本發明提供一種改進的SDN網絡安全認證方法及系統，在控制器與交換機之間建立安全加密通道，增加可信任機構CA對控制器和交換機進行認證簽名，實現控制器和交換機之間的雙向認證，以及在控制器與交換機之間進行密鑰協商，實現針對性地改進SDN網絡漏洞。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種改進的SDN網絡安全認證方法及系統。

背景技術

現有的SDN網絡中控制器與交換機之間不強制建立TLS安全通道，并且默認狀態為非開啟狀態，使得網絡變得脆弱，控制器與交換機之間可能出現明文通信，任何第三方都可以截獲或者修改雙方的通信內容，容易受到中間人的攻擊。

同時，現有的SDN控制器與交換機之間缺乏對證書的驗證，攻擊者容易截取控制器發送給交換機的請求，偽裝成控制器與交換機進行通信，從而獲得交換機與控制器之間通信的所有內容。

所以急需一種針對性改進SDN網絡漏洞的安全認證方法和系統。

發明內容

本發明的目的在于提供一種改進的SDN網絡安全認證方法及系統，在控制器與交換機之間建立安全加密通道，增加可信任機構CA對控制器和交換機進行認證簽名，實現控制器和交換機之間的雙向認證，以及在控制器與交換機之間進行密鑰協商，實現針對性地改進SDN網絡漏洞。

第一方面，本申請提供一種改進的SDN網絡安全認證方法，所述方法包括：

獲取網絡流量數據，根據網絡特征，識別網絡的類型；

當識別網絡為SDN網絡時，下發控制指令給控制器和交換機，所述控制指令攜帶有網絡中間可信任機構CA的標識和地址；

所述控制器和交換機接收所述控制指令，分別向網絡中間可信任機構CA發送身份認證請求，所述身份認證請求攜帶有控制器和交換機各自的公鑰、用戶身份信息和設備標識；

所述可信任機構CA接收到所述身份認證請求，根據設備標識查詢數據庫，判斷所述控制器和交換機是否合法，如果判斷結果為合法，則所述可信任機構CA將一條明文消息以及使用CA私鑰對明文消息的數字簽名證書一起返回給所述控制器和交換機；如果判斷結果為不合法，則所述可信任機構CA返回認證失敗的通知；

所述控制器和交換機接收到所述可信任機構CA發送的數字簽名證書，使用所述可信任機構CA的公鑰對所述數字簽名證書進行驗證，若驗證成功，則所述控制器和交換機將所述數字簽名證書替換為各自的身份信息；若驗證不成功，則所述控制器和交換機向所述可信任機構CA發送認證錯誤的通知；

所述控制器和交換機在驗證成功后，交換機向控制器發送加密安全連接請求，所述加密安全連接請求攜帶有版本信息、所支持的加密算法和第一隨機數；

所述控制器接收到所述加密安全連接請求后，向所述交換機返回響應消息，所述響應消息包括確認的加密算法、隨機生成的第二隨機數和控制器的數字簽名證書；

所述交換機接收到所述響應消息后，使用所述可信任機構CA的公鑰對控制器的數字簽名證書進行驗證，如果驗證成功，則生成第三隨機數，并使用控制器的公鑰對所述第三隨機數進行加密，與交換機的數字簽名證書一起發送給所述控制器；

所述控制器接收到所述交換機發送的消息后，使用所述可信任機構CA的公鑰對交換機的數字簽名證書進行驗證，如果驗證成功，則使用控制器的私鑰解密消息中的所述第三隨機數密文，完成控制器和交換機的密鑰協商；

所述控制器和交換機使用協商好的加密算法和密鑰對建立的加密安全連接進行加密通信。

結合第一方面，在第一方面第一種可能的實現方式中，所述數字簽名證書采用了哈希運算。

結合第一方面，在第一方面第二種可能的實現方式中，所述加密算法包括DES、MD5、AES中任意一種。