CN117999767B - 操作软件定义网络的方法和系统 - Google Patents
操作软件定义网络的方法和系统 Download PDFInfo
- Publication number
- CN117999767B CN117999767B CN202280064966.4A CN202280064966A CN117999767B CN 117999767 B CN117999767 B CN 117999767B CN 202280064966 A CN202280064966 A CN 202280064966A CN 117999767 B CN117999767 B CN 117999767B
- Authority
- CN
- China
- Prior art keywords
- security
- computer
- path
- security profile
- implemented method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/24—Multipath
- H04L45/247—Multipath using M:N active or standby paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
- H04L43/0864—Round trip delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
- H04L43/087—Jitter
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0888—Throughput
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种操作软件定义网络的计算机实现的方法,该方法包括:获得对一起形成通过数据平面的路径的多个数据平面部件的指定,所述路径适于承载与一种类别的应用和/或服务相关联的流量;基于指定,确定所述路径能够遵循多个安全配置文件中的哪一个或更多个安全配置文件;选择一个或更多个安全配置文件之一作为初始安全配置文件;经由执行初始安全配置文件的路径来路由与所述类别的应用和/或服务相关联的流量;随后获得网络性能状况已恶化的警报;并且响应于此:选择多个安全配置文件中资源密集度小于初始安全配置文件的不同安全配置文件作为替换安全配置文件;以及遵循替换安全配置文件来路由与所述类别的应用和/或服务相关联的流量。
Description
技术领域
本公开涉及软件定义网络(SDN:software defined network)。
更具体地,各方面涉及操作SDN的计算机实现方法、被配置为执行这种方法的数据处理系统、包含指令的计算机程序(在所述程序由计算机执行时,所述指令使计算机执行这样的方法)、存储有这种计算机程序的计算机可读数据载体以及承载这种计算机程序的数据载波信号。
背景技术
图1示出了示例SDN环境100。软件定义的联网是实现现代计算机网络的动态管理和控制的网络管理框架。SDN旨在通过将数据平面110中的网络分组的转发过程与控制平面120中的路由过程解除关联来逻辑地集中网络控制。控制平面120包括一个或更多个SDN控制器(SC)130,SC 130充当SDN网络的集中控制部件,进行所有路由决定。数据平面110由被称为数据平面部件(DPE:data plane element)140的物理或虚拟网络设备组成,诸如层2和层3交换机、防火墙、负载平衡器、代理等。SC 130通常为了建立数据结构(例如交换表)的目的而使用用于与DPE 140通信的开放流协议,以便配置跨越数据平面110的网络分组的路径。SDN控制器将其代表性的、基于状态传输(REST)的应用编程接口(API)暴露给上层(应用平面150),在应用平面150,网络应用和服务160可以使用这些API(北向接口)170来管理和监视底层网络基础设施(数据平面110)。(术语“应用”总体上表示用户与之直接交互的前台过程,而术语“服务”总体上表示用户与之间接交互的后台过程。)在正常操作期间,SC 130基于从应用或服务160获得的信息来进行路由决策,并为其网络流量构建路径。这通常根据默认路由策略来完成,通常使用最短路径算法,如开放最短路径优先(OSPF)。SC 130还为该网络流量设置静态安全配置文件,如在应用/服务的服务级别协议(SLA)180的安全要求中所规定的。然后,SC 130使用南向接口190上的开放流协议将相应的转发和加密规则推送到DPE 140。
在现有的SDN环境中,网络安全没有被构建到SDN体系结构中。因此,在流量开始流动之前,必须定义和配置保护所连接的网络资源所需的任何安全措施。有时,由于诸如对SDN或特定DPE 140的攻击的安全事件,需要升级安全措施,和/或隔离一个或更多个DPE140。相反,在其它情况下,可能希望降低安全措施的等级或修改通过数据平面110的路径,例如以改进诸如时延和/或吞吐量的网络性能测量。为了进行这样的改变,必须终止现有的网络流,并在应用了任何更新的安全措施的情况下建立新的路径。这中断了网络流量,导致使用SDN 100的应用和服务160的延迟和中断。网络拓扑越大且越复杂,延迟就越大。需要一种减少这种延迟和中断的方法。
发明内容
根据第一方面,提供一种操作软件定义网络的计算机实现方法,所述方法包括:
针对与一种类别的应用和/或服务相关联的流量,初始化通过数据平面的多个路径;
选择所述多个路径中的一个路径作为初始操作路径;
