本發明提供一種OpenFlow網絡中輕量級控制通道的通信保護方法，涉及通信領域。一種OpenFlow網絡中輕量級控制通道的通信保護方法，應用于OpenFlow設備之間的通信，包含如下步驟：(1)為所述OpenFlow設備預設唯一的種子值；(2)對所述種子值進行哈希以生成設備私鑰；所述設備私鑰利用非對稱密碼算法計算出設備公鑰；(3)所述設備公鑰進行哈希以產生設備身份標識；(4)通過所述設備身份標識封裝所述OpenFlow設備發出的內容以加密；(5)通過所述設備身份標識還原所述OpenFlow設備的內容以解密。本發明解決了OpenFlow網絡的通信安全性低和能耗高的問題。

技術領域

本發明涉及通信領域，具體而言，涉及一種OpenFlow網絡中輕量級控制通道的通信保護方法。

背景技術

在傳統網絡中，一個集成多種網絡功能的控制平面和一個負責轉發數據包的數據平面是緊密耦合的，并且通常會嵌入在一個專有設備中，這嚴重限制了網絡的靈活管理和網絡服務創新的潛力。軟件定義網絡(Software-Defined?Networking，以下簡稱為“SDN”)，作為一種很有前途的網絡架構，通過將控制平面與數據平面解耦，提供了一種“可編程網絡”的實現方法。SDN使得網絡運營商能夠使用動態、自動化以及設備無關的應用程序靈活，快速地管理、配置和優化網絡資源。

在SDN中，由于控制平面與數據平面的解耦，兩者之間的通信由單一系統內部的進程間通信轉變為兩個獨立系統之間的遠程通信。因此，諸多通信協議被廣泛提出，如OpenFlow、Netconf以及OVSDB。其中OpenFlow作為事實上的標準協議，已經被成功地應用于許多商業部署，如Google?B4。在OpenFlow中，邏輯上集中的控制平面(控制器)與多個OpenFlow交換機建立連接，并相互交換控制消息，以實現網絡管理。其中，控制器與與交換機之間的連接稱作控制通道。目前，OpenFlow提供了兩種類型的控制通道：基于TCP協議的控制通道與基于SSL/TLS安全協議的控制通道。基于TCP的控制通道實現了控制消息在控制器和交換機之間可靠傳播，但它不能防止控制消息被攻擊者嗅探和篡改。經過目前研究證實，基于TCP的控制通道可以通過惡意操縱控制消息來破壞網絡服務可用性(如篡改防火墻策略和網絡拓撲視圖)。由于基于TCP的控制通道安全性低，敏感網絡信息或重要控制決策的控制消息容易被破壞或泄露。

為了提高控制通道的安全性，基于SSL/TLS的控制通道作為SDN部署的默認機制，使得控制消息的機密性和完整性可以被充分保護。但是，由于高昂的性能開銷，這種加密通道并沒有被廣泛采用。例如，現代數據中心的SDN控制器每秒通常需要響應來自數百個交換機的數百萬個流請求，由于添加了安全操作(如加密和解密)，控制器中大量計算資源被消耗，從而降低控制器處理流請求的吞吐量。因此，網絡管理者通常禁用這種加密通道來滿足網絡性能的需求。因此，目前需要一種提高安全性和性能且能夠廣泛使用的OpenFlow網絡中的輕量級控制通道的通信保護方法。

發明內容

本發明的目的在于提供一種OpenFlow網絡中輕量級控制通道的通信保護方法，其能夠解決目前的控制通道安全性低、性能消耗大以及不能廣泛使用的問題。

本發明的實施例是這樣實現的：

一種OpenFlow網絡中輕量級控制通道的通信保護方法，應用于OpenFlow設備之間的通信，包含如下步驟：(1)為所述OpenFlow設備預設唯一的種子值；(2)對所述種子值進行哈希以生成設備私鑰；所述設備私鑰利用非對稱密碼算法計算出設備公鑰；(3)所述設備公鑰進行哈希以產生設備身份標識；(4)通過所述設備身份標識封裝所述OpenFlow設備發出的內容以加密；(5)通過所述設備身份標識還原所述OpenFlow設備的內容以解密。