一種網絡策略獲取方法及數據中心交換機的製作方法

2023-06-05 10:03:36

專利名稱：一種網絡策略獲取方法及數據中心交換機的製作方法
技術領域：
本發明涉及數據通信領域，尤其涉及一種網絡策略獲取方法及數據中心交換機。
背景技術：
數據中心交換機作為將虛擬機(VM，Virtual Machine)接入到網絡中的設備，必須能夠識別出VM的流量，並將相關網絡策略，如服務質量(QoS，Quality of Service)、訪問控制列表(ACL，Access Control List)等運用在VM流量上，從而實現對VM的流量監管控制等功能。美國電氣和電子工程師協會制訂了 一套解決方案，可以讓數據中心交換機配合VM工作。每個VM都有一個虛擬接口(VSI, Virtual Station Interface),數據中心伺服器中的虛擬層軟體通過VSI 發現與配置協議(VDP, VSI Discovery and configuration Protocol)向數據中心交換機發送VDP請求報文；數據中心交換機根據VDP請求報文向網管伺服器請求對應的網絡策略信息，並運用到數據中心交換機與VSI相連的埠上，實現對VM的流量監管控制。在實際應用中，網管伺服器有可能位於公共網絡之中，數據中心交換機向網管伺服器請求對應的網絡策略信息時，網絡策略有可能被黑客截取並篡改，如此，數據中心交換機存在極大的安全隱患。

發明內容
有鑑於此，本發明的主要目的在於提供一種網絡策略獲取方法及數據中心交換機，能夠保證網絡策略的安全性。為達到上述目的，本發明的技術方案是這樣實現的:本發明提供了一種網絡策略獲取方法，該方法包括:在接收到數據中心伺服器發送的VDP請求報文時，根據所述VDP請求報文攜帶的自定義可變格式TLV，解析出用戶名、密碼、以及共享密鑰；生成隨機認證字，並根據所述密碼、共享密鑰、隨機認證字獲取加密密碼；發送攜帶有所述用戶名、加密密碼、以及隨機認證字的訪問請求數據包至網管伺服器；在網管伺服器對訪問請求數據包認證成功後，接收網管伺服器發送的攜有網絡策略的訪問接收數據包,並執行所述訪問接收數據包中的網絡策略。上述方案中，所述根據密碼、共享密鑰、隨機認證字獲取加密密碼為:將隨機認證字與共享密鑰進行MD5計算，並將計算結果和密碼進行異或運算，得到加密密碼。上述方案中，所述網管伺服器對訪問請求數據包認證成功為:網管伺服器根據訪問請求數據包中的隨機認證字和本地存儲的共享密鑰進行MD5計算，將計算結果和訪問請求數據包中的加密密碼進行異或的反向運算，得到密碼；當所述密碼、及其對應的用戶名與網管伺服器存儲的密碼、及其對應的用戶名一致時，網管伺服器對訪問請求數據包認證成功；
或者，網管伺服器將訪問請求數據包中的隨機認證字和本地存儲的共享密鑰進行MD5計算，將計算結果和本地存儲的密碼進行異或運算，得到加密密碼；當所述加密密碼、及其對應的用戶名與訪問請求數據包中的加密密碼、及其對應的用戶名一致時，網管伺服器對訪問請求數據包認證成功。上述方案中，該方法還包括:在網管伺服器對訪問請求數據包認證失敗後，接收網管伺服器發送的訪問拒絕數據包。上述方案中，所述執行訪問接收數據包中的網絡策略為:將所述網絡策略運行在數據中心交換機的埠上，所述埠連接虛擬機中的虛擬埠。上述方案中，所述VDP請求報文攜帶的自定義可變格式TLV包括:類型、長度、值。上述方案中，所述可變格式TLV中的值包括:組織唯一標識符、組織自定義信息；其中，所述組織唯一標識符由三個字節組成，表示廠商的標識；所述組織自定義信息包括:密碼長度、密碼、用戶名長度、用戶名、共享密鑰長度、共享密鑰。本發明提供了一種數據中心交換機，該數據中心交換機包括:第一接收單元、發送單元、第二接收單元、執行單元；其中，所述第一接收單元，用於接收到數據中心伺服器發送的VDP請求報文時，根據所述VDP請求報文攜帶的自定義可變格式TLV，解析出用戶名、密碼、以及共享密鑰，並將所述用戶名、密碼、以及共享密鑰發送至發送單元；所述發送單元，用於接收第一接收單元發送的用戶名、密碼、以及共享密鑰，並生成隨機認證字；根據所述密碼、共享密鑰、隨機認證字獲取加密密碼；發送攜帶有所述用戶名、加密密碼、以及隨機認證字的訪問請求數據包至網管伺服器進行認證；所述第二接收單元，用於在網管伺服器對訪問請求數據包認證成功後，接收網管伺服器發送的攜有網絡策略的訪問接收數據包，並根據所述訪問接收數據包將策略信息發送至執行單元；所述執行單元，用於接收第二接收單元發送的策略信息，並執行所述策略信息。上述方案中，所述發送單元，根據所述密碼、共享密鑰、隨機認證字獲取加密密碼為:將隨機認證字與共享密鑰進行MD5計算，並將計算結果和密碼進行異或運算，得到加密密碼。上述方案中，所述第二接收單元，還用於在網管伺服器對訪問請求數據包認證失敗後，接收網管伺服器發送的訪問拒絕數據包。上述方案中，所述訪問接收數據包包括:VSI類型標識、VSI類型版本標識、以及對應於該VSI類型的網絡策略。上述方案中，所述訪問請求數據包包括:VSI類型標識、VSI類型版本標識、用戶名、加密密碼、以及隨機認證字。本發明提供的網絡策略獲取方法及數據中心交換機，在接收到數據中心伺服器發送的VDP請求報文時，根據所述VDP請求報文攜帶的自定義可變格式TLV，解析出用戶名、密碼、以及共享密鑰；生成隨機認證字，並根據所述密碼、共享密鑰、隨機認證字獲取加密密碼；發送攜帶有所述用戶名、加密密碼、以及隨機認證字的訪問請求數據包至網管伺服器；在網管伺服器對訪問請求數據包認證成功後，接收網管伺服器發送的攜有網絡策略的訪問接收數據包，並執行所述訪問接收數據包中的網絡策略；如此,可以通過對訪問請求數據包進行認證的方式來保證網絡策略的安全性。


圖1為本發明網絡策略獲取方法實現流程示意圖；圖2為本發明數據中心交換機的結構組成示意圖。
具體實施例方式為了能夠更加詳盡地了解本發明的特點與技術內容，下面結合附圖對本發明的實現進行詳細闡述，所附附圖僅供參考說明之用，並非用來限定本發明。圖1為本發明網絡策略獲取方法實現流程示意圖，如圖1所示，該方法包括步驟:步驟101:數據中心交換機在接收到數據中心伺服器發送的VDP請求報文時，根據所述VDP請求報文攜帶的自定義可變格式(TLV)，解析出用戶名、密碼、以及共享密鑰；生成隨機認證字，並根據所述密碼、共享密鑰、隨機認證字獲取加密密碼；發送攜帶有所述用戶名、加密密碼、以及隨機認證字的訪問請求(Access-Require)數據包至網管伺服器；上述方案中，所述根據密碼、共享密鑰、隨機認證字獲取加密密碼包括:將隨機認證字與共享密鑰進行消息摘要算法第五版(MD5, Message Digest Algorithm5)計算,並將計算結果和密碼進行異或運算，得到加密密碼；上述方案中，所述VDP請求報文中攜帶一種可變格式，所述可變格式包括:類型(Type)、長度(Length)、值(Value),所述可變格式稱作類型長度值(TLV, Type LengthValue);其中，TLV中的Type表示VDP請求報文的類型；TLV中的Length表示整個TLV的長度；TLV中的Value表示VDP請求報文所攜帶的信息，包括:組織唯一標識符(0UI，Organizationally Unique Identifier) > 組織自定義信息(ODI, OrganizationallyDefined Information);進一步的,所述OUI由三個字節組成,表示廠商的標識；所述ODI包括:密碼長度(Password Length)、密碼(Password)、用戶名長度(User-name Length)、用戶名(User-name)、共享密鑰長度(Share Key Length)、共享密鑰(Share Key)；這裡，所述TLV中的Type在數據中心伺服器中根據VDP可以設置為0X7F ；上述方案中，所述VDP請求報文攜帶關聯TLV，從所述關聯TLV中可以獲取:VSI類型標識(VSI Type ID)、VSI 類型版本標識(VSI Type Version ID)、VSI 標識格式(VSI IDformat)、VSI實例標識(VSI ID);所述關聯TLV根據網管伺服器設置的VSI資料庫進行設置，具體的，數據中心伺服器從網管伺服器設置的VSI資料庫中獲取所需的VSI配置信息，如 VSI Type ID,VSI TypeVersion ID，並根據 VSI 配置信息，如所述 VSI Type ID,VSI TypeVersion ID，為VM創建VSI實例，所述VSI實例包括:VSI ID format、VSI ID ;將所述VSIType ID,VSI Type Version ID,VSI ID format,VSI ID 作為關聯 TLV 中的信息；上述方案中，所述VSI資料庫由VSI條目組成,每個VSI條目包括:VSI Type ID、VSI Type VersionID、以及對應於該VSI類型的網絡策略，如QoS、ACL等；上述方案中，所述VDP請求報文攜帶VSI網管伺服器標識TLV(VSI Manager IDTLV)，從所述VSI Manager ID TLV中可以獲取管伺服器標識(Manager ID)；
上述方案中，所述ODI通過數據中心交換機與網管伺服器之間的遠程用戶撥號認證服務(RADIUS, Remote Authentication Dial In User Service)協議創建；上述方案中，所述Access-Require數據包的目的IP位址為網絡管理伺服器的IP位址，即為Manager ID ；上述方案中，所述Access-Require數據包攜有信息:VSI Type ID、VSI TypeVersion ID、User-name、加密密碼、以及隨機認證字；其中，所述VSI Type ID、VSI TypeVersion ID根據VDP請求報文中的關聯TLV獲取；所述User-name根據VDP請求報文中的ODI獲取；所述加密密碼根據ODI中的Password、Share Key、以及生成的隨機認證字經過加
密獲取。步驟102:在網管伺服器對Access-Require數據包認證成功後,數據中心交換機接收網管伺服器發送的攜有網絡策略的訪問接收(Access-Accept)數據包，並執行所述Access-Accept數據包中的網絡策略；上述方案中，所述網管伺服器對Access-Require數據包認證成功包括:網管伺服器將訪問請求數據包中的隨機認證字和本地存儲的共享密鑰進行MD5計算，將計算結果和訪問請求數據包中的加密密碼進行異或的反向運算，得到密碼；當所述密碼、及其對應的用戶名與網管伺服器存儲的密碼、及其對應的用戶名一致時，網管伺服器對訪問請求數據包認證成功；或者，網管伺服器將訪問請求數據包中的隨機認證字和本地存儲的共享密鑰進行MD5計算，將計算結果和本地存儲的密碼進行異或運算，得到加密密碼；當所述加密密碼、及其對應的用戶名與訪問請求數據包中的加密密碼、及其對應的用戶名一致時，網管伺服器對訪問請求數據包認證成功。本步驟還包括:在網管伺服器對Access-Require數據包認證失敗後,數據中心交換機接收網管伺服器發送的訪問拒絕(Access-Reject)數據包；這裡,所述Access-Reject數據包表示數據中心交換機認證失敗；上述方案中，所述Access-Accept數據包攜有信息:VSI Type ID、VSI TypeVersion ID、以及對應於該VSI類型的網絡策略，如QoS、ACL等；其中，所述VSI Type ID、VSI Type Version ID 分別對應於 Access-Require 數據包中的 VSI Type ID、VSI TypeVersion ID ;所述網絡策略對應於VSI條目中與VSI類型對應的網絡策略；上述方案中，所述執行Access-Accept數據包中的網絡策略具體為:將所述策略信息運行在數據中心交換機的埠上，所述埠連接VM中的VSI，如此，可以對由VM產生的數據流依據所述策略進行監控。圖2為本發明數據中心交換機的結構組成示意圖，如圖2所示，該數據中心交換機包括:第一接收單元21、發送單元22、第二接收單元23、執行單元24 ;其中，所述第一接收單元21，用於接收到數據中心伺服器發送的VDP請求報文時，根據所述VDP請求報文攜帶的自定義可變格式TLV,解析出Password、User_name、Share Key,並將所述Password、User-name、Share Key發送至發送單兀22 ；所述發送單元22,用於接收第一接收單元21發送的Password、User-name、ShareKey,並生成隨機認證字；根據所述Password、Share Key、隨機認證字獲取加密密碼；發送攜帶有所述User-name、加密密碼、以及隨機認證字的訪問請求數據包至網管伺服器進行認證；所述第二接收單元23，用於在網管伺服器對Access-Require數據包認證成功後，接收網管伺服器發送的攜有網絡策略的Access-Accept數據包，並根據所述Access-Accept數據包將網絡策略發送至執行單元24 ；所述執行單元24，用於接收第二接收單元23發送的策略信息，並執行所述網絡策略。進一步的，所述第二接收單元23,還用於在網管伺服器對Access-Require數據包認證失敗後，接收網管伺服器發送的Access-Reject數據包。上述方案中，所述發送單元22,根據所述Password、Share Key、隨機認證字獲取加密密碼為:將隨機認證字與共享密鑰進行MD5計算，並將計算結果和密碼進行異或運算，得到加密密碼；上述方案中，所述VDP請求報文中攜帶一種可變格式，所述可變格式包括:Type、Length、Value，所述可變格式稱作TLV ;其中，TLV中的Type表示VDP請求報文的類型；TLV中的Length表示整個TLV的長度；TLV中的Value表示VDP請求報文所攜帶的信息，包括:OU1、ODI ;進一步的,所述OUI由三個字節組成,表示廠商的標識；所述ODI包括:PasswordLength、Password、User—name Length、User—name、Share Key Length、Share Key ；這裡，所述TLV中的Type在數據中心伺服器中根據VDP可以設置為0X7F ；上述方案中，所述VDP請求報文攜帶關聯TLV，從所述關聯TLV中可以獲取:VSIType ID,VSI Type Version ID,VSI ID format,VSI ID ;所述關聯 TLV 根據網管伺服器設置的VSI資料庫進行設置，具體的，數據中心伺服器從網管伺服器設置的VSI資料庫中獲取所需的 VSI 配置信息，如 VSI Type ID,VSI Type Version ID，並根據所述 VSI Type ID,VSIType Version ID為VM創建VSI實例，所述VSI實例包括:VSI ID format,VSI ID ;將所述VSI Type ID、VSI Type Version ID、VSI ID format, VSI ID 作為關聯 TLV 中的信息；上述方案中，所述VSI資料庫由VSI條目組成，每個VSI條目包括:VSI TypeID,VSI Type Version ID、以及對應於該VSI類型的網絡策略，如QoS、ACL等；上述方案中，所述VDP請求報文攜帶VSI Manager ID TLV,從所述VSI Manager IDTLV中可以獲取Manager ID ；上述方案中，所述ODI通過發送單元22與網管伺服器之間的RADIUS協議創建；上述方案中，所述Access-Require數據包的目的IP位址為網絡管理伺服器的IP位址，即為Manager ID ；上述方案中，所述Access-Require數據包攜有Access-Require信息:VSITypeID、VSI Type Version ID、User_name、加密密碼、以及隨機認證字；其中，所述VSI Type ID、VSIType Version ID根據VDP請求報文中的關聯TLV獲取；所述User-name根據VDP請求報文中的ODI獲取；所述加密密碼根據ODI中的Password、Share Key、以及生成的隨機認證字經過加密獲取。上述方案中，所述Access-Accept數據包攜有信息:VSI Type ID、VSITypeVersion ID、以及對應於該VSI類型的網絡策略，如QoS、ACL等；其中，所述VSI TypeID、VSI Type Version ID 分別對應於 Access-Require 數據包中的 VSI Type ID、VSI TypeVersion ID ;所述網絡策略對應於VSI條目中與VSI類型對應的網絡策略；
上述方案中，所述執行Access-Acc印t數據包中的網絡策略具體為:將所述網絡策略運行在數據中心交換機的埠上，所述埠連接VM中的VSI，如此，可以對由VM產生的數據流依據所述網絡策略進行監控。以上所述，僅為本發明的較佳實施例而已，並非用於限定本發明的保護範圍。
權利要求
1.一種網絡策略獲取方法，其特徵在於，該方法包括: 在接收到數據中心伺服器發送的VDP請求報文時，根據所述VDP請求報文攜帶的自定義可變格式TLV，解析出用戶名、密碼、以及共享密鑰；生成隨機認證字，並根據所述密碼、共享密鑰、隨機認證字獲取加密密碼；發送攜帶有所述用戶名、加密密碼、以及隨機認證字的訪問請求數據包 至網管伺服器； 在網管伺服器對訪問請求數據包認證成功後，接收網管伺服器發送的攜有網絡策略的訪問接收數據包，並執行所述訪問接收數據包中的網絡策略。
2.根據權利要求1所述的方法，其特徵在於，所述根據密碼、共享密鑰、隨機認證字獲取加密密碼為:將隨機認證字與共享密鑰進行MD5計算，並將計算結果和密碼進行異或運算，得到加密密碼。
3.根據權利要求1所述的方法，其特徵在於，所述網管伺服器對訪問請求數據包認證成功為: 網管伺服器根據訪問請求數據包中的隨機認證字和本地存儲的共享密鑰進行MD5計算，將計算結果和訪問請求數據包中的加密密碼進行異或的反向運算，得到密碼；當所述密碼、及其對應的用戶名與網管伺服器存儲的密碼、及其對應的用戶名一致時，網管伺服器對訪問請求數據包認證成功； 或者，網管伺服器將訪問請求數據包中的隨機認證字和本地存儲的共享密鑰進行MD5計算，將計算結果和本地存儲的密碼進行異或運算，得到加密密碼；當所述加密密碼、及其對應的用戶名與訪問請求數據包中的加密密碼、及其對應的用戶名一致時，網管伺服器對訪問請求數據包認證成功。
4.根據權利要求1、2或3所述的方法，其特徵在於，該方法還包括:在網管伺服器對訪問請求數據包認證失敗後，接收網管伺服器發送的訪問拒絕數據包。
5.根據權利要求1、2或3所述的方法，其特徵在於，所述執行訪問接收數據包中的網絡策略為:將所述網絡策略運行在數據中心交換機的埠上，所述埠連接虛擬機中的虛擬埠。
6.根據權利要求4所述的方法，其特徵在於，所述VDP請求報文攜帶的自定義可變格式TLV包括:類型、長度、值。
7.根據權利要求6所述的方法，其特徵在於，所述可變格式TLV中的值包括:組織唯一標識符、組織自定義信息；其中， 所述組織唯一標識符由三個字節組成，表示廠商的標識； 所述組織自定義信息包括:密碼長度、密碼、用戶名長度、用戶名、共享密鑰長度、共享密鑰。
8.一種數據中心交換機，其特徵在於，該數據中心交換機包括:第一接收單元、發送單元、第二接收單元、執行單元；其中， 所述第一接收單元，用於接收到數據中心伺服器發送的VDP請求報文時，根據所述VDP請求報文攜帶的自定義可變格式TLV，解析出用戶名、密碼、以及共享密鑰，並將所述用戶名、密碼、以及共享密鑰發送至發送單元； 所述發送單元，用於接收第一接收單元發送的用戶名、密碼、以及共享密鑰，並生成隨機認證字；根據所述密碼、共享密鑰、隨機認證字獲取加密密碼；發送攜帶有所述用戶名、加密密碼、以及隨機認證字的訪問請求數據包至網管伺服器進行認證； 所述第二接收單元，用於在網管伺服器對訪問請求數據包認證成功後，接收網管伺服器發送的攜有網絡策略的訪問接收數據包，並根據所述訪問接收數據包將策略信息發送至執行單元； 所述執行單元，用於接收第二接收單元發送的策略信息，並執行所述策略信息。
9.根據權利要求8所述的數據中心交換機，其特徵在於，所述發送單元，根據所述密碼、共享密鑰、隨機認證字獲取加密密碼為:將隨機認證字與共享密鑰進行MD5計算，並將計算結果和密碼進行異或運算，得到加密密碼。
10.根據權利要求8或9所述的數據中心交換機，其特徵在於，所述第二接收單元，還用於在網管伺服器對訪問請求數據包認證失敗後，接收網管伺服器發送的訪問拒絕數據包。
11.根據權利要求8或9所述的數據中心交換機，其特徵在於，所述訪問接收數據包包括:VSI類型標識、VSI類型版本標識、以及對應於該VSI類型的網絡策略。
12.根據權利要求 8或9所述的數據中心交換機，其特徵在於，所述訪問請求數據包包括:VSI類型標識、VSI類型版本標識、用戶名、加密密碼、以及隨機認證字。
全文摘要
本發明公開了一種網絡策略獲取方法，包括在接收到數據中心伺服器發送的VDP請求報文時，根據所述VDP請求報文攜帶的自定義可變格式TLV，解析出用戶名、密碼、以及共享密鑰；生成隨機認證字，並根據所述密碼、共享密鑰、隨機認證字獲取加密密碼；發送攜帶有所述用戶名、加密密碼、以及隨機認證字的訪問請求數據包至網管伺服器；在網管伺服器對訪問請求數據包認證成功後，接收網管伺服器發送的攜有網絡策略的訪問接收數據包，並執行所述訪問接收數據包中的網絡策略；本發明還同時公開了一種數據中心交換機，採用本發明，能夠保證網絡策略的安全性。
文檔編號H04L29/06GK103139201SQ20131002306
公開日2013年6月5日 申請日期2013年1月22日 優先權日2013年1月22日
發明者李偉禎 申請人:中興通訊股份有限公司