[发明专利]基于SDN-5G网络架构的SDN组件间安全保护方法

权利要求书

1.一种基于SDN-5G网络架构的SDN组件间安全保护方法，其特征在于，所述基于SDN-5G网络架构的SDN组件间安全保护方法在移动设备和无线接入网络RAN设备通信过程中，通过验证基于非对称钥的签名，确认对方身份的可靠性；通过验证随机数的一致性来保证信息传递过程中的安全性和即时性，通过加密的手段在网络架构中建立安全数据传输通道；通过在移动设备中加入移动设备SDN控制器M-OFC和SDN网关设备M-OFG来管理上层数据的多RAN信道并行分发技术，实现数据在不同RAN信道上的并行传输；

所述基于SDN-5G网络架构的SDN组件间安全保护方法具体包括：

步骤1)M-OFC和M-OFG间的安全保护协议；步骤2)M-OFC和表示无线接入网OpenFlow控制器R-OFC间的安全保护协议；

所述步骤1)M-OFC和M-OFG间的安全保护协议，具体步骤如下：

首先，一个可信的执行环境TEE被部署到BIOS之前去保证M-OFC的安全执行环境；任何病毒，木马，甚至系统级的应用都通过认证检验过程去访问M-OFC；

接下来，让M-OFC先发送自己的身份信息id_mc和一个用私钥签名的随机数n_c给M-OFG，给M-OFG收到信息后，并利用M-OFC的公钥将M-OFG的身份标识id_mg，新产生的随机数n_g，新产生的密钥k_gc和上一步接收到的n_c加密后发送给M-OFC；M-OFC收到加密信息后，用M-OFC的私钥解密信息，并且判断收到的id_mg是否是新的；如果M-OFC发现这个id_mg以前出现过并且仍未过期，它用旧的传输密钥完成整个通信过程；否则，如果id_mg是新的id，M-OFC便知道有新的M-OFG想要建立连接；接下来，M-OFC继续检查收到的n_c去验证收到的信息是否最新；如果验证成功，M-OFC创建候选的虚拟IP集合vIP集合，一个传输密钥k_t，并且用收到的k_gc加密vIP、n_c、n_g和k_t，再发送加密信息给对应的M-OFG；M-OFG收到加密信息后，解密信息，并比较收到的n_g与自己持有的n_g，确定是否最后接收到的来自M-OFC的信息为最新信息；如果是最新的，则认证和密钥分配过程完成；M-OFC和M-OFG之间的安全信道利用传输密钥k_t被创建；

所述步骤2)M-OFC和R-OFC间的安全保护协议，具体步骤如下：

首先，验证移动设备的真实性时，移动设备发送身份信息、随机数及自己的证书给多个无线接入网络RAN设备，同时等待不同RAN设备验证证书的真实性后，R-OFC发送RAN的身份信息和用移动设备公钥加密的RAN的公钥集合、接收到的来自M-OFC的随机数以及RAN新产生的随机数，相互进行身份认证及RAN设备的公钥分发；

其次，移动设备确认RAN的可靠性后，让每个被移动设备支持的RAN模块发送移动设备的身份信息和过程中的两个随机数给第1个尚未确定是否被移动设备支持的RAN模块；一旦RAN设备收到来自移动设备的消息后，发送自己的身份信息给R-OFC，通知R-OFC第1个RAN模块对应的信道为移动设备支持的RAN信道；R-OFC发送移动设备最早产生的随机数及所有确定的被移动设备支持的无线接入网络上的具体网络接入接口RAI信道的公钥信息给M-OFC；完成可用性确认，真实性认证及秘钥分发，创建安全可信的多通信信道；

所述步骤1)中，首先需要保证M-OFC在安全可信的环境下产生正确的流表，任何病毒，木马，甚至系统级的应用都需要通过认证检验过程去访问M-OFC；其次，在M-OFC与M-OFG通信过程中，需要保证信息的互认证性；

互认证过程包括以下步骤：

Step 1.M-OFC产生公私钥对并分发公钥给M-OFC；

Step 2.M-OFC发送自己的身份信息id_mc和新产生的用自己私钥签名过的随机数n_c；

Step 3.当M-OFG收到来自M-OFC的消息并利用M-OFC公钥解密成功后，并利用M-OFC公钥将M-OFG的身份标识id_mg，新产生随机数n_g，新产生的密钥k_gc和上一步接收到的n_c加密后发送给M-OFC；

Step 4.M-OFC接收到M-OFG的消息，会执行以下步骤：

4a.用自己的私钥解密消息；

4b.判断收到的id_mg是否是新的；如果是，表示有新的M-OFG想要建立连接，转4c；否则，使用已有的传输密钥完成整个过程；

4c.M-OFC验证收到消息中n_c是否为新的；如果是，转4d；

4d.M-OFC创建虚拟IP集合vIP集合，生成一个传输密钥k_t，并用密钥k_gc加密消息发送给M-OFG；

Step 5.M-OFG收到来自M-OFC的消息后解密，并且比较收到的n_g与自己持有的n_g，决定最后被收到的来自M-OFC的信息是否是新的，如果是新的，那么整个认证和秘钥分配阶段完成；

由此，M-OFC和M-OFG之间的安全信道，通过传输密钥K的分配被创建完成；

所述步骤2)中：

首先，在互认证过程中，加密方法、传输密钥或公钥加密方案中的密钥对、支持RAI信道的信息被确定；

其次，认证过程之后，M-OFC信任从RAN设备接收到的信息，并且使用这些信息去定义和更新流表；

然后支持的RAI信道和加密方法被R-OFC激活，并且相应的流表也由R-OFC被写到无线接入网OpenFlow网关R-OFG上；

当一个应用信息到达M-OFG，因为提前定义流表，上行链路中M-OFG知道如何分离、加密该应用信息，并且通过多个RAI信道发送这些数据包；同时，下行链路中在RAN设备端，R-OFG知道如何去解密和重新组合收到的信息；

所述步骤2)进一步包括：

Step 1.握手过程；移动设备发送它的身份信息id_m，随机数n_m和它的证书给RAN设备，此时RAN设备中的R-OFC会去验证证书并且判断移动设备的真实性；

Step 2.一旦验证通过；R-OFC为每个RAI信道创建一对公私钥；这里，用代表第i个RAI信道的密钥对，同时，定义一个向量V_r去存放所有密钥对的公钥；R-OFC使用移动设备的公钥去加密向量V_r和RAN产生的随机数n_r，并将RAN的身份信息Id_r以及加密后的V_r、n_m、n_r给相应的移动设备；

Step 3.一旦移动设备收到来自R-OFC的消息，移动设备利用自己的私钥解密信息，通过比较收到随机数n_m与自己所持有的随机数n_m，去验证RAN设备的真实性；并在移动设备内部传递消息通知M-OFG，M-OFC→M-OFG:(V_r,n_m,n_r)；

Step 4.在确定RAN的真实性后；M-OFC将得到确定可靠的向量V_r，并让每一个被移动设备支持的RAN模块直接发送用k_i加密的id_m,n_r和n_m给第i个不确定是否被移动设备支持的RAN模块，其中k_i为第i个移动设备的会话密钥；

Step 5.一旦第i个RAN设备从移动设备收到消息，发送它的身份信息id_ran给R-OFC去通知R-OFC该RAN信道是被移动设备所支持的；

Step 6.R-OFC使用移动设备的公钥加密移动设备产生的随机数n_m和更新过的向量并将加密后的n_m和用形成的确认信息发送给M-OFC；

由此，RAN模块和M-OFG之间的认证过程完成；之后，传输密钥k_t被分配，所有的RAI将会用自己的密钥去加密信息，保证从RAN模块到RAN设备间的信息的安全性。