本发明涉及网络流水印技术,尤其是一种基于openflow的网络水印的通信装置及方法。
背景技术:
首先对本发明中用到的缩写进行定义:
sdn(softwaredefinednetwork):软件定义网络;
匿名网络的出现,为网络攻击者隐藏身份、躲避检测和监管提供了有效的手段。大多数网络攻击者会选择登录中间跳板或使用匿名网络来隐藏自己的身份,这使网络监测和管理变得更加困难。主动网络流水印技术将主动网络流量分析与数字水印思想结合起来,具有准确率高、监测时间短、实时性强等优点,引起了学者们的广泛关注。
主动网络流水印技术是一种主动网络流量调制与分析技术。它的主要思想借鉴于数字水印,通过在可疑发送端主动地调制某些流的特征来嵌入水印,例如数据包的时间间隔、流量速率、数据包的有效包载荷等。在经过复杂的通信网络的传输后,若从接收端探测到的数据流中能够检测出对应的水印,则认为两端的流量存在关联,从而可以进一步认定两端存在通信关系。
虽然网络流水印技术正在不断的发展和完善,但是并没有与整个网络安全系统整合,嵌入点和检测点部署方式尚不灵活。
技术实现要素:
本发明所要解决的技术问题是:针对现有技术存在的问题,提供一种基于openflow的网络水印的通信装置及方法。本发明公开了一种基于openflow的网络流水印装置及方法,目的在于提高网络流水印系统的灵活性,提出网络流水印技术在sdn网络框架下一种新的实现方法。
本发明采用的技术方案如下:
一种基于openflow的网络水印的通信装置包括:
设置于发送端的水印嵌入端,用于给发送端的通信数据包添加流表项,选取需要嵌入水印的相关数据;然后嵌入水印后,将嵌入水印的相关数据通过网络发送到接收端;
设置于接收端的水印检测端,用于接收所述嵌入水印的相关数据,进行水印检测,确定发送端与接收端的数据关系。
进一步的,所述嵌入端交换机根据openflow流表项中关键字段提取匹配的相关数据然后发送给嵌入式控制器进行水印嵌入;然后嵌入水印后,将嵌入水印的相关数据回发给嵌入式控制器后,然后通过网络发送到接收端;其中嵌入端控制器下发openflow流表项给嵌入端交换机;嵌入式交换机是商用openflow交换机。
进一步的,所述根据openflow流表项中关键字段提取匹配的相关数据具体过程是:嵌入式交换机将接收到的数据通过openflow流表项的数据包匹配域进行匹配,提取能进行水印嵌入的数据;然后在当该数据的匹配数据处理命令为输出至控制器时,则该数据通过嵌入式交换机发送至嵌入式控制器进行水印嵌入。
进一步的,所述检测端交换机根据openflow流表项中关键字段提取匹配的水印嵌入的相关数据,然后发送给检测端控制器进行水印解调;然后检测端控制器将水印解调后的相关数据进行水印检测,确定发送端与接收端的数据关系;检测端交换机是商用openflow交换机。
进一步的,所述确定发送端与接收端的数据关系指的是,能检测出嵌入式控制器嵌入的水印时,则认为发送端和接收端通信流量存在关,确定发送端和接收端段存在通信关系。
进一步的,所述商用openflow交换机需要重新编译openwrt,添加openflow源码;修改network配置文件完成商用openflow交换机外围端口配置;修改openflow文件完成商用openflow交换机数据通道配置;修改firewall文件配置商用openflow交换机端口转发功能。
进一步的,所述嵌入式交换机与检测端交换机是专用openflow交换机,其中专用openflow交换机允许在ovs模式,创建网桥并配置端口,然后通过命令连接对应的嵌入式控制器以及检测端控制器。
基于所述通信装置的通信方法包括:
设置于发送端的水印嵌入端给发送端的通信数据包添加流表项,选取需要嵌入水印的相关数据;然后嵌入水印后,将嵌入水印的相关数据通过网络发送到接收端;
设置于接收端的水印检测端接收所述嵌入水印的相关数据,进行水印检测,确定发送端与接收端的数据关系。
进一步的,所述嵌入端交换机根据openflow流表项中关键字段提取匹配的相关数据然后发送给嵌入式控制器进行水印嵌入;然后嵌入水印后,将嵌入水印的相关数据回发给嵌入式控制器后,然后通过网络发送到接收端;其中嵌入端控制器下发openflow流表项给嵌入端交换机。
进一步的,所述检测端交换机根据openflow流表项中关键字段提取匹配的水印日嵌入的相关数据,然后发送给检测端控制器进行水印解调;然后检测端控制器将水印解调后的相关数据进行水印检测,确定发送端与接收端的数据关系。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
在网络节点中可以部署openflow交换机和控制器,控制器通过下发规则控制openflow交换机,这样就可以对途经该网络节点的数据流进行统一地处理。这为流水印技术提供了更为灵活的实现方式。
(1)本发明使用sdn这一新型网络框架,将水印嵌入点和检测点部署在sdn架构
下的网络节点中,使得系统对水印嵌入和检测的控制更加灵活。
(2)本发明使用openflow协议,sdn网络下的交换机大多支持该协议,具有很好
的适用性。
(3)本发明在floodlight控制器实现水印嵌入和检测的功能,无需对openflow
交换机的软硬件进行修改,使得系统易于扩展和管理。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是本发明装置部署图。
图2是普通商用交换机与控制主机连接结构示意图。
图3是专用openflow交换机与控制器连接结构示意图。
图4是本发明装置流程设计图。
图5是openflow流表项示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本发明相关说明:
1、嵌入式交换机与检测端交换机都是专用openflow交换机
2、openflow流表项中关键字段至少包括数据包匹配域以及匹配数据处理命令。
3、sdn是一种新型的基于软件可编程思想的网络架构,它有一个集中地控制平面和分布式的转发平面,两个平面相互分离,因此sdn在实现上不需要依赖交换机等底层网络设备。同时该框架提高了用户对网络的管理权限,所以开发者可以自定义任何所需的传输规则和网络路由策略,这使得网络控制变得更为灵活和智能。在网络节点中可以部署openflow交换机和控制器,控制器通过下发规则控制openflow交换机,这样就可以对途经该网络节点的数据流进行统一地处理。这为流水印技术提供了更为灵活的实现方式。
二、该发明的具体实现流程如下:
1)在实际网络节点中部署openflow交换机和控制器,搭建水印嵌入端和检测端网络环境。本系统的实验部署需要openflow交换机两台、pc4台,系统部署如图1所示。
openflow交换机分为两种:一种是专用openflow交换机,该类交换机用硬件实现openflow交换机的三个基本组成部分。另一种是商用交换机,在生产时并没有openflow交换机的三个基本成分,用户需要通过软件自定义流表、安全通道和协议规范,实现openflow交换机的功能。在完成系统环境部署时使用不同的openflow交换机需要不同的步骤。
对于专用openflow交换机,可以直接连接控制器,检测两端通信情况完成环境配置。实验中使用pica8交换机完成环境部署,该交换机支持openflow交换机的ovs模式。当进入ovs模式后就与openvswitch没有任何功能上的区别。令交换机运行在ovs模式下,创建网桥并配置端口,然后通过命令连接控制器。连接结构如图2所示。
对于商用交换机,在环境部署之前要在其系统中安装软件使其支持openflow,配置完成后连接控制器,检测两端通信情况,连接结构如图3所示。实验中使用tp-link交换机完成环境部署,该路由器操作系统为openwrt,在pc上重新编译openwork,修改配置文件,将生成的系统镜像上传至交换机完成操作系统的升级。
具体操作为:
1.重编译openwrt,添加openflow源码。
2.修改network配置文件完成端口配置:根据openflow协议的要求为不同的端口划分不同的vlan。预留一个普通端口用于连接控制器,将余下的端口分别划分到不同的vlan用做标准openflow端口。
3.修改openflow文件完成数据通道配置:设置数据通路id,将配置好的端口设为openflow标准端口,设置控制器ip和端口。
4.修改firewall文件配置端口转发功能。
2)在两端下发相应的规则
openflow交换机按照流表决定数据包的处理方式,流表项结构如图5所示。其中matchfields字段表示数据包匹配域,匹配域包括数据包头、进入端口信息、元数据等。instructions用于设置数据包操作集或流水线处理。数据包到达交换机后,就与流水线中的流表进行交互,通过matchfields字段与流表项匹配,数据包匹配字段从到达的数据包中提取,然后根据匹配数据处理命令instructions字段内容对匹配到的数据包进行相应的处理。当匹配数据处理命令instructions字段定义为“output=controller”时,交换机就将匹配到的数据包封装到packet-in消息中发送至floodlight控制器。
系统通过两端的floodlight控制器(该控制器指的是嵌入式控制器或检测端控制器)定义流表项中不同字段,向openflow交换机下发流表项,生成规则,两端的openflow交换机(该交换机指的是嵌入式交换机或检测端交换机)通过执行控制器规则,将符合特征的数据包发送至控制器进行下一步处理。
3)实现网络流水印嵌入、检测功能,在发送端嵌入水印,接收端检测水印数字水印技术包括水印载体的确定和水印嵌入、水印解调方式的设计两个方面。水印嵌入是将水印载体的某些属性进行适当修改完成水印的嵌入,水印解调是从水印载体中检测提取水印信号位。本系统将数据包间隔时间作为网络流水印技术的水印载体。水印嵌入检测功能均在floodlight控制器端实现。以数据包间隔时间作为水印载体的基本思想是在发送端数据流中选取一定数量的数据包,通过调整所选数据包的发送时间间隔嵌入水印信息。该方法的关键是要保证加水印的网络流中有足够多的数据包,并且仅在选定的数据包间嵌入水印,这样接收端就能通过提取对应位置的数据包接收时间间隔检测水印信息。该网络流水印装置处理流程设计图如图4。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。