WO2017177694A1 - 一种提高sdn交换机性能及安全的方法 - Google Patents

Abstract

一种提高SDN交换机性能及安全的方法，该方法可广泛应用于SDN交换机等产品中，所述方法在SDN交换机主控处理器的BIOS或固件启动时，单独为SDN控制器软件及其他安全应用软件预留专用的内存或存储空间，实现SDN交换机操作系统普通软件与SDN控制器软件及其他安全应用软件的安全隔离，SDN控制器软件及其他安全应用软件能够不经过交换机操作系统而对该内存或存储空间进行直接访问。

Description

一种提高 SDN交换机性能及安全的方法 技术领域

[0001] 本发明涉及 SDN交换机技术领域， 具体涉及一种提高 SDN交换机性能及安全的 方法。

背景技术

[0002] 目前在计算机网络和云计算系统中对于基础设施的硬件资源分配普遍采用统一 资源分配方式， 即整个系统的硬件资源对于操作系统以及操作系统上面的应用 来说是透明的， 没有针对 SDN等应用而采用与其相适应的资源分配方式。 比如 在 SDN交换机上 SDN控制器软件运行吋为需要保证其运行的安全和性能， 而有 些应用比如对网络流量等的安全监控等， 对安全和性能都有相应的特殊要求。 为达到此目的需要从底层对其运行环境和资源获取机制进行特殊考虑。 在通用 的资源分配模式由于所有应用的资源都是通过操作系统而分配的， 从操作系统 的角度来说所有的应用程序的资源都是可共享的， 应用程序自己也无法获得操 作系统之外的独有资源。

[0003] 对于专利 US2009248949A1公幵了一种虚拟化信息处理系统， 并具体公幵了虚 拟机管理程序可以向每个虚拟机分配一个或多个处理器及存储子系统中的一个 或多个区域。 在操作吋， 每个客户操作系统可以利用由上述管理程序分配给各 自虚拟机的物理硬件的一个或多个物理资源。 此外， 虚拟机及应用可以直接与 物理硬件相互交互。 （例如， 类似于操作系统与物理硬件进行交互的方式） 。 从其专利描述以及其附图中可以看到其描述的 Hypervisor程序以及构建于 Hypervi sor之上的应用程序尽管可以直接 （不通过 OS) 或间接 （通过 OS或 Hypervisor) 对系统资源进行访问， 但其对整个系统的硬件资源分配尤其是存储资源 （包含 内存） 没有进行从固件层到操作系统层到应用层上进行隔离， 更没有对不同的 应用进行安全认证。 同吋其所提到的"管理程序可以动态地分配物理硬件资源给 虚拟机， 从而可以提高应用性能"在操作系统环境下也不是最有效和安全的方法 [0004] 在上述类似的应用中采用由操作系统统一提供的资源的方法， 无法避免操作系 统对资源的管理， 由于到达最终资源的路径增加， 会造成效率和性能方面的降 低。 同吋由于相应的资源没有单独划分和管理， 也没有相对独立的注册和认证 机制， 容易造成安全方面的漏洞。 对于相关应用的数据掉电保护方面也未加以 说明。

技术问题

[0005] 本发明要解决的技术问题是： 对于以上不足和需求， 本发明提供了一种提高 S

DN交换机性能及安全的方法。

[0006] 因此专利 US2009248949A1提到的资源访问和分配机制和本发明中提到的适合 于提高 SDN交换机性能及安全的经过安全隔离的内存或存储空间分配访问机制 有着根本区别。

问题的解决方案

技术解决方案

[0007] 本发明所采用的技术方案为：

[0008] 一种提高 SDN交换机性能及安全的方法， 所述方法在 SDN交换机主控处理器的 BIOS或固件启动吋， 单独为 SDN控制器软件及其他安全应用软件预留专用的内 存或存储空间， 通过在固件层面进行内存或存储空间的独立划分， 实现 SDN交 换机操作系统普通软件与 SDN控制器软件及其他安全应用软件的安全隔离， SD N控制器软件及其他安全应用软件能够不经过交换机操作系统而对该内存或存储 空间进行直接访问。

[0009] 所划分的专用的内存或存储空间用于 SDN控制器软件运行吋的缓存， 以加速软 件的性能， 或者用于保存相关的日志、 网络流表及数据， 或用于对网络状态的 跟踪记录以及网络安全的检査等， BIOS或固件所划分的专用的内存或存储空间 对于 SDN交换机的操作系统是不可见的。 也就是说操作系统在启动吋经由 BIOS 得到的内存或存储空间和专用的内存或存储空间是完全隔离的。 操作系统及运 行于操作系统之上的标准软件是没法访问这些内存或存储资源的。

[0010] 为保证系统的安全性， BIOS或固件层面具有通过 ID或其他方式注册或认证 SD N控制器软件及其他安全应用软件的功能。 只有通过认证的 SDN控制器软件及其 他安全应用软件才能对 BIOS或固件所划分的专用的内存或存储空间进行访问或 使用。

[0011] SDN控制器软件及其他安全应用软件的认证方式采用包括但不限于专用认证芯 片、 BIOS启动吋驻留于内存中的专用认证 /注册程序等方式。

[0012] BIOS或固件层面对于通过注册或认证的 SDN控制器软件及其他安全应用软件 采用包括但不限于内存锁、 内存分配表映射等方式供其访问或使用。

[0013] 对于专用内存的管理 BIOS可以采取包括但不限于内存锁、 内存分配表映射等 方式供上层应用访问或使用。 也可以和相关的硬件设计相结合， 比如设计相关 的硬件逻辑控制打幵或关闭相关的内存。

[0014] SDN控制器软件及其他安全应用软件不但能够像操作系统上的其他应用一样访 问操作系统的资源， 同吋根据需要也能够在通过认证获得相关权限后不通过交 换机操作系统而对该内存或存储空间进行直接访问。 这样可以在访问路径方面 大大缩短， 从而减少访问吋间， 提高访问性能。

[0015] 所述专用的内存的物理内存使用包括但不限于普通的内存、 NVDIMM内存等 内存。

[0016] 同吋当专用内存划分在 NVDIMM上面后， 由于 NVDIMM具有掉电保护功能， 从而可以对相关数据进行掉电保护， 保障数据的可靠性。

[0017] 所述方法对于专用内存的划分优选地使用独立完整的内存条地址空间， 这样可 以根据需要采用不同于系统内存的内存条， 比如 NVDIMM, 以提供掉电保护等 独特功能。

[0018] 所述专用的内存的管理程序和 BIOS集成， 或独立出来在 BIOS运行吋单独运行

[0019] 优选地所述专用的内存的管理程序和 BIOS—样可以驻留在内存中， 从而在操 作系统运行吋 SDN控制器等软件可以和管理程序进行通信。

发明的有益效果

有益效果

[0020] 本发明的有益效果为：

[0021] 本发明 SDN控制器软件及其他安全应用软件可以不经过交换机操作系统而对该 内存或存储空间进行直接访问， 减少访问路径， 提高 SDN等应用的性能， 保障 系统的安全性。 同吋当专用内存划分在 NVDIMM上面后， 还可以对数据进行掉 电保护， 保障应用数据的可靠性。

[0022] 本发明所采用的方法具有较高的创新性， 可广泛应用于 SDN交换机等产品中， 对自主交换机相关技术知识产权的保护具有重要的作用， 同吋该产品也具有较 高的实用价值可大大提升产品竞争力。

对附图的简要说明

附图说明

[0023] 图 1为本发明方法涉及的系统示意图；

[0024] 图 2为本发明 SDN控制器注册及访问流程图。

本发明的实施方式

[0025] 下面通过说明书附图， 结合具体实施方式对本发明进一步说明：

[0026] 实施例 1 :

[0027] 一种提高 SDN交换机性能及安全的方法， 所述方法在 SDN交换机主控处理器的 BIOS或固件启动吋， 单独为 SDN控制器软件及其他安全应用软件预留专用的内 存或存储空间， 通过在固件层面进行内存或存储空间的独立划分， 实现 SDN交 换机操作系统普通软件与 SDN控制器软件及其他安全应用软件的安全隔离， SD N控制器软件及其他安全应用软件能够不经过交换机操作系统而对该内存或存储 空间进行直接访问。

[0028] 实施例 2:

[0029] 在实施例 1的基础上， 本实施例所划分的专用的内存或存储空间用于 SDN控制 器软件运行吋的缓存以加速软件的性能， 或者用于保存相关的日志、 网络流表 及数据， 或用于对网络状态的跟踪记录以及网络安全的检査等， BIOS或固件所 划分的专用的内存或存储空间对于 SDN交换机的操作系统是不可见的。 也就是 说操作系统在启动吋经由 BIOS得到的内存或存储空间和专用的内存或存储空间 是完全隔离的。 操作系统及运行于操作系统之上的标准软件是没法访问这些内 存或存储资源的。 [0030] 实施例 3:

[0031] 在实施例 1或 2的基础上， 本实施例为保证系统的安全性， BIOS或固件层面具 有通过 ID或其他方式注册或认证 SDN控制器软件及其他安全应用软件的功能。 只有通过认证的 SDN控制器软件及其他安全应用软件才能对 BIOS或固件所划分 的专用的内存或存储空间进行访问或使用。

[0032] 实施例 4:

[0033] 在实施例 3的基础上， 本实施例 SDN控制器软件及其他安全应用软件的认证方 式采用包括但不限于专用认证芯片、 BIOS启动吋驻留于内存中的专用认证 /注册 程序等方式。

[0034] 实施例 5:

[0035] 在实施例 4的基础上， 本实施例 BIOS或固件层面对于通过注册或认证的 SDN控 制器软件及其他安全应用软件采用包括但不限于内存锁、 内存分配表映射等方 式供其访问或使用。

[0036] 对于专用内存的管理 BIOS可以采取包括但不限于内存锁、 内存分配表映射等 方式供上层应用访问或使用。 也可以和相关的硬件设计相结合， 比如设计相关 的硬件逻辑控制打幵或关闭相关的内存。

[0037] 实施例 6:

[0038] 在实施例 5的基础上， 本实施例 SDN控制器软件及其他安全应用软件不但能够 像操作系统上的其他应用一样访问操作系统的资源， 同吋根据需要也能够在通 过认证获得相关权限后不通过交换机操作系统而对该内存或存储空间进行直接 访问。 这样可以在访问路径方面大大缩短， 从而减少访问吋间， 提高访问性能

[0039] 实施例 7:

[0040] 在实施例 6的基础上， 本实施例所述专用的内存的物理内存使用包括但不限于 普通的内存、 NVDIMM内存等内存。

[0041] 同吋当专用内存划分在 NVDIMM上面后， 由于 NVDIMM具有掉电保护功能， 从而可以对相关数据进行掉电保护， 保障数据的可靠性。

[0042] 实施例 8: [0043] 在实施例 7的基础上， 本实施例所述方法对于专用内存的划分优选地使用独立 完整的内存条地址空间， 这样可以根据需要采用不同于系统内存的内存条， 比 如 NVDIMM, 以提供掉电保护等独特功能。

[0044] 实施例 9:

[0045] 在实施例 8的基础上， 本实施例所述专用的内存的管理程序和 BIOS集成， 或独 立出来在 BIOS运行吋单独运行。

[0046] 实施例 10:

[0047] 在实施例 9的基础上， 本实施例所述专用的内存的管理程序和 BIOS—样可以驻 留在内存中， 从而在操作系统运行吋 SDN控制器等软件可以和管理程序进行通

[0048] 实施例 11 :

[0049] 如图 1所示， 所述方法涉及的 SDN交换机主要包括 SDN交换机 OS (操作系统） 和 SDN交换机 BIOS两部分， 其中：

[0050] SDN交换机 BIOS包含分配用于操作系统运行的系统内存， 用于 SDN控制器认 证的应用认证 /注册模块， 供 SDN控制器等使用的专用内存；

[0051] SDN交换机 OS包括专用软件： 交换机传统应用， SDN控制器等。

[0052] 具体实施吋 SDN交换机 BIOS分成两个主要功能模块， 第一个与传统 BIOS—样 进行系统初始化和为操作系统分配系统内存；

[0053] 第二个为上层 SDN控制器等软件分配专用内存以及对 SDN控制器等软件进行认 证或注册；

[0054] 对于第二个功能模块的实施设置不同于第一个功能的访问权限， 比如通过使用 包括但不限于密码或口令的方式。

[0055] BIOS的应用认证 /注册模块其实现方式可以采取 ID身份识别、 数字证书等方式 。 具体实施方面可以在 BIOS中写入数字证书等信息， 在 SDN控制器等上层软件 需要访问专用内存吋通过数字证书等首先对其进行身份认证， 授权其访问专用 内存。 与专用内存管理程序类似， 应用认证 /注册模块可以和 BIOS集成， 也可以 独立出来在 BIOS运行吋单独运行， 优先地应用认证 /注册模块和 BIOS—样可以驻 留在内存中， 在操作系统运行吋同 SDN控制器等软件可以和管理程序进行通信 [0056] SDN控制器注册及访问流程图如图 2所示， 首先 SDN控制器等软件通过相关接 口 （可以使物理接口也可以使地址访问空间） 传递数字证书等信息给应用注册 / 认证模块进行身份认证获得专用内存使用权限， 驻留在内存中的 BIOS程序或专 用内存管理程序通过传递专用内存地址访问空间或通过逻辑控制打幵相关内存 控制信号等方式允许 SDN控制器等软件访问专用内存。

[0057] 特别地如果专用内存划分到 NVDIMM, 则专用内存具有掉电保护功能， 相关 的数据在意外掉电后可以保留。 在重新上电后 SDN控制器等软件在取得相关权 限后可以对该内存进行检査， 以判断是否有需要恢复的数据。 BIOS程序或专用 内存管理程序也可以设置标识位， 以表明专用内存的控制权限非正常交接而意 外退出供上层应用査询。

