CN110602150B - 一种sdn节点间可信认证方法 - Google Patents

一种sdn节点间可信认证方法 Download PDF

Info

Publication number
CN110602150B
CN110602150B CN201910985245.7A CN201910985245A CN110602150B CN 110602150 B CN110602150 B CN 110602150B CN 201910985245 A CN201910985245 A CN 201910985245A CN 110602150 B CN110602150 B CN 110602150B
Authority
CN
China
Prior art keywords
sdn
trusted
authentication
trust
root
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910985245.7A
Other languages
English (en)
Other versions
CN110602150A (zh
Inventor
黄刚
刘强
柴萍萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chaoyue Technology Co Ltd
Original Assignee
Chaoyue Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chaoyue Technology Co Ltd filed Critical Chaoyue Technology Co Ltd
Priority to CN201910985245.7A priority Critical patent/CN110602150B/zh
Publication of CN110602150A publication Critical patent/CN110602150A/zh
Priority to PCT/CN2020/098582 priority patent/WO2021073147A1/zh
Application granted granted Critical
Publication of CN110602150B publication Critical patent/CN110602150B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1044Group management mechanisms 
    • H04L67/1053Group management mechanisms  with pre-configuration of logical or physical connections with a determined number of other peers
    • H04L67/1055Group management mechanisms  with pre-configuration of logical or physical connections with a determined number of other peers involving connection limits

Abstract

本发明公开了一种SDN节点间可信认证方法,该方法包括:在SDN控制器中集成可信根;通过可信根对期望接入SDN网络的SDN节点设备进行可信认证;允许通过可信认证的SDN节点设备接入该SDN网络。以可信根为起点,建立SDN节点设备的信任区块链。本发明提供技术方案,可以保证所有新接入SDN网络架构的SDN节点设备均已经过身份信息可信认证,通过集成可信根可以更安全有效地实现新接入SDN网络的SDN节点设备的可信性的确认。

Description

一种SDN节点间可信认证方法
技术领域
本发明涉及通信技术领域,具体地,涉及一种基于区块链技术的SDN节点间可信认证方法。
背景技术
软件定义网络(Software Defined Network,简称SDN)是一种新型的网络架构,随着互联网技术的快速发展,网络控制从硬件转向软件,结果是多个设备合并成一个SDN控制器,使网络工程师能够控制整个网络。SDN由于其通过使用控制器将网络控制平面与数据平面分离开来,提高了网络的管理和控制的能力,在很多行业都有良好的应用空间,而目前SDN存在首要的问题就是安全问题,应用环境下的如何确认新接入网络的SDN节点设备的可信性需要得以解决。
SDN中网络设备认证是指控制器对网络设备实施的认证,发生在网络设备接入SDN网络中的时候。目前,该类认证可以使用传统公钥和私钥的方法实施认证,即利用公钥基础设施完成网络设备和控制器的双向认证,毫无疑问这种认证方法是可行的。但是,由于需要利用公钥基础设施,这种认证方法建设和布置比较困难,认证时需要多次传递各实体的公钥信息。另外,传统网络设备认证在一些技术手段下存在人为进行破解的可能。随着SDN的推广和应用,控制器管理网络设备的数量逐渐增多,需要一种更加安全有效的设备认证方法。
发明内容
本发明的目的在于提供一种SDN节点间可信认证方法,用于解决现有认证技术中,传统公钥和私钥的认证方法建设和布置比较困难;传统网络设备认证在一些技术手段下存在人为进行破解的可能等问题。
基于上述目的,本发明提供一种SDN节点间可信认证方法,包括:在SDN控制器中集成可信根;通过可信根对期望接入SDN网络的SDN节点设备进行可信认证;允许通过可信认证的SDN节点设备接入SDN网络。
进一步地,在SDN控制器中集成可信根还包括:以可信根为起点,建立SDN节点设备的信任区块链。
进一步地,通过可信根对期望接入SDN网络的SDN节点设备进行可信认证的步骤进一步包括:将期望接入SDN网络的SDN节点设备在信任区块链上进行设备可信注册。
进一步地,可信认证包括由可信根对进行可信注册的SDN节点设备的身份信息的可信认证。
进一步地,还包括:响应于SDN节点设备的身份信息的可信认证通过,将SDN节点设备的可信确认信息加入信任区块链中。
进一步地,还包括:以信任区块链传递规则向下一个期待接入的SDN节点设备传递可信确认信息。
进一步地,还包括:下一个期待接入的SDN节点设备根据可信确认信息,继续对下一个期待接入的SDN节点设备进行可信认证。
进一步地,可信认证包括对静态可信性的认证。
进一步地,对SDN节点设备进行静态可信性认证的认证点包括:设备硬件、启动序列、控制器操作系统、控制器策略应用。
进一步地,可信根包括SDN控制器硬件平台集成的TCM模块。
本发明具有以下有益技术效果:本发明提供的SDN节点间可信认证方法可以保证所有新接入SDN网络架构的SDN节点设备均已经过身份信息可信认证,可以更安全有效地实现新接入SDN网络的SDN节点设备的可信性的确认。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明一实施例的SDN节点设备信息加入信任区块链的方法框图示意图。
图2为本发明一实施例的基于区块链技术的SDN节点间可信认证流程图示意图。
图3为根据本发明的方法的框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
本发明提供一种SDN节点间可信认证方法。
图1示出的是本发明一实施例的SDN节点设备信息加入信任区块链的方法框图示意图。
该方法的前提是SDN网络已经建立,且该SDN网络环境是可信任的环境。在该前提下,首先,SDN节点间可信认证方法包括以下步骤:
在SDN控制器中集成可信根;
通过可信根对期望接入SDN网络的SDN节点设备进行可信认证;
允许通过可信认证的SDN节点设备接入SDN网络。
在SDN控制器中集成可信根步骤中还包括:以可信根为起点,建立SDN节点设备的信任区块链100。
其中,在通过可信根对期望接入SDN网络的SDN节点设备进行可信认证101的步骤进一步包括:
将期望接入SDN网络的新SDN节点设备在信任区块链上申请设备可信注册。
在本发明的一实施例中,可信认证为可信根对进行可信注册的SDN节点设备的身份信息的可信认证。
根据本发明的一些实施例,响应于该新SDN节点设备的身份信息的可信认证通过,将该新SDN节点设备的可信确认信息加入信任区块链中。
根据本发明的进一步实施例,在信任区块链100中,下一个期待接入的SDN节点设备根据可信确认信息,继续按照“在SDN控制器中集成可信根;通过可信根对期望接入SDN网络的SDN节点设备进行可信认证;通过可信认证的SDN节点设备被允许接入SDN网络。”的步骤对下一个期待接入的SDN节点设备进行可信认证。
根据本发明的进一步实施例,方法还包括:SDN节点设备的可信确认信息加入信任区块链之后,以信任区块链传递规则向下一个期待接入的SDN节点设备传递可信确认信息。
根据本发明的一些实施例,可信SDN节点设备10的身份信息通过可信认证时,可信确认信息1加入信任区块链100中,并根据信任区块链传递规则将可信确认信息1向下一个期待加入的SDN节点设备20传递。SDN节点设备20通过可信认证101后变为可信节点设备20,继续将SDN节点设备20的可信确认信息2加入信任区块链100中,并依次向下进行传递,即后续期待加入该SDN网络的第n个SDN节点设备n0依次按照上述顺序根据第n-1个可信节点设备的可信确认信息n-1进行可信认证。区块链后台服务将整个信息数据块采用内置的杂凑密码算法生成该交换机节点的可信确认信息。
其中,可信认证包括对静态可信性的认证。对SDN节点设备进行静态可信性认证的认证点包括:设备硬件、启动序列、控制器操作系统、控制器策略应用等;
图2示出的是本发明一实施例的基于区块链技术的SDN节点间可信认证流程图示意图。
如图2所示,框201为在主SDN控制器中集成可信根;根据本发明的一些实施例,SDN控制器硬件平台集成TCM模块3作为可信根。以可信根为起点,建立SDN节点设备的信任区块链。
框202为期待接入该SDN网络的新SDN节点设备的接入请求。首先,期待接入该SDN网络的SDN节点设备首先在信任区块链上进行设备可信注册。在发明的一些实施例中,设备信息包括:生产日期、生产厂家、用户单位、管理部门、产品颜色、网络接口数、网络MAC地址信息、网络速率等等相关信息、启动序列、操作系统、策略信息、配置信息、部署位置、服务期限等等,信息进行表单填写,进行新节点设备注册申请;
后台服务将信息进行整合,之后通过可信根(例如TCM模块)对期望接入SDN网络的SDN节点设备进行可信认证,其中,可信认证是对静态可信性的认证。对SDN节点设备进行静态可信性认证的认证点包括:设备硬件、启动序列、控制器操作系统、控制器策略应用等。
若SDN节点设备的身份信息的可信认证通过,则SDN节点设备的可信确认信息加入信任区块链中。若SDN节点设备的身份信息的可信认证未通过,则SDN节点设备的可信确认信息被拒绝加入信任区块链中。
框203为判断SDN节点设备的可信确认信息是否在信任区块链上。当判断为“是”时,即SDN节点设备的可信确认信息在信任区块链上,则SDN节点设备被允许接入SDN网络;当判断为“否”时,即SDN节点设备的可信确认信息不在信任区块链上,则SDN节点设备被拒绝接入SDN网络。
其他设备按照上述方法逐一将其自身信息上区块链,这样无论哪一个设备的拥有者、或者有其他企图的非法用户,想要更改其中某一个设备的信息,就需要改动所有该设备节点之后的设备的相关确认信息,因为区块链的特点决定,这之间需要付出的代价太大,因此,区块链技术保证了所有想接入SDN网络且已经确认、并得到SDN控制器信任根身份验证的设备的唯一性。
最后需要说明的是,本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,基于应用创建存储卷镜像的方法的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。

Claims (4)

1.一种SDN节点间可信认证方法,其特征在于,所述方法包括:
在SDN控制器中集成可信根;
通过所述可信根对期望接入SDN网络的所述SDN节点设备进行可信认证;
允许通过所述可信认证的所述SDN节点设备接入所述SDN网络;
其中,所述在SDN控制器中集成可信根还包括:以可信根为起点,建立SDN节点设备的信任区块链;
所述通过所述可信根对期望接入SDN网络的所述SDN节点设备进行可信认证的步骤进一步包括:将期望接入所述SDN网络的所述SDN节点设备在所述信任区块链上进行设备可信注册;
所述可信认证包括由所述可信根对进行可信注册的所述SDN节点设备的身份信息的可信认证;
响应于所述SDN节点设备的身份信息的可信认证通过,将所述SDN节点设备的可信确认信息加入所述信任区块链中;
以信任区块链传递规则向下一个期待接入的SDN节点设备传递所述可信确认信息;
所述下一个期待接入的SDN节点设备根据所述可信确认信息,继续对所述下一个期待接入的SDN节点设备进行可信认证。
2.根据权利要求1所述的SDN节点间可信认证方法,其特征在于,所述可信认证包括对静态可信性的认证。
3.根据权利要求2所述的SDN节点间可信认证方法,其特征在于,对SDN节点设备进行静态可信性认证的认证点包括:设备硬件、启动序列、控制器操作系统、控制器策略应用。
4.根据权利要求1所述的SDN节点间可信认证方法,其特征在于,所述可信根包括SDN控制器硬件平台集成的TCM模块。
CN201910985245.7A 2019-10-16 2019-10-16 一种sdn节点间可信认证方法 Active CN110602150B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910985245.7A CN110602150B (zh) 2019-10-16 2019-10-16 一种sdn节点间可信认证方法
PCT/CN2020/098582 WO2021073147A1 (zh) 2019-10-16 2020-06-28 一种sdn节点间可信认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910985245.7A CN110602150B (zh) 2019-10-16 2019-10-16 一种sdn节点间可信认证方法

Publications (2)

Publication Number Publication Date
CN110602150A CN110602150A (zh) 2019-12-20
CN110602150B true CN110602150B (zh) 2021-11-16

Family

ID=68849756

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910985245.7A Active CN110602150B (zh) 2019-10-16 2019-10-16 一种sdn节点间可信认证方法

Country Status (2)

Country Link
CN (1) CN110602150B (zh)
WO (1) WO2021073147A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110602150B (zh) * 2019-10-16 2021-11-16 超越科技股份有限公司 一种sdn节点间可信认证方法
CN111586025B (zh) * 2020-04-30 2021-03-23 广州市品高软件股份有限公司 一种基于sdn的sdp安全组实现方法及安全系统
TWI740647B (zh) 2020-09-15 2021-09-21 宏碁股份有限公司 疾病分類方法及疾病分類裝置
CN112235797B (zh) * 2020-12-11 2021-03-09 信联科技(南京)有限公司 一种基于sdn的设备网络接入认证方法
CN116527408B (zh) * 2023-07-05 2023-09-08 中国电子科技集团公司第十五研究所 一种基于友邻总线的认证管理方法及应用

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103929422B (zh) * 2014-04-08 2017-01-25 北京工业大学 基于sdn的可信域间安全认证协议
US9509587B1 (en) * 2015-03-19 2016-11-29 Sprint Communications Company L.P. Hardware root of trust (HROT) for internet protocol (IP) communications
US10863558B2 (en) * 2016-03-30 2020-12-08 Schweitzer Engineering Laboratories, Inc. Communication device for implementing trusted relationships in a software defined network
CN105933245B (zh) * 2016-06-23 2020-04-28 北京工业大学 一种软件定义网络中安全的可信接入方法
US10318779B2 (en) * 2017-04-28 2019-06-11 Sensormatic Electronics Llc Systems and methods for robust protection of item authentication, tracking and tracing against tag duplication
CN107222478B (zh) * 2017-05-27 2019-09-17 暨南大学 基于区块链的软件定义网络控制层安全机制构建方法
CN107612731A (zh) * 2017-09-19 2018-01-19 北京工业大学 一种基于软件定义可信的网络切片生成与可信恢复系统
CN108702622A (zh) * 2017-11-30 2018-10-23 深圳前海达闼云端智能科技有限公司 移动网络接入认证方法、装置、存储介质及区块链节点
WO2019119278A1 (zh) * 2017-12-19 2019-06-27 深圳前海达闼云端智能科技有限公司 获取可信节点的方法、装置、存储介质及区块链节点
CN109525397B (zh) * 2018-10-12 2021-05-28 南京邮电大学 一种面向sdn网络流规则安全保障的区块链及方法
CN110602150B (zh) * 2019-10-16 2021-11-16 超越科技股份有限公司 一种sdn节点间可信认证方法

Also Published As

Publication number Publication date
WO2021073147A1 (zh) 2021-04-22
CN110602150A (zh) 2019-12-20

Similar Documents

Publication Publication Date Title
CN110602150B (zh) 一种sdn节点间可信认证方法
US11038682B2 (en) Communication method, apparatus and system, electronic device, and computer readable storage medium
CN108124505B (zh) 获取可信节点的方法、装置、存储介质及区块链节点
CN111742531B (zh) 简档信息共享
EP2337307B1 (en) Secure subscriber identity module service
KR101579814B1 (ko) 피어­투­피어 오버레이 네트워크들에서 액세스 제어를 가능하게 하는 것
AU2019211897B2 (en) Methods, application server, IoT device and media for implementing IoT services
US11425133B2 (en) System and method for network device security and trust score determinations
KR20170106515A (ko) 다중 팩터 인증 기관
EP2727311A1 (en) Facilitating group access control to data objects in peer- to-peer overlay networks
EP3674938A2 (en) Identifying computing processes on automation servers
CN109005032B (zh) 一种路由方法和装置
CN102223420A (zh) 一种面向多媒体社交网络的数字内容分发方法
CN112231692A (zh) 安全认证方法、装置、设备及存储介质
EP3598333A1 (en) Electronic device update management
EP4260512A1 (en) Remote management of hardware security modules
US7010690B1 (en) Extensible system for building and evaluating credentials
Hamad et al. A framework for policy based secure intra vehicle communication
CN108833334B (zh) 一种数字家庭网络的设备安全接入系统及方法
CN110771087B (zh) 私钥更新
CN114268437A (zh) 数据处理方法、区块链节点、系统和计算机可读存储介质
US20210011710A1 (en) Electronic device management
CN115438353A (zh) 一种用户数据管理方法以及相关设备
WO2020191027A1 (en) Chained trusted platform modules (tpms) as a secure bus for pre-placement of device capabilities
KR20180049455A (ko) 차량용 모듈의 정품 인증 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 250104 No. 2877 Kehang Road, Sun Village Town, Jinan High-tech Zone, Shandong Province

Applicant after: Chaoyue Technology Co.,Ltd.

Address before: 250104 No. 2877 Kehang Road, Sun Village Town, Jinan High-tech Zone, Shandong Province

Applicant before: SHANDONG CHAOYUE DATA CONTROL ELECTRONICS Co.,Ltd.

GR01 Patent grant
GR01 Patent grant