一种拟态防御中拟态配置的服务路径验证方法技术

本发明专利技术公布了的一种拟态防御中拟态配置的服务路径验证方法。本发明专利技术控制器依据Shanmir的秘密分享多项式算法，为每一条服务路径生成一个多项式，利用生成的多项式和每个交换机唯一的路径标识，生成对应的交换机路径验证标识序列对，随后依次将对应的序列值通过控制器配置到交换机中。当数据包经过交换机时会触发向控制器发送Packet_in消息，该消息携带了交换机路径验证标识，表明数据包当前经过了该交换机，当数据包到达目的地，控制器会收集到数据包经过的交换机发送的交换机路径验证标识。通过分组筛选不同服务链的交换机路径验证标识序列对，SDN能够比对数据，分析出对应的服务链是否被正确部署。本发明专利技术提高网络空间的防御能力。

A service path verification method of pseudo configuration in pseudo defense

【技术实现步骤摘要】
一种拟态防御中拟态配置的服务路径验证方法
本专利技术属于网络通信
，尤其涉及一种拟态防御中拟态配置的服务路径验证方法。
技术介绍
在SDN网络架构中，这种转发和控制分离的技术，用集中控制器的方式实现了对全网的控制，简化了网络配置管理。底层的网络设备，用户可通过上层的开放性接口实现网络设备的控制，给服务部署的配置带来了极大的便利。传统服务链的业务部署基于物理拓扑结构，将硬件设备串到业务数据流的传输路径中，网络部署复杂，在业务变更时需改动物理网络拓扑结构，效率低适应能力差。SDN网络中控制器通过openflow协议下发交换机路径转发规则，控制网络数据流的转发路径，可非常快速有效对业务流传输路径进行配置，规划数据流所经过的服务功能路径。在SDN可实现服务链路径的快速部署，满足用户需求，但只有在安全的基础上才显得有意义。在SDN网络路径配置中，主要面临SDN控制器极易成为攻击者的首要目标和配置完成后数据流是否按服务链的路径配置要求进行传输的安全问题。
技术实现思路
本专利技术的目的是克服现有技术的不足，提出一种拟态防御中拟态配置的服务路径验证方法。本专利技术解决其技术问题所采用的技术方案包含如下步骤：拟态配置包括应用层、拟态控制层和数据层三部分；所述应用层是由若干的业务应用组成，业务包括访问控制、转发控制、拥塞控制；所述的拟态控制层由控制器(CONTROLLER)组成，通过南向接口对数据层的网络设备进行资源获取和控制；数据层是由可编程交换的网络设备组成，负责网络数据的转发；<br>应用层通过HTTP服务下发服务部署数据到拟态控制层，拟态控制层利用CONTROLLER下发流表，将控制数据部署到数据层中；数据层会执行控制消息，进行数据转发和验证工作；控制器汇总服务部署情况，上交应用层进行处理；所述的验证工作由OPENFLOW的Packet-in消息进行传递；Packet-in消息字段包括了VERSION(版本)、OFPT_PACKET_IN(消息类型)、LENGTH(长度)、BUFFER_ID(保存数据包的缓存ID)、REASON(发送Packet-in消息的原因)、DATA(数据)字段。进一步的，拟态配置的服务验证由一个多项式矩阵和权重值组成；对于不同的服务部署情况，采取不同的权重值与多项式矩阵相乘；公式如下所示：其中，矩阵G为多项式矩阵，其中的a11…att代表多项矩阵的常数项，t代表服务部署需要的设备数目值，i1...it为权重值，未知数x为验证输入标识值；对于经过同一可编程交换网络设备的服务部署情况，则使如下公式：Sij＝(ri，kj，hij)，Si＝{Si1，Si2…Sij}，其中，r为不同服务部署特征标识值，k为可编程交换机的标识值(DATAPATH)的HASH值，Sij为在第i种服务中经由第j个交换机的路径验证标识(PATAG)集合值，其中了ri代表了第i种服务，kj代表第j个交换机，hij是根据f(ri，kj)带入多项式矩阵得到的值；在服务部署开始时，首先将Sij组成的矩阵，保存到控制器中等待认证；其次，将sij组成的矩阵中，属于对应设备的PATAG，下发到各自交换机。进一步的，数据流经过验证节点的交换机时，交换机校验PATAG值，将校验结果通过Packet-in消息发送给CONTROLLER；其中Packet-in消息的DATA字段同时携带了数据包头的HASH运算值。进一步的，拟态控制层的CONTROLLER，当接收到的Packet-in消息时，会执行如下步骤:步骤1：判断Packet-in消息内的REASON字段是否为OFPR_ACTION，是，则执行步骤2；否，退出验证；步骤2：保存Packet-in消息内DATAPATH_ID、COOKIE和HASH_DATA字段的信息，提取HASH_DATA相同的DATAPATH_ID和COOKIE；对于相同的HASH_DATA字段的数据集合，与保存的PATAG对进行计算，其中DATAPATH_ID对应k值，HASH_DATA值确认r值；若对于第i个服务，成功校验j个数据，则说明第i条服务部署成功，否则，路径验证失败，进行路径异常处理操作。本专利技术有益效果如下：为提升网络空间的安全性，在鉴于目前网络空间中的架构静态性和单一性，和现有防御体系的安全漏洞和脆弱性无法对未知后门和漏洞形成有效的防御。本专利技术提出网络空间的拟态安全防御，利用动态异构冗余的思想，用异构性、动态性，多样性改变了现有防御系统的脆弱性、静态性，单一性，可提高网络空间的防御能力，有效的解决上述问题。具体实施方式下面结合具体实施例对本专利技术作进一步说明。一种拟态防御中拟态配置的服务路径验证方法，具体实现如下：步骤1:拟态防御是一种全新的技术手段，它通过构建异构冗余执行体，即增加多余的同等功能的执行模块，经过重复且复杂的逻辑设置，可以协调工作的运行方式，来有效抵御网络攻击。步骤2：拟态防御配置包括应用层，拟态控制层，和数据层三部分。所述应用层是由若干的业务应用组成，业务包括访问控制、转发控制、拥塞控制。拟态控制层由控制器(CONTROLLER)组成，通过南向接口对数据层的网络设备进行资源获取和控制。数据层，由是可编程交换设备组成，负责网络数据的转发。步骤3：应用层通过HTTP服务下发服务部署数据到拟态控制层，拟态控制层利用CONTROLLER下发流表，将控制数据部署到数据层中。数据层会执行控制消息，进行数据转发，验证工作。步骤4：验证工作由OPENFLOW的Packet-in消息进行传递。Packet-in消息字段包括了VERSION(版本)、OFPT_PACKET_IN(消息类型)、LENGTH(长度)、BUFFER_ID(保存数据包的缓存ID)、REASON(发送Packet-in消息的原因)、DATA(数据)字段。步骤5：拟态配置的服务验证由一个多项式矩阵和权重值组成。对于不同的服务部署情况，采取不同的权重值与多项式矩阵相乘。如下所示：矩阵G为多项式矩阵，其中的a11…att代表多项矩阵的常数项，t代表服务部署需要的设备数目值，i1...it，为权重值，未知数x为验证输入标识值。对于经过同一可编程交换设备的服务部署情况，则使如下公式：Sij＝(ri，kj，hij)，Si＝{Si1，Si2…Sij}，其中r为不同服务部署特征标识值，k为可编程交换机的标识(DATAPATH)的HASH值，Sij为在第i种服务中经由第j个交换机的路径验证标识(PATAG)集合值，其中了ri代表了服务，kj代表交换机，hij是根据f(ri，kj)带入多项式矩阵得到的值。在服务部署开始时，首先将Sij组成的矩阵，保存到控制器中等待认证。其次，将sij组成的矩阵中，属于对应设备的PATAG，下发到各自交换机。步骤5：数据流经过验证节点的交换机时，交换机校验PATAG值，将校验结果通过Pa本文档来自技高网...

【技术保护点】
1.一种拟态防御中拟态配置的服务路径验证方法，其特征在于具体实现如下：/n拟态配置包括应用层、拟态控制层和数据层三部分；/n所述应用层是由若干的业务应用组成，业务包括访问控制、转发控制、拥塞控制；所述的拟态控制层由控制器(CONTROLLER)组成，通过南向接口对数据层的网络设备进行资源获取和控制；数据层是由可编程交换的网络设备组成，负责网络数据的转发；/n应用层通过HTTP服务下发服务部署数据到拟态控制层，拟态控制层利用CONTROLLER下发流表，将控制数据部署到数据层中；数据层会执行控制消息，进行数据转发和验证工作；/n控制器汇总服务部署情况，上交应用层进行处理；/n所述的验证工作由OPENFLOW的Packet-in消息进行传递；Packet-in消息字段包括了VERSION(版本)、OFPT_PACKET_IN(消息类型)、LENGTH(长度)、BUFFER_ID(保存数据包的缓存ID)、REASON(发送Packet-in消息的原因)、DATA(数据)字段。/n

【技术特征摘要】
1.一种拟态防御中拟态配置的服务路径验证方法，其特征在于具体实现如下：
拟态配置包括应用层、拟态控制层和数据层三部分；
所述应用层是由若干的业务应用组成，业务包括访问控制、转发控制、拥塞控制；所述的拟态控制层由控制器(CONTROLLER)组成，通过南向接口对数据层的网络设备进行资源获取和控制；数据层是由可编程交换的网络设备组成，负责网络数据的转发；
应用层通过HTTP服务下发服务部署数据到拟态控制层，拟态控制层利用CONTROLLER下发流表，将控制数据部署到数据层中；数据层会执行控制消息，进行数据转发和验证工作；
控制器汇总服务部署情况，上交应用层进行处理；
所述的验证工作由OPENFLOW的Packet-in消息进行传递；Packet-in消息字段包括了VERSION(版本)、OFPT_PACKET_IN(消息类型)、LENGTH(长度)、BUFFER_ID(保存数据包的缓存ID)、REASON(发送Packet-in消息的原因)、DATA(数据)字段。


2.根据权利要求1所述的一种拟态防御中拟态防御配置的服务路径验证方法，其特征在于拟态配置的服务验证由一个多项式矩阵和权重值组成；对于不同的服务部署情况，采取不同的权重值与多项式矩阵相乘；公式如下所示：



其中，矩阵G为多项式矩阵，其中的a11...att代表多项矩阵的常数项，t代表服务部署需要的设备数目值，i1...it为权重值，未知数x为验证输入标识值；对于经过同一可编程交换网络设备的服务部署情况，则使如下公式：



Sij＝(ri，kj，hij)，
Si＝{Si1，Si...

【专利技术属性】
技术研发人员：高明，焦海，罗锦，应丽莉，周慧颖，
申请(专利权)人：浙江工商大学，
类型：发明
国别省市：浙江;33