经由所述初始操作路径来路由与所述类别的应用和/或服务相关联的流量;
随后获得指示触发事件已经发生的数据;以及
响应于此:
选择所述多个路径中的不同路径作为替换操作路径;以及
经由替换操作路径来路由与应用和/或服务的类别相关联的流量。
该计算机实现的方法还可以包括:在初始化多个路径之后,周期性地刷新包括在多个路径中的每一个路径中的相应的一个或更多个数据平面部件的初始化参数,使得流量可以经由所述多个路径中随后被选择为替换操作路径的任一个路径立即路由。
初始化多个路径可以包括:
在控制平面中定义所述多个路径中的每一个路径;
配置与所述多个路径中的每一个路径相关联的元数据;以及
所述数据平面中激活所述多个路径中的每一个路径。
元数据可以包括以下中的一项或更多项:
针对包括在所述多个路径中的一个或更多个中的一个或更多个数据平面部件的配置设置和/或参数,
一个或更多个路由规则,以及
安全配置文件。
所述计算机实施的方法还可以包括:
针对所述多个路径中的每一个路径:
获得对一起形成该路径的相应多个数据平面部件的指定;以及
基于所述指定,确定该路径能够遵循多个安全配置文件中的哪一个或更多个安全配置文件;
其中,经由所述初始操作路径来路由流量可以按照从所述多个安全配置文件中选择的初始安全配置文件来执行;以及
该计算机实现的方法还可以包括:响应于获得指示触发事件已发生的数据,选择多个安全配置文件中的不同的安全配置文件作为替换安全配置文件;
其中,经由所述替换操作路径来路由流量可以遵循所述替换安全配置文件来执行。
初始安全配置文件的选择可以在初始操作路径的选择之前,并且选择初始操作路径可以包括选择多个路径中能够符合初始安全配置文件的路径;以及
替换安全配置文件的选择可以在替换操作路径的选择之前,并且选择替换操作路径可以包括选择多个路径中能够符合替换安全配置文件的路径。
指定可指定以下一项或更多项:安全等级;遵循标准;密钥大小;密码;密码模式和性能指标。
数据平面部件可以包括一个或更多个交换机和/或防火墙和/或负载平衡器和/或代理和/或网关。
每个安全配置文件可以指定用于保密性、完整性和认证中的每一个的密码原语。
所述计算机实施的方法还可以包括:
根据安全性、吞吐量和等待时间中的一项或更多项对多个密码原语进行排序;以及
通过从所述排序的密码原语中进行选择来生成所述多个安全配置文件。
生成所述多个安全配置文件的第n安全配置文件可以包括:
选择排序第n的保密性密码原语;
选择排序第n的完整性密码原语;以及
选择排序第n的认证密码原语。
触发事件可以是安全警报或网络性能状况已恶化的警报。
所述触发事件可以是安全警报,并且所述替换安全配置文件可以被选择为比所述初始安全配置文件更安全;或
所述触发事件可以是网络性能状况已经恶化的警报,并且所述替换安全配置文件可以被选择为比所述初始安全配置文件资源密集度低。
应用和/或服务的类别可以是以下之一:智能电网;远程手术;车联网‘V2X’;以及国防。
根据第二方面,提供了一种操作软件定义网络的计算机实现的方法,所述方法包括:
获得对多个数据平面部件的指定,所述多个数据平面部件一起形成通过数据平面的路径,所述路径适于承载与一种类别的应用和/或服务相关联的流量;
基于所述指定,确定所述路径能够符合多个安全配置文件中的哪一个或更多个安全配置文件;
选择所述一个或更多个安全配置文件中的一个安全配置文件作为初始安全配置文件;
经由符合所述初始安全配置文件的路径来路由与所述类别的应用和/或服务相关联的流量;
随后获得指示触发事件已发生的数据;以及
响应于此:
选择所述多个安全配置文件中的不同安全配置文件作为替换安全配置文件;以及
根据替换安全配置文件来路由与所述类别的应用和/或服务相关联的流量。
指定可指定以下一项或更多项:安全等级;遵循标准;密钥大小;密码;密码模式;以及性能指标。
数据平面部件可以包括一个或更多个交换机和/或防火墙和/或负载平衡器和/或代理和/或网关。
每个安全配置文件可以指定用于保密性、完整性和认证中的每一个的密码原语。
所述计算机实施的方法还可以包括:
根据安全性、吞吐量和等待时间中的一项或更多项对多个密码原语进行排序;以及
通过从所述排序的密码原语中进行选择来生成所述多个安全配置文件。
生成所述多个安全配置文件的第n安全配置文件可以包括:
选择排序第n的保密性密码原语;
选择排序第n的完整性密码原语;以及
选择排序第n的认证密码原语。
触发事件可以是安全警报或网络性能状况已恶化的警报。
所述触发事件可以是安全警报,并且所述替换安全配置文件可以被选择为比所述初始安全配置文件更安全;或
所述触发事件可以是网络性能状况已恶化的警报,并且所述替换安全配置文件可以被选择为比初始安全配置文件资源密集度低。
可以存在通过数据平面的一个或更多个另外路径,所述一个或更多个另外路径适于承载与所述类别的应用和/或服务相关联的流量,并且该方法还可以包括:
对于所述一个或更多个另外路径中的每一个另外路径:
获得对一起形成该另外路径的相应的另外多个数据平面部件的指定;以及
基于这些指定,确定该另外路径能够符合所述多个安全配置文件中的哪个安全配置文件;
在获得指示触发事件已发生的数据之前,初始化所述一个或更多个另外路径;以及
响应于获得指示所述触发事件已发生的数据,选择所述一个或更多个另外路径中的一个作为替换操作路径;
其中,遵循所述替换安全配置文件来路由与一种类别的应用和/或服务相关联的流量可以经由所述替换操作路径来执行。
该计算机实现的方法还可以包括:在初始化所述一个或更多个另外路径之后,周期性地刷新包括在所述一个或更多个另外路径中的每一个另外路径中的相应的一个或更多个数据平面部件的初始化参数,使得可以立即经由所述多个路径中随后被选择为替换操作路径的任一个路径来路由流量。
