一种基于TPM的SDN流表下发方法与流程

本发明涉及网络技术领域，具体涉及一种基于TPM的SDN流表下发方法。

背景技术：

SDN即软件定义网络(Software Defined Networking，SDN)，是以OpenFlow协议为基础的网络架构，通过虚拟化技术并采用集中式的控制方式，将网络设备的控制面和数据面分离，易于资源的灵活调度。包含SDN交换机和SDN控制器，其中，SDN控制器负责网络的拓扑管理，并配置转发流表；OpenFlow交换机只需按照SDN控制器的设置来完成数据包的转发。

TPM(Trusted Platform Module)是可信计算平台的核心，能够为终端和平台提供基于硬件的数据安全存储和密码运算。同时在系统启动过程中，以TPM硬件中的可信度量根为起点，对系统组件进行度量并构建信任链生成的完整性度量日志，保证系统启动运行过程中的安全可信。

当SDN控制器下发流表至SDN交互机，并进行数据转发时，下发的流表是基于OpenFlow协议且是明文，安全性较差，易被恶意攻击和篡改，因此，利用TPM创建会话功能和秘钥管理功能，对流表文件进行加密，并将加密后的密文发送至SDN交换机中，保证SDN网络通信的安全可靠。

技术实现要素：

本发明要解决的技术问题是：本发明针对以上问题，提供一种基于TPM的SDN流表下发方法。

本发明所采用的技术方案为：

一种基于TPM的SDN流表下发方法，所述方法通过在SDN控制器上内置TPM芯片，当SDN控制器生成流表时，通过TPM产生的秘钥进行加密，并将流表文件发送至SDN交换机，SDN交互机接收到的流表消息后，解密该信息后并以预设的网络访问方式从SDN控制器获取所述流文件中的流表项，并根据获取的流表项配置并下发流表。

通过对流表文件的加密，能够保证SDN网络控制通信的安全性，同时还能保证SDN控制器从启动至运行过程中的可信性。

所述方法涉及的内置TPM芯片的SDN控制器为一个，SDN交换机为多个，SDN控制器通过OpenFlow协议与SDN交换机进性网络控制。

所述方法通过TPM产生的秘钥进行加密过程如下：

当SDN控制器需要产生流表时，预先设定加密算法，并通过TPM的秘钥加载命令产生对应的秘钥，获取秘钥后再调用相应的秘钥加密命令对流表文件进行加密，并将加密后的文件发送至SDN交换机中。

所述SDN交换机收到加密流文件后，解密该文件，通过流表对数据进行转发，完成网络交换，保证其SDN网络通信的安全性。

本发明的有益效果为：

本发明方法通过对流表文件的加密，能够保证SDN网络控制通信的安全性，同时还能保证SDN控制器从启动至运行过程中的可信性。

附图说明

图1是本发明基于外部存储的TPM度量日志管理系统结构示意图；

图2是本发明基于外部存储的TPM度量日志应用流程图。

具体实施方式

下面根据说明书附图，结合具体实施方式对本发明进一步说明：

实施例1：

如图1所示，一种基于TPM的SDN流表下发方法，所述方法通过在SDN控制器上内置TPM芯片，当SDN控制器生成流表时，通过TPM产生的秘钥进行加密，并将流表文件发送至SDN交换机，SDN交互机接收到的流表消息后，解密该信息后并以预设的网络访问方式从SDN控制器获取所述流文件中的流表项，并根据获取的流表项配置并下发流表。

通过对流表文件的加密，能够保证SDN网络控制通信的安全性，同时还能保证SDN控制器从启动至运行过程中的可信性。

实施例2：

在实施例1的基础上，本实施例所述方法涉及的内置TPM芯片的SDN控制器为一个，SDN交换机为多个，SDN控制器通过OpenFlow协议与SDN交换机进性网络控制。

实施例3：

在实施例1或2的基础上，本实施例所述方法通过TPM产生的秘钥进行加密过程如下：

当SDN控制器需要产生流表时，预先设定加密算法，并通过TPM的秘钥加载命令产生对应的秘钥，获取秘钥后再调用相应的秘钥加密命令对流表文件进行加密，并将加密后的文件发送至SDN交换机中。

实施例4：

在实施例3的基础上，本实施例所述SDN交换机收到加密流文件后，解密该文件，通过流表对数据进行转发，完成网络交换，保证其SDN网络通信的安全性。

实施例5：

如图2所示，SDN控制器启动后，调用TPM的会话授权命令TPM2_StartAuthSession创建并启动一个授权会话，设定一个秘钥产生的算法，并通过TPM2_Creat和TPM2_Load创建并加载秘钥，完成秘钥的生成。

SDN控制器产生流表文件时，调用生成的秘钥对流表文件进行加密，当设定算法为AES进行对称加密时，直接调用TPM2_EncryptDecrypt进行加密，当设定算法为RSA进行非对称加密时，直接调用TPM2_RSA_Encrypt进行加密。

SDN交换机收到控制器下发的流表文件时，对文件进行解密，进行数据转发，完成网络交换。

实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。