一种基于sdn技术的通信数据保护方法
【技术领域】
[0001]本发明涉及计算机网络领域,更为具体地,涉及一种面向SDN的通信数据保护方法。
【背景技术】
[0002]在传统网络体系架构中,通信双方通常采用标准公开的协议进行通信,但是由于协议设计的缺陷,其本身的弱点可被攻击者所利用,从而对网络安全产生威胁,目前对于协议保护主要采用数据加密的方法,这种方法需要额外增加密钥管理环节来保障通信的安全;同时,随着网络所承载内容的不断丰富,为了满足用户之间通信的需求,越来越多的协议被提出,这些协议的出现对于传统网络设备的兼容性提出了更高的要求,设备需要不断更新才能够满足新出现协议的解析问题。协议本身的保护和基于保护后协议的自动识别技术能够为该问题的解决提供新的思路。
[0003]目前针对协议保护的专利是201280013273.9,该专利采用第一种协议对第二种协议进行验证的方式进行协议保护,主要着眼于前一种协议对后一种协议的保护技术,而不是对协议本身的保护;针对协议识别的专利是201310101283.4,该专利主要面向目前深度包检测领域,对构建与应用层之上载荷所包含的协议进行识别,着眼点是对现有协议的高效率识别技术。这些专利虽然能够提供一定的协议保护和协议识别的功能,但是仍旧不能支持协议本身的保护和基于保护后协议的识别,而SDN技术的出现能够为该技术的实现提供支撑。其将复杂的网络设备一分为二,转发功能由单一的硬件来实现,称之为数据面,而较为复杂的控制、管理、服务由软件来实现,称之为控制面,使原先完全分布式的架构转变成完全集中或者逻辑集中/半集中式的架构。这种架构显示了一种非常先进的思想,通过将各个平面解耦合,能够支持网络以弹性的方式提供高效、灵活、创新的服务,同时采用通用转发硬件降低了扩展所带来的成本问题,另外由于底层转发系统功能稳定以及上层控制面数量较少能够降低由于系统复杂性所带来的系统潜在的脆弱性和不稳定性。POF作为SDN的一种实现方式能够支持交换机对协议字段按照偏移量和长度进行处理和转发,弥补了 OpenFlow环境下只能够对固定公开协议进行处理的问题。
[0004]通过以上分析,可对控制器北向接口进行编程,以应用的方式实现对于底层数据面转发逻辑的控制,从而支持协议保护和协议自动识别的功能。目前网络主要采用加密的方式进行通信保护,这种方式需要收发端进行密钥协商和管理,SDN网络能够提供集中地控制机制,其可以通过流表对通信数据进行统一处理,减少了密钥协商和管理的复杂性。
【发明内容】
[0005]本发明提供一种基于SDN的通信数据保护方法,本发明支持通信双方使用自定义协议进行数据传输的要求。
[0006]—方面,本发明提供了一种基于SDN的协议保护、协议自动识别方法,该方法包括:
[0007]I)所述协议保护方法为,网络体系架构中的控制器生成协议数据的保护策略,该策略以流表的方式下发到网络体系架构的交换机中,同时控制器以一定的频率进行保护策略更新;
[0008]a)所述保护策略包括随机化策略和还原策略,其中每个保护策略包含随机化标签和交换机标签信息:交换机标签用来进行数据来源的判断。
[0009]1.所述随机化策略,将数据包中除以太网地址字段和网络类型字段头之外的二层载荷按照偏移量和长度进行切分,对切分后的载荷进行随机化处理,该随机化处理方法包括将切分后的载荷本身按照置乱策略进行置乱同时包括用插入策略,即随机位串插入的方法进行载荷偏移量修正;偏移量指的是切分位置距离包头的位置,长度指的是切分长度。
[0010]1.所述载荷本身置乱为将切分后的载荷位串进行位置置换;
[0011]2.所述随机位串插入为随机生成多段位串,并将位串随机插入分割后的载荷切片之间;
[0012]i1.所述还原策略,将随机化策略处理后的除以太网地址字段和网络类型字段头之外的二层载荷按照原有偏移量和长度进行还原;
[0013]1.载荷本身置乱的还原方法为通过交换机中的元数据字段保存载荷数据,再依据控制器置乱策略将正确的分段写入数据包二层载荷中;
[0014]2.随机位串的还原方法为依据插入策略按位将随机位串从原有载荷中删除,以达到还原数据的目的。
[0015]ii1.所述随机化标签为由控制器统一生成的、在所有交换机中同时生效的标识信息,在进行随机化策略时随机化标签将被加入到数据包中,该随机化标签信息能够保证只有符合随机化策略的数据包能够被网络传输,不符合随机化策略的数据包被认为是非法数据包而被丢弃;
[0016]iv.所述交换机标签为由控制器统一生成的,在数据包被交换机转发时加入到数据包头中,用来区分数据包由主机发出还是交换机发出的一种标识,该标识能够帮助交换机识别数据包是否由恶意接入的主机重放产生。
[0017]b)所述保护策略更新为以一定频率更新随机化策略和还原策略,使网络中对于协议的处理方式不断变化。
[0018]1.所述更新随机化策略和还原策略按照固定时间间隔进行更新,更新方法为由控制器在变换空间中选取一种载荷切分或者随机位串生成方式重新生成随机化策略和还原策略。
[0019]2)所述协议自动识别方法为,当数据包经过交换机时被触发,交换机将判断该数据包是否携带随机化标签以及交换机标签,根据标签对数据包执行保护策略或者丢弃操作。
[0020]另一方面,本发明提供了一种基于SDN的协议保护和协议自动识别系统,该系统包括协议保护子系统、协议自动识别子系统两部分。同时由于本发明依赖于SDN机制,因此采用主流控制器软件和交换机协议。
[0021]I)控制器获得网络拓扑,包括主机与连接在交换机中的主机,并接收待在网络中传输的主机信息;
[0022]2)所述协议保护子系统分为保护策略生成模块与保护策略更新模块;
[0023]a)所述保护策略生成模块将生成数据随机化策略和还原策略,并将该策略转换为交换机流表,下发到交换机中;
[0024]b)所述保护策略更新模块首先生成新的随机化策略和还原策略,并将新的策略转换为交换机流表,下发到交换机中,同时启动条件触发装置,在条件满足之后删除原有保护策略;
[0025]3)所述协议自动识别子系统接收到数据包时,交换机将判断该数据包是否携带随机化标签
[0026]a)如果未携带随机化标签,则判断该数据包的以太网地址是否属于传输列表,如果属于则在交换机中进行处理之后按照路径转发,否则直接丢弃数据包;
[0027]b)如果数据包已经携带随机化标签,则通过流表判断该数据包所携带标签是否与当前随机化策略相匹配:
[0028]1.如果相匹配,需判断是否带有对应交换机标签,如果不带有对应交换机标签则直接丢弃数据包;如果该条件满足则判断是否连接目的端主机,如果连接目的端主机则执行保护策略中的还原策略,并转发数据包,如果未连接则执行保护策略中的随机化策略并转发;控制器能够获取网络拓扑,通过拓扑可知交换机的连接方式,则交换机本身是包含了可通过的交换机标签对应的流表的,如果不匹配当前交换机可连接的交换机对应的流表,则认为不可通过。
[0029]i1.如果不匹配则直接丢弃数据包。
[0030]与现有技术相比,本发明的有益效果:
[0031]本发明能够对协议进行保护,支持公开协议和用户自定义的私有协议,不对收发双方做任何改变,被保护协议的策略按照一定的时间间隔进行更新,增加了攻击者进行协议分析的难度,该方法能够对SDN网络本身进行加固,防止网络窃听攻击以及重放攻击的发生,并且能够对分布式拒绝服务攻击在策略变化后免疫。
【附图说明】
[0032]图1是系统运彳丁流程不意图;
[0033]图2是协议保护子系统中的保护策略生成模块的流程图;
[0034]图3是协议保护子系统中的保护策略更新模块的流程图;
[0035]图4是协议自动识别子系统的流程图。
【具体实施方式】
[0036]为使本发明的实施例的目的、技术方案和优点更加清楚,下面进一步结合附图对本发明作详细描述。
[0037]1.图1是本发明的系统运行流程图。如图1所示,所述方法包括:
[0038]I)协议保护子系统由保护策略生成模块与保护策略更新模块组成,在控制器端进行协议随机化策略与还原策略的生成与更新操作,该子系统的输出为交换机流表;
[0039]2)协议自动识别子系统由经过交换机的数据包触发,交换机基于协议保护子系统生成的流表对数据包进行处理,该子系统的输出为处理之后的数据包。
[0040]2.图2是本发明的协议保护子系统中的保护策略生成模块的具体流程:
[0041]I)控制器生成全局唯一的随机化标签;
[0042]2)控制器根据网络拓扑为每个交换机生成上一跳交换机标签;
[0043]3)控制器定义由偏移量和长度两部分组成的对数据包的分割元组;
[0044]a)所述分割元组格式为 tuple =