[发明专利]加密的数据包

说明书

在示例实施方式中，方法包括：选择加密密钥的软件定义网络(SDN)控制器。然后，SDN控制器将第一指令发送到源节点以修改源节点的流表，从而包括动作，该动作包括加密密钥。第二指令通过SDN控制器发送到目的地节点以修改目的地节点的流表，从而包括动作，该动作包括加密密钥。然后，SDN控制器能够控制将从源节点发送到目的地节点的、由源节点利用加密密钥加密的数据包，其中该数据包将由目的地节点利用加密密钥来解密。

背景技术

软件定义网络(SDN)是计算机网络化的一种方法，它允许网络通过更高层的网络抽象来管理网络。例如，在SDN网络中，数据平面和控制平面分离。SDN控制器可以用于管理网络中的每个节点，并通过控制数据流量来管理SDN网络。SDN网络可以使用通信协议来允许控制平面与数据平面通信。

附图说明

图1是本公开的示例通信网络的框图；

图2是本公开的示例节点的框图；

图3是本公开的示例SDN控制器的框图；

图4是用于加密数据包的示例方法的流程图；以及

图5是用于加密数据包的另一示例方法的流程图。

具体实施方式

本公开概括地公开了被修改以在SDN网络中执行和控制数据加密的软件定义网络(SDN)的控制器。如上面所讨论，SDN网络使用SDN控制器来分离数据平面和控制平面。SDN控制器目前用于执行路由功能，但不执行或控制加密功能。

本公开的示例提供了对SDN网络中的SDN控制器和节点的修改，从而通过SDN控制器实施加密管理和控制。图1图示示例SDN网络100。SDN网络100可以包括SDN控制器102、源节点104和目的地节点106。应该注意的是，尽管只有单个SDN控制器102、单个源节点104和单个目的地节点106在图1中被示出，但是可以在SDN网络100中部署任意数量的SDN控制器、源节点和目的地节点。SDN网络100可以使用开放流(Open Flow)通信协议以允许SDN控制器102、源节点104和目的地节点106彼此通信。

在一个实施方式中，源节点104可以通过因特网协议(IP)网络109将加密的数据包110发送到目的地节点106。应该注意的是，IP网络109为了便于解释已被简化。例如，IP网络109可以包括未示出的附加网络元件(例如路由器、网关、交换机、防火墙等)和接入网络(例如，宽带接入网、蜂窝接入网等)。

图2示出本公开的源节点104的示例的框图。应该注意的是，目的地节点106可以包括类似的硬件和修改。源节点104可以包括处理器202。在一个示例中，处理器可以是专用集成电路(ASIC)202。ASIC 202可以包括与开放流通信协议一起使用的流表(flow table)204。应该注意的是，尽管流表204被示出为完全在ASIC 202中，但是流表204可以部分地或完全地存储在SDN网络100的不同部分(例如，SDN控制器102)中。

在一个示例中，流表204可以包括多个匹配标准206-1至206-n(以下统称为匹配标准206或单独称为匹配标准206)和多个动作208-1至208-n(以下统称为动作208或单独称作为动作208)。匹配标准206可以包括由数据包201的元组(tuple)匹配的元组。如果匹配标准206的元组与数据包201的元组相匹配，则可以执行与匹配标准206相对应的动作208。元组可以包括诸如媒体访问控制(MAC)地址、源因特网协议(IP)地址、目的IP地址的参数或任何可在数据包201的头字段中找到的其他参数。

通常，流表204可以包括匹配标准206，以执行路由动作。然而，本公开修改了流表204，以包括用于执行数据包201的加密的新动作208。