本发明涉及网络技术领域,具体涉及一种基于TPM的SDN流表下发方法。
背景技术:
SDN即软件定义网络(Software Defined Networking,SDN),是以OpenFlow协议为基础的网络架构,通过虚拟化技术并采用集中式的控制方式,将网络设备的控制面和数据面分离,易于资源的灵活调度。包含SDN交换机和SDN控制器,其中,SDN控制器负责网络的拓扑管理,并配置转发流表;OpenFlow交换机只需按照SDN控制器的设置来完成数据包的转发。
TPM(Trusted Platform Module)是可信计算平台的核心,能够为终端和平台提供基于硬件的数据安全存储和密码运算。同时在系统启动过程中,以TPM硬件中的可信度量根为起点,对系统组件进行度量并构建信任链生成的完整性度量日志,保证系统启动运行过程中的安全可信。
当SDN控制器下发流表至SDN交互机,并进行数据转发时,下发的流表是基于OpenFlow协议且是明文,安全性较差,易被恶意攻击和篡改,因此,利用TPM创建会话功能和秘钥管理功能,对流表文件进行加密,并将加密后的密文发送至SDN交换机中,保证SDN网络通信的安全可靠。
技术实现要素:
本发明要解决的技术问题是:本发明针对以上问题,提供一种基于TPM的SDN流表下发方法。
本发明所采用的技术方案为:
一种基于TPM的SDN流表下发方法,所述方法通过在SDN控制器上内置TPM芯片,当SDN控制器生成流表时,通过TPM产生的秘钥进行加密,并将流表文件发送至SDN交换机,SDN交互机接收到的流表消息后,解密该信息后并以预设的网络访问方式从SDN控制器获取所述流文件中的流表项,并根据获取的流表项配置并下发流表。
通过对流表文件的加密,能够保证SDN网络控制通信的安全性,同时还能保证SDN控制器从启动至运行过程中的可信性。
所述方法涉及的内置TPM芯片的SDN控制器为一个,SDN交换机为多个,SDN控制器通过OpenFlow协议与SDN交换机进性网络控制。
所述方法通过TPM产生的秘钥进行加密过程如下:
当SDN控制器需要产生流表时,预先设定加密算法,并通过TPM的秘钥加载命令产生对应的秘钥,获取秘钥后再调用相应的秘钥加密命令对流表文件进行加密,并将加密后的文件发送至SDN交换机中。
所述SDN交换机收到加密流文件后,解密该文件,通过流表对数据进行转发,完成网络交换,保证其SDN网络通信的安全性。
本发明的有益效果为:
本发明方法通过对流表文件的加密,能够保证SDN网络控制通信的安全性,同时还能保证SDN控制器从启动至运行过程中的可信性。
附图说明
图1是本发明基于外部存储的TPM度量日志管理系统结构示意图;
图2是本发明基于外部存储的TPM度量日志应用流程图。
具体实施方式
下面根据说明书附图,结合具体实施方式对本发明进一步说明:
实施例1:
如图1所示,一种基于TPM的SDN流表下发方法,所述方法通过在SDN控制器上内置TPM芯片,当SDN控制器生成流表时,通过TPM产生的秘钥进行加密,并将流表文件发送至SDN交换机,SDN交互机接收到的流表消息后,解密该信息后并以预设的网络访问方式从SDN控制器获取所述流文件中的流表项,并根据获取的流表项配置并下发流表。
通过对流表文件的加密,能够保证SDN网络控制通信的安全性,同时还能保证SDN控制器从启动至运行过程中的可信性。
实施例2:
在实施例1的基础上,本实施例所述方法涉及的内置TPM芯片的SDN控制器为一个,SDN交换机为多个,SDN控制器通过OpenFlow协议与SDN交换机进性网络控制。
实施例3:
在实施例1或2的基础上,本实施例所述方法通过TPM产生的秘钥进行加密过程如下:
当SDN控制器需要产生流表时,预先设定加密算法,并通过TPM的秘钥加载命令产生对应的秘钥,获取秘钥后再调用相应的秘钥加密命令对流表文件进行加密,并将加密后的文件发送至SDN交换机中。
实施例4:
在实施例3的基础上,本实施例所述SDN交换机收到加密流文件后,解密该文件,通过流表对数据进行转发,完成网络交换,保证其SDN网络通信的安全性。
实施例5:
如图2所示,SDN控制器启动后,调用TPM的会话授权命令TPM2_StartAuthSession创建并启动一个授权会话,设定一个秘钥产生的算法,并通过TPM2_Creat和TPM2_Load创建并加载秘钥,完成秘钥的生成。
SDN控制器产生流表文件时,调用生成的秘钥对流表文件进行加密,当设定算法为AES进行对称加密时,直接调用TPM2_EncryptDecrypt进行加密,当设定算法为RSA进行非对称加密时,直接调用TPM2_RSA_Encrypt进行加密。
SDN交换机收到控制器下发的流表文件时,对文件进行解密,进行数据转发,完成网络交换。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。