CN106559408A - 一种基于信任管理的sdn认证方法 - Google Patents

Abstract

本发明提供一种基于信任管理的SDN认证方法，包括：采用密码技术与硬件设备结合的方式，构建基于信任管理的SDN认证授权模型；通过单点登录获得访问权限；以评估访问安全等级和为用户分配受限会话时间为约束条件，建立TMUAM机制；实现用户的授权认证。通过对用户和终端行为进行评估，使得异常行为和威胁得到控制；从而解决SDN控制器的网络安全问题。

Description

一种基于信任管理的SDN认证方法

技术领域

本发明涉及软件定义网络SDN安全认证方法，具体涉及一种基于信任管理的SDN认证方法。

背景技术

软件定义网络SDN(software defined network，SDN)将数据平面与控制平面解耦合，使应用升级与设备更新换代相互独立，有利于用户和运营商获取全局信息，更加灵活的控制整个网络。然而SDN开放式接口的引入会产生新一轮的网络攻击形式，如控制器向交换机发送蠕虫病毒、交换机向控制器进行Ddos攻击、非法用户恶意占用整个SDN网络带宽等等。因此，有必要提出一种安全的认证和访问控制机制的框架，使SDN网络安全发展。

目前，有关网络环境下身份认证计算主要包括①根据约定的口令和身份标识进行身份认证；②依据人的生物特征的身份认证；③采用硬件设备进行身份认证；④采用密码技术进行身份认证。其中基于硬件设备的身份认证方式，若设备如不采用安全的密码算法保护用户身份信息，容易被熟悉硬件接口的黑客攻击、盗窃和复制；而基于密码技术进行身份验证，若密码采用软件存储，密码本身的安全性就容易受到木马或病毒的破坏，存在被复制或恶意损坏的危险。因此，当前更安全的身份认证方式应该是结合使用密码技术和硬件设备技术的身份认证技术，通过硬件设备加密存储用户密钥，而密钥运算在设备内完成，不在网络中传播，从而真正的解决身份认证问题。

而在用户使用授权方面，目前主要是通过一些参数和指标使用户和终端以安全可靠的方式使用网络应用和服务，主要体现在系统整个访问控制策略中。当前应用较为广泛访问控制策略不仅包含了①自主访问控制、②强制访问控制和③基于角色的访问控制方式，还包含了数字版权管理和信任管理等。对于可信授权问题，关键在于衡量用户和终端行为及其结果是否可以评估和预期、异常行为和威胁是否可以防止和控制。

发明内容

为了实现上述目的，本发明提出一种基于信任管理的SDN认证方法，基于信任管理的SDN认证授权模型，认证方面提出采用密码技术与硬件设备结合的方式；使用授权方面，通过改进已有的基于经验和概率的信任管理方法，从系统级防护的角度出发提出TMUAM机制。从而解决SDN控制器的网络安全问题，有效防止用户和终端异常行为和安全威胁。

为了实现上述发明目的，本发明采取如下技术方案：

一种基于信任管理的SDN认证方法，所述方法包括：

(1)构建基于信任管理的SDN认证授权模型；

(2)通过单点登录获得访问权限；

(3)以评估访问安全等级和为用户分配受限会话时间为约束条件，建立TMUAM机制；实现用户的授权认证。

优选的，所述步骤(1)构建SDN认证授权模型包括：

将网络划分为多个网络区域，使用SDN控制器以集中控制的方式处理交换机请求；所述SDN控制器分布于不相交的网络区域内，采用扁平化管理模式管理各区域网络；

每个网络区域均包括统一认证授权服务器，利用统一认证授权服务器为该网络区域用户颁发证书，以实现单点登录和访问权限的获取；

各个统一认证授权服务器通过证书链验证或者交叉认证建立信任关系，以实现统一认证授权服务器之间相互认证与跨域访问，完成SDN认证授权模型的建立。

进一步地，所述SDN认证授权模型为分布式架构，置于网络区域内；以实现用户对SDN控制器的统一操作管理。

优选的，所述步骤(2)通过单点登录获得访问权限包括：每个统一认证授权服务器内设有唯一的用户管理中心；用户利用统一认证授权服务器和用户管理中心获取当前网络区域应用的访问权限；具体为：

用户通过用户管理中心写入用户身份信息，完成用户注册；

统一认证授权服务器从用户管理中心获取用户注册信息，生成证书；并通过SDN控制器开放接口将证书下发至相应用户；

用户单点登录统一认证授权服务器，建立会话窗口并获取会话密钥；所述会话密钥包括登录凭据和访问当前网络区域应用的权限信息；其中，所述登录凭据包括注册用户的身份标识和绑定信息；

用户访问完毕时退出系统，即时关闭会话；

当跨域访问时，建立各自统一认证授权服务器之间信任关系；通过被访问网络区域的统一认证授权服务器重新为其授权。

进一步地，所述用户单点登录统一认证授权服务器包括：

将证书登录和USB Key硬件身份认证结合，若其中任一种方式登录失败，则无法获取会话密钥。

进一步地，所述USB Key硬件身份认证包括：

用户向集成在统一认证授权服务器中的USBKey设备发送认证请求；

接收客户端发送的认证请求，根据请求中携带的硬件标识信息进行认证，即检验此硬件标识是否合法，若合法则允许登录，否则拒绝登录。

进一步地，所述证书登录包括：

设置服务器端和用户端分别为X和Y，M为一则消息；

IDX为用户X的身份标识，certx为X的公钥证书，rx为X产生的随机数，Kx为X的公钥，Kx_y为X和Y的共享密钥，{M}Kx_y表示根据X和Y的共享密钥对消息M进行对称加密，{M}kx表示由服务器端X的公钥加密消息M；用户为C，统一认证授权服务器AS；

用户C向认证授权服务器AS发送访问请求L1；

统一认证授权服务器AS收到访问请求L1后，验证其身份证书的有效性，若不成功则拒绝登录，成功则继续判断；其中，

所述访问请求L1，包括身份证书{Ktemp}kAS；通过统一认证授权服务器AS和公钥KAS加密获得的会话密钥Ktemp，以及用Ktemp加密的自身标识IDC和自身随机数rc；

通过用户管理中心查询用户是否注册，若未注册，则拒绝登录；若注册，则读取用户信息，并继续判断；

所述验证其证书的有效性包括：通过解密获得Ktemp，以及用Ktemp加密的自身标识IDC和自身随机数rc，并比较IDC是否与身份证书一致，若一致则生成消息L2；

用户C接收到消息L2后，若解密获得rc，则信任AS，并生成消息L3；即用KAS_C加密rAS发送至AS，AS收到消息后，若通过解密获得rAS，则信任C，否则拒绝登录。

优选的，所述步骤(3)包括：将用户访问的安全等级和会话的时间约束作为获得权限的限制条件，对基于角色的访问控制标准RBAC模型进行扩展，建立TMUAM机制；具体步骤包括：

3-1用户请求访问应用资源；

3-2针对用户访问请求进行授权认证；

3-3依据身份认证确定用户的访问等级，将用户信息给基本安全度收集器BSDC和元数据访问点服务器MAPS；

所述身份认证模式包括生物认证模式、数字证书模式和用户名/密码模式；

3-4所述元数据访问点服务器MAPS将动态行为信息发送至行为安全度收集器HSDC；

3-5获取用户的访问安全等级；

所述基本安全度收集器BSDC用于计算基本安全度值；行为安全度收集器HSDC用于计算行为安全度值HSDC；推荐安全度收集器RSDC用于计算推荐安全度值；

3-6将所述三个安全度值被发送给SDC或者CMC，计算用户访问安全等级；并发送至统一认证授权服务器；

3-7如果用户访问安全等级大于等于访问阈值，则触发统一认证授权服务器为用户创建会话窗口，并分配会话中的角色，授权用户连接到该区域网络；否则统一认证授权服务器进入预设隔离区以打补丁和更新；

3-8如果会话与时间约束相关，则将AMP下发信息至TCP；通过TCP分别计算会话时间并发送给AMP；

3-9AMP将授权信息发送给应用资源，应用资源根据授权信息控制用户的访问。

优选的，所述步骤(3)评估用户的访问安全等级包括：通过SEP评估用户的安全等级，分别根据完整性信息、动态行为特征和历史访问记录，生成安全度指标和安全等级指标；

所述SEP，包括基本安全度收集器BSDC、行为安全度收集器HSDC、推荐安全度收集器RSDC、安全度计算器SDC和云模型计算器CMC；其中，

所述基本安全度收集器BSDC、行为安全度收集器HSDC和推荐安全度收集器RSDC分别用于从相应的数据源获取用户访问的信任分项指标；

所述安全度计算器SDC用于计算安全度指标；

所述云模型计算器CMC用于计算安全等级指标。

优选的，所述步骤(3)为用户分配受限会话时间包括，通过TCP计算多个与时间相关的会话权重，并据此分配访问时间。

与最接近的现有技术相比，本发明达到的有益效果是：

本方法在认证方面提出采用密码技术与硬件设备结合的方式，构建基于信任管理的SDN认证授权模型；在使用授权方面，通过改进已有的基于经验和概率的信任管理方法，从系统级防护的角度出发，提出基于信任管理的认证授权模型TMUAM。通过对用户和终端行为进行评估，使得异常行为和威胁得到控制；从而解决SDN控制器的网络安全问题。

可以有效、灵活地使各种终端以可控安全的方式访问可信网络，实现了统一认证和使用授权，并反映了当前及未来的网络安全态势，具有良好的安全性、完整性、可用性、实用性和扩展性。

附图说明

图1是SDN认证授权模型体系结构图；

图2基于信任管理的SDN认证方法流程图；

图3是TMUAM机制架构图。

具体实施方式

以下将结合附图，对本发明的具体实施方式作进一步的详细说明。

如图2所示，一种基于信任管理的SDN认证方法，所述方法包括：

(1)构建基于信任管理的SDN认证授权模型；如图1所示。

SDN认证授权模型的核心思想就是将用户对SDN服务器的操作统一管理，规范SDN对用户的鉴别和授权方式，从而达到提高整个系统的安全性。考虑到SDN网络各层次间松偶尔性，SDN认证授权模型为分布式架构，置于网络区域内；以实现用户对SDN控制器的统一操作管理。

其构建方法包括：

将网络划分为多个网络区域，使用SDN控制器以集中控制的方式处理交换机请求；所述SDN控制器分布于不相交的网络区域内，各控制器的地位相等，采用扁平化管理模式管理各区域网络；

每个网络区域均包括统一认证授权服务器，利用统一认证授权服务器为该网络区域用户颁发证书，以实现单点登录和访问权限的获取；

各个统一认证授权服务器通过证书链验证或者交叉认证建立信任关系，以实现统一认证授权服务器之间相互认证与跨域访问，完成SDN认证授权模型的建立，从而实现全网的互联互通操作。

(2)通过单点登录获得访问权限；每个统一认证授权服务器内设有唯一的用户管理中心；用户利用统一认证授权服务器和用户管理中心(User Management Center,UMC)获取当前网络区域应用的访问权限；具体为：

用户通过用户管理中心写入用户身份信息，完成用户注册；

统一认证授权服务器从用户管理中心获取用户注册信息，生成证书；并通过SDN控制器开放接口将证书下发至相应用户；

用户单点登录统一认证授权服务器，建立会话窗口并获取会话密钥；所述会话密钥包括登录凭据和访问当前网络区域应用的权限信息；其中，所述登录凭据包括注册用户的身份标识和绑定信息；

用户访问完毕时退出系统，即时关闭会话；

当跨域访问时，建立各自统一认证授权服务器之间信任关系；通过被访问网络区域的统一认证授权服务器重新为其授权。

用户单点登录统一认证授权服务器包括：

将证书登录和USB Key硬件身份认证结合，若其中任一种方式登录失败，则无法获取会话密钥。其中，

1、USB Key硬件身份认证包括：

用户向集成在统一认证授权服务器中的USBKey设备发送认证请求；

接收客户端发送的认证请求，根据请求中携带的硬件标识信息进行认证，即检验此硬件标识是否合法，若合法则允许登录，否则拒绝登录。

2、证书登录包括：

设置服务器端和用户端分别为X和Y，M为一则消息；

IDX为用户X的身份标识，certx为X的公钥证书，rx为X产生的随机数，Kx为X的公钥，Kx_y为X和Y的共享密钥，{M}Kx_y表示根据X和Y的共享密钥对消息M进行对称加密，{M}kx表示由服务器端X的公钥加密消息M；用户为C，统一认证授权服务器AS；

用户C向认证授权服务器AS发送访问请求L1；

统一认证授权服务器AS收到访问请求L1后，验证其身份证书的有效性，若不成功则拒绝登录，成功则继续判断；其中，

所述访问请求L1，包括身份证书{Ktemp}kAS；通过统一认证授权服务器AS和公钥KAS加密获得的会话密钥Ktemp，以及用Ktemp加密的自身标识IDC和自身随机数rc；

通过用户管理中心查询用户是否注册，若未注册，则拒绝登录；若注册，则读取用户信息，并继续判断；

所述验证其证书的有效性包括：通过解密获得Ktemp，以及用Ktemp加密的自身标识IDC和自身随机数rc，并比较IDC是否与身份证书一致，若一致则生成消息L2；

用户C接收到消息L2后，若解密获得rc，则信任AS，并生成消息L3；即用KAS_C加密rAS发送至AS，AS收到消息后，若通过解密获得rAS，则信任C，否则拒绝登录。

如图3所示，(3)以评估访问安全等级和为用户分配受限会话时间为约束条件，建立TMUAM机制；实现用户的授权认证。

具体为：将用户访问的安全等级和会话的时间约束作为获得权限的限制条件，对基于角色的访问控制标准RBAC模型进行扩展，建立TMUAM机制；要求用户必须认证身份并保持在登录状态。

其步骤包括：

3-1用户请求访问应用资源；

3-2针对用户访问请求进行授权认证；

3-3依据身份认证确定用户的访问等级，将用户信息给基本安全度收集器BSDC和元数据访问点服务器MAPS；

所述身份认证模式包括生物认证模式、数字证书模式和用户名/密码模式；

3-4所述元数据访问点服务器MAPS将动态行为信息发送至行为安全度收集器HSDC；

3-5获取用户的访问安全等级；

所述基本安全度收集器BSDC用于计算基本安全度值；行为安全度收集器HSDC用于计算行为安全度值HSDC；推荐安全度收集器RSDC用于计算推荐安全度值；

3-6将所述三个安全度值被发送给SDC或者CMC，计算用户访问安全等级；并发送至统一认证授权服务器；

3-7如果用户访问安全等级大于等于访问阈值，则触发统一认证授权服务器为用户创建会话窗口，并分配会话中的角色，授权用户连接到该区域网络；否则统一认证授权服务器进入预设隔离区以打补丁和更新；

3-8如果会话与时间约束相关，则将AMP下发信息至TCP；通过TCP分别计算会话时间并发送给AMP；

3-9AMP将授权信息发送给应用资源，应用资源根据授权信息控制用户的访问。

步骤(3)中，评估用户的访问安全等级包括：通过SEP评估用户的安全等级，分别根据完整性信息、动态行为特征和历史访问记录，生成安全度指标和安全等级指标；

所述SEP，包括基本安全度收集器BSDC、行为安全度收集器HSDC、推荐安全度收集器RSDC、安全度计算器SDC和云模型计算器CMC；其中，

所述基本安全度收集器BSDC、行为安全度收集器HSDC和推荐安全度收集器RSDC分别用于从相应的数据源获取用户访问的信任分项指标；

所述安全度计算器SDC用于计算安全度指标；

所述云模型计算器CMC用于计算安全等级指标。

由于时间相关性是信任信息的重要特性，不同时刻的信任评价不尽相同，且近期评价要比早期的更有说服力。故在步骤(3)中，为用户分配受限会话时间包括，通过TCP计算多个与时间相关的会话权重，并据此分配访问时间。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，所属领域的普通技术人员参照上述实施例依然可以对本发明的具体实施方式进行修改或者等同替换，这些未脱离本发明精神和范围的任何修改或者等同替换，均在申请待批的本发明的权利要求保护范围之内。

Claims (10)

1.一种基于信任管理的SDN认证方法，其特征在于，所述方法包括：

(1)构建基于信任管理的SDN认证授权模型；

(2)通过单点登录获得访问权限；

(3)以评估访问安全等级和为用户分配受限会话时间为约束条件，建立TMUAM机制；实现用户的授权认证。

2.如权利要求1所述的方法，其特征在于，所述步骤(1)构建SDN认证授权模型包括：

将网络划分为多个网络区域，使用SDN控制器以集中控制的方式处理交换机请求；所述SDN控制器分布于不相交的网络区域内，采用扁平化管理模式管理各区域网络；

每个网络区域均包括统一认证授权服务器，利用统一认证授权服务器为该网络区域用户颁发证书，以实现单点登录和访问权限的获取；

各个统一认证授权服务器通过证书链验证或者交叉认证建立信任关系，以实现统一认证授权服务器之间相互认证与跨域访问，完成SDN认证授权模型的建立。

3.如权利要求2所述的方法，其特征在于，所述SDN认证授权模型为分布式架构，置于网络区域内；以实现用户对SDN控制器的统一操作管理。

4.如权利要求1所述的方法，其特征在于，所述步骤(2)通过单点登录获得访问权限包括：每个统一认证授权服务器内设有唯一的用户管理中心；用户利用统一认证授权服务器和用户管理中心获取当前网络区域应用的访问权限；具体为：

用户通过用户管理中心写入用户身份信息，完成用户注册；

统一认证授权服务器从用户管理中心获取用户注册信息，生成证书；并通过SDN控制器开放接口将证书下发至相应用户；

用户单点登录统一认证授权服务器，建立会话窗口并获取会话密钥；所述会话密钥包括登录凭据和访问当前网络区域应用的权限信息；其中，所述登录凭据包括注册用户的身份标识和绑定信息；

用户访问完毕时退出系统，即时关闭会话；

当跨域访问时，建立各自统一认证授权服务器之间信任关系；通过被访问网络区域的统一认证授权服务器重新为其授权。

5.如权利要求4所述的方法，其特征在于，所述用户单点登录统一认证授权服务器包括：

将证书登录和USB Key硬件身份认证结合，若其中任一种方式登录失败，则无法获取会话密钥。

6.如权利要求5所述的方法，其特征在于，所述USB Key硬件身份认证包括：

用户向集成在统一认证授权服务器中的USBKey设备发送认证请求；

接收客户端发送的认证请求，根据请求中携带的硬件标识信息进行认证，即检验此硬件标识是否合法，若合法则允许登录，否则拒绝登录。

7.如权利要求5所述的方法，其特征在于，所述证书登录包括：

设置服务器端和用户端分别为X和Y，M为一则消息；

IDX为用户X的身份标识，certx为X的公钥证书，rx为X产生的随机数，Kx为X的公钥，Kx_y为X和Y的共享密钥，{M}Kx_y表示根据X和Y的共享密钥对消息M进行对称加密，{M}kx表示由服务器端X的公钥加密消息M；用户为C，统一认证授权服务器AS；

用户C向认证授权服务器AS发送访问请求L1；

统一认证授权服务器AS收到访问请求L1后，验证其身份证书的有效性，若不成功则拒绝登录，成功则继续判断；其中，

所述访问请求L1，包括身份证书{Ktemp}kAS；通过统一认证授权服务器AS和公钥KAS加密获得的会话密钥Ktemp，以及用Ktemp加密的自身标识IDC和自身随机数rc；

通过用户管理中心查询用户是否注册，若未注册，则拒绝登录；若注册，则读取用户信息，并继续判断；

所述验证其证书的有效性包括：通过解密获得Ktemp，以及用Ktemp加密的自身标识IDC和自身随机数rc，并比较IDC是否与身份证书一致，若一致则生成消息L2；

用户C接收到消息L2后，若解密获得rc，则信任AS，并生成消息L3；即用KAS_C加密rAS发送至AS，AS收到消息后，若通过解密获得rAS，则信任C，否则拒绝登录。

8.如权利要求1所述的方法，其特征在于，所述步骤(3)包括：将用户访问的安全等级和会话的时间约束作为获得权限的限制条件，对基于角色的访问控制标准RBAC模型进行扩展，建立TMUAM机制；具体步骤包括：

3-1用户请求访问应用资源；

3-2针对用户访问请求进行授权认证；

3-3依据身份认证确定用户的访问等级，将用户信息给基本安全度收集器BSDC和元数据访问点服务器MAPS；

所述身份认证模式包括生物认证模式、数字证书模式和用户名/密码模式；

3-4所述元数据访问点服务器MAPS将动态行为信息发送至行为安全度收集器HSDC；

3-5获取用户的访问安全等级；

所述基本安全度收集器BSDC用于计算基本安全度值；行为安全度收集器HSDC用于计算行为安全度值HSDC；推荐安全度收集器RSDC用于计算推荐安全度值；

3-6将所述三个安全度值被发送给SDC或者CMC，计算用户访问安全等级；并发送至统一认证授权服务器；

3-7如果用户访问安全等级大于等于访问阈值，则触发统一认证授权服务器为用户创建会话窗口，并分配会话中的角色，授权用户连接到该区域网络；否则统一认证授权服务器进入预设隔离区以打补丁和更新；

3-8如果会话与时间约束相关，则将AMP下发信息至TCP；通过TCP分别计算会话时间并发送给AMP；

3-9AMP将授权信息发送给应用资源，应用资源根据授权信息控制用户的访问。

9.如权利要求1所述的方法，其特征在于，所述步骤(3)评估用户的访问安全等级包括：通过SEP评估用户的安全等级，分别根据完整性信息、动态行为特征和历史访问记录，生成安全度指标和安全等级指标；

所述SEP，包括基本安全度收集器BSDC、行为安全度收集器HSDC、推荐安全度收集器RSDC、安全度计算器SDC和云模型计算器CMC；其中，

所述基本安全度收集器BSDC、行为安全度收集器HSDC和推荐安全度收集器RSDC分别用于从相应的数据源获取用户访问的信任分项指标；

所述安全度计算器SDC用于计算安全度指标；

所述云模型计算器CMC用于计算安全等级指标。

10.如权利要求1所述的方法，其特征在于，所述步骤(3)为用户分配受限会话时间包括，通过TCP计算多个与时间相关的会话权重，并据此分配访问时间。