[发明专利]一种OpenFlow网络中的轻量级控制通道通信保护方法及系统

说明书

本发明提供一种OpenFlow网络中的轻量级控制通道通信保护方法及系统，涉及通信领域。其中，一种OpenFlow网络中的轻量级控制通道通信保护方法包含：OpenFlow控制器和OpenFlow交换机分别预设唯一的种子值；两个种子值分别进行哈希以生成设备私钥；两个设备私钥分别利用非对称密码算法产生设备公钥；利用哈希函数处理OpenFlow控制器的设备公钥，并将生成的哈希值作为标识OpenFlow控制器的控制器消息认证码；OpenFlow控制器以及OpenFlow交换机的设备私钥和设备公钥通过密钥协商算法产生共享密钥。本发明解决了OpenFlow网络的通信安全性低和能耗高的问题。

技术领域

本发明涉及通信领域，具体而言，涉及一种OpenFlow网络中的轻量级控制通道通信保护方法及系统。

背景技术

在传统网络中，一个集成多种网络功能的控制平面和一个负责转发数据包的数据平面是紧密耦合的，并且通常会嵌入在一个专有设备中，这严重限制了网络的灵活管理和网络服务创新的潜力。软件定义网络(Software-Defined Networking，以下简称为“SDN”)，作为一种很有前途的网络架构，通过将控制平面与数据平面解耦，提供了一种“可编程网络”的实现方法。SDN使得网络运营商能够使用动态、自动化以及设备无关的应用程序灵活、快速地管理、配置和优化网络资源。

在SDN中，由于控制平面与数据平面的解耦，两者之间的通信由单一系统内部的进程间通信转变为两个独立系统之间的远程通信。因此，诸多通信协议被广泛提出，如OpenFlow、Netconf以及OVSDB。其中OpenFlow作为事实上的标准协议，已经被成功地应用于许多商业部署，如Google B4。在OpenFlow中，逻辑上集中的控制平面(控制器)与多个OpenFlow交换机建立连接，并相互交换控制消息，以实现网络管理。其中，控制器与与交换机之间的连接称作控制通道。目前，OpenFlow提供了两种类型的控制通道：基于TCP协议的控制通道与基于SSL/TLS安全协议的控制通道。基于TCP的控制通道实现了控制消息在控制器和交换机之间可靠传播，但它不能防止控制消息被攻击者嗅探和篡改。经过目前研究证实，基于TCP的控制通道可以通过恶意操纵控制消息来破坏网络服务可用性(如篡改防火墙策略和网络拓扑视图)。由于基于TCP的控制通道安全性低，敏感网络信息或重要控制决策的控制消息容易被破坏或泄露。

为了提高控制通道的安全性，基于SSL/TLS的控制通道作为SDN部署的默认机制，使得控制消息的机密性和完整性可以被充分保护。但是，由于高昂的性能开销，这种加密通道并没有被广泛采用。例如，现代数据中心的SDN控制器每秒通常需要响应来自数百个交换机的数百万个流请求，由于在各个流请求中分别添加了安全操作(如加密和解密)，控制器中大量计算资源被消耗，从而降低控制器处理流请求的吞吐量。因此，网络管理者通常禁用这种加密通道来满足网络性能的需求。因此，目前需要一种安全性高、性能高且能够广泛使用的OpenFlow网络中的轻量级控制通道的通信保护方法和系统。

发明内容

本发明的目的在于提供一种OpenFlow网络中的轻量级控制通道通信保护方法，其能够解决目前OpenFlow控制通道安全性低、性能消耗大以及不能广泛使用的问题。

本发明的另一目的在于提供一种应用OpenFlow网络中的轻量级控制通道通信保护方法的系统，其能够解决目前OpenFlow控制通道安全性低、性能消耗大以及不能广泛使用的问题。