[发明专利]一种基于区块链的网络帧安全验证方法及SDN交换机

说明书

本发明公开了一种基于区块链的网络帧安全验证方法及SDN交换机，包括以下步骤：S1、当前SDN交换机接收直连用户主机发送的待验证数据；S2、根据验证概率p生成概率判定算法对待验证数据进行解析鉴别，并判定是否对待验证数据进行转发验证，若“是”，则转步骤S3，若“否”，则转步骤S4；S3、根据转发验证算法对所述待验证数据进行验证；S4、直接将所述待验证数据发送至其他SDN交换机。本发明结合SDN网络特征提出基于帧转发证明的共识算法，结合半随机选择验证与验证信息维护，在合理的系统开销下，设计了一种可避免单点故障与私钥泄露问题、对数据帧来源合法性与内容安全性识别的数据帧安全验证机制。

技术领域

本发明涉及通信网络安全领域，具体涉及一种基于区块链的网络帧安全验证方法及SDN交换机。

背景技术

SDN网络通过将传统网络设备的数据平面和控制平面分离，提升了网络部署的灵活性，同时具有较高的开放性和可编程性。随着网络安全与对抗问题的日益凸显，在存在恶意节点的对抗环境下，SDN网络必须考虑对其中传输的数据帧进行有效的安全验证。

当前，数据帧的验证机制主要有如下几种方式：(1)在数据帧中添加验证位，如校验和等。这种方式主要保障传输过程中的误码等非对抗性错误，不能适用于对抗环境。(2)路径验证。将数据帧实际转发路径与SDN控制器下发的转发路径(预定转发路径)进行对比、验证，确保数据帧在转发过程中所经历设备均是合法可信设备；同时，预定转发路径上的某个设备如果出现异常转发行为，也可以作为该设备具有可疑性的依据。但是，这类方式不能保证数据帧发送源的可靠性，在恶意设备仅篡改数据帧内容、但遵循预定转发路径时，该机制也无法有效识别这种数据帧的篡改。(3)源节点验证。通过验证方(如SDN控制器、指定的验证服务器或者网络设备等)与被验证方(通信的终端主机)双方约定的某种标签或者机制，确保数据帧发送方是系统认可的合法节点。但是，这类验证机制通常是基于集中式的架构，中心节点被攻击失效时将导致整个验证体系的失效。(4)加密保护。这种方式可用于对数据帧的整体保护。但是，如果使用对称密钥，则密钥的泄露可能给系统引入额外的风险；如果使用非对称密钥，对于数据帧的全文加密，将带来大量的额外系统开销。

在实际应用中，也有将上述两种或者多种方式结合使用的模式，但是，这种模式将给系统带来更大的资源负担。因此，在SDN网络中，现有验证机制都还存在一定的缺陷。在合理的系统开销下，基于区块链的分布式特性，设计一种可避免单点故障与私钥泄露问题、可有效进行数据帧来源合法性与内容安全性识别的数据帧安全验证机制，具有重要的意义。

发明内容

本发明的目的在于提供一种基于区块链的网络帧安全验证方法及SDN交换机，以基于帧转发证明的共识方法为基础，构建了用于数据帧安全验证的区块链系统，基于该区块链系统，提出验证信息维护机制，因此在较低的、合理的系统开销下，保障了验证信息与验证过程的分布式实施及安全性保障，同时，为了在不降低验证性能的情况下，进一步降低系统的验证开销，本发明进一步提出了半随机选择验证机制。用以解决现有的数据帧安全验证机制在验证设备受到攻击或恶意控制时，将导致整体验证体系无法有效运行的问题。

一种基于区块链的网络帧安全验证方法，包括以下步骤：

S1、当前SDN交换机接收直连用户主机发送的待验证数据；

S2、根据验证概率p生成概率判定算法对待验证数据进行解析鉴别，并判定是否对待验证数据进行转发验证，若“是”，则转步骤S3，若“否”，则转步骤S4；

S3、根据转发验证算法对所述待验证数据进行验证；

S4、直接将所述待验证数据发送至其他SDN交换机。

进一步地，所述待验证数据生成过程为：

由数据帧与用户主机中预设哈希函数生成报文摘要，再根据内部存储伪随机数与用户主机的自身身份属性完成私钥更新，基于所述更新的私钥对报文摘要进行加密形成数字签名，并将所述数字签名与所述数据帧打包封装而成待验证数据。