CN104780069A - 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 - Google Patents
一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 Download PDFInfo
- Publication number
- CN104780069A CN104780069A CN201510181752.7A CN201510181752A CN104780069A CN 104780069 A CN104780069 A CN 104780069A CN 201510181752 A CN201510181752 A CN 201510181752A CN 104780069 A CN104780069 A CN 104780069A
- Authority
- CN
- China
- Prior art keywords
- controller
- equipment
- sdn
- message
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种面向SDN网络的数据层与控制层间通信通道的自配置方法,在SDN环境中,控制器与交换机等设备基于对称密钥技术自动进行相互认证,在认证完成后,通过自配置管理步骤在控制器与设备之间建立安全通信通道。
Description
技术领域
本发明属于计算机网络管理技术领域,特别涉及一种针对SDN(SoftwareDefined Network,简称SDN)网络的控制层与数据层的通信通道的自动配置的方法。
背景技术
随着云计算、大数据等新兴业务的迅猛发展,网络的变革已经刻不容缓,在这样的趋势下,SDN技术的发展空间将会越来越广泛。因为越来越多的企业和运营商选择将SDN加入它们的网络中,基于SDN构建的大规模网络的需求将不断增加。然而,建设SDN网络前期(在SDN功能完成之前)所投入的成本、人力将明显阻碍SDN的推广。刨去进行设备升级(由传统网络设备到支持SDN的设备)所花费的必须成本,进行SDN功能配置,特别是SDN控制层和数据层的通信通道的配置所花费的人工成本也会随着网络规模的增大而成倍增加。更糟糕的是,手动配置产生的错误严重影响的网络的性能。为了解决手动配置控制层和数据层的通信通道的低效率、高成本、低可靠性等问题,本发明针对单一控制器的SDN网络,提出基于对称密钥的控制层与数据层的通信通道自配置技术。首先,基于对称密钥完成控制器和数据层的设备间的相互认证工作,防止不合法的设备进入网络,然后基于对称密钥在控制器和设备间进行安全的信息传输,从而完成控制层与数据层的通信通道的自动配置。由于此技术明显降低了SDN网络建设对人工参与的需求,提高了整个SDN网络建设的效率,降低了网络建设的成本。
软件定义网络(Software Defined Network,简称SDN)是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构,其基本架构如图1所示,包括三层:最上层是应用层(Application Layer),由使用SDN通信服务的终端用户的应用组成;中间是控制层(Control Layer),包含一个或多个控制器提供综合的网络监控功能,并为应用层提供操作网络的接口;最底层是设施层(Infrastructure Layer,也称为数据层),通过通信通道(一般称其为安全通道Secure Channel,目前主要是OpenFlow协议实现)与控制层进行交互,完成基本的报文交换和转发功能。SDN的核心技术包括:分离网络设备控制层与数据层,实现控制平面集中化,支持可编程网络,这三项技术相辅相成,最终实现对网络的灵活控制,并为核心网络及应用的创新提供了良好的平台。特别是,随着以云计算、大数据为代表的新兴业务的火热发展,现有网络架构已经无法满足云计算、大数据等带来的新需求,在这个趋势下,网络变革已经成为必然,而SDN恰是其中最具代表性和最为被认可的创新型网络架构。因而,越来越多的厂商(包括Cisco、华为、VMware等)投入到SDN的阵营中,也有越来越多的运营商(如电信、联通等)尝试将SDN应用到他们的网络中。
控制层与数据层的通信通道(即安全通道Secure Channel)是实现SDN的集中控制、可编程特性的关键,是将控制与数据分离的基础。虽然SDN使得网络管理变得更加灵活、敏捷、自动化,然而,这些优势均是在控制层与数据层的通信通道正确建立之后才能实现。而要建立控制层与数据层的通信通道,需要手动的到数据层的设备上逐个进行配置,随着设备规模的增大,工作量将成倍增加,耗时耗力;此外,由于手工工作准确率无法保证,容易造成网络故障,降低网络的性能。这些问题严重影响了大规模网络应用SDN技术的效率。自配置技术是解决手动配置问题的最佳选择,然而,传统的IP自配置技术关注的是设备IP地址的配置问题,并不适用于SDN的安全通道的自配置,因为在安全通道的配置过程包含的内容远远多于配置设备IP地址,其需要首先完成控制器和其管理的设备之间的安全认证工作,以防止非法设备进入网络,因为非法的设备可以通过DDoS攻击和利用OpenFlow协议的漏洞攻击控制器和其他设备,从而破坏整个网络的安全性;只有在认证通过后,才能进行安全通道的配置工作。对称密钥算法是一种高效、简单的加密技术,通过共享密钥,通信双方既可以认证对方的合法性,又可以保证它们间的通信消息不会被非法窃取。对称密钥为实现SDN网络中控制层和数据层的通信通道的自配置带来了无限的空间。
在发明名称为“Automatic software defined network configuring method,involves obtaining starting time of main controller and destination IP address ofdistribution controller by switch controller,and indicating message by switch”(公开号CN103618621-A)的现有技术中,公开了一种交换机通过switch controller获取被分配的控制器的目的IP,从而进行通信通道的配置,但没有考虑对交换机合法性的认证,也没有进行控制器与交换机之间的相互认证来保证通信通道的安全性。
在发明名称为“SDN cloud computing and virtualizing method,involvesreceiving agency Flow Visor information by controller,connecting open flowswitcher with controller,and controlling open flow protocol transmitting process bycontroller”(公开号CN103905523-A)的现有技术中,公开了一种SDN云计算和虚拟化环境下的FlowVisor信息接收问题、控制器和交换机的连接问题以及OpenFlow协议传播问题,但并没有解决在SDN网络建设过程中控制层与数据层的相互认证、通道建立的问题。
在发明名称为“Network configuration method,involves sending node tomaster controller,so that master controller configures control rule corresponding tonode type for node according to node type,and sending control rule to node”(公开号WO2014179923-A1)的现有技术中,公开了一种依据控制器的负载状态为交换机分配控制器,并在数据平面配置相应地控制平面,从而达到配置效率优化,并满足网络性能的需求。然而,该发明没有对交换机的合法性进行认证,在网络建设初期和网络重建过程中并不适用。
在开源项目OpenDaylight的SNBI(Secure Network BootstrappingInfrastructure,安全网络引导基础设施)项目的现有技术中,公开了一种面向SDN网络的SNBI设备与控制器自动发现、自动分配IP地址和自动建立安全IP连接的方法,但该方法的认证措施仅适用于已知网络设备信息且设备信息固定的情况,此外,由于SNBI并没有提供一种设备信息采集的解决方案,所以不能完全适用于大规模SDN网络建设,特别是网络重建过程中,设备信息未知(需通过采集方案收集)且动态变化的情况。
在文献名称为:“Silva Delgado,Mendez Penuela,Morales Medina,RuedaRodriguez,‘Automatic network reconfiguration because of security events’,in2014IEEE Colombian Conference on Communications and Computing(COLCOM),2014.06”的现有技术中,公开了一种利用SDN技术自动地重配置网络以应对安全威胁的方法。然而,该方法只有在SDN网络完全建立完成后才可以使用,并没有解决在SDN网络建设过程中控制层与数据层的相互认证、通道建立的问题。
发明内容
本发明的目的在于提供一种面向SDN网络的控制层与数据层通信通道自配置方法及其系统,以解决当前大规模SDN网络中,手动配置控制层与数据层通信通道耗时耗力,可靠性差的问题。
为达上述目的,本发明提出了一种面向SDN网络的控制层与数据层通信通道自配置方法,用于SDN网络中在处于控制层的控制器与处于数据层(即设施层)的设备之间建立通信通道,包括:
自配置管理步骤:基于对称密钥,进行所述控制器与所述设备的相互认证后,建立所述控制器与所述设备之间的安全通信通道。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述自配置管理步骤,包括:
预配置步骤:在所述控制器及所述设备上,预配置相同的对称密钥、加密算法和响应生成算法;
认证步骤:基于所述对称密钥、所述加密算法及所述响应生成算法对所述控制器及所述设备完成相互身份合法性认证;
通道配置步骤:针对所述认证步骤中已经完成身份合法性认证的所述控制器及所述设备,完成自配置,建立通过身份认证的所述控制器与所述设备之间的安全通信通道。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述认证步骤,包括:
初步建联步骤:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息广播,所述控制器对接收的所述身份信息通过加密消息进行响应;
控制器身份认证步骤:所述设备通过接收的所述控制器的加密消息,解密后进行所述控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证步骤:所述控制器接收所述设备的加密消息,解密后进行所述设备身份合法性认证。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述初步建联步骤,包括:
广播步骤:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息进行广播;
广播响应步骤:所述控制器基于接收的所述设备的身份信息,产生随机信息与控制器的签名采用所述对称密钥进行加密,将加密后的消息发送给对应的所述设备。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述控制器身份认证步骤,包括:
设备解密步骤:所述设备基于接收到来自所述控制器的加密消息,通过所述对称密钥解密,得到所述控制器的签名和随机消息;
设备判断步骤:所述设备判断获得的所述控制器签名与本地存储控制器签名是否一致,如果一致,则控制器身份认证通过,否则,控制器身份认证失败。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述设备身份认证步骤,包括:
设备发送消息步骤:所述设备认证了所述控制器后,所述设备通过所述响应生成算法计算所述随机消息的响应,并用所述对称密钥加密,将加密后的所述随机消息的响应发送给所述控制器;
控制器判断步骤:所述控制器通过相同的所述响应生成算法计算所述随机消息的响应,并对收到的所述加密后的所述随机消息的响应进行解密,将解密后的所述随机消息的响应与本地计算的随机消息的响应进行比较,如果相等,则设备身份认证成功。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述通道配置步骤,包括:
邀请信息发送步骤:所述控制器向通过身份认证的所述设备发送邀请消息,所述邀请消息中包含控制器的签名,并用所述对称密钥加密所述邀请信息;
邀请信息验证步骤:所述设备通过所述对称密钥解密接收到的所述邀请消息信息,并验证所述控制器的签名,如果验证通过,则所述设备生成用于通信的公钥和私钥;
开机请求信息发送步骤:所述设备向所述控制器发送开机请求信息,并向所述控制器提供一个证书、所述证书的签名以及所述证书的公钥,用所述对称密钥加密所述证书、所述证书签名以及所述证书的公钥;
开机请求信息应答步骤:所述控制器接收到加密的所述证书、所述证书签名以及所述证书的公钥,采用所述对称密钥解密,并向所述设备发送开机应答信息,所述设备与所述控制器建立安全的通信通道。
上述面向SDN网络的控制层与数据层通信通道自配置方法,所述开机请求信息应答步骤中,所述控制器通过建立的所述安全通信通道为所述设备分配IP地址,以实现对所述设备的唯一标识。
本发明还提供一种面向SDN网络的控制层与数据层通信通道自配置系统,用于SDN网络中在处于控制层的控制器与处于数据层的设备之间建立通信通道,采用如上所述面向SDN网络的控制层与数据层通信通道自配置方法,所述系统,包括:
自配置管理模块:基于对称密钥,进行所述控制器与所述设备的相互认证后,建立所述控制器与所述设备之间的安全通信通道。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述自配置管理模块,包括:
预配置模块:在所述控制器及所述设备上,预配置相同的对称密钥、加密算法和响应生成算法;
认证模块:基于所述对称密钥、所述加密算法及所述响应生成算法对所述控制器及所述设备完成相互身份合法性认证;
通道配置模块:针对已经完成身份合法性认证的所述控制器及所述设备,完成自配置,建立通过身份认证的所述控制器与所述设备之间的安全通信通道。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述认证模块,包括:
初步建联模块:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息广播,所述控制器对接收的所述身份信息通过加密消息进行响应;
控制器身份认证模块:所述设备通过接收的所述控制器的加密消息,解密后进行所述控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证模块:所述控制器接收所述设备的加密消息,解密后进行所述设备身份合法性认证。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述初步建联模块,包括:
广播模块:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息进行广播;
广播响应模块:所述控制器基于接收的所述设备的身份信息,产生随机信息与控制器的签名采用所述对称密钥进行加密,将加密后的消息发送给对应的所述设备。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述控制器身份认证模块,包括:
设备解密模块:所述设备基于接收到来自所述控制器的加密消息,通过所述对称密钥解密,得到所述控制器的签名和随机消息;
设备判断模块:所述设备判断获得的所述控制器签名与本地存储控制器签名是否一致,如果一致,则控制器身份认证通过,否则,控制器身份认证失败。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述设备身份认证模块,包括:
设备发送消息模块:所述设备认证了所述控制器后,所述设备通过所述响应生成算法计算所述随机消息的响应,并用所述对称密钥加密,将加密后的所述随机消息的响应发送给所述控制器;
控制器判断模块:所述控制器通过相同的所述响应生成算法计算所述随机消息的响应,并对收到的所述加密后的所述随机消息的响应进行解密,将解密后的所述随机消息的响应与本地计算的随机消息的响应进行比较,如果相等,则设备身份认证成功。
上述面向SDN网络的控制层与数据层通信通道自配置系统,所述通道配置模块,包括:
邀请信息发送模块:所述控制器向通过身份认证的所述设备发送邀请消息,所述邀请消息中包含控制器的签名,并用所述对称密钥加密所述邀请信息;
邀请信息验证模块:所述设备通过所述对称密钥解密接收到的所述邀请消息信息,并验证所述控制器的签名,如果验证通过,则所述设备生成用于通信的公钥和私钥;
开机请求信息发送模块:所述设备向所述控制器发送开机请求信息,并向所述控制器提供一个证书、所述证书的签名以及所述证书的公钥,用所述对称密钥加密所述证书、所述证书签名以及所述证书的公钥;
开机请求信息应答模块:所述控制器接收到加密的所述证书、所述证书签名以及所述证书的公钥,采用所述对称密钥解密,并向所述设备发送开机应答信息,所述设备与所述控制器建立安全的通信通道。
与现有技术相比,本发明提出的技术方案,具有的有益效果在于:实现了一种控制层和数据层的通信通道配置的自动化技术方案。
本发明提出的基于对称密钥的控制器与设备的相互认证技术,有效阻止了非法的设备加入网络,保证了网络的安全;本发明提出的面向单控制器SDN网络的控制层与数据层通信通道的自配置技术,有助于自动地建立控制层和数据层通信通道,无需任何手动操作,简单、高效。总体的技术效果是能够高效、简单、低成本、安全地完成大规模SDN网络建设初期和重建过程中控制层与数据层通信通道的配置工作。
附图说明
图1为现有技术SDN网络架构示意图;
图2为本发明面向SDN网络的控制层与数据层通信通道自配置方法流程示意图;
图3~图4为本发明控制层与数据层通信通道自配置方法详细流程示意图;
图5为本发明方法具体实施例场景示意图;
图6为本发明面向SDN网络的控制层与数据层通信通道自配置系统结构示意图;
图7~图8为本发明控制层与数据层通信通道自配置系统详细结构示意图。
其中,附图标记:
1 自配置管理模块
11预配置模块 12认证模块
13通道配置模块
121初步建联模块 122控制器身份认证模块
123设备身份认证模块
131邀请信息发送模块 132邀请信息验证模块
133开机请求信息发送模块 134开机请求信息应答模块
1211广播模块 1212广播响应模块
1221设备解密模块 1222设备判断模块
1231设备发送消息模块 1232控制器判断模块
本发明各实施例的施行步骤:S11~S13、S121~S123、S131~S134、S1211~S1212、S1221~S1222、S1231~S1232
具体实施方式
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
本发明提出基于对称密钥的面向单控制器SDN的控制层与数据层通信通道的自配置技术。本发明用于解决当前大规模SDN网络中,手动配置控制层和数据层通信通道耗时耗力,可靠性差等问题。本发明的技术面向只有一个控制器的SDN环境,基于对称密钥技术实现控制层设备和数据层设备间的相互认证;认证通过后,即可进行控制层与数据层的通信通道自配置过程,在配置过程中,采用对称密钥加密控制层和数据层传输的用于通信通道配置的消息,以保证消息的安全性。该技术显著减少了SDN网络建设(特别是网络初建和重建)过程中的手动工作,提高了网络配置工作的效率和可靠性。
本发明提出的一种面向SDN网络的控制层与数据层通信通道自配置方法,用于SDN网络中在处于控制层的控制器与处于数据层(即设施层)的设备之间建立通信通道,如图2所示,该方法,包括:
自配置管理步骤S1:基于对称密钥,进行控制器与设备的相互认证后,建立控制器与设备之间的安全通信通道。
其中,自配置管理步骤S1,包括:
预配置步骤S11:在控制器及设备上,预配置相同的对称密钥、加密算法和响应生成算法;
认证步骤S12:基于对称密钥、加密算法及响应生成算法对控制器及设备完成相互身份合法性认证;
通道配置步骤S13:针对认证步骤中已经完成身份合法性认证的控制器及设备,完成自配置,建立通过身份认证的控制器与设备之间的安全通信通道。
其中,如图3所示,认证步骤S12,包括:
初步建联步骤S121:当设备初次加入SDN网络时,设备会在SDN网络中进行身份信息广播,控制器对接收的身份信息通过加密消息进行响应;
控制器身份认证步骤S122:设备通过接收的控制器的加密消息,解密后进行控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证步骤S123:控制器接收设备的加密消息,解密后进行设备身份合法性认证。
其中,如图3所示,通道配置步骤S13,包括:
邀请信息发送步骤S131:控制器向通过身份认证的设备发送邀请消息,邀请消息中包含控制器的签名,并用对称密钥加密邀请信息;
邀请信息验证步骤S132:设备通过对称密钥解密接收到的邀请消息信息,并验证控制器的签名,如果验证通过,则设备生成用于通信的公钥和私钥;
开机请求信息发送步骤S133:设备向控制器发送开机请求信息,并向控制器提供一个证书、证书签名以及证书的公钥,用对称密钥加密证书、证书签名以及证书的公钥;
开机请求信息应答步骤S134:控制器接收到加密的证书、证书签名以及证书的公钥,采用对称密钥解密,并向设备发送开机应答信息,设备与控制器建立安全的通信通道;控制器通过建立的安全通信通道为设备分配IP地址,以实现对设备的唯一标识。
其中,如图4所示,初步建联步骤S121,包括:
广播步骤S1211:当设备初次加入SDN网络时,设备会在SDN网络中进行身份信息进行广播;
广播响应步骤S1212:控制器基于接收的设备的身份信息,产生随机信息与控制器的签名采用对称密钥进行加密,将加密后的消息发送给对应的设备。
其中,如图4所示,控制器身份认证步骤S122,包括:
设备解密步骤S1221:设备基于接收到来自控制器的加密消息,通过对称密钥解密,得到控制器的签名和随机消息;
设备判断步骤S1222:设备判断获得的控制器签名与本地存储控制器签名是否一致,如果一致,则控制器身份认证通过,否则,控制器身份认证失败。
其中,如图4所示,设备身份认证步骤S123,包括:
设备发送消息步骤S1231:设备认证了控制器后,设备通过响应生成算法计算随机消息的响应,并用对称密钥加密,将加密后的随机消息的响应发送给控制器;
控制器判断步骤S1232:控制器通过相同的响应生成算法计算随机消息的响应,并对收到的加密后的随机消息的响应进行解密,将解密后的随机消息的响应与本地计算的随机消息的响应进行比较,如果相等,则设备身份认证成功。
下面结合附图和具体实施方式,对本发明做进一步的说明。
本发明在实际应用中,如图5所示,网络的场景是一个控制器和多个需要加入网络的设备。为了实现控制层与数据层通信通道的自配置,需要在控制器和设备中增加新的用于自配置管理的模块(Auto-Configuration Management),以完成自配置的工作。此外,在进行控制层与数据层通信通道的自配置过程之前,需要预先在控制器和设备上配置相同的对称密钥、加密算法、响应生成算法,因为在网络中所有设备的上述三个要素均一致,所以可以通过软件一步实现对所有设备的配置。在实现上述场景的网络中,就可以采用本发明所提出的技术简单、高效的完成单控制器SDN的控制层与数据层通信通道的自动配置。
本发明具体实施例,基于对称密钥的控制器与设备的相互认证技术。为了防止非法的设备加入网络,从而破坏整个网络的安全性,需要在控制器和设备间进行相互认证。认证工作需要在控制器和设备间配置相同的密钥(用K表示)和加密算法,同时为了认证设备,还在控制器和设备间配置相同的响应生成算法f,用于计算消息的响应。具体的认证过程如下所示:
1)每当由新设备加入网络时,设备都会先向网络中广播自己。
2)控制器收到新设备的广播消息,控制器产生一个随机消息M,并和控制器的签名一起用密钥K对它们进行加密,将加密后的消息发送给对应的设备。
3)此时,新加入的设备接收到来自控制器的消息,通过密钥K解密,得到控制器的签名和随机消息M;首先,判断得到的控制器签名与其本地存储的是否相等,如果二者相等,则可以认证控制器。
4)新设备认证了控制器后,设备通过算法f计算消息M的响应MR,并用密钥K加密,将加密后的EK(MR)发送给控制器。
5)控制器收到来自设备的消息后,同样通过算法f计算M的响应,并对收到的EK(MR)解密,比较解密后的MR是否与本地计算出的相等,如果相等,则认证设备。
本发明具体实施例,面向单控制器SDN网络的控制层与数据层通信通道的自配置技术。在完成控制器和设备的相互认证后,控制器和设备的合法性都得到保证,就可以进行控制层和数据层通信通道的配置过程了,在配置过程中采用对称密钥K加解密保证消息的安全。其配置过程的主要步骤包括:
1)控制器向新认证过的设备发送Invite消息,消息包含控制器的签名,并用对称密钥K加密。
2)新设备收到消息,通过对称密钥K解密得到Invite信息,首先,验证控制器的签名,如果验证通过,则设备生成其用于通信的公钥和私钥;
3)设备向控制器发送“Boot strap request”信息,并向控制器提供一个PKCS10,PKCS10_signature(签名)以及其公钥,这些消息均用对称密钥K加密;
4)控制器接收到消息,用对称密钥K解密,并向设备发送“Boot strap reply”信息,其中包含控制器的管理域(由控制器所管理的设备组成)的证书,此时,设备就成了此域的一个成员,并且可与控制器建立安全的通信通道,并且通过此通道,控制器可以为设备分配IP来唯一标识设备。
5)此时,设备可以与控制器通信,依据此控制器或上层应用的策略决定对经过此设备的网络流的处理操作。
此外,本发明还提供一种面向SDN网络的控制层与数据层通信通道自配置系统,用于SDN网络中在处于控制层的控制器与处于数据层(即设施层)的设备之间建立通信通道,采用如上所述面向SDN网络的控制层与数据层通信通道自配置方法,所述系统,如图6所示,包括:
自配置管理模块1:基于对称密钥,进行控制器与设备的相互认证后,建立控制器与设备之间的安全通信通道。
其中,自配置管理模块1,如图6所示,包括:
预配置模块11:在控制器及设备上,预配置相同的对称密钥、加密算法和响应生成算法;
认证模块12:基于对称密钥、加密算法及响应生成算法对控制器及设备完成相互身份合法性认证;
通道配置模块13:针对已经完成身份合法性认证的控制器及设备,完成自配置,建立通过身份认证的控制器与设备之间的安全通信通道。
其中,认证模块12,如图7所示,包括:
初步建联模块121:当设备初次加入SDN网络时,设备会在SDN网络中进行身份信息广播,控制器对接收的身份信息通过加密消息进行响应;
控制器身份认证模块122:设备通过接收的控制器的加密消息,解密后进行控制器身份合法性认证,并发送加密消息;
设备身份认证模块123:控制器接收所述设备的加密消息,解密后进行设备身份合法性认证。
其中,如图8所示,初步建联模块121,包括:
广播模块1211:当设备初次加入SDN网络时,设备会在SDN网络中进行身份信息进行广播;
广播响应模块1212:控制器基于接收的设备的身份信息,产生随机信息与控制器的签名采用对称密钥进行加密,将加密后的消息发送给对应的设备。
其中,如图8所示,控制器身份认证模块122,包括:
设备解密模块1221:设备基于接收到来自控制器的加密消息,通过对称密钥解密,得到控制器的签名和随机消息;
设备判断模块1222:设备判断获得的控制器签名与本地存储控制器签名是否一致,如果一致,则控制器身份认证通过,否则,控制器身份认证失败。
其中,如图8所示,设备身份认证模块123,包括:
设备发送消息模块1231:设备认证了控制器后,设备通过响应生成算法计算随机消息的响应,并用对称密钥加密,将加密后的随机消息的响应发送给控制器;
控制器判断模块1232:控制器通过相同的响应生成算法计算随机消息的响应,并对收到的加密后的随机消息的响应进行解密,将解密后的随机消息的响应与本地计算的随机消息的响应进行比较,如果相等,则设备身份认证成功。
其中,如图7所示,通道配置模块13,包括:
邀请信息发送模块131:控制器向通过身份认证的设备发送邀请消息,邀请消息中包含控制器的签名,并用对称密钥加密邀请信息;
邀请信息验证模块132:设备通过对称密钥解密接收到的邀请消息信息,并验证控制器的签名,如果验证通过,则设备生成用于通信的公钥和私钥;
开机请求信息发送模块133:设备向控制器发送开机请求信息,并向控制器提供一个证书、证书签名以及证书的公钥,用对称密钥加密证书、证书签名以及证书的公钥;
开机请求信息应答模块134:控制器接收到加密的证书、证书签名以及证书的公钥,采用对称密钥解密,并向设备发送开机应答信息,设备与控制器建立安全的通信通道。
综上所述,本发明通过预先配置的对称密钥K、加密算法和响应算法f,控制器和新设备经过设备发现、设备认证控制器、控制器认证设备三个基本步骤,完成新设备对控制器的合法性的验证,以及控制器对新设备的合法性的验证,阻止了非合法设备加入网络的可能,从而保证了网络的安全。此外,本发明实现了控制层与数据层通道的自动建立过程,安全简单高效,不需要人工的参与,从而降低了网络建设的成本。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (15)
1.一种面向SDN网络的控制层与数据层通信通道自配置方法,用于SDN网络中在处于控制层的控制器与处于数据层的设备之间建立通信通道,其特征在于,包括:
自配置管理步骤:基于对称密钥,进行所述控制器与所述设备的相互认证后,建立所述控制器与所述设备之间的安全通信通道。
2.根据权利要求1所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述自配置管理步骤,包括:
预配置步骤:在所述控制器及所述设备上,预配置相同的对称密钥、加密算法和响应生成算法;
认证步骤:基于所述对称密钥、所述加密算法及所述响应生成算法对所述控制器及所述设备完成相互身份合法性认证;
通道配置步骤:针对所述认证步骤中已经完成身份合法性认证的所述控制器及所述设备,完成自配置,建立通过身份认证的所述控制器与所述设备之间的安全通信通道。
3.根据权利要求2所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述认证步骤,包括:
初步建联步骤:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息广播,所述控制器对接收的所述身份信息通过加密消息进行响应;
控制器身份认证步骤:所述设备通过接收的所述控制器的加密消息,解密后进行所述控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证步骤:所述控制器接收所述设备的加密消息,解密后进行所述设备身份合法性认证。
4.根据权利要求3所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述初步建联步骤,包括:
广播步骤:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息进行广播;
广播响应步骤:所述控制器基于接收的所述设备的身份信息,产生随机信息与控制器的签名采用所述对称密钥进行加密,将加密后的消息发送给对应的所述设备。
5.根据权利要求3所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述控制器身份认证步骤,包括:
设备解密步骤:所述设备基于接收到来自所述控制器的加密消息,通过所述对称密钥解密,得到所述控制器的签名和随机消息;
设备判断步骤:所述设备判断获得的所述控制器签名与本地存储控制器签名是否一致,如果一致,则控制器身份认证通过,否则,控制器身份认证失败。
6.根据权利要求3所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述设备身份认证步骤,包括:
设备发送消息步骤:所述设备认证了所述控制器后,所述设备通过所述响应生成算法计算所述随机消息的响应,并用所述对称密钥加密,将加密后的所述随机消息的响应发送给所述控制器;
控制器判断步骤:所述控制器通过相同的所述响应生成算法计算所述随机消息的响应,并对收到的所述加密后的所述随机消息的响应进行解密,将解密后的所述随机消息的响应与本地计算的随机消息的响应进行比较,如果相等,则设备身份认证成功。
7.根据权利要求2所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述通道配置步骤,包括:
邀请信息发送步骤:所述控制器向通过身份认证的所述设备发送邀请消息,所述邀请消息中包含控制器的签名,并用所述对称密钥加密所述邀请信息;
邀请信息验证步骤:所述设备通过所述对称密钥解密接收到的所述邀请消息信息,并验证所述控制器的签名,如果验证通过,则所述设备生成用于通信的公钥和私钥;
开机请求信息发送步骤:所述设备向所述控制器发送开机请求信息,并向所述控制器提供一个证书、所述证书的签名以及所述证书的公钥,用所述对称密钥加密所述证书、所述证书签名以及所述证书的公钥;
开机请求信息应答步骤:所述控制器接收到加密的所述证书、所述证书签名以及所述证书的公钥,采用所述对称密钥解密,并向所述设备发送开机应答信息,所述设备与所述控制器建立安全的通信通道。
8.根据权利要求7所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述开机请求信息应答步骤中,所述控制器通过建立的所述安全通信通道为所述设备分配IP地址,以实现对所述设备的唯一标识。
9.一种面向SDN网络的控制层与数据层通信通道自配置系统,用于SDN网络中在处于控制层的控制器与处于数据层的设备之间建立通信通道,采用如权利要求1-8中任一项所述面向SDN网络的控制层与数据层通信通道自配置方法,其特征在于,所述系统,包括:
自配置管理模块:基于对称密钥,进行所述控制器与所述设备的相互认证后,建立所述控制器与所述设备之间的安全通信通道。
10.根据权利要求9所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述自配置管理模块,包括:
预配置模块:在所述控制器及所述设备上,预配置相同的对称密钥、加密算法和响应生成算法;
认证模块:基于所述对称密钥、所述加密算法及所述响应生成算法对所述控制器及所述设备完成相互身份合法性认证;
通道配置模块:针对已经完成身份合法性认证的所述控制器及所述设备,完成自配置,建立通过身份认证的所述控制器与所述设备之间的安全通信通道。
11.根据权利要求10所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述认证模块,包括:
初步建联模块:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息广播,所述控制器对接收的所述身份信息通过加密消息进行响应;
控制器身份认证模块:所述设备通过接收的所述控制器的加密消息,解密后进行所述控制器身份合法性认证,验证通过后发送加密消息;
设备身份认证模块:所述控制器接收所述设备的加密消息,解密后进行所述设备身份合法性认证。
12.根据权利要求11所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述初步建联模块,包括:
广播模块:当所述设备初次加入SDN网络时,所述设备会在SDN网络中进行身份信息进行广播;
广播响应模块:所述控制器基于接收的所述设备的身份信息,产生随机信息与控制器的签名采用所述对称密钥进行加密,将加密后的消息发送给对应的所述设备。
13.根据权利要求11所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述控制器身份认证模块,包括:
设备解密模块:所述设备基于接收到来自所述控制器的加密消息,通过所述对称密钥解密,得到所述控制器的签名和随机消息;
设备判断模块:所述设备判断获得的所述控制器签名与本地存储控制器签名是否一致,如果一致,则控制器身份认证通过,否则,控制器身份认证失败。
14.根据权利要求11所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述设备身份认证模块,包括:
设备发送消息模块:所述设备认证了所述控制器后,所述设备通过所述响应生成算法计算所述随机消息的响应,并用所述对称密钥加密,将加密后的所述随机消息的响应发送给所述控制器;
控制器判断模块:所述控制器通过相同的所述响应生成算法计算所述随机消息的响应,并对收到的所述加密后的所述随机消息的响应进行解密,将解密后的所述随机消息的响应与本地计算的随机消息的响应进行比较,如果相等,则设备身份认证成功。
15.根据权利要求10所述面向SDN网络的控制层与数据层通信通道自配置系统,其特征在于,所述通道配置模块,包括:
邀请信息发送模块:所述控制器向通过身份认证的所述设备发送邀请消息,所述邀请消息中包含控制器的签名,并用所述对称密钥加密所述邀请信息;
邀请信息验证模块:所述设备通过所述对称密钥解密接收到的所述邀请消息信息,并验证所述控制器的签名,如果验证通过,则所述设备生成用于通信的公钥和私钥;
开机请求信息发送模块:所述设备向所述控制器发送开机请求信息,并向所述控制器提供一个证书、所述证书的签名以及所述证书的公钥,用所述对称密钥加密所述证书、所述证书签名以及所述证书的公钥;
开机请求信息应答模块:所述控制器接收到加密的所述证书、所述证书签名以及所述证书的公钥,采用所述对称密钥解密,并向所述设备发送开机应答信息,所述设备与所述控制器建立安全的通信通道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510181752.7A CN104780069B (zh) | 2015-04-16 | 2015-04-16 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510181752.7A CN104780069B (zh) | 2015-04-16 | 2015-04-16 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104780069A true CN104780069A (zh) | 2015-07-15 |
| CN104780069B CN104780069B (zh) | 2018-03-30 |
Family
ID=53621326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510181752.7A Expired - Fee Related CN104780069B (zh) | 2015-04-16 | 2015-04-16 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104780069B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294960A (zh) * | 2017-06-08 | 2017-10-24 | 北京邮电大学 | 一种软件定义网络控制通道的安全保障方法 |
| CN107733929A (zh) * | 2017-11-30 | 2018-02-23 | 中国联合网络通信集团有限公司 | 认证方法和认证系统 |
| CN108134675A (zh) * | 2017-12-18 | 2018-06-08 | 北京特立信电子技术股份有限公司 | 基于sdn网络的控制、数据平面设备及其认证方法与系统 |
| CN108768932A (zh) * | 2018-04-09 | 2018-11-06 | 中国电信股份有限公司上海分公司 | 一种轻量级sdn交换机与控制器的安全连接方法 |
| CN110391944A (zh) * | 2019-08-02 | 2019-10-29 | 山东超越数控电子股份有限公司 | 一种sdn可信域间策略同步控制方法 |
| CN110839037A (zh) * | 2019-11-19 | 2020-02-25 | 武汉思普崚技术有限公司 | 一种sdn网络的攻击场景挖掘方法及系统 |
| CN110881036A (zh) * | 2019-11-19 | 2020-03-13 | 武汉思普崚技术有限公司 | 一种自适应分布式调度的防御方法及系统 |
| CN110933674A (zh) * | 2019-12-11 | 2020-03-27 | 北京电子工程总体研究所 | 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法 |
| CN111211890A (zh) * | 2019-12-31 | 2020-05-29 | 江苏省未来网络创新研究院 | 一种基于sdn的网络安全防御系统及其工作方法 |
| CN111431889A (zh) * | 2020-03-19 | 2020-07-17 | 李子钦 | 一种OpenFlow网络中轻量级控制通道的通信保护方法 |
| WO2020151809A1 (en) * | 2019-01-22 | 2020-07-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Security for distributed networking |
| CN111934888A (zh) * | 2020-09-27 | 2020-11-13 | 南京可信区块链与算法经济研究院有限公司 | 一种改进软件定义网络的安全通信系统 |
| CN112889253A (zh) * | 2018-10-22 | 2021-06-01 | 思科技术公司 | 用于多站点数据中心的安全密码密钥分发和管理的上游方案 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1260054A4 (en) * | 2000-02-15 | 2006-10-18 | Silverbrook Res Pty Ltd | DEVICE AND PROTOCOL FOR AUTHENTICATION RECOGNITION |
| CN102594697A (zh) * | 2012-02-21 | 2012-07-18 | 华为技术有限公司 | 负载均衡方法及负载均衡装置 |
| CN103428771A (zh) * | 2013-09-05 | 2013-12-04 | 迈普通信技术股份有限公司 | 通信方法、软件定义网络sdn交换机及通信系统 |
| CN104113792A (zh) * | 2014-07-30 | 2014-10-22 | 上海斐讯数据通信技术有限公司 | 一种OpenFlow控制通道建立方法及系统 |
-
2015
- 2015-04-16 CN CN201510181752.7A patent/CN104780069B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1260054A4 (en) * | 2000-02-15 | 2006-10-18 | Silverbrook Res Pty Ltd | DEVICE AND PROTOCOL FOR AUTHENTICATION RECOGNITION |
| CN102594697A (zh) * | 2012-02-21 | 2012-07-18 | 华为技术有限公司 | 负载均衡方法及负载均衡装置 |
| CN103428771A (zh) * | 2013-09-05 | 2013-12-04 | 迈普通信技术股份有限公司 | 通信方法、软件定义网络sdn交换机及通信系统 |
| CN104113792A (zh) * | 2014-07-30 | 2014-10-22 | 上海斐讯数据通信技术有限公司 | 一种OpenFlow控制通道建立方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| DOMINIK SAMOCIUK: "Secure Communication Between OpenFlow Switches and Controllers", 《AFIN2015:THE SEVENTH INTERNATIONAL CONFERENCE ON ADVANCES IN FUTURE INTERNET》 * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294960A (zh) * | 2017-06-08 | 2017-10-24 | 北京邮电大学 | 一种软件定义网络控制通道的安全保障方法 |
| CN107733929B (zh) * | 2017-11-30 | 2020-04-10 | 中国联合网络通信集团有限公司 | 认证方法和认证系统 |
| CN107733929A (zh) * | 2017-11-30 | 2018-02-23 | 中国联合网络通信集团有限公司 | 认证方法和认证系统 |
| CN108134675A (zh) * | 2017-12-18 | 2018-06-08 | 北京特立信电子技术股份有限公司 | 基于sdn网络的控制、数据平面设备及其认证方法与系统 |
| CN108768932A (zh) * | 2018-04-09 | 2018-11-06 | 中国电信股份有限公司上海分公司 | 一种轻量级sdn交换机与控制器的安全连接方法 |
| CN112889253B (zh) * | 2018-10-22 | 2023-06-23 | 思科技术公司 | 用于多站点数据中心的安全密码密钥分发和管理的上游方案 |
| CN112889253A (zh) * | 2018-10-22 | 2021-06-01 | 思科技术公司 | 用于多站点数据中心的安全密码密钥分发和管理的上游方案 |
| US11895100B2 (en) | 2018-10-22 | 2024-02-06 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
| US11831622B2 (en) | 2019-01-22 | 2023-11-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Security for distributed networking |
| WO2020151809A1 (en) * | 2019-01-22 | 2020-07-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Security for distributed networking |
| CN110391944A (zh) * | 2019-08-02 | 2019-10-29 | 山东超越数控电子股份有限公司 | 一种sdn可信域间策略同步控制方法 |
| CN110881036A (zh) * | 2019-11-19 | 2020-03-13 | 武汉思普崚技术有限公司 | 一种自适应分布式调度的防御方法及系统 |
| CN110839037A (zh) * | 2019-11-19 | 2020-02-25 | 武汉思普崚技术有限公司 | 一种sdn网络的攻击场景挖掘方法及系统 |
| CN110933674B (zh) * | 2019-12-11 | 2023-05-02 | 北京电子工程总体研究所 | 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法 |
| CN110933674A (zh) * | 2019-12-11 | 2020-03-27 | 北京电子工程总体研究所 | 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法 |
| CN111211890A (zh) * | 2019-12-31 | 2020-05-29 | 江苏省未来网络创新研究院 | 一种基于sdn的网络安全防御系统及其工作方法 |
| CN111431889A (zh) * | 2020-03-19 | 2020-07-17 | 李子钦 | 一种OpenFlow网络中轻量级控制通道的通信保护方法 |
| CN111431889B (zh) * | 2020-03-19 | 2023-08-08 | 李子钦 | 一种OpenFlow网络中轻量级控制通道的通信保护方法 |
| CN111934888B (zh) * | 2020-09-27 | 2021-03-02 | 南京可信区块链与算法经济研究院有限公司 | 一种改进软件定义网络的安全通信系统 |
| CN111934888A (zh) * | 2020-09-27 | 2020-11-13 | 南京可信区块链与算法经济研究院有限公司 | 一种改进软件定义网络的安全通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104780069B (zh) | 2018-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| US11240218B2 (en) | Key distribution and authentication method and system, and apparatus | |
| US20190068591A1 (en) | Key Distribution And Authentication Method And System, And Apparatus | |
| US8577044B2 (en) | Method and apparatus for automatic and secure distribution of an asymmetric key security credential in a utility computing environment | |
| US20060285693A1 (en) | Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment | |
| CN106535089B (zh) | 机器对机器虚拟私有网络 | |
| CN110611658B (zh) | 一种基于sd-wan的设备认证方法及系统 | |
| CN110808834B (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN112804356B (zh) | 一种基于区块链的联网设备监管认证方法及系统 | |
| CN113992418A (zh) | 一种基于区块链技术的IoT设备管理方法 | |
| CN111885436A (zh) | 一种基于epon技术的配电网自动化通信系统 | |
| CN104917750B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN103888940A (zh) | 多级加密与认证的wia-pa网络手持设备的通讯方法 | |
| CN103763095A (zh) | 一种智能变电站密钥管理方法 | |
| CN115378578B (zh) | 一种基于国密sm4的sd-wan实现方法及系统 | |
| CN103312495B (zh) | 一种成组ca的形成方法和装置 | |
| CN104811338B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN115361125A (zh) | 一种基于量子密钥技术的vpn网络系统 | |
| CN105610667B (zh) | 建立虚拟专用网通道的方法和装置 | |
| Fischer et al. | Secure identifiers and initial credential bootstrapping for IoT@ Work | |
| CN113508379A (zh) | 分布式系统中的多向信任形成 | |
| CN112887968B (zh) | 一种网络设备管理方法、装置、网络管理设备及介质 | |
| CN116761172A (zh) | 基于sd-wan的安全网络构建方法 | |
| CN116248360A (zh) | 一种基于STG服务器的T-Box传输方法及装置 | |
| CN115765982A (zh) | 基于可信模块的边缘网关、子设备和物联网平台的绑定方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180330 Termination date: 20200416 |