[发明专利]用于SDN群集化中基于信任的认证的方法和设备

说明书

一种管理SDN网络中节点的群集中节点的方法。所述方法包括从所述节点接收（102）加入所述群集的请求以及认证所述节点的参考的列表。所述参考被验证（104、106）并且如果所述参考通过了验证，则所述节点被允许加入所述群集（108）。然后所述节点的信任级别基于验证的参考的数量被计算，其中所述群集中所述节点的角色取决于所述节点的所述信任级别。

技术领域

本发明一般涉及软件定义的联网（SDN），并且具体涉及SDN网络中的认证和信任管理。

背景技术

软件定义的联网（SDN）在网络安全的领域中正提出新的挑战并且正打开新的观点。群集化（clustering）是SDN网络中的基础性概念：每个SDN群集供应特定服务并且节点在它们的生存期（lifetime）期间很可能多次加入和离开群集。此灵活性是弹性（elasticity）的保证，但在另一方面，对在它们的生存期期间加入和离开许多群集的装置的访问控制和认证方面造成巨大挑战。因此在此场景中主要挑战之一是分布式网络中的认证。

OpenDaylight将群集管理委托给超级节点或者种子节点（Seed Node, SN）和主节点（PN）。SN在内部维护SN知道的节点的列表并且它是被选取的节点，其任务是将新节点引入（introduce）到群集。典型地，群集中存在多于一个种子节点。如果使得一个或更多恶意节点成为群集的一部分，它们能够注入假信息到该群集中，这可导致使该群集应该提供的服务中断，最终以很多种的内部攻击而结束。如果恶意节点成为主节点或种子节点，则甚至能够进行更多损害。

发明内容

相应地，本发明寻求优选减轻、缓和或消除以上提到的一个或更多缺点（单独地或以任何组合）。

根据本发明的第一方面，提供了一种管理SDN网络中节点的群集中第一节点的方法。所述方法包括以下步骤：从所述第一节点接收加入所述节点的群集的请求并且从所述第一节点接收认证所述第一节点的参考（reference）的列表。所述方法进一步包括验证所述参考并且如果所述参考的列表中所提供的参考通过了所述验证，则允许所述第一节点加入所述节点的群集。所述方法还包括基于验证的参考的数量来计算所述第一节点的信任级别，其中所述节点的群集中所述第一节点的角色取决于所述第一节点的所述信任级别。

根据本发明的第二方面，提供了一种适合于管理SDN网络中节点的群集中第一节点的SDN控制器。所述SDN控制器包括处理器和存储器。所述存储器含有由所述处理器可执行的指令，由此所述SDN控制器可操作以从所述第一节点接收加入节点的群集的请求并且从所述第一节点接收认证所述第一节点的参考的列表。所述SDN控制器另外可操作以验证所述参考，如果所述参考的列表中所提供的参考通过了所述验证，则允许所述第一节点加入所述节点的群集，并且基于验证的参考的数量来计算所述第一节点的信任级别，其中所述节点的群集中所述第一节点的角色取决于所述第一节点的所述信任级别。

根据本发明的第三方面，提供了一种适合于管理SDN网络中的节点的群集中第一节点的SDN控制器。所述SDN控制器包括接口、控制单元、准入单元和信任级别计算器。所述接口是用于从所述第一节点接收加入节点的群集的请求并且用于从所述第一节点接收认证所述第一节点的参考的列表。所述控制单元用于验证所述参考并且所述准入单元用于如果所述参考的列表中所提供的参考通过了所述验证，则允许所述第一节点加入所述节点的群集。所述信任级别计算器用于基于验证的参考的数量来计算所述第一节点的信任级别，其中所述节点的群集中所述第一节点的角色取决于所述第一节点的所述信任级别。

根据本发明的第四方面，提供了一种计算机程序，所述计算机程序配置成，当在计算机上运行时，实行如以上所描述的方法。

本发明的另外特征如从属权利要求中所要求权利的一样。

本发明提供了群集可伸缩性（scalability）的益处，允许建立可被映射到SDN群集管理上的信任的各个级别（以能轻松地被实现为对于SDN控制器的安全附件（add-on）或嵌入式特征两者的方式）。

附图说明