一種軟件定義網(wǎng)絡(luò)中安全的可信接入方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)一種軟件定義網(wǎng)絡(luò)中安全的接入方法,將可信接入技術(shù)引入SDN網(wǎng)絡(luò)中的接入過(guò)程中;通過(guò)結(jié)合可信計(jì)算技術(shù),可以有效阻止不安全地設(shè)備對(duì)網(wǎng)絡(luò)的接入行為;同時(shí)本發(fā)明還包含針對(duì)SDN網(wǎng)絡(luò)的靈活獨(dú)創(chuàng)性提出了快速接入認(rèn)證方式和通過(guò)可信值對(duì)同用戶分級(jí)訪問(wèn)方式。采用本發(fā)明的技術(shù)方案,可以有效填補(bǔ)SDN網(wǎng)絡(luò)接入認(rèn)證中存在的不足,增強(qiáng)了SDN網(wǎng)絡(luò)的安全性。
【專(zhuān)利說(shuō)明】
一種軟件定義網(wǎng)絡(luò)中安全的可信接入方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明屬于軟件定義網(wǎng)絡(luò)的技術(shù)領(lǐng)域,尤其涉及一種軟件定義網(wǎng)絡(luò)中安全的可信 接入方法。
【背景技術(shù)】
[0002] OpenFlow的概念在2006由美國(guó)斯坦福大學(xué)的研究人員的研究項(xiàng)目產(chǎn)生,提倡將傳 統(tǒng)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)層和控制層解耦,通過(guò)集中式的控制器(controller)以標(biāo)準(zhǔn)化的接口對(duì) 各種網(wǎng)絡(luò)設(shè)備進(jìn)行管理和配置。隨后,研究者由此開(kāi)始推廣軟件定義網(wǎng)絡(luò)(Software-Defined Networking,SDN)概念,并引起學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。
[0003] Floodlight Open SDN控制器是一個(gè)企業(yè)級(jí)的基于Java的OpenFlow控制器。它容 易構(gòu)建和使用,支持眾多的虛擬及物理OpenFlow交換機(jī)。作為OpenFlow網(wǎng)絡(luò)的控制器, Floodlight通過(guò)結(jié)合不同模塊的功能提供了對(duì)網(wǎng)絡(luò)管理的能力。其向用戶提供API來(lái)允許 用戶創(chuàng)建的智能化應(yīng)用對(duì)網(wǎng)絡(luò)進(jìn)行管理或?qū)刂破鞴δ苓M(jìn)行增強(qiáng)。
[0004] 網(wǎng)絡(luò)接入問(wèn)題是網(wǎng)絡(luò)安全問(wèn)題之一。非法用戶的接入往往是滲透整個(gè)網(wǎng)絡(luò)的開(kāi) 端。于是人們想出了各種方法對(duì)用戶進(jìn)行認(rèn)證。從上世紀(jì)90年代初期到現(xiàn)在,國(guó)內(nèi)外知名的 網(wǎng)絡(luò)安全專(zhuān)家相繼使用新的技術(shù)和方法來(lái)解決網(wǎng)絡(luò)終端安全接入的問(wèn)題。主動(dòng)防御等概念 也相應(yīng)被提出。
[0005] 2004年5月可信網(wǎng)絡(luò)連接分組(TNC-SG)成立,其于2005年3月發(fā)布了可信網(wǎng)絡(luò)連接 TNC規(guī)范和相應(yīng)的接口規(guī)范,此次發(fā)布的TNCV1.0版本確定了 TNC的核心。TNC架構(gòu)主要描述 了網(wǎng)絡(luò)接入中的三個(gè)實(shí)體,它們是訪問(wèn)請(qǐng)求者(Access Requestor,AR)、策略決策點(diǎn) (Policy Decision Point,PDP),策略執(zhí)行點(diǎn)(Policy Enforcement Point,PEP)。同時(shí),TNC 架構(gòu)又包括三個(gè)層次,它們是網(wǎng)絡(luò)訪問(wèn)層、完整性評(píng)估層與完整性度量層。目前,也有部分 針對(duì)傳統(tǒng)網(wǎng)絡(luò)接入增強(qiáng)方案參考TNC架構(gòu)并引入可信計(jì)算的概念。
