技術領域

本發明涉軟件定義網絡技術領域，尤其涉及一種靈活可擴展且安全的域間拓撲發現方法。

背景技術

傳統網絡中，域間拓撲發現是根據諸如BGP之類的外部網關路由協議實現的，由于傳統方法依賴于具體的協議，靈活性和可管理性較差，且拓撲發現和路由計算結合在一起，可擴展性較差。軟件定義網絡（SDN）中將拓撲發現作為獨立的模塊向路由管理等業務提供統一的網絡視圖（Network?View）接口，通過使用域間鏈路層發現協議（LLDP）實現網絡拓撲發現；拓撲發現模塊實時維護全網一致性網絡視圖，不需要依賴其他業務，有效地提高了網絡管理的靈活性和可擴展性。但現有的方式沒有考慮網絡中出現的Sybil?、RIB?Poisoning等網絡攻擊，將會導致通信過程中通信實體身份不明和信息丟失等安全問題。

傳統網絡的域間拓撲結構發生變化時，其數據面更新會依據諸如BGP之類的外部網關路由協議進行。BGP規定，域的邊界節點使用TCP協議與相鄰域的邊界節點建立連接，以構建鄰居關系；鄰居間相互發送NLRI更新信息，以交換路由表。通過這些方式，邊界節點得以及時獲得最新的域間路由拓撲。但存在拓撲發現依賴于具體的協議，可管理性與靈活性較差，且由于更新過程依賴于路由算法，收斂過程較慢，導致其他業務無法及時得到網絡最新拓撲結構，存在安全漏洞。

SDN網絡架構中，SDN控制器以集中方式控制由多個交換機所構成的域，本域與其他互連域的域間拓撲的一致性維護通過LLDP協議來實現，LLDP協議每隔一定的時間間隔從域內交換機的所有端口發送LLDP數據包。拓撲發現與其他業務相互獨立，當域間網絡拓撲發生變化時，域間拓撲發現模塊更新網絡視圖，其他業務通過域間拓撲發現模塊向外提供的接口來獲取最新的一致性網絡視圖，提高了網絡的靈活性和可擴展性。

本發明涉及使用以下SDN中已有的概念、技術或工具：

SDN控制器是根據OpenFlow協議設計的控制軟件，用于管理數據流、配置網絡設備、制定流表（Flow?Table）、承擔網絡業務與網絡設備間的通訊。一個域可以由一個控制器集中控制，或是由多個控制器分布式控制。

SDN中的交換機服從OpenFlow協議，稱OpenFlow交換機（OFS）。OFS由SDN控制器管控，其流表由SDN控制器制定和修改。

OpenFlow協議支持的安全通道實現OFS和SDN控制器之間的通信。

網絡視圖（Network?View）是SDN網絡中實時維護的域內和域間的物理鏈路狀態信息及每個OFS節點狀態信息。

OpenFlow協議參見：OpenFlow?Switch?Specification?Version?1.0.2?(Wire?Protocol?0x01)，?December?31，?2009。

發明內容

本發明的目的是克服現有技術的不足，提供一種靈活可擴展且安全的域間拓撲發現方法。

本發明的目的是通過以下技術方案來實現的：一種靈活可擴展且安全的域間拓撲發現方法，包括如下步驟：

步驟1：初始網絡中，每個OpenFlow交換機（OFS）都和一個軟件定義網絡（SDN）控制器相連，由同一個SDN控制器管理的所有OFS組成一個域，每個OFS有全網唯一的標識符（DataPathId），每個域有全網唯一的域編號（Domain?ID），每個控制器擁有一對公鑰/私鑰對，私鑰保密，每個SDN控制器維護一個密鑰庫，密鑰庫中包含本域的公鑰/私鑰對和其他域的公鑰，公鑰通過域的唯一域編號查找密鑰庫獲得。

步驟2：SDN控制器在收到OFS發來的連接信息后，生成擴充的LLDP數據包，擴充的LLDP數據包除包括LLDP要求的基本信息（包括Chassis?ID、Port?ID、TTL及End?TLV）之外，還包括域編號（Domain?ID）、發送序號（TimeStamp）和簽名（Signature），其中Domain?ID為每個域的唯一標識，TimeStamp是為了驗證收到的LLDP包是否為最新的一個，Signature為用本控制器的私鑰校驗LLDP數據包的其他所有字段；

步驟3：SDN控制器將步驟2生成的擴充LLDP數據包，每隔一定時間間隔從OFS所有端口發送出去；