CN111934888A - 一种改进软件定义网络的安全通信系统 - Google Patents
一种改进软件定义网络的安全通信系统 Download PDFInfo
- Publication number
- CN111934888A CN111934888A CN202011028493.1A CN202011028493A CN111934888A CN 111934888 A CN111934888 A CN 111934888A CN 202011028493 A CN202011028493 A CN 202011028493A CN 111934888 A CN111934888 A CN 111934888A
- Authority
- CN
- China
- Prior art keywords
- client
- message
- secure communication
- communication service
- service layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种改进软件定义网络的安全通信系统,包括:应用层、安全通信服务层、控制层和转发层;所述应用层包括多个客户端,所述客户端作为请求客户端或目标客户端;所述安全通信服务层设置有安全数据库,所述安全数据库存储有客户端身份标识列表、安全通信服务层公私钥对、多个客户端公钥和多个客户端网络地址。可以解决现有软件定义网络全网的信息和数据以明文形式在网络上传播,导致隐私容易泄漏;以及软件定义网络的可编程性导致的易受到外界的恶意入侵等问题。
Description
技术领域
本申请涉及安全通信技术领域,具体的涉及一种改进软件定义网络的安全通信系统。
背景技术
软件定义网络(Software Defined Network,SDN)是对传统网络架构的一次重构,将原来分布式控制的网络架构重构为集中控制的网络架构。即在分布式网络连接之上,引入一个集中统一的控制与管理层来实现网络全局管理和对上层业务的动态响应。
然而,现有软件定义网络的全网设备资源是对外暴露的,潜藏着较大的资源访问安全隐患,尤其,网络流量中存在着有价值的信息和数据,将这些有价值的信息和数据以明文的形式在网络上传播,会导致隐私的泄漏;另外,软件定义网络的可编程性为恶意入侵提供了接口,易受到外界的恶意入侵。
发明内容
本申请提供一种改进软件定义网络的安全通信系统,可以解决现有软件定义网络全网的信息和数据以明文的形式在网络上传播,导致隐私容易泄漏;以及软件定义网络的可编程性导致的易受到外界的恶意入侵等问题。
一种改进软件定义网络的安全通信系统,包括:应用层、安全通信服务层、控制层和转发层;所述应用层包括多个客户端,所述客户端作为请求客户端或目标客户端;所述安全通信服务层设置有安全数据库,所述安全数据库存储有客户端身份标识列表、安全通信服务层公私钥对、多个客户端公钥和多个客户端网络地址;
所述请求客户端配置有:
连接请求发送步骤,向所述安全通信服务层发送连接请求消息;所述连接请求消息由连接请求消息文本经过数字签名并使用安全通信服务层公钥加密得到;
所述安全通信服务层配置有:
连接请求验证步骤,使用安全通信服务层私钥对接收到的所述连接请求消息解密并进行签名验证,得到所述连接请求消息文本;
客户端网址查询步骤,根据所述连接请求消息文本,在所述安全数据库内查找目标客户端公钥和目标客户端网络地址;
请求密文发送步骤,根据所述目标客户端网络地址,经过所述控制层向所述转发层发送连接请求消息密文,所述连接请求消息密文由所述连接请求消息文本经过数字签名并通过所述目标客户端公钥加密得到;
所述转发层配置有:
密文转发步骤,根据所述控制层制定的转发策略,向所述目标客户端转发所述连接请求消息密文;所述转发策略根据所述目标客户端网络地址制定;
所述目标客户端配置有:
请求应答步骤,如果目标客户端私钥能够解密所述连接请求消息密文并签名验证成功,向所述安全通信服务层发送请求确认消息密文,所述请求确认消息密文由请求确认消息经过数字签名并通过所述安全通信服务层公钥加密得到;
所述安全通信服务层进一步配置有:
请求确认消息密文验证步骤,使用所述安全通信服务层私钥对接收到的所述请求确认消息密文解密并进行签名验证;如果密文解密成功且签名验证成功,所述请求客户端与所述目标客户端之间成功建立安全连接。
本申请提供的改进软件定义网络的安全通信系统,在现有的软件定义网络中引入了安全通信服务层,利用安全通信服务层,以及在网络中传输的消息以密文状态进行传输,可以保护通信内容的隐私性,进一步保证了网络内编程接口的安全性,客户端之间的通信变得可信。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种改进软件定义网络的安全通信系统拓扑图;
图2为图1所示改进软件定义网络的安全通信系统的第一种通信示意图;
图3为图1所示改进软件定义网络的安全通信系统的第二种通信示意图;
图4为图1所示改进软件定义网络的安全通信系统的第三种通信示意图;
图5为图1所示改进软件定义网络的安全通信系统的第四种通信示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例提供的一种改进软件定义网络的安全通信系统拓扑图;图2为图1所示改进软件定义网络的安全通信系统的第一种通信示意图。结合图1和图2,本申请实施例提供一种改进软件定义网络的安全通信系统,包括:应用层1、安全通信服务层2、控制层3和转发层4;应用层1包括多个客户端11,客户端11可以作为请求客户端12或目标客户端13,应用层1可以包括n个客户端11,例如客户端1、客户端2、…、客户端i、…、客户端j、…、客户端n,其中,i,j,n均是任一正整数,且i=1,2,3,…n,j=1,2,3,…n。安全通信服务层2内设置有安全数据库,安全数据库用于存储客户端身份标识列表、安全通信服务层公私钥对、多个客户端公钥和多个客户端网络地址等数据。客户端身份标识可以用ID表示,客户端身份标识ID可以由客户端身份信息通过哈希操作得到,任意客户端i有一对公私钥对(PKi,SKi),任意客户端j有一对公私钥对(PKj,SKj),安全通信服务层2的公私钥对用(PK,SK)表示,任意客户端i的网络地址用ADi表示,任意客户端j的网络地址用ADj表示。
继续参考图1和图2,任意客户端11可作为请求客户端12,任意客户端11也可以作为目标客户端13,在一次通信过程中,请求客户端12和目标客户端13是相互对应的,如图2所示,客户端i作为请求客户端12,客户端j作为目标客户端13,则请求客户端i可以配置有:
连接请求发送步骤,向安全通信服务层发送连接请求消息;连接请求消息由连接请求消息文本经过数字签名并使用安全通信服务层公钥PK加密得到。连接请求消息文本可以包括请求客户端身份标识IDi、目标客户端身份标识IDj和连接请求指令R-Cn(request-connection),则连接请求消息文本可以表示为(IDi,IDj,R-Cn)。连接请求消息可以表示为E[(IDi,IDj,R-Cn),PK]。
安全通信服务层2配置有:
连接请求验证步骤,使用安全通信服务层私钥SK对接收到的连接请求消息解密并进行签名验证,得到连接请求消息文本(IDi,IDj,R-Cn),如果连接请求消息的解密失败或者签名验证失败,请求客户端i的连接请求失败。
客户端身份验证步骤,如果使用安全通信服务层私钥SK对接收到的连接请求消息解密成功并签名验证成功,得到连接请求消息文本(IDi,IDj,R-Cn),在客户端身份标识列表内查找请求客户端身份标识IDi和目标客户端身份标识IDj;如果在客户端身份标识列表内能够查找到请求客户端身份标识IDi和目标客户端身份标识IDj,则客户端身份验证通过,如果未查找到,则客户端身份验证未通过,请求客户端i的连接请求失败。
客户端网址查询步骤,根据连接请求消息文本(IDi,IDj,R-Cn),在安全数据库内查找目标客户端公钥PKj和目标客户端网络地址ADj。
请求密文发送步骤,根据目标客户端网络地址ADj,经过控制层向转发层发送连接请求消息密文,连接请求消息密文由连接请求消息文本(IDi,IDj,R-Cn)经过数字签名并通过目标客户端公钥PKj加密得到;连接请求消息密文可以表示为E[(IDi,IDj,R-Cn),PKj]。
控制层3配置有:
消息完整性验证步骤,验证连接请求消息密文的完整性。如果连接请求消息密文不完整,向安全通信服务层反馈不完整消息,安全通信服务层重新发送连接请求消息密文,控制层针对新接收到的连接请求消息密文进行完整性的验证,直至完整性验证通过。
制定转发策略步骤,如果连接请求消息密文的完整性验证通过,根据所述目标客户端网络地址制定转发策略[F-S]。
转发策略发送步骤,将连接请求消息密文E[(IDi,IDj,R-Cn),PKj]和转发策略[F-S]发送至转发层。
转发层4配置有:
密文转发步骤,根据控制层制定的转发策略[F-S],向目标客户端j转发连接请求消息密文E[(IDi,IDj,R-Cn),PKj]。
目标客户端j配置有:
请求应答步骤,如果目标客户端私钥SKj能够解密连接请求消息密文E[(IDi,IDj,R-Cn),PKj]并签名验证成功,向安全通信服务层发送请求确认消息密文,请求确认消息密文是请求确认消息经过数字签名并通过安全通信服务层公钥PK加密得到;请求确认消息包括请求客户端身份标识IDi、目标客户端身份标识IDj和确认请求应答R-Cf(request-confirmation),请求确认消息密文可以表示为E[(IDi,IDj,R-Cf),PK]。
安全通信服务层2进一步配置有:
请求确认消息密文验证步骤,使用安全通信服务层私钥SK对接收到的请求确认消息密文E[(IDi,IDj,R-Cf),PK]进行解密并签名验证;如果密文解密成功且签名验证成功,请求客户端i与目标客户端j之间成功建立安全连接。
本实施例提供的改进软件定义网络的安全通信系统,在现有的软件定义网络中引入了安全通信服务层,利用安全通信服务层,以及在网络中传输的消息以密文状态进行传输,可以保护通信内容的隐私性,进一步保证了网络内编程接口的安全性,客户端之间的通信变得可信。
图3为图1所示改进软件定义网络的安全通信系统的第二种通信示意图。如图3所示,在图2所示的通信示意图基础上,安全通信服务层2可以进一步配置有:
连接成功通知步骤,如果请求确认消息密文验证步骤的密文解密成功且签名验证成功,通过控制层和转发层向请求客户端i和目标客户端j分别发送连接成功消息;连接成功消息包括请求客户端身份标识IDi、目标客户端身份标识IDj、请求客户端网络地址ADi、目标客户端网络地址ADj、请求客户端公钥PKi和目标客户端公钥PKj,连接成功消息可以表示为[IDi,IDj,ADi,ADj,PKi,PKj]。
请求客户端i进一步配置有:
对称密钥生成步骤,如果接收到连接成功消息[IDi,IDj,ADi,ADj,PKi,PKj],生成对称加密密钥ek。
对称密钥消息发送步骤,向安全通信服务层发送对称密钥消息,对称密钥消息由对称加密密钥ek经过数字签名并通过目标客户端公钥PKj加密得到,对称密钥消息可以表示为E[ek,PKj]。
安全通信服务层2进一步配置有:
对称密钥消息发送步骤,通过控制层3和转发层4向目标客户端j发送对称密钥消息。
目标客户端j进一步配置有:
连接成功消息接收步骤,接收连接成功消息[IDi,IDj,ADi,ADj,PKi,PKj]。
对称密钥消息解密步骤,如果接收到对称密钥消息E[ek,PKj],使用目标客户端私钥SKj对对称密钥消息E[ek,PKj]进行解密并进行签名验证,得到对称加密密钥ek。
安全通信通道建立步骤,如果接收到连接成功消息[IDi,IDj,ADi,ADj,PKi,PKj]且目标客户端私钥SKj能够解密所述对称密钥消息E[ek,PKj],以及对称密钥消息E[ek,PKj]的签名验证成功,得到对称加密密钥ek,请求客户端i与目标客户端之间j之间建立起安全通信通道。
本实施例提供的改进软件定义网络的安全通信系统,在请求客户端与目标客户端之间建立起安全连接的基础上,请求客户端生成一个对称加密密钥,作为请求客户端与目标客户端之间唯一的安全通信密钥,以建立起安全通信通道,安全通信通道两端的客户端传输的消息可以使用唯一的对称加密密钥进行加密传输,能够保护通信内容的隐私性,进一步保证了网络内编程接口的安全性,客户端之间的通信变得更加可信。
图4为图1所示改进软件定义网络的安全通信系统的第三种通信示意图。如图4所示,目标客户端j进一步配置有:
测试消息密文生成步骤,对测试消息文本进行数字签名并使用对称加密密钥进行加密,得到测试消息密文。测试消息文本可以表示为[test-Ping],测试消息密文可以表示为E[test-Ping,ek]。
测试消息密文发送步骤,向安全通信服务层发送测试消息密文E[test-Ping,ek]。
安全通信服务层2进一步配置有:
测试消息密文转发步骤,通过控制层和转发层,将测试消息密文E[test-Ping,ek]发送至请求客户端i。
请求客户端i进一步配置有:
测试消息密文解密步骤,使用对称加密密钥ek对接收到的测试消息密文E[test-Ping,ek]进行解密且进行签名验证,如果解密成功且签名验证成功,得到测试消息文本[test-Ping],请求客户端i与所述目标客户端j之间的安全通信通道通过测试。
测试反馈步骤,如果安全通信通道通过测试,向安全通信服务层发送测试反馈密文,测试反馈密文由测试反馈消息经过对称加密密钥ek的加密得到;测试反馈消息可以表示为[successful-connection],测试反馈密文可以表示为E[successful-connection,ek]。
安全通信服务层2进一步配置有:
测试反馈转发步骤,通过控制层和转发层,将测试反馈密文发送至目标客户端。
目标客户端j进一步配置有:
测试反馈密文解密步骤,使用对称加密密钥ek对所述测试反馈密文E[successful-connection,ek]进行解密。
测试反馈确认步骤,如果对称加密密钥ek能够成功解密测试反馈密文E[successful-connection,ek],得到测试反馈消息[successful-connection],确认安全通信通道的测试反馈成功。
如果请求客户端i与所述目标客户端j之间的安全通信通道未通过测试,则请求客户端i发出测试失败消息,并请求目标客户端j重新发出测试消息。
如果安全通信通道的测试反馈失败,则目标客户端重新发出测试消息。
本实施例提供的改进软件定义网络的安全通信系统,对请求客户端与目标客户端之间的安全通信通道进行测试,如果测试通过且测试反馈成功,则说明安全通信通道可以正常通信且是可信的。
图5为图1所示改进软件定义网络的安全通信系统的第四种通信示意图。如图5所示,任意客户端f可以是非注册客户端14,f=1,2,3,…n,非注册客户端身份标识IDf未存储在所客户端身份标识列表内;非注册客户端f配置有:
注册请求发送步骤,向安全通信服务层发送注册请求消息,注册请求消息包括非注册客户端身份标识IDf和注册请求指令request-regist。注册请求消息可以表示为[IDf,request-regist]。
安全通信服务层进一步配置有:
随机码生成步骤,根据接收到的注册请求消息,生成一个随机码;随机码可以表示为[Random code]。
注册信息发送步骤,向非注册客户端f发送随机码[Random code]和安全通信服务层公钥PK。可以通过非注册客户端f的电子邮箱地址或者电话号码,将随机码[Randomcode]和安全通信服务层公钥PK以邮件或者短信的形式发送至非注册客户端f。
非注册客户端进一步配置有:
随机码认证步骤,使用接收到的随机码[Random code]向安全通信服务层进行认证。可以通过电子邮箱、电话号码或者认证子系统的方式,向安全通信服务层发送随机码,对非注册客户端进行认证。其中,如果安全通信服务层收到以随机码为内容的邮件,比对生成的随机码与收到的随机码是否相同,如果相同,非注册客户端的随机码认证成功;如果安全通信服务层收到以随机码为内容的短信,比对生成的随机码与收到的随机码是否相同,如果相同,非注册客户端的随机码认证成功;如果安全通信服务层收到认证子系统传输的随机码,比对生成的随机码与收到的随机码是否相同,如果相同,非注册客户端的随机码认证成功。以上任意一种认证方式,如果比对生成的随机码与收到的随机码是不相同,则随机码认证失败,需要重新生成随机码。
安全通信服务层2进一步配置有:
密钥对创建请求发送步骤,如果非注册客户端的随机码认证成功,通过控制层和转发层向非注册客户端发送客户端密钥对创建请求消息;客户端密钥对创建请求消息可以表示为[request for key]。
非注册客户端f进一步配置有:
密钥对创建步骤,根据接收到的客户端密钥对创建请求消息,创建非注册客户端的公私钥对(PKf,SKf),且将非注册客户端公钥PKf发送至安全通信服务层。
安全通信服务层2进一步配置有:
客户端注册步骤,如果接收到非注册客户端公钥PKf,在安全数据库内创建一个新条目,新条目存储有非注册客户端身份标识IDf和非注册客户端公钥PKf。
客户端身份广播步骤,向其他客户端广播非注册客户端身份标识IDf。
本实施例提供的改进软件定义网络的安全通信系统,列举了非注册客户端成为注册客户端的过程,利用安全通信服务层对非注册客户端的身份和公钥进行管理,能够保证在全网络中的客户端的隐私性和可信性。
本说明书中各个实施例之间相同相似的部分互相参见即可。
Claims (10)
1.一种改进软件定义网络的安全通信系统,其特征在于,包括:应用层、安全通信服务层、控制层和转发层;所述应用层包括多个客户端,所述客户端作为请求客户端或目标客户端;所述安全通信服务层设置有安全数据库,所述安全数据库存储有客户端身份标识列表、安全通信服务层公私钥对、多个客户端公钥和多个客户端网络地址;
所述请求客户端配置有:
连接请求发送步骤,向所述安全通信服务层发送连接请求消息;所述连接请求消息由连接请求消息文本经过数字签名并使用安全通信服务层公钥加密得到;
所述安全通信服务层配置有:
连接请求验证步骤,使用安全通信服务层私钥对接收到的所述连接请求消息解密并进行签名验证,得到所述连接请求消息文本;
客户端网址查询步骤,根据所述连接请求消息文本,在所述安全数据库内查找目标客户端公钥和目标客户端网络地址;
请求密文发送步骤,根据所述目标客户端网络地址,经过所述控制层向所述转发层发送连接请求消息密文,所述连接请求消息密文由所述连接请求消息文本经过数字签名并通过所述目标客户端公钥加密得到;
所述转发层配置有:
密文转发步骤,根据所述控制层制定的转发策略,向所述目标客户端转发所述连接请求消息密文;所述转发策略根据所述目标客户端网络地址制定;
所述目标客户端配置有:
请求应答步骤,如果目标客户端私钥能够解密所述连接请求消息密文并签名验证成功,向所述安全通信服务层发送请求确认消息密文,所述请求确认消息密文由请求确认消息经过数字签名并通过所述安全通信服务层公钥加密得到;
所述安全通信服务层进一步配置有:
请求确认消息密文验证步骤,使用所述安全通信服务层私钥对接收到的所述请求确认消息密文解密并进行签名验证;如果密文解密成功且签名验证成功,所述请求客户端与所述目标客户端之间成功建立安全连接。
2.根据权利要求1所述的改进软件定义网络的安全通信系统,其特征在于,所述安全通信服务层进一步配置有:
连接成功通知步骤,如果所述请求确认消息密文验证步骤的密文解密成功且签名验证成功,通过所述控制层和所述转发层向所述请求客户端和所述目标客户端分别发送连接成功消息;
所述请求客户端进一步配置有:
对称密钥生成步骤,如果接收到所述连接成功消息,生成对称加密密钥;
对称密钥消息发送步骤,向所述安全通信服务层发送对称密钥消息,所述对称密钥消息由所述对称加密密钥经过数字签名并通过所述目标客户端公钥加密得到;
所述安全通信服务层进一步配置有:
对称密钥消息发送步骤,通过所述控制层和所述转发层向所述目标客户端发送所述对称密钥消息;
所述目标客户端进一步配置有:
连接成功消息接收步骤,接收所述连接成功消息;
对称密钥消息解密步骤,如果接收到所述对称密钥消息,使用所述目标客户端私钥对所述对称密钥消息解密并进行签名验证,得到所述对称加密密钥;
安全通信通道建立步骤,如果接收到所述连接成功消息且所述对称密钥消息的签名验证成功,以及所述目标客户端私钥能够解密所述对称密钥消息,得到所述对称加密密钥,所述请求客户端与所述目标客户端之间建立起安全通信通道。
3.根据权利要求2所述的改进软件定义网络的安全通信系统,其特征在于,所述连接请求消息文本包括请求客户端身份标识、目标客户端身份标识和连接请求指令;
所述请求确认消息包括所述请求客户端身份标识、所述目标客户端身份标识和确认请求应答;
所述连接成功消息包括所述请求客户端身份标识、所述目标客户端身份标识、请求客户端网络地址、所述目标客户端网络地址、请求客户端公钥和所述目标客户端公钥。
4.根据权利要求3所述的改进软件定义网络的安全通信系统,其特征在于,所述安全通信服务层进一步配置有:
客户端身份验证步骤,如果在所述连接请求验证步骤,使用所述安全通信服务层私钥对接收到的所述连接请求消息解密成功并签名验证成功,得到所述连接请求消息文本,在所述客户端身份标识列表内查找所述请求客户端身份标识和所述目标客户端身份标识;如果在所述客户端身份标识列表内能够查找到所述请求客户端身份标识和所述目标客户端身份标识,继续执行所述客户端网址查询步骤。
5.根据权利要求3所述的改进软件定义网络的安全通信系统,其特征在于,所述控制层配置有:
消息完整性验证步骤,验证所述连接请求消息密文的完整性;
制定转发策略步骤,如果所述连接请求消息密文的完整性验证通过,根据所述目标客户端网络地址制定转发策略;
转发策略发送步骤,将所述连接请求消息密文和所述转发策略发送至所述转发层。
6.根据权利要求3所述的改进软件定义网络的安全通信系统,其特征在于,所述目标客户端进一步配置有:
测试消息密文生成步骤,对测试消息文本进行数字签名并使用所述对称加密密钥进行加密,得到测试消息密文;
测试消息密文发送步骤,向所述安全通信服务层发送所述测试消息密文;
所述安全通信服务层进一步配置有:
测试消息密文转发步骤,通过所述控制层和所述转发层,将所述测试消息密文发送至所述请求客户端;
所述请求客户端进一步配置有:
测试消息密文解密步骤,使用所述对称加密密钥对接收到的所述测试消息密文解密并进行签名验证,如果解密成功且签名验证成功,得到所述测试消息文本,所述请求客户端与所述目标客户端之间的所述安全通信通道通过测试。
7.根据权利要求6所述的改进软件定义网络的安全通信系统,其特征在于,所述请求客户端进一步配置有:
测试反馈步骤,如果所述安全通信通道通过测试,向所述安全通信服务层发送测试反馈密文,所述测试反馈密文由测试反馈消息经过所述对称加密密钥加密得到;
所述安全通信服务层进一步配置有:
测试反馈转发步骤,通过所述控制层和所述转发层,将所述测试反馈密文发送至所述目标客户端;
所述目标客户端进一步配置有:
测试反馈密文解密步骤,使用所述对称加密密钥对所述测试反馈密文进行解密;
测试反馈确认步骤,如果所述对称加密密钥能够成功解密所述测试反馈密文,得到所述测试反馈消息,确认所述安全通信通道的测试反馈成功。
8.根据权利要求3所述的改进软件定义网络的安全通信系统,其特征在于,任意所述客户端作为非注册客户端,非注册客户端身份标识未存储在所述客户端身份标识列表内;所述非注册客户端配置有:
注册请求发送步骤,向所述安全通信服务层发送注册请求消息,所述注册请求消息包括所述非注册客户端身份标识和注册请求指令;
所述安全通信服务层进一步配置有:
随机码生成步骤,根据接收到的所述注册请求消息,生成一个随机码;
注册信息发送步骤,向所述非注册客户端发送所述随机码和所述安全通信服务层公钥;
所述非注册客户端进一步配置有:
随机码认证步骤,使用接收到的所述随机码向所述安全通信服务层认证;
所述安全通信服务层进一步配置有:
密钥对创建请求发送步骤,如果所述非注册客户端的随机码认证成功,通过所述控制层和所述转发层向所述非注册客户端发送客户端密钥对创建请求消息;
所述非注册客户端进一步配置有:
密钥对创建步骤,根据接收到的所述客户端密钥对创建请求消息,创建所述非注册客户端的公私钥对,且将非注册客户端公钥发送至所述安全通信服务层;
所述安全通信服务层进一步配置有:
客户端注册步骤,如果接收到所述非注册客户端公钥,在所述安全数据库内创建一个新条目,所述新条目存储有所述非注册客户端身份标识和所述非注册客户端公钥;
客户端身份广播步骤,向其他所述客户端广播所述非注册客户端身份标识。
9.根据权利要求8所述的改进软件定义网络的安全通信系统,其特征在于,在所述注册信息发送步骤,通过所述非注册客户端的电子邮箱地址或者电话号码,将所述随机码和所述安全通信服务层公钥以邮件或者短信的形式发送至所述非注册客户端。
10.根据权利要求8所述的改进软件定义网络的安全通信系统,其特征在于,在所述随机码认证步骤,通过电子邮箱、电话号码或者认证子系统的方式,向所述安全通信服务层发送所述随机码,对所述非注册客户端进行认证;
其中,如果所述安全通信服务层收到以所述随机码为内容的邮件,比对生成的所述随机码与收到的所述随机码是否相同,如果相同,所述非注册客户端的随机码认证成功;如果所述安全通信服务层收到以所述随机码为内容的短信,比对生成的所述随机码与收到的所述随机码是否相同,如果相同,所述非注册客户端的随机码认证成功;如果所述安全通信服务层收到所述认证子系统传输的随机码,比对生成的所述随机码与收到的所述随机码是否相同,如果相同,所述非注册客户端的随机码认证成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011028493.1A CN111934888B (zh) | 2020-09-27 | 2020-09-27 | 一种改进软件定义网络的安全通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011028493.1A CN111934888B (zh) | 2020-09-27 | 2020-09-27 | 一种改进软件定义网络的安全通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111934888A true CN111934888A (zh) | 2020-11-13 |
| CN111934888B CN111934888B (zh) | 2021-03-02 |
Family
ID=73333600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011028493.1A Active CN111934888B (zh) | 2020-09-27 | 2020-09-27 | 一种改进软件定义网络的安全通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111934888B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113709191A (zh) * | 2021-10-27 | 2021-11-26 | 之江实验室 | 一种安全的调整确定性时延的方法 |
| CN113890844A (zh) * | 2021-09-17 | 2022-01-04 | 济南浪潮数据技术有限公司 | 一种ping命令优化的方法、装置、设备及可读介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0553553A2 (en) * | 1991-12-09 | 1993-08-04 | AT&T Corp. | Security node in switched telecommunication network |
| JPH0685923A (ja) * | 1992-08-31 | 1994-03-25 | Fujitsu Ltd | 接続網切換方式 |
| CN104159320A (zh) * | 2013-05-15 | 2014-11-19 | 上海联影医疗科技有限公司 | 一种局域异构网络的数据交换方法 |
| CN104780069A (zh) * | 2015-04-16 | 2015-07-15 | 中国科学院计算技术研究所 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
| CN104980419A (zh) * | 2014-09-11 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 一种代理通信方法及装置 |
| US20160248664A1 (en) * | 2013-10-11 | 2016-08-25 | Xieon Networks S.À.R.L. | Centralized data path establishment augmented with distributed control messaging |
| CN107682313A (zh) * | 2017-08-28 | 2018-02-09 | 网宿科技股份有限公司 | 数据传输方法及服务器 |
| CN107690783A (zh) * | 2016-08-04 | 2018-02-13 | 胡汉强 | 一种数据传输方法、集中控制器、转发面设备和通信装置 |
| CN108881131A (zh) * | 2017-06-23 | 2018-11-23 | 中国人民解放军理工大学 | 一种sdn多域移动网络环境下主机身份鉴别信息的高效移交机制 |
| CN109600745A (zh) * | 2018-12-13 | 2019-04-09 | 江苏大学 | 一种新型的5g蜂窝网信道安全系统及安全实现方法 |
| KR20190050949A (ko) * | 2012-05-23 | 2019-05-14 | 주식회사 케이티 | eUICC를 이용하기 위한 보안 기반 환경 구축 방법 및 장치 |
-
2020
- 2020-09-27 CN CN202011028493.1A patent/CN111934888B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0553553A2 (en) * | 1991-12-09 | 1993-08-04 | AT&T Corp. | Security node in switched telecommunication network |
| JPH0685923A (ja) * | 1992-08-31 | 1994-03-25 | Fujitsu Ltd | 接続網切換方式 |
| KR20190050949A (ko) * | 2012-05-23 | 2019-05-14 | 주식회사 케이티 | eUICC를 이용하기 위한 보안 기반 환경 구축 방법 및 장치 |
| CN104159320A (zh) * | 2013-05-15 | 2014-11-19 | 上海联影医疗科技有限公司 | 一种局域异构网络的数据交换方法 |
| US20160248664A1 (en) * | 2013-10-11 | 2016-08-25 | Xieon Networks S.À.R.L. | Centralized data path establishment augmented with distributed control messaging |
| CN104980419A (zh) * | 2014-09-11 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 一种代理通信方法及装置 |
| CN104780069A (zh) * | 2015-04-16 | 2015-07-15 | 中国科学院计算技术研究所 | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 |
| CN107690783A (zh) * | 2016-08-04 | 2018-02-13 | 胡汉强 | 一种数据传输方法、集中控制器、转发面设备和通信装置 |
| CN108881131A (zh) * | 2017-06-23 | 2018-11-23 | 中国人民解放军理工大学 | 一种sdn多域移动网络环境下主机身份鉴别信息的高效移交机制 |
| CN107682313A (zh) * | 2017-08-28 | 2018-02-09 | 网宿科技股份有限公司 | 数据传输方法及服务器 |
| CN109600745A (zh) * | 2018-12-13 | 2019-04-09 | 江苏大学 | 一种新型的5g蜂窝网信道安全系统及安全实现方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113890844A (zh) * | 2021-09-17 | 2022-01-04 | 济南浪潮数据技术有限公司 | 一种ping命令优化的方法、装置、设备及可读介质 |
| CN113709191A (zh) * | 2021-10-27 | 2021-11-26 | 之江实验室 | 一种安全的调整确定性时延的方法 |
| CN113709191B (zh) * | 2021-10-27 | 2022-02-15 | 之江实验室 | 一种安全的调整确定性时延的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111934888B (zh) | 2021-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| US5818936A (en) | System and method for automically authenticating a user in a distributed network system | |
| US20090158394A1 (en) | Super peer based peer-to-peer network system and peer authentication method thereof | |
| KR20190099066A (ko) | 디지털 인증서 관리 방법 및 장치 | |
| JP2000083018A (ja) | 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法 | |
| CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
| US11349646B1 (en) | Method of providing secure communications to multiple devices and multiple parties | |
| CN107635227B (zh) | 一种群组消息加密方法及装置 | |
| CN112351019B (zh) | 一种身份认证系统及方法 | |
| CN111934888B (zh) | 一种改进软件定义网络的安全通信系统 | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| EP4096160A1 (en) | Shared secret implementation of proxied cryptographic keys | |
| CN104468074A (zh) | 应用程序之间认证的方法及设备 | |
| CN112118568B (zh) | 一种设备身份鉴权的方法及设备 | |
| CN100499453C (zh) | 一种客户端认证的方法 | |
| KR102413497B1 (ko) | 보안 전자 데이터 전송을 위한 시스템 및 방법 | |
| US11888822B1 (en) | Secure communications to multiple devices and multiple parties using physical and virtual key storage | |
| CN113965425A (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
| CN112437436B (zh) | 一种身份认证方法及装置 | |
| CN115473655A (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN111800791B (zh) | 认证方法及核心网设备、终端 | |
| CN112035820B (zh) | 一种用于Kerberos加密环境下的数据解析方法 | |
| CN114218558A (zh) | 安全多方计算中的跨域身份验证方法及服务器 | |
| CN114222296B (zh) | 一种无线网的安全接入方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |