CN105450626A - 一种软件定义的网络鉴别系统和方法 - Google Patents
一种软件定义的网络鉴别系统和方法 Download PDFInfo
- Publication number
- CN105450626A CN105450626A CN201510567885.8A CN201510567885A CN105450626A CN 105450626 A CN105450626 A CN 105450626A CN 201510567885 A CN201510567885 A CN 201510567885A CN 105450626 A CN105450626 A CN 105450626A
- Authority
- CN
- China
- Prior art keywords
- network
- sdn
- home control
- control device
- end system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种软件定义的网络鉴别系统和方法,利用软件定义鉴别架构和流程,避免了因重要组件和过程缺失而导致网络鉴别失效;分离身份鉴别属性鉴别与应用属性鉴别过程,对于流持续且新到达网络应用无需重复进行身份属性鉴别,只需鉴别新的应用属性,提高了鉴别效率;具有网络服务驱动、从流中提取应用属性和在控制器中软件定义特定鉴别功能等特性,使得鉴别过程高效、快速和对用户透明,改善了用户体验。
Description
技术领域
本发明属于网络通信领域,具体地说是提出一种软件定义的网络鉴别系统及其方法。
背景技术
网络鉴别(NetworkAuthentication)是一个实体经过网络向另外的实体证明其身份的过程。尽管鉴别并非是通信过程必不可少的一部分,但是它是网络实体安全运行其他功能性协议(例如链路接入、可靠数据传输、路由选择或电子邮件等)的前提,其作用极为重要。
然而,目前的网络鉴别系统存在着如下缺陷:一是鉴别机制对网络功能不完备。首先,网络功能与鉴别机制紧耦合,尽管不同的网络鉴别机制具有类似的功能和过程,但不同的网络功能往往配有不同的鉴别过程;其次,各种鉴别机制定义了独特的体系结构,部署成本较高;第三,不同的鉴别机制所提供的服务存在冗余。二是鉴别机制对网络功能不透明。首先,鉴别机制通常显式地提示用户输入某种特征信息,这增加了运行时延和用户操作的复杂性;其次,定制鉴别机制往往要求修改网络功能程序,增加了开发成本和部署难度。
软件定义网络(SoftwareDefinedNetworking,SDN)是一种新型网络创新架构,OpenFlow是其南向接口,提供了以流为单位、粒度可调节的分组转发控制功能。OpenFlow分离了网络的控制平面与数据平面,通过在控制器进行软件编程,实现了对网络功能的灵活控制,为网络应用的创新、发展未来互联网技术提供了良好的平台。
发明内容
本发明针对现有网络鉴别机制存在的对网络功能不完备和对网络用户不透明的问题,提出了一种软件定义、与网络功能无关和对用户透明的网络鉴别系统及其方法。
本发明的技术方案是:
一种支持软件定义的网络鉴别系统,它包括:
一台注册服务器;为网络实体提供实名制注册,所述的网络实体包括注册服务器本身、每个SDN归属控制器、每个OpenFlow交换机和每个具有鉴别守护进程的注册网络端系统,为前述各网络实体分配全局唯一的身份标识符,并且生成公钥密码体制的私钥和公钥;
注册服务器的数据库中录入并存储每个网络实体的身份属性,对于注册网络端系统,还需要存储应用属性信息;注册服务器将注册网络端系统的公钥、身份属性、应用属性信息推送给各注册网络端系统所关联的归属控制器保管,所述的应用属性信息形成网络功能列表;
若干台SDN归属控制器:每个SDN归属控制器管理一个对应的网络管理域,SDN归属控制器是该管理域的集中式控制中心,它们管理属于本管理域的若干个注册网络端系统并存储它们的公钥、身份属性和应用属性信息;SDN归属控制器通过向本管理域OpenFlow交换机下发流表项来执行网络控制策略,每当管理域中的某注册网络端系统发送新流时,OpenFlow交换机就会向SDN归属控制器转发首个报文,由此触发SDN归属控制器鉴别注册网络端系统的身份属性和应用属性;
一台或多台OpenFlow交换机:在特定网络管理域中提供符合OpenFlow规范的转发分组功能的交换机;
若干具有鉴别守护进程的注册网络端系统:这些端系统是提供现有网络规范功能且具有鉴别守护进程的普通端系统,它们通过实名制注册成为系统的可信用户。
本发明中,网络实体的身份属性信息是能够标识网络实体身份的唯一标识符,包括分配给各网络实体的私钥。
本发明中,应用属性信息是与注册网络端系统有权访问的特定网络服务形成一一映射的信息,包括与某服务对应的标识码、端口号、运输协议、IP地址、MAC地址等。
一种支持软件定义的网络鉴别方法,它包括实名制注册的步骤和鉴别网络实体身份属性的步骤;具体为:
实名制注册的步骤:
首先,任一网络实体均在注册服务器上进行实名制注册:管理员先验证网络实体身份的真实性,之后注册服务器为网络实体生成全局唯一的身份标识符、私钥和公钥;
然后,网络管理员输入注册网络端系统能够使用的网络服务列表、IP地址、MAC地址等信息,前述网络服务列表与注册网络端系统的应用属性信息相对应;
第三,注册服务器将生成的注册网络端系统的公钥、应用属性、IP地址和MAC地址信息下发至SDN归属控制器;
鉴别网络实体身份属性的步骤:
首先,SDN归属控制器要与注册服务器相互鉴别身份,SDN归属控制器用注册服务器的公钥加密随机数nonce,将其发送给注册服务器;注册服务器用其私钥解密后,将nonce加1再用该SDN归属控制器公钥加密后,将其发送给SDN归属控制器,当SDN归属控制器用其私钥成功解密出(nonce+1),则完成双方身份属性的鉴别;
第二,当任一注册网络端系统请求某种网络功能时,会向网络发送相关应用报文,该报文会由OpenFlow交换机转发给SDN归属控制器,此时将触发SDN归属控制器主动向该注册网络端系统发送一个请求鉴别报文,该报文包括用该注册网络端系统公钥加密的随机数nonce;
第三,在注册网络端系统上运行的鉴别守护进程处理请求鉴别报文,用其私钥解开随机数nonce后并将其加1,然后用SDN归属控制器的公钥对数(nonce+1)与自身身份标识符加密,并且用报文发送给SDN归属控制器;SDN归属控制器用其私钥对该报文进行解密,如果数(nonce+1)正确,则注册网络端系统的身份属性得到鉴别,否则,鉴别过程结束。
本发明中,它还包括网络鉴别实体服务属性的步骤:
首先,在注册网络端系统身份属性得到鉴别后,SDN归属控制器从应用报文中提取应用属性信息,如果该应用属性信息与该注册网络端系统的网络功能服务列表的信息相匹配,则SDN归属控制器向相关交换机下发转发该应用报文的流表项,使该应用报文流能够继续下去;否则,将终止该应用流的运行;
其次,若该注册网络端系统应用报文流持续,又需要执行一种新的网络功能时,直接实施其应用属性鉴别;如果该应用属性与网络功能服务列表的信息相匹配,SDN控制器则向相关交换机下发相关流表项,使该新应用流继续;否则,不下发相关流表项使该应用流无法继续执行。
本发明的有益效果:
本发明的优势在于:(1)采用统一的软件定义鉴别架构,避免因重要组件缺失而导致网络鉴别失效;(2)采用统一的鉴别流程,避免因重要过程缺失而导致网络鉴别失效;(3)身份属性鉴别与应用属性鉴别过程分离,若网络实体流持续,对于新到达的网络应用无需重复进行身份属性鉴别,只需鉴别其应用属性,提高了鉴别效率;(4)采用了网络服务驱动鉴别、从流中提取应用属性和在控制器软件定义等手段,使得鉴别过程对用户透明,改善了用户体验。
附图说明
图1为支持软件定义的网络鉴别系统的组成结构示意图。
图2为UserA运用本系统和方法鉴别实体身份和FTP服务属性的例子。
图3为验证AuthAPP机制的试验环境图。
图4为对不同身份属性和应用属性的鉴别过程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的说明。
图2描述了一个应用实例,注册网络端系统UserA访问FTP服务器时进行身份属性鉴别和应用属性鉴别的过程。UserA经AuthAPP进行鉴别的过程分为6个基本步骤(假设UserA已经完成了实体注册过程)。
1.UserA向FTP服务器发起连接请求,应用流的第一个分组将被转发至OpenFlow交换机OFSA。
2.由于OFSA无法匹配流表项,则将该请求分组通过OpenFlow协议转发给CA。
3.CA收到的FTP请求报文触发AuthAPP,CA向UserA的鉴别守护进程发送身份鉴别请求报文,该报文包含了一个随机数nonce并用自己的私钥SKCA加密:
4.UserA鉴别守护进程接收该报文,利用CA公钥解析获取nonce,随后利用自身的私钥对自身标识符uidA、随机数(nonce+1)进行加密生成相应报文:并发送至CA。
5.CA接收鉴别相应报文后,获取uidA检索数据库获取对应实体的公钥PKA,并利用该公钥解密如果成功,则完成用户身份属性鉴别,否则鉴别失败,退出。对于成功鉴别身份的流,控制器提取流相关信息如TCP端口号21或20,并与数据库中的网络功能服务列表信息进行匹配。若匹配成功,则完成对应用属性的鉴别,否则鉴别失败,退出。
6.对于通过应用属性鉴别的流,控制器利用路由功能为其计算通信路径并下发相关流表,使UserA能够访问FTP服务器并下载相关内容。
实施例
本实施例设计实现了一个原型系统,并在图3所示的试验环境中进行了测试。该试验环境主要由2台主机、1台应用服务器、1台POX控制器、3台OpenFlow交换机和1台注册服务器组成。其中OpenFlow交换机是市售交换机,POX控制器通过OpenFlow协议与交换机交互。POX控制器上运行了由Python语言开发的鉴别程序;host1和host2分别运行了由C++语言开发的鉴别代理;应用服务器上运行了典型的网络服务,包括Web服务、E-mail服务、FTP等。试验所使用的主机的硬件配置为:IntelCore2Quad2.4GHZCPU,4GRAM,操作系统为Ubuntu14.04,每台主机至少配置2块传输速率为1Gpbs的以太网卡。
试验:对不同身份属性和应用属性的鉴别。该试验分为下列几个阶段。首先,User1和User2向RS注册其身份和可用服务。控制器获得自己的私钥文件、公钥证书、注册实体公钥证书及其服务列表;host1和host2保存自己的私钥文件、公钥证书及控制器公钥证书。其次,试验开始时,设定host1服务列表包含Web服务和电子邮件服务,而host2服务列表为空,并且host1和host2使用Web服务。第三,试验60s后,网络管理员登陆到注册服务器数据库中为host2添加Web应用访问权限,试验120s后网络管理员在RS数据库中取消host2的Web服务权限,同时控制器删除数据平面host2中的Web服务转发流表项。第四,试验140s后,host1启动第二个服务电子邮件。
在试验过程中,host1和host2访问存储在应用服务器中大小为1G的网页文件。host1和host2的密钥长度为1024位。利用tcpdump等工具测量了每个主机上的Web和E-mail应用的的平均吞吐量变化情况,实验结果如图4所示。其中,由于host1的身份属性和Web应用属性信息都保存控制器中,Web请求触发的流鉴别过程能够使host1顺利通过身份属性和应用属性鉴别,从而使host1的Web服务能够得以执行。在另一方面,尽管host2的身份属保存控制器中,但由于其应用属性为空,因此其Web请求触发的流鉴别协议能够使host2顺利通过身份属性,而无法通过应用属性鉴别,从而使host2的Web服务无法执行。到第60秒,增加了host2的Web应用属性后,其就能够通过应用属性鉴别。140s时,host1启动Email服务,由于该过程不再需要对身份属性进行鉴别,因此其吞吐量相对于host2启动Email服务能够更快(具体分析见实验2)的达到链路带宽的一半。user2访问Web服务过程中实体不需要提供任何信息就完成了鉴别过程,因此证明了网络鉴别服务对实体的透明性。
本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。
Claims (5)
1.一种支持软件定义的网络鉴别系统,其特征在于,它包括:
一台注册服务器;为网络实体提供实名制注册,所述的网络实体包括注册服务器本身、每个SDN归属控制器、每个OpenFlow交换机和每个具有鉴别守护进程的注册网络端系统,为前述各网络实体分配全局唯一的身份标识符,并且生成公钥密码体制的私钥和公钥;
注册服务器的数据库中录入并存储每个网络实体的身份属性,对于注册网络端系统,还需要存储应用属性信息;注册服务器将注册网络端系统的公钥、身份属性、应用属性信息推送给各注册网络端系统所关联的归属控制器保管,所述的应用属性信息形成网络功能列表;
若干台SDN归属控制器:每个SDN归属控制器管理一个对应的网络管理域,SDN归属控制器是该管理域的集中式控制中心,它们管理属于本管理域的若干个注册网络端系统并存储它们的公钥、身份属性和应用属性信息;SDN归属控制器通过向本管理域OpenFlow交换机下发流表项来执行网络控制策略,每当管理域中的某注册网络端系统发送新流时,OpenFlow交换机就会向SDN归属控制器转发首个报文,由此触发SDN归属控制器鉴别注册网络端系统的身份属性和应用属性;
一台或多台OpenFlow交换机:在特定网络管理域中提供符合OpenFlow规范的转发分组功能的交换机;
若干具有鉴别守护进程的注册网络端系统:这些端系统是提供现有网络规范功能且具有鉴别守护进程的普通端系统,它们通过实名制注册成为系统的可信用户。
2.根据权利要求1所述的支持软件定义的网络鉴别系统,其特征在于,网络实体的身份属性信息是能够标识网络实体身份的唯一标识符,包括分配给各网络实体的私钥。
3.根据权利要求1所述的支持软件定义的网络鉴别系统,其特征在于,应用属性信息是与注册网络端系统有权访问的特定网络服务形成一一映射的信息,包括与某服务对应的标识码、端口号、运输协议、IP地址、MAC地址等。
4.一种支持软件定义的网络鉴别方法,其特征在于,它包括实名制注册的步骤和鉴别网络实体身份属性的步骤;具体为:
实名制注册的步骤:
首先,任一网络实体均在注册服务器上进行实名制注册:管理员先验证网络实体身份的真实性,之后注册服务器为网络实体生成全局唯一的身份标识符、私钥和公钥;
然后,网络管理员输入注册网络端系统能够使用的网络服务列表、IP地址、MAC地址等信息,前述网络服务列表与注册网络端系统的应用属性信息相对应;
第三,注册服务器将生成的注册网络端系统的公钥、应用属性、IP地址和MAC地址信息下发至SDN归属控制器;
鉴别网络实体身份属性的步骤:
首先,SDN归属控制器要与注册服务器相互鉴别身份,SDN归属控制器用注册服务器的公钥加密随机数nonce,将其发送给注册服务器;注册服务器用其私钥解密后,将nonce加1再用该SDN归属控制器公钥加密后,将其发送给SDN归属控制器,当SDN归属控制器用其私钥成功解密出(nonce+1),则完成双方身份属性的鉴别;
第二,当任一注册网络端系统请求某种网络功能时,会向网络发送相关应用报文,该报文会由OpenFlow交换机转发给SDN归属控制器,此时将触发SDN归属控制器主动向该注册网络端系统发送一个请求鉴别报文,该报文包括用该注册网络端系统公钥加密的随机数nonce;
第三,在注册网络端系统上运行的鉴别守护进程处理请求鉴别报文,用其私钥解开随机数nonce后并将其加1,然后用SDN归属控制器的公钥对数(nonce+1)与自身身份标识符加密,并且用报文发送给SDN归属控制器;SDN归属控制器用其私钥对该报文进行解密,如果数(nonce+1)正确,则注册网络端系统的身份属性得到鉴别,否则,鉴别过程结束。
5.根据权利要求4所述的支持软件定义的网络鉴别方法,其特征在于,它还包括网络鉴别实体服务属性的步骤:
首先,在注册网络端系统身份属性得到鉴别后,SDN归属控制器从应用报文中提取应用属性信息,如果该应用属性信息与该注册网络端系统的网络功能服务列表的信息相匹配,则SDN归属控制器向相关交换机下发转发该应用报文的流表项,使该应用报文流能够继续下去;否则,将终止该应用流的运行;
其次,若该注册网络端系统应用报文流持续,又需要执行一种新的网络功能时,直接实施其应用属性鉴别;如果该应用属性与网络功能服务列表的信息相匹配,SDN控制器则向相关交换机下发相关流表项,使该新应用流继续;否则,不下发相关流表项使该应用流无法继续执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510567885.8A CN105450626A (zh) | 2015-09-08 | 2015-09-08 | 一种软件定义的网络鉴别系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510567885.8A CN105450626A (zh) | 2015-09-08 | 2015-09-08 | 一种软件定义的网络鉴别系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105450626A true CN105450626A (zh) | 2016-03-30 |
Family
ID=55560404
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510567885.8A Pending CN105450626A (zh) | 2015-09-08 | 2015-09-08 | 一种软件定义的网络鉴别系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105450626A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110392033A (zh) * | 2018-04-23 | 2019-10-29 | 北京华为数字技术有限公司 | 一种密码管理方法及装置 |
| CN110391944A (zh) * | 2019-08-02 | 2019-10-29 | 山东超越数控电子股份有限公司 | 一种sdn可信域间策略同步控制方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101149773A (zh) * | 2007-08-27 | 2008-03-26 | 中国人民解放军空军电子技术研究所 | 一种基于软件实名认证的系统及其安全查证方法 |
| CN102714627A (zh) * | 2010-01-05 | 2012-10-03 | 日本电气株式会社 | 网络系统和网络冗余方法 |
| CN102932136A (zh) * | 2007-09-14 | 2013-02-13 | 安全第一公司 | 用于管理加密密钥的系统和方法 |
| US20150156122A1 (en) * | 2012-06-06 | 2015-06-04 | The Trustees Of Columbia University In The City Of New York | Unified networking system and device for heterogeneous mobile environments |
-
2015
- 2015-09-08 CN CN201510567885.8A patent/CN105450626A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101149773A (zh) * | 2007-08-27 | 2008-03-26 | 中国人民解放军空军电子技术研究所 | 一种基于软件实名认证的系统及其安全查证方法 |
| CN102932136A (zh) * | 2007-09-14 | 2013-02-13 | 安全第一公司 | 用于管理加密密钥的系统和方法 |
| CN102714627A (zh) * | 2010-01-05 | 2012-10-03 | 日本电气株式会社 | 网络系统和网络冗余方法 |
| US20150156122A1 (en) * | 2012-06-06 | 2015-06-04 | The Trustees Of Columbia University In The City Of New York | Unified networking system and device for heterogeneous mobile environments |
Non-Patent Citations (1)
| Title |
|---|
| 卓见: "Kerberos认证协议的分析与改进", 《豆丁网HTTP://XUESHU.BAIDU.COM/S?WD=PAPERURI%3A%28F245B19C64EC8A029A415B2D65E55B97%29&FILTER=SC_LONG_SIGN&TN=SE_XUESHUSOURCE_2KDUW22V&SC_VURL=HTTP%3A%2F%2FWWW.DOCIN.COM%2FP-598153431.HTML&IE=UTF-8&SC_US=5346113485280535011》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110392033A (zh) * | 2018-04-23 | 2019-10-29 | 北京华为数字技术有限公司 | 一种密码管理方法及装置 |
| CN110392033B (zh) * | 2018-04-23 | 2022-01-04 | 北京华为数字技术有限公司 | 一种密码管理方法及装置 |
| CN110391944A (zh) * | 2019-08-02 | 2019-10-29 | 山东超越数控电子股份有限公司 | 一种sdn可信域间策略同步控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105099695B (zh) | 用于分发包的方法、系统及介质 | |
| Tian et al. | A survey of key technologies for constructing network covert channel | |
| Liyanage et al. | Secure communication channel architecture for software defined mobile networks | |
| EP3328023B1 (en) | Authentication of users in a computer network | |
| CN109714168A (zh) | 可信远程证明方法、装置和系统 | |
| EP1836798A2 (en) | Method and apparatus providing policy-based revocation of network security credentials | |
| CN107094156B (zh) | 一种基于p2p模式的安全通信方法及系统 | |
| Ellard et al. | Rebound: Decoy routing on asymmetric routes via error messages | |
| CN109698791B (zh) | 一种基于动态路径的匿名接入方法 | |
| CN107342964B (zh) | 一种报文解析方法及设备 | |
| Chattaraj et al. | On the design of blockchain-based access control scheme for software defined networks | |
| CN113572765A (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
| Degabriele et al. | Untagging tor: a formal treatment of onion encryption | |
| Benzekki et al. | Devolving IEEE 802.1 X authentication capability to data plane in software‐defined networking (SDN) architecture | |
| Liyanage et al. | Secure hierarchical VPLS architecture for provider provisioned networks | |
| CN105450626A (zh) | 一种软件定义的网络鉴别系统和方法 | |
| Wang et al. | A data plane security model of SR-BE/TE based on zero-trust architecture | |
| Wang et al. | A data plane security model of segmented routing based on SDP trust enhancement architecture | |
| Alzahrani et al. | Key management in information centric networking | |
| Taniguchi et al. | Design and Evaluation of a Proxy‐Based Monitoring System for OpenFlow Networks | |
| Richa et al. | Low-latency secure roaming in v2i networks | |
| EP4264983A1 (en) | Trustful service traffic handling in a core network domain | |
| Liyanage | Enhancing security and scalability of virtual private LAN services | |
| Aiash et al. | Introducing a novel authentication protocol for secure services in heterogeneous environments using Casper/FDR | |
| US20240195795A1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160330 |