[发明专利]一种基于TPM的SDN流表下发方法

说明书

技术领域

本发明涉及网络技术领域，具体涉及一种基于TPM的SDN流表下发方法。

背景技术

SDN即软件定义网络(Software Defined Networking，SDN)，是以OpenFlow协议为基础的网络架构，通过虚拟化技术并采用集中式的控制方式，将网络设备的控制面和数据面分离，易于资源的灵活调度。包含SDN交换机和SDN控制器，其中，SDN控制器负责网络的拓扑管理，并配置转发流表；OpenFlow交换机只需按照SDN控制器的设置来完成数据包的转发。

TPM(Trusted Platform Module)是可信计算平台的核心，能够为终端和平台提供基于硬件的数据安全存储和密码运算。同时在系统启动过程中，以TPM硬件中的可信度量根为起点，对系统组件进行度量并构建信任链生成的完整性度量日志，保证系统启动运行过程中的安全可信。

当SDN控制器下发流表至SDN交互机，并进行数据转发时，下发的流表是基于OpenFlow协议且是明文，安全性较差，易被恶意攻击和篡改，因此，利用TPM创建会话功能和秘钥管理功能，对流表文件进行加密，并将加密后的密文发送至SDN交换机中，保证SDN网络通信的安全可靠。

发明内容

本发明要解决的技术问题是：本发明针对以上问题，提供一种基于TPM的SDN流表下发方法。

本发明所采用的技术方案为：

一种基于TPM的SDN流表下发方法，所述方法通过在SDN控制器上内置TPM芯片，当SDN控制器生成流表时，通过TPM产生的秘钥进行加密，并将流表文件发送至SDN交换机，SDN交互机接收到的流表消息后，解密该信息后并以预设的网络访问方式从SDN控制器获取所述流文件中的流表项，并根据获取的流表项配置并下发流表。

通过对流表文件的加密，能够保证SDN网络控制通信的安全性，同时还能保证SDN控制器从启动至运行过程中的可信性。

所述方法涉及的内置TPM芯片的SDN控制器为一个，SDN交换机为多个，SDN控制器通过OpenFlow协议与SDN交换机进性网络控制。

所述方法通过TPM产生的秘钥进行加密过程如下：

当SDN控制器需要产生流表时，预先设定加密算法，并通过TPM的秘钥加载命令产生对应的秘钥，获取秘钥后再调用相应的秘钥加密命令对流表文件进行加密，并将加密后的文件发送至SDN交换机中。

所述SDN交换机收到加密流文件后，解密该文件，通过流表对数据进行转发，完成网络交换，保证其SDN网络通信的安全性。

本发明的有益效果为：

本发明方法通过对流表文件的加密，能够保证SDN网络控制通信的安全性，同时还能保证SDN控制器从启动至运行过程中的可信性。

附图说明

图1是本发明基于外部存储的TPM度量日志管理系统结构示意图；

图2是本发明基于外部存储的TPM度量日志应用流程图。

具体实施方式

下面根据说明书附图，结合具体实施方式对本发明进一步说明：

实施例1：

如图1所示，一种基于TPM的SDN流表下发方法，所述方法通过在SDN控制器上内置TPM芯片，当SDN控制器生成流表时，通过TPM产生的秘钥进行加密，并将流表文件发送至SDN交换机，SDN交互机接收到的流表消息后，解密该信息后并以预设的网络访问方式从SDN控制器获取所述流文件中的流表项，并根据获取的流表项配置并下发流表。

通过对流表文件的加密，能够保证SDN网络控制通信的安全性，同时还能保证SDN控制器从启动至运行过程中的可信性。

实施例2：

在实施例1的基础上，本实施例所述方法涉及的内置TPM芯片的SDN控制器为一个，SDN交换机为多个，SDN控制器通过OpenFlow协议与SDN交换机进性网络控制。

实施例3：

在实施例1或2的基础上，本实施例所述方法通过TPM产生的秘钥进行加密过程如下：

当SDN控制器需要产生流表时，预先设定加密算法，并通过TPM的秘钥加载命令产生对应的秘钥，获取秘钥后再调用相应的秘钥加密命令对流表文件进行加密，并将加密后的文件发送至SDN交换机中。

实施例4：

在实施例3的基础上，本实施例所述SDN交换机收到加密流文件后，解密该文件，通过流表对数据进行转发，完成网络交换，保证其SDN网络通信的安全性。

实施例5：