CN106209897A - 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 - Google Patents
一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 Download PDFInfo
- Publication number
- CN106209897A CN106209897A CN201610614132.2A CN201610614132A CN106209897A CN 106209897 A CN106209897 A CN 106209897A CN 201610614132 A CN201610614132 A CN 201610614132A CN 106209897 A CN106209897 A CN 106209897A
- Authority
- CN
- China
- Prior art keywords
- controller
- territory
- message
- agency
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于代理的软件定义网络分布式多粒度控制器安全通信方法,属于多域SDN网络的域间通信安全技术领域。该方法通过设计分布式多粒度安全控制器架构,包括控制器之间的消息数据包格式,利用控制器域和域间代理的连接、域间代理之间的连接建立通信隧道,完成控制器之间的邻居发现、两步身份认证和加密传输以实现多域网络控制器之间直接通信。在该通信方法中,基础设施基于安全控制器和域间代理,通过域间代理把控制平面的消息下发到数据平面传输,解决了独立控制平面之间的通信问题;同时,基于挑战响应机制和DTLS协议给出了控制器通信的两步认证方案,可以防御拒绝服务供给并完成身份认证,提高了安全性。
Description
技术领域
本发明属于多域SDN网络的域间通信安全技术领域,涉及一种基于代理的软件定义网络分布式多粒度控制器安全通信方法。
背景技术
近几年越来越多的研究者开始着手在SDN大规模部署中存在的问题,包括控制平面中多控制器的协作、控制器管理区域的划分和负载均衡等。而在多个SDN自治域的情况下,自治域之间的路由问题也尤为受到关注。
在域内控制平面的扩展方面,有DIFANE、DevoFlow、HyperFlow、Onix等研究成果。DIFANE针对控制器在实时流表处理方面的性能瓶颈,使用主被动同时进行的方式向交换机添加流表。在DIFANE中,一部分交换机可以具有一定的流表管理权力,称为权威交换机。与权威交换机在同一区域的交换机可以向它请求流表,由于权威交换机的缓存中存储着控制器下发的高优先级流表,所以可以为控制器分担处理压力。DIFANE的交换机区域划分是根据数据流的地址、协议、端口等信息进行分类,进而形成流空间。DevoFlow考虑到了控制器与交换机之间的带宽消耗,采用带有特殊标记的流表来通配一类流量,在交换机中为流量细分流表项。并可以为通配流表项设定可能的多个流出端口,根据概率分布转发实现多路径路由。
HyperFlow和Onix从多控制器分布式控制上解决单点控制器无法逾越的性能制约。HyperFlow将交换机划分给不同的控制器管理,控制器之间共享网络拓扑信息。控制器之间的信息共享采用不定期发布的方式,消息通过不同的信道进行发送。信息的更新以分布式文件***WheelFS的形式实现。不过HyperFlow只能实现一些实时性要求不高的非频繁信息共享。Onix设计了一种基于分布式控制的SDN架构,主要采用分布式哈希表技术作为网络信息共享和同步的基础,然后利用可靠的分发机制实现响应迅速的同步控制。
文献Virtual routers as a service:the RouteFlow approach leveragingsoftware-defined networks提出了RouteFlow:一种SDN中的路由架构。RouteFlow在控制器中将物理交换机转换为虚拟交换机,维护一个虚拟的拓扑,使用开源的路由软件实现路由计算。文献OFBGP:A Scalable,Highly Available BGP Architecture for SDN提出了一种SD网络中扩展性强、可用性高的BGP架构OFBGP,OFBGP分为BGP协议模块和BGP决策模块。其作为控制平面的应用程序对域内和域间的路由进行管理和控制,同时通过备份实现路由故障的快速恢复。
文献WEBridge:west–east bridge for distributed heterogeneous SDN NOSespeering对SDN的域间互联机制进行了比较详细研究,提出了SDN中异构NOS的东西向桥接方案,并对需要交互的信息进行了设计。在该方案中,域间控制器采用点对点的通信方式,除了路由信息的交换以外,还将网络视图(拓扑)分享给其他自治域,以形成全局的视图。文献DISCO:Distributed Multi-domain SDN Controllers提出的DISCO也对控制器的东西向交互机制进行了简单的设计,用来实现多域控制器之间的协作。
在多控制器的SDN场景下,单域的分布式控制方案已经出现了很多,也较为成熟了。而在域间互联方面,出现了一些域间路由和控制平面通信的研究成果。由于SDN的特点,域间互联基本上是通过控制器的东西向通信来实现,但是控制器之间的通信方式以及安全性还没有受到很多关注。域间安全是SDN网络的大规模部署的关键问题,所以构建域间分布式控制器的安全通信是非常必要的。
