[发明专利]SDN多域移动网络环境下主机身份鉴别信息的高效移交机制

说明书

本发明提出一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，网络中有多个SDN管理域和全局唯一的认证服务器，认证服务器负责全网通信实体的身份信息分配和认证管理，每个SDN管理域均在认证服务器中进行注册；每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控；各SDN管理域之间相互独立，不同SDN管理域之间通过其域控制器进行信息交互；移动主机在接入网络前先向认证服务器提供真实身份信息进行注册，移动主机在不同的SDN管理域间移动时，通过域控制器间的信息交互实现移动主机的跨域接入。本发明支持在主机移动情况下快速高效地进行身份鉴别，降低鉴别移交对实体通信效率的影响，在保证安全性的前提下提升系统的通信效率。

技术领域

本发明属于网络数据通信技术领域，具体涉及一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法。

背景技术

任何网络安全入侵行为都可以非形式化地描述为多个步骤，主动的安全防护应该在每个环节阻断安全威胁的继续发展。用户身份鉴别以及接入控制作为实体访问网络资源第一步，其作用尤为明显。然而，传统TCP/IP设计缺少鉴别与接入控制功能。现有的鉴别机制主要是基于各类密码体制所实现的端到端鉴别机制，通过对应用层数据签名的方式保证应用层数据的可信性。但是，端到端鉴别机制无法保证网络传输层以下信息的安全，核心网络基于目的地址转发的功能，要求不能对IP头部信息进行加密操作，攻击者依然可以轻松地利用虚假IP地址进行通信。通过将IP地址与可信信息，例如主机地址、交换机端口、实体公钥证书等信息进行绑定能够从主机级别实现身份的鉴别，但是这种鉴别的粒度依然十分粗糙，不能够阻止拥有合法身份的主机发送有害流量。因此，建立更加细粒度的鉴别机制对于提升网络的安全性至关重要。

软件定义网络将数据平面与控制平面相分离，通过集中式的控制器进行统一的决策，为提升网络的管控能力提供了一种可行性。目前，由于网络技术条件和网络规模的限制，每个控制器只能控制一个区域的网络设备，导致网络形成划域而治的结果，进而使得传统的单域鉴别无法保证全网安全通信，这就要求除了保证域内的鉴别，还需要设计跨域的鉴别机制，尤其对于移动通信这种频繁在多个域间进行移动的情况。多域控制器协作技术及无缝移动技术是进行安全高效多域移动鉴别移交的技术基础。在实际网络环境中，由于受到接入点设备(Access Point,AP)无线信号覆盖范围的限制以及当前网络划域而治的特点，终端有可能在通信过程中移动跨越多个管理域，因此会遇到鉴别移交 (HandoverAuthentication,HA)的问题。HA机制是移动切换的重要组成部分，如何设计多域移动环境下安全高效的鉴别移交机制是目前移动网络通信的研究难点。SDN作为一种新型网络体系结构，其转发-控制平面分离、中心可编程控制的架构为解决移动网络环境下的切换问题提供了一种新的思路。