[发明专利]一种软件定义网络下的流规则合法性认证方法

权利要求书

1.一种软件定义网络下的流规则合法性认证方法，其特征在于，包括以下步骤：

S1：构造应用程序的流规则生成权限集，对应用程序的流规则生成权限进行细化，所述步骤S1进一步包括：

S11：为应用程序的各项流规则生成权限设定权限值，所述权限值的大小用于表示应用程序是否具有该项权限；

S12：构造所述应用程序的有效流规则生成权限集合，当所述应用程序某项流规则生成权限值为最大值时，所述应用程序的该项流规则生成权限有效；

S13：构造所述应用程序的待分配流规则生成权限集合，当所述应用程序某项流规则生成权限的权限值为最小值时，所述应用程序的该项流规则生成权限待分配；

S14：构造所述应用程序的流规则生成权限全集，所述流规则生成权限全集包括所述权限值为所述最大值或所述最小值时所对应的流规则生成权限的总和，所述流规则生成权限全集包括读取状态信息方面的流规则生成权限、信息变动提示方面的流规则生成权限和写入信息方面的流规则生成权限；

S2：新应用程序在参与流规则生成服务前，应向可信第三方私钥生成中心获取用于流规则生成服务的合法身份标识，并通过SDN控制器的App认证模块对所述合法身份标识和所述有效流规则生成权限集合进行注册；

S3：采用基于身份基的签名算法对所述新应用程序生成的流规则信息进行签名，所述SDN控制器接收到具有签名的所述流规则之后，由所述App认证模块对所述流规则和生成所述流规则的应用程序的有效流规则生成权限进行验证；若通过验证，则判定所述流规则合法，所述SDN控制器接受所述流规则。

2.根据权利要求1所述的一种软件定义网络下的流规则合法性认证方法，其特征在于，所述步骤S2进一步包括：

S21：当新应用程序加入系统时，所述新应用程序向可信第三方私钥生成中心发送基本信息申请用于流规则生成服务的所述合法身份标示，所述基本信息包括开发者、名称、大小和开发日期；

S22：所述可信第三方私钥生成中心对所述新应用程序的基本信息进行审核，若审核通过，所述可信第三方私钥生成中心为所述新应用程序颁发所述合法身份标示；

S23：在所述新应用程序首次向所述SDN控制器提供流规则生成服务时，所述新应用程序向所述App认证模块提供所述合法身份标示和所述有效流规则生成权限集合，由所述App认证模块对所述应用程序的所述合法身份标示和所述有效流规则生成权限集合进行审核；

S24：若通过审核，所述App认证模块会将权限登记结果返回给所述新应用程序；若未通过审核，所述App认证模块将拒绝接受所述新应用程序的流规则服务。

3.根据权利要求2所述的一种软件定义网络下的流规则合法性认证方法，其特征在于，所述步骤S3进一步包括：

S31：可信第三方私钥生成中心生成系统的公开参数params和主密钥；

S32：新应用程序向所述可信第三方私钥生成中心发送所述合法身份标识，所述可信第三方私钥生成中心为所述新应用程序生成对应的私钥；

S33：所述新应用程序根据所述私钥和所述的合法身份标识，采用基于身份的签名算法对所述流规则进行签名；

S34：所述App认证模块根据所述新应用程序的所述身份标识，对所述流规则的签名信息进行验证，若签名合法，则接受所述流规则，并将所述流规则更新至系统流规则库。

4.根据权利要求2所述的一种软件定义网络下的流规则合法性认证方法，其特征在于，在步骤S24中，在如果未通过审核，所述App认证模块拒绝接受所述新应用程序的流规则服务后，还包括：

所述App认证模块将所述新应用程序的行为视为异常请求，并保存至应用程序异常行为日志中。