[发明专利]用于运行软件定义的网络的设备、系统和方法

说明书

提出了一种用于运行具有一定数量网络元件（4）的软件定义的网络（2）的控制设备（1）。所述控制设备（1）包括：存储单元（5），所述存储单元被设置为存储所述软件定义的网络（2）的网络映像（6）；控制单元（7），所述控制单元被设置为基于存储的网络映像（6）来控制通过所述一定数量网络元件（4）对数据流（8）的转发；以及比较单元（9），所述比较单元被设置为将所述存储的网络映像（6）与在区块链（11）的总账（12）中发布的网络映像（13）进行比较。有利地保护区块链的总账中的网络映像免遭操纵。由此也保护存储的网络映像免遭操纵。经由在区块链中发布的网络映像，可以将所述控制设备的网络映像与其他控制设备的网络映像进行简单的比较。此外还提出了用于运行软件定义的网络的系统、方法和计算机程序产品。

技术领域

本发明涉及用于运行软件定义的网络的控制设备、系统和方法。

背景技术

已知软件定义的网络由多个诸如SDN交换机的网络元件形成，这些网络元件由诸如SDN控制器的控制设备控制。所述SDN交换机识别所述网络的数据级别上的数据流，并根据所述SDN交换机中实现的数据流规则来转发所述数据流。所述SDN控制器在所述网络的控制级别上与所述SDN交换机进行通信，以便基于所述SDN控制器中存储的网络映像在所述SDN交换机中实现数据流规则。在所述软件定义的网络中可以设置多个虚拟网络区域或租户网络区域。考虑了基于SDN的分布式网络或广域网（WAN），其中多个物理子区域由各自的SDN控制器控制。为此需要在SDN控制器之间比较网络映像，以构造出多个跨越子区域的租户网络区域。

能够访问所述网络映像的攻击者可以操纵所述网络中的数据流。因此，常规地在私有区域中对所述网络映像进行本地保护。这与将所述网络映像与WAN的其他控制设备比较的期望相矛盾。

发明内容

在这种背景下，本发明的任务是使得能够简单且可靠地比较软件定义的网络的控制设备的网络映像。

因此，提出了一种用于运行具有一定数量网络元件的软件定义的网络的控制设备。所述控制设备具有：存储单元，所述存储单元被设置为存储所述软件定义的网络的网络映像；控制单元，所述控制单元被设置为基于存储的网络映像来控制通过所述一定数量网络元件对数据流的转发；以及比较单元，所述比较单元被设置为将所述存储的网络映像与在区块链的总账中发布的网络映像进行比较。

所述控制设备有利地将存储在所述控制设备中的网络映像与发布的网络映像进行比较，因此可以保护存储的网络映像免遭本地操纵。所述发布的网络映像在区块链中发布，因此可以通过所述区块链的共识协议来保护所述发布的网络映像免遭公共操纵。另一个优点可以是，经由在所述区块链中发布的网络映像可以将所述控制设备的网络映像与其他控制设备的网络映像进行简单比较。

软件定义的网络特别是应被理解为其中可设置一定数量虚拟网络区域的可虚拟化网络。虚拟网络区域也称为租户网络区域。可以保护各自的租户网络区域免遭其他租户网络区域的影响。因此，所述软件定义的网络也可以称为多租户网络。

“软件定义的”特别是应理解为，由所述网络元件形成的网络的功能性不是在各自的网络元件上固定地预给定的。特别地，各自网络元件的功能性可以由所述控制设备通过以下方式控制，即所述控制设备的控制单元基于存储在所述存储单元中的网络映像在各自的网络元件中实现各自数量的数据流规则。

在这方面，所述一定数量网络元件中的各自网络元件特别是可以称为可软件定义的网络元件。各自网络元件特别是具有多个连接端，并且被设置为根据在所述网络元件中通过软件实现的数据流规则来处理在所述连接端之一上输入的数据流。该处理可以包括例如转发到所述连接端中的其他连接端。该转发特别是还可以包括参数化。参数化应理解为例如对诸如带宽限制的业务参数的实施。所述处理还可以包括放弃和/或执行虚拟网络功能。

这里和下文中，“一定数量”表示一个或多个的数量。