一种基于OpenFlow的可信可控组播控制器的制造方法

一种基于OpenFlow的可信可控组播控制器的制造方法
【专利摘要】本发明公开了一种基于OpenFlow的可信可控的组播控制器，组播控制器通过OpenFlow交换机连接到身份认证的主机，组播控制器制定并下发流表给OpenFlow交换机，实现将组播数据传输到通过身份认证的主机。基于组播接收者的身份认证，实现了组播接收者的可信；组播在组播组成员管理时，使用可信可控的组播控制器进行集中管理，没有使用传统的IGMP协议，避免了IGMP的周期性查询，减少了主机响应的延时；基于OpenFlow技术实现的当组播组成员变化时，组播分发树在加入/剪枝操作上可以根据OpenFlow交换机上的对应端口的带宽和速率限制等，动态选择和调整组播数据的转发路径，优化了组播分发树切换的响应时间，在可信可控高清组播领域将具有良好的应用前景。
【专利说明】—种基于OpenF1w的可信可控组播控制器
【技术领域】
[0001]本发明涉及计算机网络通信【技术领域】，具体涉及一种基于OpenFlow的可信可控的组播控制器。
【背景技术】
[0002]随着云计算和互联网应用的发展，未来网络流媒体所占比重越来越大，基于宽带网络的流媒体、视频会议等各种宽带增值业务和IPTV，视频监控专网系统等都要用到IP组播技术。但是，由于传统IP组播天生不可靠，并且一般都是典型的使用用户数据报协议(UDP),组播数据报可能发生丢失，延迟，重复以及乱序到达等现象。因此，对可信可控高清组播的需求已经越来越强烈，组播的运营和业务管理等问题亟需解决。
[0003]由于组播管理协议(IGMP)自身的不完善，组播协议中没有提供用户认证支持，用户可以随意加入任意一个组播组，并可以任意离开，组播源无法知道用户何时加入何时退出，无法统计出某个时间内网络上共有多少个用户在接收组播流量；在组播系列协议中缺乏对组播源的有效控制，同样也无法对用户进行有效控制等难以实现组播的可信可控。
[0004]与此同时，新兴的开放OpenFlow网络与传统IP网络形成鲜明对比，OpenFlow网络通信架构具有集中控制的特点，增加了网络管理的灵活性和可扩展性。它的核心思想是将网络的控制平面和数据转发两个主要功能进行分离，分别由网络中的传输结点，即OpenFlow交换机，以及网络中的控制结点，即核心控制器来实现。目前有关OpenFlow网络的研究正在逐步展开，涉及传统互联网中的一些关键技术，诸如IP路由、服务质量保证(QOS)以及组播管理等。因此如何将OpenFlow网络通信架构和加入认证的组播管理协议有机的结合起来，以实现可信可控组播中的应用，是当前迫切需要解决的问题。
[0005]
【发明内容】

本发明的目的在于提出一种基于OpenFlow的可信可控的组播控制器，利用新的可信可控组播控制器，实现提供身份认证的组播组成员管理，通过组播管理模块控制维护生成组播分发树，下发具体的转发流表到OpenFlow交换机。
[0006]可信可控组播控制器的设计框图如附图1所示。可信可控的组播控制器是在开源Floodlight控制器的基础上实现的，主要包括网络拓扑及链路信息计算模块，组播管理模块，认证管理模块。
[0007]一种基于OpenFlow的可信可控组播控制器，包括网络拓扑及链路信息计算模块、组播管理模块和认证管理模块；组播控制器通过OpenFlow交换机连接到身份认证的主机，组播控制器制定并下发流表给OpenFlow交换机,实现将组播数据传输到通过身份认证的主机。
[0008]网络拓扑及链路信息计算模块负责构造出完整的网络拓扑，通过运行拓扑发现协议，收集与当前控制器连接的所有OpenFlow交换机的节点和链路信息，生成网络邻接表；
认证管理模块负责对申请加入组播组的主机进行身份认证，已经通过身份认证的主机可以加入组播组，否则，丢弃加入组播组的请求数据包，不予处理； 组播管理模块通过和网络拓扑及链路信息计算模块通信，获取并生成最新的组播组成员列表当有主机申请加入或退出组播组时，组播管理模块负责维护并更新组播组成员信息等，重新计算更新组播生成树，下发具体的转发流表到OpenFlow交换机。
[0009]对申请加入组播组的主机进行身份认证的具体步骤:
Cl)主机向直接相连的OpenFlow交换机发送挑战请求报文，其中Host表示主机，OFS表示OpenFlow交换机，UID唯一标识主机信息，MGA表示某一个组播组地址:Host—>0FS:UID、MGA、Request。
[0010](2)0penFloW交换机接收挑战请求报文，直接转发给组播控制器，组播控制器的组播管理模块在组成员关系列表中检索主机WD，如果检索到在MGA组播组中已经存在UID主机，说明该主机已经通过身份认证，丢弃请求报文，不予处理。否则由组播组管理模块记录并维护申请加入的主机列表，认证管理器产生共享密钥key并通过OpenFlow交换机向主机发送挑战请求响应报文。
[0011](3)主机使用共享密钥key以HMAC-SHAl方式加密UID与MGA,并向直接相连的OpenFlow交换机发送认证请求报文。
[0012](4) OpenFlow交换机接收该认证请求报文，直接转发给组播控制器，认证管理模块和组播组管理模块通信，在组播组管理模块维护的申请加入者表中检索主机WD’和MGA’，然后使用key以HMAC-SHAl方式加密WD’和MGA’，并检查密文HMAC-SHAl {UID’，MGA’} key 与接收到的密文 HMAC-SHAl {UID, MGA} key 是否匹配:
1)如果匹配成功，组播控制器通过OpenFlow交换机向主机发送身份认证成功的应答报文:UID、MGA、SUCCESS。组播组管理模块将主机信息加入组播组成员列表中，并更新申请者列表信息。
2)如果检索失败或匹配失败，组播控制器通过OpenFlow交换机向主机发送身份认证失败的应答报文WID、MGA、FAILURE。
[0013]主机申请退出组播组的具体步骤:
(1)当主机不再需要接收组播流数据包时，向直连的OpenFlow交换机发送退出请求报文:Host — >0FS:UID、MGA
(2)0penFlow交换机接收该退出请求报文，直接转发给组播控制器，组播组管理模块根据主机WD和MGA查询并更新当前的组播组成员列表，然后根据该组播组新的成员列表重新计算组播生产树，最后更新组播组数据包的转发规则，更新与退出主机直连的OpenFlow交换机相应流表项。
[0014]本发明与现有技术相比，其显著优点:本发明基于组播接收者主机的身份认证，以实现组播接收者的可信；本发明在进行组播组成员管理时，使用可信可控的组播控制器进行集中管理，没有使用传统的IGMP协议，避免了 IGMP的周期性查询，在可信可控高清组播领域将有良好的应用前景。
【专利附图】

【附图说明】
[0015]图1是本发明的基于OpenFlow的可信可控组播控制器的系统设计框图。
[0016]图2是本发明的主机申请加入组播组及认证过程的具体流程图。
[0017]图3是本发明的基于OpenFlow的可信可控组播控制器的主机加入和退出组播组 时身份认证过程的示意图。
【具体实施方式】
[0018]下面将结合说明书附图，进一步详细说明本发明。
[0019]可信可控组播控制器的系统框图如附图1所示，它由一台组播控制器及与之通信的若干台OpenFlow交换机组成。可信可控的组播控制器在开源Floodlight控制器的基础上，主要包括网络拓扑及链路信息计算模块，组播管理模块，认证管理模块。
[0020]其所述网络拓扑及链路信息计算模块通过链路发现获取整个网络的拓扑信息，尤其是OpenFlow交换机的端口消息，并在主机申请加入或退出组播组时，更新获取新的网络拓扑结构；
组播管理模块负责生成并维护组播组成员列表，然后通过控制消息监控组播数据包的转发，根据当前网络负载情况，动态调整组播流的转发路径，控制组播分发树进行组播数据包转发；
认证管理模块负责创建和维护认证密钥信息，保存和下发组播组安全策略；检查申请加入组播组的主机直接相连的边缘OpenFlow交换机给组播控制器发送的身份认证请求。
[0021]附图2显示了当主机申请加入某个特定组播组的总体流程图，它描述了基于OpenFlow的可信可控组播控制器的方法的总的流程图，包括以下步骤:
1)由网络拓扑及链路信息计算模块构建网络拓扑
通过网络拓扑及链路信息计算模块控制OpenFlow交换机运行拓扑发现协议，收集当前所有网络节点和链路信息，生成邻居信息表，并构造出完整的网络拓扑，所述网络拓扑包含各个交换机的序列号，交换机ID，端口 ID，交换机的连接状态和交换机的连接端口状态信息，根据ACL获取的端口的可用带宽等信息；
2)对申请加入组播组的主机进行身份认证
为了便于描述，在组播控制器的认证管理模块中，引入以下符号:认证管理器AM;认证管理器发放的组播认证码AU ;认证管理器用于生成组播认证码的密钥GK ;主机的直连OpenFlow 交换机 OFS ；
申请加入组播组的主机通过与其直连的OpenFlow交换机OFS向认证管理器AM注册。如果注册成为合法接收者，则在认证管理器AM中保留全局唯一的注册信息〈Gr0UpID，MaC，Port〉映射。
[0022]认证管理器AM负责创建和维护认证密钥GK，保存和下发组播组安全策略到合法接收者直连的OpenFlow交换机；
合法组播接收者可以从AM中获取组播认证码AU，拥有AU并且通过认证的接收者才能获取组播数据，其中组播认证码AU由组播组地址MGA，认证密钥GK和组播接收者全局唯一的注册信息〈GroupID, Mac, Port〉通过哈希获得；
对申请加入组播组的主机进行身份认证的过程以及具体算法进行描述。
[0023](I)主机向直接相连的OpenFlow交换机发送挑战请求报文，其中Host表示主机，OFS表示OpenFlow交换机，UID唯一标识主机信息，MGA表示某一个组播组地址:Host—>0FS:UID、MGA、Request。
[0024](2)0penFloW交换机接收挑战请求报文，直接转发给组播控制器，组播控制器的组播管理模块在组成员关系列表中检索主机nD，如果检索到在MGA组播组中已经存在UID主机，说明该主机已经通过身份认证，丢弃请求报文，不予处理。否则由组播组管理模块记录并维护申请加入的主机列表，认证管理器产生组播认证码AU并通过OpenFlow交换机向主机发送挑战请求响应报文。
[0025](3)主机使用共享密钥key以HMAC-SHA1方式加密UID与MGA,并向直接相连的OpenFlow交换机发送认证请求报文。
[0026](4) OpenFlow交换机接收该认证请求报文，直接转发给组播控制器，认证管理模块和组播组管理模块通信，在组播组管理模块维护的申请加入者表中检索主机WD’和MGA’，然后使用key以HMAC-SHA1方式加密WD’和MGA’，并检查密文HMAC-SHA1 {UID，，MGA’} key 与接收到的密文 HMAC-SHA1 {UID, MGA} key 是否匹配:
1)如果匹配成功，组播控制器通过OpenFlow交换机向主机发送身份认证成功的应答报文:UID、MGA、SUCCESS。组播组管理模块将主机信息加入组播组成员列表中，并更新申请者列表信息。
2)如果检索失败或匹配失败，组播控制器通过OpenFlow交换机向主机发送身份认证失败的应答报文WID、MGA、FAILURE。
[0027]当主机不再需要接收组播流数据包时，向直连的OpenFlow交换机发送退出请求报文:Host - >0FS:UID、MGA
OpenFlow交换机接收该退出请求报文，直接转发给组播控制器，组播组管理模块根据主机UID和MGA查询并更新当前的组播组成员列表，然后根据该组播组新的成员列表并根据全局交换机组播组的信息，计算主机和组播源的转发路径，下发转发流表，对相应路径上的组播交换机进行流表项的增加或者删除。
【权利要求】
1.一种基于OpenFlow的可信可控组播控制器，其特征在于:包括网络拓扑及链路信息计算模块、组播管理模块和认证管理模块；组播控制器通过OpenFlow交换机连接到身份认证的主机，组播控制器制定并下发流表给OpenFlow交换机,实现将组播数据传输到通过身份认证的主机； 网络拓扑及链路信息计算模块负责构造出完整的网络拓扑，通过运行拓扑发现协议，收集与当前控制器连接的所有OpenFlow交换机的节点和链路信息，生成网络邻接表; 认证管理模块负责对申请加入组播组的主机进行身份认证，已经通过身份认证的主机可以加入组播组，否则，丢弃加入组播组的请求数据包，不予处理； 组播管理模块通过和网络拓扑及链路信息计算模块通信，获取并生成最新的组播组成员列表，当有主机申请加入或退出组播组时，组播管理模块负责维护并更新组播组成员信息，重新计算更新组播生成树，下发具体的转发流表到OpenFlow交换机。
2.根据权利要求1所述的基于OpenFlow的可信可控组播控制器，其特征在于:所述对申请加入组播组的主机进行身份认证的具体步骤如下: Cl)主机向直接相连的OpenFlow交换机发送挑战请求报文，其中Host表示主机，OFS表示OpenFlow交换机，UID唯一标识主机信息，MGA表示某一个组播组地址:Host—>OFS:UID、MGA、Request ； (2)OpenFlow交换机接收挑战请求报文,直接转发给组播控制器,组播控制器的组播管理模块在组成员关系 列表中检索主机WD，如果检索到在MGA组播组中已经存在UID主机，说明该主机已经通过身份认证，丢弃请求报文，不予处理；否则由组播组管理模块记录并维护申请加入的主机列表，认证管理器产生共享密钥key并通过OpenFlow交换机向主机发送挑战请求响应报文； (3)主机使用共享密钥key以HMAC-SHA1方式加密UID与MGA,并向直接相连的OpenFlow交换机发送认证请求报文； (4)0penFlow交换机接收该认证请求报文,直接转发给组播控制器,认证管理模块和组播组管理模块通信，在组播组管理模块维护的申请加入者表中检索主机WD’和MGA’，然后使用 key 以 HMAC-SHA1 方式加密 UID’ 和 MGA’，并检查密文 HMAC-SHAl {UID’，MGA’} key与接收到的密文HMAC-SHAl {UID, MGA} key是否匹配: 1)如果匹配成功，组播控制器通过OpenFlow交换机向主机发送身份认证成功的应答报文WID、MGA、SUCCESS，组播组管理模块将主机信息加入组播组成员列表中，并更新申请者列表信息； 2)如果检索失败或匹配失败，组播控制器通过OpenFlow交换机向主机发送身份认证失败的应答报文AID、MGA、FAILURE。
3.根据权利要求1所述的基于OpenFlow的可信可控组播控制器，其特征在于:所述主机申请退出组播组的具体步骤如下: (1)当主机不再需要接收组播流数据包时，向直连的OpenFlow交换机发送退出请求报文:Host — >0FS:UID、MGA ； (2)0penFlow交换机接收该退出请求报文，直接转发给组播控制器，组播组管理模块根据主机WD和MGA查询并更新当前的组播组成员列表，然后根据该组播组新的成员列表重新计算组播生产 树，最后更新组播组数据包的转发规则，更新与退出主机直连的OpenFlow交换机相应流表项。
【文档编号】H04L12/761GK103825828SQ201310718446
【公开日】2014年5月28日 申请日期:2013年12月23日 优先权日:2013年12月23日
【发明者】田金川, 兰少华, 卜祥贺, 陆维迪 申请人:南京理工大学