本申请公开一种改进软件定义网络的安全通信系统,包括:应用层模块、安全通信服务层模块、控制层模块和转发层模块;所述应用层模块包括多个客户端,所述客户端作为请求客户端或目标客户端;所述安全通信服务层模块设置有安全数据库,所述安全数据库存储有客户端身份标识列表、安全通信服务层模块公私钥对、多个客户端公钥和多个客户端网络地址。可以解决现有软件定义网络全网的信息和数据以明文形式在网络上传播,导致隐私容易泄漏;以及软件定义网络的可编程性导致的易受到外界的恶意入侵等问题。
1.一种改进软件定义网络的安全通信系统,其特征在于,包括:应用层模块、安全通信服务层模块、控制层模块和转发层模块;所述应用层模块包括多个客户端,所述客户端作为请求客户端或目标客户端;所述安全通信服务层模块设置有安全数据库,所述安全数据库存储有客户端身份标识列表、安全通信服务层模块公私钥对、多个客户端公钥和多个客户端网络地址;
连接请求发送步骤,向所述安全通信服务层模块发送连接请求消息;所述连接请求消息由连接请求消息文本经过数字签名并使用安全通信服务层模块公钥加密得到;
连接请求验证步骤,使用安全通信服务层模块私钥对接收到的所述连接请求消息解密并进行签名验证,得到所述连接请求消息文本;
客户端网址查询步骤,根据所述连接请求消息文本,在所述安全数据库内查找目标客户端公钥和目标客户端网络地址;
请求密文发送步骤,根据所述目标客户端网络地址,经过所述控制层模块向所述转发层模块发送连接请求消息密文,所述连接请求消息密文由所述连接请求消息文本经过数字签名并通过所述目标客户端公钥加密得到;
密文转发步骤,根据所述控制层模块制定的转发策略,向所述目标客户端转发所述连接请求消息密文;所述转发策略根据所述目标客户端网络地址制定;
请求应答步骤,如果目标客户端私钥能够解密所述连接请求消息密文并签名验证成功,向所述安全通信服务层模块发送请求确认消息密文,所述请求确认消息密文由请求确认消息经过数字签名并通过所述安全通信服务层模块公钥加密得到;
请求确认消息密文验证步骤,使用所述安全通信服务层模块私钥对接收到的所述请求确认消息密文解密并进行签名验证;如果密文解密成功且签名验证成功,所述请求客户端与所述目标客户端之间成功建立安全连接。
2.根据权利要求1所述的改进软件定义网络的安全通信系统,其特征在于,所述安全通信服务层模块进一步配置为执行:连接成功通知步骤,如果所述请求确认消息密文验证步骤的密文解密成功且签名验证成功,通过所述控制层模块和所述转发层模块向所述请求客户端和所述目标客户端分别发送连接成功消息;
对称密钥生成步骤,如果接收到所述连接成功消息,生成对称加密密钥;
对称密钥消息发送步骤,向所述安全通信服务层模块发送对称密钥消息,所述对称密钥消息由所述对称加密密钥经过数字签名并通过所述目标客户端公钥加密得到;
对称密钥消息发送步骤,通过所述控制层模块和所述转发层模块向所述目标客户端发送所述对称密钥消息;
对称密钥消息解密步骤,如果接收到所述对称密钥消息,使用所述目标客户端私钥对所述对称密钥消息解密并进行签名验证,得到所述对称加密密钥;
安全通信通道建立步骤,如果接收到所述连接成功消息且所述对称密钥消息的签名验证成功,以及所述目标客户端私钥能够解密所述对称密钥消息,得到所述对称加密密钥,所述请求客户端与所述目标客户端之间建立起安全通信通道。
3.根据权利要求2所述的改进软件定义网络的安全通信系统,其特征在于,所述连接请求消息文本包括请求客户端身份标识、目标客户端身份标识和连接请求指令;
所述请求确认消息包括所述请求客户端身份标识、所述目标客户端身份标识和确认请求应答;
所述连接成功消息包括所述请求客户端身份标识、所述目标客户端身份标识、请求客户端网络地址、所述目标客户端网络地址、请求客户端公钥和所述目标客户端公钥。
4.根据权利要求3所述的改进软件定义网络的安全通信系统,其特征在于,所述安全通信服务层模块进一步配置为执行:客户端身份验证步骤,如果在所述连接请求验证步骤,使用所述安全通信服务层模块私钥对接收到的所述连接请求消息解密成功并签名验证成功,得到所述连接请求消息文本,在所述客户端身份标识列表内查找所述请求客户端身份标识和所述目标客户端身份标识;如果在所述客户端身份标识列表内能够查找到所述请求客户端身份标识和所述目标客户端身份标识,继续执行所述客户端网址查询步骤。
5.根据权利要求3所述的改进软件定义网络的安全通信系统,其特征在于,所述控制层模块配置为执行:消息完整性验证步骤,验证所述连接请求消息密文的完整性;
制定转发策略步骤,如果所述连接请求消息密文的完整性验证通过,根据所述目标客户端网络地址制定转发策略;
转发策略发送步骤,将所述连接请求消息密文和所述转发策略发送至所述转发层模块。
6.根据权利要求3所述的改进软件定义网络的安全通信系统,其特征在于,所述目标客户端进一步配置为执行:测试消息密文生成步骤,对测试消息文本进行数字签名并使用所述对称加密密钥进行加密,得到测试消息密文;
测试消息密文发送步骤,向所述安全通信服务层模块发送所述测试消息密文;
测试消息密文转发步骤,通过所述控制层模块和所述转发层模块,将所述测试消息密文发送至所述请求客户端;
测试消息密文解密步骤,使用所述对称加密密钥对接收到的所述测试消息密文解密并进行签名验证,如果解密成功且签名验证成功,得到所述测试消息文本,所述请求客户端与所述目标客户端之间的所述安全通信通道通过测试。
7.根据权利要求6所述的改进软件定义网络的安全通信系统,其特征在于,所述请求客户端进一步配置为执行:测试反馈步骤,如果所述安全通信通道通过测试,向所述安全通信服务层模块发送测试反馈密文,所述测试反馈密文由测试反馈消息经过所述对称加密密钥加密得到;
测试反馈转发步骤,通过所述控制层模块和所述转发层模块,将所述测试反馈密文发送至所述目标客户端;
测试反馈密文解密步骤,使用所述对称加密密钥对所述测试反馈密文进行解密;
测试反馈确认步骤,如果所述对称加密密钥能够成功解密所述测试反馈密文,得到所述测试反馈消息,确认所述安全通信通道的测试反馈成功。
8.根据权利要求3所述的改进软件定义网络的安全通信系统,其特征在于,任意所述客户端作为非注册客户端,非注册客户端身份标识未存储在所述客户端身份标识列表内;所述非注册客户端配置为执行:注册请求发送步骤,向所述安全通信服务层模块发送注册请求消息,所述注册请求消息包括所述非注册客户端身份标识和注册请求指令;
随机码生成步骤,根据接收到的所述注册请求消息,生成一个随机码;
注册信息发送步骤,向所述非注册客户端发送所述随机码和所述安全通信服务层模块公钥;
随机码认证步骤,使用接收到的所述随机码向所述安全通信服务层模块认证;
密钥对创建请求发送步骤,如果所述非注册客户端的随机码认证成功,通过所述控制层模块和所述转发层模块向所述非注册客户端发送客户端密钥对创建请求消息;
密钥对创建步骤,根据接收到的所述客户端密钥对创建请求消息,创建所述非注册客户端的公私钥对,且将非注册客户端公钥发送至所述安全通信服务层模块;
客户端注册步骤,如果接收到所述非注册客户端公钥,在所述安全数据库内创建一个新条目,所述新条目存储有所述非注册客户端身份标识和所述非注册客户端公钥;
客户端身份广播步骤,向其他所述客户端广播所述非注册客户端身份标识。
9.根据权利要求8所述的改进软件定义网络的安全通信系统,其特征在于,在所述注册信息发送步骤,通过所述非注册客户端的电子邮箱地址或者电话号码,将所述随机码和所述安全通信服务层模块公钥以邮件或者短信的形式发送至所述非注册客户端。
10.根据权利要求8所述的改进软件定义网络的安全通信系统,其特征在于,在所述随机码认证步骤,通过电子邮箱、电话号码或者认证子系统的方式,向所述安全通信服务层模块发送所述随机码,对所述非注册客户端进行认证;
其中,如果所述安全通信服务层模块收到以所述随机码为内容的邮件,比对生成的所述随机码与收到的所述随机码是否相同,如果相同,所述非注册客户端的随机码认证成功;
如果所述安全通信服务层模块收到以所述随机码为内容的短信,比对生成的所述随机码与收到的所述随机码是否相同,如果相同,所述非注册客户端的随机码认证成功;如果所述安全通信服务层模块收到所述认证子系统传输的随机码,比对生成的所述随机码与收到的所述随机码是否相同,如果相同,所述非注册客户端的随机码认证成功。
一种改进软件定义网络的安全通信系统
技术领域
[0001] 本申请涉及安全通信技术领域,具体的涉及一种改进软件定义网络的安全通信系统。
背景技术
[0002] 软件定义网络(Software Defined Network,SDN)是对传统网络架构的一次重构,将原来分布式控制的网络架构重构为集中控制的网络架构。即在分布式网络连接之上,引入一个集中统一的控制与管理层来实现网络全局管理和对上层业务的动态响应。
[0003] 然而,现有软件定义网络的全网设备资源是对外暴露的,潜藏着较大的资源访问安全隐患,尤其,网络流量中存在着有价值的信息和数据,将这些有价值的信息和数据以明文的形式在网络上传播,会导致隐私的泄漏;另外,软件定义网络的可编程性为恶意入侵提供了接口,易受到外界的恶意入侵。
发明内容
[0004] 本申请提供一种改进软件定义网络的安全通信系统,可以解决现有软件定义网络全网的信息和数据以明文的形式在网络上传播,导致隐私容易泄漏;以及软件定义网络的可编程性导致的易受到外界的恶意入侵等问题。
[0005] 一种改进软件定义网络的安全通信系统,包括:应用层模块、安全通信服务层模块、控制层模块和转发层模块;所述应用层模块包括多个客户端,所述客户端作为请求客户端或目标客户端;所述安全通信服务层模块设置有安全数据库,所述安全数据库存储有客户端身份标识列表、安全通信服务层模块公私钥对、多个客户端公钥和多个客户端网络地址;
[0006] 所述请求客户端配置为执行:
[0007] 连接请求发送步骤,向所述安全通信服务层模块发送连接请求消息;所述连接请求消息由连接请求消息文本经过数字签名并使用安全通信服务层模块公钥加密得到;
[0008] 所述安全通信服务层模块配置为执行:
[0009] 连接请求验证步骤,使用安全通信服务层模块私钥对接收到的所述连接请求消息解密并进行签名验证,得到所述连接请求消息文本;
[0010] 客户端网址查询步骤,根据所述连接请求消息文本,在所述安全数据库内查找目标客户端公钥和目标客户端网络地址;
[0011] 请求密文发送步骤,根据所述目标客户端网络地址,经过所述控制层模块向所述转发层模块发送连接请求消息密文,所述连接请求消息密文由所述连接请求消息文本经过数字签名并通过所述目标客户端公钥加密得到;
[0012] 所述转发层模块配置为执行:
[0013] 密文转发步骤,根据所述控制层模块制定的转发策略,向所述目标客户端转发所述连接请求消息密文;所述转发策略根据所述目标客户端网络地址制定;
[0014] 所述目标客户端配置为执行:
[0015] 请求应答步骤,如果目标客户端私钥能够解密所述连接请求消息密文并签名验证成功,向所述安全通信服务层模块发送请求确认消息密文,所述请求确认消息密文由请求确认消息经过数字签名并通过所述安全通信服务层模块公钥加密得到;
[0016] 所述安全通信服务层模块进一步配置为执行:
[0017] 请求确认消息密文验证步骤,使用所述安全通信服务层模块私钥对接收到的所述请求确认消息密文解密并进行签名验证;如果密文解密成功且签名验证成功,所述请求客户端与所述目标客户端之间成功建立安全连接。
[0018] 本申请提供的改进软件定义网络的安全通信系统,在现有的软件定义网络中引入了安全通信服务层模块,利用安全通信服务层模块,以及在网络中传输的消息以密文状态进行传输,可以保护通信内容的隐私性,进一步保证了网络内编程接口的安全性,客户端之间的通信变得可信。
附图说明
[0019] 为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0020] 图1为本申请实施例提供的一种改进软件定义网络的安全通信系统拓扑图;
[0021] 图2为图1所示改进软件定义网络的安全通信系统的第一种通信示意图;
[0022] 图3为图1所示改进软件定义网络的安全通信系统的第二种通信示意图;
[0023] 图4为图1所示改进软件定义网络的安全通信系统的第三种通信示意图;
[0024] 图5为图1所示改进软件定义网络的安全通信系统的第四种通信示意图。
具体实施方式
[0025] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0026] 图1为本申请实施例提供的一种改进软件定义网络的安全通信系统拓扑图;图2为图1所示改进软件定义网络的安全通信系统的第一种通信示意图。结合图1和图2,本申请实施例提供一种改进软件定义网络的安全通信系统,包括:应用层模块1、安全通信服务层模块2、控制层模块3和转发层模块4;应用层模块1包括多个客户端11,客户端11可以作为请求客户端12或目标客户端13,应用层模块1可以包括n个客户端11,例如客户端1、客户端2、…、客户端i、…、客户端j、…、客户端n,其中,i,j,n均是任一正整数,且i=1,2,3,…n,j=1,2,3,…n。安全通信服务层模块2内设置有安全数据库,安全数据库用于存储客户端身份标识列表、安全通信服务层模块公私钥对、多个客户端公钥和多个客户端网络地址等数据。客户端身份标识可以用ID表示,客户端身份标识ID可以由客户端身份信息通过哈希操作得到,任意客户端i有一对公私钥对(PKi,SKi),任意客户端j有一对公私钥对(PKj,SKj),安全通信服务层模块2的公私钥对用(PK,SK)表示,任意客户端i的网络地址用ADi表示,任意客户端j的网络地址用ADj表示。
[0027] 继续参考图1和图2,任意客户端11可作为请求客户端12,任意客户端11也可以作为目标客户端13,在一次通信过程中,请求客户端12和目标客户端13是相互对应的,如图2所示,客户端i作为请求客户端12,客户端j作为目标客户端13,则请求客户端i可以配置为执行:
[0028] 连接请求发送步骤,向安全通信服务层模块发送连接请求消息;连接请求消息由连接请求消息文本经过数字签名并使用安全通信服务层模块公钥PK加密得到。连接请求消息文本可以包括请求客户端身份标识IDi、目标客户端身份标识IDj和连接请求指令R-Cn(request-connection),则连接请求消息文本可以表示为(IDi,IDj,R-Cn)。连接请求消息可以表示为E[(IDi,IDj,R-Cn),PK]。
[0029] 安全通信服务层模块2配置为执行:
[0030] 连接请求验证步骤,使用安全通信服务层模块私钥SK对接收到的连接请求消息解密并进行签名验证,得到连接请求消息文本(IDi,IDj,R-Cn),如果连接请求消息的解密失败或者签名验证失败,请求客户端i的连接请求失败。
[0031] 客户端身份验证步骤,如果使用安全通信服务层模块私钥SK对接收到的连接请求消息解密成功并签名验证成功,得到连接请求消息文本(IDi,IDj,R-Cn),在客户端身份标识列表内查找请求客户端身份标识IDi和目标客户端身份标识IDj;如果在客户端身份标识列表内能够查找到请求客户端身份标识IDi和目标客户端身份标识IDj,则客户端身份验证通过,如果未查找到,则客户端身份验证未通过,请求客户端i的连接请求失败。
[0032] 客户端网址查询步骤,根据连接请求消息文本(IDi,IDj,R-Cn),在安全数据库内查找目标客户端公钥PKj和目标客户端网络地址ADj。
[0033] 请求密文发送步骤,根据目标客户端网络地址ADj,经过控制层模块向转发层模块发送连接请求消息密文,连接请求消息密文由连接请求消息文本(IDi,IDj,R-Cn)经过数字签名并通过目标客户端公钥PKj加密得到;连接请求消息密文可以表示为E[(IDi,IDj,R-Cn),PKj]。
[0034] 控制层模块3配置为执行:
[0035] 消息完整性验证步骤,验证连接请求消息密文的完整性。如果连接请求消息密文不完整,向安全通信服务层模块反馈不完整消息,安全通信服务层模块重新发送连接请求消息密文,控制层模块针对新接收到的连接请求消息密文进行完整性的验证,直至完整性验证通过。
[0036] 制定转发策略步骤,如果连接请求消息密文的完整性验证通过,根据所述目标客户端网络地址制定转发策略[F-S]。
[0037] 转发策略发送步骤,将连接请求消息密文E[(IDi,IDj,R-Cn),PKj]和转发策略[F-S]发送至转发层模块。
[0038] 转发层模块4配置为执行:
[0039] 密文转发步骤,根据控制层模块制定的转发策略[F-S],向目标客户端j转发连接请求消息密文E[(IDi,IDj,R-Cn),PKj]。
[0040] 目标客户端j配置为执行:
[0041] 请求应答步骤,如果目标客户端私钥SKj能够解密连接请求消息密文E[(IDi,IDj,R-Cn),PKj]并签名验证成功,向安全通信服务层模块发送请求确认消息密文,请求确认消息密文是请求确认消息经过数字签名并通过安全通信服务层模块公钥PK加密得到;请求确认消息包括请求客户端身份标识IDi、目标客户端身份标识IDj和确认请求应答R-Cf(request-confirmation),请求确认消息密文可以表示为E[(IDi,IDj,R-Cf),PK]。
[0042] 安全通信服务层模块2进一步配置为执行:
[0043] 请求确认消息密文验证步骤,使用安全通信服务层模块私钥SK对接收到的请求确认消息密文E[(IDi,IDj,R-Cf),PK]进行解密并签名验证;如果密文解密成功且签名验证成功,请求客户端i与目标客户端j之间成功建立安全连接。
[0044] 本实施例提供的改进软件定义网络的安全通信系统,在现有的软件定义网络中引入了安全通信服务层模块,利用安全通信服务层模块,以及在网络中传输的消息以密文状态进行传输,可以保护通信内容的隐私性,进一步保证了网络内编程接口的安全性,客户端之间的通信变得可信。
[0045] 图3为图1所示改进软件定义网络的安全通信系统的第二种通信示意图。如图3所示,在图2所示的通信示意图基础上,安全通信服务层模块2可以进一步配置为执行:
[0046] 连接成功通知步骤,如果请求确认消息密文验证步骤的密文解密成功且签名验证成功,通过控制层模块和转发层模块向请求客户端i和目标客户端j分别发送连接成功消息;连接成功消息包括请求客户端身份标识IDi、目标客户端身份标识IDj、请求客户端网络地址ADi、目标客户端网络地址ADj、请求客户端公钥PKi和目标客户端公钥PKj,连接成功消息可以表示为[IDi,IDj,ADi,ADj,PKi,PKj]。
[0047] 请求客户端i进一步配置为执行:
[0048] 对称密钥生成步骤,如果接收到连接成功消息[IDi,IDj,ADi,ADj,PKi,PKj],生成对称加密密钥ek。
[0049] 对称密钥消息发送步骤,向安全通信服务层模块发送对称密钥消息,对称密钥消息由对称加密密钥ek经过数字签名并通过目标客户端公钥PKj加密得到,对称密钥消息可以表示为E[ek,PKj]。
[0050] 安全通信服务层模块2进一步配置为执行:
[0051] 对称密钥消息发送步骤,通过控制层模块3和转发层模块4向目标客户端j发送对称密钥消息。
[0052] 目标客户端j进一步配置为执行:
[0053] 连接成功消息接收步骤,接收连接成功消息[IDi,IDj,ADi,ADj,PKi,PKj]。
[0054] 对称密钥消息解密步骤,如果接收到对称密钥消息E[ek,PKj],使用目标客户端私钥SKj对对称密钥消息E[ek,PKj]进行解密并进行签名验证,得到对称加密密钥ek。
[0055] 安全通信通道建立步骤,如果接收到连接成功消息[IDi,IDj,ADi,ADj,PKi,PKj]且目标客户端私钥SKj能够解密所述对称密钥消息E[ek,PKj],以及对称密钥消息E[ek,PKj]的签名验证成功,得到对称加密密钥ek,请求客户端i与目标客户端之间j之间建立起安全通信通道。
[0056] 本实施例提供的改进软件定义网络的安全通信系统,在请求客户端与目标客户端之间建立起安全连接的基础上,请求客户端生成一个对称加密密钥,作为请求客户端与目标客户端之间唯一的安全通信密钥,以建立起安全通信通道,安全通信通道两端的客户端传输的消息可以使用唯一的对称加密密钥进行加密传输,能够保护通信内容的隐私性,进一步保证了网络内编程接口的安全性,客户端之间的通信变得更加可信。
[0057] 图4为图1所示改进软件定义网络的安全通信系统的第三种通信示意图。如图4所示,目标客户端j进一步配置为执行:
[0058] 测试消息密文生成步骤,对测试消息文本进行数字签名并使用对称加密密钥进行加密,得到测试消息密文。测试消息文本可以表示为[test-Ping],测试消息密文可以表示为E[test-Ping,ek]。
[0059] 测试消息密文发送步骤,向安全通信服务层模块发送测试消息密文E[test-Ping,ek]。
[0060] 安全通信服务层模块2进一步配置为执行:
[0061] 测试消息密文转发步骤,通过控制层模块和转发层模块,将测试消息密文E[test-Ping,ek]发送至请求客户端i。
[0062] 请求客户端i进一步配置为执行:
[0063] 测试消息密文解密步骤,使用对称加密密钥ek对接收到的测试消息密文E[test-Ping,ek]进行解密且进行签名验证,如果解密成功且签名验证成功,得到测试消息文本[test-Ping],请求客户端i与所述目标客户端j之间的安全通信通道通过测试。
[0064] 测试反馈步骤,如果安全通信通道通过测试,向安全通信服务层模块发送测试反馈密文,测试反馈密文由测试反馈消息经过对称加密密钥ek的加密得到;测试反馈消息可以表示为[successful-connection],测试反馈密文可以表示为E[successful-connection,ek]。
[0065] 安全通信服务层模块2进一步配置为执行:
[0066] 测试反馈转发步骤,通过控制层模块和转发层模块,将测试反馈密文发送至目标客户端。
[0067] 目标客户端j进一步配置为执行:
[0068] 测试反馈密文解密步骤,使用对称加密密钥ek对所述测试反馈密文E[successful-connection,ek]进行解密。
[0069] 测试反馈确认步骤,如果对称加密密钥ek能够成功解密测试反馈密文E[successful-connection,ek],得到测试反馈消息[successful-connection],确认安全通信通道的测试反馈成功。
