一种认证方法和认证系统与流程

本发明涉及通信技术领域，尤其涉及一种认证方法和认证系统。

背景技术

软件定义网络(softwaredefinednetwork,下简称sdn)是网络虚拟化的一种实现方式，通过网络的转发面与控制面分离，实现网络的灵活控制、可编程。sdn的核心技术是控制器到网络转发面(交换设备)的信息传输，称为南向接口。

现有的sdn系统中，没有针对南向接口的认证加密方式，导致sdn网络面临中间人攻击等典型的网络攻击威胁。

技术实现要素：

本发明的目的在于提供一种认证方法和认证系统，用以解决现有的sdn系统中没有针对南向接口的认证加密方式，而导致的sdn网络面临中间人攻击等典型的网络攻击威胁的问题。

为此，本发明提供一种认证方法，所述方法包括：

卡模块根据预先获取的控制器的ip地址向所述控制器发送密钥对比请求；

所述控制器向所述卡模块发送预先储存的第一安全密钥；

所述卡模块判断所述第一安全密钥与预先储存的第二安全密钥是否相同；

所述卡模块若判断出所述第一安全密钥与所述第二安全密钥相同，确定出所述卡模块与所述控制器认证成功。

可选的，所述卡模块根据预先获取的控制器的ip地址向所述控制器发送密钥对比请求前，所述方法还包括：

所述控制器向认证模块发送添加交换设备的请求指令，所述请求指令包括所述控制器的ip地址以及所述交换设备的mac地址；

所述认证模块根据预先存储的卡模块的密钥以及所述交换设备的mac地址计算得出卡模块的imsi；

所述认证模块根据所述卡模块的imsi、卡模块的密钥以及所述控制器的ip地址计算得出安全密钥；

所述认证模块分别向所述控制器与所述卡模块发送第一认证请求与第二认证请求，所述第一认证请求包括第一安全密钥，所述第二认证请求包括第二安全密钥；

所述卡模块根据所述第二安全密钥以及卡模块的密钥与卡模块的imsi计算得出控制器的ip地址。

可选的，所述卡模块根据预先获取的控制器的ip地址向所述控制器发送密钥对比请求后，所述方法还包括：

所述控制器判断在预先设定的时间内是否接收到密钥对比请求；

若所述控制器判断出在预先设定的时间内未接收到密钥对比请求时，所述控制器向所述卡模块发送失败反馈；

所述控制器若判断出在预先设定的时间内接收到密钥对比请求时，继续执行所述控制器向所述卡模块发送预先储存的第一安全密钥的步骤。

可选的，所述卡模块若判断出所述第一安全密钥与所述第二安全密钥相同，确定出所述卡模块与所述控制器认证成功后，所述方法还包括：

所述卡模块向所述控制器发送所述卡模块的ip地址；

所述控制器根据所述卡模块的ip地址与所述卡模块建立网络连接。

可选的，所述认证模块根据预先存储的卡模块的密钥以及所述交换设备的mac地址计算得出所述卡模块的imsi，包括：

通过公式imsi＝交换设备的mac地址*卡模块的密钥计算出所述卡模块的imsi。

可选的，所述认证模块根据所述卡模块的imsi、卡模块的密钥以及所述控制器的ip地址计算得出所述安全密钥，包括：

通过公式安全密钥＝imsi*控制器的ip地址*卡模块的密钥计算出所述安全密钥。

一种认证系统，所述系统包括：

卡模块，用于根据预先获取的控制器的ip地址向所述控制器发送密钥对比请求；判断所述第一安全密钥与预先储存的第二安全密钥是否相同；若判断出所述第一安全密钥与所述第二安全密钥相同，确定出所述卡模块与所述控制器认证成功；

控制器，用于向所述卡模块发送预先储存的第一安全密钥。

可选的，所述系统还包括：

认证模块，用于接收所述控制器发送的添加交换设备的请求指令，所述请求指令包括所述控制器的ip地址以及所述交换设备的mac地址；根据预先存储的卡模块的密钥以及所述交换设备的mac地址计算得出卡模块的imsi；根据所述卡模块的imsi、卡模块的密钥以及所述控制器的ip地址计算得出安全密钥；分别向所述控制器与所述卡模块发送第一认证请求与第二认证请求，所述第一认证请求包括第一安全密钥，所述第二认证请求包括第二安全密钥；

所述卡模块还用于根据所述第二安全密钥以及卡模块的密钥与卡模块的imsi计算得出控制器的ip地址。

可选的，所述控制器还用于判断在预先设定的时间内是否接收到密钥对比请求，若判断出在预先设定的时间内未接收到密钥对比请求时，向所述卡模块发送失败反馈；若判断出在预先设定的时间内接收到密钥对比请求时，继续执行所述向所述卡模块发送预先储存的第一安全密钥的步骤。

可选的，所述卡模块还用于向所述控制器发送所述卡模块的ip地址；

所述控制器还用于根据所述卡模块的ip地址与所述卡模块建立网络连接。

可选的，所述认证模块根据预先存储的密钥、所述交换设备的mac地址以及预计算得出所述卡模块的imsi包括：

通过公式imsi＝交换设备的mac地址*密钥计算出所述卡模块的imsi。密钥。

可选的，所述认证模块根据所述卡模块的imsi以及所述控制器的ip地址计算得出所述安全密钥包括：

安全密钥＝imsi*控制器的ip地址*密钥。

本发明提供的一种认证方法和认证系统，卡模块嵌入至交换设备中，实现交换设备与控制器完成认证，通过卡模块判断预先储存于控制器的第一安全密钥与预先储存于卡模块的第二安全密钥是否相同，增加南向接口的认证加密方式，避免sdn网络面临中间人攻击等典型的网络攻击威胁的问题。。

附图说明

图1为本发明实施例一提供的认证方法的流程示意图；

图2为本发明实施例二提供的认证方法的流程示意图；

图3为本发明提供的认证系统的结构示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定装置结构、接口、技术之类的具体细节，以便透切理解本发明。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的装置、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

图1为本发明实施例一提供的一种认证方法的流程示意图，如图1所示，该方法包括：

步骤s101，卡模块根据预先获取的控制器的ip地址向所述控制器发送密钥对比请求。

步骤s102，控制器向卡模块发送预先储存的第一安全密钥。

步骤s103，卡模块判断第一安全密钥与预先储存的第二安全密钥是否相同，若是，则执行步骤s104，若否，则终止流程。

步骤s104，确定出卡模块与控制器认证成功，流程结束。

本实施例提供了一种认证方法，卡模块嵌入至交换设备中，实现交换设备与控制器完成认证，期间，通过卡模块判断预先储存于控制器的第一安全密钥与预先储存于卡模块的第二安全密钥是否相同，防止攻击者伪造控制器，向交换设备发送伪造的认证请求，有效对南向接口进行认证加密。

图2为本发明实施例二提供的一种认证方法的流程示意图，如图2所示，该方法包括：

步骤s201，控制器向认证模块发送添加交换设备的请求指令，请求指令包括控制器的ip地址以及交换设备的mac地址。

步骤s202，认证模块根据预先存储的卡模块的密钥以及交换设备的mac地址计算得出卡模块的imsi。

具体的，通过公式imsi＝交换设备的mac地址*卡模块的密钥，计算出所述卡模块的imsi。

将卡模块嵌入至交换设备中，通过认证模块以ota方式向卡模块发送认证数据，ota(over－the－airtechnology)为空中下载技术,卡模块优选为嵌入式uicc(universalintegratedcircuitcard)卡，uicc卡是一种可移动智能卡，它用于存储用户信息、鉴权密钥、电话簿、短消息等信息，交换设备优选为sdn交换设备。

步骤s203，认证模块根据卡模块的imsi、卡模块的密钥以及控制器的ip地址计算得出安全密钥。

具体的，通过公式安全密钥＝imsi*控制器的ip地址*卡模块的密钥，计算出安全密钥。

步骤s204，认证模块向控制器发送第一认证请求以及向卡模块发送第二认证请求，第一认证请求包括第一安全密钥，第二认证请求包括第二安全密钥。

具体的，第一认证请求中的第一安全密钥为认证模块在步骤s203中计算出的安全密钥，第二认证请求中的第二安全密钥为认证模块在步骤s203中计算出的安全密钥。

步骤s205，卡模块根据第二安全密钥以及卡模块的密钥与卡模块的imsi计算得出控制器的ip地址。

具体的，通过公式控制器的ip地址＝imsi*卡模块的密钥/安全密钥，计算出控制器的ip地址。

步骤s206，卡模块根据控制器的ip地址向控制器发送密钥对比请求。

步骤s207，控制器判断在预先设定的时间内是否接收到密钥对比请求，若是，则执行步骤s208，若否，则执行步骤s213。

步骤s208，控制器向卡模块发送预先储存的第一安全密钥。

步骤s209，卡模块判断第一安全密钥与预先储存的第二安全密钥是否相同，若是，则执行步骤s210，若否，则终止流程。

步骤s210，确定出卡模块与控制器认证成功。

步骤s211，卡模块向控制器发送卡模块的ip地址。

步骤s212，控制器根据卡模块的ip地址与卡模块建立网络连接，流程终止。

步骤s213，控制器向卡模块发送失败反馈，终止流程。

本实施例提供了一种认证方法，卡模块嵌入至交换设备中，实现交换设备与控制器完成认证，期间，认证模块分别向控制器与卡模块发送第一认证请求与第二认证请求，判断出卡模块计算得出的控制器的ip地址是否正确，进而判断预先储存于控制器的第一安全密钥与预先储存于卡模块的第二安全密钥是否相同，来防止攻击者伪造控制器，向交换设备发送伪造的认证请求，有效对南向接口进行认证加密。

图3为本发明提供的一种认证系统的结构示意图，如图3所示，该系统包括：卡模块31和控制器32。

卡模块31用于根据预先获取的控制器32的ip地址向所述控制器32发送密钥对比请求；判断所述第一安全密钥与预先储存的第二安全密钥是否相同；若判断出所述第一安全密钥与所述第二安全密钥相同，确定出所述卡模块31与所述控制器32认证成功。

控制器32用于向所述卡模块31发送预先储存的第一安全密钥。

进一步地，系统还包括：认证模块33。

认证模块33用于接收所述控制器32发送的添加交换设备的请求指令，所述请求指令包括所述控制器32的ip地址以及所述交换设备的mac地址；根据预先存储的卡模块31的密钥以及所述交换设备的mac地址计算得出卡模块31的imsi；根据所述卡模块31的imsi、卡模块31的密钥以及所述控制器32的ip地址计算得出安全密钥；分别向所述控制器32与所述卡模块31发送第一认证请求与第二认证请求，所述第一认证请求包括第一安全密钥，所述第二认证请求包括第二安全密钥。

具体的，通过公式imsi＝交换设备的mac地址*卡模块的密钥计算出卡模块31的imsi。

通过公式安全密钥＝imsi*控制器的ip地址*卡模块的密钥计算出所述安全密钥。

所述卡模块31还用于根据第二安全密钥以及卡模块31的密钥与卡模块31的imsi计算得出控制器32的ip地址。

控制器32还用于判断在预先设定的时间内是否接收到密钥对比请求，若判断出在预先设定的时间内未接收到密钥对比请求时，向卡模块31发送失败反馈；若判断出在预先设定的时间内接收到密钥对比请求时，继续执行向卡模块31发送预先储存的第一安全密钥的步骤。

卡模块31还用于向控制器32发送所述卡模块31的ip地址；

控制器32还用于根据卡模块31的ip地址与卡模块31建立网络连接。

本实施例提供了一种装置，认证模块分别向控制器与卡模块发送第一认证请求与第二认证请求，并通过卡模块判断预先储存于控制器的第一安全密钥与预先储存于卡模块的第二安全密钥是否相同，防止攻击者伪造控制器，向交换设备发送伪造的认证请求，有效对南向接口进行认证加密。

读者应理解，在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。