用于重新建立安全通信通道的方法、装置和系统

摘要

本发明公开一种用于重新建立安全通信通道的方法、装置和系统。其中SDN控制器在接收到应用模块发送的修改通道连接信息请求时，基于当前的连接通道向建立连接的OpenFlow交换机发送通道连接信息变化通知，其中通道连接信息变化通知包括自身发生变化的通道连接信息，以便OpenFlow交换机更新本地配置的通道连接信息；当接收到OpenFlow交换机发送的通道连接信息变化应答时，若判断OpenFlow交换机已成功更新本地配置的通道连接信息，则更新自身配置的通道连接信息；当接收到OpenFlow交换机发送新通道建立请求时，利用本地配置更新后的通道连接信息与OpenFlow交换机建立新的安全通道。从而可提升SDN控制器与OpenFlow交换机通信的实时性，极大减轻了维护工作量，同时改善了用户的业务感知。

说明书

技术领域

本发明涉及通信领域，特别涉及一种用于重新建立安全通信通道 的方法、装置和系统。

背景技术

OpenFlow(开放流，简称：OF)交换机由一个或多个流表(Flow Table)、一个组表(GroupTable)以及通往SDN(SoftwareDefined Networking，软件定义网络)控制器的OpenFlow安全通道(secure channel)构成，如图1所示。OpenFlow安全通道是连接OpenFlow交 换机与SDN控制器的接口，采用TCP(TransmissionControlProtocol， 传输控制协议)连接，通常使用TLS(TransportLayerSecurity，传输 层安全协议)加密。SDN控制器通过该接口来管理OpenFlow交换机， 并从OpenFlow交换机接收事件或向OpenFlow交换机发送报文。

通常SDN控制器在启动的时候都会绑定一个众所周知的地址(如 IP地址+端口号)，用于建立OpenFlow安全通道，并提供与OpenFlow 交换机的Socket通信服务。而实际中，受到网络调整优化、控制器备 份等因素影响，SDN控制器的IP地址及端口号可能不时发生变化，从 而造成原有安全通道连接中断。

为了保持通道的建立，目前需要维护人员对该SDN控制器下的所 有OpenFlow交换机一一进行手工配置，配置成变化后的SDN控制器 通道连接信息并发起重新建立安全通信通道。

如图2所示，现有的安全通道建立流程如下：

步骤1，SDN控制器与OpenFlow交换机建立安全通信通道。

步骤2，应用模块向SDN控制器发送修改SDN控制器通道连接信 息请求。

步骤3，SDN控制器接收到请求后，修改SDN控制器通道连接信 息。

步骤4，SDN控制器向应用模块发送修改SDN控制器通道连接信 息成功响应。

步骤5，SDN控制器断开与OpenFlow交换机建立的安全通信通道。

步骤6，在OpenFlow交换机侧手工配置通信连接信息。

步骤7，SDN控制器与OpenFlow交换机重新建立安全通信通道。

显然，当网络规模比较大时，工作量将会变得十分巨大。

发明内容

本发明实施例提供一种用于重新建立安全通信通道的方法、装置和 系统。可提升SDN控制器与OpenFlow交换机通信的实时性，极大减 轻了维护工作量，同时改善了用户的业务感知。

根据本发明的一个方面，提供一种用于重新建立安全通信通道的方 法，包括：

当接收到应用模块发送的修改通道连接信息请求时，基于当前的连 接通道向建立连接的OpenFlow交换机发送通道连接信息变化通知，其 中通道连接信息变化通知包括自身发生变化的通道连接信息，以便所述 OpenFlow交换机更新本地配置的通道连接信息；

当接收到所述OpenFlow交换机发送的通道连接信息变化应答时， 根据通道连接信息变化应答判断所述OpenFlow交换机是否已成功更新 本地配置的通道连接信息；

若所述OpenFlow交换机已成功更新本地配置的通道连接信息，则 更新自身配置的通道连接信息；

当接收到所述OpenFlow交换机发送新通道建立请求时，利用本地 配置更新后的通道连接信息与所述OpenFlow交换机建立新的安全通 道；其中所述OpenFlow交换机在接收到通道连接信息变化通知后启动 定时器，当定时时间期满后根据当前本地配置的通道连接信息发送所述 新通道建立请求。

