CN110855693A - 一种基于cnn的网络认证方法及系统 - Google Patents
一种基于cnn的网络认证方法及系统 Download PDFInfo
- Publication number
- CN110855693A CN110855693A CN201911134846.3A CN201911134846A CN110855693A CN 110855693 A CN110855693 A CN 110855693A CN 201911134846 A CN201911134846 A CN 201911134846A CN 110855693 A CN110855693 A CN 110855693A
- Authority
- CN
- China
- Prior art keywords
- controller
- switch
- network
- trusted authority
- digital signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于CNN的网络认证方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;通过改进卷积神经网络CNN分析模型,克服了传统CNN模型的池化操作缺陷。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于CNN的网络认证方法及系统。
背景技术
现有的SDN网络中控制器与交换机之间不强制建立TLS安全通道,并且默认状态为非开启状态,使得网络变得脆弱,控制器与交换机之间可能出现明文通信,任何第三方都可以截获或者修改双方的通信内容,容易受到中间人的攻击。控制器与交换机之间缺乏对证书的验证,攻击者容易截取控制器发送给交换机的请求,伪装成控制器与交换机进行通信,从而获得交换机与控制器之间通信的所有内容。
同时,SDN网络系统使用的卷积神经网络CNN中某些层的特性不适用于对网络流量的学习,其池化操作的特性不利于流量分析。
所以急需一种针对性改进SDN网络漏洞的安全认证方法和系统。
发明内容
本发明的目的在于提供一种基于CNN的网络认证方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;通过改进卷积神经网络CNN分析模型,克服了传统CNN模型的池化操作缺陷。
第一方面,本申请提供一种基于CNN的网络认证方法,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
根据网络流量数据的类型,将CNN分析模型的网络输入层确定为1×13的向量,将网络中所有的操作修改为对一维数据的操作;根据任务的不同,确定网络输出层的神经元的数量;
使用主成分分析法PCA将数据集的全部特征映射到某一个数值个的特征的空间中,CNN分析模型从该空间中读取和学习,将处理好的数据输入网络并输出分类结果;
使用损失函数计算得到的输出向量与真实标注之间的误差值,求解出CNN分析模型在每一层的偏导,根据偏导的值优化CNN分析模型中的参数;
当CNN分析模型的准确度达到阈值后,停止训练,保存模型参数;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
SDN数据集收集完毕后,根据SDN网络流量和攻击特征向量,加载CNN分析模型,检测SDN数据集中是否存在网络攻击。
结合第一方面,在第一方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第一方面,在第一方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第一方面,在第一方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
第二方面,本申请提供一种基于CNN的网络认证系统,所述系统包括:网关服务器、分析服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述分析服务器根据网络流量数据的类型,将CNN分析模型的网络输入层确定为1×13的向量,将网络中所有的操作修改为对一维数据的操作;根据任务的不同,确定网络输出层的神经元的数量;使用主成分分析法PCA将数据集的全部特征映射到某一个数值个的特征的空间中,CNN分析模型从该空间中读取和学习,将处理好的数据输入网络并输出分类结果;使用损失函数计算得到的输出向量与真实标注之间的误差值,求解出CNN分析模型在每一层的偏导,根据偏导的值优化CNN分析模型中的参数;当CNN分析模型的准确度达到阈值后,停止训练,保存模型参数
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
SDN数据集收集完毕后,根据SDN网络流量和攻击特征向量,加载CNN分析模型,检测SDN数据集中是否存在网络攻击。
结合第二方面,在第二方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第二方面,在第二方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第二方面,在第二方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
本发明提供一种基于CNN的网络认证方法及系统,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;通过改进卷积神经网络CNN分析模型,克服了传统CNN模型的池化操作缺陷。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于CNN的网络认证方法的流程图;
图2为本发明基于CNN的网络认证系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的基于CNN的网络认证方法的流程图,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
根据网络流量数据的类型,将CNN分析模型的网络输入层确定为1×13的向量,将网络中所有的操作修改为对一维数据的操作;根据任务的不同,确定网络输出层的神经元的数量;
使用主成分分析法PCA将数据集的全部特征映射到某一个数值个的特征的空间中,CNN分析模型从该空间中读取和学习,将处理好的数据输入网络并输出分类结果;
使用损失函数计算得到的输出向量与真实标注之间的误差值,求解出CNN分析模型在每一层的偏导,根据偏导的值优化CNN分析模型中的参数;
当CNN分析模型的准确度达到阈值后,停止训练,保存模型参数;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
SDN数据集收集完毕后,根据SDN网络流量和攻击特征向量,加载CNN分析模型,检测SDN数据集中是否存在网络攻击。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
图2为本申请提供的基于CNN的网络认证系统的架构图,所述系统包括:网关服务器、分析服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述分析服务器根据网络流量数据的类型,将CNN分析模型的网络输入层确定为1×13的向量,将网络中所有的操作修改为对一维数据的操作;根据任务的不同,确定网络输出层的神经元的数量;使用主成分分析法PCA将数据集的全部特征映射到某一个数值个的特征的空间中,CNN分析模型从该空间中读取和学习,将处理好的数据输入网络并输出分类结果;使用损失函数计算得到的输出向量与真实标注之间的误差值,求解出CNN分析模型在每一层的偏导,根据偏导的值优化CNN分析模型中的参数;当CNN分析模型的准确度达到阈值后,停止训练,保存模型参数
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
SDN数据集收集完毕后,根据SDN网络流量和攻击特征向量,加载CNN分析模型,检测SDN数据集中是否存在网络攻击。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (8)
1.一种基于CNN的网络认证方法,其特征在于,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
根据网络流量数据的类型,将CNN分析模型的网络输入层确定为1×13的向量,将网络中所有的操作修改为对一维数据的操作;根据任务的不同,确定网络输出层的神经元的数量;
使用主成分分析法PCA将数据集的全部特征映射到某一个数值个的特征的空间中,CNN分析模型从该空间中读取和学习,将处理好的数据输入网络并输出分类结果;
使用损失函数计算得到的输出向量与真实标注之间的误差值,求解出CNN分析模型在每一层的偏导,根据偏导的值优化CNN分析模型中的参数;
当CNN分析模型的准确度达到阈值后,停止训练,保存模型参数;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
SDN数据集收集完毕后,根据SDN网络流量和攻击特征向量,加载CNN分析模型,检测SDN数据集中是否存在网络攻击。
2.根据权利要求1所述的方法,其特征在于,所述数字签名证书采用了哈希运算。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
5.一种基于CNN的网络认证系统,其特征在于,所述系统包括:网关服务器、分析服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述分析服务器根据网络流量数据的类型,将CNN分析模型的网络输入层确定为1×13的向量,将网络中所有的操作修改为对一维数据的操作;根据任务的不同,确定网络输出层的神经元的数量;使用主成分分析法PCA将数据集的全部特征映射到某一个数值个的特征的空间中,CNN分析模型从该空间中读取和学习,将处理好的数据输入网络并输出分类结果;使用损失函数计算得到的输出向量与真实标注之间的误差值,求解出CNN分析模型在每一层的偏导,根据偏导的值优化CNN分析模型中的参数;当CNN分析模型的准确度达到阈值后,停止训练,保存模型参数
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信;
SDN数据集收集完毕后,根据SDN网络流量和攻击特征向量,加载CNN分析模型,检测SDN数据集中是否存在网络攻击。
6.根据权利要求5所述的系统,其特征在于,所述数字签名证书采用了哈希运算。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911134846.3A CN110855693A (zh) | 2019-11-19 | 2019-11-19 | 一种基于cnn的网络认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911134846.3A CN110855693A (zh) | 2019-11-19 | 2019-11-19 | 一种基于cnn的网络认证方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110855693A true CN110855693A (zh) | 2020-02-28 |
Family
ID=69602609
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911134846.3A Pending CN110855693A (zh) | 2019-11-19 | 2019-11-19 | 一种基于cnn的网络认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110855693A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111382455A (zh) * | 2020-03-18 | 2020-07-07 | 北京丁牛科技有限公司 | 一种文件保护方法及装置 |
CN114389916A (zh) * | 2022-01-20 | 2022-04-22 | 迈普通信技术股份有限公司 | 一种组网通信方法、装置、系统及网络设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
CN109309565A (zh) * | 2017-07-28 | 2019-02-05 | 中国移动通信有限公司研究院 | 一种安全认证的方法及装置 |
-
2019
- 2019-11-19 CN CN201911134846.3A patent/CN110855693A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
CN109309565A (zh) * | 2017-07-28 | 2019-02-05 | 中国移动通信有限公司研究院 | 一种安全认证的方法及装置 |
CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
Non-Patent Citations (1)
Title |
---|
孟庆月: "《SDN网络南向安全防护系统研究与实现》", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111382455A (zh) * | 2020-03-18 | 2020-07-07 | 北京丁牛科技有限公司 | 一种文件保护方法及装置 |
CN111382455B (zh) * | 2020-03-18 | 2023-05-26 | 北京丁牛科技有限公司 | 一种文件保护方法及装置 |
CN114389916A (zh) * | 2022-01-20 | 2022-04-22 | 迈普通信技术股份有限公司 | 一种组网通信方法、装置、系统及网络设备 |
CN114389916B (zh) * | 2022-01-20 | 2023-12-15 | 迈普通信技术股份有限公司 | 一种组网通信方法、装置、系统及网络设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA3017401C (en) | Methods and systems for managing network activity using biometrics | |
US10721075B2 (en) | Web of trust management in a distributed system | |
US7526654B2 (en) | Method and system for detecting a secure state of a computer system | |
CN110808836A (zh) | 一种网络认证攻击预测方法及系统 | |
CN110855695A (zh) | 一种改进的sdn网络安全认证方法及系统 | |
US11558399B2 (en) | Network transmission path verification | |
EP3550786B1 (en) | Certificate acquisition method, authentication method and network device | |
EP2304636A1 (en) | Mobile device assisted secure computer network communications | |
CN105490997B (zh) | 安全校验方法、装置、终端及服务器 | |
WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
US10812272B1 (en) | Identifying computing processes on automation servers | |
CN110839036A (zh) | 一种sdn网络的攻击检测方法及系统 | |
CN110929231A (zh) | 数字资产的授权方法、装置和服务器 | |
KR102336605B1 (ko) | 악성 트래픽 검출 방법 및 그 장치 | |
CN110855693A (zh) | 一种基于cnn的网络认证方法及系统 | |
US20210035018A1 (en) | Apparatus for verifying integrity of AI learning data and method therefor | |
CN111585995A (zh) | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 | |
CN110839037A (zh) | 一种sdn网络的攻击场景挖掘方法及系统 | |
CN110650012A (zh) | 一种改进的sdn网络攻击检测方法及系统 | |
US11245684B2 (en) | User enrollment and authentication across providers having trusted authentication and identity management services | |
CN110855694A (zh) | 一种改进的网络认证检测方法及系统 | |
CN112422292B (zh) | 一种网络安全防护方法、系统、设备及存储介质 | |
CN110830498A (zh) | 一种基于挖掘的持续攻击检测方法及系统 | |
CN111083164A (zh) | 工业控制系统的安全防护方法和相关设备 | |
CN116599650B (zh) | 一种密文去重方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200228 |