一种软件定义网络中安全的可信接入方法
阅读:938发布:2020-05-11
专利汇可以提供一种软件定义网络中安全的可信接入方法专利检索,专利查询,专利分析的服务。并且本 发明 公开一种 软件 定义网络中安全的接入方法,将可信接入技术引入SDN网络中的接入过程中;通过结合可信计算技术,可以有效阻止不安全地设备对网络的接入行为;同时本发明还包含针对SDN网络的灵活独创性提出了快速接入认证方式和通过可信值对同用户分级 访问 方式。采用本发明的技术方案,可以有效填补SDN网络接入认证中存在的不足,增强了SDN网络的安全性。,下面是一种软件定义网络中安全的可信接入方法专利的具体信息内容。
1.一种软件定义网络中安全的可信接入方法,其特征在于,包括以下步骤:
步骤1、根据SDN网络安全接入需求,获取接入设备存储在可信平台配置寄存器中的可信度量信息PCR值;
步骤2、在发起请求的过程中向接入服务端发送本次请求客户端侧随机数验证码以及自身的设备信息;
步骤3.1、接入服务端获取接入设备的请求,验证接入状态并判断是否允许设备接入,如果允许设备接入,则向接入设备回复并附带本次接入请求服务端侧随机数验证码;出于安全因素考量,接入服务端回复时需携带客户端侧随机数验证码;
步骤3.2、接入设备获取接入服务端的回复,认证接入服务端发出的客户端侧随机数验证码是否与之前指定的客户端侧随机数验证码相同,若相同,则将本机的可信度量信息PCR值、服务端侧随机数验证码发送至接入服务端;
步骤3.3、接入服务端获取接入设备发送的可信度量信息PCR值、服务端侧随机数验证码,验证接入设备发出的服务端侧随机数验证码是否与之前发送的相同;若相同,则开始查询所述接入设备是否满足快速接入的条件;
步骤3.4、若满足快速接入的条件,将接入判断结果和客户端侧随机数验证码发送给接入设备,若不满足快速接入条件则进行继续流程,并向接入设备发送进入用户认证阶段的请求并包含客户端侧随机数验证码;
步骤3.5、接入设备根据接入服务端的回复,验证客户端侧随机数验证码是否与之前发送的相同,若相同,则开始处理接入服务端的判断结果,当判断结果为可信时,向接入服务端发送用户认证身份信息;
步骤3.6、接入服务端对所述用户认证身份信息进行验证,若验证结果为允许接入,则将接入设备的接入状态、IP地址、MAC地址,可信度量信息PCR值和登陆的用户名记录到最近连接的设备列表中,同时接入服务端向OpenFlow控制器发出接入决策,放开对该接入设备对于网络的访问权限;
步骤4、OpenFlow控制器根据接入决策生成相应的流表项,并将所述流表项发送至SDN交换机,所述SDN交换机根据所述流表项的指示对接入的设备的网络接入进行放行。
2.如权利要求1所述软件定义网络中安全的可信接入方法,其特征在于,所述快速接入条件为:IP和MAC地址位于最近接入设备列表内,且本次接入时设备提供的可信度量信息PCR值与上次相同。
3.如权利要求1所述软件定义网络中安全的可信接入方法,其特征在于,若不符合快速接入条件,则对用户的可信状况进行判断,所述可信判断结果分为:完全可信、部分可信和不可信。
4.如权利要求1所述软件定义网络中安全的可信接入方法,其特征在于,在步骤3.5中,当判断结果为不可信时,中断登录流程,接入设备无法接入网络;当判断结果为可信时,要求接入设备提供用户认证身份信息。
一种软件定义网络中安全的可信接入方法
技术领域
[0001] 本发明属于软件定义网络的技术领域,尤其涉及一种软件定义网络中安全的可信接入方法。
背景技术
[0002] OpenFlow的概念在2006由美国斯坦福大学的研究人员的研究项目产生,提倡将传统网络设备的数据层和控制层解耦,通过集中式的控制器(controller)以标准化的接口对各种网络设备进行管理和配置。随后,研究者由此开始推广软件定义网络(Software-Defined Networking,SDN)概念,并引起学术界和产业界的广泛关注。
[0003] Floodlight Open SDN控制器是一个企业级的基于Java的OpenFlow控制器。它容易构建和使用,支持众多的虚拟及物理OpenFlow交换机。作为OpenFlow网络的控制器,Floodlight通过结合不同模块的功能提供了对网络管理的能力。其向用户提供API来允许用户创建的智能化应用对网络进行管理或对控制器功能进行增强。
[0004] 网络接入问题是网络安全问题之一。非法用户的接入往往是渗透整个网络的开端。于是人们想出了各种方法对用户进行认证。从上世纪90年代初期到现在,国内外知名的网络安全专家相继使用新的技术和方法来解决网络终端安全接入的问题。主动防御等概念也相应被提出。
[0005] 2004年5月可信网络连接分组(TNC-SG)成立,其于2005年3月发布了可信网络连接TNC规范和相应的接口规范,此次发布的TNCV1.0版本确定了TNC的核心。TNC架构主要描述了网络接入中的三个实体,它们是访问请求者(Access Requestor,AR)、策略决策点(Policy Decision Point,PDP),策略执行点(Policy Enforcement Point,PEP)。同时,TNC架构又包括三个层次,它们是网络访问层、完整性评估层与完整性度量层。目前,也有部分针对传统网络接入增强方案参考TNC架构并引入可信计算的概念。
[0006] 网络接入问题,一直是网络安全问题的重点之一。而软件定义网络(SDN)仍属于发展初期,亦缺乏适合的接入方法。
[0007] 当前普遍采用的IP、MAC和用户身份信息组合对用户进行认证的方法已经无法在日益复杂的网络接入环境中提供安全的网络接入服务。而常见接入协议均参照当前网络设计,与SDN实现思路并不相符,不应直接套用于SDN网络中。
发明内容
[0008] 本发明要解决的技术问题是,提供一种软件定义网络中安全的接入方法,实现可信接入架构TNC与SDN网络架构相互结合,以能够有效的为SDN网络提供安全、可信的接入服务。
[0009] 为解决上述问题,本发明采用如下的技术方案:
[0010] 一种软件定义网络中安全的可信接入方法包括以下步骤:
[0011] 步骤S1、根据SDN网络安全接入需求,获取接入设备存储在可信平台配置寄存器中的可信度量信息PCR值;
[0012] 步骤S2、接入设备向接入服务端发送接入请求,所述请求包含所述可信度量信息PCR值;
[0013] 步骤S3、接入服务端器根据所述可信度量信息PCR值和获取的用户信息进行设备的完整性的量评估与接入判断,若判断结果为允许接入,接入服务端器向OpenFlow控制器发送接入决策;
[0014] 步骤S4、OpenFlow控制器根据接入决策生成相应的流表项,并将所述流表项发送至SDN交换机,所述SDN交换机根据所述流表项的指示对接入的设备的网络接入进行放行。
[0015] 作为优选,在步骤2中,在发起请求的过程中向接入服务端发送本次请求客户端侧随机数验证码以及自身的设备信息。
[0016] 作为优选,步骤3具体包括以下步骤:
[0017] 步骤3.1、接入服务端获取接入设备的请求,验证接入状态并判断是否允许设备接入,如果允许设备接入,则向接入设备回复并附带本次接入请求服务端侧随机数验证码;
[0019] 步骤3.3、接入服务端获取接入设备发送的PCR值、服务端侧随机数,验证接入设备发出的服务端随机数是否与之前发送的相同。若相同,则开始查询所述接入设备是否满足快速接入的条件;
[0020] 步骤3.4、若满足快速接入的条件,将接入判断结果和客户端侧随机数验证码发送给接入设备,若不满足快速接入条件则进行继续流程,并向接入设备发送进入用户认证阶段的请求并包含客户端侧随机数验证码;
[0021] 步骤3.5、接入设备根据接入服务端的回复,验证所述客户端随机数是否与之前发送的相同,若相同,则开始处理服务器的判断结果,当判断结果为可信时,向接入服务端发送用户认证身份信息;
[0022] 步骤3.6、接入服务端对所述用户信息进行验证,若验证结果为允许接入,则将客户端的接入状态、IP地址、MAC地址,PCR值和登陆的用户名记录到最近连接的设备列表中,同时接入服务端向OpenFlow控制器发出接入决策,放开对该接入设备对于网络的访问权限。
[0023] 作为优选,所述快速接入条件为:IP和MAC地址位于最近接入设备列表内,且本次接入时设备提供的可信PCR值与上次相同。
[0024] 作为优选,若不符合快速接入条件,则对用户的可信状况进行判断,所述可信判断结果分为:完全可信、部分可信和不可信。
[0025] 作为优选,在步骤3.5中,当判断结果为不可信时,中断登录流程,客户机无法接入网络;当判断结果为可信时,要求接入设备提供用户认证信息。
[0026] 作为优选,还包括:网络启用初期,接入服务端向OpenFlow控制器发出指令,所述指令用于阻止未认证的设备进行网络通信;同时OpenFlow控制器收到所述指令后,根据交换机提交的网络流量信息下达相应的流表项,以完成对于非认证设备的限制。
[0028] 本发明技术方案将可信接入技术引入SDN网络中的安全接入方法中,通过结合可信计算的有关技术,可以有效阻止不安全地设备对网络的接入行为;同时本发明还包含针对SDN网络的灵活独创性提出了快速接入认证方式和通过可信值对同用户分级访问方式,可以有效填补SDN网络接入认证中存在的不足,以增强SDN网络的安全性。附图说明
[0029] 图1为本发明的接入方法以TNC架构为视角的结构示意图;
[0030] 图2为本发明的接入方法以软件定义网络架构为视角的结构示意图;
[0031] 图3为本发明接入方法的数据传递流程示意图;
[0032] 图4为快速接入流程判断及流程示意图;
[0033] 图5为用户权限判断流程示意图。
具体实施方式
[0034] 以下结合具体实施例,并参照附图,对本发明进一步详细说明。
[0035] 本发明实施例提供一种软件定义网络中安全的可信接入方法,依据可信接入标准TNC的可信接入架构,结合上OpenFlow架构将控制层集中于控制器,交换机专注转发的特点,提出了安全接入方法所需架构,以TNC架构视角而言,安全接入架构如图1所示,以SDN网络结构视角而言,安全接入架构如图2所示。
[0036] 所述架构参考TNC可信接入模型的结构,将网络接入时所涉及的所有设备归类为访问请求者,策略执行点与策略管理&访问控制下发点。
[0037] 接入设备:访问请求者
[0038] 其上运行的客户端将主要负责提供网络接入认证服务。同时,为了实现可信接入功能,其可以获得其他度量应用收集的接入设备的完整性度量值,亦可使用空闲PCR对于网络接入有关的程序进行度量。在获取有关结果后,将度量值传递给服务器进行可信状况的验证。
[0039] 其中,接入设备与交换机有数据层连接。
[0040] OpenFlow(SDN)交换机:策略执行点
[0041] 结合OpenFlow交换机专注于根据流表对数据转发的特征,将交换机设定为策略执行点,执行来自控制层、应用层的决策。在用户接入之初,OpenFlow交换机会帮助用户将其可信评估数据和身份认证数据传达给控制器。当OpenFlow控制器下达决策后,其会根据流表项转发接入设备的正常通信数据并对通信行为做出限制。
[0042] 其中,OpenFlow交换机与OpenFlow控制器拥有管理层数据连接,与接入服务端有数据层连接。
[0043] OpenFlow控制器:管理网络连接和对用户接入请求进行处理的控制中心[0044] 网络管理部分由OpenFlow控制器进行。对客户可信状态的判断和接入认证则由SDN应用层的应用(接入服务端)调用OpenFlow控制器的API实现。当接入服务端完成对用户请求的判断后,其会将结果通过API告知OpenFlow控制器,OpenFlow控制器会通过其特有的安全信道将对应流表项下发至OpenFlow交换机,完成对用户的管控。
[0045] 其中,接入服务端与交换机有数据层连接。
[0046] 如图3所示,本发明实施例提供一种软件定义网络中安全的可信接入方法,具体包括以下步骤:
[0047] 网络启用初期,接入服务端向OpenFlow控制器(以下统称为“控制器”)发出指令:除白名单设备外,阻止除认证之外的网络通信。控制器收到指令后,会结合OpenFlow交换机(以下统称为“交换机”)提交的网络流量信息下达相应的流表项,以完成对于非认证设备的限制。
[0048] 步骤1、根据获取接入设备(实体设备或云虚拟机)接入SDN网络的需求,启用客户端,同时所述客户端获取存储在可信平台配置寄存器中的可信度量信息PCR值。
[0049] 步骤2、接入设备(请求发起方)向接入服务端发起接入请求。在发起请求的过程中向接入服务端指明本次请求客户端侧随机数验证码。同时,携带自身的设备信息(IP地址与MAC地址)以便接入服务端对设备进行对应。为了保证数据不被窃听,信息同时包含接入服务端回复时所需要使用的加密秘钥,且上述所有信息采用接入服务端事先公开的公钥加密。该过程中包含的数据传输可描述为式
[0050] 步骤3、接入服务端(请求接收方)收到接入设备的请求后,验证用户的接入状态(例如是否已经接入)并判断是否允许设备接入。如果允许设备接入,则向接入设备回复本次接入请求服务端侧随机数验证码。出于安全因素考量,接入服务端回复时需携带客户端侧随机数验证码。以上信息将采用步骤1中认证客户端指定的秘钥进行加密。该过程中包含的数据传输可描述为式
[0051] 步骤4、当接入设备接收到接入服务端的回复后,首先会认证接入服务端返回的随机数是否与之前指定的随机数相同。若不同,终止登陆;若相同则进入可信信息的传输和验证阶段。接入设备会调用存储在可信平台配置寄存器中的可信度量PCR值,并打包发送至接入服务端。在发送数据的同时,会携带接入服务端的接入服务端侧随机数以验证连接状态。上述信息由接入服务端公开的加密秘钥进行加密。该过程中包含的数据传输可描述为式[0052] 步骤5、接入服务端接收到接入设备发出的数据后。首先验证信息中包含的服务器端随机数是否与之前发送的相同,如果不同则中断连接。如果相同,则开始查询这台接入设备是否满足快速接入的条件,得到判断结果,所述判断结果分为:完全可信、部分可信(统称为可信)、不可信和符合快速接入条件状态。
[0053] 其中,结合SDN网络使用特征和可信计算技术的支撑,提出“快速接入流程”概念。快速接入流程为最近离线的设备提供简易的接入方案,减少接入所需时间,增强用户的网络使用体验。
[0054] 快速接入流程指的是满足快速接入条件的设备完成平台可信认证后直接接入网络,不再需要进行用户认证阶段;快速接入条件指:IP和MAC地址位于最近接入设备列表内,且本次接入时设备提供的可信PCR值与上次相同;快速接入流程的判定如图4所示。
[0055] 若符合快速接入条件,接入服务端则回复客户端接入结果,并向控制器下发对应规则以解除对于该接入设备的网络接入限制。
[0056] 如果用户不符合快速接入条件,则对用户的可信状况进行判断。
[0057] 可信判断结果分为:完全可信,部分可信和不可信,共3种。其中完全可信和部分可信统称为“可信”。
[0058] 不可信:是关键参数不符合记录。
[0059] 部分可信:关键参数符合记录,非关键参数不符合记录。
[0060] 完全可信:关键参数和非关键参数均符合记录。
[0061] 步骤6、在接入服务端判断完成后,会将判断的结果反馈给接入设备。与此同时,会附加上客户端最初规定的随机数以验证本次接入。以上内容将采用客户端规定的秘钥进行加密。该过程中包含的数据传输可描述为式
[0062] 步骤7、接入设备接收到接入服务端的回复后,首先对接入服务端发送的随机数状况进行判定。如果随机数不同,则中断接入。当随机数相同时,则开始处理服务器的判断结果。
[0063] 当发现判断结果为可信(包含完全可信和部分可信)时,将可信认证结果提示用户,并要求用户进入用户认证阶段。当发现判断结果为不可信时,中断登录流程,客户机无法接入网络。当发现判断结果为符合快速接入条件时,向用户提醒有关信息并提示网络已经接通。
[0064] 步骤8、进入用户认证阶段后,客户端提示接入设备的使用者对其拥有的用户信息(即用户名和密码)进行身份认证。当用户完成对认证信息的输入后,将其发送至接入服务端。为了进行验证,同时向接入服务端发送其规定的随机数。以上内容均采用接入服务端事先公布的公钥进行加密。该过程中包含的数据传输可描述为式
[0065] 步骤9、接入服务端对接入设备提出的用户名密码进行验证,并给出最终的判断结果。如果结果为允许接入,则将客户端的接入状态,IP地址,MAC地址,PCR值和登陆的用户名记录到最近连接的设备列表中,与此同时,规定该条表项的过期时间。同时,接入服务端向控制器发出指令,根据用户权限放开对该接入设备对于网络的访问权限。
[0066] 接入设备的平台可信值会影响到用户接入网络后的访问权限,不再单纯通过用户身份认证为用户提供全部的网络权限,而是结合可信状态给予不同的网络访问权限。这样,可以防止合法用户的不合规设备接入网络后对网络产生影响。
[0067] 对用户权限的判断主要基于可信状态。可信状态分为完全可信和部分可信。完全可信指所有参数满足可信状况,而部分可信指非关键参数存在不满足可信要求的状况。该状态由接入服务器进行判定。针对不同可信状态可以访问的网络内容由管理员设定,通常认为完全可信的设备权限大,部分可信的设备权限小。用户权限判断流程如图5所示。
[0068] 回复的信息包含判断过后的接入结果,与客户端最初规定的随机数。以上内容采用客户端规定的秘钥进行加密。该过程中包含的数据传输可描述为式
[0069] 步骤10、控制器收到接入决策后结合设备连接情况生成相应的流表项,并将决策通过OpenFlow通道发送至转发设备(SDN交换机)。SDN交换机则会根据流表项的指示对接入的设备的网络接入进行放行。
[0070] 至此,网络接入过程描述完毕。
[0071] 本发明通过结合可信计算技术和传统的用户身份认证技术,并将相关技术与SDN网络特征相互结合后,实现了本发明的安全接入方法。并且对本发明进行了BAN谓词逻辑验证以及AVISPA协议分析软件的攻击测试,保证方案的安全和有效,同时进行了实机测验,以测试方案的可行性和有效性。在测试后发现,本发明能够有效的为SDN网络提供安全接入服务,即使未经授权的接入者和设备出现问题的合法接入者不能或以低权限接入网络,保护网络安全。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 医疗随访方法以及系统 | 2020-05-08 | 797 |
| 自发电无线开关及其应用 | 2020-05-08 | 296 |
| 一种基于液体找平的3D摊铺系统 | 2020-05-08 | 938 |
| 一种基于分布式组网的接入拥塞控制方法 | 2020-05-08 | 444 |
| 一种煤矿井下数据传输方法及系统 | 2020-05-11 | 311 |
| 一种基于智慧屏幕的自动配网绑定方法 | 2020-05-08 | 308 |
| 一种配置消息的传输方法及装置 | 2020-05-11 | 487 |
| 多服务器环境下基于智能卡的认证方法 | 2020-05-11 | 367 |
| 一种多网络共存多频点无线通信组网方法 | 2020-05-11 | 687 |
| 基于电力采集终端的台区停电故障实时定位方法 | 2020-05-11 | 517 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