CN105721317A - 一种基于sdn的数据流加密方法和系统 - Google Patents
一种基于sdn的数据流加密方法和系统 Download PDFInfo
- Publication number
- CN105721317A CN105721317A CN201610105112.2A CN201610105112A CN105721317A CN 105721317 A CN105721317 A CN 105721317A CN 201610105112 A CN201610105112 A CN 201610105112A CN 105721317 A CN105721317 A CN 105721317A
- Authority
- CN
- China
- Prior art keywords
- switch
- encryption
- mac address
- sdn
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供一种基于SDN的数据流加密方法和系统,所述方法包括:控制器配置数据流加密选项;控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;控制器接收交换机上报的未匹配流表的报文,并根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;控制器生成密钥,向转发路径上的交换机下发流表,其中入口交换机和出口交换机流表中包含密钥,转发路径上的交换机根据下发的流表处理接收到的数据报文。本发明能够提高处理数据报文的效率。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种基于SDN(SoftwareDefinedNetwork,软件定义网络)的数据流加密方法和系统。
背景技术
IP(InternetProtocol,网络之间互连的协议)包本身不包含安全特征,IP包的数据没机密性、真实性和完整性等安全认证,从而导致目前网络中的许多应用系统处于不设防或少设防的状态,存在较多的安全隐患,IP通信可能会遭受如下攻击:窃听、纂改、IP欺骗,例如如果数据采用明文传送,中途经过了许多未知的网络,在达到目的地之前很可能被攻击者捕获、解码并恶意修改。
ESP(EncapsulatingSecurityPayload,封装安全载荷)用于为IP提供保密性和抗重播服务,包括数据包内容的保密性和有限的流量保密性。
传统的ESP采用DES-CBC(密文分组链接方式)算法,如图1所示,包括:101,发送方构建密钥;102,发送方向接收方发送密钥;103,发送方使用密钥对数据加密;104,发送方把密文和ESP头部发送给接收方;105,接收方使用密钥对数据解密;106,接收方验证后去掉ESP头部。但是在此过程中,发送方构建密钥,单独发送密钥到接收方,因此只有接收方才能验证报文,处理效率非常低。
发明内容
本发明实施例提供一种基于SDN的数据流加密方法和系统,能够提高处理数据报文的效率。
本发明实施例提供一种基于SDN的数据流加密方法,包括:控制器配置数据流加密选项;控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;控制器接收交换机上报的未匹配流表的报文,并根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;控制器生成密钥,向转发路径上的交换机下发流表,其中入口交换机和出口交换机流表中包含密钥,转发路径上的交换机根据下发的流表处理接收到的数据报文。
进一步地,所述数据流加密选项的配置项包括SDN数据流加密功能开关项和SDN数据流加密算法,其中,SDN数据流加密功能开关项用于启用或关闭SDN数据流加密功能,SDN数据流加密算法设置SDN数据流的加密算法为密文分组链接方式或空。
进一步地,所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑,具体包括:控制器接收交换机发送的Experimenter报文,所述Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址;控制器根据所述交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址,采用链路层发现协议计算网络拓扑。
进一步地,所述SDN中,包括入口交换机、中间交换机和出口交换机;所述控制器生成密钥,向转发路径上的入口交换机和出口交换机下发包含密钥的流表,向中间交换机下发不包含密钥的流表,所述流表中设置:对于入口交换机,使用密钥对原始数据报文封装ESP加密头形成加密数据报文;对于中间交换机,对接收到加密数据报文进行透明传输;对于出口交换机,对使用密钥对接收到加密数据报文进行解密,并去掉ESP加密头,还原成原始数据报文。
进一步地,所述转发路径上的交换机根据下发的流表处理接收到的数据报文,具体包括:如果入口交换机接收到原始数据报文,根据数据流加密选项判断是否需要为原始数据报文封装安全载荷加密头,如果数据流加密选项中的SDN数据流加密功能开关项开启,则入口交换机使用控制器下发的密钥对原始数据进行密文分组链接方式计算,为原始数据报文封装安全载荷加密头形成加密数据报文;如果中间交换机接收到带有封装安全载荷加密头的加密数据报文,则中间交换机在转发路径上对加密数据报文进行透明传输;如果出口交换机接收到带有封装安全载荷加密头的加密数据报文,则出口交换机使用控制器下发的密钥对加密数据报文进行解密,并去掉封装安全载荷加密头,还原成原始数据报文。
本发明还提供了一种基于SDN的数据流加密系统,包括:交换机,用于向控制器上报MAC地址信息;向控制器上报未匹配流表的报文,所述报文包括报文MAC地址;以及根据控制器下发的流表处理接收到的数据报文;控制器,用于配置数据流加密选项;接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;接收交换机上报的未匹配流表的报文,并根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;生成密钥,向转发路径上的交换机下发流表,其中入口交换机和出口交换机流表中包含密钥。
本发明实施例基于SDN架构,采用控制器控制报文的转发路径,并通过下流表的方式,把密钥下发到转发路径上的入口交换机和出口交换机,中间交换机进行透明传输,从而提高了处理数据报文的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术的ESP算法的示意图;
图2为本发明实施例中基于SDN的数据流加密方法的流程示意图;
图3为本发明实施例中私有二层报文的格式示意图;
图4为本发明实施例中加密头的示意图;
图5为本发明实施例中基于SDN的数据流加密系统的示意图;
图6为本发明实施例一中基于SDN的数据流加密系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
SDN是一种新型的网络架构,其可以通过OpenFlow(开放流)技术将网络设备的控制面与数据面进行分离,从而实现对网络流量的灵活控制。在SDN中,包含实现控制面功能的控制器和若干实现数据面功能的交换机。
图2为本发明实施例中基于SDN的数据流加密方法的流程示意图。如图2所示,该方法应用于SDN中,所述SDN中包括交换机和控制器,该方法包括:
步骤S21,控制器配置数据流加密选项。
在本步骤中,本发明的控制器支持基于SDN的数据流加密功能,如表1所示。
表1
控制器配置数据流加密选项,该数据流加密选项的配置项包括SDN数据流加密功能开关项和SDN数据流加密算法,其中,SDN数据流加密功能开关项用于启用或关闭SDN数据流加密功能,缺省值可以是关闭;SDN数据流加密算法设置SDN数据流的加密算法DES-CBC(密文分组链接方式)或NULL,缺省值可以是DES-CBC。
步骤S22,控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑。
在本步骤中,SDN中的交换机向控制器上报MAC地址信息,该MAC地址信息携带在交换机向控制器发送的私有二层报文中。
相较于现有技术,交换机向控制器发送的私有二层报文进行了扩展,该私有二层报文可以为私有扩展的Experimenter报文,其格式如图3所示,Experimenter值为255需要向ONF组织申请;Experimentertype值为1表明是从交换机到控制器,Experimentertype值为0表明是从控制器到交换机;此外,在本发明实施例中的私有扩展的Experimenter报文中,增加了MAC地址信息,其中,交换机自己的MAC地址(OwnMACAddress)作为交换机的标识符,交换机的端口ID(Portid)表明SDN交换机的交换端口,MAC地址(MACaddress)是该交换端口下学习到MACaddress。
控制器根据交换机自己的MAC地址,交换机的端口ID,和该交换端口下学习到MACaddress,采用链路层发现协议(LLDP,LinkLayerDiscoveryProtocol)计算网络拓扑。
步骤S23,控制器接收交换机上报的未匹配流表的报文,并根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径。
在本步骤中,SDN中的交换机向控制器上报未匹配流表的报文,该报文中包括报文MAC地址;控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径。
步骤S24,控制器生成密钥,向转发路径上的交换机下发流表,其中入口交换机和出口交换机流表中包含密钥,转发路径上的交换机根据下发的流表处理接收到的数据报文。
在本步骤中,相比于现有技术,对控制器向交换机下发的流表进行了扩展,如表2所示。
表2
在整个SDN网络中,入口交换机称为IngressSwitch,出口交换机称为EgressSwitch,中间交换机称为MiddleSwitch。在本发明实施例中,控制器生成密钥后,通过下发流表的方式,只把密钥下发给转发路径上的IngressSwitch和EgressSwitch,其中,
如果IngressSwitch收到原始数据报文,根据数据流加密选项判断是否需要为原始数据报文封装私有的ESP加密头。如果数据流加密选项中的SDN数据流加密功能开关项开启,则IngressSwitch使用密钥对原始数据进行DES-CBC计算,为原始数据报文封装ESP加密头形成加密数据报文,如图4所示,ESP加密头结构包括报文的源MAC地址、目的MAC地址和加密头;如果SDN数据流加密功能开关项关闭,则IngressSwitch收到原始数据报文后无需为原始数据报文封装ESP加密头。进一步地,ESP加密头包括长度域和序列号,其中长度域指定加密头数据的长度;序列号用于指定报文的顺序号,防止重放攻击。
