一种软件定义网络中安全的可信接入方法
【专利摘要】本发明公开一种软件定义网络中安全的接入方法,将可信接入技术引入SDN网络中的接入过程中;通过结合可信计算技术,可以有效阻止不安全地设备对网络的接入行为;同时本发明还包含针对SDN网络的灵活独创性提出了快速接入认证方式和通过可信值对同用户分级访问方式。采用本发明的技术方案,可以有效填补SDN网络接入认证中存在的不足,增强了SDN网络的安全性。
【专利说明】
一种软件定义网络中安全的可信接入方法
技术领域
[0001] 本发明属于软件定义网络的技术领域,尤其涉及一种软件定义网络中安全的可信 接入方法。
【背景技术】
[0002] OpenFlow的概念在2006由美国斯坦福大学的研究人员的研究项目产生,提倡将传 统网络设备的数据层和控制层解耦,通过集中式的控制器(controller)以标准化的接口对 各种网络设备进行管理和配置。随后,研究者由此开始推广软件定义网络(Software-Defined Networking,SDN)概念,并引起学术界和产业界的广泛关注。
[0003] Floodlight Open SDN控制器是一个企业级的基于Java的OpenFlow控制器。它容 易构建和使用,支持众多的虚拟及物理OpenFlow交换机。作为OpenFlow网络的控制器, Floodlight通过结合不同模块的功能提供了对网络管理的能力。其向用户提供API来允许 用户创建的智能化应用对网络进行管理或对控制器功能进行增强。
[0004] 网络接入问题是网络安全问题之一。非法用户的接入往往是渗透整个网络的开 端。于是人们想出了各种方法对用户进行认证。从上世纪90年代初期到现在,国内外知名的 网络安全专家相继使用新的技术和方法来解决网络终端安全接入的问题。主动防御等概念 也相应被提出。
[0005] 2004年5月可信网络连接分组(TNC-SG)成立,其于2005年3月发布了可信网络连接 TNC规范和相应的接口规范,此次发布的TNCV1.0版本确定了 TNC的核心。TNC架构主要描述 了网络接入中的三个实体,它们是访问请求者(Access Requestor,AR)、策略决策点 (Policy Decision Point,PDP),策略执行点(Policy Enforcement Point,PEP)。同时,TNC 架构又包括三个层次,它们是网络访问层、完整性评估层与完整性度量层。目前,也有部分 针对传统网络接入增强方案参考TNC架构并引入可信计算的概念。
[0006] 网络接入问题,一直是网络安全问题的重点之一。而软件定义网络(SDN)仍属于发 展初期,亦缺乏适合的接入方法。
[0007] 当前普遍采用的IP、MAC和用户身份信息组合对用户进行认证的方法已经无法在 日益复杂的网络接入环境中提供安全的网络接入服务。而常见接入协议均参照当前网络设 计,与SDN实现思路并不相符,不应直接套用于SDN网络中。
【发明内容】
[0008] 本发明要解决的技术问题是,提供一种软件定义网络中安全的接入方法,实现可 信接入架构TNC与SDN网络架构相互结合,以能够有效的为SDN网络提供安全、可信的接入服 务。
[0009] 为解决上述问题,本发明采用如下的技术方案:
[0010] -种软件定义网络中安全的可信接入方法包括以下步骤:
[0011] 步骤S1、根据SDN网络安全接入需求,获取接入设备存储在可信平台配置寄存器中 的可信度量信息PCR值;
[0012] 步骤S2、接入设备向接入服务端发送接入请求,所述请求包含所述可信度量信息 PCR 值;
[0013] 步骤S3、接入服务端器根据所述可信度量信息PCR值和获取的用户信息进行设备 的完整性的量评估与接入判断,若判断结果为允许接入,接入服务端器向OpenFlow控制器 发送接入决策;
[0014]步骤S4、0penFlow控制器根据接入决策生成相应的流表项,并将所述流表项发送 至SDN交换机,所述SDN交换机根据所述流表项的指示对接入的设备的网络接入进行放行。
[0015] 作为优选,在步骤2中,在发起请求的过程中向接入服务端发送本次请求客户端侧 随机数验证码以及自身的设备信息。
[0016] 作为优选,步骤3具体包括以下步骤:
[0017]步骤3.1、接入服务端获取接入设备的请求,验证接入状态并判断是否允许设备接 入,如果允许设备接入,则向接入设备回复并附带本次接入请求服务端侧随机数验证码;
[0018] 步骤3.2、接入设备获取接入服务端的回复,认证服务端发出的随机数是否与之前 指定的随机数相同,若相同,则将本机的PCR值、服务端侧随机数发送至接入服务端;
[0019] 步骤3.3、接入服务端获取接入设备发送的PCR值、服务端侧随机数,验证接入设备 发出的服务端随机数是否与之前发送的相同。若相同,则开始查询所述接入设备是否满足 快速接入的条件;
[0020] 步骤3.4、若满足快速接入的条件,将接入判断结果和客户端侧随机数验证码发送 给接入设备,若不满足快速接入条件则进行继续流程,并向接入设备发送进入用户认证阶 段的请求并包含客户端侧随机数验证码;
[0021] 步骤3.5、接入设备根据接入服务端的回复,验证所述客户端随机数是否与之前发 送的相同,若相同,则开始处理服务器的判断结果,当判断结果为可信时,向接入服务端发 送用户认证身份信息;
[0022]步骤3.6、接入服务端对所述用户信息进行验证,若验证结果为允许接入,则将客 户端的接入状态、IP地址、MAC地址,PCR值和登陆的用户名记录到最近连接的设备列表中, 同时接入服务端向OpenFl ow控制器发出接入决策,放开对该接入设备对于网络的访问权 限。
[0023]作为优选,所述快速接入条件为:IP和MAC地址位于最近接入设备列表内,且本次 接入时设备提供的可信PCR值与上次相同。
[0024] 作为优选,若不符合快速接入条件,则对用户的可信状况进行判断,所述可信判断 结果分为:完全可信、部分可信和不可信。
[0025] 作为优选,在步骤3.5中,当判断结果为不可信时,中断登录流程,客户机无法接入 网络;当判断结果为可信时,要求接入设备提供用户认证信息。
[0026]作为优选,还包括:网络启用初期,接入服务端向OpenFlow控制器发出指令,所述 指令用于阻止未认证的设备进行网络通信;同时OpenFlow控制器收到所述指令后,根据交 换机提交的网络流量信息下达相应的流表项,以完成对于非认证设备的限制。
[0027]作为优选,所述接入设备为实体设备或云虚拟机。
[0028]本发明技术方案将可信接入技术引入SDN网络中的安全接入方法中,通过结合可 信计算的有关技术,可以有效阻止不安全地设备对网络的接入行为;同时本发明还包含针 对SDN网络的灵活独创性提出了快速接入认证方式和通过可信值对同用户分级访问方式, 可以有效填补SDN网络接入认证中存在的不足,以增强SDN网络的安全性。
【附图说明】
[0029] 图1为本发明的接入方法以TNC架构为视角的结构示意图;
[0030] 图2为本发明的接入方法以软件定义网络架构为视角的结构示意图;
[0031 ]图3为本发明接入方法的数据传递流程示意图;
[0032]图4为快速接入流程判断及流程示意图;
[0033]图5为用户权限判断流程示意图。
【具体实施方式】
[0034] 以下结合具体实施例,并参照附图,对本发明进一步详细说明。
[0035] 本发明实施例提供一种软件定义网络中安全的可信接入方法,依据可信接入标准 TNC的可信接入架构,结合上OpenFlow架构将控制层集中于控制器,交换机专注转发的特 点,提出了安全接入方法所需架构,以TNC架构视角而言,安全接入架构如图1所示,以SDN网 络结构视角而言,安全接入架构如图2所示。
[0036] 所述架构参考TNC可信接入模型的结构,将网络接入时所涉及的所有设备归类为 访问请求者,策略执行点与策略管理&访问控制下发点。
[0037]接入设备:访问请求者
[0038]其上运行的客户端将主要负责提供网络接入认证服务。同时,为了实现可信接入 功能,其可以获得其他度量应用收集的接入设备的完整性度量值,亦可使用空闲PCR对于网 络接入有关的程序进行度量。在获取有关结果后,将度量值传递给服务器进行可信状况的 验证。
[0039] 其中,接入设备与交换机有数据层连接。
[0040] OpenFlow(SDN)交换机:策略执行点
[0041 ]结合OpenFlow交换机专注于根据流表对数据转发的特征,将交换机设定为策略执 行点,执行来自控制层、应用层的决策。在用户接入之初,OpenFlow交换机会帮助用户将其 可信评估数据和身份认证数据传达给控制器。当OpenFlow控制器下达决策后,其会根据流 表项转发接入设备的正常通信数据并对通信行为做出限制。
[0042]其中,OpenFlow交换机与OpenFlow控制器拥有管理层数据连接,与接入服务端有 数据层连接。
[0043] OpenFlow控制器:管理网络连接和对用户接入请求进行处理的控制中心 [0044]网络管理部分由OpenFlow控制器进行。对客户可信状态的判断和接入认证则由 SDN应用层的应用(接入服务端)调用OpenFlow控制器的API实现。当接入服务端完成对用户 请求的判断后,其会将结果通过API告知OpenFlow控制器,OpenFlow控制器会通过其特有的 安全信道将对应流表项下发至OpenFlow交换机,完成对用户的管控。
[0045] 其中,接入服务端与交换机有数据层连接。
[0046] 如图3所示,本发明实施例提供一种软件定义网络中安全的可信接入方法,具体包 括以下步骤:
[0047]网络启用初期,接入服务端向OpenFlow控制器(以下统称为"控制器")发出指令: 除白名单设备外,阻止除认证之外的网络通信。控制器收到指令后,会结合OpenFlow交换机 (以下统称为"交换机")提交的网络流量信息下达相应的流表项,以完成对于非认证设备的 限制。
[0048]步骤1、根据获取接入设备(实体设备或云虚拟机)接入SDN网络的需求,启用客户 端,同时所述客户端获取存储在可信平台配置寄存器中的可信度量信息PCR值。
[0049 ]步骤2、接入设备(请求发起方)向接入服务端发起接入请求。在发起请求的过程中 向接入服务端指明本次请求客户端侧随机数验证码。同时,携带自身的设备信息(IP地址与 MAC地址)以便接入服务端对设备进行对应。为了保证数据不被窃听,信息同时包含接入服 务端回复时所需要使用的加密秘钥,且上述所有信息采用接入服务端事先公开的公钥加 密。该过程中包含的数据传输可描述为式
[0050] 步骤3、接入服务端(请求接收方)收到接入设备的请求后,验证用户的接入状态 (例如是否已经接入)并判断是否允许设备接入。如果允许设备接入,则向接入设备回复本 次接入请求服务端侧随机数验证码。出于安全因素考量,接入服务端回复时需携带客户端 侧随机数验证码。以上信息将采用步骤1中认证客户端指定的秘钥进行加密。该过程中包含 的数据传输可描述为式:。
[0051] 步骤4、当接入设备接收到接入服务端的回复后,首先会认证接入服务端返回的随 机数是否与之前指定的随机数相同。若不同,终止登陆;若相同则进入可信信息的传输和验 证阶段。接入设备会调用存储在可信平台配置寄存器中的可信度量PCR值,并打包发送至接 入服务端。在发送数据的同时,会携带接入服务端的接入服务端侧随机数以验证连接状态。 上述信息由接入服务端公开的加密秘钥进行加密。该过程中包含的数据传输可描述为式 {Nonces\\U-PCR}S·。.
[0052] 步骤5、接入服务端接收到接入设备发出的数据后。首先验证信息中包含的服务器 端随机数是否与之前发送的相同,如果不同则中断连接。如果相同,则开始查询这台接入设 备是否满足快速接入的条件,得到判断结果,所述判断结果分为:完全可信、部分可信(统称 为可信)、不可信和符合快速接入条件状态。
[0053]其中,结合SDN网络使用特征和可信计算技术的支撑,提出"快速接入流程"概念。 快速接入流程为最近离线的设备提供简易的接入方案,减少接入所需时间,增强用户的网 络使用体验。
[0054]快速接入流程指的是满足快速接入条件的设备完成平台可信认证后直接接入网 络,不再需要进行用户认证阶段;快速接入条件指:IP和MAC地址位于最近接入设备列表内, 且本次接入时设备提供的可信PCR值与上次相同;快速接入流程的判定如图4所示。
[0055] 若符合快速接入条件,接入服务端则回复客户端接入结果,并向控制器下发对应 规则以解除对于该接入设备的网络接入限制。
[0056] 如果用户不符合快速接入条件,则对用户的可信状况进行判断。
[0057] 可信判断结果分为:完全可信,部分可信和不可信,共3种。其中完全可信和部分可 信统称为"可信"。
[0058] 不可信:是关键参数不符合记录。
[0059] 部分可信:关键参数符合记录,非关键参数不符合记录。
[0060] 完全可信:关键参数和非关键参数均符合记录。
[0061] 步骤6、在接入服务端判断完成后,会将判断的结果反馈给接入设备。与此同时,会 附加上客户端最初规定的随机数以验证本次接入。以上内容将采用客户端规定的秘钥进行 加密。该过程中包含的数据传输可描述为式11。
[0062] 步骤7、接入设备接收到接入服务端的回复后,首先对接入服务端发送的随机数状 况进行判定。如果随机数不同,则中断接入。当随机数相同时,则开始处理服务器的判断结 果。
[0063] 当发现判断结果为可信(包含完全可信和部分可信)时,将可信认证结果提示用 户,并要求用户进入用户认证阶段。当发现判断结果为不可信时,中断登录流程,客户机无 法接入网络。当发现判断结果为符合快速接入条件时,向用户提醒有关信息并提示网络已 经接通。
[0064] 步骤8、进入用户认证阶段后,客户端提示接入设备的使用者对其拥有的用户信息 (即用户名和密码)进行身份认证。当用户完成对认证信息的输入后,将其发送至接入服务 端。为了进行验证,同时向接入服务端发送其规定的随机数。以上内容均采用接入服务端事 先公布的公钥进行加密。该过程中包含的数据传输可描述为式
[0065] 步骤9、接入服务端对接入设备提出的用户名密码进行验证,并给出最终的判断结 果。如果结果为允许接入,则将客户端的接入状态,IP地址,MAC地址,PCR值和登陆的用户名 记录到最近连接的设备列表中,与此同时,规定该条表项的过期时间。同时,接入服务端向 控制器发出指令,根据用户权限放开对该接入设备对于网络的访问权限。
[0066] 接入设备的平台可信值会影响到用户接入网络后的访问权限,不再单纯通过用户 身份认证为用户提供全部的网络权限,而是结合可信状态给予不同的网络访问权限。这样, 可以防止合法用户的不合规设备接入网络后对网络产生影响。
[0067] 对用户权限的判断主要基于可信状态。可信状态分为完全可信和部分可信。完全 可信指所有参数满足可信状况,而部分可信指非关键参数存在不满足可信要求的状况。该 状态由接入服务器进行判定。针对不同可信状态可以访问的网络内容由管理员设定,通常 认为完全可信的设备权限大,部分可信的设备权限小。用户权限判断流程如图5所示。
[0068] 回复的信息包含判断过后的接入结果,与客户端最初规定的随机数。以上内容采 用客户端规定的秘钥进行加密。该过程中包含的数据传输可描述为式{incey ||。
[0069] 步骤10、控制器收到接入决策后结合设备连接情况生成相应的流表项,并将决策 通过OpenFlow通道发送至转发设备(SDN交换机;LSDN交换机则会根据流表项的指示对接入 的设备的网络接入进行放行。
[0070] 至此,网络接入过程描述完毕。
[0071] 本发明通过结合可信计算技术和传统的用户身份认证技术,并将相关技术与SDN 网络特征相互结合后,实现了本发明的安全接入方法。并且对本发明进行了 BAN谓词逻辑验 证以及AVISPA协议分析软件的攻击测试,保证方案的安全和有效,同时进行了实机测验,以 测试方案的可行性和有效性。在测试后发现,本发明能够有效的为SDN网络提供安全接入服 务,即使未经授权的接入者和设备出现问题的合法接入者不能或以低权限接入网络,保护 网络安全。
[0072]以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围 由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各 种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
【主权项】
1. 一种软件定义网络中安全的可信接入方法,其特征在于,包括以下步骤: 步骤S1、根据SDN网络安全接入需求,获取接入设备存储在可信平台配置寄存器中的可 信度量信息PCR值; 步骤S2、接入设备向接入服务端发送接入请求,所述请求包含所述可信度量信息PCR 值; 步骤S3、接入服务端器根据所述可信度量信息PCR值和获取的用户信息进行设备的完 整性的量评估与接入判断,若判断结果为允许接入,接入服务端器向OpenFlow控制器发送 接入决策; 步骤S4、0penFlow控制器根据接入决策生成相应的流表项,并将所述流表项发送至SDN 交换机,所述SDN交换机根据所述流表项的指示对接入的设备的网络接入进行放行。2. 如权利要求1所述软件定义网络中安全的可信接入方法,其特征在于,在步骤2中,在 发起请求的过程中向接入服务端发送本次请求客户端侧随机数验证码以及自身的设备信 息。3. 如权利要求1所述软件定义网络中安全的可信接入方法,其特征在于,步骤3具体包 括以下步骤: 步骤3.1、接入服务端获取接入设备的请求,验证接入状态并判断是否允许设备接入, 如果允许设备接入,则向接入设备回复并附带本次接入请求服务端侧随机数验证码; 步骤3.2、接入设备获取接入服务端的回复,认证服务端发出的随机数是否与之前指定 的随机数相同,若相同,则将本机的PCR值、服务端侧随机数发送至接入服务端; 步骤3.3、接入服务端获取接入设备发送的PCR值、服务端侧随机数,验证接入设备发出 的服务端随机数是否与之前发送的相同。若相同,则开始查询所述接入设备是否满足快速 接入的条件; 步骤3.4、若满足快速接入的条件,将接入判断结果和客户端侧随机数验证码发送给接 入设备,若不满足快速接入条件则进行继续流程,并向接入设备发送进入用户认证阶段的 请求并包含客户端侧随机数验证码; 步骤3.5、接入设备根据接入服务端的回复,验证所述客户端随机数是否与之前发送的 相同,若相同,则开始处理服务器的判断结果,当判断结果为可信时,向接入服务端发送用 户认证身份信息; 步骤3.6、接入服务端对所述用户信息进行验证,若验证结果为允许接入,则将客户端 的接入状态、IP地址、MAC地址,PCR值和登陆的用户名记录到最近连接的设备列表中,同时 接入服务端向OpenFlow控制器发出接入决策,放开对该接入设备对于网络的访问权限。4. 如权利要求3所述软件定义网络中安全的可信接入方法,其特征在于,所述快速接入 条件为:IP和MAC地址位于最近接入设备列表内,且本次接入时设备提供的可信PCR值与上 次相同。5. 如权利要求3所述软件定义网络中安全的可信接入方法,其特征在于,若不符合快速 接入条件,则对用户的可信状况进行判断,所述可信判断结果分为:完全可信、部分可信和 不可信。6. 如权利要求3所述软件定义网络中安全的可信接入方法,其特征在于,在步骤3.5中, 当判断结果为不可信时,中断登录流程,客户机无法接入网络;当判断结果为可信时,要求 接入设备提供用户认证信息。7. 如权利要求1所述的软件定义网络中安全的可信接入方法,其特征在于,还包括:网 络启用初期,接入服务端向OpenFlow控制器发出指令,所述指令用于阻止未认证的设备进 行网络通信;同时OpenFlow控制器收到所述指令后,根据交换机提交的网络流量信息下达 相应的流表项,以完成对于非认证设备的限制。8. 如权利要求1所述的软件定义网络中安全的可信接入方法,其特征在于,所述接入设 备为实体设备或云虚拟机。
【文档编号】H04L29/08GK105933245SQ201610465444
【公开日】2016年9月7日
【申请日】2016年6月23日
【发明人】刘静, 刁子朋, 庄俊玺, 赖英旭
【申请人】北京工业大学