初始化一个或更多个另外路径可以包括:
在控制平面中定义所述一个或更多个另外路径中的每一个;
配置与所述一个或更多个另外路径中的每一个相关联的元数据;以及
在所述数据平面中激活所述一个或更多个另外路径中的每一个。
元数据可以包括以下中的一项或更多项:
针对包括在所述一个或更多个另外路径中的一个或更多个中的一个或更多个数据平面部件的配置设置和/或参数,
一个或更多个路由规则,以及
安全配置文件。
所述类别的应用和/或服务可以是以下中的一项:智能电网;远程手术;车联网‘V2X’;以及国防。
根据第三方面,提供了一种被配置为执行第一方面或第二方面中的任一方面的方法的数据处理系统。
根据第四方面,提供了一种包含指令的计算机程序,当所述程序由计算机执行时,所述指令使所述计算机执行第一方面或第二方面中的任一方面的方法。
根据第五方面,提供了一种存储有第四方面的计算机程序的计算机可读数据载体。
根据第六方面,提供了一种承载第四方面的计算机程序的数据载波信号。
附图说明
现在将参考附图通过示例来描述本公开的各方面。在附图中:
图1中示出了一个示例SDN环境;
图2示出了根据第一方面的操作SDN的计算机实现的方法;
图3示出了根据第二方面的操作SDN的计算机实现的方法;
图4示出了根据第一方面和第二方面的示例组合的操作SDN的计算机实现的方法;以及
图5示意性地示出了能够执行图2、图3或图4的任何方法的示例性数据处理系统。
具体实施方式
呈现以下描述以使得所属领域的技术人员能够制作和使用本发明的系统和/或执行本发明的方法,并且在特定应用的上下文中提供以下描述。所属领域的技术人员将容易明白对所公开的实施方式的各种修改。
根据本公开的一个方面,提出了响应于触发事件将流量切换到冗余的预先建立的活动路径。根据本公开的另一方面,提出了响应于触发事件而切换到不同的安全配置文件(在相同或不同的网络路径上),其中,根据DPE能力(硬件和/或软件)的发现来预先建立可能的安全配置文件。(每个安全配置文件可以例如指定用于保密性、完整性和认证以及设置如密钥大小的相关参数中的每一个的特定算法。)这两个方面可以被组合以响应于触发事件而将流量切换到冗余的预先建立的活动路径,冗余路径的选择取决于基于形成该路径的DPE的能力而在该路径上可用的安全等级。以这种方式,提供了两层安全性和/或效率,具有最小的流量中断。
图2示出了根据第一方面的操作SDN(例如图1的SDN 100)的计算机实现的方法200,该方法可以例如由SC 130执行。
在步骤S240,为与一种类别的应用和/或服务160相关联的流量初始化通过数据平面110的多个路径。所述类别的应用和/或服务160例如可以是以下中的一项:智能电网;远程手术;车联网(V2X);和国防。所述类别的应用和/或服务160可以包括一个或多个应用和/或服务160。
在步骤S240初始化多个路径可以例如包括:在步骤S241,在控制平面120中定义多个路径中的每一个路径;在步骤S242,配置与多个路径中的每一个路径相关联的元数据;以及在步骤S243,在数据平面110中激活多个路径中的每一个路径。在步骤S242配置的元数据可以例如包括以下中的一项或更多项:针对多个路径中的一个或更多个路径中包括的一个或更多个DPE 140的配置设置和/或参数;一个或更多个路由规则;以及安全配置文件。所述DPE 140例如可以包括一个或更多个交换机和/或防火墙和/或负载平衡器和/或代理和/或网关。
在步骤S245,多个路径之一被选择为初始操作路径。步骤S245可以在步骤S240之前、之后或部分或整个同时执行。
一旦步骤S240和S245完成,在步骤S250,经由初始操作路径来路由与一种类别的应用和/或服务160相关联的流量。
在步骤S260,获得指示触发事件已发生的数据。触发事件例如可以是安全警报,例如涉及端口扫描事件、防火墙警报、分布式拒绝服务(DDoS)攻击、超过预定数量的无效登录尝试、入侵检测系统(IDS)警报、恶意软件检测、敏感数据暴露、安全误配置警报、硬件或软件漏洞警报或日志检查事件。另选地,触发事件例如可以是网络性能状况已恶化的警报,例如分组吞吐量的降低、往返时间增加或分组抖动增大。SC 130可以通过它自己的监视来检测触发事件,或者它可以从例如包括在管理平面195中的实体的另一实体接收警报。
响应于在步骤S260获得指示触发事件已发生的数据,在步骤S280,选择多个路径中的不同路径作为替换操作路径。替换操作路径例如可以排除被怀疑受到危害的初始操作路径的一个或更多个DPE 140,和/或可以包括自从选择了初始操作路径以来新添加到SDN100的一个或更多个DPE 140。
一旦在步骤S280选择了替换操作路径,则在步骤S290经由该替换操作路径来路由与一种类别的应用和/或服务160相关联的流量。
在步骤S240初始化多个路径之后,可以在步骤S255刷新包括在多个路径的每一个路径中的相应的一个或更多个DPE 140的初始化参数,使得可以经由多个路径中随后被选择为替换操作路径的任一个路径立即路由流量,即可以在没有任何进一步初始化的情况下路由流量,即使在步骤S240初始化多个路径与在步骤S260获得指示触发事件已发生的数据之间存在较长延迟。
图3示出了根据第二方面的操作软件定义网络的计算机实现的方法300,该方法可以例如由SC 130执行。
