WO2017152754A1

WO2017152754A1 - 软件定义网路sdn安全通信的方法及装置

Info

Publication number: WO2017152754A1
Application number: PCT/CN2017/074331
Authority: WO
Inventors: 柯志勇
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-03-11
Filing date: 2017-02-22
Publication date: 2017-09-14
Also published as: CN107181720A; CN107181720B

Abstract

本公开提供一种软件定义网路SDN安全通信的方法及装置，其中，应用于第一SDN控制器的软件定义网络SDN安全通信的方法，包括：获取来自用户端的用户请求；发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果；以及对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。

Description

软件定义网路SDN安全通信的方法及装置

技术领域

本公开涉及信息安全技术领域，例如涉及一种软件定义网路(Software Defined Network，SDN)安全通信的方法及装置。

背景技术

软件定义网络(Software Defined Network，SDN)是一种开放的网络架构，其核心技术OpenFlow通过将网络设备控制面与数据面分离开，从而实现了网络流量的灵活控制。

管理人员可以通过SDN网络查看网络所有区域及修改网络，通过查看及修改网络来及时改变规则，为系统带来更好的安全性。管理人员可以集中查看网络内部能力和快速限制能力，进行更改。例如，在网络中出现恶意软件时，通过SDN和OpenFlow协议集中控制平面阻止与恶意软件有关的流量，从而限制这种流量的爆发，而不需要访问多个路由器或交换机。

随着云计算的应用及发展，云安全服务也成为SDN的一种服务模式。云安全服务在性能、可扩展性、可用性以及容错能力等方面具有优势，但是云接入也存在一定的安全隐患。因此云安全服务提供商控制SDN计算与存储业务，存在极大的安全隐患。

发明内容

本公开提供一种软件定义网路SDN安全通信的方法及装置，能够避免相关技术中的云安全服务提供商控制SDN计算与存储业务时，存在的安全隐患。

本公开实施例提供一种软件定义网络SDN安全通信的方法，应用于第一SDN控制器，包括：

获取来自用户端的用户请求；

发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果；以及

对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。

可选的，所述用户端的用户请求包括以下至少一个：云用户的用户接入请求和具有终端应用的用户终端的至少一个第一网络授权请求，其中，所述至少一个第一网络授权请求包括：所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。

可选的，在用户端的用户请求为云用户的用户接入请求时，所述发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果，包括：

检测所述云用户的用户接入请求为首次发送的用户接入请求时，转发所述用户接入请求至所述云服务器；以及

接收由所述云服务器针对所述用户接入请求进行安全检测返回的检测结果，所述检测结果包括：由所述云服务器检测所述用户接入请求的安全并产生一拒绝访问所述第一SDN控制器的检测结果或接受访问所述第一SDN控制器的检测结果。

可选的，所述对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端，包括：

对所述检测结果进行处理，产生一流表项记录；以及

发送所述检测结果及所述流表项记录至所述云用户，所述流表项记录包括：与所述用户接入请求对应的状态字段。

可选的，在所述获取来自用户端的用户请求之后，所述用户端的用户请求为云用户的用户接入请求时，所述方法还包括：

检测存在与所述云用户的用户接入请求对应的流表项记录，确定所述用户接入请求不为首次发送的用户接入请求；以及

将针对所述云用户的用户接入请求的处理结果返回给所述云用户，其中，所述处理结果包括：通过所述流表项记录记录所述云用户的用户接入请求已经由所述云服务器检测安全并产生一接受访问所述第一SDN控制器的检测结果。

可选的，在用户端的用户请求为具有终端应用的用户终端的一个第一网络授权请求时，所述发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果，所述方法包括：

发送所述第一网络授权请求至所述云服务器；以及

接收由所述云服务器针对所述第一网络授权请求进行安全检测返回的检测结果，所述检测结果包括：检测所述第一SDN控制器中是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求。

在所述检测结果为所述第一SDN控制器不存在与所述第一网络授权请求中的用户名、密码及域名均相同的第二网络授权请求时，根据所述第一网络授权请求，生成与所述第一网络授权请求唯一对应的第一令牌码；以及

验证所述第一网络授权请求中的所述用户名、所述密码及所述域名，并在验证通过时，生成携带有所述第一网络授权请求及所述第一令牌码的授权目标对象并发送所述授权目标对象至所述用户终端。

在所述检测结果为所述第一SDN控制器存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时，获取所述第二网络授权请求唯一对应的第二令牌码，生成携带有所述第一网络授权请求及所述第二令牌码的授权目标对象并发送所述授权目标对象至所述用户终端。

可选的，在用户端的用户请求为具有终端应用的用户终端的多个第一网络授权请求时，所述发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果，包括：

为每个第一网络授权请求分配优先级；

按照所述优先级发送所述多个第一网络授权请求至所述云服务器；以及

按照所述优先级接收由所述云服务器针对所述多个第一网络授权请求进行安全检测返回的检测结果。

可选的，在对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端之前，所述方法还包括：

通过预定接口转换所述检测结果的数据格式与所述第一SDN控制器的数据格式相匹配。

可选的，在获取来自用户端的用户请求之前，所述方法还包括：

建立所述第一SDN控制器与至少一个第二SDN控制器连接，其中，所述至少一个第二SDN控制器与所述第一SDN控制器处于不同域；以及

获取来自所述至少一个第二SDN控制器所在域的用户端的用户请求。

本公开实施例还提供一种软件定义网络SDN安全通信的方法，应用于云服务器，包括：

接收来自第一SDN控制器转发的用户请求，其中，所述用户请求由用户端向所述第一SDN控制器发送；

针对所述用户请求进行安全检测，并产生检测结果；以及

将所述检测结果发送至所述第一SDN控制器，由所述第一SDN控制器对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。

可选的，所述接收来自第一SDN控制器转发的用户请求，包括：

接收来自第一SDN控制器转发的由云用户发送的用户接入请求。

可选的，所述针对所述用户请求进行安全检测，并产生检测结果，包括：

针对所述用户接入请求，检测所述用户接入请求的安全并产生一拒绝访问所述第一SDN控制器的检测结果或接受访问所述第一SDN控制器的检测结果。

接收来自第一SDN控制器转发的由具有终端应用的用户终端发送的至少一个第一网络授权请求，所述至少一个第一网络授权请求包括：所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。

检测所述第一SDN控制器中是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求，产生一检测所述第一SDN控制器存在所述第二网络授权请求的检测结果或所述第一SDN控制器不存在所述第二网络授权请求的检测结果。

可选的，所述方法还包括：

接收并存储所述第一SDN控制器发送的授权目标对象，其中，所述授权目标对象包括：所述第一网络授权请求及由所述第一SDN控制器产生的第一令牌码及第二令牌码中的任一令牌码。

可选的，所述方法还包括：

检测所述第一SDN控制器的网络攻击信息，禁止打开所述网络攻击信息，并删除所述网络攻击信息，其中，所述网络攻击信息携带有窃取信息及转发网络的行为信息。

本公开实施例还提供一种软件定义网络SDN安全通信的装置，设置于第一SDN控制器中，包括：

第一获取模块，设置为获取来自用户端的用户请求；

收发模块，设置为发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果；以及

第一处理模块，设置为对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。

本公开实施例还提供一种软件定义网络SDN安全通信的装置，设置于云服务器中，包括：

接收模块，设置为接收来自第一SDN控制器转发的用户请求，其中，所述用户请求由用户端向所述第一SDN控制器发送；

产生模块，设置为针对所述用户请求进行安全检测，并产生检测结果；以及

第二处理模块，设置为将所述检测结果发送至所述第一SDN控制器，由所述第一SDN控制器对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。

本公开还提供了一种非暂态计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为执行上述方法。

本公开还提供了一种第一SDN控制器，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行应用于第一SDN控制器的软件定义网络SDN安全通信的方法。

本公开还提供了一种云服务器，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行应用于云服务器的软件定义网络SDN安全通信的方法。

本公开实施例的方案中，第一SDN控制器与云服务器连接，通过云服务器对用户请求进行安全检测，可以提高第一SDN控制器的云安全性；由于第一SDN网络中的应用服务层及数据层分别与第一SDN控制器进行数据交互，交互数据经云服务器进行安全检测，避免了第一SDN控制器与存储业务之间存在的安全隐患；还可以利用云服务器协助第一SDN控制器处理用户请求，减轻SDN控制器监控数据的负担。

附图说明

图1为本公开实施例的应用于第一SDN控制器的软件定义网络SDN安全通信的方法的流程示意图一；

图2为本公开实施例的应用于第一SDN控制器的软件定义网络SDN安全通信的方法的流程示意图二；

图3为本公开实施例的应用于第一SDN控制器的软件定义网络SDN安全通信的方法的流程示意图三；

图4为本公开实施例的应用于第一SDN控制器的软件定义网络SDN安全通信的方法中步骤120的流程示意图一；

图5为本公开实施例的应用于第一SDN控制器的软件定义网络SDN安全通信的方法中步骤130的流程示意图；

图6为本公开实施例的应用于第一SDN控制器的软件定义网络SDN安全通信的方法的步骤120的流程示意图二；

图7为本公开实施例的应用于第一SDN控制器的软件定义网络SDN安全通信的方法的令牌授权流程示意图；

图8为本公开实施例的应用于云服务器的软件定义网络SDN安全通信的方法的流程示意图；

图9为本公开实施例的设置于第一SDN控制器中的软件定义网络SDN安全通信的装置的结构示意图；

图10为本公开实施例的软件定义网络SDN安全通信的装置的跨域令牌授权的结构示意图；

图11为本公开实施例的第一SDN控制器与数据转发层的数据包的处理过程流程示意图；

图12为本公开实施例的设置于云服务器中的软件定义网络SDN安全通信的装置的结构示意图；

图13为本公开实施例的云服务器的的结构示意图；

图14为本公开实施例的第一SDN控制器及云服务器的结构示意图一；

图15为本公开实施例的第一SDN控制器及云服务器的结构示意图二；以及

图16为本公开实施例提供的云服务器的硬件结构示意图。

具体实施方式

为使本公开的技术方案更加清楚，下面将结合附图及实施例进行详细描述。在不冲突的情况下，本公开以下实施例以及实施例中的技术特征可以相互任意组合。

如图1所示，本公开实施例的软件定义网络SDN安全通信的方法，应用于第一SDN控制器。

在步骤110中，获取来自用户端的用户请求。

其中，用户端可以是指SDN网络中的应用服务层的终端，该应用服务层可以包括命令行应用、网管应用、安全应用和其它多种应用。该命令行应用可以是由第一SDN控制器管理人员接入的应用，通过第一SDN控制器预留的命令行，可以对第一SDN控制器进行配置和查询等操作，实现一些验证和调试的功能。该网管应用可以实现网络管理员对第一SDN控制器进行网络多种配置并查看网络状态，如告警和拓扑等状态。该安全应用可用于网络中接入的云服务器的第三方机构，为用户提供安全方面的服务和保障。该其它多种应用可以指预留的处理应用，实现比如第一SDN控制器软件升级、开启日志以及内存泄露检测等等功能。

在步骤120中，发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果。

在步骤130中，对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。

本公开实施例中，第一SDN控制器与云服务器连接，通过云服务器对用户请求进行安全检测，可以提高第一SDN控制器的云安全性；由于第一SDN网络中的应用服务层及数据层分别与第一SDN控制器进行数据交互，交互数据经云服务器进行安全，避免了第一SDN控制器与存储业务之间存在的安全隐患；还可以利用云服务器协助第一SDN控制器处理用户请求，减轻SDN控制器监控数据的负担。

如图2所示，本公开实施例的软件定义网络SDN安全通信的方法，所述用户端的用户请求可以包括以下至少一个：云用户的用户接入请求和具有终端应用的用户终端的至少一个第一网络授权请求，其中，第一网络授权请求包括：所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。

所述云用户可以为接入云安全服务的用户，包括个人用户以及企业用户等。

本公开实施例中，第一SDN服务器不仅可以实现与云服务器的信息交互，还与应用服务层进行交互，利用云服务器检测第一SDN控制器的交互信息，提高了第一SDN服务器与应用服务层进行交互的通信安全性。

如图2所示，本公开实施例的软件定义网络SDN安全通信的方法，在用户端的用户请求为云用户的用户接入请求时，步骤120还可以包括：步骤1210和步骤1220。

在步骤1210中，检测该云用户的用户接入请求为首次发送的用户接入请求时，发送该用户接入请求至该云服务器。

其中，云服务器的信息可由除第一方SDN控制器管理人员和APP应用，和第二方SDN控制器及相关数据库之外的第三方提供，从而实现接入的外包或单独设置，方便为云用户提供接入安全的服务。云服务器以服务的形式为用户提供安全保障，还可以将多个云服务器集群在一起，形成专门应对云接入安全问题的系统。

在步骤1220中，接收由该云服务器针对该用户接入请求进行安全检测返回的检测结果，该检测结果包括：由该云服务器检测该用户接入请求的安全并产生一拒绝访问该第一SDN控制器的检测结果或接受访问该第一SDN控制器的检测结果。

云服务器对该用户接入请求的安全性的检测包括：数据完整性检测、统一用户管理及网络攻击检测。其中，该数据完整性检测可以包括：用户请求中的用户名及用户名对应的密码。该统一用户管理可以包括：存储用户请求中的用户名及对应的密码。网络攻击检测可以包括：监测网络中非法入侵的木马或病毒。可以利用云服务器实现上述至少一项安全性的检测。

本公开实施例中，第一SDN控制器可以对首次发送的用户接入请求，利用云服务器判断用户接入请求的安全性，保证第一SDN控制器的安全性。

如图2所示，本公开实施例的软件定义网络SDN安全通信的方法，上述步骤130可以包括：步骤1310和1320。

在步骤1310中，对该检测结果进行处理，产生一流表项记录。

其中，流表项记录可以是通过对OpenFlow协议定义的流表的基本结构添加至少一个状态属性(如State状态)以及至少下一个状态(如Next_State)。本公开重新定义了数据包与流表项记录匹配的过程，可以使匹配过程不仅仅依赖于数据帧包头的信息，同时也依赖数据帧自身的状态。如数据包与流表项记录匹配不成功，数据转发层将向第一SDN控制器发送一个收入封包数(PacketIn)请求消息，其中，该PacketIn请求消息包含数据帧包头的信息，也包含数据帧自身的状态信息。第一SDN控制器会向数据转发层发送一个流组(FlowMod)消息并向数据转发层添加相应记录，作为回应。当数据包与流表项记录匹配成功时，将连接状态表中状态赋值为变换流表中相应记录的下一个状态。

在步骤1320中，发送该检测结果及该流表项记录至该云用户，其中，该流表项记录包括：与该用户接入请求对应的状态字段。

状态字段可以使数据转发层中的终端与SDN控制器的连接状态表的更新同步。

本公开实施例中，通过生成一个流表项记录，当后续有相同的用户请求时，无需再次进行验证，可以利用云服务器协助第一SDN控制器处理用户请求，减轻SDN控制器的监控数据的负担，也提高了云安全性的检测效率。

如图3所示，本公开实施例的软件定义网络SDN安全通信的方法在上述步骤110之后，用户端的用户请求为云用户的用户接入请求时，该软件定义网络SDN安全通信的方法还可以包括步骤140和步骤150。

在步骤140中，检测存在与该云用户的用户接入请求对应的流表项记录，确定该用户接入请求不为首次发送的用户接入请求。

在步骤150中，将针对该云用户的用户接入请求的处理结果返回给该云用户，其中，该处理结果包括：通过该流表项记录记录该云用户的用户接入请求已经由该云服务器检测安全并产生一接受访问该第一SDN控制器的检测结果。

本公开实施例中，在判断云用户不是首次发送的用户请求时，通过预先建立的流表项，记录进行访问的第一SDN控制器，减少了验证过程，提高了接入的效率，并通过云服务器进行检测，提高了用户接入请求的安全性。

如图4所示，本公开实施例的软件定义网络SDN安全通信的方法中，在用户端的用户请求为具有终端应用的用户终端的一个第一网络授权请求时，上述步骤120可以包括：步骤1230和步骤1240。

在步骤1230中，发送该第一网络授权请求至该云服务器。

在步骤1240中，接收由该云服务器针对该第一网络授权请求进行安全检测返回的检测结果，其中，该检测结果包括：检测该第一SDN控制器中是否存在与该第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求。

本公开实施例中，将第一网络授权请求发送给第一SDN控制器，利用云服务器可以协助第一SDN控制器检测第一网络授权请求的安全性，由于云服务器存储有与第一网络授权请求相关的数据，因此可以在存储的数据中判断是否存在第一网络授权请求，减轻了第一SDN控制器的负担，也提高了第一SDN控制器数据交互的安全性。

如图4所示，本公开实施例的软件定义网路SDN安全通信的方法中，上述步骤130包括：步骤1330和步骤1340。

在步骤1330中，在该检测结果为该第一SDN控制器中不存在与该第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时，根据所述第一网络授权请求，生成与该第一网络授权请求唯一对应的第一令牌码。

在步骤1340中，验证该第一网络授权请求中的该用户名、该密码及该域名，并在验证通过时，生成携带有该第一网络授权请求及该第一令牌码的授权目标对象并发送该授权目标对象至该用户终端。

其中，验证该第一网络授权请求中的该用户名、该密码及该域名的可以包括：验证该第一网络授权请求中该用户名、该密码及该域名是否完整；在第一网络授权请求中该用户名、该密码及该域名均完整时，判断第一网络授权请求中的密码是否正确；在第一网络授权请求中的密码正确时，该第一网络授权请求为验证通过。这样可以增强第一网络授权请求的应用的准确性。

在步骤1340中，发送该授权目标对象至该用户终端时，并发送该授权目标对象至给云服务器进行存储，有利于后期云服务器判断第一网络授权请求是否为首次发出的用户请求，减少对同一网络授权请求的重复授权。

本公开实施例中，在用户端的用户请求为云用户的用户接入请求时，生成唯一对应的第一令牌码，并反馈给用户终端的授权目标对象，可以实现令牌授权，保证只给新的网络授权请求发放新的访问令牌码，避免重复发放访问令牌码的情况。

如图5所示，本公开实施例的软件定义网路SDN安全通信的方法中，上述步骤130可以包括：步骤1350。

在步骤1350中，在该检测结果为该第一SDN控制器中存在与该第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时，获取该第二网络授权请求唯一对应的第二令牌码，生成携带有该第一网络授权请求及该第二令牌码的授权目标对象并发送该授权目标对象至该用户终端。

本公开中第一网络授权请求及第二网络授权请求中的“第一”和“第二”，并不是对网络授权请求的顺序进行限定，而是为了方便区分当前发送的“第一网络授权请求”与之前已存储的“第二网络授权请求”。“第一网络授权请求”与之前已存储的“第二网络授权请求”的关系可以包括：“第一网络授权请求”的内容与之前已存储的“第二网络授权请求”的内容不相同，和“第一网络授权请求”的内容与之前已存储的“第二网络授权请求”的内容相同。

步骤1350中的在发送该授权目标对象至该用户终端时，并发送该授权目标对象至给云服务器进行存储，有利于后期云服务器判断第一网络授权请求是否为首次发送的用户接入请求，减少对同一用户的重复授权的情况。通过将授权目标对象存储在云服务器，方便后期SDN控制器接收到新的网络授权请求时，利用云服务器检测是否存在网络授权请求。

本公开实施例中，判断已经存在与该第一网络授权请求中的用户名、密码及域名均相同的第二网络授权请求，第一SDN控制器可以不重新生成新的令牌码，可以利用已经存储相同的第二网络授权请求的令牌码，和当前的第一网络授权请求生成授权目标对象，对同一第一网络授权请求的多次刷新，只产生一个授权目标对象，避免了在多次刷新同一第一网络授权请求时产生多个授权目标对象的情况，提高了生成授权目标对象的效率，提高了生成授权目标对象的准确性。

如图6所示，本公开实施例的软件定义网路SDN安全通信的方法中，在用户端的用户请求为具有终端应用的用户终端的多个第一网络授权请求时，所述步骤120可以包括：步骤1250、步骤1260和步骤1270。其中，所述多个第一网络授权请求为数量多于一个的第一网络授权请求。

在步骤1250中，为每个第一网络授权请求分配优先级。

其中，每个第一网络授权请求是指同一用户的不同请求。可以根据每个第一网络授权请求中的应用请求的请求类型，为每个第一网络授权请求分配优先级。

在步骤1260中，按照该优先级发送该多个第一网络授权请求至该云服务器。

在步骤1270中，按照该优先级接收由该云服务器针对该多个第一网络授权请求进行安全检测返回的检测结果。

本公开实施例中，通过为多个第一网络授权请求分配优先级，按照优先级顺序，能够完成对多个第一网络授权请求的处理，避免了冲突。按照优先级也可以区别对待每个第一网络授权请求，提高了处理的效率。

本公开实施例的软件定义网络SDN安全通信的方法中，在上述步骤130之前，所述的软件定义网络SDN安全通信的方法还可以包括：通过预定接口转换该检测结果的数据格式与该第一SDN控制器的数据格式相匹配。第一SDN控制器就可以利用预定接口，将云服务器的数据进行准确解读，并进行相应处理。

所述预定接口可以为应用程序编程接口(Application Programming Interface，API)，该预定接口可以包括三部分功能将云服务层下发的数据格式转换为与控制层的格式相同其中，这三部分功能可以包括：网络行为的管理、路由的选择和流表的下发。网络行为的管理功能负责第一SDN控制器上云服务器产生的网络行为，将产生的网络行为转为流表项的形式。依据用户接入请求的许可或拒绝，发出是否进行数据转发的指令，以此保证云用户的接入安全性，还可以统计云服务器的物理地址相关信息，将用户请求的服务名称翻译成对应的物理相关地址，完成网络中以服务名称为依赖的资源发现。路由的选择功能保障用户访问请求通过云服务器，根据全网的拓扑信息和链路损耗，为用户选择最优路径。流表的下发功能保证第一SDN控制器产生的流表下发到OpenFlow交换机中，实现数据流的调配等。

API接口是云服务层和控制器之间的数据转换接口，可以负责云服务层和控制器的交互。API接口可以为云服务器到控制器的接口，API接口部分功能策略可以预先存放在第一SDN控制器中，在需要API接口部分功能策略时，第一SDN控制器将API接口部分功能策略下发到OpenFlow交换机。

本公开实施例中，API接口的数据格式，可以实现云服务器与第一SDN控制器的数据交互，API接口可以控制云用户的访问路由，能够提供接入云服务器的服务。

本公开实施例的软件定义网络SDN安全通信的方法中，在上述步骤110之前，该软件定义网络SDN安全通信还可以包括：步骤160和步骤170。

在步骤160中，建立该第一SDN控制器与至少一个第二SDN控制器连接，其中，该至少一个第二SDN控制器与该第SDN控制器处于不同域。

其中，SDN控制器所管理的交接机可以为一个域(domain)，不同SDN控制器可以管理不同的域。同一域中还可能有备份SDN控制器。

在步骤170中，获取来自该至少一个第二SDN控制器所在域的用户端的用户请求。

本公开实施例中，通过将第一SDN控制器与至少一个第二SDN控制器建立连接，获取该至少一个第二SDN控制器所在域的用户端的用户请求，实现多域或跨域的用户端的令牌授权，对不同域内的用户端进行令牌授权及安全检测。

第二实施例

如图7所示，本公开实施例的令牌授权的流程如下。

在步骤710中，用户终端发送第一用户授权请求，第一SDN控制器接收第一用户授权请求并加入具有优先级的应用申请列队。

在步骤720中，第一SDN控制器对接收到的用户终端的第一用户授权请求进行验证。

在步骤730中，判断第一网络授权请求的路径是否为终结地址，返回第一网络授权请求路径允许访问的地址(该地址可以包括IP地址)。判断该IP地址是否合法，如果IP地址为空(Null)等的地址，判断第一网络授权请求的路径是允许访问的IP地址，则执行步骤740；如果IP地址不为空等的地址，判断第一网络授权请求的路径不是允许访问的IP地址，则执行步骤750。上述判断第一网络授权请求的路径是否终结的方法是对发送的第一网络授权请求中如统一资源定位器(Uniform Resoure Locator，URL)以及远程过程调用协议(Remote Procedure Call Protocol，RPC)地址等等访问方式进行判断得到，并携带在返回的授权目标对象的消息中。

在步骤740中，第一SDN控制器释放令牌授权并发消息给终端用户，令牌授权失败。

在步骤750中，第一SDN控制器创建令牌授权，创建并分配一个与第一网络授权请求的终端用户唯一对应的令牌码。

在步骤760中，第一SDN控制器申请注册鉴权第一网络授权请求。

在步骤770中，第一SDN控制器验证该第一网络授权请求中的用户名、用户名对应的密码及域名，如果第一网络授权请求中的用户名、密码及域名不完整或不对时，则执行步骤740，如果第一网络授权请求中的用户名、密码及域名完整，则执行步骤780。

在步骤780中，判断密码是否正确，如果所述密码正确，则执行步骤790。

在步骤790中，判断令牌授权类型是否为密码授权方式，如果不是密码授权方式，则执行步骤7130中。

在步骤7100中，如果是密码授权方式，取出第一网络授权请求中的用户名及密码，并把用户名、密码及令牌码生成密码授权对象。

在步骤7110中，在第一网络授权请求中取出域名。

在步骤7120中，利用密码授权对象及域名生成授权目标对象，该授权目标对象是由验证所需用户名、密码和域名之后由授权者提供的。

在步骤7130中，判断令牌授权类型是否为刷新令牌授权方式，如是，则执行步骤7140中。其中，刷新令牌是避免请求者在预设时间段(服务器允许的客户端和服务端的时间差)内发送同样的请求两次或以上。

在步骤7140中，获取与第一网络授权请求相同的刷新令牌授权方式的第二网络授权请求。

在步骤7150中，利用第二网络授权请求的用户名、密码及域名生成授权目标对象。

在步骤7160中，第一SDN控制器返回携带有授权目标对象的响应。

本公开实施例中，利用令牌授权的方式，对接入的终端用户的第一网络授权请求进行认证和令牌授权，在第一SDN控制器对第一网络授权请求的身份进行验证，后续可以利用授权目标对象向第一SDN控制器请求访问令牌。

第三实施例

如图8所示，本公开实施例的软件定义网络SDN安全通信的方法，应用于云服务器。

在步骤810中，接收来自第一SDN控制器转发的用户请求，其中，所述用户请求由用户端向所述第一SDN控制器发送。

其中，该用户端包括云用户及终端用户，可以实现多个终端的数据安全检测。

在步骤820中，针对所述用户请求进行安全检测，并产生检测结果。

在步骤830中，将所述检测结果发送至所述第一SDN控制器，由所述第一 SDN控制器对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。

本公开实施例中，通过云服务器对第一SDN控制器提供接入安全功能，以服务的形式为用户端提供安全保障，可以对接入安全问题进行服务，提高了第一SDN控制器云服务的安全性。

本公开实施例的软件定义网络SDN安全通信的方法中，所述步骤810可以包括：接收来自第一SDN控制器转发的由云用户发送的用户接入请求。

本公开实施例中，云服务器接收第一SDN控制器转发的用户接入请求，并对该用户接入请求进行安全检测，提高了用户接入请求接入第一SDN控制器的安全性。

本公开实施例的软件定义网络SDN安全通信的方法中，所述步骤820可以包括：针对所述用户接入请求，检测所述用户接入请求的安全并产生一拒绝访问所述第一SDN控制器的检测结果或接受访问所述第一SDN控制器的检测结果。

本公开实施例中，云服务器对用户接入请求的安全检测之后，反馈该用户接入请求是否可以访问第一SDN控制器，完成对用户接入请求的安全检测处理的反馈。

本公开实施例的软件定义网络SDN安全通信的方法中，所述步骤810可以包括：接收来自第一SDN控制器转发的由具有终端应用的用户终端发送的至少一个第一网络授权请求，其中，所述第一网络授权请求包括：所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。

本公开实施例中，由于云服务器存储与网络授权请求相关的授权目标对象，利用云服务器接收并判断第一网络授权请求，可以减轻第一SDN控制器的负荷。

本公开实施例的软件定义网络SDN安全通信的方法中，所述步骤820可以包括：检测所述第一SDN控制器中是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求，产生一检测所述第一SDN控制器存在所述第二网络授权请求的检测结果或所述第一SDN控制器不存在所述第二网络授权请求的检测结果。

本公开实施例中，如果第一网络授权请求不是首次发送的网络授权请求，那么云服务器可以存储有与第一网络授权请求相同的第二网络授权请求，第一SDN控制器就可以利用存储过的第二网络授权请求的令牌码，对第一网络授权请求进行令牌授权，可以不重新生成新的令牌码，减少了第一SDN控制器的令牌授权的流程，减轻了第一SDN控制器的负荷。

本公开实施例的软件定义网络SDN安全通信的方法还可以包括步骤840。

在步骤840中，接收并存储所述第一SDN控制器发送的授权目标对象，其中，所述授权目标对象包括：所述第一网络授权请求及由所述第一SDN控制器产生的第一令牌码及第二令牌码中的任一令牌码。

本公开实施例中，云服务器存储有与第一网络授权请求相关的授权目标对象，有利于后续对刷新或重新发送的第一网络授权请求进行认证判断，减轻了第一SDN控制器的负荷，也提高了数据交互的安全性。

本公开实施例的软件定义网络SDN安全通信的方法还可以包括：步骤850。

在步骤850中，检测所述第一SDN控制器的网络攻击信息，禁止打开所述网络攻击信息，并删除所述网络攻击信息，其中，所述网络攻击信息携带有窃取信息及转发网络的行为信息。

上述行为信息为多次转发信息或要求复制网络内容的信息。

本公开实施例的方法，可以对第一SDN控制器的网络攻击信息进行屏蔽。

本公开实施例中，通过云服务器以网络攻击信息的服务的形式为第一SDN控制器提供安全保障，多个云服务器可以集群放在一起，形成应对接入安全问题的系统；云服务器还具有很好的扩展性，也能弥补传统网络在防御能力差、响应速度慢以及系统规模小等等方面存在的不足，满足多种安全需要。

第四实施例

如图9所示，本公开实施例的软件定义网络SDN安全通信的装置，设置于第一SDN控制器。所述软件定义网络SDN安全通信的装置包括：第一获取模块91、收发模块92和第一处理模块93。

第一获取模块91设置为获取来自用户端的用户请求。

收发模块92设置为发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果。

第一处理模块93设置为对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。

本公开实施例中，第一SDN控制器与云服务器连接，通过云服务器对用户请求进行安全检测，可以提高第一SDN控制器的云安全性；由于第一SDN网络中的应用服务层及数据层分别与第一SDN控制器进行数据交互，交互数据经云服务器进行安全检测，避免第一SDN控制器与存储业务之间存在的安全隐患；还可以利用云服务器协助第一SDN控制器处理用户请求，减轻第一SDN控制器监控数据的负担。

本公开提供的装置是应用上述软件定义网络SDN安全通信方法的装置，则上述应用于第一SDN控制器软件定义网络SDN安全通信方法的所有实施例均适用于该装置。

本公开一实施例的软件定义网络SDN安全通信的装置中，所述用户端的用户请求可以包括以下至少之一：云用户的用户接入请求和具有终端应用的用户终端的至少一个第一网络授权请求，其中，所述至少一个第一网络授权请求包括：所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。

本公开一实施例的软件定义网络SDN安全通信的装置中，在用户端的用户请求为云用户的用户接入请求时，所述收发模块92可以包括：检测单元和接收单元。

检测单元设置为检测所述云用户的用户接入请求为首次发送的用户接入请求时，转发所述用户接入请求至所述云服务器。

接收单元设置为接收由所述云服务器针对所述用户接入请求进行安全检测返回的检测结果，其中，所述检测结果包括：由所述云服务器检测所述用户接入请求的安全并产生一拒绝访问所述第一SDN控制器的检测结果或接受访问所述第一SDN控制器的检测结果。

本公开一实施例的软件定义网络SDN安全通信的装置中，所述第一处理模块93，可以包括：产生单元和第一发送单元。

产生单元设置为对所述检测结果进行处理，产生一流表项记录。

第一发送单元设置为发送所述检测结果及所述流表项记录至所述云用户，其中，所述流表项记录包括：与所述用户接入请求对应的状态字段。

本公开一实施例的软件定义网络SDN安全通信的装置还可以包括：检测模块和反馈模块。

检测模块设置为检测存在与所述云用户的用户接入请求对应的流表项记录，确定所述用户接入请求不为首次发送的用户接入请求。

反馈模块设置为将针对所述云用户的用户接入请求的处理结果返回给所述云用户，其中，所述处理结果包括：通过所述流表项记录记录所述云用户的用户接入请求已经由所述云服务器检测安全并产生一接受访问所述第一SDN控制器的检测结果。

本公开一实施例的软件定义网络SDN安全通信的装置中，在用户端的用户请求为具有终端应用的用户终端的一个第一网络授权请求时，所述收发模块92可以包括：发送子模块和接收子模块。

发送子模块设置为发送所述第一网络授权请求至所述云服务器。

接收子模块设置为接收由所述云服务器针对所述第一网络授权请求进行安全检测返回的检测结果，其中，所述检测结果包括：检测所述第一SDN控制器中是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求。

本公开一实施例的软件定义网络SDN安全通信的装置中，所述第一处理模块93可以包括：生成单元和第一处理单元。

生成单元设置为在所述检测结果为所述第一SDN控制器中不存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时，根据所述第一网络授权请求，生成与所述第一网络授权请求唯一对应的第一令牌码。

第一处理单元设置为验证所述第一网络授权请求中的所述用户名、所述密码及所述域名，并在验证通过时，生成携带有所述第一网络授权请求及所述第一令牌码的授权目标对象并发送所述授权目标对象至所述用户终端。

本公开一实施例的软件定义网络SDN安全通信的装置中，所述第一处理模块93可以包括第二处理单元。第二处理单元设置为在所述检测结果为所述第一SDN控制器存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时，获取所述第二网络授权请求唯一对应的第二令牌码，生成携带有所述第一网络授权请求及所述第二令牌码的授权目标对象并发送所述授权目标对象至所述用户终端。

本公开一实施例的软件定义网络SDN安全通信的装置中，在用户端的用户请求为具有终端应用的用户终端的多个第一网络授权请求时，所述收发模块92可以包括：分配单元、第二发送单元和收发单元。

分配单元设置为为每个第一网络授权请求分配优先级。

第二发送单元设置为按照所述优先级发送所述多个第一网络授权请求至所述云服务器。

收发单元设置为按照所述优先级接收由所述云服务器针对所述多个第一网络授权请求进行安全检测返回的检测结果。

本公开一实施例的软件定义网络SDN安全通信的装置还可以包括：转换模块。

转换模块设置为通过预定接口转换所述检测结果的数据格式与所述第一SDN控制器的数据格式相匹配。

本公开一实施例的软件定义网络SDN安全通信的装置还可以包括：建立模块和获取模块。

建立模块设置为建立所述第一SDN控制器与至少一个第二SDN控制器连接，其中，所述至少一个第二SDN控制器与所述第一SDN控制器处于不同域。

获取模块设置为获取来自所述至少一个第二SDN控制器所在域的用户端的用户请求。

本公开实施例中，建立不同域的终端用户的连接，可以实现跨域情况下的令牌授权。如图10所示跨域的结构，比如，终端用户的应用App2为被授权方，终端用户的应用App3为资源方。如果终端用户的应用App2要访问终端用户的应用App3的资源，可以从第一SDN控制器1001的令牌(Token)获取访问令牌。第一种方式是终端用户的应用App2获得终端用户的应用App3得到授权目标对象，使用授权目标对象从令牌(Token)得到访问令牌。第二种方式是终端用户的应用App3把终端用户的应用App2的网络授权请求转向到令牌(Token)，通过第二SDN控制器1002的令牌(Token)对终端用户的应用App3认证后，终端用户的应用App3给终端用户的应用App2发放授权目标对象，终端用户的应用App2使用授权目标对象从令牌(Token)获得访问令牌码。

如图11所示，本公开实施例的第一SDN控制器与数据转发层的数据包的处理过程包括：

数据转发层的包头信息提取模块提取数据帧包头信息数据包中的包头关键信息，并对包头关键信息进行处理和存储；

数据转发层将包头关键信息与状态表21进行比较和匹配，如果状态表21中没有关于该包头关键信息的记录，则添加相关记录，并将包头关键信息的状态置为默认DEFAULT；

将匹配结果信息与该状态信息一并发送，与变换流表22进行比较和匹配。若变换流表22中没有相应记录，数据转发层发送收入封包数(PacketIn)消息到第一SDN控制器23，第一SDN控制器23匹配的连接状态表21下发流组(FlowMod)到数据转发层；

按照第一SDN控制器23指令更新变换流表22，同时执行相应数据转发操作；

将变换流表22中下一个状态的相关信息写回到状态表21；以及

数据转发层向第一SDN控制器23发送数据状态(DATA_STATE_IN)消息对第一SDN控制器23中的状态表21进行更新。

第五实施例

如图12所示，本公开实施例的软件定义网络SDN安全通信的装置，设置于云服务器中。本实施例中的软件定义网络SDN安全通信的装置包括：接收模块1201、产生模块1202和第二处理模块1203。

接收模块1201设置为接收来自第一SDN控制器转发的用户请求，其中，所述用户请求由用户端向所述第一SDN控制器发送。

产生模块1202设置为针对所述用户请求进行安全检测，并产生检测结果。

第二处理模块1203设置为将所述检测结果发送至所述第一SDN控制器，由所述第一SDN控制器对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。

本公开提供的装置是应用上述软件定义网络SDN安全通信的方法的装置，则上述应用于云服务器的软件定义网络SDN安全通信的方法的所有实施例均适用于该装置。

本公开一实施例的软件定义网络SDN安全通信的装置中，所述接收模块1201还可以设置为接收来自第一SDN控制器转发的由云用户发送的用户接入请求。

本公开一实施例的软件定义网络SDN安全通信的装置中，所述产生模块1202可以设置为：

本公开一实施例的软件定义网络SDN安全通信的装置中，所述接收模块1201可以设置为：接收来自第一SDN控制器转发的由具有终端应用的用户终端发送的至少一个第一网络授权请求，其中，所述第一网络授权请求包括：所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。

本公开一实施例的软件定义网络SDN安全通信的装置中，所述产生模块1202可以设置为：检测所述第一SDN控制器中是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求，产生一检测所述第一SDN控制器存在所述第二网络授权请求的检测结果或所述第一SDN控制器不存在所述第二网络授权请求的检测结果。

本公开一实施例的软件定义网络SDN安全通信的装置还可以包括接收存储模块。

接收存储模块设置为接收并存储所述第一SDN控制器发送的授权目标对象，其中，所述授权目标对象包括：所述第一网络授权请求及由所述第一SDN控制器产生的第一令牌码及第二令牌码中的任一令牌码。

本公开一实施例的软件定义网络SDN安全通信的装置还可以包括检测控制模块。

检测控制模块设置为检测所述第一SDN控制器的网络攻击信息，禁止打开所述网络攻击信息，并删除所述网络攻击信息，其中，所述网络攻击信息携带有窃取信息及转发网络的行为信息。

如图13所示，本公开实施例的云服务器的应用的流程如下。

云服务器可以与云服务提供商进行配合，该云服务提供商具有大数据计算能力，通过集群应用、网格技术或分布式文件系统等功能，将网络中大量多种不同类型的存储设备通过应用软件集合起来协同工作，共同提供数据存储、处理和业务访问功能的一个系统。安全服务云(相当于上述的云服务器)，把云计算的接入云服务器放在云服务提供商之外，由第三方提供，可以实现接入的外包，可以为云用户提供接入安全的服务，以服务的形式为用户提供安全保障。本实施例以一个云服务提供商和一个安全服务云进行应用说明，也可以部署多个云服务提供商和安全服务云。

当云用户(包括个人用户451或企业用户452)的用户接入请求要求进行安全服务时，OpenFlow交换机43根据用户接入请求的服务类型(该服务类型可以包括：数据完整性检测、统一用户管理以及网络攻击探测)将用户接入请求分配给安全服务云41执行；

云服务供应商44实现对用户接入请求的用户数据的存储和处理并将存储处理结果提供给第一SDN控制器42；

安全服务云41处理用户接入请求，决定用户接入请求的用户的数据的转发、阻断或用户接入访问或者拒绝访问，将决定结果通过API接口421通知第一SDN控制器42；以及

第一SDN控制器42生成相应的流表项，下发给OpenFlow交换机43(该OpenFlow交换机43为数据转发层的一个应用实体，在此仅仅为举例说明)，OpenFlow交换机43执行操作。当后面有相同的用户接入请求时，OpenFlow交换机43可根据服务历史记录的流表项执行操作，用户接入请求无需再次通过安全服务云41。对于云用户定制的服务，可以在第一SDN控制器上配置对应流表项完成指定功能，第一SDN控制器42把OpenFlow交换机43和云用户、终端用户46的响应发送给安全服务云41。

如图14和图15所示，本公开实施例的第一SDN控制器及云服务器的应用如下。

在实施过程中，SDN网络包括五层，其中五层分别为：应用服务层51(相当于上述的终端用户)、界面监管层52(对应的应用实体可以为终端显示器)、控制层53(相当于上述的第一SDN控制器)、数据转发层54(对应的应用实体可以为交换机)以及云服务层55(相当于上述的云服务器)。

应用服务层51向控制层53发送网络授权请求，控制层53根据应用服务层51的多种请求类型，分析控制层53状态，制定网络授权请求优先级，验证接收到的来自应用携带的数字签名，对网络授权请求进行验证，向应用服务层51发送访问授权令牌。

界面监管层52设置为显示网络中的令牌授权信息，令牌授权过程，冲突分析和决策结果，网络拓扑、告警和链路等信息。

控制层53接收应用服务层51的多种用户请求，根据应用类型设定相应的优先级，通过令牌授权模块(相当于上述的第一处理单元第二处理单元中的至少一个)向给用户请求发放授权码、或发放停止授权码，并通过优先级分析算法给每个用户请求设定优先级；通过FlowMode消息和PacketIn消息与数据转发层54进行通讯。控制层53发出第一SDN控制器-交换机信息(数据转发层54数据也通过控制层53实现)，用于控制OpenFlow交换机的操作，包括通讯握手、交换机流表配置、修改交换机状态、数据队列的设置、交换机状态的读取以及发包方法，实现安全保障。

上述应用服务层51的应用根据来源和功能可以分为四种类型：命令行应用511、网管应用512、安全应用513和其它应用514，其中，

命令行应用511是由控制器管理人员接入的应用，通过控制器预留的命令行(非开源)实现对控制器的配置、查询等操作，可实现一些验证和调试的功能。

网管应用512是用来实现网络管理员对控制器进行网络多种配置，并查看网络状态，如告警和拓扑等状态。

安全应用513是指网络中接入的安全服务云第三方机构，为用户提供安全方面的服务和保障。

其它应用514可以指预留的处理应用，实现比如控制器软件升级、开启日志以及内存泄露检测等等功能。

可选的，上述界面监管层52包括用户界面521和界面处理模块522。

用户界面521设置为从界面处理模块522获取数据，把数据转为图形界面，为网管人员提供配置的窗口，并下发表征状态转移(Representational State Transfer，REST)或超文本传输协议(HyperText Transfer Protocolc，HTTP)协议发送配置至界面处理模块522。

界面处理模块522，接收反馈模块531信息，以REST、HTTP协议的方式将响应结果发送给用户界面521，并把用户界面521指令缓存后，发送给反馈模块531。

可选的，控制层53包括反馈模块531、令牌授权模块532，认证授权模块533、优先级分析模块534、流表管理模块535、命令下发及连接状态表同步模块536、存储模块537及API接口模块538(相当于上述的转换模块)。

反馈模块531(相当于反馈模块)可以实现把认证授权信息、优先级分析与决策信息反馈给网络管理人员。

令牌授权模块532(相当于上述的第一处理单元和第二处理单元中的至少一个)可以通过应用服务层51的Token服务发来的网络授权请求向授权服务器请求访问令牌，并把访问令牌发送给认证授权模块533。

认证授权模块533(相当于收发模块)接收应用服务层51的授权请求和令牌授权模块的令牌码，设置应用访问优先级别，并给要访问应用发放授权和令牌码。

优先级分析模块534(相当于收发模块)分析每个用户请求的重要性，并判断是否与流表管理模块535中已有的流规则存在冲突，若存在冲突，则根据分析算法缓解冲突，对用户请求的流规则接收或拒绝操作，对流表管理模块535进行更新。优先级分析模块534还定义SDN控制器的连接状态表，负责和数据转发模块的SDN交换机中的连接状态表保持同步，同时当收到OpenFlow交换机发送PacketIn消息时，该模块可以将包头信息和状态信息与连接状态表或者防火墙规则集进行对比，分配相应状态，同时下发变换流表到OpenFlow交换机中。

流表管理模块535(相当于第一处理模块)设置为保存网络中正在运行的所有流表信息。流表管理模块535是用户请求的流规则，可以为优先级分析模块 534提供服务。流表管理模块535也可以向命令下发及连接状态表同步模块提供流规则，以便向交换机进行下发OpenFlow消息。

命令下发及连接状态表同步模块536(相当于第一处理模块)设置为在第一SDN控制器端建立连接状态表，与OpenFlow交换机中的状态表保持同步，同时当收到OpenFlow交换机发送PacketIn消息时，该模块将会将OpenFlow交换机中的包头信息和状态信息与连接状态表或者防火墙规则集进行对比，分配相应状态，同时下发变换流表到OpenFlow交换机中。

存储模块537(相当于第一处理模块)可以对每个模块的数据进行存储，实现用户认证数据的持久化，实现拓扑资源的存储等等，保证断电后，数据的恢复。

API模块538(相当于API接口)可以是与控制器的接口，也可以是与云服务模块的接口，负责云服务模块与SDN控制器的交互，保证云服务器的网络管理策略下发到OpenFlow交换机上，由OpenFlow交换机执行实施。

可选的，数据转发层54包括交换机信息提取模块541、状态表模块542、变化流表模块543、数据队列模块544和数据检测模块545。

数据转发层54使用安全传输层协议(Transport Layer Security，TLS)来认证和加密网络设备端与第一SDN控制器之间的流量，使用TLS帮助验证控制器和网络设备或第一SDN控制器，防止窃听和伪造南向通信。通过OpenFlow交换机向第一SDN控制器发送PacketIn消息，指示第一SDN控制器的网络行为的刷新和交换机状态变更，在第一SDN控制器和OpenFlow交换机中部署SDN防火墙，在OpenFlow协议中添加新的消息和添加相关状态字段实现了SDN防火墙的部署。

交换机信息提取模块541设置为提取数据帧包头部中关键信息，所述的关键信息包括数据包的源地址、源端口、目的地址、目的端口、序列号、确认号以及传输控制协议(Transmission Control Protocol，TCP)标志位。

状态表模块542设置为在所述的数据转发层中建立连接状态表，并同时将连接状态表的更新同步到所述的第一SDN控制器中，该模块的连接状态表的更新将由变换流表通过指令控制，如SET_STATE指令。

变换流表模块543设置为在由第一SDN控制器下发指令在所述的数据转发层中建立变换流表，负责状态转换过程以及数据包转发操作。

数据队列模块544设置为设置发送消息的数据队列，并存储队列信息，如Hello报文、响应请求以及应答请求等。

数据检测模块545设置为判别来到所述数据转发层的数据包是在第几次数据转发层中的终端与SDN控制器的连接中获取的，检验连接状态的合法性。

连接状态表通过分别向第一SDN控制器和数据转发层54发送消息，实现第一SDN控制器和数据转发层54的同步，当第一SDN控制器中的数据更新时，向数据转发层54交换机发送消息，也命令数据转发层54交换机的状态表进行更新，并返回更新状态。当数据转发层54交换机中的状态表更新时，向第一SDN控制器发送消息，也命令第一SDN控制器对数据进行更新，并返回更新状态。

本公开实施例中，通过对OpenFlow协议的扩展，增加状态字段，使流表依据状态执行，实现对连接状态表的更新，实现在数据转发层的防火墙的部署，也可以实现针对第一SDN控制器的安全认证，北向为用户提供接入安全方面的服务，通过令牌授权的方式，为用户提供安全保障，并支持集群控制器和大量网络设备，支持对大量网络设备应用的云安全服务，并实时将网络状态反馈给用户。第一SDN控制器产生相应的流表项，下发给OpenFlow交换机执行，实现数据流的调配，同时将OpenFlow交换机的反馈信息发送给第一SDN控制器或网络管理人员决策。

本公开实施例还提供了一种非暂态计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为执行上述任一方法。

本公开实施例还提供了一种云服务器的硬件结构示意图。参见图16，该云服务器包括：

至少一个处理器(processor)1600，图16中以一个处理器1600为例；和存储器(memory)1601，还可以包括通信接口(Communications Interface)1602和总线1603。其中，处理器1600、通信接口1602、存储器1601可以通过总线1603完成相互间的通信。通信接口1602可以用于信息传输。处理器1600可以调用存储器1601中的逻辑指令，以执行上述应用于云服务器的软件定义网络SDN安全通信的方法。

此外，上述的存储器1601中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。

存储器1601作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序，如本公开实施例中应用于云服务器的软件定义网络SDN安全通信的方法对应的程序指令或模块。处理器1600通过运行存储在存储器1601中的软件程序、指令或模块，从而执行功能应用以及数据处理。

存储器1601可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器1601可以包括高速随机存取存储器，还可以包括非易失性存储器。

本公开的技术方案可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括一个或多个指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本公开实施例所述方法的全部或部分步骤。而前述的存储介质可以是非暂态存储介质，包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等多种可以存储程序代码的介质，也可以是暂态存储介质。

工业实用性

本公开提供的软件定义网路SDN安全通信的方法及装置，能够避免相关技术中的云安全服务提供商控制SDN计算与存储业务时，存在的安全隐患。

Claims

一种软件定义网络SDN安全通信的方法，应用于第一SDN控制器，包括：

获取来自用户端的用户请求；

发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果；以及

对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。
如权利要求1所述的方法，其中，

所述用户端的用户请求包括以下至少一个：云用户的用户接入请求和具有终端应用的用户终端的至少一个第一网络授权请求，所述至少一个第一网络授权请求包括：所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。
如权利要求2所述的方法，其中，

在用户端的用户请求为云用户的用户接入请求时，所述发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果，包括：

检测所述云用户的用户接入请求为首次发送的用户接入请求时，转发所述用户接入请求至所述云服务器；以及

接收由所述云服务器针对所述用户接入请求进行安全检测返回的检测结果，所述检测结果包括：由所述云服务器检测所述用户接入请求的安全并产生一拒绝访问所述第一SDN控制器的检测结果或接受访问所述第一SDN控制器的检测结果。
如权利要求3所述的方法，其中，

所述对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端，包括：

对所述检测结果进行处理，产生一流表项记录；以及

发送所述检测结果及所述流表项记录至所述云用户，所述流表项记录包括：与所述用户接入请求对应的状态字段。
如权利要求2所述的方法，

在所述获取来自用户端的用户请求之后，所述用户端的用户请求为云用户的用户接入请求时，所述方法还包括：

检测存在与所述云用户的用户接入请求对应的流表项记录，确定所述用户接入请求不为首次发送的用户接入请求；以及

将针对所述云用户的用户接入请求的处理结果返回给所述云用户，其中，所述处理结果包括：通过所述流表项记录记录所述云用户的用户接入请求已经由所述云服务器检测安全并产生一接受访问所述第一SDN控制器的检测结果。
如权利要求2所述的方法，其中，在用户端的用户请求为具有终端应用的用户终端的一个第一网络授权请求时，所述发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果，包括：

发送所述第一网络授权请求至所述云服务器；以及

接收由所述云服务器针对所述第一网络授权请求进行安全检测返回的检测结果，所述检测结果包括：检测所述第一SDN控制器中是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求。
如权利要求6所述的方法，其中，

所述对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端，包括：

在所述检测结果为所述第一SDN控制器中不存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时，根据所述第一网络授权请求，生成与所述第一网络授权请求唯一对应的第一令牌码；以及

验证所述第一网络授权请求中的所述用户名、所述密码及所述域名，并在验证通过时，生成携带有所述第一网络授权请求及所述第一令牌码的授权目标对象并发送所述授权目标对象至所述用户终端。
如权利要求6所述的方法，其中，

所述对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端，包括：

在所述检测结果为所述第一SDN控制器存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时，获取所述第二网络授权请求唯一对应的第二令牌码，生成携带有所述第一网络授权请求及所述第二令牌码的授权目标对象并发送所述授权目标对象至所述用户终端。
如权利要求2所述的方法，其中，在用户端的用户请求为具有终端应用的用户终端的多个第一网络授权请求时，所述发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果，包括：

为每个第一网络授权请求分配优先级；

按照所述优先级发送所述多个第一网络授权请求至所述云服务器；以及

按照所述优先级接收由所述云服务器针对所述多个第一网络授权请求进行安全检测返回的检测结果。
如权利要求1至9任一项所述的方法，在对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端之前，所述方法还包括：

通过预定接口转换所述检测结果的数据格式与所述第一SDN控制器的数据格式相匹配。
如权利要求1至9任一项所述的方法，在获取来自用户端的用户请求之前，所述方法还包括：

建立所述第一SDN控制器与至少一个第二SDN控制器连接，其中，所述至少一个第二SDN控制器与所述第一SDN控制器处于不同域；以及

获取来自所述至少一个第二SDN控制器所在域的用户端的用户请求。
一种软件定义网络SDN安全通信的方法，应用于云服务器，包括：

接收来自第一SDN控制器转发的用户请求，其中，所述用户请求由用户端向所述第一SDN控制器发送；

针对所述用户请求进行安全检测，并产生检测结果；以及

将所述检测结果发送至所述第一SDN控制器，由所述第一SDN控制器对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。
如权利要求12所述的方法，其中，所述接收来自第一SDN控制器转发的用户请求，包括：

接收来自第一SDN控制器转发的由云用户发送的用户接入请求。
如权利要求13所述的方法，其中，所述针对所述用户请求进行安全检测，并产生检测结果，包括：

针对所述用户接入请求，检测所述用户接入请求的安全并产生一拒绝访问所述第一SDN控制器的检测结果或接受访问所述第一SDN控制器的检测结果。
如权利要求12所述的方法，其中，所述接收来自第一SDN控制器转发的用户请求，包括：

接收来自第一SDN控制器转发的由具有终端应用的用户终端发送的至少一个第一网络授权请求，所述至少一个第一网络授权请求包括：所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。
如权利要求15所述的方法，其中，所述针对所述用户请求进行安全检测，并产生检测结果，包括：

检测所述第一SDN控制器中是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求，产生一检测所述第一SDN控制器存在所述第二网络授权请求的检测结果或所述第一SDN控制器不存在所述第二网络授权请求的检测结果。
如权利要求16所述的方法，还包括：

接收并存储所述第一SDN控制器发送的授权目标对象，其中，所述授权目标对象包括：所述第一网络授权请求及由所述第一SDN控制器产生的第一令牌码及第二令牌码中的任一令牌码。
如权利要求12至16任一项所述的方法，还包括：

检测所述第一SDN控制器的网络攻击信息，禁止打开所述网络攻击信息，并删除所述网络攻击信息，其中，所述网络攻击信息携带有窃取信息及转发网络的行为信息。
一种软件定义网络SDN安全通信的装置，设置于第一SDN控制器中，包括：

第一获取模块，设置为获取来自用户端的用户请求；

收发模块，设置为发送所述用户请求至云服务器，并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果；以及

第一处理模块，设置为对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。
一种软件定义网络SDN安全通信的装置，设置于云服务器中，包括：

接收模块，设置为接收来自第一SDN控制器转发的用户请求，其中，所述用户请求由用户端向所述第一SDN控制器发送；

产生模块，设置为针对所述用户请求进行安全检测，并产生检测结果；以及

第二处理模块，设置为将所述检测结果发送至所述第一SDN控制器，由所述第一SDN控制器对所述检测结果进行处理，产生处理结果，并发送所述检测结果和所述处理结果中的至少一个至所述用户端。
一种非暂态计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为执行权利要求1-18中任一项的方法。