【技术实现步骤摘要】
【国外来华专利技术】用于SDN群集化中基于信任的认证的方法和设备
本专利技术一般涉及软件定义的联网(SDN),并且具体涉及SDN网络中的认证和信任管理。
技术介绍
软件定义的联网(SDN)在网络安全的领域中正提出新的挑战并且正打开新的观点。群集化(clustering)是SDN网络中的基础性概念:每个SDN群集供应特定服务并且节点在它们的生存期(lifetime)期间很可能多次加入和离开群集。此灵活性是弹性(elasticity)的保证,但在另一方面,对在它们的生存期期间加入和离开许多群集的装置的访问控制和认证方面造成巨大挑战。因此在此场景中主要挑战之一是分布式网络中的认证。OpenDaylight将群集管理委托给超级节点或者种子节点(SeedNode,SN)和主节点(PN)。SN在内部维护SN知道的节点的列表并且它是被选取的节点,其任务是将新节点引入(introduce)到群集。典型地,群集中存在多于一个种子节点。如果使得一个或更多恶意节点成为群集的一部分,它们能够注入假信息到该群集中,这可导致使该群集应该提供的服务中断,最终以很多种的内部攻击而结束。如果恶意节点成为主节点或种子节点,则甚至能够进行更多损害。
技术实现思路
相应地,本专利技术寻求优选减轻、缓和或消除以上提到的一个或更多缺点(单独地或以任何组合)。根据本专利技术的第一方面,提供了一种管理SDN网络中节点的群集中第一节点的方法。所述方法包括以下步骤:从所述第一节点接收加入所述节点的群集的请求并且从所述第一节点接收认证所述第一节点的参考(reference)的列表。所述方法进一步包括验证所述参考并且如果所述参考的列表 ...
【技术保护点】
1.一种管理SDN网络中节点的群集中第一节点的方法,所述方法包括以下步骤:‑从所述第一节点接收加入所述节点的群集的请求,‑从所述第一节点接收认证所述第一节点的参考的列表;‑验证所述参考;‑如果所述参考的列表中提供的参考通过了所述验证,则允许所述第一节点加入所述节点的群集;‑基于验证的参考的数量来计算所述第一节点的信任级别;其中所述节点的群集中所述第一节点的角色取决于所述第一节点的所述信任级别。
【技术特征摘要】
【国外来华专利技术】2015.12.19 EP PCT/EP2015/0806971.一种管理SDN网络中节点的群集中第一节点的方法,所述方法包括以下步骤:-从所述第一节点接收加入所述节点的群集的请求,-从所述第一节点接收认证所述第一节点的参考的列表;-验证所述参考;-如果所述参考的列表中提供的参考通过了所述验证,则允许所述第一节点加入所述节点的群集;-基于验证的参考的数量来计算所述第一节点的信任级别;其中所述节点的群集中所述第一节点的角色取决于所述第一节点的所述信任级别。2.根据权利要求1所述的方法,其中如果所述第一节点的所述信任级别在或高于第一阈值,则所述第一节点有权投票以便为所述节点的群集中的角色来选举所述节点的群集中的其它节点。3.根据权利要求2所述的方法,其中如果所述第一节点的所述信任级别在或高于第二阈值,则所述第一节点有权被选举为所述节点的群集中的角色,其中所述第二阈值高于所述第一阈值。4.根据在前权利要求的任一项所述的方法,其中如果所述第一节点被选举为所述节点的群集中的角色并且后来所述第一节点的所述信任级别被降低级别,则所述方法包括:-将所述第一节点从所述节点的群集中的所述角色降级;-为所述角色开始新选举过程。5.根据在前权利要求的任一项所述的方法,其中在投票以便为所述节点的群集中的角色而选举节点的过程中,所述第一节点通过将参考给予第二节点来为所述第二节点投票。6.根据权利要求3-5的任一项所述的方法,其中如果所述第一节点具有在或高于所述第二阈值的所述信任级别,则所述第一节点被允许设置选举超时。7.根据在前权利要求的任一项所述的方法,另外包括:-从所述第一节点接收另外的参考;-验证所述另外的参考;-基于验证的参考的数量来重新计算所述信任级别。8.根据在前权利要求的任一项所述的方法,其中所述参考的列表包含所述第一节点是或曾是其成员的节点的群集中进行操作的节点的标识。9.根据在前权利要求的任一项所述的方法,其中所述参考包括在所述SDN网络中部署所述第一节点的网络运营商的标识。10.根据在前权利要求的任一项所述的方法,其中对于所述节点的群集的所述第一节点的所述信任级别基于验证的参考的数量和所述节点的群集的大小而被计算或重新计算。11.根据在前权利要求的任一项所述的方法,其中如果参考列表中的所有参考已经被验证,则所述第一节点被允许加入所述节点的群集。12.根据权利要求1-10的任一项所述的方法,其中如果所述参考的列表中至少一个参考已经被验证,则所述第一节点被允许加入所述节点的群集。13.根据在前权利要求的任一项所述的方法,其中参考的所述验证包括将对所述第一节点所提供的参考进行了签名的节点的数字签名与对所述节点的群集的种子节点的参考进行了签名的节点的数字签名进行比较。14.根据权利要求1-12的任一项所述的方法,其中参考的所述验证包括询问证书权力机构的数据库并且将对所述第一节点所提供的参考进行了签名的节点的数字签名与所述证书权力机构的所述数据库中所存储的节点的数字签名进行比较。15.根据在前权利要求的任一项所述的方法,其中在允许所述第一节点加入所述节点的群集之后,所述节点的群集的种子节点将参考给予所述第一节点。16.根据在前权利要求的任一项所述的方法,其中参考是包括所述第一节点的标识符和所述第一节点的公共密钥的数字文档,其中所述数字文档由给出所述参考的实体来数字地签名。17.根据在前权利要求的任一项所述的方法,其中所述请求包括认证所述第一节点的参考的列表。18.一种适合于在SDN网络中节点的群集中进行操作的SDN控制器,所述SDN控制器包括处理器和存储器,所述存储器含有由所述处理器可执行的指令,由此所述SDN控制器可操作以:-从第一节点接收加入所述节点的群集的请求;-从所述第一节点接收认证所述第一节点的参考的列表;-验证所述参考;-如果所述参考的列表中所提供的参考通过了所述验证,...
【专利技术属性】
技术研发人员:R戴多内,S奥尔西,R马格里,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典,SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。