在步骤S310,获得多个DPE 140的指定,所述多个DPE 140一起形成通过数据平面110的路径,该路径适于承载与一种类别的应用和/或服务160相关联的流量。DPE 140例如可以包括一个或更多个交换机和/或防火墙和/或负载平衡器和/或代理和/或网关。该指定例如可以由SC 130发现,例如通过使用OpenFlow协议询问DPE 140,或者由另一实体提供给它。这些指定可以例如就以下中的一项或更多项来指定DPE 140的硬件和/或软件能力:安全等级;遵循标准;密钥大小;密码;密码模式和性能指标。所述类别的应用和/或服务160例如可以是以下之一:智能电网;远程手术;车联网(V2X);以及国防。所述类别的应用和/或服务160可以包括一个或更多个应用和/或服务160。
在步骤S320,基于所述指定,确定路径能够遵循多个安全配置文件中的哪一个或更多个安全配置文件。然后在步骤S330,选择一个或更多个安全配置文件之一作为初始安全配置文件。然后,在步骤S350,遵循初始安全配置文件,开始经由该路径来路由与一种类别的应用和/或服务160相关联的流量。
在步骤S360,获得指示触发事件已发生的数据。触发事件例如可以是安全警报,例如涉及端口扫描事件、防火墙警报、分布式拒绝服务(DDoS)攻击、超过预定数量的无效登录尝试、入侵检测系统(IDS)警报、恶意软件检测、敏感数据暴露、安全误配置警报、硬件或软件漏洞警报或日志检查事件。或者,触发事件例如可以是网络性能状况已恶化的警报,例如分组吞吐量降低、往返时间增加或分组抖动增大。SC 130可以通过其自己的监视来检测触发事件,或者可以从诸如包括在管理平面195中的实体的另一实体接收警报。
响应于在步骤S360获得指示触发事件已发生的数据,在步骤S390,在遵循替换安全配置文件来路由与一种类别的应用和/或服务160相关联的流量之前,在步骤S370,选择多个安全配置文件中不同的一个作为替换安全配置文件。如果触发事件是安全警报,则可以在步骤S370选择比初始安全配置文件更安全的替换安全配置文件。另选地,如果触发事件是网络性能状况已恶化的警告,则在步骤S370,替换安全配置文件可以被选择为比初始安全配置文件资源密集度低。例如,替换安全配置文件可能比初始安全配置文件在计算上要求更少(例如,使用具有较短密钥长度的密码原语)。作为另一示例,替换安全配置文件可以包括导致较平滑(即,较少的突发)流量模式的类型的密码原语,从而减少对网络的最大瞬时资源需求。(例如,替换安全配置文件可以包括用于保密性的诸如ChaCha或AES-CTR的流密码,以替换初始安全配置文件中的诸如3DES或AES的块密码。)这样,可以在所应用的安全级等级、网络性能(在等待时间、吞吐量等方面)和所消耗的资源(电能、带宽、存储器等)之间达成适当的平衡。
多个安全配置文件可以可选地在步骤S305生成(或者它们可以以某种其它方式获得,例如从另一实体接收)。在步骤S305生成安全配置文件例如可以包括在步骤S302例如根据安全性、等待时间和吞吐量中的一个或更多个对多个密码原语进行排序。(例如,3DES使用64位块,AES使用128位块,而ChaCha使用512位块。较大的块允许每单位时间处理更多的数据,增加了吞吐量。)多个密码原语例如可以是DPE指定指出DPE 140能够支持的那些密码原语。然后,在步骤S303,可以通过从排序的密码原语中进行选择来生成多个安全配置文件。
各安全配置文件例如可以指定用于保密性、完整性和认证中的每一个的密码原语。
·保密性算法对数据(明文)进行加密,使得其对于不拥有正确解密密钥的任何人变得不可读取或不可理解(密文)。
·完整性算法确保由它们保护的数据(明文或密文)的任何改变或修改在有意(恶意)改变或无意改变(由错误引起,例如由于通信信道上的噪声)的情况下是容易辨别的。
·认证算法通过向接收者保证数据是由已知发送者创建的来验证数据的真实性。
在这种情况下,在步骤S301,可以将多个密码原语分组为这三个类别。然后,在步骤S302对多个密码原语进行排序可以包括分别对每个类别的密码原语进行排序,以产生保密性原语的排序列表、完整性原语的排序列表和认证原语的排序列表。然后,在步骤S303选择密码原语可以包括从三个排序列表中的每一个列表中选择一个列表。例如,生成多个安全配置文件中排序第n的安全配置文件可以包括:在步骤S303a选择排序第n的保密性密码原语,在步骤S303b选择排序第n的完整性密码原语,并且在步骤S303c选择排序第n的认证密码原语。例如,所生成的多个安全配置文件可以如表1所示,其中,密码原语已经按照安全强度进行了排序,使得配置文件n+1比配置文件n更安全。
表1
在步骤S330选择初始安全配置文件可以例如取决于如表2所示的类别的应用和/或服务。
| 应用/服务类别 | 初始安全配置文件 |
| 智能电网 | 配置文件2 |
| 远程手术 | 配置文件4 |
| V2X | 配置文件1 |
| 国防 | 配置文件3 |
表2
在步骤S370选择替换安全配置文件可以例如根据预定规则,例如“安全等级增加1”。从表2所示的初始安全配置文件分配开始,这产生表3所示的替换安全配置文件分配。
| 应用/服务类别 | 替换安全配置文件 |
| 智能电网 | 配置文件3 |
| 远程手术 | 配置文件5 |
| V2X | 配置文件2 |
| 国防 | 配置文件4 |
表3
这种规则例如可以取决于检测到的触发事件。例如,检测到被分类为低威胁等级的安全事件可以导致表3的安全配置文件分配,而检测到被分类为高威胁等级的安全事件可以触发“安全等级增加2”规则,并且检测到被分类为高威胁等级的安全事件可以导致所有应用/服务类别被分配最高安全等级配置文件(表1的方案中的配置文件6)。
与根据预定规则相反,选择替换安全配置文件可以另选地针对特定应用/服务类别来定制。例如,可以在应用/服务SLA中指定初始安全配置文件和替换安全配置文件。
图4示出了根据第一方面和第二方面的示例性组合来操作SDN的计算机实现的方法400,该方法可以例如由SC 130执行。
