WO2018095263A1

WO2018095263A1 - 基于sdn网络的数据传输方法

Info

Publication number: WO2018095263A1
Application number: PCT/CN2017/111298
Authority: WO
Inventors: 祖立军; 何朔; 刘国宝
Original assignee: 中国银联股份有限公司
Priority date: 2016-11-23
Filing date: 2017-11-16
Publication date: 2018-05-31
Also published as: CN106657015B; TW201820825A; TWI665891B; CN106657015A

Abstract

本发明提出了基于SDN网络的数据传输方法，所述方法包括：SDN网络的中心控制器实施初始化操作，以通过流表的方式控制SDN网络中的物理节点之间的数据流的通断和传输；在SDN网络中的源节点需要向目标节点传送数据时，源节点请求中心控制器开通与目标节点和防火强节点的连通性；源节点经由防火墙节点向目标节点发送连接建立请求，并随之经由防火墙节点与目标节点协商网络连接参数，以及随之基于所协商的网络连接参数并在不经由防火墙节点的情况下直接与目标节点进行实际的数据通信。本发明所公开的方法具有高的数据传输性能。

Description

基于SDN网络的数据传输方法

技术领域

本发明涉及数据传输方法，更具体地，涉及基于SDN网络的数据传输方法。

背景技术

目前，随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富，通过网络(尤其是SDN网络)进行节点之间的数据传输变得越来越重要。

在现有的基于SDN(软件定义网络)网络的技术方案中，通常以如下方式进行物理节点之间的数据传输：SDN网络的中心控制器基于流表的形式控制整个网络中任意物理节点之上的应用之间的报文的转发和丢弃，其中，常规的应用(例如基于FTP的应用)之间进行数据传输的过程典型地分为如下两个阶段：(1)连接建立阶段(慢通道过程)，即源节点向目标节点的预定端口(例如FTP服务器端的21端口)发送连接建立请求，并随之协商后续的实际数据传输所使用的数据报文传输端口；(2)实际数据传输阶段(快通道过程)，即使用所协商的数据报文传输端口进行实际的数据传输过程。

然而，上述现有的技术方案存在如下问题：当需要在源节点和目标节点之间传输安全性要求较高的数据(例如用于支付的敏感数据)时，两个物理节点之间的所有通信(包括慢通道过程和快通道过程两者)必须经由防火墙，故防火墙将成为网络传输的瓶颈，即所有网络流量均需要通过防火墙实施安全判断后进行转发，故存在潜在的数据处理性能瓶颈。

因此，存在如下需求：提供具有高的数据传输性能的基于SDN网络的数据传输方法。

发明内容

为了解决上述现有技术方案所存在的问题，本发明提出了具有高的数据传输性能的基于SDN网络的数据传输方法。

本发明的目的是通过以下技术方案实现的：

一种基于SDN网络的数据传输方法，所述基于SDN网络的数据传输方法包括下列步骤：

(A1)SDN网络的中心控制器实施初始化操作，以通过流表的方式控制SDN网络中的物理节点之间的数据流的通断和传输；

(A2)在所述SDN网络中的源节点需要向目标节点传送数据时，所述源节点请求所述中心控制器开通与所述目标节点和防火强节点的连通性；

(A3)所述源节点经由所述防火墙节点向所述目标节点发送连接建立请求，并随之经由所述防火墙节点与所述目标节点协商网络连接参数，以及随之基于所协商的网络连接参数并在不经由所述防火墙节点的情况下直接与所述目标节点进行实际的数据通信。

在上面所公开的方案中，优选地，所述步骤(A1)进一步包括：所述中心控制器初始设定所述SDN网络中的任意两个节点之间不连通。

在上面所公开的方案中，优选地，所述步骤(A3)进一步包括：在所述源节点和所述目标节点之间的网络连接开通后，所述源节点经由所述防火墙节点向所述目标节点的预定端口发送所述连接建立请求以及随后的用于协商网络连接参数的数据包，其中，所述防火墙节点在接收到所述连接建立请求以及随后的用于协商网络连接参数的数据包后按照预定的安全规则对其进行安全性核查，并在核查通过的情况下将所述连接建立请求以及随后的用于协商网络连接参数的数据包转发至所述目标节点。

在上面所公开的方案中，优选地，所述步骤(A3)进一步包括：在接收到所述连接建立请求后，所述目标节点确定用于随后的实际的数据传输的网络连接参数，并将所确定的网络连接参数以数据包的形式传送至所述防火墙节点。

