[发明专利]一种实现SDN证书资源配置的方法及装置

说明书

本发明提供一种实现SDN证书资源配置的方法及装置，该方法包括：开放流配置点通过网络配置协议与开放流能力交换机建立连接；所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机，向所述开放流能力交换机的开放流逻辑交换机下发证书资源。通过本发明可以有效地提高网络验证的安全性。

技术领域

本发明涉及通信领域，具体涉及一种实现SDN证书资源配置的方法及装置。

背景技术

随着软件定义网络（Software Defined Network，简称为SDN）概念的提出及其应用的发展，作为SDN核心技术的OpenFlow（开放流，简称OF）技术正处于快速发展阶段，目前利用OpenFlow技术建设的OpenFlow网络已经越来越多地应用于实际的生产生活中。

OpenFlow网络采用控制平面与转发平面（也称为数据平面或用户平面）相分离的架构，图1是根据相关技术的OpenFlow网络组件架构示意图，如图1所示，OpenFlow控制器与转发面设备之间通过Openflow协议相关联，Openflow配置点与转发面设备之间通过网络配置协议相关联。OpenFlow网络的控制平面由OpenFlow控制器来实现，OpenFlow控制器是一种具备强大计算能力的设备，具体的设备形态可以是个人电脑、服务器或服务器集群等。OpenFlow网络的转发平面由OpenFlow交换机来实现，OpenFlow交换机是一种具备强大交换能力的设备，具体的设备形态是配备多个网络端口、基于流表（Flow Table）进行报文处理与转发的网元设备。控制器可以通过openflow协议来控制OpenFlow交换机中流表的添加、删除和更新，从而达到控制数据转发的目的，也就是说，基于OpenFlow的SDN架构是在OpenFlow交换机上实现数据转发，而在控制器上实现数据的转发控制，从而实现了上述数据转发面和控制层的分离。而Openflow逻辑交换机的相关Openflow资源配置由网络配置点通过网络配置协议下发的。

Openflow逻辑交换机与控制器之间的安全通道可以通过TLS（Transport LayerSecurity，传输层安全协议）建立，在使用TLS建立安全连接的过程中可以使用DSA（DigitalSignature Algorithm，数字签名算法）或RSA算法来进行双方证书的验证。

Openflow协议规定Openflow一个逻辑交换机可以与多个控制器相连接，如图2所示，逻辑交换机1分别与控制器0及控制器1相连，目前的做法是与同一个Openflow逻辑交换机相连的所有控制器都使用同一个证书，这样就存在安全隐患。针对相关技术中与同一个Openflow逻辑交换机相连的所有控制器都使用同一个证书，目前尚未提出有效的解决方案。

发明内容

本发明要解决的技术问题是提供一种实现SDN证书资源配置的方法及装置，以提高网络验证的安全性。

为了解决上述技术问题，本发明提供了一种实现软件定义网络证书资源配置的方法，包括：

开放流配置点通过网络配置协议与开放流能力交换机建立连接；

所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机，向所述开放流能力交换机的开放流逻辑交换机下发证书资源。

进一步地，上述方法还具有下面特点：

所述软件定义网络配置点针对每对开放流控制器和开放流逻辑交换机下发的证书资源各不相同。

进一步地，上述方法还具有下面特点：

所述证书资源包括第一证书资源和第二证书资源，所述第一证书资源用于所述开放流控制器对对应的开放流逻辑交换机进行身份验证，所述第二证书资源用于所述开放流逻辑交换机对对应的开放流控制器进行身份验证。

进一步地，上述方法还具有下面特点：