一种基于智能卡的软件定义网络中网络设备认证方法技术

本发明专利技术公开了一种基于智能卡的软件定义网络中网络设备认证方法，主要包括：模块初始化；模块认证；设备更换。本发明专利技术在软件定义网络架构下，不需要公钥基础设备，只需要网络中配置一个可信认证机构，减少了公钥基础设施的投入，提高了系统的设置效率；将SDN中网络设备的身份同网络设备的使用地点、具体操作人和使用环境绑定，并存储于智能卡中，提高了网络设备升级或更换的效率；SDN网络设备认证同时需要读取智能卡和输入网络设备使用密码，能够有效防止智能卡被盗用带来的安全风险，提高了SDN中网络设备的认证安全性；本发明专利技术尽量采用杂凑函数作为密码学组件实施构造，可以有效提高SDN中网络设备认证的效率。

【技术实现步骤摘要】

本专利技术提出一种基于智能卡的软件定义网络中网络设备认证方法，属于通讯领域。
技术介绍
随着互联网技术的快速发展，软件定义网络(Software Defined Networking，SDN)由于其通过使用控制器将网络控制平面与数据平面分离开来，提高了网络安全、可管理和控制的能力，在很多行业都有良好的应用空间，而目前SDN存在首要的问题就是安全问题。此外，对于SDN中的控制器来说，获得真实数据平面的参数是实施控制和管理的必要操作。因此，对SDN中网络设备实施认证，并且协商会话密钥，从而用密码学的方法建立安全可信的通信路径，既是保证控制器收集网络设备参数的来源真实性，又是保证系统安全通讯的必要工作。SDN中网络设备认证指的是控制器对网络设备实施的认证，发生在网络设备接入SDN中的时候。这种接入有两种典型情况，一是为了扩大网络的规模，SDN中增加一个新的网络设备；二是原有网络设备发生损坏，SDN中用一台新的网络设备替换旧的网络设备。目前，该类认证可以使用传统公钥和私钥的方法实施认证，即利用公钥基础设施完成网络设备和控制器的双向认证，毫无疑问这种认证方法是可行的。但是，由于需要利用公钥基础设施，这种认证方法建设和布置比较困难，认证时需要多次传递各实体的公钥信息。另外，传统网络设备认证和设备实体绑定，设备更新替换需要重新获得新设备的会话密钥，设备更换和升级时间较长。随着SDN的推广和应用，控制器管理网络设备的数量逐渐增多，网r>络设备的认证效率要求也在逐步提高，需要一种消耗系统资源较少的网络设备认证方法。智能卡是一种集成电路卡，广泛地应用于金融、身份证和社会保障等领域，它继承了磁卡以及其它集成电路卡的所有优点，并有极高的安全、保密、防伪能力。因此，本专利技术提出一种基于智能卡的软件定义网络中网络设备认证方法，对SDN应用和推广有十分重要的理论价值和现实意义。
技术实现思路
本专利技术旨在至少解决上述技术问题之一。为此，本专利技术的一个目的在于克服现有技术解决SDN中网络设备认证的不足，提出一种基于智能卡的软件定义网络中网络设备认证方法。本方法中网络设备实体可读取智能卡，由可信认证机构对网络设备的使用地点、具体操作人和使用环境组成的网络设备身份进行配置，并将身份秘密值存储在智能卡中，据此在可信认证机构的帮助下完成网络设备和控制器的双向认证。该方法能够有效解决网络设备认证问题，也可以避免相对复杂的公钥基础设施，同时网络设备更换和升级非常简单。为了实现上述目的，本专利技术的第一方面的实施例公开了一种基于智能卡的软件定义网络中网络设备认证方法，包括以下步骤：A：可信认证机构生成所述可信认证机构与控制器之间的长期密钥，并向控制器发送所述长期密钥；B：第一网络设备将包含所述第一网络设备的身份信息通过智能卡发送给所述可信认证机构；C：所述可信认证机构对所述智能卡中所述第一网络设备的身份信息进行加密，并将加密后的信息通过所述智能卡写回所述第一网络设备中；D：第一网络设备向所述控制器发送包含所述第一网络设备的身份信息和经过可信认证机构加密后的信息的第一数据包；E：所述控制器根据接收到的所述第一数据包和所述长期密钥进行计算，并向所述可信认证机构发送包含所述计算结果的第二数据包；F：所述可信认证机构对所述第二数据包进行解密，并根据所述长期密钥对所述解密后的数据进行验证，若满足验证条件，所述可信认证机构对解密后的数据进行加密，将包含加密后的信息的第三数据包写回所述控制器；G：所述控制器对所述第三数据包的数据进行解密并验证，若满足验证条件，所述控制器对解密后数据进行计算，并将包含所述计算结果的第四数据包发送给所述第一网络设备；以及H：所述第一网络设备对所述第四数据包进行解密并验证，若满足验证条件，则认证成功，否则认证失败。根据本专利技术实施例的一种基于智能卡的软件定义网络中网络设备认证方法，在软件定义网络架构下，不需要公钥基础设备，只需要网络中配置一个可信认证机构，减少了公钥基础设施的投入，提高了系统的设置效率；将SDN中网络设备的身份同网络设备的使用地点、具体操作人和使用环境绑定，并存储于智能卡中，提高了网络设备升级或更换的效率；SDN网络设备认证同时需要读取智能卡和输入网络设备使用密码，能够有效防止智能卡被盗用带来的安全风险，提高了SDN中网络设备的认证安全性；本专利技术尽量采用杂凑函数作为密码学组件实施构造，可以有效提高SDN中网络设备认证的效率。另外，根据本专利技术上述实施例的一种基于智能卡的软件定义网络中网络设备认证方法，还可以具有如下附加的技术特征：进一步地，在步骤A中，所述可信认证机构随机选择两个素数p、q和一个随机值作为主密钥和一个杂凑函数所述可信认证机构公开p，q和H(·)的具体参数，所述可信认证机构选择一个随机值作为可信认证机构和控制器之间的长期密钥，然后所述可信认证机构通过安全方式将长期密钥KCT发送给控制器，其中表示：长期密钥是由位数长度小于q位的二进制数0和1组成的随机字符串，并且不包括全为0的字符串；其中所述的表示：将由二进制数0和1组成的字符串通过杂凑函数H映射到群中。进一步地，在步骤C中，所述可信认证机构收到所述智能卡后，读取所述第一网络设备的身份IDNE，并利用所述IDNE计算所述第一网络设备的加密身份值SIDNE和DIDNE，其中：SIDNE＝EKx(IDNE||IDTA)DIDNE＝H(IDNE)Kxmod p所述可信认证机构将所述SIDNE、DIDNE和杂凑函数H(·)存储在所述智能卡中，其中，SIDNE＝EKx(IDNE||IDTA)表示SIDNE的计算过程，先将网络设备的身份IDNE和可信认证机构的身份IDTA组合起来形成IDNE||IDTA，然后用主密钥加密得出SIDNE；DIDNE＝H(IDNE)Kxmod p表示DIDNE的计算过程，先得出网络设备的身份IDNE的杂凑函数值H(IDNE)，然后求主密钥Kx次幂，并求结果的p模得出DIDNE。进一步地，在步骤C和步骤D之间，还存在以下步骤：CD1：所述第一网络设备接收到所述智能卡后，选择一个随机值作为网络设备使用密码，读取所述智能卡，得到智能卡中的所述SIDNE和所述DIDNE；CD2：网络设备输入网络设备使用密码KNE，利用智能卡中的加密身份值SIDNE、DIDNE和杂凑函数H(·)，计算两个在所述网络设备使用密码保护下的加密身份值，具体为：TIDNE＝SIDNE⊕H(\0\||KNE)RIDNE＝DIDNE⊕H(\1\||KNE)用TIDNE存储本文档来自技高网...

【技术保护点】
一种基于智能卡的软件定义网络中网络设备认证方法，其特征在于，包括以下步骤：A：可信认证机构生成所述可信认证机构与控制器之间的长期密钥，并向控制器发送所述长期密钥；B：第一网络设备将包含所述第一网络设备的身份信息通过智能卡发送给所述可信认证机构；C：所述可信认证机构对所述智能卡中所述第一网络设备的身份信息进行加密，并将加密后的信息通过所述智能卡写回所述第一网络设备中；D：第一网络设备向所述控制器发送包含所述第一网络设备的身份信息和经过可信认证机构加密后的信息的第一数据包；E：所述控制器根据接收到的所述第一数据包和所述长期密钥进行计算，并向所述可信认证机构发送包含所述计算结果的第二数据包；F：所述可信认证机构对所述第二数据包进行解密，并根据所述长期密钥对所述解密后的数据进行验证，若满足验证条件，所述可信认证机构对解密后的数据进行加密，将包含加密后的信息的第三数据包写回所述控制器；G：所述控制器对所述第三数据包的数据进行解密并验证，若满足验证条件，所述控制器对解密后数据进行计算，并将包含所述计算结果的第四数据包发送给所述第一网络设备；以及H：所述第一网络设备对所述第四数据包进行解密并验证，若满足验证条件，则认证成功，否则认证失败。...

【技术特征摘要】
1.一种基于智能卡的软件定义网络中网络设备认证方法，其特征在于，包括以下步骤：
A：可信认证机构生成所述可信认证机构与控制器之间的长期密钥，并向控制器发送所
述长期密钥；
B：第一网络设备将包含所述第一网络设备的身份信息通过智能卡发送给所述可信认证
机构；
C：所述可信认证机构对所述智能卡中所述第一网络设备的身份信息进行加密，并将加
密后的信息通过所述智能卡写回所述第一网络设备中；
D：第一网络设备向所述控制器发送包含所述第一网络设备的身份信息和经过可信认证
机构加密后的信息的第一数据包；
E：所述控制器根据接收到的所述第一数据包和所述长期密钥进行计算，并向所述可信
认证机构发送包含所述计算结果的第二数据包；
F：所述可信认证机构对所述第二数据包进行解密，并根据所述长期密钥对所述解密后
的数据进行验证，若满足验证条件，所述可信认证机构对解密后的数据进行加密，将包含
加密后的信息的第三数据包写回所述控制器；
G：所述控制器对所述第三数据包的数据进行解密并验证，若满足验证条件，所述控制
器对解密后数据进行计算，并将包含所述计算结果的第四数据包发送给所述第一网络设备；
以及
H：所述第一网络设备对所述第四数据包进行解密并验证，若满足验证条件，则认证成
功，否则认证失败。
2.根据权利要求1所述的基于智能卡的软件定义网络中网络设备认证方法，其特征在
于，在步骤A中，所述可信认证机构随机选择两个素数p、q和一个随机值作为主
密钥和一个杂凑函数所述可信认证机构公开p，q和H(·)的具体参数，所
述可信认证机构选择一个随机值作为可信认证机构和控制器之间的长期密钥，然
后所述可信认证机构通过安全方式将长期密钥KCT发送给控制器，其中表示：
长期密钥是由位数长度小于q位的二进制数0和1组成的随机字符串，并且不包括全为0
的字符串；其中所述的表示：将由二进制数0和1组成的字符串通过杂
凑函数H映射到群中。
3.根据权利要求2所述的基于智能卡的软件定义网络中网络设备认证方法，其特征在
于，在步骤C中，所述可信认证机构收到所述智能卡后，读取所述第一网络设备的身份IDNE，
并利用所述IDNE计算所述第一网络设备的加密身份值SIDNE和DIDNE，其中：
SIDNE＝EKx(IDNE||IDTA)
DIDNE＝H(IDNE)Kx mod p
所述可信认证机构将所述SIDNE、DIDNE和杂凑函数H(·)存储在所述智能卡中，
其中，SIDNE＝EKx(IDNE||IDTA)表示SIDNE的计算过程，先将网络...

【专利技术属性】
技术研发人员：刘建伟，毛可飞，陈杰，王蒙蒙，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：北京;11