[发明专利]一种软件定义的网络鉴别系统和方法

说明书

技术领域

本发明属于网络通信领域，具体地说是提出一种软件定义的网络鉴别系统及其方法。

背景技术

网络鉴别(NetworkAuthentication)是一个实体经过网络向另外的实体证明其身份的过程。尽管鉴别并非是通信过程必不可少的一部分，但是它是网络实体安全运行其他功能性协议(例如链路接入、可靠数据传输、路由选择或电子邮件等)的前提，其作用极为重要。

然而，目前的网络鉴别系统存在着如下缺陷：一是鉴别机制对网络功能不完备。首先，网络功能与鉴别机制紧耦合，尽管不同的网络鉴别机制具有类似的功能和过程，但不同的网络功能往往配有不同的鉴别过程；其次，各种鉴别机制定义了独特的体系结构，部署成本较高；第三，不同的鉴别机制所提供的服务存在冗余。二是鉴别机制对网络功能不透明。首先，鉴别机制通常显式地提示用户输入某种特征信息，这增加了运行时延和用户操作的复杂性；其次，定制鉴别机制往往要求修改网络功能程序，增加了开发成本和部署难度。

软件定义网络(SoftwareDefinedNetworking,SDN)是一种新型网络创新架构，OpenFlow是其南向接口，提供了以流为单位、粒度可调节的分组转发控制功能。OpenFlow分离了网络的控制平面与数据平面，通过在控制器进行软件编程，实现了对网络功能的灵活控制，为网络应用的创新、发展未来互联网技术提供了良好的平台。

发明内容

本发明针对现有网络鉴别机制存在的对网络功能不完备和对网络用户不透明的问题，提出了一种软件定义、与网络功能无关和对用户透明的网络鉴别系统及其方法。

本发明的技术方案是：

一种支持软件定义的网络鉴别系统，它包括：

一台注册服务器；为网络实体提供实名制注册，所述的网络实体包括注册服务器本身、每个SDN归属控制器、每个OpenFlow交换机和每个具有鉴别守护进程的注册网络端系统，为前述各网络实体分配全局唯一的身份标识符，并且生成公钥密码体制的私钥和公钥；

注册服务器的数据库中录入并存储每个网络实体的身份属性，对于注册网络端系统，还需要存储应用属性信息；注册服务器将注册网络端系统的公钥、身份属性、应用属性信息推送给各注册网络端系统所关联的归属控制器保管，所述的应用属性信息形成网络功能列表；

若干台SDN归属控制器：每个SDN归属控制器管理一个对应的网络管理域，SDN归属控制器是该管理域的集中式控制中心，它们管理属于本管理域的若干个注册网络端系统并存储它们的公钥、身份属性和应用属性信息；SDN归属控制器通过向本管理域OpenFlow交换机下发流表项来执行网络控制策略，每当管理域中的某注册网络端系统发送新流时，OpenFlow交换机就会向SDN归属控制器转发首个报文，由此触发SDN归属控制器鉴别注册网络端系统的身份属性和应用属性；

一台或多台OpenFlow交换机：在特定网络管理域中提供符合OpenFlow规范的转发分组功能的交换机；

若干具有鉴别守护进程的注册网络端系统：这些端系统是提供现有网络规范功能且具有鉴别守护进程的普通端系统，它们通过实名制注册成为系统的可信用户。

本发明中，网络实体的身份属性信息是能够标识网络实体身份的唯一标识符，包括分配给各网络实体的私钥。

本发明中，应用属性信息是与注册网络端系统有权访问的特定网络服务形成一一映射的信息，包括与某服务对应的标识码、端口号、运输协议、IP地址、MAC地址等。

一种支持软件定义的网络鉴别方法，它包括实名制注册的步骤和鉴别网络实体身份属性的步骤；具体为：

实名制注册的步骤：

首先，任一网络实体均在注册服务器上进行实名制注册：管理员先验证网络实体身份的真实性，之后注册服务器为网络实体生成全局唯一的身份标识符、私钥和公钥；

然后，网络管理员输入注册网络端系统能够使用的网络服务列表、IP地址、MAC地址等信息，前述网络服务列表与注册网络端系统的应用属性信息相对应；

第三，注册服务器将生成的注册网络端系统的公钥、应用属性、IP地址和MAC地址信息下发至SDN归属控制器；

鉴别网络实体身份属性的步骤：