CN108768932A - 一种轻量级sdn交换机与控制器的安全连接方法 - Google Patents

一种轻量级sdn交换机与控制器的安全连接方法 Download PDF

Info

Publication number
CN108768932A
CN108768932A CN201810312610.3A CN201810312610A CN108768932A CN 108768932 A CN108768932 A CN 108768932A CN 201810312610 A CN201810312610 A CN 201810312610A CN 108768932 A CN108768932 A CN 108768932A
Authority
CN
China
Prior art keywords
sdn switch
token
controller
sdn
authentication module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810312610.3A
Other languages
English (en)
Inventor
夏俊
金勇�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Scarlett Network Technology Co Ltd
China Telecom Corp Ltd Shanghai Branch
Original Assignee
Shanghai Scarlett Network Technology Co Ltd
China Telecom Corp Ltd Shanghai Branch
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Scarlett Network Technology Co Ltd, China Telecom Corp Ltd Shanghai Branch filed Critical Shanghai Scarlett Network Technology Co Ltd
Priority to CN201810312610.3A priority Critical patent/CN108768932A/zh
Publication of CN108768932A publication Critical patent/CN108768932A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures

Abstract

本发明公开了轻量级SDN交换机与控制器的安全连接方法,其首先,在SDN交换机与控制器之间基于token确定两者连接的合法性;接着,SDN交换机和控制器在转发控制通道和管理通道同时使用token交互。本发明提供的连接方案能够在交互前通过基于token的安全机制验证对方身份的合法性,确保了交互的安全性,并在一定程度上节约了资源消耗。

Description

一种轻量级SDN交换机与控制器的安全连接方法
技术领域
本发明涉及网络安全技术,具体涉及SDN安全技术。
背景技术
OpenFlow信道是连接交换机和控制器的接口。通过该接口,控制器能够管理和配置交换机,接收交换机发送的时间,发送数据包给交换机。交换机控制信道支持单控制器的单一控制信道以及多控制器的多控制信道共同管理交换机。消息被封装为OpenFlow协议中规定的格式在控制器和交换机之间传输,这个控制器—交换机协议运行在安全传输层协议(TLS)或无保护TCP连接之上。
而SDN交换机和控制器的安全连接建立在可验证双方身份的真实性的基础上。SDN交换机与控制器的连接协议运行在TLS或无保护TCP连接之上。无保护TCP连接缺少必要的安全保障,SDN交换机和控制器无法验证对方身份是否合法。若使用能够满足安全需求的安全传输层协议(TLS),则因为SDN交换机与控制器交互需要转发控制通道和管理通道两个通道,会消耗较多的系统资源。
发明内容
针对现有SDN交换机和控制器之间通信连接在安全方面所存在的问题,需要一种可用于SDN交换机和控制器之间安全连接的方案。
为此,本发明所要解决的问题是提供一种轻量级SDN交换机与控制器的安全连接方式,本方案在无保护的TCP连接上增加相应的安全机制,使得SDN交换机与控制器能够通过该安全机制验证对方身份的合法性,并在一定程度上节约了资源消耗。
为了解决上述问题,本发明提供的轻量级SDN交换机与控制器的安全连接方法,包括:
SDN交换机与控制器之间基于token确定两者连接的合法性;
SDN交换机和控制器在转发控制通道和管理通道同时使用token交互。
进一步的,所述连接方法中通过如下步骤完成SDN交换机与控制器之间连接合法性的确定:
(1)SDN交换机发送本机的相关信息给SDN交换机认证模块,在收到SDN交换机认证模块反馈的临时公钥和有效事件后,发送确认信息;
(2)SDN交换机接收并使用临时公钥解密SDN交换机认证模块反馈的有效token和控制器地址以及时间戳,以验证SDN交换机认证模块的合法性;
(3)SDN交换机使用有效token向控制器发起连接请求;
(4)SDN控制器在接收到SDN交换机发送的带token的连接请求,从token存储模块获取SDN交换机的token,核对SDN交换机发送的token与Token存储模块中的token是否一致。
进一步的,SDN交换机认证模块在收到SDN交换机发送的相关信息后,验证SDN交换机身份是否合法,如果合法,向密钥管理中心申请临时非对称密钥对;在收到密钥管理中心分发的密钥后,保存临时私钥,发送临时公钥和有效时间给SDN交换机;在收到SDN交换机确认收到公钥信息后,生成该交换机的有效token,将token及交换机相关信息发送至token存储模块,使用临时私钥加密有效token、控制器地址以及时间戳后发送给SDN交换机。
本发明提供的连接方案能够在交互前通过基于token的安全机制验证对方身份的合法性,确保了交互的安全性,并在一定程度上节约了资源消耗。
利用本发明提供的连接方案能够有效的解决现有SDN交换机与控制器的连接协议运行在无保护TCP连接之上的安全性问题,以及SDN交换机与控制器的连接协议运行在TLS之上且交换机与控制器交互需要转发控制通道和管理通道两个通道,资源消耗大的问题。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例中安全认证系统的系统框图;
图2为本发明实例中SDN交换机认证流程图;
图3为本发明实例中临时密钥分发流程图;
图4为本发明实例中验证控制器端合法性流程图;
图5为本发明实例中安全连接流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本实例通过构建一安全认证系统在SDN交换机与控制器之间构建相应的安全认证机制,使得SDN交换机与控制器能够通过该安全机制验证对方身份的合法性,并在一定程度上节约了资源消耗。
参见图1,本实例中安全认证系统100主要由密钥管理中心110、SDN交换机认证模块120(以下简称认证模块)、SDN交换机130、SDN控制器140和Token存储模块150相互配合构成。
其中,密钥管理中心110,管理所有合法SDN交换机密钥,提供密钥的生成、保存、分发等密钥服务。
认证模块120,其收到SDN交换机130发送的相关信息后,验证SDN交换机身份是否合法,如果合法,向密钥管理中心110申请临时非对称密钥对;认证模块120在收到密钥管理中心110分发的密钥后,保存临时私钥,发送临时公钥和有效时间给SDN交换机130;并在收到SDN交换机确认收到公钥信息后,生成该交换机的有效token,将token及交换机相关信息发送至token存储模块150,使用临时私钥加密有效token、控制器地址以及时间戳后发送给SDN交换机130。
SDN交换机130,发送本机的相关信息给SDN交换机认证模120;在收到认证模块返回的临时公钥和有效事件后,发送确认信息;同时接收并使用临时公钥解密交换机认证模块发送的有效token和控制器地址以及时间戳,验证SDN交换机认证模块的合法性;使用有效token和控制器开始正常交互。
SDN控制器140,接收到SDN交换机130发送的带token的连接请求,向Token存储模块150请求该交换机的token,核对SDN交换机发送的token与Token存储模块中的token是否一致,保证连接的安全性。
Token存储模块150,存储合法SDN交换机的token值及交换机相关信息,管理token值的有效时间。
基于上述的安全认证系统100,本实例在SDN交换机和SDN控制器之间实现安全连接的过程如下(参见图2-图5):
1.SDN交换机认证:
参见图2,SDN交换机向认证模块发送本机信息(认证模块地址预先存放在交换机中),例如:MAC、软件版本、型号等信息后,确认连接交换机合法,向密钥管理中心请求临时密钥。
2.临时密钥分发:
参见图3,密钥管理中心在生成临时公钥PK1、私钥SK1后,将临时公钥PK1和有效时间Valid time生成数字摘要H1,使用预先生成的密钥对中的私钥SK对H1进行加密,完成数字签名;将SK1、PK1、Valid Time以及数字签名C1发送给认证模块;认证模块将SK1存储在本地后,将剩余部分发送给SDN交换机,SDN交换机使用预先存储在交换机的PK将C1解密,获得H1,将收到的PK和Valid Time计算出数字摘要与H1进行对比,如两者相同,则认证模块合法。
3.验证控制器端合法性:
参见图4,SDN交换机向认证模块发送消息,确认收到PK1;认证模块生成该交换机的token,并将token连同交换机信息存储在Token存储模块;认证模块使用SK1加密Token、时间戳Time、交换机地址Controller IP以及Sequence,生成密文C2;SDN交换机使用PK1解密C2,获得Token、Time、Controller IP。
4.安全连接:
参见图5,SDN交换机携带token向SDN控制器发起连接,控制器在收到请求后,从Token存储模块读取token、交换机相关信息和token的有效时间(有效时间在token写入存储模块时生成);控制器检查Token是否在有效时间内,确认交换机发送的token与Token存储模块中的token相同,则交换机为合法交换机,之后交换机与控制器在转发控制通道和管理通道两个通道同时使用token交互,确保交互的安全性。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (3)

1.轻量级SDN交换机与控制器的安全连接方法,其特征在于,包括:
SDN交换机与控制器之间基于token确定两者连接的合法性;
SDN交换机和控制器在转发控制通道和管理通道同时使用token交互。
2.根据权利要求1所述的安全连接方法,其特征在于,所述连接方法中通过如下步骤完成SDN交换机与控制器之间连接合法性的确定:
(1)SDN交换机发送本机的相关信息给SDN交换机认证模块,在收到SDN交换机认证模块反馈的临时公钥和有效事件后,发送确认信息;
(2)SDN交换机接收并使用临时公钥解密SDN交换机认证模块反馈的有效token和控制器地址以及时间戳,以验证SDN交换机认证模块的合法性;
(3)SDN交换机使用有效token向控制器发起连接请求;
(4)SDN控制器在接收到SDN交换机发送的带token的连接请求,从token存储模块获取SDN交换机的token,核对SDN交换机发送的token与Token存储模块中的token是否一致。
3.根据权利要求2所述的安全连接方法,其特征在于,SDN交换机认证模块在收到SDN交换机发送的相关信息后,验证SDN交换机身份是否合法,如果合法,向密钥管理中心申请临时非对称密钥对;在收到密钥管理中心分发的密钥后,保存临时私钥,发送临时公钥和有效时间给SDN交换机;在收到SDN交换机确认收到公钥信息后,生成该交换机的有效token,将token及交换机相关信息发送至token存储模块,使用临时私钥加密有效token、控制器地址以及时间戳后发送给SDN交换机。
CN201810312610.3A 2018-04-09 2018-04-09 一种轻量级sdn交换机与控制器的安全连接方法 Pending CN108768932A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810312610.3A CN108768932A (zh) 2018-04-09 2018-04-09 一种轻量级sdn交换机与控制器的安全连接方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810312610.3A CN108768932A (zh) 2018-04-09 2018-04-09 一种轻量级sdn交换机与控制器的安全连接方法

Publications (1)

Publication Number Publication Date
CN108768932A true CN108768932A (zh) 2018-11-06

Family

ID=63981455

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810312610.3A Pending CN108768932A (zh) 2018-04-09 2018-04-09 一种轻量级sdn交换机与控制器的安全连接方法

Country Status (1)