如果EgressSwitch收到带有ESP加密头的加密数据报文,使用密钥对加密数据报文解密,去掉ESP加密头,还原成原始数据报文。
如果MiddleSwitch收到带有ESP加密头的加密数据报文,在转发路径上对加密数据报文进行透明传输。
图5为本发明实施例中基于SDN的数据流加密系统的架构示意图。如图5所示,用户通过SDN接入网络,在SDN中,包含实现控制面功能的控制器和若干实现数据面功能的交换机,该系统包括:
交换机,用于向控制器上报MAC地址信息;向控制器上报未匹配流表的报文,所述报文包括报文MAC地址;以及根据控制器下发的流表处理接收到的数据报文;
控制器,用于配置数据流加密选项;接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;接收交换机上报的未匹配流表的报文,并根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;生成密钥,向转发路径上的交换机下发流表,其中入口交换机和出口交换机流表中包含密钥。
具体地,
所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑,具体为:控制器接收交换机发送的Experimenter报文,所述Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址;控制器根据所述交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址,采用链路层发现协议计算网络拓扑。
所述SDN中,包括入口交换机、中间交换机和出口交换机;所述控制器生成密钥,向转发路径上的入口交换机和出口交换机下发包含密钥的流表,向中间交换机下发不包含密钥的流表,所述流表中设置:对于入口交换机,使用密钥对原始数据报文封装ESP加密头形成加密数据报文;对于中间交换机,对接收到加密数据报文进行透明传输;对于出口交换机,对使用密钥对接收到加密数据报文进行解密,并去掉ESP加密头,还原成原始数据报文。
所述交换机根据下发的流表处理接收到的数据报文,具体为:如果入口交换机接收到原始数据报文,根据数据流加密选项判断是否需要为原始数据报文封装安全载荷加密头,如果数据流加密选项中的SDN数据流加密功能开关项开启,则入口交换机使用控制器下发的密钥对原始数据进行密文分组链接方式计算,为原始数据报文封装安全载荷加密头形成加密数据报文;如果中间交换机接收到带有封装安全载荷加密头的加密数据报文,则中间交换机在转发路径上对加密数据报文进行透明传输;如果出口交换机接收到带有封装安全载荷加密头的加密数据报文,则出口交换机使用控制器下发的密钥对加密数据报文进行解密,并去掉封装安全载荷加密头,还原成原始数据报文。
基于SDN的数据流加密系统的具体技术细节和前述的基于SDN的数据流加密方法对应的技术细节类似,故在此不赘述。
实施例一
下面将列举一个基于本发明的基于SDN的数据流加密方法和系统的实施例。
如图6所示,假设用户通过SDN接入电信1和电信2,在SDN中,包含实现控制面功能的控制器和若干实现数据面功能的交换机S0、S1、S2和S3。
SDN控制器预先数据流加密选项,在S0-S1-S3-网关-电信2的转发路径上,当入口交换机S0接收到原始数据报文,在数据流加密选项中的SDN数据流加密功能开关项开启时,S0使用控制器下发的密钥对原始数据进行DES-CBC计算,为原始数据报文封装ESP加密头形成加密数据报文;中间交换机S1和S3接收到加密数据报文进行透明传输;出口交换机网关接收到加密数据报文,使用密钥对加密数据报文解密,去掉ESP加密头,还原成原始数据报文。
如果S1和S3之间设置拆包工具,在网关和电信2之间设置拆包工具,能够发现S1和S3之间传输的是加密报文,网关和电信2之间传输的是明文报文。
传统的ESP算法不是基于SDN架构,发送方需构建密钥,单独发送密钥到接收方,只有接收方进行处理。本发明基于SDN架构,采用控制器控制报文的转发路径,并通过下流表的方式,把密钥下发到转发路径上的入口交换机和出口交换机,中间交换机进行透明传输,从而提高了处理数据报文的效率。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于SDN的数据流加密方法,其特征在于,包括:
控制器配置数据流加密选项;
控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;
控制器接收交换机上报的未匹配流表的报文,并根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;
控制器生成密钥,向转发路径上的交换机下发流表,其中入口交换机和出口交换机流表中包含密钥,转发路径上的交换机根据下发的流表处理接收到的数据报文。
2.根据权利要求1所述的基于SDN的数据流加密方法,其特征在于,所述数据流加密选项的配置项包括SDN数据流加密功能开关项和SDN数据流加密算法,其中,SDN数据流加密功能开关项用于启用或关闭SDN数据流加密功能,SDN数据流加密算法设置SDN数据流的加密算法为密文分组链接方式或空。
3.根据权利要求2所述的基于SDN的数据流加密方法,其特征在于,所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑,具体包括:
控制器接收交换机发送的Experimenter报文,所述Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址;
控制器根据所述交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址,采用链路层发现协议计算网络拓扑。
4.根据权利要求3所述的基于SDN的数据流加密方法,其特征在于,所述SDN中,包括入口交换机、中间交换机和出口交换机;
所述控制器生成密钥,向转发路径上的入口交换机和出口交换机下发包含密钥的流表,向中间交换机下发不包含密钥的流表,所述流表中设置:
对于入口交换机,使用密钥对原始数据报文封装ESP加密头形成加密数据报文;
对于中间交换机,对接收到加密数据报文进行透明传输;
对于出口交换机,对使用密钥对接收到加密数据报文进行解密,并去掉ESP加密头,还原成原始数据报文。
5.根据权利要求4所述的基于SDN的数据流加密方法,其特征在于,所述转发路径上的交换机根据下发的流表处理接收到的数据报文,具体包括:
如果入口交换机接收到原始数据报文,根据数据流加密选项判断是否需要为原始数据报文封装安全载荷加密头,如果数据流加密选项中的SDN数据流加密功能开关项开启,则入口交换机使用控制器下发的密钥对原始数据进行密文分组链接方式计算,为原始数据报文封装安全载荷加密头形成加密数据报文;
如果中间交换机接收到带有封装安全载荷加密头的加密数据报文,则中间交换机在转发路径上对加密数据报文进行透明传输;
如果出口交换机接收到带有封装安全载荷加密头的加密数据报文,则出口交换机使用控制器下发的密钥对加密数据报文进行解密,并去掉封装安全载荷加密头,还原成原始数据报文。
6.一种基于SDN的数据流加密系统,其特征在于,包括:
交换机,用于向控制器上报MAC地址信息;向控制器上报未匹配流表的报文,所述报文包括报文MAC地址;以及根据控制器下发的流表处理接收到的数据报文;
控制器,用于配置数据流加密选项;接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;接收交换机上报的未匹配流表的报文,并根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;生成密钥,向转发路径上的交换机下发流表,其中入口交换机和出口交换机流表中包含密钥。
7.根据权利要求6所述的基于SDN的数据流加密系统,其特征在于,所述数据流加密选项的配置项包括SDN数据流加密功能开关项和SDN数据流加密算法,其中,SDN数据流加密功能开关项用于启用或关闭SDN数据流加密功能,SDN数据流加密算法设置SDN数据流的加密算法为密文分组链接方式或空。
8.根据权利要求7所述的基于SDN的数据流加密系统,其特征在于,所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑,具体为:
控制器接收交换机发送的Experimenter报文,所述Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址;
控制器根据所述交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址,采用链路层发现协议计算网络拓扑。
9.根据权利要求8所述的基于SDN的数据流加密系统,其特征在于,所述SDN中,包括入口交换机、中间交换机和出口交换机;
所述控制器生成密钥,向转发路径上的入口交换机和出口交换机下发包含密钥的流表,向中间交换机下发不包含密钥的流表,所述流表中设置:
对于入口交换机,使用密钥对原始数据报文封装ESP加密头形成加密数据报文;
对于中间交换机,对接收到加密数据报文进行透明传输;
对于出口交换机,对使用密钥对接收到加密数据报文进行解密,并去掉ESP加密头,还原成原始数据报文。
10.根据权利要求9所述的基于SDN的数据流加密系统,其特征在于,所述交换机根据下发的流表处理接收到的数据报文,具体为:
如果入口交换机接收到原始数据报文,根据数据流加密选项判断是否需要为原始数据报文封装安全载荷加密头,如果数据流加密选项中的SDN数据流加密功能开关项开启,则入口交换机使用控制器下发的密钥对原始数据进行密文分组链接方式计算,为原始数据报文封装安全载荷加密头形成加密数据报文;
如果中间交换机接收到带有封装安全载荷加密头的加密数据报文,则中间交换机在转发路径上对加密数据报文进行透明传输;
如果出口交换机接收到带有封装安全载荷加密头的加密数据报文,则出口交换机使用控制器下发的密钥对加密数据报文进行解密,并去掉封装安全载荷加密头,还原成原始数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610105112.2A CN105721317B (zh) | 2016-02-25 | 2016-02-25 | 一种基于sdn的数据流加密方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610105112.2A CN105721317B (zh) | 2016-02-25 | 2016-02-25 | 一种基于sdn的数据流加密方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105721317A true CN105721317A (zh) | 2016-06-29 |
| CN105721317B CN105721317B (zh) | 2019-09-13 |
Family
ID=56156119
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610105112.2A Active CN105721317B (zh) | 2016-02-25 | 2016-02-25 | 一种基于sdn的数据流加密方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105721317B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106130903A (zh) * | 2016-07-08 | 2016-11-16 | 桂林电子科技大学 | 基于fpga的sdn交换机流表加密方法 |
| CN106559334A (zh) * | 2016-10-24 | 2017-04-05 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的最小时延负载均衡方法、装置和系统 |
| CN108337243A (zh) * | 2017-11-02 | 2018-07-27 | 北京紫光恒越网络科技有限公司 | 报文转发方法、装置和转发设备 |
| CN109417513A (zh) * | 2017-03-24 | 2019-03-01 | 华为技术有限公司 | 软件定义网络中动态检测对端的系统和方法 |
| CN110830301A (zh) * | 2019-11-11 | 2020-02-21 | 国网江苏省电力有限公司检修分公司 | 基于安全加密的电力二次系统站控层拓扑扫描方法及装置 |
| CN110912875A (zh) * | 2019-11-08 | 2020-03-24 | 中国电子科技集团公司第三十研究所 | 基于南向接口的网络加密方法、系统、介质及设备 |
| CN110943996A (zh) * | 2019-12-03 | 2020-03-31 | 迈普通信技术股份有限公司 | 一种业务加解密的管理方法、装置及系统 |
| US10778662B2 (en) | 2018-10-22 | 2020-09-15 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
| CN113630325A (zh) * | 2020-05-08 | 2021-11-09 | 华为技术有限公司 | 报文转发方法,报文转发系统以及相关设备 |
| CN114124491A (zh) * | 2021-11-12 | 2022-03-01 | 中国电信股份有限公司 | 防旁路劫持方法和系统、入口和出口交换机、安全网元 |
| US11388153B2 (en) | 2020-08-25 | 2022-07-12 | United States Of America As Represented By The Secretary Of The Navy | One-time pad encryption in a secure communication network |
| CN115225333A (zh) * | 2022-06-23 | 2022-10-21 | 中国电子科技集团公司第三十研究所 | 一种基于软件定义的tsn加密方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104702607A (zh) * | 2015-03-12 | 2015-06-10 | 杭州华三通信技术有限公司 | 一种软件定义网络的接入认证方法、装置和系统 |
| CN104869125A (zh) * | 2015-06-09 | 2015-08-26 | 上海斐讯数据通信技术有限公司 | 基于sdn的动态防mac地址欺骗方法 |
| CN104935593A (zh) * | 2015-06-16 | 2015-09-23 | 杭州华三通信技术有限公司 | 数据报文的传输方法及装置 |
| US20150358231A1 (en) * | 2013-02-28 | 2015-12-10 | Hangzhou H3C Technologies Co., Ltd. | Vepa switch message forwarding |
-
2016
- 2016-02-25 CN CN201610105112.2A patent/CN105721317B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150358231A1 (en) * | 2013-02-28 | 2015-12-10 | Hangzhou H3C Technologies Co., Ltd. | Vepa switch message forwarding |
| CN104702607A (zh) * | 2015-03-12 | 2015-06-10 | 杭州华三通信技术有限公司 | 一种软件定义网络的接入认证方法、装置和系统 |
| CN104869125A (zh) * | 2015-06-09 | 2015-08-26 | 上海斐讯数据通信技术有限公司 | 基于sdn的动态防mac地址欺骗方法 |
| CN104935593A (zh) * | 2015-06-16 | 2015-09-23 | 杭州华三通信技术有限公司 | 数据报文的传输方法及装置 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106130903A (zh) * | 2016-07-08 | 2016-11-16 | 桂林电子科技大学 | 基于fpga的sdn交换机流表加密方法 |
| CN106130903B (zh) * | 2016-07-08 | 2019-03-12 | 桂林电子科技大学 | 基于fpga的sdn交换机流表加密方法 |
| CN106559334A (zh) * | 2016-10-24 | 2017-04-05 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的最小时延负载均衡方法、装置和系统 |
| CN109417513A (zh) * | 2017-03-24 | 2019-03-01 | 华为技术有限公司 | 软件定义网络中动态检测对端的系统和方法 |
| CN108337243A (zh) * | 2017-11-02 | 2018-07-27 | 北京紫光恒越网络科技有限公司 | 报文转发方法、装置和转发设备 |
| US10778662B2 (en) | 2018-10-22 | 2020-09-15 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
| CN112889253A (zh) * | 2018-10-22 | 2021-06-01 | 思科技术公司 | 用于多站点数据中心的安全密码密钥分发和管理的上游方案 |
| US11895100B2 (en) | 2018-10-22 | 2024-02-06 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
| CN112889253B (zh) * | 2018-10-22 | 2023-06-23 | 思科技术公司 | 用于多站点数据中心的安全密码密钥分发和管理的上游方案 |
| CN110912875B (zh) * | 2019-11-08 | 2022-03-22 | 中国电子科技集团公司第三十研究所 | 基于南向接口的网络加密方法、系统、介质及设备 |
| CN110912875A (zh) * | 2019-11-08 | 2020-03-24 | 中国电子科技集团公司第三十研究所 | 基于南向接口的网络加密方法、系统、介质及设备 |
| CN110830301A (zh) * | 2019-11-11 | 2020-02-21 | 国网江苏省电力有限公司检修分公司 | 基于安全加密的电力二次系统站控层拓扑扫描方法及装置 |
| CN110943996A (zh) * | 2019-12-03 | 2020-03-31 | 迈普通信技术股份有限公司 | 一种业务加解密的管理方法、装置及系统 |
| CN113630325A (zh) * | 2020-05-08 | 2021-11-09 | 华为技术有限公司 | 报文转发方法,报文转发系统以及相关设备 |
| US11388153B2 (en) | 2020-08-25 | 2022-07-12 | United States Of America As Represented By The Secretary Of The Navy | One-time pad encryption in a secure communication network |
| CN114124491A (zh) * | 2021-11-12 | 2022-03-01 | 中国电信股份有限公司 | 防旁路劫持方法和系统、入口和出口交换机、安全网元 |
| CN114124491B (zh) * | 2021-11-12 | 2024-10-15 | 中国电信股份有限公司 | 防旁路劫持方法和系统、入口和出口交换机、安全网元 |
| CN115225333A (zh) * | 2022-06-23 | 2022-10-21 | 中国电子科技集团公司第三十研究所 | 一种基于软件定义的tsn加密方法及系统 |
| CN115225333B (zh) * | 2022-06-23 | 2023-05-12 | 中国电子科技集团公司第三十研究所 | 一种基于软件定义的tsn加密方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105721317B (zh) | 2019-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105721317A (zh) | 一种基于sdn的数据流加密方法和系统 | |
| EP3018861B1 (en) | Configuration information sending method, system and apparatus | |
| CN105591754B (zh) | 一种基于sdn的验证头验证方法和系统 | |
| US8555056B2 (en) | Method and system for including security information with a packet | |
| KR101485279B1 (ko) | 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법 | |
| Mehic et al. | Quantum cryptography in 5G networks: a comprehensive overview | |
| CN110011939B (zh) | 一种支持量子密钥进行数据加密以太网交换机 | |
| JP2004524768A (ja) | ネットワークアプリケーション用に保護処理機能を分配するシステム及び方法 | |
| CN105827665A (zh) | 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法 | |
| Bagaria et al. | Flexi-DNP3: Flexible distributed network protocol version 3 (DNP3) for SCADA security | |
| CN110383280A (zh) | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 | |
| CN105656655B (zh) | 一种网络安全管理方法、装置,及系统 | |
| Liyanage et al. | A scalable and secure VPLS architecture for provider provisioned networks | |
| Prathima Mabel et al. | SDN security: Challenges and solutions | |
| CN103227742A (zh) | 一种IPSec隧道快速处理报文的方法 | |
| Cho et al. | Secure open fronthaul interface for 5G networks | |
| Liyanage et al. | Secure hierarchical VPLS architecture for provider provisioned networks | |
| US20180262473A1 (en) | Encrypted data packet | |
| KR101845776B1 (ko) | 레이어2 보안을 위한 MACsec 어댑터 장치 | |
| US11956160B2 (en) | End-to-end flow control with intermediate media access control security devices | |
| Zuo et al. | A novel software-defined network packet security tunnel forwarding mechanism | |
| Nguyen et al. | An experimental study of security for service function chaining | |
| Kabta et al. | Information security in software-defined network | |
| CN109428868A (zh) | 对OSPFv3进行加密的方法、加密装置、加密设备及存储介质 | |
| CN108880802A (zh) | 经典网络接入量子密钥分配网络加密融合控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201125 Address after: Room 1008, block B, Kechuang headquarters building, No. 320, pubin Road, Nanjing area, Jiangsu Free Trade Zone, Nanjing City, Jiangsu Province Patentee after: Nanjing Shifang Network Technology Co., Ltd Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666 Patentee before: Phicomm (Shanghai) Co.,Ltd. |
|
| TR01 | Transfer of patent right |