106、108、110、112、114和/或116)可以不被给予对网络通信管理器120的存储器160进行写入的特权。
在一些进一步的示例中,安全网络150内的计算元件(诸如,举例来说,网络控制器102)可以访问以将数据写入到网络通信管理器120(包括服务器122和/或124和存储器160)。标识符146和相关联的控制命令144可被网络通信管理器120写入到存储器160。在一些示例中,标识符146和相关联的控制命令144可被关联为存储器160中的查找表中的条目。
如以下更详细地解释的,网络控制器102可将标识符146和相关联的控制命令144发送到网络通信管理器120,以使得网络元件可以以安全的方式从网络通信管理器120检索控制命令144。例如,网络控制器102可通过网络104将激活信号和标识符146的副本发送到网络元件108。在一些示例中,网络104可包括相对于安全网络150不同的安全级别。网络元件108可将标识符146或标识符146的副本发送到网络通信管理器120。网络通信管理器120可基于从网络元件108接收到标识符146或标识符146的副本来授权网络元件108检索控制命令144。如以下将更详细地讨论的,响应于激活信号的接收,网络元件108可通过将标识符146或标识符146的副本发送到网络通信管理器120来从网络通信管理器120检索控制命令144。
图2以与网络通信管理器相关的附加细节描绘了根据本文中所述的至少一些实施例布置的图1的示例系统100。为了清晰和简洁的目的,将不再描述图2中的与图1的部件相同标记的那些部件。
控制命令144可被发送到网络通信管理器120,并且可用于将网络元件配置为采取与软件定义网络相关的动作。在一些示例中,控制命令144可被加密。网络控制器102可用于通过网络104将标识符146(或标识符146的副本)和激活信号202发送到网络元件(诸如,举例来说,网络元件106、108、112、114和/或116)。在各种示例中,标识符146可被加密。激活信号202可以例如是用于确定特定网络元件是否可用于接收标识符的ping或其它控制信号。在另一示例中,激活信号202可用于允许特定网络元件响应于激活信号202的接收采取动作。例如,激活信号202可允许网络元件116接收标识符146(或标识符146的副本)。继续该示例,标识符146和激活信号202可被发送到网络元件116。在一些示例中,标识符146和激活信号202可首先被发送到网络元件106,网络元件106继而可将标识符146和激活信号202转发到网络元件116。各种其它的网络路径可根据网络104的当前配置被用来将标识符146和激活信号202从网络控制器102发送到网络元件116。在示例中,网络元件106、108、110、112、114和/或116接收的不包括相关联的标识符的控制命令不能用于将网络元件配置为采取与软件定义网络相关的动作。在各种示例中,网络元件106、108、110、112、114和/或116可通过可能不可访问网络104的安全网络150将标识符发送到网络通信管理器120。例如,对安全网络150的访问可能需要对操作者140的授权和/或认证。在一些示例中,安全网络150可包括与网络104的通信链路相比低带宽的通信链路。例如,被授权和认证的操作者140可指导网络控制器102通过安全网络150将标识符146和相关联的控制命令144发送到网络通信管理器120。
响应于激活信号202的接收,网络元件116可将标识符146发送到网络通信管理器120。标识符146可用于允许网络元件116检索相关联的控制命令144。例如,网络通信管理器120可使用标识符146来执行与标识符146相关联的命令的查找。在当前示例中,控制命令144可与标识符146相关联。网络通信管理器120可将控制命令144发送到网络元件116。在一些示例中,网络通信管理器120可根据网络104的当前配置,通过一个或多个中介网络元件发送控制信号144。控制命令144可用于将网络元件116配置为采取一个或多个动作。例如,控制命令144可将网络元件116配置为改变路由算法。在一些示例中,网络元件(诸如网络元件106、108、110、112、114和/或116)可被配置为使得直接从装置接收(不是响应于激活信号和/或标识符)的控制命令不可操作为配置网络元件。
除了其它益处之外,黑客230可能不能假扮成网络控制器从而配置软件定义网络的一个或多个网络元件,可能扰乱服务。黑客230可能不能对网络通信管理器120的存储器进行写入,因为网络通信管理器120可以是可受到写保护的安全网络150的部分。因此,即使黑客230将ping和伪标识符发送到网络104的网络元件,黑客230也可能不能将控制命令发送到网络元件,因为网络元件将使用该伪标识符在安全网络通信管理器120检查相关联的命令。在一些示例中,伪标识符不可以识别命令,因为黑客230可能不能将控制命令写入到网络通信管理器120。
图3描绘根据本文中所述的至少一些实施例布置的实施网络控制安全的示例处理的流程图。在一些示例中,图3中的处理可使用以上所讨论的系统100来实施,并且可被用来允许网络控制安全。示例处理可包括如方框S2、S4、S5和/或S8中的一个或多个所示的一个或多个操作、动作或功能。尽管被示为离散的方框,但是取决于期望的实施方式,各个方框可被划分为附加的块,被组合成更少的块,或被除去。在一些示例中,图3中的处理可被配置为与网络通信管理器和一个或多个网络元件进行通信的网络控制器使用。
