The invention provides an efficient handover method of host identity authentication information in SDN multi-domain mobile network environment. There are multiple SDN management domains and global unique authentication servers in the network. The authentication server is responsible for the identity information distribution and authentication management of the whole network communication entity, and each SDN management domain is registered in the authentication server. Each SDN management domain manages the intra-domain network through a logically unique domain controller and several OpenFlow switches; each SDN management domain is independent of each other, and different SDN management domains interact with each other through their domain controllers; mobile hosts provide authentic identity information to the authentication server before accessing the network. Row registration, when the mobile host moves between different SDN management domains, it achieves cross-domain access of the mobile host through information exchange between domain controllers. The invention supports rapid and efficient identification under the condition of mobile host, reduces the impact of authentication handover on the efficiency of entity communication, and improves the communication efficiency of the system on the premise of ensuring security.
【技术实现步骤摘要】
一种SDN多域移动网络环境下主机身份鉴别信息的高效移交机制
本专利技术属于网络数据通信
,具体涉及一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法。
技术介绍
任何网络安全入侵行为都可以非形式化地描述为多个步骤,主动的安全防护应该在每个环节阻断安全威胁的继续发展。用户身份鉴别以及接入控制作为实体访问网络资源第一步,其作用尤为明显。然而,传统TCP/IP设计缺少鉴别与接入控制功能。现有的鉴别机制主要是基于各类密码体制所实现的端到端鉴别机制,通过对应用层数据签名的方式保证应用层数据的可信性。但是,端到端鉴别机制无法保证网络传输层以下信息的安全,核心网络基于目的地址转发的功能,要求不能对IP头部信息进行加密操作,攻击者依然可以轻松地利用虚假IP地址进行通信。通过将IP地址与可信信息,例如主机地址、交换机端口、实体公钥证书等信息进行绑定能够从主机级别实现身份的鉴别,但是这种鉴别的粒度依然十分粗糙,不能够阻止拥有合法身份的主机发送有害流量。因此,建立更加细粒度的鉴别机制对于提升网络的安全性至关重要。软件定义网络将数据平面与控制平面相分离,通过集中式的控制器进行统一的决策,为提升网络的管控能力提供了一种可行性。目前,由于网络技术条件和网络规模的限制,每个控制器只能控制一个区域的网络设备,导致网络形成划域而治的结果,进而使得传统的单域鉴别无法保证全网安全通信,这就要求除了保证域内的鉴别,还需要设计跨域的鉴别机制,尤其对于移动通信这种频繁在多个域间进行移动的情况。多域控制器协作技术及无缝移动技术是进行安全高效多域移动鉴别移交的技术基础。在实际网络环境中,由 ...
【技术保护点】
1.一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法,其特征在于:网络中有多个SDN管理域和全局唯一的认证服务器,认证服务器负责全网通信实体的身份信息分配和认证管理,每个SDN管理域均在认证服务器中进行注册;每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控;各SDN管理域之间相互独立,不同SDN管理域之间通过其域控制器进行信息交互;移动主机在接入网络前先向认证服务器提供真实身份信息进行注册,移动主机在不同的SDN管理域间移动时,通过域控制器间的信息交互实现移动主机的跨域接入。
【技术特征摘要】
1.一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法,其特征在于:网络中有多个SDN管理域和全局唯一的认证服务器,认证服务器负责全网通信实体的身份信息分配和认证管理,每个SDN管理域均在认证服务器中进行注册;每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控;各SDN管理域之间相互独立,不同SDN管理域之间通过其域控制器进行信息交互;移动主机在接入网络前先向认证服务器提供真实身份信息进行注册,移动主机在不同的SDN管理域间移动时,通过域控制器间的信息交互实现移动主机的跨域接入。2.如权利啊要求1所述SDN多域移动网络环境下主机身份鉴别信息的高效移交方法,其特征在于:当SDN管理域内的域控制器或移动主机接入移动网络时,首先向认证服务器提交自身的身份信息进行注册,由认证服务器为其生成并下发全局唯一身份标识符以及用于身份鉴别的公/私钥证书;认证服务器还为移动主机当前所属域控制器提供当前网络位置下所可能具备的邻域控制器的身份标识符/公钥证书;当前域控制器收到认证服务器下发的鉴别信息后,与邻域控制器基于公钥密码体制的鉴别协议进行相互鉴别,识别出可信邻域控制器;当移动主机需要入网通信时,首先与当前归属的SDN管理域内的无线接入点设备进行关联,然后与归属域控制器进行鉴别;在关联时,归属域控制器为移动主机创建全局唯一的标识...
【专利技术属性】
技术研发人员:邢长友,王秀磊,李东阳,戴宁赟,张国敏,胡超,
申请(专利权)人:中国人民解放军理工大学,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。