[发明专利]一种SDN网络南向控制可信连接方法在审
| 申请号: | 202110731988.9 | 申请日: | 2021-06-30 |
| 公开(公告)号: | CN113411346A | 公开(公告)日: | 2021-09-17 |
| 发明(设计)人: | 许智治;陈思蒲 | 申请(专利权)人: | 四川更元科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L9/32;H04L12/46 |
| 代理公司: | 成都熠邦鼎立专利代理有限公司 51263 | 代理人: | 汤楚莹 |
| 地址: | 610000 四川省成都市高新*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 sdn 网络 南向 控制 可信 连接 方法 | ||
本发明提拱了一种SDN网络南向控制可信连接方法,在基于软件定义技术的SDN网络中,在信任关系良好建立并持续维护的基础上,路由节点与SDN网络控制器间需要实现南向控制数据交互,随着SDN网络的不断发展,其南向协议的种类也不断丰富,有基于TCPUDP、IP等不同的控制协议,如果基于每一套协议去设计其安全保障机制,不仅方案设计过于复杂、而且也不利于后续扩展。因此需要设计一套基于可信认证和安全防护的隧道协议,用于统一承载上层各类控制协议的交互。
技术领域
本发明涉及网络安全领域,尤其涉及一种SDN网络南向控制可信连接方法。
背景技术
在基于软件定义技术的SDN网络方面,需支持软件定义的南向网络控制协议,如OpenFlow、NetConf、OVSDB、BGP-LS等,而现有的弹性网络组网及控制等协议多是通过一些算法及弱口令等方式来提供协议本身的安全性,且每一种协议都需要设计其具体的安全保障机制,从而导致整个SDN网络组网控制的安全实现方案复杂、可扩展性差,无法满足SDN网络的持续发展。因此需要设计一套基于可信连接和三层技术的安全可信的连接隧道,用于统一承载上层各类控制协议的交互,后续上层协议的扩展与安全保障机制可以独立发展。
发明内容
本发明提供一种SDN网络南向控制可信连接方法,可应用于基于软件定义的SDN网络中,通过统一的安全隧道方案设计,统一解决SDN网络中路由节点与集中式控制器间安全互连的问题。
本发明通过以下技术方案实现:
一种SDN网络南向控制可信连接方法,包括以下步骤:
S1. 建立安全隧道传输连接认证;
S2. 根据安全隧道传输机制封装数据包,发送方提取IP数据包的数据部分通过哈希完成签名计算,将设备证书的数字签名1附加在IP数据包后面,重新封装IP报文,进行发送;
S3. 根据安全隧道传输机制接收数据包,接收方对请求数据包的数字签名1字段进行验签;
S4. 完成交互流程。
进一步的,所述步骤S1具体为:
S101. 可信网络节点设备B启动认证流程,发起认证;
S102. 启动安全状态监控;
S103. 可信网络控制器A向可信网络节点设备B发送携带随机数RA的HELLO消息,同时可信网络节点设备B向可信网络控制器A发送携带随机数RB、数字签名WB和可信网络节点设备证书CB的HELLO消息互相协商Openflow协议版本;
S104.可信网络控制器A对接收的HELLO消息进行证书验证;验证失败,则断开连接直到持续监控到安全状态恢复正常;验证成功,则可信网络控制器A向可信网络节点设备B发送携带数字签名WA和可信网络控制器证书CA的请求数据包来询问可信网络节点设备B的特性信息;
S105. 可信网络节点设备B对接收的请求数据包进行证书验证;验证失败,则断开连接直到持续监控到安全状态恢复正常;验证成功,则可信网络节点设备B向可信网络控制器A发送响应数据包回复可信网络节点设备B的特性信息。
根据权利要求1所述的一种SDN网络南向控制可信连接方法,其特征在于,所述步骤S2具体为:
S201. 通过预置根证书下发签名给发送方的设备证书;
S202. 发送方将IP数据包的数据部分进行哈希计算完成压缩形成数字签名1;
S203. 发送方使用设备证书对数字签名1进行私钥加密,并将数字签名1作为字段附着在IP数据包上;
S204. 完成封装后,发送IP数据包。
进一步的,所述步骤S3具体为:
S301. 接收IP数据包;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川更元科技有限公司,未经四川更元科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110731988.9/2.html,转载请声明来源钻瓜专利网。