处理可从方框S2开始,“网络控制器装置将标识符与控制命令相关联”。在方框S2,网络控制器可将标识符与控制命令相关联。在一些示例中,控制命令可基于一个或多个编程指令而产生。在一些示例中,编程指令可被配置为改变软件定义网络的特性。在各种示例中,控制命令可用于将网络元件配置为采取与软件定义网络相关的动作。在一些示例中,动作可包括从第一路由算法变为第二路由算法。在一些示例中,网络元件可从计算装置接收没有相关联的标识符的控制命令。当控制命令不包括相关联的标识符时,控制命令不能用于将网络元件配置为采取与网络相关的动作。
处理可从方框S2继续进行到方框S4,“由网络控制器装置通过具有第一安全级别的第一网络将标识符和相关联的控制命令发送到计算装置”。在方框S4,网络控制器装置可将标识符和相关联的控制命令发送到计算装置。在一些示例中,标识符和相关联的控制命令可通过具有第一安全级别的网络被从网络控制器装置发送到计算装置。在一些示例中,作为第一网络的部分的第一装置可被给予对计算装置的存储器进行写入的特权。
处理可从方框S4继续进行到方框S6,“由网络控制器装置通过具有不同于第一安全级别的第二安全级别的第二网络将激活信号发送到网络元件”。在方框S6,网络控制器装置可通过第二网络将激活信号发送到网络元件。在一些示例中,第二网络可包括不同于第一网络的第一安全级别的第二安全级别。在一些示例中,网络元件可响应于激活信号的接收将标识符发送到计算装置。在一些示例中,作为第二网络的部分的第二装置可以不被给予对计算装置的存储器进行写入的特权。在一些示例中,激活信号可以是用于确定网络元件是否可用于接收标识符的副本的ping。
处理可从方框S6继续进行到方框S8,“由网络控制器装置通过第二网络将标识符发送到网络元件,标识符可用于允许网络元件检索控制命令”。在方框S8,网络控制器装置可通过第二网络将标识符发送到网络元件。在一些示例中,标识符可用于允许网络元件检索控制命令。在一些其它的示例中,计算装置可响应于从网络元件接收到标识符,识别与标识符相关联的控制命令。例如,计算装置可用于用标识符的副本执行查找以识别与标识符相关联的控制命令。计算装置可将控制命令发送到网络元件。在一些示例中,网络控制器装置、计算装置和网络元件可被布置在软件定义网络中。
图4说明根据本文中所述的至少一些实施例布置的可被用来实施网络控制安全的示例计算机程序产品400。程序产品400可包括信号承载介质402。信号承载介质402可包括一条或多条指令404,这些指令当被例如处理器执行时可提供以上关于图1-3描述的功能。因此,例如,参照系统100,网络控制器102和/或网络通信管理器120可响应于由介质402递送给系统100的指令404来承担图4中所示的方框中的一个或多个。
在一些实施方式中,信号承载介质402可包含计算机可读介质406,诸如但不限于硬盘驱动器、压缩盘(CD)、数字通用盘(DVD)、数字带、存储器等。在一些实施方式中,信号承载介质402可包含可记录介质408,诸如但不限于存储器、读/写(R/W)CD、R/WDVD等。在一些实施方式中,信号承载介质402可包含通信介质410,诸如但不限于数字和/或模拟通信介质(例如,光纤电缆、波导、有线通信链路、无线通信链路等)。因此,例如,程序产品400400可被RF信号承载介质402递送给系统100的一个或多个模块,其中信号承载介质402被无线通信介质410(例如,符合IEEE802.11标准的无线通信介质)递送。
图5是说明根据本文中所述的至少一些实施例布置的被布置为实施网络控制安全的示例计算装置500的框图。在非常基本的配置502中,计算装置500通常包括一个或多个处理器504(诸如处理器170)和系统存储器506(诸如存储器172)。存储器总线508可被用于处理器504和系统存储器506之间的通信。
取决于期望的配置,处理器504可以是任何类型,包括但不限于微处理器(μP)、微控制器(μC)、数字信号处理器(DSP)或它们的任何组合。处理器504可包括一个或多个等级的高速缓存,诸如等级一的高速缓存510和等级二的高速缓存512、处理器核514和寄存器516。示例处理器核514可包括算术逻辑单元(ALU)、浮点单元(FPU)、数字信号处理核(DSP核)或它们的任何组合。示例存储器控制器518也可与处理器504一起被使用,或在一些实施方式中存储器控制器518可以是处理器504的内部部分。
取决于期望的配置,系统存储器506可以是任何类型,包括但不限于易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或它们的任何组合。系统存储器506可包括操作系统520、一个或多个应用522以及程序数据524。应用522可包括被布置为执行如本文中所述的功能(包括关于图1-4的系统100所描述的那些功能)的网络控制安全算法526。程序数据524可包括网络控制安全数据528,其对实施如本文中所述的网络控制安全可能是有用的。在一些实施方式中,应用522可被布置为与程序数据524一起在操作系统520上操作以使得可提供网络控制安全。该所述的基本配置502在图5中通过内部虚线内那些部件而被示出。
计算装置500可具有其它特征或功能以及用于促进基本配置502和任何所需的装置和接口之间的通信的附加接口。例如,总线/接口控制器530可被用来促进基本配置502与一个或多个数据存储装置532之间经由存储接口总线534的通信。数据存储装置532可以是可移除存储装置536、不可移除存储装置538或它们的组合。可移除存储装置和不可移除存储装置的示例举几个例子来说包括诸如软盘驱动器和硬盘驱动器(HDD)的磁盘装置、诸如压缩盘(CD)驱动器或数字通用盘(DVD)驱动器的光盘驱动器、固态驱动器(SSD)和磁带驱动器。示例计算机存储介质可包括在信息存储的任何方法或技术中被实施的易失性和非易失性、可移除和不可移除的介质,诸如计算机可读指令、数据结构、程序模块或其它数据。
