利用第三组播组来向室外接入点传递消息,以及利用第四组播组来向所有交换机和接入点传递消息。因此,根据期望的接收方(即,所有网络基础设施设备或网络基础设施设备的子集),该控制器可以选择适当的组播组来接收该消息。此功能可以与特定功能分组结合使用,以例如向特定组(例如,室内接入点)传递特定功能消息(例如,安全更新)。
[0022]在框230中,该控制器通过多个安全信道以及通过组播消息向多个网络基础设施设备提供安全更新。特别地,该组播消息的目的地地址被设置为之前已分配给网络基础设施设备的上述组播组地址。该控制器可以响应于检测到安全威胁或需要安全更新的另一事件,提供此安全更新。例如,该控制器可能已经检测到或以其它方式已被告知对与WWW.badwebsite.com连接的任何设备的网络的威胁。因此,该控制器可能期望提供安全更新,该安全更新引起该控制器域中的网络基础设施设备(例如,交换机和/或接入点)在尝试访问该网站时重定向业务。
[0023]尽管上面的示例描绘安全更新,但是应理解,在一些实现方式中该控制器可以通过上述组播技术提供非安全更新。例如,在网络高利用率期间,该控制器可能期望减少被允许的联网视频游戏的速率。因此,该控制器可以生成并发送组播消息,该组播消息表示特定一组目的地地址或套接字的最大速率。结果,可以将该网络上的负载控制或平衡到可接受的水平。
[0024]图3描绘根据实现方式的另一系统的示例。类似于图1的系统描述,应容易理解,图3描绘的系统300表示概括说明,且可以增加其它组件或可以移除、修改或重新设置已有组件而不脱离本公开的范围。
[0025]系统300包括主控制器310、安全控制器320以及多个网络基础设施设备330 (例如,交换机和/或接入点)。根据该实现方式,主控制器310和/或安全控制器320可以呈硬件的形式、呈存储在机器可读介质上的机器可读指令的形式或二者结合的形式。此外,主控制器310和/或安全控制器320可以被配置为在SDN中和/或根据OpenFlow规范操作。再有,主控制器310和安全控制器320可以在一些实现方式中集成在一个设备中,或在其它实现方式中分离在两个独立的设备中。
[0026]主控制器310包括第一管理模块340,第一管理模块340除了其它事项外可以(i)建立与多个网络基础设施设备330中每个网络基础设施设备的安全信道350 ;(ii)通过多个安全信道350与多个网络基础设施设备330中每个网络基础设施设备交换建立信息;和/或(iii)指导安全控制器320和多个网络基础设施设备330建立与彼此的安全信道360以及关系。
[0027]安全控制器320包括第二管理模块370,第二管理模块370除了其它事项之外可以
(i)建立与每个网络基础设施设备330的安全信道360,(ii)通过所建立的安全信道360向每个网络基础设施设备330提供组播组地址,(iii)检测网络事件(例如,安全威胁、网络负载问题、网络拥塞等等),(iv)生成呈组播消息390形式的更新380,该组播消息390具有设置为该组播组地址的目的地地址,和/或(V)通过所建立的安全信道360向每个网络基础设施设备330提供组播消息390。
[0028]图4描绘根据实现方式的与图3的系统有关的示例过程流程图400。应容易理解,图4中描绘的过程表示概括说明,且可以增加其它过程或可以移除、修改或重新设置已有过程而不脱离本公开的范围和精神。此外,应理解,这些过程可以表示存储在机器可读存储介质上的指令,该指令在被执行时可以引起主控制器和/或安全控制器做出响应、执行动作、改变状态和/或做出决策。可选地或此外,这些过程可以表示由诸如模拟电路、数字信号处理设备电路、专用集成电路(ASIC)或与主控制器和/或安全控制器关联的其它设备之类的功能等效电路执行的功能和/或动作。此外,如关于图3提到的,这些指令和/或功能等效电路可以与主控制器或安全控制器的管理模块关联。再有,图4目的不在于限制本公开的实现方式,相反地该图说明功能信息,本领域技术人员能够利用该功能信息来设计/制造电路、生成软件、或使用硬件和软件的结合来执行所说明的过程。
[0029]过程400可以在框410处开始,此时主控制器对网络基础设施设备进行初始配置过程。作为此过程的一部分,主控制器可以建立与网络基础设施设备中每个网络基础设施设备的安全关系以及安全信道。也即,可以在主控制器与网络基础设施设备中每个网络基础设施设备之间建立一对一的安全通信链路。此外,作为此过程的一部分,可以在主控制器和网络基础设施设备中每个网络基础设施设备之间交换控制和/或管理信息及安全凭证。这些过程可以响应于主控制器和/或网络基础设施设备执行发现操作并且发现彼此。
[0030]在框420中,主控制器可以指导安全控制器和/或网络基础设施设备建立与彼此的安全关系。特别地,主控制器可以向安全控制器和/或网络基础设施设备提供关于该安全控制器和/或网络基础设施设备的信息,并且命令安全控制器和/或网络基础设施设备之一或二者建立安全信道,使得能够根据上述组播技术有效地分配更新。作为此过程的一部分,主控制器还可以指导网络基础设施设备建立与除安全控制器之外的其它控制器的关系O
[0031]在框430中,安全控制器按照主控制器所指导的,建立与多个网络基础设施设备中每个网络基础设施设备的安全信道,其中该安全信道可以抵抗偷听和/或篡改且可以利用加密/解密技术。在完成时,每个网络基础设施设备可以具有与主控制器建立的安全信道,以及与安全控制器建立的另一安全信道。
[0032]在框440中,安全控制器通过与多个网络基础设施设备建立的多个安全信道,向多个网络基础设施设备中每个网络基础设施设备提供组播组地址。如上所述,该组播组地址可以是计算机网络中可用于处理旨在针对指定网络服务组播的数据报或帧的一组主机所用的逻辑标识符。此外,该组播地址可以允许该控制器在一次传输中向受关注的网络基础设施设备组发送IP数据报或帧。该组播组地址可以例如是互联网协议版本4(IPv4)组播地址(例如,10.110.135.51)和/或互联网协议版本6(IPv6)组播地址(例如,2002:12d5: b8d7:: 10d4: b8d7)。此外,如上所述,该安全控制器可以向多个网络基础设施设备提供多个组播地址。在各实现方式中,这些组播地址可以是特定功能和/或特定组的。例如,安全控制器可以将第一组播地址用于全局安全更新,将第二组播地址用于全局非安全更新,将第三组播地址用于网络基础设施设备的子集(例如,室外接入点)的安全更新,和/或将第四组播地址用于网络基础设施设备的该子集的非安全更新。
[0033]在框450中,安全控制器向每个网络基础设施设备提供加密/解密密钥,以允许该网络基础设施设备加密/解密与一个或多个组播组地址关联的消息。
[0034]在框460中,安全控制器检测或以其它方式知道需要更新多个网络基础设施设备的网络事件。网络事件可以例如是来自网站(例如,WWW.badwebsite.com)的威胁,其中该安全控制器需要通知网络基础设施设备重定向被送往该网站的任何业务。
[0035]此后,在框470中,安全控制器通过多个安全信道,向多个网络基础设施设备发送具有与检测到的网络事件关联的更新的组播消息。该组播消息的目的地地址被设置为之前给网络基础设施设备分配的上述组播组地址之一。
[0036]在框480中,安全控制器可以接收来自每个网络基础设施设备的确认消息,该确认消息表示接收到该组播消息和/或由该网络基础设施设备进行了适当的动作。
[0037]尽管图4描述安全控制器与主控制器通信,但是应理解,其它实现方式可以利用其它类型的控制器与该安全控制器结合或替代该安全控制器。这些控制器可以类似地建立与每个网络基础设施设备的安全信道,并通过上述组播技术向网络基础设施设备传递更新或其它信息。例如,另一控制器可以包括在该系统中,以监视网络使用/拥塞,且该控制器可以向组播组中的网络基础设施设备传递组播消息,以便响应于检测到的事件(例如,网络拥塞)而修改基础设施设备行为。
[0038]图5描绘根据实现方式的示例过程流程图500。特别地,图5更详细地描述根据实现方式可以在控制器处发生的用于触发上述组播更新的过程。应容易理解,图5中描绘的过程表示概括说明,且可以增加其它过程或可以移除、修改或重新设置已有过程而不脱离本公开的范围和精神。此外,应理解,过程可以表示存储在机器可读存储介质和/或功能等效电路上的指令。
[0039]该过程可以在框510处开始,此时控制器(例如,安全控制器和/或主控制器)处于空闲状态(例如,被初始化之后)。在框520处,控制器检查是否已发生数据库更新。数据库可以例如是包括与网络基础设施设备相关的信息(例如,安全参数、允许/不允许的DNS条目等等)的集成数据库或可由控制器访问的远程数据