[0070] 如果请求客户端i与所述目标客户端j之间的安全通信通道未通过测试,则请求客户端i发出测试失败消息,并请求目标客户端j重新发出测试消息。
[0071] 如果安全通信通道的测试反馈失败,则目标客户端重新发出测试消息。
[0072] 本实施例提供的改进软件定义网络的安全通信系统,对请求客户端与目标客户端之间的安全通信通道进行测试,如果测试通过且测试反馈成功,则说明安全通信通道可以正常通信且是可信的。
[0073] 图5为图1所示改进软件定义网络的安全通信系统的第四种通信示意图。如图5所示,任意客户端f可以是非注册客户端14,f=1,2,3,…n,非注册客户端身份标识IDf未存储在所客户端身份标识列表内;非注册客户端f配置为执行:
[0074] 注册请求发送步骤,向安全通信服务层模块发送注册请求消息,注册请求消息包括非注册客户端身份标识IDf和注册请求指令request-regist。注册请求消息可以表示为[IDf,request-regist]。
[0075] 安全通信服务层模块进一步配置为执行:
[0076] 随机码生成步骤,根据接收到的注册请求消息,生成一个随机码;随机码可以表示为[Random code]。
[0077] 注册信息发送步骤,向非注册客户端f发送随机码[Random code]和安全通信服务层模块公钥PK。可以通过非注册客户端f的电子邮箱地址或者电话号码,将随机码[Random code]和安全通信服务层模块公钥PK以邮件或者短信的形式发送至非注册客户端f。
[0078] 非注册客户端进一步配置为执行:
[0079] 随机码认证步骤,使用接收到的随机码[Random code]向安全通信服务层模块进行认证。可以通过电子邮箱、电话号码或者认证子系统的方式,向安全通信服务层模块发送随机码,对非注册客户端进行认证。其中,如果安全通信服务层模块收到以随机码为内容的邮件,比对生成的随机码与收到的随机码是否相同,如果相同,非注册客户端的随机码认证成功;如果安全通信服务层模块收到以随机码为内容的短信,比对生成的随机码与收到的随机码是否相同,如果相同,非注册客户端的随机码认证成功;如果安全通信服务层模块收到认证子系统传输的随机码,比对生成的随机码与收到的随机码是否相同,如果相同,非注册客户端的随机码认证成功。以上任意一种认证方式,如果比对生成的随机码与收到的随机码是不相同,则随机码认证失败,需要重新生成随机码。
[0080] 安全通信服务层模块2进一步配置为执行:
[0081] 密钥对创建请求发送步骤,如果非注册客户端的随机码认证成功,通过控制层模块和转发层模块向非注册客户端发送客户端密钥对创建请求消息;客户端密钥对创建请求消息可以表示为[request for key]。
[0082] 非注册客户端f进一步配置为执行:
[0083] 密钥对创建步骤,根据接收到的客户端密钥对创建请求消息,创建非注册客户端的公私钥对(PKf,SKf),且将非注册客户端公钥PKf发送至安全通信服务层模块。
[0084] 安全通信服务层模块2进一步配置为执行:
[0085] 客户端注册步骤,如果接收到非注册客户端公钥PKf,在安全数据库内创建一个新条目,新条目存储有非注册客户端身份标识IDf和非注册客户端公钥PKf。
[0086] 客户端身份广播步骤,向其他客户端广播非注册客户端身份标识IDf。
[0087] 本实施例提供的改进软件定义网络的安全通信系统,列举了非注册客户端成为注册客户端的过程,利用安全通信服务层模块对非注册客户端的身份和公钥进行管理,能够保证在全网络中的客户端的隐私性和可信性。
[0088] 本说明书中各个实施例之间相同相似的部分互相参见即可。