系统存储器506、可移除存储装置536和不可移除存储装置638是计算机存储介质的示例。计算机存储介质包括但不限于:RAM、ROM、EEPROM、闪存或其它存储技术、CD-ROM、数字通用盘(DVD)或其它光学存储装置、磁带盒、磁带、磁盘存储装置或其它磁存储器装置或可用于存储期望的信息以及可被计算装置500访问的任何其它介质。任何这样的计算机存储介质可以是计算装置500的部分。
计算装置500也可包括用于促进从各种接口装置(例如,输出装置542、外围接口544和通信装置546)经由总线/接口控制器530到基本配置502的通信的接口总线540。示例输出装置542包括图形处理单元548和音频处理单元550,其可被配置为与诸如显示器或扬声器的各种外部装置经由一个或多个A/V端口552进行通信。示例外围接口544包括串行接口控制器554或并行接口控制器556,其可被配置为与诸如输入装置(例如,键盘、鼠标、笔、声音输入装置,触摸输入装置等)或其它外围装置(例如,打印机、扫描仪等)的外部装置经由一个或多个I/O端口558进行通信。示例通信装置546包括网络控制器560,其可被布置为促进与一个或多个其它计算装置562经由一个或多个通信端口564在网络通信链路上的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以被体现为计算机可读指令、数据结构、程序模块或诸如载波或其它传输机制的调制数据信号中的其它数据,并且可包括任何信息递送介质。“调制数据信号”可以是具有其特性集合中的一个或多个或者被更改为对信号中的信息进行编码的信号。举例来说,而非限制,通信介质可包括诸如有线网络或有线直接连接的有线介质、诸如声学、射频(RF)、微波、红外(IR)和其它无线介质的无线介质。如本文中所使用的术语计算机可读介质可包括存储介质和通信介质两者。
计算装置500可被实施作为小型便携式(或移动)电子装置的部分,所述电子装置诸如蜂窝电话、个人数据助理(PDA)、个人媒体播放器装置、无线网表装置、个人耳机装置、专用装置或包括以上功能中的任何功能的混合装置。计算装置500也可被实施作为包括笔记本计算机和非笔记本计算机配置两者的个人计算机。
在本申请中所述的特定实施例(意图使其作为各方面的例证)方面,本公开不应当是受限的。如对本领域技术人员来说将显而易见的,在不脱离其精神和范围的情况下可以做出许多修改和改变。通过前述描述,本公开范围内的功能等价的方法和设备(除本文中所列举的那些之外)对于本领域技术人员来说将是显而易见的。意图使这样的修改和改变落在所附权利要求的范围内。本公开仅由所附权利要求的各项以及这样的权利要求所赋予的等同物的全部范围一起来限定。应当理解,本公开并不限于特定的方法、系统或部件(当然其可以变化)。还应当理解,本文中所使用的术语仅仅是为了描述特定实施例的目的,且并不意图是限制性的。
关于基本上任何复数和/或单数术语在本文中的使用,本领域技术人员可以按照其适用于的情景和/或应用而从复数转化到单数和/或从单数转化到复数。为了清楚起见,在本文中可能明确地阐述了各种单数/复数变换。
本领域技术人员将理解的是,总之,本文中且尤其是所附权利要求(例如所附权利要求的主体)中所使用的术语通常意图是“开放的”术语(例如术语“包括”应当被解释为“包括但不限于”,术语“具有”应当被解释为“至少具有”,术语“包含”应当被解释为“包含但不限于”,等等)。本领域技术人员将进一步理解的是,如果所引入的权利要求叙述的特定数字是有意的,这样的意图将被明确叙述在权利要求中,并且在没有这样的叙述的情况下不存在这样的意图。例如,作为理解的辅助,下面所附的权利要求可以包含引入性短语“至少一个”和“一个或多个”的使用以引入权利要求叙述。然而,这样的短语的使用不应被解释为暗示着通过不定冠词“一”或“一个”引入权利要求叙述将包含这样引入的权利要求叙述的任何特定权利要求限定到包含只有一个这样的叙述的实施例,即使当该同一权利要求包括引入性短语“一个或多个”或“至少一个”以及诸如“一”或“一个”的不定冠词时也是这样(例如,“一”和/或“一个”应当被解释为意味着“至少一个”或“一个或多个”);对于用来引入权利要求叙述的定冠词的使用来说情况是同样的。此外,即使明确记载了所引入的权利要求叙述的特定数字,本领域技术人员也将认识到,这样的记载应当被解释为意味着至少所记载的数字(例如,在没有其它修饰的情况下,“两个叙述”的直率叙述意味着至少两个叙述或者两个或更多叙述)。此外,在其中使用类似于“A、B和C等中的至少一个”的惯例的那些实例中,通常这样的构造意图是本领域技术人员将理解该惯例的意义(例如,“具有A、B和C等中的至少一个的系统”将包括但不限于单独具有A、单独具有B、单独具有C、具有A和B一起、具有A和C一起、具有B和C一起以及/或者具有A、B和C一起等的系统)。在其中使用类似于“A、B或C等中的至少一个”的惯例的那些实例中,通常这样的构造意图是本领域技术人员将理解该惯例的意义(例如,“具有A、B或C等中的至少一个的系统”将包括但不限于单独具有A、单独具有B、单独具有C、具有A和B一起、具有A和C一起、具有B和C一起以及/或者具有A、B和C一起等的系统)。本领域技术人员将进一步理解的是,实际上任何转折性词语和/或提供两个或更多替换术语的短语无论是在说明书、权利要求中还是在附图中都应当被理解为构想包括这些术语中的一个、这些术语中的任一个或这些术语两个的可能性。例如,短语“A或B”将被理解为包括“A”或“B”或“A和B”的可能性。
