CN108881131B - Sdn多域移动网络环境下主机身份鉴别信息的高效移交机制 - Google Patents

Abstract

本发明提出一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，网络中有多个SDN管理域和全局唯一的认证服务器，认证服务器负责全网通信实体的身份信息分配和认证管理，每个SDN管理域均在认证服务器中进行注册；每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控；各SDN管理域之间相互独立，不同SDN管理域之间通过其域控制器进行信息交互；移动主机在接入网络前先向认证服务器提供真实身份信息进行注册，移动主机在不同的SDN管理域间移动时，通过域控制器间的信息交互实现移动主机的跨域接入。本发明支持在主机移动情况下快速高效地进行身份鉴别，降低鉴别移交对实体通信效率的影响，在保证安全性的前提下提升系统的通信效率。

Description

SDN多域移动网络环境下主机身份鉴别信息的高效移交机制

技术领域

本发明属于网络数据通信技术领域，具体涉及一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法。

背景技术

任何网络安全入侵行为都可以非形式化地描述为多个步骤，主动的安全防护应该在每个环节阻断安全威胁的继续发展。用户身份鉴别以及接入控制作为实体访问网络资源第一步，其作用尤为明显。然而，传统TCP/IP设计缺少鉴别与接入控制功能。现有的鉴别机制主要是基于各类密码体制所实现的端到端鉴别机制，通过对应用层数据签名的方式保证应用层数据的可信性。但是，端到端鉴别机制无法保证网络传输层以下信息的安全，核心网络基于目的地址转发的功能，要求不能对IP头部信息进行加密操作，攻击者依然可以轻松地利用虚假IP地址进行通信。通过将IP地址与可信信息，例如主机地址、交换机端口、实体公钥证书等信息进行绑定能够从主机级别实现身份的鉴别，但是这种鉴别的粒度依然十分粗糙，不能够阻止拥有合法身份的主机发送有害流量。因此，建立更加细粒度的鉴别机制对于提升网络的安全性至关重要。

软件定义网络将数据平面与控制平面相分离，通过集中式的控制器进行统一的决策，为提升网络的管控能力提供了一种可行性。目前，由于网络技术条件和网络规模的限制，每个控制器只能控制一个区域的网络设备，导致网络形成划域而治的结果，进而使得传统的单域鉴别无法保证全网安全通信，这就要求除了保证域内的鉴别，还需要设计跨域的鉴别机制，尤其对于移动通信这种频繁在多个域间进行移动的情况。多域控制器协作技术及无缝移动技术是进行安全高效多域移动鉴别移交的技术基础。在实际网络环境中，由于受到接入点设备(Access Point,AP)无线信号覆盖范围的限制以及当前网络划域而治的特点，终端有可能在通信过程中移动跨越多个管理域，因此会遇到鉴别移交 (HandoverAuthentication,HA)的问题。HA机制是移动切换的重要组成部分，如何设计多域移动环境下安全高效的鉴别移交机制是目前移动网络通信的研究难点。SDN作为一种新型网络体系结构，其转发-控制平面分离、中心可编程控制的架构为解决移动网络环境下的切换问题提供了一种新的思路。

目前SDN移动鉴别管理问题的研究，都基于一个前提假设，即网络只存在一个能够获取全局网络视图、资源和设备信息，并且能够独立计算路由路径的控制器。文献一(Kukliński S,Li Y H,Dinh K T.Handover Management in SDN-based Mobile Networks[C].In Proc.Of the 6th International Workshop on Management of EngineeringNetworks and Service,Austin,TX,2014: 194-200.)以及文献二(Avula M,Lee S G,YooS M.Security Framework for Hybrid Wireless Mesh Protocol in Wireless MeshNetworks[J].KSII Transactions on Internet and Information System,2014,8(6):1982-2004.)分别研究了在单个SDN域移动环境下的鉴别机制，并且取得了非常理想的结果。文献三(Duan X Y,Wang X B.Authentication Handover and Privacy Protection in5G HetNets Using Software-Defined Networking[J].IEEE Communications Magazine,2015,53(4):28-35.)提出一种利用SDN技术改造移动网络、进而将其控制逻辑由底层基础设施迁移至控制平面的方式，可以在中心化的控制器上编写软件来为整个5G网络提供一致且有效的管理。基于此，该文构建了一种基于SDN的5G网络鉴别移交体系结构。然而，尽管该方案为解决未来5G网络的移动鉴别问题提供了一种理想的解决方案，但是这种全局仅存在一个控制器的方案是不现实的，在大规模网络部署中必然要求采用分布式的控制平面，且在分布式控制平面间传递仍然存在信息泄露的危险。文献四(Duan X Y,Wang X B.Authentication Handover and Privacy Protection in 5G HetNets Using Software-Defined Networking[J]. IEEE Communications Magazine,2015,53(4):28-35.)提出了一种基于SDN的无线网络管理架构Odin。Odin提出了LVAP(Light Virtual Access Point)的概念，通过将现有AP修改为支持可编程控制功能的AP，在无需对主机操作系统和应用程序进行任何修改的情况下，提供了一种可编程控制的无线局域网管理体系结构，为解决当前无线网络中的移动、认证、服务质量等问题提供了良好的平台。但是由于受限于单个SDN控制器性能以及当前无线网络管理的现状，未来SDN无线网络必然采取多SDN域的部署框架。很显然，当前单SDN移动管理域假设下所设计机制需要进一步扩展才能够在SDN多域移动环境下进行应用，而目前对于多SDN域环境下的鉴别切换服务目前仍然缺少有效的机制。

发明内容

本发明的目的：针对当前移动环境下移动实体身份鉴别切换面临的安全性和性能之间的矛盾，提出一种在SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，保证鉴别信息移交的安全环境，支持在主机移动情况下快速高效地进行身份鉴别，降低鉴别移交对实体通信效率的影响，在保证安全性的前提下提升系统的通信效率。

为了解决上述技术问题，本发明提供一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，网络中有多个SDN管理域和全局唯一的认证服务器，认证服务器负责全网通信实体的身份信息分配和认证管理，每个SDN管理域均在认证服务器中进行注册；每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控；各SDN管理域之间相互独立，不同SDN管理域之间通过其域控制器进行信息交互；移动主机在接入网络前先向认证服务器提供真实身份信息进行注册，移动主机在不同的SDN管理域间移动时，通过域控制器间的信息交互实现移动主机的跨域接入。

具体来说，当SDN管理域内的域控制器或移动主机接入移动网络时，首先向认证服务器提交自身的身份信息进行注册，由认证服务器为其生成并下发全局唯一身份标识符以及用于身份鉴别的公/私钥证书；认证服务器还为移动主机当前所属域控制器提供当前网络位置下所可能具备的邻域控制器的身份标识符/公钥证书；

当前域控制器收到认证服务器下发的鉴别信息后，与邻域控制器基于公钥密码体制的鉴别协议进行相互鉴别，识别出可信邻域控制器；

当移动主机需要入网通信时，首先与当前归属的SDN管理域内的无线接入点设备进行关联，然后与归属域控制器进行鉴别；在关联时，归属域控制器为移动主机创建全局唯一的标识；关联完毕后，移动主机采用基于公钥密码体制的鉴别协议与归属域控制器相互鉴别；若通过鉴别，则由归属域控制器为移动主机分配归属域的IP地址，进行移动主机身份、地址、实体标识符以及全局唯一的标识的绑定，完成入网配置工作，存储配置信息并分配相关通信资源，使该移动主机能够进行通信；若没有通过鉴别，则删除全局唯一的标识；

一旦监听到移动主机发起针对目的IP地址的连接，归属域控制器将根据管理员所配置的控制策略，判定是否为移动主机所请求的服务进行授权；若同意授权，则由归属域控制器为其建立通信路径；若不同意授权，则将拒绝该流的建立请求；归属域控制器将存储移动主机的安全上下文信息，所述安全上下文信息包含：全局唯一的标识、实体标识符、IP地址、主机MAC地址、归属域控制器信息及接入点设备信息、公钥证书等可以唯一真实标识主机安全环境的信息，同时存储移动主机正在执行通信的流信息；

当移动主机在通信过程中移动到其他SDN管理域之后，原归属域控制器根据相关鉴别信息推送策略，向可信邻域控制器推送包含安全上下文信息和流信息的通告报文，通知可信邻域控制器存储相关信息并为流信息流建立通信路径；

若移动主在当前归属SDN管理域终止通信，其向当前归属域控制器发送撤销通信报文，当前归属域控制器回收移动主机所使用的资源并向其邻域控制器发送撤销通信报文，告知邻域控制器删除之前传递的移动主机鉴别信息和流信息集。

本发明与现有技术相比，其显著优点在：

1.具有高安全性。在本发明中，任意接入网络的移动主机仅仅在其发起阶段被鉴别一次，后续跨域漫游过程中，鉴别信息将在邻域控制器间通过安全接口传递，而无需主机重新发送身份信息进行重复鉴别，保证了实体鉴别信息的隐私性。由于信息交换环境安全封闭，实体的鉴别信息可在不同管理域内通过安全交互通道进行安全移交，因而使得本鉴别机制具有高安全性。

2.具有较高的通信效率。在本发明中，控制器根据所传递的鉴别信息可以提前分发相关网络接入实体的鉴别信息、提前计算通信路径并完成鉴别信息的无缝迁移，从而能够保证鉴别动作与主机移动并发执行，避免了传统移动鉴别切换过程所采用的“移动后再鉴别”的串行方式，减少了鉴别过程对持续会话流造成的影响，实现了终端无缝移动，大大提升了系统的通信效率。

附图说明

图1为本发明运行环境示意图；

图2为本发明实施例运行的网络环境示意图；

图3为本发明方法流程示意图。

具体实施方式

容易理解，依据本发明的技术方案，在不变更本发明的实质精神的情况下，本领域的一般技术人员可以想象出本发明一种低剖面空气介质的微带天线的多种实施方式。因此，以下具体实施方式和附图仅是对本发明的技术方案的示例性说明，而不应当视为本发明的全部或者视为对本发明技术方案的限制或限定。

结合图1，本发明SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，其要点包括：

●系统包括多个SDN管理域和全局唯一的认证服务器(AAS)。认证服务器AAS负责全网实体的身份信息分配和认证管理，每个SDN管理域都必须在认证服务器AAS中进行注册。

●每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow无线接入点集合来实现对域内网络的管控。各SDN管理域之间相互独立，不同SDN管理域之间通过其域控制器相互交换信息来保证全网的连通性。

●任意移动主机MH_i在接入网络前必须先向认证服务器AAS提供真实身份信息进行注册。移动主机MH_i可在不同的SDN管理域间移动，通过域控制器间的信息交互实现移动主机MH_i的跨域接入。

具体的鉴别移交步骤如下：

1、初始化阶段。假定移动网络由n个SDN管理域D_Set＝{D_i|i＝1,2,…,n}、一个全局唯一的认证服务器AAS和若干台移动主机MH_j组成。任意一个SDN管理域D_i包括一台域控制器C_i及若干个受域控制器C_i所控制的OpenFlow无线接入点设备AP集合AP_i组成。当SDN管理域D_i内的域控制器C_i或移动主机MH_j(Mobile Host)接入移动网络时，首先必须向认证服务器AAS提交自身的真实身份信息进行注册，由认证服务器 AAS为其生成并下发全局唯一身份标识符以及用于身份鉴别的公/私钥证书。认证服务器 AAS还需为域控制器C_i提供当前网络位置下所可能具备的邻域控制器集合Ne_Set_i以及集合内各域控制器的身份标识符/公钥证书。

2、控制器鉴别阶段。域控制器C₀收到认证服务器AAS下发的鉴别信息后，与邻域控制器集合Ne_Set_i内的其他k(k≤n)个域控制器基于公钥密码体制的鉴别协议相互鉴别，形成可信邻域控制器集合T_Set_i＝{C_i|i＝1,2,…,k}。

3、移动主机鉴别阶段。移动主机的鉴别过程分主机身份鉴别及流鉴别两个阶段。

①主机身份鉴别阶段：当移动主机MH_j需要入网通信时，首先需要与当前归属的SDN 管理域D_j内的无线接入点设备AP_j进行关联，之后与归属域控制器C_j进行鉴别。在关联阶段，归属域控制器C_j为移动主机MH_j创建全局唯一的标识BSSID_j。关联完毕后，移动主机MH_j采用基于公钥密码体制的鉴别协议与归属域控制器C_j相互鉴别。若通过鉴别，由归属域控制器C_j为移动主机MH_j分配归属域的IP地址IP_j，进行移动主机MH_j身份、地址、主机标识符以及全局唯一的标识BSSID_j的绑定，完成入网配置工作，存储配置信息并分配相关通信资源，使该移动主机MH_j能够进行通信。若没有通过鉴别，则删除全局唯一的标识BSSID_j；

②流鉴别阶段：一旦监听到移动主机MH_j发起针对目的地址IP_d的连接，归属域控制器C_j将根据管理员所配置的控制策略，判定是否为移动主机MH_j所请求的服务进行授权。若同意，则由归属域控制器C_j为其建立通信路径Path₀(IP_j,IP_d)，否则将拒绝该流的建立请求。归属域控制器C_j将存储移动主机MH_j的安全上下文信息SCI_j(Secure ContextInformation)，该信息包含：全局唯一的标识BSSID_j、实体标识符、IP地址信息、主机MAC 地址、归属域控制器信息及接入交换设备信息、公钥证书等可以唯一真实标识主机安全环境的信息，同时存储移动主机MH_j正在执行通信的流信息集合Flow_j。

4、域间漫游阶段。当移动主机MH_j在通信过程中移动到其他SDN管理域D_i之后，归属域控制器C_j根据相关鉴别信息推送策略，利用控制器鉴别阶段与邻域控制器所建立的安全接口，向可信邻域控制器集合T_Set_i内的邻域控制器C_i推送包含安全上下文信息SCI_j和流信息集合Flow_j的通告报文，通知邻域控制器C_i存储相关信息并为流信息集合Flow_j内流建立通信路径。由于信息交换环境安全封闭，当邻域控制器C_i收到归属域控制器C_j的推送信息后，无需进行重新鉴别即可信任移动主机MH_j，并直接为流信息集合Flow_j计算全新的通信路径Path_i(IP_j,IP_d)。避免了二次鉴别对通信造成的中断。若移动主机MH_j继续移动，则重复步骤4域间漫游阶段。

5、鉴别撤销阶段。若移动主机MH_j在当前SDN管理域D_s终止通信时，其将向当前域控制器C_s发送撤销通信报文，当前域控制器C_s回收移动主机MH_j所使用的资源并向其邻域控制器发送撤销通信报文，告知相关邻域控制器删除之前传递的移动主机MH_j鉴别信息和流信息集合Flow_j信息，以避免资源浪费。

实施例

首先需要给出本发明提供的SDN多域移动网络环境下主机身份鉴别信息的高效移交机制所需要的环境，如图2所示：由SDN管理域A、B以及核心网络构成。每个SDN管理域由一台OpenFlow交换机，一台支持虚拟化技术的OpenFlow无线接入点AP和相应域控制器C_A、C_B组成。包括域控制器、移动主机等网络实体均需要首先在认证服务器AAS 中进行注册，认证服务器AAS将域控制器的注册信息分发至所有的管理域控制器，从而每个域控制器均可以知道网络内其他管理域控制器的信息。所有实体的IP由AAS负责统一分配管理。核心网络运行的应用服务器上运行了典型的Web服务应用程序，每台主机至少配置2块传输速率为1Gpbs的以太网卡。

域控制器C_A、C_B和移动主机MH分别在认证服务器AAS中进行注册，并由认证服务器AAS为其生成并下发对应的公/私钥文件。域控制器C_A和C_B通过基于公钥密码体制的鉴别协议相互鉴别，构建出安全控制平面覆盖网络。当移动主机MH_i需要与Web服务器通信时(通信流记为Flow_i)，MH_i首先在归属域控制器C_A上完成实体身份和流信息Flow_i的鉴别。随后归属域控制器C_A存储移动主机MH_i的安全上下文信息SCI_i和流信息Flow_i，并为流信息Flow_i计算通信路径Path_A。随后当感知到移动主机MH_i在网络中位置发生移动而将要离开当前管理域时(可以通过检测与移动主机MH_i之间无线信号强度的变化来实现)，归属域控制器C_A主动向其邻域控制器C_B推送移动主机MH_i的鉴别信息SCI_i和流信息Flow_i。邻域控制器C_B收到归属域控制器C_A的推送信息后，提前为流信息Flow_i计算新的通信路径Path_B。当移动主机MH_i按照预先设定的轨迹，从无线接入点AP_A的通信范围进入无线接入点AP_B的通信范围后，只需要将信号从无线接入点AP_A切换到无线接入点 AP_B即可，而不再需要再次进行鉴别，可以即时进行通信。

图3给出了本发明实施流程图，该流程开始于步骤S101，部署一个由N个SDN管理域D_Set、全局唯一的认证服务器AAS和若干移动主机组成的通信网络。任意管理域 D_i由域控制器C_i及受到C_i所控制的OpenFlow无线AP集合AP_i组成。然后转S102。

在步骤S102中，进行初始化。管理域D_i和移动主机MH_j分别向AAS提交自身鉴别的属性信息进行注册，由AAS为其生成并下发全局唯一身份标识符以及用于身份鉴别的公/私钥证书。AAS还需为C_i提供当前网络位置下所可能具备的邻域控制器集合Ne_Set_i以及集合内各邻域控制器的身份标识符/公钥证书。然后转S103。

在步骤S103中，进行控制器签别。域控制器C_i收到AAS下发的鉴别信息后，与Ne_Set_i内的邻域控制器相互鉴别，形成可信邻域控制器集合T_Set_i。然后转S104。

在步骤S104中，监听是否有移动主机接入。若有，则转S105。否则，继续步骤S104。

在步骤S105中，进行主机身份鉴别。移动主机MH_j与当前归属域D₀内的无线接入点AP₀进行关联，由C₀为MH_j创建全局内唯一的BSSID_j。关联完毕后，MH_j与C₀相互鉴别。若通过鉴别，转S106。否则，C₀将删除该BSSID_j，然后转S104。

在步骤S106中，由C₀为MH_j分配归属域IP地址IP_j，进行MH_j身份、地址、主机标识符以及BSSID_j的绑定，完成入网配置工作，存储配置信息并分配相关通信资源。然后转S107。

在步骤S107中，进行流鉴别。一旦监听到MH_j发起针对目的地址IP_d的连接，C₀根据相关控制策略，判定是否为MH_j所请求的服务进行授权。若同意，则转S108。否则拒绝该流的建立请求，转S104。

在步骤S108中，由C₀为MH_j建立通信路径Path₀(IP_j,IP_d)。同时存储MH_j的安全上下文信息SCI_j和MH_j正在执行通信的流信息集合Flow_j。然后转S109。

在步骤S109中，C₀向T_Set₀内的邻域控制器C_i推送包含SCI_j和Flow_j的通告报文，通知C_i存储相关信息并为Flow_j内流建立通信路径。然后转S110。

在步骤S110中，当C_i收到C₀的推送信息后，无需进行鉴别即可信任MH_j，并直接为Flow_j计算全新的通信路径Path_i(IP_j,IP_d)。然后转S111。

在步骤S111中，判断周期T内，MH_j是否已漫游至邻域D_i。若已漫游至D_i，转S112。否则，转S115。

在步骤S112中，当MH_j与D_i内的无线设备AP_i完成关联后，就可即时进行通信。然后转S113。

在步骤S113中，判断MH_j是否继续向邻域漫游。若是，则令C_i为归属域控制器C₀，转S109。否则，转S114。

在步骤S114中，判断是否收到MH_j的撤销通信报文。若未收到，则转S112，继续进行通信。否则，转S115。

在步骤S115中，进行鉴别撤销。当前归属域控制器C_s回收MH_j所使用的资源并向其邻域控制器发送撤销通信报文，告知相关邻域控制器删除之前传递的MH_j鉴别信息和 Flow_j信息。

Claims (1)

1.一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，其特征在于：

网络中有多个SDN管理域和全局唯一的认证服务器，认证服务器负责全网通信实体的身份信息分配和认证管理，每个SDN管理域均在认证服务器中进行注册；

每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控；各SDN管理域之间相互独立，不同SDN管理域之间通过其域控制器进行信息交互；

移动主机在接入网络前先向认证服务器提供真实身份信息进行注册，移动主机在不同的SDN管理域间移动时，通过域控制器间的信息交互实现移动主机的跨域接入；

当SDN管理域内的域控制器或移动主机接入移动网络时，首先向认证服务器提交自身的身份信息进行注册，由认证服务器为其生成并下发全局唯一身份标识符以及用于身份鉴别的公/私钥证书；认证服务器还为移动主机当前所属域控制器提供当前网络位置下所可能具备的邻域控制器的身份标识符/公钥证书；

当前域控制器收到认证服务器下发的鉴别信息后，与邻域控制器基于公钥密码体制的鉴别协议进行相互鉴别，识别出可信邻域控制器；

当移动主机需要入网通信时，首先与当前归属的SDN管理域内的无线接入点设备进行关联，然后与归属域控制器进行鉴别；在关联时，归属域控制器为移动主机创建全局唯一的标识；关联完毕后，移动主机采用基于公钥密码体制的鉴别协议与归属域控制器相互鉴别；若通过鉴别，则由归属域控制器为移动主机分配归属域的IP地址，进行移动主机身份、地址、实体标识符以及全局唯一的标识的绑定，完成入网配置工作，存储配置信息并分配相关通信资源，使该移动主机能够进行通信；若没有通过鉴别，则删除全局唯一的标识；

一旦监听到移动主机发起针对目的IP地址的连接，归属域控制器将根据管理员所配置的控制策略，判定是否为移动主机所请求的服务进行授权；若同意授权，则由归属域控制器为其建立通信路径；若不同意授权，则将拒绝该流的建立请求；归属域控制器将存储移动主机的安全上下文信息，所述安全上下文信息包含：全局唯一的标识、实体标识符、IP地址、主机MAC地址、归属域控制器信息及接入点设备信息、公钥证书等可以唯一真实标识主机安全环境的信息，同时存储移动主机正在执行通信的流信息；

当移动主机在通信过程中移动到其他SDN管理域之后，原归属域控制器根据相关鉴别信息推送策略，向可信邻域控制器推送包含安全上下文信息和流信息的通告报文，通知可信邻域控制器存储相关信息并为流信息流建立通信路径；

若移动主在当前归属SDN管理域终止通信，其向当前归属域控制器发送撤销通信报文，当前归属域控制器回收移动主机所使用的资源并向其邻域控制器发送撤销通信报文，告知邻域控制器删除之前传递的移动主机鉴别信息和流信息集。

Images