本發(fā)明涉及一種體系化的軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)保密方法。

背景技術(shù)：

軟件定義網(wǎng)絡(luò)(Software-Defined Networking,SDN)技術(shù)仍處于發(fā)展初期，已有基于SDN技術(shù)設(shè)計(jì)的數(shù)據(jù)中心。軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)體系結(jié)構(gòu)從上至下分為7層：應(yīng)用層、資源協(xié)同層、網(wǎng)絡(luò)控制器、物理轉(zhuǎn)發(fā)層、虛擬轉(zhuǎn)發(fā)層和計(jì)算/存儲層。應(yīng)用層包括網(wǎng)管等各類應(yīng)用，資源協(xié)同層包括協(xié)同優(yōu)化計(jì)算、存儲、網(wǎng)絡(luò)資源等的分配，網(wǎng)絡(luò)控制器主要包括控制網(wǎng)絡(luò)設(shè)備的SDN控制器，物理轉(zhuǎn)發(fā)層主要包括SDN網(wǎng)絡(luò)交換機(jī)，虛擬轉(zhuǎn)發(fā)層主要包括存在于服務(wù)器中的SDN虛擬轉(zhuǎn)發(fā)設(shè)備，計(jì)算/存儲層主要包括數(shù)據(jù)中心服務(wù)器和存儲設(shè)備。

軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)具有兩點(diǎn)典型特征：一是相比傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)中運(yùn)行分布式協(xié)議對網(wǎng)絡(luò)進(jìn)行控制的方式，軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)通過SDN控制器進(jìn)行集中控制；二是相比傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)中較少虛擬機(jī)與虛擬化網(wǎng)絡(luò)，軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)中存在有大量虛擬機(jī)與虛擬化網(wǎng)絡(luò)。

針對軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)的安全研究主要集中在如下兩點(diǎn)：一是提出安全增強(qiáng)的網(wǎng)絡(luò)交換機(jī)設(shè)計(jì)，二是提出安全增強(qiáng)的網(wǎng)絡(luò)控制器設(shè)計(jì)。安全增強(qiáng)的網(wǎng)絡(luò)交換機(jī)與網(wǎng)絡(luò)控制器能夠解決如拒絕服務(wù)攻擊、非法接入訪問等系統(tǒng)安全問題，但不能解決數(shù)據(jù)中心網(wǎng)絡(luò)傳輸數(shù)據(jù)的保密。

SDN技術(shù)體制引入數(shù)據(jù)中心網(wǎng)絡(luò)后，帶來一系列新型安全風(fēng)險(xiǎn)：包括未授權(quán)的控制器訪問、未認(rèn)證的應(yīng)用程序等訪問控制風(fēng)險(xiǎn)，包括OpenFlow流表泄露、轉(zhuǎn)發(fā)規(guī)則泄露等數(shù)據(jù)泄露風(fēng)險(xiǎn)，包括OpenFlow流表篡改、數(shù)據(jù)包篡改等數(shù)據(jù)篡改風(fēng)險(xiǎn)，包括惡意流表規(guī)則注入、控制器劫持等惡意應(yīng)用風(fēng)險(xiǎn)，包括南向接口DDoS、交換機(jī)流表DDoS等拒絕服務(wù)風(fēng)險(xiǎn)，包括配置命令認(rèn)證缺失、管理策略認(rèn)證缺失等配置錯(cuò)誤風(fēng)險(xiǎn)?；赟DN的數(shù)據(jù)中心網(wǎng)絡(luò)中大量使用虛擬化技術(shù)，虛擬化技術(shù)的廣泛使用帶來一系列新型安全風(fēng)險(xiǎn)：虛擬機(jī)間交互數(shù)據(jù)缺乏機(jī)密性保護(hù)，虛擬機(jī)遷移缺乏安全遷移通道。

由于SDN技術(shù)仍處于發(fā)展之中，數(shù)據(jù)中心網(wǎng)絡(luò)中引入SDN技術(shù)體制帶來的新型安全風(fēng)險(xiǎn)仍在研究中。當(dāng)前未見與軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)特征相適配的保密方法。

技術(shù)實(shí)現(xiàn)要素：

為了克服現(xiàn)有技術(shù)的上述缺點(diǎn)，本發(fā)明提供了一種體系化的軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)保密方法，涉及多個(gè)層次多個(gè)環(huán)節(jié)，滿足體系化的軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)保密需求。

本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是：一種體系化的軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)保密方法，包括如下內(nèi)容：

(一)密鑰管理中心與SDN控制器集成；

(二)密鑰分配過程與SDN控制器和交換機(jī)間的交互過程融合；

(三)不同層SDN交換機(jī)間二層加密；

(四)SDN交換機(jī)與SDN控制器間SDN南向接口通道加密；

(五)SDN控制器間加密；

(六)SDN控制器與管理終端間加密。

與現(xiàn)有技術(shù)相比，本發(fā)明的積極效果是：

1、保護(hù)管理終端與SDN控制器間交互數(shù)據(jù)的機(jī)密性：軟件定義數(shù)據(jù)中心管理終端向SDN控制器發(fā)送管理指令，SDN控制器向管理終端發(fā)送網(wǎng)絡(luò)信息摘要，這類數(shù)據(jù)包含網(wǎng)絡(luò)正確運(yùn)行時(shí)需要滿足的最重要的管理目標(biāo)。采取保密措施后，能夠防止惡意人員截取篡改等非法操作，避免網(wǎng)絡(luò)管理目標(biāo)數(shù)據(jù)遭到被泄露的風(fēng)險(xiǎn)。

2、保護(hù)SDN控制器間交互數(shù)據(jù)的機(jī)密性：軟件定義數(shù)據(jù)中心分層分域控制時(shí)，多個(gè)SDN控制器之間要交互所控制網(wǎng)絡(luò)的信息，這類數(shù)據(jù)包含數(shù)據(jù)中心網(wǎng)絡(luò)多個(gè)子網(wǎng)絡(luò)中的關(guān)鍵網(wǎng)絡(luò)信息。采取保密措施后，能夠防止惡意人員截取篡改等非法操作，避免子網(wǎng)絡(luò)關(guān)鍵信息遭到被泄露的風(fēng)險(xiǎn)以及避免網(wǎng)絡(luò)信息遭到被欺騙的風(fēng)險(xiǎn)。

3、保護(hù)SDN控制器內(nèi)部維護(hù)的網(wǎng)絡(luò)數(shù)據(jù)庫的機(jī)密性：軟件定義數(shù)據(jù)中心全網(wǎng)拓?fù)湫畔ⅰ⒘髁烤仃囆畔⒌戎匾畔⒍即鎯υ赟DN控制器內(nèi)部維護(hù)的網(wǎng)絡(luò)數(shù)據(jù)庫中，這類數(shù)據(jù)包含軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)全網(wǎng)關(guān)鍵網(wǎng)絡(luò)信息，采取保密措施后，能夠防止惡意人員讀取篡改等非法操作，避免全網(wǎng)關(guān)鍵信息遭到被泄露的風(fēng)險(xiǎn)以及避免全網(wǎng)信息遭到被欺騙的風(fēng)險(xiǎn)。

4、保護(hù)SDN控制器與SDN交換機(jī)間通道的機(jī)密性：軟件定義數(shù)據(jù)中心SDN控制器向SDN交換機(jī)發(fā)送控制指令，SDN交換機(jī)向SDN控制器上報(bào)網(wǎng)絡(luò)拓?fù)渑c網(wǎng)絡(luò)流量等信息，這類數(shù)據(jù)包含網(wǎng)絡(luò)交換正常運(yùn)行所依賴的流表信息以及網(wǎng)絡(luò)路由計(jì)算所依賴的物理網(wǎng)絡(luò)拓?fù)渑c流量信息，采取保密措施后，能夠防止惡意人員截取篡改等非法操作，避免網(wǎng)絡(luò)交換遭到無法正常運(yùn)行的風(fēng)險(xiǎn)以及避免網(wǎng)絡(luò)路由遭到被劫持的風(fēng)險(xiǎn)。

5、保護(hù)虛擬機(jī)間數(shù)據(jù)交互的機(jī)密性：軟件定義數(shù)據(jù)中心里分布有大量虛擬機(jī)，虛擬機(jī)間不斷交互數(shù)據(jù)共同完成如大規(guī)模分布式計(jì)算等業(yè)務(wù)，這類數(shù)據(jù)包含數(shù)據(jù)中心所服務(wù)的客戶的重要業(yè)務(wù)數(shù)據(jù)，采取保密措施后，能夠防止惡意人員截取篡改等非法操作，避免客戶業(yè)務(wù)數(shù)據(jù)遭到被泄露的風(fēng)險(xiǎn)。

6、保護(hù)虛擬機(jī)遷移通道的機(jī)密性：軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)中的虛擬機(jī)常常根據(jù)計(jì)算資源調(diào)配等要求進(jìn)行遷移，遷移通道中包含虛擬機(jī)全部資源數(shù)據(jù)，采取保密措施后，能夠防止惡意人員截取篡改等非法操作，避免虛擬機(jī)資源數(shù)據(jù)遭到被泄露的風(fēng)險(xiǎn)。

具體實(shí)施方式

一種體系化的軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)保密方法，包括如下幾個(gè)方面：

1、密鑰管理中心與SDN控制器集成。

步驟1.1：在SDN控制器中的數(shù)據(jù)存儲區(qū)劃出一塊專用存儲區(qū)；

步驟1.2：在該專用存儲區(qū)中用對稱加密方法加密存儲密鑰；

步驟1.3：在SDN控制器的中央處理器中劃出一塊專用處理單元；

步驟1.4：使用該專用處理單元專門處理密鑰管理。

通過將密鑰管理中心與SDN控制器集成，便于軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)密鑰管理方案簡潔化，實(shí)現(xiàn)高效密鑰管理能力，達(dá)到保護(hù)SDN控制器內(nèi)部維護(hù)的網(wǎng)絡(luò)數(shù)據(jù)庫的機(jī)密性。

2、密鑰分配過程與SDN控制器、交換機(jī)間的交互過程融合。

步驟2.1：交換機(jī)向SDN控制器注冊時(shí)，交換機(jī)向SDN控制器發(fā)送共享口令P；

步驟2.2：控制器向交換機(jī)反饋?zhàn)誀顟B(tài)時(shí)，同時(shí)產(chǎn)生隨機(jī)公開密鑰/私人密鑰對，用對稱算法和P作為密鑰，對公開密鑰K’進(jìn)行加密得到P{K’}，將該結(jié)果發(fā)送給交換機(jī)；

步驟2.3：交換機(jī)利用P，解密P{K’}消息，得到K’，然后產(chǎn)生隨機(jī)會話密鑰K，用從控制器處得到的公開密鑰K’和P加密K，得到P{K’{K}}，發(fā)送給控制器；

步驟2.4：控制器解密P{K’{K}}消息，得到K，產(chǎn)生隨機(jī)串Ra，用K加密后得到K{Ra}，發(fā)送給交換機(jī)；

步驟2.5：交換機(jī)解密K{Ra}，得到Ra，產(chǎn)生隨機(jī)串Rb，用K加密得到K{Ra,Rb}，把結(jié)果發(fā)送給控制器；

步驟2.6：控制器解密K{Ra,Rb}，得到Ra和Rb，若解密得到的Ra與步驟2.4產(chǎn)生的Ra相同，則控制器用K加密Rb，得到K{Rb}，發(fā)送給交換機(jī)；

步驟2.7：交換機(jī)解密K{Rb}，得到Rb，若解密得到的Rb與步驟2.5產(chǎn)生的Rb相同，則將Rb作為密鑰。完成密鑰分配過程。

通過將密鑰分配過程與此交互過程進(jìn)行融合設(shè)計(jì)，將密鑰分配與通信交互流程一體化，實(shí)現(xiàn)高效密鑰分配能力。

3、不同層SDN交換機(jī)間二層加密。

步驟3.1：不同層SDN交換機(jī)運(yùn)行上述步驟2.1至步驟2.7中的過程，獲得密鑰；

步驟3.2：需要交換數(shù)據(jù)的不同層SDN交換機(jī)之間，通過控制器分配會話密鑰；

步驟3.3：需要交換數(shù)據(jù)的不同層SDN交換機(jī)之間使用對稱加密方法加密數(shù)據(jù)。

通過上層交換機(jī)協(xié)助進(jìn)行虛擬機(jī)間通信的加密，方便跨域虛擬機(jī)遷移，實(shí)現(xiàn)二層加密，達(dá)到保護(hù)虛擬機(jī)間數(shù)據(jù)交互的機(jī)密性和保護(hù)虛擬機(jī)遷移通道的機(jī)密性。

4、SDN交換機(jī)與SDN控制器間SDN南向接口通道加密。

步驟4.1：SDN交換機(jī)與SDN控制器之間通過運(yùn)行上述步驟2.1至步驟2.7中的過程，獲得密鑰；

步驟4.2：SDN交換機(jī)與SDN控制器之間交換的數(shù)據(jù)使用對稱加密方法加密數(shù)據(jù)。

通過SDN南向接口通信加密，便于SDN控制器向SDN交換機(jī)發(fā)出收集網(wǎng)絡(luò)拓?fù)湫畔⒌募用苤噶?，SDN交換機(jī)上報(bào)加密后的拓?fù)湫畔?，達(dá)到保護(hù)SDN控制器與SDN交換機(jī)間通道的機(jī)密性。

5、SDN控制器間加密。

步驟5.1：不同SDN控制器與相直接連接的SDN交換機(jī)運(yùn)行上述步驟2.1至步驟2.7中的過程，獲得密鑰；

步驟5.2：需要交換數(shù)據(jù)的SDN控制器之間使用對稱加密方法加密數(shù)據(jù)。

通過實(shí)現(xiàn)SDN控制器集群中單個(gè)控制器間通信的加密，便于SDN控制器之間交互本地拓?fù)浼用苄畔?，達(dá)到保護(hù)SDN控制器間交互數(shù)據(jù)的機(jī)密性。

6、SDN控制器與管理終端間加密。

步驟6.1：SDN控制器與管理終端通過直接相連的交換機(jī)運(yùn)行上述步驟2.1至步驟2.7中的過程，獲得密鑰；

步驟6.2：需要交換數(shù)據(jù)的SDN控制器與管理終端間使用對稱加密方法加密數(shù)據(jù)。

通過SDN控制器與管理終端間通信的加密，便于管理終端向SDN控制器發(fā)布加密后的管理配置變化需求，達(dá)到保護(hù)管理終端與SDN控制器間交互數(shù)據(jù)的機(jī)密性。