如本领域技术人员将理解的,出于任何和所有目的,诸如在提供书面描述方面,本文中所公开的所有范围也涵盖任何和所有可能的子范围以及其子范围的组合。任何所列出的范围可被容易地理解为充分描述并使能被分解成至少相等的两半、三份、四份、五份、十份等的该同一范围。作为一非限制示例,本文中所讨论的每个范围都可被容易地分解成下三分之一、中间三分之一和上三分之一,等等。如本领域技术人员也将理解的,诸如“高达”、“至少”、“大于”、“少于”等的所有语言都包括所述的该数字并且指代随后可被分解成如上所讨论的子范围的范围。最后,如本领域技术人员将理解的,范围包括每个单个成员。因此,例如,具有1-3个单元的群组指代具有1个、2个或3个单元的群组。相似地,具有1-5个单元的群组指代具有1个、2个、3个、4个或5个单元的群组,以此类推。
虽然本文中已经描述了各个方面和实施例,但是其它方面和实施例对于本领域技术人员将是显而易见的。本文中所公开的各个方面和实施例是出于例证的目的,而非意图限制,其中真实范围和精神由权利要求来指明。
Claims (20)
1.一种允许网络元件检索控制命令的方法,所述方法包括:
由网络控制器装置将标识符与所述控制命令相关联;
由所述网络控制器装置通过具有第一安全级别的第一网络将所述标识符和相关联的控制命令发送到计算装置;
由所述网络控制器装置通过具有不同于第一安全级别的第二安全级别的第二网络将激活信号发送到所述网络元件;以及
由所述网络控制器装置通过第二网络将所述标识符发送到所述网络元件,其中所述标识符用于允许所述网络元件检索所述控制命令。
2.根据权利要求1所述的方法,其中:
作为第一网络的部分的第一装置被给予对所述计算装置的存储器进行写入的特权;以及
作为第二网络的部分的第二装置不被给予对所述计算装置的存储器进行写入的特权。
3.根据权利要求1所述的方法,还包括:
由所述网络元件响应于所述激活信号的接收将所述标识符发送到所述计算装置。
4.根据权利要求1所述的方法,其中所述控制命令基于一个或多个编程指令而产生。
5.根据权利要求1所述的方法,还包括:
由所述计算装置响应于从所述网络元件接收到所述标识符识别与所述标识符相关联的所述控制命令;以及
将所述控制命令从所述计算装置发送到所述网络元件。
6.根据权利要求1所述的方法,其中所述控制命令用于将所述网络元件配置为采取与软件定义网络相关的动作。
7.根据权利要求6所述的方法,其中所述动作包括从第一路由算法变为第二路由算法。
8.根据权利要求1所述的方法,其中:
所述控制命令是第一控制命令,所述计算装置是第一计算装置,并且所述方法还包括:
由所述网络元件通过第二网络从第二计算装置接收第二控制命令,其中所述第二控制命令不包括所述标识符。
9.根据权利要求1所述的方法,其中所述网络控制器装置、所述计算装置和所述网络元件被布置在软件定义网络中。
10.一种网络通信系统,包括:
网络控制器装置;
计算装置,其被配置为经由具有第一安全级别的第一网络与所述网络控制器装置进行通信;以及
网络元件,其被配置为与所述网络控制器装置和所述计算装置进行通信,其中
所述网络控制器装置用于:
通过第一网络将标识符和相关联的控制命令发送到所述计算装置;
所述计算装置用于将所述标识符和相关联的控制命令存储在所述计算装置的存储器中;
所述网络控制器装置进一步用于:
通过具有不同于第一安全级别的第二安全级别的第二网络将激活信号发送到所述网络元件;以及
通过第二网络将所述标识符的副本发送到所述网络元件;
所述网络元件用于响应于所述激活信号的接收将所述标识符的所述副本发送到所述计算装置;以及
所述计算装置进一步用于响应于所述标识符的所述副本的接收将与所述标识符相关联的所述控制命令发送到所述网络元件。
11.根据权利要求10所述的网络通信系统,其中所述网络控制装置、所述计算装置和所述网络元件被布置在软件定义网络中。
12.根据权利要求11所述的网络通信系统,其中所述控制命令用于将所述网络元件配置为采取与所述软件定义网络相关的动作。
13.根据权利要求10所述的网络通信系统,其中为了将与所述标识符相关联的所述控制命令发送到所述网络元件,所述计算装置进一步用于用所述标识符的所述副本执行查找以识别与所述标识符相关联的所述控制命令。
14.根据权利要求10所述的网络通信系统,其中:
作为第一网络的部分的第一装置被给予对所述计算装置的存储器进行写入的特权;以及
作为第二网络的部分的第二装置不被给予对所述计算装置的存储器进行写入的特权。
15.根据权利要求10所述的网络通信系统,其中:
所述控制命令是第一控制命令,所述计算装置是第一计算装置,并且所述网络元件进一步用于:
通过第二网络从第二计算装置接收第二控制命令,其中所述第二控制命令不包括所述标识符。
16.一种网络控制器装置,包括:
处理器;以及
存储器,其被配置为与所述处理器进行通信,并且用于存储一条或多条指令,其中
所述处理器用于根据所述一条或多条指令:
通过具有第一安全级别的第一网络将标识符和控制命令发送到计算装置;通过具有不同于第一安全级别的第二安全级别的第二网络将激活信号发送到网络元件;以及
通过第二网络将所述标识符的副本发送到所述网络元件,其中所述网络元件用于从所述计算装置接收所述控制命令。
