CN106657066A - 一种网络管理平面地址的随机跳变方法及装置 - Google Patents
一种网络管理平面地址的随机跳变方法及装置 Download PDFInfo
- Publication number
- CN106657066A CN106657066A CN201611206262.9A CN201611206262A CN106657066A CN 106657066 A CN106657066 A CN 106657066A CN 201611206262 A CN201611206262 A CN 201611206262A CN 106657066 A CN106657066 A CN 106657066A
- Authority
- CN
- China
- Prior art keywords
- address
- switch
- source
- flow table
- random
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及预防网络信息窃听的技术领域,针对现有技术存在的问题,提供一种网络管理平面地址的随机跳变方法及装置。不必要对源、目的主机固有IP地址和端口进行重新配置。本方法使得地址的跳变具有更高频率以及地址更加难以预测的特点,从而使得网络的两项属性——网络节点地址、端口不断发生变化,提升了网络攻击的复杂度和花费,降低网络被成功攻击的风险。本发明控制器遍历路由上所有交换机,向每台交换机下发流表;所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作,通过IP地址在传输路径上的不断跳变,完成源主机与目的主机之间的数据传递。
Description
技术领域
本发明涉及预防网络信息窃听的技术领域,尤其是一种网络管理平面地址的随机跳变方法及装置。
背景技术
作为一项可有效预防网络信息窃听的技术,网络安全领域对地址和端口跳变技术的研究愈发深入。地址和端口跳变是指网络节点拥有随机变化本身地址和端口,或者地址和端口在传输过程中不断变化的能力。
在地址、端口跳变技术研究方面,目前出现了包括APOD,DyNAT和NASR等在内的研究成果,APOD使用基于地址和端口随机的“跳变隧道”伪装目标主机,在IP地址跳变过程中需要客户端与服务器端的协作;DyNAT提供一种在数据包进入核心网或公共网之前进行IP变化的机制,以避免中间人攻击;NASR是一种LAN级别的基于DHCP更新的网络地址随机跳变策略,用以防范Hitlist worms攻击。另外,Ehab Al-Shaer等人提出了一种具有高速变化和难以预测特性的IP地址变化技术,简称RHM(Random Host Mutation),RHM需要通过增添中心式的实体Moving Target Controller和分布式实体Moving Target Gateway来进行实际地址rIP和虚拟地址vIP的转变。之后,Ehab Al-Shaer等人在RHM的基础上结合新出现的OpenFlow技术对RHM作了进一步地改进,得到OF-RHM(OpenFlow Random Host Mutation)模型,相对于RHM,OF-RHM由于SDN灵活的基础架构可以更为有效以及以更小的处理开销开发和管理主机地址随机跳变功能。
其中,APOD,DyNAT和NASR等技术均没有提供一种无需改变终端主机配置即可防范内外部侦听攻击的IP跳变机制;而RHM和OF-RHM技术通过控制器维护的实际地址到虚拟地址的映射,在通信过程中实现了一次性地地址跳变,并没有在数据传输过程中实现IP地址的多次可变。
发明内容
本发明所要解决的技术问题是:针对现有技术存在的问题,提供一种网络管理平面地址的随机跳变方法及装置。不必要对源、目的主机固有IP地址和端口进行重新配置。相比于上述RHM模型和OF-RHM模型,本模型将地址、端口跳变的过程从主机终端迁移到数据传输的路径上,在数据流经过每一跳交换机后,包头的地址、端口均会发生随机变化,而在OF-RHM模型中,地址从rIP(实际IP)与vIP(虚拟IP)之间的变化发生在第一跳OpenFlow交换机和最后一跳OpenFlow交换机,相比上述两种模型,本模型可以使得地址的跳变具有更高频率以及地址更加难以预测的特点,从而使得网络的两项属性——网络节点地址、端口不断发生变化,提升了网络攻击的复杂度和花费,降低网络被成功攻击的风险。
本发明采用的技术方案如下:
一种网络管理平面地址的随机跳变方法包括:
步骤1:控制器根据某一交换机发送PacketIn消息获取主机数据流的包头信息;执行步骤2;
步骤2:控制器根据该主机包头信息的源、目的IP地址判断通信双方主机是否在一个OpenFlow域内;如果不在一个OpenFlow域内,则执行泛洪操作;如果在一个域内,则执行步骤3;
步骤3:控制器根据通信主机的源、目的IP地址从路由引擎获取源、目的主机之间的路由;如果没有可达路由,则执行泛洪操作;如果获取到可用路由,则执行步骤4;
步骤4:控制器根据路由上的交换机数量,假设该路由上交换机数量为n,生成随机IP地址列表,并保存实际源、目的IP地址;随机IP地址列表共n-1项,每项包括随机生成的源、目的IP地址对;
步骤5:控制器遍历路由上所有交换机,向每台交换机下发流表;所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作,通过IP地址在传输路径上的不断跳变,完成源主机与目的主机之间的数据传递。
进一步的,所述OpenFlow域是指一台OpenFlow控制器管辖控制的范围。
进一步的,所述步骤5具体过程是:
步骤51:控制器遍历路由上所有交换机,向未下发流表的交换机下发流表,执行步骤52:
步骤52:若所选路由上交换机是与源主机直接连接的交换机,即首交换机,则下发的流表Match匹配项为匹配实际源、目的IP地址,流表Actions项将更改数据流的源、目的IP为随机IP地址列表的第一项源、目的IP地址对,以及从相应端口转发,然后执行步骤51;
若所选路由上交换机是第i跳交换机,即除过首交换机以及末交换机之外的交换机,则下发流表Match匹配项为匹配随机IP地址列表的第i-1项源、目的IP地址对,流表Actions项将更改数据流的源和目的IP为随机IP地址列表的第i项源、目的IP地址对,以及从相应端口转发,然后执行步骤51;
若所选路由上交换机是与目的主机直接连接的交换机,即末交换机,则下发的流表Match匹配项为匹配随机IP地址列表的第n-1项源、目的IP地址对,流表Actions项将更改数据流的源和目的IP为实际源、目的IP地址,以及从相应端口转发,执行步骤53;
步骤53:通过IP地址在传输路径上的不断跳变,完成源主机与目的主机之间的数据传递。
进一步的,所述当n为4时,源主机IP地址r1、目的主机IP地址为r2;随机IP地址列表分别为v1到v6;v1、v2是第一交换机与第二交换机之间的第一项源、目的IP地址对;v3、v4是第二交换机与第三交换机之间的第二项源、目的IP地址对;v5、v6是第三交换机与第四交换机之间的第三项源、目的IP地址对;
控制器Controller向第一交换机、第二交换机、第三交换机、第四交换机分别下发流表;各个交换机下发的流表内容如下:
第一级交换机下发流表Match项为匹配源IP地址为r1、目的IP地址为r2的数据流,Actions项为执行修改源地址为v1、目的地址为v2,并向与第二交换机连接的端口转发的动作;
第二交换机下发流表Match项为匹配源IP地址为v1、目的IP地址为v2的数据流,Actions项为执行修改源地址为v3、目的地址为v4,并向与第三交换机连接的端口转发的动作;
第三交换机下发流表Match项为匹配源IP地址为v3、目的IP地址为v4的数据流,Actions项为执行修改源地址为v5、目的地址为v6,并向与第四交换机连接的端口转发的动作;
第四交换机下发流表Match项为匹配源IP地址为v5、目的IP地址为v6的数据流,Actions项为执行修改源地址为r1、目的地址为r2,并向与目的主机H2连接的端口转发的动作。
一种网络管理平面地址的随机跳变装置包括:
控制器,用于根据某一交换机发送PacketIn消息获取主机数据流的包头信息;然后根据该主机包头信息的源、目的IP地址判断通信双方主机是否在一个OpenFlow域内;如果不在一个OpenFlow域内,则执行泛洪操作;如果在一个域内,则控制器根据通信主机的源、目的IP地址从路由引擎获取源、目的主机之间的路由;如果没有可达路由,则执行泛洪操作;如果获取到可用路由,则控制器根据路由上的交换机数量,假设该路由上交换机数量为n,生成随机IP地址列表,并保存实际源、目的IP地址;随机IP地址列表共n-1项,每项包括随机生成的源、目的IP地址对;控制器遍历路由上所有交换机,向每台交换机下发流表;
所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作,通过IP地址在传输路径上的不断跳变,完成源主机与目的主机之间的数据传递。
进一步的,所述OpenFlow域是指一台OpenFlow控制器管辖控制的范围。
进一步的,所述控制器遍历路由上所有交换机,向每台交换机下发流表;所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作,通过IP地址在随机IP地址列表上的跳变具体过程是:
控制器遍历路由上所有交换机,向未下发流表的交换机下发流表;
然后若所选路由上交换机是与源主机直接连接的交换机,即首交换机,则下发的流表Match匹配项为匹配实际源、目的IP地址,流表Actions项将更改数据流的源、目的IP为随机IP地址列表的第一项源、目的IP地址对,以及从相应端口转发,然后控制器遍历路由上所有交换机,向未下发流表的交换机下发流表;
若所选路由上交换机是第i跳交换机,即除过首交换机以及末交换机之外的交换机,则下发流表Match匹配项为匹配随机IP地址列表的第i-1项源、目的IP地址对,流表Actions项将更改数据流的源和目的IP为随机IP地址列表的第i项源、目的IP地址对,以及从相应端口转发,然后控制器遍历路由上所有交换机,向未下发流表的交换机下发流表;
