CN110808836A - 一种网络认证攻击预测方法及*** - Google Patents
一种网络认证攻击预测方法及*** Download PDFInfo
- Publication number
- CN110808836A CN110808836A CN201911135959.5A CN201911135959A CN110808836A CN 110808836 A CN110808836 A CN 110808836A CN 201911135959 A CN201911135959 A CN 201911135959A CN 110808836 A CN110808836 A CN 110808836A
- Authority
- CN
- China
- Prior art keywords
- controller
- switch
- network
- trusted authority
- digital signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络认证攻击预测方法及***,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;同时,收集数据片段副本,提取可被利用的攻击向量,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定异常点,得到潜在的攻击轨迹和网络节点的安全漏洞,预测异常的网络节点未来是否会改善,以及预测与这个网络节点类似的其他节点是否会遭遇攻击。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络认证攻击预测方法及***。
背景技术
现有的SDN网络中控制器与交换机之间不强制建立TLS安全通道,并且默认状态为非开启状态,使得网络变得脆弱,控制器与交换机之间可能出现明文通信,任何第三方都可以截获或者修改双方的通信内容,容易受到中间人的攻击。控制器与交换机之间缺乏对证书的验证,攻击者容易截取控制器发送给交换机的请求,伪装成控制器与交换机进行通信,从而获得交换机与控制器之间通信的所有内容。
同时,单个网络节点异常的原因并不相同,需要***能够根据每个网络节点的情况找出其异常的项目是什么,预测该网络节点未来会不会改善,以及预测与这个网络节点类似的其他节点会不会遭遇攻击。
所以急需一种针对性改进SDN网络漏洞的安全认证攻击预测的方法和***。
发明内容
本发明的目的在于提供一种网络认证攻击预测方法及***,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;同时,收集数据片段副本,提取可被利用的攻击向量,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定异常点,得到潜在的攻击轨迹和网络节点的安全漏洞,预测异常的网络节点未来是否会改善,以及预测与这个网络节点类似的其他节点是否会遭遇攻击。
第一方面,本申请提供一种网络认证攻击预测方法,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
收集网络流量中的数据片段,从中提取出可被利用的攻击向量,将接收到的数据片段与服务器本地的历史数据片段合并;
使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的网络节点,所述服务器解析该网络节点的历史访问数据,从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目,找到导致该网络节点异常并且不可信的原因,并且预测该原因是否为在未来一段时间得到改善;
分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点,预测该其他网络节点是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信。
结合第一方面,在第一方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第一方面,在第一方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第一方面,在第一方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
第二方面,本申请提供一种网络认证攻击预测***,所述***包括:网关服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机,以及预测服务器;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述网关服务器收集网络流量中的数据片段,从中提取出可被利用的攻击向量,将接收到的数据片段与服务器本地的历史数据片段合并;
所述预测服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的网络节点,所述服务器解析该网络节点的历史访问数据,从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目,找到导致该网络节点异常并且不可信的原因,并且预测该原因是否为在未来一段时间得到改善;
分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点,预测该其他网络节点是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信。
结合第二方面,在第二方面第一种可能的实现方式中,所述数字签名证书采用了哈希运算。
结合第二方面,在第二方面第二种可能的实现方式中,所述加密算法包括DES、MD5、AES中任意一种。
结合第二方面,在第二方面第三种可能的实现方式中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
本发明提供一种网络认证攻击预测方法及***,在控制器与交换机之间建立安全加密通道,增加可信任机构CA对控制器和交换机进行认证签名,实现控制器和交换机之间的双向认证,以及在控制器与交换机之间进行密钥协商,实现针对性地改进SDN网络漏洞;同时,收集数据片段副本,提取可被利用的攻击向量,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定异常点,得到潜在的攻击轨迹和网络节点的安全漏洞,预测异常的网络节点未来是否会改善,以及预测与这个网络节点类似的其他节点是否会遭遇攻击。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明网络认证攻击预测方法的流程图;
图2为本发明网络认证攻击预测***的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的网络认证攻击预测方法的流程图,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
收集网络流量中的数据片段,从中提取出可被利用的攻击向量,将接收到的数据片段与服务器本地的历史数据片段合并;
使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的网络节点,所述服务器解析该网络节点的历史访问数据,从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目,找到导致该网络节点异常并且不可信的原因,并且预测该原因是否为在未来一段时间得到改善;
分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点,预测该其他网络节点是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
图2为本申请提供的网络认证攻击预测***的架构图,所述***包括:网关服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机,以及预测服务器;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述网关服务器收集网络流量中的数据片段,从中提取出可被利用的攻击向量,将接收到的数据片段与服务器本地的历史数据片段合并;
所述预测服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的网络节点,所述服务器解析该网络节点的历史访问数据,从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目,找到导致该网络节点异常并且不可信的原因,并且预测该原因是否为在未来一段时间得到改善;
分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点,预测该其他网络节点是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信。
在一些优选实施例中,所述数字签名证书采用了哈希运算。
在一些优选实施例中,所述加密算法包括DES、MD5、AES中任意一种。
在一些优选实施例中,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (8)
1.一种网络认证攻击预测方法,其特征在于,所述方法包括:
获取网络流量数据,根据网络特征,识别网络的类型;
收集网络流量中的数据片段,从中提取出可被利用的攻击向量,将接收到的数据片段与服务器本地的历史数据片段合并;
使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的网络节点,所述服务器解析该网络节点的历史访问数据,从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目,找到导致该网络节点异常并且不可信的原因,并且预测该原因是否为在未来一段时间得到改善;
分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点,预测该其他网络节点是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;
当识别网络为SDN网络时,下发控制指令给控制器和交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述控制器和交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述控制器和交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述控制器和交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述控制器和交换机向所述可信任机构CA发送认证错误的通知;
所述控制器和交换机在验证成功后,交换机向控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信。
2.根据权利要求1所述的方法,其特征在于,所述数字签名证书采用了哈希运算。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
5.一种网络认证攻击预测***,其特征在于,所述***包括:网关服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机,以及预测服务器;
所述网关服务器获取网络流量数据,根据网络特征,识别网络的类型;
所述网关服务器收集网络流量中的数据片段,从中提取出可被利用的攻击向量,将接收到的数据片段与服务器本地的历史数据片段合并;
所述预测服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的网络节点,所述服务器解析该网络节点的历史访问数据,从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目,找到导致该网络节点异常并且不可信的原因,并且预测该原因是否为在未来一段时间得到改善;
分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点,预测该其他网络节点是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;
当识别网络为SDN网络时,下发控制指令给至少一个控制器和至少一个交换机,所述控制指令携带有网络中间可信任机构CA的标识和地址;
所述至少一个控制器和至少一个交换机接收所述控制指令,分别向网络中间可信任机构CA发送身份认证请求,所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识;
所述可信任机构CA接收到所述身份认证请求,根据设备标识查询数据库,判断所述至少一个控制器和至少一个交换机是否合法,如果判断结果为合法,则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机;如果判断结果为不合法,则所述可信任机构CA返回认证失败的通知;
所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书,使用所述可信任机构CA的公钥对所述数字签名证书进行验证,若验证成功,则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息;若验证不成功,则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知;
所述至少一个控制器和至少一个交换机在验证成功后,交换机向对应控制器发送加密安全连接请求,所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数;
所述控制器接收到所述加密安全连接请求后,向所述交换机返回响应消息,所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书;
所述交换机接收到所述响应消息后,使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证,如果验证成功,则生成第三随机数,并使用控制器的公钥对所述第三随机数进行加密,与交换机的数字签名证书一起发送给所述控制器;
所述控制器接收到所述交换机发送的消息后,使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证,如果验证成功,则使用控制器的私钥解密消息中的所述第三随机数密文,完成控制器和交换机的密钥协商;
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信。
6.根据权利要求5所述的***,其特征在于,所述数字签名证书采用了哈希运算。
7.根据权利要求5-6任一项所述的***,其特征在于,所述加密算法包括DES、MD5、AES中任意一种。
8.根据权利要求5-7任一项所述的***,其特征在于,所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911135959.5A CN110808836A (zh) | 2019-11-19 | 2019-11-19 | 一种网络认证攻击预测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911135959.5A CN110808836A (zh) | 2019-11-19 | 2019-11-19 | 一种网络认证攻击预测方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110808836A true CN110808836A (zh) | 2020-02-18 |
Family
ID=69490546
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911135959.5A Pending CN110808836A (zh) | 2019-11-19 | 2019-11-19 | 一种网络认证攻击预测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110808836A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404947A (zh) * | 2020-03-19 | 2020-07-10 | 李子钦 | 一种OpenFlow网络中的轻量级控制通道通信保护方法及*** |
| CN111866028A (zh) * | 2020-08-10 | 2020-10-30 | 武汉思普崚技术有限公司 | 一种攻击面可视化的方法及*** |
| CN111917792A (zh) * | 2020-08-10 | 2020-11-10 | 武汉思普崚技术有限公司 | 一种流量安全分析挖掘的方法及*** |
| CN111935143A (zh) * | 2020-08-10 | 2020-11-13 | 武汉思普崚技术有限公司 | 一种攻击防御策略可视化的方法及*** |
| CN112003840A (zh) * | 2020-08-10 | 2020-11-27 | 武汉思普崚技术有限公司 | 一种基于攻击面的漏洞检测方法及*** |
| CN113472724A (zh) * | 2020-03-31 | 2021-10-01 | 中国联合网络通信集团有限公司 | 一种网络认证方法、设备及*** |
| CN114785532A (zh) * | 2022-06-22 | 2022-07-22 | 广州万协通信息技术有限公司 | 一种基于双向签名认证的安全芯片通信方法及装置 |
| CN114826721A (zh) * | 2022-04-19 | 2022-07-29 | 广东工业大学 | 一种sdn网络中间人攻击的检测方法 |
| CN116827688A (zh) * | 2023-08-28 | 2023-09-29 | 北京安天网络安全技术有限公司 | 一种设备安全防护方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107919956A (zh) * | 2018-01-04 | 2018-04-17 | 重庆邮电大学 | 一种面向物联网云环境下端到端安全保障方法 |
| CN109309565A (zh) * | 2017-07-28 | 2019-02-05 | ***通信有限公司研究院 | 一种安全认证的方法及装置 |
| CN110365674A (zh) * | 2019-07-11 | 2019-10-22 | 武汉思普崚技术有限公司 | 一种预测网络攻击面的方法、服务器和*** |
-
2019
- 2019-11-19 CN CN201911135959.5A patent/CN110808836A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109309565A (zh) * | 2017-07-28 | 2019-02-05 | ***通信有限公司研究院 | 一种安全认证的方法及装置 |
| CN107919956A (zh) * | 2018-01-04 | 2018-04-17 | 重庆邮电大学 | 一种面向物联网云环境下端到端安全保障方法 |
| CN110365674A (zh) * | 2019-07-11 | 2019-10-22 | 武汉思普崚技术有限公司 | 一种预测网络攻击面的方法、服务器和*** |
Non-Patent Citations (1)
| Title |
|---|
| 孟庆月: "《SDN网络南向安全防护***研究与实现》", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404947A (zh) * | 2020-03-19 | 2020-07-10 | 李子钦 | 一种OpenFlow网络中的轻量级控制通道通信保护方法及*** |
| CN111404947B (zh) * | 2020-03-19 | 2023-04-18 | 李子钦 | 一种OpenFlow网络中的轻量级控制通道通信保护方法及*** |
| CN113472724B (zh) * | 2020-03-31 | 2023-03-24 | 中国联合网络通信集团有限公司 | 一种网络认证方法、设备及*** |
| CN113472724A (zh) * | 2020-03-31 | 2021-10-01 | 中国联合网络通信集团有限公司 | 一种网络认证方法、设备及*** |
| CN112003840A (zh) * | 2020-08-10 | 2020-11-27 | 武汉思普崚技术有限公司 | 一种基于攻击面的漏洞检测方法及*** |
| CN111935143A (zh) * | 2020-08-10 | 2020-11-13 | 武汉思普崚技术有限公司 | 一种攻击防御策略可视化的方法及*** |
| CN111866028B (zh) * | 2020-08-10 | 2021-11-26 | 武汉思普崚技术有限公司 | 一种攻击面可视化的方法、***及存储介质 |
| CN111935143B (zh) * | 2020-08-10 | 2021-11-26 | 武汉思普崚技术有限公司 | 一种攻击防御策略可视化的方法及*** |
| CN111917792A (zh) * | 2020-08-10 | 2020-11-10 | 武汉思普崚技术有限公司 | 一种流量安全分析挖掘的方法及*** |
| CN111866028A (zh) * | 2020-08-10 | 2020-10-30 | 武汉思普崚技术有限公司 | 一种攻击面可视化的方法及*** |
| CN114826721A (zh) * | 2022-04-19 | 2022-07-29 | 广东工业大学 | 一种sdn网络中间人攻击的检测方法 |
| CN114826721B (zh) * | 2022-04-19 | 2023-06-06 | 广东工业大学 | 一种sdn网络中间人攻击的检测方法 |
| CN114785532A (zh) * | 2022-06-22 | 2022-07-22 | 广州万协通信息技术有限公司 | 一种基于双向签名认证的安全芯片通信方法及装置 |
| CN114785532B (zh) * | 2022-06-22 | 2022-10-14 | 广州万协通信息技术有限公司 | 一种基于双向签名认证的安全芯片通信方法及装置 |
| CN116827688A (zh) * | 2023-08-28 | 2023-09-29 | 北京安天网络安全技术有限公司 | 一种设备安全防护方法、装置、设备及介质 |
| CN116827688B (zh) * | 2023-08-28 | 2023-11-10 | 北京安天网络安全技术有限公司 | 一种设备安全防护方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110808836A (zh) | 一种网络认证攻击预测方法及*** | |
| US10848319B2 (en) | System for issuing certificate based on blockchain network, and method for issuing certificate based on blockchain network by using same | |
| US11223480B2 (en) | Detecting compromised cloud-identity access information | |
| US7526654B2 (en) | Method and system for detecting a secure state of a computer system | |
| US20160337354A1 (en) | System and method for securing machine-to-machine communications | |
| US10333930B2 (en) | System and method for transparent multi-factor authentication and security posture checking | |
| CN110855695A (zh) | 一种改进的sdn网络安全认证方法及*** | |
| US20040083373A1 (en) | Automatically generated cryptographic functions for renewable tamper resistant security systems | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| KR102179497B1 (ko) | 멀티 클라우드 기반의 데이터 저장 및 관리 시스템 및 그 구동방법 | |
| EP3490212A1 (en) | Actively identifying and neutralizing network hot spots | |
| CN110839036B (zh) | 一种sdn网络的攻击检测方法及*** | |
| CN116405187B (zh) | 基于区块链的分布式节点入侵态势感知方法 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| CN110839037A (zh) | 一种sdn网络的攻击场景挖掘方法及*** | |
| CN106850592B (zh) | 一种信息处理方法、服务器及终端 | |
| CN110855693A (zh) | 一种基于cnn的网络认证方法及*** | |
| Williams et al. | Security aspects of internet of things–a survey | |
| CN108429732B (zh) | 一种获取资源的方法及*** | |
| CN110855694A (zh) | 一种改进的网络认证检测方法及*** | |
| CN110650012A (zh) | 一种改进的sdn网络攻击检测方法及*** | |
| CN115189928A (zh) | 一种密码服务虚拟机动态安全迁移方法及*** | |
| CN106714159B (zh) | 网络接入控制方法和*** | |
| Darwish et al. | Privacy and security of cloud computing: a comprehensive review of techniques and challenges | |
| Aftab et al. | Towards a distributed ledger based verifiable trusted protocol for VANET |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200218 |
|
| RJ01 | Rejection of invention patent application after publication |