【技术实现步骤摘要】
基于动态密钥SDN控制器与AdHoc节点安全通道自配置方法
本专利技术涉及计算机网络管理
,更具体地,涉及一种基于动态密钥SDN控制器与AdHoc节点安全通道自配置方法。
技术介绍
以无人机自组网、车载自组网、传感器网络等新型网络为代表的自组网(即AdHoc网络,也称为“自组织网络”),解决了无固定通信基础设施时数据传输的需求,已经被越来越多地应用到交通管理、工业/农业/环境监测、智能家居等领域。然而,AdHoc网络节点具有高度机动性,导致网络拓扑、性能等因素动态变化且不可预测,难以保证网络服务的一致性和稳定性。为此,研究界和业界偏向采用软件定义网络(SoftwareDefinedNetwork,简称SDN)构建新型AdHoc网络,从而有效利用SDN的集中控制和可编程特性,满足自组网对网络快速部署、服务质量自动维护的需求。软件定义网络(SoftwareDefinedNetwork,简称SDN)是由美国斯坦福大学CleanSlate研究组提出的一种新型网络创新架构,通过控制与转发分离提供了集中式管控能够实时发现网络状态的变化,并按照预置模块或算法自动调整网络策略以维持网络服务的一致性和稳定性。虽然基于SDN的AdHoc网络可以解决传统AdHoc网络服务质量差、不稳定的问题,然而,在实际应用中,SDN架构也为AdHoc网络带来了新的安全威胁。SDN的控制与转发分离在控制层与数据层引入了新的威胁层面,即安全通道(SecureChannel)。安全通道一般通过OpenFlow或其他厂商定义的南向通信协议实现控制 ...
【技术保护点】
1.一种基于动态密钥软件定义网络(SDN)控制器与自组织网络(Ad Hoc)节点安全通道自配置方法,用于基于SDN的Ad Hoc网络中控制器与移动节点之间安全通信通道的建立,其特征在于,包括以下步骤:/n认证步骤(S1):基于对称密钥K,使所述控制器与所述移动节点之间进行相互认证;/n安全通道自配置步骤(S2):在完成所述认证步骤(S1)后,基于所述对称密钥K,使所述控制器与所述移动节点之间安全通信通道进行自动配置;/n时钟同步步骤(S3):在完成所述安全通道自配置步骤(S2)后,基于所述对称密钥K,进行所述控制器和所述移动节点的时钟同步,并得到所述控制器与所述移动节点的时延RTT;/n动态密钥更新步骤(S4):在完成所述时钟同步步骤(S3)后,以所述时延RTT为基准进行所述控制器与所述移动节点之间动态密钥的更新。/n
【技术特征摘要】
1.一种基于动态密钥软件定义网络(SDN)控制器与自组织网络(AdHoc)节点安全通道自配置方法,用于基于SDN的AdHoc网络中控制器与移动节点之间安全通信通道的建立,其特征在于,包括以下步骤:
认证步骤(S1):基于对称密钥K,使所述控制器与所述移动节点之间进行相互认证;
安全通道自配置步骤(S2):在完成所述认证步骤(S1)后,基于所述对称密钥K,使所述控制器与所述移动节点之间安全通信通道进行自动配置;
时钟同步步骤(S3):在完成所述安全通道自配置步骤(S2)后,基于所述对称密钥K,进行所述控制器和所述移动节点的时钟同步,并得到所述控制器与所述移动节点的时延RTT;
动态密钥更新步骤(S4):在完成所述时钟同步步骤(S3)后,以所述时延RTT为基准进行所述控制器与所述移动节点之间动态密钥的更新。
2.根据权利要求1所述的基于动态密钥SDN控制器与AdHoc节点安全通道自配置方法,其特征在于,所述认证步骤(S1)通过如下过程实现:
当有新的所述移动节点加入AdHoc网络时,所述移动节点先向网络中广播自己;
所述控制器收到新所述移动节点的广播消息,
判断新所述移动节点之前是否进入过网络,包括:
如果已经进入过网络,则将所述对称密钥K设置为上次更新后的最新密钥,用公式表示为K=Kt;
如果未进入过网络,则将所述对称密钥设置为初始密钥,用公式表示为K=K0;
控制器产生一个随机消息M,并和所述控制器的签名一起用所述对称密钥K对它们进行加密,将加密后的消息发送给对应的所述移动节点;
新加入的所述移动节点接收到来自所述控制器的消息,通过其存储的最新所述对称密钥K解密,得到所述控制器的签名和所述随机消息M,包括:
判断得到的所述控制器签名与其本地存储的是否相等;
如果二者相等,则可以认证所述控制器;
新所述移动节点认证了所述控制器后,所述移动节点通过相同的响应生成算法f计算所述随机消息M的响应MR,并用所述对称密钥K加密,将加密后的EK(MR)发送给所述控制器;
所述控制器收到来自所述移动节点的消息后,通过所述算法f计算所述随机消息M的响应,并对收到的EK(MR)解密,比较解密后的所述响应MR是否与本地计算出的相等,如果相等,则认证新所述移动节点。
3.根据权利要求1所述的基于动态密钥SDN控制器与AdHoc节点安全通道自配置方法,其特征在于,所述安全通道自配置步骤(S2),通过如下过程实现:
所述控制器向新认证过的所述移动节点发送邀请Invite消息,所述邀请Invite消息包含所述控制器的签名,并用所述对称密钥K加密;
新所述移动节点收到消息,通过所述对称密钥K解密得到所述邀请Invite消息,包括:
验证所述控制器的签名;
如果验证通过,则所述移动节点生成其用于通信的公钥和私钥;
所述移动节点向所述控制器发送安全通道建立申请“Bootstraprequest”消息,并向所述控制器提供一个证书申请标准PKCS10,证书申请标准签名PKCS10_signature以及其公钥,所述安全通道建立申请“Bootstraprequest”消息用所述对称密钥K加密;
所述控制器接收到消息,用所述对称密钥K解密,并向所述移动节点发送安全通道建立答复“Bootstrapreply”消息,所述消息包含所述控制器的管理域的证书;
所述移动节点可以与所述控制器通信,依据所述控制器或上层应用的策略决定对经过所述移动节点的网络流的处理操作。
4.根据权利要求1所述的基于动态密钥SDN控制器与AdHoc节点安全通道自配置方法,其特征在于,所...
【专利技术属性】
技术研发人员:于金萍,毕经平,李新,王建斌,
申请(专利权)人:北京电子工程总体研究所,中国科学院计算技术研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。