CN103929422B - 基于sdn的可信域间安全认证协议 - Google Patents
基于sdn的可信域间安全认证协议 Download PDFInfo
- Publication number
- CN103929422B CN103929422B CN201410138045.5A CN201410138045A CN103929422B CN 103929422 B CN103929422 B CN 103929422B CN 201410138045 A CN201410138045 A CN 201410138045A CN 103929422 B CN103929422 B CN 103929422B
- Authority
- CN
- China
- Prior art keywords
- request
- information
- reciever
- trusted
- initiator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于SDN的可信域间安全认证协议属于信息安全领域。本发明将可信网络思想融入SDN概念下的OpenFlow网络架构,实现未来网络架构可信、可控的安全目标。在建立可信域的基础上,提出一种无可信第三方的可信域间安全认证协议,协议采用挑战应答方式,首先,接入可信网络的认证请求者进入初始状态,并向被请求者发送身份信息,被请求者做出应答,返回自身身份信息,互相进行身份注册。其次,认证请求者与被请求者继续采用挑战应答方式协商可信敏感信息,通过比对敏感信息PCR值与随机数的哈希结果,进行互信认证。最后,如果请求者与被请求者各自比对哈希结果符合可信要求,认证成功。否则,互信认证失败。
Description
技术领域:
本发明是一种基于SDN概念下OpenFlow网络架构的可信域间安全认证方法。属于信息安全领域。
背景技术:
随着网络技术的快速发展和新应用的不断涌现,互联网逐渐成为社会经济的重要组成部分。在传统Internet网络架构下,我们假设用户是友好可信的,所以网络系统只负责数据的传输,而不需要其它控制功能,这种假设明显已经不再适用于当今网络所处的环境。目前,网络所面临的可信问题日益突出,例如:难以识别异常网络行为,对网络破坏活动难以遏制等等。这些安全问题的出现,最根本的原因是网络系统存在可被渗透的脆弱性,针对脆弱性问题,人们试图通过安全补丁的手段加以解决,如增强网络层安全性的IPSec、防御DDos攻击的互联网业务主动过滤机制(AITF)等协议,但一方面,脆弱性的来源是多方面的,存在于系统设计、实现、运行和管理的各个环节。长期以来网络体系结构的研究主要考虑了如何提高数据传输的效率,构成Internet的一些早期网络协议也很少考虑安全问题,而且Internet在拓扑和新生技术等方面都是动态发展的,加之网络的开放性,使得发起攻击一般是很迅速、容易和廉价的,并且难于检测和追踪。另一方面,目前网络安全控制机制存在明显的局限性,即大多采用单一的防御手段、信息安全和补丁附加的机制,功能上的单一化、分散化很难进行有效整合,这些手段不能够解决可信网络的本原问题。所以提出一种具有充分可控能力的互联网架构解决传统互联网结构的安全问题并实现网络高度可信,成为目前网络发展的迫切需求。
目前,在下一代网络结构设计中,国内外专家、学者完成了具有重要意义的大量工作,提出了4D、GENI、FIRE、JGN2plus、SOFIA等新一代网络架构,这些架构将网络控制层与网络数据层解耦,建立控制逻辑与网络数据层之间的紧耦合关系,实现控制逻辑可以根据准确、完整的网络状态信息,直接作用于网络数据层,依照网络业务的需求从较高层次上配置网络或者修改网络决策层的相关算法优化网络运行的技术。但是,在可信性方面,这些网络架构却少有提及,还是没有解决网络可信的根本问题。
斯坦福大学Nick McKeown教授基于Clean Slate项目提出了SDN,即软件定义网络概念,基于SDN概念进行的网络结构研究,又提出了OpenFlow、NOX等关键技术,基于OpenFlow实现的网管和安全功能主要集中在接入控制、流量转发和负载均衡等方面,OpenFlow自身设计中安全性问题考虑还不够,特别是针对控制器结点和OpenFlow交换机结构的安全防护问题,以及单控制器下可信域间互信认证问题还没有解决。本发明由此结合可信网络技术,提出在建立一个OpenFlow网络可信域的基础上,设计一种无可信第三方的可信域间安全认证协议,进一步完善OpenFlow网络架构的安全性。
发明内容:
本发明是一种让不同可信域间带有可信模块的OpenFlow网络控制器进行互信认证的方法,方法利用可信模块得到OpenFlow网络控制器的敏感信息特征值,连同随机数、MAC地址等其它信息,通过OpenFlow网络控制器核心模块进行身份注册和互信认证。
本发明的特征在于依次包括以下步骤:
首先,可信模块依照可信链传递规则,依次度量OpenFlow网络控制器的硬件信息、操作系统、控制器软件和控制器核心模块,并将度量结果存入RTS(可信存储根)的PCR寄存器中。
其次,当不同可信域间控制器进行互信认证时,认证请求者分别发送硬件信息特征值、操作系统特征值与其MAC地址的哈希计算结果,同时等待被请求者的相同哈希结果,相互进行身份注册。
最后,认证请求者与认证被请求者进行敏感信息互信认证,认证请求者分别发送控制器软件度量值、控制器核心模块度量值与随机数的哈希计算结果,被请求者进行比对认证后,分别返回自己的控制器软件度量值、控制器核心模块度量值与随机数的哈希计算结果,待比对完成,互信认证结束,从而完成不同可信域的互信认证工作。
本发明的创新点在于,首先,新型网络架构下可信域间互信认证协议尚属空白,本发明基于SDN的OpenFlow技术,提出了一种无可信第三方的可信域间认证方法,实现了可信域间互信认证。其次,无可信第三方使得可信网络架构更加简洁,减少了第三方网络开销,避免了第三方带来的安全威胁和信任问题。最后,本发明设计可以有效避免针对认证协议的重放攻击。
本发明经过AVISPA协议设计工具设计和BAN逻辑分析系统推理,均得到协议安全的结论。
附图说明
图1可信链传递过程
图2基于SDN的可信网域设计架构
图3可信域间安全认证过程
具体实施方式
如图1、图2所示,本发明设计了一种基于SDN的可信网域架构模型,并进一步提出了一种基于SDN可信域的无可信第三方的可信域间安全认证协议。本设计方案,为了解决同安全级别可信域间的相互认证问题,选择进行敏感信息比对来完成互信认证工作。所以从可信链传递的角度来看,我们可以划分安全等级,利用架构中的可信度量模块进行完整性度量的比对检验,从而完成相互认证的工作。利用控制器通信模块,可以解决不同网域间控制器的通信问题,为进行互信认证工作提供基础。为了保证安全,协议必须采用多级认证的方法,将敏感信息逐渐逐级透露给对方,避免非法用户一次性得到所有敏感信息。将加密敏感信息和随机数相结合进行哈希运算,可以在有力保护敏感信息机密性的基础上,确保敏感信息不被非法用户劫持进行欺骗攻击,从而避免敏感信息带来的安全问题。
具体工作流程如下:
1、请求发起方A发起注册请求,并用请求发起方A的私钥A-1对第一级可信信息PCR1(硬件信息度量值)进行签名,利用请求发起方A的MACa与PCR1一起进行HASH运算,然后将结果和请求发起方A的初始化信息发送给请求接受方B;
2、请求接受方B接收到信息后,首先对请求发起方A进行身份注册,其次计算自己的第一级可信信息PCR1’和MACb的HASH值,并用请求接受方B的私钥B-1对信息进行签名,最后将请求接受方B自己计算的第一级可信信息PCR1’和MACb的HASH值传递给请求发起方A进行身份注册;
3、同理传递注册信息后,进行第二级可信信息PCR2的注册(操作系统信息度量值)
4、同理注册传递的信息,双方完成身份注册,并由请求接受方B产生互信认证会话秘钥AK。
5、请求接受方B收到请求发起方A的互信认证信息,按照协商策略进入协商状态,请求发起方A用请求接受方B产生的互信认证会话秘钥AK对第三级敏感信息进行加密,并将请求发起方A产生的随机数与PCR3(控制器软件度量值)一起进行HASH运算,随后将结果发送给请求接受方B,请求接受方B通过比对自身第三级敏感信息,判断请求发起方A是否可信,如果可信进入下一步,否则协商失败;
6、请求接受方B通过比对自身第三级敏感信息,判断请求发起方A的第三级敏感信息是可信的,于是返回自身第三级敏感信息,请求发起方A通过比对自身第三级敏感信息,判断请求接受方B是否可信,如果可信进入下一步,否则协商失败;
7、同理传递第四级敏感信息,即请求发起方A产生的随机数与PCR4(控制器核心模块度量值)一起进行HASH运算。
8、同理返回第四级敏感信息,完成互信认证。
Claims (1)
1.基于SDN的可信域间安全认证协议,其特征在于,包含以下步骤:
1)、请求发起方A发起注册请求,并用请求发起方A的私钥A-1对第一级可信信息PCR1即硬件信息度量值进行签名,利用请求发起方A的MACa与PCR1一起进行HASH运算,然后将结果和请求发起方A的初始化信息发送给请求接受方B;
2)、请求接受方B接收到信息后,首先对请求发起方A进行身份注册,其次计算自己的第一级可信信息PCR1’和MACb的HASH值,并用请求接受方B的私钥B-1对信息进行签名,最后将请求接受方B自己计算的第一级可信信息PCR1’和MACb的HASH值传递给请求发起方A进行身份注册;
3)、同理传递注册信息后,进行第二级可信信息PCR2即操作系统信息度量值的注册;
4)、同理注册传递的信息,双方完成身份注册,并由请求接受方B产生互信认证会话秘钥AK;
5)、请求接受方B收到请求发起方A的互信认证信息,按照协商策略进入协商状态,请求发起方A用请求接受方B产生的互信认证会话秘钥AK对第三级敏感信息进行加密,并将请求发起方A产生的随机数与PCR3即控制器软件度量值一起进行HASH运算,随后将结果发送给请求接受方B,请求接受方B通过比对自身第三级敏感信息,判断请求发起方A是否可信,如果可信进入下一步,否则协商失败;
6)、请求接受方B通过比对自身第三级敏感信息,判断请求发起方A的第三级敏感信息是可信的,于是返回自身第三级敏感信息,请求发起方A通过比对自身第三级敏感信息,判断请求接受方B是否可信,如果可信进入下一步,否则协商失败;
7)、同理传递第四级敏感信息,即请求发起方A产生的随机数与PCR4即控制器核心模块度量值一起进行HASH运算;
8)、同理返回第四级敏感信息,完成互信认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410138045.5A CN103929422B (zh) | 2014-04-08 | 2014-04-08 | 基于sdn的可信域间安全认证协议 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410138045.5A CN103929422B (zh) | 2014-04-08 | 2014-04-08 | 基于sdn的可信域间安全认证协议 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103929422A CN103929422A (zh) | 2014-07-16 |
CN103929422B true CN103929422B (zh) | 2017-01-25 |
Family
ID=51147499
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410138045.5A Active CN103929422B (zh) | 2014-04-08 | 2014-04-08 | 基于sdn的可信域间安全认证协议 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103929422B (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104917750B (zh) * | 2015-04-16 | 2017-11-21 | 中国科学院计算技术研究所 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
CN104780052B (zh) * | 2015-04-27 | 2018-03-02 | 北京航空航天大学 | 一种软件定义网络中网络设备群组认证方法 |
CN105100104B (zh) * | 2015-08-07 | 2018-03-16 | 华为技术有限公司 | 一种确定数据传输路径的方法及装置 |
US9967745B2 (en) | 2016-02-02 | 2018-05-08 | Sprint Communications Company L.P. | Hardware-trusted network bearers in network function virtualization infrastructure (NFVI) servers that execute virtual network functions (VNFS) under management and orchestration (MANO) control |
CN105871718B (zh) * | 2016-03-21 | 2019-08-13 | 东南大学 | 一种sdn域间路由实现方法 |
EP3440802A4 (en) * | 2016-04-05 | 2019-11-27 | Tfor LLC | METHOD AND APPARATUS FOR TRANSFERRING TO ELIMINATE INFORMATION FROM DATA TRANSMITTED ON NETWORKS AND STORED IN DATA STORAGE FACILITIES |
CN105933245B (zh) * | 2016-06-23 | 2020-04-28 | 北京工业大学 | 一种软件定义网络中安全的可信接入方法 |
CN106534064A (zh) * | 2016-09-28 | 2017-03-22 | 天津大学 | 一种基于id的无可信第三方身份认证系统及方法 |
CN106452753B (zh) * | 2016-10-26 | 2020-02-11 | 泰山医学院 | 云计算环境下终端可信平台构建方法 |
CN106506166B (zh) * | 2016-10-26 | 2020-02-11 | 泰山医学院 | 云计算环境下终端可信平台系统 |
CN107612731A (zh) * | 2017-09-19 | 2018-01-19 | 北京工业大学 | 一种基于软件定义可信的网络切片生成与可信恢复系统 |
US11438151B2 (en) | 2019-04-03 | 2022-09-06 | Cisco Technology, Inc. | Enriching local cryptoprocessor queries with sdn augmented information |
CN110602150B (zh) * | 2019-10-16 | 2021-11-16 | 超越科技股份有限公司 | 一种sdn节点间可信认证方法 |
CN110753055B (zh) * | 2019-10-25 | 2021-04-16 | 电子科技大学 | 基于sdn的源地址认证方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101350044A (zh) * | 2008-09-02 | 2009-01-21 | 中国科学院软件研究所 | 一种虚拟环境信任构建方法 |
CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
CN102427449A (zh) * | 2011-11-04 | 2012-04-25 | 北京工业大学 | 一种基于安全芯片的可信移动存储方法 |
-
2014
- 2014-04-08 CN CN201410138045.5A patent/CN103929422B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101350044A (zh) * | 2008-09-02 | 2009-01-21 | 中国科学院软件研究所 | 一种虚拟环境信任构建方法 |
CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
CN102427449A (zh) * | 2011-11-04 | 2012-04-25 | 北京工业大学 | 一种基于安全芯片的可信移动存储方法 |
Non-Patent Citations (3)
Title |
---|
《一个基于TPM芯片的可信网络接入模型》;陈志浩 谢小权;《专题报道》;20081130;第42-44页 * |
《一种可证明安全的通用多信任域认证协议》;朱辉;《武汉大学学报.信息科学版》;20081031;第33卷(第10期);第1052-1054页 * |
《一种基于身份的多信任域认证模型》;彭华熹;《计算机学报》;20060831;第29卷(第8期);第1272-1281页 * |
Also Published As
Publication number | Publication date |
---|---|
CN103929422A (zh) | 2014-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103929422B (zh) | 基于sdn的可信域间安全认证协议 | |
Conti et al. | A survey of man in the middle attacks | |
US8255977B2 (en) | Trusted network connect method based on tri-element peer authentication | |
Gonzalez et al. | A trust-based approach against IP-spoofing attacks | |
Esfahani et al. | An efficient web authentication mechanism preventing man-in-the-middle attacks in industry 4.0 supply chain | |
CN105933245A (zh) | 一种软件定义网络中安全的可信接入方法 | |
Sani et al. | Xyreum: A high-performance and scalable blockchain for iiot security and privacy | |
CN103701700A (zh) | 一种通信网络中的节点发现方法及系统 | |
Khan et al. | A robust and privacy-preserving anonymous user authentication scheme for public cloud server | |
CN113572765B (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
Sebbar et al. | Detection MITM attack in multi-SDN controller | |
TWI668987B (zh) | 基於目標式移動防護的主機防護系統及其方法 | |
Zhou et al. | Study on authentication protocol of SDN trusted domain | |
CN109218292A (zh) | 一种电力网络边界安全协同防御方法及系统 | |
Irshad et al. | SUSIC: A secure user access control mechanism for SDN-enabled IIoT and cyber physical systems | |
Lai et al. | A novel authentication scheme supporting multiple user access for 5G and beyond | |
He et al. | A lightweight authentication and key exchange protocol with anonymity for IoT | |
Zhou et al. | Dos vulnerability verification of ipsec vpn | |
Liu et al. | A trusted access method in software-defined network | |
CN104486082B (zh) | 认证方法和路由器 | |
Boldyreva et al. | Human computing for handling strong corruptions in authenticated key exchange | |
Karmakar et al. | A PUF and Fuzzy Extractor-Based UAV-Ground Station and UAV-UAV authentication mechanism with intelligent adaptation of secure sessions | |
Mahdi et al. | Enhanced security of software-defined network and network slice through hybrid quantum key distribution protocol | |
Maybaum et al. | Arming the trusted platform module pro-active system integrity monitoring focussing on peer system notification | |
Lai et al. | Trust-Based Security for the Spanning Tree Protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |