[发明专利]基于SDN的可信域间安全认证协议

摘要

基于SDN的可信域间安全认证协议属于信息安全领域。本发明将可信网络思想融入SDN概念下的OpenFlow网络架构，实现未来网络架构可信、可控的安全目标。在建立可信域的基础上，提出一种无可信第三方的可信域间安全认证协议，协议采用挑战应答方式，首先，接入可信网络的认证请求者进入初始状态，并向被请求者发送身份信息，被请求者做出应答，返回自身身份信息，互相进行身份注册。其次，认证请求者与被请求者继续采用挑战应答方式协商可信敏感信息，通过比对敏感信息PCR值与随机数的哈希结果，进行互信认证。最后，如果请求者与被请求者各自比对哈希结果符合可信要求，认证成功。否则，互信认证失败。

主权项

基于SDN的可信域间安全认证协议，其特征在于，包含以下步骤：1)、请求发起方A发起注册请求，并用请求发起方A的私钥A‑1对第一级可信信息PCR1即硬件信息度量值进行签名，利用请求发起方A的MACa与PCR1一起进行HASH运算，然后将结果和请求发起方A的初始化信息发送给请求接受方B；2)、请求接受方B接收到信息后，首先对请求发起方A进行身份注册，其次计算自己的第一级可信信息PCR1’和MACb的HASH值，并用请求接受方B的私钥B‑1对信息进行签名，最后将请求接受方B自己计算的第一级可信信息PCR1’和MACb的HASH值传递给请求发起方A进行身份注册；3)、同理传递注册信息后，进行第二级可信信息PCR2即操作系统信息度量值的注册；4)、同理注册传递的信息，双方完成身份注册，并由请求接受方B产生互信认证会话秘钥AK；5)、请求接受方B收到请求发起方A的互信认证信息，按照协商策略进入协商状态，请求发起方A用请求接受方B产生的互信认证会话秘钥AK对第三级敏感信息进行加密，并将请求发起方A产生的随机数与PCR3即控制器软件度量值一起进行HASH运算，随后将结果发送给请求接受方B，请求接受方B通过比对自身第三级敏感信息，判断请求发起方A是否可信，如果可信进入下一步，否则协商失败；6)、请求接受方B通过比对自身第三级敏感信息，判断请求发起方A的第三级敏感信息是可信的，于是返回自身第三级敏感信息，请求发起方A通过比对自身第三级敏感信息，判断请求接受方B是否可信，如果可信进入下一步，否则协商失败；7)、同理传递第四级敏感信息，即请求发起方A产生的随机数与PCR4即控制器核心模块度量值一起进行HASH运算；8)、同理返回第四级敏感信息，完成互信认证。