一种软件定义网路SDN安全通信的方法及装置与流程
本发明涉及信息安全技术领域,特别是涉及一种软件定义网路sdn安全通信的方法及装置。
背景技术:
sdn(softwaredefinednetwork,软件定义网络)是一种开放的网络架构,其核心技术openflow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制。
管理人员可以通过sdn网络查看网络所有区域及修改网络,通过查看及修改网络来及时改变规则,为系统带来更好的安全性。管理人员可以集中查看网络内部能力和快速限制能力,然后进行有效地更改。例如,在网络中出现恶意软件时,通过sdn和openflow协议集中控制平面阻止这些流量,从而限制这种爆发,而不需要访问多个路由器或交换机。
随着云计算的应用及发展,云安全服务也成为sdn的一种服务模式。云安全服务在性能、可扩展性、可用性、容错能力等方面更具有优势,但是云接入也存在一定的安全隐患。因此云安全服务提供商控制sdn计算与存储业务,存在极大的安全隐患。
技术实现要素:
本发明实施例的目的在于提供一种软件定义网路sdn安全通信的方法及装置,以解决现有技术的云安全服务提供商控制sdn计算与存储业务,存在极大的安全隐患的问题。
为了实现上述目的,本发明实施例提供一种软件定义网络sdn安全通信的方法,应用于第一sdn控制器,其中,所述的软件定义网络sdn安全通信的方法包括:
获取来自用户端的用户请求;
发送所述用户请求至云服务器,并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果;
对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端。
进一步的,所述用户端的用户请求包括:云用户的用户接入请求和/或具有终端应用的用户终端的至少一个第一网络授权请求,其中,所述至少一个第一网络授权请求包括:所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。
进一步的,在用户端的用户请求为云用户的用户接入请求时,所述发送所述用户请求至云服务器,并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果,包括:
检测所述云用户的用户接入请求为首次发送的用户接入请求时,转发所述用户接入请求至所述云服务器;
接收由所述云服务器针对所述用户接入请求进行安全检测返回的检测结果,其中,所述检测结果包括:由所述云服务器检测所述用户接入请求的安全并产生一拒绝访问所述第一sdn控制器的检测结果或接受访问所述第一sdn控制器的检测结果。
进一步的,所述对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端,包括:
对所述检测结果进行处理,产生一流表项记录;
发送所述检测结果及所述流表项记录至所述云用户,其中,所述流表项记录包括:与所述用户接入请求对应的状态字段。
其中,所述的软件定义网络sdn安全通信的方法还包括:
检测存在与所述云用户的用户接入请求对应的流表项记录,确定所述用户接入请求不为首次发送的用户接入请求;
针对所述云用户的用户接入请求返回给所述云用户的处理结果,其中,所述处理结果包括:通过所述流表项记录所述云用户的用户接入请求已经由所述云服务器检测安全并产生一接受访问所述第一sdn控制器的检测结果。
进一步的,在用户端的用户请求为具有终端应用的用户终端的一个第一网络授权请求时,所述发送所述用户请求至云服务器,并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果,包括:
发送所述第一网络授权请求至所述云服务器;
接收由所述云服务器针对所述第一网络授权请求进行安全检测返回的检测结果,其中,所述检测结果包括:检测所述第一sdn控制器是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求。
进一步的,所述对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端,包括:
在所述检测结果为所述第一sdn控制器不存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时,根据所述第一网络授权请求,生成与所述第一网络授权请求唯一对应的第一令牌码;
验证所述第一网络授权请求中的所述用户名、所述密码及所述域名,并在验证通过时,生成携带有所述第一网络授权请求及所述第一令牌码的授权目标对象并发送所述授权目标对象至所述用户终端。
进一步的,所述对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端,包括:
在所述检测结果为所述第一sdn控制器存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时,获取所述第二网络授权请求唯一对应的第二令牌码,生成携带有所述第一网络授权请求及所述第二令牌码的授权目标对象并发送所述授权目标对象至所述用户终端。
进一步的,在用户端的用户请求为具有终端应用的用户终端的多个第一网络授权请求时,所述发送所述用户请求至云服务器,并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果,包括:
分配每个第一网络授权请求对应的优先级;
按照所述优先级发送所述第一网络授权请求至所述云服务器;
按照所述优先级接收由所述云服务器针对所述第一网络授权请求进行安全检测返回的检测结果。
其中,所述软件定义网络sdn安全通信还包括:
通过预定接口转换所述检测结果的数据格式与所述第一sdn控制器的数据格式相匹配。
其中,所述的软件定义网络sdn安全通信的方法还包括:
建立所述第一sdn控制器与至少一个第二sdn控制器连接,其中,所述至少一个第二sdn控制器与所述第一sdn控制器处于不同域;
获取来自至少一个所述第二sdn控制器所在域的用户端的用户请求。
本发明实施例还提供一种软件定义网络sdn安全通信的方法,应用于云服务器,其中,所述的软件定义网络sdn安全通信的方法包括:
接收来自第一sdn控制器转发的用户请求,其中,所述用户请求由用户端向所述第一sdn控制器发送的;
针对所述用户请求进行安全检测,产生检测结果;
将所述检测结果发送至所述第一sdn控制器,由所述第一sdn控制器对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端。
进一步的,在接收来自第一sdn控制器转发的用户请求,包括:
接收来自第一sdn控制器转发的由云用户发送的用户接入请求。
进一步的,所述针对所述用户请求进行安全检测,产生检测结果,包括:
针对所述用户接入请求,检测所述用户接入请求的安全并产生一拒绝访问所述第一sdn控制器或接受访问所述第一sdn控制器。
进一步的,所述接收来自第一sdn控制器转发的用户请求,包括:
接收来自第一sdn控制器转发的由具有终端应用的用户终端发送的至少一个第一网络授权请求,其中,所述第一网络授权请求包括:所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。
进一步的,所述针对所述用户请求进行安全检测,产生检测结果,包括:
检测所述第一sdn控制器是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求,产生一检测所述第一sdn控制器存在所述第二网络授权请求的检测结果或所述第一sdn控制器不存在所述第二网络授权请求的检测结果。
其中,所述的软件定义网络sdn安全通信的方法还包括:
接收并存储所述第一sdn控制器发送的授权目标对象,其中,所述授权目标对象包括:所述第一网络授权请求及由所述第一sdn控制器产生的第一令牌码及第二令牌码中的任一令牌码。
其中,所述的软件定义网络sdn安全通信的方法还包括:
检测所述第一sdn控制器的网络攻击信息,禁止打开并删除所述网络攻击信息,其中,所述网络攻击信息携带有窃取信息及转发网络的行为信息。
本发明实施例还提供一种软件定义网络sdn安全通信的装置,应用于第一sdn控制器,其中,包括:
第一获取模块,用于获取来自用户端的用户请求;
收发模块,用于发送所述用户请求至云服务器,并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果;
第一处理模块,用于对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端。
本发明实施例还提供一种软件定义网络sdn安全通信的装置,应用于云服务器,其中,包括:
接收模块,用于接收来自第一sdn控制器转发的用户请求,其中,所述用户请求由用户端向所述第一sdn控制器发送的;
产生模块,用于针对所述用户请求进行安全检测,产生检测结果;
第二处理模块,用于将所述检测结果发送至所述第一sdn控制器,由所述第一sdn控制器对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端。
本发明实施例的上述技术方案的有益效果如下:
本发明实施例的方案中,第一sdn控制器与云服务器连接,通过云服务器对用户请求进行安全检测,可以提高第一sdn控制器的云安全性;由于第一sdn网络中的应用服务层及数据层分别与第一sdn控制器进行数据交互,因此与应用服务层及数据层交互数据,经云服务器安全检测第一sdn控制器,避免出现了第一sdn控制器与存储业务的安全隐患的问题;还可以利用云服务器协助第一sdn控制器处理用户请求,从而减轻sdn控制器监控数据的负担。
附图说明
图1为本发明实施例的应用于第一sdn控制器的软件定义网络sdn安全通信的方法的一个基本流程示意图;
图2为本发明实施例的软件定义网络sdn安全通信的方法的详细流程示意图;
图3为本发明实施例的应用于第一sdn控制器的软件定义网络sdn安全通信的方法的另一个基本流程示意图;
图4为本发明实施例的软件定义网络sdn安全通信的方法的步骤12的一个详细流程示意图;
图5为本发明实施例的软件定义网络sdn安全通信的方法的步骤13的详细流程示意图;
图6为本发明实施例的软件定义网络sdn安全通信的方法的步骤12的另一个详细流程示意图;
图7为本发明实施例的软件定义网络sdn安全通信的方法的令牌授权流程示意图;
图8为本发明实施例的应用于云服务器的软件定义网络sdn安全通信的方法的流程示意图;
图9为本发明实施例的应用于第一sdn控制器的软件定义网络sdn安全通信的装置的结构示意图;
图10为本发明实施例的软件定义网络sdn安全通信的装置的跨域令牌授权的结构示意图;
图11为本发明实施例的第一sdn控制器与数据转发层的数据包的处理过程流程示意图;
图12为本发明实施例的应用于云服务器的软件定义网络sdn安全通信的装置的结构示意图;
图13为本发明实施例的云服务器的实际应用的结构示意图;
图14为本发明实施例的第一sdn控制器及云服务器实际应用的基本结构示意图;
图15为本发明实施例的第一sdn控制器及云服务器实际应用的详细结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
如图1所示,本发明实施例的软件定义网络sdn安全通信的方法,应用于第一sdn控制器,其中,所述的软件定义网络sdn安全通信的方法包括:
步骤11,获取来自用户端的用户请求。
这里的用户端可以是指sdn网络中的应用服务层的终端。该应用服务层,包括命令行应用、网管应用、安全应用和其它各种应用,其中,该命令行应用具体是由第一sdn控制器管理人员接入的应用,通过第一sdn控制器预留的命令行,实现对第一sdn控制器的配置、查询等操作,实现一些验证和调试的功能;该网管应用用来实现网络管理员对第一sdn控制器进行网络各种配置并查看网络状态,如告警、拓扑等状态;该安全应用用于网络中接入的云服务器的第三方机构,为用户提供安全方面的服务和保障;该其它应用,用于各种预留的处理应用,比如第一sdn控制器软件升级、开启日志、内存泄露检测等等。
步骤12,发送所述用户请求至云服务器,并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果;
步骤13,对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端。
本发明实施例中,第一sdn控制器与云服务器连接,通过云服务器对用户请求进行安全检测,可以提高第一sdn控制器的云安全性;由于第一sdn网络中的应用服务层及数据层分别与第一sdn控制器进行数据交互,因此与应用服务层及数据层交互数据,经云服务器安全检测第一sdn控制器,避免出现了第一sdn控制器与存储业务的安全隐患的问题;还可以利用云服务器协助第一sdn控制器处理用户请求,从而减轻sdn控制器监控数据的负担。
如图2所示,本发明实施例的软件定义网络sdn安全通信的方法,所述 用户端的用户请求包括:云用户的用户接入请求和/或具有终端应用的用户终端的至少一个第一网络授权请求,其中,所述至少一个第一网络授权请求包括:所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。
这里的云用户为接入云安全服务的用户,包括个人用户、企业用户等。
本发明实施例中,第一sdn服务器不仅可以实现与云服务器的信息交互,第一sdn服务器与应用服务层进行交互。通过利用云服务器检测第一sdn控制器的交互信息,进而提高了第一sdn服务器与应用服务层进行交互的通信安全性。
如图2所示,本发明实施例的软件定义网络sdn安全通信的方法,在用户端的用户请求为云用户的用户接入请求时,步骤12包括:
步骤121,检测该云用户的用户接入请求为首次发送的用户接入请求时,发送该用户接入请求至该云服务器;
这里的云服务器是由第三方提供,从而实现接入的外包或单独设置,这样方便专门为云用户提接供入安全的服务。云服务器以服务的形式为用户提供安全保障,可以将大量云服务器集群在一起,形成专门应对云接入安全问题的系统。
步骤122,接收由该云服务器针对该用户接入请求进行安全检测返回的检测结果,其中,该检测结果包括:由该云服务器检测该用户接入请求的安全并产生一拒绝访问该第一sdn控制器的检测结果或接受访问该第一sdn控制器的检测结果。
需要说明的是:云服务器检测该用户接入请求的安全性的内容至少包括:数据完整性检测、统一用户管理及网络攻击检测,其中,该数据完整性检测包括:用户请求中的用户名及用户名对应的密码;该统一用户管理包括:存储用户请求中的用户名及对应的密码;网络攻击检测包括:监测网络中非法入侵的木马或病毒。利用云服务器实现至少一项安全性的内容。
本发明实施例中,第一sdn控制器可以对首次发送的用户接入请求,利用云服务器判断用户接入请求的安全性,从而保证第一sdn控制器的安全性。
如图2所示,本发明实施例的软件定义网络sdn安全通信的方法,步骤13包括:
步骤131,对该检测结果进行处理,产生一流表项记录;
这里的流表项记录是通过对openflow协议定义的流表的基本结构添加至少一个状态属性(如state状态)以及至少下一个状态(如next_state),并重新定义了数据包与流表项记录匹配的过程,使匹配不仅仅依赖与数据帧包头的信息,同时也取依赖自身的状态。如匹配不成功,数据转发层将向第一sdn控制器发送一个收入封包数packetin请求消息,其中该packetin请求消息包含数据帧包头的信息,也包含自身的状态信息。第一sdn控制器会向数据转发层发送一个流组flowmod消息并向数据转发层添加相应记录,作为回应;当匹配成功时,将连接状态表中状态赋值为变换流表中相应记录的下一个状态。
步骤132,发送该检测结果及该流表项记录至该云用户,其中,该流表项记录包括:与该用户接入请求对应的状态字段。
这里的状态字段的目的是为了建立数据转发层中的终端与sdn控制器的连接状态表的更新同步。
本发明实施例中,通过生成一个流表项,当后续有相同的用户请求时,无需再次进行验证,可以利用云服务器协助第一sdn控制器处理用户请求,从而减轻sdn控制器的监控数据的负担,也提高了云安全性的检测效率。
如图3所示,本发明实施例的软件定义网络sdn安全通信的方法在步骤11之后,用户端的用户请求为云用户的用户接入请求时,该软件定义网络sdn安全通信的方法还包括:
步骤14,检测存在与该云用户的用户接入请求对应的流表项记录,确定该用户的接入请求不为首次发送的用户接入请求。
步骤15,针对该云用户的用户接入请求返回给该云用户的处理结果,其中,该处理结果包括:通过该流表项记录该云用户的用户接入请求已经由该云服务器检测安全并产生一接受访问该第一sdn控制器的检测结果。
本发明实施例中,在判断云用户不是首次发送的用户请求,则直接通过预先建立的流表项记录进行访问第一sdn控制器,减少了验证过程,提高了接入的效率,并通过云服务器进行检测,提高了用户接入请求的安全性。
如图4所示,本发明实施例的软件定义网络sdn安全通信的方法中,在用户端的用户请求为具有终端应用的用户终端的一个第一网络授权请求时,步 骤12包括:
步骤123,发送该第一网络授权请求至该云服务器。
步骤124,接收由该云服务器针对该第一网络授权请求进行安全检测返回的检测结果,其中,该检测结果包括:检测该第一sdn控制器中是否存在该第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求。
本发明实施例中,将第一网络授权请求发送给第一sdn控制器,利用云服务器可以协助第一sdn控制器检测第一网络授权请求的安全性,由于云服务器存储有与网络授权请求相关的数据,因此可以在存储的数据中判断是否存在第一网络授权请求,减轻了第一sdn控制器的负担,也提高了第一sdn控制器数据交互的安全性。
如图4所示,本发明实施例的软件定义网路sdn安全通信的方法中,步骤13包括:
步骤133,在该检测结果为该第一sdn控制器不存在与该第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时,根据所述第一网络授权请求,生成与该第一网络授权请求唯一对应的第一令牌码;
步骤134,验证该第一网络授权请求中的该用户名、该密码及该域名,并在验证通过时,生成携带有该第一网络授权请求及该第一令牌码的授权目标对象并发送该授权目标对象至该用户终端。
这里的验证该第一网络授权请求中的该用户名、该密码及该域名的具体步骤包括:首先,验证该第一网络授权请求中该用户名、该密码及该域名是否完整;然后,在第一网络授权请求中该用户名、该密码及该域名完整之后,判断第一网络授权请求中的密码是否正确;最后,在第一网络授权请求中的密码为正确时,该第一网络授权请求为验证通过。这样可以增强第一网络授权请求的应用的准确性。
这里的步骤134在发送该授权目标对象至该用户终端时,并发送该授权目标对象至给云服务器进行存储。这样有利于后期云服务器判断第一网络授权请求是否为首次发出的用户请求,来减少出现对同一网络授权请求的重复授权的情况。
本发明实施例中,对首次的第一网络授权请求生成唯一对应的第一令牌码, 并反馈给用户终端的授权目标对象,这样可以实现令牌授权,保证只给新的网络授权请求发放新的访问令牌码,避免出现重复发放访问令牌码的情况。
如图5所示,本发明实施例的软件定义网路sdn安全通信的方法中,步骤13包括:
步骤135,在该检测结果为该第一sdn控制器存在与该第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时,获取该第二网络授权请求唯一对应的第二令牌码,生成携带有该第一网络授权请求及该第二令牌码的授权目标对象并发送该授权目标对象至该用户终端。
这里的第一网络授权请求及第二网络授权请求中的“第一”和“第二”,并不是对网络授权请求的顺序进行限定,而是为了方便区分当前发送的“第一网络授权请求”与之前已存储的“第二网络授权请求”的关系。此处的“第一网络授权请求”与之前已存储的“第二网络授权请求”的关系包括:“第一网络授权请求”与之前已存储的“第二网络授权请求”的内容不相同和“第一网络授权请求”与之前已存储的“第二网络授权请求”的内容相同。
这里的步骤135在发送该授权目标对象至该用户终端时,并发送该授权目标对象至给云服务器进行存储。这样有利于后期云服务器判断第一网络授权请求是否为首次发出的用户请求,来减少出现对同一用户的重复授权的情况。通过将授权目标对象存储在云服务器,方便后期sdn控制器接收到新的网络授权请求时,利用云服务器检测是否存在网络授权请求。
本发明实施例中,通过判断该第一网络授权请求已经存在与该第一网络授权请求相同的第二网络授权请求,第一sdn控制器就不需要重新生成新的令牌码,只需要利用已经存储相同的第二网络授权请求的令牌码,和当前的第一网络授权请求生成授权目标对象,这样对同一第一网络授权请求的多次刷新,只产生一个授权目标对象,避免了出现对多次刷新同一第一网络授权请求产生多个授权目标对象的情况,不仅提高了生成授权目标对象的效率,而且提高了生成授权目标对象的准确性。
如图6所示,本发明实施例的软件定义网路sdn安全通信的方法中,在用户端的用户请求为具有终端应用的用户终端的多个第一网络授权请求时,所述步骤12包括:
步骤125,分配每个第一网络授权请求对应的优先级。
这里的每个第一网络授权请求是指同一用户的不同请求。步骤1310具体根据每个第一网络授权请求中的应用请求的请求类型,分配每个第一网络授权请求对应的优先级。
步骤126,按照该优先级发送该第一网络授权请求至该云服务器。
步骤127,按照该优先级接收由该云服务器针对该第一网络授权请求进行安全检测返回的检测结果。
本发明实施例中,通过对多个第一网络授权请求,分配优先级,按照优先级顺序,避免了冲突,不仅能够完成对多个第一网络授权请求的处理,而且按照优先级也可以有效地区别对待每个第一网络授权请求,提高了处理的效率。
本发明实施例的软件定义网络sdn安全通信的方法中,在步骤13之前,所述的软件定义网络sdn安全通信的方法还包括:通过预定接口转换该检测结果的数据格式与该第一sdn控制器的数据格式相匹配。这样第一sdn控制器就可以利用预定接口,将云服务器的数据进行准确解读,并进行相应处理。
所述预定接口为api(applicationprogramminginterface,应用程序编程接口)接口,该预定接口包括但不限于这三部分功能将云服务层下发的数据格式转换为与控制层的格式相同:1.网络行为的管理,主要负责第一sdn控制器上云服务器产生的网络行为,将其转为流表项的形式。依据用户请求的许可或拒绝,发出是否进行数据转发的指令,以此保证云用户的接入安全性。另外还可以统计云服务器的物理地址相关信息,将用户请求的服务名称翻译成对应的物理相关地址,完成网络中以服务名称为依赖的资源发现;2.路由的选择,保障用户访问请求通过云服务器,根据全网的拓扑信息和链路损耗,为用户选择最优路径;3.流表的下发,保证第一sdn控制器产生的流表下发到openflow交换机中,实现数据流的调配等等。
api接口是云服务层和控制器之间的数据转换接口,主要负责云服务层和控制器的交互。api接口可以为云服务器到控制器的接口,其他部分功能策略可以预先存放在第一sdn控制器中,在需要时,第一sdn控制器下发到openflow交换机。
本发明实施例中,api接口的数据格式,可以实现云服务器与第一sdn 控制器的数据交互,api接口可以控制云用户的访问路由,达到提供接入云服务器的服务。
本发明实施例的软件定义网络sdn安全通信的方法中,在步骤11之前,该软件定义网络sdn安全通信还包括:
步骤16,建立该第一sdn控制器与至少一个第二sdn控制器连接,其中,该至少一个第二sdn控制器与该第sdn控制器处于不同域。
步骤17,获取来自至少一个该第二sdn控制器所在域的用户端的用户请求。
本发明实施例中,通过先将第一sdn控制器与至少一个第二sdn控制器建立连接,然后获取至少一个该第二sdn控制器所在域的用户端的用户请求,实现多域或跨域的用户端的令牌授权,这样可以对不同域内的用户端进行令牌授权及安全检测。
第二实施例
如图7所示,本发明实施例的令牌授权的整体流程如下。
步骤701,用户终端发送第一用户授权请求,第一sdn控制器接收第一用户授权请求并加入具有优先级的应用申请列队。
步骤702,第一sdn控制器对接收到的用户终端的第一用户授权请求进行验证。
步骤703,判断第一网络授权请求的路径是否终结地址,返回第一网络授权请求路径允许访问的地址(该地址包括但不限于ip地址)。判断该ip地址是否合法,如果ip地址为空等的地址,判断第一网络授权请求的路径是允许访问的ip地址,则执行步骤704;如果ip地址不为空等的地址,判断第一网络授权请求的路径不是允许访问的ip地址,则执行步骤705。上述具体判断第一网络授权请求的路径是否终结的方法是对发送的第一网络授权请求中如url(uniformresourelocator,统一资源定位器)、rpc(remoteprocedurecallprotocol远程过程调用协议)地址等等访问方式进行判断得到,并携带在返回的授权目标对象的消息中。
步骤704,第一sdn控制器释放令牌授权并发消息给终端用户,令牌授权失败。
步骤705,第一sdn控制器创建令牌授权,创建并分配一个与第一网络授权请求的终端用户唯一对应的令牌码。
步骤706,第一sdn控制器申请注册鉴权第一网络授权请求。
步骤707,第一sdn控制器验证该第一网络授权请求中的用户名、用户名对应的密码及域名,如果第一网络授权请求中的用户名、密码及域名不完整或不对时,则执行步骤704,如果第一网络授权请求中的用户名、密码及域名完整,则执行步骤708;
步骤708,判断密码是否正确,如果所述密码正确,则执行步骤409;
步骤709,判断令牌授权类型是否为密码授权方式,如果不是密码授权方式,则执行步骤713;
步骤710,如果是密码授权方式,取出第一网络授权请求中的用户名及密码,并把用户名、密码及令牌码生成密码授权对象。
步骤711,在第一网络授权请求中取出域名。
步骤712,利用密码授权对象及域名生成授权目标对象,该授权目标对象是由验证所需用户名、密码和域名之后由授权者提供的。
步骤713,判断令牌授权类型是否为刷新令牌授权方式,如是,则执行步骤714。其中,刷新令牌是避免请求者在预设时间段内(服务器允许的客户端和服务端的时间差)内发送同样的请求两次或以上。
步骤714,获取与第一网络授权请求相同的刷新令牌授权方式的第二网络授权请求。
步骤715,利用第二网络授权请求的用户名、密码及域名生成授权目标对象。
步骤716,第一sdn控制器返回携带有授权目标对象的响应。
本发明实施例中,利用令牌授权的方式,对接入的终端用户的第一网络授权请求进行认证和令牌授权,在第一sdn控制器对第一网络授权请求的身份进行验证,后续可以利用授权目标对象向第一sdn控制器请求访问令牌。
第三实施例
如图8所示,本发明实施例的软件定义网络sdn安全通信的方法,应用于云服务器,包括:
步骤81,接收来自第一sdn控制器转发的用户请求,其中,所述用户请求由用户端向所述第一sdn控制器发送的;
其中,该用户端包括云用户及终端用户,可以实现多个终端的数据安全检测。
步骤82,针对所述用户请求进行安全检测,产生检测结果;
步骤83,将所述检测结果发送至所述第一sdn控制器,由所述第一sdn控制器对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端。
本发明实施例中,通过云服务器对第一sdn控制器提供接入安全功能,以服务的形式为用户端提供安全保障,形成专门应对接入安全问题进行服务,提高了第一sdn控制器云服务的安全性。
本发明实施例的软件定义网络sdn安全通信的方法中,所述步骤81包括:接收来自第一sdn控制器转发的由云用户发送的用户接入请求。
本发明实施例中,云服务器接收第一sdn控制器转发的用户接入请求,并对该用户接入请求进行安全检测,提高了用户接入请求接入第一sdn控制器的安全性。
本发明实施例的软件定义网络sdn安全通信的方法中,所述步骤82包括:针对所述用户接入请求,检测所述用户接入请求的安全并产生一拒绝访问所述第一sdn控制器或接受访问所述第一sdn控制器。
本发明实施例中,云服务器对用户接入请求的安全检测之后,反馈该用户接入请求是否可以访问第一sdn控制器,完成对用户接入请求的安全检测处理的反馈。
本发明实施例的软件定义网络sdn安全通信的方法中,所述步骤81包括:接收来自第一sdn控制器转发的由具有终端应用的用户终端发送的至少一个第一网络授权请求,其中,所述第一网络授权请求包括:所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。
本发明实施例中,由于云服务器存储与网络授权请求相关的授权目标对象,利用云服务器接收并判断第一网络授权请求,可以减轻第一sdn控制器的负荷。
本发明实施例的软件定义网络sdn安全通信的方法中,所述步骤82包括:检测所述第一sdn控制器是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求,产生一检测所述第一sdn控制器存在所述第二网络授权请求的检测结果或所述第一sdn控制器不存在所述第二网络授权请求的检测结果。
本发明实施例中,如果第一网络授权请求不是首次发送的网络授权请求,那么云服务器就会存储有与第一网络授权请求相同的第二网络授权请求,第一sdn控制器就可以直接利用存储过的第二网络授权请求的令牌码,对第一网络授权请求进行令牌授权,不需要重新生成新的令牌码,从而减少了第一sdn控制器的令牌授权的流程,减轻了第一sdn控制器的负荷。
本发明实施例的软件定义网络sdn安全通信的方法还包括:
步骤84,接收并存储所述第一sdn控制器发送的授权目标对象,其中,所述授权目标对象包括:所述第一网络授权请求及由所述第一sdn控制器产生的第一令牌码及第二令牌码中的任一令牌码。
本发明实施例中,云服务器存储有与第一网络授权请求相关的授权目标对象,有利于后续对刷新或重新发送的第一网络授权请求进行直接的认证判断,减轻了第一sdn控制器的负荷,也提高了数据交互的安全性。
本发明实施例的软件定义网络sdn安全通信的方法还包括:
步骤85,检测所述第一sdn控制器的网络攻击信息,禁止打开并删除所述网络攻击信息,其中,所述网络攻击信息携带有窃取信息及转发网络的行为信息。
上述行为信息为多次转发信息或要求复制网络内容的信息。可以实现对第一sdn控制器的网络攻击信息的屏蔽。
本发明实施例中,通过云服务器以网络攻击信息的服务的形式为第一sdn控制器提供安全保障,多个云服务器可以集群放在一起,形成专门应对接入安全问题的系统;云服务器还具有很好的扩展性,也能弥补传统网络在防御能力差、响应速度慢、系统规模小等等方面存在的不足,满足各种安全需要。
第四实施例
如图9所示,本发明实施例的软件定义网络sdn安全通信的装置,应用 于第一sdn控制器,所述软件定义网络sdn安全通信的装置包括:
第一获取模块91,用于获取来自用户端的用户请求;
收发模块92,用于发送所述用户请求至云服务器,并接收由所述云服务器针对所述用户请求进行安全检测返回的检测结果;
第一处理模块93,用于对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端。
本发明实施例中,第一sdn控制器与云服务器连接,通过云服务器对用户请求进行安全检测,可以提高第一sdn控制器的云安全性;由于第一sdn网络中的应用服务层及数据层分别与第一sdn控制器进行数据交互,因此与应用服务层及数据层交互数据,经云服务器安全检测第一sdn控制器,避免出现了第一sdn控制器与存储业务的安全隐患的问题;还可以利用云服务器协助第一sdn控制器处理用户请求,从而减轻sdn控制器监控数据的负担。
需要说明的是,本发明提供的装置是应用上述软件定义网络sdn安全通信方法的装置,则上述软件定义网络sdn安全通信方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
本发明又一实施例的软件定义网络sdn安全通信的装置中,所述用户端的用户请求包括:云用户的用户接入请求和/或具有终端应用的用户终端的至少一个第一网络授权请求,其中,所述至少一个第一网络授权请求包括:所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。
本发明又一实施例的软件定义网络sdn安全通信的装置中,在用户端的用户请求为云用户的用户接入请求时,所述收发模块92包括:
检测单元,用于检测所述云用户的用户接入请求为首次发送的用户接入请求时,转发所述用户接入请求至所述云服务器;
接收单元,用于接收由所述云服务器针对所述用户接入请求进行安全检测返回的检测结果,其中,所述检测结果包括:由所述云服务器检测所述用户接入请求的安全并产生一拒绝访问所述第一sdn控制器的检测结果或接受访问所述第一sdn控制器的检测结果。
本发明又一实施例的软件定义网络sdn安全通信的装置中,所述第一处理模块93,包括:
产生单元,用于对所述检测结果进行处理,产生一流表项记录;
第一发送单元,用于发送所述检测结果及所述流表项记录至所述云用户,其中,所述流表项记录包括:与所述用户接入请求对应的状态字段。
本发明又一实施例的软件定义网络sdn安全通信的装置还包括:
检测模块,用于检测存在与所述云用户的用户接入请求对应的流表项记录,确定所述用户接入请求不为首次发送的用户接入请求;
反馈模块,用于针对所述云用户的用户接入请求返回给所述云用户的处理结果,其中,所述处理结果包括:通过所述流表项记录所述云用户的用户接入请求已经由所述云服务器检测安全并产生一接受访问所述第一sdn控制器的检测结果。
本发明又一实施例的软件定义网络sdn安全通信的装置中,在用户端的用户请求为具有终端应用的用户终端的一个第一网络授权请求时,所述收发模块92包括:
发送子模块,用于发送所述第一网络授权请求至所述云服务器;
接收子模块,用于接收由所述云服务器针对所述第一网络授权请求进行安全检测返回的检测结果,其中,所述检测结果包括:检测所述第一sdn控制器是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求。
本发明又一实施例的软件定义网络sdn安全通信的装置中,所述第一处理模块93包括:
生成单元,用于在所述检测结果为所述第一sdn控制器不存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求时,根据所述第一网络授权请求,生成与所述第一网络授权请求唯一对应的第一令牌码;
第一处理单元,用于验证所述第一网络授权请求中的所述用户名、所述密码及所述域名,并在验证通过时,生成携带有所述第一网络授权请求及所述第一令牌码的授权目标对象并发送所述授权目标对象至所述用户终端。
本发明又一实施例的软件定义网络sdn安全通信的装置中,所述第一处理模块93包括:第二处理单元,用于在所述检测结果为所述第一sdn控制器存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请 求时,获取所述第二网络授权请求唯一对应的第二令牌码,生成携带有所述第一网络授权请求及所述第二令牌码的授权目标对象并发送所述授权目标对象至所述用户终端。
本发明又一实施例的软件定义网络sdn安全通信的装置中,在用户端的用户请求为具有终端应用的用户终端的多个第一网络授权请求时,所述收发模块92包括:
分配单元,用于分配每个第一网络授权请求对应的优先级;
第二发送单元,用于按照所述优先级发送所述第一网络授权请求至所述云服务器;
收发单元,用于按照所述优先级接收由所述云服务器针对所述第一网络授权请求进行安全检测返回的检测结果。
本发明又一实施例的软件定义网络sdn安全通信的装置还包括:
转换模块,用于通过预定接口转换所述检测结果的数据格式与所述第一sdn控制器的数据格式相匹配。
本发明又一实施例的软件定义网络sdn安全通信的装置还包括:
建立模块,用于建立所述第一sdn控制器与至少一个第二sdn控制器连接,其中,所述至少一个第二sdn控制器与所述第一sdn控制器处于不同域;
获取模块,用于获取来自至少一个所述第二sdn控制器所在域的用户端的用户请求。
本发明实施例中,建立不同域的终端用户的连接,可以实现跨域情况下的令牌授权。如图10所示具体跨域的结构,比如,终端用户的应用app2为被授权方,终端用户的应用app3为资源方。如果终端用户的应用app2要访问终端用户的应用app3的资源,就要从第一sdn控制器1001令牌token获取访问令牌。一种方式是终端用户的应用app2直接获得终端用户的应用app3得到授权目标对象,使用授权目标对象从令牌token得到访问令牌;另一种方式是终端用户的应用app3把终端用户的应用app2的网络授权请求转向到令牌token,通过第二sdn控制器1002的令牌token对终端用户的应用app3认证后,终端用户的应用app3给终端用户的应用app2发放授权目标对象,终端用户的应用app2使用授权目标对象从令牌token获得访问令牌码。
如图11所示,本发明实施例的第一sdn控制器与数据转发层的数据包的处理过程的实际应用的流程如下。
步骤31,数据转发层的包头信息提取模块提取数据帧包头信息数据包中的包头关键信息,并对包头关键信息进行处理和存储;
步骤32,数据转发层将包头关键信息与状态表21进行比较和匹配,如果状态表21中没有关于该项的记录,则添加相关记录,并将其状态置为默认default;
步骤33,将匹配结果信息与该状态信息一并发送,与变换流表22进行比较和匹配。若变换流表22中没有相应记录,数据转发层发送收入封包数packetin消息到第一sdn控制器23,然后第一sdn控制器23匹配的连接状态表21下发流组flowmod到数据转发层;
步骤34,按照第一sdn控制器23指令更新变换流表22同时执行相应数据转发操作;
步骤35,将变换流表22中下一个状态的相关信息写回到状态表21;
步骤36,数据转发层向第一sdn控制器sdn23发送数据状态data_state_in消息对第一sdn控制器23中的状态表21进行更新。
第五实施例
如图12所示,本发明实施例的软件定义网络sdn安全通信的装置,应用于云服务器,其中,包括:
接收模块1201,用于接收来自第一sdn控制器转发的用户请求,其中,所述用户请求由用户端向所述第一sdn控制器发送的;
产生模块1202,用于针对所述用户请求进行安全检测,产生检测结果;
第二处理模块1203,用于将所述检测结果发送至所述第一sdn控制器,由所述第一sdn控制器对所述检测结果进行处理,产生处理结果并发送所述检测结果和/或所述处理结果至所述用户端。
本发明实施例中,通过云服务器对第一sdn控制器提供接入安全功能,以服务的形式为用户端提供安全保障,形成专门应对接入安全问题进行服务,提高了第一sdn控制器云服务的安全性。
需要说明的是,本发明提供的装置是应用上述软件定义网络sdn安全通 信的方法的装置,则上述软件定义网络sdn安全通信的方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
本发明又一实施例的软件定义网络sdn安全通信的装置中,所述接收模块1201包括:接收来自第一sdn控制器转发的由云用户发送的用户接入请求。
本发明又一实施例的软件定义网络sdn安全通信的装置中,所述产生模块1202包括:
针对所述用户接入请求,检测所述用户接入请求的安全并产生一拒绝访问所述第一sdn控制器或接受访问所述第一sdn控制器。
本发明又一实施例的软件定义网络sdn安全通信的装置中,所述接收模块1201包括:接收来自第一sdn控制器转发的由具有终端应用的用户终端发送的至少一个第一网络授权请求,其中,所述第一网络授权请求包括:所述用户终端的用户名、与所述用户名对应的密码及所述用户终端所在域名。
本发明又一实施例的软件定义网络sdn安全通信的装置中,所述产生模块1202包括:检测所述第一sdn控制器是否存在与所述第一网络授权请求的用户名、密码及域名均相同的第二网络授权请求,产生一检测所述第一sdn控制器存在所述第二网络授权请求的检测结果或所述第一sdn控制器不存在所述第二网络授权请求的检测结果。
本发明又一实施例的软件定义网络sdn安全通信的装置还包括:
接收存储模块,用于接收并存储所述第一sdn控制器发送的授权目标对象,其中,所述授权目标对象包括:所述第一网络授权请求及由所述第一sdn控制器产生的第一令牌码及第二令牌码中的任一令牌码。
本发明又一实施例的软件定义网络sdn安全通信的装置还包括:
检测控制模块,用于检测所述第一sdn控制器的网络攻击信息,禁止打开并删除所述网络攻击信息,其中,所述网络攻击信息携带有窃取信息及转发网络的行为信息。
如图13所示,本发明实施例的云服务器的实际应用的流程如下。
首先,需要说明的是:云服务器需要与云服务提供商进行配合,该云服务提供商具有大数据计算能力,通过集群应用、网格技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作, 共同提供数据存储、处理和业务访问功能的一个系统。其次,需要说明的是:安全服务云(相当于上述的云服务器),把云计算的接入云服务器放在云服务提供商之外,由第三方提供,可以实现接入的外包,专门为云用户提供接入安全的服务,以服务的形式为用户提供安全保障。此处是以一个云服务提供商和一个安全服务云进行应用说明,实际应用也可以为部署多个云服务提供商和安全服务云,在此不再举例说明。
步骤1101:当云用户(包括个人用户451或企业用户452)的用户接入请求要求进行安全服务时,openflow交换机43根据用户接入请求的服务类型(该服务类型至少包括:数据完整性检测、统一用户管理、网络攻击探测)将用户接入请求分配给安全服务云41执行。
步骤1102:云服务供应商44实现对用户接入请求的用户数据的存储和处理并将存储处理结果提供给第一sdn控制器42。
步骤1103:安全服务云41处理用户接入请求,决定用户接入请求的用户的数据的转发、阻断或用户接入访问或者拒绝访问,将决定结果通过api接口421通知第一sdn控制器42。
步骤1104:第一sdn控制器42生成相应的流表项,下发给openflow交换机43(该openflow交换机43为数据转发层的一个应用实体,在此仅仅为举例说明),openflow交换机43执行操作。当后面有相同的用户接入请求时,openflow交换机43可根据服务历史记录的流表项执行操作,用户接入请求无需再次通过安全服务云41。对于云用户定制的服务,可以直接在第一sdn控制器上配置对应流表项完成指定功能,第一sdn控制器42把openflow交换机43和云用户、终端用户46的响应发送给安全服务云41。
如图14和图15所示,本发明实施例的第一sdn控制器及云服务器的实际应用如下。
需要说明的是:在具体的实施过程中,sdn网络包括五层,其中五层分别为:应用服务层51(相当于上述的终端用户)、界面监管层52(对应的应用实体可以为终端显示器)、控制层53(相当于上述的第一sdn控制器)、数据转发层54(对应的应用实体可以为交换机)、云服务层55(相当于上述的云服务器)。
应用服务层51向控制层53发送网络授权请求,控制层53根据应用服务层51的各种请求类型,分析控制层53状态,制定网络授权请求优先级,验证接收到的来自应用携带的数字签名,对网络授权请求进行验证,向应用服务层51发送访问授权令牌。
界面监管层52用于显示网络中的令牌授权信息,令牌授权过程,冲突分析和决策结果,网络拓扑、告警、链路等信息。
控制层53接收应用服务层51的各种用户请求,根据应用类型设定相应的优先级,通过令牌授权模块(相当于上述的第一处理单元和/或第二处理单元)向给用户请求发放授权码、或发放停止授权码,并通过优先级分析算法给各用户请求设定优先级;通过flowmode消息和packetin消息与数据转发层54进行通讯。控制层53发出第一sdn控制器-交换机信息(数据转发层54数据也必须通过控制层53实现),用于控制openflow交换机的操作,包括通讯握手、交换机流表配置、修改交换机状态、数据队列的设置、交换机状态的读取、发包方法,实现安全保障。
以下内容是各个层的具体内容:
具体的,上述应用服务层51的应用根据来源和功能可以分为四种类型:命令行应用511、网管应用512、安全应用513和其它应用514,其中,
命令行应用511是由控制器管理人员接入的应用,通过控制器预留的命令行(非开源)实现对控制器的配置、查询等操作,实现一些验证和调试的功能。
网管应用512是用来实现网络管理员对控制器进行网络各种配置,并查看网络状态,如告警、拓扑等状态。
安全应用513是指网络中接入的安全服务云第三方机构,为用户提供安全方面的服务和保障。
其它应用514指各种预留的处理应用,比如控制器软件升级、开启日志、内存泄露检测等等。
具体的,上述界面监管层52包括两个模块:用户界面521、界面处理模块522,其中,
用户界面521用于从界面处理模块522获取数据,然后把数据转为图形界面,为网管人员提供配置的窗口,并下发rest(representationalstatetransfer, 表征状态转移)或http(hypertexttransferprotocolc,超文本传输协议)协议发送配置至界面处理模块522。
界面处理模块522,接收反馈模块531信息,以rest、http协议的方式将响应结果发送给用户界面521,并把用户界面521指令缓存后,发送给反馈模块531。
具体的,控制层53包括反馈模块531、令牌授权模块532,认证授权模块533、优先级分析模块534、流表管理模块535、命令下发及连接状态表同步模块536、存储模块537及aip接口模块538(相当于上述的转换模块),其中,
反馈模块531(相当于反馈模块),实现把认证授权信息、优先级分析与决策信息、反馈给网管人员。
令牌授权模块532(相当于上述的第一处理单元和/或第二处理单元),通过应用服务层51token服务发来的网络授权请求向授权服务器请求访问令牌,并把访问令牌发送给认证授权模块3-3。
认证授权模块533(相当于收发模块),接收应用服务层51的授权请求和令牌授权模块的令牌码,设置各应用访问优先级别,并给各要访问应用发放授权和令牌码。
优先级分析模块534(相当于收发模块),分析各个用户请求的重要性,并判断是否与流表管理模块535中已有的流规则存在冲突,若存在冲突,则根据分析算法缓解冲突,对用户请求的流规则接收或拒绝操作,对流表管理模块535进行更新。优先级分析模块534还定义sdn控制器的连接状态表,负责和数据转发模块的sdn交换机中的连接状态表保持同步,同时当收到openflow交换机发送packetin消息时,该模块将会将包头信息和状态信息与连接状态表或者防火墙规则集进行对比,分配相应状态,同时下发变换流表到openflow交换机中。
流表管理模块535(相当于第一处理模块),用于保存网络中正在运行的所有流表信息。流表管理模块535一方面是用户请求的流规则,为优先级分析模块534提供服务;另一方面是为命令下发及连接状态表同步模块提供流规则,以便向交换机进行下发openflow消息。
命令下发及连接状态表同步模块536(相当于第一处理模块),用于在第 一sdn控制器端建立连接状态表,与openflow交换机中的状态表保持同步,同时当收到openflow交换机发送packetin消息时,该模块将会将openflow交换机中的包头信息和状态信息与连接状态表或者防火墙规则集进行对比,分配相应状态,同时下发变换流表到openflow交换机中。
存储模块537(相当于第一处理模块)用来实现对各模块数据的存储,实现用户认证数据的持久化,实现拓扑资源的存储等等,保证断电后,数据的恢复。
aip模块538(相当于aip接口)用来一方面实现对控制器的接口,另一方面实现对云服务模块的接口,负责云服务模块与sdn控制器的交互,保证云服务器的网络管理策略下发到openflow交换机上,由openflow交换机执行实施。
具体的,数据转发层54包括交换机信息提取模块541、状态表模块542、流表模块543、数据检测模块544、数据队列模块545,其中,
数据转发层54使用tls(transportlayersecurity,安全传输层协议)来认证和加密网络设备端与第一sdn控制器之间的流量,使用tls帮助验证控制器和网络设备或第一sdn控制器,防止窃听和伪造南向通信。通过openflow交换机向第一sdn控制器发送packetin消息,用于第一sdn控制器的网络行为的刷新和交换机状态变更,在第一sdn控制器和openflow交换机中部署sdn防火墙,在openflow协议中添加新的消息和添加相关状态字段实现了sdn防火墙的部署。
交换机信息提取模块541,用于提取数据帧包头部中关键信息,所述的关键信息包括数据包的源地址、源端口、目的地址、目的端口、序列号、确认号以及tcp(transmissioncontrolprotocol,传输控制协议)标志位;
状态表模块542,用于在所述的数据转发层中建立连接状态表,并同时将连接状态表的更新同步到所述的第一sdn控制器中,该模块的连接状态表的更新将由变换流表通过指令控制,如set_state指令;
流表模块543,用于在由第一sdn控制器下发指令在所述的数据转发层中建立变换流表,负责状态转换过程以及数据包转发操作。
数据队列模块544,用于设置发送消息的数据队列、并存储队列信息,如 hello报文、响应请求、应答请求等。
数据检测模块545,用于负责判别来到所述的数据转发层数据包属于连接设置计数器,检验连接状态的合法性。
连接状态表通过分别向sdn控制器和数据转发层54发送消息,实现这两个模块的同步,当第一sdn控制器或者数据转发层54交换机状态表发生更新时,分别向另一方发送消息,也命令另一方发生更新,并返回更新状态。
本发明实施例中,通过对openflow协议的扩展,增加状态字段,使流表依据状态执行,实现对连接状态表的更新,实现在数据转发层的防火墙的部署。也可以实现针对第一sdn控制器的安全认证,北向为用户提供接入安全方面的服务,通过令牌授权的方式,为用户提供安全保障,并支持集群控制器和大量网络设备,支持对大量网络设备应用的云安全服务,并实时将网络状态反馈给用户。第一sdn控制器产生相应的流表项,下发给openflow交换机执行,实现数据流的调配,同时将openflow交换机的反馈信息发送给第一sdn控制器或网络管理人员决策。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!