在步骤S410,以类似于图3的步骤S310的方式获得DPE 140指定。然后,在步骤S420,以与图3的步骤S320类似的方式,确定适于承载与一种类别的应用和/或服务160相关联的流量的通过数据平面110的多个路径中的每一个的安全配置文件能力。然后在步骤S430以类似于图3的步骤S330的方式选择初始安全配置文件。
在步骤S440,以类似于图2的步骤S240的方式初始化多个路径。
在步骤S445,以类似于图2的步骤S245的方式选择初始操作路径。从多个路径中能够遵循在步骤S430选择的初始安全配置文件的那些路径选择初始操作路径。(另选地,可以首先选择初始操作路径,并且随后从初始操作路径能够遵循的那些安全配置文件中选择初始安全配置文件。)
一旦步骤S410、S420、S430、S440和S445中的所有步骤完成,则在步骤S450处遵循初始安全配置文件经由初始操作路径来路由流量。
在步骤S460,以与图2的步骤S260和图3的步骤S360类似的方式获得指示触发事件已发生的数据。
响应于在步骤S460获得指示触发事件已发生的数据,在步骤S470以类似于图3的步骤S370的方式选择替换安全配置文件。
同样响应于在步骤S460获得指示触发事件已发生的数据,在步骤S480以类似于图2的步骤S280的方式选择替换操作路径。从多个路径中能够遵循替换安全配置文件的那些路径选择替换操作路径。(另选地,可以首先选择替换操作路径,并且随后从替换操作路径能够遵循的那些安全配置文件中选择替换安全配置文件。)
最后,在步骤S490,遵循替换安全配置文件,经由替换操作路径来路由流量。
图5示意性地示出了能够执行任何方法200、300、400的示例性数据处理系统(DPS)500。它包括可操作地联接到存储器520和接口(I/O)530的处理器510。
存储器520可以可选地包括计算机程序指令,当该程序由处理器510执行时,该计算机程序指令使数据处理系统500执行方法200、300、400中的任何方法。另选地或附加地,接口530可以可选地包括物理接口531和接收机532中的一个或两个,物理接口531被配置为接收其上存储有这种指令的数据载体,并且接收机532被配置为接收承载这种指令的数据载体信号。
接口530包括被配置为接收消息的接收机532。接收机532可以包括一个或更多个无线接收机模块和/或一个或更多个有线接收机模块。接口530还包括配置为发送消息的发射机533。发射机533可以包括一个或更多个无线发射机模块和/或一个或更多个有线发射机模块。
考虑到本说明书,本发明的实施方式对于本领域技术人员来说是显而易见的。本说明书仅被认为是示例性的。
在本申请列出一个或多个方法步骤的情况下,除非明确指出这样的排除,否则不排除前体、后续和中间方法步骤的存在。类似地,在本申请列出设备或系统的一个或多个组件的情况下,不排除存在单独的或插入的附加组件,除非明确指出这种排除。
此外,在本申请已经以特定顺序列出了方法或过程的步骤的情况下,在某些情况下改变执行一些步骤的顺序是可能的或甚至是有利的,并且除非在权利要求中明确地陈述了这种顺序特异性,否则本文阐述的方法或过程权利要求的特定步骤不被解释为顺序特异性的。也就是说,除非另有说明,否则操作/步骤可以以任何顺序执行,并且实施方式可以包括比本文所公开的操作/步骤更多或更少的操作/步骤。还可以设想,根据所描述的实施方式在另一操作之前,同时或之后执行或执行特定操作/步骤。
本发明的范围包括本文公开的任何新颖特征或特征的组合。因此,申请人注意到,在本申请或从其得出的任何其它申请的审查期间,可以针对这些特征或特征的组合制定新的权利要求。特别地,参考所附权利要求,从属权利要求的特征可以与独立权利要求的特征组合,并且各个独立权利要求的特征可以以任何适当的方式组合,而不仅仅是以权利要求中列举的特定组合。
在所描述的本发明的实施方式可至少部分地使用软件控制的可编程处理装置(例如微处理器、数字信号处理器或其它处理装置,数据处理设备或系统)来实施的情况下,应了解,用于配置可编程装置、设备或系统以实施前述方法的计算机程序被设想为本发明的一个方面。例如,这样的计算机程序可以实现为源代码或经过编译以便在处理设备,装置或系统上实现,或者可以实现为目标代码。
这样的计算机程序可以被编码为包含在载体介质、非暂时性计算机可读存储设备和/或机器或设备可读形式的存储设备中的可执行指令,例如在易失性存储器、非易失性存储器、固态存储器,诸如磁盘或磁带的磁存储器、诸如磁带的光或磁光可读存储器、压缩盘(CD)、数字多功能盘(DVD)或能够存储代码和/或数据的其它介质中。这种计算机程序可以替代地或附加地从包含在通信介质中的远程源提供,所述通信介质例如是电信号、射频载波或光载波。这种载体介质也被设想为本发明的方面。
当由处理器(或一个或更多个计算机、处理器和/或其它设备)执行时,这样的指令可以使处理器(一个或更多个计算机、处理器和/或其它设备)执行这里描述的方法的至少一部分。
在本文中提到处理器的情况下,应理解为是指可操作地彼此连接的单个处理器或多个处理器。类似地,在本文中提及存储器的情况下,应理解为是指可操作地彼此连接的单个存储器或多个存储器。
所述方法和过程还可以部分地或完全地体现在硬件模块或装置或固件中,使得当硬件模块或装置被激活时,它们执行相关联的方法和过程。可使用代码、数据和硬件模块或装置的组合来实施所述方法和过程。
适用于本文所述实施方式的处理系统,环境和/或配置的示例包括但不限于嵌入式计算机设备、个人计算机、服务器计算机(专用或云(虚拟)服务器)、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、移动电话、智能电话、平板电脑、网络个人计算机(PC)、小型机、大型机、包括上述系统或设备中的任一个的分布式计算环境等。本公开中描述的硬件模块或装置包括但不限于专用集成电路(ASIC)、现场可编程门阵列(FPGA)、专用或共享处理器和/或其它硬件模块或装置。
这里描述的接收机和发射机可以是独立的或者可以包括在收发机中。这里描述的通信链路包括至少一个发射机,其能够通过一个或更多个有线或无线通信信道向至少一个接收机发送数据。有线通信信道可以被安排用于电或光传输。这种通信链路可以可选地还包括一个或更多个中继收发器。
Claims (14)
1.一种操作软件定义网络的计算机实现的方法,所述计算机实现的方法包括:
获得对多个数据平面部件的指定,所述多个数据平面部件一起形成通过数据平面的路径,所述路径适于承载与一种类别的应用和/或服务相关联的流量;
基于所述指定,确定多个安全配置文件中所述路径能够遵循的一个或更多个安全配置文件;
选择所述一个或更多个安全配置文件中的一个安全配置文件作为初始安全配置文件;
经由遵循所述初始安全配置文件的所述路径来路由与所述类别的应用和/或服务相关联的流量;
随后获得网络性能状况已恶化的警报;以及
响应于此:
选择所述多个安全配置文件中计算资源需求小于所述初始安全配置文件的不同安全配置文件作为替换安全配置文件;以及
遵循所述替换安全配置文件来路由与所述类别的应用和/或服务相关联的流量。
2.根据权利要求1所述的计算机实现的方法,其中,所述指定指定了以下中的一项或更多项:安全等级;遵循标准;密钥大小;密码;密码模式;以及性能指标。
3.根据权利要求1或2所述的计算机实现的方法,其中,所述数据平面部件包括一个或更多个交换机和/或防火墙和/或负载平衡器和/或代理和/或网关。
4.根据权利要求1所述的计算机实现的方法,其中,各个安全配置文件指定要用于保密性、完整性和认证中的每一项的密码原语。
5.根据权利要求4所述的计算机实现的方法,所述计算机实现的方法还包括:
根据安全性、吞吐量和等待时间中的一项或更多项对多个密码原语进行排序;以及
通过从排序的密码原语中进行选择来生成所述多个安全配置文件。
6.根据权利要求5所述的计算机实现的方法,其中,生成所述多个安全配置文件中的第n安全配置文件包括:
选择排序第n的保密性密码原语;
选择排序第n的完整性密码原语;以及
选择排序第n的认证密码原语。
7.根据权利要求1所述的计算机实现的方法,其中,存在通过所述数据平面的一个或更多个另外路径,所述一个或更多个另外路径适于承载与所述类别的应用和/或服务相关联的流量,所述方法还包括:
对于所述一个或更多个另外路径中的各个另外路径:
获得对一起形成该另外路径的相应的另外多个数据平面部件的指定;以及
基于这些指定,确定所述多个安全配置文件中该另外路径能够遵循的安全配置文件;
在获得所述警报之前,初始化所述一个或更多个另外路径;以及
响应于获得所述警报,选择所述一个或更多个另外路径中的一个另外路径作为替换操作路径;
其中,遵循所述替换安全配置文件来路由与所述类别的应用和/或服务相关联的流量是经由所述替换操作路径执行的。
8.根据权利要求7所述的计算机实现的方法,所述计算机实现的方法还包括:在初始化所述一个或更多个另外路径之后,周期性地刷新所述一个或更多个另外路径中的各个另外路径中包括的相应的一个或更多个数据平面部件的初始化参数,使得能够经由所述多个路径中随后被选择为所述替换操作路径的任一个路径立即路由流量。
9.根据权利要求7或8所述的计算机实现的方法,其中,初始化所述一个或更多个另外路径包括:
在控制平面中定义所述一个或更多个另外路径中的各个另外路径;
配置与所述一个或更多个另外路径中的各个另外路径相关联的元数据;以及
在所述数据平面中激活所述一个或更多个另外路径中的各个另外路径。
10.根据权利要求9所述的计算机实现的方法,其中,所述元数据包括以下中的一项或更多项:
配置设置和/或参数,所述配置设置和/或参数是针对包括在所述一个或更多个另外路径中的一个或更多个另外路径中的一个或更多个数据平面部件的;
一个或更多个路由规则;以及
安全配置文件。
11.根据权利要求1所述的计算机实现的方法,其中,所述类别的应用程序和/或服务是以下中的一项:智能电网;远程手术;车联网V2X;以及国防。
12.一种数据处理系统,所述数据处理系统被配置为执行根据权利要求1至11中任一项所述的方法。
13.一种包含指令的计算机程序,当所述计算机程序由计算机执行时,所述指令使所述计算机执行根据权利要求1至11中任一项所述的方法。
14.一种存储有根据权利要求13所述的计算机程序的计算机可读数据载体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB2113955.5A GB2611318B (en) | 2021-09-29 | 2021-09-29 | Methods and systems of operating software-defined networks |
| GB2113955.5 | 2021-09-29 | ||
| PCT/EP2022/073506 WO2023052006A1 (en) | 2021-09-29 | 2022-08-23 | Methods and systems of operating software-defined networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117999767A CN117999767A (zh) | 2024-05-07 |
| CN117999767B true CN117999767B (zh) | 2024-12-13 |
Family
ID=78212387
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280064966.4A Active CN117999767B (zh) | 2021-09-29 | 2022-08-23 | 操作软件定义网络的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US12278826B2 (zh) |
| EP (1) | EP4409836B1 (zh) |
| CN (1) | CN117999767B (zh) |
| GB (1) | GB2611318B (zh) |
| WO (1) | WO2023052006A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2611317A (en) * | 2021-09-29 | 2023-04-05 | British Telecomm | Methods and systems of operating software defined networks |
| US20240214319A1 (en) * | 2022-12-27 | 2024-06-27 | Cisco Technology, Inc. | Proxy state signaling for network optimizations |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108141781A (zh) * | 2015-10-28 | 2018-06-08 | 英特尔公司 | 用于基于sdn的蜂窝网络架构的服务质量配置框架 |
| CN111108733A (zh) * | 2017-07-31 | 2020-05-05 | 阿姆多克斯发展公司 | 在基于网络功能虚拟化(nfv)的通信网络和软件定义的网络(sdns)中提供安全性的系统、方法和计算机程序 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9276877B1 (en) * | 2012-09-20 | 2016-03-01 | Wiretap Ventures, LLC | Data model for software defined networks |
| US9756121B2 (en) * | 2015-06-24 | 2017-09-05 | International Business Machines Corporation | Optimizing routing and load balancing in an SDN-enabled cloud during enterprise data center migration |
| US9762610B1 (en) * | 2015-10-30 | 2017-09-12 | Palo Alto Networks, Inc. | Latency-based policy activation |
| KR20170109949A (ko) | 2016-03-22 | 2017-10-10 | 한국전자통신연구원 | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 |
| WO2017200978A1 (en) * | 2016-05-16 | 2017-11-23 | Idac Holdings, Inc. | Security-based slice selection and assignment |
| CN109644159B (zh) * | 2016-08-26 | 2021-07-20 | 华为技术有限公司 | 数据传输网中的数据包转发单元 |
| KR102174421B1 (ko) | 2017-10-17 | 2020-11-04 | 성균관대학교산학협력단 | 효과적인 디도스 공격 완화를 위한 소프트웨어 정의 네트워킹 기반의 네트워크 보안 기능 |
| CN110881023A (zh) | 2019-03-27 | 2020-03-13 | 南京航空航天大学 | 一种基于sdn/nfv提供网络区分安全服务的方法 |
-
2021
- 2021-09-29 GB GB2113955.5A patent/GB2611318B/en active Active
-
2022
- 2022-08-23 US US18/695,687 patent/US12278826B2/en active Active
- 2022-08-23 CN CN202280064966.4A patent/CN117999767B/zh active Active
- 2022-08-23 WO PCT/EP2022/073506 patent/WO2023052006A1/en not_active Ceased
- 2022-08-23 EP EP22773414.2A patent/EP4409836B1/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108141781A (zh) * | 2015-10-28 | 2018-06-08 | 英特尔公司 | 用于基于sdn的蜂窝网络架构的服务质量配置框架 |
