CN110753055B - 基于sdn的源地址认证方法 - Google Patents
基于sdn的源地址认证方法 Download PDFInfo
- Publication number
- CN110753055B CN110753055B CN201911022481.5A CN201911022481A CN110753055B CN 110753055 B CN110753055 B CN 110753055B CN 201911022481 A CN201911022481 A CN 201911022481A CN 110753055 B CN110753055 B CN 110753055B
- Authority
- CN
- China
- Prior art keywords
- host
- certificate
- authentication
- request
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明公开了一种基于SDN的源地址认证方法,涉及计算机技术领域。本发明基于SDN技术,通过OpenFlow协议,以及Floodlight控制器上自行配置的证书认证器与RADIUS服务器的联动实现了接入主机的身份认证即源地址认证,从而达到保证通信双方都为安全用户的目的,本发明兼容IPv4或IPv6网络环境。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及网络数字证书认证和SDN控制器上层应用模块的实现,更具体地说涉及一种基于SDN的源地址认证方法。
背景技术
网络通信安全由于信息发送源的认证技术不完善性,一直以来都被黑客视作伪装攻击的重点突破口,这也一直是网络安全领域的研究热点。
随着计算机网络和通信技术的不断演变发展,全世界范围内的线上通信交流几乎已经成了人类的日常主题。截止2018年11月,线上通信软件“微信”全球用户数量高达10亿,“Whats”和“Facebook”活跃用户甚至分别达到了15亿和13亿。通信应用的迅速普及,信息欺诈的现象层出不穷,不法分子通过各种手段对身份进行伪装,实行财产诈骗或者隐私窃取,人民群众对通信安全的要求日益提高。
传统通信技术存在着比较明显的缺点:1、通信双方源IP地址没有检测机制,易被黑客伪装攻击;2、网络中只能按包IP地址进行转发,无法抵挡DoS攻击,服务器资源被恶意占用;3、传统网络计算能力差,缺乏全局控制。
SDN最早起源于斯坦福大学的clean state项目,它是一种创新的网络体系架构,其核心思想是把转发平面和控制平面解耦,通过集中式的控制器并使用标准的接口对各种不同的网络设备进行管理。目前,OpenFlow作为标准的接口已经得到广泛使用,中心控制器通过OpenFlow协议实现对物理交换机的精细化监测和管理。同时,SDN具有天然的网络虚拟化的优势,特别是对于数据中心的网络虚拟化应用。出于部署的要求,虚拟化要求具有集中式控制的网络架构,而SDN网络恰恰就是一种集中式管理的网络架构。
发明内容
为了克服上述现有技术中存在的缺陷和不足,本发明提供了一种基于SDN的源地址认证方法,本发明的发明目的在于解决上述现有技术中存在的IP地址没有检测机制易被黑客伪装攻击;网络中只能按包IP地址进行换发,无法抵挡DOS攻击,服务器资源被恶意占用;计算能力差,缺乏全局控制的问题。本发明基于SDN技术,通过OpenFlow协议,以及Floodlight控制器上自行配置的证书认证器与RADIUS服务器的联动实现了接入主机的身份认证即源地址认证,从而达到保证通信双方都为安全用户的目的,本发明兼容IPv4或IPv6网络环境。
为了解决上述现有技术中存在的问题,本发明是通过下述技术方案实现的:
基于SDN的源地址认证方法,其特征在于:包括以下步骤:
步骤1:网络初始化步骤,启动Floodlight控制器,Floodlight控制器的拓扑发现模块通过发送LLDP(Link Layer Discovery Protocol)包,探测SDN网络中交换机与交换机的链路、交换机与主机的链路;
步骤2:发送认证请求步骤:请求主机在接入网络之后完成证书认证,即请求主机先发送一个IEEE802.1X标准的请求到交换机;
步骤3:控制器接收并转发步骤:交换机将请求主机发送的认证请求发送到Floodlight控制器,Floodlight控制器对接收到的请求包进行判断,判断接收到的请求包是否为IEEE802.1X标准,若为IEEE802.1X标准则将其重定向转发至证书认证器;
步骤4:证书认证器响应步骤:证书认证器接收到认证请求后,响应该请求主机,通过与该请求主机连接的交换机直接告知该请求主机,证书认证器已经接收到请求,告知该请求主机发送其通信证书;
步骤5:证书发送及认证:请求主机接收到证书认证器的响应后,通过与其连接的交换机发送其通信证书给证书认证器,证书认证器运行EAP(Extensible AuthenticationProtocol)中定义的认证方法,根据RADIUS服务器检查请求主机的证书;
步骤6:认证判断步骤:若认证成功,则证书认证器发送成功消息给请求主机,通知请求主机进行数据包的发送和接收,同时证书认证器向Floodlight控制器发送一个已认证与确认消息,告知Floodlight控制器该请求主机已经是一个合法访问网络资源的主机;若认证失败,则证书认证器发送失败消息给证书认证器,并等待主机重新发送合法证书,重复认证工作;若超过等待时间主机依然没有发生证书,则认证过程终止;
步骤7:Floodlight控制器接收到从证书认证器发送的已认证与确认消息后,运行在Floodlight控制器上层的主机访问管理应用程序,通过确认消息中携带的被认证的请求主机的MAC地址,标记该请求主机可以访问网络资源,且可以下发与之相关的接收或发出报文;
步骤8:安全通信步骤:认证成功之后进行安全通信;请求主机通过证书认证之后,即可以发送通信数据包;若目的主机也通过证书认证,则正常下发转发流表,通信正常进行;若目的主机没有通过证书认证,则有关该目的主机MAC地址的流表项不允许下发,通信失败,即数据包可以正常发生,但转发过程中会被丢失;
步骤9:源主机发送通信结束消息,Floodlight控制器消除通信双发相关的流表项,主机访问管理应用程序收回双方访问网络资源的权限,通信结束。
所述步骤2中请求主机发送请求到被认证之前所处的状态为Pending。
所述步骤3中Floodlight控制器根据接收包的类型作出相应的响应,若接收包为IEEE802.1X标准数据包时,则认定为认证请求,Floodlight控制器直接将接收到的数据包转发给证书认证器。
所述步骤4中所述的证书是由第三方为合法通信主机提供的加密证书。仅仅由合法主机才会拥有该证书,伪造难度极大。
所述步骤5中使用的EAP是将请求主机与RADIUS认证服务器之间交换的请求认证信息压缩的协议。
所述步骤8中下发的流表存在一个生存周期,若一段时间内,没有使用该流表,则会被自动清除,清除之后若还要通信,则需要重新发起一次证书认证流程。
所述步骤9中,通信结束后,若重新执行通信过程,则需要重新执行认证流程。
与现有技术相比,本发明所带来的有益的技术效果变现在:
1、本发明能够在SDN交换机中以硬件的方式进行流量复制和修改报文中的相应字段,相对于传统TCP代理(以软件的方式进行流量复制和修改)的模式来说,性能大大提高。
2、本发明基于SDN的源地址认证技术,提高了SDN网络中的通信安全性能。首先,需要配置网络环境,采用专用的SDN控制器和SDN交换机,并且在SDN控制器上层部署主机访问管理应用程序模块,将证书认证器与RADIUS服务器连接起来。请求通信主机要先通过交换机、控制器的转发与证书认证器之间经过证书认证交换的报文,证书认证成功之后认证器则会通知控制器该主机已经成功认证,控制器之上的主机访问管理应用程序则依据MAC地址授予该主机访问网络资源的权限,通信双发主机必须都要完成证书认证之后控制器才会下发正常转发的流表。当通信完成之后,主机访问管理应用程序会收回通信双方访问网络资源的权限,清除通信流表。
3、本发明能够发挥SDN网络中控制器时刻监测网络状态的优势,能够对动态变化的网络做出及时的路由调整。
4、本发明通过控制器上层的主机访问控制器,经过合法证书认证的过程之后,合理分配网络资源的访问权限,且收回权限极为方便,有效的防止了当前传统网络中普遍存在的DDoS攻击。
5、证书认证器与控制器的认证通道通过SSL3.0(Secure Socket Layer) 交互报文,保证了通信安全。
附图说明
图1为本发明一种基于SDN源地址认证方法的系统架构图。
具体实施方式
下面结合说明书附图,对本发明的技术方案作出进一步详细地阐述。
如说明书附图1,本发明的基于SDN源地址认证方法的系统架构图所示,本发明基于SDN源地址认证方法的系统架构主要分为四个部分:OpenFlow控制器、证书认证器、RADIUS服务器和SDN网络。
OpenFlow控制器采用的是由BigSwitch公司研发的开源控制器FloodlightV1.2,在控制器上主要部署了主机访问管理应用程序、拓扑管理模块。主机访问管理应用程序是通过北向接口与控制器通信的上层应用,主要管理终端机访问网络资源的权限,管理着是否允许网络数据流进入或者流出某个主机;拓扑管理模块是由控制器提供的内部模块,主要用于SDN网络中链路发现功能。
证书认证器处于整个系统架构的核心位置,连接着SDN控制器、SDN网络交换机和RADIUS服务器。主要是将控制器转发过来的IEEE 802.1X标准的消息转译成RADIUS包并转发给RADIUS服务器,并把RADIUS的处理结果转发给控制器和主机。
RADIUS服务器主要是提供各类合法证书的匹配库,并且能够根据所拥有的证书库检测接收到的RADIUS包中请求主机的主机是否合法并反馈消息给证书认证器。
本实施例SDN交换机采用OpenVSwitch2.4版本和DELL S3048-ON系列交换机,控制器采用Floodlight V1.2版本,整个系统的工作流程如下:
步骤1 网络初始化。启动Floodlight控制器,初始情况所有终端主机在链路上都是无法发送和接收数据包的。Floodlight的拓扑发现模块通过发送LLDP(Link LayerDiscovery Protocol)包,探测SDN网络中交换机与交换机的链路,交换机与主机的链路。
步骤2发送认证请求。主机若想在该网络中实现安全通信,则需要在接入网络之后完成证书认证,需要先发送一个IEEE 802.1X标准的请求到交换机。
步骤3控制器接收并转发。交换机将认证请求发送至控制器,控制器发现接收的包为IEEE 802.1X标准,则将其重定向转发至证书认证器。
步骤4证书认证器响应。证书认证器接收到认证请求之后,会响应该请求主机,通过与之连接的交换机直接告知它已经接收请求,让其发送它的通信证书。
步骤5证书发送及认证。主机接收到证书认证器的相应之后,通过交换机直接发送通信证书给证书认证器,证书认证器运行EAP(Extensible Authentication Protocol)中定义的认证方法,根据RADIUS服务器检查请求主机的证书。
步骤6认证成功:证书认证器发送成功消息给请求主机以通知其可以进行数据包的发送和接受了,同时也给控制器发送一个已认证与确认消息,告知控制器该请求主机已经是一个合法访问网络资源的主机了;认证失败:证书认证器发送失败消息给证书认证器,并等待主机重新发送合法证书,重复认证工作,如果超过等待时间依然没有发送,则该认证过程终止。
步骤7控制器接收到从证书认证器发送的已认证与确认消息后,运行在控制器上层的主机访问管理应用程序通过该消息中携带的被认证的主机的MAC地址,标记该主机可以访问网络资源,且可以下发与之相关的接收或发出报文。
步骤8认证成功之后进行安全通信。主机通过证书认证之后,既可以发送通信数据包。如果目的主机也已经通过证书认证,则转发流表可以正常下发,通信可以正常进行;如果目的主机没有通过证书认证,则有关该目的主机MAC地址的流表项不允许下发,通信会失败,即数据包可以正常发送,但转发过程中会被丢弃。
步骤9源主机发送通信结束消息,控制器消除通信双发相关的流表项,主机访问管理应用程序收回双方访问网络资源的权限,通信结束。若要重新执行通信过程,则需要重新执行认证过程。
作为本发明又一实施方式,所述步骤2中请求主机发送请求到被认证之前所处的状态为Pending。
作为本发明又一实施方式,所述步骤3中Floodlight控制器根据接收包的类型作出相应的响应,若接收包为IEEE802.1X标准数据包时,则认定为认证请求,Floodlight控制器直接将接收到的数据包转发给证书认证器。
作为本发明又一实施方式,所述步骤4中所述的证书是由第三方为合法通信主机提供的加密证书。仅仅由合法主机才会拥有该证书,伪造难度极大。
作为本发明又一实施方式,所述步骤5中使用的EAP是将请求主机与RADIUS认证服务器之间交换的请求认证信息压缩的协议。
作为本发明又一实施方式,所述步骤8中下发的流表存在一个生存周期,若一段时间内,没有使用该流表,则会被自动清除,清除之后若还要通信,则需要重新发起一次证书认证流程。
作为本发明又一实施方式,所述步骤9中,通信结束后,若重新执行通信过程,则需要重新执行认证流程。
Claims (7)
1.基于SDN的源地址认证方法,其特征在于:包括以下步骤:
步骤1:网络初始化步骤,启动Floodlight控制器,Floodlight控制器的拓扑发现模块通过发送LLDP(Link Layer Discovery Protocol)包,探测SDN网络中交换机与交换机的链路、交换机与主机的链路;
步骤2:发送认证请求步骤:请求主机在接入网络之后完成证书认证,即请求主机先发送一个IEEE802.1X标准的请求到交换机;
步骤3:控制器接收并转发步骤:交换机将请求主机发送的认证请求发送到Floodlight控制器,Floodlight控制器对接收到的请求包进行判断,判断接收到的请求包是否为IEEE802.1X标准,若为IEEE802.1X标准则将其重定向转发至证书认证器;
步骤4:证书认证器响应步骤:证书认证器接收到认证请求后,响应该请求主机,通过与该请求主机连接的交换机直接告知该请求主机,证书认证器已经接收到请求,告知该请求主机发送其通信证书;
步骤5:证书发送及认证:请求主机接收到证书认证器的响应后,通过与其连接的交换机发送其通信证书给证书认证器,证书认证器运行EAP(Extensible AuthenticationProtocol)中定义的认证方法,根据RADIUS服务器检查请求主机的证书;
步骤6:认证判断步骤:若认证成功,则证书认证器发送成功消息给请求主机,通知请求主机进行数据包的发送和接收,同时证书认证器向Floodlight控制器发送一个已认证与确认消息,告知Floodlight控制器该请求主机已经是一个合法访问网络资源的主机;若认证失败,则证书认证器发送失败消息给请求主机,并等待请求主机重新发送合法证书,重复认证工作;若超过等待时间请求主机依然没有发送证书,则认证过程终止;
步骤7:Floodlight控制器接收到从证书认证器发送的已认证与确认消息后,运行在Floodlight控制器上层的主机访问管理应用程序,通过确认消息中携带的被认证的请求主机的MAC地址,标记该请求主机可以访问网络资源,且可以下发与之相关的接收或发出报文;
步骤8:安全通信步骤:认证成功之后进行安全通信;请求主机通过证书认证之后,即可以发送通信数据包;若目的主机也通过证书认证,则正常下发转发流表,通信正常进行;若目的主机没有通过证书认证,则有关该目的主机MAC地址的流表项不允许下发,通信失败,即数据包可以正常发送,但转发过程中会被丢失;
步骤9:源主机发送通信结束消息,Floodlight控制器消除通信双方相关的流表项,主机访问管理应用程序收回双方访问网络资源的权限,通信结束。
2.如权利要求1所述的基于SDN的源地址认证方法,其特征在于:所述步骤2中请求主机发送请求到被认证之前所处的状态为Pending。
3.如权利要求1所述的基于SDN的源地址认证方法,其特征在于:所述步骤3中Floodlight控制器根据接收包的类型作出相应的响应,若接收包为IEEE802.1X标准数据包时,则认定为认证请求,Floodlight控制器直接将接收到的数据包转发给证书认证器。
4.如权利要求1所述的基于SDN的源地址认证方法,其特征在于:所述步骤4中所述的证书是由第三方为合法通信主机提供的加密证书。
5.如权利要求1所述的基于SDN的源地址认证方法,其特征在于:所述步骤5中使用的EAP是将请求主机与RADIUS认证服务器之间交换的请求认证信息压缩的协议。
6.如权利要求1所述的基于SDN的源地址认证方法,其特征在于:所述步骤8中下发的流表存在一个生存周期,若一段时间内,没有使用该流表,则会被自动清除,清除之后若还要通信,则需要重新发起一次证书认证流程。
7.如权利要求1所述的基于SDN的源地址认证方法,其特征在于:所述步骤9中,通信结束后,若重新执行通信过程,则需要重新执行认证流程。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911022481.5A CN110753055B (zh) | 2019-10-25 | 2019-10-25 | 基于sdn的源地址认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911022481.5A CN110753055B (zh) | 2019-10-25 | 2019-10-25 | 基于sdn的源地址认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110753055A CN110753055A (zh) | 2020-02-04 |
CN110753055B true CN110753055B (zh) | 2021-04-16 |
Family
ID=69280003
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911022481.5A Active CN110753055B (zh) | 2019-10-25 | 2019-10-25 | 基于sdn的源地址认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110753055B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102740298A (zh) * | 2012-07-20 | 2012-10-17 | 北京傲天动联技术有限公司 | 混合认证方法以及无线接入控制器 |
CN103929422A (zh) * | 2014-04-08 | 2014-07-16 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
WO2017186316A1 (en) * | 2016-04-27 | 2017-11-02 | Nec Europe Ltd. | Method for controlling a network |
CN108134675A (zh) * | 2017-12-18 | 2018-06-08 | 北京特立信电子技术股份有限公司 | 基于sdn网络的控制、数据平面设备及其认证方法与系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101296509B (zh) * | 2007-04-28 | 2012-12-12 | 华为技术有限公司 | 紧急通信业务实现方法、系统及其相关设备 |
CN103944746B (zh) * | 2013-01-23 | 2018-10-09 | 新华三技术有限公司 | 一种双机热备的方法及装置 |
CN107222433B (zh) * | 2017-04-18 | 2019-12-10 | 中国科学院信息工程研究所 | 一种基于sdn网络路径的访问控制方法及系统 |
-
2019
- 2019-10-25 CN CN201911022481.5A patent/CN110753055B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102740298A (zh) * | 2012-07-20 | 2012-10-17 | 北京傲天动联技术有限公司 | 混合认证方法以及无线接入控制器 |
CN103929422A (zh) * | 2014-04-08 | 2014-07-16 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
WO2017186316A1 (en) * | 2016-04-27 | 2017-11-02 | Nec Europe Ltd. | Method for controlling a network |
CN108134675A (zh) * | 2017-12-18 | 2018-06-08 | 北京特立信电子技术股份有限公司 | 基于sdn网络的控制、数据平面设备及其认证方法与系统 |
Non-Patent Citations (2)
Title |
---|
"ARP Poisoning Prevention in Internet of Things";Weihua Gao等;《2018 9th International Conference on Information Technology in Medicine and Education (ITME)》;20181231;全文 * |
"专用网络中终端安全接入系统的设计与实现";林钰超;《中国优秀硕士学位论文全文数据库 信息科技辑》;20160331(第3期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110753055A (zh) | 2020-02-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5000501B2 (ja) | 動的ホスト構成およびネットワークアクセス認証 | |
JP3845086B2 (ja) | 制御されたマルチキャストのシステム及び実行方法 | |
US7421578B1 (en) | Method and apparatus for electing a leader node in a computer network | |
EP2346205B1 (en) | A method and device for preventing network attack | |
Wu et al. | Source address validation: Architecture and protocol design | |
CN106209897B (zh) | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 | |
WO2009082889A1 (fr) | Procédé de négociation pour échange de clés internet et dispositif et système associés | |
WO2005024567A2 (en) | Network communication security system, monitoring system and methods | |
WO2015070626A1 (zh) | 网络协同防御方法、装置和系统 | |
CN104426837A (zh) | Ftp的应用层报文过滤方法及装置 | |
US8787383B2 (en) | Method, apparatus, system, and article of manufacture for providing distributed convergence nodes in a communication network environment | |
WO2013056628A1 (zh) | 实现心跳机制的方法、应用服务器、网络数据库及系统 | |
WO2007019809A1 (fr) | Procede et systeme d'etablissement d'un canal direct point par point | |
Raza et al. | vepc-sec: Securing lte network functions virtualization on public cloud | |
WO2011079650A1 (zh) | 即时通讯控制的实现方法和系统 | |
CN111614596B (zh) | 一种基于IPv6隧道技术的远程设备控制方法及系统 | |
WO2009135422A1 (zh) | 一种QinQ内广播的实现方法和装置 | |
WO2011082583A1 (zh) | 数据报文分类处理的实现方法、网络、终端及互通服务节点 | |
WO2013071821A1 (zh) | 一种安全策略下发方法及实现该方法的网元和系统 | |
WO2008052475A1 (fr) | Procédé, système et dispositif pour une authentification de multidiffusion | |
CN110753055B (zh) | 基于sdn的源地址认证方法 | |
CN1518289B (zh) | 一种基于以太网交换机的安全过滤方法 | |
KR20170038568A (ko) | Sdn 컨트롤러 및 sdn 컨트롤러에서의 스위치 식별 방법 | |
CN102447710A (zh) | 一种用户访问权限控制方法及系统 | |
WO2016082363A1 (zh) | 用户数据管理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |