CN106130903B - 基于fpga的sdn交换机流表加密方法 - Google Patents

基于fpga的sdn交换机流表加密方法 Download PDF

Info

Publication number
CN106130903B
CN106130903B CN201610538471.7A CN201610538471A CN106130903B CN 106130903 B CN106130903 B CN 106130903B CN 201610538471 A CN201610538471 A CN 201610538471A CN 106130903 B CN106130903 B CN 106130903B
Authority
CN
China
Prior art keywords
flow table
fpga
address
sdn switch
network data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201610538471.7A
Other languages
English (en)
Other versions
CN106130903A (zh
Inventor
王勇
卓越
何倩
陶晓玲
强保华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guilin University of Electronic Technology
Original Assignee
Guilin University of Electronic Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guilin University of Electronic Technology filed Critical Guilin University of Electronic Technology
Priority to CN201610538471.7A priority Critical patent/CN106130903B/zh
Publication of CN106130903A publication Critical patent/CN106130903A/zh
Application granted granted Critical
Publication of CN106130903B publication Critical patent/CN106130903B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于FPGA的SDN交换机流表加密方法,通过FPGA对上层控制器下发的流表数据进行加密并以未加密数据中提取的IP地址作为写入地址写入存储器中;对物理端口传输的数据进行采集,根据采集到的IP地址作为读取地址从存储器中读取对应地址数据并解密。本发明可以利用FPGA的并行高速性,在保证数据高速转发的情况下,增加了流表存储的安全性。相比于流水线的查找方式,IP地址映射存储器地址的查找方式又降低了数据的处理时间。

Description

基于FPGA的SDN交换机流表加密方法
技术领域
本发明属于网络数据处理技术领域,具体涉及一种基于FPGA的SDN交换机流表加密方法。
背景技术
随着互联网、物联网等领域的快速发展,大数据逐渐成为人们关注的焦点,海量的数据处理使得其对网络提出了更高的要求,传统的网络以及难以满足其对资源的需求。
SDN(软件定义网络)将转发与控制分离,一方面进行灵活控制,另一方面进行快速转发。我们可以将流表通过控制器下发至SDN交换机中并存储在特定存储器中,而该存储器不具有安全性,任何人都可以读取和修改存储器流表内容,很容易被人植入病毒以窃取各种信息,甚至恶意攻击。
发明内容
本发明所要解决的技术问题是现有SDN交换机中的存储器易被读取和修改的问题,提供一种基于FPGA的SDN交换机流表加密方法。
为解决上述问题,本发明是通过以下技术方案实现的:
一种基于FPGA的SDN交换机流表加密方法,包括如下步骤:
步骤1、上层控制器通过控制协议将指定流表下发至FPGA中;
步骤2、FPGA提取流表中的IP地址,并通过预定的加密算法对流表进行加密;再以流表所提取到的IP地址作为寻址地址,将对应的流表密文写入SDN交换机的存储器中;
步骤3、FPGA对客户机发送的网络数据流进行网络数据的采集,并对网络数据进行特征的提取;
步骤4、FPGA以流表所提取到的IP地址作为寻址地址从存储器中读出加密的流表;
步骤5、FPGA对从存储器中读出的密文进行解密,并将解密后的流表与步骤3的网络数据中所提取的特征信息进行匹配;
步骤6、对于步骤3的网络数据的转发与否取决于步骤5中的匹配结果;若完全匹配,则转发步骤3中客户机发送的网络数据;否则,丢弃该网络数据,并将该网络数据中的目的MAC地址转发至上层控制器,上层控制器将其加入编号标签,设置生存时间,封装成ARP请求报文,通过SDN交换机进行ARP请求报文广播;
步骤7、SDN交换机若收到ARP请求报文应答,则提取该ARP请求报文中的特征信息并上传上层控制器;
步骤8、上层控制器收到特征信息,封装成流表后下发至FPGA,并返回步骤2。
上述步骤2中,加密算法为AES加密算法。
上述步骤2中,流表所提取到的IP地址通过Hash运算映射后,形成寻址地址。
与现有技术相比,本发明可以利用FPGA的并行高速性,在保证数据高速转发的情况下,增加了流表存储的安全性。相比于流水线的查找方式,IP地址映射存储器地址的查找方式又降低了数据的处理时间。
附图说明
图1为一种基于FPGA的SDN交换机流表加密方法的总体流程图。
图2为AES算法的总体流程。
具体实施方式
下面以NetMagic为例对本发明进行进一步详细说明,需要说明的是:实施例中的参数并不影响本发明的一般性。
一种基于FPGA的SDN交换机流表加密方法,如图1所示,其具体步骤包含如下:
步骤S1、上位机将指定流表通过nmac协议下载至内部FPGA中。
步骤S2、FPGA通过对流表的提取得到IP地址,然后通过AES加密算法对收到的流表进行加密,具体加密过程如图2所示,IP地址通过Hash运算映射成26位DDR2写入地址,并将对应的流表密文写入该地址当中。
步骤S3、FPGA对客户机发送的数据流在rx_tx_1000模块中进行数据的采集,并对数据进行特征的提取。
步骤S4、FPGA将所提取到的IP地址作Hash运算映射成26位DDR2读取地址从DDR2中读出加密的流表。
步骤S5、FPGA对从DDR2中读出的加密流表进行解密并与数据包中提取的特征信息匹配。
步骤S6、对于步骤3中的数据转发与否取决于步骤5中的匹配结果,若完全匹配则转发,否则丢弃并将目的MAC地址转发至NetMagic控制器,控制器对其加入编号标签,设置生存时间,封装成ARP请求报文流,通过nmac协议下发至NetMagic进行ARP广播。
步骤S7、若NetMagic收到ARP应答流,则提取特征信息并上传NatMagic控制器。
步骤S8、控制器收到特征信息,封装成流表并下发至FPGA重复步骤S2。
FPGA利用其硬件并行优势,对上层控制器下发的流表数据进行加密并以未加密数据中提取的IP地址作为写入地址写入存储器中;对物理端口传输的数据进行采集,根据采集到的IP地址作为读取地址从存储器中读取对应地址数据并解密。
以上内容是结合具体的优选实施方式对本发明的进一步详细说明,不能认定本发明的具体实施方式仅限于此,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单的推演或替换,都应该视为属于本发明的权利要求书的保护范围。

Claims (3)

1.基于FPGA的SDN交换机流表加密方法,其特征是,包括如下步骤:
步骤1、上层控制器通过控制协议将指定流表下发至FPGA中;
步骤2、FPGA提取流表中的IP地址,并通过预定的加密算法对流表进行加密;再以流表所提取到的IP地址作为寻址地址,将对应的流表密文写入SDN交换机的存储器中;
步骤3、FPGA对客户机发送的网络数据流进行网络数据的采集,并对网络数据进行特征的提取;
步骤4、FPGA以流表所提取到的IP地址作为寻址地址从存储器中读出加密的流表;
步骤5、FPGA对从存储器中读出的密文进行解密,并将解密后的流表与步骤3的网络数据中所提取的特征信息进行匹配;
步骤6、对于步骤3的网络数据的转发与否取决于步骤5中的匹配结果;若完全匹配,则转发步骤3中客户机发送的网络数据;否则,丢弃该网络数据,并将该网络数据中的目的MAC地址转发至上层控制器,上层控制器将其加入编号标签,设置生存时间,封装成ARP请求报文,通过SDN交换机进行ARP请求报文广播;
步骤7、SDN交换机若收到ARP请求报文应答,则提取该ARP请求报文中的特征信息并上传上层控制器;
步骤8、上层控制器收到特征信息,封装成流表后下发至FPGA,并返回步骤2。
2.根据权利要求1所述基于FPGA的SDN交换机流表加密方法,其特征是,步骤2中,加密算法为AES加密算法。
3.根据权利要求1所述基于FPGA的SDN交换机流表加密方法,其特征是,步骤2中,流表所提取到的IP地址通过Hash运算映射后,形成寻址地址。
CN201610538471.7A 2016-07-08 2016-07-08 基于fpga的sdn交换机流表加密方法 Expired - Fee Related CN106130903B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610538471.7A CN106130903B (zh) 2016-07-08 2016-07-08 基于fpga的sdn交换机流表加密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610538471.7A CN106130903B (zh) 2016-07-08 2016-07-08 基于fpga的sdn交换机流表加密方法

Publications (2)

Publication Number Publication Date
CN106130903A CN106130903A (zh) 2016-11-16
CN106130903B true CN106130903B (zh) 2019-03-12

Family

ID=57283007

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610538471.7A Expired - Fee Related CN106130903B (zh) 2016-07-08 2016-07-08 基于fpga的sdn交换机流表加密方法

Country Status (1)

Country Link
CN (1) CN106130903B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107360161A (zh) * 2017-07-12 2017-11-17 济南浪潮高新科技投资发展有限公司 一种sdn流表下发系统及方法
CN107276898B (zh) * 2017-08-02 2021-06-29 桂林电子科技大学 一种基于fpga的最短路由实现方法
CN109617776A (zh) * 2018-12-20 2019-04-12 桂林电子科技大学 基于分布式散列表的软件定义网络控制器的方法及系统
CN113595793B (zh) * 2021-07-30 2023-11-07 桂林电子科技大学 基于fpga的sdn网络策略一致性的分段验证方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103457952A (zh) * 2013-09-05 2013-12-18 杭州华三通信技术有限公司 一种基于加密引擎的IPSec处理方法和设备
CN104283742A (zh) * 2014-11-05 2015-01-14 桂林电子科技大学 基于fpga的网络数据包过滤方法
CN105721317A (zh) * 2016-02-25 2016-06-29 上海斐讯数据通信技术有限公司 一种基于sdn的数据流加密方法和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10375043B2 (en) * 2014-10-28 2019-08-06 International Business Machines Corporation End-to-end encryption in a software defined network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103457952A (zh) * 2013-09-05 2013-12-18 杭州华三通信技术有限公司 一种基于加密引擎的IPSec处理方法和设备
CN104283742A (zh) * 2014-11-05 2015-01-14 桂林电子科技大学 基于fpga的网络数据包过滤方法
CN105721317A (zh) * 2016-02-25 2016-06-29 上海斐讯数据通信技术有限公司 一种基于sdn的数据流加密方法和系统

Also Published As

Publication number Publication date
CN106130903A (zh) 2016-11-16

Similar Documents

Publication Publication Date Title
CN106130903B (zh) 基于fpga的sdn交换机流表加密方法
CN110324143B (zh) 数据传输方法、电子设备及存储介质
US9674157B2 (en) Secure network communication
Zielińska et al. Trends in steganography
WO2019047062A1 (zh) 防dpa攻击的加密方法及计算机可读存储介质
US10986128B1 (en) Honeypot opaque credential recovery
White et al. An investigation into some security issues in the DDS messaging protocol
CN109495583A (zh) 一种基于主机特征混淆的数据安全交互方法
US8910281B1 (en) Identifying malware sources using phishing kit templates
CN109039997B (zh) 密钥获得方法、装置及系统
CN114584359B (zh) 安全诱捕方法、装置和计算机设备
JP2017532916A (ja) Rdpデータ収集装置及び方法
JP2019519176A5 (zh)
CN106161437A (zh) 一种基于ElGamal的高效的可搜索公钥加密方案
CN105357665A (zh) 手机的敏感数据的加密方法和基于其的离线解密方法
WO2020248906A1 (zh) 智融标识网络的安全数据传输方法和装置
EP3718284B1 (en) Extending encrypted traffic analytics with traffic flow data
EP3688959B1 (en) System for securing deployed security cameras
US20140289524A1 (en) Methods and apparatuses for reducing or eliminating unauthorized access to tethered data
WO2016109404A1 (en) System and method of authenticating a live video stream
JP2012175296A (ja) 通信分類装置及び方法
CN105681027A (zh) Hsm加密信息同步实现方法、装置和系统
CN114124572A (zh) 基于单向网络的数据传输方法、装置、设备和介质
CN104484153A (zh) 一种应用层获取真随机数的方法
CN105426704B (zh) 一种基于网络通信实现计算机软件保护的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20161116

Assignee: Guangxi Boyan Technology Co.,Ltd.

Assignor: GUILIN University OF ELECTRONIC TECHNOLOGY

Contract record no.: X2022450000542

Denomination of invention: Stream Table Encryption Method of SDN Switch Based on FPGA

Granted publication date: 20190312

License type: Common License

Record date: 20221229

EE01 Entry into force of recordation of patent licensing contract
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20190312