Country Link
CN (1) CN108768932A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116389032A (zh) * 2022-12-29 2023-07-04 国网甘肃省电力公司庆阳供电公司 一种基于sdn架构的电力信息传输链路身份验证方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103607379A (zh) * 2013-11-04 2014-02-26 中兴通讯股份有限公司 一种软件定义网络安全实施方法、系统及控制器
CN104780069A (zh) * 2015-04-16 2015-07-15 中国科学院计算技术研究所 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统
CN105915537A (zh) * 2016-05-27 2016-08-31 努比亚技术有限公司 一种token生成、校验方法及验证服务器
CN107181720A (zh) * 2016-03-11 2017-09-19 中兴通讯股份有限公司 一种软件定义网路sdn安全通信的方法及装置
US9860314B2 (en) * 2014-08-19 2018-01-02 Ciena Corporation Data synchronization system and methods in a network using a highly-available key-value storage system
CN107548499A (zh) * 2015-05-11 2018-01-05 英特尔公司 用于虚拟网络功能的安全自举的技术
CN107733929A (zh) * 2017-11-30 2018-02-23 中国联合网络通信集团有限公司 认证方法和认证系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103607379A (zh) * 2013-11-04 2014-02-26 中兴通讯股份有限公司 一种软件定义网络安全实施方法、系统及控制器
US9860314B2 (en) * 2014-08-19 2018-01-02 Ciena Corporation Data synchronization system and methods in a network using a highly-available key-value storage system
CN104780069A (zh) * 2015-04-16 2015-07-15 中国科学院计算技术研究所 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统
CN107548499A (zh) * 2015-05-11 2018-01-05 英特尔公司 用于虚拟网络功能的安全自举的技术
CN107181720A (zh) * 2016-03-11 2017-09-19 中兴通讯股份有限公司 一种软件定义网路sdn安全通信的方法及装置
CN105915537A (zh) * 2016-05-27 2016-08-31 努比亚技术有限公司 一种token生成、校验方法及验证服务器
CN107733929A (zh) * 2017-11-30 2018-02-23 中国联合网络通信集团有限公司 认证方法和认证系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李华 等: "基于层次CPN的openflow建模研究", 《计算机科学》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116389032A (zh) * 2022-12-29 2023-07-04 国网甘肃省电力公司庆阳供电公司 一种基于sdn架构的电力信息传输链路身份验证方法
CN116389032B (zh) * 2022-12-29 2023-12-08 国网甘肃省电力公司庆阳供电公司 一种基于sdn架构的电力信息传输链路身份验证方法

Similar Documents

Publication Publication Date Title
CN104168267B (zh) 一种接入sip安防视频监控系统的身份认证方法
CN1949765B (zh) 获得被管设备的ssh主机公开密钥的方法和系统
CN101090316B (zh) 离线状态下存储卡与终端设备之间的身份认证方法
CN109428875A (zh) 基于服务化架构的发现方法及装置
CN106411528A (zh) 一种基于隐式证书的轻量级认证密钥协商方法
CN102291418A (zh) 一种云计算安全架构的实现方法
CN103685323A (zh) 一种基于智能云电视网关的智能家居安全组网实现方法
CN107172056A (zh) 一种信道安全确定方法、装置、系统、客户端及服务器
CN108322488A (zh) 在多个车联网中实现可信数据共享和分发的系统
CN105162808A (zh) 一种基于国密算法的安全登录方法
CN109743170A (zh) 一种流媒体登录以及数据传输加密的方法和装置
CN105471901A (zh) 一种工业信息安全认证系统
CN113872760A (zh) 一种sm9秘钥基础设施及安全系统
CN114024698A (zh) 一种基于国密算法的配电物联网业务安全交互方法及系统
CN109104278A (zh) 一种加密解密方法
CN113591103B (zh) 一种电力物联网智能终端间的身份认证方法和系统
CN111756530B (zh) 量子服务移动引擎系统、网络架构及相关设备
CN105516210A (zh) 终端安全接入认证的系统及方法
CN108600240A (zh) 一种通信系统及其通信方法
CN108768932A (zh) 一种轻量级sdn交换机与控制器的安全连接方法
CN111082941B (zh) 基于区块链技术的物联网数据共享方法和系统
CN114866778B (zh) 一种监控视频安全系统
CN114513361B (zh) 基于区块链的配电物联网
CN113676330B (zh) 一种基于二级密钥的数字证书申请系统及方法
CN112291592B (zh) 基于控制面协议的安全视频通信方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20181106

RJ01 Rejection of invention patent application after publication