本发明专利技术提供一种基于动作可编程软件定义网络的加密跳变方法,包括:识别通信路径上的源交换机和目的交换机;控制器向数据平面下发流表规则,并对源交换机安装加密动作程序,对目的交换机安装解密动作程序;由数据发送主机向源交换机发送明文数据包,源交换机执行对应的加密动作程序,对数据包载荷加密,得到密文数据包;密文数据包经过网络传输到目的交换机;目的交换机执行对应的解密动作程序,完成对数据包载荷的解密操作,得到明文数据包,最后将明文数据包转发给数据接收主机。经过一个跳变周期,控制器更新源目的交换机的流表规则和动作程序,实现加密算法和密钥的跳变。本发明专利技术由网络完成数据包加解密和加密跳变,对终端透明且不会中断通信。透明且不会中断通信。透明且不会中断通信。
【技术实现步骤摘要】
一种基于动作可编程软件定义网络的加密跳变方法
[0001]本专利技术涉及网络安全
,具体而言,尤其涉及一种基于动作可编程软件定义网络的加密跳变方法。
技术介绍
[0002]随着网络技术的飞速发展,互联网已经成为人们生产生活不可或缺的工具。然而,当前网络安全威胁日益严重,网络攻击事件逐年增多,严重阻碍了互联网的进一步发展和应用。监听攻击是一种典型的网络攻击手段,攻击者通过在网络节点或链路上监听通信数据,获取和破解通信内容。监听攻击并不产生主动的攻击行为,不会导致网络行为异常,因此难以检测和防御。
[0003]针对监听攻击,现有主要的防御手段为数据加密,然而由于用户安全意识较低,往往放弃加密或者采用弱密码加密数据,这为攻击者破解通信内容提供了便利,导致防御失效。到目前为止,针对监听攻击构建更有效的防御方法仍然是亟待解决的问题。
技术实现思路
[0004]根据上述提出的针对监听攻击缺乏有效防御方法的技术问题,而提供一种基于动作可编程软件定义网络的加密跳变方法。本专利技术利用动态、随机、多态的移动目标防御(Moving Target Defense,MTD)思想,在通信中动态变换加密算法和密钥,增加攻击者破译信息的难度和代价,从而保护网络通信数据的安全。
[0005]本专利技术采用的技术手段如下:
[0006]一种基于动作可编程软件定义网络的加密跳变方法,所述动作可编程软件定义网络包括:
[0007]运行在控制器上的控制器应用,其用于根据用户需求向控制器下发动作程序相关命令,
[0008]作为网络系统控制中心的控制器,其一方面用于存储和管理动作程序及其配置文件,另一方面用于根据控制器应用将动作程序和配置文件下发给指定交换机,
[0009]基于南向接口协议与所述控制器实现交互的交换机,其用于根据接收的配置文件执行动作程序完成对数据包的复杂处理,其中所述南向接口协议一方面用于向所述交换机传输控制器下发的控制动作程序及其配置文件,另一方面向所述控制器传输交换机发起的消息;
[0010]所述方法包括以下步骤:
[0011]识别通信路径上的源交换机和目的交换机,其中所述源交换机连接数据发送主机,所述目的交换机连接数据接受主机;
[0012]控制器通过南向接口向数据平面下发流表规则,并对数据发送主机到数据接受主机路由路径的源交换机安装加密动作程序,对目的交换机安装解密动作程序;
[0013]由数据发送主机向源交换机发送明文数据包,所述源交换机接收所述明文数据包
后进行流表匹配,当执行Program动作时,源交换机执行对应的加密动作程序,对数据包载荷加密,得到密文数据包,并将所述密文数据包转发至下一跳交换机;
[0014]密文数据包经过网络传输到目的交换机;
[0015]所述目的交换机收到密文数据包后进行流表匹配,当执行Program动作时,目的交换机执行对应的解密动作程序,完成对数据包载荷的解密操作,得到明文数据包,最后将明文数据包转发给数据接收主机。
[0016]进一步地,所述方法还包括:
[0017]经过一个跳变周期,控制器随机更新加密算法和密钥;
[0018]所述源交换机随之更新流表规则和加密动作程序;相应地,所述目的交换机更新流表规则和解密动作程序。
[0019]进一步地,控制器随机更新加密算法和密钥,步骤包括:
[0020]控制器对数据发送主机到数据接收主机路由路径上的,除源交换机和目的交换机以外的交换机安装流表规则,转发带有标签的数据包;
[0021]控制器对目的交换机安装新的流表项和解密动作程序,从而使目的交换机对数据发送主机到数据接收主机且带有标签的数据包执行解密动作程序;
[0022]对源交换机安装新的加密动作程序;
[0023]修改源交换机的流表,对数据发送主机到数据接收主机的数据包执行新的加密动作程序,并对数据包打标签;
[0024]等待数据发送主机到数据接收主机最长传输时延,然后删除数据发送主机到数据接收主机路由路径上所有老流表项,删除源交换机和目的交换机上的老加解密动作程序;
[0025]修改数据发送主机到数据接收主机路由路径上的新流表项,删除标签。
[0026]进一步地,控制器通过南向接口向数据平面下发流表规则,并对数据发送主机到数据接受主机路由路径的源交换机安装加密动作程序,对目的交换机安装解密动作程序,包括:
[0027]控制器生成加、解密动作程序配置文件时,在算法空间随机选择加、解密算法,并在密钥空间中随机选择加、解密密钥;
[0028]随后加、解密动作程序根据配置文件参数确定加、解密算法和密钥。
[0029]进一步地,源交换机执行加密动作程序,包括:
[0030]对明文数据包进行数据分块,对数据块进行分组加密,其中对最后一个长度不足数据块分组加密时,采用不增加密文长度的密码算法进行加密;
[0031]相应的,目的交换机执行解密动作程序,包括:
[0032]对密文数据包进行数据分块,对数据块进行分组解密,其中对最后一个长度不足数据块分组解密时,采用所述密码算法对应的解密算法进行解密。
[0033]较现有技术相比,本专利技术具有以下优点:
[0034]1、本专利技术通过控制器向交换机下发加解密动作程序,由交换机执行数据包的加解密操作,加解密过程对终端透明,且不会中断正在进行的通信。
[0035]2、本专利技术利用动态、随机、多态的移动目标防御(Moving Target Defense,MTD)思想,提出了一种基于动作可编程软件定义网络(Software DefinedNetwork,SDN)的加密跳变方法,在通信中动态变换加密算法和密钥,增加攻击者破译信息的难度和代价,从而保护
网络通信数据的安全。
[0036]基于上述理由本专利技术可在网络通信领域广泛推广。
附图说明
[0037]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做以简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0038]图1为实施例中动作可编程的SDN架构示意图。
[0039]图2为实施例中基于动作可编程的SDN的数据加密跳变架构示意图。
具体实施方式
[0040]为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。
[0041]本专利技术提供了一种基于动作可编程软件定义网络的数据加密传输方法,基于动作可编程软件定义网络实现,网络架构本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于动作可编程软件定义网络的加密跳变方法,其特征在于,所述动作可编程软件定义网络包括:运行在控制器上的控制器应用,其用于根据用户需求向控制器下发动作程序相关命令,作为网络系统控制中心的控制器,其一方面用于存储和管理动作程序及其配置文件,另一方面用于根据控制器应用将动作程序和配置文件下发给指定交换机,基于南向接口协议与所述控制器实现交互的交换机,其用于根据接收的配置文件执行动作程序完成对数据包的复杂处理,其中所述南向接口协议一方面用于向所述交换机传输控制器下发的控制动作程序及其配置文件,另一方面向所述控制器传输交换机发起的消息;所述方法包括以下步骤:识别通信路径上的源交换机和目的交换机,其中所述源交换机连接数据发送主机,所述目的交换机连接数据接受主机;控制器通过南向接口向数据平面下发流表规则,并对数据发送主机到数据接受主机路由路径的源交换机安装加密动作程序,对目的交换机安装解密动作程序;由数据发送主机向源交换机发送明文数据包,所述源交换机接收所述明文数据包后进行流表匹配,当执行Program动作时,源交换机执行对应的加密动作程序,对数据包载荷加密,得到密文数据包,并将所述密文数据包转发至下一跳交换机;密文数据包经过网络传输到目的交换机;所述目的交换机收到密文数据包后进行流表匹配,当执行Program动作时,目的交换机执行对应的解密动作程序,完成对数据包载荷的解密操作,得到明文数据包,最后将明文数据包转发给数据接收主机。2.根据权利要求1所述的一种基于动作可编程软件定义网络的加密跳变方法,其特征在于,所述方法还包括:经过一个跳变周期,控制器随机更新加密算法和密钥;所述源交换机随之更新流表规则和加密动作程序;相应地,所述目的交换机更新流表规则和解密动作程序。3.根据权利要求2所述的一种...
【专利技术属性】
技术研发人员:赵正,赵奇,范晓娅,毛倩,刘洪波,石小波,刘铠硕,郭蕊,解泽强,
申请(专利权)人:大连海事大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。