一种改进软件定义网络的安全通信系统技术方案

本申请公开一种改进软件定义网络的安全通信系统，包括：应用层、安全通信服务层、控制层和转发层；所述应用层包括多个客户端，所述客户端作为请求客户端或目标客户端；所述安全通信服务层设置有安全数据库，所述安全数据库存储有客户端身份标识列表、安全通信服务层公私钥对、多个客户端公钥和多个客户端网络地址。可以解决现有软件定义网络全网的信息和数据以明文形式在网络上传播，导致隐私容易泄漏；以及软件定义网络的可编程性导致的易受到外界的恶意入侵等问题。

A secure communication system based on improved software defined network

【技术实现步骤摘要】
一种改进软件定义网络的安全通信系统
本申请涉及安全通信
，具体的涉及一种改进软件定义网络的安全通信系统。
技术介绍
软件定义网络（Software Defined Network，SDN）是对传统网络架构的一次重构，将原来分布式控制的网络架构重构为集中控制的网络架构。即在分布式网络连接之上，引入一个集中统一的控制与管理层来实现网络全局管理和对上层业务的动态响应。然而，现有软件定义网络的全网设备资源是对外暴露的，潜藏着较大的资源访问安全隐患，尤其，网络流量中存在着有价值的信息和数据，将这些有价值的信息和数据以明文的形式在网络上传播，会导致隐私的泄漏；另外，软件定义网络的可编程性为恶意入侵提供了接口，易受到外界的恶意入侵。
技术实现思路
本申请提供一种改进软件定义网络的安全通信系统，可以解决现有软件定义网络全网的信息和数据以明文的形式在网络上传播，导致隐私容易泄漏；以及软件定义网络的可编程性导致的易受到外界的恶意入侵等问题。一种改进软件定义网络的安全通信系统，包括：应用层、安全通信服务层、控制层和转发层；所述应用层包括多个客户端，所述客户端作为请求客户端或目标客户端；所述安全通信服务层设置有安全数据库，所述安全数据库存储有客户端身份标识列表、安全通信服务层公私钥对、多个客户端公钥和多个客户端网络地址；所述请求客户端配置有：连接请求发送步骤，向所述安全通信服务层发送连接请求消息；所述连接请求消息由连接请求消息文本经过数字签名并使用安全通信服务层公钥加密得到；所述安全通信服务层配置有：连接请求验证步骤，使用安全通信服务层私钥对接收到的所述连接请求消息解密并进行签名验证，得到所述连接请求消息文本；客户端网址查询步骤，根据所述连接请求消息文本，在所述安全数据库内查找目标客户端公钥和目标客户端网络地址；请求密文发送步骤，根据所述目标客户端网络地址，经过所述控制层向所述转发层发送连接请求消息密文，所述连接请求消息密文由所述连接请求消息文本经过数字签名并通过所述目标客户端公钥加密得到；所述转发层配置有：密文转发步骤，根据所述控制层制定的转发策略，向所述目标客户端转发所述连接请求消息密文；所述转发策略根据所述目标客户端网络地址制定；所述目标客户端配置有：请求应答步骤，如果目标客户端私钥能够解密所述连接请求消息密文并签名验证成功，向所述安全通信服务层发送请求确认消息密文，所述请求确认消息密文由请求确认消息经过数字签名并通过所述安全通信服务层公钥加密得到；所述安全通信服务层进一步配置有：请求确认消息密文验证步骤，使用所述安全通信服务层私钥对接收到的所述请求确认消息密文解密并进行签名验证；如果密文解密成功且签名验证成功，所述请求客户端与所述目标客户端之间成功建立安全连接。本申请提供的改进软件定义网络的安全通信系统，在现有的软件定义网络中引入了安全通信服务层，利用安全通信服务层，以及在网络中传输的消息以密文状态进行传输，可以保护通信内容的隐私性，进一步保证了网络内编程接口的安全性，客户端之间的通信变得可信。附图说明为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本申请实施例提供的一种改进软件定义网络的安全通信系统拓扑图；图2为图1所示改进软件定义网络的安全通信系统的第一种通信示意图；图3为图1所示改进软件定义网络的安全通信系统的第二种通信示意图；图4为图1所示改进软件定义网络的安全通信系统的第三种通信示意图；图5为图1所示改进软件定义网络的安全通信系统的第四种通信示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。图1为本申请实施例提供的一种改进软件定义网络的安全通信系统拓扑图；图2为图1所示改进软件定义网络的安全通信系统的第一种通信示意图。结合图1和图2，本申请实施例提供一种改进软件定义网络的安全通信系统，包括：应用层1、安全通信服务层2、控制层3和转发层4；应用层1包括多个客户端11，客户端11可以作为请求客户端12或目标客户端13，应用层1可以包括n个客户端11，例如客户端1、客户端2、…、客户端i、…、客户端j、…、客户端n，其中，i，j，n均是任一正整数，且i=1，2，3，…n，j=1，2，3，…n。安全通信服务层2内设置有安全数据库，安全数据库用于存储客户端身份标识列表、安全通信服务层公私钥对、多个客户端公钥和多个客户端网络地址等数据。客户端身份标识可以用ID表示，客户端身份标识ID可以由客户端身份信息通过哈希操作得到，任意客户端i有一对公私钥对（PKi，SKi），任意客户端j有一对公私钥对（PKj，SKj）,安全通信服务层2的公私钥对用（PK，SK）表示,任意客户端i的网络地址用ADi表示，任意客户端j的网络地址用ADj表示。继续参考图1和图2，任意客户端11可作为请求客户端12，任意客户端11也可以作为目标客户端13，在一次通信过程中，请求客户端12和目标客户端13是相互对应的，如图2所示，客户端i作为请求客户端12，客户端j作为目标客户端13，则请求客户端i可以配置有：连接请求发送步骤，向安全通信服务层发送连接请求消息；连接请求消息由连接请求消息文本经过数字签名并使用安全通信服务层公钥PK加密得到。连接请求消息文本可以包括请求客户端身份标识IDi、目标客户端身份标识IDj和连接请求指令R-Cn（request-connection），则连接请求消息文本可以表示为（IDi,IDj,R-Cn）。连接请求消息可以表示为E[（IDi,IDj,R-Cn），PK]。安全通信服务层2配置有：连接请求验证步骤，使用安全通信服务层私钥SK对接收到的连接请求消息解密并进行签名验证，得到连接请求消息文本（IDi,IDj,R-Cn），如果连接请求消息的解密失败或者签名验证失败，请求客户端i的连接请求失败。客户端身份验证步骤，如果使用安全通信服务层私钥SK对接收到的连接请求消息解密成功并签名验证成功，得到连接请求消息文本（IDi,IDj,R-Cn），在客户端身份标识列表内查找请求客户端身份标识IDi和目标客户端身份标识IDj；如果在客户端身份标识列表内能够查找到请求客户端身份标识IDi和目标客户端身份标识IDj，则客户端身份验证通过，如果未查找到，则客户端身份验证未通过，请求客户端i的连接请求失败。客户端网址查询步骤，根据连接请求消息文本（IDi,IDj,R-Cn），在安全数据库内查找目标客户端公钥PKj和目标客户端网络地址ADj。<本文档来自技高网...

【技术保护点】
1.一种改进软件定义网络的安全通信系统，其特征在于，包括：应用层、安全通信服务层、控制层和转发层；所述应用层包括多个客户端，所述客户端作为请求客户端或目标客户端；所述安全通信服务层设置有安全数据库，所述安全数据库存储有客户端身份标识列表、安全通信服务层公私钥对、多个客户端公钥和多个客户端网络地址；/n所述请求客户端配置有：/n连接请求发送步骤，向所述安全通信服务层发送连接请求消息；所述连接请求消息由连接请求消息文本经过数字签名并使用安全通信服务层公钥加密得到；/n所述安全通信服务层配置有：/n连接请求验证步骤，使用安全通信服务层私钥对接收到的所述连接请求消息解密并进行签名验证，得到所述连接请求消息文本；/n客户端网址查询步骤，根据所述连接请求消息文本，在所述安全数据库内查找目标客户端公钥和目标客户端网络地址；/n请求密文发送步骤，根据所述目标客户端网络地址，经过所述控制层向所述转发层发送连接请求消息密文，所述连接请求消息密文由所述连接请求消息文本经过数字签名并通过所述目标客户端公钥加密得到；/n所述转发层配置有：/n密文转发步骤，根据所述控制层制定的转发策略，向所述目标客户端转发所述连接请求消息密文；所述转发策略根据所述目标客户端网络地址制定；/n所述目标客户端配置有：/n请求应答步骤，如果目标客户端私钥能够解密所述连接请求消息密文并签名验证成功，向所述安全通信服务层发送请求确认消息密文，所述请求确认消息密文由请求确认消息经过数字签名并通过所述安全通信服务层公钥加密得到；/n所述安全通信服务层进一步配置有：/n请求确认消息密文验证步骤，使用所述安全通信服务层私钥对接收到的所述请求确认消息密文解密并进行签名验证；如果密文解密成功且签名验证成功，所述请求客户端与所述目标客户端之间成功建立安全连接。/n...

【技术特征摘要】
1.一种改进软件定义网络的安全通信系统，其特征在于，包括：应用层、安全通信服务层、控制层和转发层；所述应用层包括多个客户端，所述客户端作为请求客户端或目标客户端；所述安全通信服务层设置有安全数据库，所述安全数据库存储有客户端身份标识列表、安全通信服务层公私钥对、多个客户端公钥和多个客户端网络地址；
所述请求客户端配置有：
连接请求发送步骤，向所述安全通信服务层发送连接请求消息；所述连接请求消息由连接请求消息文本经过数字签名并使用安全通信服务层公钥加密得到；
所述安全通信服务层配置有：
连接请求验证步骤，使用安全通信服务层私钥对接收到的所述连接请求消息解密并进行签名验证，得到所述连接请求消息文本；
客户端网址查询步骤，根据所述连接请求消息文本，在所述安全数据库内查找目标客户端公钥和目标客户端网络地址；
请求密文发送步骤，根据所述目标客户端网络地址，经过所述控制层向所述转发层发送连接请求消息密文，所述连接请求消息密文由所述连接请求消息文本经过数字签名并通过所述目标客户端公钥加密得到；
所述转发层配置有：
密文转发步骤，根据所述控制层制定的转发策略，向所述目标客户端转发所述连接请求消息密文；所述转发策略根据所述目标客户端网络地址制定；
所述目标客户端配置有：
请求应答步骤，如果目标客户端私钥能够解密所述连接请求消息密文并签名验证成功，向所述安全通信服务层发送请求确认消息密文，所述请求确认消息密文由请求确认消息经过数字签名并通过所述安全通信服务层公钥加密得到；
所述安全通信服务层进一步配置有：
请求确认消息密文验证步骤，使用所述安全通信服务层私钥对接收到的所述请求确认消息密文解密并进行签名验证；如果密文解密成功且签名验证成功，所述请求客户端与所述目标客户端之间成功建立安全连接。


2.根据权利要求1所述的改进软件定义网络的安全通信系统，其特征在于，所述安全通信服务层进一步配置有：
连接成功通知步骤，如果所述请求确认消息密文验证步骤的密文解密成功且签名验证成功，通过所述控制层和所述转发层向所述请求客户端和所述目标客户端分别发送连接成功消息；
所述请求客户端进一步配置有：
对称密钥生成步骤，如果接收到所述连接成功消息，生成对称加密密钥；
对称密钥消息发送步骤，向所述安全通信服务层发送对称密钥消息，所述对称密钥消息由所述对称加密密钥经过数字签名并通过所述目标客户端公钥加密得到；
所述安全通信服务层进一步配置有：
对称密钥消息发送步骤，通过所述控制层和所述转发层向所述目标客户端发送所述对称密钥消息；
所述目标客户端进一步配置有：
连接成功消息接收步骤，接收所述连接成功消息；
对称密钥消息解密步骤，如果接收到所述对称密钥消息，使用所述目标客户端私钥对所述对称密钥消息解密并进行签名验证，得到所述对称加密密钥；
安全通信通道建立步骤，如果接收到所述连接成功消息且所述对称密钥消息的签名验证成功，以及所述目标客户端私钥能够解密所述对称密钥消息，得到所述对称加密密钥，所述请求客户端与所述目标客户端之间建立起安全通信通道。


3.根据权利要求2所述的改进软件定义网络的安全通信系统，其特征在于，所述连接请求消息文本包括请求客户端身份标识、目标客户端身份标识和连接请求指令；
所述请求确认消息包括所述请求客户端身份标识、所述目标客户端身份标识和确认请求应答；
所述连接成功消息包括所述请求客户端身份标识、所述目标客户端身份标识、请求客户端网络地址、所述目标客户端网络地址、请求客户端公钥和所述目标客户端公钥。


4.根据权利要求3所述的改进软件定义网络的安全通信系统，其特征在于，所述安全通信服务层进一步配置有：
客户端身份验证步骤，如果在所述连接请求验证步骤，使用所述安全通信服务层私钥对接收到的所述连接请求消息解密成功并签名验证成功，得到所述连接请求消息文本，在所述客户端身份标识列表内查找所述请求客户端身份标识和所述目标客户端身份标识；如果在所述客户端身份标识列表内能够查找到所述请求客户端身份标识和所述目标客户端身份标识，继续执行所述客户端网址查询步骤。


5.根据权利要求3所述的改进软件定义网络的安全通信系统，其特征在于，所述控制层配置有：
消息完整性验证步骤，验证...

【专利技术属性】
技术研发人员：石宁，姜冲，李天莹，
申请(专利权)人：南京可信区块链与算法经济研究院有限公司，
类型：发明
国别省市：江苏;32