发明内容
有鉴于此,本发明的目的在于提供一种基于代理的软件定义网络分布式多粒度控制器安全通信方法,设计分布式多粒度安全控制器架构,包括控制器之间的消息数据包格式,利用控制器域和域间代理的连接、域间代理之间的连接建立通信隧道,完成控制器之间的邻居发现、两步身份认证和加密传输以实现多域网络控制器之间直接通信。
为达到上述目的,本发明提供如下技术方案:
一种基于代理的软件定义网络分布式多粒度控制器安全通信方法,该方法包括以下步骤:
S1:设计构建一个分布式多粒度控制器架构,使各个SDN自治域达到域间通信的目的;该架构分为基础控制块和多粒度安全定制模块以及一个增强的安全控制器,基础控制模块遵循SDN架构要求实现基本功能,多粒度安全定制模块实现在控制器中可自定义的安全功能,而增强的安全控制器是为了解决在SDN多网络的环境下域间的安全问题;
S2:在步骤S1的架构模式下对安全通信方法中的消息格式进行设计,所有控制器间的数据传递采用专用的以太网数据包类型标识0xEFEF,载荷部分保留IP数据包格式,而传输层采用UDP协议;
S3:安全连接建立之邻居发现,邻居发现采用广播式的发现方式,每个自治域的控制器通过域间代理广播自己的信息;控制器将自治域的AS号、是否支持安全隧道和安全隧道服务端口号等信息下发给域间代理,域间代理封装成以太网数据包后转发给相邻自治域,自定义了邻居发现消息的格式;
S4:安全连接建立之可信认证,在域间控制器通信时,需要保证控制器到域间代理和域间代理之间的通信安全,所以必须完成控制器之间的身份认证,控制器双方都需要明确对方是否可信,因此采用两步认证,两步认证包括域间代理认证和证书认证;
S5:安全连接建立之隧道建立,SDN多域网络运行过程中,各个自治域的控制器不断广播自己的信息,其它自治域的控制器收到广播消息后,想发送消息的控制器发起连接。
进一步,在步骤S1中,SDN安全控制器架构分为基础控制模块和多粒度安全定制模块,多粒度安全定制模块实现在控制器中可自定义的安全功能主要有威胁防御模块、流表管理模块、备份模块和应用管理模块;增强的安全控制器架构,其域间模块主要包括安全配置、连接管理、邻域管理和域间路由。
进一步,在步骤S2中,控制器域间消息的数据包格式如下:前8位为消息的类型,接着32位为消息的长度(整个UDP载荷部分,位为字节),其余部分则是具体的消息内容;消息类型分为邻居发现消息、Keepalive消息、安全隧道消息,其类型标识分别为:0x01、0x02、0x03。
进一步,在步骤S3中,控制器将自治域的AS号、是否支持安全隧道和安全隧道服务端口号等信息下发给域间代理,域间代理封装成以太网数据包后转发给相邻自治域,自定义了邻居发现消息的格式如下:
消息类型字段为0x01,消息长度一般为10字节,即0x000A;后面的字段为AS号(32位)、安全隧道支持(8位,0x00表示不支持,0x01表示支持)、端口号(16位,如果表示不支持则忽略此字段);
在邻居发现完成后,控制器不断更新和维护相邻自治域的信息,在长时间内(Message Timeout)没有收到相邻自治域的消息时,需要发送Keepalive消息以确认邻居是否还存在;相邻自治域的控制器收到消息过也返回一条Keepalive消息,如果在一定时间内(Keepalive Timeout)没有收到返回的消息,则认为邻居已经不存在;Message Timeout和Keepalive Timeout由各个自治域根据情况自行设定;Keepalive的消息类型字段为0x02,消息长度一般为3字节,即0x0003。
进一步,在步骤S4中,所述两步认证的认证过程包括:域间代理在接收到发起请求的控制器的握手消息后,不会在第一时间转发到本自治域的控制器,而是先缓存起来;随后域间代理对请求端发起认证请求,用于验证请求方的非攻击意图;请求方控制器完成解答并通过验证后,域间代理才开始将数据包转发到本自治域控制器,接着进行握手过程,完成基于证书的身份认证;在DTLS协议握手过程中,控制器双方都需要明确对方是否可信,所以采用严格的双向认证。
进一步,在步骤S5中,安全通信隧道建立过程具体包括:
S51:控制器构造邻居发现数据包,将自己的AS号,安全隧道的支持情况和服务端口写入数据包,随后将数据包下发到所有的域间代理,由域间代理封装为类型标识为0xEFEF的以太网帧并转发;
S52:控制器收到广播后根据对方的广播消息,解析出相邻自治域的AS号和安全隧道支持情况;如果对方不支持安全隧道,则根据安全配置采用普通UDP数据发送方式发送允许共享的信息;连接发起可以由任意一方发起,如果没有收到对方发来的连接请求就构造安全隧道握手消息,作为客户端向对方发起安全隧道连接请求;
S53:对方作为服务端收到安全隧道握手消息后,也不再作为客户端向对方发起请求;双方基于域间代理认证和数字证书完成两步身份验证和加密协商,当双方都证实对方身份后,安全通信隧道建立完成,否则隧道建立失败,转而采用普通UDP协议;
S54:从控制器收到相邻自治域控制器的广播消息开始,将开启消息超时计时Message Timeout(即长时间未收到来自该邻居的任何消息);超时后向对方发送Keepalive消息,如果对方没有在Keepalive Timeout时限内返回Keepalive消息就认为对方已经不存在并停止维持安全隧道。