在上面所公开的方案中，优选地，所述网络连接参数包括用于后续的实际数据传输的目标传输端口的标识符。

在上面所公开的方案中，优选地，所述步骤(A3)进一步包括：在接收到所述网络连接参数后，所述防火墙节点根据所述网络连接参数所指示的目标传输端口请求所述中心控制器开启其连通性。

在上面所公开的方案中，优选地，所述步骤(A3)进一步包括：在接收到来自所述防火墙节点的请求后，所述中心控制器开启所述目标传输端口的网络连通性，并随之通知所述防火墙节点该目标传输端口已开通。

在上面所公开的方案中，优选地，所述步骤(A3)进一步包括：在所述目标传输端口已开通后，所述防火墙节点以数据包的形式将所述网络连接参数传送至所述源节点。

在上面所公开的方案中，优选地，所述步骤(A3)进一步包括：在接收到所述网络连接参数后，所述源节点在不经由所述防火墙节点的情况下直接根据所述网络连接参数所指示的目标传输端口以数据包的形式与所述目标节点进行实际的数据通信。

在上面所公开的方案中，优选地，所述预定的安全规则包括对基于特征的数字签名进行校验。

本发明所公开的基于SDN网络的数据传输方法具有以下优点：由于慢通道过程和快通道过程采用不同的传输策略，即快通道过程不经由防火墙节点，故具有显著提高的网络数据传输性能。

附图说明

结合附图，本发明的技术特征以及优点将会被本领域技术人员更好地理解，其中：

图1是根据本发明的实施例的基于SDN网络的数据传输方法的流程图。

具体实施方式

图1是根据本发明的实施例的基于SDN网络的数据传输方法的流程图。如图1所示，本发明所公开的基于SDN网络的数据传输方法包括下列步骤：(A1)SDN网络的中心控制器实施初始化操作，以通过流表(flowtable)的方式控制SDN网络中的物理节点之间的数据流的通断和传输；(A2)在所述SDN网络中的源节点需要向目标节点传送数据时，所述源节点请求所述中心控制器开通与所述目标节点和防火强节点的连通性；(A3)所述源节点经由所述防火墙节点向所述目标节点发送连接建立请求，并随之经由所述防火墙节点与所述目标节点协商网络连接参数，以及随之基于所协商的网络连接参数并在不经由所述防火墙节点的情况下直接与所述目标节点进行实际的数据通信。

优选地，在本发明所公开的基于SDN网络的数据传输方法中，所述步骤(A1)进一步包括：所述中心控制器初始设定所述SDN网络中的任意两个节点之间不连通(即以白名单形式开通节点之间的网络连接)。

优选地，在本发明所公开的基于SDN网络的数据传输方法中，所述步骤(A3)进一步包括：在所述源节点和所述目标节点之间的网络连接开通后，所述源节点经由所述防火墙节点向所述目标节点的预定端口(例如针对FTP的21号端口)发送所述连接建立请求以及随后的用于协商网络连接参数的数据包，其中，所述防火墙节点在接收到所述连接建立请求以及随后的用于协商网络连接参数的数据包后按照预定的安全规则对其进行安全性核查，并在核查通过的情况下将所述连接建立请求以及随后的用于协商网络连接参数的数据包转发至所述目标节点。

优选地，在本发明所公开的基于SDN网络的数据传输方法中，所述步骤(A3)进一步包括：在接收到所述连接建立请求后，所述目标节点确定用于随后的实际的数据传输的网络连接参数，并将所确定的网络连接参数以数据包的形式传送至所述防火墙节点。

优选地，在本发明所公开的基于SDN网络的数据传输方法中，所述网络连接参数包括用于后续的实际数据传输的目标传输端口的标识符(即目标端口号)。

优选地，在本发明所公开的基于SDN网络的数据传输方法中，所述步骤(A3)进一步包括：在接收到所述网络连接参数后，所述防火墙节点根据所述网络连接参数所指示的目标传输端口请求所述中心控制器开启其连通性。

优选地，在本发明所公开的基于SDN网络的数据传输方法中，所述步骤(A3)进一步包括：在接收到来自所述防火墙节点的请求后，所述中心控制器开启所述目标传输端口的网络连通性，并随之通知所述防火墙节点该目标传输端口已开通。

优选地，在本发明所公开的基于SDN网络的数据传输方法中，所述步骤(A3)进一步包括：在所述目标传输端口已开通后，所述防火墙节点以数据包的形式将所述网络连接参数传送至所述源节点。

优选地，在本发明所公开的基于SDN网络的数据传输方法中，所述步骤(A3)进一步包括：在接收到所述网络连接参数后，所述源节点在不经由所述防火墙节点的情况下直接根据所述网络连接参数所指示的目标传输端口以数据包的形式与所述目标节点进行实际的数据通信。

优选地，在本发明所公开的基于SDN网络的数据传输方法中，所述预定的安全规则包括对基于特征的数字签名进行校验。

由上可见，本发明所公开的基于SDN网络的数据传输方法具有下列优点：由于慢通道过程和快通道过程采用不同的传输策略，即快通道过程不经由防火墙节点，故具有显著提高的网络数据传输性能。

尽管本发明是通过上述的优选实施方式进行描述的，但是其实现形式并不局限于上述的实施方式。应该认识到：在不脱离本发明主旨和范围的情况下，本领域技术人员可以对本发明做出不同的变化和修改。

Claims

一种基于SDN网络的数据传输方法，所述基于SDN网络的数据传输方法包括下列步骤：

(A1)SDN网络的中心控制器实施初始化操作，以通过流表的方式控制SDN网络中的物理节点之间的数据流的通断和传输；

(A2)在所述SDN网络中的源节点需要向目标节点传送数据时，所述源节点请求所述中心控制器开通与所述目标节点和防火强节点的连通性；

(A3)所述源节点经由所述防火墙节点向所述目标节点发送连接建立请求，并随之经由所述防火墙节点与所述目标节点协商网络连接参数，以及随之基于所协商的网络连接参数并在不经由所述防火墙节点的情况下直接与所述目标节点进行实际的数据通信。
根据权利要求1所述的基于SDN网络的数据传输方法，其特征在于，所述步骤(A1)进一步包括：所述中心控制器初始设定所述SDN网络中的任意两个节点之间不连通。
根据权利要求2所述的基于SDN网络的数据传输方法，其特征在于，所述步骤(A3)进一步包括：在所述源节点和所述目标节点之间的网络连接开通后，所述源节点经由所述防火墙节点向所述目标节点的预定端口发送所述连接建立请求以及随后的用于协商网络连接参数的数据包，其中，所述防火墙节点在接收到所述连接建立请求以及随后的用于协商网络连接参数的数据包后按照预定的安全规则对其进行安全性核查，并在核查通过的情况下将所述连接建立请求以及随后的用于协商网络连接参数的数据包转发至所述目标节点。
根据权利要求3所述的基于SDN网络的数据传输方法，其特征在于，所述步骤(A3)进一步包括：在接收到所述连接建立请求后，所述目标节点确定用于随后的实际的数据传输的网络连接参数，并将所确定的网络连接参数以数据包的形式传送至所述防火墙节点。
根据权利要求4所述的基于SDN网络的数据传输方法，其特征在于，所述网络连接参数包括用于后续的实际数据传输的目标传输端口的标识符。
根据权利要求5所述的基于SDN网络的数据传输方法，其特征在于，所述步骤(A3)进一步包括：在接收到所述网络连接参数后，所述防火墙节点根据所述网络连接参数所指示的目标传输端口请求所述中心控制器开启其连通性。
根据权利要求6所述的基于SDN网络的数据传输方法，其特征在于，所述步骤(A3)进一步包括：在接收到来自所述防火墙节点的请求后，所述中心控制器开启所述目标传输端口的网络连通性，并随之通知所述防火墙节点该目标传输端口已开通。
根据权利要求7所述的基于SDN网络的数据传输方法，其特征在于，所述步骤(A3)进一步包括：在所述目标传输端口已开通后，所述防火墙节点以数据包的形式将所述网络连接参数传送至所述源节点。
根据权利要求8所述的基于SDN网络的数据传输方法，其特征在于，所述步骤(A3)进一步包括：在接收到所述网络连接参数后，所述源节点在不经由所述防火墙节点的情况下直接根据所述网络连接参数所指示的目标传输端口以数据包的形式与所述目标节点进行实际的数据通信。
根据权利要求9所述的基于SDN网络的数据传输方法，其特征在于，所述预定的安全规则包括对基于特征的数字签名进行校验。