一種提高sdn交換機性能及安全的方法
【專利摘要】本發(fā)明公開了一種提高SDN交換機性能及安全的方法�,所述方法在SDN交換機主控處理器的BIOS或固件啟動時,單獨為SDN控制器軟件及其他安全應(yīng)用軟件預(yù)留專用的內(nèi)存或存儲空間����,實現(xiàn)SDN交換機操作系統(tǒng)普通軟件與SDN控制器軟件及其他安全應(yīng)用軟件的安全隔離,SDN控制器軟件及其他安全應(yīng)用軟件能夠不經(jīng)過交換機操作系統(tǒng)而對該內(nèi)存或存儲空間進行直接訪問���。本發(fā)明所采用的方法具有較高的創(chuàng)新性���,可廣泛應(yīng)用于SDN交換機等產(chǎn)品中,對自主交換機相關(guān)技術(shù)知識產(chǎn)權(quán)的保護具有重要的作用��,同時該產(chǎn)品也具有較高的實用價值可大大提升產(chǎn)品競爭力����。
【專利說明】
一種提高SDN交換機性能及安全的方法
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及SDN交換機技術(shù)領(lǐng)域,具體涉及一種提高SDN交換機性能及安全的方法��。
【背景技術(shù)】
[0002]目前在計算機網(wǎng)絡(luò)和云計算系統(tǒng)中對于基礎(chǔ)設(shè)施的硬件資源分配普遍采用統(tǒng)一資源分配方式��,即整個系統(tǒng)的硬件資源對于操作系統(tǒng)以及操作系統(tǒng)上面的應(yīng)用來說是透明的,沒有針對SDN等應(yīng)用而采用與其相適應(yīng)的資源分配方式�。比如在SDN交換機上SDN控制器軟件運行時為需要保證其運行的安全和性能,而有些應(yīng)用比如對網(wǎng)絡(luò)流量等的安全監(jiān)控等�,對安全和性能都有相應(yīng)的特殊要求。為達到此目的需要從底層對其運行環(huán)境和資源獲取機制進行特殊考慮�。在通用的資源分配模式由于所有應(yīng)用的資源都是通過操作系統(tǒng)而分配的,從操作系統(tǒng)的角度來說所有的應(yīng)用程序的資源都是可共享的�,應(yīng)用程序自己也無法獲得操作系統(tǒng)之外的獨有資源。
[0003]對于專利US2009248949A1公開了一種虛擬化信息處理系統(tǒng)���,并具體公開了虛擬機管理程序可以向每個虛擬機分配一個或多個處理器及存儲子系統(tǒng)中的一個或多個區(qū)域����。在操作時�����,每個客戶操作系統(tǒng)可以利用由上述管理程序分配給各自虛擬機的物理硬件的一個或多個物理資源�����。此外�,虛擬機及應(yīng)用可以直接與物理硬件相互交互��。(例如,類似于操作系統(tǒng)與物理硬件進行交互的方式)�����。從其專利描述以及其附圖中可以看到其描述的Hypervisor程序以及構(gòu)建于Hypervisor之上的應(yīng)用程序盡管可以直接(不通過OS)或間接(通過OS或Hypervisor)對系統(tǒng)資源進行訪問���,但其對整個系統(tǒng)的硬件資源分配尤其是存儲資源(包含內(nèi)存)沒有進行從固件層到操作系統(tǒng)層到應(yīng)用層上進行隔離�����,更沒有對不同的應(yīng)用進行安全認證���。同時其所提到的“管理程序可以動態(tài)地分配物理硬件資源給虛擬機,從而可以提高應(yīng)用性能”在操作系統(tǒng)環(huán)境下也不是最有效和安全的方法��。
[0004]在上述類似的應(yīng)用中采用由操作系統(tǒng)統(tǒng)一提供的資源的方法�,無法避免操作系統(tǒng)對資源的管理,由于到達最終資源的路徑增加���,會造成效率和性能方面的降低���。同時由于相應(yīng)的資源沒有單獨劃分和管理,也沒有相對獨立的注冊和認證機制��,容易造成安全方面的漏洞。對于相關(guān)應(yīng)用的數(shù)據(jù)掉電保護方面也未加以說明�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明要解決的技術(shù)問題是:對于以上不足和需求����,本發(fā)明提供了一種提高SDN交換機性能及安全的方法。
[0006]因此專利US2009248949A1提到的資源訪問和分配機制和本發(fā)明中提到的適合于提高SDN交換機性能及安全的經(jīng)過安全隔離的內(nèi)存或存儲空間分配訪問機制有著根本區(qū)別���。
[0007]本發(fā)明所采用的技術(shù)方案為:
一種提高SDN交換機性能及安全的方法�����,所述方法在SDN交換機主控處理器的B1S或固件啟動時���,單獨為SDN控制器軟件及其他安全應(yīng)用軟件預(yù)留專用的內(nèi)存或存儲空間,通過在固件層面進行內(nèi)存或存儲空間的獨立劃分����,實現(xiàn)SDN交換機操作系統(tǒng)普通軟件與SDN控制器軟件及其他安全應(yīng)用軟件的安全隔離��,SDN控制器軟件及其他安全應(yīng)用軟件能夠不經(jīng)過交換機操作系統(tǒng)而對該內(nèi)存或存儲空間進行直接訪問����。
[0008]所劃分的專用的內(nèi)存或存儲空間用于SDN控制器軟件運行時的緩存���,以加速軟件的性能,或者用于保存相關(guān)的日志��、網(wǎng)絡(luò)流表及數(shù)據(jù)����,或用于對網(wǎng)絡(luò)狀態(tài)的跟蹤記錄以及網(wǎng)絡(luò)安全的檢查等,B1S或固件所劃分的專用的內(nèi)存或存儲空間對于SDN交換機的操作系統(tǒng)是不可見的��。也就是說操作系統(tǒng)在啟動時經(jīng)由B1S得到的內(nèi)存或存儲空間和專用的內(nèi)存或存儲空間是完全隔離的�。操作系統(tǒng)及運行于操作系統(tǒng)之上的標準軟件是沒法訪問這些內(nèi)存或存儲資源的。
[0009]為保證系統(tǒng)的安全性�,B1S或固件層面具有通過ID或其他方式注冊或認證SDN控制器軟件及其他安全應(yīng)用軟件的功能。只有通過認證的SDN控制器軟件及其他安全應(yīng)用軟件才能對B1S或固件所劃分的專用的內(nèi)存或存儲空間進行訪問或使用�。
[0010]SDN控制器軟件及其他安全應(yīng)用軟件的認證方式采用包括但不限于專用認證芯片、B1S啟動時駐留于內(nèi)存中的專用認證/注冊程序等方式��。
[0011]B1S或固件層面對于通過注冊或認證的SDN控制器軟件及其他安全應(yīng)用軟件采用包括但不限于內(nèi)存鎖����、內(nèi)存分配表映射等方式供其訪問或使用。
[0012]對于專用內(nèi)存的管理B1S可以采取包括但不限于內(nèi)存鎖、內(nèi)存分配表映射等方式供上層應(yīng)用訪問或使用����。也可以和相關(guān)的硬件設(shè)計相結(jié)合,比如設(shè)計相關(guān)的硬件邏輯控制打開或關(guān)閉相關(guān)的內(nèi)存�。
[0013]SDN控制器軟件及其他安全應(yīng)用軟件不但能夠像操作系統(tǒng)上的其他應(yīng)用一樣訪問操作系統(tǒng)的資源,同時根據(jù)需要也能夠在通過認證獲得相關(guān)權(quán)限后不通過交換機操作系統(tǒng)而對該內(nèi)存或存儲空間進行直接訪問�。這樣可以在訪問路徑方面大大縮短,從而減少訪問時間�����,提尚訪冋性能�����。
[0014]所述專用的內(nèi)存的物理內(nèi)存使用包括但不限于普通的內(nèi)存���、NVDIMM內(nèi)存等內(nèi)存����。
[0015]同時當專用內(nèi)存劃分在NVDHM上面后����,由于NVDMM具有掉電保護功能,從而可以對相關(guān)數(shù)據(jù)進行掉電保護�����,保障數(shù)據(jù)的可靠性����。
[0016]所述方法對于專用內(nèi)存的劃分優(yōu)選地使用獨立完整的內(nèi)存條地址空間,這樣可以根據(jù)需要采用不同于系統(tǒng)內(nèi)存的內(nèi)存條�����,比如NVDIMM��,以提供掉電保護等獨特功能���。
[0017]所述專用的內(nèi)存的管理程序和B1S集成���,或獨立出來在B1S運行時單獨運行。
[0018]優(yōu)選地所述專用的內(nèi)存的管理程序和B1S—樣可以駐留在內(nèi)存中��,從而在操作系統(tǒng)運行時SDN控制器等軟件可以和管理程序進行通信���。
[0019]本發(fā)明的有益效果為:
本發(fā)明SDN控制器軟件及其他安全應(yīng)用軟件可以不經(jīng)過交換機操作系統(tǒng)而對該內(nèi)存或存儲空間進行直接訪問����,減少訪問路徑,提高SDN等應(yīng)用的性能���,保障系統(tǒng)的安全性�����。同時當專用內(nèi)存劃分在NVDIMM上面后�,還可以對數(shù)據(jù)進行掉電保護���,保障應(yīng)用數(shù)據(jù)的可靠性���。
[0020]本發(fā)明所采用的方法具有較高的創(chuàng)新性,可廣泛應(yīng)用于SDN交換機等產(chǎn)品中�����,對自主交換機相關(guān)技術(shù)知識產(chǎn)權(quán)的保護具有重要的作用��,同時該產(chǎn)品也具有較高的實用價值可大大提升產(chǎn)品競爭力�����。
【附圖說明】
[0021]圖1為本發(fā)明方法涉及的系統(tǒng)示意圖;
圖2為本發(fā)明SDN控制器注冊及訪問流程圖�����。
【具體實施方式】
[0022]下面通過說明書附圖���,結(jié)合【具體實施方式】對本發(fā)明進一步說明:
實施例1:
一種提高SDN交換機性能及安全的方法,所述方法在SDN交換機主控處理器的B1S或固件啟動時�,單獨為SDN控制器軟件及其他安全應(yīng)用軟件預(yù)留專用的內(nèi)存或存儲空間,通過在固件層面進行內(nèi)存或存儲空間的獨立劃分�,實現(xiàn)SDN交換機操作系統(tǒng)普通軟件與SDN控制器軟件及其他安全應(yīng)用軟件的安全隔離,SDN控制器軟件及其他安全應(yīng)用軟件能夠不經(jīng)過交換機操作系統(tǒng)而對該內(nèi)存或存儲空間進行直接訪問����。
[0023]實施例2:
在實施例1的基礎(chǔ)上,本實施例所劃分的專用的內(nèi)存或存儲空間用于SDN控制器軟件運行時的緩存以加速軟件的性能�����,或者用于保存相關(guān)的日志�����、網(wǎng)絡(luò)流表及數(shù)據(jù)����,或用于對網(wǎng)絡(luò)狀態(tài)的跟蹤記錄以及網(wǎng)絡(luò)安全的檢查等�,B1S或固件所劃分的專用的內(nèi)存或存儲空間對于SDN交換機的操作系統(tǒng)是不可見的�。也就是說操作系統(tǒng)在啟動時經(jīng)由B1S得到的內(nèi)存或存儲空間和專用的內(nèi)存或存儲空間是完全隔離的。操作系統(tǒng)及運行于操作系統(tǒng)之上的標準軟件是沒法訪問這些內(nèi)存或存儲資源的����。
[0024]實施例3:
在實施例1或2的基礎(chǔ)上,本實施例為保證系統(tǒng)的安全性����,B1S或固件層面具有通過ID或其他方式注冊或認證SDN控制器軟件及其他安全應(yīng)用軟件的功能。只有通過認證的SDN控制器軟件及其他安全應(yīng)用軟件才能對B1S或固件所劃分的專用的內(nèi)存或存儲空間進行訪問或使用�。
[0025]實施例4:
在實施例3的基礎(chǔ)上,本實施例SDN控制器軟件及其他安全應(yīng)用軟件的認證方式采用包括但不限于專用認證芯片��、B1S啟動時駐留于內(nèi)存中的專用認證/注冊程序等方式���。
[0026]實施例5:
在實施例4的基礎(chǔ)上�����,本實施例B1S或固件層面對于通過注冊或認證的SDN控制器軟件及其他安全應(yīng)用軟件采用包括但不限于內(nèi)存鎖�、內(nèi)存分配表映射等方式供其訪問或使用�����。
[0027]對于專用內(nèi)存的管理B1S可以采取包括但不限于內(nèi)存鎖、內(nèi)存分配表映射等方式供上層應(yīng)用訪問或使用���。也可以和相關(guān)的硬件設(shè)計相結(jié)合����,比如設(shè)計相關(guān)的硬件邏輯控制打開或關(guān)閉相關(guān)的內(nèi)存����。
[0028]實施例6:
在實施例5的基礎(chǔ)上�,本實施例SDN控制器軟件及其他安全應(yīng)用軟件不但能夠像操作系統(tǒng)上的其他應(yīng)用一樣訪問操作系統(tǒng)的資源,同時根據(jù)需要也能夠在通過認證獲得相關(guān)權(quán)限后不通過交換機操作系統(tǒng)而對該內(nèi)存或存儲空間進行直接訪問�。這樣可以在訪問路徑方面大大縮短,從而減少訪問時間�,提高訪問性能。
[0029]實施例7:
在實施例6的基礎(chǔ)上����,本實施例所述專用的內(nèi)存的物理內(nèi)存使用包括但不限于普通的內(nèi)存、NVDI麗內(nèi)存等內(nèi)存��。
[0030]同時當專用內(nèi)存劃分在NVDHM上面后�����,由于NVDMM具有掉電保護功能,從而可以對相關(guān)數(shù)據(jù)進行掉電保護�����,保障數(shù)據(jù)的可靠性���。
[0031]實施例8:
在實施例7的基礎(chǔ)上�,本實施例所述方法對于專用內(nèi)存的劃分優(yōu)選地使用獨立完整的內(nèi)存條地址空間�,這樣可以根據(jù)需要采用不同于系統(tǒng)內(nèi)存的內(nèi)存條,比如NVDMM��,以提供掉電保護等獨特功能�����。
[0032]實施例9:
在實施例8的基礎(chǔ)上����,本實施例所述專用的內(nèi)存的管理程序和B1S集成,或獨立出來在B1S運行時單獨運行�。
[0033]實施例10:
在實施例9的基礎(chǔ)上,本實施例所述專用的內(nèi)存的管理程序和B1S—樣可以駐留在內(nèi)存中,從而在操作系統(tǒng)運行時SDN控制器等軟件可以和管理程序進行通信��。
[0034]實施例11:
如圖1所示�,所述方法涉及的SDN交換機主要包括SDN交換機OS(操作系統(tǒng))和SDN交換機B1S兩部分,其中:
SDN交換機B1S包含分配用于操作系統(tǒng)運行的系統(tǒng)內(nèi)存��,用于SDN控制器認證的應(yīng)用認證/注冊模塊���,供SDN控制器等使用的專用內(nèi)存���;
SDN交換機OS包括專用軟件:交換機傳統(tǒng)應(yīng)用,SDN控制器等�。
[0035]具體實施時SDN交換機B1S分成兩個主要功能模塊���,第一個與傳統(tǒng)B1S—樣進行系統(tǒng)初始化和為操作系統(tǒng)分配系統(tǒng)內(nèi)存�����;
第二個為上層SDN控制器等軟件分配專用內(nèi)存以及對SDN控制器等軟件進行認證或注
ΠΠ.冊;
對于第二個功能模塊的實施設(shè)置不同于第一個功能的訪問權(quán)限�,比如通過使用包括但不限于密碼或口令的方式����。
[0036]B1S的應(yīng)用認證/注冊模塊其實現(xiàn)方式可以采取ID身份識別、數(shù)字證書等方式�����。具體實施方面可以在B1S中寫入數(shù)字證書等信息,在SDN控制器等上層軟件需要訪問專用內(nèi)存時通過數(shù)字證書等首先對其進行身份認證���,授權(quán)其訪問專用內(nèi)存��。與專用內(nèi)存管理程序類似�����,應(yīng)用認證/注冊模塊可以和B1S集成�,也可以獨立出來在B1S運行時單獨運行��,優(yōu)先地應(yīng)用認證/注冊模塊和B1S—樣可以駐留在內(nèi)存中�,在操作系統(tǒng)運行時同SDN控制器等軟件可以和管理程序進行通信。
[0037]SDN控制器注冊及訪問流程圖如圖2所示�����,首先SDN控制器等軟件通過相關(guān)接口(可以使物理接口也可以使地址訪問空間)傳遞數(shù)字證書等信息給應(yīng)用注冊/認證模塊進行身份認證獲得專用內(nèi)存使用權(quán)限��,駐留在內(nèi)存中的B1S程序或?qū)S脙?nèi)存管理程序通過傳遞專用內(nèi)存地址訪問空間或通過邏輯控制打開相關(guān)內(nèi)存控制信號等方式允許SDN控制器等軟件訪問專用內(nèi)存���。
[0038]特別地如果專用內(nèi)存劃分到NVDMM�����,則專用內(nèi)存具有掉電保護功能�,相關(guān)的數(shù)據(jù)在意外掉電后可以保留。在重新上電后SDN控制器等軟件在取得相關(guān)權(quán)限后可以對該內(nèi)存進行檢查���,以判斷是否有需要恢復(fù)的數(shù)據(jù)�。B1S程序或?qū)S脙?nèi)存管理程序也可以設(shè)置標識位����,以表明專用內(nèi)存的控制權(quán)限非正常交接而意外退出供上層應(yīng)用查詢。
[0039]在具體實施時B1S所分配的專用內(nèi)存和分配給操作系統(tǒng)的內(nèi)存是完全獨立的���,操作系統(tǒng)上的普通未經(jīng)許可的應(yīng)用是無法使用的����。除認證方式外還可以采取不公開接口�、協(xié)議�、硬件資源等方式對系統(tǒng)安全性進行進一步保證。
[0040]實施例12:
SDN交換機應(yīng)用包括:
SDN交換機OS(操作系統(tǒng))選用Linux操作系統(tǒng)�����;
SDN交換機硬件選擇X86平臺;
SDN交換機B1S選用商用的B1S并對內(nèi)存分配部分進行改造��;
認證的應(yīng)用認證/注冊模塊采用數(shù)字證書+公鑰方式進行認證��;
SDN控制器選用OpendayI ight并進行注冊接口的改造����;
交換機傳統(tǒng)應(yīng)用中包含Openf low應(yīng)用。
[0041 ]所述方法實現(xiàn)過程如下:
第一步��、B1S完成專用內(nèi)存的劃分���;
第二步����、SDN交換機OS (操作系統(tǒng))啟動;B1S認證及內(nèi)存管理程序駐留內(nèi)存����;
第三步、SDN控制器發(fā)起使用專用內(nèi)存請求給B1S認證及內(nèi)存管理程序�;
第四步、SDN控制器獲得使用專用內(nèi)存權(quán)限���,和B1S認證及內(nèi)存管理程序建立相關(guān)交接機制�;
第五步、針對NVDIMM內(nèi)存�����,B1S認證及內(nèi)存管理程序再次啟動時檢查相關(guān)標識判斷是否存在意外掉電情況�����,如是則保存相關(guān)內(nèi)存參數(shù)及標志以備相關(guān)程序再次使用���;如否則將相關(guān)內(nèi)存化為可分配內(nèi)存��,供應(yīng)用程序再次使用��。
[0042]以上實施方式僅用于說明本發(fā)明���,而并非對本發(fā)明的限制,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員�����,在不脫離本發(fā)明的精神和范圍的情況下��,還可以做出各種變化和變型��,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇����,本發(fā)明的專利保護范圍應(yīng)由權(quán)利要求限定。
【主權(quán)項】
1.一種提高SDN交換機性能及安全的方法�����,其特征在于:所述方法在SDN交換機主控處理器的B1S或固件啟動時����,單獨為SDN控制器軟件及其他安全應(yīng)用軟件預(yù)留專用的內(nèi)存或存儲空間,實現(xiàn)SDN交換機操作系統(tǒng)普通軟件與SDN控制器軟件及其他安全應(yīng)用軟件的安全隔離����,SDN控制器軟件及其他安全應(yīng)用軟件能夠不經(jīng)過交換機操作系統(tǒng)而對該內(nèi)存或存儲空間進行直接訪問。2.根據(jù)權(quán)利要求1所述的一種提高SDN交換機性能及安全的方法���,其特征在于:所劃分的專用的內(nèi)存或存儲空間用于SDN控制器軟件運行時的緩存��,以加速軟件的性能�����,或者用于保存相關(guān)的日志�����、網(wǎng)絡(luò)流表及數(shù)據(jù)����,或用于對網(wǎng)絡(luò)狀態(tài)的跟蹤記錄以及網(wǎng)絡(luò)安全的檢查,所述B1S或固件所劃分的專用的內(nèi)存或存儲空間對于SDN交換機的操作系統(tǒng)是不可見的���。3.根據(jù)權(quán)利要求1或2所述的一種提高SDN交換機性能及安全的方法���,其特征在于:B10S或固件層面具有通過ID或其他方式注冊或認證SDN控制器軟件及其他安全應(yīng)用軟件的功會K。4.根據(jù)權(quán)利要求3所述的一種提高SDN交換機性能及安全的方法����,其特征在于:SDN控制器軟件及其他安全應(yīng)用軟件的認證方式采用包括專用認證芯片或B1S啟動時駐留于內(nèi)存中的專用認證/注冊程序。5.根據(jù)權(quán)利要求4所述的一種提高SDN交換機性能及安全的方法�����,其特征在于:B10S或固件層面對于通過注冊或認證的SDN控制器軟件及其他安全應(yīng)用軟件采用內(nèi)存鎖或內(nèi)存分配表映射供其訪問或使用��。6.根據(jù)權(quán)利要求5所述的一種提高SDN交換機性能及安全的方法��,其特征在于:SDN控制器軟件及其他安全應(yīng)用軟件不但能夠像操作系統(tǒng)上的其他應(yīng)用一樣訪問操作系統(tǒng)的資源����,同時根據(jù)需要也能夠在通過認證獲得相關(guān)權(quán)限后不通過交換機操作系統(tǒng)而對該內(nèi)存或存儲空間進行直接訪問。7.根據(jù)權(quán)利要求6所述的一種提高SDN交換機性能及安全的方法�����,其特征在于:所述專用的內(nèi)存的物理內(nèi)存使用普通的內(nèi)存或NVDMM內(nèi)存���。8.根據(jù)權(quán)利要求7所述的一種提高SDN交換機性能及安全的方法���,其特征在于:所述方法對于專用內(nèi)存的劃分使用獨立完整的內(nèi)存條地址空間。9.根據(jù)權(quán)利要求8所述的一種提高SDN交換機性能及安全的方法����,其特征在于:所述專用的內(nèi)存的管理程序和B1S集成,或獨立出來在B1S運行時單獨運行�。10.根據(jù)權(quán)利要求9所述的一種提高SDN交換機性能及安全的方法,其特征在于:所述專用的內(nèi)存的管理程序和B1S—樣駐留在內(nèi)存中�。
【文檔編號】G06F21/74GK105912936SQ201610219740
【公開日】2016年8月31日
【申請日】2016年4月11日
【發(fā)明人】金長新, 于治樓, 鄭亮
【申請人】浪潮集團有限公司