一种基于SDN架构的电力信息传输链路身份验证方法技术

本发明专利技术提出一种基于SDN架构的电力信息传输链路身份验证方法，属于领域网络安全技术领域。该身份验证方法采用许可密钥和用户口令双重验证方法，适用于多种场景的通信架构身份验证，可为解决多个不信任的通信方进行身份认证提供新的验证方案，提出的用户名和密码加密验证极极大地提高了安全性；该验证方法在保证验证安全的基础上，减轻了网络的计算压力，减少网关消耗的计算资源，同时提高了验证的效率，可以满足电力信息传输链路身份验证需求，保证电力信息通信安全。电力信息通信安全。电力信息通信安全。

【技术实现步骤摘要】
一种基于SDN架构的电力信息传输链路身份验证方法


[0001]本专利技术属于网络安全
，具体涉及一种基于SDN架构的电力信息传输链路身份验证方法。

技术介绍

[0002]电网智能化的建设和发展促使电网生产、运行、管理、经营等大规模全过程的监测、控制、分析、计算逐步向动态化、在线化、智能化、全过程化转化，通信业务也从电话、数据向视频、多媒体等宽带业务发展。电网通信安全和数据安全也成为了最核心的技术问题。
[0003]SDN是一种新兴的、控制与转发分离并直接可编程的网络架构，其核心是控制与转发分离，管理与控制分离，将传统网络设备紧耦合的网络架构解耦成应用、控制、转发三层分离的架构，并通过标准化实现网络的集中管控和网络应用的可编程电网中的链路的中断会引起非常严重的后果，并且管理与控制SDN的命令是通过控制路径传输的，控制路径的可靠性更是通信网络建设必须考虑到的一点。恶意交换机可以利用这一点轻易接入网络，并利用控制器交换机连接管理模块的漏洞使控制器断开与合法交换机的连接，从而冒充为网络中的合法交换机，网络中存在极高的安全威胁因素。
[0004]现有技术设计的SDN安全通信架构中重点关注SDN架构中实体间的身份认证和授权管理机制。一种方案是基于动态密码方式的身份认证的机制，以及应用等级划分的授权机制；另一种利用已经接入网络的主机对申请接入网络者的公钥所属权进行认证,并对认证结果达成共识的方案,网络通过公钥所属权定时更新，在此基础上在SDN网络中设计并实现了接入身份动态认证方案。然而上述两种方案执行身份认证时认证过程复杂、效率较低。

技术实现思路

[0005]本专利技术的目的在于解决上述现有技术中存在的难题，提供一种基于SDN架构的电力信息传输链路身份验证方法。
[0006]本专利技术是通过以下技术方案实现的：
[0007]步骤1：终端用户向OpenFlow交换机组发送网络访问请求，之后OpenFlow交换机组向控制器发送访问请求；
[0008]步骤2：控制器检查终端用户使用的终端设备的MAC地址、IP地址和端口是否在访问控制列表白名单内，如果不在白名单内，控制器将通过OpenFlow交换机组向终端用户转发终端无权接入网络的提示信息，在白名单内则允许继续访问，控制器将通过OpenFlow交换机组向终端用户转发身份验证请求，以及随机生成的带有有效期的许可密钥licenseKey；
[0009]步骤3：终端用户输入用户身份标识uid和口令pwd，并自动携带步骤2控制器返回的许可密钥licenseKey，发送至认证服务器进行身份认证，认证步骤如下：
[0010]步骤3.1：判断携带的许可密钥licenseKey是否在有效期内，并且是正确的；
[0011]步骤3.2：判断用户输入的用户身份标识uid是否正确并在认证系统中存在，正确
且存在则进行密码验证；
[0012]步骤3.3：通过用户身份标识uid查询到创建用户时随机生成的16位随机数key；
[0013]步骤3.4：计算n值，将用户身份标识uid转字节数组uidBytes，将uidBytes累加uidSum＝sum(uidBytes)，之后对uidSum进行按位与后再进行异或操作，则n＝(&uidSum)
^
，
[0014]步骤3.4：用户输入的口令pwd(设定密码位数最多16位)，获取口令的字节数组为pwdBytes，不足16位尾部进行补0操作，获取key的字节数组为keyBytes；
[0015]步骤3.5：将pwdBytes与keyBytes进行逐位异或操作，获取bytes，再将bytes逐位左移2位，右补0，再逐位取n值得余，公式如下：
[0016]bytes＝((pwdBytes
⊕
keyBytes)<<2)mod n；
[0017]步骤3.6：将bytes转字符串strPwd，与存储的口令字符串进行比对，一致则可以访问，不一致则控制器通过OpenFlow交换机组转发向终端用户提示“用户或者密码不正确”；
[0018]步骤4：身份认证通过后，安全评估系统则对用户终端的安全状态进行检测评估，如果不符合安全策略，则通过OpenFlow交换机组向终端用户转发提示“终端进行更新安全状态，不能继续访问”的信息；
[0019]步骤5：安全评估系统通过认证后，则根据资源授权列表对其进行授权，用户可进行相应电力资源的访问及电力信息的传输；
[0020]步骤6：当用户在预设时间内无访问操作，自动断开链接，再次访问需要重复上述步骤1
‑
5。
[0021]除此之外，本申请还提供了一种基于SDN架构的电力信息传输链路身份验证方法对应的计算设备以及计算机可读存储介质，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的计算机可执行指令，所述处理器执行所述计算机可执行指令以实现上述基于SDN架构的电力信息传输链路身份验证方法。
[0022]与现有技术相比，本专利技术的有益效果是：提出一种全新的基于SDN架构的电力信息传输链路身份验证方法。该身份验证方法采用许可密钥和用户口令双重验证方法，适用于多种场景的通信架构身份验证，可为解决多个不信任的通信方进行身份认证提供新的验证方案；该验证方法在保证验证安全的基础上，减轻了网络的计算压力，减少网关消耗的计算资源，大大提高了验证的效率。
附图说明
[0023]图1本专利技术基于SDN架构的电力信息传输链路身份验证网络架构示意图。
具体实施方式
[0024]下面结合附图1对本专利技术作进一步详细描述：本专利技术本专利技术基于SDN架构的电力信息传输链路身份验证网络架构至少包含终端用户、OpenFlow交换机组、控制器、认证服务器以及安全评估系统，OpenFlow交换机组至少包含两个以上交换机：控制器至少包含两个以上。基于SDN架构的电力信息传输链路身份验证网络架构执行以下传输链路身份验证方法：
[0025]步骤1：终端用户向OpenFlow交换机组发送网络访问请求，之后OpenFlow交换机组向控制器发送访问请求；
[0026]步骤2：控制器检查终端用户使用的终端设备的MAC地址、IP地址和端口是否在访
问控制列表白名单内，如果不在白名单内，控制器将通过OpenFlow交换机组向终端用户转发终端无权接入网络的提示信息，在白名单内则允许继续访问，控制器将通过OpenFlow交换机组向终端用户转发身份验证请求，以及随机生成的带有有效期的许可密钥licenseKey；上述白名单控制器定时进行更新。
[0027]步骤3：终端用户输入用户身份标识uid和口令pwd，并自动携带步骤2控制器返回的许可密钥licenseKey，发送至认证服务器进行身份认证，认证步骤如下：
[0028]步骤3.1：判断携带的许可密钥licenseKey是否在有效期内，并且是正确的；
[0029]步骤本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于SDN架构的电力信息传输链路身份验证方法，其特征在于包含如下步骤：步骤1：终端用户向OpenFlow交换机组发送网络访问请求，之后OpenFlow交换机组向控制器发送访问请求；步骤2：控制器检查终端用户使用的终端设备的MAC地址、IP地址和端口是否在访问控制列表白名单内，如果不在白名单内，控制器将通过OpenFlow交换机组向终端用户转发终端无权接入网络的提示信息，在白名单内则允许继续访问，控制器将通过OpenFlow交换机组向终端用户转发身份验证请求，以及随机生成的带有有效期的许可密钥licenseKey；步骤3：终端用户输入用户身份标识uid和口令pwd，并自动携带步骤2控制器返回的许可密钥licenseKey，发送至认证服务器进行身份认证，步骤4：身份认证通过后，安全评估系统则对用户终端的安全状态进行检测评估，如果不符合安全策略，则通过OpenFlow交换机组向终端用户转发提示“终端进行更新安全状态，不能继续访问”的信息；步骤5：安全评估系统通过认证后，则根据资源授权列表对其进行授权，用户可进行相应电力资源的访问及电力信息的传输；步骤6：当用户在预设时间内无访问操作，自动断开链接，再次访问需要重复上述步骤1
‑
5。2.根据权利要求1所述的基于SDN架构的电力信息传输链路身份验证方法，其特征在于：所述步骤3认证步骤具体包含：步骤3.1：判断携带的许可密钥licenseKey是否在有效期内，并且是正确的；步骤3.2：判断用户输入的用户身份标识uid是否正确并在认证系统中存在，正确且存在则进行密码验证；步骤3.3：通过用户身份标识uid查询到创建用户时随机生成的16位随机数key；步骤3.4：计算n值，将用户身份标识uid转字节数组uidBytes，将uidBytes累加uidSum＝sum(uidBytes)，之后对uidSum进行按位与后再进行异或操作，则n＝(&uidSum)
^
，步骤...

【专利技术属性】
技术研发人员：李成学，谢伟栋，李明洋，张明栋，毛媛媛，王蔚，曹少荣，
申请(专利权)人：国网甘肃省电力公司庆阳供电公司，
类型：发明
国别省市：