一种SDN多域移动网络环境下主机身份鉴别信息的高效移交机制制造技术

本发明专利技术提出一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，网络中有多个SDN管理域和全局唯一的认证服务器，认证服务器负责全网通信实体的身份信息分配和认证管理，每个SDN管理域均在认证服务器中进行注册；每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控；各SDN管理域之间相互独立，不同SDN管理域之间通过其域控制器进行信息交互；移动主机在接入网络前先向认证服务器提供真实身份信息进行注册，移动主机在不同的SDN管理域间移动时，通过域控制器间的信息交互实现移动主机的跨域接入。本发明专利技术支持在主机移动情况下快速高效地进行身份鉴别，降低鉴别移交对实体通信效率的影响，在保证安全性的前提下提升系统的通信效率。

An Efficient Handover Mechanism of Host Identity Information in SDN Multi-Domain Mobile Network Environment

The invention provides an efficient handover method of host identity authentication information in SDN multi-domain mobile network environment. There are multiple SDN management domains and global unique authentication servers in the network. The authentication server is responsible for the identity information distribution and authentication management of the whole network communication entity, and each SDN management domain is registered in the authentication server. Each SDN management domain manages the intra-domain network through a logically unique domain controller and several OpenFlow switches; each SDN management domain is independent of each other, and different SDN management domains interact with each other through their domain controllers; mobile hosts provide authentic identity information to the authentication server before accessing the network. Row registration, when the mobile host moves between different SDN management domains, it achieves cross-domain access of the mobile host through information exchange between domain controllers. The invention supports rapid and efficient identification under the condition of mobile host, reduces the impact of authentication handover on the efficiency of entity communication, and improves the communication efficiency of the system on the premise of ensuring security.

【技术实现步骤摘要】
一种SDN多域移动网络环境下主机身份鉴别信息的高效移交机制
本专利技术属于网络数据通信
，具体涉及一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法。
技术介绍
任何网络安全入侵行为都可以非形式化地描述为多个步骤，主动的安全防护应该在每个环节阻断安全威胁的继续发展。用户身份鉴别以及接入控制作为实体访问网络资源第一步，其作用尤为明显。然而，传统TCP/IP设计缺少鉴别与接入控制功能。现有的鉴别机制主要是基于各类密码体制所实现的端到端鉴别机制，通过对应用层数据签名的方式保证应用层数据的可信性。但是，端到端鉴别机制无法保证网络传输层以下信息的安全，核心网络基于目的地址转发的功能，要求不能对IP头部信息进行加密操作，攻击者依然可以轻松地利用虚假IP地址进行通信。通过将IP地址与可信信息，例如主机地址、交换机端口、实体公钥证书等信息进行绑定能够从主机级别实现身份的鉴别，但是这种鉴别的粒度依然十分粗糙，不能够阻止拥有合法身份的主机发送有害流量。因此，建立更加细粒度的鉴别机制对于提升网络的安全性至关重要。软件定义网络将数据平面与控制平面相分离，通过集中式的控制器进行统一的决策，为提升网络的管控能力提供了一种可行性。目前，由于网络技术条件和网络规模的限制，每个控制器只能控制一个区域的网络设备，导致网络形成划域而治的结果，进而使得传统的单域鉴别无法保证全网安全通信，这就要求除了保证域内的鉴别，还需要设计跨域的鉴别机制，尤其对于移动通信这种频繁在多个域间进行移动的情况。多域控制器协作技术及无缝移动技术是进行安全高效多域移动鉴别移交的技术基础。在实际网络环境中，由于受到接入点设备(AccessPoint,AP)无线信号覆盖范围的限制以及当前网络划域而治的特点，终端有可能在通信过程中移动跨越多个管理域，因此会遇到鉴别移交(HandoverAuthentication,HA)的问题。HA机制是移动切换的重要组成部分，如何设计多域移动环境下安全高效的鉴别移交机制是目前移动网络通信的研究难点。SDN作为一种新型网络体系结构，其转发-控制平面分离、中心可编程控制的架构为解决移动网络环境下的切换问题提供了一种新的思路。目前SDN移动鉴别管理问题的研究，都基于一个前提假设，即网络只存在一个能够获取全局网络视图、资源和设备信息，并且能够独立计算路由路径的控制器。文献一(KuklińskiS,LiYH,DinhKT.HandoverManagementinSDN-basedMobileNetworks[C].InProc.Ofthe6thInternationalWorkshoponManagementofEngineeringNetworksandService,Austin,TX,2014:194-200.)以及文献二(AvulaM,LeeSG,YooSM.SecurityFrameworkforHybridWirelessMeshProtocolinWirelessMeshNetworks[J].KSIITransactionsonInternetandInformationSystem,2014,8(6):1982-2004.)分别研究了在单个SDN域移动环境下的鉴别机制，并且取得了非常理想的结果。文献三(DuanXY,WangXB.AuthenticationHandoverandPrivacyProtectionin5GHetNetsUsingSoftware-DefinedNetworking[J].IEEECommunicationsMagazine,2015,53(4):28-35.)提出一种利用SDN技术改造移动网络、进而将其控制逻辑由底层基础设施迁移至控制平面的方式，可以在中心化的控制器上编写软件来为整个5G网络提供一致且有效的管理。基于此，该文构建了一种基于SDN的5G网络鉴别移交体系结构。然而，尽管该方案为解决未来5G网络的移动鉴别问题提供了一种理想的解决方案，但是这种全局仅存在一个控制器的方案是不现实的，在大规模网络部署中必然要求采用分布式的控制平面，且在分布式控制平面间传递仍然存在信息泄露的危险。文献四(DuanXY,WangXB.AuthenticationHandoverandPrivacyProtectionin5GHetNetsUsingSoftware-DefinedNetworking[J].IEEECommunicationsMagazine,2015,53(4):28-35.)提出了一种基于SDN的无线网络管理架构Odin。Odin提出了LVAP(LightVirtualAccessPoint)的概念，通过将现有AP修改为支持可编程控制功能的AP，在无需对主机操作系统和应用程序进行任何修改的情况下，提供了一种可编程控制的无线局域网管理体系结构，为解决当前无线网络中的移动、认证、服务质量等问题提供了良好的平台。但是由于受限于单个SDN控制器性能以及当前无线网络管理的现状，未来SDN无线网络必然采取多SDN域的部署框架。很显然，当前单SDN移动管理域假设下所设计机制需要进一步扩展才能够在SDN多域移动环境下进行应用，而目前对于多SDN域环境下的鉴别切换服务目前仍然缺少有效的机制。
技术实现思路
本专利技术的目的：针对当前移动环境下移动实体身份鉴别切换面临的安全性和性能之间的矛盾，提出一种在SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，保证鉴别信息移交的安全环境，支持在主机移动情况下快速高效地进行身份鉴别，降低鉴别移交对实体通信效率的影响，在保证安全性的前提下提升系统的通信效率。为了解决上述技术问题，本专利技术提供一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，网络中有多个SDN管理域和全局唯一的认证服务器，认证服务器负责全网通信实体的身份信息分配和认证管理，每个SDN管理域均在认证服务器中进行注册；每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控；各SDN管理域之间相互独立，不同SDN管理域之间通过其域控制器进行信息交互；移动主机在接入网络前先向认证服务器提供真实身份信息进行注册，移动主机在不同的SDN管理域间移动时，通过域控制器间的信息交互实现移动主机的跨域接入。具体来说，当SDN管理域内的域控制器或移动主机接入移动网络时，首先向认证服务器提交自身的身份信息进行注册，由认证服务器为其生成并下发全局唯一身份标识符以及用于身份鉴别的公/私钥证书；认证服务器还为移动主机当前所属域控制器提供当前网络位置下所可能具备的邻域控制器的身份标识符/公钥证书；当前域控制器收到认证服务器下发的鉴别信息后，与邻域控制器基于公钥密码体制的鉴别协议进行相互鉴别，识别出可信邻域控制器；当移动主机需要入网通信时，首先与当前归属的SDN管理域内的无线接入点设备进行关联，然后与归属域控制器进行鉴别；在关联时，归属域控制器为移动主机创建全局唯一的标识；关联完毕后，移动主机采用基于公钥密码体制的鉴别协议与归属域控制器相互鉴别；若通过鉴别，则由归属域控制器为移动主机分配归属域的IP地址，进行移动主机身份、地址、实体标识符以及全局唯一的标识的绑定，完成入网配置工作本文档来自技高网...

【技术保护点】
1.一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，其特征在于：网络中有多个SDN管理域和全局唯一的认证服务器，认证服务器负责全网通信实体的身份信息分配和认证管理，每个SDN管理域均在认证服务器中进行注册；每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控；各SDN管理域之间相互独立，不同SDN管理域之间通过其域控制器进行信息交互；移动主机在接入网络前先向认证服务器提供真实身份信息进行注册，移动主机在不同的SDN管理域间移动时，通过域控制器间的信息交互实现移动主机的跨域接入。

【技术特征摘要】
1.一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，其特征在于：网络中有多个SDN管理域和全局唯一的认证服务器，认证服务器负责全网通信实体的身份信息分配和认证管理，每个SDN管理域均在认证服务器中进行注册；每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控；各SDN管理域之间相互独立，不同SDN管理域之间通过其域控制器进行信息交互；移动主机在接入网络前先向认证服务器提供真实身份信息进行注册，移动主机在不同的SDN管理域间移动时，通过域控制器间的信息交互实现移动主机的跨域接入。2.如权利啊要求1所述SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，其特征在于：当SDN管理域内的域控制器或移动主机接入移动网络时，首先向认证服务器提交自身的身份信息进行注册，由认证服务器为其生成并下发全局唯一身份标识符以及用于身份鉴别的公/私钥证书；认证服务器还为移动主机当前所属域控制器提供当前网络位置下所可能具备的邻域控制器的身份标识符/公钥证书；当前域控制器收到认证服务器下发的鉴别信息后，与邻域控制器基于公钥密码体制的鉴别协议进行相互鉴别，识别出可信邻域控制器；当移动主机需要入网通信时，首先与当前归属的SDN管理域内的无线接入点设备进行关联，然后与归属域控制器进行鉴别；在关联时，归属域控制器为移动主机创建全局唯一的标识...

【专利技术属性】
技术研发人员：邢长友，王秀磊，李东阳，戴宁赟，张国敏，胡超，
申请(专利权)人：中国人民解放军理工大学，
类型：发明
国别省市：江苏,32