CN111404947A - 一种OpenFlow网络中的轻量级控制通道通信保护方法及系统 - Google Patents

Abstract

本发明提供一种OpenFlow网络中的轻量级控制通道通信保护方法及系统，涉及通信领域。其中，一种OpenFlow网络中的轻量级控制通道通信保护方法包含：OpenFlow控制器和OpenFlow交换机分别预设唯一的种子值；两个种子值分别进行哈希以生成设备私钥；两个设备私钥分别利用非对称密码算法产生设备公钥；利用哈希函数处理OpenFlow控制器的设备公钥，并将生成的哈希值作为标识OpenFlow控制器的控制器消息认证码；OpenFlow控制器以及OpenFlow交换机的设备私钥和设备公钥通过密钥协商算法产生共享密钥。本发明解决了OpenFlow网络的通信安全性低和能耗高的问题。

Description

一种OpenFlow网络中的轻量级控制通道通信保护方法及系统

技术领域

本发明涉及通信领域，具体而言，涉及一种OpenFlow网络中的轻量级控制通道通信保护方法及系统。

背景技术

在传统网络中，一个集成多种网络功能的控制平面和一个负责转发数据包的数据平面是紧密耦合的，并且通常会嵌入在一个专有设备中，这严重限制了网络的灵活管理和网络服务创新的潜力。软件定义网络(Software-Defined Networking，以下简称为“SDN”)，作为一种很有前途的网络架构，通过将控制平面与数据平面解耦，提供了一种“可编程网络”的实现方法。SDN使得网络运营商能够使用动态、自动化以及设备无关的应用程序灵活、快速地管理、配置和优化网络资源。

在SDN中，由于控制平面与数据平面的解耦，两者之间的通信由单一系统内部的进程间通信转变为两个独立系统之间的远程通信。因此，诸多通信协议被广泛提出，如OpenFlow、Netconf以及OVSDB。其中OpenFlow作为事实上的标准协议，已经被成功地应用于许多商业部署，如Google B4。在OpenFlow中，逻辑上集中的控制平面(控制器)与多个OpenFlow交换机建立连接，并相互交换控制消息，以实现网络管理。其中，控制器与与交换机之间的连接称作控制通道。目前，OpenFlow提供了两种类型的控制通道：基于TCP协议的控制通道与基于SSL/TLS安全协议的控制通道。基于TCP的控制通道实现了控制消息在控制器和交换机之间可靠传播，但它不能防止控制消息被攻击者嗅探和篡改。经过目前研究证实，基于TCP的控制通道可以通过恶意操纵控制消息来破坏网络服务可用性(如篡改防火墙策略和网络拓扑视图)。由于基于TCP的控制通道安全性低，敏感网络信息或重要控制决策的控制消息容易被破坏或泄露。

为了提高控制通道的安全性，基于SSL/TLS的控制通道作为SDN部署的默认机制，使得控制消息的机密性和完整性可以被充分保护。但是，由于高昂的性能开销，这种加密通道并没有被广泛采用。例如，现代数据中心的SDN控制器每秒通常需要响应来自数百个交换机的数百万个流请求，由于在各个流请求中分别添加了安全操作(如加密和解密)，控制器中大量计算资源被消耗，从而降低控制器处理流请求的吞吐量。因此，网络管理者通常禁用这种加密通道来满足网络性能的需求。因此，目前需要一种安全性高、性能高且能够广泛使用的OpenFlow网络中的轻量级控制通道的通信保护方法和系统。

发明内容

本发明的目的在于提供一种OpenFlow网络中的轻量级控制通道通信保护方法，其能够解决目前OpenFlow控制通道安全性低、性能消耗大以及不能广泛使用的问题。

本发明的另一目的在于提供一种应用OpenFlow网络中的轻量级控制通道通信保护方法的系统，其能够解决目前OpenFlow控制通道安全性低、性能消耗大以及不能广泛使用的问题。

本发明的实施例是这样实现的：应用于OpenFlow控制器和OpenFlow交换机，所述OpenFlow控制器用于接收管理员请求，并将所述管理员请求转换成控制消息以发送到所述OpenFlow交换机执行，包含如下步骤：(1)所述OpenFlow控制器和所述OpenFlow交换机分别预设唯一的种子值；(2)所述OpenFlow控制器和所述OpenFlow交换机的所述种子值分别进行哈希以生成设备私钥；(3)所述OpenFlow控制器和所述OpenFlow交换机的所述设备私钥分别利用非对称密码算法产生设备公钥；(4)利用哈希函数处理所述OpenFlow控制器的所述设备公钥，将所述OpenFlow控制器的所述设备公钥的哈希值作为标识所述OpenFlow控制器的控制器认证码；(5)所述OpenFlow控制器以及所述OpenFlow交换机的所述设备私钥和所述设备公钥通过密钥协商算法以产生所述OpenFlow控制器和所述OpenFlow交换机的共享密钥；(6)拦截所述控制消息并选择以下安全策略之一以对所述控制消息进行操作：其一是通过所述控制器认证码将所述控制消息封装成所述安全消息，其二是通过所述OpenFlow控制器和所述OpenFlow交换机的所述共享密钥将所述控制消息封装成所述安全消息，其三是共同进行其一和其二的操作；(7)将所述安全消息发送到所述OpenFlow交换机执行。

在本发明的一些实施例中，所述步骤(6)中，还包含通过所述OpenFlow控制器的所述控制消息的消息类型选择所述安全策略之一以将所述控制消息封装成所述安全消息。

在本发明的一些实施例中，所述步骤(6)中，所述消息类型包含机密性和完整性；所述机密性对应安全策略其一，所述完整性对应所述安全策略其二，所述机密性和所述完整性对应所述安全策略其三。

在本发明的一些实施例中，所述步骤(6)中，还包含拦截所述安全消息，依据所述安全策略通过所述共享密钥和/或所述控制器认证码将所述安全消息还原成原始消息，并判断所述原始消息是否与所述控制消息相同；且当所述原始消息与所述控制消息相同时，所述OpenFlow控制器发送所述安全消息到所述OpenFlow交换机执行。

本发明实施例至少具有如下优点或有益效果：

1.通过OpenFlow控制器和OpenFlow交换机分别预设的种子值生成设备私钥，便于通过设备私钥认证来源于设备自身的内容，提高了通信的安全，能够广泛使用；

2.OpenFlow控制器和OpenFlow交换机的设备私钥通过非对称密码算法产生设备公钥，并通过哈希函数将设备公钥的哈希值作为标识OpenFlow控制器身份的控制器认证码，便于OpenFlow控制器和OpenFlow交换机互相认证来源于对方设备的信息，提高了通信安全，能够广泛使用；

3.OpenFlow控制器以及OpenFlow交换机的设备私钥和设备公钥通过密钥协商算法以生成共享密钥，便于认证OpenFlow控制器和OpenFlow交换机之间互相传输的信息，提高了通信安全，能够广泛使用；

4.通过OpenFlow控制器将管理员请求转换成控制消息，通过共享密钥将控制消息封装成安全消息，并将安全消息发送给OpenFlow交换机，提高了OpenFlow控制器和OpenFlow交换机之间通信的安全性；并且与现有的对不同控制信号分别进行加密的操作相比，简化了内容加密和解密的过程，降低了通信时带宽和计算资源造成的能耗，便于广泛使用。

一种应用OpenFlow网络中的轻量级控制通道通信保护方法的系统，包含设备身份生成模块、控制消息过滤模块、安全消息生成模块和策略管理模块；其中：

所述设备身份生成模块与所述OpenFlow控制器以及所述OpenFlow交换机分别连接以根据所述OpenFlow控制器和所述OpenFlow交换机的所述种子值生成所述设备私钥和所述设备公钥；所述设备身份生成模块根据所述OpenFlow控制器的所述设备公钥生成所述控制器认证码，并根据所述OpenFlow控制器和所述OpenFlow交换机的所述设备私钥和所述设备公钥生成所述共享密钥；

所述控制消息过滤模块用于存储多个所述安全策略；其中，多个所述安全策略包含：其一是通过所述控制器认证码将所述控制消息封装成所述安全消息；其二是通过所述OpenFlow控制器和所述OpenFlow交换机的所述共享密钥将所述控制消息封装成所述安全消息；其三是进行所述安全策略其一以及所述安全策略其二的操作；

所述安全消息生成模块连接在所述OpenFlow控制器和所述OpenFlow交换机之间以拦截所述控制消息；所述安全消息生成模块与所述控制消息过滤模块连接以选择至少一个所述安全策略；所述安全消息生成模块与所述设备身份生成模块连接，以将所述控制消息通过所述控制器认证码和/或所述共享密钥封装成所述安全消息；

所述策略管理模块分别与所述安全消息生成模块以及所述OpenFlow交换机连接，以将所述安全消息发送到所述OpenFlow交换机。

在本发明的一些实施例中，还包含安全消息解析模块；所述安全消息解析模块连接在所述策略管理模块与所述OpenFlow交换机之间以拦截所述安全消息；所述安全消息解析模块与所述安全消息生成模块连接以判断是否能通过所述共享密钥和/或所述控制器认证码将所述安全消息还原成所述控制消息；所述策略管理模块与所述安全消息解析模块连接，以当所述安全消息解析模块判断出所述安全消息能够还原成所述控制消息时，将所述安全消息发送到所述OpenFlow交换机以执行所述安全消息。

在本发明的一些实施例中，所述策略管理模块包含执行响应模块；所述执行响应模块分别与所述OpenFlow交换机以及所述OpenFlow控制器连接，以当所述OpenFlow交换机执行所述安全消息后将响应消息发送到所述OpenFlow控制器。

在本发明的一些实施例中，所述系统还包含控制消息过滤模块；所述控制消息过滤模块用于存储多个所述安全策略；多个所述安全策略分别与所述控制消息的不同消息类型对应；所述控制消息过滤模块与所述OpenFlow控制器连接以分析所述控制消息的所述消息类型；所述消息过滤模块分别与所述设备身份生成模块以及所述策略管理模块连接。

本发明实施例至少具有如下优点或有益效果：

1.通过设备身份模块生成设备公钥和设备私钥，便于OpenFlow控制器和OpenFlow交换机在发出和接收信息时认证发出和接收的内容，提高了OpenFlow网络通信的安全性且能够广泛使用；

2.通过设备公钥进行哈希生成的哈希值认证自身设备，建立了设备密钥和设备身份标识的联系，避免消息在通信和认证过程中被未知设备进行身份欺骗的攻击，保证了通信内容的完整性且能够广泛使用；

3.通过OpenFlow控制器和OpenFlow交换机的设备私钥和设备公钥生成的共享密钥，便于认证OpenFlow控制器和OpenFlow交换机之间互相通信内容，提高了OpenFlow网络通信的保密性；

4.安全消息生成模块通过控制器认证码封装控制消息以认证设备身份，防止其他设备进行设备欺骗攻击；并且，安全消息生成模块通过安全密钥封装控制消息以认证多个设备之间的信息交互，提高了通信的安全性且能够广泛使用；

4.通过策略管理模块将OpenFlow控制器的安全消息发送给OpenFlow交换机，满足了OpenFlow控制器与多个OpenFlow交换机交互使用，降低了信息传输时的带宽和计算带来的能耗，从而提高了OpenFlow控制器和OpenFlow交换机的通信性能。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例1的OpenFlow网络中的轻量级控制通道通信保护方法的流程示意图；

图2为本发明实施例2的应用OpenFlow网络中的轻量级控制通道通信保护方法的系统的原理示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本发明实施例的描述中，需要说明的是，若出现术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该发明产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

此外，若出现术语“水平”、“竖直”、“悬垂”等术语并不表示要求部件绝对水平或悬垂，而是可以稍微倾斜。如“水平”仅仅是指其方向相对“竖直”而言更加水平，并不是表示该结构一定要完全水平，而是可以稍微倾斜。

在本发明实施例的描述中，“多个”代表至少2个。

在本发明实施例的描述中，还需要说明的是，除非另有明确的规定和限定，若出现术语“设置”、“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

实施例1

请参照图1，图1所示为本实施例OpenFlow网络中的轻量级控制通道通信保护方法，应用于OpenFlow控制器和OpenFlow交换机，包含如下步骤：(1)OpenFlow控制器和OpenFlow交换机分别预设唯一的种子值；(2)OpenFlow控制器和OpenFlow交换机的种子值分别进行哈希以生成设备私钥；(3)OpenFlow控制器和OpenFlow交换机的设备私钥分别利用非对称密码算法产生设备公钥；(4)利用哈希函数处理OpenFlow控制器的所述设备公钥，将OpenFlow控制器的设备公钥的哈希值作为标识所述OpenFlow控制器的控制器认证码；(5)OpenFlow控制器以及OpenFlow交换机的设备私钥和设备公钥通过密钥协商算法以产生OpenFlow控制器和OpenFlow交换机的共享密钥；(6)拦截控制消息并选择以下安全策略之一以对控制消息进行操作：其一是通过控制器认证码将控制消息封装成安全消息，其二是通过OpenFlow控制器和OpenFlow交换机的共享密钥将控制消息封装成安全消息，其三是共同进行其一和其二的操作；(7)将安全消息发送到OpenFlow交换机执行。

详细的，本方法应用于OpenFlow控制器和OpenFlow交换机，OpenFlow控制器用于接收管理员请求，并将所述管理员请求转换成控制消息以发送到OpenFlow交换机执行。其中，OpenFlow控制器可以为SDN控制器。可选的，OpenFlow控制器可以通过消息分发器将控制消息由TCP控制通道分别发送到多个OpenFlow交换机。

详细的，步骤(1)中，OpenFlow控制器和OpenFlow交换机通过预设唯一的种子值区分不同设备身份。步骤(2)中，通过对OpenFlow控制器和OpenFlow交换机的种子值分别进行哈希以生成设备私钥。步骤(3)中，OpenFlow控制器和OpenFlow交换机的设备私钥通过非对称算法生成设备公钥。非对称算法可以通过设备公钥识别出该设备的设备私钥进行标识的内容。由于非对称算法中设备公钥不能直接推算出对应的设备私钥，保证了OpenFlow控制器和OpenFlow交换机之间通信的安全性。步骤(4)中，利用哈希函数处理OpenFlow控制器的设备公钥，设备公钥的哈希值作为用于标识OpenFlow控制器的控制器认证码，建立了控制器认证码和设备公钥的关联。步骤(5)中，OpenFlow控制器以及OpenFlow交换机的设备私钥和设备公钥通过密钥协商算法产生OpenFlow控制器和OpenFlow交换机的共享密钥，从而利用共享密钥识别OpenFlow控制器和OpenFlow交换机之间相互传输的内容，便于设备之间通过共享密钥加密数据。步骤(6)中，拦截OpenFlow控制器传输到OpenFlow交换机的控制消息，并选择不同安全策略以择一进行以下三种操作：其一通过控制器认证码将控制消息封装成安全消息；其二是通过OpenFlow控制器和OpenFlow交换机的共享密钥将控制消息封装成安全消息；其三是进行其一和其二两种操作，即通过共享密钥以及控制器认证码封装控制消息以生成安全消息。通过发送由控制器认证码封装后的安全消息到OpenFlow交换机，防止被其他未经验证的非法设备篡改控制消息，保护了OpenFlow控制器和OpenFlow交换机的通信内容的完整。由共享密钥封装后的安全消息发送到OpenFlow交换机，提高了设备之间通信的机密性，并且与加密和解密控制消息的传输方式相比，大大降低了通信的能耗，提高了OpenFlow控制器和OpenFlow交换机的性能。第三种安全策略同时使用以上两种操作，同时提高了OpenFlow网络通信的完整性和保密性，便于广泛使用。

可选的，通过密钥协商算法配送OpenFlow控制器以及OpenFlow交换机之间的设备公钥和设备私钥以组合成共享密钥。其中，共享密钥可以由OpenFlow控制器的设备公钥和OpenFlow交换机的设备私钥组成，或者由OpenFlow控制器的设备私钥和OpenFlow交换机的设备公钥组成。即共享密钥＝ECDH(控制器私钥，交换机公钥)＝ECDH(控制器公钥，交换机私钥)。

作为一种较优的实施方式，步骤(6)中，还包含通过OpenFlow控制器的控制消息的消息类型选择安全策略之一以将控制消息封装成安全消息。

作为一种较优的实施方式，步骤(6)中，消息类型包含机密性和完整性；机密性对应安全策略其一，完整性对应所述安全策略其二，机密性和完整性对应所述安全策略其三。

详细的，控制消息的类型根据控制消息的需求分为完整性和机密性。可选的，通过控制消息判断控制消息的消息类型，从而查找该消息类型所对应的安全策略，进而将来自OpenFlow控制器的控制消息封装成安全消息以发送到OpenFlow交换机执行。其中，根据控制消息首部信息来获得控制消息类型。通过在OpenFlow控制器中的控制消息的消息类型查找所对应的安全策略。其中，控制消息的发送和接收分别是通过Datapath类(controller.py)中的_send_loop函数和_recv_loop函数实现的。可选的，由于控制消息被篡改时，OpenFlow控制器和交换机之间的连接一般会断开，所有控制消息在默认情况下都需要完整性保护，因此与完整性对应的安全策略其一可以设置为默认安全策略。

可选的，控制消息的消息类型为完整性时，通过控制器认证码封装控制消息，以将控制器认证码附加到控制消息从而生成安全消息。控制消息的类型为保密性时，通过共享密钥封装控制消息，以将共享密钥附加到控制消息从而生成安全消息。此外，当消息类型包含完整性和保密性时，通过上述两次封装过程一并生成安全消息。以上内容可以切换或者兼并完整性和保密性两种消息类型。

作为一种较优的实施方式，步骤(6)中，还包含拦截安全消息，依据安全策略通过共享密钥和/或控制器认证码将安全消息还原成原始消息，并判断原始消息是否与控制消息相同；且当原始消息与控制消息相同时，OpenFlow控制器发送安全消息到所述OpenFlow交换机执行。

详细的，拦截加密后发送到OpenFlow交换机的安全消息，根据提供的安全策略利用共享密钥和/或控制器认证码将封装后的安全消息还原以执行解密操作，从而通过还原后的原始消息与控制消息进行比较，判断出控制消息是否被其他设备恶意篡改或窃取。当原始消息与控制消息相同时，认定设备来源合法且完整，提高了通信安全性。如果安全消息无法通过共享密钥解析或者解析后的原始消息与控制消息不同时，则表示安全消息在传输过程中被恶意篡改过或者是由其他非法设备伪造产生的。此时，丢弃非法的安全消息，OpenFlow交换机不会接收到或者不执行安全消息。

作为一种较优的实施方式，步骤(4)中，还包含利用哈希函数处理OpenFlow交换机的设备公钥，将OpenFlow控制器的设备公钥的哈希值作为标识OpenFlow交换机的交换机认证码；步骤(7)中，还包含在OpenFlow交换机执行安全消息后，通过交换机认证码封装安全消息以生成响应消息；通过交换机验证码将响应消息能够还原成安全消息时，发送响应消息到OpenFlow控制器，否则丢弃响应消息。

详细的，在OpenFlow交换机执行安全消息后，通过交换机认证码封装安全消息以生成向OpenFlow控制器发出的响应消息，从而发出了安全消息执行成功的信号。当交换机验证码通过响应消息还原成安全消息时，表示响应消息没被其他非法设备侵入或篡改，即说明OpenFlow交换机成功执行安全消息。当交换机验证码通过响应消息不能还原成安全消息时，表示响应消息被其他非法设备侵入或篡改，即说明OpenFlow交换机未成功执行安全消息。因此为了保证通信和设备的安全，响应消息被丢弃。

在使用时，先为OpenFlow控制器和OpenFlow交换机分别预设唯一的种子值，并分别对OpenFlow控制器和OpenFlow交换机各自的种子值进行哈希以生成设备私钥。然后通过非对称算法得到各设备中与设备私钥对应的设备公钥。OpenFlow控制器和OpenFlow交换机的设备公钥分别进行哈希，以将OpenFlow控制器的设备公钥的哈希值作为控制器认证码，OpenFlow交换机的设备公钥的哈希值作为交换机认证码。根据OpenFlow控制器和OpenFlow交换机的设备公钥和设备私钥进行哈希以产生OpenFlow控制器和OpenFlow交换机的共享密钥。通过OpenFlow控制器输入管理员请求，OpenFlow控制器将管理员请求转换为控制消息。通过管理员请求输入控制消息所需求的消息类型，选择三种安全策略其中一项进行操作：当输入消息类型为机密性时，控制消息通过共享密钥将控制消息封装成安全消息后发送到OpenFlow交换机；当输入消息类型为完整性时，通过OpenFlow控制器的控制器认证码将控制消息封装成安全消息；当输入消息类型为机密性和完整性时，通过控制器认证码和共享密钥共同将控制消息封装成安全消息。OpenFlow交换机在接收安全消息之前，安全消息被拦截并根据选择的安全策略通过控制器认证码和/或共享密钥还原成原始消息。当原始消息与原OpenFlow控制器发出的控制消息相同时，即通过不同安全策略的消息类型判断安全消息完整和/或保密性高，从而推断出安全消息的来源是否合法以及是否被其他设备侵入，从而将合法、完整的安全消息发送到OpenFlow交换机执行。当原始消息与原OpenFlow控制器发出的控制消息不同时，认定安全消息来源非法或者内容被篡改，将安全消息丢弃。并且，在OpenFlow交换机执行后，将安全消息通过交换机认证码封装成响应消息并发送到OpenFlow控制器中。当通过交换机认证码能够将响应消息还原成安全消息时，认定响应消息未被其他设备以身份欺骗而侵入，即OpenFlow交换机执行的安全消息来源合法和内容完整，从而发送响应消息到OpenFlow控制器，否则即安全消息来源非法或者内容被篡改并丢弃响应消息。

OpenFlow网络中的轻量级控制通道通信保护方法的工作原理是，通过对OpenFlow控制器和OpenFlow交换机设置唯一的种子值，便于多个OpenFlow控制器和OpenFlow交换机之间进行通信。对OpenFlow控制器和OpenFlow交换机的种子值分别进行哈希以生成设备私钥，并通过非对称算法生成设备公钥，使得各个设备均设有对应的设备私钥和设备公钥。通过对OpenFlow控制器的设备公钥进行哈希，以得到哈希值作为控制器认证码，防止非法设备恶意篡改，便于认证发出的控制消息的完整性。通过对设备公钥和设备私钥进行哈希以生成共享密钥，通过共享密钥对OpenFlow控制器发的控制消息进行封装，便于认证控制消息的保密性。通过切换保密性和安全性的方式以及对设备标识的方式，降低了通信能耗。通过兼并保密性和安全性的方式，提高了通信安全性。同理，通过OpenFlow交换机的交换机认证码，便于认证执行通过安全消息加密后的控制消息的执行进程，防止非法设备恶意篡改，保证了通信的安全性。

需要说明的是，以上实施例1只是为了具体说明本发明的具体实施方式，并不代表局限于上述其中一种方式，因此，在本领域技术人员能够理解的条件下，做出的简单变换或者常用技术手段直接置换的方式，均属于本发明的保护内容。

实施例2

请参照图2，本实施例提供应用实施例1中OpenFlow网络中的轻量级控制通道通信保护方法的系统，包含设备身份生成模块、控制消息过滤模块、安全消息生成模块和策略管理模块。

详细的，设备身份生成模块与OpenFlow控制器以及OpenFlow交换机分别连接以根据OpenFlow控制器和OpenFlow交换机的所述种子值进行哈希以生成设备私钥，并对设备私钥进行哈希以生成设备公钥。设备身份生成模块根据OpenFlow控制器的设备公钥进行哈希以将哈希值作为控制器认证码，并利用密钥协商算法根据OpenFlow控制器和OpenFlow交换机的设备私钥和设备公钥生成共享密钥。具体过程见上述实施例1中的具体实施方式。其中，设备在出厂时内置了一个唯一的种子值。可选的，设备身份生成模块使用伪随机数产生器(Cryptographically Secure Pseudo-Random Number Generator，CSPRNG)获得设备的初始种子值，由于算法的高效性，选择椭圆曲线算法和SHA256为每一个设备计算唯一的身份和密钥。可选的，采用椭圆曲线Diffie-Hellman算法作为密钥协商算法。

可选的，OpenFlow控制器设备公钥进行哈希的加密过程采用高级加密标准(Advanced Encryption Standard，AES)作为首选加密算法，并采用哈希消息认证码(Hash-based Message Authentication Code,HMAC)作为控制器认证码来保证消息的完整性。

详细的，控制消息过滤模块用于存储多个安全策略；其中，多个安全策略包含三种：其一是通过控制器认证码将控制消息封装成安全消息；其二是通过OpenFlow控制器和OpenFlow交换机的共享密钥将控制消息封装成安全消息；其三是进行所述安全策略其一以及所述安全策略其二的操作。

可选的，控制消息过滤模块以键值对的形式存储多个安全策略。其中，键是指控制消息的消息类型，值是指控制消息的消息需求，消息类型和消息需求对应，从而便于在安全消息生成模块选择安全策略时根据消息类型查找对应的安全策略。可选的，消息类型通过控制消息首部信息来获得，消息需求包含完整性和机密性。可选的，控制消息过滤模块默认将完整性作为所有控制消息的安全策略，即设备的每个消息都需要完整性保护。其中，机密性保护是指控制消息的来源是否合法，完整性是指控制消息的内容是否完整。可选的，消息需求为完整性时，通过控制器认证码将控制消息封装成安全消息；当消息需求为保密性时，通过共享密钥将控制消息封装成安全消息。可选的，网络管理员可以通过安全消息生成模块根据消息需求选择以更改默认的安全策略或禁用安全策略。

详细的，安全消息生成模块连接在OpenFlow控制器和OpenFlow交换机之间以拦截控制消息；安全消息生成模块与控制消息过滤模块连接以选择至少一个安全策略；安全消息生成模块与设备身份生成模块连接，以将控制消息通过控制器认证码和/或共享密钥封装成不同安全消息。

可选的，在发送安全消息前，安全消息生成模块需要修改安全消息首部中的长度字段，以便接收OpenFlow控制器能够获得完整的消息，并且当安全消息解析模块处理安全消息时，还需要将长度字段更新为原始值。在安全消息生成模块通过控制器认证码和/或共享密钥对控制消息加密过程中，AES算法仅仅将控制消息的负载部分通过共享密钥进行加密，保留原始的控制消息首部，因此安全消息解析模块可以正常地识别安全控制消息的消息类型。可选的，为保证完整性，安全消息生成模块利用HMAC认证码作为控制器认证码，添加到OpenFlow控制器的控制消息后以形成安全消息。HMAC认证码是密钥相关的哈希运算消息认证码，不仅可以保证安全控制消息不被篡改，也可以保证安全控制消息来源的真实性。

详细的，策略管理模块与安全消息生成模块连接以获取安全消息，策略管理模块与OpenFlow交换机连接以将安全消息发送到OpenFlow交换机。上述具体实现过程见实施例1中具体实施方式。其中，策略管理模块基于TCP协议的控制通道将安全消息发送到OpenFlow交换机。可选的，策略管理模块设有为网络管理员开放的策略操作接口，管理员的策略操作包含增加策略、更新策略、删除策略等。具体的，OpenFlow控制器将网络管理员的策略操作请求封装成策略控制消息，并通过控制器认证码将策略控制消息封装成策略安全消息并下发至OpenFlow交换机。其中，策略管理模块在拦截到策略安全消息后，首先通过控制器认证码验证安全策略的合法性，然后根据网络管理员的指示更新控制消息过滤模块中的多个安全策略。其中，验证安全策略的合法性的过程可以包含通过验证TCP协议的方式。

作为一种较优的实施方式，系统还包含安全消息解析模块；安全消息解析模块连接在策略管理模块与OpenFlow交换机之间以拦截安全消息；安全消息解析模块与安全消息生成模块连接以判断是否能通过共享密钥和/或控制器认证码将安全消息还原成控制消息；策略管理模块与安全消息解析模块连接，以当安全消息解析模块判断出安全消息能够还原成控制消息时，将安全消息发送到OpenFlow交换机以执行安全消息。

详细的，安全消息解析模块拦截到安全消息，通过与安全消息生成模块连接以获取选择的安全策略和控制消息，以根据安全策略通过共享密钥和/或控制器认证码执行解密操作，将安全消息还原成原始消息，并判断原始消息是否是控制消息。当原始消息是控制消息时，认定安全消息是安全的并发送安全消息到OpenFlow交换机执行，当安全消息还原错误或者原始消息不是控制消息时，认定安全消息是不安全的并丢弃安全消息。

作为一种较优的实施方式，策略管理模块包含执行响应模块；执行响应模块分别与OpenFlow交换机以及OpenFlow控制器连接，以当OpenFlow交换机执行安全消息后将响应消息发送到OpenFlow控制器。

详细的，策略管理模块与OpenFlow交换机连接以获取执行完安全消息的信号，并通过与OpenFlow控制器连接以发送响应消息到OpenFlow控制器以表示OpenFlow交换机执行完安全消息。可选的，设备身份生成模块利用哈希函数处理OpenFlow交换机的设备公钥，将OpenFlow控制器的设备公钥的哈希值作为标识OpenFlow交换机的交换机认证码。安全消息生成模块通过与设备身份生成模块连接以获取交换机认证码，并封装在安全消息以生成响应消息。策略管理模块与OpenFlow交换机连接以获取响应消息，并通过交换机验证码将响应消息还原成安全消息，且当能够还原成安全消息时将响应消息发送到OpenFlow控制器。

作为一种较优的实施方式，设备身份生成模块包含私钥生成模块，公钥生成模块、认证生成模块和共享生成模块；其中：私钥生成模块分别与OpenFlow控制器以及OpenFlow交换机连接，以对OpenFlow控制器和OpenFlow交换机的种子值进行哈希以生成设备私钥；公钥生成模块与私钥生成模块连接，以对OpenFlow控制器和OpenFlow交换机的设备私钥利用非对称密码算法分别产生OpenFlow控制器和OpenFlow交换机的设备公钥；认证生成模块与公钥生成模块连接以根据OpenFlow控制器的所述设备公钥进行哈希，以生成哈希值作为控制器认证码；共享生成模块分别与私钥生成模块以及公钥生成模块连接，以对OpenFlow控制器以及OpenFlow交换机的设备私钥和设备公钥进行哈希以产生OpenFlow控制器和OpenFlow交换机的共享密钥。

在使用时，先通过设备身份生成模块为OpenFlow控制器和OpenFlow交换机分别预设唯一的种子值，并分别对OpenFlow控制器和OpenFlow交换机各自的种子值进行哈希以生成设备私钥。其中，设备私钥用于认证自己发出的内容。然后设备身份生成模块通过非对称算法得到各设备中与设备私钥对应的设备公钥。其中，设备公钥用于通信时的设备身份标识，并且能够识别出设备私钥标识的内容。并且设备身份生成模块根据OpenFlow控制器和OpenFlow交换机的设备公钥和设备私钥进行哈希以产生OpenFlow控制器和OpenFlow交换机的共享密钥。其中，共享密钥用于识别特定的OpenFlow控制器和OpenFlow交换机之间的传输内容。通过OpenFlow控制器输入管理员请求，OpenFlow控制器将管理员请求转换为控制消息。安全消息生成模块将控制消息通过共享密钥封装成安全消息，通过策略管理模块将安全消息发送到OpenFlow交换机，从而OpenFlow交换机执行经过认证后的安全消息。其中，OpenFlow交换机在执行安全消息之前，安全消息生成模块将拦截到的安全消息通过共享密钥的安全策略还原成原始消息。通过安全消息解析模块判断原始消息与原OpenFlow控制器发出的控制消息相同时，即安全消息来源合法且内容完整，策略管理模块将安全消息发送到OpenFlow交换机执行。通过安全消息解析模块判断原始消息与原OpenFlow控制器发出的控制消息不同时，认定安全消息来源非法或者内容被篡改，策略管理模块将安全消息丢弃。并且，在OpenFlow交换机执行后，策略管理模块通过执行响应模块将响应消息发送到OpenFlow控制器中。其中，安全消息解析模块连接在策略管理模块和OpenFlow控制器之间，以拦截响应消息。可选的，通过交换机认证码将安全消息封装成响应消息，安全消息解析模块将响应消息通过交换机认证码还原成安全消息，从而当响应消息能够还原成安全消息时，认定OpenFlow交换机执行的安全消息来源合法和内容完整并发送响应信号到OpenFlow控制器，否则认定安全消息来源非法或者内容被篡改并丢弃响应信号。

综上，本发明的实施例1～2提出的一种OpenFlow网络中的轻量级控制通道通信保护方法及系统，通过OpenFlow交换机和OpenFlow控制器分别预设的位移种子值生成设备私钥和设备公钥，从而根据设备私钥和设备公钥生成OpenFlow交换机和OpenFlow控制器的共享密钥。通过共享密钥封装OpenFlow控制器的控制消息以生成安全消息发送到OpenFlow交换机，提高了控制消息传输的保密性。通过OpenFlow控制器的设备公钥生成控制器认证码以封装控制消息，提高了控制消息传输的完整性。并且通过切换两种加密操作和对设备的控制消息统一加密和解密的方式，降低了OpenFlow网络的通信能耗，并且能够广泛使用。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种OpenFlow网络中的轻量级控制通道通信保护方法，应用于OpenFlow控制器和OpenFlow交换机，所述OpenFlow控制器用于接收管理员请求，并将所述管理员请求转换成控制消息以发送到所述OpenFlow交换机执行，其特征在于，包含如下步骤：(1)所述OpenFlow控制器和所述OpenFlow交换机分别预设唯一的种子值；(2)所述OpenFlow控制器和所述OpenFlow交换机的所述种子值分别进行哈希以生成设备私钥；(3)所述OpenFlow控制器和所述OpenFlow交换机的所述设备私钥分别利用非对称密码算法产生设备公钥；(4)利用哈希函数处理所述OpenFlow控制器的所述设备公钥，将所述OpenFlow控制器的所述设备公钥的哈希值作为标识所述OpenFlow控制器的控制器认证码；(5)所述OpenFlow控制器以及所述OpenFlow交换机的所述设备私钥和所述设备公钥通过密钥协商算法以产生所述OpenFlow控制器和所述OpenFlow交换机的共享密钥；(6)拦截所述控制消息并选择以下安全策略之一以对所述控制消息进行操作：其一是通过所述控制器认证码将所述控制消息封装成所述安全消息，其二是通过所述OpenFlow控制器和所述OpenFlow交换机的所述共享密钥将所述控制消息封装成所述安全消息，其三是共同进行其一和其二的操作；(7)将所述安全消息发送到所述OpenFlow交换机执行。

2.根据权利要求1所述的一种OpenFlow网络中的轻量级控制通道通信保护方法，其特征在于，所述步骤(6)中，还包含通过所述OpenFlow控制器的所述控制消息的消息类型选择所述安全策略之一以将所述控制消息封装成所述安全消息。

3.根据权利要求2所述的一种OpenFlow网络中的轻量级控制通道通信保护方法，其特征在于，所述步骤(6)中，所述消息类型包含机密性和完整性；所述机密性对应安全策略其一，所述完整性对应所述安全策略其二，所述机密性和所述完整性对应所述安全策略其三。

4.根据权利要求1所述的一种OpenFlow网络中的轻量级控制通道通信保护方法，其特征在于，所述步骤(6)中，还包含拦截所述安全消息，依据所述安全策略通过所述共享密钥和/或所述控制器认证码将所述安全消息还原成原始消息，并判断所述原始消息是否与所述控制消息相同；且当所述原始消息与所述控制消息相同时，所述OpenFlow控制器发送所述安全消息到所述OpenFlow交换机执行。

5.根据权利要求1-4任一项所述的一种OpenFlow网络中的轻量级控制通道通信保护方法，其特征在于，所述步骤(4)中，还包含利用哈希函数处理所述OpenFlow交换机的所述设备公钥，将所述OpenFlow控制器的所述设备公钥的哈希值作为标识所述OpenFlow交换机的交换机认证码；所述步骤(7)中，还包含在所述OpenFlow交换机执行所述安全消息后，通过所述交换机认证码封装所述安全消息以生成响应消息；通过所述交换机验证码将所述响应消息能够还原成所述安全消息时，发送所述响应消息到所述OpenFlow控制器。

6.应用权利要求1所述的一种OpenFlow网络中的轻量级控制通道通信保护方法的系统，其特征在于，包含设备身份生成模块、控制消息过滤模块、安全消息生成模块和策略管理模块；其中：

所述设备身份生成模块与所述OpenFlow控制器以及所述OpenFlow交换机分别连接以根据所述OpenFlow控制器和所述OpenFlow交换机的所述种子值生成所述设备私钥和所述设备公钥；所述设备身份生成模块根据所述OpenFlow控制器的所述设备公钥生成所述控制器认证码，并根据所述OpenFlow控制器和所述OpenFlow交换机的所述设备私钥和所述设备公钥生成所述共享密钥；

所述控制消息过滤模块用于存储多个所述安全策略；其中，多个所述安全策略包含：其一是通过所述控制器认证码将所述控制消息封装成所述安全消息；其二是通过所述OpenFlow控制器和所述OpenFlow交换机的所述共享密钥将所述控制消息封装成所述安全消息；其三是进行所述安全策略其一以及所述安全策略其二的操作；

所述安全消息生成模块连接在所述OpenFlow控制器和所述OpenFlow交换机之间以拦截所述控制消息；所述安全消息生成模块与所述控制消息过滤模块连接以选择至少一个所述安全策略；所述安全消息生成模块与所述设备身份生成模块连接，以将所述控制消息通过所述控制器认证码和/或所述共享密钥封装成所述安全消息；

所述策略管理模块分别与所述安全消息生成模块以及所述OpenFlow交换机连接，以将所述安全消息发送到所述OpenFlow交换机。

7.根据权利要求6所述的系统，其特征在于，还包含安全消息解析模块；所述安全消息解析模块连接在所述策略管理模块与所述OpenFlow交换机之间以拦截所述安全消息；所述安全消息解析模块与所述安全消息生成模块连接以判断是否能通过所述共享密钥和/或所述控制器认证码将所述安全消息还原成所述控制消息；所述策略管理模块与所述安全消息解析模块连接，以当所述安全消息解析模块判断出所述安全消息能够还原成所述控制消息时，将所述安全消息发送到所述OpenFlow交换机以执行所述安全消息。

8.根据权利要求6或7所述的系统，其特征在于，所述策略管理模块包含执行响应模块；所述执行响应模块分别与所述OpenFlow交换机以及所述OpenFlow控制器连接，以当所述OpenFlow交换机执行所述安全消息后将响应消息发送到所述OpenFlow控制器。

9.根据权利要求6所述的系统，其特征在于，所述设备身份生成模块包含私钥生成模块，公钥生成模块、认证生成模块和共享生成模块；其中：

所述私钥生成模块分别与所述OpenFlow控制器以及所述OpenFlow交换机连接，以对所述OpenFlow控制器和所述OpenFlow交换机的所述种子值进行哈希以生成所述设备私钥；

所述公钥生成模块与所述私钥生成模块连接，以对所述OpenFlow控制器和所述OpenFlow交换机的所述设备私钥利用非对称密码算法产生所述OpenFlow控制器和所述OpenFlow交换机的所述设备公钥；

所述认证生成模块与所述公钥生成模块连接以根据所述OpenFlow控制器的所述设备公钥进行哈希，以生成哈希值作为所述控制器认证码；

所述共享生成模块分别与所述私钥生成模块以及所述公钥生成模块连接，以对所述OpenFlow控制器以及所述OpenFlow交换机的所述设备私钥和所述设备公钥进行哈希以产生所述共享密钥。

10.根据权利要求6-7、9任一项所述的系统，其特征在于，多个所述安全策略根据所述控制消息的消息类型选择；所述消息类型包含完整性和机密性；所述完整性与所述安全策略其一对应，所述机密性与所述安全策略其二对应。

Images