CN106657015B - 基于sdn网络的数据传输方法 - Google Patents
基于sdn网络的数据传输方法 Download PDFInfo
- Publication number
- CN106657015B CN106657015B CN201611035389.9A CN201611035389A CN106657015B CN 106657015 B CN106657015 B CN 106657015B CN 201611035389 A CN201611035389 A CN 201611035389A CN 106657015 B CN106657015 B CN 106657015B
- Authority
- CN
- China
- Prior art keywords
- node
- network
- target
- data transmission
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了基于SDN网络的数据传输方法,所述方法包括:SDN网络的中心控制器实施初始化操作,以通过流表的方式控制SDN网络中的物理节点之间的数据流的通断和传输;在SDN网络中的源节点需要向目标节点传送数据时,源节点请求中心控制器开通与目标节点和防火墙节点的连通性;源节点经由防火墙节点向目标节点发送连接建立请求,并随之经由防火墙节点与目标节点协商网络连接参数,以及随之基于所协商的网络连接参数并在不经由防火墙节点的情况下直接与目标节点进行实际的数据通信。本发明所公开的方法具有高的数据传输性能。
Description
技术领域
本发明涉及数据传输方法,更具体地,涉及基于SDN网络的数据传输方法。
背景技术
目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富,通过网络(尤其是SDN网络)进行节点之间的数据传输变得越来越重要。
在现有的基于SDN(软件定义网络)网络的技术方案中,通常以如下方式进行物理节点之间的数据传输:SDN网络的中心控制器基于流表的形式控制整个网络中任意物理节点之上的应用之间的报文的转发和丢弃,其中,常规的应用(例如基于FTP的应用)之间进行数据传输的过程典型地分为如下两个阶段:(1)连接建立阶段(慢通道过程),即源节点向目标节点的预定端口(例如FTP服务器端的21端口)发送连接建立请求,并随之协商后续的实际数据传输所使用的数据报文传输端口;(2)实际数据传输阶段(快通道过程),即使用所协商的数据报文传输端口进行实际的数据传输过程。
然而,上述现有的技术方案存在如下问题:当需要在源节点和目标节点之间传输安全性要求较高的数据(例如用于支付的敏感数据)时,两个物理节点之间的所有通信(包括慢通道过程和快通道过程两者)必须经由防火墙,故防火墙将成为网络传输的瓶颈,即所有网络流量均需要通过防火墙实施安全判断后进行转发,故存在潜在的数据处理性能瓶颈。
因此,存在如下需求:提供具有高的数据传输性能的基于SDN网络的数据传输方法。
发明内容
为了解决上述现有技术方案所存在的问题,本发明提出了具有高的数据传输性能的基于SDN网络的数据传输方法。
本发明的目的是通过以下技术方案实现的:
一种基于SDN网络的数据传输方法,所述基于SDN网络的数据传输方法包括下列步骤:
(A1)SDN网络的中心控制器实施初始化操作,以通过流表的方式控制SDN网络中的物理节点之间的数据流的通断和传输;
(A2)在所述SDN网络中的源节点需要向目标节点传送数据时,所述源节点请求所述中心控制器开通与所述目标节点和防火墙节点的连通性;
(A3)所述源节点经由所述防火墙节点向所述目标节点发送连接建立请求,并随之经由所述防火墙节点与所述目标节点协商网络连接参数,以及随之基于所协商的网络连接参数并在不经由所述防火墙节点的情况下直接与所述目标节点进行实际的数据通信。
在上面所公开的方案中,优选地,所述步骤(A1)进一步包括:所述中心控制器初始设定所述SDN网络中的任意两个节点之间不连通。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在所述源节点和所述目标节点之间的网络连接开通后,所述源节点经由所述防火墙节点向所述目标节点的预定端口发送所述连接建立请求以及随后的用于协商网络连接参数的数据包,其中,所述防火墙节点在接收到所述连接建立请求以及随后的用于协商网络连接参数的数据包后按照预定的安全规则对其进行安全性核查,并在核查通过的情况下将所述连接建立请求以及随后的用于协商网络连接参数的数据包转发至所述目标节点。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在接收到所述连接建立请求后,所述目标节点确定用于随后的实际的数据传输的网络连接参数,并将所确定的网络连接参数以数据包的形式传送至所述防火墙节点。
在上面所公开的方案中,优选地,所述网络连接参数包括用于后续的实际数据传输的目标传输端口的标识符。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述防火墙节点根据所述网络连接参数所指示的目标传输端口请求所述中心控制器开启其连通性。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在接收到来自所述防火墙节点的请求后,所述中心控制器开启所述目标传输端口的网络连通性,并随之通知所述防火墙节点该目标传输端口已开通。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在所述目标传输端口已开通后,所述防火墙节点以数据包的形式将所述网络连接参数传送至所述源节点。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述源节点在不经由所述防火墙节点的情况下直接根据所述网络连接参数所指示的目标传输端口以数据包的形式与所述目标节点进行实际的数据通信。
在上面所公开的方案中,优选地,所述预定的安全规则包括对基于特征的数字签名进行校验。
本发明所公开的基于SDN网络的数据传输方法具有以下优点:由于慢通道过程和快通道过程采用不同的传输策略,即快通道过程不经由防火墙节点,故具有显著提高的网络数据传输性能。
附图说明
结合附图,本发明的技术特征以及优点将会被本领域技术人员更好地理解,其中:
图1是根据本发明的实施例的基于SDN网络的数据传输方法的流程图。
具体实施方式
图1是根据本发明的实施例的基于SDN网络的数据传输方法的流程图。如图1所示,本发明所公开的基于SDN网络的数据传输方法包括下列步骤:(A1)SDN网络的中心控制器实施初始化操作,以通过流表(flowtable)的方式控制SDN网络中的物理节点之间的数据流的通断和传输;(A2)在所述SDN网络中的源节点需要向目标节点传送数据时,所述源节点请求所述中心控制器开通与所述目标节点和防火墙节点的连通性;(A3)所述源节点经由所述防火墙节点向所述目标节点发送连接建立请求,并随之经由所述防火墙节点与所述目标节点协商网络连接参数,以及随之基于所协商的网络连接参数并在不经由所述防火墙节点的情况下直接与所述目标节点进行实际的数据通信。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A1)进一步包括:所述中心控制器初始设定所述SDN网络中的任意两个节点之间不连通(即以白名单形式开通节点之间的网络连接)。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在所述源节点和所述目标节点之间的网络连接开通后,所述源节点经由所述防火墙节点向所述目标节点的预定端口(例如针对FTP的21号端口)发送所述连接建立请求以及随后的用于协商网络连接参数的数据包,其中,所述防火墙节点在接收到所述连接建立请求以及随后的用于协商网络连接参数的数据包后按照预定的安全规则对其进行安全性核查,并在核查通过的情况下将所述连接建立请求以及随后的用于协商网络连接参数的数据包转发至所述目标节点。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在接收到所述连接建立请求后,所述目标节点确定用于随后的实际的数据传输的网络连接参数,并将所确定的网络连接参数以数据包的形式传送至所述防火墙节点。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述网络连接参数包括用于后续的实际数据传输的目标传输端口的标识符(即目标端口号)。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述防火墙节点根据所述网络连接参数所指示的目标传输端口请求所述中心控制器开启其连通性。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在接收到来自所述防火墙节点的请求后,所述中心控制器开启所述目标传输端口的网络连通性,并随之通知所述防火墙节点该目标传输端口已开通。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在所述目标传输端口已开通后,所述防火墙节点以数据包的形式将所述网络连接参数传送至所述源节点。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述源节点在不经由所述防火墙节点的情况下直接根据所述网络连接参数所指示的目标传输端口以数据包的形式与所述目标节点进行实际的数据通信。
优选地,在本发明所公开的基于SDN网络的数据传输方法中,所述预定的安全规则包括对基于特征的数字签名进行校验。
由上可见,本发明所公开的基于SDN网络的数据传输方法具有下列优点:由于慢通道过程和快通道过程采用不同的传输策略,即快通道过程不经由防火墙节点,故具有显著提高的网络数据传输性能。
尽管本发明是通过上述的优选实施方式进行描述的,但是其实现形式并不局限于上述的实施方式。应该认识到:在不脱离本发明主旨和范围的情况下,本领域技术人员可以对本发明做出不同的变化和修改。
Claims (10)
1.一种基于SDN网络的数据传输方法,包括下列步骤:
(A1)SDN网络的中心控制器实施初始化操作,以通过流表的方式控制SDN网络中的物理节点之间的数据流的通断和传输;
(A2)在所述SDN网络中的源节点需要向目标节点传送数据时,所述源节点请求所述中心控制器开通与所述目标节点和防火墙节点的连通性;
(A3)所述源节点配置成依次执行下列子步骤:
经由所述防火墙节点向所述目标节点发送连接建立请求,
经由所述防火墙节点与所述目标节点协商网络连接参数,以及
基于所协商的网络连接参数所指示的目标传输端口,在不经由所述防火墙节点的情况下直接与所述目标节点进行实际的数据通信。
2.根据权利要求1所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A1)进一步包括:所述中心控制器初始设定所述SDN网络中的任意两个节点之间不连通。
3.根据权利要求2所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在所述源节点和所述目标节点之间的网络连接开通后,所述源节点经由所述防火墙节点向所述目标节点的预定端口发送所述连接建立请求以及随后的用于协商网络连接参数的数据包,其中,所述防火墙节点在接收到所述连接建立请求以及随后的用于协商网络连接参数的数据包后按照预定的安全规则对其进行安全性核查,并在核查通过的情况下将所述连接建立请求以及随后的用于协商网络连接参数的数据包转发至所述目标节点。
4.根据权利要求3所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在接收到所述连接建立请求后,所述目标节点确定用于随后的实际的数据传输的网络连接参数,并将所确定的网络连接参数以数据包的形式传送至所述防火墙节点。
5.根据权利要求4所述的基于SDN网络的数据传输方法,其特征在于,所述网络连接参数包括所述目标传输端口的标识符。
6.根据权利要求5所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在接收到所述网络连接参数后,所述防火墙节点根据所述目标传输端口请求所述中心控制器开启其连通性。
7.根据权利要求6所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在接收到来自所述防火墙节点的请求后,所述中心控制器开启所述目标传输端口的网络连通性,并随之通知所述防火墙节点该目标传输端口已开通。
8.根据权利要求7所述的基于SDN网络的数据传输方法,其特征在于,所述步骤(A3)进一步包括:在所述目标传输端口已开通后,所述防火墙节点以数据包的形式将所述网络连接参数传送至所述源节点。
9.根据权利要求8所述的基于SDN网络的数据传输方法,其特征在于,在接收到所述网络连接参数后,所述源节点以数据包的形式与所述目标节点进行实际的数据通信。
10.根据权利要求9所述的基于SDN网络的数据传输方法,其特征在于,所述预定的安全规则包括对基于特征的数字签名进行校验。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611035389.9A CN106657015B (zh) | 2016-11-23 | 2016-11-23 | 基于sdn网络的数据传输方法 |
| TW106139461A TWI665891B (zh) | 2016-11-23 | 2017-11-15 | Data transmission method based on SDN network |
| PCT/CN2017/111298 WO2018095263A1 (zh) | 2016-11-23 | 2017-11-16 | 基于sdn网络的数据传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611035389.9A CN106657015B (zh) | 2016-11-23 | 2016-11-23 | 基于sdn网络的数据传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106657015A CN106657015A (zh) | 2017-05-10 |
| CN106657015B true CN106657015B (zh) | 2020-09-22 |
Family
ID=58811051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611035389.9A Active CN106657015B (zh) | 2016-11-23 | 2016-11-23 | 基于sdn网络的数据传输方法 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN106657015B (zh) |
| TW (1) | TWI665891B (zh) |
| WO (1) | WO2018095263A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657015B (zh) * | 2016-11-23 | 2020-09-22 | 中国银联股份有限公司 | 基于sdn网络的数据传输方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103369613A (zh) * | 2013-07-05 | 2013-10-23 | 中国科学院计算机网络信息中心 | 基于OpenFlow实现移动切换的系统和方法 |
| CN105262686A (zh) * | 2014-07-18 | 2016-01-20 | 中兴通讯股份有限公司 | 一种网络连通性验证方法和装置 |
| CN105656841A (zh) * | 2014-11-11 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
| CN105681305A (zh) * | 2016-01-15 | 2016-06-15 | 北京工业大学 | 一种sdn防火墙系统及实现方法 |
| CN105745886A (zh) * | 2013-09-23 | 2016-07-06 | 迈克菲股份有限公司 | 在两个实体之间提供快速路径 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7403995B2 (en) * | 2003-01-08 | 2008-07-22 | Outhink, Inc. | Symmetrical bi-directional communication |
| CN103457920B (zh) * | 2012-06-04 | 2016-12-14 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| US9654418B2 (en) * | 2013-11-05 | 2017-05-16 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system of supporting operator commands in link aggregation group |
| CN104702577B (zh) * | 2013-12-09 | 2018-03-16 | 华为技术有限公司 | 数据流安全处理方法及装置 |
| US20150312215A1 (en) * | 2014-01-28 | 2015-10-29 | Lov Kher | Generating optimal pathways in software-defined networking (sdn) |
| CN104104561B (zh) * | 2014-08-11 | 2017-09-22 | 武汉大学 | 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统 |
| CN105721334B (zh) * | 2014-12-04 | 2020-02-18 | 中国移动通信集团公司 | 确定传输路径和更新acl的方法及设备 |
| CN106657015B (zh) * | 2016-11-23 | 2020-09-22 | 中国银联股份有限公司 | 基于sdn网络的数据传输方法 |
-
2016
- 2016-11-23 CN CN201611035389.9A patent/CN106657015B/zh active Active
-
2017
- 2017-11-15 TW TW106139461A patent/TWI665891B/zh active
- 2017-11-16 WO PCT/CN2017/111298 patent/WO2018095263A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103369613A (zh) * | 2013-07-05 | 2013-10-23 | 中国科学院计算机网络信息中心 | 基于OpenFlow实现移动切换的系统和方法 |
| CN105745886A (zh) * | 2013-09-23 | 2016-07-06 | 迈克菲股份有限公司 | 在两个实体之间提供快速路径 |
| CN105262686A (zh) * | 2014-07-18 | 2016-01-20 | 中兴通讯股份有限公司 | 一种网络连通性验证方法和装置 |
| CN105656841A (zh) * | 2014-11-11 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
| CN105681305A (zh) * | 2016-01-15 | 2016-06-15 | 北京工业大学 | 一种sdn防火墙系统及实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201820825A (zh) | 2018-06-01 |
| WO2018095263A1 (zh) | 2018-05-31 |
| TWI665891B (zh) | 2019-07-11 |
| CN106657015A (zh) | 2017-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10616379B2 (en) | Seamless mobility and session continuity with TCP mobility option | |
| WO2019242574A1 (zh) | 一种物联网业务路由的方法 | |
| EP3576379B1 (en) | Service layer interworking using mqtt protocol | |
| US8705536B2 (en) | Methods of operating forwarding elements including shadow tables and related forwarding elements | |
| US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
| US10126719B2 (en) | Methods for changing an authority of control for a controller in environment having multiple controllers | |
| CN109361606B (zh) | 一种报文处理系统及网络设备 | |
| CN101247353B (zh) | 流老化方法及网络设备 | |
| WO2014021870A1 (en) | Feature enablement or disablement determination based on discovery message | |
| US11539747B2 (en) | Secure communication session resumption in a service function chain | |
| CN108093041A (zh) | 单通道vdi代理服务系统及实现方法 | |
| US8149842B2 (en) | Automated discovery of network devices supporting particular transport layer protocols | |
| CN108989342B (zh) | 一种数据传输的方法及装置 | |
| CN106657015B (zh) | 基于sdn网络的数据传输方法 | |
| CN104486119A (zh) | 通过改进openflow协议实现批量管理交换机的方法及系统 | |
| EP3447668B1 (en) | Utilizing routing for secure transactions | |
| CN105577579A (zh) | 业务功能链中协议报文的处理方法、系统及业务功能节点 | |
| US11831622B2 (en) | Security for distributed networking | |
| CN106549962A (zh) | 一种通用化的智能管控平台通信协议的实现方法 | |
| KR101971995B1 (ko) | 보안을 위한 보안 소켓 계층 복호화 방법 | |
| CN101621528B (zh) | 基于以太交换机集群管理的会话系统及会话通道实现方法 | |
| KR20170038568A (ko) | Sdn 컨트롤러 및 sdn 컨트롤러에서의 스위치 식별 방법 | |
| CN112187551B (zh) | 基于软件定义广域网的边缘设备能力基准测试方法和装置 | |
| CN105704023B (zh) | 一种堆叠系统的报文转发方法、装置及堆叠设备 | |
| CN105765903A (zh) | 一种拓扑发现方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |