CN107396350A - 基于sdn‑5g网络架构的sdn组件间安全保护方法 - Google Patents

基于sdn‑5g网络架构的sdn组件间安全保护方法 Download PDF

Info

Publication number
CN107396350A
CN107396350A CN201710566565.XA CN201710566565A CN107396350A CN 107396350 A CN107396350 A CN 107396350A CN 201710566565 A CN201710566565 A CN 201710566565A CN 107396350 A CN107396350 A CN 107396350A
Authority
CN
China
Prior art keywords
ofc
sdn
ofg
ran
mobile device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710566565.XA
Other languages
English (en)
Other versions
CN107396350B (zh
Inventor
付玉龙
李晖
陈寒露
闫峥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201710566565.XA priority Critical patent/CN107396350B/zh
Publication of CN107396350A publication Critical patent/CN107396350A/zh
Application granted granted Critical
Publication of CN107396350B publication Critical patent/CN107396350B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明属于信息安全技术领域,公开了一种基于SDN‑5G网络架构的SDN组件间安全保护方法,在移动设备和RAN设备通信过程中,通过验证基于非对称钥的签名,确认对方身份的可靠性;通过验证随机数的一致性来保证信息传递过程中的安全性和即时性,通过加密的手段在网络架构中建立安全数据传输通道;通过在移动设备中加入SDN控制器M‑OFC和SDN网关设备M‑OFG来管理上层数据的多RAN信道并行分发技术,实现数据在不同RAN信道上的并行传输。本发明可以有效的避免该类攻击;协议经过BAN逻辑分析推理,秘钥的安全传输和实体间的认证都已得到证明。

Description

基于SDN-5G网络架构的SDN组件间安全保护方法
技术领域
本发明属于信息安全技术领域,尤其涉及一种基于SDN-5G网络架构的SDN组件间安全保护方法。
背景技术
近几年随着移动设备(如智能手机、平板电脑、可穿戴设备等)的产生与快速发展,无线连接随处可见,使得移动通信技术变得非常重要。思科曾预测过,在2020年LTE-A将无法满足移动通信的需求,为未来的移动网络寻找新方案应当成为当前研究的重点。而5G指下一代的移动通信技术,它要求能提供目前LTE-A网络所能提供的100倍的数据传输率,因此数据传输率应当是5G中最重要的和迫切需要达到的目标。为了提高数据传输率引进SDN技术,提出了多RANs并行接入架构(叫做SDN-5G)是5G网络中基于SDN的多RAN信道并行数据传输框架。因为SDN技术中的控制器能通过产生流表的方式控制数据以相同的IP地址在不同的RANs信道上传输;并且,很容易找到移动设备支持多个RAN技术;另外,RATs(如,GPRS,CDMA,3G,LTE,LTE-A,WiMAX,WiFi等)能被同时部署到多个设备上。这几个特性使得在多个RAN信道上同时传输数据来提高数据传输速率成为可能。基于以上特性,将SDN组件(OpenFlow Controller和OpenFlowGateways)分别部署到移动设备和RAN设备中去创建一个虚拟IP网络,通过这个创建的网络来组织管理多RAN信道。为实现利用现有的多RANs信道并行传输网络数据,将SDN分别部署到移动设备端和RAN设备端。在移动设备端定义Openflow控制器(M-OFC)和OpenFlow网关(M-OFG)两个SDN组件去配置和管理数据;同样,在RAN设备端定义Openflow控制器(R-OFC)和OpenFlow网关(R-OFG)两个SDN组件去管理通过RAN设备的数据流。所设计的SDN-5G框架有两个过程:上行链路过程以及下行链路,利用多个RAN信道进行数据传输,提高了未来5G网络中数据传输速率。在这个框架下传输数据安全事件很有可能发生在以下四个过程中:(1)M-OFC和M-OFG:这个过程指的是移动设备端的OpenFlow控制器(M-OFC)和移动设备端的OpenFlow网关(M-OFG)之间的通信过程,发生在相同的移动设备中。黑客可能利用病毒或其它的恶意应用窃听或篡改M-OFC和M-OFG之间的消息。M-OFC和M-OFG之间的安全机制被要求能够保证应用的真实性。对M-OFC的操作必须通过强大的权限验证和安全策略控制;对M-OFG的操作请求必须是由M-OFC发送过来的,这里用到的M-OFC需要确认其真实性。因此,利用安全根和可信执行环境,再加上密码学中的加密技术和认证技术去保证整个过程的安全性。(2)RAN模块和R-OFC:RAN模块和RAN设备端的OpenFlow控制器(R-OFC)之间的互认证是被需要的。因为有多个RAN模块参与,因此这里需要基于组的签名和认证过程确保RAN模块的真实性。同时,R-OFC也需要向移动设备证明其真实性(这里被移动设备支持的RAN模块数量可能不等于被RAN设备支持的RAN模块数量)因此,为了保证这个过程的安全性需要一个在移动设备和RAN设备间的互认证协议,故而设计了RAN设备和移动设备之间的互认证协议。(3)M-OFC和R-OFC:M-OFC和R-OFC之间的信息在移动设备和RAN设备之间传输。这些信息有可能遭受中间人攻击(MITM),需要保证信息的可验证性,完整性和安全性。因此,用加密的方式确保流表信息的安全,仅拥有秘钥的人才能解密流表信息。同时,流表信息应当被定期更新。(4)N-OFC和N-OFG:在核心网端的OpenFlow控制器(N-OFC)和核心网端的OpenFlow网关(N-OFG)之间的消息将在未来的5G网络的核心网中被传输。在5G时代,交换机或网关将会支持SDN,所以应用能动态的插入不同的控制信息给交换机或网关,但是多种应用的访问控制规则可能造成规则冲突。因此,需要在N-OFC上部署规则冲突分析器去保证在冲突发生的情况下,不会有相关的OpenFlow应用在N-OFC上插入规则。在SDN-5G网络架构中,当多个由移动设备所支持的RAN模型想要与M-OFG建立连接时,数据流由M-OFC控制。这两个组件都是在移动设备端中被部署的,并且仅有M-OFC有开放的接口与合法的RAN端的OpenFlow控制器(R-OFC)连接。在这种状况下,攻击者仅能在M-OFC和R-OFC之间或是通过应用层威胁,例如病毒、木马或用户错误的认证操作的方式来控制虚拟网络组件。综上所述,因为虚拟网络是通过SDN的OpenFlow协议产生的,攻击者可能控制一些运行中的移动应用并利用它们去伪造M-OFC和M-OFG,来获得M-OFC和M-OFG之间的敏感信息;另一方面,M-OFC需要确定接收的信道使能信息的确来自于相应的R-OFC,否则,如果攻击者伪造了这个信息,相应的RAI信道被锁,容易造成DoS/DDoS攻击。R-OFC也需要验证M-OFC的真实性,否则,如果攻击者伪造了合法的M-OFC并发送错误的流表配置信息给合法的R-OFC,会造成无法重新组合数据包。而现存工作中没有针对该问题所设计的安全方案,所以目前这是最新的针对该架构的安全方案。
综上所述,现有技术存在的问题是:目前的SDN-5G网络架构存在利用伪造M-OFC和M-OFG,获得M-OFC和M-OFG之间的敏感信息;容易造成DoS/DDoS攻击,无法重新组合数据包。
发明内容
针对现有技术存在的问题,本发明提供了一种基于SDN-5G网络架构的SDN组件间安全保护方法。
本发明是这样实现的,一种基于SDN-5G网络架构的SDN组件间安全保护方法,所述基于SDN-5G网络架构的SDN组件间安全保护方法在M-OFC和M-OFG过程中,给M-OFC构建可信执行环境保证移动设备OpenFlow控制器组件可信的执行环境;通过比较随机数,确认接收消息的可靠性;通过判断随机数是否为新的,确认消息是否需要创建新的连接;通过密码学中的加密技术保证信息传递过程中的安全性;通过分发传输密钥的手段在网络架构中建立安全数据传输通道,确保消息传输过程中的安全性。所述基于SDN-5G网络架构的SDN组件间安全保护方法在M-OFC和R-OFG过程中的真实性验证方案,首先,确定好加密方法,传输密钥和所支持的RAI模型,接下来所设计的M-OFC和R-OFC间的互认证过程将通过证书确保移动设备的真实性,通过加密技术确保消息交换过程中的安全性,通过随机数进一步确保SDN组件的正确性,通过是否能收到来自移动设备的消息判断第i个RAN模型是否被移动设备支持,最后确认整个M-OFC和R-OFG过程中的通信安全机制。
进一步,所述基于SDN-5G网络架构的SDN组件间安全保护方法包括:M-OFC和M-OFG间的安全保护协议和M-OFC和R-OFG间的安全保护协议。
进一步,所述M-OFC和M-OFG间的互认证过程和安全传输信道创建过程具体包括以下步骤:
(1)一个可信的执行环境(TEE)被部署在BIOS之前,系统级的应用也需要通过认证检验才能访问M-OFC;
(2)M-OFC产生自己的公私钥对并分发公钥给M-OFG;当M-OFG和M-OFC进行互信认证时,M-OFC发送自己的身份信息和用自己私钥签名的随机数给M-OFG,同时等待M-OFG用M-OFC公钥加密的自己的身份信息、与之前发出去随机数相同的随机数、新产生的随机数和M-OFG同M-OFC通信的对称密钥。
(3)M-OFC用自己的私钥解密上一步收到的消息,并判断是否有新的M-OFG要求建立连接。如果没有,M-OFC用旧的传输密钥完成整个通信过程,否则,M-OFC创建候选虚拟IP(vIPs)集合,一个传输密钥,并且用上一步收到的密钥加密发送给对应的M-OFG;M-OFG收到这个信息后,解密信息,并比较收到的随机数,确定M-OFC信息的真实性。如果都没问题,完成新连接的密钥分发和互认证过程。
进一步,所述M-OFC和R-OFG间的安全保护协议具体包括以下步骤:
1)当验证移动设备的真实性时,移动设备发送身份信息、随机数及自己的证书给RANs设备,同时等待不同RANs设备验证证书的真实性后,发送用移动设备公钥加密的RAN的身份信息、RAN的公钥集合,接收到来自移动设备的随机数、RAN新产生的随机数,相互进行身份认证及RAN设备的公钥分发;
2)移动设备确认RAN的可靠性后,让每个受支持的RAN模块发送移动设备的身份信息和相关随机数给第i个需要确定是否被移动设备支持的RAN模块,一旦第i个RAN设备收到来自移动设备的信息,第i个RAN设备发送自己的身份信息给R-OFC,通知R-OFC这个RAN信道被移动设备支持。随后,R-OFC发送移动设备最早产生的随机数及所有被移动设备支持的RAI信道的的公钥信息给M-OFC进行确认。这个过程完成了可用性确认,真实性认证及密钥分发,创建了安全可信的通信信道。
本发明的另一目的在于提供一种使用所述基于SDN-5G网络架构的SDN组件间安全保护方法的5G网络。
本发明的另一目的在于提供一种使用所述基于SDN-5G网络架构的SDN组件间安全保护方法的智能终端。
本发明的优点及积极效果为:许多虚拟网络函数的使用,使得对传输流的控制变得容易,另外黑客的水平也在相应的提升。同时,由于SDN-5G架构是为一个移动通信系统定义的,并且OpenFlow协议是一个应用层公共协议,攻击者能够通过自己应用上的OpenFlow协议伪造SDN组件(如,M-OFC和M-OFG)。攻击者也能通过一些提前安装好的应用或一些受感染的应用窥探到移动设备的系统内存,假设攻击者有能力监听到相同移动设备中软件组件的通信过程。同时,也假设攻击者能篡改受感染应用的身份,强制合法的SDN组件停止,也就是说,攻击者有能力替换合法的SDN函数。对于在移动设备之外的通信过程,假设攻击者能监听移动设备和RAN设备间所有可能的无线链路。