本发明专利技术公开一种基于SDN环境的匿名通信方法。SDN网络控制器具有网络的全局视图,包括网络拓扑和主机的位置与IP地址信息,并负责每个匿名传输通道的建立与管理。响应端在启动时可以向SDN网络控制器注册匿名服务的服务名。发起端在进行匿名通信前向SDN网络控制器发送建立匿名通道请求,其中需要指定响应端的地址(或者服务名)和变换节点数。SDN网络控制器在建立匿名通道时选取好每个变换节点上变换后报文的地址,包括三元组<源IP地址,目标IP地址,MPLS标记>,以及与IP地址相对应的MAC地址,并且提前安装好相应的流表。该方法在保证匿名通信的同时具有很低的开销和易于部署的特性,因而适用于对于应用性能要求高的数据中心环境。
【技术实现步骤摘要】
本专利技术属于网络环境下的安全通信
,更具体地,涉及一种基于SDN环境的匿名通信方法。
技术介绍
随着数据中心规模的扩张,数据中心面临着越来越多的来自内部的安全威胁。据IBM安全报告指出,2014年记录到55%的攻击来自具有内部访问的人员。同时,攻击者在进行攻击时,往往都需要通过一定的手段进入到目标的内部网络。例如,2013年的Target公司信用卡泄露事件中,攻击者先通过窃取其空调系统供应商的凭证侵入到其内部网络,再窃取了其40M信用卡数据。因此,更多的关注需要放在保护数据中心内部网络安全上。用户可以在云数据中心内部署自己的应用,以达到快速上线、减少成本的目的,如Web服务、大数据处理系统和分布式存储系统等。然而这些用户系统在数据中心内部的通信存在极大的安全威胁,黑客、内部人员或者恶意用户可能会在网络中间节点进行监听、分析网络传输的数据。一方面,如果用户的数据传输过程中未加密,那么这可能造成用户的数据被窃取。另一方面,即使这些数据都经过加密之后再进行传输,攻击者也可以通过检查报文中未加密的IP地址和流量模式等信息发动流量分析攻击。例如,攻击者可以通过报文中的源、目标地址信息获得本次通信的发送者和接收者,再通过分析它们之间通信的速率,数据长度等信息分析出它们可能正在进行何种操作。进一步地,攻击者可以分析出哪些节点属于某一个用户,在这些节点上部署了什么系统,和该系统的规模。如果攻击者的目
的是使某个用户系统崩溃,那么可以分析出该系统的一些关键节点,再对其发动主动攻击,如DoS/DDoS、worms等。在互联网环境下,研究人员提出匿名通信系统来防止流量分析攻击,保护用户身份信息。这些匿名通信系统通过构建由多个转发节点组成的overlay网络来达到匿名目的,如Mixmaster、Mixminon、Crowds、Tor等。然而这些系统都是针对互联网环境设计,具有很高的性能开销,不能满足数据中心环境下对通信的高带宽和低时延的需求。例如,目前最为流行的匿名通信系统Tor对报文进行多层加密和多次转发的方式来实现匿名传输。这种方式无疑会带来极大地性能损失,多次的加密与解密操作和大量冗余的传输路径将来增加数据传输的延迟,减少传输带宽。同时由于增加了几倍的传输路径,从而也将在网络中引入大量的重复流量,减少网络的总容量。数据中心中绝大部分的应用都是性能敏感的,对网络传输的性能具有很高的要求。同时,数据中心的网络资源非常宝贵,overlay的方式会极大地减少数据中心的容量。对于云数据中心而言,将会容纳更少的租户,减少云供应商的收入。近年来,随着计算机网络规模的持续增长和网络应用的不断增加,传统网络的结构和功能越来越复杂,管理和控制能力逐渐减弱。同时,在传统网络架构下,实行任何新网络研究方案和业务都异常困难,必须在得到相关的标准化组织同意和设备提供商允许时才能投入实际网络环境。为了解决现在网络体系结构造成的众多问题,软件定义网络(Software Defined Network,SDN)技术被提出,随着斯坦福大学相关研究者提出OpenFlow技术,基于OpenFlow的SDN架构在业界广泛推广。软件定义网络在云数据中心的广泛部署为匿名传输带来了新的思路。SDN架构将网络的控制面与转发面分离,控制面具有网络全局视图,负责网络的路由计算,转发面通过匹配流表进行报文转发。SDN技术使得网络报文转发更加灵活,控制器可以提前生成好报文的转发路径,报文可以在交换机中修改报文头部来隐
藏真实的参与者,以达到匿名传输的效果。
技术实现思路
本专利技术提供一种基于SDN环境的匿名通信方法,具有很低的性能开销和容易部署的特点,主要适用于对于性能要求较高,而安全级别适中的场景,例如数据中心内。其主要思想是通过在交换机上修改报文的源、目标地址来隐藏报文的发送者与接收者,从而达到匿名通信的目的。本专利技术提供的一种基于SDN环境的匿名通信方法,包括通信的发起端、响应端、地址变换交换机节点(简称为变换节点)和SDN网络控制器。通信过程包括如下步骤:(1)初始化,SDN网络控制器获得整个网络拓扑和所有主机的地址,包括IP地址及MAC地址,并保存了所有IP地址与MAC地址的映射表;(2)建立匿名通信通道;进一步包括如下步骤:(2-1)响应端向SDN网络控制器注册服务名,并进入监听状态;(2-2)发起端将响应端的IP地址(或者服务名)、变换节点数发送给SDN网络控制器;若指定响应端IP地址,则只能实现发起端匿名,若指定服务名,则可以同时实现发起端与响应端匿名;(2-3)SDN网络控制器给该匿名通道赋予一个全局唯一的标识;再根据指定的响应端地址(或者服务名),计算相应的转发路径;同时在转发路径上选取指定数目的交换机作为变换节点;变换节点上的流表中,需要修改报文的源、目标地址;(2-4)SDN网络控制器生成好路由规则之后,将其安装到相应的交换机上;(2-5)SDN网络控制器将进入第一个变换节点之前的网络报文应携带的地址返回给发起端,该地址称为入口地址;(3)进行匿名通信,在与响应端通信过程中,发起端向入口地址发送网络报文、或者接收来自入口地址的网络报文;(4)关闭匿名通道,发起端(或者响应端)向SDN网络控制器发送关闭通知,SDN网络控制器删除该匿名通道的信息。任意一个SDN交换机上通过三元组《源IP地址,目标IP地址,MPLS标识》唯一标识一个匿名通道。每个变换节点在转发报文时,需要修改该报文的《源IP地址,目标IP地址,MPLS标识》地址三元组,以及相应的源MAC地址和目标MAC地址。对于任意一个变换节点S,经过其变换后的报文地址三元组《源IP地址,目标IP地址,MPLS标识》满足以下条件:假设一个匿名通道的全局标识为V,该匿名通道的报文经过S变换后的地址三元组<a,b,c>满足f(a,b,c)=V。其中f(x,y,z)为哈希函数,其至少在一个变量上具有反函数。网络中每个变换节点都可以具有独立的哈希函数。在这种情况下,MPLS标识被随机地划分为多个取值空间,使得每个变换节点都能够对应一个独立的MPLS取值空间,避免不同变换节点之间的地址三元组冲突。在匿名通道建立之后,SDN网络控制器可以更新该匿名通道的转发路径和变换节点。相比于传统的基于覆盖网络的匿名通信系统,我们的基于网内的方案具有更短的传输路径的中间操作,因此具有更小的开销和更高的性能。附图说明图1是本专利技术基于SDN环境的匿名方法流程示意图;图2是本专利技术实施例通信过程示意图;图3是本专利技术实施例地址三元组变换示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。此外,下面所描述的
本专利技术各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。本专利技术的技术方案为:SDN网络控制器提前安装好路由规则,通过在SDN交换机上变换报文头部的地址来实现匿名通信。同时通过增加MPLS标识,设计高效的地址三元组《源IP地址,目标IP地址,MPLS标识》的分配方法来避免路由冲突,同时保证低开销。如图1所示,本专利技术提出一种基于SD本文档来自技高网...
【技术保护点】
一种基于SDN环境的匿名通信方法,其特征在于,所述方法包括如下步骤:(1)SDN网络控制器获得整个网络拓扑和所有主机的地址,包括IP地址及MAC地址,并保存所有IP地址与MAC地址的映射表;(2)建立匿名通信通道;包括如下子步骤:(2‑1)响应端向SDN网络控制器注册服务名,并进入监听状态;(2‑2)发起端将响应端的IP地址或者服务名、变换节点数发送给SDN网络控制器;若指定响应端IP地址,则只能实现发起端匿名,若指定服务名,则可以同时实现发起端与响应端匿名;(2‑3)SDN网络控制器给该匿名通道赋予一个全局唯一的标识;再根据指定的响应端地址或者服务名,计算相应的转发路径;同时在转发路径上选取指定数目的交换机作为变换节点;变换节点上的流表中,需要修改报文的源、目标地址;(2‑4)SDN网络控制器生成好路由规则之后,将其安装到相应的交换机上;(2‑5)SDN网络控制器将进入第一个变换节点之前的网络报文应携带的地址返回给发起端,该地址称为入口地址;(3)进行匿名通信,在与响应端通信过程中,发起端向入口地址发送网络报文、或者接收来自入口地址的网络报文;(4)关闭匿名通道,发起端或者响应端向SDN网络控制器发送关闭通知,SDN网络控制器删除该匿名通道的信息。...
【技术特征摘要】
1.一种基于SDN环境的匿名通信方法,其特征在于,所述方法包括如下步骤:(1)SDN网络控制器获得整个网络拓扑和所有主机的地址,包括IP地址及MAC地址,并保存所有IP地址与MAC地址的映射表;(2)建立匿名通信通道;包括如下子步骤:(2-1)响应端向SDN网络控制器注册服务名,并进入监听状态;(2-2)发起端将响应端的IP地址或者服务名、变换节点数发送给SDN网络控制器;若指定响应端IP地址,则只能实现发起端匿名,若指定服务名,则可以同时实现发起端与响应端匿名;(2-3)SDN网络控制器给该匿名通道赋予一个全局唯一的标识;再根据指定的响应端地址或者服务名,计算相应的转发路径;同时在转发路径上选取指定数目的交换机作为变换节点;变换节点上的流表中,需要修改报文的源、目标地址;(2-4)SDN网络控制器生成好路由规则之后,将其安装到相应的交换机上;(2-5)SDN网络控制器将进入第一个变换节点之前的网络报文应携带的地址返回给发起端,该地址称为入口地址;(3)进行匿名通信,在与响应端通信过程中,发起端向入口地址发送网络报文、或者接收来自入口地址的网络报文;(4)关闭匿名通道,发起端或者响应端向SDN网络控制器发送关闭通知,SDN网络控制器删除该匿名...
【专利技术属性】
技术研发人员:王芳,冯丹,朱挺炜,史庆宇,刘家豪,万进,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。