一种基于sdn的数据流加密方法和系统的制作方法
【技术领域】
[0001] 本发明实施例涉及通信技术领域,尤其涉及一种基于SDN(Software Defined Network,软件定义网络)的数据流加密方法和系统。
【背景技术】
[0002] IP( Internet Protocol,网络之间互连的协议)包本身不包含安全特征,IP包的数 据没机密性、真实性和完整性等安全认证,从而导致目前网络中的许多应用系统处于不设 防或少设防的状态,存在较多的安全隐患,IP通信可能会遭受如下攻击:窃听、纂改、IP欺 骗,例如如果数据采用明文传送,中途经过了许多未知的网络,在达到目的地之前很可能被 攻击者捕获、解码并恶意修改。
[0003] ESP(Encapsulating Security Payload,封装安全载荷)用于为IP提供保密性和 抗重播服务,包括数据包内容的保密性和有限的流量保密性。
[0004] 传统的ESP采用DES-CBC(密文分组链接方式)算法,如图1所示,包括:101,发送方 构建密钥;102,发送方向接收方发送密钥;103,发送方使用密钥对数据加密;104,发送方把 密文和ESP头部发送给接收方;105,接收方使用密钥对数据解密;106,接收方验证后去掉 ESP头部。但是在此过程中,发送方构建密钥,单独发送密钥到接收方,因此只有接收方才能 验证报文,处理效率非常低。
【发明内容】
[0005] 本发明实施例提供一种基于SDN的数据流加密方法和系统,能够提高处理数据报 文的效率。
[0006] 本发明实施例提供一种基于SDN的数据流加密方法,包括:控制器配置数据流加密 选项;控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑; 控制器接收交换机上报的未匹配流表的报文,并根据网络拓扑、交换机的MAC地址信息和报 文MAC地址计算转发路径;控制器生成密钥,向转发路径上的交换机下发流表,其中入口交 换机和出口交换机流表中包含密钥,转发路径上的交换机根据下发的流表处理接收到的数 据报文。
[0007] 进一步地,所述数据流加密选项的配置项包括SDN数据流加密功能开关项和SDN数 据流加密算法,其中,SDN数据流加密功能开关项用于启用或关闭SDN数据流加密功能,SDN 数据流加密算法设置SDN数据流的加密算法为密文分组链接方式或空。
[0008] 进一步地,所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址 信息计算网络拓扑,具体包括:控制器接收交换机发送的Experimenter报文,所述 Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自 己的MAC地址、交换机的端口 ID、以及所述交换端口下学习到MAC地址;控制器根据所述交换 机自己的MAC地址、交换机的端口 ID、以及所述交换端口下学习到MAC地址,采用链路层发现 协议计算网络拓扑。
[0009] 进一步地,所述SDN中,包括入口交换机、中间交换机和出口交换机;所述控制器生 成密钥,向转发路径上的入口交换机和出口交换机下发包含密钥的流表,向中间交换机下 发不包含密钥的流表,所述流表中设置:对于入口交换机,使用密钥对原始数据报文封装 ESP加密头形成加密数据报文;对于中间交换机,对接收到加密数据报文进行透明传输;对 于出口交换机,对使用密钥对接收到加密数据报文进行解密,并去掉ESP加密头,还原成原 始数据报文。
[0010] 进一步地,所述转发路径上的交换机根据下发的流表处理接收到的数据报文,具 体包括:如果入口交换机接收到原始数据报文,根据数据流加密选项判断是否需要为原始 数据报文封装安全载荷加密头,如果数据流加密选项中的SDN数据流加密功能开关项开启, 则入口交换机使用控制器下发的密钥对原始数据进行密文分组链接方式计算,为原始数据 报文封装安全载荷加密头形成加密数据报文;如果中间交换机接收到带有封装安全载荷加 密头的加密数据报文,则中间交换机在转发路径上对加密数据报文进行透明传输;如果出 口交换机接收到带有封装安全载荷加密头的加密数据报文,则出口交换机使用控制器下发 的密钥对加密数据报文进行解密,并去掉封装安全载荷加密头,还原成原始数据报文。
[0011] 本发明还提供了一种基于SDN的数据流加密系统,包括:交换机,用于向控制器上 报MAC地址信息;向控制器上报未匹配流表的报文,所述报文包括报文MAC地址;以及根据控 制器下发的流表处理接收到的数据报文;控制器,用于配置数据流加密选项;接收交换机上 报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;接收交换机上报的未匹配 流表的报文,并根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;生成密 钥,向转发路径上的交换机下发流表,其中入口交换机和出口交换机流表中包含密钥。
[0012] 本发明实施例基于SDN架构,采用控制器控制报文的转发路径,并通过下流表的方 式,把密钥下发到转发路径上的入口交换机和出口交换机,中间交换机进行透明传输,从而 提高了处理数据报文的效率。
【附图说明】
[0013] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根 据这些附图获得其他的附图。
[0014]图1为现有技术的ESP算法的不意图;
[0015] 图2为本发明实施例中基于SDN的数据流加密方法的流程示意图;
[0016] 图3为本发明实施例中私有二层报文的格式示意图;
[0017] 图4为本发明实施例中加密头的示意图;
[0018] 图5为本发明实施例中基于SDN的数据流加密系统的示意图;
[0019] 图6为本发明实施例一中基于SDN的数据流加密系统的示意图。
【具体实施方式】
[0020] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0021] SDN是一种新型的网络架构,其可以通过OpenFlow(开放流)技术将网络设备的控 制面与数据面进行分离,从而实现对网络流量的灵活控制。在SDN中,包含实现控制面功能 的控制器和若干实现数据面功能的交换机。
[0022] 图2为本发明实施例中基于SDN的数据流加密方法的流程示意图。如图2所示,该方 法应用于SDN中,所述SDN中包括交换机和控制器,该方法包括:
[0023] 步骤S21,控制器配置数据流加密选项。
[0024]在本步骤中,本发明的控制器支持基于SDN的数据流加密功能,如表1所示。
[0025]表 1
[0027] 控制器配置数据流加密选项,该数据流加密选项的配置项包括SDN数据流加密功 能开关项和SDN数据流加密算法,其中,SDN数据流加密功能开关项用于启用或关闭SDN数据 流加密功能,缺省值可以是关闭;SDN数据流加密算法设置SDN数据流的加密算法DES-CBC (密文分组链接方式)或NULL,缺省值可以是DES-CBC。
[0028] 步骤S22,控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计 算网络拓扑。
[0029] 在本步骤中,SDN中的交换机向控制器上报MAC地址信息,该MAC地址信息携带在交 换机向控制器