用于云平臺網絡的安全控制方法
【技術領域】
[0001]本發(fā)明涉及安全控制方法,更具體地����,涉及用于云平臺網絡的安全控制方法。
【背景技術】
[0002]目前���,隨著計算機和網絡應用的日益廣泛以及不同領域的業(yè)務種類的日益豐富�,通過控制器對云平臺網絡中的各個節(jié)點以安全的方式進行控制變得越來越重要�����。
[0003]在現(xiàn)有的技術方案中����,通常采用如下方式實現(xiàn)對云平臺網絡中的節(jié)點的安全控制:采用基于SLL協(xié)議的安全通道作為控制器和云網絡節(jié)點之間的數據傳輸的安全機制。
[0004]然而�,現(xiàn)有的技術方案存在如下問題:(1)由于云網絡平臺中的控制命令通常以明文的方式進行傳輸,故網絡中的攻擊者能夠通過篡改控制命令的方式對整個云網絡平臺實施攻擊����;(2)攻擊者能夠嘗試將一些新的流規(guī)則實例化到網絡設備的流表中以使偽造的新數據流被允許通過,以及對云網絡平臺中的流進行竊聽�����。
[0005]因此,存在如下需求:提供具有高的安全性等級的用于云平臺網絡的安全控制方法�����。
【發(fā)明內容】
[0006]為了解決上述現(xiàn)有技術方案所存在的問題���,本發(fā)明提出了具有高的安全性等級的用于云平臺網絡的安全控制方法��。
[0007]本發(fā)明的目的是通過以下技術方案實現(xiàn)的:
一種用于云平臺網絡的安全控制方法����,所述用于云平臺網絡的安全控制方法包括下列步驟:
(Al)云網絡平臺的控制器在發(fā)送控制數據報文時基于預設的安全等級值和第一當前有效密鑰以及預定的散列函數對所述控制數據報文中的應用層數據進行散列運算以獲得運算結果�����;
(A2)將所述運算結果的第一部分作為認證數據附加入所述控制數據報文中����,并且將所述運算結果的第二部分作為新的第一當前有效密鑰以供下一次散列運算使用;
(A3)將附加有所述認證數據的控制數據報文發(fā)送至所述云網絡平臺中的目標節(jié)點�,隨之所述目標節(jié)點使用與所述控制器采用的散列運算相對應的算法驗證所述認證數據,并且如果驗證通過��,則執(zhí)行所述控制數據報文中的應用層數據所指示的命令��,否則,丟棄所述控制數據報文��。
[0008]在上面所公開的方案中��,優(yōu)選地�,所述預定的散列函數是HMAC化的Hash函數�����。
[0009]在上面所公開的方案中����,優(yōu)選地,初始的第一當前有效密鑰被預先設定�,并且控制器所使用的安全等級值和初始第一當前有效密鑰與目標節(jié)點所使用的安全等級值和初始第一當前有效密鑰相同。
[0010]在上面所公開的方案中�����,可選地�����,所述步驟(Al)進一步包括:(I)當初次發(fā)送控制數據報文時將所述運算結果的一部分作為當前加密密鑰并通過加密函數加密所述控制數據報文中的應用層數據��,并且將所述運算結果的另一部分作為新的當前加密密鑰以供下一次加密運算使用;(2)當非初次發(fā)送控制數據報文時�,使用當前加密密鑰并通過加密函數加密所述控制數據報文中的應用層數據,并且將所述運算結果的特定部分作為新的當前加密密鑰以供下一次加密運算使用�。
[0011]在上面所公開的方案中,優(yōu)選地����,基于所述預設的安全等級值來確定是否對所述控制數據報文中的應用層數據進行加密操作。
[0012]在上面所公開的方案中���,優(yōu)選地�����,所述控制器以及所述目標節(jié)點能夠根據數據通信特征信息從安全策略庫中選取所需的安全等級值以及初始的第一當前有效密鑰��。
[0013]本發(fā)明所公開的用于云平臺網絡的安全控制方法具有以下優(yōu)點:能夠防止控制器和目標節(jié)點之間的數據通信被攻擊者竊聽以及篡改��,并且能夠防止攻擊者通過暴力破解某一次加密數據的密鑰來獲取某一次認證計算的密鑰�,由此具有高的數據傳輸安全性���。
【附圖說明】
[0014]結合附圖��,本發(fā)明的技術特征以及優(yōu)點將會被本領域技術人員更好地理解�,其中:
圖1是根據本發(fā)明的實施例的用于云平臺網絡的安全控制方法的流程圖;
圖2是根據本發(fā)明的實施例的用于低等級安全機制的數據報文的示意性結構圖���;
圖3是根據本發(fā)明的實施例的用于高等級安全機制的數據報文的示意性結構圖��。
【具體實施方式】
[0015]圖1是根據本發(fā)明的實施例的用于云平臺網絡的安全控制方法的流程圖���。如圖1所示���,本發(fā)明所公開的用于云平臺網絡的安全控制方法包括下列步驟:(Al)云網絡平臺的控制器在發(fā)送控制數據報文時基于預設的安全等級值和第一當前有效密鑰以及預定的散列函數對所述控制數據報文中的應用層數據進行散列運算以獲得運算結果�����;(A2)將所述運算結果的第一部分作為認證數據附加入所述控制數據報文中����,并且將所述運算結果的第二部分作為新的第一當前有效密鑰以供下一次散列運算使用��;(A3)將附加有所述認證數據的控制數據報文發(fā)送至所述云網絡平臺中的目標節(jié)點���,隨之所述目標節(jié)點使用與所述控制器采用的散列運算相對應的算法驗證所述認證數據�,并且如果驗證通過���,則執(zhí)行所述控制數據報文中的應用層數據所指示的命令���,否則���,丟棄所述控制數據報文。通過此方式�,能夠防止控制器和目標節(jié)點之間的數據通信被攻擊者篡改。
[0016]優(yōu)選地�,在本發(fā)明所公開的用于云平臺網絡的安全控制方法中,所述預定的散列函數是HMAC化的Hash函數�。示例性地,所述HMAC化的Hash函數是HMAC-SHAI函數���,其運算結果為160bit (20B)���,例如,取前1B數據作為所述認證數據��,而取后1B數據作為新的第一當前有效密鑰以供下一次散列運算使用��。
[0017]優(yōu)選地��,在本發(fā)明所公開的用于云平臺網絡的安全控制方法中�,初始的第一當前有效密鑰被預先設定����,并且控制器所使用的安全等級值和初始第一當前有效密鑰與目標節(jié)點所使用的安全等級值和初始第一當前有效密鑰相同���。
[0018]可選地���,在本發(fā)明所公開的用于云平臺網絡的安全控制方法中,所述步驟(Al)進一步包括:(I)當初次發(fā)送控制數據報文時將所述運算結果的一部分(例如前64bit)作為當前加密密鑰并通過加密函數(例如3DES)加密所述控制數據報文中的應用層數據����,并且將所述運算結果的另一部分(例如,取所述運算結果的后1B數據的前64bit)作為新的當前加密密鑰以供下一次加密運算使用�;(2)當非初次發(fā)送控制數據報文時�,使用當前加密密鑰并通過加密函數(例如3DES)加密所述控制數據報文中的應用層數據,并且將所述運算結果的特定部分(例如�,取所述運算結果的后1B數據的前64bit)作為新的當前加密密鑰以供下一次加密運算使用。通過此方式����,能夠防止控制器和目標節(jié)點之間的數據通信被攻擊者竊聽以及篡改,并且能夠防止攻擊者通過暴力破解某一次加密數據的密鑰來獲取某一次認證計算的密鑰�。
[0019]優(yōu)選地,在本發(fā)明所公開的用于云平臺網絡的安全控制方法中����,基于所述預設的安全等級值來確定是否對所述控制數據報文中的應用層數據進行加密操作(例如���,如果所述安全等級值為字母(A-Z)開始,則對所述控制數據報文中的應用層數據進行加密操作�����,SP實施高等級安全機制��,而如果所述安全等級值為數字(0-9)開始���,則不對所述控制數據報文中的應用層數據進行加密操作���,即實施低等級安全機制)。
[0020]優(yōu)選地���,在本發(fā)明所公開的用于云平臺網絡的安全控制方法中��,所述控制器以及所述目標節(jié)點能夠根據數據通信特征信息(例如時間參數以及數據重要性等等)從安全策略庫中選取所需的安全等級值以及初始的第一當前有效密鑰����。
[0021]由上可見,本發(fā)明所公開的用于云平臺網絡的安全控制方法具有下列優(yōu)點:能夠防止控制器和目標節(jié)點之間的數據通信被攻擊者竊聽以及篡改�,并且能夠防止攻擊者通過暴力破解某一次加密數據的密鑰來獲取某一次認證計算的密鑰,由此具有高的數據傳輸安全性�����。
[0022]盡管本發(fā)明是通過上述的優(yōu)選實施方式進行描述的�����,但是其實現(xiàn)形式并不局限于上述的實施方式���。應該認識到:在不脫離本發(fā)明主旨和范圍的情況下���,本領域技術人員可以對本發(fā)明做出不同的變化和修改。
【主權項】
1.一種用于云平臺網絡的安全控制方法���,所述用于云平臺網絡的安全控制方法包括下列步驟: (Al)云網絡平臺的控制器在發(fā)送控制數據報文時基于預設的安全等級值和第一當前有效密鑰以及預定的散列函數對所述控制數據報文中的應用層數據進行散列運算以獲得運算結果; (A2)將所述運算結果的第一部分作為認證數據附加入所述控制數據報文中����,并且將所述運算結果的第二部分作為新的第一當前有效密鑰以供下一次散列運算使用; (A3)將附加有所述認證數據的控制數據報文發(fā)送至所述云網絡平臺中的目標節(jié)點���,隨之所述目標節(jié)點使用與所述控制器采用的散列運算相對應的算法驗證所述認證數據�,并且如果驗證通過,則執(zhí)行所述控制數據報文中的應用層數據所指示的命令�,否則,丟棄所述控制數據報文��。2.根據權利要求1所述的用于云平臺網絡的安全控制方法�����,其特征在于�����,所述預定的散列函數是HMAC化的Hash函數�。3.根據權利要求2所述的用于云平臺網絡的安全控制方法,其特征在于����,初始的第一當前有效密鑰被預先設定,并且控制器所使用的安全等級值和初始第一當前有效密鑰與目標節(jié)點所使用的安全等級值和初始第一當前有效密鑰相同���。4.根據權利要求3所述的用于云平臺網絡的安全控制方法�����,其特征在于����,所述步驟(Al)進一步包括:(1)當初次發(fā)送控制數據報文時將所述運算結果的一部分作為當前加密密鑰并通過加密函數加密所述控制數據報文中的應用層數據,并且將所述運算結果的另一部分作為新的當前加密密鑰以供下一次加密運算使用���;(2)當非初次發(fā)送控制數據報文時����,使用當前加密密鑰并通過加密函數加密所述控制數據報文中的應用層數據�����,并且將所述運算結果的特定部分作為新的當前加密密鑰以供下一次加密運算使用��。5.根據權利要求4所述的用于云平臺網絡的安全控制方法�����,其特征在于��,基于所述預設的安全等級值來確定是否對所述控制數據報文中的應用層數據進行加密操作��。6.根據權利要求5所述的用于云平臺網絡的安全控制方法����,其特征在于,所述控制器以及所述目標節(jié)點能夠根據數據通信特征信息從安全策略庫中選取所需的安全等級值以及初始的第一當前有效密鑰�。
【專利摘要】本發(fā)明提出了用于云平臺網絡的安全控制方法,所述方法包括:云網絡平臺的控制器在發(fā)送控制數據報文時基于預設的安全等級值和第一當前有效密鑰以及預定的散列函數對所述控制數據報文中的應用層數據進行散列運算以獲得運算結果���;將所述運算結果的第一部分作為認證數據附加入所述控制數據報文中��,并且將所述運算結果的第二部分作為新的第一當前有效密鑰以供下一次散列運算使用���;將附加有所述認證數據的控制數據報文發(fā)送至所述云網絡平臺中的目標節(jié)點,隨之所述目標節(jié)點使用與所述控制器采用的散列運算相對應的算法驗證所述認證數據����。本發(fā)明所公開的用于云平臺網絡的安全控制方法具有高的安全性等級。
【IPC分類】H04L12/743, H04L9/32, H04L29/08, H04L29/06
【公開號】CN105591928
【申請?zhí)枴緾N201510584112
【發(fā)明人】杜學凱, 葉家煒, 祖立軍, 嚴逸興, 李戈
【申請人】中國銀聯(lián)股份有限公司
【公開日】2016年5月18日
【申請日】2015年9月15日