TW201820825A - 基於sdn網路的資料傳輸方法 - Google Patents

基於sdn網路的資料傳輸方法 Download PDF

Info

Publication number
TW201820825A
TW201820825A TW106139461A TW106139461A TW201820825A TW 201820825 A TW201820825 A TW 201820825A TW 106139461 A TW106139461 A TW 106139461A TW 106139461 A TW106139461 A TW 106139461A TW 201820825 A TW201820825 A TW 201820825A
Authority
TW
Taiwan
Prior art keywords
node
network
data transmission
target
firewall
Prior art date
Application number
TW106139461A
Other languages
English (en)
Other versions
TWI665891B (zh
Inventor
祖立軍
何朔
劉國寶
周雍愷
航 袁
Original Assignee
大陸商中國銀聯股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 大陸商中國銀聯股份有限公司 filed Critical 大陸商中國銀聯股份有限公司
Publication of TW201820825A publication Critical patent/TW201820825A/zh
Application granted granted Critical
Publication of TWI665891B publication Critical patent/TWI665891B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本發明提出了基於SDN網路的資料傳輸方法,所述方法包括:SDN網路的中心控制器實施初始化操作,以通過流表的方式控制SDN網路中的物理節點之間的資料流程的通斷和傳輸;在SDN網路中的源節點需要向目標節點傳送資料時,源節點請求中心控制器開通與目標節點和防火牆節點的連通性;源節點經由防火牆節點向目標節點發送連接建立請求,並隨之經由防火牆節點與目標節點協商網路連接參數,以及隨之基於所協商的網路連接參數並在不經由防火牆節點的情況下直接與目標節點進行實際的資料通信。本發明所公開的方法具有高的資料傳輸性能。

