CN113783686A - 一种基于区块链的sdn及nfv网络安全管理系统及方法 - Google Patents
一种基于区块链的sdn及nfv网络安全管理系统及方法 Download PDFInfo
- Publication number
- CN113783686A CN113783686A CN202111005709.7A CN202111005709A CN113783686A CN 113783686 A CN113783686 A CN 113783686A CN 202111005709 A CN202111005709 A CN 202111005709A CN 113783686 A CN113783686 A CN 113783686A
- Authority
- CN
- China
- Prior art keywords
- information
- equipment
- key
- block chain
- nfv
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000004891 communication Methods 0.000 claims abstract description 46
- 230000008569 process Effects 0.000 claims abstract description 19
- 238000005516 engineering process Methods 0.000 claims abstract description 9
- 238000013475 authorization Methods 0.000 claims abstract description 8
- 238000007726 management method Methods 0.000 claims description 37
- 230000007246 mechanism Effects 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 15
- 238000013461 design Methods 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 9
- 238000012790 confirmation Methods 0.000 claims description 6
- 239000004576 sand Substances 0.000 claims description 3
- 230000001360 synchronised effect Effects 0.000 claims description 2
- 238000012795 verification Methods 0.000 claims description 2
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005457 optimization Methods 0.000 description 3
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- KRQUFUKTQHISJB-YYADALCUSA-N 2-[(E)-N-[2-(4-chlorophenoxy)propoxy]-C-propylcarbonimidoyl]-3-hydroxy-5-(thian-3-yl)cyclohex-2-en-1-one Chemical compound CCC\C(=N/OCC(C)OC1=CC=C(Cl)C=C1)C1=C(O)CC(CC1=O)C1CCCSC1 KRQUFUKTQHISJB-YYADALCUSA-N 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于区块链的SDN及NFV网络安全管理系统及方法,包括:控制模块、转发设备、NFV平台和安全模块;SDN控制器向转发设备下发数据包;NFV编排器对NFV平台的虚拟网络功能进行部署转发设备根据流表对数据包进行处理;NFV平台用于在服务器上部署虚拟网络功能,安全模块通过控制模块分别与服务器和转发设备通信连接,安全模块用于借助区块链技术,为NFV平台的服务器提供不可篡改的信息记录和设备管理功能。本发明基于区块链技术组成通信网络,能够实现系统中设备的身份认证和授权,并基于设备的身份信息生成公钥和分配私钥,利用密钥,设备间能够使用非对称和对称加密算法,实现安全通信。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于区块链的SDN及NFV网络安全管理系统及方法。
背景技术
目前,随着通信技术的发展,通信互联网也得到的广泛的发展。通过通信技术,或者通信互联网实现设备的网络通信,为企业及个人带来了极大的便利性,可以实时对数据的通信和处理。
随着用户对数据通信和处理的服务不断增加,系统需要满足用户的服务需求,而现有技术中,无法有效的提升网络服务,导致不能满足为用户提供定制化服务,影响数据通信及数据处理的使用体验。而且服务链受制于软硬件一体化的模式,网络设备的设置较为固定、扩容难度大,给定制化服务带来了极大的不便。而且即使有一些系统可以提供定制化服务,或者硬件设备扩容来满足用户需求,但是带来了数据通信的安全问题。设备在运行时,容易造成非授权的不可信设备进入,给网络中正常设备带来安全隐患,还容易造成数据的篡改,影响整个系统正常运行,也对用户的数据安全造成影响。
发明内容
为了克服上述现有技术中的不足,本发明提供一种基于区块链的SDN及NFV网络安全管理系统,包括:控制模块、转发设备、NFV平台和安全模块;
控制模块设有SDN控制器和NFV编排器;
SDN控制器与转发设备通信连接,SDN控制器用于向转发设备下发数据包;
NFV编排器与NFV平台通信连接,NFV编排器用于对NFV平台的虚拟网络功能进行部署;
转发设备包括多个交换机,转发设备根据流表对数据包进行处理;
NFV平台用于在服务器上部署虚拟网络功能,NFV平台支持用户定制化的数据平面处理功能;
安全模块通过控制模块分别与服务器和转发设备通信连接,安全模块用于借助区块链技术,并采用PoA算法作为安全链的共识算法,为NFV平台的服务器提供不可篡改的信息记录和设备管理功能。
进一步需要说明是,安全模块收集整理所有需要上链的交易信息,交易信息分为两类:控制器的状态信息为<<ocal event>k,c>s和设备信息为<<deviceinformation>k,i>s;
区块链上的节点根据共识协议将数据上链;
上链数据通过加密形式存储,交易上链后,区块链节点会将最新区块信息内容同步给具有权限的区块链节点,区块链节点根据密钥解密后,对信息进行同步。
进一步需要说明是,信息内容由对称加密中的密钥加密,区块链节点或安全模块利用非对称加密中的私钥对交易信息进行签名;
新加入区块链的区块链节点验证成功后,区块链节点或共识节点同步给SDN控制器,以实现SDN控制器对网络全局状态进行获悉。
进一步需要说明是,安全模块包括:设备管理单元和信息记录单元;
设备管理单元用于使区块链能够实现系统中设备的身份认证和授权,并基于设备的身份信息生成公钥和分配私钥,同时定期更新密钥信息;利用密钥,设备间能够使用非对称和对称加密算法,实现安全通信;
信息记录单元用于对系统的资源进行分配处理,通过区块链实现不可篡改的信息记录,授权的区块链节点能够查阅信息。
设备管理单元还用于对系统的网元设备身份进行认证和授权,对网元设备的状态信息进行定期更新。
本发明还提供一种基于区块链的SDN及NFV网络安全管理方法,方法包括:在服务器上部署具有虚拟网络功能的NFV平台;
控制模块的SDN控制器与转发设备构建通信连接;
控制模块的NFV编排器与NFV平台构建通信连接,
安全模块通过控制模块分别与服务器和转发设备通信连接;
选择四个哈希算法,{H1,H2,H3,H4};
区块链节点完成初始化,获得系统参数,并储存系统参数;
系统参数为:
QID=H1(ID) (2)
新加入系统的设备会将预存储在设备中的证书发送给安全模块;
安全模块首先确认设备ID的唯一性,如果ID被使用过,查验所述设备之前的行为信息,如果为正常可信任设备,重新分配密钥;
如果为恶意设备,则驳回申请;
若为未登记的新设备,安全模块验证证书来源可信后,设置所述设备的账号信息和对应的证书信息存储在区块链上;同时根据主私钥为设备生成私钥sID:
sID=sQID (3)
设备注册成功后,安全模块将登记设备信息的区块编号和区块的父哈希、生成的密钥信息使用私钥加密后发送给设备;
M=sID||(Num,ParentHash) (4)
安全模块对密钥信息进行签名,σ=(U1,V1):
U1=rPpub (6)
h=H3(C,U1) (7)
V1=(r+h)s (8)
σ=(U1,V1) (9)
如果相等,说明信息确实来自区块链节点;此时,设备利用初始私钥解密,得到新私钥sID:
设备更新密钥后,向安全模块发送确认问询,设备利用新私钥对信息进行签名,超过网络2/3的区块链节点回复设备ID已上链的确认信息后,设备才算正式加入系统网络。
进一步需要说明是,配置公钥的更新机制,更新机制被设定为:
QID=H1(ID||period) (11)
period表示密钥的生存周期;
公钥更新之后,安全模块重新生成新的主私钥s′和对应的系统公钥P′pub=s′P,同时为设备计算新的私钥,并依照设备认证过程的将信息加密发送给对应的设备;
设备间通过对称加密的消息认证机制实现加密传输;
消息认证机制为彼此信任的设备之间会话密钥,传输信息经过会话密钥加密后得到对应的消息认证码;
当攻击者篡改彼此信任设备之间传输的信息时,接收方将接收的篡改后信息的消息认证码与预设消息认证码进行匹配,如不匹配则拒绝接收数据。
进一步需要说明是,设备之间通过密钥协商机制共享一个会话密钥,会话密钥对通信信息进行对称加密;
密钥协商方式包括:
在开始通信前,申请方设备向目标设备发送通信请求申请,申请包含自身的公钥信息,目标设备根据申请方设备公钥Q和自身私钥s计算得到会话密钥:
通信双方在获得会话密钥后,通过密钥对需要传输的信息进行加密:
传输信息中加入传输序列号S,通过单向哈希函数获得HMAC:
HMAC=H4(kXY,M||S) (14)
申请方设备X将密文和HMAC发送给目标设备Y,X→Y:(C||HMAC),目标设备Y在收到信息后利用会话密钥对密文进行解密,同时计算对应的HMAC′用于数据完整性的判断。
进一步需要说明是,信息记录方法包括:
用户发起SFC申请;
控制模块判断用户是否拥有权限;
如用户拥有权限,控制模块根据用户的资源偏好、节点信息和链路的实际可用资源情况,进行定制化方案设计;
控制模块发送命令给对应的转发设备和服务器;
用户请求执行进程;
区块链节点收集请求执行进程信息;
控制模块将收到的请求、设计方案和执行结果发生给安全模块;
用户将请求内容和己方记录执行情况信息发送给安全模块;
将执行进程信息上链。
从以上技术方案可以看出,本发明具有以下优点:
本发明的安全模块借助区块链技术,并采用PoA算法作为安全链的共识算法,为NFV平台的服务器提供不可篡改的信息记录和设备管理功能。
本发明在基于云操作系统的虚拟平台上创建相应的虚拟机,安装功能的软件包即可。NFV打破了传统通信网络中的专用封闭的网元,建立了一个开放共享的平台。
本发明解决了现有技术中,服务链受制于软硬件一体化的模式,SFC较为固定、扩容难度大的问题,避免了每次响应用户的服务请求时需要提供专用设备和复杂的人工成本。充分利用了SDN和NFV的优势,SDN控制器通过标准化接口实现对VNF的网络控制,控制模块能够根据用户需求、网络实际拓扑和负载状况,设计最优的VNF部署方案,计算最优的SFC路径,实现网络资源的分配优化。
本发明基于区块链技术组成通信网络,能够实现系统中设备的身份认证和授权,并基于设备的身份信息生成公钥和分配私钥,同时定期更新密钥信息;利用密钥,设备间能够使用非对称和对称加密算法,实现安全通信。
信息内容由对称加密中的密钥加密,同时控制器或者安全模块会利用非对称加密中的私钥对交易进行签名。新区块验证成功后,安全模块会及时同步给所有SDN控制器,以实现所有控制器间隔对网络全局状态进行获悉。
安全模块负责网元设备的身份认证和授权,对设备的状态信息进行定期更新。企业级用户对不同数据流的转发、处理过程中所涉及到的设备保密性和隔离性有着不同的要求。利用区块链对设备信息进行认证和记录,以此实现非授权的不可信设备不能加入网络,极大提高网络的安全性能。
附图说明
为了更清楚地说明本发明的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为基于区块链的SDN及NFV网络安全管理系统示意图;
图2为PoA共识过程示意图;
图3为设备管理功能流程图;
图4为设备认证和安全通信功能示意图
图5为信息记录方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明提供基于区块链的SDN及NFV网络安全管理系统包括:包括:控制模块、转发设备、NFV平台和安全模块;
控制模块设有SDN控制器和NFV编排器;
SDN控制器与转发设备通信连接,SDN控制器用于向转发设备下发数据包;NFV编排器与NFV平台通信连接,NFV编排器用于对NFV平台的虚拟网络功能进行部署。
转发设备包括多个交换机,转发设备根据流表对数据包进行处理;NFV平台用于在服务器上部署虚拟网络功能,NFV平台支持用户定制化的数据平面处理功能;安全模块通过控制模块分别与服务器和转发设备通信连接,安全模块用于借助区块链技术,并采用PoA算法作为安全链的共识算法,为NFV平台的服务器提供不可篡改的信息记录和设备管理功能。
本发明提供基于区块链的SDN及NFV网络安全管理系统中,涉及的网络功能虚拟化(Network Function Virtualization,NFV)旨在借助云计算虚拟技术,在通用服务器上实现各类软件化的虚拟网络功能,利用软硬件解耦来实现对传统软硬件一体化专用设备的替代。虚拟网络功能作为纯软件,支持灵活部署、调配和集中化管理,不仅极大地缩短了新业务开发的周期和部署成本,扩展了网络资源共享的灵活性。当一项新的业务需要部署时,在基于云操作系统的虚拟平台上创建相应的虚拟机,安装功能的软件包即可。NFV打破了传统通信网络中的专用封闭的网元,建立了一个开放共享的平台。
而NFV与软件定义网络的结合,能够进一步实现精准的流量管理、服务功能和资源的联合优化。SDN和NFV是两个独立的体系,但是两者之间高度互补。SDN通过网络控制层和数据层的分离,实现网络的可编程控制。可软件定义的NFV已经成为NFV的重点研究领域之一。
服务功能链(Service Function Chain,SFC)是为用户提供网络服务的一种灵活方式。在实际的网络场景中,一个数据流一般需要经过多种网络服务设备,但是不同用户对于网络服务的需要不同,运营商通过SFC的方式为用户提供定制化服务。解决了现有技术中,服务链受制于软硬件一体化的模式,SFC较为固定、扩容难度大的问题,避免了每次响应用户的服务请求时需要提供专用设备和复杂的人工成本。
在可软件定义的NFV平台中,NFV编排器通过网络虚拟功能(Virtualized NetworkFunction,VNF)的灵活部署,为SFC业务提供支持。这种结构充分利用了SDN和NFV的优势,SDN控制器通过标准化接口实现对VNF的网络控制,控制模块能够根据用户需求、网络实际拓扑和负载状况,设计最优的VNF部署方案,计算最优的SFC路径,实现网络资源的分配优化。
本发明的NFV平台可以在服务器上部署低成本、高带宽的虚拟网络功能,虚拟网络功能的实现不再依赖于专用设备,而是在虚拟机中作为软件功能得到实现。虚拟平台支持用户定制化的数据平面处理功能,比如,IDS(Intrusion Detection System,入侵检测系统)/IPS(Intrusion Prevention System,入侵防御系统)、防火墙、LB(Load Balance,负载均衡器)等;
本发明配置了权威证明(Proof of Authority,PoA)算法作为安全链的共识算法。PoA在多个区块链应用中都得到了证明,比如Parity中使用的Aura,以太坊中使用的Clique,都属于权威证明。PoA方法对于算力的要求较低,网络共识速度很快。如图2所示。
本发明的PoA机制中的安全模块收集整理任期内收到的所有需要上链的交易,交易主要分为两类:控制器的状态信息<<local event>k,c>s和设备信息<<deviceinformation>k,i>s,如表1所示。
系统中的设备可以包括:SDN控制器、NFV编排器、转发设备以及服务器等,设置在系统的所有设备。
区块链节点根据共识协议将相关数据上链。上链数据通过加密形式存储,交易上链后,区块链节点会将最新区块内容同步给所有有权限的节点设备,节点设备根据密钥解密后,对信息进行同步。节点设备可以包括本发明中的各个硬件设备及虚拟设备。
表1交易格式
信息内容由对称加密中的密钥加密,同时控制器或者安全模块会利用非对称加密中的私钥对交易进行签名。新区块验证成功后,安全模块会及时同步给所有SDN控制器,以实现所有控制器间隔对网络全局状态进行获悉。
作为本发明的一种实施方式,安全模块包括:设备管理单元和信息记录单元;
设备管理单元用于使区块链能够实现系统中设备的身份认证和授权,并基于设备的身份信息生成公钥和分配私钥,同时定期更新密钥信息;利用密钥,设备间能够使用非对称和对称加密算法,实现安全通信;
信息记录单元用于对系统的资源进行分配处理,通过区块链实现不可篡改的信息记录,授权的区块链节点能够查阅信息。也就是授权节点能够查阅相关信息以确保运营商和企业用户实现真正的利益公平,
本发明中,设备管理单元还用于对系统的网元设备身份进行认证和授权,对网元设备的状态信息进行定期更新。
也就是安全模块负责网元设备的身份认证和授权,对设备的状态信息进行定期更新。企业级用户对不同数据流的转发、处理过程中所涉及到的设备保密性和隔离性有着不同的要求。利用区块链对设备信息进行认证和记录,以此实现非授权的不可信设备不能加入网络,极大提高网络的安全性能。
为了保证数据安全,采用密码学机制对传输数据的完整性、真实性、隐私性进行保护。不同类型的加密算法的保密性不同,需要的计算资源和计算速度也存在差异。考虑到终端设备一般受到存储和计算限制,整个过程综合使用非对称加密和对称加密两种方法,尽可能在资源的限制下最大化安全效益。
如图3所示,对设备管理功能流程进行详细说明。
基于上述系统,本发明还提供一种基于区块链的SDN及NFV网络安全管理方法,
方法包括:在服务器上部署具有虚拟网络功能的NFV平台;
控制模块的SDN控制器与转发设备构建通信连接;
控制模块的NFV编排器与NFV平台构建通信连接,
安全模块通过控制模块分别与服务器和转发设备通信连接;
选择四个哈希算法,{H1,H2,H3,H4};
区块链节点完成初始化,获得系统参数,并储存系统参数;
系统参数为:
对于本发明涉及的设备在进入系统时需要注册,具体来讲,设备出厂后制造商会预设一份运营商认证的制造商证书,包括品牌、型号、序列号等基础信息;系统预先根据和运营商的协议规则,为设备存储唯一的ID账号,
QID=H1(ID) (2)
新加入系统的设备会将预存储在设备中的证书发送给安全模块;
安全模块首先确认设备ID的唯一性,如果ID被使用过,查验所述设备之前的行为信息,如果为正常可信任设备,重新分配密钥;
如果为恶意设备,则驳回申请;
若为未登记的新设备,安全模块验证证书来源可信后,设置所述设备的账号信息和对应的证书信息存储在区块链上;同时根据主私钥为设备生成私钥sID:
sID=sQID (3)
设备注册成功后,安全模块将登记设备信息的区块编号和区块的父哈希、生成的密钥信息使用私钥加密后发送给设备;
M=sID||(Num,ParentHash) (4)
安全模块对密钥信息进行签名,σ=(U1,V1):
U1=rPpub (6)
h=H3(C,U1) (7)
V1=(r+h)s (8)
σ=(U1,V1) (9)
如果相等,说明信息确实来自区块链节点;此时,设备利用初始私钥解密,得到新私钥sID:
设备更新密钥后,向安全模块发送确认问询,设备利用新私钥对信息进行签名,超过网络2/3的区块链节点回复设备ID已上链的确认信息后,设备才算正式加入系统网络。
本发明中,出于安全考虑,每个设备使用密钥对都应该定期更新。不同设备的保密等级不同,因此密钥更新周期也存在差异,公钥的更新机制被设定为:
QID=H1(ID||period) (11)
period表示密钥的生存周期;
公钥更新之后,安全模块重新生成新的主私钥s′和对应的系统公钥P′pub=s′P,同时为设备计算新的私钥,并依照设备认证过程的将信息加密发送给对应的设备;
设备间通过对称加密的消息认证机制实现加密传输;
消息认证机制为彼此信任的设备之间会话密钥,传输信息经过会话密钥加密后得到对应的消息认证码;
当攻击者篡改彼此信任设备之间传输的信息时,接收方将接收的篡改后信息的消息认证码与预设消息认证码进行匹配,如不匹配则拒绝接收数据。
也就是说以分发密钥为基础,设备间通过对称加密的消息认证(MessageAuthentication Code,MAC)机制实现加密传输。MAC机制通过彼此信任的设备之间共享密钥,传输信息经过密钥加密后得到对应的消息认证码,一旦攻击者篡改信息,接收方无法匹配篡改信息的消息认证码,便会拒绝传输数据。该过程分为两个阶段:首先为需要进行通信的设备之间通过密钥协商机制共享一个会话密钥,其次为使用该会话密钥进行对信息进行对称加密。
具体来讲,如图4所示,设备之间通过密钥协商机制共享一个会话密钥,会话密钥对通信信息进行对称加密;
密钥协商方式包括:
在开始通信前,申请方设备向目标设备发送通信请求申请,申请包含自身的公钥信息,目标设备根据申请方设备公钥Q和自身私钥s计算得到会话密钥:
通信双方在获得会话密钥后,通过密钥对需要传输的信息进行加密:
传输信息中加入传输序列号S,通过单向哈希函数获得HMAC:
HMAC=H4(kXY,M||S) (14)
申请方设备X将密文和HMAC发送给目标设备Y,X→Y:(C||HMAC),目标设备Y在收到信息后利用会话密钥对密文进行解密,同时计算对应的HMAC′用于数据完整性的判断。
作为本发明的实施方式,区块链不可篡改的数据记录特性,能够帮助帮助运营商和企业用户实现真正的利益公平:比如运营商承诺的资源实际场景中是否得到保证,企业级用户对于数据处理的要求是否被满足,这些通过区块链的记录信息保证了真实性。
控制模块将用户请求作为输入,以最优的方式分配NFs来实现这些服务,同时考虑到资源约束来选择满足用户要求的最优路由路径,然后由控制器链接业务功能,并根据业务链对业务流进行控制。资源的分配方案和执行设备信息,控制模块将通过交易的形式发送给安全模块,用户侧也会将己方请求和实际的执行效果信息发送给安全模块,服务器将相关信息上链。
本发明中,如图5所示,信息记录方法包括:
用户发起SFC申请;
控制模块判断用户是否拥有权限;
如用户拥有权限,控制模块根据用户的资源偏好、节点信息和链路的实际可用资源情况,进行定制化方案设计;
控制模块发送命令给对应的转发设备和服务器;
用户请求执行进程;
区块链节点收集请求执行进程信息;
控制模块将收到的请求、设计方案和执行结果发生给安全模块;
用户将请求内容和己方记录执行情况信息发送给安全模块;
将执行进程信息上链。
本发明提供基于区块链的SDN及NFV网络安全管理系统中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明提供基于区块链的SDN及NFV网络安全管理系统的附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本发明提供基于区块链的SDN及NFV网络安全管理系统是结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于区块链的SDN及NFV网络安全管理系统,其特征在于,包括:控制模块、转发设备、NFV平台和安全模块;
控制模块设有SDN控制器和NFV编排器;
SDN控制器与转发设备通信连接,SDN控制器用于向转发设备下发数据包;
NFV编排器与NFV平台通信连接,NFV编排器用于对NFV平台的虚拟网络功能进行部署;
转发设备包括多个交换机,转发设备根据流表对数据包进行处理;
NFV平台用于在服务器上部署虚拟网络功能,NFV平台支持用户定制化的数据平面处理功能;
安全模块通过控制模块分别与服务器和转发设备通信连接,安全模块用于借助区块链技术,并采用PoA算法作为安全链的共识算法,为NFV平台的服务器提供不可篡改的信息记录和设备管理功能。
2.根据权利要求2所述的基于区块链的SDN及NFV网络安全管理系统,其特征在于,
安全模块收集整理所有需要上链的交易信息,交易信息分为两类:控制器的状态信息为<<local event>k,>s和设备信息为<<device information>k,>s;
区块链上的节点根据共识协议将数据上链;
上链数据通过加密形式存储,交易上链后,区块链节点会将最新区块信息内容同步给具有权限的区块链节点,区块链节点根据密钥解密后,对信息进行同步。
3.根据权利要求2所述的基于区块链的SDN及NFV网络安全管理系统,其特征在于,
信息内容由对称加密中的密钥加密,区块链节点或安全模块利用非对称加密中的私钥对交易信息进行签名;
新加入区块链的区块链节点验证成功后,区块链节点或共识节点同步给SDN控制器,以实现SDN控制器对网络全局状态进行获悉。
4.根据权利要求2所述的基于区块链的SDN及NFV网络安全管理系统,其特征在于,
安全模块包括:设备管理单元和信息记录单元;
设备管理单元用于使区块链能够实现系统中设备的身份认证和授权,并基于设备的身份信息生成公钥和分配私钥,同时定期更新密钥信息;利用密钥,设备间能够使用非对称和对称加密算法,实现安全通信;
信息记录单元用于对系统的资源进行分配处理,通过区块链实现不可篡改的信息记录,授权的区块链节点能够查阅信息。
5.根据权利要求4所述的基于区块链的SDN及NFV网络安全管理系统,其特征在于,
设备管理单元还用于对系统的网元设备身份进行认证和授权,对网元设备的状态信息进行定期更新。
6.一种基于区块链的SDN及NFV网络安全管理方法,其特征在于,方法包括:在服务器上部署具有虚拟网络功能的NFV平台;
控制模块的SDN控制器与转发设备构建通信连接;
控制模块的NFV编排器与NFV平台构建通信连接,
安全模块通过控制模块分别与服务器和转发设备通信连接;
选择四个哈希算法,{H1,H2,H3,H4};
区块链节点完成初始化,获得系统参数,并储存系统参数;
系统参数为:
7.根据权利要求6所述的基于区块链的SDN及NFV网络安全管理方法,其特征在于,
QID=H1(ID) (2)
新加入系统的设备会将预存储在设备中的证书发送给安全模块;
安全模块首先确认设备ID的唯一性,如果ID被使用过,查验所述设备之前的行为信息,如果为正常可信任设备,重新分配密钥;
如果为恶意设备,则驳回申请;
若为未登记的新设备,安全模块验证证书来源可信后,设置所述设备的账号信息和对应的证书信息存储在区块链上;同时根据主私钥为设备生成私钥sID:
sID=sQID (3)
设备注册成功后,安全模块将登记设备信息的区块编号和区块的父哈希、生成的密钥信息使用私钥加密后发送给设备;
M=sID||(Num,ParentHash) (4)
安全模块对密钥信息进行签名,σ=(U1,V1):
U1=rPpub (6)
h=H3(C,U1) (7)
V1=(r+h)s (8)
σ=(U1,V1) (9)
如果相等,说明信息确实来自区块链节点;此时,设备利用初始私钥解密,得到新私钥sID:
设备更新密钥后,向安全模块发送确认问询,设备利用新私钥对信息进行签名,超过网络2/3的区块链节点回复设备ID上链的确认信息后,设备才算正式加入系统网络。
8.根据权利要求6所述的基于区块链的SDN及NFV网络安全管理方法,其特征在于,
配置公钥的更新机制,更新机制被设定为:
QID=H1(ID||period) (11)
period表示密钥的生存周期;
公钥更新之后,安全模块重新生成新的主私钥s′和对应的系统公钥P′pub=s′P,同时为设备计算新的私钥,并依照设备认证过程的将信息加密发送给对应的设备;
设备间通过对称加密的消息认证机制实现加密传输;
消息认证机制为彼此信任的设备之间会话密钥,传输信息经过会话密钥加密后得到对应的消息认证码;
当攻击者篡改彼此信任设备之间传输的信息时,接收方将接收的篡改后信息的消息认证码与预设消息认证码进行匹配,如不匹配则拒绝接收数据。
9.根据权利要求8所述的基于区块链的SDN及NFV网络安全管理方法,其特征在于,
设备之间通过密钥协商机制共享一个会话密钥,会话密钥对通信信息进行对称加密;
密钥协商方式包括:
在开始通信前,申请方设备向目标设备发送通信请求申请,申请包含自身的公钥信息,目标设备根据申请方设备公钥Q和自身私钥s计算得到会话密钥:
通信双方在获得会话密钥后,通过密钥对需要传输的信息进行加密:
传输信息中加入传输序列号S,通过单向哈希函数获得HMAC:
HMAC=H4(kXY,M||S) (14)
申请方设备X将密文和HMAC发送给目标设备Y,X→Y:(C||HMAC),目标设备Y在收到信息后利用会话密钥对密文进行解密,同时计算对应的HMAC′用于数据完整性的判断。
10.根据权利要求6所述的基于区块链的SDN及NFV网络安全管理方法,其特征在于,信息记录方法包括:
用户发起SFC申请;
控制模块判断用户是否拥有权限;
如用户拥有权限,控制模块根据用户的资源偏好、节点信息和链路的实际可用资源情况,进行定制化方案设计;
控制模块发送命令给对应的转发设备和服务器;
用户请求执行进程;
区块链节点收集请求执行进程信息;
控制模块将收到的请求、设计方案和执行结果发生给安全模块;
用户将请求内容和己方记录执行情况信息发送给安全模块;
将执行进程信息上链。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111005709.7A CN113783686A (zh) | 2021-08-30 | 2021-08-30 | 一种基于区块链的sdn及nfv网络安全管理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111005709.7A CN113783686A (zh) | 2021-08-30 | 2021-08-30 | 一种基于区块链的sdn及nfv网络安全管理系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113783686A true CN113783686A (zh) | 2021-12-10 |
Family
ID=78840210
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111005709.7A Withdrawn CN113783686A (zh) | 2021-08-30 | 2021-08-30 | 一种基于区块链的sdn及nfv网络安全管理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113783686A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114584343A (zh) * | 2022-01-24 | 2022-06-03 | 厦门理工学院 | 一种云计算中心的数据保护方法、系统和可读存储介质 |
CN114866595A (zh) * | 2022-04-02 | 2022-08-05 | 深圳力维智联技术有限公司 | 连接方法、端站数据采集器、管理平台 |
CN115277259A (zh) * | 2022-09-27 | 2022-11-01 | 南湖实验室 | 一种支持隐私计算持久化数据大规模跨平台迁徙的方法 |
CN116489641A (zh) * | 2023-05-05 | 2023-07-25 | 烟台欣飞智能系统有限公司 | 一种基于区块链的5g移动设备通信管控系统 |
-
2021
- 2021-08-30 CN CN202111005709.7A patent/CN113783686A/zh not_active Withdrawn
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114584343A (zh) * | 2022-01-24 | 2022-06-03 | 厦门理工学院 | 一种云计算中心的数据保护方法、系统和可读存储介质 |
CN114584343B (zh) * | 2022-01-24 | 2023-05-02 | 厦门理工学院 | 一种云计算中心的数据保护方法、系统和可读存储介质 |
CN114866595A (zh) * | 2022-04-02 | 2022-08-05 | 深圳力维智联技术有限公司 | 连接方法、端站数据采集器、管理平台 |
CN114866595B (zh) * | 2022-04-02 | 2024-02-27 | 深圳力维智联技术有限公司 | 连接方法、端站数据采集器、管理平台 |
CN115277259A (zh) * | 2022-09-27 | 2022-11-01 | 南湖实验室 | 一种支持隐私计算持久化数据大规模跨平台迁徙的方法 |
CN115277259B (zh) * | 2022-09-27 | 2023-02-28 | 南湖实验室 | 一种支持隐私计算持久化数据大规模跨平台迁徙的方法 |
CN116489641A (zh) * | 2023-05-05 | 2023-07-25 | 烟台欣飞智能系统有限公司 | 一种基于区块链的5g移动设备通信管控系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7280396B2 (ja) | 機器の安全なプロビジョニングと管理 | |
US11849029B2 (en) | Method of data transfer, a method of controlling use of data and cryptographic device | |
CA2359673C (en) | Self-generation of certificates using a secure microprocessor in a device for transferring digital information | |
CN106664311B (zh) | 支持异构电子设备之间差异化的安全通信 | |
US6839841B1 (en) | Self-generation of certificates using secure microprocessor in a device for transferring digital information | |
CN113783686A (zh) | 一种基于区块链的sdn及nfv网络安全管理系统及方法 | |
JP5215289B2 (ja) | 分散式の委任および検証のための方法、装置、およびシステム | |
CN111147460B (zh) | 一种基于区块链的协同细粒度访问控制方法 | |
CN107925573B (zh) | 提供受限设备之间的安全通信的方法和装置 | |
CN106790261B (zh) | 分布式文件系统及用于其中节点间认证通信的方法 | |
CN102710605A (zh) | 一种云制造环境下的信息安全管控方法 | |
US8145917B2 (en) | Security bootstrapping for distributed architecture devices | |
CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 | |
RU2685975C2 (ru) | Обеспечение безопасности связи с расширенными мультимедийными платформами | |
JP2022530406A (ja) | Some/ip通信プロトコルを用いる乗物上におけるデータ又はメッセージの伝送の改良 | |
WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
US7010690B1 (en) | Extensible system for building and evaluating credentials | |
KR20220072659A (ko) | 가상 블록체인에 기반한 신원 기반 암호화 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법 | |
KR20240034694A (ko) | 애플리케이션 요청에 기반한 센서 인사이트 공유 방법 및 시스템 | |
JP2009212689A (ja) | 共通鍵自動配布システム、クライアント、第三者認証機関側サーバ、及び共通鍵自動共有方法 | |
CN115606155A (zh) | 为安全通信准备控制装置 | |
US20230077053A1 (en) | Authentication using a decentralized and/or hybrid dencentralized secure crypographic key storage method | |
JP4837470B2 (ja) | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム | |
CN115842657A (zh) | 一种基于区块链的物联网匿名身份认证方法及装置 | |
US12143476B2 (en) | Method of data transfer, a method of controlling use of data and cryptographic device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20211210 |
|
WW01 | Invention patent application withdrawn after publication |