[0006] 網(wǎng)絡(luò)接入問(wèn)題,一直是網(wǎng)絡(luò)安全問(wèn)題的重點(diǎn)之一。而軟件定義網(wǎng)絡(luò)(SDN)仍屬于發(fā) 展初期,亦缺乏適合的接入方法。
[0007] 當(dāng)前普遍采用的IP、MAC和用戶身份信息組合對(duì)用戶進(jìn)行認(rèn)證的方法已經(jīng)無(wú)法在 日益復(fù)雜的網(wǎng)絡(luò)接入環(huán)境中提供安全的網(wǎng)絡(luò)接入服務(wù)。而常見(jiàn)接入?yún)f(xié)議均參照當(dāng)前網(wǎng)絡(luò)設(shè) 計(jì),與SDN實(shí)現(xiàn)思路并不相符,不應(yīng)直接套用于SDN網(wǎng)絡(luò)中。
【發(fā)明內(nèi)容】
[0008] 本發(fā)明要解決的技術(shù)問(wèn)題是,提供一種軟件定義網(wǎng)絡(luò)中安全的接入方法,實(shí)現(xiàn)可 信接入架構(gòu)TNC與SDN網(wǎng)絡(luò)架構(gòu)相互結(jié)合,以能夠有效的為SDN網(wǎng)絡(luò)提供安全、可信的接入服 務(wù)。
[0009] 為解決上述問(wèn)題,本發(fā)明采用如下的技術(shù)方案:
[0010] -種軟件定義網(wǎng)絡(luò)中安全的可信接入方法包括以下步驟:
[0011] 步驟S1、根據(jù)SDN網(wǎng)絡(luò)安全接入需求,獲取接入設(shè)備存儲(chǔ)在可信平臺(tái)配置寄存器中 的可信度量信息PCR值;
[0012] 步驟S2、接入設(shè)備向接入服務(wù)端發(fā)送接入請(qǐng)求,所述請(qǐng)求包含所述可信度量信息 PCR 值;
[0013] 步驟S3、接入服務(wù)端器根據(jù)所述可信度量信息PCR值和獲取的用戶信息進(jìn)行設(shè)備 的完整性的量評(píng)估與接入判斷,若判斷結(jié)果為允許接入,接入服務(wù)端器向OpenFlow控制器 發(fā)送接入決策;
[0014]步驟S4、0penFlow控制器根據(jù)接入決策生成相應(yīng)的流表項(xiàng),并將所述流表項(xiàng)發(fā)送 至SDN交換機(jī),所述SDN交換機(jī)根據(jù)所述流表項(xiàng)的指示對(duì)接入的設(shè)備的網(wǎng)絡(luò)接入進(jìn)行放行。
[0015] 作為優(yōu)選,在步驟2中,在發(fā)起請(qǐng)求的過(guò)程中向接入服務(wù)端發(fā)送本次請(qǐng)求客戶端側(cè) 隨機(jī)數(shù)驗(yàn)證碼以及自身的設(shè)備信息。
[0016] 作為優(yōu)選,步驟3具體包括以下步驟:
[0017]步驟3.1、接入服務(wù)端獲取接入設(shè)備的請(qǐng)求,驗(yàn)證接入狀態(tài)并判斷是否允許設(shè)備接 入,如果允許設(shè)備接入,則向接入設(shè)備回復(fù)并附帶本次接入請(qǐng)求服務(wù)端側(cè)隨機(jī)數(shù)驗(yàn)證碼;
[0018] 步驟3.2、接入設(shè)備獲取接入服務(wù)端的回復(fù),認(rèn)證服務(wù)端發(fā)出的隨機(jī)數(shù)是否與之前 指定的隨機(jī)數(shù)相同,若相同,則將本機(jī)的PCR值、服務(wù)端側(cè)隨機(jī)數(shù)發(fā)送至接入服務(wù)端;
[0019] 步驟3.3、接入服務(wù)端獲取接入設(shè)備發(fā)送的PCR值、服務(wù)端側(cè)隨機(jī)數(shù),驗(yàn)證接入設(shè)備 發(fā)出的服務(wù)端隨機(jī)數(shù)是否與之前發(fā)送的相同。若相同,則開(kāi)始查詢(xún)所述接入設(shè)備是否滿足 快速接入的條件;
[0020] 步驟3.4、若滿足快速接入的條件,將接入判斷結(jié)果和客戶端側(cè)隨機(jī)數(shù)驗(yàn)證碼發(fā)送 給接入設(shè)備,若不滿足快速接入條件則進(jìn)行繼續(xù)流程,并向接入設(shè)備發(fā)送進(jìn)入用戶認(rèn)證階 段的請(qǐng)求并包含客戶端側(cè)隨機(jī)數(shù)驗(yàn)證碼;
[0021] 步驟3.5、接入設(shè)備根據(jù)接入服務(wù)端的回復(fù),驗(yàn)證所述客戶端隨機(jī)數(shù)是否與之前發(fā) 送的相同,若相同,則開(kāi)始處理服務(wù)器的判斷結(jié)果,當(dāng)判斷結(jié)果為可信時(shí),向接入服務(wù)端發(fā) 送用戶認(rèn)證身份信息;
[0022]步驟3.6、接入服務(wù)端對(duì)所述用戶信息進(jìn)行驗(yàn)證,若驗(yàn)證結(jié)果為允許接入,則將客 戶端的接入狀態(tài)、IP地址、MAC地址,PCR值和登陸的用戶名記錄到最近連接的設(shè)備列表中, 同時(shí)接入服務(wù)端向OpenFl ow控制器發(fā)出接入決策,放開(kāi)對(duì)該接入設(shè)備對(duì)于網(wǎng)絡(luò)的訪問(wèn)權(quán) 限。
[0023]作為優(yōu)選,所述快速接入條件為:IP和MAC地址位于最近接入設(shè)備列表內(nèi),且本次 接入時(shí)設(shè)備提供的可信PCR值與上次相同。
[0024] 作為優(yōu)選,若不符合快速接入條件,則對(duì)用戶的可信狀況進(jìn)行判斷,所述可信判斷 結(jié)果分為:完全可信、部分可信和不可信。
[0025] 作為優(yōu)選,在步驟3.5中,當(dāng)判斷結(jié)果為不可信時(shí),中斷登錄流程,客戶機(jī)無(wú)法接入 網(wǎng)絡(luò);當(dāng)判斷結(jié)果為可信時(shí),要求接入設(shè)備提供用戶認(rèn)證信息。
[0026]作為優(yōu)選,還包括:網(wǎng)絡(luò)啟用初期,接入服務(wù)端向OpenFlow控制器發(fā)出指令,所述 指令用于阻止未認(rèn)證的設(shè)備進(jìn)行網(wǎng)絡(luò)通信;同時(shí)OpenFlow控制器收到所述指令后,根據(jù)交 換機(jī)提交的網(wǎng)絡(luò)流量信息下達(dá)相應(yīng)的流表項(xiàng),以完成對(duì)于非認(rèn)證設(shè)備的限制。
[0027]作為優(yōu)選,所述接入設(shè)備為實(shí)體設(shè)備或云虛擬機(jī)。
[0028]本發(fā)明技術(shù)方案將可信接入技術(shù)引入SDN網(wǎng)絡(luò)中的安全接入方法中,通過(guò)結(jié)合可 信計(jì)算的有關(guān)技術(shù),可以有效阻止不安全地設(shè)備對(duì)網(wǎng)絡(luò)的接入行為;同時(shí)本發(fā)明還包含針 對(duì)SDN網(wǎng)絡(luò)的靈活獨(dú)創(chuàng)性提出了快速接入認(rèn)證方式和通過(guò)可信值對(duì)同用戶分級(jí)訪問(wèn)方式, 可以有效填補(bǔ)SDN網(wǎng)絡(luò)接入認(rèn)證中存在的不足,以增強(qiáng)SDN網(wǎng)絡(luò)的安全性。
【附圖說(shuō)明】
[0029] 圖1為本發(fā)明的接入方法以TNC架構(gòu)為視角的結(jié)構(gòu)示意圖;
[0030] 圖2為本發(fā)明的接入方法以軟件定義網(wǎng)絡(luò)架構(gòu)為視角的結(jié)構(gòu)示意圖;
[0031 ]圖3為本發(fā)明接入方法的數(shù)據(jù)傳遞流程示意圖;
[0032]圖4為快速接入流程判斷及流程示意圖;
[0033]圖5為用戶權(quán)限判斷流程示意圖。
【具體實(shí)施方式】
[0034] 以下結(jié)合具體實(shí)施例,并參照附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。
