網(wǎng)絡(luò)設(shè)備的身份信息進(jìn)行加密,并將加 密后的信息通過所述智能卡寫回所述第一網(wǎng)絡(luò)設(shè)備中�; D:第一網(wǎng)絡(luò)設(shè)備向所述控制器發(fā)送包含所述第一網(wǎng)絡(luò)設(shè)備的身份信息和經(jīng)過可信認(rèn) 證機(jī)構(gòu)加密后的信息的第一數(shù)據(jù)包; E:所述控制器根據(jù)接收到的所述第一數(shù)據(jù)包和所述長(zhǎng)期密鑰進(jìn)行計(jì)算��,并向所述可信 認(rèn)證機(jī)構(gòu)發(fā)送包含所述計(jì)算結(jié)果的第二數(shù)據(jù)包��; F:所述可信認(rèn)證機(jī)構(gòu)對(duì)所述第二數(shù)據(jù)包進(jìn)行解密�,并根據(jù)所述長(zhǎng)期密鑰對(duì)所述解密后 的數(shù)據(jù)進(jìn)行驗(yàn)證,若滿足驗(yàn)證條件�,所述可信認(rèn)證機(jī)構(gòu)對(duì)解密后的數(shù)據(jù)進(jìn)行加密,將包含加 密后的信息的第三數(shù)據(jù)包寫回所述控制器�����; G:所述控制器對(duì)所述第三數(shù)據(jù)包的數(shù)據(jù)進(jìn)行解密并驗(yàn)證��,若滿足驗(yàn)證條件,所述控制 器對(duì)解密后數(shù)據(jù)進(jìn)行計(jì)算���,并將包含所述計(jì)算結(jié)果的第四數(shù)據(jù)包發(fā)送給所述第一網(wǎng)絡(luò)設(shè) 備;以及 H:所述第一網(wǎng)絡(luò)設(shè)備對(duì)所述第四數(shù)據(jù)包進(jìn)行解密并驗(yàn)證����,若滿足驗(yàn)證條件,則認(rèn)證成 功�����,否則認(rèn)證失敗�。2. 根據(jù)權(quán)利要求1所述的基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法,其特征在 于�,在步驟A中,所述可信認(rèn)證機(jī)構(gòu)隨機(jī)選擇兩個(gè)素?cái)?shù)p����、q和一個(gè)隨機(jī)值&e 作為主密 鑰和一個(gè)雜湊函數(shù)〃:j ,所述可信認(rèn)證機(jī)構(gòu)公開P,q和H( ?)的具體參數(shù)�����,所述 可信認(rèn)證機(jī)構(gòu)選擇一個(gè)隨機(jī)值夂作為可信認(rèn)證機(jī)構(gòu)和控制器之間的長(zhǎng)期密鑰����,然后 所述可信認(rèn)證機(jī)構(gòu)通過安全方式將長(zhǎng)期密鑰KCT發(fā)送給控制器����,其中《 ����,,表示:長(zhǎng) 期密鑰是由位數(shù)長(zhǎng)度小于q位的二進(jìn)制數(shù)〇和1組成的隨機(jī)字符串�����,并且不包括全為〇的 字符串��;其中所述的《 : 表示:將由二進(jìn)制數(shù)0和1組成的字符串通過雜湊 函數(shù)H映射到群中���。3. 根據(jù)權(quán)利要求2所述的基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法�����,其特征在 于�����,在步驟C中��,所述可信認(rèn)證機(jī)構(gòu)收到所述智能卡后�,讀取所述第一網(wǎng)絡(luò)設(shè)備的身份IDne, 并利用所述1〇^計(jì)算所述第一網(wǎng)絡(luò)設(shè)備的加密身份值SID_和DIDNE�,其中: SI〇NE -EKx (IDneI|IDta) DIDne=H(IDne)Kxmodp 所述可信認(rèn)證機(jī)構(gòu)將所述SIDNE、DIDNE和雜湊函數(shù)H( ?)存儲(chǔ)在所述智能卡中��, 其中����,SIDNE=EKx(IDne| |IDTA)表示SIDNE的計(jì)算過程�����,先將網(wǎng)絡(luò)設(shè)備的身份IDNE和可 信認(rèn)證機(jī)構(gòu)的身份idta組合起來形成idne| |idta��,然后用主密鑰加密得出sidne;didne= H(IDne)Kxmodp表示DIDne的計(jì)算過程���,先得出網(wǎng)絡(luò)設(shè)備的身份IDNE的雜湊函數(shù)值H(IDNE)�, 然后求主密鑰Kx次冪�,并求結(jié)果的p模得出DIDne。4. 根據(jù)權(quán)利要求3所述的基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法�,其特征在 于,在步驟C和步驟D之間��,還存在以下步驟: CD1 :所述第一網(wǎng)絡(luò)設(shè)備接收到所述智能卡后,選擇一個(gè)隨機(jī)值作為網(wǎng)絡(luò)設(shè)備 使用密碼�����,讀取所述智能卡���,得到智能卡中的所述SIDNE和所述DIDNE; CD2 :網(wǎng)絡(luò)設(shè)備輸入網(wǎng)絡(luò)設(shè)備使用密碼Kne��,利用智能卡中的加密身份值SIDne����、DIDn#P雜湊函數(shù)H( ?)���,計(jì)算兩個(gè)在所述網(wǎng)絡(luò)設(shè)備使用密碼保護(hù)下的加密身份值�����,具體為:用TIDne存儲(chǔ)替換智能卡中的SIDne�,用RIDne存儲(chǔ)替換智能卡中的DIDne�, 其中,(〃0〃| |Kne)表示將所述密碼Kne和字符〃0〃組合��,輸入雜湊函數(shù)H(*)���,將H(〃0〃| |KNE)和SIDNE按位異或得出TIDNE;(〃1〃| |KNE)表示所述RIDNE將所述密碼KNE和字符 〃1〃組合����,輸入雜湊函數(shù)H( ?),將H(〃l〃| |kne)和didne按位異或得出ridne���。5. 根據(jù)權(quán)利要求4所述的基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法�,其特征在 于��,在步驟D中�,所述第一網(wǎng)絡(luò)設(shè)備讀取所述智能卡���,輸入所述第一網(wǎng)絡(luò)設(shè)備的身份IDn#P 所述第一網(wǎng)絡(luò)設(shè)備使用密碼Kne;所述第一網(wǎng)絡(luò)設(shè)備產(chǎn)生一個(gè)隨機(jī)值aeZ;���,并獲取當(dāng)前系 統(tǒng)時(shí)間作為時(shí)間戳,利用所述智能卡中存儲(chǔ)的所述TIDNE����、所述RIDNE和所述H( ?),計(jì)算:所述第一網(wǎng)絡(luò)設(shè)備給所述控制器發(fā)送所述第一數(shù)據(jù)包Data1={IDTA�,1\,A�����,CNT}。6. 根據(jù)權(quán)利要求5所述的基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法�����,其特征在 于����,在步驟E中,所述控制器檢查所述第一數(shù)據(jù)包內(nèi)的時(shí)間戳是否在一個(gè)預(yù)設(shè)的時(shí)間差 內(nèi)���,如果是則繼續(xù)以下步驟��,否則退出�,發(fā)出認(rèn)證失敗消息�����;所述控制器獲取當(dāng)前時(shí)間T2����, 并根據(jù)所述控制的身份IDa和所述長(zhǎng)期密鑰KCT計(jì)算CCT=EKCT (IDta | |T21 |Data) 所述控制器向所述可信認(rèn)證機(jī)構(gòu)發(fā)送所述第二數(shù)據(jù)包Data2={IDTA,IDa,T2,CCT}。7. 根據(jù)權(quán)利要求6所述的基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法,其特征在 于�,在步驟F中,所述可信認(rèn)證機(jī)構(gòu)檢查所述第二數(shù)據(jù)包內(nèi)時(shí)間戳!^是否在一個(gè)預(yù)設(shè)的時(shí) 間差內(nèi)�,如果是則繼續(xù)以下步驟,否則退出��,發(fā)出認(rèn)證失敗消息����; 所述可信認(rèn)證機(jī)構(gòu)利用所述長(zhǎng)期密鑰KCT解密所述第二數(shù)據(jù)包Data2中的所述CCT,得 到IDTA���,1~2和Data1;所述可信認(rèn)證機(jī)構(gòu)所述第二數(shù)據(jù)包Data2中ID^和T2是否和CCT解密 出來的^^和^取值相同����,如果不同退出認(rèn)證模塊�,發(fā)出認(rèn)證失敗消息����,否則繼續(xù)運(yùn)行以下 步驟; 所述可信認(rèn)證機(jī)構(gòu)取出所述第一數(shù)據(jù)包Datai中的IDTA, 1\��,A,CNT��,計(jì)算 丑(21| 7]) =f || 7;),解密CNT�����,得到SIDNE�,IDNE,IDa;所述可信認(rèn)證機(jī)構(gòu)檢查解密CNT得出 的1〇1是否與所述第二數(shù)據(jù)包Data2中ID^的值相同�����,如果不同退出認(rèn)證模塊�,發(fā)出認(rèn)證失 敗消息,否則繼續(xù)運(yùn)行以下步驟�; 所述可信認(rèn)證機(jī)構(gòu)用所述主密鑰Kx解密SIDNE,得出IDN#PIDTA�,檢查解密CNT和解密SIDNE得到的所述第一網(wǎng)絡(luò)設(shè)備的身份ID^是否相同,如果相同則繼續(xù)以下步驟��,否則退出 認(rèn)證模塊��,發(fā)出認(rèn)證失敗消息����; 所述可信認(rèn)證機(jī)構(gòu)計(jì)算給所述控制器的驗(yàn)證值獲取當(dāng)前時(shí)間戳T3,并利用VpIDNE����、IDa和長(zhǎng)期密鑰KCT計(jì)算加密值CTC�,所述可信認(rèn)證機(jī)構(gòu) 發(fā)送數(shù)據(jù)包Data3= {IDa�,T3,CTJ給控制器��。8. 根據(jù)權(quán)利要求7所述的基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法����,其特征在 于,在步驟G中���,所述控制器檢查所述第三數(shù)據(jù)包內(nèi)時(shí)間戳1~3是否在一個(gè)預(yù)設(shè)的時(shí)間差內(nèi)����, 如果是則繼續(xù)以下步驟����,否則退出,發(fā)出認(rèn)證失敗消息����; 所述控制器利用所述長(zhǎng)期密鑰KCT解密CT��。,得到IDNE����,IDa,TjPV1;所述控制器判斷從 所述第一網(wǎng)絡(luò)設(shè)備收到的IDNE和解密CT���。得到的ID^是否相同�,如果相同則繼續(xù)以下步驟�, 否則退出認(rèn)證模塊,發(fā)出認(rèn)證失敗消息���; 所述控制器獲取當(dāng)前時(shí)間T4�����,并產(chǎn)生一個(gè)隨機(jī)值���,利用解密得到的IDNE, %����,先后計(jì)算發(fā)送給所述第一網(wǎng)絡(luò)設(shè)備的驗(yàn)證值VdPC^,其中:CCN的計(jì)算公式為: cCN=H(〃0〃| |v2| |b) 所述控制器發(fā)送數(shù)據(jù)包Data4= (IDa�,T4����,b���,CeN)給所述第一網(wǎng)絡(luò)設(shè)備�����,并存儲(chǔ)驗(yàn)證值^ 為所述控制器和所述第一網(wǎng)絡(luò)設(shè)備的會(huì)話密鑰��。9. 根據(jù)權(quán)利要求8所述的基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法�,其特征在 于���,在步驟H中����,所述第一網(wǎng)絡(luò)設(shè)備檢查所述第四數(shù)據(jù)包中的時(shí)間戳T4否在一個(gè)預(yù)設(shè)的時(shí) 間差內(nèi)��,如果是則繼續(xù)以下步驟�,否則退出,發(fā)出認(rèn)證失敗消息����; 所述第一網(wǎng)絡(luò)設(shè)備計(jì)算驗(yàn)證值',%和CCN�����,所述第一網(wǎng)絡(luò)設(shè)備檢查計(jì)算出的CCN是否等 于所述第四數(shù)據(jù)包Data4*收到的CCN����,如果相等通過認(rèn)證否則退出認(rèn)證模塊,發(fā)出認(rèn)證失 敗消息����。10. 根據(jù)權(quán)利要求9所述的基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法,其特征 在于�����,在步驟H后�,還包括以下步驟: I:當(dāng)所述第一網(wǎng)絡(luò)設(shè)備出現(xiàn)故障或者升級(jí)時(shí),將所述智能卡從所述第一網(wǎng)絡(luò)設(shè)備中取 出放入第二網(wǎng)絡(luò)設(shè)備中��; J:所述第二網(wǎng)絡(luò)設(shè)備讀取所述秘密身份值RIDN#PTIDNE記為RID�����。1(1和TID��。1(1,讀取會(huì) 話密鑰的保護(hù)值V3記為; K:所述第二網(wǎng)絡(luò)設(shè)備選擇一個(gè)隨機(jī)值作為所述第二網(wǎng)絡(luò)設(shè)備的使用密碼�����。 輸入第一網(wǎng)絡(luò)設(shè)備所述密碼Kne和所述第二網(wǎng)絡(luò)設(shè)備密碼KNE2����,計(jì)算新的秘密身份值RIDn#P TIDne,其中計(jì)算新的會(huì)話密鑰保護(hù)值����,存儲(chǔ)并替換原有值 ridne、tid』v3�����。
【專利摘要】本發(fā)明公開了一種基于智能卡的軟件定義網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備認(rèn)證方法��,主要包括:模塊初始化�����;模塊認(rèn)證�;設(shè)備更換。本發(fā)明在軟件定義網(wǎng)絡(luò)架構(gòu)下,不需要公鑰基礎(chǔ)設(shè)備����,只需要網(wǎng)絡(luò)中配置一個(gè)可信認(rèn)證機(jī)構(gòu),減少了公鑰基礎(chǔ)設(shè)施的投入���,提高了系統(tǒng)的設(shè)置效率;將SDN中網(wǎng)絡(luò)設(shè)備的身份同網(wǎng)絡(luò)設(shè)備的使用地點(diǎn)�����、具體操作人和使用環(huán)境綁定���,并存儲(chǔ)于智能卡中��,提高了網(wǎng)絡(luò)設(shè)備升級(jí)或更換的效率����;SDN網(wǎng)絡(luò)設(shè)備認(rèn)證同時(shí)需要讀取智能卡和輸入網(wǎng)絡(luò)設(shè)備使用密碼�,能夠有效防止智能卡被盜用帶來的安全風(fēng)險(xiǎn),提高了SDN中網(wǎng)絡(luò)設(shè)備的認(rèn)證安全性�����;本發(fā)明盡量采用雜湊函數(shù)作為密碼學(xué)組件實(shí)施構(gòu)造��,可以有效提高SDN中網(wǎng)絡(luò)設(shè)備認(rèn)證的效率。
【IPC分類】H04L29/06, H04L9/32
【公開號(hào)】CN104917616
【申請(qǐng)?zhí)枴緾N201510275146
【發(fā)明人】劉建偉, 毛可飛, 陳杰, 王蒙蒙
【申請(qǐng)人】北京航空航天大學(xué)
【公開日】2015年9月16日
【申請(qǐng)日】2015年5月26日