用于多站点数据中心的安全密码密钥分发和管理的上游方案制造技术

一种基于软件定义联网(SDN)的“上游”方案是一种基于控制器的解决方案，其为多站点数据中心提供了安全密钥分发和管理。该方案使用SDN多站点控制器(MSC)，该SDN MSC充当多站点数据中心中的站点处的SDN控制器之间的中介并且管理密钥到站点的分发。该方案不取决于任何特定的路由协议，例如边界网关协议(BGP)，并且很适合于多播流加密，这是通过允许同一密钥被用于从一上游源站点发送到下游站点的所有复制封包来实现的。该方案以安全方式分发密钥，确保了在站点之间传送的数据是以安全方式完成的，并且支持了带有差错处理的密钥更新。

【技术实现步骤摘要】
【国外来华专利技术】用于多站点数据中心的安全密码密钥分发和管理的上游方案
实施例总体涉及多站点数据中心，并且更具体而言，涉及用于多站点数据中心的密码密钥——本文也称为“密钥”——分发和管理的方案。
技术介绍
本部分中描述的方案是可以实行的方案，但不一定是先前已经设想到或者实行过的方案。因此，除非另有指明，否则本部分中描述的方案可能不是本申请中的权利要求的现有技术，并且并不因为被包括在本部分中就被承认为是现有技术。现在跨多个站点来实现许多数据中心，以解决IP移动性、灾难恢复、扩展和冗余问题。一些站点正被使用非阻塞交换机架构来实现，例如Clos网络。关于Clos网络拓扑，每个站点通常包括连接到大量叶子交换机的脊柱交换机，其中每个叶子交换机连接到物理服务器，每个物理服务器托管虚拟服务器/端点。作为一个示例，站点可包括一个或多个POD，其中每个POD包括大约8-16个脊柱交换机，这些脊柱交换机连接到大约500-1000个叶子交换机。在每个物理服务器托管大约20个虚拟服务器的情况下，每个叶子交换机连接到大约1000-2000个虚拟服务器/端点。站点是利用数据中心互连(datacenterinterconnect，DCI)策略被连接的，例如虚拟可扩展局域网(VirtualExtensibleLocalAreaNetwork，VXLAN)，其利用封装在第3层之上创建第2层逻辑网络，以支持站点之间的流量。多站点数据中心的问题之一是如何保证站点之间的通信的安全。现有的密钥分发和管理机制，例如IEEE的媒体访问控制安全性(MediaAccessControlSecurity，MACsec)标准，是基于控制平面的并且只适合于部署在第2层网络中的设备。它们不太适合于为使用第3层网络来提供站点之间的通信的多站点数据中心提供密钥分发和管理。附图说明在附图中，相似的标号指代相似的元素。图1描绘了用于为多站点数据中心提供安全密钥分发和管理的示例布置。图2A和图2B包括描绘了上游密钥分配和分发方案的流程图。图3A描绘了在单个发送加密密钥的情境中用于在多站点数据中心中的站点之间交换数据的发送和接收密钥的密钥图。图3B描绘了在单个发送加密密钥的情境中用于在多站点数据中心中的站点之间交换数据的发送和接收密钥的密钥表。图4A描绘了在多个发送加密密钥的情境中用于在多站点数据中心中的站点之间交换数据的发送和接收密钥的密钥图。图4B描绘了在多个发送加密密钥的情境中用于在多站点数据中心中的站点之间交换数据的发送和接收密钥的密钥表。图5A描绘了SDNMSC150将AN＝0的单个密钥K1从站点1到站点2和站点3的成功部署。图5B描绘了密钥K1到密钥K2的成功密钥更新。图5C描绘了因为站点3处的失败引起的密钥K2到密钥K3的不成功密钥更新，该失败阻止了新密钥K3的部署。图5D描绘了在多次密钥更新尝试之后AN＝0的新密钥K4的成功部署。图5E描绘了因为超时引起的密钥K2到密钥K3的不成功密钥更新。图6是其上可实现实施例的计算机系统的框图。具体实施方式在接下来的描述中，出于说明目的，记载了许多具体细节以便提供对各种实施例的透彻理解。然而，本领域技术人员将会清楚，没有这些具体细节也可实现实施例。在其他情况中，以框图形式示出公知的结构和设备以避免不必要地模糊实施例。下面在接下来的章节中描述实施例的各种方面。I.概述II.架构III.上游密钥分配和分发IV.密钥更新V.安全性和其他考虑VI.示例用例VII.实现示例I.概述一种基于软件定义联网(Software-DefinedNetworking，SDN)的“上游”方案是一种基于控制器的解决方案，其为多站点数据中心提供了安全密钥分发和管理。该方案使用SDN多站点控制器(Multi-SiteController，MSC)，该SDNMSC充当多站点数据中心中的各站点处的SDN控制器之间的中介并且管理密钥到站点的分发。该方案不取决于任何特定的路由协议，例如边界网关协议(BorderGatewayProtocol，BGP)，并且除了单播以外还很适合于多播流加密，这是通过允许同一密钥被用于从一上游源站点发送到下游站点的所有复制封包来实现的。该方案以安全方式分发密钥，确保了在站点之间传送的数据是以安全方式完成的，并且支持了带有差错处理的密钥更新。与对于发送到下游站点的每个复制封包要求不同密钥的“下游”方案相比，该方案要求更少的计算和存储资源。此外，与“下游”方案相比，该方案对于用户来说是实现和理解起来更简单的，并且提供了更好的封包级可追溯性和故障排查。II.架构图1描绘了用于为多站点数据中心提供安全密钥分发和管理的示例布置100。布置100包括三个站点，有时也称为“交付点”(pod)，在图1中标识为站点1、站点2和站点3，它们经由站点间网络(Inter-SiteNetwork，ISN)140通信地耦合。每个站点分别包括SDN控制器110、120、130，脊柱交换机112、122、132，以及叶子交换机116、126、136。SDN控制器110、120、130——也称为应用策略基础设施控制器(ApplicationPolicyInfrastructureController，APIC)——监视和管理其各自的站点处的数据中心交换结构的操作并且可以用硬件、计算机软件或者硬件和计算机软件的任何组合来实现。如下文更详细描述的，SDN控制器110、120、130被配置成有能力生成安全性关联密钥(SecurityAssociationKey，SAK)，下文也称为“密钥”，其在Cloudsec数据平面中被用于对在站点之间传输的数据加密和解密。此外，虽然SDN控制器110、120、130在附图中描绘时和在本文中描述时是在单个SDN控制器的情境中的，但这是为了说明而做的并且实施例不限于此示例，而是适用于SDN控制器110、120、130被实现为具有多个SDN控制器的SDN控制器集群。脊柱交换机112、122、132和叶子交换机116、126、136可由任何类型的网络交换机实现并且实施例不限于任何特定类型的网络交换机。根据一实施例，脊柱交换机112、122、132中的脊柱交换机脊柱2各自分别包括密钥数据114、124、134，密钥数据可包括用于对通过ISN140发送和/或接收的封包加密和/或解密的密钥。密钥数据114、124、134可包括被脊柱交换机用来选择特定密钥来对加密的数据解密的其他信息，如下文更详细描述。每个站点可包括其他元素，包括硬件元素、软件元素以及硬件元素和软件元素的任何组合，这可依据特定实现方式而变化。例如，每个站点可包括连接到各个叶子交换机的硬件服务器，并且每个硬件服务器可托管多个虚拟服务器/端点，这些虚拟服务器/端点出于简洁目的在图1中没有描绘。ISN140是提供多站点数据中心中的站点之间的连通性的外部公共网络。ISN140可利用任何类型的D本文档来自技高网...

【技术保护点】
1.一种对多站点数据中心环境中的站点之间的数据交换提供改进的计算机实现的方法，所述计算机实现的方法包括：/n由包括多个站点的多站点数据中心中的软件定义联网(SDN)多站点控制器(MSC)经由安全消息传递总线从所述多个站点中的第一站点接收向所述多个站点分发第一密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，其中，所述请求指定了具有所述第一密钥所对应的第一值的关联号(AN)；/n响应于所述SDN MSC接收到向所述多个站点分发所述第一密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，所述SDN MSC经由所述安全消息传递总线向所述多个站点中的第二站点和第三站点提供所述第一密钥和具有所述第一密钥所对应的第一值的AN以用于对从所述第一站点接收的加密封包进行解密；/n由所述SDN MSC经由所述安全消息传递总线从所述多个站点中的所述第二站点和所述第三站点接收对于所述第一密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的确认；并且/n响应于所述SDN MSC经由所述安全消息传递总线从所述多个站点中的所述第二站点和所述第三站点接收到对于所述第一密钥已被成功部署在所述第二站点和所述第三站点处以用于对从所述第一站点接收的加密封包进行解密的确认，所述SDN MSC生成并向所述第一站点发送对于所述第一密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的认定，/n其中，响应于所述第一站点接收到对于所述第一密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的认定，所述第一站点使用所述第一密钥来生成被所述第一站点发送到所述多个站点中的所述第二站点和所述第三站点的加密封包的第一集合，其中，来自所述加密封包的第一集合的每个加密封包的媒体访问控制安全性(MACsec)头部包括与所述第一站点相对应的安全信道识别符(SCI)和具有所述第一值的AN，并且其中，所述第二站点和所述第三站点处的一个或多个网络交换机使用来自所述加密封包的第一集合的每个加密封包的MACsec头部中的与所述第一站点相对应的SCI和具有所述第一值的AN，来从多个密钥中选择所述第一密钥，以对从所述第一站点接收的加密封包的第一集合进行解密。/n...

【技术特征摘要】
【国外来华专利技术】20181022 US 16/166,9731.一种对多站点数据中心环境中的站点之间的数据交换提供改进的计算机实现的方法，所述计算机实现的方法包括：
由包括多个站点的多站点数据中心中的软件定义联网(SDN)多站点控制器(MSC)经由安全消息传递总线从所述多个站点中的第一站点接收向所述多个站点分发第一密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，其中，所述请求指定了具有所述第一密钥所对应的第一值的关联号(AN)；
响应于所述SDNMSC接收到向所述多个站点分发所述第一密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，所述SDNMSC经由所述安全消息传递总线向所述多个站点中的第二站点和第三站点提供所述第一密钥和具有所述第一密钥所对应的第一值的AN以用于对从所述第一站点接收的加密封包进行解密；
由所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第二站点和所述第三站点接收对于所述第一密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的确认；并且
响应于所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第二站点和所述第三站点接收到对于所述第一密钥已被成功部署在所述第二站点和所述第三站点处以用于对从所述第一站点接收的加密封包进行解密的确认，所述SDNMSC生成并向所述第一站点发送对于所述第一密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的认定，
其中，响应于所述第一站点接收到对于所述第一密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的认定，所述第一站点使用所述第一密钥来生成被所述第一站点发送到所述多个站点中的所述第二站点和所述第三站点的加密封包的第一集合，其中，来自所述加密封包的第一集合的每个加密封包的媒体访问控制安全性(MACsec)头部包括与所述第一站点相对应的安全信道识别符(SCI)和具有所述第一值的AN，并且其中，所述第二站点和所述第三站点处的一个或多个网络交换机使用来自所述加密封包的第一集合的每个加密封包的MACsec头部中的与所述第一站点相对应的SCI和具有所述第一值的AN，来从多个密钥中选择所述第一密钥，以对从所述第一站点接收的加密封包的第一集合进行解密。


2.如权利要求1所述的计算机实现的方法，还包括：
由所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第一站点接收向所述多个站点分发第二密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，其中，所述请求指定了具有所述第二密钥所对应的第二值的AN；
响应于所述SDNMSC接收到向所述多个站点分发所述第二密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，所述SDNMSC经由所述安全消息传递总线向所述多个站点中的所述第二站点和所述第三站点分发所述第二密钥和具有所述第二密钥所对应的第二值的AN以用于对由所述多个站点中的所述第二站点和所述第三站点从所述第一站点接收的加密封包进行解密；
由所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第二站点和所述第三站点接收对于所述第二密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的确认；并且
响应于所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第二站点和所述第三站点接收到对于所述第二密钥已被成功部署在所述第二站点和所述第三站点处以用于对从所述第一站点接收的加密封包进行解密的确认，所述SDNMSC生成并向所述第一站点发送对于所述第二密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的认定，
其中，响应于所述第一站点接收到对于所述第二密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的认定，所述第一站点使用所述第二密钥来生成被所述第一站点发送到所述多个站点中的所述第二站点和所述第三站点的加密封包的第二集合，其中，来自所述加密封包的第二集合的每个加密封包的MACsec头部包括与所述第一站点相对应的SCI和具有所述第二值的AN，并且其中，所述第二站点和所述第三站点处的所述一个或多个网络交换机使用来自所述加密封包的第二集合的每个加密封包的MACsec头部中的与所述第一站点相对应的SCI和具有所述第二值的AN，来从所述多个密钥中选择所述第二密钥，以对从所述第一站点接收的加密封包的第二集合进行解密。


3.如权利要求2所述的计算机实现的方法，其中：
所述第二站点或所述第三站点处的所述一个或多个网络交换机从所述第一站点接收一个或多个额外加密封包，每个额外加密封包的MACsec头部具有与所述第一站点相对应的SCI和具有所述第一值的AN，并且
所述第二站点或所述第三站点处的所述一个或多个网络交换机使用来自所述多个密钥的所述第一密钥而不是所述第二密钥，来基于含有具有所述第一值而不是所述第二值的AN的所述一个或多个加密封包的MACsec头部对所述一个或多个额外加密封包进行解密。


4.如前述任一权利要求所述的计算机实现的方法，还包括：
由所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第一站点接收向所述多个站点分发第二密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，其中，所述请求指定了具有所述第二密钥所对应的第二值的AN；
响应于所述SDNMSC接收到向所述多个站点分发所述第二密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，所述SDNMSC经由所述安全消息传递总线向所述多个站点中的所述第二站点和所述第三站点分发所述第二密钥和具有所述第二密钥所对应的第二值的AN以用于对由所述多个站点中的所述第二站点和所述第三站点从所述第一站点接收的加密封包进行解密；
由所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第二站点或所述第三站点中的一个或多个接收指示出所述第二密钥没有被成功部署在所述多个站点中的所述第二站点或所述第三站点处的差错消息；并且
响应于所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第二站点或所述第三站点中的一个或多个接收到指示出所述第二密钥没有被成功部署在所述多个站点中的所述第二站点或所述第三站点处的差错消息，所述SDNMSC生成并向所述第一站点发送指出所述第二密钥没有被成功部署在所述多个站点中的所述第二站点或所述第三站点中的一个或多个处的通知，
其中，响应于所述第一站点接收到指出所述第二密钥没有被成功部署在所述多个站点中的所述第二站点或所述第三站点中的一个或多个处的通知，所述第一站点使用所述第一密钥而不是所述第二密钥来生成被所述第一站点发送到所述多个站点中的所述第二站点和所述第三站点的加密封包的第二集合，其中，来自所述加密封包的第二集合的每个加密封包的MACsec头部包括与所述第一站点相对应的SCI和具有所述第一值的AN，并且其中，所述第二站点和所述第三站点处的所述一个或多个网络交换机使用来自所述加密封包的第二集合的每个加密封包的MACsec头部中的与所述第一站点相对应的SCI和具有所述第一值的AN，来从所述多个密钥中选择所述第一密钥而不是所述第二密钥，以对从所述第一站点接收的加密封包的第二集合进行解密。


5.如前述任一权利要求所述的计算机实现的方法，还包括：
由包括多个站点的多站点数据中心中的所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第一站点接收向所述多个站点中的第四站点分发第四密钥以用于对由所述第四站点从所述第一站点接收的加密封包进行解密的请求，其中，所述请求指定了具有所述第四密钥所对应的第一值的关联号(AN)；
响应于所述SDNMSC接收到向所述第四站点分发所述第四密钥以用于对由所述第四站点从所述第一站点接收的加密封包进行解密的请求，所述SDNMSC经由所述安全消息传递总线向所述第四站点提供所述第四密钥和具有所述第一密钥所对应的第一值的AN以用于对从所述第一站点接收的加密封包进行解密；
由所述SDNMSC经由所述安全消息传递总线从所述第四站点接收对于所述第四密钥已被成功部署在所述第四站点处的确认；并且
响应于所述SDNMSC经由所述安全消息传递总线从所述第四站点接收到对于所述第四密钥已被成功部署在所述第四站点处以用于对从所述第一站点接收的加密封包进行解密的确认，所述SDNMSC生成并向所述第一站点发送对于所述第四密钥已被成功部署在所述第四站点处的认定，
其中，响应于所述第一站点接收到对于所述第四密钥已被成功部署在所述第四站点处的认定，所述第一站点使用所述第四密钥来生成被所述第一站点发送到所述第四站点的加密封包的第四集合，其中，来自所述加密封包的第四集合的每个加密封包的MACsec头部包括与所述第一站点相对应的SCI和具有所述第一值的AN，并且其中，所述第四站点处的一个或多个网络交换机使用来自所述加密封包的第一集合的每个加密封包的MACsec头部中的与所述第一站点相对应的SCI和具有所述第一值的AN，来从多个密钥中选择所述第四密钥，以对从所述第一站点接收的加密封包的第四集合进行解密。


6.如前述任一权利要求所述的计算机实现的方法，其中：
所述多个站点的每个站点和所述SDNMSC实现表述性状态转移(REST)应用程序接口(API)，
所述多个站点的每个站点与所述SDNMSC之间的通信遵守所述RESTAPI，并且
所述消息传递总线是利用传输层安全性(TLS)实现的。


7.如前述任一权利要求所述的计算机实现的方法，其中，所述加密封包的第一集合是加密虚拟可扩展局域网(VXLAN)封包的第一集合。


8.如前述任一权利要求所述的计算机实现的方法，其中，所述第一站点生成被提供到所述SDNMSC的所述第一密钥。


9.一种装置，包括：
一个或多个处理器，以及
存储指令的一个或多个存储器，所述指令当被所述一个或多个处理器处理时，使得：
由包括多个站点的多站点数据中心中的软件定义联网(SDN)多站点控制器(MSC)经由安全消息传递总线从所述多个站点中的第一站点接收向所述多个站点分发第一密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，其中，所述请求指定了具有所述第一密钥所对应的第一值的关联号(AN)；
响应于所述SDNMSC接收到向所述多个站点分发所述第一密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，所述SDNMSC经由所述安全消息传递总线向所述多个站点中的第二站点和第三站点提供所述第一密钥和具有所述第一密钥所对应的第一值的AN以用于对从所述第一站点接收的加密封包进行解密；
由所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第二站点和所述第三站点接收对于所述第一密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的确认；并且
响应于所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第二站点和所述第三站点接收到对于所述第一密钥已被成功部署在所述第二站点和所述第三站点处以用于对从所述第一站点接收的加密封包进行解密的确认，所述SDNMSC生成并向所述第一站点发送对于所述第一密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的认定，
其中，响应于所述第一站点接收到对于所述第一密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的认定，所述第一站点使用所述第一密钥来生成被所述第一站点发送到所述多个站点中的所述第二站点和所述第三站点的加密封包的第一集合，其中，来自所述加密封包的第一集合的每个加密封包的媒体访问控制安全性(MACsec)头部包括与所述第一站点相对应的安全信道识别符(SCI)和具有所述第一值的AN，并且其中，所述第二站点和所述第三站点处的一个或多个网络交换机使用来自所述加密封包的第一集合的每个加密封包的MACsec头部中的与所述第一站点相对应的SCI和具有所述第一值的AN，来从多个密钥中选择所述第一密钥，以对从所述第一站点接收的加密封包的第一集合进行解密。


10.如权利要求9所述的装置，其中，所述一个或多个存储器存储额外指令，所述额外指令当被所述一个或多个处理器处理时，使得：
由所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第一站点接收向所述多个站点分发第二密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，其中，所述请求指定了具有所述第二密钥所对应的第二值的AN；
响应于所述SDNMSC接收到向所述多个站点分发所述第二密钥以用于对由所述多个站点从所述第一站点接收的加密封包进行解密的请求，所述SDNMSC经由所述安全消息传递总线向所述多个站点中的所述第二站点和所述第三站点分发所述第二密钥和具有所述第二密钥所对应的第二值的AN以用于对由所述多个站点中的所述第二站点和所述第三站点从所述第一站点接收的加密封包进行解密；
由所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第二站点和所述第三站点接收对于所述第二密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的确认；并且
响应于所述SDNMSC经由所述安全消息传递总线从所述多个站点中的所述第二站点和所述第三站点接收到对于所述第二密钥已被成功部署在所述第二站点和所述第三站点处以用于对从所述第一站点接收的加密封包进行解密的确认，所述SDNMSC生成并向所述第一站点发送对于所述第二密钥已被成功部署在所述多个站点中的所述第二站点和所述第三站点处的认定，
其中，响应于所述第一站点接收到对于所述第二密钥已被成功部署在所述多个站点中的所述第二站点和所述第三...

【专利技术属性】
技术研发人员：戈文德·普拉萨德·夏尔马，贾维德·阿斯加尔，普拉布·巴拉坎南，斯里达尔·瓦莱帕利，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国;US