在一个实施例中，所述自身发生变化的通道连接信息包括发生变化 的IP地址和端口号。

在一个实施例中，通道连接信息变化通知还包括时间间隔信息，以 便所述OpenFlow交换机将所述时间间隔信息作为所述定时器的定时时 间。

在一个实施例中，通道连接信息变化通知为Echorequest消息；

通道连接信息变化应答为Echoreply消息。

在一个实施例中，在Echorequest消息中增加MsgType、 NewIP-Addr、NewPortNo、LinkRequest-interval字段，其中MsgType 字段描述当前消息为通道连接信息变化通知，NewIP-Addr字段描述发 生变化的IP地址，NewPortNo字段描述发生变化的端口号， LinkRequest-interval字段描述发起新连接建立请求的时间间隔；

在Echoreply消息中增加MsgType、Result字段，其中MsgType 字段描述当前消息为通道连接信息变化应答，Result字段描述 OpenFlow交换机是否已成功更新本地配置的通道连接信息。

根据本发明的另一方面，提供一种用于重新建立安全通信通道的 SDN控制器，包括第一接口单元、第二接口单元、识别单元、更新单 元和通道建立单元，其中：

第一接口单元，用于接收应用模块发送的修改通道连接信息请求；

第二接口单元，用于当第一接口单元接收到应用模块发送的修改通 道连接信息请求时，基于当前的连接通道向建立连接的OpenFlow交换 机发送通道连接信息变化通知，其中通道连接信息变化通知包括自身发 生变化的通道连接信息，以便所述OpenFlow交换机更新本地配置的通 道连接信息；

识别单元，用于当第二接口单元接收到所述OpenFlow交换机发送 的通道连接信息变化应答时，根据通道连接信息变化应答判断所述 OpenFlow交换机是否已成功更新本地配置的通道连接信息；

更新单元，用于根据识别单元的判断结果，若所述OpenFlow交换 机已成功更新本地配置的通道连接信息，则更新自身配置的通道连接信 息；

通道建立单元，用于当第二接口单元接收到所述OpenFlow交换机 发送新通道建立请求时，利用本地配置更新后的通道连接信息与所述 OpenFlow交换机建立新的安全通道；其中所述OpenFlow交换机在接 收到通道连接信息变化通知后启动定时器，当定时时间期满后根据当前 本地配置的通道连接信息发送所述新通道建立请求。

在一个实施例中，所述自身发生变化的通道连接信息包括发生变化 的IP地址和端口号。

在一个实施例中，通道连接信息变化通知还包括时间间隔信息，以 便所述OpenFlow交换机将所述时间间隔信息作为所述定时器的定时时 间。

在一个实施例中，通道连接信息变化通知为Echorequest消息；

通道连接信息变化应答为Echoreply消息。

在一个实施例中，在Echorequest消息中增加MsgType、 NewIP-Addr、NewPortNo、LinkRequest-interval字段，其中MsgType 字段描述当前消息为通道连接信息变化通知，NewIP-Addr字段描述发 生变化的IP地址，NewPortNo字段描述发生变化的端口号， LinkRequest-interval字段描述发起新连接建立请求的时间间隔；

在Echoreply消息中增加MsgType、Result字段，其中MsgType 字段描述当前消息为通道连接信息变化应答，Result字段描述 OpenFlow交换机是否已成功更新本地配置的通道连接信息。

根据本发明的另一方面，提供一种用于重新建立安全通信通道的系 统，包括SDN控制器、OpenFlow交换机，其中：

SDN控制器，为上述任一实施例涉及的SDN控制器；

OpenFlow交换机，用于当接收到SDN控制器发送的通道连接信息 变化通知时，根据SDN控制器自身发生变化的通道连接信息更新本地 配置的通道连接信息，启动定时器，并向SDN控制器发送通道连接信 息变化应答；当定时器的定时时间期满后，根据本地配置更新后的通道 连接信息向SDN控制器发送新通道建立请求。

在一个实施例中，OpenFlow交换机还用于在接收到SDN控制器发 送的通道连接信息变化通知时，将通道连接信息变化通知中包括的时间 间隔信息作为所述定时器的定时时间。

本发明通过当SDN控制器的通道连接信息发生变化时，能够及时将 变化后的信息同步到OpenFlow交换机侧，同时自动通知OpenFlow交 换机发起新的连接请求并建立安全通道。从而可提升SDN控制器与 OpenFlow交换机通信的实时性，极大减轻了维护工作量，同时改善了用 户的业务感知。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将 对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见 地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技 术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获 得其他的附图。

图1为SDN控制器与OpenFlow交换机组网的结构示意图。

图2为现有技术中安全通道建立流程示意图。

图3为本发明用于重新建立安全通信通道的方法一个实施例的示 意图。

图4为本发明SDN控制器一个实施例的示意图。

图5为本发明用于重新建立安全通信通道的系统一个实施例的示 意图。

图6为本发明优化后的SDN控制器框图。

图7为SDN网络架构示意图。

图8为本发明重新建立安全通信通道的信息交换示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案 进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实 施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实 际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限 制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳 动前提下所获得的所有其他实施例，都属于本发明保护的范围。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相 对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺 寸并不是按照实际的比例关系绘制的。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详 细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说 明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是 示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具 有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此， 一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行 进一步讨论。

图3为本发明用于重新建立安全通信通道的方法一个实施例的示 意图。优选的，本实施例的方法步骤可由SDN控制器执行。

步骤301，当接收到应用模块发送的修改通道连接信息请求时，基 于当前的连接通道向建立连接的OpenFlow交换机发送通道连接信息变 化通知。

其中通道连接信息变化通知包括自身发生变化的通道连接信息，以 便所述OpenFlow交换机更新本地配置的通道连接信息。

优选的，自身发生变化的通道连接信息包括发生变化的IP地址和 端口号。

步骤302，当接收到所述OpenFlow交换机发送的通道连接信息变 化应答时，根据通道连接信息变化应答判断所述OpenFlow交换机是否 已成功更新本地配置的通道连接信息。

步骤303，若所述OpenFlow交换机已成功更新本地配置的通道连 接信息，则更新自身配置的通道连接信息。

步骤304，当接收到所述OpenFlow交换机发送新通道建立请求时， 利用本地配置更新后的通道连接信息与所述OpenFlow交换机建立新的 安全通道。

其中所述OpenFlow交换机在接收到通道连接信息变化通知后启动 定时器，当定时时间期满后根据当前本地配置的通道连接信息发送所述 新通道建立请求。

优选的，通道连接信息变化通知还包括时间间隔信息，以便所述 OpenFlow交换机将所述时间间隔信息作为所述定时器的定时时间。

基于本发明上述实施例提供的用于重新建立安全通信通道的方法， 当SDN控制器的通道连接信息发生变化时，能够及时将变化后的信息 同步到OpenFlow交换机侧，同时自动通知OpenFlow交换机发起新的 连接请求并建立安全通道。从而可提升SDN控制器与OpenFlow交换 机通信的实时性，极大减轻了维护工作量，同时改善了用户的业务感知。

在OpenFlow协议中定义了Echo消息，这是一种Symmetric消息， SDN控制器和OpenFlow交换机中的任何一方都可以发起Echorequest 消息，但收到的一方必须回应Echoreply消息。例如，通道连接信息变 化通知为Echorequest消息，通道连接信息变化应答为Echoreply消息。

为了实现上述功能，需要对Echo消息进行如下扩展：

1)扩展Echorequest消息

在Echorequest消息中增加MsgType、NewIP-Addr、NewPortNo、 LinkRequest-interval字段，其中MsgType字段描述当前消息为通道连 接信息变化通知，NewIP-Addr字段描述发生变化的IP地址， NewPortNo字段描述发生变化的端口号，LinkRequest-interval字段描 述发起新连接建立请求的时间间隔。如表1所示。

表1

2)扩展Echoreply消息

在Echoreply消息中增加MsgType、Result字段，其中MsgType 字段描述当前消息为通道连接信息变化应答，Result字段描述 OpenFlow交换机是否已成功更新本地配置的通道连接信息。如表2所 示。

表2

图4为本发明SDN控制器一个实施例的示意图。如图4所示，SDN 控制器可包括第一接口单元401、第二接口单元402、识别单元403、 更新单元404和通道建立单元405。其中：

第一接口单元401，用于接收应用模块发送的修改通道连接信息请 求。

第二接口单元402，用于当第一接口单元401接收到应用模块发送 的修改通道连接信息请求时，基于当前的连接通道向建立连接的 OpenFlow交换机发送通道连接信息变化通知，其中通道连接信息变化 通知包括自身发生变化的通道连接信息，以便所述OpenFlow交换机更 新本地配置的通道连接信息。

识别单元403，用于当第二接口单元402接收到所述OpenFlow交 换机发送的通道连接信息变化应答时，根据通道连接信息变化应答判断 所述OpenFlow交换机是否已成功更新本地配置的通道连接信息。

更新单元404，用于根据识别单元403的判断结果，若所述 OpenFlow交换机已成功更新本地配置的通道连接信息，则更新自身配 置的通道连接信息。

通道建立单元405，用于当第二接口单元402接收到所述OpenFlow 交换机发送新通道建立请求时，利用本地配置更新后的通道连接信息与 所述OpenFlow交换机建立新的安全通道；其中所述OpenFlow交换机 在接收到通道连接信息变化通知后启动定时器，当定时时间期满后根据 当前本地配置的通道连接信息发送所述新通道建立请求。

基于本发明上述实施例提供的用于重新建立安全通信通道的SDN 控制器，当SDN控制器的通道连接信息发生变化时，能够及时将变化 后的信息同步到OpenFlow交换机侧，同时自动通知OpenFlow交换机 发起新的连接请求并建立安全通道。从而可提升SDN控制器与 OpenFlow交换机通信的实时性，极大减轻了维护工作量，同时改善了 用户的业务感知。

优选的，自身发生变化的通道连接信息包括发生变化的IP地址和 端口号。

优选的，通道连接信息变化通知还包括时间间隔信息，以便所述 OpenFlow交换机将所述时间间隔信息作为所述定时器的定时时间。

在一个实施例中，通道连接信息变化通知为Echorequest消息，通 道连接信息变化应答为Echoreply消息。

优选的，在Echorequest消息中增加MsgType、NewIP-Addr、 NewPortNo、LinkRequest-interval字段，其中MsgType字段描述当前 消息为通道连接信息变化通知，NewIP-Addr字段描述发生变化的IP 地址，NewPortNo字段描述发生变化的端口号，LinkRequest-interval 字段描述发起新连接建立请求的时间间隔。

在Echoreply消息中增加MsgType、Result字段，其中MsgType 字段描述当前消息为通道连接信息变化应答，Result字段描述 OpenFlow交换机是否已成功更新本地配置的通道连接信息。

图5为本发明用于重新建立安全通信通道的系统一个实施例的示 意图。如图5所示，该系统可包括SDN控制器501、OpenFlow交换机 502。其中：

SDN控制器501，为图4中任一实施例涉及的SDN控制器。

OpenFlow交换机502，用于当接收到SDN控制器501发送的通道 连接信息变化通知时，根据SDN控制器自身发生变化的通道连接信息 更新本地配置的通道连接信息，启动定时器，并向SDN控制器501发 送通道连接信息变化应答；当定时器的定时时间期满后，根据本地配置 更新后的通道连接信息向SDN控制器501发送新通道建立请求。

基于本发明上述实施例提供的用于重新建立安全通信通道的系统， 当SDN控制器的通道连接信息发生变化时，能够及时将变化后的信息 同步到OpenFlow交换机侧，同时自动通知OpenFlow交换机发起新的 连接请求并建立安全通道。从而可提升SDN控制器与OpenFlow交换 机通信的实时性，极大减轻了维护工作量，同时改善了用户的业务感知。

优选的，OpenFlow交换机502还用于在接收到SDN控制器发送的 通道连接信息变化通知时，将通道连接信息变化通知中包括的时间间隔 信息作为所述定时器的定时时间。

在一个实施例中，根据本发明优化后的SDN控制器框图如图6所 示。其中，优化后的SDN控制器主要包括网络操作系统(NOS)、资源 数据库(RDB)模块、原Socket模块以及新Socket模块。网络的拓扑 以及相应的安全通道连接信息(如IP地址、端口号等)统一保存在RDB 中；NOS作为控制中心的核心模块，为上层APP(如网管APP)提供 平台服务，包括应用加载以及维护、消息服务、事件注册以及回调机制、 网络拓扑发现等；原Socket模块和新Socket模块提供SDN控制器南向 与OpenFlow交换机通信的功能，通过Openflow协议，实现OpenFlow 交换机的拓扑发现以及配置管理等功能，并读取OpenFlow交换机上报 的信息，监控OpenFlow交换机的设备状态。SDN控制器北向提供开放 的API接口，并允许用户自己进行定制和二次开发。

下面通过一个具体示例对本发明进行说明。

一个SDN网络如图7所示，由于IP地址资源问题，网络规划人员 要求对网络内的SDN控制器A的IP地址进行调整，从219.143.122.23 改为219.142.11.56，端口号6633保持不变。相应的信息交互如图8所 示。

步骤801，SDN控制器与OpenFlow交换机建立安全通信通道。

步骤802，网络运维人员接到SDN控制器IP地址变更通知后，通 过相应应用向SDN控制器发送修改SDN控制器通道连接信息请求。

步骤803，SDN控制器通过现有建立的安全通道，向所有已建立连 接的OpenFlow交换机发送通道连接信息变化通知消息。该消息的主要 字段如表3所示。

表3

步骤804，OpenFlow交换机接收到通知后，更新本地配置的SDN 控制器的IP地址。

步骤805，OpenFlow交换机按照LinkRequest-interval字段定义的 时长值启动定时器。

步骤806，OpenFlow交换机通过现有建立的安全通道，将通道连 接信息变化应答发送给SDN控制器。该应答的主要字段如表4所示。

表4

步骤807，SDN控制器接收到应答后，更新本地配置的IP地址信 息。

步骤808，SDN控制器向应用返回修改SDN控制器通道连接信息 成功消息。

步骤809，OpenFlow交换机在定时器到期后，向SDN控制器发送 新通道建立请求。

步骤810，SDN控制器接收到新通道建立请求后，与OpenFlow交 换机重新建立安全通信通道。

通过实施本发明，可以得到以下有益效果。

1.基于SDN架构及主流Openflow协议实现，顺应未来网络发展 趋势；

2.有效利用原有通信通道，自动快速将SDN控制器的通道连接信 息通知到OpenFlow交换机；

3.OpenFlow交换机重新发起连接请求的时间间隔可随机配置或 人为指定，有效避免大量OpenFlow交换机同时重新连接时对 SDN控制器的冲击。

此外，由于本发明无需人工干预，能够在SDN控制器通道连接信 息变化时，自动实现SDN控制器与OpenFlow交换机通信通道的重新 建立，极大减轻了维护人员的配置工作量，可以有效降低运营商的运营 费用(Opex)，并在一定程度上提升用户的业务感知。本发明具有较为 广泛的适用性，既适用于纯OpenFlow交换机应用场景，也适用于混合 模式的交换机应用场景。

本领域普通技术人员可以理解实现上述实施例的全部或部分步 骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所 述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介 质可以是只读存储器，磁盘或光盘等。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的 或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技 术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理 和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适 于特定用途的带有各种修改的各种实施例。