CN113810404A - 一种基于sdn网络的网络全视图变换动态防御系统及方法 - Google Patents
一种基于sdn网络的网络全视图变换动态防御系统及方法 Download PDFInfo
- Publication number
- CN113810404A CN113810404A CN202111078037.2A CN202111078037A CN113810404A CN 113810404 A CN113810404 A CN 113810404A CN 202111078037 A CN202111078037 A CN 202111078037A CN 113810404 A CN113810404 A CN 113810404A
- Authority
- CN
- China
- Prior art keywords
- user
- network
- hopping
- sdn
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 38
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000009466 transformation Effects 0.000 title claims abstract description 22
- 238000004891 communication Methods 0.000 claims abstract description 19
- 238000012795 verification Methods 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 3
- 230000009191 jumping Effects 0.000 abstract description 17
- 230000006872 improvement Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SDN网络的网络全视图变换动态防御系统及方法,该系统包括跳变地址生成模块,生成网络跳变地址;跳变全周期管控模块,对网络地址跳变频率进行管控;跳变部署模块,接收跳变地址生成模块和跳变全周期管控模块的通信数据,为每个节点分配具体的虚拟IP和跳变周期;网络通信模块,用于网络通信。该系统能有效减少跳变端信息选取的重复性和冲突,提高跳变的不可预测性,减小跳变的网络开销。
Description
技术领域
本发明属于计算机网络安全领域,尤其涉及一种基于SDN(软件定义网络)的网络全视图变换动态防御系统及方法。
背景技术
研究表明,网络攻击者有95%的时间用于收集目标网络信息并策划攻击方法。因此,网络扫描作为各种攻击手段的先导技术和初始阶段,为网络攻击的有效实施发挥着不可替代的作用。虽然现有防御方法已经发展的相当成熟,但是认知的局限性使防御方难以发掘所有的脆弱性信息;机制的固定性使传统防御方法难以抵挡攻击方离线阶段的持续侦测和长期分析,端节点信息,即IP地址和端口信息,作为网络攻击面的有机组成部分和网络扫描的主要对象,成为了亟需被防护的重要网络属性。随着网络扫描技术的不断发展,扫描攻击针对不同网络信息系统结构特点采用不同的扫描策略,极大地提高了攻击的有效性。另一方面,现有网络信息系统确定性和静态性的特征降低了攻击者实施扫描的难度。因此,网络扫描技术的“先进性”和实施策略的“针对性”与现有网络架构的“静态性”和信息系统的“确定性”不仅使得传统安全防御方式难以胜任新型威胁,更加剧了网络攻防双方地位的不对称。
由于SDN网络具有逻辑控制与数据转发相分离的特性,这为解决分布式路由难以有效协同管理的问题带来了新思路。基于SDN的网络跳变可动态修改跳变周期和跳变规则,可有效提高网络跳变的可管理性。SDNA通过在每个子网内部署一个超级管理节点将实际IP地址转换为虚拟IP地址,实现对端节点的虚拟跳变,以防止外部攻击者对内部网络节点的扫描。然而每个端节点在建立链接时都要流经对应子网内的管理节点进行身份认证和地址转换,极大增加了管理节点的负载和跳变的实施成本,降低了跳变的可用性。OF-RHM是一种基于OpenFlow的IP转换机制,通过每次会话时将实际IP转换虚拟IP实现端地址跳变。该方法通过形式化描述选取IP所需满足的约束,在此基础上利用平均概率或者权值的方法选取跳变的IP地址实施跳变。然而,OF-RHM中每个子网内的端节点跳变周期是相同的,极大地限制了网络跳变的随机性。Qiang等人提出了基于OpenFlow的重定向跳变方法,通过增加额外的交换代理将可信的正常用户和可疑用户进行区分,并在此基础上通过交换代理动态迁移抵御DDoS攻击。Wang等人则提出了一种基于嗅探反射器的恶意侦测防御方法。它基于SDN构造影子网络,通过反馈随机生成的目标网络信息迷惑攻击者,从而抵御恶意扫描攻击。然而,以上机制由于仅实施了空间跳变,当攻击者改变扫描频度对目标系统进行跟随扫描时,其跳变的有效性会随之大幅下降。针对该问题,Jafarian等人提出了一种时空混合随机跳变(Spatial and Temporal-Random Host Mutation,ST-RHM)机制,它基于SDN架构在地址空间跳变的基础上加入时域随机跳变,从而通过时间-空间二维混合跳变以抵御协同扫描。
现有的基于SDN网络的动态防御系统存在以下问题:
1)由于跳变的选址空间有限,极易存在选址重复的问题:由于网络空间地址的有限,在不同端节点随机选取跳变端信息时极易存在选取存在重复或者发生冲突的情况。因此,如何在保证跳变端信息选取随机性的同时,防止跳变端信息选取的重复性和冲突。
2)由于有限跳变空间和固定的跳变周期,导致跳变防御有效性差:网络跳变中可选攻击面维度和取值范围的有限性,导致跳变不可预测性降低;与此同时,跟随扫描策略可通过变换扫描频率实现端信息跟踪,导致跳变时效性差。因此,如何提高网络跳变的不可预测性和时效性成为了跳变防御是否有效的关键。
3)由于跳变实施缺乏约束且部署复杂度高,导致网络跳变防御的可用性和扩展性差:网络跳变的成本主要包括性能消耗和管理成本。跳变实施增加的网络性能开销是导致跳变可用性差的关键要素。与此同时,随着网络规模的增加,如何高效部署成为了制约网络跳变实施的关键瓶颈之一。因此,如何保证跳变机制的可用性和可扩展性成为了跳变防御能否有效实施的保障。
发明内容
有鉴于此,本发明提供一种基于SDN网络的网络全视图变换动态防御系统及方法,旨在减少跳变端信息选取的重复性和冲突,提高跳变的不可预测性,减小跳变的网络开销。
为解决以上技术问题,本发明的技术方案为:一种基于SDN网络的网络全视图变换动态防御方法,包括:对来访用户进行身份验证,若验证通过,则接收用户私钥索引;根据私钥索引提取跳变地址选取范围和跳变周期;在跳变地址选取范围内生成虚拟IP,并将生成的虚拟IP赋予来访用户;接收用户请求报文;验证来访用户的虚拟IP有效性,若验证通过,则将虚拟IP赋予用户欲访问的网络服务资源,并将加密后的网络服务资源列表发送至用户;若用户安全等级高于网络服务资源列表的安全等级,则该用户能够解密该网络服务资源列表,并通过网络服务资源的虚拟IP向该网络服务资源发送请求报文;若用户安全等级低于网络服务资源列表的安全等级,则该用户无法解密该网络服务资源列表;依据请求报文生成流表并下发至SDN交换机;
SDN交换机依据流表进行数据转发。
作为一种改进,所述对来访用户进行身份验证包括:对合法用户身份进行注册,并保存用户信息;若用户第一次访问目标服务节点,当用户在接入网络时发送用户属性信息报文;接收边缘SDN交换机上报的用户属性信息报文并进行身份验证,若身份验证失败则生成流表并将该流表下发至边缘SDN交换机,SDN交换机依据流表丢弃所有该用户此次发送的会话数据;若用户拒绝验证则降低该用户安全等级,并接收边缘SDN交换机发送的用户节点的端节点属性信息;解析端节点属性信息,抽取用户的身份标识ID;将抽取出的用户身份标识ID与保存的用户信息进行对比,并根据用户身份是否为注册用户改变网络视图变换频率;重新进行身份验证。
作为一种优选,所述对来访用户进行身份验证包括:若用户拒绝身份验证的次数超过预设值则将用户IP地址纳入黑名单。
作为一种优选,所述对来访用户进行身份验证包括:若用于身份验证失败的次数超过预设值则阻断该链接。
作为一种改进,所述在跳变地址选取范围内生成虚拟IP为利用SM3杂凑算法生成虚拟IP。
作为一种优选,所述加密后的网络服务资源列表为利用CP-ABBE加密的网络服务资源列表。
作为一种改进,所述验证来访用户的虚拟IP有效性包括若用户虚拟IP未通过验证则生成流表并将该流表下发至边缘SDN交换机,SDN交换机依据流表丢弃所有该用户此次发送的会话数据。
本发明还提供一种基于SDN网络的基于SDN网络的网络全视图变换动态防御系统,包括:跳变地址生成模块,生成网络跳变地址;跳变全周期管控模块,对网络地址跳变频率进行管控;跳变部署模块,接收跳变地址生成模块和跳变全周期管控模块的通信数据,为每个节点分配具体的虚拟IP和跳变周期;网络通信模块,用于网络通信。
作为一种改进,还包括用于对所述动态防御系统进行管理的管理平台。
作为一种改进,所述管理平台包括:用户信息管理模块,用于管理注册用户信息;网络资源管理模块,用于管理被保护的网络资源;安全策略管理模块,用于设置网络资源的安全策略;全局视图管理模块,用于管理网络全局视图;端信息跳变管理模块,用于对网络资源节点地址跳变进行管理。
本发明的有益之处在于:
(1)以无检测防御理论为核心,通过虚拟网络全息变换,增加攻击实施的复杂度和成本。
本系统基于无检测防御理论,通过对全网端信息的持续变换实现网络全息变换,从而通过提高网络结构的视在不确定性增加恶意敌手正确识别和准确定位目标节点的难度与成本。
(2)以基于属性的密文访问控制为基础,通过跳变全周期管控,增强防御实施的力度和有效性。
本系统采用基于属性的密文访问控制对用户实施接入认证和可访问资源控制,从而实现对用户的跳变全周期管控。通过用户的身份标识对接入用户进行身份认证,以防止非法接入;通过构建属性信息与安全等级的映射关系,利用基于属性的广播加密算法管控用户的可访问服务资源。从而通过对用户的跳变全周期管控,增强动态防御实施的力度和有效性。
(3)以国密SM3杂凑密码算法为核心,通过基于密码的跳变地址选取,保证跳变端信息的抗碰撞和不可预测性。
利用国密SM3杂凑算法的抗碰撞性和良好随机性,基于国密SM3杂凑算法进行身份选取跳变地址。利用SM3杂凑算法局部范围内快速扩散和混乱的特性实现跳变端信息的随机选取;利用SM3算法的抗碰撞性防止跳变端信息选取过程中出现碰撞冲突。从而在保证端信息可靠选取的同时,最大化跳变端信息的不可预测性。
(4)通过自适应调整跳变端信息与跳变周期,实现对端节点适度保护。
本系统依据等级保护体系,针对不同节点的重要程度设置不同安全等级,将安全等级作为用户属性信息的有机组成。本基于系统安全等级为端节点分配不同大小的跳变地址块和跳变周期,以实现跳变信息的自适应调整,从而达到对端节点适度保护的目标。
(5)采用基于属性的广播加密和流表一致性更新策略,实现全网端节点的高效跳变。
本系统利用SDN网络集中控制的特性,实现对跳变部署的统一管理。通过基于属性的广播加密分发可用跳变地址池,从而降低了跳变地址池分发造成了控制器性能开销。与此同时,通过提出“逆序添加,顺序删除”的流表更新策略,从而防止跳变实施与更新过程中出现瞬态问题。有效实现了对目标网络系统的“低耗能”。
(6)以虚拟映射为依托,通过端信息虚拟变换,实现端节点的透明跳变。
本系统在端节点实际IP地址不变的前提下,通过构建虚拟端信息与实际端信息的映射关系,实现端信息跳变对用户透明的目的。从而在保证地址随机跳变有效性的同时,实现端信息跳变对用户的“零体验”。
附图说明
图1为本发明的网络拓扑结构示意图。
图2为本发明的功能模块原理图。
图3位本发明的流程图。
具体实施方式
为了使本领域的技术人员更好地理解本发明的技术方案,下面结合具体实施方式对本发明作进一步的详细说明。
如图1、图2所示,本发明提供一种基于SDN网络的网络全视图变换动态防御系统包括部署在SDN网络中的总控中心和若干SDN交换机,它基于软件定义网络,采用分层架构实现。总控中心作为动态防御系统的核心,通过SDN控制器获取SDN交换机和端节点信息,从而生成网络全局视图。总控中心具体包括:跳变地址生成模块,生成网络跳变地址;跳变全周期管控模块,对网络地址跳变频率进行管控;跳变部署模块,接收跳变地址生成模块和跳变全周期管控模块的通信数据,为每个节点分配具体的虚拟IP和跳变周期;网络通信模块,用于网络通信。总控中心依托SDN特性实施集中控制,通过基于SM3杂凑算法的跳变地址生成模块、基于密文访问控制的跳变全周期管控模块和基于流表一致性更新的跳变部署模块实现跳变端信息生成、跳变全周期管控和网络视图实时展示。SDN交换机则通过与总控中心交互,实现对端节点和网络状态的收集、上报;以及全网端信息跳变的实施。
另外还安装有对动态防御系统进行管理的管理平台,方便管理员对整个防御系统进行管理。管理平台主要包括以下几个功能模块:用户信息管理模块,用于管理注册用户信息;网络资源管理模块,用于管理被保护的网络资源;安全策略管理模块,用于设置网络资源的安全策略;全局视图管理模块,用于管理网络全局视图;端信息跳变管理模块,用于对网络资源节点地址跳变进行管理。管理平台通过专用端口,利用可视化的方式为管理员提供系统前台管理。
基于SM3的跳变地址生成模块针对跳变地址选取过程中存在的碰撞问题,通过SM3杂凑算法实现跳变地址的无碰撞随机选取。从而在保证跳变可靠性的同时,最大化跳变端信息的不可预测性。基于密文访问控制的跳变全周期管控模块针对跳变参数传输过程中存在的信息泄露和高性能开销,通过基于属性的广播加密算法实现密文访问控制。基于流表一致性更新的跳变部署模块针对跳变实施过程中的瞬态问题,通过采用“逆序添加,顺序删除”的更新策略,保证跳变实施过程中网络通信的不间断,从而有效保证了网络服务质量。网络通信模块则负责总控中心和SDN交换机、综合管理与展示平台的数据通信。
如图3所示,本发明还提供一种基于SDN网络的网络全视图变换动态防御方法,包括以下步骤:
S1在动态防御系统中对合法用户身份进行注册,并保存用户信息;用户信息保存在认证数据库中。
S2若用户第一次访问目标服务节点,当用户在接入网络时发送用户属性信息报文ESM3(ID,S_level,t);
S3网络通信模块接收边缘SDN交换机上报的用户属性信息报文并进行解析。
S4进行身份验证:
S41若身份验证成功则跳转至S5步骤;
S42若身份验证失败则跳变部署模块生成一定优先级的流表并将该流表下发至边缘SDN交换机,SDN交换机依据流表丢弃所有该用户此次发送的会话数据,此次访问结束;若用于身份验证失败的次数超过预设值如5次则阻断该链接。
S43若用户拒绝验证则跳变全周期管控模块降低该用户安全等级,而网络通信模块接收边缘SDN交换机发送的该用户节点的端节点属性信息;
S431网络通信模块解析端节点属性信息,并抽取用户的身份标识ID;
S432跳变全周期管控模块将抽取出的用户身份标识ID与保存的用户信息进行对比,并根据用户身份是否为注册用户改变网络视图变换频率;
S433重新进行身份验证;若用户拒绝身份验证的次数超过预设值如3次则将用户IP地址纳入黑名单,从而拒绝该IP地址的所有访问;
S5用户节点将用户私钥索引发送给总控中心,跳变全周期管控模块则接收用户私钥索引;
S6跳变全周期管控模块根据私钥索引提取跳变地址选取范围和跳变周期;
S7跳变地址生成模块利用SM3杂凑算法在跳变地址选取范围内生成虚拟IP,并将生成的虚拟IP赋予来访用户;
S8若用户需要访问网络服务,则向主控中心发送请求报文,网络通信模块接收用户请求报文;
S9跳变全周期管控模块验证来访用户的虚拟IP有效性,若验证通过,则将虚拟IP赋予用户欲访问的网络服务资源,并将CP-ABBE加密后的网络服务资源列表发送至用户;若验证失败则跳变部署模块生成一定优先级的流表并将该流表下发至边缘SDN交换机,SDN交换机依据流表丢弃所有该用户此次发送的会话数据,此次访问结束;
S10若用户安全等级高于网络服务资源列表的安全等级,则该用户能够解密该网络服务资源列表,并通过网络服务资源的虚拟IP向该网络服务资源发送请求报文;若用户安全等级低于网络服务资源列表的安全等级,则该用户无法解密该网络服务资源列表,此次访问结束;
S11用户可利用自己的虚拟IP地址向主控中心发送请求报文,跳变部署模块依据请求报文生成一定优先级的流表并下发至SDN交换机;
S12 SDN交换机依据流表进行数据转发。
当恶意敌手想要接入网络时,跳变全周期管控模块依据用户上报的属性信息进行身份认证,若用户为恶意敌手,则无法通过身份认证,跳变全周期管控模块将拒止非法接入的终端用户。非注册用户也能以游客身份访问网络服务资源,但游客的安全等级较低,能够访问的网络服务资源有限。
另一方面,当恶意敌手利用主动扫描方式对网络视图进行扫描时,由于被保护的SDN网络部署了动态防御系统,它利用基于SM3杂凑算法的跳变地址生成模块计算端节点的跳变地址,并通过基于流表一致性更新的跳变部署模块实施全网跳变,从而实现目标网络全部节点持续、动态、随机的变换,恶意敌手难以扫描到真实的网络视图结构。与此同时,若恶意敌手截获跳变地址池和跳变周期范围,由于跳变地址池和跳变周期范围采用基于属性的广播加密算法进行数据加密,因此在有效时间内,恶意敌手无法破解该信息,从而保证了跳变的安全性。
对于合法的注册用户,当用户接入网络时,通过上报属性信息进行身份认证。认证通过后总控中心将加密的可用跳变地址池发送给用户节点。用户利用自己的私钥进行解密,并获取跳变地址范围和跳变周期。当用户需要请求访问时,首先利用SM3杂凑算法计算自己的虚拟IP,并发送请求信息。总控中心认证通过后将利用CP-ABBE加密的服务资源列表发送给用户节点,合法用户只能解密与本身安全等级相同或较之更低安全等级的服务资源。总控中心通过对注册用户的接入认证和可访问服务资源列表控制实现对合法用户的跳变全周期管控。
以上仅是本发明的优选实施方式,应当指出的是,上述优选实施方式不应视为对本发明的限制,本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说,在不脱离本发明的精神和范围内,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于SDN网络的网络全视图变换动态防御方法,其特征在于包括:
对来访用户进行身份验证,若验证通过,则接收用户私钥索引;
根据私钥索引提取跳变地址选取范围和跳变周期;
在跳变地址选取范围内生成虚拟IP,并将生成的虚拟IP赋予来访用户;
接收用户请求报文;
验证来访用户的虚拟IP有效性,若验证通过,则将虚拟IP赋予用户欲访问的网络服务资源,并将加密后的网络服务资源列表发送至用户;
若用户安全等级高于网络服务资源列表的安全等级,则该用户能够解密该网络服务资源列表,并通过网络服务资源的虚拟IP向该网络服务资源发送请求报文;若用户安全等级低于网络服务资源列表的安全等级,则该用户无法解密该网络服务资源列表;
依据请求报文生成流表并下发至SDN交换机;
SDN交换机依据流表进行数据转发。
2.根据权利要求1所述的基于SDN网络的网络全视图变换动态防御方法,其特征在于所述对来访用户进行身份验证包括:
对合法用户身份进行注册,并保存用户信息;
若用户第一次访问目标服务节点,当用户在接入网络时发送用户属性信息报文;
接收边缘SDN交换机上报的用户属性信息报文并进行身份验证,若身份验证失败则生成流表并将该流表下发至边缘SDN交换机,SDN交换机依据流表丢弃所有该用户此次发送的会话数据;
若用户拒绝验证则降低该用户安全等级,并接收边缘SDN交换机发送的该用户节点的端节点属性信息;解析端节点属性信息,抽取用户的身份标识ID;
将抽取出的用户身份标识ID与保存的用户信息进行对比,并根据用户身份是否为注册用户改变网络视图变换频率;
重新进行身份验证。
3.根据权利要求2所述的基于SDN网络的网络全视图变换动态防御方法,其特征在于所述对来访用户进行身份验证包括:若用户拒绝身份验证的次数超过预设值则将用户IP地址纳入黑名单。
4.根据权利要求2所述的基于SDN网络的网络全视图变换动态防御方法,其特征在于所述对来访用户进行身份验证包括:若用于身份验证失败的次数超过预设值则阻断该链接。
5.根据权利要求1所述的基于SDN网络的网络全视图变换动态防御方法,其特征在于所述在跳变地址选取范围内生成虚拟IP为利用SM3杂凑算法生成虚拟IP。
6.根据权利要求1所述的基于SDN网络的网络全视图变换动态防御方法,其特征在于所述加密后的网络服务资源列表为利用CP-ABBE加密的网络服务资源列表。
7.根据权利要求1所述的基于SDN网络的网络全视图变换动态防御方法,其特征在于所述验证来访用户的虚拟IP有效性包括若用户虚拟IP未通过验证则生成流表并将该流表下发至边缘SDN交换机,SDN交换机依据流表丢弃所有该用户此次发送的会话数据。
8.一种基于SDN网络的基于SDN网络的网络全视图变换动态防御系统,其特征在于包括:
跳变地址生成模块,生成网络跳变地址;
跳变全周期管控模块,对网络地址跳变频率进行管控;
跳变部署模块,接收跳变地址生成模块和跳变全周期管控模块的通信数据,为每个节点分配具体的虚拟IP和跳变周期;
网络通信模块,用于网络通信。
9.根据权利要求8所述的一种基于SDN网络的网络全视图变换动态防御系统,其特征在于还包括用于对所述动态防御系统进行管理的管理平台。
10.根据权利要求9所述的一种基于SDN网络的网络全视图变换动态防御系统,其特征在于所述管理平台包括:
用户信息管理模块,用于管理注册用户信息;
网络资源管理模块,用于管理被保护的网络资源;
安全策略管理模块,用于设置网络资源的安全策略;
全局视图管理模块,用于管理网络全局视图;
端信息跳变管理模块,用于对网络资源节点地址跳变进行管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111078037.2A CN113810404A (zh) | 2021-09-15 | 2021-09-15 | 一种基于sdn网络的网络全视图变换动态防御系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111078037.2A CN113810404A (zh) | 2021-09-15 | 2021-09-15 | 一种基于sdn网络的网络全视图变换动态防御系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113810404A true CN113810404A (zh) | 2021-12-17 |
Family
ID=78940926
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111078037.2A Pending CN113810404A (zh) | 2021-09-15 | 2021-09-15 | 一种基于sdn网络的网络全视图变换动态防御系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810404A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174467A (zh) * | 2022-06-28 | 2022-10-11 | 福州大学 | 基于可编程数据平面的路由跳变防御构建方法 |
| CN115996210A (zh) * | 2023-03-23 | 2023-04-21 | 湖南盾神科技有限公司 | 一种源变模式的地址端口跳变方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170195295A1 (en) * | 2015-12-30 | 2017-07-06 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Anonymous communications in software-defined neworks via route hopping and ip address randomization |
| CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
| CN110198270A (zh) * | 2019-05-10 | 2019-09-03 | 华中科技大学 | 一种sdn网络中基于路径与ip地址跳变的主动防御方法 |
| CN111464503A (zh) * | 2020-03-11 | 2020-07-28 | 中国人民解放军战略支援部队信息工程大学 | 基于随机多维变换的网络动态防御方法、装置及系统 |
| CN113098894A (zh) * | 2021-04-22 | 2021-07-09 | 福建奇点时空数字科技有限公司 | 一种基于随机化算法的sdn网络ip地址跳变方法 |
-
2021
- 2021-09-15 CN CN202111078037.2A patent/CN113810404A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170195295A1 (en) * | 2015-12-30 | 2017-07-06 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Anonymous communications in software-defined neworks via route hopping and ip address randomization |
| CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
| CN110198270A (zh) * | 2019-05-10 | 2019-09-03 | 华中科技大学 | 一种sdn网络中基于路径与ip地址跳变的主动防御方法 |
| CN111464503A (zh) * | 2020-03-11 | 2020-07-28 | 中国人民解放军战略支援部队信息工程大学 | 基于随机多维变换的网络动态防御方法、装置及系统 |
| CN113098894A (zh) * | 2021-04-22 | 2021-07-09 | 福建奇点时空数字科技有限公司 | 一种基于随机化算法的sdn网络ip地址跳变方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174467A (zh) * | 2022-06-28 | 2022-10-11 | 福州大学 | 基于可编程数据平面的路由跳变防御构建方法 |
| CN115174467B (zh) * | 2022-06-28 | 2023-09-22 | 福州大学 | 基于可编程数据平面的路由跳变防御构建方法 |
| CN115996210A (zh) * | 2023-03-23 | 2023-04-21 | 湖南盾神科技有限公司 | 一种源变模式的地址端口跳变方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Fang et al. | Security for 5G mobile wireless networks | |
| Wang et al. | SDN-based handover authentication scheme for mobile edge computing in cyber-physical systems | |
| Lou et al. | A survey of wireless security in mobile ad hoc networks: challenges and available solutions | |
| CN111464503B (zh) | 基于随机多维变换的网络动态防御方法、装置及系统 | |
| Liu et al. | Bua: A blockchain-based unlinkable authentication in vanets | |
| Chen et al. | Zero trust architecture for 6G security | |
| CN108234677B (zh) | 一种面向多区块链平台的区块链网络节点服务装置 | |
| Li et al. | Capability-based security enforcement in named data networking | |
| CN105610854B (zh) | 一种网络协同防御系统 | |
| Wang et al. | Blockchain-aided secure access control for UAV computing networks | |
| CN113872944A (zh) | 一种面向区块链的零信任安全架构及其集群部署框架 | |
| CN113810404A (zh) | 一种基于sdn网络的网络全视图变换动态防御系统及方法 | |
| Ren et al. | Security in mobile wireless sensor networks-A survey | |
| CN115051836B (zh) | 基于sdn的apt攻击动态防御方法及系统 | |
| Singh et al. | On the IEEE 802.11 i security: a denial‐of‐service perspective | |
| AbdAllah et al. | Preventing unauthorized access in information centric networking | |
| CN114024767B (zh) | 密码定义网络安全体系构建方法、体系架构及数据转发方法 | |
| Li et al. | A novel cyberspace-oriented access control model | |
| Roy et al. | Onion encrypted multilevel security framework for public cloud | |
| Kashif et al. | BCPriPIoT: BlockChain utilized privacy-preservation mechanism for IoT devices | |
| Halgamuge | Latency estimation of blockchain-based distributed access control for cyber infrastructure in the iot environment | |
| Edris et al. | Security in network services delivery for 5g enabled d2d communications: Challenges and solutions | |
| Altisen et al. | SR3: secure resilient reputation-based routing | |
| Olakanmi et al. | A secure and collaborative data aggregation scheme for fine‐grained data distribution and management in Internet of Things | |
| Gupta | Security issues and its countermeasures in examining the cloud-assisted IoT |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211217 |
|
| RJ01 | Rejection of invention patent application after publication |