一种网络管理平面地址的随机跳变方法及装置制造方法及图纸

本发明专利技术涉及预防网络信息窃听的技术领域，针对现有技术存在的问题，提供一种网络管理平面地址的随机跳变方法及装置。不必要对源、目的主机固有IP地址和端口进行重新配置。本方法使得地址的跳变具有更高频率以及地址更加难以预测的特点，从而使得网络的两项属性——网络节点地址、端口不断发生变化，提升了网络攻击的复杂度和花费，降低网络被成功攻击的风险。本发明专利技术控制器遍历路由上所有交换机，向每台交换机下发流表；所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作，通过IP地址在传输路径上的不断跳变，完成源主机与目的主机之间的数据传递。

【技术实现步骤摘要】
一种网络管理平面地址的随机跳变方法及装置
本专利技术涉及预防网络信息窃听的
，尤其是一种网络管理平面地址的随机跳变方法及装置。
技术介绍
作为一项可有效预防网络信息窃听的技术，网络安全领域对地址和端口跳变技术的研究愈发深入。地址和端口跳变是指网络节点拥有随机变化本身地址和端口，或者地址和端口在传输过程中不断变化的能力。在地址、端口跳变技术研究方面，目前出现了包括APOD，DyNAT和NASR等在内的研究成果，APOD使用基于地址和端口随机的“跳变隧道”伪装目标主机，在IP地址跳变过程中需要客户端与服务器端的协作；DyNAT提供一种在数据包进入核心网或公共网之前进行IP变化的机制，以避免中间人攻击；NASR是一种LAN级别的基于DHCP更新的网络地址随机跳变策略，用以防范Hitlistworms攻击。另外，EhabAl-Shaer等人提出了一种具有高速变化和难以预测特性的IP地址变化技术，简称RHM(RandomHostMutation)，RHM需要通过增添中心式的实体MovingTargetController和分布式实体MovingTargetGateway来进行实际地址rIP和虚拟地址vIP的转变。之后，EhabAl-Shaer等人在RHM的基础上结合新出现的OpenFlow技术对RHM作了进一步地改进，得到OF-RHM(OpenFlowRandomHostMutation)模型，相对于RHM，OF-RHM由于SDN灵活的基础架构可以更为有效以及以更小的处理开销开发和管理主机地址随机跳变功能。其中，APOD，DyNAT和NASR等技术均没有提供一种无需改变终端主机配置即可防范内外部侦听攻击的IP跳变机制；而RHM和OF-RHM技术通过控制器维护的实际地址到虚拟地址的映射，在通信过程中实现了一次性地地址跳变，并没有在数据传输过程中实现IP地址的多次可变。
技术实现思路
本专利技术所要解决的技术问题是：针对现有技术存在的问题，提供一种网络管理平面地址的随机跳变方法及装置。不必要对源、目的主机固有IP地址和端口进行重新配置。相比于上述RHM模型和OF-RHM模型，本模型将地址、端口跳变的过程从主机终端迁移到数据传输的路径上，在数据流经过每一跳交换机后，包头的地址、端口均会发生随机变化，而在OF-RHM模型中，地址从rIP(实际IP)与vIP(虚拟IP)之间的变化发生在第一跳OpenFlow交换机和最后一跳OpenFlow交换机，相比上述两种模型，本模型可以使得地址的跳变具有更高频率以及地址更加难以预测的特点，从而使得网络的两项属性——网络节点地址、端口不断发生变化，提升了网络攻击的复杂度和花费，降低网络被成功攻击的风险。本专利技术采用的技术方案如下：一种网络管理平面地址的随机跳变方法包括:步骤1：控制器根据某一交换机发送PacketIn消息获取主机数据流的包头信息；执行步骤2；步骤2：控制器根据该主机包头信息的源、目的IP地址判断通信双方主机是否在一个OpenFlow域内；如果不在一个OpenFlow域内，则执行泛洪操作；如果在一个域内，则执行步骤3；步骤3：控制器根据通信主机的源、目的IP地址从路由引擎获取源、目的主机之间的路由；如果没有可达路由，则执行泛洪操作；如果获取到可用路由，则执行步骤4；步骤4：控制器根据路由上的交换机数量，假设该路由上交换机数量为n，生成随机IP地址列表，并保存实际源、目的IP地址；随机IP地址列表共n-1项，每项包括随机生成的源、目的IP地址对；步骤5：控制器遍历路由上所有交换机，向每台交换机下发流表；所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作，通过IP地址在传输路径上的不断跳变，完成源主机与目的主机之间的数据传递。进一步的，所述OpenFlow域是指一台OpenFlow控制器管辖控制的范围。进一步的，所述步骤5具体过程是：步骤51：控制器遍历路由上所有交换机，向未下发流表的交换机下发流表，执行步骤52：步骤52：若所选路由上交换机是与源主机直接连接的交换机，即首交换机，则下发的流表Match匹配项为匹配实际源、目的IP地址，流表Actions项将更改数据流的源、目的IP为随机IP地址列表的第一项源、目的IP地址对，以及从相应端口转发，然后执行步骤51；若所选路由上交换机是第i跳交换机，即除过首交换机以及末交换机之外的交换机，则下发流表Match匹配项为匹配随机IP地址列表的第i-1项源、目的IP地址对，流表Actions项将更改数据流的源和目的IP为随机IP地址列表的第i项源、目的IP地址对，以及从相应端口转发，然后执行步骤51；若所选路由上交换机是与目的主机直接连接的交换机，即末交换机，则下发的流表Match匹配项为匹配随机IP地址列表的第n-1项源、目的IP地址对，流表Actions项将更改数据流的源和目的IP为实际源、目的IP地址，以及从相应端口转发，执行步骤53；步骤53：通过IP地址在传输路径上的不断跳变，完成源主机与目的主机之间的数据传递。进一步的，所述当n为4时，源主机IP地址r1、目的主机IP地址为r2；随机IP地址列表分别为v1到v6；v1、v2是第一交换机与第二交换机之间的第一项源、目的IP地址对；v3、v4是第二交换机与第三交换机之间的第二项源、目的IP地址对；v5、v6是第三交换机与第四交换机之间的第三项源、目的IP地址对；控制器Controller向第一交换机、第二交换机、第三交换机、第四交换机分别下发流表；各个交换机下发的流表内容如下：第一级交换机下发流表Match项为匹配源IP地址为r1、目的IP地址为r2的数据流，Actions项为执行修改源地址为v1、目的地址为v2，并向与第二交换机连接的端口转发的动作；第二交换机下发流表Match项为匹配源IP地址为v1、目的IP地址为v2的数据流，Actions项为执行修改源地址为v3、目的地址为v4，并向与第三交换机连接的端口转发的动作；第三交换机下发流表Match项为匹配源IP地址为v3、目的IP地址为v4的数据流，Actions项为执行修改源地址为v5、目的地址为v6，并向与第四交换机连接的端口转发的动作；第四交换机下发流表Match项为匹配源IP地址为v5、目的IP地址为v6的数据流，Actions项为执行修改源地址为r1、目的地址为r2，并向与目的主机H2连接的端口转发的动作。一种网络管理平面地址的随机跳变装置包括:控制器，用于根据某一交换机发送PacketIn消息获取主机数据流的包头信息；然后根据该主机包头信息的源、目的IP地址判断通信双方主机是否在一个OpenFlow域内；如果不在一个OpenFlow域内，则执行泛洪操作；如果在一个域内，则控制器根据通信主机的源、目的IP地址从路由引擎获取源、目的主机之间的路由；如果没有可达路由，则执行泛洪操作；如果获取到可用路由，则控制器根据路由上的交换机数量，假设该路由上交换机数量为n，生成随机IP地址列表，并保存实际源、目的IP地址；随机IP地址列表共n-1项，每项包括随机生成的源、目的IP地址对；控制器遍历路由上所有交换机，向每台交换机下发流表；所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的本文档来自技高网...

【技术保护点】
一种网络管理平面地址的随机跳变方法,其特征在于包括:步骤1：控制器根据某一交换机发送PacketIn消息获取主机数据流的包头信息；执行步骤2；步骤2：控制器根据该主机包头信息的源、目的IP地址判断通信双方主机是否在一个OpenFlow域内；如果不在一个OpenFlow域内，则执行泛洪操作；如果在一个域内，则执行步骤3；步骤3：控制器根据通信主机的源、目的IP地址从路由引擎获取源、目的主机之间的路由；如果没有可达路由，则执行泛洪操作；如果获取到可用路由，则执行步骤4；步骤4：控制器根据路由上的交换机数量，假设该路由上交换机数量为n，生成随机IP地址列表，并保存实际源、目的IP地址；随机IP地址列表共n‑1项，每项包括随机生成的源、目的IP地址对；步骤5：控制器遍历路由上所有交换机，向每台交换机下发流表；所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作，通过IP地址在传输路径上的不断跳变，完成源主机与目的主机之间的数据传递。

【技术特征摘要】
1.一种网络管理平面地址的随机跳变方法,其特征在于包括:步骤1：控制器根据某一交换机发送PacketIn消息获取主机数据流的包头信息；执行步骤2；步骤2：控制器根据该主机包头信息的源、目的IP地址判断通信双方主机是否在一个OpenFlow域内；如果不在一个OpenFlow域内，则执行泛洪操作；如果在一个域内，则执行步骤3；步骤3：控制器根据通信主机的源、目的IP地址从路由引擎获取源、目的主机之间的路由；如果没有可达路由，则执行泛洪操作；如果获取到可用路由，则执行步骤4；步骤4：控制器根据路由上的交换机数量，假设该路由上交换机数量为n，生成随机IP地址列表，并保存实际源、目的IP地址；随机IP地址列表共n-1项，每项包括随机生成的源、目的IP地址对；步骤5：控制器遍历路由上所有交换机，向每台交换机下发流表；所选路由上交换机根据下发的流表进行数据流的匹配和包头IP地址的更改、转发动作，通过IP地址在传输路径上的不断跳变，完成源主机与目的主机之间的数据传递。2.根据权利要求1所述的一种网络管理平面地址的随机跳变方法,其特征在于所述OpenFlow域是指一台OpenFlow控制器管辖控制的范围。3.根据权利要求1所述的一种网络管理平面地址的随机跳变方法,其特征在于所述步骤5具体过程是：步骤51：控制器遍历路由上所有交换机，向未下发流表的交换机下发流表，执行步骤52：步骤52：若所选路由上交换机是与源主机直接连接的交换机，即首交换机，则下发的流表Match匹配项为匹配实际源、目的IP地址，流表Actions项将更改数据流的源、目的IP为随机IP地址列表的第一项源、目的IP地址对，以及从相应端口转发，然后执行步骤51；若所选路由上交换机是第i跳交换机，即除过首交换机以及末交换机之外的交换机，则下发流表Match匹配项为匹配随机IP地址列表的第i-1项源、目的IP地址对，流表Actions项将更改数据流的源和目的IP为随机IP地址列表的第i项源、目的IP地址对，以及从相应端口转发，然后执行步骤51；若所选路由上交换机是与目的主机直接连接的交换机，即末交换机，则下发的流表Match匹配项为匹配随机IP地址列表的第n-1项源、目的IP地址对，流表Actions项将更改数据流的源和目的IP为实际源、目的IP地址，以及从相应端口转发，执行步骤53；步骤53：通过IP地址在传输路径上的不断跳变，完成源主机与目的主机之间的数据传递。4.根据权利要求1所述的一种网络管理平面地址的随机跳变方法,其特征在于所述当n为4时，源主机IP地址r1、目的主机IP地址为r2；随机IP地址列表分别为v1到v6；v1、v2是第一交换机与第二交换机之间的第一项源、目的IP地址对；v3、v4是第二交换机与第三交换机之间的第二项源、目的IP地址对；v5、v6是第三交换机与第四交换机之间的第三项源、目的IP地址对；控制器Controller向第一交换机、第二交换机、第三交换机、第四交换机分别下发流表；各个交换机下发的流表内容如下：第一级交换机下发流表Match项为匹配源IP地址为r1、目的IP地址为r2的数据流，Actions项为执行修改源地址为v1、目的地址为v2，并向与第二交换机连接的端口转发的动作；第二交换机下发流表Match项为匹配源IP地址为v1、目的IP地址为v2的数据流，Actions项为执行修改源地址为v3、目的地址为v4，并向与第三交换机连接的端口转发的动作；第三交换机下发流表Match项为匹配源IP地址为v3、目的IP地址为v4的数据流，Actions项为执行修改源地址为v5、目的地址为v6，并向与第四交换机连接的端口转发的动作；第四交换机下发流表Match项为匹配源IP地址为v5、目的IP地址为v6的数据流，Actions项为执行修改源地址为r1、目的地址为r2，并向与目的主机H2连接的端口转发的动作。5.一种网络管理平面地址的随机跳变装置,其特征在于包括:控制器，用于根据某一...

【专利技术属性】
技术研发人员：高诚，陈世康，王宏，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：四川,51