若所选路由上交换机是与目的主机直接连接的交换机,即末交换机,则下发的流表Match匹配项为匹配随机IP地址列表的第n-1项源、目的IP地址对,流表Actions项将更改数据流的源和目的IP为实际源、目的IP地址,以及从相应端口转发,通过IP地址在随机IP地址列表上的跳变。
进一步的,所述当n为4时,源主机IP地址r1、目的主机IP地址为r2;随机IP地址列表分别为v1到v6;v1、v2是第一交换机与第二交换机之间的第一项源、目的IP地址对;v3、v4是第二交换机与第三交换机之间的第二项源、目的IP地址对;v5、v6是第三交换机与第死交换机之间的第三项源、目的IP地址对;
控制器Controller向第一交换机、第二交换机、第三交换机、第四交换机分别下发流表;各个交换机下发的流表内容如下:
第一级交换机下发流表Match项为匹配源IP地址为r1、目的IP地址为r2的数据流,Actions项为执行修改源地址为v1、目的地址为v2,并向与第二交换机连接的端口转发的动作;
第二交换机下发流表Match项为匹配源IP地址为v1、目的IP地址为v2的数据流,Actions项为执行修改源地址为v3、目的地址为v4,并向与第三交换机连接的端口转发的动作;
第三交换机下发流表Match项为匹配源IP地址为v3、目的IP地址为v4的数据流,Actions项为执行修改源地址为v5、目的地址为v6,并向与第四交换机连接的端口转发的动作;
第四交换机下发流表Match项为匹配源IP地址为v5、目的IP地址为v6的数据流,Actions项为执行修改源地址为r1、目的地址为r2,并向与目的主机H2连接的端口转发的动作。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
本发明旨在提升网络数据传输过程中的安全性,通过地址和端口等网络参数在数据传输过程中不断变化的方式隐藏数据流,对于网路中存在的数据窃听、嗅探、信息篡改、中间人攻击等恶意网络攻击方式有着较强的抵抗能力。通过仿真实验验证,本发明可有效提升网络攻击的复杂度和花费,降低网络被成功攻击的风险。
本发明一种在SDN网络架构下,利用SDN下的一种名为OpenFlow协议实现了一种网络地址和端口跳变的方法。本专利的目的是为了提升网络通信过程中的安全性,对于网络窃听等攻击具有较强的防御作用。创新点主要可认为是以网络地址、端口等属性在传输过程中的跳变预防网络嗅探、窃听等攻击的这种思路。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是本发明地址跳变具体流程图。
图2是本发明地址跳变过程示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本发明相关说明:
1、源、目的IP地址对指的是源IP地址与目的IP地址形成的一对信息值。
2、路由引擎指的是一种实现路由寻找的功能模块。
PacketIn消息是交换机接收到某一主机的数据流,但是无匹配流表而向控制器上报的请求解析消息。
关于流表与随机IP地址列表的说明:
随机IP地址列表是本专利定义的控制器维护的针对一对通信主机或终端的数据结构,包含n-1项(n是路由上的交换机数量),每一项有两个值,分别是源、目的IP地址值,第一列的数字只是表示项数(即该项是表中第几项)。流表是OpenFlow协议定义的由控制器发送给交换机,交换机维护的一种数据结构,包括几个部分:Match Fields(匹配项)、Counters(计数器)、Instructions(执行指令)、Priority(优先级)、Timeout(超时)。交换机根据匹配项匹配数据流,比如具有相同源IP地址的数据包可看做一条数据流,具有相同目的MAC地址和VLAN ID的数据包看作另一条数据流,一条流表就对应一条数据流(这也是为什么这个东西叫流表,这个匹配规则可根据图中最下面一行的参数可以自己定义);计数器维护了一些计数信息;执行指令就是Actions,包括输出、丢弃、重设包头信息(set-field)等动作,本专利主要是依靠Set-Field动作实现地址和端口等信息的变化;Priority是数据流的优先级等级;timeout是超时信息,指示该流表何时失效。
实施例一:
当主机H1向主机H2发送消息时,经过如下的过程实现传输过程中的地址跳变。
1)主机H1通过某种方式预先获知主机H2的IP地址后,组包向主机H2发送信息,该数据流首先到达与主机H1相连的交换机Switch1;
2)交换机Switch1收到该数据流的第一个数据包时,查找流表,由于是第一次接收到该流,故没有匹配的流表。交换机Switch1会将该流的信息(源、目的IP地址,端口等)提取组成PacketIn消息发往控制器Controller;
3)控制器Controller根据交换机Switch1发送的PacketIn消息获取该数据流的包头等信息;
4)控制器Controller根据包头的源、目的IP地址判断通信双方主机在一个OpenFlow域内(图中可知主机所连的交换机均与控制器Controller相连);
5)控制器Controller根据主机的源、目的IP地址(即r1和r2)从路由引擎获取源、目的主机之间的路由,本例中按最短路由策略获取到路由为H1—Switch1—Switch2—Switch3—Switch4—H2;
6)控制器Controller根据交换机数量生成随机IP地址列表,本例路由上共4台交换机,故列表共有3项内容,图2中随机IP地址列表中可看出随机IP地址分别为v1-v6;
7)控制器Controller向Switch1、Switch2、Switch3、Switch4分别下发流表。各个交换机下发的流表内容如下:
a)交换机Switch1下发流表Match项为匹配源IP地址为r1、目的IP地址为r2的数据流,Actions项为执行修改源地址为v1、目的地址为v2,并向与Switch2连接的端口转发的动作;
b)交换机Switch2下发流表Match项为匹配源IP地址为v1、目的IP地址为v2的数据流,Actions项为执行修改源地址为v3、目的地址为v4,并向与Switch3连接的端口转发的动作;
c)交换机Switch3下发流表Match项为匹配源IP地址为v3、目的IP地址为v4的数据流,Actions项为执行修改源地址为v5、目的地址为v6,并向与Switch4连接的端口转发的动作;
d)交换机Switch4下发流表Match项为匹配源IP地址为v5、目的IP地址为v6的数据流,Actions项为执行修改源地址为r1、目的地址为r2,并向与主机H2连接的端口转发的动作;
8)流表下发之后,路由上各个交换机根据流表对该数据流执行相应动作,以致图2中所示数据包经过每一跳交换机之后,源、目的IP(图中为SrcIP、DstIP)均会发生变化,达到IP地址发生跳变的功能。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (8)
1.一种网络管理平面地址的随机跳变方法,其特征在于包括:
步骤1:控制器根据某一交换机发送PacketIn消息获取主机数据流的包头信息;执行步骤2;
步骤2:控制器根据该主机包头信息的源、目的IP地址判断通信双方主机是否在一个OpenFlow域内;如果不在一个OpenFlow域内,则执行泛洪操作;如果在一个域内,则执行步骤3;
步骤3:控制器根据通信主机的源、目的IP地址从路由引擎获取源、目的主机之间的路由;如果没有可达路由,则执行泛洪操作;如果获取到可用路由,则执行步骤4;
步骤4:控制器根据路由上的交换机数量,假设该路由上交换机数量为n,生成随机IP地址列表,并保存实际源、目的IP地址;随机IP地址列表共n-1项,每项包括随机生成的源、目的IP地址对;
步骤5:控制器遍历路由上所有交换机,向每台交换机下发流表;所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作,通过IP地址在传输路径上的不断跳变,完成源主机与目的主机之间的数据传递。
2.根据权利要求1所述的一种网络管理平面地址的随机跳变方法,其特征在于所述OpenFlow域是指一台OpenFlow控制器管辖控制的范围。
3.根据权利要求1所述的一种网络管理平面地址的随机跳变方法,其特征在于所述步骤5具体过程是:
步骤51:控制器遍历路由上所有交换机,向未下发流表的交换机下发流表,执行步骤52:
步骤52:若所选路由上交换机是与源主机直接连接的交换机,即首交换机,则下发的流表Match匹配项为匹配实际源、目的IP地址,流表Actions项将更改数据流的源、目的IP为随机IP地址列表的第一项源、目的IP地址对,以及从相应端口转发,然后执行步骤51;
若所选路由上交换机是第i跳交换机,即除过首交换机以及末交换机之外的交换机,则下发流表Match匹配项为匹配随机IP地址列表的第i-1项源、目的IP地址对,流表Actions项将更改数据流的源和目的IP为随机IP地址列表的第i项源、目的IP地址对,以及从相应端口转发,然后执行步骤51;
若所选路由上交换机是与目的主机直接连接的交换机,即末交换机,则下发的流表Match匹配项为匹配随机IP地址列表的第n-1项源、目的IP地址对,流表Actions项将更改数据流的源和目的IP为实际源、目的IP地址,以及从相应端口转发,执行步骤53;
步骤53:通过IP地址在传输路径上的不断跳变,完成源主机与目的主机之间的数据传递。
4.根据权利要求1所述的一种网络管理平面地址的随机跳变方法,其特征在于所述当n为4时,源主机IP地址r1、目的主机IP地址为r2;随机IP地址列表分别为v1到v6;v1、v2是第一交换机与第二交换机之间的第一项源、目的IP地址对;v3、v4是第二交换机与第三交换机之间的第二项源、目的IP地址对;v5、v6是第三交换机与第四交换机之间的第三项源、目的IP地址对;
控制器Controller向第一交换机、第二交换机、第三交换机、第四交换机分别下发流表;各个交换机下发的流表内容如下:
第一级交换机下发流表Match项为匹配源IP地址为r1、目的IP地址为r2的数据流,Actions项为执行修改源地址为v1、目的地址为v2,并向与第二交换机连接的端口转发的动作;
第二交换机下发流表Match项为匹配源IP地址为v1、目的IP地址为v2的数据流,Actions项为执行修改源地址为v3、目的地址为v4,并向与第三交换机连接的端口转发的动作;
第三交换机下发流表Match项为匹配源IP地址为v3、目的IP地址为v4的数据流,Actions项为执行修改源地址为v5、目的地址为v6,并向与第四交换机连接的端口转发的动作;
第四交换机下发流表Match项为匹配源IP地址为v5、目的IP地址为v6的数据流,Actions项为执行修改源地址为r1、目的地址为r2,并向与目的主机H2连接的端口转发的动作。
5.一种网络管理平面地址的随机跳变装置,其特征在于包括:
控制器,用于根据某一交换机发送PacketIn消息获取主机数据流的包头信息;然后根据该主机包头信息的源、目的IP地址判断通信双方主机是否在一个OpenFlow域内;如果不在一个OpenFlow域内,则执行泛洪操作;如果在一个域内,则控制器根据通信主机的源、目的IP地址从路由引擎获取源、目的主机之间的路由;如果没有可达路由,则执行泛洪操作;如果获取到可用路由,则控制器根据路由上的交换机数量,假设该路由上交换机数量为n,生成随机IP地址列表,并保存实际源、目的IP地址;随机IP地址列表共n-1项,每项包括随机生成的源、目的IP地址对;控制器遍历路由上所有交换机,向每台交换机下发流表;
所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作,通过IP地址在传输路径上的不断跳变,完成源主机与目的主机之间的数据传递。
6.根据权利要求5所述的一种网络管理平面地址的随机跳变装置,其特征在于所述OpenFlow域是指一台OpenFlow控制器管辖控制的范围。
7.根据权利要求5所述的一种网络管理平面地址的随机跳变装置,其特征在于所述控制器遍历路由上所有交换机,向每台交换机下发流表;所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作,通过IP地址在传输路径上的不断跳变,完成源主机与目的主机之间的数据传递具体过程是:
控制器遍历路由上所有交换机,向未下发流表的交换机下发流表;
然后若所选路由上交换机是与源主机直接连接的交换机,即首交换机,则下发的流表Match匹配项为匹配实际源、目的IP地址,流表Actions项将更改数据流的源、目的IP为随机IP地址列表的第一项源、目的IP地址对,以及从相应端口转发,然后控制器遍历路由上所有交换机,向未下发流表的交换机下发流表;
若所选路由上交换机是第i跳交换机,即除过首交换机以及末交换机之外的交换机,则下发流表Match匹配项为匹配随机IP地址列表的第i-1项源、目的IP地址对,流表Actions项将更改数据流的源和目的IP为随机IP地址列表的第i项源、目的IP地址对,以及从相应端口转发,然后控制器遍历路由上所有交换机,向未下发流表的交换机下发流表;
若所选路由上交换机是与目的主机直接连接的交换机,即末交换机,则下发的流表Match匹配项为匹配随机IP地址列表的第n-1项源、目的IP地址对,流表Actions项将更改数据流的源和目的IP为实际源、目的IP地址,以及从相应端口转发,通过IP地址在传输路径上的不断跳变,完成源主机与目的主机之间的数据传递。
8.根据权利要求5所述的一种网络管理平面地址的随机跳变装置,其特征在于所述当n为4时,源主机IP地址r1、目的主机IP地址为r2;随机IP地址列表分别为v1到v6;v1、v2是第一交换机与第二交换机之间的第一项源、目的IP地址对;v3、v4是第二交换机与第三交换机之间的第二项源、目的IP地址对;v5、v6是第三交换机与第死交换机之间的第三项源、目的IP地址对;
控制器Controller向第一交换机、第二交换机、第三交换机、第四交换机分别下发流表;各个交换机下发的流表内容如下:
第一级交换机下发流表Match项为匹配源IP地址为r1、目的IP地址为r2的数据流,Actions项为执行修改源地址为v1、目的地址为v2,并向与第二交换机连接的端口转发的动作;
第二交换机下发流表Match项为匹配源IP地址为v1、目的IP地址为v2的数据流,Actions项为执行修改源地址为v3、目的地址为v4,并向与第三交换机连接的端口转发的动作;
第三交换机下发流表Match项为匹配源IP地址为v3、目的IP地址为v4的数据流,Actions项为执行修改源地址为v5、目的地址为v6,并向与第四交换机连接的端口转发的动作;
