[发明专利]软件定义网络的可信连接方法及系统

权利要求书

1.一种软件定义网络的可信连接方法，应用于包括交换机和控制器的软件定义网络的可信连接系统，其特征在于，所述方法包括：

所述控制器向所述交换机发送第一认证请求；

所述交换机接收所述第一认证请求并基于所述第一认证请求向所述控制器发送第一反馈信息；

所述控制器基于一第一预设PCR值、所述第一认证请求以及所述第一反馈信息以认证所述交换机是否可信，并在可信时向所述交换机发送配置查询请求；

所述交换机向所述控制器发送第二认证请求；

所述控制器接收所述第二认证请求并基于所述第二认证请求向所述交换机发送第二反馈信息；

所述交换机基于一第二预设PCR值、所述第二认证请求以及所述第二反馈信息以认证所述控制器是否可信，并在可信时，基于所述配置查询请求向所述控制器反馈配置信息。

2.根据权利要求1所述的软件定义网络的可信连接方法，其特征在于，所述控制器向所述交换机发送第一认证请求的步骤包括：

所述控制器将产生的第一随机数和需要验证的第一寄存器编号进行连接后采用第一私钥进行签名以得到第一验证信息，采用第二公钥对第一验证信息进行加密以得到第一加密信息，并根据第一请求信息和所述第一加密信息得到第一认证请求并发送至所述交换机；

所述交换机接收所述第一认证请求并基于所述第一认证请求向所述控制器发送第一反馈信息的步骤包括：

所述交换机在接收到所述第一认证请求时响应所述第一请求信息，以采用与所述第二公钥对应的第二私钥对所述第一加密信息进行解密，并对解密后的第一加密信息采用与所述第一私钥对应的第一公钥进行签名认证以得到所述第一验证信息，获取第一预设PCR值和所述第一验证信息中的第一随机数，并根据所述第一随机数与所述第一预设PCR值进行连接后得到第一哈希离散值，将所述交换机的平台编号、所述第一随机数以及所述第一哈希离散值采用第二私钥进行签名后利用第一公钥进行加密以得到第一反馈信息并发送至所述控制器；

所述控制器基于第一预设PCR值、所述第一认证请求以及所述第一反馈信息以认证所述交换机是否可信的步骤包括：

所述控制器对所述第一反馈信息采用第一私钥进行解密之后采用第二公钥进行签名验证，并在验证通过后，验证所述第一随机数是否被更新，并在未被更新时，将所述第一哈希离散值与所述第一寄存器编号和第一随机数生成的值进行比对。

3.根据权利要求2所述的软件定义网络的可信连接方法，其特征在于，所述交换机向所述控制器发送第二认证请求的步骤包括：

所述交换机将产生的第二随机数和需要验证的第二寄存器编号进行连接后采用第二私钥进行签名以得到第二验证信息，采用第一公钥对第二验证信息进行加密以得到第二加密信息，并根据第二请求信息和所述第二加密信息得到第二认证请求并发送至所述控制器；

所述控制器接收所述第二认证请求并基于所述第二认证请求向所述交换机发送第二反馈信息的步骤包括：

所述控制器在接收到所述第二认证请求时响应所述第二请求信息，以采用所述第一私钥对所述第二加密信息进行解密，并对解密后的第二加密信息采用第二公钥进行签名认证以得到所述第二验证信息，获取第二预设PCR值和所述第二验证信息中的第二随机数，并根据所述第二随机数与所述第二预设PCR值进行连接后得到第二哈希离散值，将所述控制器的平台编号、所述第二随机数以及所述第二哈希离散值采用所述第一私钥进行签名后利用所述第二公钥进行加密以得到第二反馈信息并发送至所述控制器；

所述交换机基于一第二预设PCR值、所述第二认证请求以及所述第二反馈信息以认证所述控制器是否可信的步骤包括：

所述交换机对所述第二反馈信息采用所述第二私钥进行解密之后采用所述第一公钥进行签名验证，并在验证通过后，验证所述第二随机数是否被更新，并在未被更新时，将所述第二哈希离散值与所述第二寄存器编号和第二随机数生成的值进行比对。