CN106453406B - 一种体系化的软件定义数据中心网络保密方法 - Google Patents

一种体系化的软件定义数据中心网络保密方法 Download PDF

Info

Publication number
CN106453406B
CN106453406B CN201611046312.1A CN201611046312A CN106453406B CN 106453406 B CN106453406 B CN 106453406B CN 201611046312 A CN201611046312 A CN 201611046312A CN 106453406 B CN106453406 B CN 106453406B
Authority
CN
China
Prior art keywords
sdn
controller
sdn controller
key
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611046312.1A
Other languages
English (en)
Other versions
CN106453406A (zh
Inventor
牛长喜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN201611046312.1A priority Critical patent/CN106453406B/zh
Publication of CN106453406A publication Critical patent/CN106453406A/zh
Application granted granted Critical
Publication of CN106453406B publication Critical patent/CN106453406B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种体系化的软件定义数据中心网络保密方法,包括:密钥管理中心与SDN控制器集成;密钥分配过程与SDN控制器和交换机间的交互过程融合;不同层SDN交换机间二层加密;SDN交换机与SDN控制器间SDN南向接口通道加密;SDN控制器间加密;SDN控制器与管理终端间加密。与现有技术相比,本发明涉及多个层次多个环节,能满足体系化的软件定义数据中心网络保密需求:保护管理终端与SDN控制器间交互数据的机密性,保护SDN控制器间交互数据的机密性,保护SDN控制器内部维护的网络数据库的机密性,保护SDN控制器与SDN交换机间通道的机密性,保护虚拟机间数据交互的机密性,保护虚拟机迁移通道的机密性。

Description

一种体系化的软件定义数据中心网络保密方法
技术领域
本发明涉及一种体系化的软件定义数据中心网络保密方法。
背景技术
软件定义网络(Software-Defined Networking,SDN)技术仍处于发展初期,已有基于SDN技术设计的数据中心。软件定义数据中心网络体系结构从上至下分为7层:应用层、资源协同层、网络控制器、物理转发层、虚拟转发层和计算/存储层。应用层包括网管等各类应用,资源协同层包括协同优化计算、存储、网络资源等的分配,网络控制器主要包括控制网络设备的SDN控制器,物理转发层主要包括SDN网络交换机,虚拟转发层主要包括存在于服务器中的SDN虚拟转发设备,计算/存储层主要包括数据中心服务器和存储设备。
软件定义数据中心网络具有两点典型特征:一是相比传统数据中心网络中运行分布式协议对网络进行控制的方式,软件定义数据中心网络通过SDN控制器进行集中控制;二是相比传统数据中心网络中较少虚拟机与虚拟化网络,软件定义数据中心网络中存在有大量虚拟机与虚拟化网络。
针对软件定义数据中心网络的安全研究主要集中在如下两点:一是提出安全增强的网络交换机设计,二是提出安全增强的网络控制器设计。安全增强的网络交换机与网络控制器能够解决如拒绝服务攻击、非法接入访问等***安全问题,但不能解决数据中心网络传输数据的保密。
SDN技术体制引入数据中心网络后,带来一系列新型安全风险:包括未授权的控制器访问、未认证的应用程序等访问控制风险,包括OpenFlow流表泄露、转发规则泄露等数据泄露风险,包括OpenFlow流表篡改、数据包篡改等数据篡改风险,包括恶意流表规则注入、控制器劫持等恶意应用风险,包括南向接口DDoS、交换机流表DDoS等拒绝服务风险,包括配置命令认证缺失、管理策略认证缺失等配置错误风险。基于SDN的数据中心网络中大量使用虚拟化技术,虚拟化技术的广泛使用带来一系列新型安全风险:虚拟机间交互数据缺乏机密性保护,虚拟机迁移缺乏安全迁移通道。
由于SDN技术仍处于发展之中,数据中心网络中引入SDN技术体制带来的新型安全风险仍在研究中。当前未见与软件定义数据中心网络特征相适配的保密方法。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种体系化的软件定义数据中心网络保密方法,涉及多个层次多个环节,满足体系化的软件定义数据中心网络保密需求。
本发明解决其技术问题所采用的技术方案是:一种体系化的软件定义数据中心网络保密方法,包括如下内容:
(一)密钥管理中心与SDN控制器集成;
(二)密钥分配过程与SDN控制器和交换机间的交互过程融合;
(三)不同层SDN交换机间二层加密;
(四)SDN交换机与SDN控制器间SDN南向接口通道加密;
(五)SDN控制器间加密;
(六)SDN控制器与管理终端间加密。
与现有技术相比,本发明的积极效果是:
1、保护管理终端与SDN控制器间交互数据的机密性:软件定义数据中心管理终端向SDN控制器发送管理指令,SDN控制器向管理终端发送网络信息摘要,这类数据包含网络正确运行时需要满足的最重要的管理目标。采取保密措施后,能够防止恶意人员截取篡改等非法操作,避免网络管理目标数据遭到被泄露的风险。
2、保护SDN控制器间交互数据的机密性:软件定义数据中心分层分域控制时,多个SDN控制器之间要交互所控制网络的信息,这类数据包含数据中心网络多个子网络中的关键网络信息。采取保密措施后,能够防止恶意人员截取篡改等非法操作,避免子网络关键信息遭到被泄露的风险以及避免网络信息遭到被欺骗的风险。
3、保护SDN控制器内部维护的网络数据库的机密性:软件定义数据中心全网拓扑信息、流量矩阵信息等重要信息都存储在SDN控制器内部维护的网络数据库中,这类数据包含软件定义数据中心网络全网关键网络信息,采取保密措施后,能够防止恶意人员读取篡改等非法操作,避免全网关键信息遭到被泄露的风险以及避免全网信息遭到被欺骗的风险。
4、保护SDN控制器与SDN交换机间通道的机密性:软件定义数据中心SDN控制器向SDN交换机发送控制指令,SDN交换机向SDN控制器上报网络拓扑与网络流量等信息,这类数据包含网络交换正常运行所依赖的流表信息以及网络路由计算所依赖的物理网络拓扑与流量信息,采取保密措施后,能够防止恶意人员截取篡改等非法操作,避免网络交换遭到无法正常运行的风险以及避免网络路由遭到被劫持的风险。
5、保护虚拟机间数据交互的机密性:软件定义数据中心里分布有大量虚拟机,虚拟机间不断交互数据共同完成如大规模分布式计算等业务,这类数据包含数据中心所服务的客户的重要业务数据,采取保密措施后,能够防止恶意人员截取篡改等非法操作,避免客户业务数据遭到被泄露的风险。
6、保护虚拟机迁移通道的机密性:软件定义数据中心网络中的虚拟机常常根据计算资源调配等要求进行迁移,迁移通道中包含虚拟机全部资源数据,采取保密措施后,能够防止恶意人员截取篡改等非法操作,避免虚拟机资源数据遭到被泄露的风险。
具体实施方式
一种体系化的软件定义数据中心网络保密方法,包括如下几个方面:
1、密钥管理中心与SDN控制器集成。
步骤1.1:在SDN控制器中的数据存储区划出一块专用存储区;
步骤1.2:在该专用存储区中用对称加密方法加密存储密钥;
步骤1.3:在SDN控制器的中央处理器中划出一块专用处理单元;
步骤1.4:使用该专用处理单元专门处理密钥管理。
通过将密钥管理中心与SDN控制器集成,便于软件定义数据中心网络密钥管理方案简洁化,实现高效密钥管理能力,达到保护SDN控制器内部维护的网络数据库的机密性。
2、密钥分配过程与SDN控制器、交换机间的交互过程融合。
步骤2.1:交换机向SDN控制器注册时,交换机向SDN控制器发送共享口令P;
步骤2.2:控制器向交换机反馈注册状态时,同时产生随机公开密钥/私人密钥对,用对称算法和P作为密钥,对公开密钥K’进行加密得到P{K’},将该结果发送给交换机;
步骤2.3:交换机利用P,解密P{K’}消息,得到K’,然后产生随机会话密钥K,用从控制器处得到的公开密钥K’和P加密K,得到P{K’{K}},发送给控制器;
步骤2.4:控制器解密P{K’{K}}消息,得到K,产生随机串Ra,用K加密后得到K{Ra},发送给交换机;
步骤2.5:交换机解密K{Ra},得到Ra,产生随机串Rb,用K加密得到K{Ra,Rb},把结果发送给控制器;
步骤2.6:控制器解密K{Ra,Rb},得到Ra和Rb,若解密得到的Ra与步骤2.4产生的Ra相同,则控制器用K加密Rb,得到K{Rb},发送给交换机;
步骤2.7:交换机解密K{Rb},得到Rb,若解密得到的Rb与步骤2.5产生的Rb相同,则将Rb作为密钥。完成密钥分配过程。
通过将密钥分配过程与此交互过程进行融合设计,将密钥分配与通信交互流程一体化,实现高效密钥分配能力。
3、不同层SDN交换机间二层加密。
步骤3.1:不同层SDN交换机运行上述步骤2.1至步骤2.7中的过程,获得密钥;
步骤3.2:需要交换数据的不同层SDN交换机之间,通过控制器分配会话密钥;
步骤3.3:需要交换数据的不同层SDN交换机之间使用对称加密方法加密数据。
通过上层交换机协助进行虚拟机间通信的加密,方便跨域虚拟机迁移,实现二层加密,达到保护虚拟机间数据交互的机密性和保护虚拟机迁移通道的机密性。
4、SDN交换机与SDN控制器间SDN南向接口通道加密。
步骤4.1:SDN交换机与SDN控制器之间通过运行上述步骤2.1至步骤2.7中的过程,获得密钥;
步骤4.2:SDN交换机与SDN控制器之间交换的数据使用对称加密方法加密数据。
通过SDN南向接口通信加密,便于SDN控制器向SDN交换机发出收集网络拓扑信息的加密指令,SDN交换机上报加密后的拓扑信息,达到保护SDN控制器与SDN交换机间通道的机密性。
5、SDN控制器间加密。
步骤5.1:不同SDN控制器与相直接连接的SDN交换机运行上述步骤2.1至步骤2.7中的过程,获得密钥;
步骤5.2:需要交换数据的SDN控制器之间使用对称加密方法加密数据。
通过实现SDN控制器集群中单个控制器间通信的加密,便于SDN控制器之间交互本地拓扑加密信息,达到保护SDN控制器间交互数据的机密性。
6、SDN控制器与管理终端间加密。
步骤6.1:SDN控制器与管理终端通过直接相连的交换机运行上述步骤2.1至步骤2.7中的过程,获得密钥;
步骤6.2:需要交换数据的SDN控制器与管理终端间使用对称加密方法加密数据。
通过SDN控制器与管理终端间通信的加密,便于管理终端向SDN控制器发布加密后的管理配置变化需求,达到保护管理终端与SDN控制器间交互数据的机密性。

Claims (6)

1.一种体系化的软件定义数据中心网络保密方法,其特征在于:包括如下内容:
(一)密钥管理中心与SDN控制器集成:
(二)密钥分配过程与SDN控制器和交换机间的交互过程融合:
步骤一、交换机向SDN控制器注册时发送共享口令P;
步骤二、控制器向交换机反馈注册状态时,同时产生随机公开密钥和私人密钥对,用对称算法和P作为密钥对公开密钥K’进行加密得到P{K’},发送给交换机;
步骤三、交换机利用P解密P{K’}消息,得到K’,然后产生随机会话密钥K,用K’和P加密K,得到P{K’{K}},发送给控制器;
步骤四、控制器解密P{K’{K}}消息,得到K,产生随机串Ra,用K加密后得到K{Ra},发送给交换机;
步骤五、交换机解密K{Ra},得到Ra,然后产生随机串Rb,用K加密Ra和Rb,得到K{Ra,Rb},发送给控制器;
步骤六、控制器解密K{Ra,Rb},得到Ra和Rb,若解密得到的Ra与步骤四产生的Ra相同,则控制器用K加密Rb,得到K{Rb},发送给交换机;
步骤七、交换机解密K{Rb},得到Rb,若解密得到的Rb与步骤五产生的Rb相同,则将Rb作为密钥;
(三)不同层SDN交换机间二层加密;
(四)SDN交换机与SDN控制器间SDN南向接口通道加密;
(五)SDN控制器间加密;
(六)SDN控制器与管理终端间加密。
2.根据权利要求1所述的一种体系化的软件定义数据中心网络保密方法,其特征在于:通过如下方法实现密钥管理中心与SDN控制器的集成:在SDN控制器中的数据存储区划出一块专用存储区,在该专用存储区中用对称加密方法加密存储密钥;在SDN控制器的中央处理器中划出一块专用处理单元进行密钥管理。
3.根据权利要求1所述的一种体系化的软件定义数据中心网络保密方法,其特征在于:通过如下方法实现不同层SDN交换机间的二层加密:不同层SDN交换机按照步骤一至七的过程获得密钥,需要交换数据的不同层SDN交换机之间通过控制器分配会话密钥,需要交换数据的不同层SDN交换机之间使用对称加密方法加密数据。
4.根据权利要求1所述的一种体系化的软件定义数据中心网络保密方法,其特征在于:通过如下方法实现SDN交换机与SDN控制器间SDN南向接口通道的加密:SDN交换机与SDN控制器之间按照步骤一至七的过程获得密钥,SDN交换机与SDN控制器之间交换的数据使用对称加密方法加密数据。
5.根据权利要求1所述的一种体系化的软件定义数据中心网络保密方法,其特征在于:通过如下方法实现SDN控制器间的加密:不同SDN控制器与直接连接的SDN交换机照步骤一至七的过程获得密钥,需要交换数据的SDN控制器之间使用对称加密方法加密数据。
6.根据权利要求1所述的一种体系化的软件定义数据中心网络保密方法,其特征在于:通过如下方法实现SDN控制器与管理终端间的加密:SDN控制器与管理终端通过直接相连的交换机运行步骤一至七的过程获得密钥,需要交换数据的SDN控制器与管理终端间使用对称加密方法加密数据。
CN201611046312.1A 2016-11-22 2016-11-22 一种体系化的软件定义数据中心网络保密方法 Active CN106453406B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611046312.1A CN106453406B (zh) 2016-11-22 2016-11-22 一种体系化的软件定义数据中心网络保密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611046312.1A CN106453406B (zh) 2016-11-22 2016-11-22 一种体系化的软件定义数据中心网络保密方法

Publications (2)

Publication Number Publication Date
CN106453406A CN106453406A (zh) 2017-02-22
CN106453406B true CN106453406B (zh) 2019-05-28

Family

ID=58218309

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611046312.1A Active CN106453406B (zh) 2016-11-22 2016-11-22 一种体系化的软件定义数据中心网络保密方法

Country Status (1)

Country Link
CN (1) CN106453406B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110392033B (zh) * 2018-04-23 2022-01-04 北京华为数字技术有限公司 一种密码管理方法及装置
CN113411346A (zh) * 2021-06-30 2021-09-17 四川更元科技有限公司 一种sdn网络南向控制可信连接方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103178965A (zh) * 2008-01-07 2013-06-26 安全第一公司 使用多因素或密钥式分散对数据进行保护的***和方法
CN103825825A (zh) * 2014-01-18 2014-05-28 浙江大学 一种灵活可扩展且安全的域间拓扑发现方法
CN104935593A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 数据报文的传输方法及装置
CN105471830A (zh) * 2014-09-10 2016-04-06 中国电信股份有限公司 用于消解安全策略冲突的方法、装置和***
CN105827665A (zh) * 2016-06-06 2016-08-03 南开大学 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103178965A (zh) * 2008-01-07 2013-06-26 安全第一公司 使用多因素或密钥式分散对数据进行保护的***和方法
CN103825825A (zh) * 2014-01-18 2014-05-28 浙江大学 一种灵活可扩展且安全的域间拓扑发现方法
CN105471830A (zh) * 2014-09-10 2016-04-06 中国电信股份有限公司 用于消解安全策略冲突的方法、装置和***
CN104935593A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 数据报文的传输方法及装置
CN105827665A (zh) * 2016-06-06 2016-08-03 南开大学 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法

Also Published As

Publication number Publication date
CN106453406A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
CN106161402B (zh) 基于云环境的加密机密钥注入***、方法及装置
CN105577637B (zh) 用于安全虚拟网络功能间通信的计算设备、方法和机器可读存储介质
CN104486307B (zh) 一种基于同态加密的分权密钥管理方法
CN107181599B (zh) 基于区块链的路由位置数据保密存储及共享方法
CN103618728B (zh) 一种多机构中心的属性加密方法
CN108418784B (zh) 一种基于属性密码的分布式跨域授权和访问控制方法
CN110661620B (zh) 一种基于虚拟量子链路的共享密钥协商方法
US8856548B2 (en) Public cloud data at rest security
CN104104692B (zh) 一种虚拟机加密方法、解密方法及加解密控制***
CN103534976A (zh) 数据安全的保护方法、服务器、主机及***
CN110311883A (zh) 身份管理方法、设备、通信网络及存储介质
TWI706658B (zh) 密碼運算、創建工作密鑰的方法、密碼服務平台及設備
CN109561047A (zh) 基于密钥异地存储的加密数据存储***及方法
CN109756329A (zh) 基于私钥池的抗量子计算共享密钥协商方法和***
CN110046507A (zh) 形成可信计算集群的方法及装置
CN111294349B (zh) 用于物联网设备数据共享的方法及装置
CN109617875A (zh) 一种终端通信网的安全接入平台及其实现方法
CN103107994A (zh) 一种虚拟化环境数据安全隔离方法和***
CN109257347A (zh) 适于银企间数据交互的通信方法和相关装置、存储介质
CN104331329A (zh) 支持域管理的移动办公安全***及方法
CN104065485A (zh) 电网调度移动平台安全保障管控方法
CN113645195A (zh) 基于cp-abe和sm4的密文访问控制***及方法
CN108768669A (zh) 基于asic可信远程内存交换卡及其数据交换方法
CN108400862A (zh) 一种智能用电终端可信数据融合加密方法
CN106453406B (zh) 一种体系化的软件定义数据中心网络保密方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant