[发明专利]基于区块链思维的分布式SDN控制平面安全认证方法

说明书

本发明公开了基于区块链思维的分布式SDN控制平面安全认证方法，该发明基于区块链的思想建立了一种分布式SDN架构的控制平面安全认证方法，旨在提升SDN的安全性能，防止控制器数据篡改和非法控制器的接入。主要途径是通过控制平面之间的身份认证，以及在控制平面和数据平面之间的平面间交叉认证，双重认证确保系统安全。

技术领域

本发明涉及基于区块链思维的分布式SDN控制平面安全认证方法，基于区块链的思维，利用其分布式特性，建立了SDN架构下控制平面的安全认证方法，属于信息安全技术领域。

背景技术

软件定义网络(Software Defined Networking,SDN)是一种从数据转发平面中分离控制平面以实现支持网络虚拟化的新技术。SDN网络相比较传统网络，在拥有控制与数据平面相分离，可编程性，动态流量控制，集中控制管理等诸多优点的同时，也更增加了其安全隐患。攻击者可以通过IP地址欺骗方式替换现有的SDN控制器或者直接侵入控制器修改信息，这些安全威胁限制了SDN在很多场景下的大规模部署和应用。

区块链是指通过去中心化和去信任的方式集体维护一个可靠数据库的技术。其本身是一串使用密码学相关联所产生的数据块，每一个数据块中包含了多次比特币网络交易有效确认的信息。

区块链具有的去信任、开放性、信息不可篡改等特征，与分布式SDN架构的要求不谋而合。将区块链思维运用在SDN架构中，能够有效减少攻击者的攻击行为造成的危害。

发明内容

技术问题：本发明的目的在于提供一种分布式SDN控制层面的安全方法，结合区块链去信任、开放性、信息不可篡改的特征，提升SDN的安全性能，防止控制器数据篡改和非法控制器的接入。

技术方案：本发明是以区块链思维为指导思想，以分布式结构为基础，以非对称加密及分布式存储技术为手段，结合分布式SDN架构的特性和安全要求，综合考虑了控制器之间以及控制器与交换机之间的信息传输与相互认证，双重认证确保系统安全。主要包括如下几个步骤。

1).控制器初始化连接：控制器的初始化以及新控制器顺序加入控制平面；

2).控制平面认证：控制平面各个控制器相互认证身份；

3).控制平面和数据平面交叉认证：控制器和交换机以流表为关键信息相互认证身份；

其中：

所述控制器初始化连接为：首先，管理员密码认证并开启所有控制器，这是对控制器的第一重保护。接下来是各控制器进行连接，即控制器加入过程。管理员随机决定一个初始控制器A，接收其他控制器发出的连接请求。初始控制器A生成私钥，进而产生公钥。下面以控制器B加入过程为例，描述加入步骤。想要加入控制器层的控制器B向初始控制器A发出请求，获取初始控制器A的公钥。控制器B使用A的公钥对自己的信息进行加密，然后发送给初始控制器A。初始控制器A认证信息成功后，将B加入信任列表。新加入的控制器可以请求A或B的认证获取权限。通过这种方式，使得整个控制器网络连接在一起，并且相互之间掌握公钥。

所述控制平面认证为：假设控制器A有数据包向控制器B的域内转发，采取订阅分发的方法，A向共享数据库提出请求全局视图，同时将请求以及自身的信息，如编号、主机信息等发送给其他控制器用以认证。其他控制器收到请求认证的消息后，将请求的时间、内容摘要、设备编码记录在本地。各控制器认证后达成一致共识，若同意A的请求，则反馈给共享数据库。数据库接纳A的请求。若认证失败，则数据库视为无效信息，丢弃。同时，视该控制器为问题控制器，各控制器切除与该控制器的连接，并通知管理员进行查验。