TWI665891B - Data transmission method based on SDN network - Google Patents
Data transmission method based on SDN network Download PDFInfo
- Publication number
- TWI665891B TWI665891B TW106139461A TW106139461A TWI665891B TW I665891 B TWI665891 B TW I665891B TW 106139461 A TW106139461 A TW 106139461A TW 106139461 A TW106139461 A TW 106139461A TW I665891 B TWI665891 B TW I665891B
- Authority
- TW
- Taiwan
- Prior art keywords
- node
- network
- target
- data transmission
- firewall
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提出了基於SDN網路的資料傳輸方法,所述方法包括:SDN網路的中心控制器實施初始化操作,以通過流表的方式控制SDN網路中的物理節點之間的資料流程的通斷和傳輸;在SDN網路中的源節點需要向目標節點傳送資料時,源節點請求中心控制器開通與目標節點和防火牆節點的連通性;源節點經由防火牆節點向目標節點發送連接建立請求,並隨之經由防火牆節點與目標節點協商網路連接參數,以及隨之基於所協商的網路連接參數並在不經由防火牆節點的情況下直接與目標節點進行實際的資料通信。本發明所公開的方法具有高的資料傳輸性能。
Description
[0001]本發明涉及資料傳輸方法,更具體地,涉及基於SDN網路的資料傳輸方法。
[0002]目前,隨著電腦和網路應用的日益廣泛以及不同領域的業務種類的日益豐富,通過網路(尤其是SDN網路)進行節點之間的資料傳輸變得越來越重要。 [0003]在現有的基於SDN(軟體定義網路)網路的技術方案中,通常以如下方式進行物理節點之間的資料傳輸:SDN網路的中心控制器基於流表的形式控制整個網路中任意物理節點之上的應用之間的報文的轉發和丟棄,其中,常規的應用(例如基於FTP的應用)之間進行資料傳輸的過程典型地分為如下兩個階段:(1)連接建立階段(慢通道過程),即源節點向目標節點的預定埠(例如FTP伺服器端的21埠)發送連接建立請求,並隨之協商後續的實際資料傳輸所使用的資料包文傳輸埠;(2)實際資料傳輸階段(快通道過程),即使用所協商的資料包文傳輸埠進行實際的資料傳輸過程。 [0004]然而,上述現有的技術方案存在如下問題:當需要在源節點和目標節點之間傳輸安全性要求較高的資料(例如用於支付的敏感性資料)時,兩個物理節點之間的所有通信(包括慢通道過程和快通道過程兩者)必須經由防火牆,故防火牆將成為網路傳輸的瓶頸,即所有網路流量均需要通過防火牆實施安全判斷後進行轉發,故存在潛在的資料處理性能瓶頸。 [0005]因此,存在如下需求:提供具有高的資料傳輸性能的基於SDN網路的資料傳輸方法。
[0006]為了解決上述現有技術方案所存在的問題,本發明提出了具有高的資料傳輸性能的基於SDN網路的資料傳輸方法。 [0007]本發明的目的是通過以下技術方案實現的: 一種基於SDN網路的資料傳輸方法,所述基於SDN網路的資料傳輸方法包括下列步驟: (A1)SDN網路的中心控制器實施初始化操作,以通過流表的方式控制SDN網路中的物理節點之間的資料流程的通斷和傳輸; (A2)在所述SDN網路中的源節點需要向目標節點傳送資料時,所述源節點請求所述中心控制器開通與所述目標節點和防火牆節點的連通性; (A3)所述源節點經由所述防火牆節點向所述目標節點發送連接建立請求,並隨之經由所述防火牆節點與所述目標節點協商網路連接參數,以及隨之基於所協商的網路連接參數並在不經由所述防火牆節點的情況下直接與所述目標節點進行實際的資料通信。 [0008]在上面所公開的方案中,優選地,所述步驟(A1)進一步包括:所述中心控制器初始設定所述SDN網路中的任意兩個節點之間不連通。 [0009]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在所述源節點和所述目標節點之間的網路連接開通後,所述源節點經由所述防火牆節點向所述目標節點的預定埠發送所述連接建立請求以及隨後的用於協商網路連接參數的資料包,其中,所述防火牆節點在接收到所述連接建立請求以及隨後的用於協商網路連接參數的資料包後按照預定的安全規則對其進行安全性核查,並在核查通過的情況下將所述連接建立請求以及隨後的用於協商網路連接參數的資料包轉發至所述目標節點。 [0010]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在接收到所述連接建立請求後,所述目標節點確定用於隨後的實際的資料傳輸的網路連接參數,並將所確定的網路連接參數以資料包的形式傳送至所述防火牆節點。 [0011]在上面所公開的方案中,優選地,所述網路連接參數包括用於後續的實際資料傳輸的目標傳輸埠的識別字。 [0012]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述防火牆節點根據所述網路連接參數所指示的目標傳輸埠請求所述中心控制器開啟其連通性。 [0013]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在接收到來自所述防火牆節點的請求後,所述中心控制器開啟所述目標傳輸埠的網路連通性,並隨之通知所述防火牆節點該目標傳輸埠已開通。 [0014]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在所述目標傳輸埠已開通後,所述防火牆節點以資料包的形式將所述網路連接參數傳送至所述源節點。 [0015]在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述源節點在不經由所述防火牆節點的情況下直接根據所述網路連接參數所指示的目標傳輸埠以資料包的形式與所述目標節點進行實際的資料通信。 [0016]在上面所公開的方案中,優選地,所述預定的安全規則包括對基於特徵的數位簽章進行校驗。 [0017]本發明所公開的基於SDN網路的資料傳輸方法具有以下優點:由於慢通道過程和快通道過程採用不同的傳輸策略,即快通道過程不經由防火牆節點,故具有顯著提高的網路資料傳輸性能。
[0019]圖1是根據本發明的實施例的基於SDN網路的資料傳輸方法的流程圖。如圖1所示,本發明所公開的基於SDN網路的資料傳輸方法包括下列步驟:(A1)SDN網路的中心控制器實施初始化操作,以通過流表(flowtable)的方式控制SDN網路中的物理節點之間的資料流程的通斷和傳輸;(A2)在所述SDN網路中的源節點需要向目標節點傳送資料時,所述源節點請求所述中心控制器開通與所述目標節點和防火牆節點的連通性;(A3)所述源節點經由所述防火牆節點向所述目標節點發送連接建立請求,並隨之經由所述防火牆節點與所述目標節點協商網路連接參數,以及隨之基於所協商的網路連接參數並在不經由所述防火牆節點的情況下直接與所述目標節點進行實際的資料通信。 [0020]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A1)進一步包括:所述中心控制器初始設定所述SDN網路中的任意兩個節點之間不連通(即以白名單形式開通節點之間的網路連接)。 [0021]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在所述源節點和所述目標節點之間的網路連接開通後,所述源節點經由所述防火牆節點向所述目標節點的預定埠(例如針對FTP的21號埠)發送所述連接建立請求以及隨後的用於協商網路連接參數的資料包,其中,所述防火牆節點在接收到所述連接建立請求以及隨後的用於協商網路連接參數的資料包後按照預定的安全規則對其進行安全性核查,並在核查通過的情況下將所述連接建立請求以及隨後的用於協商網路連接參數的資料包轉發至所述目標節點。 [0022]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在接收到所述連接建立請求後,所述目標節點確定用於隨後的實際的資料傳輸的網路連接參數,並將所確定的網路連接參數以資料包的形式傳送至所述防火牆節點。 [0023]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述網路連接參數包括用於後續的實際資料傳輸的目標傳輸埠的識別字(即目標埠號)。 [0024]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述防火牆節點根據所述網路連接參數所指示的目標傳輸埠請求所述中心控制器開啟其連通性。 [0025]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在接收到來自所述防火牆節點的請求後,所述中心控制器開啟所述目標傳輸埠的網路連通性,並隨之通知所述防火牆節點該目標傳輸埠已開通。 [0026]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在所述目標傳輸埠已開通後,所述防火牆節點以資料包的形式將所述網路連接參數傳送至所述源節點。 [0027]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述源節點在不經由所述防火牆節點的情況下直接根據所述網路連接參數所指示的目標傳輸埠以資料包的形式與所述目標節點進行實際的資料通信。 [0028]優選地,在本發明所公開的基於SDN網路的資料傳輸方法中,所述預定的安全規則包括對基於特徵的數位簽章進行校驗。 [0029]由上可見,本發明所公開的基於SDN網路的資料傳輸方法具有下列優點:由於慢通道過程和快通道過程採用不同的傳輸策略,即快通道過程不經由防火牆節點,故具有顯著提高的網路資料傳輸性能。 [0030]儘管本發明是通過上述的優選實施方式進行描述的,但是其實現形式並不局限於上述的實施方式。應該認識到:在不脫離本發明主旨和範圍的情況下,本領域技術人員可以對本發明做出不同的變化和修改。
[0018]結合圖式,本發明的技術特徵以及優點將會被本領域技術人員更好地理解,其中: 圖1是根據本發明的實施例的基於SDN網路的資料傳輸方法的流程圖。
Claims (9)
- 一種基於SDN網路的資料傳輸方法,所述基於SDN網路的資料傳輸方法包括下列步驟:(A1)SDN網路的中心控制器實施初始化操作,以通過流表的方式控制SDN網路中的物理節點之間的資料流程的通斷和傳輸;(A2)在所述SDN網路中的源節點需要向目標節點傳送資料時,所述源節點請求所述中心控制器開通與所述目標節點和防火牆節點的連通性;(A3)所述源節點經由所述防火牆節點向所述目標節點發送連接建立請求,並隨之經由所述防火牆節點與所述目標節點協商網路連接參數,以及隨之基於所協商的網路連接參數並在不經由所述防火牆節點的情況下直接與所述目標節點進行實際的資料通信,其中,在接收到所述連接建立請求後,所述目標節點確定用於隨後的實際的資料傳輸的網路連接參數,並將所確定的網路連接參數以資料包的形式傳送至所述防火牆節點。
- 根據請求項1所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A1)進一步包括:所述中心控制器初始設定所述SDN網路中的任意兩個節點之間不連通。
- 根據請求項2所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在所述源節點和所述目標節點之間的網路連接開通後,所述源節點經由所述防火牆節點向所述目標節點的預定埠發送所述連接建立請求以及隨後的用於協商網路連接參數的資料包,其中,所述防火牆節點在接收到所述連接建立請求以及隨後的用於協商網路連接參數的資料包後按照預定的安全規則對其進行安全性核查,並在核查通過的情況下將所述連接建立請求以及隨後的用於協商網路連接參數的資料包轉發至所述目標節點。
- 根據請求項1所述的基於SDN網路的資料傳輸方法,其中,所述網路連接參數包括用於後續的實際資料傳輸的目標傳輸埠的識別字。
- 根據請求項4所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述防火牆節點根據所述網路連接參數所指示的目標傳輸埠請求所述中心控制器開啟其連通性。
- 根據請求項5所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在接收到來自所述防火牆節點的請求後,所述中心控制器開啟所述目標傳輸埠的網路連通性,並隨之通知所述防火牆節點該目標傳輸埠已開通。
- 根據請求項6所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在所述目標傳輸埠已開通後,所述防火牆節點以資料包的形式將所述網路連接參數傳送至所述源節點。
- 根據請求項7所述的基於SDN網路的資料傳輸方法,其中,所述步驟(A3)進一步包括:在接收到所述網路連接參數後,所述源節點在不經由所述防火牆節點的情況下直接根據所述網路連接參數所指示的目標傳輸埠以資料包的形式與所述目標節點進行實際的資料通信。
- 根據請求項8所述的基於SDN網路的資料傳輸方法,其中,所述預定的安全規則包括對數位簽章進行校驗。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ??201611035389.9 | 2016-11-23 | ||
| CN201611035389.9A CN106657015B (zh) | 2016-11-23 | 2016-11-23 | 基于sdn网络的数据传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201820825A TW201820825A (zh) | 2018-06-01 |
| TWI665891B true TWI665891B (zh) | 2019-07-11 |
Family
ID=58811051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106139461A TWI665891B (zh) | 2016-11-23 | 2017-11-15 | Data transmission method based on SDN network |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN106657015B (zh) |
| TW (1) | TWI665891B (zh) |
| WO (1) | WO2018095263A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657015B (zh) * | 2016-11-23 | 2020-09-22 | 中国银联股份有限公司 | 基于sdn网络的数据传输方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457920A (zh) * | 2012-06-04 | 2013-12-18 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| CN105721334A (zh) * | 2014-12-04 | 2016-06-29 | 中国移动通信集团公司 | 确定传输路径和更新acl的方法及设备 |
| CN105745886A (zh) * | 2013-09-23 | 2016-07-06 | 迈克菲股份有限公司 | 在两个实体之间提供快速路径 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7403995B2 (en) * | 2003-01-08 | 2008-07-22 | Outhink, Inc. | Symmetrical bi-directional communication |
| CN103369613A (zh) * | 2013-07-05 | 2013-10-23 | 中国科学院计算机网络信息中心 | 基于OpenFlow实现移动切换的系统和方法 |
| US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| US9654418B2 (en) * | 2013-11-05 | 2017-05-16 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system of supporting operator commands in link aggregation group |
| CN104702577B (zh) * | 2013-12-09 | 2018-03-16 | 华为技术有限公司 | 数据流安全处理方法及装置 |
| US20150312215A1 (en) * | 2014-01-28 | 2015-10-29 | Lov Kher | Generating optimal pathways in software-defined networking (sdn) |
| CN105262686B (zh) * | 2014-07-18 | 2020-04-24 | 中兴通讯股份有限公司 | 一种网络连通性验证方法和装置 |
| CN104104561B (zh) * | 2014-08-11 | 2017-09-22 | 武汉大学 | 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统 |
| CN105656841B (zh) * | 2014-11-11 | 2018-12-11 | 新华三技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
| CN105681305B (zh) * | 2016-01-15 | 2019-08-09 | 北京工业大学 | 一种sdn防火墙系统及实现方法 |
| CN106657015B (zh) * | 2016-11-23 | 2020-09-22 | 中国银联股份有限公司 | 基于sdn网络的数据传输方法 |
-
2016
- 2016-11-23 CN CN201611035389.9A patent/CN106657015B/zh active Active
-
2017
- 2017-11-15 TW TW106139461A patent/TWI665891B/zh active
- 2017-11-16 WO PCT/CN2017/111298 patent/WO2018095263A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457920A (zh) * | 2012-06-04 | 2013-12-18 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| CN105745886A (zh) * | 2013-09-23 | 2016-07-06 | 迈克菲股份有限公司 | 在两个实体之间提供快速路径 |
| CN105721334A (zh) * | 2014-12-04 | 2016-06-29 | 中国移动通信集团公司 | 确定传输路径和更新acl的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106657015B (zh) | 2020-09-22 |
| TW201820825A (zh) | 2018-06-01 |
| WO2018095263A1 (zh) | 2018-05-31 |
| CN106657015A (zh) | 2017-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107534658B (zh) | 使用公钥机制在服务层的端对端认证 | |
| US20190089747A1 (en) | Protecting secure session from iot gateways | |
| EP2823605B1 (en) | Methods of operating forwarding elements including shadow tables and related forwarding elements | |
| EP3281377B1 (en) | Methods and devices for access control of data flows in software defined networking system | |
| US9661022B2 (en) | System and method for authorizing devices joining a network fabric | |
| US10397221B2 (en) | Network controller provisioned MACsec keys | |
| US20150207793A1 (en) | Feature Enablement or Disablement Based on Discovery Message | |
| JP2018521534A (ja) | パケットシグネチャを使用してセッションを処理するためのネットワークデバイスと方法 | |
| CN104283701A (zh) | 配置信息的下发方法、系统及装置 | |
| JP2005503699A (ja) | コンピュータネットワークでホストベースのセキュリティを行うシステムおよび方法 | |
| JP2018514956A (ja) | データをルーティングするために証明書データを使用する装置と方法 | |
| WO2009000178A1 (fr) | Procédé et système de réseau visant à négocier une capacité de sécurité entre un pcc et un pce | |
| CN109792389A (zh) | 接入固定网络的方法和接入网关网元 | |
| TWI665891B (zh) | Data transmission method based on SDN network | |
| EP3000207A1 (en) | Method for operating a network and a network | |
| EP3262802B1 (en) | Automatic discovery and provisioning of multi-chassis etherchannel peers | |
| CN108989342B (zh) | 一种数据传输的方法及装置 | |
| WO2016066027A1 (zh) | 一种媒体传输方法和设备 | |
| WO2016058463A1 (zh) | 业务功能链中协议报文的处理方法、系统及业务功能节点 | |
| US11038994B2 (en) | Technique for transport protocol selection and setup of a connection between a client and a server | |
| US8085765B2 (en) | Distributed exterior gateway protocol | |
| KR20190024581A (ko) | 보안을 위한 보안 소켓 계층 복호화 방법 | |
| WO2019000599A1 (zh) | 一种动态虚拟专用网络建立方法及装置 | |
| WO2017020204A1 (zh) | 节点切换方法、装置及系统 | |
| Liyanage | Enhancing security and scalability of virtual private lan services |