本申請公開一種改進軟件定義網絡的安全通信系統，包括：應用層模塊、安全通信服務層模塊、控制層模塊和轉發層模塊；所述應用層模塊包括多個客戶端，所述客戶端作為請求客戶端或目標客戶端；所述安全通信服務層模塊設置有安全數據庫，所述安全數據庫存儲有客戶端身份標識列表、安全通信服務層模塊公私鑰對、多個客戶端公鑰和多個客戶端網絡地址。可以解決現有軟件定義網絡全網的信息和數據以明文形式在網絡上傳播，導致隱私容易泄漏；以及軟件定義網絡的可編程性導致的易受到外界的惡意入侵等問題。

技術領域

本申請涉及安全通信技術領域，具體的涉及一種改進軟件定義網絡的安全通信系統。

背景技術

軟件定義網絡（Software?Defined?Network，SDN）是對傳統網絡架構的一次重構，將原來分布式控制的網絡架構重構為集中控制的網絡架構。即在分布式網絡連接之上，引入一個集中統一的控制與管理層來實現網絡全局管理和對上層業務的動態響應。

然而，現有軟件定義網絡的全網設備資源是對外暴露的，潛藏著較大的資源訪問安全隱患，尤其，網絡流量中存在著有價值的信息和數據，將這些有價值的信息和數據以明文的形式在網絡上傳播，會導致隱私的泄漏；另外，軟件定義網絡的可編程性為惡意入侵提供了接口，易受到外界的惡意入侵。

發明內容

本申請提供一種改進軟件定義網絡的安全通信系統，可以解決現有軟件定義網絡全網的信息和數據以明文的形式在網絡上傳播，導致隱私容易泄漏；以及軟件定義網絡的可編程性導致的易受到外界的惡意入侵等問題。

一種改進軟件定義網絡的安全通信系統，包括：應用層模塊、安全通信服務層模塊、控制層模塊和轉發層模塊；所述應用層模塊包括多個客戶端，所述客戶端作為請求客戶端或目標客戶端；所述安全通信服務層模塊設置有安全數據庫，所述安全數據庫存儲有客戶端身份標識列表、安全通信服務層模塊公私鑰對、多個客戶端公鑰和多個客戶端網絡地址；

所述請求客戶端配置為執行：

連接請求發送步驟，向所述安全通信服務層模塊發送連接請求消息；所述連接請求消息由連接請求消息文本經過數字簽名并使用安全通信服務層模塊公鑰加密得到；

所述安全通信服務層模塊配置為執行：

連接請求驗證步驟，使用安全通信服務層模塊私鑰對接收到的所述連接請求消息解密并進行簽名驗證，得到所述連接請求消息文本；

客戶端網址查詢步驟，根據所述連接請求消息文本，在所述安全數據庫內查找目標客戶端公鑰和目標客戶端網絡地址；

請求密文發送步驟，根據所述目標客戶端網絡地址，經過所述控制層模塊向所述轉發層模塊發送連接請求消息密文，所述連接請求消息密文由所述連接請求消息文本經過數字簽名并通過所述目標客戶端公鑰加密得到；

所述轉發層模塊配置為執行：

密文轉發步驟，根據所述控制層模塊制定的轉發策略，向所述目標客戶端轉發所述連接請求消息密文；所述轉發策略根據所述目標客戶端網絡地址制定；

所述目標客戶端配置為執行：

請求應答步驟，如果目標客戶端私鑰能夠解密所述連接請求消息密文并簽名驗證成功，向所述安全通信服務層模塊發送請求確認消息密文，所述請求確認消息密文由請求確認消息經過數字簽名并通過所述安全通信服務層模塊公鑰加密得到；

所述安全通信服務層模塊進一步配置為執行：

請求確認消息密文驗證步驟，使用所述安全通信服務層模塊私鑰對接收到的所述請求確認消息密文解密并進行簽名驗證；如果密文解密成功且簽名驗證成功，所述請求客戶端與所述目標客戶端之間成功建立安全連接。