专利名称:一种网络策略获取方法及数据中心交换机的制作方法
技术领域:
本发明涉及数据通信领域,尤其涉及一种网络策略获取方法及数据中心交换机。
背景技术:
数据中心交换机作为将虚拟机(VM,Virtual Machine)接入到网络中的设备,必须能够识别出VM的流量,并将相关网络策略,如服务质量(QoS,Quality of Service)、访问控制列表(ACL,Access Control List)等运用在VM流量上,从而实现对VM的流量监管控制等功能。美国电气和电子工程师协会制订了 一套解决方案,可以让数据中心交换机配合VM工作。每个VM都有一个虚拟接口(VSI, Virtual Station Interface),数据中心服务器中的虚拟层软件通过VSI 发现与配置协议(VDP, VSI Discovery and configuration Protocol)向数据中心交换机发送VDP请求报文;数据中心交换机根据VDP请求报文向网管服务器请求对应的网络策略信息,并运用到数据中心交换机与VSI相连的端口上,实现对VM的流量监管控制。在实际应用中,网管服务器有可能位于公共网络之中,数据中心交换机向网管服务器请求对应的网络策略信息时,网络策略有可能被黑客截取并篡改,如此,数据中心交换机存在极大的安全隐患。
发明内容
有鉴于此,本发明的主要目的在于提供一种网络策略获取方法及数据中心交换机,能够保证网络策略的安全性。为达到上述目的,本发明的技术方案是这样实现的:本发明提供了一种网络策略获取方法,该方法包括:在接收到数据中心服务器发送的VDP请求报文时,根据所述VDP请求报文携带的自定义可变格式TLV,解析出用户名、密码、以及共享密钥;生成随机认证字,并根据所述密码、共享密钥、随机认证字获取加密密码;发送携带有所述用户名、加密密码、以及随机认证字的访问请求数据包至网管服务器;在网管服务器对访问请求数据包认证成功后,接收网管服务器发送的携有网络策略的访问接收数据包,并执行所述访问接收数据包中的网络策略。上述方案中,所述根据密码、共享密钥、随机认证字获取加密密码为:将随机认证字与共享密钥进行MD5计算,并将计算结果和密码进行异或运算,得到加密密码。上述方案中,所述网管服务器对访问请求数据包认证成功为:网管服务器根据访问请求数据包中的随机认证字和本地存储的共享密钥进行MD5计算,将计算结果和访问请求数据包中的加密密码进行异或的反向运算,得到密码;当所述密码、及其对应的用户名与网管服务器存储的密码、及其对应的用户名一致时,网管服务器对访问请求数据包认证成功;
或者,网管服务器将访问请求数据包中的随机认证字和本地存储的共享密钥进行MD5计算,将计算结果和本地存储的密码进行异或运算,得到加密密码;当所述加密密码、及其对应的用户名与访问请求数据包中的加密密码、及其对应的用户名一致时,网管服务器对访问请求数据包认证成功。上述方案中,该方法还包括:在网管服务器对访问请求数据包认证失败后,接收网管服务器发送的访问拒绝数据包。上述方案中,所述执行访问接收数据包中的网络策略为:将所述网络策略运行在数据中心交换机的端口上,所述端口连接虚拟机中的虚拟端口。上述方案中,所述VDP请求报文携带的自定义可变格式TLV包括:类型、长度、值。上述方案中,所述可变格式TLV中的值包括:组织唯一标识符、组织自定义信息;其中,所述组织唯一标识符由三个字节组成,表示厂商的标识;所述组织自定义信息包括:密码长度、密码、用户名长度、用户名、共享密钥长度、共享密钥。本发明提供了一种数据中心交换机,该数据中心交换机包括:第一接收单元、发送单元、第二接收单元、执行单元;其中,所述第一接收单元,用于接收到数据中心服务器发送的VDP请求报文时,根据所述VDP请求报文携带的自定义可变格式TLV,解析出用户名、密码、以及共享密钥,并将所述用户名、密码、以及共享密钥发送至发送单元;所述发送单元,用于接收第一接收单元发送的用户名、密码、以及共享密钥,并生成随机认证字;根据所述密码、共享密钥、随机认证字获取加密密码;发送携带有所述用户名、加密密码、以及随机认证字的访问请求数据包至网管服务器进行认证;所述第二接收单元,用于在网管服务器对访问请求数据包认证成功后,接收网管服务器发送的携有网络策略的访问接收数据包,并根据所述访问接收数据包将策略信息发送至执行单元;所述执行单元,用于接收第二接收单元发送的策略信息,并执行所述策略信息。上述方案中,所述发送单元,根据所述密码、共享密钥、随机认证字获取加密密码为:将随机认证字与共享密钥进行MD5计算,并将计算结果和密码进行异或运算,得到加密密码。上述方案中,所述第二接收单元,还用于在网管服务器对访问请求数据包认证失败后,接收网管服务器发送的访问拒绝数据包。上述方案中,所述访问接收数据包包括:VSI类型标识、VSI类型版本标识、以及对应于该VSI类型的网络策略。上述方案中,所述访问请求数据包包括:VSI类型标识、VSI类型版本标识、用户名、加密密码、以及随机认证字。本发明提供的网络策略获取方法及数据中心交换机,在接收到数据中心服务器发送的VDP请求报文时,根据所述VDP请求报文携带的自定义可变格式TLV,解析出用户名、密码、以及共享密钥;生成随机认证字,并根据所述密码、共享密钥、随机认证字获取加密密码;发送携带有所述用户名、加密密码、以及随机认证字的访问请求数据包至网管服务器;在网管服务器对访问请求数据包认证成功后,接收网管服务器发送的携有网络策略的访问接收数据包,并执行所述访问接收数据包中的网络策略;如此,可以通过对访问请求数据包进行认证的方式来保证网络策略的安全性。
图1为本发明网络策略获取方法实现流程示意图;图2为本发明数据中心交换机的结构组成示意图。
具体实施例方式为了能够更加详尽地了解本发明的特点与技术内容,下面结合附图对本发明的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明。图1为本发明网络策略获取方法实现流程示意图,如图1所示,该方法包括步骤:步骤101:数据中心交换机在接收到数据中心服务器发送的VDP请求报文时,根据所述VDP请求报文携带的自定义可变格式(TLV),解析出用户名、密码、以及共享密钥;生成随机认证字,并根据所述密码、共享密钥、随机认证字获取加密密码;发送携带有所述用户名、加密密码、以及随机认证字的访问请求(Access-Require)数据包至网管服务器;上述方案中,所述根据密码、共享密钥、随机认证字获取加密密码包括:将随机认证字与共享密钥进行消息摘要算法第五版(MD5, Message Digest Algorithm5)计算,并将计算结果和密码进行异或运算,得到加密密码;上述方案中,所述VDP请求报文中携带一种可变格式,所述可变格式包括:类型(Type)、长度(Length)、值(Value),所述可变格式称作类型长度值(TLV, Type LengthValue);其中,TLV中的Type表示VDP请求报文的类型;TLV中的Length表示整个TLV的长度;TLV中的Value表示VDP请求报文所携带的信息,包括:组织唯一标识符(0UI,Organizationally Unique Identifier) > 组织自定义信息(ODI, OrganizationallyDefined Information);进一步的,所述OUI由三个字节组成,表示厂商的标识;所述ODI包括:密码长度(Password Length)、密码(Password)、用户名长度(User-name Length)、用户名(User-name)、共享密钥长度(Share Key Length)、共享密钥(Share Key);这里,所述TLV中的Type在数据中心服务器中根据VDP可以设置为0X7F ;上述方案中,所述VDP请求报文携带关联TLV,从所述关联TLV中可以获取:VSI类型标识(VSI Type ID)、VSI 类型版本标识(VSI Type Version ID)、VSI 标识格式(VSI IDformat)、VSI实例标识(VSI ID);所述关联TLV根据网管服务器设置的VSI数据库进行设置,具体的,数据中心服务器从网管服务器设置的VSI数据库中获取所需的VSI配置信息,如 VSI Type ID,VSI TypeVersion ID,并根据 VSI 配置信息,如所述 VSI Type ID,VSI TypeVersion ID,为VM创建VSI实例,所述VSI实例包括:VSI ID format、VSI ID ;将所述VSIType ID,VSI Type Version ID,VSI ID format,VSI ID 作为关联 TLV 中的信息;上述方案中,所述VSI数据库由VSI条目组成,每个VSI条目包括:VSI Type ID、VSI Type VersionID、以及对应于该VSI类型的网络策略,如QoS、ACL等;上述方案中,所述VDP请求报文携带VSI网管服务器标识TLV(VSI Manager IDTLV),从所述VSI Manager ID TLV中可以获取管服务器标识(Manager ID);
上述方案中,所述ODI通过数据中心交换机与网管服务器之间的远程用户拨号认证服务(RADIUS, Remote Authentication Dial In User Service)协议创建;上述方案中,所述Access-Require数据包的目的IP地址为网络管理服务器的IP地址,即为Manager ID ;上述方案中,所述Access-Require数据包携有信息:VSI Type ID、VSI TypeVersion ID、User-name、加密密码、以及随机认证字;其中,所述VSI Type ID、VSI TypeVersion ID根据VDP请求报文中的关联TLV获取;所述User-name根据VDP请求报文中的ODI获取;所述加密密码根据ODI中的Password、Share Key、以及生成的随机认证字经过加
密获取。步骤102:在网管服务器对Access-Require数据包认证成功后,数据中心交换机接收网管服务器发送的携有网络策略的访问接收(Access-Accept)数据包,并执行所述Access-Accept数据包中的网络策略;上述方案中,所述网管服务器对Access-Require数据包认证成功包括:网管服务器将访问请求数据包中的随机认证字和本地存储的共享密钥进行MD5计算,将计算结果和访问请求数据包中的加密密码进行异或的反向运算,得到密码;当所述密码、及其对应的用户名与网管服务器存储的密码、及其对应的用户名一致时,网管服务器对访问请求数据包认证成功;或者,网管服务器将访问请求数据包中的随机认证字和本地存储的共享密钥进行MD5计算,将计算结果和本地存储的密码进行异或运算,得到加密密码;当所述加密密码、及其对应的用户名与访问请求数据包中的加密密码、及其对应的用户名一致时,网管服务器对访问请求数据包认证成功。本步骤还包括:在网管服务器对Access-Require数据包认证失败后,数据中心交换机接收网管服务器发送的访问拒绝(Access-Reject)数据包;这里,所述Access-Reject数据包表示数据中心交换机认证失败;上述方案中,所述Access-Accept数据包携有信息:VSI Type ID、VSI TypeVersion ID、以及对应于该VSI类型的网络策略,如QoS、ACL等;其中,所述VSI Type ID、VSI Type Version ID 分别对应于 Access-Require 数据包中的 VSI Type ID、VSI TypeVersion ID ;所述网络策略对应于VSI条目中与VSI类型对应的网络策略;上述方案中,所述执行Access-Accept数据包中的网络策略具体为:将所述策略信息运行在数据中心交换机的端口上,所述端口连接VM中的VSI,如此,可以对由VM产生的数据流依据所述策略进行监控。图2为本发明数据中心交换机的结构组成示意图,如图2所示,该数据中心交换机包括:第一接收单元21、发送单元22、第二接收单元23、执行单元24 ;其中,所述第一接收单元21,用于接收到数据中心服务器发送的VDP请求报文时,根据所述VDP请求报文携带的自定义可变格式TLV,解析出Password、User_name、Share Key,并将所述Password、User-name、Share Key发送至发送单兀22 ;所述发送单元22,用于接收第一接收单元21发送的Password、User-name、ShareKey,并生成随机认证字;根据所述Password、Share Key、随机认证字获取加密密码;发送携带有所述User-name、加密密码、以及随机认证字的访问请求数据包至网管服务器进行认证;所述第二接收单元23,用于在网管服务器对Access-Require数据包认证成功后,接收网管服务器发送的携有网络策略的Access-Accept数据包,并根据所述Access-Accept数据包将网络策略发送至执行单元24 ;所述执行单元24,用于接收第二接收单元23发送的策略信息,并执行所述网络策略。进一步的,所述第二接收单元23,还用于在网管服务器对Access-Require数据包认证失败后,接收网管服务器发送的Access-Reject数据包。上述方案中,所述发送单元22,根据所述Password、Share Key、随机认证字获取加密密码为:将随机认证字与共享密钥进行MD5计算,并将计算结果和密码进行异或运算,得到加密密码;上述方案中,所述VDP请求报文中携带一种可变格式,所述可变格式包括:Type、Length、Value,所述可变格式称作TLV ;其中,TLV中的Type表示VDP请求报文的类型;TLV中的Length表示整个TLV的长度;TLV中的Value表示VDP请求报文所携带的信息,包括:OU1、ODI ;进一步的,所述OUI由三个字节组成,表示厂商的标识;所述ODI包括:PasswordLength、Password、User—name Length、User—name、Share Key Length、Share Key ;这里,所述TLV中的Type在数据中心服务器中根据VDP可以设置为0X7F ;上述方案中,所述VDP请求报文携带关联TLV,从所述关联TLV中可以获取:VSIType ID,VSI Type Version ID,VSI ID format,VSI ID ;所述关联 TLV 根据网管服务器设置的VSI数据库进行设置,具体的,数据中心服务器从网管服务器设置的VSI数据库中获取所需的 VSI 配置信息,如 VSI Type ID,VSI Type Version ID,并根据所述 VSI Type ID,VSIType Version ID为VM创建VSI实例,所述VSI实例包括:VSI ID format,VSI ID ;将所述VSI Type ID、VSI Type Version ID、VSI ID format, VSI ID 作为关联 TLV 中的信息;上述方案中,所述VSI数据库由VSI条目组成,每个VSI条目包括:VSI TypeID,VSI Type Version ID、以及对应于该VSI类型的网络策略,如QoS、ACL等;上述方案中,所述VDP请求报文携带VSI Manager ID TLV,从所述VSI Manager IDTLV中可以获取Manager ID ;上述方案中,所述ODI通过发送单元22与网管服务器之间的RADIUS协议创建;上述方案中,所述Access-Require数据包的目的IP地址为网络管理服务器的IP地址,即为Manager ID ;上述方案中,所述Access-Require数据包携有Access-Require信息:VSITypeID、VSI Type Version ID、User_name、加密密码、以及随机认证字;其中,所述VSI Type ID、VSIType Version ID根据VDP请求报文中的关联TLV获取;所述User-name根据VDP请求报文中的ODI获取;所述加密密码根据ODI中的Password、Share Key、以及生成的随机认证字经过加密获取。上述方案中,所述Access-Accept数据包携有信息:VSI Type ID、VSITypeVersion ID、以及对应于该VSI类型的网络策略,如QoS、ACL等;其中,所述VSI TypeID、VSI Type Version ID 分别对应于 Access-Require 数据包中的 VSI Type ID、VSI TypeVersion ID ;所述网络策略对应于VSI条目中与VSI类型对应的网络策略;
上述方案中,所述执行Access-Acc印t数据包中的网络策略具体为:将所述网络策略运行在数据中心交换机的端口上,所述端口连接VM中的VSI,如此,可以对由VM产生的数据流依据所述网络策略进行监控。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种网络策略获取方法,其特征在于,该方法包括: 在接收到数据中心服务器发送的VDP请求报文时,根据所述VDP请求报文携带的自定义可变格式TLV,解析出用户名、密码、以及共享密钥;生成随机认证字,并根据所述密码、共享密钥、随机认证字获取加密密码;发送携带有所述用户名、加密密码、以及随机认证字的访问请求数据包 至网管服务器; 在网管服务器对访问请求数据包认证成功后,接收网管服务器发送的携有网络策略的访问接收数据包,并执行所述访问接收数据包中的网络策略。
2.根据权利要求1所述的方法,其特征在于,所述根据密码、共享密钥、随机认证字获取加密密码为:将随机认证字与共享密钥进行MD5计算,并将计算结果和密码进行异或运算,得到加密密码。
3.根据权利要求1所述的方法,其特征在于,所述网管服务器对访问请求数据包认证成功为: 网管服务器根据访问请求数据包中的随机认证字和本地存储的共享密钥进行MD5计算,将计算结果和访问请求数据包中的加密密码进行异或的反向运算,得到密码;当所述密码、及其对应的用户名与网管服务器存储的密码、及其对应的用户名一致时,网管服务器对访问请求数据包认证成功; 或者,网管服务器将访问请求数据包中的随机认证字和本地存储的共享密钥进行MD5计算,将计算结果和本地存储的密码进行异或运算,得到加密密码;当所述加密密码、及其对应的用户名与访问请求数据包中的加密密码、及其对应的用户名一致时,网管服务器对访问请求数据包认证成功。
4.根据权利要求1、2或3所述的方法,其特征在于,该方法还包括:在网管服务器对访问请求数据包认证失败后,接收网管服务器发送的访问拒绝数据包。
5.根据权利要求1、2或3所述的方法,其特征在于,所述执行访问接收数据包中的网络策略为:将所述网络策略运行在数据中心交换机的端口上,所述端口连接虚拟机中的虚拟端口。
6.根据权利要求4所述的方法,其特征在于,所述VDP请求报文携带的自定义可变格式TLV包括:类型、长度、值。
7.根据权利要求6所述的方法,其特征在于,所述可变格式TLV中的值包括:组织唯一标识符、组织自定义信息;其中, 所述组织唯一标识符由三个字节组成,表示厂商的标识; 所述组织自定义信息包括:密码长度、密码、用户名长度、用户名、共享密钥长度、共享密钥。
8.一种数据中心交换机,其特征在于,该数据中心交换机包括:第一接收单元、发送单元、第二接收单元、执行单元;其中, 所述第一接收单元,用于接收到数据中心服务器发送的VDP请求报文时,根据所述VDP请求报文携带的自定义可变格式TLV,解析出用户名、密码、以及共享密钥,并将所述用户名、密码、以及共享密钥发送至发送单元; 所述发送单元,用于接收第一接收单元发送的用户名、密码、以及共享密钥,并生成随机认证字;根据所述密码、共享密钥、随机认证字获取加密密码;发送携带有所述用户名、加密密码、以及随机认证字的访问请求数据包至网管服务器进行认证; 所述第二接收单元,用于在网管服务器对访问请求数据包认证成功后,接收网管服务器发送的携有网络策略的访问接收数据包,并根据所述访问接收数据包将策略信息发送至执行单元; 所述执行单元,用于接收第二接收单元发送的策略信息,并执行所述策略信息。
9.根据权利要求8所述的数据中心交换机,其特征在于,所述发送单元,根据所述密码、共享密钥、随机认证字获取加密密码为:将随机认证字与共享密钥进行MD5计算,并将计算结果和密码进行异或运算,得到加密密码。
10.根据权利要求8或9所述的数据中心交换机,其特征在于,所述第二接收单元,还用于在网管服务器对访问请求数据包认证失败后,接收网管服务器发送的访问拒绝数据包。
11.根据权利要求8或9所述的数据中心交换机,其特征在于,所述访问接收数据包包括:VSI类型标识、VSI类型版本标识、以及对应于该VSI类型的网络策略。
12.根据权利要求 8或9所述的数据中心交换机,其特征在于,所述访问请求数据包包括:VSI类型标识、VSI类型版本标识、用户名、加密密码、以及随机认证字。
全文摘要
本发明公开了一种网络策略获取方法,包括在接收到数据中心服务器发送的VDP请求报文时,根据所述VDP请求报文携带的自定义可变格式TLV,解析出用户名、密码、以及共享密钥;生成随机认证字,并根据所述密码、共享密钥、随机认证字获取加密密码;发送携带有所述用户名、加密密码、以及随机认证字的访问请求数据包至网管服务器;在网管服务器对访问请求数据包认证成功后,接收网管服务器发送的携有网络策略的访问接收数据包,并执行所述访问接收数据包中的网络策略;本发明还同时公开了一种数据中心交换机,采用本发明,能够保证网络策略的安全性。
文档编号H04L29/06GK103139201SQ20131002306
公开日2013年6月5日 申请日期2013年1月22日 优先权日2013年1月22日
发明者李伟祯 申请人:中兴通讯股份有限公司