CN109600745A - 一种新型的5g蜂窝网信道安全系统及安全实现方法 - Google Patents

一种新型的5g蜂窝网信道安全系统及安全实现方法 Download PDF

Info

Publication number
CN109600745A
CN109600745A CN201811523346.4A CN201811523346A CN109600745A CN 109600745 A CN109600745 A CN 109600745A CN 201811523346 A CN201811523346 A CN 201811523346A CN 109600745 A CN109600745 A CN 109600745A
Authority
CN
China
Prior art keywords
sgw
message
dps
data
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811523346.4A
Other languages
English (en)
Other versions
CN109600745B (zh
Inventor
王良民
姚嘉莹
赵蕙
尹星
韩志耕
陈向益
宋香梅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu University
Original Assignee
Jiangsu University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu University filed Critical Jiangsu University
Priority to CN201811523346.4A priority Critical patent/CN109600745B/zh
Publication of CN109600745A publication Critical patent/CN109600745A/zh
Application granted granted Critical
Publication of CN109600745B publication Critical patent/CN109600745B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/1607Details of the supervisory signal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种新型的5G蜂窝网信道安全系统及安全实现方法,在5G异构蜂窝网络架构上增加安全实体(SE)、分布式安全网关(SGW)和本地安全代理(LSA)三个新实体,通过在SGW和LSA之间建立基于HIP的控制隧道,在LSA之间建立基于HIP的数据隧道,提供多种安全功能,包括保密性、抗重播服务等,从而利用SDN技术保障了通信信道安全,并在网络性能影响较小的情况下,保证了所提出架构的通信信道免受基于IP的攻击。