第四交换机下发流表Match项为匹配源IP地址为v5、目的IP地址为v6的数据流,Actions项为执行修改源地址为r1、目的地址为r2,并向与目的主机H2连接的端口转发的动作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611206262.9A CN106657066B (zh) | 2016-12-23 | 2016-12-23 | 一种网络管理平面地址的随机跳变方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611206262.9A CN106657066B (zh) | 2016-12-23 | 2016-12-23 | 一种网络管理平面地址的随机跳变方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106657066A true CN106657066A (zh) | 2017-05-10 |
CN106657066B CN106657066B (zh) | 2019-07-16 |
Family
ID=58828175
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611206262.9A Active CN106657066B (zh) | 2016-12-23 | 2016-12-23 | 一种网络管理平面地址的随机跳变方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106657066B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110099046A (zh) * | 2019-04-08 | 2019-08-06 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 超融合服务器的网络跳变方法和系统 |
CN110198270A (zh) * | 2019-05-10 | 2019-09-03 | 华中科技大学 | 一种sdn网络中基于路径与ip地址跳变的主动防御方法 |
CN111163062A (zh) * | 2019-12-12 | 2020-05-15 | 之江实验室 | 一种针对交火攻击的多网络地址跳变安全防御方法 |
CN111385228A (zh) * | 2020-02-26 | 2020-07-07 | 天津理工大学 | 一种基于openflow交换机端口混淆的移动目标防御方法 |
CN111629082A (zh) * | 2020-05-29 | 2020-09-04 | 北京吉安金芯信息技术有限公司 | 地址跳变系统、方法、装置、存储介质及处理器 |
CN111884941A (zh) * | 2020-08-03 | 2020-11-03 | 中国人民解放军92941部队 | 一种安全sdn组播系统及其控制方法 |
CN112153044A (zh) * | 2020-09-23 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106060184A (zh) * | 2016-05-11 | 2016-10-26 | 中国人民解放军国防信息学院 | 一种基于三维的ip地址跳变图案生成方法及跳变控制器 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6363473B1 (en) * | 1999-04-01 | 2002-03-26 | Compaq Information Technologies Group, L.P. | Simulated memory stack in a stackless environment |
CN101043430B (zh) * | 2006-06-20 | 2010-12-01 | 华为技术有限公司 | 一种设备之间网络地址转换的方法 |
CN105429957A (zh) * | 2015-11-02 | 2016-03-23 | 芦斌 | 一种基于sdn构架下的ip地址跳变安全通信方法 |
-
2016
- 2016-12-23 CN CN201611206262.9A patent/CN106657066B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106060184A (zh) * | 2016-05-11 | 2016-10-26 | 中国人民解放军国防信息学院 | 一种基于三维的ip地址跳变图案生成方法及跳变控制器 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110099046A (zh) * | 2019-04-08 | 2019-08-06 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 超融合服务器的网络跳变方法和系统 |
CN110099046B (zh) * | 2019-04-08 | 2021-05-11 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 超融合服务器的网络跳变方法和系统 |
CN110198270A (zh) * | 2019-05-10 | 2019-09-03 | 华中科技大学 | 一种sdn网络中基于路径与ip地址跳变的主动防御方法 |
CN111163062A (zh) * | 2019-12-12 | 2020-05-15 | 之江实验室 | 一种针对交火攻击的多网络地址跳变安全防御方法 |
CN111385228A (zh) * | 2020-02-26 | 2020-07-07 | 天津理工大学 | 一种基于openflow交换机端口混淆的移动目标防御方法 |
CN111385228B (zh) * | 2020-02-26 | 2022-02-18 | 天津理工大学 | 一种基于openflow交换机端口混淆的移动目标防御方法 |
CN111629082A (zh) * | 2020-05-29 | 2020-09-04 | 北京吉安金芯信息技术有限公司 | 地址跳变系统、方法、装置、存储介质及处理器 |
CN111629082B (zh) * | 2020-05-29 | 2022-08-09 | 北京吉安金芯信息技术有限公司 | 地址跳变系统、方法、装置、存储介质及处理器 |
CN111884941A (zh) * | 2020-08-03 | 2020-11-03 | 中国人民解放军92941部队 | 一种安全sdn组播系统及其控制方法 |
CN112153044A (zh) * | 2020-09-23 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
Also Published As
Publication number | Publication date |
---|---|
CN106657066B (zh) | 2019-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106657066A (zh) | 一种网络管理平面地址的随机跳变方法及装置 | |
CN105337857B (zh) | 一种基于软件定义网络的多路径传输方法 | |
CN105357046B (zh) | 一种用于软件定义网络sdn的网络信息探测的方法 | |
CN104468358B (zh) | 分布式虚拟交换机系统的报文转发方法及设备 | |
CN104243270B (zh) | 一种建立隧道的方法和装置 | |
CN105376154B (zh) | 渐进式mac地址学习 | |
CN104901890B (zh) | 一种sdn的路由生成、匹配方法和系统 | |
CN103947160B (zh) | 通过基于trill的网络承载fcoe帧的方法 | |
CN104285416B (zh) | 在存储区域网络中端接覆盖隧道的虚拟路由器 | |
CN104660582B (zh) | DDoS识别、防护和路径优化的软件定义的网络架构 | |
CN104283791B (zh) | 一种sdn网络中的三层拓扑确定方法和设备 | |
CN104184708B (zh) | Evi网络中抑制mac地址攻击的方法及边缘设备ed | |
CN106936777A (zh) | 基于OpenFlow的云计算分布式网络实现方法、系统 | |
CN107835199A (zh) | 适于解决网络安全的sdn系统的工作方法 | |
CN105207950B (zh) | 一种基于sdn技术的通信数据保护方法 | |
CN109067758A (zh) | 一种基于多路径的sdn网络数据传输隐私保护系统及其方法 | |
CN104852855B (zh) | 拥塞控制方法、装置及设备 | |
CN104601461B (zh) | 一种纵向智能弹性架构系统中的报文转发方法及装置 | |
CN104092684B (zh) | 一种OpenFlow协议支持VPN的方法及设备 | |
CN105450447B (zh) | 一种网络系统及网络运行方法 | |
CN106921572A (zh) | 一种传播QoS策略的方法、装置及系统 | |
Peng et al. | A novel hybrid routing forwarding algorithm in SDN enabled wireless mesh networks | |
Hollick et al. | Toward a taxonomy and attacker model for secure routing protocols | |
CN103746920B (zh) | 一种基于网闸实现数据传输的方法 | |
CN108965252A (zh) | 一种基于OpenFlow的网络层移动目标防御方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |