时间间 隔,并将网络中可用的备选传输协议格式导入控制器端,使得控制器可W识别不同承载协 议的数据包。此处路径切换的时间间隔,根据发送端到接收端之间传输时延,W及对网络传 输通信速率的影响确定。具体而言,由于路径切换时,会有新旧流表的安装和删除行为,如 果切换过于频繁,网络交换机中会有很多临时而又失效的流表,容易造成丢包。
[0048] 步骤202,当网络传输设备将其不能识别的数据包上传至控制器端时,控制器端从 指定字段,即携带数据传输承载协议类型信息的字段中,提取当前数据包协议类型,并与先 前导入的备选协议进行匹配,若能匹配,则根据特定协议格式对数据包进行解析,提取源、 目的端信息;若不能匹配,则丢弃该数据包。
[0049] 步骤203,根据前一步提取出来的源、目的主机信息,计算两端之间的可用K条最 短路径,作为后续路径切换的备选路径。
[0050] 步骤204,从上述计算出来的N条备选路径中任选一条进行传输。
[0051] 步骤205,记录当前源、目的间使用过的路径一协议对信息,W便下一次路径切换 时候,不使用重复的路径-协议对策略,减少攻击者在同一传输路径上捕获到相同协议类型 的数据包的几率。表1示例某一收发端间路径-协议对的信息存储形式。
表1
[0052] 请参考表1,对于每一对源、目的主机,控制器会记录其可用备选传输路径,可用备 选传输协议,W及已用路径一协议对,当发现可用的路径一协议对全部使用过之后,则清空 该记录。重新开始任意选择路径;当可用路径一协议对还未全部遍历过时,则选择该协议未 曾使用过的路径。从而,使得同一地点的攻击者不会在某一时间段内持续获取相同协议类 型的数据包,增大数据破获的难度。
[0053] 步骤206和207,控制器端每一次路径切换的触发,是由两个机制完成。一个是当 初始化的时间间隔到达之后;另一个是当控制器接收到新的协议类型数据包之后。
[0054] 步骤208,当所有可用的路径一协议对使用完毕之后,清空记录,重新开始随机选 择第一条路径。
[0055] 对应上述方法,本发明提供了实现该方法的完整系统结构图。该系统结构包含控 制器端和数据发送端。请参考图3,控制器端300包含:配置模块301、托普构建和路径计算 模块302、协议识别模块303、路径切换模块304 ;数据发送端305包含:配置模块306 ;协议 切换模块307。
[0056] 其中,控制器端配置模块301,用于配置路径切换时间间隔、导入备选协议。
[0057] 拓扑构建和路径计算模块302,基于网络连接信息构建网络拓扑图,并根据所需数 据传输端的信息,计算出两端之间的可用传输路径。
[0058] 协议识别模块303,用于提取数据包指定字段的数值,判断当前数据包协议类型。 其对传输承载协议类型的识别通过提取数据包中W太网帖中类型字段实现。
[0059] 路径切换模块304,用于下发新路径相关流表,撤销旧的流表。
[0060] 数据发送端配置模块306,用于导入可用备选协议,W及设定传输协议切换间隔。
[0061] 上述系统中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程,在此不再寶述。
[0062] W图1中的SDN架构为例,前文已说明,攻击者有很大的几率破解实际传输内容, 造成信息泄露。而采用本发明的方法后,根据模拟攻击测试,假设一对通信主机间路径共n 条,同一通信持续时长为T,T时间内切换路径N条,窃听者在网络中N条路径里选取任意1 条路径窃听,则窃听者最多可捕捉1/N的通信内容。而根据所捕捉到的通信内容,攻击者需 要解析私有协议,则需要看私有协议本身复杂性。很大程度上增加了攻击者破解传输内容 的难度,提高了网络传输的安全性。
[0063] W上所述仅为本发明的较佳实施例而已,并不用W限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1. 一种基于POF的网络窃听防御方法,应用于SDN架构中控制器和网络数据接收端、网 络数据发送端上,包括以下步骤: 在控制器收到网络通信传输路径请求时,计算SDN架构中存在的将数据包从网络数据 发送端传输到网络数据接收端可用的所有备选路径; 从以上备选路径中随机选取一条路径,并以流表的方式将该条路径的传输方案下发至 底层交换机,指导其对数据包的传输; 每隔一指定时间,随机切换上述备选路径中的另一新路径,并以流表的形式将该新路 径的传输方案下发,同时延迟一段时间后删除前次路径的传输方案; 每隔一指定时间,网络数据发送端切换新的数据包承载协议类型,该新的数据包承载 协议类型在网络数据收送端、接发端和控制器同步,控制器进行新的数据包传输承载协议 类型识别; 底层交换机收到以切换后的承载协议类型封装的数据包之后,将其上传至控制器,控 制器根据切换后的协议类型下发对应的流表。2. 如权利要求1所述的基于P0F的网络窃听防御方法,其特征在于,所述网络通信传输 路径请求为packet_in报文形式,由底层交换机发送;所述底层交换机收到以切换后的承 载协议类型封装的数据包之后,将其以packet_in报文形式上传至控制器。3. 如权利要求1所述的基于P0F的网络窃听防御方法,其特征在于,还包括控制器存储 在一定时间段内,根据同一通信双方间通信内容的传输所使用过的路径,以及使用该路径 时数据包的承载协议类型,形成一记录。4. 如权利要求1所述的基于P0F的网络窃听防御方法,其特征在于,所述控制器计算 SDN架构中存在的将数据包从源主机传输到目的主机可用的所有备选路径包括: 控制器选择路由算法计算源主机和目的主机间存在的N条路径,N的数值依据通信双 方时延阈值要求而指定。5. 如权利要求1所述的基于P0F的网络窃听防御方法,其特征在于,所述随机切换上述 备选路径中的另一新路径,并以流表的形式将该新路径的传输方案下发包括: 在确定切换新的路径之前,先查询所述记录,若在一定时间段内,有未使用过的可选路 径,则从未使用过的路径中随机挑选一条作为新的路径; 若在一定时间段内,可选路径都已经使用过,则查找使用过的可选路径和承载协议类 型对,找出当前承载协议类型还未配对过的可选路径作为新的路径; 若在一定时间段内,可选路径都已经使用过,并且各个可路径已配对过所有可选的承 载协议类型,则清空所述记录,重新开始从备选路径中随机选取一条路径,并形成新的记 录。6. 如权利要求1所述的基于P0F的网络窃听防御方法,其特征在于,所述延迟一段时间 后删除前次路径的传输方案,包括: 延迟一段时间以确保前一路径上的数据包已经传输完毕,不会受到流表删除的影响而 造成数据包丢失。7. 如权利要求1所述的基于P0F的网络窃听防御方法,其特征在于,所述每隔指定时间 间隔之后,网络数据发送端切换数据包的传输承载协议类型包括: 网络数据发送端、网络数据接收端事先导入不同类型的传输承载协议,每隔一段时间 间隔,网络数据发送端将数据包传输内容封装到不同传输承载协议中,并将数据包发送至SDN架构,网络数据接收端用以解析相应传输承载协议。8. 如权利要求7所述的基于POF的网络窃听防御方法,其特征在于,控制器根据新的数 据包承载协议类型,再次切换数据包传输路径,包括: 控制器将从packet_in数据包中指定字段提取当前数据包所使用的传输承载协议类 型字段,然后从事先导入的所有协议类型编号集查找,找到对应的协议类型,则根据该协议 类型,下发流表,指导交换机查找指定偏移位置字段的数值,并进行相关操作。9. 一种基于POF的网络窃听防御系统,应用在SDN架构中控制器端和网络数据接收端、 发送端上,包括: 控制器端配置模块,用于配置数据传输路径的切换时间间隔,将备选传输承载协议类 型导入控制器端; 控制器端拓扑构建和路径计算模块,用于在网络连接建立之后,从控制器端构建网络 拓扑信息,以及获取数据包传送的网络数据接收端、发送端上的信息后,计算可用传输路 径; 控制器端路径切换模块,用于将当前数据的传输路径切换至另一备选路径; 控制器端协议识别模块,用于识别数据包的传输承载协议类型,根据不同传输承载协 议类型,控制器端将采用不同传输路径。用以保证同一时间段内,同一路径上传输的传输承 载协议类型不同。10. 如权利要求9所述的基于POF的网络窃听防御系统,其特征在于,所述路径切换模 块通过首先下发指导新的路径传输的流表规则,然后等待指定时间段后,删除原有路径相 关流表。11. 如权利要求9所述的基于POF的网络窃听防御系统,其特征在于,还包括:数据发 送端配置模块,用于导入所有备选协议; 数据发送端协议切换模块,可配置按照不同时间段切换数据内容的承载协议。
【专利摘要】本发明提供一种基于POF的网络窃听防御方法,包括以下步骤:在控制器收到传输路径请求时,计算网络架构中存在的所有传输备选路径;从中随机选取一条,并将该路径的传输方案下发至底层交换机;每隔指定时间,随机切换另一新路径,并以流表形式将该新路径的传输方案下发,并延迟一段时间后删除前次传输方案;每隔一指定时间,切换新的数据包承载协议类型,该新的协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步,控制器识别承载协议类型;底层交换机收到以切换后的协议类型封装的数据包后,将其上传,控制器根据切换后的协议类型下发对应的流表。还提供实现上述方法的系统。可适用任何互联网通信协议,可与现有加密技术兼容。
【IPC分类】H04L29/06
【公开号】CN105391690
【申请号】CN201510679633
【发明人】王利明, 徐震, 宋晨, 马多贺, 杨倩, 姜帆, 黎海燕, 荀浩
【申请人】中国科学院信息工程研究所
【公开日】2016年3月9日
【申请日】2015年10月19日