一种SD-WAN加密通信系统和方法技术方案

本申请涉及通信领域，具体公开一种SD

【技术实现步骤摘要】
一种SD
‑
WAN加密通信系统和方法


[0001]本申请涉及通信
，尤其涉及一种SD
‑
WAN加密通信系统和方法。

技术介绍

[0002]目前市面上的SD
‑
WAN（Software Defined Wide Area Network，即软件定义广域网，是将软件定义网络技术应用到广域网场景中所形成的一种服务，以下简称SD
‑
WAN），与SD
‑
WAN控制器控制对应的下级交换机存在配置容易被恶意篡改的问题，如果当下级交换机的配置被恶意篡改后，可能进行不合规通信行为，导致蒙受经济损失。

技术实现思路

[0003]本申请提供一种SD
‑
WAN加密通信系统和方法，以解决现有技术中，SD
‑
WAN通信过程中，交换机配置容易被篡改，通信安全性低的问题。
[0004]本申请的上述目的是通过以下技术方案实现的：第一方面，本申请实施例提供一种SD
‑
WAN加密通信系统，其特征在于，包括：SD
‑
WAN控制器、交换机和特制SIM卡；所述SD
‑
WAN控制器用于基于基础流表和会话秘钥，生成加密流表，并将所述加密流表发送至所述交换机中；所述交换机用于接收所述加密流表，并通过调用内部预设通信模组，向所述特制SIM卡发送所述加密流表；所述特制SIM卡设置在所述通信模组上，用于接收并验证解密所述加密流表，并基于验证解密结果向所述交换机进行反馈。
[0005]进一步的，所述SD
‑
WAN控制器基于基础流表和秘钥生成加密流表，包括：生成基础流表；基于预设私钥，对时间戳进行分散，获取所述会话秘钥；将所述会话秘钥置于所述基础流表之后，通过预设加密算法，对所述基础流表进行加密；基于加密结果，计算数字签名；根据所述加密结果和所述数字签名，生成得到加密流表。
[0006]进一步的，所述交换机接收所述加密流表，并通过调用内部预设通信模组，向所述特制SIM卡发送所述加密流表，包括：接收所述加密流表；调用内部预设通信模组，并通过所述通信模组打开预设机卡通道；通过所述机卡通道，向所述特制SIM卡发送所述加密流表。
[0007]进一步的，所述交换机调用内部预设通信模组，打开预设机卡通道，包括：所述交换机通过openmobile打开机卡通道，或通过所述特制SIM卡COS中的电话本通道打开机卡通道。
[0008]进一步的，所述特制SIM卡接收并验证解密所述加密流表，包括：接收所述加密流表；对所述加密流表进行数字签名验证和会话秘钥验证；通过预设解密算法和预存公钥对通过所述验证的加密流表进行解密，得到解密数据。
[0009]进一步的，所述特制SIM卡基于验证解密结果进行反馈，包括：当所述加密流表通过所述验证并经解密后得到解密数据时，向所述交换机反馈解密数据；或当所述加密流表未通过所述验证，或解密异常时，向所述交换机反馈错误信息。
[0010]进一步的，所述预设加密算法和所述预设解密算法包括RSA、ECC或SM2中的一种或多种。
[0011]第二方面，本申请实施例还提供一种SD
‑
WAN加密通信方法，应用于SIM端，包括：接收加密流表；其中，所述加密流表为由预设SD
‑
WAN控制器基于基础流表和会话秘钥加密生成的；对所述加密流表进行数字签名验证和会话秘钥验证；若所述加密流表通过所述验证，则基于预存的公钥，对所述加密流表信息进行解密，得到解密数据；并且在验证解密过程中，若所述加密流表通过所述验证并经解密得到解密数据时，则向预设交换机反馈所述解密数据；若所述加密流表未通过所述验证，或解密异常时，则向预设交换机反馈预设错误信息。
[0012]进一步的，所述基础流表包括：流表项匹配规则信息、流表项优先级信息、流表项统计计数信息、流表项动作指令集信息、流表项的超时时间信息和流表项的标识符信息；所述加密流表包括：数字签名；其中，所述数字签名为基于所述基础流表信息和所述会话秘钥生成的。
[0013]进一步的，所述会话秘钥为所述SD
‑
WAN控制器基于SD
‑
WAN私钥，对时间戳加密后生成的。
[0014]本申请的实施例提供的技术方案可以包括以下有益效果：本申请的实施例提供的技术方案中，该系统包括SD
‑
WAN控制器、交换机和特制SIM卡。SD
‑
WAN控制器用于基于基础流表和会话秘钥，生成加密流表，并将所述加密流表发送至所述交换机中；交换机用于接收所述加密流表，并通过调用内部预设通信模组，向所述特制SIM卡发送所述加密流表；特制SIM卡设置在所述通信模组上，用于接收并验证解密所述加密流表，并基于验证解密结果向所述交换机进行反馈。如此，通过将流表在控制器端基于秘钥进行加密，数据传输后，在SIM卡中通过预存的公钥进行验证解密，避免其他人在交换机配置中对数据直接进行篡改，从而保证通信安全。
[0015]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。
附图说明
[0016]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。
[0017]图1为本申请实施例提供的一种SD
‑
WAN加密通信系统的结构示意图；图2为本申请实施例提供的一种SD
‑
WAN加密通信系统中加密流表的数据结构图；图3为本申请实施例提供的一种SD
‑
WAN加密通信方法的流程示意图。
具体实施方式
[0018]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0019]现在SD
‑
WAN的控制器控制下级交换机采用OpenFlow协议，OpenFlow是一种网络通信协议，属于数据链路层，能够控制网络交换器或路由器的转发平面（forwarding plane），借此改变网络数据包所走的网络路径。
[0020]要在OpenFlow环境中工作，任何想要与控制器通信的设备都必须支持OpenFlow协议。通过这个接口，控制器将更改推送到交换机/路由器流量表，使网络管理员能够对流量进行分区，控制流量以获得最佳性能，并开始测试新配置和应用。在实际应用中，可以通过伪装控制器IP（Internet Protocol，即网际互连协议，以下简称IP）/复制控制器MAC地址（Media Access Control Address，媒体存取控制位址，用来确认网络设备位置的位址，以下简称MAC地址）通过OpenFlow本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种SD
‑
WAN加密通信系统，其特征在于，包括：SD
‑
WAN控制器、交换机和特制SIM卡；所述SD
‑
WAN控制器用于基于基础流表和会话秘钥，生成加密流表，并将所述加密流表发送至所述交换机中；所述交换机用于接收所述加密流表，并通过调用内部预设通信模组，向所述特制SIM卡发送所述加密流表；所述特制SIM卡设置在所述通信模组上，用于接收并验证解密所述加密流表，并基于验证解密结果向所述交换机进行反馈。2.根据权利要求1所述的SD
‑
WAN加密通信系统，其特征在于，所述SD
‑
WAN控制器基于基础流表和秘钥生成加密流表，包括：生成基础流表；基于预设私钥，对时间戳进行分散，获取所述会话秘钥；将所述会话秘钥置于所述基础流表之后，通过预设加密算法，对所述基础流表进行加密；基于加密结果，计算数字签名；根据所述加密结果和所述数字签名，生成得到加密流表。3.根据权利要求1所述的SD
‑
WAN加密通信系统，其特征在于，所述交换机接收所述加密流表，并通过调用内部预设通信模组，向所述特制SIM卡发送所述加密流表，包括：接收所述加密流表；调用内部预设通信模组，并通过所述通信模组打开预设机卡通道；通过所述机卡通道，向所述特制SIM卡发送所述加密流表。4.根据权利要求3所述的SD
‑
WAN加密通信系统，其特征在于，所述交换机调用内部预设通信模组，打开预设机卡通道，包括：所述交换机通过openmobile打开机卡通道，或通过所述特制SIM卡COS中的电话本通道打开机卡通道。5.根据权利要求2所述的SD
‑
WAN加密通信系统，其特征在于，所述特制SIM卡接收并验证解密所述加密流表，包括：接收所述加密流表；对所述加密流表进行数字签名验证和会话...

【专利技术属性】
技术研发人员：周硕，王孟觉，
申请(专利权)人：深圳市优友互联有限公司，
类型：发明
国别省市：