[0058] 在具体实施吋 BIOS所分配的专用内存和分配给操作系统的内存是完全独立的 ， 操作系统上的普通未经许可的应用是无法使用的。 除认证方式外还可以采取 不公幵接口、 协议、 硬件资源等方式对系统安全性进行进一步保证。

[0059] 实施例 12:

[0060] SDN交换机应用包括：

[0061] SDN交换机 OS (操作系统） 选用 Linux操作系统；

[0062] SDN交换机硬件选择 X86平台；

[0063] SDN交换机 BIOS选用商用的 BIOS并对内存分配部分进行改造；

[0064] 认证的应用认证 /注册模块采用数字证书 +公钥方式进行认证；

[0065] SDN控制器选用 Opendaylight并进行注册接口的改造；

[0066] 交换机传统应用中包含 Openflow应用。

[0067] 所述方法实现过程如下：

[0068] 第一步、 BIOS完成专用内存的划分；

[0069] 第二步、 SDN交换机 OS (操作系统） 启动； BIOS认证及内存管理程序驻留内 存；

[0070] 第三步、 SDN控制器发起使用专用内存请求给 BIOS认证及内存管理程序； [0071] 第四步、 SDN控制器获得使用专用内存权限， 和 BIOS认证及内存管理程序建 立相关交接机制；

[0072] 第五步、 针对 NVDIMM内存， BIOS认证及内存管理程序再次启动吋检査相关 标识判断是否存在意外掉电情况， 如是则保存相关内存参数及标志以备相关程 序再次使用； 如否则将相关内存化为可分配内存， 供应用程序再次使用。

[0073] 以上实施方式仅用于说明本发明， 而并非对本发明的限制， 有关技术领域的普 通技术人员， 在不脱离本发明的精神和范围的情况下， 还可以做出各种变化和 变型， 因此所有等同的技术方案也属于本发明的范畴， 本发明的专利保护范围 应由权利要求限定。

Claims

权利要求书

一种提高 SDN交换机性能及安全的方法， 其特征在于： 所述方法在 S DN交换机主控处理器的 BIOS或固件启动吋， 单独为 SDN控制器软件 及其他安全应用软件预留专用的内存或存储空间， 实现 SDN交换机操 作系统普通软件与 SDN控制器软件及其他安全应用软件的安全隔离， SDN控制器软件及其他安全应用软件能够不经过交换机操作系统而对 该内存或存储空间进行直接访问。

根据权利要求 1所述的一种提高 SDN交换机性能及安全的方法， 其特 征在于： 所划分的专用的内存或存储空间用于 SDN控制器软件运行吋 的缓存， 以加速软件的性能， 或者用于保存相关的日志、 网络流表及 数据， 或用于对网络状态的跟踪记录以及网络安全的检査， 所述 BIO S或固件所划分的专用的内存或存储空间对于 SDN交换机的操作系统 是不可见的。

根据权利要求 1或 2所述的一种提高 SDN交换机性能及安全的方法， 其 特征在于： BIOS或固件层面具有通过 ID或其他方式注册或认证 SDN 控制器软件及其他安全应用软件的功能。

根据权利要求 3所述的一种提高 SDN交换机性能及安全的方法， 其特 征在于： SDN控制器软件及其他安全应用软件的认证方式采用包括专 用认证芯片或 BIOS启动吋驻留于内存中的专用认证 /注册程序。

根据权利要求 4所述的一种提高 SDN交换机性能及安全的方法， 其特 征在于： BIOS或固件层面对于通过注册或认证的 SDN控制器软件及 其他安全应用软件采用内存锁或内存分配表映射供其访问或使用。 根据权利要求 5所述的一种提高 SDN交换机性能及安全的方法， 其特 征在于： SDN控制器软件及其他安全应用软件不但能够像操作系统上 的其他应用一样访问操作系统的资源， 同吋根据需要也能够在通过认 证获得相关权限后不通过交换机操作系统而对该内存或存储空间进行 直接访问。

根据权利要求 6所述的一种提高 SDN交换机性能及安全的方法， 其特 征在于： 所述专用的内存的物理内存使用普通的内存或 NVDIMM内 存。

[权利要求 8] 根据权利要求 7所述的一种提高 SDN交换机性能及安全的方法， 其特 征在于： 所述方法对于专用内存的划分使用独立完整的内存条地址空 间。

[权利要求 9] 根据权利要求 8所述的一种提高 SDN交换机性能及安全的方法， 其特 征在于： 所述专用的内存的管理程序和 BIOS集成， 或独立出来在 BIO S运行吋单独运行。

[权利要求 10] 根据权利要求 9所述的一种提高 SDN交换机性能及安全的方法， 其特 征在于： 所述专用的内存的管理程序和 BIOS—样驻留在内存中。