库。如果还未发生数据库更新,则控制器可以返回其空闲状态510。但是,如果已发生数据库更新,则控制器可以在框530处分析数据库的变化。此分析可以包括:控制器确定变化的类型、变化的原因、对网络和/或基础设施设备的影响和/或与变化关联的威胁。然后,在框540处,控制器确定更新是否对网络基础设施设备(例如,接入点和交换机)来说是必要的。如果控制器确定更新不是必要的,则控制器可以返回其空闲状态510。但是,如果控制器确定更新是必要的,则控制器可以转移至框550,在框550这里控制器确定全局更新或单个设备更新是否是必要的。如果控制器确定全局更新是必要的,则在框560处控制器可以根据上述组播技术,通过组播消息向已加入组播组的多个网络基础设施设备发送全局更新。另一方面,如果控制器确定单个设备更新更合适,则控制器可以通过与该单个设备的一对一通信链路发送该更新。当然,如果控制器确定需要通知多个设备且全局更新不是不要的,则可以以一对一的方式向多个设备发送多个这样的更新。此外,尽管未示出,但是应理解,如上面详细描述的,控制器还可以通过利用被送往网络基础设施设备的子集(例如,室内接入点、室外接入点等等)的组播组,选择以非全局的方式向该子集传递更新。
[0040]图6描绘根据实现方式的示例控制器600。应容易理解,该图表示概括说明,且可以增加其它组件,或可以移除、修改或重新设置已有组件而不脱离本公开的范围。控制器600包括处理设备610、机器可读介质620以及通信接口 630,下面更详细地描述其中的每个。
[0041]处理设备610用于获取并执行存储在机器可读介质620中的指令。处理设备610可以是例如处理器、中央处理单元(CPU)、微控制器等等。机器可读介质620可以是非暂时性机器可读介质,其用于存储机器可读指令、代码、数据和/或其它信息(例如,根据上述实施例的管理模块指令640)。机器可读介质620可以是以下中的一个或多个:非易失性存储器、易失性存储器和/或一个或多个存储设备。非易失性存储器的示例包括但不限于:电可擦除可编程只读存储器(EEPROM)以及只读存储器(ROM)。易失性存储器的示例包括但不限于:静态随机存取存储器(SRAM)以及动态随机存取存储器(DRAM)。存储设备的示例包括但不限于:硬盘驱动器、光盘驱动器、数字多功能光盘驱动器、光学器件以及闪存设备。在特定实现方式中,机器可读介质620可以与处理设备610集成,而在其它实现方式中,机器可读介质620可以与处理设备610分离。
[0042]通信接口 630用于发送及接收数据。这样的数据可以包括至少本公开整篇描述的数据类型。通信接口 630可以包括一个或多个组件,如发射机、接收机、收发机、天线、端口和/或PHY。应理解,通信接口 630可以包括多个接口,且每个可以用于不同目的(例如,用于与其它控制器交互、用于与交换机交互、用于与接入点交互等等)。
[0043]处理设备610可以被配置为执行存储在机器可读介质620上的代码,以使控制器能够进行本文讨论的操作。例如,处理器620可以执行管理模块指令640,以使控制器600 (i)建立与多个网络基础设施设备中每个网络基础设施设备的安全信道,其中安全信道至少将来自控制器的组播消息提供给多个网络基础设施设备中每个网络基础设施设备,且其中该多个网络基础设施设备与组播组关联;(ii)检测网络事件,且响应于该网络事件,生成组播消息,该组播消息具有被设置为与该组播组关联的组播组地址的目的地地址;以及(iii)通过该多个安全信道,向该多个网络基础设施设备提供该组播消息。在可选实现方式中,该控制器可以利用功能等效电路进行上述功能。例如,该控制器设备可以包括通信接口以及电路(例如,专用集成电路(ASIC))。
[0044]前面描述新的且之前未预见的方法,以例如利用组播组允许SDN中的控制器向网络基础设施设备(例如,交换机和接入点)分配更新,使得能够以及时且过程敏感的方式分配信息(例如,新的安全过滤器信息)。该方法可以减少控制器开销,以及及时给控制器域中的设备给予更新。已参照前面的示例实现方式示出及描述了本公开。但是,应理解,可以在不脱离下面的权利要求限定的本公开的精神和范围的情况下作出其它形式、细节以及实现方式。
【主权项】
1.一种用于向多个网络基础设施设备提供安全更新的方法,包括: 由控制器建立与多个网络基础设施设备中每个网络基础设施设备的安全信道; 由所述控制器通过所述多个安全信道,向所述多个网络基础设施设备中每个网络基础设施设备提供组播组地址;以及 由所述控制器通过所述多个安全信道以及通过组播消息,向所述多个网络基础设施设备提供安全更新,所述组播消息具有被设置为目的地地址的所述组播组地址。
2.根据权利要求1所述的方法,其中由所述控制器响应于所述控制器检测到安全威胁,提供所述安全更新。
3.根据权利要求1所述的方法,其中所述安全更新规定被允许的行为和被禁止的行为中至少一个。
4.根据权利要求1所述的方法,其中所述控制器是安全控制器,且其中所述方法进一步包括: 由主控制器建立与所述多个网络基础设施设备中每个网络基础设施设备的第二安全信道; 由所述主控制器通过所述多个第二安全信道,与所述多个网络基础设施设备中每个网络基础设施设备交换建立信息;以及 由所述主控制器指导所述安全控制器以及所述多个网络基础设施设备建立与彼此的安全关系。
5.根据权利要求1所述的方法,其中所述多个网络基础设施设备包括接入点和交换机中至少一个。
6.一种非暂时性机器可读介质,包括指令,所述指令在被执行时引起控制器: 建立与多个网络基础设施设备中每个网络基础设施设备的安全信道,其中所述多个安全信道至少将来自所述控制器的组播消息提供给多个网络基础设施设备中每个网络基础设施设备,且其中所述多个网络基础设施设备与组播组关联; 检测网络事件,并且响应于所述网络事件,生成组播消息,所述组播消息具有被设置为与所述组播组关联的组播组地址的目的地地址;以及 通过所述多个安全信道,向所述多个网络基础设施设备提供所述组播消息。
7.根据权利要求6所述的非暂时性机器可读介质,其中所述网络事件是安全事件,且其中所述组播消息包括安全更新。
8.根据权利要求6所述的非暂时性机器可读介质,其中所述网络事件是网络负载事件,且其中所述组播消息包括响应于所述网络负载事件的更新。
9.根据权利要求6所述的非暂时性机器可读介质,包括其它指令,所述其它指令在被执行时引起所述控制器通过所述多个安全信道向所述多个网络基础设施设备中每个网络基础设施设备提供组播组地址。
10.根据权利要求6所述的非暂时性机器可读介质,包括其它指令,所述其它指令在被执行时引起所述控制器通过所述多个安全信道向所述多个网络基础设施设备中每个网络基础设施设备提供多个组播组地址,其中每个组播组地址与关联于不同更新功能的组播组关联。
11.根据权利要求6所述的非暂时性机器可读介质,包括其它指令,所述其它指令在被执行时引起所述控制器通过所述多个安全信道向所述多个网络基础设施设备中每个网络基础设施设备提供解密密钥,其中所述解密密钥用于解密所述组播消息的至少一部分。
12.—种控制器,包括: 管理模块,用于: 建立与网络基础设施设备的安全信道; 通过所述安全信道向所述网络基础设施设备提供组播组地址; 检测网络安全事件;以及 通过组播消息生成要向所述网络基础设施设备提供的安全更新,所述组播消息具有被设置为所述组播组地址的目的地地址。
13.根据权利要求12所述的控制器,其中所述组播组地址与多个网络基础设施设备的一子集关联,或与多个网络基础设施设备的全部关联。
14.根据权利要求12所述的控制器,其中所述安全更新规定被允许的行为和被禁止的行为中至少一个。
15.根据权利要求12所述的系统,其中所述管理模块进一步用于: 通过所述安全信道向所述网络基础设施设备传递所述组播消息。
【专利摘要】一种示例控制器包括管理模块,该管理模块用于(i)建立与网络基础设施设备的安全信道;(ii)通过该安全信道向该网络基础设施设备提供组播组地址;(iii)检测网络事件;以及(iv)通过组播消息生成要向网络基础设施设备提供的更新,该组播消息具有被设置为该组播组地址的目的地地址。
【IPC分类】H04L12-16, H04L9-00
【公开号】CN104641594
【申请号】CN201280075908
【发明人】马克·W·菲德勒
【申请人】惠普发展公司,有限责任合伙企业
【公开日】2015年5月20日
【申请日】2012年9月26日
【公告号】EP2901618A1, US20150222651, WO2014051555A1