CN112424782B 用于运行软件定义的网络的设备、系统和方法 （西门子股份公司）

2021.01.22PCT/EP2019/0617622019WO2019/224001DE2019.11.28WO2017220115A1,2017.12.28法提出了一种用于运行具有一定数量网络元元（9所述比较单元被设置为将所述存储的网21.一种用于运行具有一定数量网络元件(4)的软件定义的网络(2)的控制设备(1)，其控制单元(7)，所述控制单元被设置为基于存储的网络映像(6比较单元(9)，所述比较单元被设置为将a)所述比较按照使得所述存储的网络映像(6)和所述发布的网络映像(13)保持同步的其中所述区块链节点(18)被设置为，如果所述发布的网络映像(1区块链(11)的所述发布的网络映像(13)的更改请c)所述控制单元(7)被设置为从所述一定数量网络元件(4)中的至少一个网络元件接-将所述存储的网络映像(6)的更改作为所述发布的网络映像(13)的更改请求传送到-如果所述发布的网络映像(13)的更改请求作为所述发布的网络映像的更改在所述区-如果所述发布的网络映像(6)的更改请求没有作为所述发布的网络映像(13)的更改5.一种用于运行具有一定数量网络元件(4)的软件定-仅当根据所述区块链(11)的共识协议在所述多个区块链节点(18)之间达成共识时，才将所述更改请求作为所述发布的网络映像(13)的更改发布在所述区块链(11)的总账3一起构成所述区块链(11)的所述多个区块链节点(18)其特征在于，所述多个区块链节点(18)被设置为，根据请求所述更改的区块链节点其特征在于，在所述区块链(11)的总账(12)中发布授权信息(1及所述合法权益的证明包括关于请求所述更改的区块链节点(18)根据发布在所述区块链(11)的总账(12)中的所述授权信息(19)被授权请求对所述发布的网络映像(13)进行更其中将所述多个区块链节点中的一定数量区块链节点中的各自区块链节点(18、318)其中将所述多个区块链节点中的一定数量区块链节点的各自区块链节点(18、118、(4)的至少一个不连续选择接收与一定数量其他物理子区域(102、202)的413.一种用于运行具有一定数量网络元件(4)的软件定义的网络(2)的方法，其中所述在控制设备(1)的存储单元(5)中存储所述由所述控制设备(1)的控制单元(7)基于存储的网络映像(6)来控制通过所述一定数量由所述控制设备(1)的比较单元(9)将在所述控制设备(1)的存储单元(5)中存储的网a)所述比较按照使得所述存储的网络映像(6)和所述发布的网络映像(13)保持同步的b)所述比较单元(9)包括所述区块链(11)的区块链节点(18)，使得所述区块链节点c)所述控制单元(7)从所述一定数量网络元件(4)中的至少一个网络元件接收服务质14.一种计算机程序产品，其促使在程序控制的设备上执行根据权利要求13所述的方5[0002]已知软件定义的网络由多个诸如SDN交换机的网络元件形成，这些网络元件由诸制级别上与所述SDN交换机进行通信，以便基于所述SDN控制器中存储的网络映像在所述SDN交换机中实现数据流规则。在所述软件定义的网络中可以设置多个虚拟网络区域或租私有区域中对所述网络映像进行本地保护。这与将所述网络映像与WAN的其他控制设备比[0004]CN107222478A公开了一种用于建立用于软件定义的网络控制层(SDN)的安全机机制就控制器之间的网络状态资源达成共识。所述控制器应用基于属性的加密工具(ABE)来为SDN应用身份和与SDN应用身份关联的类别设定资源访问控制准则。从而可以对至SDN[0006]因此，提出了一种用于运行具有一定数量网络元件的软件定义的网络的控制设[0007]所述控制设备有利地将存储在所述控制设备中的网络映像与发布的网络映像进6[0008]软件定义的网络特别是应被理解为其中可设置一定数量虚拟网络区域的可虚拟例如对诸如带宽限制的业务参数的实施。所述处理还可以包括放弃和/或执行虚拟网络功数据流的起始端点或目标端点可以是例如网络终端的定义[0013]例如，各自网络元件可以基于在所述网络的数据级别上输入的分组的业务属性(例如定义的协议、起始端点和/或目标端点等)来识别在所述网络元件中实现的数据流规件可以经由所述软件定义的网络的控制级别将输入分组的业务属性传送到所述控制设备。[0015]因此，可以在所述软件定义的网络中实现通过所述网络元件处理和/或转发数据7应理解为区块链节点可以处于不同参与者(例如所述网络的不同租户或不同网络或不同物列存储在所述区块链中。存储在所述区块链中的所有交易的序列可以称为所述区块链的他交易需要大多数区块链节点之间达成共识。区块包括存储在所述总账中的交易中的至少一个交易，这些交易也称为“经过确认的交到所述总账的所述一个本地副本中或所述多个本地副[0021]所述区块链的共识协议至少可以规定未经确认的区块的参考值是所述总账的本了解整个未被操纵的总账的区块链节点时，才将所述未经确认的区块吸收到所述总账中。未经确认的区块作为经过确认的区块接纳到[0023]根据修改的共识协议和/或用修改的总账工作的恶意区块链节点可能会失去参与8[0025]可以将在所述区块链的总账中发布的网络映像作为一项或多项交易的有效负载[0026]将在所述控制设备的存储单元中存储的网络映像与在所述区块链的总账中发布述比较单元包括区块链节点之一，和/或所述比较单元与区块链节点中的至少一个区块链软件定义的网络的租户或其他控制设备的运营商)的同之后的网络映像的交易，和/或理解为被设置为在应用于网络映像时更改所述网络映像的[0032]“更改请求”可以解释为尚未确认的更改，并且在这方面理解为未经确认的交易[0033]“将存储的网络映像的更改作为发布的网络映像的更改请求传送到区块链”可以备的比较单元通信地耦合的区块链节点形成具有所述更改请求作为未经确认的交易的未[0034]“将更改请求作为发布的网络映像的更改发布在区块链的总账中”特别是应理解9所述一定数量网络元件在所述软件定义的网络中对数据[0036]所述控制设备(控制单元、存储单元和/或比较单元)可以以规则的间隔查询所述[0037]“放弃存储的网络映像的更改”特别是应理解为不将所述更改应用于存储在所述存储单元中的网络映像，和/或如果已经将所述更改应用于存储在所述存储单元中的网络[0039]因此，有利地可以将存储在所述存储单元中的网络映像与其他控制设备进行比运营商通过在所述区块链的总账中发布更改请求来远程配置所[0040]因此，可以创建一种比较或更改在所述存储单元中存储的网络映像的简单可能性。尽管为了所述比较可以使用在所述软件定义的网络的数据级别上的数据传输和/或在用于在所述区块链的总账中发布传送到所述区块链的所述发布的网络映像的更改请求的设备可以有利地参与所述区块链的区块链节点关于发布对所述发布的网络映像的更改请[0044]服务质量信息特别是应理解为描述与各自网络元件连接的实体或由所述实体提制设备。所述服务质量信息可以是例如关于所述实体或所述网络服务的可用性(正常运行个租户网络区域的质量和/或各个租户网络区域的端点和/或相邻软件定义的网络的运行务质量的条件时才可以关于发布所述发布的网络映大于预定的阈值。所述服务质量参数可以描述当前的服务质量和/或在预定的时间段上检件定义的网络在所述参与者的负责区域下为所述软件定义的网络提供或已提供足够质量软件定义的网络的租户网络区域中的端点和/或由其他软件定义的网络中的端点和/或由所述区块链的区块链节点和/或由不参与的第三用于控制所述软件定义的网络和/或所述存储的网络映像的功能性免遭外部网络访问的操节点一起构成区块链并且被设置为彼此交换传送到所述区块链的发布的网络映像的更改所述更改请求作为所述发布的网络映像的更改发布在所述区块链的[0056]可以将各自控制设备设置为控制从所述一定数量网络元件进行各自不连续的选所述软件定义的网络的数据级别上和/或经由公共网[0059]可以将所述软件定义的网络的控制级别预留用于所述一定数量控制设备与所述[0061]换句话说，可以在所述软件定义的网络的数据级别中和/或在公共网络中构造出如意味着用于数据传输的公共网络可供多于一个参与节点的合法权益的证明达成在所述区块链的总账中发布所[0066]“请求所述更改的区块链节点”特别是应理解为所述区块链节点中创建了所述发的证明包括关于请求所述更改的区块链节点根据发布在所述区块链的总账中的授权信息[0070]所述授权信息可以通过与所述发布的网络映像相同的方式作为交易的有效负载[0071]例如，所述授权信息可以包括被授权发出请求的区块链节点的公共数字密钥和/的证明可以包括发出请求的区块链节点的数字签名，可以基于所述公共数字密钥和/或所[0073]“分配给虚拟租户网络区域之一”的区块链节点特别是应理解为该区块链节点在所述虚拟租户网络区域中构成端点，和/或可以证明该区块链节点由指派了所述虚拟租户区域。各自的物理子区域是通过从所述一定数量网络元件中进行不连续的选择而形成的。将所述多个区块链节点中的一定数量区块链节点中的各自区块链节点分别分配给所述物理子区域中构成端点，和/或该区块链节点由控制所述物理子区域的控制设备的运营商运虚拟租户网络区域之一和/或物理子区域之一的证明，以及关于分配了所述发出请求的区块链节点的虚拟租户网络区域和/或物理子区域的服务[0083]可以例如借助于数字签名来证明将发出请求的区块链节点分配给了虚拟租户网定所述发出请求的区块链节点与租户网络区域和/或物理网设备查询关于被指派了所述发出请求的区块链节点的虚拟租户网络区域和/或物理子区域[0086]根据另一实施方式，所述多个控制设备中的各自控制设从由该控制设备控制的物理子区域的网络元件的至少一个不连续选择接收与一定数量其子区域的服务质量的证明是基于与所述物理子区域相关的服务质量信息的时间变化过程，所述时间变化过程存储在所述多个控制设备中的各自控制设备的存储[0087]由各自控制设备控制的物理子区域的至少一个网络元件可以特别是以下网络元关于所述相邻物理子区域的服务质量和/或运行质量共识可以有利地特别是基于以下事实：请求所述更改的控制设备(分配给请求所述更改的区块链节点的控制设备)在预定的历史时间段上始终提供足够质量的服务。由此可以提供述控制设备的控制单元基于存储的网络映像来控制通过所述一定数量网络元件对数据流[0094]针对所提出的控制设备和/或所规定的系统所描述的实施方式和特征对应地适用[0097]本发明的其他可能的实现方式还包括以上或以下关于实施例描述的特征或实施[0098]本发明的其他有利的设计和方面是从属权利要求和下面描述的本发明实施例的[0103]图5示出了根据第二实施例的用于运行具有多个物理子区域的软件定义的网络的制单元7基于存储在存储单元5中的网络映像6来确定两个网络元件4中每个网络元件的数业务参数的其他分组到达网络元件4，则可以基于已实现的数据流规则将所述其他分组识别为属于数据流8并根据所述数据流规则转发到其他网络元件4和/或端点(通过圆圈表纳到存储的网络映像6中，和/或可以将存储的网络映像6的更改作为发布的网络映像13的[0118]软件定义的网络2在物理层上由两个网络元件4组成。各自的网络元件4具有各自[0119]网络元件4的一些连接端未与终端16连接。从而网络元件104的连接端115与网络元件204的连接端215连接。网络元件204的连接端315表示至外部网络和/或至其他软件定[0120]在类似于以图3所示的方式创建的常规物理网络中，如果网络元件4是常规交换则集(这在图3中通过箭头指示)。网络元件4被设置为基于在网络元件4中分别实现的数据流规则集在软件定义的网络2中对数据流(图1中的8)[0124]因此可以理解的是，在控制设备1的存储单元5中存储的网络映像6是特别敏感的制设备1如上所述将存储的网络映像6与在区块链11的总账12(图1)中发布的网络映像13[0126]图3和图4中所示的控制设备1的扩展与图1中所示的控制设备1还有以下不同：控他软件定义的网络(未示出)的服务质量的服务质量信息，连接端315构成至所述其他软件定义的网络的过渡点。控制单元7将获得的服务质量信息作为存储的服务质量信息21存储果其他区块链节点(未示出)请求其他控制设备(未示出)更改所述发布的网络映像(图1中的13)，则区块链节点18仅在从服务质量信息21中导出所述其他控制设备以高于预定阈值的服务质量来运行所述其他软件定义的网络的情况下才同意发[0129]图5示出了根据第二实施例的用于运行具有多个物理子区域102、202的软件定义[0130]系统10包括第一控制设备101和第二控制设备102以及区块链11的多个区块链节[0131]软件定义的网络2包括第一物理子区域102和第二物理子区域202。针对各自的物[0135]第一SDN控制器101包括存储单元105、控制单元107和比较单元109。在存储单元SDN控制器101的控制单元107从SDN交换机204接收服务质量信息，该SDN交换机204构成至且因此可以看作是第二SDN控制器201的信誉的度量。控制单元107将接收到的服务质量信[0138]比较单元109将在存储单元105中存储的网络映像106与在区块链11的总账12中发布的网络映像13进行比较。为此，比较单元109与分配给比较单元109的区块链节点118通[0139]在区块链11的总账12中还发布了授权信息19，所述授权信息例如是区块链节点[0141]除了已经基于第一实施例描述的对存储的映像106的防操纵保护的优点之外，通二区块链节点218在租户网络区域317的位于第二物理子区域202中的部分中构成端点803。因此，第二区块链节点218被分配给了第二物理子区域202。第三区块链节点318未分配给共区域中相互通信。位于私有区域中的第一SDN控制器101的比较单元109在软件定义的网块链节点18之一将更改请求作为未经确认的交易传签名的有