【技术实现步骤摘要】
本专利技术主要涉互联网,具体地说,涉及一种基于区块链的sdn域间安全服务协商模型及方法。
技术介绍
1、软件定义网络(software defined network,sdn)作为最具前景的未来网络技术之一,具有控制转发分离,逻辑控制集中和网络开放可编程的特性。目前sdn已广泛部署于云计算、数据中心网络,并涉足5g通信网,物联网,大型互联网公司、金融、电网、高校校园网等诸多领域,逐渐成为新一代网络基础设施。
2、通常,不同组织机构sdn域间存在信息共享和通信的需求。例如,政企组织与云资源管理中心存在数据交换的需求;在大数据和物联网领域,为了破除“信息孤岛”,不同组织域间通过数据共享可以发挥更大的数据价值;5g网络切片在隔离业务的同时为了保证合理的资源部署需要获取各切片的通信指标和资源使用情况;在网络攻防领域,不同组织间共享网络威胁情报有助于构建完整的攻击链从而追溯到攻击源等等。如上所述,不同组织间共享的数据通常具有一定的价值和较高敏感度。因此,组织间需要根据信息的重要性及敏感性不同采取不同的安全服务。由于网络层在协议体系中具有统一性,因此在网络层为sdn域间数据平面通信提供按需安全服务对保证sdn跨域数据传输安全性具有重要意义。
3、此外,由于安全需求具有多样性和动态变化性,因此实现自动的安全服务协商对保证sdn数据平面安全性具有积极意义。然而,由于sdn域间安全服务协商缺乏可信性和安全性,因此,需要设计安全可信的sdn域间安全服务协商机制。综上,本专利技术旨在建立安全可信的sdn域间安全服务协商,以保护
4、在传统网络中,使用ipsec在网络层提供按需安全服务。然而,传统网络中的ipsec是在路由器内核中实现,且需要端到端的手动配置,操作耗时且复杂,容易产生安全缺陷。由于sdn具有转发与控制分离的层次结构,因此针对sdn的特性,有学者就sdn中如何部署ipsec展开了创新性研究。gabriel lopez-millan团队建立了基于sdn的ipsec管理框架,并设计了两种部署方案——有ike协商模式和无ike协商模式。p4-ipsec基于可编程数据平面技术实现了一种无ike的ipsec。protego方案为了提高云上ipsec虚拟网关的使用效率,提出了一种分布式ipsec网关服务,它将ipsec的控制平面和数据平面分离,将不经常更新的ikesa集中存储在中央控制器,数据平面负责数据报加解密。s-sd方案通过扩展openflow消息和流表字段,由控制器管理安全策略库(spd),网关负责ike协商的方式部署ipsec。
5、上述方案对sdn域内ipsec部署方式和工作流程进行了重新设计,但尚未针对sdn域间安全服务协商进行专门探讨。特别地,sdn跨组织的域间场景面临以下挑战:端到端跨域安全服务协商面临抵赖的安全风险,缺乏可监管性;安全服务协商与数据转发在同一平面,协商过程的密码验证及协商报文的转发,都会占用数据平面的计算和带宽资源,影响数据平面转发时延和效率。
6、目前,sdn多域组织架构主要包括垂直架构和水平架构。对于多个sdn组织间的安全服务协商,如果采用垂直架构,由一个超级中央控制器管理安全服务协商,那么集中式的跨组织管理会面临管理透明度问题及单点故障问题;如果采用水平分布式架构通过控制器东西向接口协商安全策略,则难以形成全局监管视图,因此二者均存在根源性不足。
7、区块链技术具有去中心化、去信任、不可篡改、可追溯及可编程等特性,可用于实现分布式不可信环境中的可信通信;特别地,智能合约为自动透明的业务执行提供了方法。目前区块链技术广泛应用于信息安全领域,为跨组织的信息共享和业务协同提供安全保障。因此,针对sdn域间安全服务协商面临的挑战,可以应用区块链技术来实现自动透明、安全可追溯的域间安全服务协商。需要注意到是,由于区块链链上数据是公开可访问的,因此要注意秘密数据协商的隐私性。
8、目前,基于区块链的sdn安全方案也被逐渐提出。比如,面向跨域转发路径控制的方案由于实时性要求高,因此方案将区块链功能直接作为控制器扩展应用,部署于sdn本地;面向sdn流表验证的方案将区块链网络部署于控制层和数据层之间,以便存储和验证流表;面向跨域访问控的方案基于区块链实现复杂的属性签名算法以达到认证用户身份属性的作用。但是,上述方案尚未针对基于区块链的sdn域间安全服务协商问题提出专门的解决方案。
9、综上,本专利技术提出了一种基于区块链的sdn域间安全服务协商模型及方法。
技术实现思路
1、为解决上述技术问题,本专利技术提供的技术方案为:
2、一种基于区块链的sdn域间安全服务协商模型,包括区块链管理层、控制逻辑层以及数据转发层;所述区块链管理层向sdn域间通信提供安全服务协商功能;所述控制逻辑层包括控制器、扩展的安全服务协商模块以及区块链客户端,所述控制器通过扩展的区块链客户端与区块链进行交互,包括交易上传、收据下发及信息查询;所述控制器通过南向接口向数据转发层的边界交换机下发要执行的安全服务;所述数据转发层为sdn数据平面;所述区块链客户端模块包括智能合约调用功能和收据验证功能,所述区块链客户端与区块链以及域边界网关交换机之间通过传统网络连接。
3、本专利技术还公开一种基于区块链的sdn域间安全服务协商方法,包括以下步骤:
4、s1、安全策略预处理阶段:各sdn域制定本域到其他域的安全策略,并通过消息认证码将安全策略加密为密态安全策略;
5、s2、安全服务协商阶段:首先各sdn域将密态安全服务通过安全服务协商交易ssntrans上传至区块链,然后触发安全服务协商智能合约ssn_sc自动执行策略发布、更新和密态安全策略匹配,最后通过密态安全服务收据hssreceipt向相关域下发安全服务协商结果;
6、s3、安全服务获取阶段:sdn域内的区块链客户端对密态安全服务收据hssreceipt进行收据验证,验证通过则由安全服务协商引擎使用对称密钥解密收据中的密态安全服务,获取安全服务明文。
7、本专利技术与现有技术相比的优点在于:(1)总体上,本专利技术基于区块链的分布式共识机制避免了sdn多域垂直组网架构中的单点故障和管理透明度问题,并且能够天然地构建可信的全局全过程监管视图,弥补了sdn多域水平组网架构的不足;
8、(2)具体地,本专利技术通过对sdn控制器扩展安全服务协商功能和区块链客户端,使各域能够与区块链联合实现安全服务协商;利用智能合约技术实现策略发布与更新和策略匹配;采用消息认证码保证上链策略的机密性以及策略匹配的便捷性,结合区块链交易签名验证机制和收据的简单支付验证功能实现不可信环境中安全可信的安全服务协商;基于区块链的账户状态机制实现策略的自动更新,保证安全服务协商的时效性;基于区块链的时间可追溯的块链式结构,为安全服务协商构建全局全过程监管视图。
本文档来自技高网...【技术保护点】
1.一种基于区块链的SDN域间安全服务协商模型,其特征在于,包括区块链管理层、控制逻辑层以及数据转发层;所述区块链管理层向SDN域间通信提供安全服务协商功能;所述控制逻辑层包括控制器、扩展的安全服务协商模块以及区块链客户端,所述控制器通过扩展的区块链客户端与区块链进行交互,交互操作主要包括交易上传和收据下发等;所述控制器通过南向接口向数据转发层的边界交换机下发要执行的安全服务;所述数据转发层为SDN数据平面;所述区块链客户端与区块链之间以及域边界网关交换机之间通过传统网络连接。
2.根据权利要求1所述的一种基于区块链的SDN域间安全服务协商模型,其特征在于,所述扩展的安全服务协商功能模块包括本地策略库模块、安全服务协商引擎模块;所述扩展的区块链客户端包括智能合约调用功能、收据验证功能;
3.根据权利要求1所述的一种基于区块链的SDN域间安全服务协商模型,其特征在于,所述控制器将协商的安全服务通过南向接口协议下发给数据平面,数据平面根据安全服务参数执行加解密操作,从而为SDN域间通信提供按需安全服务。
4.一种基于区块链的SDN域间安全服务协商方
5.根据权利要求4所述的一种基于区块链的SDN域间安全服务协商方法,其特征在于,在步骤S2安全服务协商阶段中,由于链上信息公开可查,而安全服务协商需要保证协商内容的机密性,因此本方法基于He-IBS身份签名机制为各域分配公私钥对<QID,SID>,其中He-IBS的主私钥为s,公开参数包括公式(1)和公式(2)分别描述了为源域S和目的域D生成的公私钥对,并采用公式(3)所示的双线性对计算实现非交互的SDN域间密钥协商,从而得到源域到目的域的对称密钥
6.根据权利要求4所述的一种基于区块链的SDN域间安全服务协商方法,其特征在于,对于安全服务协商合约SSN_SC,还包括以下步骤:
...【技术特征摘要】
1.一种基于区块链的sdn域间安全服务协商模型,其特征在于,包括区块链管理层、控制逻辑层以及数据转发层;所述区块链管理层向sdn域间通信提供安全服务协商功能;所述控制逻辑层包括控制器、扩展的安全服务协商模块以及区块链客户端,所述控制器通过扩展的区块链客户端与区块链进行交互,交互操作主要包括交易上传和收据下发等;所述控制器通过南向接口向数据转发层的边界交换机下发要执行的安全服务;所述数据转发层为sdn数据平面;所述区块链客户端与区块链之间以及域边界网关交换机之间通过传统网络连接。
2.根据权利要求1所述的一种基于区块链的sdn域间安全服务协商模型,其特征在于,所述扩展的安全服务协商功能模块包括本地策略库模块、安全服务协商引擎模块;所述扩展的区块链客户端包括智能合约调用功能、收据验证功能;
3.根据权利要求1所述的一种基于区块链的sdn域间安全服务协商模型,其特征在于,所述控制器将协商的安全服...
【专利技术属性】
技术研发人员:马莹莹,苏玉,王兆成,徐自立,黄继海,王伟,王宇婵,
申请(专利权)人:郑州工程技术学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。