| CN111108733A (zh) * | 2017-07-31 | 2020-05-05 | 阿姆多克斯发展公司 | 在基于网络功能虚拟化(nfv)的通信网络和软件定义的网络(sdns)中提供安全性的系统、方法和计算机程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4409836B1 (en) | 2025-07-02 |
| US12278826B2 (en) | 2025-04-15 |
| US20240275802A1 (en) | 2024-08-15 |
| GB202113955D0 (en) | 2021-11-10 |
| WO2023052006A1 (en) | 2023-04-06 |
| GB2611318B (en) | 2024-02-21 |
| EP4409836A1 (en) | 2024-08-07 |
| GB2611318A (en) | 2023-04-05 |
| CN117999767A (zh) | 2024-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12095810B2 (en) | Generating and analyzing network profile data | |
| US9071604B2 (en) | Methods, systems, and computer program products for invoking trust-controlled services via application programming interfaces (APIs) respectively associated therewith | |
| CN108886515A (zh) | 通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置 | |
| US11979326B2 (en) | Tool port throttling at a network visibility node | |
| US10505976B2 (en) | Real-time policy filtering of denial of service (DoS) internet protocol (IP) attacks and malicious traffic | |
| US10142210B2 (en) | In-line tool performance monitoring and adaptive packet routing | |
| CN117999767B (zh) | 操作软件定义网络的方法和系统 | |
| Nagarathna et al. | SLAMHHA: A supervised learning approach to mitigate host location hijacking attack on SDN controllers | |
| EP4409857B1 (en) | Methods and systems of operating software-defined networks | |
| US8925084B2 (en) | Denial-of-service attack protection | |
| CN113452663A (zh) | 基于应用特征的网络业务控制 | |
| US12375266B2 (en) | System and method for quantum resistant key distribution for securing GTP traffic | |
| US20070150951A1 (en) | Methods, communication networks, and computer program products for managing application(s) on a vulnerable network element due to an untrustworthy network element by sending a command to an application to reduce the vulnerability of the network element | |
| US11233727B1 (en) | System and method for securing SDN based source routing | |
| US10499249B1 (en) | Data link layer trust signaling in communication network | |
| US12407725B1 (en) | Unified threat management and mitigation | |
| US20250337592A1 (en) | Systems and methods for secure policy messaging | |
| US11805110B2 (en) | Method for transmitting data packets | |
| Hilaluddin et al. | Security Architecture for MANETs | |
| CN116601919A (zh) | 经由安全访问服务边缘(sase)网络优化控制器(noc)对客户端应用访问的动态优化 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |