本发明属于网络软件技术领域,具体涉及基于量子密钥分发的软件定义网络安全通信方法。
背景技术:
软件定义网络中南向接口使用OpenFlow协议进行通信。OpenFlow协议中使用传输层安全协议保证通信的安全性。从OpenFlow1.3.0版本开始,使用传输层安全协议机制成为了可选项;同时,传输层安全协议本身存在漏洞,容易引起中间人攻击。
量子密钥分发作技术与一次一密加密模式相结合,可以实现理论上的无条件安全。
技术实现要素:
本发明的目的是为了解决软件定义网络南向接口OpenFlow协议存在的安全性缺陷,通过结合量子密钥分发技术,对通信内容进行一次一密加密,保证了控制器与交换机之间通信的安全性。
本发明的目的是通过下述技术方案实现的。
a在控制器端和交换机端部署量子密钥分发系统,生成量子密钥;通过量子信道相连接,在控制器和交换机之间形成组合,如:[控制器-交换机a],[控制器-交换机b]。每个组合生成每个组合的量子密钥。
b启动控制器和交换机,通过握手协议建立连接;控制器端和交换机端对生成的量子密钥进行比对,如果通信双方通过比对发现密钥的误码率超过预先设定值,或者密钥生成速率低于预先设定值,则放弃通信。
c通过软件硬件协同的方式,从量子密钥分发系统中获得密钥,将密钥送至控制器和交换机。
d控制器和交换机使用一次一密算法对信息进行加密和解密。
与现有的传输层安全协议相比,本发明的优点在于:
(1)本发明能够使用量子密钥对控制器和交换机之间传递的信息进行一次一密加密,实现无条件安全。
(2)本发明能够避免传输层安全协议的漏洞导致的中间人攻击和重放攻击等安全威胁。
附图说明
图1是本发明所述的基于量子密钥分发的软件定义网络安全通信方法的结构示意图;
图2是本发明所述的基于量子密钥分发的软件定义网络安全通信方法的工作流程图。
具体实施方式
下面结合说明书附图和具体实施对本发明做进一步地详细说明。图1为本发明所述的基于量子密钥分发的软件定义网络安全通信方法的结构示意图,图2为本发明所述的基于量子密钥分发的软件定义网络安全通信方法的工作流程图。
本发明包含软件定义网络中的控制器和OpenFlow交换机、量子密钥分发系统、以太网交换机和光量子交换机。结构示意图如图1所示
本发明的工作流程如图2所示。第一步,启动控制器和OpenFlow交换机,通过握手协议建立连接。第二步,启动量子密钥分发系统,为控制器端和交换机端生成量子密钥,其中,控制器端的量子密钥分发系统通过光交换机采用时分复用的方式与每个交换机端的量子密钥分发系统相连接。第三步,控制器端和交换机端对生成的密钥进行校验。如果发现密钥生成过程中有窃听者或者无法生成最终密钥,则放弃通信;若密钥量不足,则等待密钥生成;如果一切正常,则进入第四步。第四步,控制器和交换机进行一次一密的保密通信。