一种软件定义的网络鉴别系统和方法

一种软件定义的网络鉴别系统和方法
【技术领域】
[0001] 本发明属于网络通信领域，具体地说是提出一种软件定义的网络鉴别系统及其方 法。
【背景技术】
[0002] 网络鉴别（Network Authentication)是一个实体经过网络向另外的实体证明其 身份的过程。尽管鉴别并非是通信过程必不可少的一部分，但是它是网络实体安全运行其 他功能性协议(例如链路接入、可靠数据传输、路由选择或电子邮件等)的前提，其作用极为 重要。
[0003] 然而，目前的网络鉴别系统存在着如下缺陷:一是鉴别机制对网络功能不完备。首 先，网络功能与鉴别机制紧耦合，尽管不同的网络鉴别机制具有类似的功能和过程，但不同 的网络功能往往配有不同的鉴别过程;其次，各种鉴别机制定义了独特的体系结构，部署成 本较高;第三，不同的鉴别机制所提供的服务存在冗余。二是鉴别机制对网络功能不透明。 首先，鉴别机制通常显式地提示用户输入某种特征信息，这增加了运行时延和用户操作的 复杂性;其次，定制鉴别机制往往要求修改网络功能程序，增加了开发成本和部署难度。 [0004] 软件定义网络（Software Defined Networking,SDN)是一种新型网络创新架构， OpenFlow是其南向接口，提供了以流为单位、粒度可调节的分组转发控制功能。OpenFlow分 离了网络的控制平面与数据平面，通过在控制器进行软件编程，实现了对网络功能的灵活 控制，为网络应用的创新、发展未来互联网技术提供了良好的平台。

【发明内容】

[0005] 本发明针对现有网络鉴别机制存在的对网络功能不完备和对网络用户不透明的 问题，提出了一种软件定义、与网络功能无关和对用户透明的网络鉴别系统及其方法。
[0006] 本发明的技术方案是：
[0007] -种支持软件定义的网络鉴别系统，它包括：
[0008] -台注册服务器;为网络实体提供实名制注册，所述的网络实体包括注册服务器 本身、每个SDN归属控制器、每个OpenFlow交换机和每个具有鉴别守护进程的注册网络端系 统，为前述各网络实体分配全局唯一的身份标识符，并且生成公钥密码体制的私钥和公钥；
[0009] 注册服务器的数据库中录入并存储每个网络实体的身份属性，对于注册网络端系 统，还需要存储应用属性信息;注册服务器将注册网络端系统的公钥、身份属性、应用属性 信息推送给各注册网络端系统所关联的归属控制器保管，所述的应用属性信息形成网络功 能列表；
[0010] 若干台SDN归属控制器:每个SDN归属控制器管理一个对应的网络管理域，SDN归属 控制器是该管理域的集中式控制中心，它们管理属于本管理域的若干个注册网络端系统并 存储它们的公钥、身份属性和应用属性信息;SDN归属控制器通过向本管理域OpenFlow交换 机下发流表项来执行网络控制策略，每当管理域中的某注册网络端系统发送新流时， OpenFlow交换机就会向SDN归属控制器转发首个报文，由此触发SDN归属控制器鉴别注册网 络端系统的身份属性和应用属性；
[0011 ] -台或多台OpenFlow交换机:在特定网络管理域中提供符合OpenFlow规范的转发 分组功能的交换机；
[0012] 若干具有鉴别守护进程的注册网络端系统:这些端系统是提供现有网络规范功能 且具有鉴别守护进程的普通端系统，它们通过实名制注册成为系统的可信用户。
[0013] 本发明中，网络实体的身份属性信息是能够标识网络实体身份的唯一标识符，包 括分配给各网络实体的私钥。
[0014] 本发明中，应用属性信息是与注册网络端系统有权访问的特定网络服务形成一一 映射的信息，包括与某服务对应的标识码、端口号、运输协议、IP地址、MAC地址等。
[0015] -种支持软件定义的网络鉴别方法，它包括实名制注册的步骤和鉴别网络实体身 份属性的步骤;具体为：
[0016] 实名制注册的步骤：
[0017] 首先，任一网络实体均在注册服务器上进行实名制注册：管理员先验证网络实体 身份的真实性，之后注册服务器为网络实体生成全局唯一的身份标识符、私钥和公钥；
[0018] 然后，网络管理员输入注册网络端系统能够使用的网络服务列表、IP地址、MAC地 址等信息，前述网络服务列表与注册网络端系统的应用属性信息相对应；
[0019] 第三，注册服务器将生成的注册网络端系统的公钥、应用属性、IP地址和MAC地址 信息下发至SDN归属控制器；
[0020] 鉴别网络实体身份属性的步骤：
[0021] 首先，SDN归属控制器要与注册服务器相互鉴别身份，SDN归属控制器用注册服务 器的公钥加密随机数nonce，将其发送给注册服务器;注册服务器用其私钥解密后，将nonce 加1再用该SDN归属控制器公钥加密后，将其发送给SDN归属控制器，当SDN归属控制器用其 私钥成功解密出(nonce+Ι)，则完成双方身份属性的鉴别；
[0022] 第二，当任一注册网络端系统请求某种网络功能时，会向网络发送相关应用报文， 该报文会由OpenFlow交换机转发给SDN归属控制器，此时将触发SDN归属控制器主动向该注 册网络端系统发送一个请求鉴别报文，该报文包括用该注册网络端系统公钥加密的随机数 nonce；
[0023] 第三，在注册网络端系统上运行的鉴别守护进程处理请求鉴别报文，用其私钥解 开随机数nonce后并将其加1，然后用SDN归属控制器的公钥对数(nonce+Ι)与自身身份标识 符加密，并且用报文发送给SDN归属控制器;SDN归属控制器用其私钥对该报文进行解密，如 果数(nonce+Ι)正确，则注册网络端系统的身份属性得到鉴别，否则，鉴别过程结束。
[0024] 本发明中，它还包括网络鉴别实体服务属性的步骤：
[0025] 首先，在注册网络端系统身份属性得到鉴别后，SDN归属控制器从应用报文中提取 应用属性信息，如果该应用属性信息与该注册网络端系统的网络功能服务列表的信息相匹 配，则SDN归属控制器向相关交换机下发转发该应用报文的流表项，使该应用报文流能够继 续下去；否则，将终止该应用流的运行；
[0026] 其次，若该注册网络端系统应用报文流持续，又需要执行一种新的网络功能时，直 接实施其应用属性鉴别;如果该应用属性与网络功能服务列表的信息相匹配，SDN控制器则 向相关交换机下发相关流表项，使该新应用流继续;否则，不下发相关流表项使该应用流无 法继续执行。
[0027] 本发明的有益效果：
[0028] 本发明的优势在于：（1)采用统一的软件定义鉴别架构，避免因重要组件缺失而导 致网络鉴别失效；（2)采用统一的鉴别流程，避免因重要过程缺失而导致网络鉴别失效；（3) 身份属性鉴别与应用属性鉴别过程分离，若网络实体流持续，对于新到达的网络应用无需 重复进行身份属性鉴别，只需鉴别其应用属性，提高了鉴别效率；（4)采用了网络服务驱动 鉴别、从流中提取应用属性和在控制器软件定义等手段，使得鉴别过程对用户透明，改善了 用户体验。
【附图说明】
[0029] 图1为支持软件定义的网络鉴别系统的组成结构示意图。
[0030] 图2为UserA运用本系统和方法鉴别实体身份和FTP服务属性的例子。
[0031] 图3为验证AuthAPP机制的试验环境图。
[0032]图4为对不同身份属性和应用属性的鉴别过程示意图。
【具体实施方式】
[0033]下面结合附图和实施例对本发明作进一步的说明。
[0034]图2描述了一个应用实例，注册网络端系统UserA访问FTP服务器时进行身份属性 鉴别和应用属性鉴别的过程。UserA经AuthAPP进行鉴别的过程分为6个基本步骤（假设 UserA已经完成了实体注册过程）。
[0035] 1 .UserA向FTP服务器发起连接请求，应用流的第一个分组将被转发至OpenFlow交 换机OFSa。
[0036] 2.由于OFSa无法匹配流表项，则将该请求分组通过OpenFlow协议转发给Ca。
[0037] 3.Ca收到的FTP请求报文触发AuthAPP，CA向UserA的鉴别守护进程发送身份鉴别请 求报文，该报文包含了一个随机数nonce并用自己的私钥SKca加密：。
[0038] 4 · UserA鉴别守护进程接收该报文，利用CA公钥解析{获取nonce，随 后利用自身的私钥对自身标识符uidA、随机数（nonce + Ι)进行加密生成相应报文： ui.cM丨〇泌丨nonce + l}k并发送至Ca。
[0039] 5. CA接收鉴别相应报文后，