Description

一种新型的5G蜂窝网信道安全系统及安全实现方法
技术领域
本发明涉及SDN信道安全技术,具体涉及一种新型的5G蜂窝网信道安全系统及安全实现方法。
背景技术
5G异构蜂窝网络是一个异构的、多标准共存的,智能化的网络平台。未来5G异构蜂窝网络的总体性能要求已经基本达成共识,主要包括更高的数据流量、用户体验速率、海量终端连接以及低时延等。SDN是一种新型的网络体系架构,摆脱了硬件对网络架构的限制,将网络的控制功能和转发功能解耦合,从而使得网络的控制功能实现了可编程化。同时底层数据平面对上层的应用程序和网络服务实现了资源抽象,由此提高了网络的实时编排能力和调度能力。基于SDN的5G异构蜂窝网络架构系统在逻辑上分为基础设施层和决策控制层:基础设施层包括无线接入网和核心传输网;决策控制网包括接入网控制器、核心网控制器、业务总体控制器以及智能决策中心。
虽然基于SDN的5G异构蜂窝网络架构具有很多优点,但是架构本身也易受到安全威胁,特别是通信信道的安全问题。通信信道由控制信道和数据信道组成。其中,控制信道最主要的问题是IP缺乏安全性。现有架构依赖的较高层安全机制不足以为控制信道提供所需级别的安全性。数据信道最主要的问题是不包含任何完整性的保护机制。基于SDN的5G异构蜂窝网络架构具有基于全IP的回程网络,但在eNodeB处,无线电网络层(RNL)加密会终止。因此,当前的数据信道的回程传输是未加密的,攻击者可以在运营商不注意的情况下改变或者破坏数据。急需设计一种新型的5G蜂窝网信道安全结构及安全实现方法,为建立更高安全级别的信道架构提供新的解决思路。
发明内容
发明目的:本发明的目的在于解决现有技术中存在的不足,提供一种新型的5G蜂窝网信道安全系统及安全实现方法。
技术方案:本发一种新型的5G蜂窝网信道安全系统,包括若干分布式安全网关SGW、安全实体SE和本地SE代理LSA:所述分布式安全网关SGW连接于网络控制层和数据平面,分布式安全网关SGW在数据平面交换机DPS建立HIP控制隧道并在安全实体SE和数据平面之间中继消息;所述安全实体SE控制分布式安全网关SGW,并生成相关密钥;所述本地SE代理LSA位于对应数据平面交换机DPS的顶部,本地SE代理LSA在分布式安全网关SGW和其他数据平面交换机DPS之间建立HIP控制隧道,各个本地SE代理LSA之间建立有数据隧道,所述隧道的建立基于主机标识协议HIP。
进一步的,所述分布式安全网关SGW中集成有侵检测系统IDS、深度包检测DPI和防火墙;所述安全实体SE为HIP控制隧道和数据隧道生成控制业务加密密钥CCEK、密钥加密密钥KEK和数据传输加密密钥DTEK;所述HIP将IP地址的角色分为定位器和主机标识,并用HIPBase Exchange的基础协议为隧道建立安全关联,所述系统中支持动态添加新DPS和自动控制隧道建立,每个数据平面交换机DPS均有自己的公钥/私钥对,并且公钥用作其主机标示HI,在安装到网络之前,公钥/私钥对均储存在每个DPS中,同时运营商将合法交换机的HI添加到访问控制列表中。
本发明还公开一种新型的5G蜂窝网信道安全系统的安全实现方法,包括以下步骤:
(1)在分布式安全网关SGW和对应本地SE代理LSA之间建立HIP控制隧道;
(2)在各个本地SE代理LSA之间建立数据隧道;
其中,所述步骤(1)的详细内容为:
(1.1)数据平面交换机DPS通过发送M1消息来建立隧道,M1=(D1,S1),D1表示DPS的HIP;S1表示SGW的HIP;
(1.2)分布式安全网关SGW使用M2消息来回复M1消息;
M2=(G1,DH1,Sk,Cn(E),Cn(H),E1,SI1);G1表示加密拼图;DH1表示DH密钥参数;Sk表示SGW公钥;Cn(E)表示ESP转换;Cn(H)表示HIP转换;E1表示回声请求;SI1表示签名;
(1.3)数据平面交换机DPS在收到M2消息后,发送M3消息给分布式安全网关SGW;M3=(H1,G1,DH1,DK,SPI,Cn(E),Cn(H),SI1);H1表示哈希消息认证码(HMAC);G1表示加密拼图解决方案;DK表示DPS公钥;
(1.4)分布式安全网关SGW使用BAN逻辑规则验证解决方案,并通过REQ将交换机凭证发送给安全实体SE;REQ=(D2,S2,I1,E1);D2表示DPS的HI;S2表示SGW的HI;I1表示身份验证确认;
(1.5)REQ到达之后,安全实体SE进行访问授权机制和业务核对,然后用ACK回复REQ,ACK=(E1,S3,D3);其中S3表示SGW的HIT,ACK包含SGW的HIT、DPS的HIT和回声请求;
(1.6)如果分布式安全网关SGW接到除授权的数据平面交换机DPS发送的肯定请求之外的任何请求,分布式安全网关SGW则从数据平面交换机DPS中删除链接请求;否则,分布式安全网关SGW发送M4消息完成隧道建立;
M4=(D3,S3,H1,SPI,S1),D3表示DPS的HIT,安全实体SE通过ACL来检查DPS的HI;
其中,所述步骤(2)的详细内容为:
(2.1)A数据平面交换机DPS1向发B数据平面交换机DPS2送M1消息来建立隧道;
(2.2)B数据平面交换机DPS2使用M2消息来回复A数据平面交换机DPS1的M1消息;
(2.3)A数据平面交换机DPS1在收到M2消息后,发送M3给B数据平面交换机DPS2;
(2.4)B数据平面交换机DPS2用BAN规则算法验证解决方案,将REQ消息发送给分布式安全网关SGW;
(2.5)分布式安全网关SGW继续向安全实体SE传送B数据平面交换机DPS2发送的REQ消息;
(2.6)REQ到达之后,安全实体SE会进行访问授权机制和业务核对,然后用ACK回复REQ;
(2.7)分布式安全网关SGW继续向B数据平面交换机DPS2发送安全实体SE发送的ACK消息;
(2.8)如果A数据平面交换机DPS1接到B数据平面交换机DPS2发送的肯定确认,B数据平面交换机DPS2会丢弃A数据平面交换机DPS1的链接请求,否则,B数据平面交换机DPS2会发送M4消息完成隧道建立;
上述步骤(2)中REQ=(D21,D22,E1);ACK=(E1,D31,D32);其中D21表示DPS1的HI;D22表示DPS2的HI;D31表示DPS1的HIT;D32表示DPS2的HIT;E1表示回声请求。
进一步的,所述步骤(1.2)的具体内容为:首先,通过DH密钥参数生成ESP有效负载加密的对称密钥,并且如果在两个节点之间交换DH密钥参数则生成用作DPS的KEK的公共对称密钥;然后,SGW支持的一组加密和完整性算法包含在HIP转换中,这些HIP变换用于HI交换的保护;所述E1参数包含一个不透明的数据块,用于检查G1的完整性;最后,SGW的私钥在消息M2上生成签名,用来验证消息M2的完整性。
进一步的,所述步骤(1.4)中SGW使用BAN逻辑规则验证解决方案的具体内容为:
BAN逻辑规则的第一步是协议理想主义,根据协议,在执行协议之前已知以下的安全性假设:
SGW|≡#(ng),SE|≡#(nc) (4)
BAN表达的式(1)表示SGW认为Kc +是SE的公钥;式(2)(3)表示一个事实;由于公钥加密的密码只可由专用密钥进行解密,新的机密消息ng在发送方SGW和SE之间被Kc +加密;式(4)表示SGW认为随机的ng是新的加密消息,SE也认为随机的nc是新的加密消息;式(5)表示SGW认为传输密钥Kt由SE控制,而SE认为Kgc由SGW控制;
使用这种协议的安全目的是保护SGW的安全认证,所以如果以下的式(6)(7)均得到认证,则是认证成功,SGW就能发送消息REQ给SE;
SGW|≡SE~nc,SGW|≡nc (6)
SE|≡SGW|~(nc,ng,kgc),SGW≡(nc,kgc) (7)
根据协议,SGW接收消息的格式为这就意味着是事实,又因为安全性假设和BAN的消息含义规则:所以推断出SGW|≡SE~(nc);
因为所以公示改为SE△(nc,kgc)ng
又因为将其使用BAN消息含义规则,推断出SE|≡SGW|~(nc,kgc,ng);
假设SGW≡#(nc)和得到,将其使用BAN验证规则推断出SGW≡(nc,kgc)。
进一步的,所述步骤(1.5)中确认ACK内容的算法步骤如下:
当SE收到消息REQ后,进行访问授权机制和业务的核对,若两者都核对正确,则发送肯定的ACK消息,SGW发送M4消息完成隧道建立;若访问授权机制或者业务核对有一者出现错误,则SE发送否定的ACK消息;如果SGW接到否定的ACK请求,SGW从DPS中删除链接请求。
进一步的,所述步骤(1.6)的详细步骤为:安全实体SE记录不同的请求,这样有助于识别重放攻击。如果DPS一次又一次的过早发送请求,那么这些请求将会被丢弃;然后,利用流量优化的过程检查DPS和SGW的HI;并且在生成确认的ACK请求消息之前,SE可与其他控制实体(如移动管理器、负载均衡器)进行通信;如果SGW接到否定的ACK请求,SGW会从DPS中删除链接请求,否则,SGW直接发送M4消息完成隧道建立.;上述过程中,DPS可与多个SGW建立基于HIP的隧道,以获得负载均衡和冗余功能。在这种情况下,DPS必须遵循上述隧道建立的过程。SE会跟踪每个DPS连接的SGW,所以,它可以接受或者拒绝传入的连接请求,以在每个SGW上平均分配负载。此外,SE还可以阻止一些具有攻击性的DPS。
进一步的,所述步骤(2.8)中,如果B数据平面交换机DPS2收到否定的ACK请求,B数据平面交换机DPS2丢弃来自A数据平面交换机DPS1的连接请求;如果B数据平面交换机DPS2受到肯定得ACK请求,B数据平面交换机DPS2发送消息M4来完成隧道的建立。
有益效果:本发明包括三个新实体:安全实体(SE)、分布式安全网关(SGW)和本地安全代理(LSA),在实际应用中通过在SGW和LSA之间建立基于HIP的控制隧道,在LSA之间建立基于HIP的数据隧道的方法,降低控制信道和数据信道受到基于IP常见攻击的影响,解决基于SDN技术的5G蜂窝网信道结构的信道安全问题。例如,攻击者利用重置攻击一般的基于SDN的5G网络架构,第一步就是窃听正在进行的通信会话以提取会话消息,攻击者可以成功地从未加密的IP中窃听到这些信息。但是本发明中的架构因在控制和数据信道都添加基于HIP的隧道,所以所有TCP/IP标头和会话信息都是加密的。在这种情况下,攻击者无法获得足够的信息来重置通信会话,因此,本发明的结构和方法能够保护通信信道免受重置攻击。
附图说明
图1为本发明的架构整体结构图;
图2为本发明中控制通道与数据通道建立图;
图3为实施例中控制隧道建立过程;
图4为实施例中数据隧道建立过程;
图5为实施例中实验测试平台;
图6为实施例中TCP重置攻击一般框架与本发明的对比结果图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
如图1所示,本发明的一种新型的5G蜂窝网信道安全系统,包括若干分布式安全网关SGW、安全实体SE和本地SE代理LSA;分布式安全网关SGW连接于网络控制层和数据平面,分布式安全网关SGW在数据平面交换机DPS建立HIP控制隧道并在安全实体SE和数据平面之间中继消息;安全实体SE控制分布式安全网关SGW,并生成相关密钥;本地SE代理LSA位于对应数据平面交换机DPS的顶部,本地SE代理LSA在分布式安全网关SGW和其他数据平面交换机DPS之间建立HIP控制隧道,各个本地SE代理LSA之间建立有数据隧道,HIP控制隧道基于主机标识协议HIP。
其中,SGW是控制器和数据平面之间的中间设备。SGW通过将网络控制器与外界隐藏起来,能有效减少控制器相关安全工作的负荷,SGW主要负责两项操作,包括在DPS(DataPlan Switch,DPS)建立HIP隧道以及在安全实体(SE)和数据平面之间中继消息,使用分布式/多个SGW来防止单点故障,此外,SGW可以集成各种安全功能,如入侵检测系统(IDS),深度包检测(DPI)和防火墙,从而提供额外的保护。SE是一个新的控制实体负责控制SGW和其他的安全功能,还为控制通道和数据通道生成控制业务加密密钥(CCEK)和数据传输加密密钥(DTEK)。此外,SE与其他的控制实体合作以管理控制和数据通道中的HIP隧道建立。LSA是每个DPS中实现的安全实体,它位于DPS的最顶部,主要负责SGW和建立DPS间的HIP隧道。HIP将IP地址的角色分为定位器和主机标识,并用HIP Base Exchange的基础协议为隧道建立安全关联,因此控制器和DPS可以使用传统的控制协议进行通信。所述架构支持动态添加新DPS和自动控制隧道建立。
本发明共使用三种不同类型的加密密钥:分别是控制信道加密密钥(CCEK)、数据传输加密密钥(DTEK)和密钥加密密钥(KEK)。
控制信道加密密钥(CCEK),用于对控制信道业务进行加密,SE定期生成CCEK,并将它们分发给DPS,然后CCEK使用DPS的KEK(密钥加密密钥)加密,并通过SGW传递。数据传输加密密钥(DTEK),用于对数据信道业务的加密,SE周期性的生成DTEK,并将他们分发给数据交换机,然后DTEK使用DPS的KEK加密,并通过SGW传递。密钥加密密钥(KEK),KEK通过安全控制信道在递送期间加密CCEK和DTEK,KEK对于每个DPS都是唯一的,SGW和每个DPS通过使用密钥交换协议在隧道建立过程中同意该KEK,KEK会通过密钥交换协议定期进行更新。
本发明的一种新型的5G蜂窝网信道安全系统的安全实现方法,包括以下步骤:
(1)在分布式安全网关SGW和对应本地SE代理LSA之间建立HIP控制隧道;
(2)在各个本地SE代理LSA之间建立数据隧道;
其中,所述步骤(1)的详细内容为:
(1.1)数据平面交换机DPS通过发送M1消息来建立隧道,M1=(D1,S1),D1表示DPS的HIP;S1表示SGW的HIP;
(1.2)分布式安全网关SGW使用M2消息来回复M1消息;
M2=(G1,DH1,Sk,Cn(E),Cn(H),E1,SI1);G1表示加密拼图;DH1表示DH密钥参数;Sk表示SGW公钥;Cn(E)表示ESP转换;Cn(H)表示HIP转换;E1表示回声请求;SI1表示签名;
(1.3)数据平面交换机DPS在收到M2消息后,发送M3消息给分布式安全网关SGW;M3=(H1,G1,DH1,DK,SPI,Cn(E),Cn(H),SI1);H1表示哈希消息认证码(HMAC);G1表示加密拼图解决方案;DK表示DPS公钥;
(1.4)分布式安全网关SGW使用BAN逻辑规则验证解决方案,并通过REQ将交换机凭证发送给安全实体SE;REQ=(D2,S2,I1,E1);D2表示DPS的HI;S2表示SGW的HI;I1表示身份验证确认;
(1.5)REQ到达之后,安全实体SE进行访问授权机制和业务核对,然后用ACK回复REQ,ACK=(E1,S3,D3);其中S3表示SGW的HIT,ACK包含SGW的HIT、DPS的HIT和回声请求;
(1.6)如果分布式安全网关SGW接到除授权的数据平面交换机DPS发送的肯定请求之外的任何请求,分布式安全网关SGW则从数据平面交换机DPS中删除链接请求;否则,分布式安全网关SGW发送M4消息完成隧道建立;
M4=(D3,S3,H1,SPI,S1),D3表示DPS的HIT,安全实体SE通过ACL来检查DPS的HI;
其中,所述步骤(2)的详细内容为:
(2.1)A数据平面交换机DPS1向发B数据平面交换机DPS2送M1消息来建立隧道;
(2.2)B数据平面交换机DPS2使用M2消息来回复A数据平面交换机DPS1的M1消息;
(2.3)A数据平面交换机DPS1在收到M2消息后,发送M3给B数据平面交换机DPS2;
(2.4)B数据平面交换机DPS2用BAN规则算法验证解决方案,将REQ消息发送给分布式安全网关SGW;
(2.5)分布式安全网关SGW继续向安全实体SE传送B数据平面交换机DPS2发送的REQ消息;
(2.6)REQ到达之后,安全实体SE会进行访问授权机制和业务核对,然后用ACK回复REQ;