虽然SDN-5G网络结构有很多可能被攻击者利用的安全漏洞,但是针对SDN-5G架构下存在的安全问题的解决方案尚属空白。在M-OFC和M-OFG过程中,为了保证可靠的互认证过程和安全的密钥分发,创建可信执行环境保证M-OFC的可信执行,M-OFC利用自己私钥签名保证M-OFG能确认其身份,同时,利用随机数nc确保M-OFG收到正确的信息。M-OFG利用M-OFC的公钥保证信息传输给M-OFC过程中的保密性。M-OFC通过判断M-OFG的身份信息idmg是否为新的来确定是否为该M-OFG创建新的通信密钥;在M-OFC和R-OFG之间的互认证过程中,为了保证整个过程的可信和安全,移动设备利用证书证明自身的真实性;为每个RAI信道创建的公私钥对,如第i个信道保证所有RAN信道的安全传输;移动设备通过比较来自RNA的随机数nm和自己拥有的随机数nm是否一致来验证RAN的真实性;通过判断RAN设备是否收到移动设备中第i个RAN模块发送来的消息来确定该RAN模块是否被移动设备所支持;通过通信密钥kt保证RAI信道传输的安全性。本发明经过BAN逻辑分析系统推理,得到协议安全的结论。
本发明将SDN组件(OpenFlowController和OpenFlowGateways)分别部署到移动设备和RAN设备中去创建一个虚拟IP网络,通过创建的网络组织管理多RAN信道,实现数据在不同RAN信道上的并行传输,提高数据传输率;为保护SDN-5G网络架构的安全,提出了移动设备OpenFlow控制器(M-OFC)和移动设备OpenFlow网关(M-OFG)间的安全保护协议;移动设备OpenFlow控制器和RAN设备OpenFlow网关间的安全保护协议。
附图说明
图1是本发明实施例提供的M-OFC和M-OFG之间的安全方案流程图。
图中(a)M-OFC和M-OFG安全过程;(b)M-OFC和R-OFG安全过程。
图2是本发明实施例提供的M-OFC和M-OFG之间的互认证过程示意图。
图3是本发明实施例提供的M-OFC和R-OFG之间完整的安全方案流程图。
图4是本发明实施例提供的M-OFC和R-OFG之间的人工认证过程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供的基于SDN-5G网络架构的SDN组件间安全保护方法包括两部分:1)M-OFC和M-OFG间的安全保护协议;2)M-OFC和R-OFC间的安全保护协议。
1)M-OFC和M-OFG间的安全保护协议,具体步骤如下:
首先,一个可信的执行环境(TEE)被部署到BIOS之前去保证M-OFC的安全执行环境。任何病毒,木马,甚至系统级的应用都需要通过认证检验过程去访问M-OFC。
接下来,让M-OFC先发送由自己私钥签名的,它自己的身份信息idmc和一个新的随机数nc给M-OFG。收到这个信息后,M-OFG回复它的身份信息idmg,一个随机数ng,一个密钥kgc,和收到的随机数nc,把这些信息用M-OFG的公钥加密发送给M-OFC。M-OFC收到加密信息后,用自己的私钥解密信息,并且判断收到的idmg是否是新的。如果M-OFC发现这个idmg以前出现过并且仍未过期,它用旧的传输密钥完成整个通信过程;否则,如果idmg是新的id,M-OFC便知道有新的M-OFG想要建立连接。接下来,M-OFC继续检查收到的nc去验证收到的信息是否最新。如果验证成功,M-OFC创建候选的虚拟IP(vIPs)集合,一个传输密钥kt,并且用收到的kgc加密它们,再发送这个信息给对应的M-OFG。M-OFG收到这个信息后,解密信息,并比较收到的ng,确定是否最后接收到的来自M-OFC的信息为最新信息。如果都没问题,认证和密钥分配过程完成。M-OFC和M-OFG之间的安全信道利用密钥kt被创建。
2)M-OFC和R-OFC间的安全保护协议,具体步骤如下:
首先,验证移动设备的真实性时,移动设备发送身份信息、随机数及自己的证书给RANs设备,同时等待不同RANs设备验证证书的真实性后,发送用移动设备公钥加密的RAN的身份信息、RAN的公钥集合,与之前发出去随机数相同的随机数、RAN新产生的随机数,相互进行身份认证及RAN设备的公钥分发。
其次,移动设备确认RAN的可靠性后,让每个受支持的RAN模块发送移动设备的身份信息和过程中的两个随机数给第i个尚未确定是否被移动设备支持的RAN模块。一旦RAN设备收到来自移动设备的消息后,发送自己的身份信息给R-OFC,通知R-OFC第i个模块对应的信道为移动设备支持的RAN信道。R-OFC发送移动设备最早产生的随机数及所有确定的被移动设备支持的RAI信道的公钥信息给M-OFC。完成可用性确认,真实性认证及秘钥分发,创建安全可信的多通信信道。
下面结合附图对本发明的应用原理作进一步的描述。
如图1所示,首先需要保证M-OFC在安全可信的环境下产生正确的流表,任何病毒,木马,甚至系统级的应用都需要通过认证检验过程去访问M-OFC;其次,在M-OFC与M-OFC通信过程中,需要保证信息的互认证性。
互认证过程包括以下步骤:
Step1.M-OFC产生公私钥对并分发公钥给M-OFC。
Step2.M-OFC发送自己的身份信息idmc和新产生的用自己私钥签名过的的随机数nc
Step3.当M-OFG收到来自M-OFC的消息并利用其公钥解密成功后,发送自己的身份标识idmg,新产生随机数ng,新产生的密钥kgc和上一步接收到的nc用M-OFC的公钥加密发送给它。
Step4.因为M-OFC接收到M-OFG的消息,它会执行以下步骤:
4a.用自己的私钥解密消息;
4b.判断收到的idmg是否是新的。如果是,表示有新的M-OFG想要建立连接,转4c。否则,使用已有的传输密钥完成整个过程;
4c.M-OFC验证收到消息中nc是否为新的。如果是,转4d。
4d.M-OFC创建虚拟IP集合vIPs,生成一个传输密钥kt,并用密钥kgc加密消息发送给M-OFG。
Step5.M-OFG收到来自M-OFC的消息后解密,并且比较收到的ng,决定最后被收到的来自M-OFC的信息是否是新的,如果是新的,那么整个认证和秘钥分配阶段完成。
根据以上所提出的协议,M-OFC和M-OFC之间的安全信道,通过传输密钥kt的分配被创建完成。
如图3所示,M-OFC和R-OFG间完整的安全过程具体包括:
首先,在互认证过程中,加密方法、传输密钥(或公钥加密方案中的密钥对)、支持RAI模型的信息被确定;
其次,认证过程之后,M-OFC信任从RAN设备接收到的信息,并且使用这些信息去定义和更新流表;
然后支持的RAI模型和加密方法被R-OFC激活,并且相应的流表也由R-OFC被写到R-OFG上。
当一个应用信息到达M-OFG,因为提前定义流表,上行链路中M-OFG知道如何分离、加密这些信息,并且通过多个RAI信道发送这些数据包。同时,下行链路中在RAN设备端,R-OFG知道如何去解密和重新组合这些到达的信息。
如图2和图4所示,安全保护过程步骤如下,其中Step1和Step2是为了验证移动设备的真实性,而Step3是为了验证RAN设备的真实性,剩余的过程是为了确定受移动设备支持的RAI信道:
Step1.握手过程。移动设备发送它的身份信息idm,随机数nm和它的证书给RAN设备,此时RAN设备中的R-OFC会去验证证书并且判断移动设备的真实性;
Step2.一旦验证通过。R-OFC为每个RAI信道创建一对公私钥。这里,用代表第i个RAI信道的密钥对,同时,定义了一个向量Vr去存放所有密钥对的公钥。R-OFC使用移动设备的公钥去加密向量Vr和RAN产生的随机数nr,发送信息给相应的移动设备;
Step3.一旦移动设备收到来自R-OFC的消息,移动设备利用自己的私钥解密信息,通过比较收到随机数nm与自己所持有的随机数nm,去验证RAN设备的真实性。并在移动设备内部传递消息通知M-OFG,M-OFC→M-OFG:(Vr,nm,nr);
Step4.在确定RAN的真实性后。M-OFC将得到确定可靠的向量Vr,并让每一个支持的RAN模型发送信息直接给第i个不确定是否被移动设备支持的RAN模型;
Step5.一旦第i个RAN设备从移动设备收到消息,发送它的身份信息idran给R-OFC去通知R-OFC该RAN信道是被移动设备所支持的;
Step6.R-OFC发送确认信息移动设备产生的随机数nm,更新过的向量并用移动设备的公钥加密发送给M-OFC。
根据以上所提协议,RAN模块和M-OFG之间的认证过程完成。之后,传输密钥kt被分配,所有的RAIs将会用自己的密钥去加密信息,保证了从RAN模型到RAN设备间的信息的安全性。
在本发明中英文简写说明:M-OFC,移动设备端OpenFlow控制器;M-OFG,移动设备端OpenFlow网关;R-OFC,RAN设备端OpenFlow控制器;R-OFG,RAN设备端OpenFlow网关;N-OFC,5G核心网络的OpenFlow控制器;N-OFG,5G核心网络的OpenFlow网关;RAN模块,移动设备端支持无线通信的模块;RAI信道,移动设备与RAN设备连接的无线接入接口。
在本发明中术语说明:5G:第五代移动通信技术;SDN:软件定义网络;LTE-A:长期演进技术;RAT:无线接入技术;RAN:无线接入网络;RAI:无线接入接口;GPRS:通用分组无线业务;CDMA:码分多址分组数据传输技术;3G:第三代移动通信技术;WiMAX:全球微波接入互操作性;Wi-Fi:无线保真。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于SDN-5G网络架构的SDN组件间安全保护方法,其特征在于,所述基于SDN-5G网络架构的SDN组件间安全保护方法在移动设备和RAN设备通信过程中,通过验证基于非对称钥的签名,确认对方身份的可靠性;通过验证随机数的一致性来保证信息传递过程中的安全性和即时性,通过加密的手段在网络架构中建立安全数据传输通道;通过在移动设备中加入SDN控制器M-OFC和SDN网关设备M-OFG来管理上层数据的多RAN信道并行分发技术,实现数据在不同RAN信道上的并行传输。
2.如权利要求1所述的基于SDN-5G网络架构的SDN组件间安全保护方法,其特征在于,所述基于SDN-5G网络架构的SDN组件间安全保护方法包括:M-OFC和M-OFG间的安全保护协议和M-OFC和R-OFG间的安全保护协议;
移动设备SDN控制器和移动设备SDN网关过程中的安全;移动设备SDN控制器和无线接入网SDN网关过程中的安全。M-OFC和M-OFG过程;创建M-OFC的可信执行环境保护M-OFC组件,通过验证基于非对称钥的签名确认对方身份的真实性;通过验证随机数的一致性来保证信息传递过程中的安全性和信息的即时性;通过分发传输密钥利用加密的方式在网络架构中建立安全数据传输通道,确保消息在传输过程中的安全性;
M-OFC和R-OFG过程;通过证书确保移动设备的真实性;通过加密技术确保消息交换过程中的安全性;通过随机数进一步确保SDN组件的正确性;通过RAN设备是否能收到来自移动设备的消息判断第i个RAN模型是否被移动设备支持;最后确认整个M-OFC和R-OFC过程中的通信安全机制。
3.如权利要求2所述的基于SDN-5G网络架构的SDN组件间安全保护方法,其特征在于,所述M-OFC和M-OFG间的安全保护协议具体包括以下步骤:
(1)一个可信的执行环境被部署在BIOS之前,系统级的应用也需要通过认证检验才能访问M-OFC;
(2)修改M-OFC和M-OFG之间的信息交换过程,实施M-OFC和M-OFG之间的互认证过程,并在M-OFC和M-OFG之间通过加密的手段创建安全的数据传输通道,防止伪造M-OFC和M-OFG发动攻击。
4.如权利要求3所述的基于SDN-5G网络架构的SDN组件间安全保护方法,其特征在于,修改M-OFC和M-OFG之间的信息交换过程具体包括以下步骤:
(1)M-OFC产生自己的公私钥对并分发公钥给M-OFG;当M-OFG和M-OFC进行互信认证时,M-OFC发送自己的身份信息和用自己私钥签名的随机数给M-OFG,同时等待M-OFG用M-OFC公钥加密的自己的身份信息、与之前发出去随机数相同的随机数、新产生的随机数和M-OFG同M-OFC通信的对称密钥;
(2)M-OFC用自己的私钥解密上一步收到的消息,并判断是否有新的M-OFG要求建立连接;如果没有,M-OFC用以前的传输密钥完成整个通信过程,否则,M-OFC创建候选虚拟IP集合,一个传输密钥,并且用上一步收到的密钥加密发送给对应的M-OFG;M-OFG收到这个信息后,解密信息,并比较收到的随机数,确定M-OFC信息的真实性;如果都没问题,完成新连接的密钥分发和互认证过程。
5.如权利要求2所述的基于SDN-5G网络架构的SDN组件间安全保护方法,其特征在于,所述M-OFC和R-OFG间的安全保护协议具体包括以下步骤:
1)当验证移动设备的真实性时,移动设备发送身份信息、随机数及自己的证书给RANs设备,同时等待不同RANs设备验证证书的真实性后,发送用移动设备公钥加密的RAN的身份信息、RAN的公钥集合,与之前发出去随机数相同的随机数、RAN新产生的随机数,相互进行身份认证及RAN设备的公钥分发;
2)移动设备确认RAN的可靠性后,让每个受支持的RAN模块发送移动设备的身份信息和相关随机数给第i个需要确定是否被移动设备支持的RAN模块,一旦第i个RAN设备收到来自移动设备的信息,第i个RAN设备发送自己的身份信息给R-OFC,通知R-OFC这个RAN信道被移动设备支持;随后,R-OFC 发送移动设备最早产生的随机数及所有被移动设备支持的RAI信道的的公钥信息给M-OFC进行确认;完成可用性确认,真实性认证及秘钥公钥分发,创建了安全可靠的通信信道。
6.一种使用权利要求1~5任意一项所述基于SDN-5G网络架构的SDN组件间安全保护方法的5G网络。
7.一种使用权利要求1~5任意一项所述基于SDN-5G网络架构的SDN组件间安全保护方法的智能终端。
CN201710566565.XA 2017-07-12 2017-07-12 基于sdn-5g网络架构的sdn组件间安全保护方法 Active CN107396350B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710566565.XA CN107396350B (zh) 2017-07-12 2017-07-12 基于sdn-5g网络架构的sdn组件间安全保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710566565.XA CN107396350B (zh) 2017-07-12 2017-07-12 基于sdn-5g网络架构的sdn组件间安全保护方法

Publications (2)

Publication Number Publication Date
CN107396350A true CN107396350A (zh) 2017-11-24
CN107396350B CN107396350B (zh) 2021-04-27

Family

ID=60340472

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710566565.XA Active CN107396350B (zh) 2017-07-12 2017-07-12 基于sdn-5g网络架构的sdn组件间安全保护方法

Country Status (1)

Country Link
CN (1) CN107396350B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109104727A (zh) * 2018-08-08 2018-12-28 兴唐通信科技有限公司 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法
CN109714157A (zh) * 2018-12-07 2019-05-03 南京信息职业技术学院 一种抗密钥暴露属性加密的sdn跨域访问控制方法
CN110933674A (zh) * 2019-12-11 2020-03-27 北京电子工程总体研究所 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法
CN112636919A (zh) * 2020-12-08 2021-04-09 上海师范大学 BAN—n逻辑的NLSR安全模型安全分析和验证方法
CN112889253A (zh) * 2018-10-22 2021-06-01 思科技术公司 用于多站点数据中心的安全密码密钥分发和管理的上游方案
CN113923050A (zh) * 2021-11-12 2022-01-11 合肥科技职业学院 一种基于sdn的5g网络安全策略配置系统
CN114830602A (zh) * 2019-12-17 2022-07-29 微芯片技术股份有限公司 用于低吞吐量通信链路的系统的相互认证协议及用于执行该协议的设备
WO2024055197A1 (zh) * 2022-09-14 2024-03-21 Oppo广东移动通信有限公司 模型监测的方法及设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242267A (zh) * 2007-08-01 2008-08-13 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法
CN101951603A (zh) * 2010-10-14 2011-01-19 中国电子科技集团公司第三十研究所 一种无线局域网接入控制方法及系统
CN103634114A (zh) * 2013-11-26 2014-03-12 广东数字证书认证中心有限公司 智能密码钥匙的验证方法及系统
US20150117409A1 (en) * 2013-10-25 2015-04-30 Benu Networks, Inc. Combination cellular and wi-fi hardware device
EP3104563A1 (en) * 2015-06-10 2016-12-14 Nokia Solutions And Networks Management International GmbH Sdn security

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242267A (zh) * 2007-08-01 2008-08-13 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法
CN101951603A (zh) * 2010-10-14 2011-01-19 中国电子科技集团公司第三十研究所 一种无线局域网接入控制方法及系统
US20150117409A1 (en) * 2013-10-25 2015-04-30 Benu Networks, Inc. Combination cellular and wi-fi hardware device
CN103634114A (zh) * 2013-11-26 2014-03-12 广东数字证书认证中心有限公司 智能密码钥匙的验证方法及系统
EP3104563A1 (en) * 2015-06-10 2016-12-14 Nokia Solutions And Networks Management International GmbH Sdn security

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
于笑等: "基于SDN无线异构网络研究", 《面向5G的LTE网络创新研讨会(2016)论文集》 *

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109104727A (zh) * 2018-08-08 2018-12-28 兴唐通信科技有限公司 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法
CN109104727B (zh) * 2018-08-08 2021-05-04 兴唐通信科技有限公司 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法
US11895100B2 (en) 2018-10-22 2024-02-06 Cisco Technology, Inc. Upstream approach for secure cryptography key distribution and management for multi-site data centers
CN112889253B (zh) * 2018-10-22 2023-06-23 思科技术公司 用于多站点数据中心的安全密码密钥分发和管理的上游方案
CN112889253A (zh) * 2018-10-22 2021-06-01 思科技术公司 用于多站点数据中心的安全密码密钥分发和管理的上游方案
CN109714157A (zh) * 2018-12-07 2019-05-03 南京信息职业技术学院 一种抗密钥暴露属性加密的sdn跨域访问控制方法
CN109714157B (zh) * 2018-12-07 2021-12-14 南京信息职业技术学院 一种抗密钥暴露属性加密的sdn跨域访问控制方法
CN110933674B (zh) * 2019-12-11 2023-05-02 北京电子工程总体研究所 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法
CN110933674A (zh) * 2019-12-11 2020-03-27 北京电子工程总体研究所 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法
CN114830602A (zh) * 2019-12-17 2022-07-29 微芯片技术股份有限公司 用于低吞吐量通信链路的系统的相互认证协议及用于执行该协议的设备
US12088741B2 (en) 2019-12-17 2024-09-10 Microchip Technology Incorporated Mutual authentication protocol for systems with low-throughput communication links, and devices for performing the same
CN112636919A (zh) * 2020-12-08 2021-04-09 上海师范大学 BAN—n逻辑的NLSR安全模型安全分析和验证方法
CN113923050A (zh) * 2021-11-12 2022-01-11 合肥科技职业学院 一种基于sdn的5g网络安全策略配置系统
WO2024055197A1 (zh) * 2022-09-14 2024-03-21 Oppo广东移动通信有限公司 模型监测的方法及设备

Also Published As

Publication number Publication date
CN107396350B (zh) 2021-04-27

Similar Documents

Publication Publication Date Title
Cao et al. A survey on security aspects for 3GPP 5G networks
CN107396350A (zh) 基于sdn‑5g网络架构的sdn组件间安全保护方法
JP6592578B2 (ja) 基地局を自己構成する方法および装置
CN101222331B (zh) 一种认证服务器及网状网中双向认证的方法及系统
CN102843687A (zh) 智能手机便携式热点安全接入的方法及系统
CN105323754B (zh) 一种基于预共享密钥的分布式鉴权方法
CN101145915B (zh) 一种可信路由器认证系统和方法
CN105577365A (zh) 一种用户接入wlan的密钥协商方法及装置
CN101635922B (zh) 无线网状网络安全通信方法
CN101938741A (zh) 双向认证的方法、系统及装置
CN106992866A (zh) 一种基于nfc无证书认证的无线网络接入方法
CN111132143B (zh) 一体化多媒体智能设备安全保护系统及方法
CN109600745B (zh) 一种新型的5g蜂窝网信道安全系统及安全实现方法
CN107872421A (zh) 节点认证方法和系统以及相关设备
CN101742507B (zh) 一种WAPI终端访问Web应用站点的系统及方法
CN104902467A (zh) 基于近场通信nfc的无线局域网wlan接入方法
Gollier et al. SSID Confusion: Making Wi-Fi Clients Connect to the Wrong Network
CN105245532B (zh) 基于nfc认证的wlan接入方法
Teyou et al. Solving downgrade and dos attack due to the four ways handshake vulnerabilities (WIFI)
Chen et al. Security in wireless local area networks
CN106792687A (zh) 移动终端wifi网络的连接方法及系统
KR20130046781A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
CN106028327A (zh) 一种通过认证服务器实现热点安全的方法
CN106027482B (zh) 一种身份证读卡响应方法及装置
CN116684876B (zh) 一种pki双向鉴权认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant