OpenFlow网络中轻量级控制通道的通信保护方法.pdf

《OpenFlow网络中轻量级控制通道的通信保护方法.pdf》由会员分享，可在线阅读，更多相关《OpenFlow网络中轻量级控制通道的通信保护方法.pdf（10页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010197174.7 (22)申请日 2020.03.19 (71)申请人 李子钦 地址 010020 内蒙古自治区呼和浩特市赛 罕区包头大街内蒙电信 (72)发明人 李子钦 (74)专利代理机构 北京鱼爪知识产权代理有限 公司 11754 代理人 李晓楠 (51)Int.Cl. H04L 29/06(2006.01) H04L 12/715(2013.01) H04L 9/08(2006.01) H04L 9/06(2006.01) (54)发明名称 一种OpenFlo。

2、w网络中轻量级控制通道的通 信保护方法 (57)摘要 本发明提供一种OpenFlow网络中轻量级控 制通道的通信保护方法， 涉及通信领域。 一种 OpenFlow网络中轻量级控制通道的通信保护方 法， 应用于OpenFlow设备之间的通信， 包含如下 步骤： (1)为所述OpenFlow设备预设唯一的种子 值； (2)对所述种子值进行哈希以生成设备私钥； 所述设备私钥利用非对称密码算法计算出设备 公钥； (3)所述设备公钥进行哈希以产生设备身 份标识； (4)通过所述设备身份标识封装所述 OpenFlow设备发出的内容以加密； (5)通过所述 设备身份标识还原所述OpenFlow设备的内容以 。

3、解密。 本发明解决了OpenFlow网络的通信安全性 低和能耗高的问题。 权利要求书2页 说明书6页 附图1页 CN 111431889 A 2020.07.17 CN 111431889 A 1.一种OpenFlow网络中轻量级控制通道的通信保护方法， 应用于OpenFlow设备之间的 通信， 其特征在于， 包含如下步骤： (1)为所述OpenFlow设备预设唯一的种子值； (2)对所述 种子值进行哈希以生成设备私钥； 所述设备私钥利用非对称密码算法计算出设备公钥； (3) 所述设备公钥进行哈希以产生设备身份标识； (4)通过所述设备身份标识封装所述 OpenFlow设备发出的内容以加密； 。

4、(5)通过所述设备身份标识还原所述OpenFlow设备的内 容以解密。 2.根据权利要求1所述的一种OpenFlow网络中轻量级控制通道的通信保护方法， 其特 征在于， 所述OpenFlow设备包含OpenFlow控制器和OpenFlow交换机； 所述OpenFlow控制器 用于接收管理员请求， 以将所述管理员请求转换成控制消息； 所述OpenFlow网络中轻量级 所述步骤(4)中， 包含通过所述OpenFlow控制器的所述设备身份标识将所述控制消息封装 成安全消息， 并发送到所述OpenFlow交换机。 3.根据权利要求2所述的一种OpenFlow网络中轻量级控制通道的通信保护方法， 其特 。

5、征在于， 所述步骤(5)中， 包含拦截所述安全消息， 通过所述OpenFlow控制器的所述设备身 份标识还原所述安全消息， 并判断所述安全消息是否能还原成所述控制消息； 且当能够还 原成所述控制消息时发送所述安全消息到所述OpenFlow交换机， 不能还原成所述控制消息 时丢弃所述安全消息。 4.根据权利要求3所述的一种OpenFlow网络中轻量级控制通道的通信保护方法， 其特 征在于， 还包含步骤(6)， 即当所述OpenFlow交换机执行所述安全消息后， 发送安全响应消 息到所述OpenFlow控制器。 5.根据权利要求4所述的一种OpenFlow网络中轻量级控制通道的通信保护方法， 其特。

6、 征在于， 所述安全响应消息是所述安全消息通过所述OpenFlow交换机的所述设备身份标识 封装而成； 所述步骤(6)中， 还包含通过所述OpenFlow交换机的所述设备身份标识还原所述 安全响应消息， 并判断所述安全响应消息是否能还原成所述安全消息， 且当能够还原成所 述安全消息时发送所述安全响应消息到所述OpenFlow控制器， 不能还原成所述安全消息时 丢弃所述安全响应消息。 6.根据权利要求2所述的一种OpenFlow网络中轻量级控制通道的通信保护方法， 其特 征在于， 所述步骤(3)中， 还包含所述OpenFlow控制器以及所述OpenFlow交换机的所述设备 公钥和所述设备私钥利用。

7、密钥协商算法生成共享密钥； 所述步骤(4)中， 还包含拦截所述安 全消息， 通过所述OpenFlow控制器的所述共享公钥将所述安全消息封装成加密消息； 并发 送到所述OpenFlow交换机。 7.根据权利要求6所述的一种OpenFlow网络中轻量级控制通道的通信保护方法， 其特 征在于， 所述步骤(5)中， 包含拦截所述安全消息， 通过所述OpenFlow控制器的所述设备身 份标识以及所述共享密钥还原所述加密消息， 并判断所述加密消息是否能还原成所述控制 消息； 且当所述加密消息能够还原成所述控制消息时将所述加密消息发送到所述OpenFlow 交换机， 不能还原成所述控制消息时丢弃所述加密消息。

8、。 8.根据权利要求7所述的一种OpenFlow网络中轻量级控制通道的通信保护方法， 其特 征在于， 还包含步骤(6)， 即当所述OpenFlow交换机执行所述加密消息后， 发送加密响应消 息到所述OpenFlow控制器。 9.根据权利要求8所述的一种OpenFlow网络中轻量级控制通道的通信保护方法， 其特 权利要求书 1/2 页 2 CN 111431889 A 2 征在于， 所述加密响应消息是所述加密消息通过所述OpenFlow交换机的所述设备身份标识 封装而成； 所述步骤(6)中， 还包含通过所述OpenFlow交换机的所述设备身份标识还原所述 加密响应消息， 并判断所述加密响应消息是。

9、否能还原成所述加密消息， 且当能够还原成所 述加密消息时将所述加密响应消息发送到所述OpenFlow控制器， 不能还原成所述加密消息 时丢弃所述加密响应消息。 10.根据权利要求1-9任一项所述的一种OpenFlow网络中轻量级控制通道的通信保护 方法， 其特征在于， 所述设备身份标识通过哈希函数处理所述OpenFlow设备的所述设备公 钥产生的哈希值。 权利要求书 2/2 页 3 CN 111431889 A 3 一种OpenFlow网络中轻量级控制通道的通信保护方法 技术领域 0001 本发明涉及通信领域， 具体而言， 涉及一种OpenFlow网络中轻量级控制通道的通 信保护方法。 背景技。

10、术 0002 在传统网络中， 一个集成多种网络功能的控制平面和一个负责转发数据包的数据 平面是紧密耦合的， 并且通常会嵌入在一个专有设备中， 这严重限制了网络的灵活管理和 网络服务创新的潜力。 软件定义网络(Software-Defined Networking， 以下简称为 “SDN” )， 作为一种很有前途的网络架构， 通过将控制平面与数据平面解耦， 提供了一种 “可编程网 络” 的实现方法。 SDN使得网络运营商能够使用动态、 自动化以及设备无关的应用程序灵活， 快速地管理、 配置和优化网络资源。 0003 在SDN中， 由于控制平面与数据平面的解耦， 两者之间的通信由单一系统内部的进 。

11、程间通信转变为两个独立系统之间的远程通信。 因此， 诸多通信协议被广泛提出， 如 OpenFlow、 Netconf以及OVSDB。 其中OpenFlow作为事实上的标准协议， 已经被成功地应用于 许多商业部署， 如Google B4。 在OpenFlow中， 逻辑上集中的控制平面(控制器)与多个 OpenFlow交换机建立连接， 并相互交换控制消息， 以实现网络管理。 其中， 控制器与与交换 机之间的连接称作控制通道。 目前， OpenFlow提供了两种类型的控制通道： 基于TCP协议的 控制通道与基于SSL/TLS安全协议的控制通道。 基于TCP的控制通道实现了控制消息在控制 器和交换机之。

12、间可靠传播， 但它不能防止控制消息被攻击者嗅探和篡改。 经过目前研究证 实， 基于TCP的控制通道可以通过恶意操纵控制消息来破坏网络服务可用性(如篡改防火墙 策略和网络拓扑视图)。 由于基于TCP的控制通道安全性低， 敏感网络信息或重要控制决策 的控制消息容易被破坏或泄露。 0004 为了提高控制通道的安全性， 基于SSL/TLS的控制通道作为SDN部署的默认机制， 使得控制消息的机密性和完整性可以被充分保护。 但是， 由于高昂的性能开销， 这种加密通 道并没有被广泛采用。 例如， 现代数据中心的SDN控制器每秒通常需要响应来自数百个交换 机的数百万个流请求， 由于添加了安全操作(如加密和解密。

13、)， 控制器中大量计算资源被消 耗， 从而降低控制器处理流请求的吞吐量。 因此， 网络管理者通常禁用这种加密通道来满足 网络性能的需求。 因此， 目前需要一种提高安全性和性能且能够广泛使用的OpenFlow网络 中的轻量级控制通道的通信保护方法。 发明内容 0005 本发明的目的在于提供一种OpenFlow网络中轻量级控制通道的通信保护方法， 其 能够解决目前的控制通道安全性低、 性能消耗大以及不能广泛使用的问题。 0006 本发明的实施例是这样实现的： 0007 一种OpenFlow网络中轻量级控制通道的通信保护方法， 应用于OpenFlow设备之间 的通信， 包含如下步骤： (1)为所述O。

14、penFlow设备预设唯一的种子值； (2)对所述种子值进行 说明书 1/6 页 4 CN 111431889 A 4 哈希以生成设备私钥； 所述设备私钥利用非对称密码算法计算出设备公钥； (3)所述设备公 钥进行哈希以产生设备身份标识； (4)通过所述设备身份标识封装所述OpenFlow设备发出 的内容以加密； (5)通过所述设备身份标识还原所述OpenFlow设备的内容以解密。 0008 在本发明的一些实施例中， 所述OpenFlow设备包含OpenFlow控制器和OpenFlow交 换机； 所述OpenFlow控制器用于接收管理员请求， 以将所述管理员请求转换成控制消息； 所 述Open。

15、Flow网络中轻量级所述步骤(4)中， 包含通过所述OpenFlow控制器的所述设备身份 标识将所述控制消息封装成安全消息， 并发送到所述OpenFlow交换机。 0009 在本发明的一些实施例中， 所述步骤(5)中， 包含拦截所述安全消息， 通过所述 OpenFlow控制器的所述设备身份标识还原所述安全消息， 并判断所述安全消息是否能还原 成所述控制消息； 且当能够还原成所述控制消息时发送所述安全消息到所述OpenFlow交换 机， 不能还原成所述控制消息时丢弃所述安全消息。 0010 在本发明的一些实施例中， 还包含步骤(6)， 即当所述OpenFlow交换机执行所述安 全消息后， 发送安。

16、全响应消息到所述OpenFlow控制器。 0011 在本发明的一些实施例中， 所述安全响应消息是所述安全消息通过所述OpenFlow 交换机的所述设备身份标识封装而成； 所述步骤(6)中， 还包含通过所述OpenFlow交换机的 所述设备身份标识还原所述安全响应消息， 并判断所述安全响应消息是否能还原成所述安 全消息， 且当能够还原成所述安全消息时发送所述安全响应消息到所述OpenFlow控制器， 不能还原成所述安全消息时丢弃所述安全响应消息。 0012 在本发明的一些实施例中， 所述步骤(3)中， 还包含所述OpenFlow控制器以及所述 OpenFlow交换机的所述设备公钥和所述设备私钥利。

17、用密钥协商算法生成共享密钥； 所述步 骤(4)中， 还包含拦截所述安全消息， 通过所述OpenFlow控制器的所述共享公钥将所述安全 消息封装成加密消息； 并发送到所述OpenFlow交换机。 0013 在本发明的一些实施例中， 所述步骤(5)中， 包含拦截所述安全消息， 通过所述 OpenFlow控制器的所述设备身份标识以及所述共享密钥还原所述加密消息， 并判断所述加 密消息是否能还原成所述控制消息； 且当所述加密消息能够还原成所述控制消息时将所述 加密消息发送到所述OpenFlow交换机， 不能还原成所述控制消息时丢弃所述加密消息。 0014 在本发明的一些实施例中， 还包含步骤(6)， 。

18、即当所述OpenFlow交换机执行所述加 密消息后， 发送加密响应消息到所述OpenFlow控制器。 0015 在本发明的一些实施例中， 所述加密响应消息是所述加密消息通过所述OpenFlow 交换机的所述设备身份标识封装而成； 所述步骤(6)中， 还包含通过所述OpenFlow交换机的 所述设备身份标识还原所述加密响应消息， 并判断所述加密响应消息是否能还原成所述加 密消息， 且当能够还原成所述加密消息时将所述加密响应消息发送到所述OpenFlow控制 器， 不能还原成所述加密消息时丢弃所述加密响应消息。 0016 本发明实施例至少具有如下优点或有益效果： 0017 1.通过OpenFlow。

19、设备预设的种子值生成设备私钥， 便于通过设备私钥认证来源于 OpenFlow设备的内容， 提高了通信的安全， 能够广泛使用； 0018 2 .OpenFlow设备的设备私钥通过非对称密码算法产生设备公钥， 便于通过 OpenFlow设备的设备公钥解析设备私钥认证的内容， 提高了OpenFlow设备之间的通信安全 性； 说明书 2/6 页 5 CN 111431889 A 5 0019 3.通过对设备公钥进行哈希以产生设备身份标识， 便于在OpenFlow设备之间通信 时发送设备身份标识以验证发出的消息， 防止其他设备侵入后篡改消息， 保护了消息在通 信过程中的完整， 因此提高了通信安全性； 0。

20、020 4.通过设备身份标识对OpenFlow设备发出的所有消息进行标识以执行加密操作， 以及通过设备身份标识对OpenFlow设备接收标识后的所有消息还原以执行解密操作， 提高 了不同OpenFlow设备之间通信的安全性， 并且与对各个消息分别加密和解密的操作相比， 降低了能耗， 提高了OpenFlow网络的通信性能， 能够广泛使用。 附图说明 0021 为了更清楚地说明本发明实施例的技术方案， 下面将对实施例中所需要使用的附 图作简单地介绍， 应当理解， 以下附图仅示出了本发明的某些实施例， 因此不应被看作是对 范围的限定， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可。

21、以根据这 些附图获得其他相关的附图。 0022 图1为本发明实施例OpenFlow网络中轻量级控制通道的通信保护方法的流程示意 图。 具体实施方式 0023 为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本发明实施例 中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例是 本发明一部分实施例， 而不是全部的实施例。 通常在此处附图中描述和示出的本发明实施 例的组件可以以各种不同的配置来布置和设计。 0024 因此， 以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护 的本发明的范围， 而是仅仅表示本发明的选定实施例。 基于本发明中。

22、的实施例， 本领域普通 技术人员在没有作出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范 围。 0025 应注意到： 相似的标号和字母在下面的附图中表示类似项， 因此， 一旦某一项在一 个附图中被定义， 则在随后的附图中不需要对其进行进一步定义和解释。 0026 在本发明实施例的描述中， 需要说明的是， 若出现术语 “中心” 、“上” 、“下” 、“左” 、 “右” 、“竖直” 、“水平” 、“内” 、“外” 等指示的方位或位置关系为基于附图所示的方位或位置 关系， 或者是该发明产品使用时惯常摆放的方位或位置关系， 仅是为了便于描述本发明和 简化描述， 而不是指示或暗示所指的装。

23、置或元件必须具有特定的方位、 以特定的方位构造 和操作， 因此不能理解为对本发明的限制。 此外， 术语 “第一” 、“第二” 、“第三” 等仅用于区分 描述， 而不能理解为指示或暗示相对重要性。 0027 此外， 若出现术语 “水平” 、“竖直” 、“悬垂” 等术语并不表示要求部件绝对水平或悬 垂， 而是可以稍微倾斜。 如 “水平” 仅仅是指其方向相对 “竖直” 而言更加水平， 并不是表示该 结构一定要完全水平， 而是可以稍微倾斜。 0028 在本发明实施例的描述中，“多个” 代表至少2个。 0029 在本发明实施例的描述中， 还需要说明的是， 除非另有明确的规定和限定， 若出现 术语 “设置。

24、” 、“安装” 、“相连” 、“连接” 应做广义理解， 例如， 可以是固定连接， 也可以是可拆 说明书 3/6 页 6 CN 111431889 A 6 卸连接， 或一体地连接； 可以是机械连接， 也可以是电连接； 可以是直接相连， 也可以通过中 间媒介间接相连， 可以是两个元件内部的连通。 对于本领域的普通技术人员而言， 可以根据 具体情况理解上述术语在本发明中的具体含义。 0030 实施例 0031 本实施例请参照图1， 图1所示为OpenFlow网络中轻量级控制通道的通信保护方 法， 应用于OpenFlow设备之间的通信， 包含如下步骤： (1)为OpenFlow设备预设唯一的种子 值；。

25、 (2)对种子值进行哈希以生成设备私钥； 设备私钥利用非对称密码算法计算出设备公 钥； (3)设备公钥进行哈希以产生设备身份标识； (4)通过设备身份标识封装OpenFlow设备 发出的内容以加密； (5)通过设备身份标识还原OpenFlow设备的内容以解密。 0032 详细的， 步骤(1)通过预设唯一的种子值区分不同OpenFlow的设备身份， 便于多个 OpenFlow设备之间安全通信。 可选的， 唯一的种子值通过OpenFlow设备出厂时内置。 可选 的， 使用伪随机数产生器获得设备的初始种子值。 0033 详细的， 步骤(2)对各种子值进行哈希以生成设备私钥， 便于验证设备所发出的消 。

26、息。 设备私钥利用非对称算法计算出与设备私钥对应的设备公钥。 步骤(3)中对设备公钥进 行哈希以生成设备身份标识。 步骤(4)中， 通过OpenFlow设备的设备身份标识对发出的内容 统一标识以加密， 步骤(4)中便于OpenFlow设备认证标识后的来源于不同设备的内容以解 密， 实现了轻量化的安全通信。 其中， 选择SHA256哈希算法为不同penFlow设备分别设置唯 一的设备私钥和设备身份标识。 0034 作为一种较优的实施方式， OpenFlow设备包含OpenFlow控制器和OpenFlow交换 机； OpenFlow控制器用于接收管理员请求， 以将管理员请求转换成控制消息。 步骤(。

27、4)中， 包 含通过OpenFlow控制器的设备身份标识将控制消息封装成安全消息， 并发送到OpenFlow交 换机。 0035 详细的， OpenFlow控制器将接收到的管理员请求转换为控制消息属于现有技术， 在此不必赘述。 步骤(4)通过设备身份标识封装控制消息， 从而生成安全消息以发送到 OpenFlow交换机。 从而通过设备身份标识认证控制消息的来源， 保护了控制消息的完整。 0036 作为一种较优的实施方式， 步骤(5)中， 包含拦截安全消息， 通过OpenFlow控制器 的设备身份标识还原安全消息， 并判断安全消息是否能还原成控制消息； 且当能够还原成 控制消息时发送安全消息到Op。

28、enFlow交换机， 不能还原成控制消息时丢弃安全消息。 0037 详细的， 控制消息通过OpenFlow控制器的设备身份标识加密后生成的安全消息在 发送到OpenFlow交换机之前被拦截， 并利用OpenFlow控制器的设备身份标识将安全消息还 原以执行解密操作。 从而通过判断安全消息是否能够还原成控制消息得到安全消息是否被 其他设备侵入以篡改或窃取内容的结果。 其中， 通过OpenFlow控制器及封装控制消息的设 备获取设备身份标识和控制消息以进行判断。 当安全消息能够还原成控制消息时， 即认定 设备来源合法且控制消息完整， 此时将安全消息继续发送到OpenFlow交换机中， 提高了通 信。

29、的安全性。 如果安全消息无法通过设备身份标识解析或者解析后与控制消息不同时， 则 表示安全消息在传输过程中被恶意篡改过或者是由其他非法设备伪造产生的。 此时， 丢弃 非法的安全消息， OpenFlow交换机不会接收到未经执行许可的安全消息。 0038 作为一种较优的实施方式， 还包含步骤(6)， 即当OpenFlow交换机执行安全消息 后， 发送安全响应消息到OpenFlow控制器。 说明书 4/6 页 7 CN 111431889 A 7 0039 作为一种较优的实施方式， 安全响应消息是安全消息通过OpenFlow交换机的身份 识别标识封装而成； 步骤(6)中， 还包含通过OpenFlow。

30、交换机的设备身份标识还原安全响应 消息， 并判断安全响应消息是否能还原成安全消息， 且当能够还原成安全消息时发送安全 响应消息到OpenFlow控制器， 不能还原成安全消息时丢弃安全响应消息。 0040 详细的， 在OpenFlow交换机执行安全消息后， 通过OpenFlow交换机的设备身份标 识封装安全消息以生成安全响应消息， 从而向OpenFlow控制器发出安全消息执行成功的信 号。 其中， 通过OpenFlow交换机及封装控制消息的设备获取OpenFlow交换机的设备身份标 识以及安全消息以进行判断。 当安全响应消息通过OpenFlow交换机的设备身份标识还原成 安全消息时， 表示安全响。

31、应消息没被其他非法设备侵入或篡改， 即OpenFlow交换机成功执 行安全消息。 当安全响应消息通过OpenFlow交换机的设备身份标识不能还原成安全消息 时， 表示安全响应消息被其他非法设备侵入或篡改， 不能保证OpenFlow交换机成功执行安 全消息， 因此为了保证通信网络和设备的安全， 安全响应消息被丢弃。 0041 作为一种较优的实施方式， 步骤(3)中， 还包含OpenFlow控制器以及OpenFlow交换 机的设备公钥和设备私钥利用密钥协商算法生成共享密钥； 步骤(4)中， 还包含拦截安全消 息， 通过OpenFlow控制器的共享公钥将安全消息封装成加密消息； 并发送到OpenFl。

32、ow交换 机。 0042 详细的， 采用椭圆曲线Diffie-Hellman算法作为密钥协商算法计算出共享密钥。 其中， 共享密钥可以是由OpenFlow控制器的设备公钥和OpenFlow交换机的设备私钥组成， 或者由OpenFlow控制器的设备私钥和OpenFlow交换机的设备公钥组成。 即共享密钥ECDH (控制器私钥， 交换机公钥)ECDH(控制器公钥， 交换机私钥)。 可选的， 共享密钥可以包含 上述两种组合方式以根据设置安全策略或者随机选择其中一种。 通过共享密钥封装安全消 息， 从而提高控制消息的保密性。 0043 作为一种较优的实施方式， 步骤(5)中， 包含拦截安全消息， 通过。

33、OpenFlow控制器 的设备身份标识以及共享密钥还原加密消息， 并判断加密消息是否能还原成控制消息； 且 当能够还原成控制消息时将加密消息发送到OpenFlow交换机， 不能还原成控制消息时丢弃 加密消息。 0044 详细的， 控制消息通过OpenFlow控制器的设备身份标识以及共享密钥加密后生成 的加密消息在发送到OpenFlow交换机之前被拦截， 并利用OpenFlow控制器的设备身份标识 以及共享密钥将加密消息还原以执行解密操作。 从而通过判断加密消息是否能够还原成控 制消息得到加密消息是否被其他设备侵入以篡改或窃取内容的结果。 其中， 通过OpenFlow 控制器或封装控制消息的设备。

34、获取设备身份标识和控制消息以进行判断。 当加密消息能够 还原成控制消息时， 即认定设备来源合法且控制消息完整， 此时将加密消息继续发送到 OpenFlow交换机中， 提高了通信的安全性。 如果加密消息无法通过共享密钥以及OpenFlow 控制器的设备身份标识解析或者解析后与控制消息不同时， 则表示加密消息在传输过程中 被恶意篡改过或者是由其他非法设备伪造产生的。 此时， 丢弃非法的加密消息， OpenFlow交 换机不会接收到未经执行许可的加密消息。 0045 作为一种较优的实施方式， 还包含步骤(6)， 即当OpenFlow交换机执行加密消息 后， 发送加密响应消息到OpenFlow控制器。。

35、 0046 作为一种较优的实施方式， 加密响应消息是加密消息通过OpenFlow交换机的设备 说明书 5/6 页 8 CN 111431889 A 8 身份标识封装而成； 步骤(6)中， 还包含通过OpenFlow交换机的设备身份标识还原加密响应 消息， 并判断加密响应消息是否能还原成加密消息， 且当能够还原成加密消息时发送加密 响应消息到OpenFlow控制器， 不能还原成加密消息时丢弃加密响应消息。 0047 详细的， 在OpenFlow交换机执行加密消息后， 通过OpenFlow交换机的设备身份标 识封装安全消息以生成加密响应消息， 从而向OpenFlow控制器发出加密消息执行成功的信 。

36、号。 其中， 通过OpenFlow交换机及封装控制消息的设备获取OpenFlow交换机的设备身份标 识以及加密消息以进行判断。 当加密响应消息通过OpenFlow交换机的设备身份标识还原成 加密消息时， 表示加密响应消息没被其他非法设备侵入或篡改， 即OpenFlow交换机成功执 行加密消息。 当加密响应消息通过OpenFlow交换机的设备身份标识不能还原成加密消息 时， 表示加密响应消息被其他非法设备侵入或篡改， 不能保证OpenFlow交换机成功执行加 密消息， 因此为了保证通信网络和设备的安全， 加密响应消息被丢弃。 0048 作为一种较优的实施方式， 设备身份标识通过哈希函数处理Ope。

37、nFlow设备的设备 公钥产生的哈希值。 0049 详细的， 设备身份标识包含OpenFlow控制器的控制器认证码和OpenFlow交换机的 交换机认证码。 其中， OpenFlow控制器的设备公钥通过哈希函数处理得到的哈希值作为的 控制器认证码， OpenFlow交换机的设备公钥通过哈希函数处理得到的哈希值作为的交换机 认证码。 0050 本发明的实施例OpenFlow网络中轻量级控制通道的通信保护方法通过对 OpenFlow控制器和OpenFlow交换机的种子值分别进行哈希以生成设备私钥， 并通过非对称 算法生成设备公钥， 使得各个设备均设有对应的设备私钥和设备公钥。 通过对OpenFlo。

38、w控 制器的设备公钥进行哈希， 以得到哈希值作为控制器认证码， 防止非法设备恶意篡改， 便于 认证发出的控制消息的完整性。 通过对设备公钥和设备私钥进行哈希以生成共享密钥， 通 过共享密钥对OpenFlow控制器发的控制消息进行封装， 便于认证控制消息的保密性。 通过 OpenFlow交换机的交换机认证码， 便于认证执行通过安全消息加密后的控制消息的执行进 程， 防止非法设备恶意篡改， 保证了通信的安全性。 0051 综上， 本发明通过为OpenFlow设备预设唯一的种子值， 便于多个OpenFlow设备之 间进行通信时区分不同OpenFlow设备身份， 便于广泛使用； 对种子值进行哈希以生成。

39、 OpenFlow设备的设备私钥， 便于验证发出的消息， 从而提高通信安全性； 设备私钥利用非对 称密码算法计算出设备公钥， 提高了设备通信的安全性， 通过对设备公钥进行哈希以生成 设备身份标识， 并通过设备身份标识对OpenFlow设备发出的消息统一标识， 与分别标识不 同消息以加密的操作相比， 提高了OpenFlow网络的通信性能， 并且提高了设备之间通信的 安全性； 通过设备身份标识还原设备接收的消息， 与分别对不同消息解密的操作相比， 提高 了OpenFlow网络的通信性能， 并且提高了设备之间通信的安全性。 0052 以上仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本领域的技术人 员来说， 本发明可以有各种更改和变化。 凡在本发明的精神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。 说明书 6/6 页 9 CN 111431889 A 9 图1 说明书附图 1/1 页 10 CN 111431889 A 10 。