出所述第一數(shù)據(jù)包化ta沖的IDTA,Ti�,A,CwT�����,計算 好���。||���;〇 =好(少|(zhì)巧),解密CwT�,得到SIDwe,IDwe���,ID心所述可信認(rèn)證機構(gòu)檢查解密CwT得出 的IDcl是否與所述第二數(shù)據(jù)包化ta2中IDej勺值相同��,如果不同退出認(rèn)證模塊,發(fā)出認(rèn)證失 敗消息����,否則繼續(xù)運行W下步驟�;
[00巧]所述可信認(rèn)證機構(gòu)用所述主密鑰Kx解密SIDwe,得出IDwe和IDta����,檢查解密CwT和 解密SIDw得到的所述第一網(wǎng)絡(luò)設(shè)備的身份IDW是否相同����,如果相同則繼續(xù)W下步驟,否則 退出認(rèn)證模塊,發(fā)出認(rèn)證失敗消息;
[0036] 所述可信認(rèn)證機構(gòu)計算給所述控制器的驗證值 K= //(說叫I間IPA/J嗎:4)��,獲取當(dāng)前時間戳了3,并利用VIDwe����、IDcl和長期密鑰K。 計算加密值Ct��。�,所述可信認(rèn)證機構(gòu)發(fā)送數(shù)據(jù)包化ta3= (IDTg,Ct���。}給控制器�����。
[0037] 進(jìn)一步地��,在步驟G中,所述控制器檢查所述第=數(shù)據(jù)包內(nèi)時間戳Ts是否在一個 預(yù)設(shè)的時間差內(nèi),如果是則繼續(xù)W下步驟,否則退出,發(fā)出認(rèn)證失敗消息��;
[003引所述控制器利用所述長期密鑰Kct解密CTC��,得到IDw�,IDeuTs和V1;所述控制器判 斷從所述第一網(wǎng)絡(luò)設(shè)備收到的IDw和解密Ct。得到的IDW是否相同��,如果相同則繼續(xù)W下步 驟,否則退出認(rèn)證模塊,發(fā)出認(rèn)證失敗消息���;
[0039] 所述控制器獲取當(dāng)前時間T4,并產(chǎn)生一個隨機值6e��,利用解密得到的IDwe,1町^ 和Vi����,先后計算發(fā)送給所述第一網(wǎng)絡(luò)設(shè)備的驗證值V2和C其中�����;C?的計算公式為:
[0040] CcN=H("0"MV2llb)
[0041] 所述控制器發(fā)送數(shù)據(jù)包化ta4=(IDCU了4,b�,CJ給所述第一網(wǎng)絡(luò)設(shè)備�����,并存儲驗 證值V2為所述控制器和所述第一網(wǎng)絡(luò)設(shè)備的會話密鑰。
[0042] 進(jìn)一步地��,在步驟H中�,所述第一網(wǎng)絡(luò)設(shè)備檢查所述第四數(shù)據(jù)包中的時間戳T4否 在一個預(yù)設(shè)的時間差內(nèi),如果是則繼續(xù)W下步驟,否則退出,發(fā)出認(rèn)證失敗消息;
[0043] 所述第一網(wǎng)絡(luò)設(shè)備計算驗證值Vi,V2和C?�,所述第一網(wǎng)絡(luò)設(shè)備檢查計算出的C?是 否等于所述第四數(shù)據(jù)包化ta4中收到的Cew�,如果相等通過認(rèn)證否則退出認(rèn)證模塊���,發(fā)出認(rèn) 證失敗消息���。
[0044] 進(jìn)一步地,在步驟H后���,還包括W下步驟:
[0045] I;當(dāng)所述第一網(wǎng)絡(luò)設(shè)備出現(xiàn)故障或者升級時���,將所述智能卡從所述第一網(wǎng)絡(luò)設(shè)備 中取出放入第二網(wǎng)絡(luò)設(shè)備中�����;
[004引 J;所述第二網(wǎng)絡(luò)設(shè)備讀取所述秘密身份值RIDwe和TIDWE記為RIDDid和TID�。14,讀 取會話密鑰的保護(hù)值V3記為哼W;
[0047] K;所述第二網(wǎng)絡(luò)設(shè)備選擇一個隨機值Kw;e式/作為所述第二網(wǎng)絡(luò)設(shè)備的使用密 碼。輸入第一網(wǎng)絡(luò)設(shè)備所述密碼Kw和所述第二網(wǎng)絡(luò)設(shè)備密碼Kw2,計算新的秘密身份值 RIDwe和TIDwe���,計算新的會話密鑰保護(hù)值貨貨巧("2"||Kw£;)�,存儲并替 換原有值RIDwe�、TIDwe和Vs。
[0048] 本發(fā)明的附加方面和優(yōu)點將在下面的描述中部分給出����,部分將從下面的描述中變 得明顯,或通過本發(fā)明的實踐了解到�。
【附圖說明】
[0049] 本發(fā)明的上述和/或附加的方面和優(yōu)點從結(jié)合下面附圖對實施例的描述中將變 得明顯和容易理解,其中:
[0050] 圖1是本發(fā)明一種基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法流程圖�。
【具體實施方式】
[0051]下面詳細(xì)描述本發(fā)明的實施例,所述實施例的示例在附圖中示出���,其中自始至終 相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附 圖描述的實施例是示例性的��,僅用于解釋本發(fā)明�����,而不能理解為對本發(fā)明的限制。
[005引在本發(fā)明的描述中�����,需要理解的是��,術(shù)語"中屯����、V縱向V橫向V上V嚇V前"、 "后"���、"左"�、"右"���、"豎直"���、"水平"、"頂"�����、"底"、"內(nèi)"�����、"外"等指示的方位或位置關(guān)系為基于 附圖所示的方位或位置關(guān)系�,僅是為了便于描述本發(fā)明和簡化描述,而不是指示或暗示所 指的裝置或元件必須具有特定的方位����、W特定的方位構(gòu)造和操作,因此不能理解為對本發(fā) 明的限制����。此外,術(shù)語"第一"���、"第二"僅用于描述目的����,而不能理解為指示或暗示相對重要 性�����。
[0053] 在本發(fā)明的描述中���,需要說明的是�����,除非另有明確的規(guī)定和限定�����,術(shù)語"安裝"��、"相 連"����、"連接"應(yīng)做廣義理解��,例如��,可W是固定連接�,也可W是可拆卸連接,或一體地連接��;可 W是機械連接�,也可W是電連接;可W是直接相連�,也可W通過中間媒介間接相連,可W是 兩個元件內(nèi)部的連通。對于本領(lǐng)域的普通技術(shù)人員而言���,可W具體情況理解上述術(shù)語在本 發(fā)明中的具體含義�����。
[0054] 參照下面的描述和附圖���,將清楚本發(fā)明的實施例的該些和其他方面。在該些描述 和附圖中�����,具體公開了本發(fā)明的實施例中的一些特定實施方式��,來表示實施本發(fā)明的實施 例的原理的一些方式���,但是應(yīng)當(dāng)理解��,本發(fā)明的實施例的范圍不受此限制����。相反���,本發(fā)明的 實施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化�、修改和等同物����。
[00巧]主要的數(shù)學(xué)符號及算法解釋:
[0056] 1)加解密運算;本發(fā)明中使用的加密運算Ek( ?)���,可W是任意加密密鑰為K的對 稱加密運算��。對應(yīng)的解密運算Dk(〇的解密密鑰為相同的K�����。對于任意輸入M����,加解密運 算符合如下公式�;M=Dk(Ek(M)),并且沒有密鑰K�,求解上式是困難的。
[0057]�����。雜湊運算;本發(fā)明中使用的抗碰撞雜湊函數(shù)八:化1}' 具備兩個基本特性: 單向性和抗碰撞性�����;單向性是指只能從雜湊函數(shù)輸入推導(dǎo)出輸出����,而不能從雜湊函數(shù)輸出 計算出輸入;抗碰撞性是指不能同時找到兩個不同的輸入使雜湊函數(shù)輸出結(jié)果完全相同�����。
[0058] 3)異或運算�����;本發(fā)明中使用的異或運算a?b�����,指的是異或運算符?兩邊元素a和 b按位進(jìn)行異或�����,并輸出最終結(jié)果����。
[0059] 4)組合運算��;本發(fā)明中使用的組合運算aMb,指的是組合運算符II兩邊元素a和 b按位首尾相連�,并輸出最終結(jié)果�。
[0060]W模幕運算�����;本發(fā)明中使用的模幕運算(a)VodP���,指的是數(shù)a做b次幕運算�����,然 后取模P的結(jié)果����,并最終輸出�����。
[0061]W下結(jié)合附圖描述根據(jù)本發(fā)明實施例的�����。
[0062] 圖1是本發(fā)明一種基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法流程圖。請參 考圖1��,在本實施例中�,SDN認(rèn)證環(huán)境包含五個實體;可信認(rèn)證機構(gòu)���、控制器��、智能卡�����、第一網(wǎng) 絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備����,其中可信認(rèn)證機構(gòu)的身份為IDta�,控制器的身份為IDeu網(wǎng)絡(luò)設(shè)備 的身份為IDwe。
[0063] 流程一:模塊初始化
[0064] 可信認(rèn)證機構(gòu)生成初始參數(shù)�,配置和分發(fā)其和控制器之間的長期密鑰,接收����、配置 并分發(fā)第一網(wǎng)絡(luò)設(shè)備的智能卡��?�?刂破鞔鎯ζ浜涂尚耪J(rèn)證機構(gòu)的長期密鑰�����。網(wǎng)絡(luò)設(shè)備初始 化接收和配置智能卡���。該模塊功能的具體實現(xiàn)分為7步:
[0065] 步驟1 ;可信認(rèn)證機構(gòu)隨機選擇2個大素數(shù)P和q?�?尚耪J(rèn)證機構(gòu)再選擇一個大的 隨機值Kre 作為主密鑰和一個雜湊函數(shù)W: {0�,ir^ ����。可信認(rèn)證機構(gòu)公開P���,q和H( ?) 的具體參數(shù)����?���?尚耪J(rèn)證機構(gòu)選擇一個大的隨機值KereZ;作為可信認(rèn)證機構(gòu)和控制器之間 的長期密鑰���,然后可信認(rèn)證機構(gòu)通過安全方式將長期密鑰Kct發(fā)送給控制器。其中�,所述的 "通過安全方式將長期密鑰Kn發(fā)送給控制器"表示:可W是指定安全可信人員傳送該密鑰, 也可W通過安全文件流轉(zhuǎn)渠道傳送該密鑰����,也可W在控制器設(shè)置之前在可信認(rèn)證機構(gòu)內(nèi)進(jìn) 行安全的密鑰注入;其中所述的"大的隨機值Krr 表示���;長期密鑰是由位數(shù)足夠長但 小于q位的二進(jìn)制數(shù)0和1組成的隨機字符串(并且不包括全為0的字符串)���;其中所述 的"雜湊函數(shù)八:化If^Z;�����;"表示���;將由二進(jìn)制數(shù)0和1組成的字符串通過雜湊函數(shù)H映 射到群《中����。
[006引步驟2;第一網(wǎng)絡(luò)設(shè)備把它的身份IDweG {(Ur寫入智能卡中。其中所述的"身 份ID^G{0, 主要包括第一網(wǎng)絡(luò)設(shè)備的使用地點����、具體操作人和使用環(huán)境。
[0067]步驟3;第一網(wǎng)絡(luò)設(shè)備通過安全方式把智能卡提交給可信認(rèn)證機構(gòu)���。其中所述的 "安全方式提交給可信認(rèn)證機構(gòu)"可W是指定安全可信人員傳送��,也可W通過安全文件流轉(zhuǎn) 渠道傳送�。
[006引步驟4 ;可信認(rèn)證機構(gòu)收到智能卡后���,讀取第一網(wǎng)絡(luò)設(shè)備的身份IDwe��,并利用其計 算第一網(wǎng)絡(luò)設(shè)備的加密身份值SIDw和DIDW,具體為SIDw=Ek,(IDwMIDta)和DIDw= H(IDwE)Kxmodp�。然后,可信認(rèn)證機構(gòu)將如上2個加密身份值SIDwe����、DIDwe和雜湊函數(shù)H( ?) 存儲在智能卡中。此時�,智能卡中存儲的是SIDw,DIDw和H( ?)。
[006引步驟5巧信認(rèn)證機構(gòu)通過安全方式返回智能卡給第一網(wǎng)絡(luò)設(shè)備�����。其中�,SIDw=Ekx(ID皿I IID")表示SID皿的計算過程,先將第一網(wǎng)絡(luò)設(shè)備的身份ID冊和可信認(rèn)證機構(gòu)的身 份IDta組合起來形成IDweMIDta��,然后用主密鑰加密得出SIDwe�����。DIDwe=H(IDwE)KxmodP表示 DIDwe的計算過程�,先得出第一網(wǎng)絡(luò)設(shè)備的身