CN105207950B - 一种基于sdn技术的通信数据保护方法 - Google Patents
一种基于sdn技术的通信数据保护方法 Download PDFInfo
- Publication number
- CN105207950B CN105207950B CN201510590699.6A CN201510590699A CN105207950B CN 105207950 B CN105207950 B CN 105207950B CN 201510590699 A CN201510590699 A CN 201510590699A CN 105207950 B CN105207950 B CN 105207950B
- Authority
- CN
- China
- Prior art keywords
- data packet
- strategy
- interchanger
- label
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SDN技术的通信数据保护方法。本方法为:1)控制器生成随机化标签和交换机标签;2)控制器根据定义的分割元组生成随机化策略与还原策略,并将其以流表的方式发送到交换机;3)交换机检测数据包是否带有随机化标签,如果是则进行步骤4);否则进入源地址判断过程:判断该数据包源地址是否在传输列表中,如果在则执行随机化策略流表,新生成的数据包并将其转发给下一跳交换机;4)判断该数据包带有的随机化标签是否匹配随机化标签,如果匹配则判断该数据包的交换机标签是否正确,如果正确则根据网络拓扑判断其是否连接目的主机,如果是则执行还原策略流表,然后将还原数据发送给目的主机。本发明大大提高了通信安全性。
Description
技术领域
本发明涉及计算机网络领域,更为具体地,涉及一种面向SDN的通信数据保护方法。
背景技术
在传统网络体系架构中,通信双方通常采用标准公开的协议进行通信,但是由于协议设计的缺陷,其本身的弱点可被攻击者所利用,从而对网络安全产生威胁,目前对于协议保护主要采用数据加密的方法,这种方法需要额外增加密钥管理环节来保障通信的安全;同时,随着网络所承载内容的不断丰富,为了满足用户之间通信的需求,越来越多的协议被提出,这些协议的出现对于传统网络设备的兼容性提出了更高的要求,设备需要不断更新才能够满足新出现协议的解析问题。协议本身的保护和基于保护后协议的自动识别技术能够为该问题的解决提供新的思路。
目前针对协议保护的专利是201280013273.9,该专利采用第一种协议对第二种协议进行验证的方式进行协议保护,主要着眼于前一种协议对后一种协议的保护技术,而不是对协议本身的保护;针对协议识别的专利是201310101283.4,该专利主要面向目前深度包检测领域,对构建与应用层之上载荷所包含的协议进行识别,着眼点是对现有协议的高效率识别技术。这些专利虽然能够提供一定的协议保护和协议识别的功能,但是仍旧不能支持协议本身的保护和基于保护后协议的识别,而SDN技术的出现能够为该技术的实现提供支撑。其将复杂的网络设备一分为二,转发功能由单一的硬件来实现,称之为数据面,而较为复杂的控制、管理、服务由软件来实现,称之为控制面,使原先完全分布式的架构转变成完全集中或者逻辑集中/半集中式的架构。这种架构显示了一种非常先进的思想,通过将各个平面解耦合,能够支持网络以弹性的方式提供高效、灵活、创新的服务,同时采用通用转发硬件降低了扩展所带来的成本问题,另外由于底层转发系统功能稳定以及上层控制面数量较少能够降低由于系统复杂性所带来的系统潜在的脆弱性和不稳定性。POF作为SDN的一种实现方式能够支持交换机对协议字段按照偏移量和长度进行处理和转发,弥补了OpenFlow环境下只能够对固定公开协议进行处理的问题。
通过以上分析,可对控制器北向接口进行编程,以应用的方式实现对于底层数据面转发逻辑的控制,从而支持协议保护和协议自动识别的功能。目前网络主要采用加密的方式进行通信保护,这种方式需要收发端进行密钥协商和管理,SDN网络能够提供集中地控制机制,其可以通过流表对通信数据进行统一处理,减少了密钥协商和管理的复杂性。
发明内容
本发明提供一种基于SDN的通信数据保护方法,本发明支持通信双方使用自定义协议进行数据传输的要求。
一方面,本发明提供了一种基于SDN的协议保护、协议自动识别方法,该方法包括:
1)所述协议保护方法为,网络体系架构中的控制器生成协议数据的保护策略,该策略以流表的方式下发到网络体系架构的交换机中,同时控制器以一定的频率进行保护策略更新;
a)所述保护策略包括随机化策略和还原策略,其中每个保护策略包含随机化标签和交换机标签信息:交换机标签用来进行数据来源的判断。
i.所述随机化策略,将数据包中除以太网地址字段和网络类型字段头之外的二层载荷按照偏移量和长度进行切分,对切分后的载荷进行随机化处理,该随机化处理方法包括将切分后的载荷本身按照置乱策略进行置乱同时包括用插入策略,即随机位串插入的方法进行载荷偏移量修正;偏移量指的是切分位置距离包头的位置,长度指的是切分长度。
1.所述载荷本身置乱为将切分后的载荷位串进行位置置换;
2.所述随机位串插入为随机生成多段位串,并将位串随机插入分割后的载荷切片之间;
ii.所述还原策略,将随机化策略处理后的除以太网地址字段和网络类型字段头之外的二层载荷按照原有偏移量和长度进行还原;
1.载荷本身置乱的还原方法为通过交换机中的元数据字段保存载荷数据,再依据控制器置乱策略将正确的分段写入数据包二层载荷中;
2.随机位串的还原方法为依据插入策略按位将随机位串从原有载荷中删除,以达到还原数据的目的。
iii.所述随机化标签为由控制器统一生成的、在所有交换机中同时生效的标识信息,在进行随机化策略时随机化标签将被加入到数据包中,该随机化标签信息能够保证只有符合随机化策略的数据包能够被网络传输,不符合随机化策略的数据包被认为是非法数据包而被丢弃;
iv.所述交换机标签为由控制器统一生成的,在数据包被交换机转发时加入到数据包头中,用来区分数据包由主机发出还是交换机发出的一种标识,该标识能够帮助交换机识别数据包是否由恶意接入的主机重放产生。
b)所述保护策略更新为以一定频率更新随机化策略和还原策略,使网络中对于协议的处理方式不断变化。
i.所述更新随机化策略和还原策略按照固定时间间隔进行更新,更新方法为由控制器在变换空间中选取一种载荷切分或者随机位串生成方式重新生成随机化策略和还原策略。
2)所述协议自动识别方法为,当数据包经过交换机时被触发,交换机将判断该数据包是否携带随机化标签以及交换机标签,根据标签对数据包执行保护策略或者丢弃操作。
另一方面,本发明提供了一种基于SDN的协议保护和协议自动识别系统,该系统包括协议保护子系统、协议自动识别子系统两部分。同时由于本发明依赖于SDN机制,因此采用主流控制器软件和交换机协议。
1)控制器获得网络拓扑,包括主机与连接在交换机中的主机,并接收待在网络中传输的主机信息;
2)所述协议保护子系统分为保护策略生成模块与保护策略更新模块;
a)所述保护策略生成模块将生成数据随机化策略和还原策略,并将该策略转换为交换机流表,下发到交换机中;
b)所述保护策略更新模块首先生成新的随机化策略和还原策略,并将新的策略转换为交换机流表,下发到交换机中,同时启动条件触发装置,在条件满足之后删除原有保护策略;
3)所述协议自动识别子系统接收到数据包时,交换机将判断该数据包是否携带随机化标签
a)如果未携带随机化标签,则判断该数据包的以太网地址是否属于传输列表,如果属于则在交换机中进行处理之后按照路径转发,否则直接丢弃数据包;
b)如果数据包已经携带随机化标签,则通过流表判断该数据包所携带标签是否与当前随机化策略相匹配:
i.如果相匹配,需判断是否带有对应交换机标签,如果不带有对应交换机标签则直接丢弃数据包;如果该条件满足则判断是否连接目的端主机,如果连接目的端主机则执行保护策略中的还原策略,并转发数据包,如果未连接则执行保护策略中的随机化策略并转发;控制器能够获取网络拓扑,通过拓扑可知交换机的连接方式,则交换机本身是包含了可通过的交换机标签对应的流表的,如果不匹配当前交换机可连接的交换机对应的流表,则认为不可通过。
ii.如果不匹配则直接丢弃数据包。
与现有技术相比,本发明的有益效果:
本发明能够对协议进行保护,支持公开协议和用户自定义的私有协议,不对收发双方做任何改变,被保护协议的策略按照一定的时间间隔进行更新,增加了攻击者进行协议分析的难度,该方法能够对SDN网络本身进行加固,防止网络窃听攻击以及重放攻击的发生,并且能够对分布式拒绝服务攻击在策略变化后免疫。
附图说明
图1是系统运行流程示意图;
图2是协议保护子系统中的保护策略生成模块的流程图;
图3是协议保护子系统中的保护策略更新模块的流程图;
图4是协议自动识别子系统的流程图。
具体实施方式
为使本发明的实施例的目的、技术方案和优点更加清楚,下面进一步结合附图对本发明作详细描述。
1.图1是本发明的系统运行流程图。如图1所示,所述方法包括:
1)协议保护子系统由保护策略生成模块与保护策略更新模块组成,在控制器端进行协议随机化策略与还原策略的生成与更新操作,该子系统的输出为交换机流表;
2)协议自动识别子系统由经过交换机的数据包触发,交换机基于协议保护子系统生成的流表对数据包进行处理,该子系统的输出为处理之后的数据包。
2.图2是本发明的协议保护子系统中的保护策略生成模块的具体流程:
1)控制器生成全局唯一的随机化标签;
2)控制器根据网络拓扑为每个交换机生成上一跳交换机标签;
3)控制器定义由偏移量和长度两部分组成的对数据包的分割元组;
a)所述分割元组格式为tuple={t1(offset,length),t2(offset,length),......tn(offset,length)};每份长度length不一定相等,份数n随机确定,但不超过整个载荷的总长,offset为分割元组的偏移量。
4)依据分割元组生成随机化策略与还原策略;
a)所述元组生成方法为,依据载荷总长l选取n,n<=l,计算n个正整数,使该正整数的和等于l。
5)将元组分割方式生成控制器协议,定义元数据结构,调用协议和元数据处理接口写入控制器;
6)将随机化策略和还原策略生成流表:
a)所述随机化策略流表的执行步骤包括:
i.按照分割元组的格式将对应偏移量的载荷数据写入元数据结构操作;
ii.删除原有数据包中除了二层载荷之外的协议字段;
iii.将元数据结构中的内容按照随机化策略生成的顺序写回数据包的二层载荷中,生成新的数据包并设置交换机标签;随机化标签直接设置到新生成的数据包中。
b)所述还原策略流表的执行步骤包括:
i.最后一跳的交换机按照随机化策略生成的顺序依据偏移量和长度将数据包中的内容按照原数据包中元组的顺序写入元数据结构中;
ii.将元数据结构中的内容依次写回数据包的二层负载中,生成原始数据包;
3.图3是本发明的协议保护子系统中的保护策略更新模块的具体流程:
1)判断策略更新条件是否满足,如果满足则执行更新模块,否则继续等待;
2)依据保护策略生成模块的流程生成新的保护策略;
3)将新的保护策略转化为流表并下发;
4)删除已有保护策略中的随机化策略生成对应的流表;
5)控制器判断数据包的网络延迟是否满足数据包延迟条件,如果满足则进行下一步,否则等待;
a)所述数据包延迟条件用来保证所有经过随机化策略生成模块处理的数据包均已经通过交换网络;
6)删除已有保护策略中的还原策略对应的流表;
4.图4是本发明的协议自动识别子系统的具体流程:
1)交换机判断数据包是否带有随机化标签,如果是则进行下一步,否则进入源地址判断过程;所述源地址判断过程为数据包不带有随机化标签,则判断源地址是否在传输列表中,如果在则执行保护策略中的随机化策略流表,并进入步骤6),否则丢弃数据包;其中,传输列表是由拓扑生成。
2)判断数据包带有的随机化标签是否匹配策略中的随机化标签,如果匹配则进行下一步,否则丢弃数据包;
3)交换机通过流表判断数据包是否带有正确的交换机标签,如果是则进行下一步,否则丢弃数据包;
4)根据网络拓扑判断交换机是否连接目的主机,如果是则进行下一步,否则执行保护策略中的随机化策略流表,并进入步骤6);
5)执行保护策略中的还原策略,并进入步骤6);
6)转发数据包。
综上所述,本发明的基于SDN技术的协议保护与自动识别方法与系统通过SDN控制平面与数据平面相分离的特性,实现协议的保护和传输,该方法能够从一定程度上增加攻击者被动攻击的难度,从而限制攻击者对于通信要素的收集,同时协议的变换能够从一定程度上防止基于监听所发起的重放攻击,另外,由于本方法通过流表能够处理所有流经交换机的数据包,因此不存在数据包进行控制器导致控制面饱和的情况,防止由于支持packet_in消息而导致的控制面饱和攻击。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明在SDN中的实现过程,以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (7)
1.一种基于SDN技术的通信数据保护方法,其步骤为:
1)网络体系架构中的控制器生成全局唯一的随机化标签,以及根据网络拓扑为每个交换机生成上一跳交换机标签;
2)控制器定义数据包分割元组,该分割元组包括偏移量和长度两部分;
3)控制器根据分割元组生成随机化策略与还原策略,并且创建元数据结构,然后将生成的随机化策略与还原策略以流表的方式发送到网络体系架构的交换机;其中,每一随机化策略和还原策略中均包含一随机化标签;
4)交换机检测收到的数据包是否带有随机化标签,如果是则进行步骤5);否则进入源地址判断过程:判断该数据包源地址是否在传输列表中,如果在则执行随机化策略流表,新生成的数据包并将其转发给下一跳交换机,否则丢弃该数据包;其中,新生成的该数据包中设置有所述随机化标签和交换机标签;
5)判断该数据包带有的随机化标签是否匹配随机化策略中的随机化标签,如果匹配则进行步骤6),否则丢弃该数据包;
6)交换机判断该数据包的交换机标签是否正确,如果正确则进行7),否则丢弃该数据包;
7)交换机根据网络拓扑判断其是否连接目的主机,如果是则进行8),否则执行随机化策略流表,然后将新生成的数据包转发给下一跳交换机;
8)执行保护策略中的还原策略流表,然后将还原后的数据发送给目的主机;
其中,所述还原策略为:将随机化策略处理后的除以太网地址字段和网络类型字段头之外的二层载荷按照原有偏移量和长度进行还原;所述随机化策略处理的方法包括将切分后的载荷本身按照置乱策略进行置乱,同时用随机位串插入的方法进行载荷偏移量修正;将二层载荷按照原有偏移量和长度进行还原的方法为:a)二层载荷的还原:通过交换机中元数据结构保存载荷数据,再依据所述置乱策略将正确的分段写入数据包二层载荷中;b)随机位串的还原:依据所述随机位串插入的方法按位将随机位串从原有载荷中删除,进行数据还原。
2.如权利要求1所述的方法,其特征在于,所述随机化策略为:将数据包中除以太网地址字段和网络类型字段头之外的二层载荷按照偏移量和长度进行切分,对切分后的载荷进行随机化处理。
3.如权利要求1或2所述的方法,其特征在于,交换机执行随机化策略流表的方法为:
61)按照分割元组的格式将对应偏移量的载荷数据写入元数据结构;
62)删除数据包中除了二层载荷之外的协议字段;
63)将元数据结构中的内容按照随机化策略生成的顺序写回数据包的二层载荷中,生成新的数据包并设置随机化标签和交换机标签。
4.如权利要求1或2所述的方法,其特征在于,交换机执行还原策略流表的方法为:
71)交换机按照随机化策略生成的顺序依据偏移量和长度将数据包中的内容按照原数据包分割元组的顺序写入元数据结构中;
72)删除原数据包中除了二层载荷之外的协议字段;
73)将元数据结构中的内容依次写回数据包的二层载荷中,生成原始数据包。
5.如权利要求1所述的方法,其特征在于,所述分割元组格式为tuple={t1(offset,length),t2(offset,length),......tn(offset,length)};其中,length为分割元组的长度,offset为分割元组的偏移量,n为分割元组的份数。
6.如权利要求1所述的方法,其特征在于,所述控制器设置一策略更新条件,控制器定期判断策略更新条件是否满足,如果满足则执行更新模块,更新随机化策略与还原策略,然后将更新后的随机化策略与还原策略以流表的方式发送到网络体系架构的交换机。
7.如权利要求6所述的方法,其特征在于,所述策略更新条件为数据包的网络延迟是否满足设定的数据包延迟时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510590699.6A CN105207950B (zh) | 2015-09-16 | 2015-09-16 | 一种基于sdn技术的通信数据保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510590699.6A CN105207950B (zh) | 2015-09-16 | 2015-09-16 | 一种基于sdn技术的通信数据保护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105207950A CN105207950A (zh) | 2015-12-30 |
CN105207950B true CN105207950B (zh) | 2019-01-25 |
Family
ID=54955392
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510590699.6A Active CN105207950B (zh) | 2015-09-16 | 2015-09-16 | 一种基于sdn技术的通信数据保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105207950B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105634963A (zh) * | 2015-12-26 | 2016-06-01 | 中国人民解放军信息工程大学 | 一种一致性路由生成与实现的方法及装置 |
CN106254248B (zh) * | 2016-07-27 | 2019-07-02 | 中国科学院声学研究所 | 一种支持pof交换机有状态转发的方法 |
CN106302021B (zh) * | 2016-08-18 | 2020-03-31 | 清华大学深圳研究生院 | 一种网络流转发异常检测方法 |
CN106713307B (zh) * | 2016-12-20 | 2019-12-10 | 中国科学院信息工程研究所 | 一种检测sdn中流表一致性的方法和系统 |
CN110392033B (zh) * | 2018-04-23 | 2022-01-04 | 北京华为数字技术有限公司 | 一种密码管理方法及装置 |
CN110493227B (zh) * | 2019-08-20 | 2021-12-24 | 上海集成电路研发中心有限公司 | 一种数据帧传输方法及系统 |
CN112825502A (zh) * | 2019-11-20 | 2021-05-21 | 中兴通讯股份有限公司 | 网络切片创建方法、基础网络控制器、系统和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103166973A (zh) * | 2013-03-27 | 2013-06-19 | 华为技术有限公司 | 协议识别的方法和装置 |
CN103503353A (zh) * | 2011-01-13 | 2014-01-08 | 大陆汽车系统公司 | 协议保护 |
CN104113839A (zh) * | 2014-07-14 | 2014-10-22 | 蓝盾信息安全技术有限公司 | 基于sdn的移动数据安全保护系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9973429B2 (en) * | 2013-04-05 | 2018-05-15 | Futurewei Technologies, Inc. | Software defined networking (SDN) controller orchestration and network virtualization for data center interconnection |
-
2015
- 2015-09-16 CN CN201510590699.6A patent/CN105207950B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103503353A (zh) * | 2011-01-13 | 2014-01-08 | 大陆汽车系统公司 | 协议保护 |
CN103166973A (zh) * | 2013-03-27 | 2013-06-19 | 华为技术有限公司 | 协议识别的方法和装置 |
CN104113839A (zh) * | 2014-07-14 | 2014-10-22 | 蓝盾信息安全技术有限公司 | 基于sdn的移动数据安全保护系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105207950A (zh) | 2015-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105207950B (zh) | 一种基于sdn技术的通信数据保护方法 | |
CN108289104B (zh) | 一种工业SDN网络DDoS攻击检测与缓解方法 | |
Sultana et al. | A provenance based mechanism to identify malicious packet dropping adversaries in sensor networks | |
CN109241087A (zh) | 一种联盟链的数据处理方法及终端 | |
CN105591912B (zh) | 一种转发路径的选择方法和装置 | |
Ji et al. | A novel covert channel based on length of messages | |
CN104980355B (zh) | 一种sdn环境下的源端可控组播数据传输系统 | |
CN105591754B (zh) | 一种基于sdn的验证头验证方法和系统 | |
CN106375105B (zh) | 一种确定路径故障的方法、控制器、交换机和系统 | |
CN103621028A (zh) | 控制网络访问策略的计算机系统、控制器和方法 | |
US20120177051A1 (en) | Data forwarding method, data processing method, system and relevant devices | |
JP2014504048A (ja) | 通信システム、転送ノード、制御装置、通信制御方法およびプログラム | |
CN108833430B (zh) | 一种软件定义网络的拓扑保护方法 | |
CN105634923B (zh) | 基于sdn控制器的以太网广播优化处理方法 | |
CN107566237A (zh) | 一种数据报文处理方法及装置 | |
CN105391690B (zh) | 一种基于pof的网络窃听防御方法和系统 | |
CN103237036A (zh) | 一种实现内外网物理隔断的装置 | |
CN103595712B (zh) | 一种Web认证方法、装置及系统 | |
CN103747026A (zh) | openflow流表的告警方法及告警装置 | |
CN108881127A (zh) | 一种控制远程访问权限的方法及系统 | |
CN101365014A (zh) | 一种分布式自适应监听系统及其生成和监听控制方法 | |
CN107659400A (zh) | 一种基于标识识别的量子保密通信方法及装置 | |
CN104243319B (zh) | 一种邻居发现的方法及装置 | |
KR100889753B1 (ko) | 링크 애그리게이션 그룹에서의 보호 절체 방법 및 그 장치 | |
CN104243338B (zh) | 报文处理方法、设备和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |