CN110933674A - 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法 - Google Patents

基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法 Download PDF

Info

Publication number
CN110933674A
CN110933674A CN201911266741.3A CN201911266741A CN110933674A CN 110933674 A CN110933674 A CN 110933674A CN 201911266741 A CN201911266741 A CN 201911266741A CN 110933674 A CN110933674 A CN 110933674A
Authority
CN
China
Prior art keywords
controller
mobile node
message
key
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911266741.3A
Other languages
English (en)
Other versions
CN110933674B (zh
Inventor
于金萍
毕经平
李新
王建斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Computing Technology of CAS
Beijing Institute of Electronic System Engineering
Original Assignee
Institute of Computing Technology of CAS
Beijing Institute of Electronic System Engineering
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Computing Technology of CAS, Beijing Institute of Electronic System Engineering filed Critical Institute of Computing Technology of CAS
Priority to CN201911266741.3A priority Critical patent/CN110933674B/zh
Publication of CN110933674A publication Critical patent/CN110933674A/zh
Application granted granted Critical
Publication of CN110933674B publication Critical patent/CN110933674B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开一种基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法,包括:当移动节点初始加入基于SDN的Ad Hoc网络时,实现基于对称密钥技术的SDN控制层和移动节点间的相互认证;认证通过的移动节点加入到网络后自动配置控制层和移动节点间的安全通道;安全通道的配置过程中,始终采用对称密钥加密用于通信通道配置的消息,以保证消息的安全性;认证通过的同时,基于RTT时钟同步,SDN控制器可依据网络态势动态更新安全通道密钥。该技术面向基于SDN的Ad Hoc网络,显著提高了此类网络系统中SDN控制层与移动节点间通信的安全性,避免了伪装威胁节点进入网络;同时通过动态密钥更新提高了Ad Hoc网络抵抗攻击的能力,保证网络攻击场景下,数据通信的安全性。

Description

基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法
技术领域
本发明涉及计算机网络管理技术领域,更具体地,涉及一种基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法。
背景技术
以无人机自组网、车载自组网、传感器网络等新型网络为代表的自组网(即Ad Hoc网络,也称为“自组织网络”),解决了无固定通信基础设施时数据传输的需求,已经被越来越多地应用到交通管理、工业/农业/环境监测、智能家居等领域。然而,Ad Hoc网络节点具有高度机动性,导致网络拓扑、性能等因素动态变化且不可预测,难以保证网络服务的一致性和稳定性。为此,研究界和业界偏向采用软件定义网络(Software Defined Network,简称SDN)构建新型Ad Hoc网络,从而有效利用SDN的集中控制和可编程特性,满足自组网对网络快速部署、服务质量自动维护的需求。软件定义网络(Software Defined Network,简称SDN)是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构,通过控制与转发分离提供了集中式管控能够实时发现网络状态的变化,并按照预置模块或算法自动调整网络策略以维持网络服务的一致性和稳定性。
虽然基于SDN的Ad Hoc网络可以解决传统Ad Hoc网络服务质量差、不稳定的问题,然而,在实际应用中,SDN架构也为Ad Hoc网络带来了新的安全威胁。SDN的控制与转发分离在控制层与数据层引入了新的威胁层面,即安全通道(Secure Channel)。安全通道一般通过OpenFlow或其他厂商定义的南向通信协议实现控制层与数据层的信息传输。安全通道的引入导致Ad Hoc网络面临以下三个问题:1)网络运行过程不断有新的移动节点进入,但移动节点的可信性难以保证;2)由于节点的移动性,节点频繁接入和离开网络,因而难以在控制层与移动节点间维持稳定的安全通道,然而每次安全通道的建立都需要大量的手动配置,效率低、灵活性差;3)安全通道极易称为网络攻击者的目标,进而导致控制层面和/或整个网络瘫痪甚至完全被控制。
因此,为了解决上述问题,需要提供一种基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法,实现两部分功能:1)基于对称密钥的安全通道自配置,首先基于对称密钥完成控制器和其管理的移动节点之间的安全认证工作,以防止非法节点进入网络,因为非法的节点可以通过DDoS攻击和利用OpenFlow协议的漏洞攻击控制器和其他节点,从而破坏整个网络的安全性;只有在认证通过后,才能进行安全通道的配置工作。对称密钥算法是一种高效、简单的加密技术,通过共享密钥,通信双方既可以认证对方的合法性,又可以保证它们间的通信消息不会被非法窃取。2)基于往返计时报文(Round Trip Timing,RTT)时间同步的安全通道密钥动态更新技术。由于Ad Hoc网络对通信对安全性和可靠性要求极高,而且随时可能遭受各种网络攻击。静态的对称密钥极有可能被网络攻击者窃取,从而造成网络通信数据的泄露。相反,如果能够采取措施定时更新对称密钥,能在很大程度上提高Ad Hoc网络通信的安全性。
发明内容
本发明的一个目的在于提供一种基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法。
为达到上述目的,本发明采用下述技术方案:
一种基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法,用于基于SDN的Ad Hoc网络中控制器与移动节点之间安全通信通道的建立,其特征在于,包括以下步骤:
认证步骤:基于对称密钥K,使所述控制器与所述移动节点之间进行相互认证;
安全通道自配置步骤:在完成所述认证步骤后,基于所述对称密钥K,使所述控制器与所述移动节点之间安全通信通道进行自动配置;
时钟同步步骤:在完成所述安全通道自配置步骤后,基于所述对称密钥K,进行所述控制器和所述移动节点的时钟同步,并得到所述控制器与所述移动节点的时延RTT;
动态密钥更新步骤:在完成所述时钟同步步骤后,以所述时延RTT为基准进行所述控制器与所述移动节点之间动态密钥的更新。
优选地,所述认证步骤通过如下过程实现:
(1)当有新的所述移动节点加入网络时,所述移动节点先向网络中广播自己;
(2)所述控制器收到新所述移动节点的广播消息,首先判断新所述移动节点之前是否进入过网络,如果已经进入过网络,则将所述对称密钥K设置为上次更新后的最新密钥,用公式表示为K=Kt;如果未进入过网络,则将所述对称密钥设置为初始密钥,用公式表示为K=K0;然后,控制器产生一个随机消息M,并和所述控制器的签名一起用所述对称密钥K对它们进行加密,将加密后的消息发送给对应的所述移动节点。
(3)新加入的所述移动节点接收到来自所述控制器的消息,通过其存储的最新所述对称密钥K解密,得到所述控制器的签名和所述随机消息M;首先,判断得到的所述控制器签名与其本地存储的是否相等,如果二者相等,则可以认证所述控制器。
(4)新所述移动节点认证了所述控制器后,所述移动节点通过相同的响应生成算法f计算所述随机消息M的响应MR,并用所述对称密钥K加密,将加密后的EK(MR)发送给所述控制器。
(5)所述控制器收到来自所述移动节点的消息后,同样通过所述算法f计算所述随机消息M的响应,并对收到的EK(MR)解密,比较解密后的所述响应MR是否与本地计算出的相等,如果相等,则认证新所述移动节点。
优选地,所述安全通道自配置步骤,通过如下过程实现:
(1)所述控制器向新认证过的所述移动节点发送邀请Invite消息,所述邀请Invite消息包含所述控制器的签名,并用所述对称密钥K加密;
(2)新所述移动节点收到消息,通过所述对称密钥K解密得到所述邀请Invite消息,首先,验证所述控制器的签名,如果验证通过,则所述移动节点生成其用于通信的公钥和私钥;
(3)所述移动节点向所述控制器发送安全通道建立申请“Boot strap request”消息,并向所述控制器提供一个证书申请标准PKCS10,证书申请标准签名PKCS10_signature以及其公钥,所述安全通道建立申请“Boot strap request”消息用所述对称密钥K加密;
(4)所述控制器接收到消息,用所述对称密钥K解密,并向所述移动节点发送安全通道建立答复“Boot strap reply”消息,其中包含所述控制器的管理域的证书,此时,所述移动节点就成了所述管理域的一个成员,并且可与所述控制器建立安全的通信通道,并且通过此通道,所述控制器可以为所述移动节点分配IP来唯一标识所述移动节点;
(5)所述移动节点可以与所述控制器通信,依据所述控制器或上层应用的策略决定对经过所述移动节点的网络流的处理操作。
优选地,所述时钟同步步骤,通过如下过程实现:
(1)所述通信通道建立,所述控制器立即向所述移动节点发送时间同步初始化Time_syn_init消息,所述时间同步初始化Time_syn_init消息包含所述控制器的签名和所述控制器的系统时间Tc,并用当前的所述对称密钥K加密;
(2)所述移动节点收到所述控制器发送的所述时间同步初始化Time_syn_init消息后,用当前的所述对称密钥K解密得到所述控制器的所述系统时间Tc,并向所述控制器发送时间确认Time_ack消息,用当前的所述对称密钥K加密,所述时间确认Time_ack消息包含所述控制器的所述系统时间Tc和所述移动节点的签名;
(3)所述控制器收到所述移动节点的所述时间确认Time_ack消息,用当前的所述对称密钥K解密得到所述系统时间Tc,假设此时所述控制器的系统时间是Tt,则可得到所述控制器与所述移动节点的所述时延,用公式表示为RTT=Tt-Tc
(4)所述控制器向所述移动节点发送所述时间确认Time_syn消息,用当前的所述对称密钥K加密,所述时间确认Time_syn消息消息包含所述时延RTT、所述控制器的所述签名,所述控制器的当前系统时间T’t
(5)所述移动节点收到所述控制器的所述时间确认Time_syn消息后,用当前的所述对称密钥K解密后,得到所述控制器与所述移动节点的所述时延RTT,此时可在所述移动节点上计算所述控制器的当前时间,用公式表示为Tc=T’t–RTT/2。
优选地,所述动态密钥更新步骤,通过如下过程实现:
(1)当所述控制器预测到潜在的问题或进行周期性维护时,所述控制器向所述移动节点发送密钥更新key_update消息,用当前的所述对称密钥K加密,所述密钥更新key_update消息包含新的密钥Knew,密钥更新触发时刻t,所述控制器当前所述系统时间Tc以及所述控制器的所述签名;
(2)所述移动节点收到所述控制器的所述密钥更新key_update消息后,用当前的所述对称密钥K解密,得到所述新的密钥Knew,所述密钥更新触发时刻t,所述控制器当前所述系统时间Tc
(3)所述移动节点计算所述控制器的当前所述系统时间,公示表示为Tc=Tt+RTT/2,如果Tc<t,则等待直到Tc=t时刻,所述移动节点更新密钥,后续与所述控制器的通信都将采用所述新的密钥Knew加密。
本发明的另一个目的在于提供一种基于动态密钥SDN控制器与移动节点安全通道自配置方法的系统,所述系统包括四个新模块:
安全通道自配置模块,用于完成所述控制器与所述移动节点的相互认证以及它们之间安全通道的自配置功能;
密钥库模块,用于存储所述控制器与所述移动节点相互认证的初始密钥以及每次动态更新后的新密钥;
动态密钥管理器模块,用于周期性或基于安全事件触发的密钥更新,保证所述控制器与合法移动设备间始终保存一致且最新的安全密钥;
RTT同步模块,其主要任务是保证所述控制器与所述移动节点间的时钟同步。
优选地,所述安全通道自配置模块、密钥库模块、动态密钥管理器模块和RTT同步模块同时设置在所述控制器和所述移动节点二者中。
优选地,所述系统运用的场景是基于SDN的Ad Hoc网络,所述Ad Hoc网络包含至少一个所述控制器组成的控制层,以及动态接入/离开的所述移动节点组成的动态数据层。
本发明的有益效果如下:
本发明提出的基于对称密钥SDN控制器与Ad Hoc移动节点相互认证技术,有效阻止了非法移动节点加入Ad Hoc网络,保证了Ad Hoc网络的安全;本发明提出的Ad Hoc网络中SDN控制器与移动节点安全通道的自配置技术,有助于自动地建立控制层和移动节点的通信通道,无需任何手动操作,简单、高效、成本低;本发明提出的基于RTT时钟同步的动态密钥更新技术,使得控制层与移动节点通信密钥可依据网络态势动态同步更新,有效预防和防御潜在的安全问题,显著提高了网络的安全性。该技术一方面显著提高了基于SDN的AdHoc网络的通信效率,另一方面通过提高SDN控制器与移动节点通信的安全性,保证了AdHoc在网络攻击场景下,数据通信的可靠性。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的说明。
图1示出本发明基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法流程;
图2示出本发明基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法网络架构。
具体实施方式
为了更清楚地说明本发明,下面结合优选实施例和附图对本发明做进一步的说明。附图中相似的部件以相同的附图标记进行表示。本领域技术人员应当理解,下面所具体描述的内容是说明性的而非限制性的,不应以此限制本发明的保护范围。
本发明提出的一种基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法,用于基于SDN的Ad Hoc网络中控制器与移动节点之间安全通信通道的建立,如图1所示,包括以下步骤:
认证步骤S1:基于对称密钥K,使控制器与移动节点之间进行相互认证;
安全通道自配置步骤S2:在完成认证步骤S1后,基于对称密钥K,使控制器与移动节点之间安全通信通道进行自动配置;
时钟同步步骤S3:在完成安全通道自配置步骤S2后,基于对称密钥K,进行控制器和移动节点的时钟同步,并得到控制器与移动节点的时延RTT;
动态密钥更新步骤S4:在完成时钟同步步骤S3后,以时延RTT为基准进行控制器与移动节点之间动态密钥的更新。
认证步骤S1通过如下过程实现:
(1)当有新的移动节点加入网络时,移动节点先向网络中广播自己;
(2)控制器收到新移动节点的广播消息,首先判断新移动节点之前是否进入过网络,如果已经进入过网络,则将对称密钥K设置为上次更新后的最新密钥,用公式表示为K=Kt;如果未进入过网络,则将对称密钥设置为初始密钥,用公式表示为K=K0;然后,控制器产生一个随机消息M,并和控制器的签名一起用对称密钥K对它们进行加密,将加密后的消息发送给对应的移动节点。
(3)新加入的移动节点接收到来自控制器的消息,通过其存储的最新对称密钥K解密,得到控制器的签名和随机消息M;首先,判断得到的控制器签名与其本地存储的是否相等,如果二者相等,则可以认证控制器。
(4)新移动节点认证了控制器后,移动节点通过相同的响应生成算法f计算随机消息M的响应MR,并用对称密钥K加密,将加密后的EK(MR)发送给控制器。
(5)控制器收到来自移动节点的消息后,同样通过算法f计算随机消息M的响应,并对收到的EK(MR)解密,比较解密后的响应MR是否与本地计算出的相等,如果相等,则认证新移动节点。
安全通道自配置步骤S2,通过如下过程实现:
(1)控制器向新认证过的移动节点发送邀请Invite消息,邀请Invite消息包含控制器的签名,并用对称密钥K加密;
