[发明专利]基于SDN网络的控制、数据平面设备及其认证方法与系统

说明书

本发明公开了一种基于SDN网络的控制平面设备、数据平面设备及其自动认证方法与系统，该自动认证方法包括：数据平面设备在判断不存在第一永久证书时，读取并发送预存的临时证书；第一永久证书为数据平面设备的永久证书；控制平面设备接收并认证临时证书，在认证通过后，主动向数据平面设备发送或协同数据平面设备获取第一永久证书及第一根证书，第一永久证书及第一根证书均存放在RA/CA中，第一根证书用于认证控制平面设备；数据平面设备与控制平面设备基于第一永久证书及第一根证书进行双向认证。实施本发明能实现无需人为在数据平面设备中输入永久证书即可实现数据平面设备和控制平面设备的安全、可靠通道的建立。

技术领域

本发明涉及通信领域，特别涉及一种基于SDN网络的控制平面设备、数据平面设备及其自动认证方法与系统。

背景技术

SDN(Software Defined Network，软件定义网络)技术分离了网络控制平面设备和数据平面设备，控制平面设备通过常用的南向协议(如OpenFlow等)向数据平面设备下发流表等相关配置；同时为了保证控制平面设备及数据平面设备的通信安全，通常在控制平面设备和数据平面设备之间通过应用TLS(Transport Layer Security)协议来建立一个安全的通信通道。

TLS协议通常证书认证的方式来确保通信的可信、可靠，这样SDN网络部署的时候就需要控制平面设备和数据平面设备分别预存储两个证书：一个设备自己的证书、一个是认证对方的证书。随着SDN网络控制平面设备连接的数据平面设备数目的增加，在部署设备时就需要通过人为介入手动拷贝或下载相关证书来保证TLS的建立(具体如图1所示的流程图)，这种操作带来的复杂性在远程设备环境尤为明显。

发明内容

有鉴于此，本发明旨在提供一种基于SDN网络的控制平面设备、数据平面设备及其自动认证方法与系统，以实现无需人为在数据平面设备中输入永久证书即可实现数据平面设备和控制平面设备的安全、可靠通道的建立。

具体而言，本发明一种基于SDN网络数据平面设备的认证方法，包括：数据平面设备在判断不存在第一永久证书时，读取并发送预存的临时证书；所述第一永久证书为所述数据平面设备的永久证书；控制平面设备接收并认证所述临时证书，在认证通过后，主动向所述数据平面设备发送或协同所述数据平面设备获取第一永久证书及第一根证书，所述第一永久证书及所述第一根证书均存放在RA/CA中，所述第一根证书用于认证所述控制平面设备；所述数据平面设备与所述控制平面设备基于所述第一永久证书及第一根证书进行双向认证。

进一步地，上述主动向所述数据平面设备发送第一永久证书及第一根证书的步骤包括：所述控制平面设备根据所述数据平面设备的信息向RA/CA获取所述第一永久证书和所述第一根证书；所述控制平面设备将所述第一永久证书和所述第一根证书发送给所述数据平面设备。

进一步地，上述协同所述数据平面设备获取第一永久证书及第一根证书的步骤包括：所述控制平面设备将RA/CA的地址信息发送至所述数据平面设备，并建立数据平面设备到RA/CA的转发路径；所述数据平面设备基于所述转发路径，向RA/CA获取所述第一永久证书和第一根证书。

进一步地，所述数据平面设备与所述控制平面设备基于所述第一永久证书及第一根证书进行双向认证的步骤包括：所述数据平面设备将所述第一永久证书发送至所述控制平面设备；所述控制平面设备认证所述第一永久证书，并在认证通过后，向所述数据平面设备发送预存的第二永久证书，所述第二永久证书为所述控制平面设备的永久证书；根据所述第一根证书，所述数据平面设备在对所述第二永久证书认证成功后，所述数据平面设备与所述控制平面设备之间的通道建立成功。

进一步地，所述控制平面设备接收并认证所述临时证书的步骤包括：所述控制平面设备根据预存的用于认证所述数据平面设备的临时证书的第二根证书，认证所述临时证书；所述临时证书由RA/CA签发。