CN114079562B - 基于门限秘密共享的软件定义网络数据安全传输方法 - Google Patents
基于门限秘密共享的软件定义网络数据安全传输方法 Download PDFInfo
- Publication number
- CN114079562B CN114079562B CN202111368157.6A CN202111368157A CN114079562B CN 114079562 B CN114079562 B CN 114079562B CN 202111368157 A CN202111368157 A CN 202111368157A CN 114079562 B CN114079562 B CN 114079562B
- Authority
- CN
- China
- Prior art keywords
- path
- data
- paths
- forwarding
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 46
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000004891 communication Methods 0.000 claims abstract description 18
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 9
- 238000004364 calculation method Methods 0.000 claims description 12
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000006855 networking Effects 0.000 claims 1
- 238000012163 sequencing technique Methods 0.000 claims 1
- 230000006872 improvement Effects 0.000 description 9
- 230000008859 change Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000000903 blocking effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- HRULVFRXEOZUMJ-UHFFFAOYSA-K potassium;disodium;2-(4-chloro-2-methylphenoxy)propanoate;methyl-dioxido-oxo-$l^{5}-arsane Chemical compound [Na+].[Na+].[K+].C[As]([O-])([O-])=O.[O-]C(=O)C(C)OC1=CC=C(Cl)C=C1C HRULVFRXEOZUMJ-UHFFFAOYSA-K 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于门限秘密共享的软件定义网络数据安全传输方法,属于网络空间安全技术领域,解决了现有物联网中网络数据传输安全性不足和可靠性差的问题。包括交换机接收到源主机发送的连接请求数据包后发送给控制器;控制器根据历史通信记录和网络拓扑识别是否需要重新选择转发路径;需要则计算得到多条新转发路径和路径权重;源主机接收到目的主机发送的连接请求回复后,运行k‑n门限加密算法对原始数据加密处理,得到n份密文数据,根据当前多条转发路径和路径权重选择k条转发路径发送n份密文数据;当目标主机接收到不重复密文数据的份数大于等于k时,对密文数据解密得到原始数据。实现了多路径的动态选择和实时权重更新,提高了安全性。
Description
技术领域
本发明涉及网络空间安全技术领域,尤其涉及一种基于门限秘密共享的软件定义网络数据安全传输方法。
背景技术
随着网络信息化的发展,网络数据的安全传输是保障上层网络应用的安全和稳定的基础。
在物联网中,设备的处理能力弱、网络链路不稳定、网络环境开放、攻击面大等特点为物联网中的数据安全传输带来了严重的挑战。
在现有技术中,依赖于节点的强计算和续航能力的高复杂度的加密算法在物联网中的应用受到限制,使得网络中传输的数据面临更大的安全风险;同时,链路的不稳定导致数据包的丢失与重传为网络带来了额外的开销和更高的延迟。虽然软件定义网络具备灵活选路、快速响应、高效更新等优势,但是,软件定义网络的优势目前还较少被用于解决物联网中的安全问题,有的技术中虽然使用了软件定义物联网架构,但是数据安全的传输只是随机选择一条路径,数据安全仍有很大隐患。
发明内容
鉴于上述的分析,本发明实施例旨在提供一种基于门限秘密共享的软件定义网络数据安全传输方法,用以解决现有物联网中网络数据传输安全性不足和可靠性差的问题。
本发明实施例提供了一种基于门限秘密共享的软件定义网络数据安全传输方法,包括如下步骤:
交换机接收到源主机发送的连接请求数据包后,将数据包头部消息发送给控制器;
控制器接收到头部消息后,根据历史通信记录和网络拓扑识别是否需要重新选择转发路径;需要,则计算得到多条新转发路径和路径权重,并更新原转发路径和路径权重;以及,指示交换机在当前多条转发路径中选择一条转发连接请求数据包至目的主机;
源主机接收到目的主机发送的连接请求回复后,运行k-n门限加密算法对原始数据加密处理,得到n份密文数据,根据当前多条转发路径和路径权重选择k条转发路径发送n份密文数据;
当目标主机接收到不重复密文数据的份数大于等于k时,对密文数据解密得到原始数据。
基于上述方法的进一步改进,还包括,当目标主机接收到不重复密文数据的份数小于k时,等待源主机重传密文;
等待源主机重传密文,包括:
根据当前多条转发路径的使用记录,若存在未被使用过的转发路径且未被使用过的转发路径的数量大于等于未收到数据回复的转发路径数量时,源主机对当前多条转发路径重新计算权重,并按权重大小排序,在未被使用过的转发路径中,从权重最大的路径开始选择,重传未收到数据回复的密文数据,直至目的主机接收到不重复密文份数大于等于k;
否则,由控制器重新计算得到多条新转发路径和路径权重,再发送给源主机,源主机根据最新的多条转发路径和路径权重选择新转发路径重传未收到数据回复的密文数据,直至目的主机接收到不重复密文份数大于等于k。
基于上述方法的进一步改进,连接请求数据包中对需要进行k-n加密的数据包包头进行标记,并包含加密的k值和n值;
初始化时在交换机上预置了对数据包包头标记进行判断的流表规则,交换机接收到连接请求数据包后,对数据包包头进行流表规则匹配,若具有标记,则为k-n加密的连接请求数据包,并通过PacketIn消息将数据包头部消息发送给控制器;否则,按照其他流表规则进行正常转发。
基于上述方法的进一步改进,控制器接收到头部消息后,根据数据包头部消息获取源主机和目的主机信息;
根据历史通信记录和网络拓扑识别是否需要重新选择转发路径,包括:
根据历史通信记录,确定是第一次建立连接,或者与上次通讯时间间隔超过预置的超时时间,则需要重新选择转发路径;或,
根据控制器内维护的网络全局拓扑信息,获取转发路径上交换机增减和链路增减情况,当存在交换机增减和/或链路增减,则需要重新选择转发路径;或,
通过对发送的PacketOut消息和接收的PacketIn消息进行抓包分析,识别出探测链路拥塞或丢包率超过预置阈值,则需要重新选择转发路径。
基于上述方法的进一步改进,计算得到多条新转发路径,包括:
根据广度优先规则,得到从源主机到目的主机的所有可用路径,放入可用路径集合;基于可用路径集合,获取每条可用路径中包含的交换机,放入交换机集合;
遍历交换机集合,计算在可用路径集合中包含每一个交换机的可用路径条数;遍历可用路径集合,将每条可用路径上交换机的可用路径条数相加,得到每条路径的冲突系数;
将可用路径集合中的每条路径按照其冲突系数的大小进行排序,选择冲突系数最小且与已选择路径集合中的路径不相交的一条路径,作为路径选择结果移入已选择路径集合中,从可用路径集合中去除与已选择路径集合中的路径相交的路径,对可用路径集合中剩余的路径重复选择直至为空,得到的已选择路径集合中的路径作为多条新转发路径。
基于上述方法的进一步改进,路径权重根据路径上数据包的质量影响因子、历史数据包质量影响因子、数据包的状态和更新前路径权重计算得到,并且在数据包被确认时动态更新;
数据包被确认包括:
当源主机接收到数据回复时,数据包被确认接收;
当源主机在超时时间内未收到数据回复时,数据包被确认丢弃。
基于上述方法的进一步改进,路径权重的计算公式是:
其中,Qr,n表示在路径r上第n个数据包被确认时的权重,Qr,n-1表示在路径r上第n-1个数据包被确认时的权重,即权重更新前路径r的权重,初始Qr,0=1,fn表示第n个数据包的质量影响因子,每当数据包被确认丢失时,数值递增1;Fn-1是n-1个历史数据包的质量影响因子之和,初始F0=1,计算公式是:
Pn表示第n个数据包的状态,计算公式是:
Pn=Sn×Rn,n≥1
其中,Sn表示第n个数据包在路径r上被确认的情况,当被确认接收时,Sn为1,否则Sn为0;Rn表示数据包被确认接收的比率。
基于上述方法的进一步改进,源主机接收到目的主机发送的连接请求回复,包括:
目的主机接收到连接请求数据包后,得到加密的k值和n值,为连接请求回复打上和连接请求数据包相同转发路径标签,通过与连接请求数据包相同的转发路径向源主机发送连接请求回复,源主机在预置的超时时间内接收到目的主机发送的连接请求回复。
基于上述方法的进一步改进,还包括,当源主机在预置的超时时间内未接收到连接请求回复时,重新发送连接请求数据包,由控制器重新计算得到多条新转发路径和路径权重,发送给源主机。
基于上述方法的进一步改进,根据当前多条转发路径和路径权重选择k条转发路径发送n份密文数据,包括:
对路径权重从大到小排序,从权重最大开始选择k条转发路径;
按照向上取整,对n份密文数据计算得到k条转发路径中每条路径上的密文份数平均值,若平均值大于k值,则设置为k值;
根据平均值,对k条转发路径分配密文数据的份数;
在k条转发路径中,从权重最大的转发路径开始依次发送密文数据,并更新转发路径对应的使用记录。
与现有技术相比,本发明至少可实现如下有益效果之一:
1、在软件定义网络的背景下,针对实时的拓扑变化和通信记录进行密文包转发策略的动态切换,自适应地进行策略更新,在维护网络安全的同时保障业务的连续性;
2、结合了多路径动态选择机制,同时以路径安全权重为路径优先级,以优先级由大到小轮流的形式使密文均匀分布在各路径上,尽可能地减小了单点漏洞产生的窃听风险,并且由于控制器对所有连接的交换机的全局控制,便于获得网络拓扑数据,并在网络拓扑变化时随时进行重新计算,最大限度提高了数据的安全性;
3、使用k-n门限加密算法进行数据加密,攻击者在窃取密文小于等于k份的时候,无法根据密文获取任何加密数据相关信息,只有获取密文大于等于k份时才能解密。有效避免数据的部分窃取而导致的数据泄露问题,提高攻击难度,保障了数据传输的安全性;
4、数据传输使用了响应重发机制,综合考虑不同路径历史传输情况,在保证数据安全的情况下,为密文动态分配转发路径,同一密文发送和回复使用相同转发路径,有效避免了因链路阻塞导致的数据反复重发,有效抵御攻击者在链路上恶意丢弃数据包而导致的数据传输失败,从而保障数据传输功能,提高传输质量;
5、利用软件定义网络集中管理的特点,可以更好地实现动态的路径选择和策略更新;同时,结合门限秘密共享机制在防数据窃取、容忍数据丢失等方面的优势,以提高软件定义物联网的抗数据窃取攻击能力,提升其数据的可用性,保障软件定义物联网上层服务的可靠性。
本发明中,上述各技术方案之间还可以相互组合,以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分优点可从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过说明书以及附图中所特别指出的内容中来实现和获得。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本发明实施例中基于门限秘密共享的软件定义网络数据安全传输方法流程图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
本发明的一个具体实施例,公开了一种基于门限秘密共享的软件定义网络数据安全传输方法流程图,如图1所示。
S10:建立数据传输,源主机发送连接请求数据包;
需要说明的是,在开始建立数据传输时,源主机发送连接请求数据包,连接请求数据包中对需要进行k-n加密的数据包包头进行标记,并包含加密的k值和n值。
示例性地,涉及敏感业务、安全等级高的业务,对数据包进行k-n加密标记。
考虑到k与n的值越接近,意味着秘密恢复的限制越大,入侵者更难窃听到传输数据,根据网络拓扑中的总路径条数和转发效率综合确定k值和n值,转发路径选取过多会占用过多网络资源,带来额外的传输开销,解码消耗也会越大,因此,k值一般建议小于4。
优选地,对于具有4条或更多可用路径的数据传输,k和n的值分别设置为3和4,而对于具有2条或3条可用路径的数据传输,k和n的值等于可用转发路径的数量。
S11:交换机接收到源主机发送的连接请求数据包后,将数据包头部消息发送给控制器;
具体来说,初始化时在交换机上预置了对数据包包头标记进行判断的流表规则,交换机接收到源主机发送的连接请求数据包后,对数据包包头进行流表规则匹配,若具有标记,则为k-n加密的连接请求数据包,并通过PacketIn消息将数据包头部消息发送给控制器;否则,按照其他流表规则进行正常转发。
S12:控制器接收到头部消息后,根据历史通信记录和网络拓扑识别是否需要重新选择转发路径;需要,则计算得到多条新转发路径和路径权重,并更新原转发路径和路径权重;以及,指示交换机在当前多条转发路径中随机选择一条转发连接请求数据包至目的主机;
控制器接收到头部消息后,根据数据包头部消息获取源主机和目的主机信息;根据历史通信记录和网络拓扑识别是否需要重新选择转发路径,包括:
根据历史通信记录,确定是第一次建立连接,或者与上次通讯时间间隔超过预置的超时时间,则需要重新选择转发路径;或,
根据控制器内维护的网络全局拓扑信息,获取转发路径上交换机增减和链路增减情况,当存在交换机增减和/或链路增减,则需要重新选择转发路径;或,
通过对发送的PacketOut消息和接收的PacketIn消息进行抓包分析,识别出探测链路拥塞或丢包率超过预置阈值,则需要重新选择转发路径。
由于控制器对所有连接的交换机的全局控制,便于获得网络拓扑数据,在监控到网络拓扑变化时进行重新计算,最大限度地提高了数据的安全性。
在识别过程中,针对实时的网络拓扑变化和历史通信记录进行密文包转发策略的动态切换,自适应地进行策略更新,在维护网络安全的同时保障业务的连续性。
为了避免单点交换机和链路被攻破导致多条路径数据被窃取,除了源主机和目的主机外,在传输路径选择时需要选择彼此不相交的路径,同时为了提高密文传输的安全性,需要有尽可能多的路径以便在重发时有更多的路径可供后续选择,所以需要计算得到最多的不重复的路径作为可用路径备用。
需要说明的是,当路径之间的交叉点越少时,则意味着选择该路径对于后续的选择限制越少,故而通过路径上每个交换机所涉及的可用路径数量得到每个交换机的冲突系数,再将路径上包含的交换机冲突系数相加,根据最小冲突系数选取得到转发路径。
具体来说,计算得到多条新转发路径的详细过程包括:
①根据广度优先规则,得到从源主机到目的主机的所有可用路径,放入可用路径集合;基于可用路径集合,获取每条可用路径中包含的交换机,放入交换机集合;
②遍历交换机集合,计算在可用路径集合中包含每一个交换机的可用路径条数;遍历可用路径集合,将每条可用路径上交换机的可用路径条数相加,得到每条路径的冲突系数;
③将可用路径集合中的每条路径按照其冲突系数的大小进行排序,选择冲突系数最小且与已选择路径集合中的路径不相交的一条路径,作为路径选择结果移入已选择路径集合中,从可用路径集合中去除与已选择路径集合中的路径相交的路径,对可用路径集合中剩余的路径重复选择直至为空,得到的已选择路径集合中的路径作为多条新转发路径。
为了避免从多条新转发路径中随机选择路径时,路径的连接状态和安全状态影响传输质量,根据质量影响因子等指标对路径权重进行计算,选取权重大的路径作为实际转发路径。
需要注意的是,路径权重根据路径上数据包的质量影响因子、历史数据包质量影响因子、数据包的状态和更新前路径权重计算得到,其中,
数据包质量影响因子表示数据包被确认丢弃的程度,当源主机在预置的超时时间内未收到目的主机的数据回复时,数据包被确认丢弃,数据包的质量影响因子递增1,否则,数据包被确认接收,数据包质量影响因子不变;
历史数据包质量影响因子是转发路径上历史数据包的质量影响因子之和;
数据包的状态表示数据包被确认接收的程度,当数据包被确认接收时,数据包状态为转发路径上数据包被确认接收的比率,当数据包被确认丢弃时,数据包的状态为0;
更新前路径权重是转发路径上前一个数据包被确认时的权重。
路径权重在每次数据包被确认时动态更新,数据包被确认包括:
当源主机接收到数据回复时,数据包被确认接收;
当源主机在超时时间内未收到数据回复时,数据包被确认丢弃。
具体来说,路径权重的计算公式是:
其中,Qr,n表示在路径r上第n个数据包被确认时的权重,Qr,n-1表示在路径r上第n-1个数据包被确认时的权重,即权重更新前路径r的权重,初始Qr,0=1,fn表示第n个数据包的质量影响因子;Fn-1是n-1个历史数据包的质量影响因子之和,初始F0=1,计算公式是:
Pn表示第n个数据包的状态,计算公式是:
Pn=Sn×Rn,n≥1 公式(3)
其中,Sn表示第n个数据包在路径r上被确认的情况,当被确认接收时,Sn为1,否则Sn为0;Rn表示数据包被确认接收的比率,根据转发路径r上被确认接收的数据包数量与已发送的数据包总数量计算得到,用以区分不同的转发路径下收到的数据包的质量和重要性,当确认接收的比率高,能够收到的数据包的质量也被认为是较高的。
需要说明的是,在第一次计算权重前,通过控制器在路径变更识别模块进行的链路拥塞和丢包率探测,得到路径上数据包的丢包数量和接收比率,从而得到各路径上数据包的质量影响因子和数据包状态,计算得到第一轮数据发送的路径权重值。
权重公式综合考虑了路径上数据包的历史传输情况,侧重于数据传输安全,使得权重计算更合理。
根据历史通信记录,如果不是第一次建立连接,且控制器识别出不需要重新选择转发路径时,原转发路径和路径权重不变。
根据计算得到的多条新转发路径和路径权重,控制器更新原转发路径和路径权重,包括:
如果存在旧的路径转发和路径权重,控制器先通过FlowRemove消息从旧的转发路径上交换机的流表规则中删除旧的路径转发和路径权重,再通过FlowAdd消息下发新路径转发和路径权重至新转发路径中交换机的流表规则中。
需要说明的是,控制器发送消息告知源主机更新后的转发路径和路径权重,将连接请求数据包通过PacketOut消息继续向后续交换机转发。
通过PacketOut消息指示交换机在当前多条转发路径中选择一条转发连接请求数据包至目的主机,需要说明的是,转发的是缓存在交换机中的完整的连接请求数据包,优选地,从当前多条转发路径中选择权重最大的路径作为交换机的转发路径。
S13:目的主机接收到连接请求数据包后,发送连接请求回复;
具体来说,目的主机接收到连接请求数据包后,得到加密的k值和n值,为连接请求回复打上和连接请求数据包相同转发路径标签,通过与连接请求数据包相同的转发路径向源主机发送连接请求回复。
S14:源主机接收到目的主机发送的连接请求回复后,运行k-n门限加密算法对原始数据加密处理,得到n份密文数据,根据当前多条转发路径和路径权重选择k条转发路径发送n份密文数据;
需要说明的是,当源主机在预置的超时时间内未接收到连接请求回复和当前路径变动情况时,说明路径选择或者是数据通信存在问题,重新发送连接请求数据包,由控制器重新计算得到多条新转发路径和路径权重,发送消息给源主机,指示交换机发送连接请求包给目的主机,源主机再次等待一个预置的超时时间,接收连接请求回复和当前路径变动情况。示例性地,超时时间为30秒。
当源主机在预置的超时时间内接收到目的主机发送的连接请求回复,运行k-n门限加密算法对原始数据加密处理,得到n份密文数据,对密文数据进行标号保存。
根据当前多条转发路径和路径权重选择k条转发路径发送n份密文数据,具体方法包括:
对路径权重从大到小排序,从权重最大开始选择k条转发路径;
按照向上取整,对n份密文数据计算得到k条转发路径中每条路径上的密文份数平均值,若平均值大于k值,则设置为k值;
根据平均值,对k条转发路径分配密文数据的份数;
在k条转发路径中,从权重最大的转发路径开始依次发送密文数据,并更新转发路径对应的使用记录。
优选地,k条转发路径中权重最大路径和权重最小路径传输密文数据的份数差不超过n份的30%。
这种根据可用路径链路状况综合考虑选择最终转发路径,对网络状态、网络结构多变的软件定义网络具有很好的适应性。
发送密文数据时,源主机修改数据包头部中DSCP字段,为n份密文数据打上不同的数据包编号和转发路径标记,发送给目的主机,更新不同路径发送数据包记录,等待接收回复。
S15:当目标主机接收到不重复密文数据的份数大于等于k时,对密文数据解密得到原始数据。
目的主机接收到密文数据后,按照数据包编号保存数据,并根据密文数据中的转发路径标记,以与密文数据传输的相同转发路径向源主机发送数据回复,告知接收到的密文数据包编号。在保证数据安全的情况下,为密文动态分配转发路径,同一密文发送和回复使用相同路径,有效避免了因链路阻塞导致的数据反复重发,有效抵御攻击者在链路上恶意丢弃数据包而导致的数据传输失败,从而保障数据传输功能,提高了传输质量。
根据连接建立过程中目的主机获取的k值和n值,目的主机可以判断接收到的不重复密文份数是否大于等于k,当目标主机接收到不重复密文数据的份数大于等于k时,对密文数据解密,完成一次传输,否则,等待源主机重传密文。
源主机在预置的超时时间内未收到目的主机的数据回复,或者接收到的不重复密文数据回复小于k值时,重新选择路径重发未收到数据回复的数据包,包括:
根据当前多条转发路径的使用记录,若存在未被使用过的转发路径且未被使用过的转发路径的数量大于等于未收到数据回复的转发路径数量时,源主机对当前多条转发路径重新计算权重,并按权重大小排序,在未被使用过的转发路径中,从权重最大的路径开始选择,重传未收到数据回复的密文数据,直至目的主机接收到不重复密文份数大于等于k;
否则,由控制器重新计算得到多条新转发路径和路径权重,再发送给源主机,源主机根据最新的多条转发路径和路径权重选择新转发路径重传未收到数据回复的密文数据,直至目的主机接收到不重复密文份数大于等于k。
使用k-n门限加密算法进行数据加密,攻击者在窃取密文小于等于k份的时候,无法根据密文数据获取任何加密数据相关信息,只有获取密文大于等于k份时才能解密。有效避免数据的部分窃取而导致的数据泄露问题,提高攻击难度,保障了数据传输的安全性。
与现有技术相比,本实施例提供的一种基于门限秘密共享的软件定义网络数据安全传输方法,在软件定义网络的背景下,针对实时的拓扑变化和通信记录进行密文包转发策略的动态切换,自适应地进行策略更新,在维护网络安全的同时保障业务的连续性;结合了多路径动态选择机制,同时以路径安全权重为路径优先级,以优先级由大到小轮流的形式使密文均匀分布在各路径上,尽可能地减小了单点漏洞产生的窃听风险,并且由于控制器对所有连接的交换机的全局控制,便于获得网络拓扑数据,并在网络拓扑变化时随时进行重新计算,最大限度提高了数据的安全性;使用k-n门限加密算法进行数据加密,攻击者在窃取密文小于等于k份的时候,无法根据密文获取任何加密数据相关信息,只有获取密文大于等于k份时才能解密。有效避免数据的部分窃取而导致的数据泄露问题,提高攻击难度,保障了数据传输的安全性。数据传输使用了响应重发机制,综合考虑不同路径历史传输情况,在保证数据安全的情况下,为密文动态分配转发路径,同一密文发送和回复使用相同转发路径,有效避免了因链路阻塞导致的数据反复重发,有效抵御攻击者在链路上恶意丢弃数据包而导致的数据传输失败,从而保障数据传输功能,提高传输质量;利用软件定义网络集中管理的特点,可以更好地实现动态的路径选择和策略更新;同时,结合门限秘密共享机制在防数据窃取、容忍数据丢失等方面的优势,以提高软件定义物联网的抗数据窃取攻击能力,提升其数据的可用性,保障软件定义物联网上层服务的可靠性。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (9)
1.一种基于门限秘密共享的软件定义网络数据安全传输方法,其特征在于,包括如下步骤:
交换机接收到源主机发送的连接请求数据包后,将数据包头部消息发送给控制器;
控制器接收到所述头部消息后,根据历史通信记录和网络拓扑识别是否需要重新选择转发路径;需要,则计算得到多条新转发路径和路径权重,并更新原转发路径和路径权重;以及,指示交换机在当前多条转发路径中选择一条转发所述连接请求数据包至目的主机;目的主机通过与连接请求数据包相同的转发路径向源主机发送连接请求回复;
源主机接收到目的主机发送的连接请求回复后,运行k-n门限加密算法对原始数据加密处理,得到n份密文数据,根据当前多条转发路径和路径权重选择k条转发路径发送所述n份密文数据;目的主机以与密文数据传输的相同转发路径向源主机发送数据回复;
当目标主机接收到不重复密文数据的份数大于等于k时,对密文数据解密得到原始数据;
所述多条新转发路径是通过路径上每个交换机的可用路径数量得到每个交换机的冲突系数,再将路径上包含的交换机冲突系数相加,根据最小冲突系数选取得到彼此不相交的转发路径;
所述路径权重根据路径上数据包的质量影响因子、历史数据包质量影响因子、数据包的状态和更新前路径权重计算得到,并且在数据包被确认时动态更新;所述数据包被确认包括:当源主机接收到数据回复时,数据包被确认接收;当源主机在超时时间内未收到数据回复时,数据包被确认丢弃;
所述路径权重的计算公式是:
,
其中,表示在路径r上第n个数据包被确认时的权重,/>表示在路径r上第n- 1个数据包被确认时的权重,即权重更新前路径r的权重,初始/>,/>表示第n个数据包的质量影响因子,每当数据包被确认丢失时,数值递增1;历史数据包质量影响因子是n-1个历史数据包的质量影响因子之和,初始/>;/>表示第n个数据包的状态,当数据包被确认接收时,数据包状态为转发路径上数据包被确认接收的比率,当数据包被确认丢弃时,数据包的状态为0。
2.根据权利要求1所述的基于门限秘密共享的软件定义网络数据安全传输方法,其特征在于,还包括,当目标主机接收到不重复密文数据的份数小于k时,等待源主机重传密文;
所述等待源主机重传密文,包括:
根据当前多条转发路径的使用记录,若存在未被使用过的转发路径且未被使用过的转发路径的数量大于等于未收到数据回复的转发路径数量时,源主机对当前多条转发路径重新计算权重,并按权重大小排序,在未被使用过的转发路径中,从权重最大的路径开始选择,重传未收到数据回复的密文数据,直至目的主机接收到不重复密文份数大于等于k;
否则,由控制器重新计算得到多条新转发路径和路径权重,再发送给源主机,源主机根据最新的多条转发路径和路径权重选择新转发路径重传未收到数据回复的密文数据,直至目的主机接收到不重复密文份数大于等于k。
3.根据权利要求2所述的基于门限秘密共享的软件定义网络数据安全传输方法,其特征在于,所述连接请求数据包中对需要进行k-n加密的数据包包头进行标记,并包含加密的k值和n值;
初始化时在交换机上预置了对数据包包头标记进行判断的流表规则,交换机接收到连接请求数据包后,对数据包包头进行流表规则匹配,若具有标记,则为k-n加密的连接请求数据包,并通过PacketIn消息将数据包头部消息发送给控制器。
4.根据权利要求3所述的基于门限秘密共享的软件定义网络数据安全传输方法,其特征在于,所述控制器接收到所述头部消息后,根据数据包头部消息获取源主机和目的主机信息;
所述根据历史通信记录和网络拓扑识别是否需要重新选择转发路径,包括:
根据历史通信记录,确定是第一次建立连接,或者与上次通讯时间间隔超过预置的超时时间,则需要重新选择转发路径;或,
根据控制器内维护的网络全局拓扑信息,获取转发路径上交换机增减和链路增减情况,当存在交换机增减和/或链路增减,则需要重新选择转发路径;或,
通过对发送的PacketOut消息和接收的PacketIn消息进行抓包分析,识别出探测链路拥塞或丢包率超过预置阈值,则需要重新选择转发路径。
5.根据权利要求4所述的基于门限秘密共享的软件定义网络数据安全传输方法,其特征在于,所述计算得到多条新转发路径,包括:
根据广度优先规则,得到从源主机到目的主机的所有可用路径,放入可用路径集合;基于所述可用路径集合,获取每条可用路径中包含的交换机,放入交换机集合;
遍历交换机集合,计算在可用路径集合中包含每一个交换机的可用路径条数;遍历可用路径集合,将每条可用路径上交换机的可用路径条数相加,得到每条路径的冲突系数;
将可用路径集合中的每条路径按照其冲突系数的大小进行排序,选择冲突系数最小且与已选择路径集合中的路径不相交的一条路径,作为路径选择结果移入已选择路径集合中,从可用路径集合中去除与已选择路径集合中的路径相交的路径,对可用路径集合中剩余的路径重复选择直至为空,得到的已选择路径集合中的路径作为多条新转发路径。
6.根据权利要求5所述的基于门限秘密共享的软件定义网络数据安全传输方法,其特征在于,所述历史数据包质量影响因子计算公式是:
,
第n个数据包的状态计算公式是:
,
其中,表示第n个数据包在路径r上被确认的情况,当被确认接收时,/>为1,否则为0;/>表示数据包被确认接收的比率。
7.根据权利要求6所述的基于门限秘密共享的软件定义网络数据安全传输方法,其特征在于,所述源主机接收到目的主机发送的连接请求回复,包括:
目的主机接收到连接请求数据包后,得到所述加密的k值和n值,为连接请求回复打上和连接请求数据包相同转发路径标签,通过与连接请求数据包相同的转发路径向源主机发送连接请求回复,源主机在预置的超时时间内接收到目的主机发送的连接请求回复。
8.根据权利要求7所述的基于门限秘密共享的软件定义网络数据安全传输方法,其特征在于,还包括,当源主机在预置的超时时间内未接收到连接请求回复时,重新发送连接请求数据包,由控制器重新计算得到多条新转发路径和路径权重,发送给源主机。
9.根据权利要求1-8任一项所述的基于门限秘密共享的软件定义网络数据安全传输方法,其特征在于,所述根据当前多条转发路径和路径权重选择k条转发路径发送所述n份密文数据,包括:
对路径权重从大到小排序,从权重最大开始选择k条转发路径;
按照向上取整,对n份密文数据计算得到k条转发路径中每条路径上的密文份数平均值,若所述平均值大于k值,则设置为k值;
根据平均值,对k条转发路径分配密文数据的份数;
在k条转发路径中,从权重最大的转发路径开始依次发送密文数据,并更新转发路径对应的使用记录。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111368157.6A CN114079562B (zh) | 2021-11-18 | 2021-11-18 | 基于门限秘密共享的软件定义网络数据安全传输方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111368157.6A CN114079562B (zh) | 2021-11-18 | 2021-11-18 | 基于门限秘密共享的软件定义网络数据安全传输方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114079562A CN114079562A (zh) | 2022-02-22 |
CN114079562B true CN114079562B (zh) | 2023-11-24 |
Family
ID=80283782
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111368157.6A Active CN114079562B (zh) | 2021-11-18 | 2021-11-18 | 基于门限秘密共享的软件定义网络数据安全传输方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114079562B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114499863B (zh) * | 2022-04-15 | 2022-08-23 | 深圳市永达电子信息股份有限公司 | 基于时分空分的多方认证方法和计算机可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411733A (zh) * | 2016-09-08 | 2017-02-15 | 重庆邮电大学 | 一种基于链路实时负载的sdn动态负载均衡调度方法 |
CN108366015A (zh) * | 2018-05-24 | 2018-08-03 | 湖南师范大学 | 用于软件定义网络的路由算法 |
CN108540876A (zh) * | 2018-03-12 | 2018-09-14 | 上海欣诺通信技术股份有限公司 | 业务路径选取方法、sdn控制器、存储介质及电子设备 |
CN109067758A (zh) * | 2018-08-23 | 2018-12-21 | 江苏大学 | 一种基于多路径的sdn网络数据传输隐私保护系统及其方法 |
CN110868246A (zh) * | 2019-09-02 | 2020-03-06 | 北京邮电大学 | 一种信息传输方法及系统 |
CN112187757A (zh) * | 2020-09-21 | 2021-01-05 | 上海同态信息科技有限责任公司 | 多链路隐私数据流转系统及方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3146668A4 (en) * | 2014-05-20 | 2018-02-14 | Secret Double Octopus Ltd. | A method for establishing a secure private interconnection over a multipath network |
US10356054B2 (en) * | 2014-05-20 | 2019-07-16 | Secret Double Octopus Ltd | Method for establishing a secure private interconnection over a multipath network |
US10211987B2 (en) * | 2015-04-27 | 2019-02-19 | Cisco Technology, Inc. | Transport mechanism for carrying in-band metadata for network path proof of transit |
ES2950584T3 (es) * | 2018-02-19 | 2023-10-11 | Telefonica Sa | Procedimiento y sistema para validar la prueba ordenada de tránsito de paquetes de tráfico en una red |
-
2021
- 2021-11-18 CN CN202111368157.6A patent/CN114079562B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411733A (zh) * | 2016-09-08 | 2017-02-15 | 重庆邮电大学 | 一种基于链路实时负载的sdn动态负载均衡调度方法 |
CN108540876A (zh) * | 2018-03-12 | 2018-09-14 | 上海欣诺通信技术股份有限公司 | 业务路径选取方法、sdn控制器、存储介质及电子设备 |
CN108366015A (zh) * | 2018-05-24 | 2018-08-03 | 湖南师范大学 | 用于软件定义网络的路由算法 |
CN109067758A (zh) * | 2018-08-23 | 2018-12-21 | 江苏大学 | 一种基于多路径的sdn网络数据传输隐私保护系统及其方法 |
CN110868246A (zh) * | 2019-09-02 | 2020-03-06 | 北京邮电大学 | 一种信息传输方法及系统 |
CN112187757A (zh) * | 2020-09-21 | 2021-01-05 | 上海同态信息科技有限责任公司 | 多链路隐私数据流转系统及方法 |
Non-Patent Citations (3)
Title |
---|
Reliability Aware Multiple Path Installation in Software-Defined Networking;Syed Mohsan Raza et al.;Electronics 2021;第22卷(第10期);全文 * |
Trusted Link-Separation Multipath Selection for Software-Defined Wireless Sensor Networks in Adversarial Environments;Pu Zhao et al.;International Conference on Security and Privacy in Digital Economy;全文 * |
软件定义数据中心内一种基于拓扑感知的VDC映射算法;文学敏;韩言妮;于冰;孙建朋;徐震;;计算机研究与发展(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114079562A (zh) | 2022-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lindgren et al. | Probabilistic routing protocol for intermittently connected networks | |
Cui et al. | FMTCP: A fountain code-based multipath transmission control protocol | |
CN1799241B (zh) | Ip移动性 | |
KR100436435B1 (ko) | 유무선 통합망에서 간접 승인을 이용한 패킷 전송 장치 및그 방법 | |
KR100684307B1 (ko) | 자동 재전송 요청 블록을 수신하는 방법 및 그 프로그램이 저장된 기록 매체 | |
TWI454096B (zh) | Mac層重置後b節點緩衝資料之高效回復系統 | |
JP4668207B2 (ja) | 移動通信システムにおけるパケット再送方法及びそのプログラムが記録されたコンピュータで読取り可能な記録媒体 | |
Iyengar et al. | Receive buffer blocking in concurrent multipath transfer | |
KR101374680B1 (ko) | 무선통신시스템에서 자동 재전송 요청 피드백 메시지 생성 장치 및 방법 | |
JP5131194B2 (ja) | パケット回復方法、通信システム、情報処理装置およびプログラム | |
US20010047474A1 (en) | Communication control scheme using proxy device and security protocol in combination | |
CN114124799B (zh) | 一种动态调整转发路径的安全传输系统 | |
US9054923B2 (en) | Communication terminal, communication method, and program | |
JP2004530364A (ja) | 再シーケンシングエンティティと再送エンティティ間のインターレイヤー・コントロールのための方法及びシステム | |
JP2004525558A (ja) | 信頼性のないプロトコルを利用して確実なストリーミングデータ送信機能を提供するための方法および装置 | |
CN114079562B (zh) | 基于门限秘密共享的软件定义网络数据安全传输方法 | |
EP2782281A1 (en) | Data transmission using rateless coding | |
CN111522656A (zh) | 一种边缘计算数据调度与分布方法 | |
US8379514B2 (en) | Route reflector for a communication system | |
US20020032489A1 (en) | Transferring computer files and directories | |
Lindgren et al. | RFC 6693: probabilistic routing protocol for intermittently connected networks | |
US6590895B1 (en) | Adaptive retransmission for error control in computer networks | |
JP4610910B2 (ja) | 通信処理装置及びその方法 | |
Ha et al. | TCP Network Coding with Enhanced Retransmission for heavy and bursty loss | |
US10009409B2 (en) | Retransmission control network node and related method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |