CN107360161A - 一种sdn流表下发系统及方法 - Google Patents

一种sdn流表下发系统及方法 Download PDF

Info

Publication number
CN107360161A
CN107360161A CN201710565651.9A CN201710565651A CN107360161A CN 107360161 A CN107360161 A CN 107360161A CN 201710565651 A CN201710565651 A CN 201710565651A CN 107360161 A CN107360161 A CN 107360161A
Authority
CN
China
Prior art keywords
sdn
flow table
accelerator card
controllers
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710565651.9A
Other languages
English (en)
Inventor
段成德
于治楼
金长新
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinan Inspur Hi Tech Investment and Development Co Ltd
Original Assignee
Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan Inspur Hi Tech Investment and Development Co Ltd filed Critical Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority to CN201710565651.9A priority Critical patent/CN107360161A/zh
Publication of CN107360161A publication Critical patent/CN107360161A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种SDN流表下发系统及方法,包括SDN控制器、SDN交换机、及与该SDN交换机连接的访问计算机,其中SDN控制器内置异构加速卡,该异构加速卡与SDN控制器的CPU相连,所述SDN控制器用于生成流表,并经异构加速卡进行加密,加速后的流表信息发送至SDN交换机中进行解密,并将解密后的流表发送至访问计算机中。本发明的一种SDN流表下发系统及方法与现有技术相比,通过异构加速卡支持的AES加密算法,对流表文件进行加密,并将加密后的密文发送至SDN交换机中,保证SDN网络通信的安全可靠,同时由于FPGA具备的高并行计算能力,能够降低系统的CPU占用了,提高整个SDN控制器的稳定性,实用性强,适用范围广泛,易于推广。

Description

一种SDN流表下发系统及方法
技术领域
本发明涉及计算机技术领域,具体地说是一种SDN流表下发系统及方法。
背景技术
SDN即软件定义网络(Software Defined Networking,SDN),是以OpenFlow协议为基础的网络架构,通过虚拟化技术并采用集中式的控制方式,将网络设备的控制面和数据面分离,易于资源的灵活调度。包含SDN交换机和SDN控制器,其中,SDN控制器负责网络的拓扑管理,并配置转发流表;OpenFlow交换机只需按照SDN控制器的设置来完成数据包的转发。
异构计算主要是指使用不同体系的计算单元(CPU、GPU、FPGA等)组成计算系统的方式。专有的计算单元工作频率较低,但是具备更高的并行计算能力,总体性能和功耗较低。
当SDN控制器下发流表至SDN交互机,并进行数据转发时,下发的流表是基于OpenFlow协议且是明文,安全性较差,易被恶意攻击和篡改,基于此,本专利提供一种可解决上述问题的SDN流表下发系统及方法。
发明内容
本发明的技术任务是针对以上不足之处,提供一种SDN流表下发系统及方法。
一种SDN流表下发系统,包括SDN控制器、SDN交换机、及与该SDN交换机连接的访问计算机,其中SDN控制器内置异构加速卡,该异构加速卡与SDN控制器的CPU相连,所述SDN控制器用于生成流表,并经异构加速卡进行加密,加速后的流表信息发送至SDN交换机中进行解密,并将解密后的流表发送至访问计算机中。
所述SDN控制器通过OpenFlow协议与SDN交换机进性网络控制。
所述异构加速卡采用FPGA芯片,该FPGA芯片采用PCIe接口与SDN控制器的CPU相连。
所述SDN控制器配置有一个,SDN交换机配置有N个,相对应的,访问计算机配置有N个,这里的N为大于等于1的自然数。
一种SDN流表下发方法,其实现过程为,
首先通过SDN控制器生成流表;
然后通过异构加速卡进行加密,并由SDN控制器将流表文件发送至SDN交换机;
SDN 交互机接收到的流表信息后,解密该信息并以预设的网络访问方式从SDN 控制器获取所述流文件中的流表项,根据获取的流表项配置并下发流表至访问计算机中。
所述SDN控制器产生流表时,通过调用OpenCL协议接口将数据传入至异构加速卡中,并在该异构加速卡中设定加密算法对流表文件进行加密,并将加密后的文件发送至SDN交换机中。
所述异构加速卡采用FPGA芯片,SDN控制器启动后并产生流表文件时,通过调用OpenCL协议接口传入待加密流表文件和核函数将数据,在FPGA芯片中进行加密;相对应的,SDN交换机收到SDN控制器下发的流表文件时,再通过调用OpenCL协议接口传入待解密的流表文件和核函数将数据传入至FPGA芯片对用户进行加密对文件进行解密,进行数据转发,完成网络交换。
本发明的一种SDN流表下发系统及方法和现有技术相比,具有以下有益效果:
本发明的一种SDN流表下发系统及方法,通过对流表文件的加密,能够保证SDN网络控制通信的安全性,同时,由于异构加速卡具有低功耗、并行处理和高吞吐量的优势,能够降低系统CPU占用率,提高整个SDN控制器的稳定性,实用性强,适用范围广泛,易于推广。
附图说明
附图1为本发明系统的具体实施方式示意图。
附图2为本发明方法的具体实施方式流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明的方案,下面结合具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如附图1所示,一种SDN流表下发系统,包括SDN控制器、SDN交换机、及与该SDN交换机连接的访问计算机,其中SDN控制器内置异构加速卡,该异构加速卡与SDN控制器的CPU相连,所述SDN控制器用于生成流表,并经异构加速卡进行加密,加速后的流表信息发送至SDN交换机中进行解密,并将解密后的流表发送至访问计算机中。
所述SDN控制器通过OpenFlow协议与SDN交换机进性网络控制。
所述异构加速卡采用FPGA芯片,该FPGA芯片采用PCIe接口与SDN控制器的CPU相连。
所述SDN控制器配置有一个,SDN交换机配置有N个,相对应的,访问计算机配置有N个,这里的N为大于等于1的自然数。
一种SDN流表下发方法,本发明的实质:当SDN控制器需要产生流表时,通过调用OpenCL接口将数据传入至如FPGA芯片的异构加速卡对流表文件进行加密,完成数据的加密,并将加密后的文件发送至SDN交换机中,SDN交换机收到该加密流文件后,解密该文件,通过流表对数据进行转发,完成网络交换,保证其SDN网络通信的安全性,同时由于FPGA具备的高并行计算能力,能够降低系统的CPU占用了,提高整个SDN控制器的稳定性。
其实现过程为,
首先通过SDN控制器生成流表;
然后通过异构加速卡进行加密,并由SDN控制器将流表文件发送至SDN交换机;
SDN 交互机接收到的流表信息后,解密该信息并以预设的网络访问方式从SDN 控制器获取所述流文件中的流表项,根据获取的流表项配置并下发流表至访问计算机中。
所述SDN控制器产生流表时,通过调用OpenCL协议接口将数据传入至异构加速卡中,并在该异构加速卡中设定加密算法对流表文件进行加密,并将加密后的文件发送至SDN交换机中。
下面给出一个实施例:
所述异构加速卡采用FPGA芯片,SDN控制器启动后并产生流表文件时,通过调用OpenCL接口 clEnqueueNDRange传入待加密流表文件和核函数将数据传入至FPGA进行加密,其中,核函数为FPGA设定的加密算法(AES),完成结束话单数据加密存储调用生成的秘钥对流表文件进行加密。
SDN交换机收到控制器下发的流表文件时,再通过调用OpenCL接口clEnqueueNDRange传入待解密的流表文件和核函数将数据传入至FPGA对用户进行加密对文件进行解密,进行数据转发,完成网络交换。
本发明通过对流表文件的加密,能够保证SDN网络控制通信的安全性。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。

Claims (7)

1.一种SDN流表下发系统,其特征在于,包括SDN控制器、SDN交换机、及与该SDN交换机连接的访问计算机,其中SDN控制器内置异构加速卡,该异构加速卡与SDN控制器的CPU相连,所述SDN控制器用于生成流表,并经异构加速卡进行加密,加速后的流表信息发送至SDN交换机中进行解密,并将解密后的流表发送至访问计算机中。
2.根据权利要求1所述的一种SDN流表下发系统,其特征在于,所述SDN控制器通过OpenFlow协议与SDN交换机进性网络控制。
3.根据权利要求1所述的一种SDN流表下发系统,其特征在于,所述异构加速卡采用FPGA芯片,该FPGA芯片采用PCIe接口与SDN控制器的CPU相连。
4.根据权利要求1所述的一种SDN流表下发系统,其特征在于,所述SDN控制器配置有一个,SDN交换机配置有N个,相对应的,访问计算机配置有N个,这里的N为大于等于1的自然数。
5.一种SDN流表下发方法,其特征在于,其实现过程为,
首先通过SDN控制器生成流表;
然后通过异构加速卡进行加密,并由SDN控制器将流表文件发送至SDN交换机;
SDN 交互机接收到的流表信息后,解密该信息并以预设的网络访问方式从SDN 控制器获取所述流文件中的流表项,根据获取的流表项配置并下发流表至访问计算机中。
6.根据权利要求5所述的一种SDN流表下发方法,其特征在于,所述SDN控制器产生流表时,通过调用OpenCL协议接口将数据传入至异构加速卡中,并在该异构加速卡中设定加密算法对流表文件进行加密,并将加密后的文件发送至SDN交换机中。
7.根据权利要求6所述的一种SDN流表下发方法,其特征在于,所述异构加速卡采用FPGA芯片,SDN控制器启动后并产生流表文件时,通过调用OpenCL协议接口传入待加密流表文件和核函数将数据,在FPGA芯片中进行加密;相对应的,SDN交换机收到SDN控制器下发的流表文件时,再通过调用OpenCL协议接口传入待解密的流表文件和核函数将数据传入至FPGA芯片对用户进行加密对文件进行解密,进行数据转发,完成网络交换。
CN201710565651.9A 2017-07-12 2017-07-12 一种sdn流表下发系统及方法 Pending CN107360161A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710565651.9A CN107360161A (zh) 2017-07-12 2017-07-12 一种sdn流表下发系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710565651.9A CN107360161A (zh) 2017-07-12 2017-07-12 一种sdn流表下发系统及方法

Publications (1)

Publication Number Publication Date
CN107360161A true CN107360161A (zh) 2017-11-17

Family

ID=60293069

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710565651.9A Pending CN107360161A (zh) 2017-07-12 2017-07-12 一种sdn流表下发系统及方法

Country Status (1)

Country Link
CN (1) CN107360161A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108696390A (zh) * 2018-05-09 2018-10-23 济南浪潮高新科技投资发展有限公司 一种软件定义的网络安全设备和方法
CN112929299A (zh) * 2021-01-27 2021-06-08 广州市品高软件股份有限公司 基于fpga加速卡的sdn云网络实现方法、装置及设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103428094A (zh) * 2013-08-12 2013-12-04 杭州华三通信技术有限公司 开放流OpenFlow系统中的报文转发方法及装置
US20150026794A1 (en) * 2013-07-18 2015-01-22 Palo Alto Networks, Inc. Packet classification for network routing
CN105357117A (zh) * 2015-10-21 2016-02-24 上海斐讯数据通信技术有限公司 一种流表下发方法、系统、sdn控制器及sdn交换机
CN106130903A (zh) * 2016-07-08 2016-11-16 桂林电子科技大学 基于fpga的sdn交换机流表加密方法
CN106850443A (zh) * 2017-02-10 2017-06-13 济南浪潮高新科技投资发展有限公司 一种基于tpm的sdn流表下发方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150026794A1 (en) * 2013-07-18 2015-01-22 Palo Alto Networks, Inc. Packet classification for network routing
CN103428094A (zh) * 2013-08-12 2013-12-04 杭州华三通信技术有限公司 开放流OpenFlow系统中的报文转发方法及装置
CN105357117A (zh) * 2015-10-21 2016-02-24 上海斐讯数据通信技术有限公司 一种流表下发方法、系统、sdn控制器及sdn交换机
CN106130903A (zh) * 2016-07-08 2016-11-16 桂林电子科技大学 基于fpga的sdn交换机流表加密方法
CN106850443A (zh) * 2017-02-10 2017-06-13 济南浪潮高新科技投资发展有限公司 一种基于tpm的sdn流表下发方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108696390A (zh) * 2018-05-09 2018-10-23 济南浪潮高新科技投资发展有限公司 一种软件定义的网络安全设备和方法
CN112929299A (zh) * 2021-01-27 2021-06-08 广州市品高软件股份有限公司 基于fpga加速卡的sdn云网络实现方法、装置及设备
CN112929299B (zh) * 2021-01-27 2021-11-30 广州市品高软件股份有限公司 基于fpga加速卡的sdn云网络实现方法、装置及设备

Similar Documents

Publication Publication Date Title
CN106714139A (zh) 电子订户身份模块的预个性化
CN101854353A (zh) 一种基于fpga的多芯片并行加密方法
CN102682506A (zh) 基于对称密码技术的智能蓝牙门禁控制方法及装置
CN102571340A (zh) 证书认证装置及该装置的访问和证书更新方法
CN104468309B (zh) 一种低速smp与高速密码卡的高效适配方法
CN109067523A (zh) 一种加密卡的数据加密方法
CN209402526U (zh) 安全芯片的密钥存储装置
CN103716166A (zh) 一种自适应混合加密方法、装置以及加密通信系统
CN101534299A (zh) 基于SD Memory/SDIO接口的信息安全设备及数据通信方法
CN104618899A (zh) 一种内置安全模块的ZigBee路由器
CN109104275A (zh) 一种hsm设备
CN108768669A (zh) 基于asic可信远程内存交换卡及其数据交换方法
CN107360161A (zh) 一种sdn流表下发系统及方法
CN109344664A (zh) 一种基于fpga对数据进行算法处理的密码卡及其加密方法
CN106850443A (zh) 一种基于tpm的sdn流表下发方法
CN103856228B (zh) 一种无线人机交互方法及系统
CN116418522A (zh) 一种基于虚拟化技术的云服务器密码机系统
CN105515757A (zh) 基于可信执行环境的安全性信息交互设备
CN202711262U (zh) 一种电子签名和高速流加密二合一的芯片
CN106874065A (zh) 一种支持硬件虚拟化的系统
CN101465740B (zh) 一种支持pci接口的wlan网卡芯片
CN211293972U (zh) 一种加密卡
CN106899545B (zh) 一种终端安全通信的系统和方法
CN202331125U (zh) 一种远程控制器
CN107566348A (zh) 一种基于fpga分布式多策略的解密系统及其方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20171117

RJ01 Rejection of invention patent application after publication