[发明专利]一种SDN网络控制器安全认证方法及系统

权利要求书

1.一种SDN网络控制器安全认证方法，其特征在于，包括：

步骤1，确定交换机和控制器所使用的Openflow协议版本；

步骤2，控制器发送请求获得交换机配置信息；

步骤3，控制器向交换机发送认证请求，请求成功后使用DPID生成会话密钥并发送至交换机验证，请求失败则终止会话；

步骤4，交换机验证控制器发送的密钥，验证成功后发送认证结果应答至控制器，控制器根据应答结果判断认证结果，若认证成功则使用会话密钥加密后续消息，若失败则终止会话。

2.根据权利要求1所述的一种SDN网络控制器安全认证方法，其特征在于，所述步骤1中，交换机和控制器先建立TCP连接，随后交换机发送消息OF_HELLO至控制器，控制器应答对称消息OF_HELLO给交换机，以确定双方使用的Openflow协议版本。

3.根据权利要求1所述的一种SDN网络控制器安全认证方法，其特征在于，所述步骤2中的配置信息包括：交换机的Datapath ID、最大缓存数量、最大转发表数量、最大辅助连接数量。

4.根据权利要求1所述的一种SDN网络控制器安全认证方法，其特征在于，所述步骤2中，控制器向交换机发送OF_FEATURES_REQUEST消息，交换机则应答OFPT_FEATURES_REPLY消息，该消息包含交换机的DatapathID，以及最大缓存数量，最大转发表数量和最大辅助连接数量。

5.根据权利要求4所述的一种SDN网络控制器安全认证方法，其特征在于，所述步骤3中，由控制器主动发起认证请求，使用数字签名技术对OF_AUTH_REQUEST消息中的协议类型、事件序列号和DPID生成消息摘要，封装至OF_AUTH_REQUEST消息中，发送给交换机。

6.根据权利要求5所述的一种SDN网络控制器安全认证方法，其特征在于，所述步骤4具体包括：

步骤4.1交换机收到OF_AUTH_REQUEST消息后，使用控制器公钥对数字签名解密，获得该摘要信息，确认；

步骤4.2，交换机生成会话密钥，使用非对称加密算法加密该密钥，计算数字签名，封装至OF_AUTH_REPLY消息中发送至控制器；

步骤4.3，控制器在接收到OF_AUTH_REPLY消息后进行解密。

7.一种SDN网络控制器安全认证系统，其特征在于，包括：

版本确定模块，确定交换机和控制器所使用的Openflow协议版本；

配置获取模块，控制器发送请求获得交换机配置信息；

认证请求模块，控制器向交换机发送认证请求，请求成功后使用DPID生成会话密钥并发送至交换机验证，请求失败则终止会话；

密钥验证模块，交换机验证控制器发送的密钥，验证成功后发送认证结果应答至控制器，控制器根据应答结果判断认证结果，若认证成功则使用会话密钥加密后续消息，若失败则终止会话。