本发明的有益效果在于:本发明设计了分布式多粒度控制器之间的安全通信方法,在该通信方法中,基础设施基于安全控制器和域间代理,通过域间代理把控制平面的消息下发到数据平面传输,解决了独立控制平面之间的通信问题。同时,基于挑战响应机制和DTLS协议给出了控制器通信的两步认证方案,可以防御拒绝服务供给并完成身份认证,提高了安全性。
附图说明
为了使本发明的目的、技术方案和有益效果更加清楚,本发明提供如下附图进行说明:
图1为本发明所述方案的宏观流程图;
图2是分布式控制器通信架构;
图3是增强的安全控制器;
图4是域间安全服务粒度划分;
图5是控制器域间数据包格式;
图6是邻居发现消息格式;
图7是Keepalive消息格式;
图8是两步认证流程图;
图9是安全隧道建立过程流程图。
具体实施方式
下面将结合附图,对本发明的优选实施例进行详细的描述。
图1为本发明所述方案的宏观流程图,如图所示,本发明所述的以边界交换机作为域间代理的分布式多粒度控制器安全通信方法主要包括以下四个步骤:步骤一:设计构建一个由础控制块和多粒度安全定制模块以及一个增强的安全控制器组成的分布式多粒度控制器架构,使各个SDN自治域达到域间通信的目的;步骤二:在步骤一的架构模式下对安全通信方法中的消息格式进行设计,所有控制器间的数据传递采用专用的以太网数据包类型标识0xEFEF,载荷部分保留IP数据包格式,而传输层采用UDP协议;步骤三:安全连接建立之邻居发现,控制器将自治域的AS号、是否支持安全隧道和安全隧道服务端口号等信息下发给域间代理,域间代理封装成以太网数据包后转发给相邻自治域,自定义了邻居发现消息的格式;步骤四:安全连接建立之可信认证:域间控制器通信时,控制器双方都需要明确对方是否可信,因此采用双向认证;步骤五:安全连接建立之隧道建立,SDN多域网络运行过程中,各个自治域的控制器不断广播自己的信息,其它自治域的控制器收到广播消息后,想发送消息的控制器发起连接。
图2为分布式控制器通信架构,SDN多域架构在互联方式上采用软件边界路由,将其作为控制平面中的应用程序。而连接两个SDN自治域的OpenFlow边界交换机作为域间代理,通过控制器到边界交换机的,以及边界交换机之间的连接建立来形成不同自治域的控制器间的安全通信隧道。
根据在SDN多域网络中控制器互联的需求,在安全控制器架构基础上增加域间模块,构建了增强的安全控制器架构。域间模块主要包括安全配置、连接管理、邻域管理和域间路由。其基本架构如图3所示。图4为域间安全服务粒度划分。
在步骤一的架构模式下对安全通信方法中的消息格式进行设计,所有控制器间的数据传递采用专用的以太网数据包类型标识0xEFEF,载荷部分保留IP数据包格式,而传输层采用UDP协议。控制器域间数据包格式如图5所示:前8位为消息的类型,接着32位为消息的长度(整个UDP载荷部分,位为字节),其余部分则是具体的消息内容。消息类型分为邻居发现消息、Keepalive消息、安全隧道消息,其类型标识分别为:0x01、0x02、0x03。
在控制器的安全通信方法中,安全连接的建立要经过邻居发现、可信认证和隧道建立三个步骤。
首先,控制器向邻居广播信息后由任意一方发起安全隧道连接,双方身份验证完成后建立起安全通信隧道。邻居发现采用广播式的发现方式,每个自治域的控制器通过域间代理广播自己的信息;控制器将自治域的AS号、是否支持安全隧道和安全隧道服务端口号等信息下发给域间代理,域间代理封装成以太网数据包后转发给相邻自治域,自定义了邻居发现消息的格式如图6所示:消息类型字段为0x01,消息长度一般为10字节(即0x000A)。后面的字段为AS号(32位)、安全隧道支持(8位,0x00表示不支持,0x01表示支持)、端口号(16位,如果表示不支持则忽略此字段)。在邻居发现完成后,控制器不断更新和维护相邻自治域的信息,在长时间内(Message Timeout)没有收到相邻自治域的消息时,需要发送Keepalive消息以确认邻居是否还存在。相邻自治域的控制器收到消息过也返回一条Keepalive消息,如果在一定时间内(Keepalive Timeout)没有收到返回的消息,则认为邻居已经不存在。Message Timeout和Keepalive Timeout由各个自治域根据情况自行设定。Keepalive消息只包含消息类型和长度字段,消息格式如图7。
其次是可信认证,在本发明的域间通信架构中,基于Client Puzzle思想和DTLS给出了两步认证协议完成控制器之间的身份认证和加密传输。在域间控制器通信时,需要保证控制器到域间代理和域间代理之间的通信安全,所以必须完成控制器之间的身份认证,控制器双方都需要明确对方是否可信,因此采用两步认证。两步认证包括域间代理认证和证书认证。域间代理在接收到发起请求的控制器的握手消息后,不会在第一时间转发到本自治域的控制器,而是先缓存起来。随后域间代理对请求端发起认证请求,用于验证请求方的非攻击意图。请求方控制器完成解答并通过验证后,域间代理才开始将数据包转发到本自治域控制器,接着进行握手过程,完成基于证书的身份认证。在DTLS协议握手过程中,一般只对服务端进行身份验证,但是在本发明的架构中,控制器双方都需要明确对方是否可信,所以采用严格的双向认证。认证过程如图8所示。
域间代理认证主要依赖三个关键问题:随机数R、难度系数D、解答A。所以本文的认证方案主要针对随机数R的产生和解答A的正确性验证。
本方案通过单项散列函数产生随机数R,由于MD5、SHA-1的安全性受到越来越多的挑战,本发明采用SHA-256算法。随机数的产生依赖于发起请求的域间代理所在自治域的AS号ASI和网卡物理地址MACI、接收方的AS号ASR和网卡物理地址MACR,以及一个随机数M。
R=SHA-256(MACI||MACR||ASI||ASR||M) (1)
应答方解决认证请求的方式为利用求解函数重复尝试,求解函数根据难度系数D、随机数R、双方AS号(ASI、ASR),以SHA-1算法不断尝试得到正确的解答A。
Psolve(SHA-1(R||ASI||ASR||A),D)=0 (2)
对于认证解答的验证,首先确认随机数R是否符合,不符合则表明不是对相应请求的应答,然后根据求解算法验证解答A的正确性。
请求方生成认证请求的步骤如下:
1)生成难度系数D;
2)从邻居列表提取应答方AS号ASR,并产生随机数M;
3)根据公式1计算随机数R;
4)将R、D填入认证请求报文,并发送到应答方。
解答认证请求的步骤如下:
1)提取请求报文中的随机数R和难度系数D;
2)根据求解函数(公式2)穷举符合要求的解答A;
3)将R、D、A填入认证应答报文并发送回请求方。
验证认证解答的过程如下:
1)提取应答报文中的随机数R、难度系数D和解答A;
2)验证随机数R是否与发出的一致,如果不一致则忽略该响应,否则继续;
3)根据公式2验证解答A的正确性。
在控制器之间通信过程中,控制器的安全性主要依赖于两步认证方案,通过两步认证来防御针对控制器的攻击。为分析方便,将认证方法的两个阶段分别用δ和来表示。δ为域间代理认证,为证书身份认证。
认证协议δ的过程描述如下:
1)连接请求:CI向CR发送连接建立请求。
2)认证请求:AR收到请求后生成随机数M并计算R=SHA-256(MACI||MACR||ASI||ASR||M),根据难度D发送消息(R,D)给CI。
3)认证响应:CI计算解答A,使其满足Psolve(SHA-1(R||ASI||ASR||A),D)=0,发送消息(R,D,A)给AR。
4)可信验证:AR验证R和D的一致性和A的正确性。
认证协议的过程描述如下:
1)证书传输:CR向CI发送数字证书CertR=(InfoR||SignR),SignR=Enc(SHA(InfoR),PriKR)。
2)身份验证:CI向CAR请求公钥PubKR,验证解密的签名Dec(SignR,PubKR)和证书散列SHA(InfoR)是否相同。
3)证书传输:CI向CR发送数字证书CertI=(InfoI||SignI),SignI=Enc(SHA(InfoI),PriKI)。
4)身份验证:CR向CAI请求公钥PubKI,验证解密的签名Dec(SignI,PubKI)和证书散列SHA(InfoI)是否相同。
在协议δ中,生成随机数R的输入为ASI、MACI、ASR、MACR以及随机数M连接运算的结果。假设在IPv4环境下,ASI、MACI、ASR、MACR均为32位,而M为变化的随机N位比特串。那么(MACI||MACR||ASI||ASR||M)的二进制长度就是2×32+2×48+N=160+N位。而A的值有2D种可能,所以攻击者在采用随机破解时只有2D-(160+N)的概率成功。同时根据目前对SHA-256的安全分析,完成碰撞攻击也非常困难。因此δ满足安全性要求。
在协议中,Cert的可靠性依赖于CA私钥PriK的保密性和加密的签名Sign。由于Sign基于非对称加密,因此可以在PriK不公开的情况下使用PubK解密Sign。攻击者证书内容恶意修改后,SHA(Info)发生变化,Dec(Sign,PubK)的结果便无法与SHA(Info)匹配,因此在PriK严格保密的情况下,的可靠性非常高。
综上,协议δ的抗攻击能力和协议的可靠性,不仅保证了两步认证方法的有效性,也保证了该方法的安全性。
最后是隧道的建立,SDN多域网络运行过程中,各个自治域的控制器不断广播自己的信息,其它自治域的控制器收到广播消息后,想发送消息的控制器发起连接。安全通信隧道建立过程包括:
1)控制器构造邻居发现数据包,将自己的AS号,安全隧道的支持情况和服务端口写入数据包,随后将数据包下发到所有的域间代理,由域间代理封装为类型标识为0xEFEF的以太网帧并转发。
2)控制器收到广播后根据对方的广播消息,解析出相邻自治域的AS号和安全隧道支持情况。如果对方不支持安全隧道,则根据安全配置采用普通UDP数据发送方式发送允许共享的信息。连接发起可以由任意一方发起,如果没有收到对方发来的连接请求就构造安全隧道握手消息,作为客户端向对方发起安全隧道连接请求。
3)对方作为服务端收到安全隧道握手消息后,也不再作为客户端向对方发起请求。双方基于域间代理认证和数字证书完成两步身份验证和加密协商,当双方都证实对方身份后,安全通信隧道建立完成,否则隧道建立失败,转而采用普通UDP协议。
4)从制器受到相邻自治域控制器的广播消息开始,将开启消息超时计时MessageTimeout(即长时间未收到来自该邻居的任何消息)。超时后向对方发送Keepalive消息,如果对方没有在Keepalive Timeout时限内返回Keepalive消息就认为对方已经不存在并停止维持安全隧道。
安全隧道的建立过程如图9所示。
最后说明的是,以上优选实施例仅用以说明本发明的技术方案而非限制,尽管通过上述优选实施例已经对本发明进行了详细的描述,但本领域技术人员应当理解,可以在形式上和细节上对其作出各种各样的改变,而不偏离本发明权利要求书所限定的范围。
Claims (6)
1.一种基于代理的软件定义网络分布式多粒度控制器安全通信方法,其特征在于:该方法包括以下步骤:
S1:设计构建一个分布式多粒度控制器架构,使各个SDN自治域达到域间通信的目的;该架构分为基础控制块和多粒度安全定制模块以及一个增强的安全控制器,基础控制模块遵循SDN架构要求实现基本功能,多粒度安全定制模块实现在控制器中可自定义的安全功能,而增强的安全控制器是为了解决在SDN多网络的环境下域间的安全问题;
S2:在步骤S1的架构模式下对安全通信方法中的消息格式进行设计,所有控制器间的数据传递采用专用的以太网数据包类型标识0xEFEF,载荷部分保留IP数据包格式,而传输层采用UDP协议;
S3:安全连接建立之邻居发现,邻居发现采用广播式的发现方式,每个自治域的控制器通过域间代理广播自己的信息;控制器将自治域的AS号、是否支持安全隧道和安全隧道服务端口号等信息下发给域间代理,域间代理封装成以太网数据包后转发给相邻自治域,自定义了邻居发现消息的格式;
S4:安全连接建立之可信认证,在域间控制器通信时,需要保证控制器到域间代理和域间代理之间的通信安全,所以必须完成控制器之间的身份认证,控制器双方都需要明确对方是否可信,因此采用两步认证,两步认证包括域间代理认证和证书认证;
S5:安全连接建立之隧道建立,SDN多域网络运行过程中,各个自治域的控制器不断广播自己的信息,其它自治域的控制器收到广播消息后,想发送消息的控制器发起连接。
2.根据权利要求1所述的一种基于代理的软件定义网络分布式多粒度控制器安全通信方法,其特征在于:在步骤S1中,SDN安全控制器架构分为基础控制模块和多粒度安全定制模块,多粒度安全定制模块实现在控制器中可自定义的安全功能主要有威胁防御模块、流表管理模块、备份模块和应用管理模块;增强的安全控制器架构,其域间模块主要包括安全配置、连接管理、邻域管理和域间路由。
3.根据权利要求1所述的一种基于代理的软件定义网络分布式多粒度控制器安全通信方法,其特征在于:在步骤S2中,控制器域间消息的数据包格式如下:前8位为消息的类型,接着32位为消息的长度(整个UDP载荷部分,位为字节),其余部分则是具体的消息内容;消息类型分为邻居发现消息、Keepalive消息、安全隧道消息,其类型标识分别为:0x01、0x02、0x03。
4.根据权利要求1所述的一种基于代理的软件定义网络分布式多粒度控制器安全通信方法,其特征在于:在步骤S3中,控制器将自治域的AS号、是否支持安全隧道和安全隧道服务端口号等信息下发给域间代理,域间代理封装成以太网数据包后转发给相邻自治域,自定义了邻居发现消息的格式如下:
消息类型字段为0x01,消息长度一般为10字节,即0x000A;后面的字段为AS号(32位)、安全隧道支持(8位,0x00表示不支持,0x01表示支持)、端口号(16位,如果表示不支持则忽略此字段);
在邻居发现完成后,控制器不断更新和维护相邻自治域的信息,在长时间内(MessageTimeout)没有收到相邻自治域的消息时,需要发送Keepalive消息以确认邻居是否还存在;相邻自治域的控制器收到消息过也返回一条Keepalive消息,如果在一定时间内(Keepalive Timeout)没有收到返回的消息,则认为邻居已经不存在;Message Timeout和Keepalive Timeout由各个自治域根据情况自行设定;Keepalive的消息类型字段为0x02,消息长度一般为3字节,即0x0003。
5.根据权利要求1所述的一种基于代理的软件定义网络分布式多粒度控制器安全通信方法,其特征在于:在步骤S4中,所述两步认证的认证过程包括:域间代理在接收到发起请求的控制器的握手消息后,不会在第一时间转发到本自治域的控制器,而是先缓存起来;随后域间代理对请求端发起认证请求,用于验证请求方的非攻击意图;请求方控制器完成解答并通过验证后,域间代理才开始将数据包转发到本自治域控制器,接着进行握手过程,完成基于证书的身份认证;在DTLS协议握手过程中,控制器双方都需要明确对方是否可信,所以采用严格的双向认证。
6.根据权利要求1所述的一种基于代理的软件定义网络分布式多粒度控制器安全通信方法,其特征在于:在步骤S5中,安全通信隧道建立过程具体包括:
S51:控制器构造邻居发现数据包,将自己的AS号,安全隧道的支持情况和服务端口写入数据包,随后将数据包下发到所有的域间代理,由域间代理封装为类型标识为0xEFEF的以太网帧并转发;
S52:控制器收到广播后根据对方的广播消息,解析出相邻自治域的AS号和安全隧道支持情况;如果对方不支持安全隧道,则根据安全配置采用普通UDP数据发送方式发送允许共享的信息;连接发起可以由任意一方发起,如果没有收到对方发来的连接请求就构造安全隧道握手消息,作为客户端向对方发起安全隧道连接请求;
S53:对方作为服务端收到安全隧道握手消息后,也不再作为客户端向对方发起请求;双方基于域间代理认证和数字证书完成两步身份验证和加密协商,当双方都证实对方身份后,安全通信隧道建立完成,否则隧道建立失败,转而采用普通UDP协议;
S54:从控制器收到相邻自治域控制器的广播消息开始,将开启消息超时计时MessageTimeout(即长时间未收到来自该邻居的任何消息);超时后向对方发送Keepalive消息,如果对方没有在Keepalive Timeout时限内返回Keepalive消息就认为对方已经不存在并停止维持安全隧道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610614132.2A CN106209897B (zh) | 2016-07-28 | 2016-07-28 | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610614132.2A CN106209897B (zh) | 2016-07-28 | 2016-07-28 | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106209897A true CN106209897A (zh) | 2016-12-07 |
| CN106209897B CN106209897B (zh) | 2020-04-07 |
Family
ID=57497487
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610614132.2A Active CN106209897B (zh) | 2016-07-28 | 2016-07-28 | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106209897B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911573A (zh) * | 2017-02-28 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种转发流表的处理方法和装置 |
| CN108881131A (zh) * | 2017-06-23 | 2018-11-23 | 中国人民解放军理工大学 | 一种sdn多域移动网络环境下主机身份鉴别信息的高效移交机制 |
| CN109450794A (zh) * | 2018-12-11 | 2019-03-08 | 上海云轴信息科技有限公司 | 一种基于sdn网络的通信方法及设备 |
| CN110380963A (zh) * | 2019-01-17 | 2019-10-25 | 重庆邮电大学 | 一种高效快收敛的邻居发现方案 |
| CN110417758A (zh) * | 2019-07-15 | 2019-11-05 | 中国人民解放军战略支援部队信息工程大学 | 基于证书请求的安全邻居发现运行模式探测方法 |
| CN110839037A (zh) * | 2019-11-19 | 2020-02-25 | 武汉思普崚技术有限公司 | 一种sdn网络的攻击场景挖掘方法及*** |
| CN110839036A (zh) * | 2019-11-19 | 2020-02-25 | 武汉思普崚技术有限公司 | 一种sdn网络的攻击检测方法及*** |
| CN108173827B (zh) * | 2017-12-22 | 2020-09-08 | 南京邮电大学 | 基于区块链思维的分布式sdn控制平面安全认证方法 |
| WO2020233430A1 (zh) * | 2019-05-20 | 2020-11-26 | 华为技术有限公司 | Tsn中控制器间通信的方法、装置及*** |
| CN113364729A (zh) * | 2021-04-07 | 2021-09-07 | 苏州瑞立思科技有限公司 | 一种基于udp代理协议的用户认证方法 |
| CN115051984A (zh) * | 2021-11-22 | 2022-09-13 | 厦门大学 | 一种分布式数据平面验证方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140075498A1 (en) * | 2012-05-22 | 2014-03-13 | Sri International | Security mediation for dynamically programmable network |
| CN103718519A (zh) * | 2011-08-11 | 2014-04-09 | 瑞典爱立信有限公司 | 实现分离式架构网络中的ospf |
| CN103905523A (zh) * | 2013-12-23 | 2014-07-02 | 浪潮(北京)电子信息产业有限公司 | 一种基于sdn的云计算网络虚拟化实现方法及*** |
| CN104243496A (zh) * | 2014-10-11 | 2014-12-24 | 北京邮电大学 | 一种软件定义网跨域安全代理方法和*** |
| CN104468633A (zh) * | 2014-12-31 | 2015-03-25 | 蓝盾信息安全技术股份有限公司 | 一种sdn南向安全代理产品 |
| CN104869021A (zh) * | 2015-05-22 | 2015-08-26 | 清华大学 | 多粒度多域异构光网络资源配置方法 |
-
2016
- 2016-07-28 CN CN201610614132.2A patent/CN106209897B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103718519A (zh) * | 2011-08-11 | 2014-04-09 | 瑞典爱立信有限公司 | 实现分离式架构网络中的ospf |
| US20140075498A1 (en) * | 2012-05-22 | 2014-03-13 | Sri International | Security mediation for dynamically programmable network |
| CN103905523A (zh) * | 2013-12-23 | 2014-07-02 | 浪潮(北京)电子信息产业有限公司 | 一种基于sdn的云计算网络虚拟化实现方法及*** |
| CN104243496A (zh) * | 2014-10-11 | 2014-12-24 | 北京邮电大学 | 一种软件定义网跨域安全代理方法和*** |
| CN104468633A (zh) * | 2014-12-31 | 2015-03-25 | 蓝盾信息安全技术股份有限公司 | 一种sdn南向安全代理产品 |
| CN104869021A (zh) * | 2015-05-22 | 2015-08-26 | 清华大学 | 多粒度多域异构光网络资源配置方法 |
Non-Patent Citations (2)
| Title |
|---|
| FENGJUN SHANG 等: "A Software-Defined Networking Security Controller Architecture", 《4TH INTERNATIONAL CONFERENCE ON MACHINERY, MATERIALS AND COMPUTING TECHNOLOGY (ICMMCT 2016)》 * |
| KÉVIN PHEMIUS 等: "DISCO:Distributed Multi-Domain SDN Controllers", 《ARXIV:1308.6138V2 [CS.NI]》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911573A (zh) * | 2017-02-28 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种转发流表的处理方法和装置 |
| CN108881131A (zh) * | 2017-06-23 | 2018-11-23 | 中国人民解放军理工大学 | 一种sdn多域移动网络环境下主机身份鉴别信息的高效移交机制 |
| CN108881131B (zh) * | 2017-06-23 | 2021-01-08 | 中国人民解放军理工大学 | Sdn多域移动网络环境下主机身份鉴别信息的高效移交机制 |
| CN108173827B (zh) * | 2017-12-22 | 2020-09-08 | 南京邮电大学 | 基于区块链思维的分布式sdn控制平面安全认证方法 |
| CN109450794B (zh) * | 2018-12-11 | 2021-02-23 | 上海云轴信息科技有限公司 | 一种基于sdn网络的通信方法及设备 |
| CN109450794A (zh) * | 2018-12-11 | 2019-03-08 | 上海云轴信息科技有限公司 | 一种基于sdn网络的通信方法及设备 |
| CN110380963A (zh) * | 2019-01-17 | 2019-10-25 | 重庆邮电大学 | 一种高效快收敛的邻居发现方案 |
| CN110380963B (zh) * | 2019-01-17 | 2021-07-06 | 重庆邮电大学 | 一种高效快收敛的邻居发现方法 |
| US11811511B2 (en) | 2019-05-20 | 2023-11-07 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for communication between controllers in TSN |
| WO2020233430A1 (zh) * | 2019-05-20 | 2020-11-26 | 华为技术有限公司 | Tsn中控制器间通信的方法、装置及*** |
| CN110417758A (zh) * | 2019-07-15 | 2019-11-05 | 中国人民解放军战略支援部队信息工程大学 | 基于证书请求的安全邻居发现运行模式探测方法 |
| CN110839036A (zh) * | 2019-11-19 | 2020-02-25 | 武汉思普崚技术有限公司 | 一种sdn网络的攻击检测方法及*** |
| CN110839036B (zh) * | 2019-11-19 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种sdn网络的攻击检测方法及*** |
| CN110839037A (zh) * | 2019-11-19 | 2020-02-25 | 武汉思普崚技术有限公司 | 一种sdn网络的攻击场景挖掘方法及*** |
| CN113364729A (zh) * | 2021-04-07 | 2021-09-07 | 苏州瑞立思科技有限公司 | 一种基于udp代理协议的用户认证方法 |
| CN113364729B (zh) * | 2021-04-07 | 2023-11-21 | 苏州瑞立思科技有限公司 | 一种基于udp代理协议的用户认证方法 |
| CN115051984A (zh) * | 2021-11-22 | 2022-09-13 | 厦门大学 | 一种分布式数据平面验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106209897B (zh) | 2020-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106209897A (zh) | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 | |
| US11038682B2 (en) | Communication method, apparatus and system, electronic device, and computer readable storage medium | |
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| Lau et al. | Blockchain-based authentication in IoT networks | |
| CN101222331B (zh) | 一种认证服务器及网状网中双向认证的方法及*** | |
| CN108848111B (zh) | 一种基于区块链技术的去中心化虚拟专用网络组建方法 | |
| CN102647394B (zh) | 路由设备身份认证方法及装置 | |
| CN102710605A (zh) | 一种云制造环境下的信息安全管控方法 | |
| Xu et al. | BE-RAN: Blockchain-enabled open RAN with decentralized identity management and privacy-preserving communication | |
| CN101515896B (zh) | 安全套接字层协议报文转发方法、装置、***及交换机 | |
| CN114172930B (zh) | 一种大规模物联网服务域隔离通信方法、装置、电子设备及存储介质 | |
| CN107396350A (zh) | 基于sdn‑5g网络架构的sdn组件间安全保护方法 | |
| Tian et al. | Reliable PUF-based mutual authentication protocol for UAVs towards multi-domain environment | |
| Liyanage et al. | A scalable and secure VPLS architecture for provider provisioned networks | |
| WO2023236551A1 (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
| CN104883372B (zh) | 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法 | |
| Yigit et al. | Secured communication channels in software-defined networks | |
| Liyanage et al. | Secure hierarchical VPLS architecture for provider provisioned networks | |
| Liyanage et al. | Secure hierarchical virtual private LAN services for provider provisioned networks | |
| Wang et al. | T-IP: A self-trustworthy and secure Internet protocol | |
| US20230077053A1 (en) | Authentication using a decentralized and/or hybrid dencentralized secure crypographic key storage method | |
| CN104703174A (zh) | 一种无线Mesh网络路由安全保护方法 | |
| CN112235318B (zh) | 实现量子安全加密的城域网*** | |
| Kwon et al. | Mondrian: Comprehensive Inter-domain Network Zoning Architecture. | |
| Fan et al. | Design and implementation of IoT gateway security system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |