[发明专利]认证方法和认证系统

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种认证方法和认证系统。

背景技术

当前软件定义网络SDN以OpenFlow作为其主流的南向通信协议，负责控制器与交换机之间的通信。交换机通过两种方式与控制器建立连接，一种是基于TLS方式建立连接，另一种是通过TCP方式建立连接。

为了确保南向接口安全，现有技术方案采用TLS连接方式实现安全认证功能，该方案依赖于安全认证中心颁发的证书文件。当交换机与控制器建立连接时，相互交换认证中心分发的证书文件，认证双方得到证书文件后通过认证中心的密钥对其进行解密，然后通过核对解密后的信息来判断当前接入交换机的身份是否有效。对于目前OpenFlow采用的TLS连接方式，需要有第三方认证中心的授权证书才可以保证信道的安全。首先，在一些应用场景中，比如自组私有网络环境下，在交换机接入网络是用户不希望通过认证中心向其颁发证书，并将证书拷贝到该交换机或控制器中；其次，目前版本的OpenFlow协议只是将TLS连接方式作为可选项，攻击者仍可以指定以普通TCP的连接方式进行虚假接入。

对于普通TCP连接方式，OpenFlow协议的交换机与控制器之间通过TCP连接建立安全通道，这种方式虽然高效且相对可靠，但是并没有有效措施保证南向通道传输数据的安全性。

发明内容

本发明提供一种认证方法和认证系统，用于保证南向通道传输数据的安全性。

为实现上述目的，本发明提供了一种认证方法，包括：

SDN控制器对第一加密认证信息进行解密，得出交换机认证信息；

SDN交换机对第二加密认证信息进行解密，得出控制器认证信息；

SDN控制器比较解密得出的交换机认证信息和预先获取的交换机认证信息是否相同且SDN交换机比较解密得出的控制器认证信息和预先获取的控制器认证信息是否相同；

SDN控制器若比较出解密得出的交换机认证信息和预先获取的交换机认证信息相同且SDN交换机若比较出解密得出的控制器认证信息和预先获取的控制器认证信息相同时，SDN控制器向SDN交换机返回验证成功信息且SDN交换机向SDN控制器返回验证成功信息。

可选地，还包括：

所述SDN控制器若比较出解密得出的交换机认证信息和预先获取的交换机认证信息不同和/或SDN交换机比较出解密得出的控制器认证信息和预先获取的控制器认证信息不同，SDN控制器向SDN交换机返回验证失败信息和/或SDN交换机向SDN控制器返回验证失败信息，并且SDN控制器和SDN交换机之间断开TCP连接。

可选地，所述SDN控制器向SDN交换机返回验证成功信息且SDN交换机向SDN控制器返回验证成功信息之后还包括：

SDN控制器向SDN交换机发送参数获取请求；

SDN交换机向SDN控制器发送回复信息，该回复信息包括SND交换机的标识信息；

SDN控制器将SND交换机的标识信息发送给认证数据库；

认证数据库查询本地是否存储有该SND交换机的标识信息；

若认证数据库查询出本地存储有该SND交换机的标识信息，向SDN控制器返回错误信息；

若认证数据库查询出本地未存储有该SDN交换机的标识信息，存储该SDN交换机的标识信息，并向SDN控制器返回正确信息。

可选地，所述SDN控制器对第一加密认证信息进行解密，得出交换机认证信息之前包括：

SDN交换机采用第一公钥对交换机认证信息进行加密，生成第一加密认证信息；

SDN交换机向SDN控制器发送第一加密认证信息；

所述SDN交换机对第二加密认证信息进行解密，得出控制器认证信息之前包括：

SDN控制器采用第二公钥对控制器认证信息进行加密，生成第二加密认证信息；

SDN控制器向SDN交换机发送第二加密认证信息。

可选地，所述SDN交换机采用第一公钥对交换机认证信息进行加密，生成第一加密认证信息之前包括：

SDN控制器向SDN交换机发送SDN控制器的第一公钥；

所述SDN控制器采用第二公钥对控制器认证信息进行加密，生成第二加密认证信息之前包括：

SDN交换机向SDN控制器发送SDN交换机的第二公钥。

可选地，所述SDN控制器对第一加密认证信息进行解密，得出交换机认证信息包括：

SDN控制器采用第一私钥对第一加密认证信息进行解密，得出交换机认证信息；