本发明专利技术公开了基于软件定义网络负载均衡的异构多径安全路由计算方法,其包括以下步骤:1)使用安全信道传输派生的加密密钥和认证密钥给交换机,利用交换机的ID和输入端口号构造交换机的身份标识符;2)利用交换机的输入端口号和身份标识符以及明文消息构造暂存消息;基于加密密钥、认证密钥和暂存消息构造路由转发数据包;3)生成多组源节点‑目的节点对的异构路径集合;4)为多组源‑目的节点对的路径进行流量负载均衡;5)传输路径上的下个交换机对数据包进行验证,若验证成功则向下游转发;若验证失败则停止路由,定位受损的交换机并且根据新的路径重新路由数据包。本发明专利技术为生成的路径分配流量保证负载均衡。
1、软件定义网络是一种新兴的网络架构,它将控制平面和数据平面分离开来,使网络管理和配置更加灵活高效。但是由于数据平面涉及相关敏感信息,因此信息传输时的路由以及信息保护成为一个重要问题。在信息传输过程中,安全性被认为是最重要的问题之一。目前,对于软件定义网络的研究正处于蓬勃发展时期,软件定义网络的内生安全至关重要。
5、2)利用当前交换机si的输入端口号inport(si)和身份标识符fidi,以及明文消息m构造暂存消息itm,暂存消息itm的具体内容为inport(si)||fidi||enc(ek,m);基于加密密钥ek、认证密钥ak和暂存消息itm构造携带信息为enc(ek,itm||sig(ak,itm))的路由转发数据包;其中enc()表示加密动作,sig()表示签名动作;
>8、5)传输路径上的下个交换机对数据包进行验证,若验证成功则向下游转发;若验证失败则停止路由,定位受损的交换机并且根据新的路径重新路由数据包;9、步骤1的具体方法为:
10、1-1,使用安全信道传输派生的加密密钥ek和认证密钥ak给交换机;
11、1-2,交换机si生成自己的id号sidi,以及自己的输入端口号inport(si);
12、1-3,利用sidi和inport(si)构造si的身份标识符fidi,身份标识符fidi具体内容为其中表示异或动作;
13、步骤2的具体方法为:
14、2-1,使用加密密钥ek对明文消息m加密,记为enc(ek,m),其中enc()表示加密动作;
15、2-2,将inport(si)、fidi和enc(ek,m)串联,记为暂存消息itm,itm可表示为inport(si)||fidi||enc(ek,m);
16、2-3,使用认证密钥ak对暂存消息itm签名,记为sig(ak,itm),其中sig()表示签名动作;
17、2-4,串联itm和sig(ak,itm),记为itm||sig(ak,itm);
18、2-5,使用加密密钥rk对itm和sig(ak,itm)加密,构造路由转发数据包enc(ek,itm||sig(ak,itm));
19、步骤3的具体方法为:
20、3-1,初始化网络拓扑g,一个空的异构多路径集合min(p)和一个正整数计数器i,其中i=1;
21、3-2,从网络拓扑g中获取网络的路径集pi、节点集vi、节点的度is(vi)和节点的总数n(v);
22、3-3,判断i与节点的总数n(v)的大小是否满足i≤n(v);如果是,则执行3-4;否则,不满足时完成异构路径的选择;
23、3-4,选择第一个度最小的节点vi:is(vi)≤is(v′),其中vt表示除节点vii以外的任意节点;
24、3-5,将与vii相连接的路径pi加入异构多路径集合min(p)中;
25、3-6,在网络拓扑g中移除路径pi、节点vi,计数器执行i+1动作;
26、3-7,返回执行步骤3-3;
27、步骤4的具体方法为:
28、4-1,在其中一组源节点-目的节点对中,为其中的一条异构路径hp的一个路由段分配流量,记为其中表示从源节点s到目的节点d的路径上第m到第n个路由片段的流量;
29、4-2,生成一个随机数k,计算其中k是一个在0到1之间的小数,“·”为数乘运算;
30、4-3,计算记为其中“·”为数乘运算;
31、4-4,将路径hp中的流量分配出给另一组异构路径hp′的对应路由片段上;
32、4-5,根据以上流量分配方法,为异构路径hp′的所有路径片段分配流量;
33、步骤5的具体方法为:
34、5-1,交换机si+1使用ek解密来自交换机si的数据包enc(ek,itm||sig(ak,itm))获得itm||sig(ak,itm);
35、5-2,分离itm||sig(ak,itm)得到暂存消息itm:inport(si)||fidi||enc(ek,m)和sig(ak,itm);
36、5-3,传输路径上的下个交换机对暂存消息itm进行验证,若验证结果与sig(ak,itm)匹配,则向下游交换机继续转发;
37、5-3-1,si+1生成id号sidi+1和输入端口号inport(si+1)并构造身份标识符fidi+1,fidi+1表示为其中表示异或动作;
38、5-3-2,si+1将暂存消息itm中inport(si)替换为inport(si+1),将fidi替换为fidi+1,并生成新的暂存消息itm′,itm′表示为inpor(si+1)||fidi+1||enc(ek,m);
39、5-3-3,si+1使用ak对暂存消息itm′进行签名,记为:sig(ak,itm′);
40、5-3-4,将itm′和sig(ak,itm′)进行串联,记为itm′||sig(ak,itm′);
41、5-3-5,利用ek对itm′||sig(ak,itm′进行加密,并向下游交换机转发新的数据包enc(ek,itm′||sig(ak,itm′));
42、5-4,若对暂存消息itm的验证结果与ig(ak,itm)不匹配,则停止路由并定位受损交换机,选择一条新路径重新转发数据包;
43、5-4-1,截取暂存消息itm获得inport(si)和fidi并进行异或操作计算出sidi,其中
44、5-4-2,根据计算出的交换机id:sidi,定位出被攻击的交换机;
45、5-4-3,源节点重新构建基于加密密钥ek、认证密钥ak和暂存消息itm构造携带信息为enc(ek,itm||sig(ak,itm))的路由转发数据包;
46、5-4-4,从异构多路径集合min(p)中选择一条路径传输数据包;
47、5-4-5,为选择的路径分配流量;
48、5-4-6,源节点按照新选择的路径向目的节点重新发送数据包。
49、本专利技术采用以上技术方案,当多本文档来自技高网...
【技术保护点】
1.基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:其包括以下步骤:
2.根据权利要求1所述的基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:步骤1的具体方法为:
3.根据权利要求1所述的基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:步骤2的具体方法为:
4.根据权利要求1所述的基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:步骤3的具体方法为:
5.根据权利要求1所述的基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:步骤4的具体方法为:
6.根据权利要求1所述的基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:步骤5的具体方法为:
7.根据权利要求6所述的基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:步骤5-3具体包括以下步骤:
8.根据权利要求6所述的基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:步骤5-4具体包括以下步骤:
【技术特征摘要】
1.基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:其包括以下步骤:
2.根据权利要求1所述的基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:步骤1的具体方法为:
3.根据权利要求1所述的基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:步骤2的具体方法为:
4.根据权利要求1所述的基于软件定义网络负载均衡的异构多径安全路由计算方法,其特征在于:步骤3的具体方法为:
5.根据权利要...
【专利技术属性】
技术研发人员:林丽美,姚圳鸿,黄艳泽,陈高琳,
申请(专利权)人:福建师范大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。