基于SDN网络的控制、数据平面设备及其认证方法与系统与流程

本发明涉及通信领域，特别涉及一种基于SDN网络的控制平面设备、数据平面设备及其自动认证方法与系统。

背景技术：

SDN(Software Defined Network，软件定义网络)技术分离了网络控制平面设备和数据平面设备，控制平面设备通过常用的南向协议(如OpenFlow等)向数据平面设备下发流表等相关配置；同时为了保证控制平面设备及数据平面设备的通信安全，通常在控制平面设备和数据平面设备之间通过应用TLS(Transport Layer Security)协议来建立一个安全的通信通道。

TLS协议通常证书认证的方式来确保通信的可信、可靠，这样SDN网络部署的时候就需要控制平面设备和数据平面设备分别预存储两个证书：一个设备自己的证书、一个是认证对方的证书。随着SDN网络控制平面设备连接的数据平面设备数目的增加，在部署设备时就需要通过人为介入手动拷贝或下载相关证书来保证TLS的建立(具体如图1所示的流程图)，这种操作带来的复杂性在远程设备环境尤为明显。

技术实现要素：

有鉴于此，本发明旨在提供一种基于SDN网络的控制平面设备、数据平面设备及其自动认证方法与系统，以实现无需人为在数据平面设备中输入永久证书即可实现数据平面设备和控制平面设备的安全、可靠通道的建立。

具体而言，本发明一种基于SDN网络数据平面设备的认证方法，包括：数据平面设备在判断不存在第一永久证书时，读取并发送预存的临时证书；所述第一永久证书为所述数据平面设备的永久证书；控制平面设备接收并认证所述临时证书，在认证通过后，主动向所述数据平面设备发送或协同所述数据平面设备获取第一永久证书及第一根证书，所述第一永久证书及所述第一根证书均存放在RA/CA中，所述第一根证书用于认证所述控制平面设备；所述数据平面设备与所述控制平面设备基于所述第一永久证书及第一根证书进行双向认证。

进一步地，上述主动向所述数据平面设备发送第一永久证书及第一根证书的步骤包括：所述控制平面设备根据所述数据平面设备的信息向RA/CA获取所述第一永久证书和所述第一根证书；所述控制平面设备将所述第一永久证书和所述第一根证书发送给所述数据平面设备。

进一步地，上述协同所述数据平面设备获取第一永久证书及第一根证书的步骤包括：所述控制平面设备将RA/CA的地址信息发送至所述数据平面设备，并建立数据平面设备到RA/CA的转发路径；所述数据平面设备基于所述转发路径，向RA/CA获取所述第一永久证书和第一根证书。

进一步地，所述数据平面设备与所述控制平面设备基于所述第一永久证书及第一根证书进行双向认证的步骤包括：所述数据平面设备将所述第一永久证书发送至所述控制平面设备；所述控制平面设备认证所述第一永久证书，并在认证通过后，向所述数据平面设备发送预存的第二永久证书，所述第二永久证书为所述控制平面设备的永久证书；根据所述第一根证书，所述数据平面设备在对所述第二永久证书认证成功后，所述数据平面设备与所述控制平面设备之间的通道建立成功。

进一步地，所述控制平面设备接收并认证所述临时证书的步骤包括：所述控制平面设备根据预存的用于认证所述数据平面设备的临时证书的第二根证书，认证所述临时证书；所述临时证书由RA/CA签发。

具体而言，本发明一种基于SDN网络的数据平面设备，包括：临时证书获取单元，用于在判断不存在第一永久证书时，读取并发送预存的临时证书；所述第一永久证书为所述数据平面设备的永久证书；第一信息获取单元，用于获取第一永久证书及第一根证书，所述第一永久证书及所述第一根证书均存放在RA/CA中，所述第一根证书用于认证所述控制平面设备；第一认证单元，用于基于所述第一永久证书及第一根证书与所述控制平面设备进行双向认证。

进一步地，所述第一信息获取单元包括：第一信息获取模块，用于接收所述控制平面设备发送的所述第一永久证书和所述第一根证书；或者，第二信息获取模块，用于基于所述控制平面设备建立的数据平面设备到RA/CA的转发路径，向RA/CA获取所述第一永久证书和第一根证书。

进一步地，所述第一认证单元包括：第一认证模块，用于将所述第一永久证书发送至所述控制平面设备；第二认证模块，用于接收所述控制平面设备在认证所述第一永久证书通过后，发送预存的第二永久证书，所述第二永久证书为所述控制平面设备的永久证书；并根据所述第一根证书，在对所述第二永久证书进行认证。

具体而言，本发明一种基于SDN网络的控制平面设备，包括：临时证书认证单元，用于接收并认证所述临时证书；第二信息获取单元，用于在所述临时证书认证单元认证通过后，主动向所述数据平面设备发送或协同所述数据平面设备获取第一永久证书及第一根证书，所述第一永久证书及所述第一根证书均存放在RA/CA中，所述第一根证书用于认证所述控制平面设备；第二认证单元，用于基于所述第一永久证书及第一根证书与所述数据平面设备进行双向认证。

进一步地，所述第二信息获取单元包括：第三信息获取模块，用于根据所述数据平面设备的信息向RA/CA获取并发送所述第一永久证书和所述第一根证书；或者，第四信息获取模块，用于将RA/CA的地址信息发送至所述数据平面设备，并建立数据平面设备到RA/CA的转发路径。

进一步地，所述第二认证单元包括：第三认证模块，用于接收并认证所述数据平面设备发送的第一永久证书，并在认证通过后，向所述数据平面设备发送预存的第二永久证书，所述第二永久证书为所述控制平面设备的永久证书。

具体而言，本发明一种基于SDN网络数据平面设备的认证系统，包括所述的数据平面设备及所述的控制平面设备，所述数据平面设备与控制平面设备通信连接。

本发明的基于SDN网络的控制平面设备、数据平面设备及其自动认证方法与系统，通过设置数据平面设备通过控制平面设备获取存放在RA/CA中的第一永久证书及第一根证书，一方面可以减少人为介入的繁琐操作；另一方面还可以实现数据平面设备和控制平面设备的安全、可靠通道的建立，简化人为的操作、同时保证设备通信的安全。

附图说明

并入到说明书中并且构成说明书的一部分的附图示出了本发明的实施例，并且与描述一起用于解释本发明的原理。在这些附图中，类似的附图标记用于表示类似的要素。下面描述中的附图是本发明的一些实施例，而不是全部实施例。对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，可以根据这些附图获得其他的附图。

图1为现有基于SDN网络的控制平面设备与数据平面设备认证的流程图；

图2为本发明实施例提供的一种基于SDN网络数据平面设备的认证方法的流程图；

图3为本发明实施例提供的另一种基于SDN网络数据平面设备的认证方法的流程图；

图4为本发明实施例提供的又一种基于SDN网络数据平面设备的认证方法的流程图；

图5为本发明实施例提供的一种基于SDN网络的数据平面设备的结构框图；

图6为本发明实施例提供的一种基于SDN网络的控制平面设备的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

下面结合附图详细说明本发明实施涉及的基于SDN网络的控制平面设备、数据平面设备及其自动认证方法与系统。

实施例一：

如图2所示，一种基于SDN网络数据平面设备的认证方法，所述认证方法包括：

首先，数据平面设备在判断不存在第一永久证书时，读取并发送预存的临时证书；所述第一永久证书为所述数据平面设备的永久证书；

其次，控制平面设备接收并认证所述临时证书，在认证通过后，主动向所述数据平面设备发送或协同所述数据平面设备获取第一永久证书及第一根证书，所述第一永久证书及所述第一根证书均存放在RA/CA中，所述第一根证书用于认证所述控制平面设备；

最后，所述数据平面设备与所述控制平面设备基于所述第一永久证书及第一根证书进行双向认证。

本发明设置数据平面设备通过控制平面设备获取存放在RA/CA中的第一永久证书及第一根证书，一方面可以减少人为介入的繁琐操作；另一方面还可以实现数据平面设备和控制平面设备的安全、可靠通道的建立，简化人为的操作、同时保证设备通信的安全。

实施例二：

参见图3所示，一种基于SDN网络数据平面设备的认证方法，主要用于说明控制平面设备在临时证书认证通过后，在数据平面设备的永久证书获取流程中，主动向所述数据平面设备发送第一永久证书及第一根证书的情况，具体包括：临时证书认证流程、永久证书获取流程以及双向认证流程；其中，双向认证流程与现有技术一致，不再赘述；该临时证书认证流程包括：

第一步：数据平面设备启动；

第二步：判断是否存在数据平面设备的永久证书；若存在，则走正常的基于永久证书的认证流程；

第三步，若不存在，则读取临时证书；具体操作时，在执行各流程前还包括：数据平面设备在出厂时通过工厂环节烧录一个临时证书(或称厂家证书，统一由RA/CA签发)到EEPROM等存储介质；拷贝从RA/CA获取的认证数据平面设备临时证书的根证书和认证控制平面设备证书的根证书、以及控制平面设备的永久证书到控制平面设备；

第四步，把这个临时证书和设备信息发送给控制平面设备，并等待控制平面设备的应答；

第五步：控制平面设备获取到数据平面设备的请求后，判断如果是临时证书则使用临时证书的根证书(控制平面设备预存)对数据平面设备临时证书进行认证；若认证失败，则反馈认证失败信息，建立TLS通道失败；如果是数据平面设备的永久证书则用该永久证书的根证书进行认证进入双向认证流程；

永久证书获取流程包括：

第六步及第七步：如果第五步验证的结果通过，则用数据平面设备的私有信息向RA(或CA，标记为RA/CA)获取该数据平面设备的永久操作证书；

第八步：控制平面设备把数据平面设备的永久证书和认证自己证书的根证书发给数据平面设备；

第九步：数据平面设备通过获取的永久证书发起建立永久的TLS通道，从而进一步根据SDN的规范完成后续的配置和操作。

本实施例通过在数据平面设备存储一个临时证书(或称厂家证书，在设备的生产环节写入)、同时在控制平面设备添加一个获取数据平面设备证书的代理装置来自动给数据平面设备获取建立TLS通道的操作证书，这样数据平面设备就能通过临时证书建立一个临时的TLS通道来获取一个永久的操作证书，然后通过这个永久证书来建立和控制平面设备的TLS通道。一方面可以减少人为介入的繁琐操作；另一方面还可以实现数据平面设备和控制平面设备的安全、可靠通道的建立，简化人为的操作、同时保证设备通信的安全。

实施例三：

参见图4所示，一种基于SDN网络数据平面设备的认证方法，主要用于说明控制平面设备在临时证书认证通过后，在数据平面设备的永久证书获取流程中，协同所述数据平面设备获取第一永久证书及第一根证书的情况，具体包括：临时证书认证流程、永久证书获取流程以及双向认证流程；其中，双向认证流程与现有技术一致，临时证书认证流程与图3所示实施例一致，均不再赘述；该永久证书获取流程包括：

首先：控制平面设备把RA/CA的地址反馈给数据平面设备；

其次：控制平面设备在本地建立数据平面设备通往RA/CA的相关转发信息；

再次：所述数据平面设备基于所述转发路径，向RA/CA获取所述第一永久证书和第一根证书；。

最后：数据平面设备根据获取的信息确定是自己的永久证书，则用永久证书向控制平面设备发起TLS的握手认证，进入双向认证流程。

本实施例中控制平面设备把RA/CA的地址信息发送给数据平面设备，然后在本地建立数据平面设备通往RA/CA的相关转发信息；数据平面设备用自己的临时证书向RA/CA获取永久证书和认证控制平面设备的根证书，然后发起和控制平面设备的互相认证，控制平面设备和数据平面设备互相认证成功，则用建立起来的TLS安全通道进行通信。

实施例四：

如图5所示，一种基于SDN网络的数据平面设备包括：

临时证书获取单元，用于在判断不存在第一永久证书时，读取并发送预存的临时证书；所述第一永久证书为所述数据平面设备的永久证书；

第一信息获取单元，用于获取第一永久证书及第一根证书，所述第一永久证书及所述第一根证书均存放在RA/CA中，所述第一根证书用于认证所述控制平面设备；

第一认证单元，用于基于所述第一永久证书及第一根证书与所述控制平面设备进行双向认证。

优选地，所述第一信息获取单元包括：

第一信息获取模块，用于接收所述控制平面设备发送的所述第一永久证书和所述第一根证书；或者，

第二信息获取模块，用于基于所述控制平面设备建立的数据平面设备到RA/CA的转发路径，向RA/CA获取所述第一永久证书和第一根证书。

优选地，所述第一认证单元包括：

第一认证模块，用于将所述第一永久证书发送至所述控制平面设备；

第二认证模块，用于接收所述控制平面设备在认证所述第一永久证书通过后，发送预存的第二永久证书，所述第二永久证书为所述控制平面设备的永久证书；并根据所述第一根证书，在对所述第二永久证书进行认证。

本实施例通过控制平面设备获取存放在RA/CA中的第一永久证书及第一根证书，一方面可以减少人为介入的繁琐操作；另一方面还可以实现数据平面设备和控制平面设备的安全、可靠通道的建立，简化人为的操作、同时保证设备通信的安全。

实施例五：

如图6所示，一种基于SDN网络的控制平面设备包括：

临时证书认证单元，用于接收并认证所述临时证书；

第二信息获取单元，用于在所述临时证书认证单元认证通过后，主动向所述数据平面设备发送或协同所述数据平面设备获取第一永久证书及第一根证书，所述第一永久证书及所述第一根证书均存放在RA/CA中，所述第一根证书用于认证所述控制平面设备；

第二认证单元，用于基于所述第一永久证书及第一根证书与所述数据平面设备进行双向认证。

优选地，所述第二信息获取单元包括：

第三信息获取模块，用于根据所述数据平面设备的信息向RA/CA获取并发送所述第一永久证书和所述第一根证书；或者，

第四信息获取模块，用于将RA/CA的地址信息发送至所述数据平面设备，并建立数据平面设备到RA/CA的转发路径。

优选地，所述第二认证单元包括：

第三认证模块，用于接收并认证所述数据平面设备发送的第一永久证书，并在认证通过后，向所述数据平面设备发送预存的第二永久证书，所述第二永久证书为所述控制平面设备的永久证书。

本实施例通过在数据平面设备存储一个临时证书(或称厂家证书，在设备的生产环节写入)、同时在控制平面设备添加一个获取数据平面设备证书的代理装置来自动给数据平面设备获取建立TLS通道的操作证书，这样数据平面设备就能通过临时证书建立一个临时的TLS通道来获取一个永久的操作证书，然后通过这个永久证书来建立和控制平面设备的TLS通道。一方面可以减少人为介入的繁琐操作；另一方面还可以实现数据平面设备和控制平面设备的安全、可靠通道的建立，简化人为的操作、同时保证设备通信的安全。

实施例六

本发明还提供一种基于SDN网络数据平面设备的认证系统，包括上述的任一种数据平面设备及上述的任一种的控制平面设备，所述数据平面设备与控制平面设备通信连接。该系统具有上述数据平面设备及控制平面设备相应的技术效果，在此不再赘述。

本领域普通技术人员可以理解，实现上述实施例的全部或者部分步骤/单元/模块可以通过程序指令相关的硬件来完成，前述程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述实施例各单元中对应的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光碟等各种可以存储程序代码的介质。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。