本發明公開了輕量級SDN交換機與控制器的安全連接方法，其首先，在SDN交換機與控制器之間基于token確定兩者連接的合法性；接著，SDN交換機和控制器在轉發控制通道和管理通道同時使用token交互。本發明提供的連接方案能夠在交互前通過基于token的安全機制驗證對方身份的合法性，確保了交互的安全性，并在一定程度上節約了資源消耗。

技術領域

本發明涉及網絡安全技術，具體涉及SDN安全技術。

背景技術

OpenFlow信道是連接交換機和控制器的接口。通過該接口，控制器能夠管理和配置交換機，接收交換機發送的時間，發送數據包給交換機。交換機控制信道支持單控制器的單一控制信道以及多控制器的多控制信道共同管理交換機。消息被封裝為OpenFlow協議中規定的格式在控制器和交換機之間傳輸，這個控制器—交換機協議運行在安全傳輸層協議(TLS)或無保護TCP連接之上。

而SDN交換機和控制器的安全連接建立在可驗證雙方身份的真實性的基礎上。SDN交換機與控制器的連接協議運行在TLS或無保護TCP連接之上。無保護TCP連接缺少必要的安全保障，SDN交換機和控制器無法驗證對方身份是否合法。若使用能夠滿足安全需求的安全傳輸層協議(TLS)，則因為SDN交換機與控制器交互需要轉發控制通道和管理通道兩個通道，會消耗較多的系統資源。

發明內容

針對現有SDN交換機和控制器之間通信連接在安全方面所存在的問題，需要一種可用于SDN交換機和控制器之間安全連接的方案。

為此，本發明所要解決的問題是提供一種輕量級SDN交換機與控制器的安全連接方式，本方案在無保護的TCP連接上增加相應的安全機制，使得SDN交換機與控制器能夠通過該安全機制驗證對方身份的合法性，并在一定程度上節約了資源消耗。

為了解決上述問題，本發明提供的輕量級SDN交換機與控制器的安全連接方法，包括：

SDN交換機與控制器之間基于token確定兩者連接的合法性；

SDN交換機和控制器在轉發控制通道和管理通道同時使用token交互。

進一步的，所述連接方法中通過如下步驟完成SDN交換機與控制器之間連接合法性的確定：

(1)SDN交換機發送本機的相關信息給SDN交換機認證模塊，在收到SDN交換機認證模塊反饋的臨時公鑰和有效事件后，發送確認信息；

(2)SDN交換機接收并使用臨時公鑰解密SDN交換機認證模塊反饋的有效token和控制器地址以及時間戳，以驗證SDN交換機認證模塊的合法性；

(3)SDN交換機使用有效token向控制器發起連接請求；

(4)SDN控制器在接收到SDN交換機發送的帶token的連接請求，從token存儲模塊獲取SDN交換機的token，核對SDN交換機發送的token與Token存儲模塊中的token是否一致。

進一步的，SDN交換機認證模塊在收到SDN交換機發送的相關信息后，驗證SDN交換機身份是否合法，如果合法，向密鑰管理中心申請臨時非對稱密鑰對；在收到密鑰管理中心分發的密鑰后，保存臨時私鑰，發送臨時公鑰和有效時間給SDN交換機；在收到SDN交換機確認收到公鑰信息后，生成該交換機的有效token，將token及交換機相關信息發送至token存儲模塊，使用臨時私鑰加密有效token、控制器地址以及時間戳后發送給SDN交換機。

本發明提供的連接方案能夠在交互前通過基于token的安全機制驗證對方身份的合法性，確保了交互的安全性，并在一定程度上節約了資源消耗。