CN106657015A - 基于sdn网络的数据传输方法 - Google Patents
基于sdn网络的数据传输方法 Download PDFInfo
- Publication number
- CN106657015A CN106657015A CN201611035389.9A CN201611035389A CN106657015A CN 106657015 A CN106657015 A CN 106657015A CN 201611035389 A CN201611035389 A CN 201611035389A CN 106657015 A CN106657015 A CN 106657015A
- Authority
- CN
- China
- Prior art keywords
- node
- sdn
- network connection
- method based
- data transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明提出了基于SDN网络的数据传输方法,所述方法包括:SDN网络的中心控制器实施初始化操作,以通过流表的方式控制SDN网络中的物理节点之间的数据流的通断和传输;在SDN网络中的源节点需要向目标节点传送数据时,源节点请求中心控制器开通与目标节点和防火强节点的连通性;源节点经由防火墙节点向目标节点发送连接建立请求,并随之经由防火墙节点与目标节点协商网络连接参数,以及随之基于所协商的网络连接参数并在不经由防火墙节点的情况下直接与目标节点进行实际的数据通信。本发明所公开的方法具有高的数据传输性能。
Description
技术领域
本发明涉及数据传输方法,更具体地,涉及基于SDN网络的数据传输方法。
背景技术
目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富,通过网络(尤其是SDN网络)进行节点之间的数据传输变得越来越重要。
在现有的基于SDN(软件定义网络)网络的技术方案中,通常以如下方式进行物理节点之间的数据传输:SDN网络的中心控制器基于流表的形式控制整个网络中任意物理节点之上的应用之间的报文的转发和丢弃,其中,常规的应用(例如基于FTP的应用)之间进行数据传输的过程典型地分为如下两个阶段:(1)连接建立阶段(慢通道过程),即源节点向目标节点的预定端口(例如FTP服务器端的21端口)发送连接建立请求,并随之协商后续的实际数据传输所使用的数据报文传输端口;(2)实际数据传输阶段(快通道过程),即使用所协商的数据报文传输端口进行实际的数据传输过程。
然而,上述现有的技术方案存在如下问题:当需要在源节点和目标节点之间传输安全性要求较高的数据(例如用于支付的敏感数据)时,两个物理节点之间的所有通信(包括慢通道过程和快通道过程两者)必须经由防火墙,故防火墙将成为网络传输的瓶颈,即所有网络流量均需要通过防火墙实施安全判断后进行转发,故存在潜在的数据处理性能瓶颈。
因此,存在如下需求:提供具有高的数据传输性能的基于SDN网络的数据传输方法。
发明内容
为了解决上述现有技术方案所存在的问题,本发明提出了具有高的数据传输性能的基于SDN网络的数据传输方法。
本发明的目的是通过以下技术方案实现的:
一种基于SDN网络的数据传输方法,所述基于SDN网络的数据传输方法包括下列步骤:
(A1)SDN网络的中心控制器实施初始化操作,以通过流表的方式控制SDN网络中的物理节点之间的数据流的通断和传输;
(A2)在所述SDN网络中的源节点需要向目标节点传送数据时,所述源节点请求所述中心控制器开通与所述目标节点和防火强节点的连通性;
(A3)所述源节点经由所述防火墙节点向所述目标节点发送连接建立请求,并随之经由所述防火墙节点与所述目标节点协商网络连接参数,以及随之基于所协商的网络连接参数并在不经由所述防火墙节点的情况下直接与所述目标节点进行实际的数据通信。
在上面所公开的方案中,优选地,所述步骤(A1)进一步包括:所述中心控制器初始设定所述SDN网络中的任意两个节点之间不连通。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在所述源节点和所述目标节点之间的网络连接开通后,所述源节点经由所述防火墙节点向所述目标节点的预定端口发送所述连接建立请求以及随后的用于协商网络连接参数的数据包,其中,所述防火墙节点在接收到所述连接建立请求以及随后的用于协商网络连接参数的数据包后按照预定的安全规则对其进行安全性核查,并在核查通过的情况下将所述连接建立请求以及随后的用于协商网络连接参数的数据包转发至所述目标节点。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在接收到所述连接建立请求后,所述目标节点确定用于随后的实际的数据传输的网络连接参数,并将所确定的网络连接参数以数据包的形式传送至所述防火墙节点。
在上面所公开的方案中,优选地,所述网络连接参数包括用于后续的实际数据传输的目标传输端口的标识符。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述防火墙节点根据所述网络连接参数所指示的目标传输端口请求所述中心控制器开启其连通性。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在接收到来自所述防火墙节点的请求后,所述中心控制器开启所述目标传输端口的网络连通性,并随之通知所述防火墙节点该目标传输端口已开通。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在所述目标传输端口已开通后,所述防火墙节点以数据包的形式将所述网络连接参数传送至所述源节点。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述源节点在不经由所述防火墙节点的情况下直接根据所述网络连接参数所指示的目标传输端口以数据包的形式与所述目标节点进行实际的数据通信。
在上面所公开的方案中,优选地,所述预定的安全规则包括对基于特征的数字签名进行校验。
本发明所公开的基于SDN网络的数据传输方法具有以下优点:由于慢通道过程和快通道过程采用不同的传输策略,即快通道过程不经由防火墙节点,故具有显著提高的网络数据传输性能。
附图说明
结合附图,本发明的技术特征以及优点将会被本领域技术人员更好地理解,其中:
图1是根据本发明的实施例的基于SDN网络的数据传输方法的流程图。
具体实施方式
图1是根据本发明的实施例的基于SDN网络的数据传输方法的流程图。如图1所示,本发明所公开的基于SDN网络的数据传输方法包括下列步骤:(A1)SDN网络的中心控制器实施初始化操作,以通过流表(flowtable)的方式控制SDN网络中的物理节点之间的数据流的通断和传输;(A2)在所述SDN网络中的源节点需要向目标节点传送数据时,所述源节点请求所述中心控制器开通与所述目标节点和防火强节点的连通性;(A3)所述源节点经由所述防火墙节点向所述目标节点发送连接建立请求,并随之经由所述防火墙节点与所述目标节点协商网络连接参数,以及随之基于所协商的网络连接参数并在不经由所述防火墙节点的情况下直接与所述目标节点进行实际的数据通信。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A1)进一步包括:所述中心控制器初始设定所述SDN网络中的任意两个节点之间不连通(即以白名单形式开通节点之间的网络连接)。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在所述源节点和所述目标节点之间的网络连接开通后,所述源节点经由所述防火墙节点向所述目标节点的预定端口(例如针对FTP的21号端口)发送所述连接建立请求以及随后的用于协商网络连接参数的数据包,其中,所述防火墙节点在接收到所述连接建立请求以及随后的用于协商网络连接参数的数据包后按照预定的安全规则对其进行安全性核查,并在核查通过的情况下将所述连接建立请求以及随后的用于协商网络连接参数的数据包转发至所述目标节点。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在接收到所述连接建立请求后,所述目标节点确定用于随后的实际的数据传输的网络连接参数,并将所确定的网络连接参数以数据包的形式传送至所述防火墙节点。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述网络连接参数包括用于后续的实际数据传输的目标传输端口的标识符(即目标端口号)。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述防火墙节点根据所述网络连接参数所指示的目标传输端口请求所述中心控制器开启其连通性。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在接收到来自所述防火墙节点的请求后,所述中心控制器开启所述目标传输端口的网络连通性,并随之通知所述防火墙节点该目标传输端口已开通。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在所述目标传输端口已开通后,所述防火墙节点以数据包的形式将所述网络连接参数传送至所述源节点。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述源节点在不经由所述防火墙节点的情况下直接根据所述网络连接参数所指示的目标传输端口以数据包的形式与所述目标节点进行实际的数据通信。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述预定的安全规则包括对基于特征的数字签名进行校验。
由上可见,本发明所公开的基于SDN网络的数据传输方法具有下列优点:由于慢通道过程和快通道过程采用不同的传输策略,即快通道过程不经由防火墙节点,故具有显著提高的网络数据传输性能。
尽管本发明是通过上述的优选实施方式进行描述的,但是其实现形式并不局限于上述的实施方式。应该认识到:在不脱离本发明主旨和范围的情况下,本领域技术人员可以对本发明做出不同的变化和修改。
Claims (10)
1.一种基于SDN网络的数据传输方法,所述基于SDN网络的数据传输方法包括下列步骤:
(A1)SDN网络的中心控制器实施初始化操作,以通过流表的方式控制SDN网络中的物理节点之间的数据流的通断和传输;
(A2)在所述SDN网络中的源节点需要向目标节点传送数据时,所述源节点请求所述中心控制器开通与所述目标节点和防火强节点的连通性;
(A3)所述源节点经由所述防火墙节点向所述目标节点发送连接建立请求,并随之经由所述防火墙节点与所述目标节点协商网络连接参数,以及随之基于所协商的网络连接参数并在不经由所述防火墙节点的情况下直接与所述目标节点进行实际的数据通信。
2.根据权利要求1所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A1)进一步包括:所述中心控制器初始设定所述SDN网络中的任意两个节点之间不连通。
3.根据权利要求2所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在所述源节点和所述目标节点之间的网络连接开通后,所述源节点经由所述防火墙节点向所述目标节点的预定端口发送所述连接建立请求以及随后的用于协商网络连接参数的数据包,其中,所述防火墙节点在接收到所述连接建立请求以及随后的用于协商网络连接参数的数据包后按照预定的安全规则对其进行安全性核查,并在核查通过的情况下将所述连接建立请求以及随后的用于协商网络连接参数的数据包转发至所述目标节点。
4.根据权利要求3所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在接收到所述连接建立请求后,所述目标节点确定用于随后的实际的数据传输的网络连接参数,并将所确定的网络连接参数以数据包的形式传送至所述防火墙节点。
5.根据权利要求4所述的基于SDN网络的数据传输方法,其特征在于,所述网络连接参数包括用于后续的实际数据传输的目标传输端口的标识符。
6.根据权利要求5所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述防火墙节点根据所述网络连接参数所指示的目标传输端口请求所述中心控制器开启其连通性。
7.根据权利要求6所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在接收到来自所述防火墙节点的请求后,所述中心控制器开启所述目标传输端口的网络连通性,并随之通知所述防火墙节点该目标传输端口已开通。
8.根据权利要求7所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在所述目标传输端口已开通后,所述防火墙节点以数据包的形式将所述网络连接参数传送至所述源节点。
9.根据权利要求8所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述源节点在不经由所述防火墙节点的情况下直接根据所述网络连接参数所指示的目标传输端口以数据包的形式与所述目标节点进行实际的数据通信。
10.根据权利要求9所述的基于SDN网络的数据传输方法,其特征在于,所述预定的安全规则包括对基于特征的数字签名进行校验。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611035389.9A CN106657015B (zh) | 2016-11-23 | 2016-11-23 | 基于sdn网络的数据传输方法 |
| TW106139461A TWI665891B (zh) | 2016-11-23 | 2017-11-15 | Data transmission method based on SDN network |
| PCT/CN2017/111298 WO2018095263A1 (zh) | 2016-11-23 | 2017-11-16 | 基于sdn网络的数据传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611035389.9A CN106657015B (zh) | 2016-11-23 | 2016-11-23 | 基于sdn网络的数据传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106657015A true CN106657015A (zh) | 2017-05-10 |
| CN106657015B CN106657015B (zh) | 2020-09-22 |
Family
ID=58811051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611035389.9A Active CN106657015B (zh) | 2016-11-23 | 2016-11-23 | 基于sdn网络的数据传输方法 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN106657015B (zh) |
| TW (1) | TWI665891B (zh) |
| WO (1) | WO2018095263A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018095263A1 (zh) * | 2016-11-23 | 2018-05-31 | 中国银联股份有限公司 | 基于sdn网络的数据传输方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7756983B2 (en) * | 2003-01-08 | 2010-07-13 | Outhink, Inc. | Symmetrical bi-directional communication |
| CN103369613A (zh) * | 2013-07-05 | 2013-10-23 | 中国科学院计算机网络信息中心 | 基于OpenFlow实现移动切换的系统和方法 |
| CN104702577A (zh) * | 2013-12-09 | 2015-06-10 | 华为技术有限公司 | 数据流安全处理方法及装置 |
| US20150312215A1 (en) * | 2014-01-28 | 2015-10-29 | Lov Kher | Generating optimal pathways in software-defined networking (sdn) |
| CN105262686A (zh) * | 2014-07-18 | 2016-01-20 | 中兴通讯股份有限公司 | 一种网络连通性验证方法和装置 |
| CN105656841A (zh) * | 2014-11-11 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
| CN105681305A (zh) * | 2016-01-15 | 2016-06-15 | 北京工业大学 | 一种sdn防火墙系统及实现方法 |
| CN105706393A (zh) * | 2013-11-05 | 2016-06-22 | 瑞典爱立信有限公司 | 在链路聚合组中支持操作者命令的方法和系统 |
| CN105745886A (zh) * | 2013-09-23 | 2016-07-06 | 迈克菲股份有限公司 | 在两个实体之间提供快速路径 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457920B (zh) * | 2012-06-04 | 2016-12-14 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| CN104104561B (zh) * | 2014-08-11 | 2017-09-22 | 武汉大学 | 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统 |
| CN105721334B (zh) * | 2014-12-04 | 2020-02-18 | 中国移动通信集团公司 | 确定传输路径和更新acl的方法及设备 |
| CN106657015B (zh) * | 2016-11-23 | 2020-09-22 | 中国银联股份有限公司 | 基于sdn网络的数据传输方法 |
-
2016
- 2016-11-23 CN CN201611035389.9A patent/CN106657015B/zh active Active
-
2017
- 2017-11-15 TW TW106139461A patent/TWI665891B/zh active
- 2017-11-16 WO PCT/CN2017/111298 patent/WO2018095263A1/zh active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7756983B2 (en) * | 2003-01-08 | 2010-07-13 | Outhink, Inc. | Symmetrical bi-directional communication |
| CN103369613A (zh) * | 2013-07-05 | 2013-10-23 | 中国科学院计算机网络信息中心 | 基于OpenFlow实现移动切换的系统和方法 |
| CN105745886A (zh) * | 2013-09-23 | 2016-07-06 | 迈克菲股份有限公司 | 在两个实体之间提供快速路径 |
| CN105706393A (zh) * | 2013-11-05 | 2016-06-22 | 瑞典爱立信有限公司 | 在链路聚合组中支持操作者命令的方法和系统 |
| CN104702577A (zh) * | 2013-12-09 | 2015-06-10 | 华为技术有限公司 | 数据流安全处理方法及装置 |
| US20150312215A1 (en) * | 2014-01-28 | 2015-10-29 | Lov Kher | Generating optimal pathways in software-defined networking (sdn) |
| CN105262686A (zh) * | 2014-07-18 | 2016-01-20 | 中兴通讯股份有限公司 | 一种网络连通性验证方法和装置 |
| CN105656841A (zh) * | 2014-11-11 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
| CN105681305A (zh) * | 2016-01-15 | 2016-06-15 | 北京工业大学 | 一种sdn防火墙系统及实现方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018095263A1 (zh) * | 2016-11-23 | 2018-05-31 | 中国银联股份有限公司 | 基于sdn网络的数据传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106657015B (zh) | 2020-09-22 |
| TWI665891B (zh) | 2019-07-11 |
| TW201820825A (zh) | 2018-06-01 |
| WO2018095263A1 (zh) | 2018-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN107819742B (zh) | 一种动态部署网络安全服务的系统架构及其方法 | |
| CN103621028B (zh) | 控制网络访问策略的计算机系统、控制器和方法 | |
| CN102882828A (zh) | 一种内网与外网间的信息安全传输控制方法及其网关 | |
| CN107196813A (zh) | 用于自组织二层企业网络架构的方法和装置 | |
| CN107864162B (zh) | 融合网关双系统及其通信安全保护方法 | |
| CN109495391A (zh) | 一种基于sdn的安全服务链系统及数据包匹配转发方法 | |
| CN108289061B (zh) | 基于sdn的业务链拓扑系统 | |
| CN103595712B (zh) | 一种Web认证方法、装置及系统 | |
| CN109005179A (zh) | 基于端口控制的网络安全隧道建立方法 | |
| CN107241255A (zh) | 一种网络合并方法及系统及路由器 | |
| CN106059881B (zh) | 一种sdn网络及其流量导入导出方法 | |
| EP2974355A2 (en) | A device, a system and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network | |
| CN106657015A (zh) | 基于sdn网络的数据传输方法 | |
| CN101753438B (zh) | 实现通道分离的路由器及其通道分离的传输方法 | |
| CN105049367B (zh) | 一种聚合链路的流量分配方法和接入设备 | |
| EP2911353A1 (en) | Method and device for flow path negotiation in link aggregation group | |
| CN105141526B (zh) | 虚拟网络通信的方法及装置 | |
| CN110233800A (zh) | 一种开放可编程的报文转发方法和系统 | |
| WO2019000599A1 (zh) | 一种动态虚拟专用网络建立方法及装置 | |
| CN105991713B (zh) | 更新处理方法及装置 | |
| CN106331899A (zh) | 七号信令网无感串接处理方法 | |
| CN102684892B (zh) | 一种端口扩展中实现源端口过滤的方法和装置 | |
| CN107707470B (zh) | Ospf区域号配置方法及设备 | |
| CN104283814A (zh) | 控制数据转发的方法及逻辑交换机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |