CN105827665A - 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法 - Google Patents

一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法 Download PDF

Info

Publication number
CN105827665A
CN105827665A CN201610398932.5A CN201610398932A CN105827665A CN 105827665 A CN105827665 A CN 105827665A CN 201610398932 A CN201610398932 A CN 201610398932A CN 105827665 A CN105827665 A CN 105827665A
Authority
CN
China
Prior art keywords
key
message
computing
encryption
mould
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610398932.5A
Other languages
English (en)
Inventor
刘哲理
程子敬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nankai University
Space Star Technology Co Ltd
Original Assignee
Nankai University
Space Star Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nankai University, Space Star Technology Co Ltd filed Critical Nankai University
Priority to CN201610398932.5A priority Critical patent/CN105827665A/zh
Publication of CN105827665A publication Critical patent/CN105827665A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种SDN网络控制器与交换机之间的流表消息敏感数据加密方法,包括单流回复消息Flow‑stats、流表修改消息Flow‑mod,流表删除消息Flow‑removed。针对在SDN网络中,控制器和交换机在通信时发送与流表相关消息指令的过程中,攻击者进行网络嗅探从而破坏或者欺骗拦截数据流表信息,进而获取数据流表消息中的敏感数据,给整个SDN网络造成威胁。本发明为保留格式的加密方法,确保密文与明文具有相同的格式,达到加密的目的。加密所依赖的密钥分为固定密钥和调整因子两部分,调整因子是指令中的cookie字段,使用调整因子通过密钥分散算法产生用于加解密的密钥key,该特点大大降低了密钥管理的复杂度。

Description

一种SDN网络控制器与交换机之间的流表消息敏感数据加密方法
技术领域
本发明属于数据加密领域,具体涉及一种保留网络协议格式不变的流表消息指令传输敏感数据加密方法,针对流表相关消息包括流表修改消息Flow-mod、删除消息Flow-removed以及单流回复消息Flow-stats。
背景技术
软件定义网络(software-defined networking,简称SDN)技术分离了网络控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案。
SDN的安全性属于开放的状态,虽然交换机和控制器可以建立安全通道,但是针对性的攻击方法也很多,攻击者可以通过在网络中嗅探得知哪些数据流正在流动,哪些数据流被允许在网络中传输。攻击者可以对OpenFlow交换机与控制器之间的南向接口通信进行嗅探,嗅探所获得的信息可用于再次发起攻击或进行简单的网络扫描探测,获取数据流中的敏感信息,从而对整个SDN网络安全造成巨大威胁。所以对数据流表中的敏感信息进行加密是很有必要的,但是,传统的加密算法,比如AES、3DES等,将会破坏数据的格式,使得加密后的数据无法在网络中存储和使用,而且会破坏已有的SDN网络中的业务逻辑,比如控制器下发流表后,IP字段在交换机中与流表项匹配时无法识别的问题,如何对这些信息加密却不破坏其固有的格式,是一个必须要解决的问题。
可见,在控制器下发指令修改流表数据时,有必要对核心的数据流表项进行加密。而保留格式的加密技术不会影响已有协议,可以在原有协议的基础上实现敏感信息的保护,因此,研究如何保留SDN控制器与交换机之间协议不变的加密算法是必要的。
发明内容
本发明目的是解决SDN网络中控制器与OpenFlow交换设备数据指令传输安全的问题,对控制器与交换设备之间的消息指令的IP地址字段进行加密,避免网络嗅探对IP地址窃取而产生的欺骗通信,并且提供一种保留格式的数据加密方法。
本发明提供了一种保留格式的对于控制器与数据平面网元的数据指令传输的加密方法,使用控制器与交换机之间流表消息中的cookie字段作为密钥分散种子进行密钥分散产生加密密钥key,从而对源和目的IP地址进行加密,并使用密钥key对密文进行解密得到明文,该方法具体包括如下步骤:
第1、控制器和交换机在部署时预装指定的安全密钥K,将密钥种子写在控制器和交换机的相关配置文件中。
第2、在消息发送前,首先利用安全密钥K和消息包结构中的可变项cookie,cookie是一个64位字段的参数,用来过滤流的统计信息,使用cookie作为密钥分散种子进行密钥分散,产生用于加密消息的的分散密钥key;再利用密钥key进行明文的加密和密文解密。
第3、控制器或交换机到接收到对方发来的消息后,利用收到消息,再解密;
第3.1、使用第2步产生的分散密钥key对消息指令中的IP源地址字段nw_src和目标地址nw_dst字段进行加密;
第3.2、使用第2步产生的分散密钥key对IP源地址的密文和目标地址的密文进行解密。
其中,第2步所述的密钥分散算法的具体步骤为:
第2.1、采用AES算法作为基础密码;
第2.2、使用消息指令的cookie字段,在64位的消息中的cookie字段基础上,添加8字节数据0x8000000000000000,得到分散因子;
第2.3、使用基础密码AES对分散因子进行加密,将密文作为分散密钥key,使用分散密钥key对明文进行加密。
第3.1步所使用的加密算法步骤为:
第3.1.1、使用上述第2步产生的分散密钥key作为加密密钥;
第3.1.2、对于消息指令中里的源和目的IP地址字段,将十六进制的字段分割为左右两部分即L和R,用Xj表示第j轮的输入,即L=x1||…||x(n/2),R=x(n/2+1)||…||xn
第3.1.3、按以下步骤执行R轮迭代运算,R通常取12,每轮执行过程如下:
第3.1.3.1、令L’作为下一轮的左半部分,R’作为下一轮的右半部分,则 其中L’的值等于输入的右半部分R,R’的值等于输入的左半部分L与对右半部分R执行FSK运算后进行模加的结果;
第3.1.3.2、第i轮的输出为Xi+1=L’||R’,该输出将作为第i+1轮的输入,执行第i+1轮的迭代运算。
第3.2步所使用的解密算法步骤为:
第3.1.1.1、使用上述第2步产生的分散密钥key作为解密密钥;
第3.1.1.2、对于解密运算而言,运算过程与加密算法相同,只是将模加运算替换为模减Θ运算;
所述的模加运算是:
第3.1.3.1.1、用Yj表示第j轮输入Xj的每个分段元素所属值域的元素个数,且Yj=y1||…||yn,其中:y1=|I1|,…,yn=|In|;
第3.1.3.1.2、对于模加运算假设N=n1||n2||…||nz,z<n,具体运算过程为:即,该模加运算是按元素为单元的运算,每个单元运算的模数等于左操作数所属的值域的元素个数。
所述的模减运算的方法如下:
1)、用Yj表示第j轮输入Xj的每个分段元素所属值域的元素个数,且Yj=y1||…||yn,其中:y1=|I1|,…,yn=|In|;
2)、对于模减运算XΘN,其中N=n1||n2||…||nz,z<n,具体运算过程为:XΘN=(X-N)mod Y=(x1-n1)mod y1||…||(xz-nz)mod yz,即,该模减运算是按元素为单元的运算,每个单元运算的模数等于左操作数所属的值域的元素个数。
一、本发明涉及的与传输数据加密有关的一些基本概念:
(1)SDN:软件定义网络(Software Defined Network,SDN),是Emulex网络一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
(2)OpenFlow:OpenFlow最早由斯坦福大学的Nick McKeown教授等研究人员在2008年4月提出,其最初的出发点是考虑到网络的创新思想需要在实际网络上才能被更好地验证,而研究人员又无法修改现网中的网络设备,故而提出了名为OpenFlow的控制和转发分离的架构。OpenFlow标准的名称是OpenFlow Switch Specification,因此它本身是一份设备规范,其中规定了作为SDN基础设施层转发设备的OpenFlow交换机的基本组件和功能要求,以及用于由远程控制器对交换机进行控制的OpenFlow协议。
(3)安全通道:OpenFlow安全通道承载着OpenFlow协议的消息,不管是流表的下发还是其他的控制消息都要经过这条通道。这部分流量属于OpenFlow网络的控制信令,有别于数据平面的网络“流”,不需要经过交换机流表的检查。为了保证“本地流量”安全可靠的传输,OpenFlowv1.0中规定通道建立在TCP连接上,采用TLS(Transport LayerSecurity,安全传输层协议)进行加密。
(4)Controller-Switch消息:这类消息是由控制器发起,包括Features、Configuration、Modify-State、Read-State、Send-Packet、Barrier等几类消息,用于对OpenFlow交换机的管理。控制器通过其中请求(Request)消息来查询OpenFlow交换机的状态,OpenFlow交换机收到后需回复响应(Reply)消息。
(5)流表:所谓流表,其实可被视作是OpenFlow对网络设备的数据转发功能的一种抽象。在传统网络设备中,交换机和路由器的数据转发需要依赖设备中保存的二层MAC地址转发表或者三层IP地址路由表,而OpenFlow交换机中使用的流表也是如此,不过在它的表项中整合了网络中各个层次的网络配置信息,从而在进行数据转发时可以使用更丰富的规则。
(6)AES:密码学中的高级加密标准(Advanced Encryption Standard,AES),是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院(NIST)于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成为有效的标准。2006年,高级加密标准已然成为对称密钥加密中最流行的算法之一。
(7)分组密码:分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为n的分组(可看成长度为n的矢量),每个分组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。
本发明的优点和积极效果:
本发明是一种流表消息指令中敏感数据保留格式的加密方法,该方法既要满足网络格式协议不变的要求,又要解决密钥管理的问题。本发明可以在SDN网络的交换机与控制器之间流表消息敏感数据加密中应用:所提出的敏感数据保留格式加密算法能够确保密文与明文具有相同的格式,适用于SDN网络中OpenFlow协议包的IP地址、日期等等数据类型的加解密;加密所依赖的密钥分为固定密钥和调整因子两部分,调整因子是消息报文中的cookie,使用调整因子通过密钥分散算法产生用于加解密的密钥key,该特点大大降低了密钥管理的复杂度。
附图说明
图1是加解密方法流程图。
图2是openFlow协议拓扑图。
图3是wireshark报文抓取图。
图4是交换机端对称密钥K。
图5是控制器端对称密钥K。
图6是Flow-mod消息报文解析。
图7是加密后的Flow-mod消息报文。
具体实施方式
本发明以IP地址为例,参考了一种保留格式的加密方法,并对加密算法过程进行详细说明。
如图1所示,本发明提供的SDN网络控制器与交换机之间的消息指令加密方法的具体步骤包括:
第1、控制器和交换机在部署时预装指定的安全密钥K,将密钥种子写在控制器和交换机的相关配置文件中;
第2、当控制器修改流表时,需要通过OFPT_FLOW_MOD消息,交换机端接收到控制器发送的controller-to-switch类型的消息指令OFPT_FLOW_MOD,该指令用来对流表进行修改操作,cookie是OFPT_FLOW_MOD定义的一个64位字段的参数,用于控制器过滤流的统计信息,使用cookie作为密钥分散种子进行密钥分散,产生用于加密的分散密钥key;
第3、在“修改状态”的Controller-to-Switch消息中,控制器对流表项结构中的IP地址字段进行加密,交换机对加密后的密文进行解密:
第3.1、使用第2步产生的分散密钥key对流表项结构里的IP源地址nw_src字段和目标地址nw_dst字段进行加密;
第3.2、使用第2步产生的分散密钥key对IP源地址的密文和目标地址的密文进行解密。
应用实例
本应用实例是在SDN仿真环境中实施。具体实例中采用openflow协议,使用Ubuntu12.04+Floodlight+Mininet来搭建SDN仿真环境,使用virtualbox作为虚拟机软件,virtualbox中运行带有Mininet的虚拟机,用来模拟出OpenFlow交换机、host以及自定义的网络拓扑结构。PC机器上安装Floodlight,作为OpenFlow环境的控制器。
构建如图2所示拓扑图,wireshark报文抓取如图3所示。
当控制器启动后,会使用默认6633监听端口,然后进行三次握手,建立socket连接。
创建socket后,交换机与控制器会彼此发送hello数据包,发送OFPT_ECHO消息查询连接状态,确保通信通畅,完成连接后,控制器会向交换机发送OFPT_FEATYRES_REQUEST数据包,请求交换机信息,并且会得到交换机回复的OFPT_FEATURES_REPLY消息。
当一个packet从主机h1-eth0到达openflow交换机s1-eth0端,会进行流表的匹配,如果没有找到相应的流表项,就会通过s1-eth2端口发送一个packet_in消息到控制器,在SDN的环境下,控制器具有全局拓扑信息,每当有链路状态改变时就会跟新拓扑,而路由的计算是需要下发转发规则的时候进行。控制器根据一定的路由算法决策后,会向该路径上的所有交换机下发流表,发送FLOW_MOD消息,里面有对应的action以及敏感信息源地址和目的地址,需要对敏感信息进行加密。
首先使用控制器C0与交换机S1的对称密钥种子K进行密钥分散产生密钥key,分散密钥key在控制器和交换机中均存储用于下一轮的加密和解密。
1、密钥分散算法
输入:控制器(见图5)与交换机端(见图4)都存储统一的对称密钥K。
K=0x01010202030304040505060607070808,64位cookie值为0x0020000000000000;Flow-mod消息报文解析如图6所示。
第一、定义AES表示采用的基础密码;定义符号K表示控制器与交换设备中预装的对称密钥K=0x01010202030304040505060607070808;定义AES.Enc(K,plain)表示使用密钥K对明文plain进行加密;
第二、产生分散因子:取FLOW-MOD消息的64位cookie字段,将其填充到128位,首先补充一个字节的0x80,其后补充7个字节的0x00,得到一个128位的新cookie值,定义FS=cookie|0x80|0x00|0x00|0x00|0x00|0x00|0x00|0x00,填充后的cookie得到的新的FS值为FS=0x00200000000000008000000000000000;
第三、利用密钥分散算法得分散密钥key;
其中key=AES.Enc(K,cookie)=0x0BE3F6F57A1E631B25298631C48EE6A9;
输出:分散密钥key=0x0BE3F6F57A1E631B25298631C48EE6A9。
得到分散密钥key后,在控制器端使用setmatch方法对敏感信息进行加密并进行包的封装。
2、加密算法
以下是一轮加密运算的过程,在实际加密的过程中,通常进行R轮运算,R通常大于或等于12。
示例:预装对称密钥K为0x01010202030304040505060607070808,cookie为0x0020000000000000,使用以上的密钥分散算法得到密钥key。
分散算法:key=AES.Enc(K,cookie)=0x0BE3F6F57A1E631B25298631C48EE6A9。
第一轮的加密实现示例如下:
定义一个IP地址nw_src为“10.0.0.1”,并定义一个0到10的16进制字符集W={‘0’,’1’,’2’,’3’,’4’,’5’,’6’,’7’,’8’,’9’,},IP地址里的每一个数字可以对应到字符集里的每一个十六进制元素,并保留IP地址的第一位不进行加密。
输入:IP地址字段nw_src为“10.0.0.1”,加密密钥key。
其中key=0x0BE3F6F57A1E631B25298631C48EE6A9。
第一步、IP地址映射为0x00000001,作为下一轮的输入。
第二步、将映射后的IP地址分割为左右两部分,分别记为左半部分L和右半部分R,L=0x0000,R=0x0001;
第三步、本轮输出的L’=R=0x0001,而本轮输出后得到的R’为AES.ENC(FSK,R)+L.具体模加运算为
将L‘和R’相连,得到最终密文:0x00010009。
输出:加密后的IP地址“10.1.0.9”,见图7。
将得到的密文随数据包发送到交换机端,使用getmatch方法进行拆包,并使用分散密钥key进行解密。
3、解密算法
输入:即上述的密文0x00010009,解密密钥key。
其中key=0x0BE3F6F57A1E631B25298631C48EE6A9。
第一步、对一轮加密运算的密文进行解密,本轮输出的R=L’=0x0001,而本轮输出得到的L为R’=AES.DEC(FSK,R);
具体模减运算为0x0009-0xB4E5=0x0000,即得到开始的L左半部分。
第二步、将左右两半部分连接一起得到明文0x00000001;
输出:明文IP地址10.0.0.1。

Claims (6)

1.一种SDN网络控制器与交换机之间的流表消息敏感数据加密方法,主要适应于控制器与交换机之间发送流表消息包括流表修改消息Flow-mod、删除消息Flow-removed以及单流回复消息Flow-stats时,其特征在于该方法包括如下步骤:
第1、控制器和交换机在部署时预装指定的安全密钥K,将密钥种子写在控制器和交换机的相关配置文件中;
第2、在消息发送前,首先利用安全密钥K和消息包结构中的可变项cookie,cookie是一个64位字段的参数,用来过滤流的统计信息,使用cookie作为密钥分散种子进行密钥分散,产生用于加密消息的的分散密钥key;再利用密钥key进行明文的加密和密文解密。
第3、控制器或交换机到接收到对方发来的消息后,利用收到消息,再解密;
第3.1、使用第2步产生的分散密钥key对消息指令中的IP源地址字段nw_src和目标地址nw_dst字段进行加密;
第3.2、使用第2步产生的分散密钥key对IP源地址的密文和目标地址的密文进行解密。
2.根据权利要求1所述的方法,其特征在于第2步所述的密钥分散算法如下:
第2.1、采用AES算法作为基础密码;
第2.2、使用消息指令的cookie字段,在64位的消息中的cookie字段基础上,添加8字节数据0x8000000000000000,得到分散因子;
第2.3、使用基础密码AES对分散因子进行加密,将密文作为分散密钥key,使用分散密钥key对明文进行加密。
3.根据权利要求1所述的方法,其特征在于第3.1步所述的加密算法如下:
第3.1.1、使用第2步产生的分散密钥key作为加密密钥;
第3.1.2、对于消息指令中的源和目的IP地址字段,将十六进制的字段分割为左右两部分即L和R,用Xj表示第j轮的输入,即L=x1||…||x(n/2),R=x(n/2+1)||…||xn
第3.1.3、按以下步骤执行R轮迭代运算,每轮执行过程如下:
第3.1.3.1、L’作为下一轮的左半部分,R’作为下一轮的右半部分, 其中L’的值等于输入的右半部分R,R’的值等于输入的左半部分L与对右半部分R执行FSK运算后进行模加的结果;
第3.1.3.2、第i轮的输出为Xi+1=L’||R’,该输出将作为第i+1轮的输入,执行第i+1轮的迭代运算。
4.根据权利要求3所述的方法,其特征在于第3.2步所述的解密算法如下:
第3.1.1.1、使用第2步产生的分散密钥key作为解密密钥;
第3.1.1.2、对于解密运算而言,运算过程与加密算法相同,只是将模加运算替换为模减Θ运算。
5.根据权利要求3所述的方法,其特征在于第3.1.3.1步所述的模加运算方法如下:
第3.1.3.1.1、用Yj表示第j轮输入Xj的每个分段元素所属值域的元素个数,且Yj=y1||…||yn,其中:y1=|I1|,…,yn=|In|;
第3.1.3.1.2、对于模加运算假设N=n1||n2||…||nz,z<n,具体运算过程为:即,该模加运算是按元素为单元的运算,每个单元运算的模数等于左操作数所属的值域的元素个数。
6.根据权利要求4所述的方法,其特征在于第3.1.1.2步所述的模减运算方法如下:
1)、用Yj表示第j轮输入Xj的每个分段元素所属值域的元素个数,且Yj=y1||…||yn,其中:y1=|I1|,…,yn=|In|;
2)对于模减运算其中N=n1||n2||…||nz,z<n,具体运算过程为:XΘN=(X-N)modY=(x1-n1)mod y1||…||(xz-nz)mod yz,即,该模减运算是按元素为单元的运算,每个单元运算的模数等于左操作数所属的值域的元素个数。
CN201610398932.5A 2016-06-06 2016-06-06 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法 Pending CN105827665A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610398932.5A CN105827665A (zh) 2016-06-06 2016-06-06 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610398932.5A CN105827665A (zh) 2016-06-06 2016-06-06 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法

Publications (1)

Publication Number Publication Date
CN105827665A true CN105827665A (zh) 2016-08-03

Family

ID=56532022

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610398932.5A Pending CN105827665A (zh) 2016-06-06 2016-06-06 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法

Country Status (1)

Country Link
CN (1) CN105827665A (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453406A (zh) * 2016-11-22 2017-02-22 中国电子科技集团公司第三十研究所 一种体系化的软件定义数据中心网络保密方法
CN108090527A (zh) * 2016-11-22 2018-05-29 北京计算机技术及应用研究所 利用射频识别进行耗材防伪的方法
CN108540501A (zh) * 2018-07-18 2018-09-14 郑州云海信息技术有限公司 一种不对称加密的方法和装置
CN108737169A (zh) * 2018-05-08 2018-11-02 重庆邮电大学 一种基于sdn的异构工业网络集中式融合管理方法
CN108809794A (zh) * 2017-05-04 2018-11-13 中兴通讯股份有限公司 基于sdn的传送网虚拟网络创建方法和装置及传送网络系统
CN109412809A (zh) * 2018-12-05 2019-03-01 南京信息职业技术学院 基于可认证层次化属性加密的sdn信息访问控制方法
CN109769004A (zh) * 2019-03-29 2019-05-17 中国人民解放军国防科技大学 基于保留格式加密的匿名通信方法、设备及系统
CN109923516A (zh) * 2014-05-14 2019-06-21 卡拉公司 加强计算机安全性,可变字长编码以及可变长码解码的技术
CN110381016A (zh) * 2019-06-11 2019-10-25 辽宁途隆科技有限公司 Cc攻击的防护方法及装置、存储介质、计算机设备
CN110445604A (zh) * 2019-07-01 2019-11-12 北京邮电大学 基于sdn的qkd网络及其业务请求的发送方法
CN111431889A (zh) * 2020-03-19 2020-07-17 李子钦 一种OpenFlow网络中轻量级控制通道的通信保护方法
CN115225333A (zh) * 2022-06-23 2022-10-21 中国电子科技集团公司第三十研究所 一种基于软件定义的tsn加密方法及系统
CN116886364A (zh) * 2023-07-17 2023-10-13 武汉恒信永合电子技术有限公司 一种sdn交换机运行方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130077481A1 (en) * 2010-01-05 2013-03-28 Nec Corporation Network system and network redundancy method
CN104935593A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 数据报文的传输方法及装置
CN104935594A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 基于虚拟可扩展局域网隧道的报文处理方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130077481A1 (en) * 2010-01-05 2013-03-28 Nec Corporation Network system and network redundancy method
CN104935593A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 数据报文的传输方法及装置
CN104935594A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 基于虚拟可扩展局域网隧道的报文处理方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DOMINIK SAMOCIUK: "Secure Communication Between OpenFlow Switches and Controllers", 《AFIN 2015 : THE SEVENTH INTERNATIONAL CONFERENCE ON ADVANCES IN FUTURE INTERNET》 *
JAEHOON (PAUL) JEONG等: "A Framework for Security Services based on Software-Defined Networking", 《2015 29TH INTERNATIONAL CONFERENCE ON ADVANCED INFORMATION NETWORKING AND APPLICATIONS WORKSHOPS》 *

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109923516A (zh) * 2014-05-14 2019-06-21 卡拉公司 加强计算机安全性,可变字长编码以及可变长码解码的技术
CN106453406A (zh) * 2016-11-22 2017-02-22 中国电子科技集团公司第三十研究所 一种体系化的软件定义数据中心网络保密方法
CN108090527A (zh) * 2016-11-22 2018-05-29 北京计算机技术及应用研究所 利用射频识别进行耗材防伪的方法
CN106453406B (zh) * 2016-11-22 2019-05-28 中国电子科技集团公司第三十研究所 一种体系化的软件定义数据中心网络保密方法
CN108809794A (zh) * 2017-05-04 2018-11-13 中兴通讯股份有限公司 基于sdn的传送网虚拟网络创建方法和装置及传送网络系统
CN108737169A (zh) * 2018-05-08 2018-11-02 重庆邮电大学 一种基于sdn的异构工业网络集中式融合管理方法
CN108540501A (zh) * 2018-07-18 2018-09-14 郑州云海信息技术有限公司 一种不对称加密的方法和装置
CN109412809B (zh) * 2018-12-05 2022-02-15 南京信息职业技术学院 基于可认证层次化属性加密的sdn信息访问控制方法
CN109412809A (zh) * 2018-12-05 2019-03-01 南京信息职业技术学院 基于可认证层次化属性加密的sdn信息访问控制方法
CN109769004A (zh) * 2019-03-29 2019-05-17 中国人民解放军国防科技大学 基于保留格式加密的匿名通信方法、设备及系统
CN109769004B (zh) * 2019-03-29 2021-11-02 中国人民解放军国防科技大学 基于保留格式加密的匿名通信方法、设备及系统
CN110381016A (zh) * 2019-06-11 2019-10-25 辽宁途隆科技有限公司 Cc攻击的防护方法及装置、存储介质、计算机设备
CN110445604A (zh) * 2019-07-01 2019-11-12 北京邮电大学 基于sdn的qkd网络及其业务请求的发送方法
CN111431889A (zh) * 2020-03-19 2020-07-17 李子钦 一种OpenFlow网络中轻量级控制通道的通信保护方法
CN111431889B (zh) * 2020-03-19 2023-08-08 李子钦 一种OpenFlow网络中轻量级控制通道的通信保护方法
CN115225333A (zh) * 2022-06-23 2022-10-21 中国电子科技集团公司第三十研究所 一种基于软件定义的tsn加密方法及系统
CN115225333B (zh) * 2022-06-23 2023-05-12 中国电子科技集团公司第三十研究所 一种基于软件定义的tsn加密方法及系统
CN116886364A (zh) * 2023-07-17 2023-10-13 武汉恒信永合电子技术有限公司 一种sdn交换机运行方法

Similar Documents

Publication Publication Date Title
CN105827665A (zh) 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
CN105763557B (zh) 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统
WO2017016162A1 (zh) 一种基于sdn架构的工业通信流传输安全控制方法
CN105721317B (zh) 一种基于sdn的数据流加密方法和系统
CN102932377B (zh) 一种ip报文过滤方法及装置
CN101778045A (zh) 报文传输方法、装置及网络系统
CN105610837A (zh) 用于scada系统主站与从站间身份认证的方法及系统
CN103905180A (zh) 经典应用接入量子通信网络的方法
CN104219217A (zh) 安全关联协商方法、设备和系统
Bagaria et al. Flexi-DNP3: Flexible distributed network protocol version 3 (DNP3) for SCADA security
CN109344639A (zh) 一种配网自动化双重防护安全芯片、数据传输方法及设备
CN110752921A (zh) 一种通信链路安全加固方法
CN109302432A (zh) 基于网络安全隔离技术的网络通信数据组合加密传输方法
CN106161386A (zh) 一种实现IPsec分流的方法和装置
US20190014092A1 (en) Systems and methods for security in switched networks
CN100364305C (zh) 工业控制网络的信息安全方法及安全功能块
CN106385423A (zh) 一种数据加密传输方法及系统
US11336657B2 (en) Securing communication within a communication network using multiple security functions
US20230291797A1 (en) Zero-trust authentication for secure remote direct memory access
CN105471849A (zh) 一种数据交换服务与传输过程的安全控制方法
CN104618211A (zh) 一种基于隧道的报文处理方法和总部网关设备
Kabta et al. Information security in software-defined network
CN110213257B (zh) 基于真随机流异或加密的高安全ip保密通信方法
CN209419652U (zh) 一种隔离网闸设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160803