一种基于pof的网络窃听防御方法和系统的制作方法
【技术领域】
[0001] 本发明设及通信技术领域,尤其设及一种基于POF的网络窃听防御方法和系统。
【背景技术】
[0002] 软件定义网络(SDN)架构提出将网络转发设备的控制层和转发层分离,通过应用 程序从逻辑集中的控制器端向网络设备下发数据包处理策略。实现了一种对互联网络进行 中央集中监控、宏观策略配置的管理和控制方案。在SDN中,可通过中央控制器,对下层网 络的数据流转发进行宏观控制,通过下发策略流表的方式,指导下层网络数据传输路径,并 灵活的进行切换。
[0003] 在软件定义网络架构的基础上,出现了一种协议无感知转发交换机,即,交换机中 对网络数据包的查找和转发操作指令并非像传统网络中那样W硬编码的形式嵌入交换机 中,而是通过控制器端W软编码形式下发至交换机。该种转发设备的出现,加快网络新协议 的测试和试用步伐。在不需要设备商对设备进行转发协议识别的支持的前提下,即可通过 控制器将协议识别方式W流表的形式下发至交换机中。
[0004] 上述协议无感知交换机无需感知所处理的数据包的承载协议类型,只需通过"协 议字段偏移"、"协议字段长度"两个参数来识别所有协议类型中的字段。而控制器端可通过 下发流表策略,指定交换机仅处理符合匹配数值的数据包,即,数据包的指定偏移位置字段 的数值符合匹配数值,并指定交换机对其进行可选操作类型的处理。该中转发设备的工作 原理被称作P0F,即协议无感知转发。 阳0化]因而,使用上述交换机,可W在网络中传输自定义的传输协议,无需使用公认的通 信协议,如TCP/IP。当使用自定义的私有协议的时候,只需将私有协议的识别方式导入控制 器端,控制器即可下发相关流表,指导交换机查找数据包指定位置的字段,并根据该字段的 数值进行数据包转发。
[0006]目前的网窃听防御技术分为主动检测和被动防御。主动检测手法,主要根据处在 监听状态的主机自身所表现出来的特殊行为来检测。例如,是否接收W太网伪广播地址包, 是否开启IP路由,是否进行DNS域名反向查找等,该特殊行为均可通过修改主机协议找而 规避,从而达到反窃听检测的目的。被动防御手法,主要是进行通信协议的数据加密。例如 HTTPS,TLS等。但是加密协议大多与通信协议类型相依赖,不能适用于所有协议,且只能加 密数据部分,而不能加密包头。因而,对于窃听检测,无绝对有效的方式。
【发明内容】
[0007] 针对上述现有技术存在的问题,本发明提供一种基于POF的网络窃听防御方法和 系统。与所属协议无关,可适用于任何互联网通信协议。且与现有加密技术兼容,可结合使 用。
[0008] 具体地,本发明是通过如下技术方案实现的:
[0009] 一种基于POF的网络窃听防御方法,应用于SDN架构中控制器和网络数据接收端、 网络数据发送端上,包括W下步骤:
[0010] 在控制器收到网络通信传输路径请求时,计算SDN架构中存在的将数据包从网络 数据发送端传输到网络数据接收端可用的所有备选路径;
[0011] 从W上备选路径中随机选取一条路径,并W流表的方式将该条路径的传输方案下 发至底层交换机,指导其对数据包的传输;
[0012] 每隔指定时间间隔之后,随机切换上述备选路径中的另一新路径,并W流表的形 式将该新路径的传输方案下发,同时延迟一段时间后删除前次路径的传输方案;
[0013] 每隔指定时间间隔之后,网络数据发送端切换新的数据包承载协议类型,该新的 承载协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步,控制器进行 新的数据包传输承载协议类型识别;
[0014] 底层交换机收到W切换后的承载协议类型封装的数据包之后,将其上传至控制 器,控制器根据切换后的协议类型下发对应的流表。
[0015] 进一步地,所述网络通信传输路径请求为packet_in报文形式,由底层交换机发 送;所述底层交换机收到W切换后的承载协议类型封装的数据包之后,将其Wpacket_in 报文形式上传至控制器。
[0016] 进一步地,还包括控制器存储在一定时间段内,根据同一通信双方间通信内容的 传输所使用过的路径,W及使用该路径时数据包的承载协议类型,形成一记录。
[0017] 进一步地,所述控制器计算SDN架构中存在的将数据包从源主机传输到目的主机 可用的所有备选路径包括:
[0018] 控制器选择路由算法计算源主机和目的主机间存在的N条路径,N的数值依据通 信双方时延阔值要求而指定。
[0019] 进一步地,所述随机切换上述备选路径中的另一新路径,并W流表的形式将该新 路径的传输方案下发包括:
[0020] 在确定切换新的路径之前,先查询所述记录,若在一定时间段内,有未使用过的可 选路径,则从未使用过的路径中随机挑选一条作为新的路径;
[0021] 若在一定时间段内,可选路径都已经使用过,则查找使用过的可选路径和承载协 议类型对,找出当前承载协议类型还未配对过的可选路径作为新的路径;
[0022] 若在一定时间段内,可选路径都已经使用过,并且各个可路径已配对过所有可选 的承载协议类型,则清空所述记录,重新开始从备选路径中随机选取一条路径,并形成新的 T^Elt 5? O
[0023] 进一步地,所述延迟一段时间后删除前次路径的传输方案,包括:
[0024] 延迟一段时间W确保前一路径上的数据包已经传输完毕,不会受到流表删除的影 响而造成数据包丢失。
[0025] 进一步地,所述每隔指定时间间隔之后,网络数据发送端切换数据包的传输承载 协议类型包括:
[00%] 网络数据发送端、网络数据接收端事先导入不同类型的传输承载协议,每隔一段 时间间隔,网络数据发送端将数据包传输内容封装到不同传输承载协议中,并将数据包发 送至SDN架构,网络数据接收端用W解析相应传输承载协议。
[0027] 进一步地,控制器根据新的数据包承载协议类型,再次切换数据包传输路径,包 括:
[0028] 控制器将从packet_in数据包中指定字段提取当前数据包所使用的传输承载协 议类型字段,然后从事先导入的所有协议类型编号集查找,找到对应的协议类型,则根据该 协议类型,下发流表,指导交换机查找指定偏移位置字段的数值,并进行相关操作。
[0029] 一种基于POF的网络窃听防御系统,应用在SDN架构中控制器端和网络数据接收 端、发送端上,包括:
[0030] 控制器端配置模块,用于配置数据传输路径的切换时间间隔,将备选传输承载协 议类型导入控制器端;
[0031] 控制器端拓扑构建和路径计算模块,用于在网络连接建立之后,从控制器端构建 网络拓扑信息,W及获取数据包传送的网络数据接收端、发送端上的信息后,计算可用传输 路径;
[0032] 控制器端路径切换模块,用于将当前数据的传输路径切换至另一备选路径;
[0033] 控制器端协议识别模块,用于识别数据包的传输承载协议类型,根据不同传输承 载协议类型,控制器端将采用不同传输路径。用W保证同一时间段内,同一路径上传输的传 输承载协议类型不同。
[0034] 进一步地,所述路径切换模块,通过首先下发指导新的路径传输的流表规则,然后 等待指定时间段后,删除原有路径相关流表。
[0035] 进一步地,还包括:数据发送端配置模块,用于导入所有备选协议;
[0036] 数据发送端协议切换模块,用W配置按照不同时间段切换数据内容的承载协议。
[0037] 通过采取上述技术方案,本发明相较于现有技术而言具有W下有益效果:降低传 输中同一传输路径出现重复承载协议类型的几率。能够实现主动的网络窃听防御策略,降 低网络黑客非法捕捉通信内容的几率,增加网络黑客对网络数据包进行协议分析、内容提 取的难度。
【附图说明】
[0038] 图1是本发明一实施例中POF架构的结构示意图。
[0039] 图2是本发明的基于POF的网络窃听防御方法在一实施例中的工作流程示意图。
[0040] 图3是本发明的基于POF的网络窃听防御系统一实施例中的结构示意图。
【具体实施方式】
[0041] 无论是传统网络还是SDN数据传输网络,数据传输层一般都使用公有协议如TCP、 UDP等作为通信内容的承载协议,为网络窃听带来便利,攻击者一旦锁定目标传输路径,在 路径中进行窃听,即可通过自身对W上公有协议的格式的知识,进行协议解析,获取通信中 敏感信息。即便数据通信双方使用加密协议,攻击者也可通过对加密协议的相关知识,针对 该加密协议的漏桐,破获受保护的通信内容。
[0042] 另外,由于网络中端到端之间的数据传输路径的选择算法基本保持不变,
[0043] W最短路径传输为主,兼顾负载均衡。因此,攻击者可猜测出特定两端之间的数据 传输路径,并在路径中间进行完整的数据传输流量分析,即便不能直接解析出数据明文,也 可根据流量分析手段,猜测或者重构敏感信息内容。
[0044] W图I示例,如果网络窃听者锁定两个信息传输端,并猜测出其数据传输路径,并 于路径中某一必经节点2处进行数据窃听。如果数据传输路径长时间保持不变,且传输协 议保持不变,则为攻击者提供了很大的几率破解实际传输内容,造成信息泄露。 W45] 针对W上网络信息传输的安全问题,本发明基于协议无感知传输(P(F)设备,提 出一种基于POF的防御网络窃听防御方法和系统。
[0046] 请参考图2,本发明提供一种基于POF的网络窃听防御方法,应用在SDN架构中控 制器和网络数据发送端、网络数据接收端上:
[0047] 步骤201,控制器的初始化配置,提前根据窃听防御需求,设置路径切换的