CN106130903B - 基于fpga的sdn交换机流表加密方法 - Google Patents
基于fpga的sdn交换机流表加密方法 Download PDFInfo
- Publication number
- CN106130903B CN106130903B CN201610538471.7A CN201610538471A CN106130903B CN 106130903 B CN106130903 B CN 106130903B CN 201610538471 A CN201610538471 A CN 201610538471A CN 106130903 B CN106130903 B CN 106130903B
- Authority
- CN
- China
- Prior art keywords
- flow table
- fpga
- address
- sdn switch
- network data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于FPGA的SDN交换机流表加密方法,通过FPGA对上层控制器下发的流表数据进行加密并以未加密数据中提取的IP地址作为写入地址写入存储器中;对物理端口传输的数据进行采集,根据采集到的IP地址作为读取地址从存储器中读取对应地址数据并解密。本发明可以利用FPGA的并行高速性,在保证数据高速转发的情况下,增加了流表存储的安全性。相比于流水线的查找方式,IP地址映射存储器地址的查找方式又降低了数据的处理时间。
Description
技术领域
本发明属于网络数据处理技术领域,具体涉及一种基于FPGA的SDN交换机流表加密方法。
背景技术
随着互联网、物联网等领域的快速发展,大数据逐渐成为人们关注的焦点,海量的数据处理使得其对网络提出了更高的要求,传统的网络以及难以满足其对资源的需求。
SDN(软件定义网络)将转发与控制分离,一方面进行灵活控制,另一方面进行快速转发。我们可以将流表通过控制器下发至SDN交换机中并存储在特定存储器中,而该存储器不具有安全性,任何人都可以读取和修改存储器流表内容,很容易被人植入病毒以窃取各种信息,甚至恶意攻击。
发明内容
本发明所要解决的技术问题是现有SDN交换机中的存储器易被读取和修改的问题,提供一种基于FPGA的SDN交换机流表加密方法。
为解决上述问题,本发明是通过以下技术方案实现的:
一种基于FPGA的SDN交换机流表加密方法,包括如下步骤:
步骤1、上层控制器通过控制协议将指定流表下发至FPGA中;
步骤2、FPGA提取流表中的IP地址,并通过预定的加密算法对流表进行加密;再以流表所提取到的IP地址作为寻址地址,将对应的流表密文写入SDN交换机的存储器中;
步骤3、FPGA对客户机发送的网络数据流进行网络数据的采集,并对网络数据进行特征的提取;
步骤4、FPGA以流表所提取到的IP地址作为寻址地址从存储器中读出加密的流表;
步骤5、FPGA对从存储器中读出的密文进行解密,并将解密后的流表与步骤3的网络数据中所提取的特征信息进行匹配;
步骤6、对于步骤3的网络数据的转发与否取决于步骤5中的匹配结果;若完全匹配,则转发步骤3中客户机发送的网络数据;否则,丢弃该网络数据,并将该网络数据中的目的MAC地址转发至上层控制器,上层控制器将其加入编号标签,设置生存时间,封装成ARP请求报文,通过SDN交换机进行ARP请求报文广播;
步骤7、SDN交换机若收到ARP请求报文应答,则提取该ARP请求报文中的特征信息并上传上层控制器;
步骤8、上层控制器收到特征信息,封装成流表后下发至FPGA,并返回步骤2。
上述步骤2中,加密算法为AES加密算法。
上述步骤2中,流表所提取到的IP地址通过Hash运算映射后,形成寻址地址。
与现有技术相比,本发明可以利用FPGA的并行高速性,在保证数据高速转发的情况下,增加了流表存储的安全性。相比于流水线的查找方式,IP地址映射存储器地址的查找方式又降低了数据的处理时间。
附图说明
图1为一种基于FPGA的SDN交换机流表加密方法的总体流程图。
图2为AES算法的总体流程。
具体实施方式
下面以NetMagic为例对本发明进行进一步详细说明,需要说明的是:实施例中的参数并不影响本发明的一般性。
一种基于FPGA的SDN交换机流表加密方法,如图1所示,其具体步骤包含如下:
步骤S1、上位机将指定流表通过nmac协议下载至内部FPGA中。
步骤S2、FPGA通过对流表的提取得到IP地址,然后通过AES加密算法对收到的流表进行加密,具体加密过程如图2所示,IP地址通过Hash运算映射成26位DDR2写入地址,并将对应的流表密文写入该地址当中。
步骤S3、FPGA对客户机发送的数据流在rx_tx_1000模块中进行数据的采集,并对数据进行特征的提取。
步骤S4、FPGA将所提取到的IP地址作Hash运算映射成26位DDR2读取地址从DDR2中读出加密的流表。
步骤S5、FPGA对从DDR2中读出的加密流表进行解密并与数据包中提取的特征信息匹配。
步骤S6、对于步骤3中的数据转发与否取决于步骤5中的匹配结果,若完全匹配则转发,否则丢弃并将目的MAC地址转发至NetMagic控制器,控制器对其加入编号标签,设置生存时间,封装成ARP请求报文流,通过nmac协议下发至NetMagic进行ARP广播。
步骤S7、若NetMagic收到ARP应答流,则提取特征信息并上传NatMagic控制器。
步骤S8、控制器收到特征信息,封装成流表并下发至FPGA重复步骤S2。
FPGA利用其硬件并行优势,对上层控制器下发的流表数据进行加密并以未加密数据中提取的IP地址作为写入地址写入存储器中;对物理端口传输的数据进行采集,根据采集到的IP地址作为读取地址从存储器中读取对应地址数据并解密。
以上内容是结合具体的优选实施方式对本发明的进一步详细说明,不能认定本发明的具体实施方式仅限于此,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单的推演或替换,都应该视为属于本发明的权利要求书的保护范围。
Claims (3)
1.基于FPGA的SDN交换机流表加密方法,其特征是,包括如下步骤:
步骤1、上层控制器通过控制协议将指定流表下发至FPGA中;
步骤2、FPGA提取流表中的IP地址,并通过预定的加密算法对流表进行加密;再以流表所提取到的IP地址作为寻址地址,将对应的流表密文写入SDN交换机的存储器中;
步骤3、FPGA对客户机发送的网络数据流进行网络数据的采集,并对网络数据进行特征的提取;
步骤4、FPGA以流表所提取到的IP地址作为寻址地址从存储器中读出加密的流表;
步骤5、FPGA对从存储器中读出的密文进行解密,并将解密后的流表与步骤3的网络数据中所提取的特征信息进行匹配;
步骤6、对于步骤3的网络数据的转发与否取决于步骤5中的匹配结果;若完全匹配,则转发步骤3中客户机发送的网络数据;否则,丢弃该网络数据,并将该网络数据中的目的MAC地址转发至上层控制器,上层控制器将其加入编号标签,设置生存时间,封装成ARP请求报文,通过SDN交换机进行ARP请求报文广播;
步骤7、SDN交换机若收到ARP请求报文应答,则提取该ARP请求报文中的特征信息并上传上层控制器;
步骤8、上层控制器收到特征信息,封装成流表后下发至FPGA,并返回步骤2。
2.根据权利要求1所述基于FPGA的SDN交换机流表加密方法,其特征是,步骤2中,加密算法为AES加密算法。
3.根据权利要求1所述基于FPGA的SDN交换机流表加密方法,其特征是,步骤2中,流表所提取到的IP地址通过Hash运算映射后,形成寻址地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610538471.7A CN106130903B (zh) | 2016-07-08 | 2016-07-08 | 基于fpga的sdn交换机流表加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610538471.7A CN106130903B (zh) | 2016-07-08 | 2016-07-08 | 基于fpga的sdn交换机流表加密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106130903A CN106130903A (zh) | 2016-11-16 |
| CN106130903B true CN106130903B (zh) | 2019-03-12 |
Family
ID=57283007
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610538471.7A Active CN106130903B (zh) | 2016-07-08 | 2016-07-08 | 基于fpga的sdn交换机流表加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106130903B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360161A (zh) * | 2017-07-12 | 2017-11-17 | 济南浪潮高新科技投资发展有限公司 | 一种sdn流表下发系统及方法 |
| CN107276898B (zh) * | 2017-08-02 | 2021-06-29 | 桂林电子科技大学 | 一种基于fpga的最短路由实现方法 |
| CN109617776A (zh) * | 2018-12-20 | 2019-04-12 | 桂林电子科技大学 | 基于分布式散列表的软件定义网络控制器的方法及系统 |
| CN113595793B (zh) * | 2021-07-30 | 2023-11-07 | 桂林电子科技大学 | 基于fpga的sdn网络策略一致性的分段验证方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457952A (zh) * | 2013-09-05 | 2013-12-18 | 杭州华三通信技术有限公司 | 一种基于加密引擎的IPSec处理方法和设备 |
| CN104283742A (zh) * | 2014-11-05 | 2015-01-14 | 桂林电子科技大学 | 基于fpga的网络数据包过滤方法 |
| CN105721317A (zh) * | 2016-02-25 | 2016-06-29 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的数据流加密方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10375043B2 (en) * | 2014-10-28 | 2019-08-06 | International Business Machines Corporation | End-to-end encryption in a software defined network |
-
2016
- 2016-07-08 CN CN201610538471.7A patent/CN106130903B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457952A (zh) * | 2013-09-05 | 2013-12-18 | 杭州华三通信技术有限公司 | 一种基于加密引擎的IPSec处理方法和设备 |
| CN104283742A (zh) * | 2014-11-05 | 2015-01-14 | 桂林电子科技大学 | 基于fpga的网络数据包过滤方法 |
| CN105721317A (zh) * | 2016-02-25 | 2016-06-29 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的数据流加密方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106130903A (zh) | 2016-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106130903B (zh) | 基于fpga的sdn交换机流表加密方法 | |
| CN110324143B (zh) | 数据传输方法、电子设备及存储介质 | |
| US9674157B2 (en) | Secure network communication | |
| Zielińska et al. | Trends in steganography | |
| US20170364691A1 (en) | Method and System for Controlling Encryption of Information and Analyzing Information as well as Terminal | |
| CN103136458A (zh) | 一种Linux操作系统的代码保护方法及其模块 | |
| CN102867136A (zh) | 一种带指纹特征的二代身份证验证系统 | |
| White et al. | An investigation into some security issues in the DDS messaging protocol | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| CN109450642A (zh) | 网络密文数据的处理方法和装置 | |
| CN109039997B (zh) | 密钥获得方法、装置及系统 | |
| CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
| CN108848413A (zh) | 视频的防重放攻击系统、方法、装置及存储介质 | |
| US10986128B1 (en) | Honeypot opaque credential recovery | |
| WO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 | |
| Yin et al. | DR-SNBot: a social network-based botnet with strong destroy-resistance | |
| JP2017532916A (ja) | Rdpデータ収集装置及び方法 | |
| McLaren et al. | Decrypting live SSH traffic in virtual environments | |
| EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
| CN113010292A (zh) | 一种对多加密芯片的并发机制调度方法、装置及存储介质 | |
| EP3688959B1 (en) | System for securing deployed security cameras | |
| CN105681027A (zh) | Hsm加密信息同步实现方法、装置和系统 | |
| CN114124572A (zh) | 基于单向网络的数据传输方法、装置、设备和介质 | |
| CN106600754A (zh) | 一种云计算虹膜识别门禁装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20161116 Assignee: Guangxi Boyan Technology Co.,Ltd. Assignor: GUILIN University OF ELECTRONIC TECHNOLOGY Contract record no.: X2022450000542 Denomination of invention: Stream Table Encryption Method of SDN Switch Based on FPGA Granted publication date: 20190312 License type: Common License Record date: 20221229 |