(2)新移动节点收到消息,通过对称密钥K解密得到邀请Invite消息,首先,验证控制器的签名,如果验证通过,则移动节点生成其用于通信的公钥和私钥;
(3)移动节点向控制器发送安全通道建立申请“Boot strap request”消息,并向控制器提供一个证书申请标准PKCS10,证书申请标准签名PKCS10_signature以及其公钥,安全通道建立申请“Boot strap request”消息用对称密钥K加密;
(4)控制器接收到消息,用对称密钥K解密,并向移动节点发送安全通道建立答复“Boot strap reply”消息,其中包含控制器的管理域的证书,此时,移动节点就成了管理域的一个成员,并且可与控制器建立安全的通信通道,并且通过此通道,控制器可以为移动节点分配IP来唯一标识移动节点;
(5)移动节点可以与控制器通信,依据控制器或上层应用的策略决定对经过移动节点的网络流的处理操作。
时钟同步步骤S3,通过如下过程实现:
(1)通信通道建立,控制器立即向移动节点发送时间同步初始化Time_syn_init消息,时间同步初始化Time_syn_init消息包含控制器的签名和控制器的系统时间Tc,并用当前的对称密钥K加密;
(2)移动节点收到控制器发送的时间同步初始化Time_syn_init消息后,用当前的对称密钥K解密得到控制器的系统时间Tc,并向控制器发送时间确认Time_ack消息,用当前的对称密钥K加密,时间确认Time_ack消息包含控制器的系统时间Tc和移动节点的签名;
(3)控制器收到移动节点的时间确认Time_ack消息,用当前的对称密钥K解密得到系统时间Tc,假设此时控制器的系统时间是Tt,则可得到控制器与移动节点的时延,用公式表示为RTT=Tt-Tc
(4)控制器向移动节点发送时间确认Time_syn消息,用当前的对称密钥K加密,时间确认Time_syn消息消息包含时延RTT、控制器的签名,控制器的当前系统时间T’t
(5)移动节点收到控制器的时间确认Time_syn消息后,用当前的对称密钥K解密后,得到控制器与移动节点的时延RTT,此时可在移动节点上计算控制器的当前时间,用公式表示为Tc=T’t–RTT/2。
动态密钥更新步骤S4,通过如下过程实现:
(1)当控制器预测到潜在的问题或进行周期性维护时,控制器向移动节点发送密钥更新key_update消息,用当前的对称密钥K加密,密钥更新key_update消息包含新的密钥Knew,密钥更新触发时刻t,控制器当前系统时间Tc以及控制器的签名;
(2)移动节点收到控制器的密钥更新key_update消息后,用当前的对称密钥K解密,得到新的密钥Knew,密钥更新触发时刻t,控制器当前系统时间Tc
(3)移动节点计算控制器的当前系统时间,公示表示为Tc=Tt+RTT/2,如果Tc<t,则等待直到Tc=t时刻,移动节点更新密钥,后续与控制器的通信都将采用新的密钥Knew加密。
本发明还提供一种基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法的系统,如图2所示,本发明在实际应用中,网络的场景是基于SDN的Ad Hoc网络,其中包含至少一个控制器组成的控制层,以及动态接入/离开的移动节点组成的动态数据层。为了解决基于SDN的Ad Hoc网络中控制器与移动节点间的安全通道带来的新的性能和安全问题,需要在控制器和移动节点中均增加以下四个新模块:1)安全通道自配置模块,用于完成控制器与移动节点的相互认证以及它们之间安全通道的自配置功能。2)密钥库,用于存储控制器与移动节点相互认证的初始密钥以及每次动态更新后的新密钥。3)动态密钥管理器,用于周期性或基于安全事件触发的密钥更新,保证控制层与合法移动设备间始终保存一致且最新的安全密钥。4)RTT同步模块,其主要任务是保证控制层与移动节点间的时钟同步。通过在现有控制器和移动节点中增加上述4个模块的功能,就可以采用本发明所提出的技术简单、高效的完成基于SDN的Ad Hoc网络控制层与数据层安全通道自动且安全的配置过程,保证Ad Hoc网络运行过程数据通信的服务质量和安全性。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定,对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动,这里无法对所有的实施方式予以穷举,凡是属于本发明的技术方案所引伸出的显而易见的变化或变动仍处于本发明的保护范围之列。

Claims (8)

1.一种基于动态密钥软件定义网络(SDN)控制器与自组织网络(Ad Hoc)节点安全通道自配置方法,用于基于SDN的Ad Hoc网络中控制器与移动节点之间安全通信通道的建立,其特征在于,包括以下步骤:
认证步骤(S1):基于对称密钥K,使所述控制器与所述移动节点之间进行相互认证;
安全通道自配置步骤(S2):在完成所述认证步骤(S1)后,基于所述对称密钥K,使所述控制器与所述移动节点之间安全通信通道进行自动配置;
时钟同步步骤(S3):在完成所述安全通道自配置步骤(S2)后,基于所述对称密钥K,进行所述控制器和所述移动节点的时钟同步,并得到所述控制器与所述移动节点的时延RTT;
动态密钥更新步骤(S4):在完成所述时钟同步步骤(S3)后,以所述时延RTT为基准进行所述控制器与所述移动节点之间动态密钥的更新。
2.根据权利要求1所述的基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法,其特征在于,所述认证步骤(S1)通过如下过程实现:
当有新的所述移动节点加入Ad Hoc网络时,所述移动节点先向网络中广播自己;
所述控制器收到新所述移动节点的广播消息,
判断新所述移动节点之前是否进入过网络,包括:
如果已经进入过网络,则将所述对称密钥K设置为上次更新后的最新密钥,用公式表示为K=Kt
如果未进入过网络,则将所述对称密钥设置为初始密钥,用公式表示为K=K0
控制器产生一个随机消息M,并和所述控制器的签名一起用所述对称密钥K对它们进行加密,将加密后的消息发送给对应的所述移动节点;
新加入的所述移动节点接收到来自所述控制器的消息,通过其存储的最新所述对称密钥K解密,得到所述控制器的签名和所述随机消息M,包括:
判断得到的所述控制器签名与其本地存储的是否相等;
如果二者相等,则可以认证所述控制器;
新所述移动节点认证了所述控制器后,所述移动节点通过相同的响应生成算法f计算所述随机消息M的响应MR,并用所述对称密钥K加密,将加密后的EK(MR)发送给所述控制器;
所述控制器收到来自所述移动节点的消息后,通过所述算法f计算所述随机消息M的响应,并对收到的EK(MR)解密,比较解密后的所述响应MR是否与本地计算出的相等,如果相等,则认证新所述移动节点。
3.根据权利要求1所述的基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法,其特征在于,所述安全通道自配置步骤(S2),通过如下过程实现:
所述控制器向新认证过的所述移动节点发送邀请Invite消息,所述邀请Invite消息包含所述控制器的签名,并用所述对称密钥K加密;
新所述移动节点收到消息,通过所述对称密钥K解密得到所述邀请Invite消息,包括:
验证所述控制器的签名;
如果验证通过,则所述移动节点生成其用于通信的公钥和私钥;
所述移动节点向所述控制器发送安全通道建立申请“Boot strap request”消息,并向所述控制器提供一个证书申请标准PKCS10,证书申请标准签名PKCS10_signature以及其公钥,所述安全通道建立申请“Boot strap request”消息用所述对称密钥K加密;
所述控制器接收到消息,用所述对称密钥K解密,并向所述移动节点发送安全通道建立答复“Boot strap reply”消息,所述消息包含所述控制器的管理域的证书;
所述移动节点可以与所述控制器通信,依据所述控制器或上层应用的策略决定对经过所述移动节点的网络流的处理操作。
4.根据权利要求1所述的基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法,其特征在于,所述时钟同步步骤(S3),通过如下过程实现:
所述通信通道建立,所述控制器立即向所述移动节点发送时间同步初始化Time_syn_init消息,所述时间同步初始化Time_syn_init消息包含所述控制器的签名和所述控制器的系统时间Tc,并用当前的所述对称密钥K加密;
所述移动节点收到所述控制器发送的所述时间同步初始化Time_syn_init消息后,用当前的所述对称密钥K解密得到所述控制器的所述系统时间Tc,并向所述控制器发送时间确认Time_ack消息,用当前的所述对称密钥K加密,所述时间确认Time_ack消息包含所述控制器的所述系统时间Tc和所述移动节点的签名;
所述控制器收到所述移动节点的所述时间确认Time_ack消息,用当前的所述对称密钥K解密得到所述系统时间Tc,假设此时所述控制器的系统时间是Tt,则可得到所述控制器与所述移动节点的所述时延,用公式表示为RTT=Tt-Tc
所述控制器向所述移动节点发送所述时间确认Time_syn消息,用当前的所述对称密钥K加密,所述时间确认Time_syn消息消息包含所述时延RTT、所述控制器的所述签名,所述控制器的当前系统时间T’t
所述移动节点收到所述控制器的所述时间确认Time_syn消息后,用当前的所述对称密钥K解密后,得到所述控制器与所述移动节点的所述时延RTT,此时可在所述移动节点上计算所述控制器的当前时间,用公式表示为Tc=T’t–RTT/2。
5.根据权利要求1所述的基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法,其特征在于,所述动态密钥更新步骤(S4),通过如下过程实现:
当所述控制器预测到潜在的问题或进行周期性维护时,所述控制器向所述移动节点发送密钥更新key_update消息,用当前的所述对称密钥K加密,所述密钥更新key_update消息包含新的密钥Knew,密钥更新触发时刻t,所述控制器当前所述系统时间Tc以及所述控制器的所述签名;
所述移动节点收到所述控制器的所述密钥更新key_update消息后,用当前的所述对称密钥K解密,得到所述新的密钥Knew,所述密钥更新触发时刻t,所述控制器当前所述系统时间Tc
所述移动节点计算所述控制器的当前所述系统时间,公示表示为Tc=Tt+RTT/2,如果Tc<t,则等待直到Tc=t时刻,所述移动节点更新密钥,后续与所述控制器的通信都将采用所述新的密钥Knew加密。
6.一种采用如权利要求1-5中任一项所述基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法的系统,其特征在于,所述系统包括:
安全通道自配置模块,用于完成所述控制器与所述移动节点的相互认证以及它们之间安全通道的自配置功能;
密钥库模块,用于存储所述控制器与所述移动节点相互认证的初始密钥以及每次动态更新后的新密钥;
动态密钥管理器模块,用于周期性或基于安全事件触发的密钥更新,保证所述控制器与合法移动设备间始终保存一致且最新的安全密钥;
RTT同步模块,其用于保证所述控制器与所述移动节点间的时钟同步。
7.根据权利要求6所述的基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置系统,其特征在于,所述安全通道自配置模块、密钥库模块、动态密钥管理器模块和RTT同步模块同时设置在所述控制器和所述移动节点二者中。
8.根据权利要求6所述的基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置系统,其特征在于,所述系统运用的场景是基于SDN的Ad Hoc网络,所述Ad Hoc网络包含至少一个所述控制器组成的控制层,以及动态接入/离开的所述移动节点组成的动态数据层。
CN201911266741.3A 2019-12-11 2019-12-11 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法 Active CN110933674B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911266741.3A CN110933674B (zh) 2019-12-11 2019-12-11 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911266741.3A CN110933674B (zh) 2019-12-11 2019-12-11 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法

Publications (2)

Publication Number Publication Date
CN110933674A true CN110933674A (zh) 2020-03-27
CN110933674B CN110933674B (zh) 2023-05-02

Family

ID=69858966

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911266741.3A Active CN110933674B (zh) 2019-12-11 2019-12-11 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法

Country Status (1)

Country Link
CN (1) CN110933674B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111563089A (zh) * 2020-04-20 2020-08-21 杭州云象网络技术有限公司 一种区块链证书更换自动更新通道配置的方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104283701A (zh) * 2013-07-03 2015-01-14 中兴通讯股份有限公司 配置信息的下发方法、系统及装置
CN104780069A (zh) * 2015-04-16 2015-07-15 中国科学院计算技术研究所 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统
US20160044035A1 (en) * 2012-04-05 2016-02-11 Arizona Board Of Regents On Behalf Of Arizona State University Systems and Apparatuses for a Secure Mobile Cloud Framework for Mobile Computing and Communication
CN107396350A (zh) * 2017-07-12 2017-11-24 西安电子科技大学 基于sdn‑5g网络架构的sdn组件间安全保护方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160044035A1 (en) * 2012-04-05 2016-02-11 Arizona Board Of Regents On Behalf Of Arizona State University Systems and Apparatuses for a Secure Mobile Cloud Framework for Mobile Computing and Communication
CN104283701A (zh) * 2013-07-03 2015-01-14 中兴通讯股份有限公司 配置信息的下发方法、系统及装置
CN104780069A (zh) * 2015-04-16 2015-07-15 中国科学院计算技术研究所 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统
CN107396350A (zh) * 2017-07-12 2017-11-24 西安电子科技大学 基于sdn‑5g网络架构的sdn组件间安全保护方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
TING WANG ET AL.: ""Enforcing timely network policies installation in OpenFlow-based software defined networks"", 《2017 IEEE INTERNATIONAL CONFERENCE ON COMMUNICATIONS (ICC)》 *
雷程等: "基于网络攻击面自适应转换的移动目标防御技术", 《计算机学报》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111563089A (zh) * 2020-04-20 2020-08-21 杭州云象网络技术有限公司 一种区块链证书更换自动更新通道配置的方法和装置
CN111563089B (zh) * 2020-04-20 2023-10-27 杭州云象网络技术有限公司 一种区块链证书更换自动更新通道配置的方法和装置

Also Published As

Publication number Publication date
CN110933674B (zh) 2023-05-02

Similar Documents

Publication Publication Date Title
Cao et al. Fast authentication and data transfer scheme for massive NB-IoT devices in 3GPP 5G network
CN107534658B (zh) 使用公钥机制在服务层的端对端认证
US9608967B2 (en) Method and system for establishing a session key
CN113596828B (zh) 端对端服务层认证
Traynor et al. Efficient hybrid security mechanisms for heterogeneous sensor networks
US10382595B2 (en) Systems and methods for protecting communications
Xiao et al. A survey of key management schemes in wireless sensor networks
US8254581B2 (en) Lightweight key distribution and management method for sensor networks
KR20140023991A (ko) 머신-대-머신 노드 소거 절차
AU2009251887A1 (en) Authentication and key establishment in wireless sensor networks
Rabiah et al. A lightweight authentication and key exchange protocol for IoT
US11917061B2 (en) Decentralized and/or hybrid decentralized secure cryptographic key storage method
JP2016526844A (ja) 制約リソースデバイスのための鍵確立
Whitehurst et al. Exploring security in ZigBee networks
Mehdizadeh et al. Lightweight decentralized multicast–unicast key management method in wireless IPv6 networks
TW202142011A (zh) 一種防止加密用戶識別符被重播攻擊的方法
Martignon et al. Design and implementation of MobiSEC: A complete security architecture for wireless mesh networks
Fu et al. An location-aware authentication scheme for cross-domain internet of thing systems
CN110933674B (zh) 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法
KR20210126319A (ko) 키 관리 장치 및 방법
Rong et al. Wireless network security
Sen Secure and privacy-preserving authentication protocols for wireless mesh networks
Martignon et al. DSA‐Mesh: a distributed security architecture for wireless mesh networks
Yan Security in ad hoc networks
Fulare et al. Secure authentication technique in wireless integrated sensor network: Virtual certificate authority

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant