一种基于代理的软件定义网络分布式多粒度控制器安全通信方法

摘要

本发明涉及一种基于代理的软件定义网络分布式多粒度控制器安全通信方法，属于多域SDN网络的域间通信安全技术领域。该方法通过设计分布式多粒度安全控制器架构，包括控制器之间的消息数据包格式，利用控制器域和域间代理的连接、域间代理之间的连接建立通信隧道，完成控制器之间的邻居发现、两步身份认证和加密传输以实现多域网络控制器之间直接通信。在该通信方法中，基础设施基于安全控制器和域间代理，通过域间代理把控制平面的消息下发到数据平面传输，解决了独立控制平面之间的通信问题；同时，基于挑战响应机制和DTLS协议给出了控制器通信的两步认证方案，可以防御拒绝服务供给并完成身份认证，提高了安全性。

主权项

一种基于代理的软件定义网络分布式多粒度控制器安全通信方法，其特征在于：该方法包括以下步骤：S1：设计构建一个分布式多粒度控制器架构，使各个SDN自治域达到域间通信的目的；该架构分为基础控制块和多粒度安全定制模块以及一个增强的安全控制器，基础控制模块遵循SDN架构要求实现基本功能，多粒度安全定制模块实现在控制器中可自定义的安全功能，而增强的安全控制器是为了解决在SDN多网络的环境下域间的安全问题；S2：在步骤S1的架构模式下对安全通信方法中的消息格式进行设计，所有控制器间的数据传递采用专用的以太网数据包类型标识0xEFEF，载荷部分保留IP数据包格式，而传输层采用UDP协议；S3：安全连接建立之邻居发现，邻居发现采用广播式的发现方式，每个自治域的控制器通过域间代理广播自己的信息；控制器将自治域的AS号、是否支持安全隧道和安全隧道服务端口号等信息下发给域间代理，域间代理封装成以太网数据包后转发给相邻自治域，自定义了邻居发现消息的格式；S4：安全连接建立之可信认证，在域间控制器通信时，需要保证控制器到域间代理和域间代理之间的通信安全，所以必须完成控制器之间的身份认证，控制器双方都需要明确对方是否可信，因此采用两步认证，两步认证包括域间代理认证和证书认证；S5：安全连接建立之隧道建立，SDN多域网络运行过程中，各个自治域的控制器不断广播自己的信息，其它自治域的控制器收到广播消息后，想发送消息的控制器发起连接。