Description

基於SDN網路的資料傳輸方法
[0001]本發明涉及資料傳輸方法,更具體地,涉及基於SDN網路的資料傳輸方法。
[0002]目前,隨著電腦和網路應用的日益廣泛以及不同領域的業務種類的日益豐富,通過網路(尤其是SDN網路)進行節點之間的資料傳輸變得越來越重要。   [0003]在現有的基於SDN(軟體定義網路)網路的技術方案中,通常以如下方式進行物理節點之間的資料傳輸:SDN網路的中心控制器基於流表的形式控制整個網路中任意物理節點之上的應用之間的報文的轉發和丟棄,其中,常規的應用(例如基於FTP的應用)之間進行資料傳輸的過程典型地分為如下兩個階段:(1)連接建立階段(慢通道過程),即源節點向目標節點的預定埠(例如FTP伺服器端的21埠)發送連接建立請求,並隨之協商後續的實際資料傳輸所使用的資料包文傳輸埠;(2)實際資料傳輸階段(快通道過程),即使用所協商的資料包文傳輸埠進行實際的資料傳輸過程。   [0004]然而,上述現有的技術方案存在如下問題:當需要在源節點和目標節點之間傳輸安全性要求較高的資料(例如用於支付的敏感性資料)時,兩個物理節點之間的所有通信(包括慢通道過程和快通道過程兩者)必須經由防火牆,故防火牆將成為網路傳輸的瓶頸,即所有網路流量均需要通過防火牆實施安全判斷後進行轉發,故存在潛在的資料處理性能瓶頸。   [0005]因此,存在如下需求:提供具有高的資料傳輸性能的基於SDN網路的資料傳輸方法。
[0006]為了解決上述現有技術方案所存在的問題,本發明提出了具有高的資料傳輸性能的基於SDN網路的資料傳輸方法。   [0007]本發明的目的是通過以下技術方案實現的:   一種基於SDN網路的資料傳輸方法,所述基於SDN網路的資料傳輸方法包括下列步驟:   (A1)SDN網路的中心控制器實施初始化操作,以通過流表的方式控制SDN網路中的物理節點之間的資料流程的通斷和傳輸;   (A2)在所述SDN網路中的源節點需要向目標節點傳送資料時,所述源節點請求所述中心控制器開通與所述目標節點和防火牆節點的連通性;   (A3)所述源節點經由所述防火牆節點向所述目標節點發送連接建立請求,並隨之經由所述防火牆節點與所述目標節點協商網路連接參數,以及隨之基於所協商的網路連接參數並在不經由所述防火牆節點的情況下直接與所述目標節點進行實際的資料通信。   [0008]在上面所公開的方案中,優選地,所述步驟(A1)進一步包括:所述中心控制器初始設定所述SDN網路中的任意兩個節點之間不連通。   [0009]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在所述源節點和所述目標節點之間的網路連接開通後,所述源節點經由所述防火牆節點向所述目標節點的預定埠發送所述連接建立請求以及隨後的用於協商網路連接參數的資料包,其中,所述防火牆節點在接收到所述連接建立請求以及隨後的用於協商網路連接參數的資料包後按照預定的安全規則對其進行安全性核查,並在核查通過的情況下將所述連接建立請求以及隨後的用於協商網路連接參數的資料包轉發至所述目標節點。   [0010]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在接收到所述連接建立請求後,所述目標節點確定用於隨後的實際的資料傳輸的網路連接參數,並將所確定的網路連接參數以資料包的形式傳送至所述防火牆節點。   [0011]在上面所公開的方案中,優選地,所述網路連接參數包括用於後續的實際資料傳輸的目標傳輸埠的識別字。   [0012]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述防火牆節點根據所述網路連接參數所指示的目標傳輸埠請求所述中心控制器開啟其連通性。   [0013]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在接收到來自所述防火牆節點的請求後,所述中心控制器開啟所述目標傳輸埠的網路連通性,並隨之通知所述防火牆節點該目標傳輸埠已開通。   [0014]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在所述目標傳輸埠已開通後,所述防火牆節點以資料包的形式將所述網路連接參數傳送至所述源節點。   [0015]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述源節點在不經由所述防火牆節點的情況下直接根據所述網路連接參數所指示的目標傳輸埠以資料包的形式與所述目標節點進行實際的資料通信。   [0016]在上面所公開的方案中,優選地,所述預定的安全規則包括對基於特徵的數位簽章進行校驗。   [0017]本發明所公開的基於SDN網路的資料傳輸方法具有以下優點:由於慢通道過程和快通道過程採用不同的傳輸策略,即快通道過程不經由防火牆節點,故具有顯著提高的網路資料傳輸性能。
[0019]圖1是根據本發明的實施例的基於SDN網路的資料傳輸方法的流程圖。如圖1所示,本發明所公開的基於SDN網路的資料傳輸方法包括下列步驟:(A1)SDN網路的中心控制器實施初始化操作,以通過流表(flowtable)的方式控制SDN網路中的物理節點之間的資料流程的通斷和傳輸;(A2)在所述SDN網路中的源節點需要向目標節點傳送資料時,所述源節點請求所述中心控制器開通與所述目標節點和防火牆節點的連通性;(A3)所述源節點經由所述防火牆節點向所述目標節點發送連接建立請求,並隨之經由所述防火牆節點與所述目標節點協商網路連接參數,以及隨之基於所協商的網路連接參數並在不經由所述防火牆節點的情況下直接與所述目標節點進行實際的資料通信。   [0020]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A1)進一步包括:所述中心控制器初始設定所述SDN網路中的任意兩個節點之間不連通(即以白名單形式開通節點之間的網路連接)。   [0021]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在所述源節點和所述目標節點之間的網路連接開通後,所述源節點經由所述防火牆節點向所述目標節點的預定埠(例如針對FTP的21號埠)發送所述連接建立請求以及隨後的用於協商網路連接參數的資料包,其中,所述防火牆節點在接收到所述連接建立請求以及隨後的用於協商網路連接參數的資料包後按照預定的安全規則對其進行安全性核查,並在核查通過的情況下將所述連接建立請求以及隨後的用於協商網路連接參數的資料包轉發至所述目標節點。   [0022]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在接收到所述連接建立請求後,所述目標節點確定用於隨後的實際的資料傳輸的網路連接參數,並將所確定的網路連接參數以資料包的形式傳送至所述防火牆節點。   [0023]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述網路連接參數包括用於後續的實際資料傳輸的目標傳輸埠的識別字(即目標埠號)。   [0024]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述防火牆節點根據所述網路連接參數所指示的目標傳輸埠請求所述中心控制器開啟其連通性。   [0025]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在接收到來自所述防火牆節點的請求後,所述中心控制器開啟所述目標傳輸埠的網路連通性,並隨之通知所述防火牆節點該目標傳輸埠已開通。   [0026]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在所述目標傳輸埠已開通後,所述防火牆節點以資料包的形式將所述網路連接參數傳送至所述源節點。   [0027]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述源節點在不經由所述防火牆節點的情況下直接根據所述網路連接參數所指示的目標傳輸埠以資料包的形式與所述目標節點進行實際的資料通信。   [0028]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述預定的安全規則包括對基於特徵的數位簽章進行校驗。   [0029]由上可見,本發明所公開的基於SDN網路的資料傳輸方法具有下列優點:由於慢通道過程和快通道過程採用不同的傳輸策略,即快通道過程不經由防火牆節點,故具有顯著提高的網路資料傳輸性能。   [0030]儘管本發明是通過上述的優選實施方式進行描述的,但是其實現形式並不局限於上述的實施方式。應該認識到:在不脫離本發明主旨和範圍的情況下,本領域技術人員可以對本發明做出不同的變化和修改。
[0018]結合圖式,本發明的技術特徵以及優點將會被本領域技術人員更好地理解,其中:   圖1是根據本發明的實施例的基於SDN網路的資料傳輸方法的流程圖。

Claims (10)

  1. 一種基於SDN網路的資料傳輸方法,所述基於SDN網路的資料傳輸方法包括下列步驟:   (A1)SDN網路的中心控制器實施初始化操作,以通過流表的方式控制SDN網路中的物理節點之間的資料流程的通斷和傳輸;   (A2)在所述SDN網路中的源節點需要向目標節點傳送資料時,所述源節點請求所述中心控制器開通與所述目標節點和防火牆節點的連通性;   (A3)所述源節點經由所述防火牆節點向所述目標節點發送連接建立請求,並隨之經由所述防火牆節點與所述目標節點協商網路連接參數,以及隨之基於所協商的網路連接參數並在不經由所述防火牆節點的情況下直接與所述目標節點進行實際的資料通信。
  2. 根據請求項1所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A1)進一步包括:所述中心控制器初始設定所述SDN網路中的任意兩個節點之間不連通。
  3. 根據請求項2所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在所述源節點和所述目標節點之間的網路連接開通後,所述源節點經由所述防火牆節點向所述目標節點的預定埠發送所述連接建立請求以及隨後的用於協商網路連接參數的資料包,其中,所述防火牆節點在接收到所述連接建立請求以及隨後的用於協商網路連接參數的資料包後按照預定的安全規則對其進行安全性核查,並在核查通過的情況下將所述連接建立請求以及隨後的用於協商網路連接參數的資料包轉發至所述目標節點。
  4. 根據請求項3所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在接收到所述連接建立請求後,所述目標節點確定用於隨後的實際的資料傳輸的網路連接參數,並將所確定的網路連接參數以資料包的形式傳送至所述防火牆節點。
  5. 根據請求項4所述的基於SDN網路的資料傳輸方法,其中,所述網路連接參數包括用於後續的實際資料傳輸的目標傳輸埠的識別字。
  6. 根據請求項5所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述防火牆節點根據所述網路連接參數所指示的目標傳輸埠請求所述中心控制器開啟其連通性。
  7. 根據請求項6所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在接收到來自所述防火牆節點的請求後,所述中心控制器開啟所述目標傳輸埠的網路連通性,並隨之通知所述防火牆節點該目標傳輸埠已開通。
  8. 根據請求項7所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在所述目標傳輸埠已開通後,所述防火牆節點以資料包的形式將所述網路連接參數傳送至所述源節點。
  9. 根據請求項8所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述源節點在不經由所述防火牆節點的情況下直接根據所述網路連接參數所指示的目標傳輸埠以資料包的形式與所述目標節點進行實際的資料通信。
  10. 根據請求項9所述的基於SDN網路的資料傳輸方法,其中,所述預定的安全規則包括對基於特徵的數位簽章進行校驗。
TW106139461A 2016-11-23 2017-11-15 Data transmission method based on SDN network TWI665891B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
??201611035389.9 2016-11-23
CN201611035389.9A CN106657015B (zh) 2016-11-23 2016-11-23 基于sdn网络的数据传输方法

Publications (2)

Publication Number Publication Date
TW201820825A true TW201820825A (zh) 2018-06-01
TWI665891B TWI665891B (zh) 2019-07-11

Family

ID=58811051

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106139461A TWI665891B (zh) 2016-11-23 2017-11-15 Data transmission method based on SDN network

Country Status (3)

Country Link
CN (1) CN106657015B (zh)
TW (1) TWI665891B (zh)
WO (1) WO2018095263A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106657015B (zh) * 2016-11-23 2020-09-22 中国银联股份有限公司 基于sdn网络的数据传输方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7403995B2 (en) * 2003-01-08 2008-07-22 Outhink, Inc. Symmetrical bi-directional communication
CN103457920B (zh) * 2012-06-04 2016-12-14 中国科学院声学研究所 一种基于重叠网的分布式防火墙安全策略配置方法和系统
CN103369613A (zh) * 2013-07-05 2013-10-23 中国科学院计算机网络信息中心 基于OpenFlow实现移动切换的系统和方法
US9461967B2 (en) * 2013-07-18 2016-10-04 Palo Alto Networks, Inc. Packet classification for network routing
WO2015041706A1 (en) * 2013-09-23 2015-03-26 Mcafee, Inc. Providing a fast path between two entities
US9654418B2 (en) * 2013-11-05 2017-05-16 Telefonaktiebolaget L M Ericsson (Publ) Method and system of supporting operator commands in link aggregation group
CN104702577B (zh) * 2013-12-09 2018-03-16 华为技术有限公司 数据流安全处理方法及装置
US20150312215A1 (en) * 2014-01-28 2015-10-29 Lov Kher Generating optimal pathways in software-defined networking (sdn)
CN105262686B (zh) * 2014-07-18 2020-04-24 中兴通讯股份有限公司 一种网络连通性验证方法和装置
CN104104561B (zh) * 2014-08-11 2017-09-22 武汉大学 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统
CN105656841B (zh) * 2014-11-11 2018-12-11 新华三技术有限公司 一种软件定义网络中实现虚拟防火墙的方法和装置
CN105721334B (zh) * 2014-12-04 2020-02-18 中国移动通信集团公司 确定传输路径和更新acl的方法及设备
CN105681305B (zh) * 2016-01-15 2019-08-09 北京工业大学 一种sdn防火墙系统及实现方法
CN106657015B (zh) * 2016-11-23 2020-09-22 中国银联股份有限公司 基于sdn网络的数据传输方法

Also Published As

Publication number Publication date
CN106657015B (zh) 2020-09-22
CN106657015A (zh) 2017-05-10
WO2018095263A1 (zh) 2018-05-31
TWI665891B (zh) 2019-07-11

Similar Documents

Publication Publication Date Title
US10880294B2 (en) End-to-end authentication at the service layer using public keying mechanisms
CN113596828B (zh) 端对端服务层认证
US20190089747A1 (en) Protecting secure session from iot gateways
US9661022B2 (en) System and method for authorizing devices joining a network fabric
EP2951948B1 (en) Network controller provisioned macsec keys
US20180091557A1 (en) Methods and devices for access control of data flows in software defined networking system
JP2018521534A (ja) パケットシグネチャを使用してセッションを処理するためのネットワークデバイスと方法
CN101335692B (zh) 协商pcc和pce之间安全能力的方法及其网络系统
US20150207793A1 (en) Feature Enablement or Disablement Based on Discovery Message
CN104283701A (zh) 配置信息的下发方法、系统及装置
WO2015003527A1 (zh) 接入点ap和基于ap和接入点控制器ac架构的系统
JP2018514956A (ja) データをルーティングするために証明書データを使用する装置と方法
US10187478B2 (en) Dynamic detection of inactive virtual private network clients
US20170374051A1 (en) Method for operating a network and a network
WO2016202224A1 (zh) 一种传输层参数调整方法和装置
CN108989342B (zh) 一种数据传输的方法及装置
TWI665891B (zh) Data transmission method based on SDN network
EP3262802B1 (en) Automatic discovery and provisioning of multi-chassis etherchannel peers
WO2016066027A1 (zh) 一种媒体传输方法和设备
KR101971995B1 (ko) 보안을 위한 보안 소켓 계층 복호화 방법
TWI270276B (en) Network device, method of processing an exterior gateway protocol packet, and article of machine readable code containing instructions
WO2019000599A1 (zh) 一种动态虚拟专用网络建立方法及装置
WO2018001042A1 (zh) 报文传输方法、装置及系统
WO2017020204A1 (zh) 节点切换方法、装置及系统
EP3772213B1 (en) Managing network connectivity using network activity requests