17.根据权利要求16所述的网络通信装置,其中所述网络控制器装置进一步用于通过第一网络将所述控制命令写入到所述计算装置的存储器。
18.根据权利要求16所述的网络通信装置,其中:
作为第一网络的部分的第一装置被给予对所述计算装置的存储器进行写入的特权;以及
作为第二网络的部分的第二装置不被给予对所述计算装置的存储器进行写入的特权。
19.根据权利要求16所述的网络通信装置,其中所述激活信号是用于确定所述网络元件是否可用于接收所述标识符的副本的ping。
20.根据权利要求16所述的网络通信装置,其中所述控制命令基于被配置为改变软件定义网络的特性的一个或多个编程指令而产生。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150131558A KR101723098B1 (ko) | 2014-09-22 | 2015-09-17 | 네트워크 제어 보안 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/492,938 | 2014-09-22 | ||
US14/492,938 US9432380B2 (en) | 2014-09-22 | 2014-09-22 | Network control security |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105450440A true CN105450440A (zh) | 2016-03-30 |
Family
ID=55526880
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510563406.5A Pending CN105450440A (zh) | 2014-09-22 | 2015-09-07 | 网络控制安全 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9432380B2 (zh) |
KR (1) | KR101723098B1 (zh) |
CN (1) | CN105450440A (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10659314B2 (en) | 2015-07-20 | 2020-05-19 | Schweitzer Engineering Laboratories, Inc. | Communication host profiles |
US9900206B2 (en) * | 2015-07-20 | 2018-02-20 | Schweitzer Engineering Laboratories, Inc. | Communication device with persistent configuration and verification |
US9923779B2 (en) | 2015-07-20 | 2018-03-20 | Schweitzer Engineering Laboratories, Inc. | Configuration of a software defined network |
US10341311B2 (en) | 2015-07-20 | 2019-07-02 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing selective encryption in a software defined network |
US9866483B2 (en) | 2015-07-20 | 2018-01-09 | Schweitzer Engineering Laboratories, Inc. | Routing of traffic in network through automatically generated and physically distinct communication paths |
US10863558B2 (en) | 2016-03-30 | 2020-12-08 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing trusted relationships in a software defined network |
US10785189B2 (en) | 2018-03-01 | 2020-09-22 | Schweitzer Engineering Laboratories, Inc. | Selective port mirroring and in-band transport of network communications for inspection |
US11075908B2 (en) | 2019-05-17 | 2021-07-27 | Schweitzer Engineering Laboratories, Inc. | Authentication in a software defined network |
US10979309B2 (en) | 2019-08-07 | 2021-04-13 | Schweitzer Engineering Laboratories, Inc. | Automated convergence of physical design and configuration of software defined network |
US11228521B2 (en) | 2019-11-04 | 2022-01-18 | Schweitzer Engineering Laboratories, Inc. | Systems and method for detecting failover capability of a network device |
US11165685B2 (en) | 2019-12-20 | 2021-11-02 | Schweitzer Engineering Laboratories, Inc. | Multipoint redundant network device path planning for programmable networks |
US11418432B1 (en) | 2021-04-22 | 2022-08-16 | Schweitzer Engineering Laboratories, Inc. | Automated communication flow discovery and configuration in a software defined network |
US11750502B2 (en) | 2021-09-01 | 2023-09-05 | Schweitzer Engineering Laboratories, Inc. | Detection of in-band software defined network controllers using parallel redundancy protocol |
US11336564B1 (en) | 2021-09-01 | 2022-05-17 | Schweitzer Engineering Laboratories, Inc. | Detection of active hosts using parallel redundancy protocol in software defined networks |
US11838174B2 (en) | 2022-02-24 | 2023-12-05 | Schweitzer Engineering Laboratories, Inc. | Multicast fast failover handling |
US11848860B2 (en) | 2022-02-24 | 2023-12-19 | Schweitzer Engineering Laboratories, Inc. | Multicast fast failover turnaround overlap handling |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1842111A (zh) * | 2005-03-31 | 2006-10-04 | 联想(北京)有限公司 | 一种通用控制方法及系统 |
CN101047605A (zh) * | 2006-03-28 | 2007-10-03 | 腾讯科技(深圳)有限公司 | 一种远程控制方法及系统 |
CN103647658A (zh) * | 2013-11-27 | 2014-03-19 | 华为技术有限公司 | 一种软件定义网络系统中网络设备的管理方法和控制器 |
US20140195559A1 (en) * | 2013-01-10 | 2014-07-10 | Electronics & Telecommunications Research Institute | Network device, controller for controlling network device, and network control system |
CN104009871A (zh) * | 2014-06-06 | 2014-08-27 | 中国科学院声学研究所 | Sdn控制器实现方法及sdn控制器 |
CN104038484A (zh) * | 2014-05-30 | 2014-09-10 | 北京网河时代科技有限公司 | 一种智能家居系统中的抗身份攻击方法及系统 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030233540A1 (en) * | 2002-06-13 | 2003-12-18 | International Business Machines Corporation | System and method for secured delivery of content stream across multiple channels |
CN100488127C (zh) * | 2007-04-09 | 2009-05-13 | 中国移动通信集团公司 | 信息跟踪方法与系统 |
US8194680B1 (en) * | 2009-03-11 | 2012-06-05 | Amazon Technologies, Inc. | Managing communications for modified computer networks |
US9203747B1 (en) * | 2009-12-07 | 2015-12-01 | Amazon Technologies, Inc. | Providing virtual networking device functionality for managed computer networks |
WO2011091861A1 (en) * | 2010-02-01 | 2011-08-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Caching in mobile networks |
WO2011118585A1 (ja) * | 2010-03-24 | 2011-09-29 | 日本電気株式会社 | 情報システム、制御装置、仮想ネットワークの管理方法およびプログラム |
US8817621B2 (en) * | 2010-07-06 | 2014-08-26 | Nicira, Inc. | Network virtualization apparatus |
JPWO2012133060A1 (ja) * | 2011-03-29 | 2014-07-28 | 日本電気株式会社 | ネットワークシステム、及びvlanタグ情報取得方法 |
JP6023054B2 (ja) * | 2011-06-30 | 2016-11-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 通信システム、ユーザ端末並びに通信装置 |
US9450870B2 (en) * | 2011-11-10 | 2016-09-20 | Brocade Communications Systems, Inc. | System and method for flow management in software-defined networks |
US8995272B2 (en) * | 2012-01-26 | 2015-03-31 | Brocade Communication Systems, Inc. | Link aggregation in software-defined networks |
CN104145455A (zh) * | 2012-08-23 | 2014-11-12 | 华为技术有限公司 | 一种报文控制方法和装置 |
US9258218B2 (en) * | 2012-11-30 | 2016-02-09 | Alcatel Lucent | Software-defined network overlay |
US9871703B2 (en) * | 2013-03-26 | 2018-01-16 | Telefonaktiebolaget L M Ercisson (Publ) | Data plane distribution of control messages |
US20150249572A1 (en) * | 2014-03-03 | 2015-09-03 | Futurewei Technologies, Inc. | Software-Defined Network Control Using Functional Objects |
US9633131B2 (en) * | 2014-03-11 | 2017-04-25 | Cisco Technology, Inc. | HTML network service tags used with web browsers for controlling network elements |
WO2015152436A1 (ko) * | 2014-03-31 | 2015-10-08 | 쿨클라우드㈜ | Sdn 기반의 서비스 체이닝 시스템 |
US10003474B2 (en) * | 2014-05-01 | 2018-06-19 | Metaswitch Networks Ltd | Flow synchronization |
US9979515B2 (en) * | 2014-06-30 | 2018-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Control for BFD return path |
-
2014
- 2014-09-22 US US14/492,938 patent/US9432380B2/en not_active Expired - Fee Related
-
2015
- 2015-09-07 CN CN201510563406.5A patent/CN105450440A/zh active Pending
- 2015-09-17 KR KR1020150131558A patent/KR101723098B1/ko active IP Right Grant
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1842111A (zh) * | 2005-03-31 | 2006-10-04 | 联想(北京)有限公司 | 一种通用控制方法及系统 |
CN101047605A (zh) * | 2006-03-28 | 2007-10-03 | 腾讯科技(深圳)有限公司 | 一种远程控制方法及系统 |
US20140195559A1 (en) * | 2013-01-10 | 2014-07-10 | Electronics & Telecommunications Research Institute | Network device, controller for controlling network device, and network control system |
CN103647658A (zh) * | 2013-11-27 | 2014-03-19 | 华为技术有限公司 | 一种软件定义网络系统中网络设备的管理方法和控制器 |
CN104038484A (zh) * | 2014-05-30 | 2014-09-10 | 北京网河时代科技有限公司 | 一种智能家居系统中的抗身份攻击方法及系统 |
CN104009871A (zh) * | 2014-06-06 | 2014-08-27 | 中国科学院声学研究所 | Sdn控制器实现方法及sdn控制器 |
Also Published As
Publication number | Publication date |
---|---|
US20160087994A1 (en) | 2016-03-24 |
US9432380B2 (en) | 2016-08-30 |
KR101723098B1 (ko) | 2017-04-04 |
KR20160034810A (ko) | 2016-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105450440A (zh) | 网络控制安全 | |
US20210209614A1 (en) | Systems and methods for secure access to property or information using blockchain | |
EP3639496B1 (en) | Improved network access point | |
CN1933647B (zh) | 外部存储器管理装置和外部存储器管理方法 | |
CN105765597A (zh) | 使用行为合同来预先识别可能的恶意隐匿程序行为 | |
US20120060163A1 (en) | Methods and apparatus associated with dynamic access control based on a task/trouble ticket | |
CN104583044A (zh) | 用于多因素安全的移动设备和密钥卡配对 | |
WO2018228950A1 (en) | Home network access | |
US10749886B1 (en) | Analyzing diversely structured operational policies | |
US9325715B1 (en) | System and method for controlling access to personal user data | |
KR20220116136A (ko) | 하드웨어 보안 모듈을 이용한 IoT(Internet of Thing) 보안 서비스 제공 시스템 및 방법 | |
CN103339635A (zh) | 确定计算机软件应用对于特权升级攻击的脆弱性 | |
KR102008668B1 (ko) | 외부 저장 장치에 저장되는 파일의 개인정보를 보호하는 보안 시스템 및 방법 | |
US20140189853A1 (en) | Content protection key management | |
KR20210127125A (ko) | 블록체인을 이용해 특성 또는 정보로 안전하게 접근하기 위한 시스템 및 방법 | |
CN108476135A (zh) | 数字数据的访问控制 | |
EP4182823A1 (en) | Threat analysis and risk assessment for cyber-physical systems based on physical architecture and asset-centric threat modeling | |
CN104008341A (zh) | 安全防护的提醒方法及装置 | |
CN115088232A (zh) | 数据加密的方法、数据传输的方法、相关装置以及设备 | |
Idriss et al. | Filtering and intrusion detection approach for secured reconfigurable mobile systems | |
KR102542213B1 (ko) | 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법 | |
CN108140095B (zh) | 分布式大数据安全体系架构 | |
US11392766B2 (en) | Understanding and mediating among diversely structured operational policies | |
WO2016180134A1 (zh) | 管理信息安全规范库的方法和装置 | |
CN117494185B (zh) | 数据库访问控制方法及装置、系统、设备、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20190809 |