[0035] 本發(fā)明實(shí)施例提供一種軟件定義網(wǎng)絡(luò)中安全的可信接入方法,依據(jù)可信接入標(biāo)準(zhǔn) TNC的可信接入架構(gòu),結(jié)合上OpenFlow架構(gòu)將控制層集中于控制器,交換機(jī)專(zhuān)注轉(zhuǎn)發(fā)的特 點(diǎn),提出了安全接入方法所需架構(gòu),以TNC架構(gòu)視角而言,安全接入架構(gòu)如圖1所示,以SDN網(wǎng) 絡(luò)結(jié)構(gòu)視角而言,安全接入架構(gòu)如圖2所示。
[0036] 所述架構(gòu)參考TNC可信接入模型的結(jié)構(gòu),將網(wǎng)絡(luò)接入時(shí)所涉及的所有設(shè)備歸類(lèi)為 訪問(wèn)請(qǐng)求者,策略執(zhí)行點(diǎn)與策略管理&訪問(wèn)控制下發(fā)點(diǎn)。
[0037]接入設(shè)備:訪問(wèn)請(qǐng)求者
[0038]其上運(yùn)行的客戶端將主要負(fù)責(zé)提供網(wǎng)絡(luò)接入認(rèn)證服務(wù)。同時(shí),為了實(shí)現(xiàn)可信接入 功能,其可以獲得其他度量應(yīng)用收集的接入設(shè)備的完整性度量值,亦可使用空閑PCR對(duì)于網(wǎng) 絡(luò)接入有關(guān)的程序進(jìn)行度量。在獲取有關(guān)結(jié)果后,將度量值傳遞給服務(wù)器進(jìn)行可信狀況的 驗(yàn)證。
[0039] 其中,接入設(shè)備與交換機(jī)有數(shù)據(jù)層連接。
[0040] OpenFlow(SDN)交換機(jī):策略執(zhí)行點(diǎn)
[0041 ]結(jié)合OpenFlow交換機(jī)專(zhuān)注于根據(jù)流表對(duì)數(shù)據(jù)轉(zhuǎn)發(fā)的特征,將交換機(jī)設(shè)定為策略執(zhí) 行點(diǎn),執(zhí)行來(lái)自控制層、應(yīng)用層的決策。在用戶接入之初,OpenFlow交換機(jī)會(huì)幫助用戶將其 可信評(píng)估數(shù)據(jù)和身份認(rèn)證數(shù)據(jù)傳達(dá)給控制器。當(dāng)OpenFlow控制器下達(dá)決策后,其會(huì)根據(jù)流 表項(xiàng)轉(zhuǎn)發(fā)接入設(shè)備的正常通信數(shù)據(jù)并對(duì)通信行為做出限制。
[0042]其中,OpenFlow交換機(jī)與OpenFlow控制器擁有管理層數(shù)據(jù)連接,與接入服務(wù)端有 數(shù)據(jù)層連接。
[0043] OpenFlow控制器:管理網(wǎng)絡(luò)連接和對(duì)用戶接入請(qǐng)求進(jìn)行處理的控制中心 [0044]網(wǎng)絡(luò)管理部分由OpenFlow控制器進(jìn)行。對(duì)客戶可信狀態(tài)的判斷和接入認(rèn)證則由 SDN應(yīng)用層的應(yīng)用(接入服務(wù)端)調(diào)用OpenFlow控制器的API實(shí)現(xiàn)。當(dāng)接入服務(wù)端完成對(duì)用戶 請(qǐng)求的判斷后,其會(huì)將結(jié)果通過(guò)API告知OpenFlow控制器,OpenFlow控制器會(huì)通過(guò)其特有的 安全信道將對(duì)應(yīng)流表項(xiàng)下發(fā)至OpenFlow交換機(jī),完成對(duì)用戶的管控。
[0045] 其中,接入服務(wù)端與交換機(jī)有數(shù)據(jù)層連接。
[0046] 如圖3所示,本發(fā)明實(shí)施例提供一種軟件定義網(wǎng)絡(luò)中安全的可信接入方法,具體包 括以下步驟:
[0047]網(wǎng)絡(luò)啟用初期,接入服務(wù)端向OpenFlow控制器(以下統(tǒng)稱(chēng)為"控制器")發(fā)出指令: 除白名單設(shè)備外,阻止除認(rèn)證之外的網(wǎng)絡(luò)通信。控制器收到指令后,會(huì)結(jié)合OpenFlow交換機(jī) (以下統(tǒng)稱(chēng)為"交換機(jī)")提交的網(wǎng)絡(luò)流量信息下達(dá)相應(yīng)的流表項(xiàng),以完成對(duì)于非認(rèn)證設(shè)備的 限制。
[0048]步驟1、根據(jù)獲取接入設(shè)備(實(shí)體設(shè)備或云虛擬機(jī))接入SDN網(wǎng)絡(luò)的需求,啟用客戶 端,同時(shí)所述客戶端獲取存儲(chǔ)在可信平臺(tái)配置寄存器中的可信度量信息PCR值。
[0049 ]步驟2、接入設(shè)備(請(qǐng)求發(fā)起方)向接入服務(wù)端發(fā)起接入請(qǐng)求。在發(fā)起請(qǐng)求的過(guò)程中 向接入服務(wù)端指明本次請(qǐng)求客戶端側(cè)隨機(jī)數(shù)驗(yàn)證碼。同時(shí),攜帶自身的設(shè)備信息(IP地址與 MAC地址)以便接入服務(wù)端對(duì)設(shè)備進(jìn)行對(duì)應(yīng)。為了保證數(shù)據(jù)不被竊聽(tīng),信息同時(shí)包含接入服 務(wù)端回復(fù)時(shí)所需要使用的加密秘鑰,且上述所有信息采用接入服務(wù)端事先公開(kāi)的公鑰加 密。該過(guò)程中包含的數(shù)據(jù)傳輸可描述為式
[0050] 步驟3、接入服務(wù)端(請(qǐng)求接收方)收到接入設(shè)備的請(qǐng)求后,驗(yàn)證用戶的接入狀態(tài) (例如是否已經(jīng)接入)并判斷是否允許設(shè)備接入。如果允許設(shè)備接入,則向接入設(shè)備回復(fù)本 次接入請(qǐng)求服務(wù)端側(cè)隨機(jī)數(shù)驗(yàn)證碼。出于安全因素考量,接入服務(wù)端回復(fù)時(shí)需攜帶客戶端 側(cè)隨機(jī)數(shù)驗(yàn)證碼。以上信息將采用步驟1中認(rèn)證客戶端指定的秘鑰進(jìn)行加密。該過(guò)程中包含 的數(shù)據(jù)傳輸可描述為式:。
[0051] 步驟4、當(dāng)接入設(shè)備接收到接入服務(wù)端的回復(fù)后,首先會(huì)認(rèn)證接入服務(wù)端返回的隨 機(jī)數(shù)是否與之前指定的隨機(jī)數(shù)相同。若不同,終止登陸;若相同則進(jìn)入可信信息的傳輸和驗(yàn) 證階段。接入設(shè)備會(huì)調(diào)用存儲(chǔ)在可信平臺(tái)配置寄存器中的可信度量PCR值,并打包發(fā)送至接 入服務(wù)端。在發(fā)送數(shù)據(jù)的同時(shí),會(huì)攜帶接入服務(wù)端的接入服務(wù)端側(cè)隨機(jī)數(shù)以驗(yàn)證連接狀態(tài)。 上述信息由接入服務(wù)端公開(kāi)的加密秘鑰進(jìn)行加密。該過(guò)程中包含的數(shù)據(jù)傳輸可描述為式 {Nonces\\U-PCR}S·。.
[0052] 步驟5、接入服務(wù)端接收到接入設(shè)備發(fā)出的數(shù)據(jù)后。首先驗(yàn)證信息中包含的服務(wù)器 端隨機(jī)數(shù)是否與之前發(fā)送的相同,如果不同則中斷連接。如果相同,則開(kāi)始查詢(xún)這臺(tái)接入設(shè) 備是否滿足快速接入的條件,得到判斷結(jié)果,所述判斷結(jié)果分為:完全可信、部分可信(統(tǒng)稱(chēng) 為可信)、不可信和符合快速接入條件狀態(tài)。
[0053]其中,結(jié)合SDN網(wǎng)絡(luò)使用特征和可信計(jì)算技術(shù)的支撐,提出"快速接入流程"概念。 快速接入流程為最近離線的設(shè)備提供簡(jiǎn)易的接入方案,減少接入所需時(shí)間,增強(qiáng)用戶的網(wǎng) 絡(luò)使用體驗(yàn)。
[0054]快速接入流程指的是滿足快速接入條件的設(shè)備完成平臺(tái)可信認(rèn)證后直接接入網(wǎng) 絡(luò),不再需要進(jìn)行用戶認(rèn)證階段;快速接入條件指:IP和MAC地址位于最近接入設(shè)備列表內(nèi), 且本次接入時(shí)設(shè)備提供的可信PCR值與上次相同;快速接入流程的判定如圖4所示。
[0055] 若符合快速接入條件,接入服務(wù)端則回復(fù)客戶端接入結(jié)果,并向控制器下發(fā)對(duì)應(yīng) 規(guī)則以解除對(duì)于該接入設(shè)備的網(wǎng)絡(luò)接入限制。
[0056] 如果用戶不符合快速接入條件,則對(duì)用戶的可信狀況進(jìn)行判斷。
[0057] 可信判斷結(jié)果分為:完全可信,部分可信和不可信,共3種。其中完全可信和部分可 信統(tǒng)稱(chēng)為"可信"。
[0058] 不可信:是關(guān)鍵參數(shù)不符合記錄。
[0059] 部分可信:關(guān)鍵參數(shù)符合記錄,非關(guān)鍵參數(shù)不符合記錄。
[0060] 完全可信:關(guān)鍵參數(shù)和非關(guān)鍵參數(shù)均符合記錄。
[0061] 步驟6、在接入服務(wù)端判斷完成后,會(huì)將判斷的結(jié)果反饋給接入設(shè)備。與此同時(shí),會(huì) 附加上客戶端最初規(guī)定的隨機(jī)數(shù)以驗(yàn)證本次接入。以上內(nèi)容將采用客戶端規(guī)定的秘鑰進(jìn)行 加密。該過(guò)程中包含的數(shù)據(jù)傳輸可描述為式11。
[0062] 步驟7、接入設(shè)備接收到接入服務(wù)端的回復(fù)后,首先對(duì)接入服務(wù)端發(fā)送的隨機(jī)數(shù)狀 況進(jìn)行判定。如果隨機(jī)數(shù)不同,則中斷接入。當(dāng)隨機(jī)數(shù)相同時(shí),則開(kāi)始處理服務(wù)器的判斷結(jié) 果。
[0063] 當(dāng)發(fā)現(xiàn)判斷結(jié)果為可信(包含完全可信和部分可信)時(shí),將可信認(rèn)證結(jié)果提示用 戶,并要求用戶進(jìn)入用戶認(rèn)證階段。當(dāng)發(fā)現(xiàn)判斷結(jié)果為不可信時(shí),中斷登錄流程,客戶機(jī)無(wú) 法接入網(wǎng)絡(luò)。當(dāng)發(fā)現(xiàn)判斷結(jié)果為符合快速接入條件時(shí),向用戶提醒有關(guān)信息并提示網(wǎng)絡(luò)已 經(jīng)接通。
[0064] 步驟8、進(jìn)入用戶認(rèn)證階段后,客戶端提示接入設(shè)備的使用者對(duì)其擁有的用戶信息 (即用戶名和密碼)進(jìn)行身份認(rèn)證。當(dāng)用戶完成對(duì)認(rèn)證信息的輸入后,將其發(fā)送至接入服務(wù) 端。為了進(jìn)行驗(yàn)證,同時(shí)向接入服務(wù)端發(fā)送其規(guī)定的隨機(jī)數(shù)。以上內(nèi)容均采用接入服務(wù)端事 先公布的公鑰進(jìn)行加密。該過(guò)程中包含的數(shù)據(jù)傳輸可描述為式
[0065] 步驟9、接入服務(wù)端對(duì)接入設(shè)備提出的用戶名密碼進(jìn)行驗(yàn)證,并給出最終的判斷結(jié) 果。如果結(jié)果為允許接入,則將客戶端的接入狀態(tài),IP地址,MAC地址,PCR值和登陸的用戶名 記錄到最近連接的設(shè)備列表中,與此同時(shí),規(guī)定該條表項(xiàng)的過(guò)期時(shí)間。同時(shí),接入服務(wù)端向 控制器發(fā)出指令,根據(jù)用戶權(quán)限放開(kāi)對(duì)該接入設(shè)備對(duì)于網(wǎng)絡(luò)的訪問(wèn)權(quán)限。
[0066] 接入設(shè)備的平臺(tái)可信值會(huì)影響到用戶接入網(wǎng)絡(luò)后的訪問(wèn)權(quán)限,不再單純通過(guò)用戶 身份認(rèn)證為用戶提供全部的網(wǎng)絡(luò)權(quán)限,而是結(jié)合可信狀態(tài)給予不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限。這樣, 可以防止合法用戶的不合規(guī)設(shè)備接入網(wǎng)絡(luò)后對(duì)網(wǎng)絡(luò)產(chǎn)生影響。
[0067] 對(duì)用戶權(quán)限的判斷主要基于可信狀態(tài)。可信狀態(tài)分為完全可信和部分可信。完全 可信指所有參數(shù)滿足可信狀況,而部分可信指非關(guān)鍵參數(shù)存在不滿足可信要求的狀況。該 狀態(tài)由接入服務(wù)器進(jìn)行判定。針對(duì)不同可信狀態(tài)可以訪問(wèn)的網(wǎng)絡(luò)內(nèi)容由管理員設(shè)定,通常 認(rèn)為完全可信的設(shè)備權(quán)限大,部分可信的設(shè)備權(quán)限小。用戶權(quán)限判斷流程如圖5所示。
[0068] 回復(fù)的信息包含判斷過(guò)后的接入結(jié)果,與客戶端最初規(guī)定的隨機(jī)數(shù)。以上內(nèi)容采 用客戶端規(guī)定的秘鑰進(jìn)行加密。該過(guò)程中包含的數(shù)據(jù)傳輸可描述為式{incey ||。
[0069] 步驟10、控制器收到接入決策后結(jié)合設(shè)備連接情況生成相應(yīng)的流表項(xiàng),并將決策 通過(guò)OpenFlow通道發(fā)送至轉(zhuǎn)發(fā)設(shè)備(SDN交換機(jī);LSDN交換機(jī)則會(huì)根據(jù)流表項(xiàng)的指示對(duì)接入 的設(shè)備的網(wǎng)絡(luò)接入進(jìn)行放行。
[0070] 至此,網(wǎng)絡(luò)接入過(guò)程描述完畢。
[0071] 本發(fā)明通過(guò)結(jié)合可信計(jì)算技術(shù)和傳統(tǒng)的用戶身份認(rèn)證技術(shù),并將相關(guān)技術(shù)與SDN 網(wǎng)絡(luò)特征相互結(jié)合后,實(shí)現(xiàn)了本發(fā)明的安全接入方法。并且對(duì)本發(fā)明進(jìn)行了 BAN謂詞邏輯驗(yàn) 證以及AVISPA協(xié)議分析軟件的攻擊測(cè)試,保證方案的安全和有效,同時(shí)進(jìn)行了實(shí)機(jī)測(cè)驗(yàn),以 測(cè)試方案的可行性和有效性。在測(cè)試后發(fā)現(xiàn),本發(fā)明能夠有效的為SDN網(wǎng)絡(luò)提供安全接入服 務(wù),即使未經(jīng)授權(quán)的接入者和設(shè)備出現(xiàn)問(wèn)題的合法接入者不能或以低權(quán)限接入網(wǎng)絡(luò),保護(hù) 網(wǎng)絡(luò)安全。
[0072]以上實(shí)施例僅為本發(fā)明的示例性實(shí)施例,不用于限制本發(fā)明,本發(fā)明的保護(hù)范圍 由權(quán)利要求書(shū)限定。本領(lǐng)域技術(shù)人員可以在本發(fā)明的實(shí)質(zhì)和保護(hù)范圍內(nèi),對(duì)本發(fā)明做出各 種修改或等同替換,這種修改或等同替換也應(yīng)視為落在本發(fā)明的保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1. 一種軟件定義網(wǎng)絡(luò)中安全的可信接入方法,其特征在于,包括以下步驟: 步驟S1、根據(jù)SDN網(wǎng)絡(luò)安全接入需求,獲取接入設(shè)備存儲(chǔ)在可信平臺(tái)配置寄存器中的可 信度量信息PCR值; 步驟S2、接入設(shè)備向接入服務(wù)端發(fā)送接入請(qǐng)求,所述請(qǐng)求包含所述可信度量信息PCR 值; 步驟S3、接入服務(wù)端器根據(jù)所述可信度量信息PCR值和獲取的用戶信息進(jìn)行設(shè)備的完 整性的量評(píng)估與接入判斷,若判斷結(jié)果為允許接入,接入服務(wù)端器向OpenFlow控制器發(fā)送 接入決策; 步驟S4、0penFlow控制器根據(jù)接入決策生成相應(yīng)的流表項(xiàng),并將所述流表項(xiàng)發(fā)送至SDN 交換機(jī),所述SDN交換機(jī)根據(jù)所述流表項(xiàng)的指示對(duì)接入的設(shè)備的網(wǎng)絡(luò)接入進(jìn)行放行。2. 如權(quán)利要求1所述軟件定義網(wǎng)絡(luò)中安全的可信接入方法,其特征在于,在步驟2中,在 發(fā)起請(qǐng)求的過(guò)程中向接入服務(wù)端發(fā)送本次請(qǐng)求客戶端側(cè)隨機(jī)數(shù)驗(yàn)證碼以及自身的設(shè)備信 息。3. 如權(quán)利要求1所述軟件定義網(wǎng)絡(luò)中安全的可信接入方法,其特征在于,步驟3具體包 括以下步驟: 步驟3.1、接入服務(wù)端獲取接入設(shè)備的請(qǐng)求,驗(yàn)證接入狀態(tài)并判斷是否允許設(shè)備接入, 如果允許設(shè)備接入,則向接入設(shè)備回復(fù)并附帶本次接入請(qǐng)求服務(wù)端側(cè)隨機(jī)數(shù)驗(yàn)證碼; 步驟3.2、接入設(shè)備獲取接入服務(wù)端的回復(fù),認(rèn)證服務(wù)端發(fā)出的隨機(jī)數(shù)是否與之前指定 的隨機(jī)數(shù)相同,若相同,則將本機(jī)的PCR值、服務(wù)端側(cè)隨機(jī)數(shù)發(fā)送至接入服務(wù)端; 步驟3.3、接入服務(wù)端獲取接入設(shè)備發(fā)送的PCR值、服務(wù)端側(cè)隨機(jī)數(shù),驗(yàn)證接入設(shè)備發(fā)出 的服務(wù)端隨機(jī)數(shù)是否與之前發(fā)送的相同。若相同,則開(kāi)始查詢(xún)所述接入設(shè)備是否滿足快速 接入的條件; 步驟3.4、若滿足快速接入的條件,將接入判斷結(jié)果和客戶端側(cè)隨機(jī)數(shù)驗(yàn)證碼發(fā)送給接 入設(shè)備,若不滿足快速接入條件則進(jìn)行繼續(xù)流程,并向接入設(shè)備發(fā)送進(jìn)入用戶認(rèn)證階段的 請(qǐng)求并包含客戶端側(cè)隨機(jī)數(shù)驗(yàn)證碼; 步驟3.5、接入設(shè)備根據(jù)接入服務(wù)端的回復(fù),驗(yàn)證所述客戶端隨機(jī)數(shù)是否與之前發(fā)送的 相同,若相同,則開(kāi)始處理服務(wù)器的判斷結(jié)果,當(dāng)判斷結(jié)果為可信時(shí),向接入服務(wù)端發(fā)送用 戶認(rèn)證身份信息; 步驟3.6、接入服務(wù)端對(duì)所述用戶信息進(jìn)行驗(yàn)證,若驗(yàn)證結(jié)果為允許接入,則將客戶端 的接入狀態(tài)、IP地址、MAC地址,PCR值和登陸的用戶名記錄到最近連接的設(shè)備列表中,同時(shí) 接入服務(wù)端向OpenFlow控制器發(fā)出接入決策,放開(kāi)對(duì)該接入設(shè)備對(duì)于網(wǎng)絡(luò)的訪問(wèn)權(quán)限。4. 如權(quán)利要求3所述軟件定義網(wǎng)絡(luò)中安全的可信接入方法,其特征在于,所述快速接入 條件為:IP和MAC地址位于最近接入設(shè)備列表內(nèi),且本次接入時(shí)設(shè)備提供的可信PCR值與上 次相同。5. 如權(quán)利要求3所述軟件定義網(wǎng)絡(luò)中安全的可信接入方法,其特征在于,若不符合快速 接入條件,則對(duì)用戶的可信狀況進(jìn)行判斷,所述可信判斷結(jié)果分為:完全可信、部分可信和 不可信。6. 如權(quán)利要求3所述軟件定義網(wǎng)絡(luò)中安全的可信接入方法,其特征在于,在步驟3.5中, 當(dāng)判斷結(jié)果為不可信時(shí),中斷登錄流程,客戶機(jī)無(wú)法接入網(wǎng)絡(luò);當(dāng)判斷結(jié)果為可信時(shí),要求 接入設(shè)備提供用戶認(rèn)證信息。7. 如權(quán)利要求1所述的軟件定義網(wǎng)絡(luò)中安全的可信接入方法,其特征在于,還包括:網(wǎng) 絡(luò)啟用初期,接入服務(wù)端向OpenFlow控制器發(fā)出指令,所述指令用于阻止未認(rèn)證的設(shè)備進(jìn) 行網(wǎng)絡(luò)通信;同時(shí)OpenFlow控制器收到所述指令后,根據(jù)交換機(jī)提交的網(wǎng)絡(luò)流量信息下達(dá) 相應(yīng)的流表項(xiàng),以完成對(duì)于非認(rèn)證設(shè)備的限制。8. 如權(quán)利要求1所述的軟件定義網(wǎng)絡(luò)中安全的可信接入方法,其特征在于,所述接入設(shè) 備為實(shí)體設(shè)備或云虛擬機(jī)。
【文檔編號(hào)】H04L29/08GK105933245SQ201610465444
【公開(kāi)日】2016年9月7日
【申請(qǐng)日】2016年6月23日
【發(fā)明人】劉靜, 刁子朋, 莊俊璽, 賴(lài)英旭
【申請(qǐng)人】北京工業(yè)大學(xué)