(2.7)分布式安全网关SGW继续向B数据平面交换机DPS2发送安全实体SE发送的ACK消息;
(2.8)如果A数据平面交换机DPS1接到B数据平面交换机DPS2发送的肯定确认,B数据平面交换机DPS2会丢弃A数据平面交换机DPS1的链接请求,否则,B数据平面交换机DPS2会发送M4消息完成隧道建立;
上述步骤(2)中REQ=(D21,D22,E1);ACK=(E1,D31,D32);其中D21表示DPS1的HI;D22表示DPS2的HI;D31表示DPS1的HIT;D32表示DPS2的HIT;E1表示回声请求。
如图1所示,本发明的一种新型的5G蜂窝网信道安全结构及安全实现方法,该发明涉及分布式安全网关(SGW),安全实体(SE),每个数据平面交换机(DPS)中的本地安全代理(LSA),基于HIP的控制和数据隧道以及三种不同类型的加密密钥。
其中控制隧道与数据隧道建立图如图2所示,本地安全代理LSA是在每个DPS中实现的安全实体,图2说明了LSA在DPS中的位置,它主要负责SGW和其他DPS的HIP隧道建设。同时也说明了基于HIP隧道建立的位置。在SGW和LSA之间建立基于HIP的控制隧道,在LSA之间建立基于HIP的数据隧道以解决基于SDN的5G异构蜂窝网络架构的信道安全问题。
实施例
本实施例的具体实施过程如下:
首先,在图3所示的控制隧道建立过程中,DPS会给SGW发送消息M1,消息M1包括DPS的HIP和SGW的HIP;然后SGW发送消息M2来回复消息M1,消息M2包括加密拼图、DH密钥参数、SGW公钥、HIP转换、回声请求以及签名。DH密钥参数用于生成ESP有效负载加密的对称密钥,并且如果在两个节点之间交换DH密钥参数生成用作DPS的KEK的公共对称密钥。
然后,SGW支持的一组加密和完整性算法包含在HIP转换中,这些HIP变换用于HI交换的保护。E1参数包含一个不透明的数据块,用于检查G1的完整性。SGW的私钥在消息M2上生成签名,用来验证消息M2的完整性。
接下来DPS在收到消息M2后,发送消息M3给SGW。消息M3包括哈希消息认证码(HMAC)、加密拼图解决方案、DPS公钥、SPI、ESP转换、HIP转换和签名。消息M3具有与消息M2类似的必需字段,加密拼图验证的是单个哈希计算,并且SPI用在定位正确的结构分析中。
接着SGW使用BAN逻辑规则验证解决方案,并发送REQ给SE。REQ包括DPS的HI、SGW的HI、身份验证确认和回声请求。
然后,SE收到REQ消息后,进行访问授权机制和业务核对,并用ACK回复REQ。ACK包括回声请求、SGW的HIT以及DPS的HIT。当SE收到消息REQ后,要进行访问授权机制和业务的核对,若两者都核对正确,则发送肯定的ACK消息,SGW发送M4消息完成隧道建立;若访问授权机制或者业务核对有一者出现了错误,则SE发送否定的ACK消息。如果SGW接到否定的ACK请求,SGW从DPS中删除链接请求。
最后,如果SGW接到除授权的DPS发送的肯定请求之外的任何请求,SGW则从DPS中删除链接请求,否则,SGW发送M4消息完成隧道建立。消息M4包括DPS和SGW的HIT、HMAC、SPI以及签名。
在图4所示的数据隧道建立过程与图3所示的控制隧道建立过程相似。
为验证本发明的性能,进行以下仿真实验并模拟Dos攻击,具体实施过程如下:
在图3所示的实验平台中,用Mininet仿真器和OpenDaylight控制器实现本发明的系统架构,通过实验与OpenFlow协议的性能进行对比,验证提出本发明的安全性。在Mininet仿真器中创建四个虚拟主机(Host1、Host2、Host3、Host4)。Host1和Host2通过OVS1连接,Host3和Host4通过OVS2连接。一台笔记本电脑选择OpenDaylight作为SDN控制器。另一台电脑为攻击者,其操作系统为Ubuntu 12.04LTS。最后,使用OpenHIP建模SGW和LSA。
有两种可能的Dos攻击类别,第一类中,攻击者发送过多的链接请求(例如TCP SYNDos攻击)以建立与控制器或DPS的连接。本发明提出的架构能够防止此类Dos攻击。如果攻击者发送一系列M1数据包为了执行Dos攻击,响应者为每个M1回复预先计算的M2数据包,而不分配任何资源。但是响应者会在M2消息中的正确解决方案到达之后分配资源,这样就能保护控制器和DPS都免受Dos的攻击。
在第二类中,攻击者会通过使用随机值欺骗全部或部分标头字段,将伪造数据包发送到控制和数据通道。本发明提出的系统架构也可防止此类的攻击。因为框架使用基于HIP的隧道,所以在不知道加密密钥参数的情况下,终端设备是不会接受来自随机用户的任何数据分组。
在TCP重置攻击中,攻击者在OpenDaylight控制器和OVS1上执行TCP重置攻击。攻击者会向两端发送假TCP数据包以重置他们之间的连接。但是,攻击者必须在伪造数据包的标头中包含正确的IP地址,端口号和有效的序列号。因此,攻击者窃听并利用窃听到的信息生成假的TCP数据包。
实验结果如图6所示,将本发明系统架构中的隧道与OpenFlow用安全传输层协议(TLSv1)构建的参考隧道进行比较。本发明免受TCP重置攻击。然而,因为参考隧道始终能被重置攻击终止OVS1和OpenDaylight控制器之间的连接,导致无法更新流表,所以参考隧道比所提出的架构易受到TCP重置攻击。

Claims (8)

1.一种新型的5G蜂窝网信道安全系统,其特征在于:包括若干分布式安全网关SGW、安全实体SE和本地SE代理LSA:所述分布式安全网关SGW连接于网络控制层和数据平面,分布式安全网关SGW在数据平面交换机DPS建立HIP控制隧道并在安全实体SE和数据平面之间中继消息;所述安全实体SE控制分布式安全网关SGW,并生成相关密钥;所述本地SE代理LSA位于对应数据平面交换机DPS的顶部,本地SE代理LSA在分布式安全网关SGW和其他数据平面交换机DPS之间建立HIP控制隧道,各个本地SE代理LSA之间建立有数据隧道,所述隧道的建立基于主机标识协议HIP。
2.根据权利要求1所述的新型的5G蜂窝网信道安全系统,其特征在于:所述分布式安全网关SGW中集成有侵检测系统IDS、深度包检测DPI和防火墙;所述安全实体SE为HIP控制隧道和数据隧道生成控制业务加密密钥CCEK、密钥加密密钥KEK和数据传输加密密钥DTEK;所述HIP将IP地址的角色分为定位器和主机标识,并用HIP Base Exchange的基础协议为隧道建立安全关联,所述系统中支持动态添加新DPS和自动控制隧道建立,每个数据平面交换机DPS均有自己的公钥/私钥对,并且公钥用作其主机标示HI,在安装到网络之前,公钥/私钥对均储存在每个DPS中,同时运营商将合法交换机的HI添加到访问控制列表中。
3.一种根据权利要求1或2所述的新型的5G蜂窝网信道安全系统的安全实现方法,其特征在于:包括以下步骤:
(1)在分布式安全网关SGW和对应本地SE代理LSA之间建立HIP控制隧道;
(2)在各个本地SE代理LSA之间建立数据隧道;
其中,所述步骤(1)的详细内容为:
(1.1)数据平面交换机DPS通过发送M1消息来建立隧道,M1=(D1,S1),D1表示DPS的HIP;S1表示SGW的HIP;
(1.2)分布式安全网关SGW使用M2消息来回复M1消息;
M2=(G1,DH1,Sk,Cn(E),Cn(H),E1,SI1);G1表示加密拼图;DH1表示DH密钥参数;Sk表示SGW公钥;Cn(E)表示ESP转换;Cn(H)表示HIP转换;E1表示回声请求;SI1表示签名;
(1.3)数据平面交换机DPS在收到M2消息后,发送M3消息给分布式安全网关SGW;M3=(H1,G1,DH1,DK,SPI,Cn(E),Cn(H),SI1);H1表示哈希消息认证码(HMAC);G1表示加密拼图解决方案;DK表示DPS公钥;
(1.4)分布式安全网关SGW使用BAN逻辑规则验证解决方案,并通过REQ将交换机凭证发送给安全实体SE;REQ=(D2,S2,I1,E1);D2表示DPS的HI;S2表示SGW的HI;I1表示身份验证确认;
(1.5)REQ到达之后,安全实体SE进行访问授权机制和业务核对,然后用ACK回复REQ,ACK=(E1,S3,D3);其中S3表示SGW的HIT,ACK包含SGW的HIT、DPS的HIT和回声请求;
(1.6)如果分布式安全网关SGW接到除授权的数据平面交换机DPS发送的肯定请求之外的任何请求,分布式安全网关SGW则从数据平面交换机DPS中删除链接请求;否则,分布式安全网关SGW发送M4消息完成隧道建立;
M4=(D3,S3,H1,SPI,S1),D3表示DPS的HIT,安全实体SE通过ACL来检查DPS的HI;
其中,所述步骤(2)的详细内容为:
(2.1)A数据平面交换机DPS1向发B数据平面交换机DPS2送M1消息来建立隧道;
(2.2)B数据平面交换机DPS2使用M2消息来回复A数据平面交换机DPS1的M1消息;
(2.3)A数据平面交换机DPS1在收到M2消息后,发送M3给B数据平面交换机DPS2;
(2.4)B数据平面交换机DPS2用BAN规则算法验证解决方案,将REQ消息发送给分布式安全网关SGW;
(2.5)分布式安全网关SGW继续向安全实体SE传送B数据平面交换机DPS2发送的REQ消息;
(2.6)REQ到达之后,安全实体SE会进行访问授权机制和业务核对,然后用ACK回复REQ;
(2.7)分布式安全网关SGW继续向B数据平面交换机DPS2发送安全实体SE发送的ACK消息;
(2.8)如果A数据平面交换机DPS1接到B数据平面交换机DPS2发送的肯定确认,B数据平面交换机DPS2会丢弃A数据平面交换机DPS1的链接请求,否则,B数据平面交换机DPS2会发送M4消息完成隧道建立;
上述步骤(2)中REQ=(D21,D22,E1);ACK=(E1,D31,D32);其中D21表示DPS1的HI;D22表示DPS2的HI;D31表示DPS1的HIT;D32表示DPS2的HIT;E1表示回声请求。
4.根据权利要求3所述的新型的5G蜂窝网信道安全系统的安全实现方法,其特征在于:所述步骤(1.2)的具体内容为:
首先,通过DH密钥参数生成ESP有效负载加密的对称密钥,并且如果在两个节点之间交换DH密钥参数则生成用作DPS的KEK的公共对称密钥;然后,SGW支持的一组加密和完整性算法包含在HIP转换中,这些HIP变换用于HI交换的保护;所述E1参数包含一个不透明的数据块,用于检查G1的完整性;最后,SGW的私钥在消息M2上生成签名,用来验证消息M2的完整性。
5.根据权利要求3所述的新型的5G蜂窝网信道安全系统的安全实现方法,其特征在于:所述步骤(1.4)中SGW使用BAN逻辑规则验证解决方案的具体内容为:
BAN逻辑规则的第一步是协议理想主义,根据协议,在执行协议之前已知以下的安全性假设:
SGW|≡#(ng),SE|≡#(nc) (4)
BAN表达的式(1)表示SGW认为Kc +是SE的公钥;式(2)(3)表示一个事实;由于公钥加密的密码只可由专用密钥进行解密,新的机密消息ng在发送方SGW和SE之间被Kc +加密;式(4)表示SGW认为随机的ng是新的加密消息,SE也认为随机的nc是新的加密消息;式(5)表示SGW认为传输密钥Kt由SE控制,而SE认为Kgc由SGW控制;
所以如果以下的式(6)(7)均得到认证,则是认证成功,SGW就能发送消息REQ给SE;
SGW|≡SE~nc,SGW|≡nc (6)
SE|≡SGW|~(nc,ng,kgc),SGW≡(nc,kgc) (7)
根据协议,SGW接收消息的格式为这就意味着是事实,又因为安全性假设和BAN的消息含义规则:所以推断出SGW|≡SE~(nc);
因为所以公示改为SEΔ(nc,kgc)ng
又因为将其使用BAN消息含义规则,推断出SE|≡SGW|~(nc,kgc,ng);
假设SGW≡#(nc)和得到,将其使用BAN验证规则推断出SGW≡(nc,kgc)。
6.根据权利要求3所述的新型的5G蜂窝网信道安全系统的安全实现方法,其特征在于:所述步骤(1.5)中确认ACK内容的算法步骤如下:
当SE收到消息REQ后,进行访问授权机制和业务的核对,若两者都核对正确,则发送肯定的ACK消息,SGW发送M4消息完成隧道建立;若访问授权机制或者业务核对有一者出现错误,则SE发送否定的ACK消息;如果SGW接到否定的ACK请求,SGW从DPS中删除链接请求。
7.根据权利要求3所述的新型的5G蜂窝网信道安全系统的安全实现方法,其特征在于:所述步骤(1.6)的详细步骤为:
安全实体SE记录不同的请求,如果DPS一次又一次的过早发送请求,那么这些请求将会被丢弃;然后,利用流量优化的过程检查DPS和SGW的HI;并且在生成确认的ACK请求消息之前,SE可与其他控制实体(如移动管理器、负载均衡器)进行通信;如果SGW接到否定的ACK请求,SGW会从DPS中删除链接请求,否则,SGW直接发送M4消息完成隧道建立.;上述过程中,由于SE跟踪每个DPS连接的SGW,所以,SE通过接受或者拒绝传入的连接请求来在每个SGW上平均分配负载。
8.根据权利要求3所述的新型的5G蜂窝网信道安全系统的安全实现方法,其特征在于:所述步骤(2.8)中,如果B数据平面交换机DPS2收到否定的ACK请求,B数据平面交换机DPS2丢弃来自A数据平面交换机DPS1的连接请求;如果B数据平面交换机DPS2受到肯定得ACK请求,B数据平面交换机DPS2发送消息M4来完成隧道的建立。
CN201811523346.4A 2018-12-13 2018-12-13 一种新型的5g蜂窝网信道安全系统及安全实现方法 Active CN109600745B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811523346.4A CN109600745B (zh) 2018-12-13 2018-12-13 一种新型的5g蜂窝网信道安全系统及安全实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811523346.4A CN109600745B (zh) 2018-12-13 2018-12-13 一种新型的5g蜂窝网信道安全系统及安全实现方法

Publications (2)

Publication Number Publication Date
CN109600745A true CN109600745A (zh) 2019-04-09
CN109600745B CN109600745B (zh) 2021-03-23

Family

ID=65961916

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811523346.4A Active CN109600745B (zh) 2018-12-13 2018-12-13 一种新型的5g蜂窝网信道安全系统及安全实现方法

Country Status (1)

Country Link
CN (1) CN109600745B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111934888A (zh) * 2020-09-27 2020-11-13 南京可信区块链与算法经济研究院有限公司 一种改进软件定义网络的安全通信系统
US11163539B2 (en) 2020-01-07 2021-11-02 International Business Machines Corporation Virtual detection and technical issue modification

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102223353A (zh) * 2010-04-14 2011-10-19 华为技术有限公司 主机标识协议安全通道复用方法及装置
CN108234497A (zh) * 2018-01-05 2018-06-29 宝牧科技(天津)有限公司 一种基于hip协议的加密隧道通讯方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102223353A (zh) * 2010-04-14 2011-10-19 华为技术有限公司 主机标识协议安全通道复用方法及装置
CN108234497A (zh) * 2018-01-05 2018-06-29 宝牧科技(天津)有限公司 一种基于hip协议的加密隧道通讯方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
FAYEZ AL-SHRAIDEH等: "Host Identity Protocol", 《IEEE》 *
MADHUSANKA LIYANAGE等: "Enhancing Security of Software Defined Mobile Networks", 《IEEE》 *
MUHAMMAD BILAL等: "An Authentication Protocol for Future Sensor Networks", 《SENSORS》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11163539B2 (en) 2020-01-07 2021-11-02 International Business Machines Corporation Virtual detection and technical issue modification
CN111934888A (zh) * 2020-09-27 2020-11-13 南京可信区块链与算法经济研究院有限公司 一种改进软件定义网络的安全通信系统
CN111934888B (zh) * 2020-09-27 2021-03-02 南京可信区块链与算法经济研究院有限公司 一种改进软件定义网络的安全通信系统

Also Published As

Publication number Publication date
CN109600745B (zh) 2021-03-23

Similar Documents

Publication Publication Date Title
Wang et al. SDN-based handover authentication scheme for mobile edge computing in cyber-physical systems
Arbaugh et al. Your 80211 wireless network has no clothes
CN108429730A (zh) 无反馈安全认证与访问控制方法
CN104426837B (zh) Ftp的应用层报文过滤方法及装置
CN104780177B (zh) 物联网感知设备云端仿真系统的信息安全保障方法
CN104683343B (zh) 一种终端快速登录WiFi热点的方法
Shashidhara et al. A robust user authentication protocol with privacy-preserving for roaming service in mobility environments
Cui et al. Edge-intelligence-empowered, unified authentication and trust evaluation for heterogeneous beyond 5G systems
CN104038937A (zh) 一种适用于卫星移动通信网络的入网认证方法
CN107438074A (zh) 一种DDoS攻击的防护方法及装置
CN109691156A (zh) 无线装置的增强型聚合式重新认证
CN102231748A (zh) 一种客户端验证方法及装置
CN113849815A (zh) 一种基于零信任和机密计算的统一身份认证平台
CN109600745A (zh) 一种新型的5g蜂窝网信道安全系统及安全实现方法
CN100512108C (zh) 入网终端物理唯一性识别方法和终端接入认证系统
CN105959950A (zh) 一种无线接入系统及其连接方法
CN106789845A (zh) 一种网络数据安全传输的方法
CN101877852B (zh) 用户接入控制方法和系统
CN104852902A (zh) 基于改进Diameter/EAP-TLS协议的民航SWIM用户认证方法
Kovtsur et al. Investigation of attacks and methods of protection of wireless networks during authorization using the IEEE 802.1 x protocol
CN105828330A (zh) 一种接入方法及装置
CN103037369A (zh) 本地网协接入网络元件与终端设备的认证方法与装置
CN105790932B (zh) 一种通过使用机器码为基础的加密方法
CN114640512B (zh) 安全服务系统、访问控制方法和计算机可读存储介质
CN205693897U (zh) Lte电力无线专网的二次身份认证系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant