一種基于sdn的數(shù)據(jù)流加密方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明實(shí)施例涉及通信技術(shù)領(lǐng)域,尤其涉及一種基于SDN(Software Defined Network�,軟件定義網(wǎng)絡(luò))的數(shù)據(jù)流加密方法和系統(tǒng)。
【背景技術(shù)】
[0002] IP( Internet Protocol����,網(wǎng)絡(luò)之間互連的協(xié)議)包本身不包含安全特征,IP包的數(shù) 據(jù)沒機(jī)密性��、真實(shí)性和完整性等安全認(rèn)證����,從而導(dǎo)致目前網(wǎng)絡(luò)中的許多應(yīng)用系統(tǒng)處于不設(shè) 防或少設(shè)防的狀態(tài),存在較多的安全隱患�����,IP通信可能會遭受如下攻擊:竊聽���、纂改、IP欺 騙���,例如如果數(shù)據(jù)采用明文傳送�,中途經(jīng)過了許多未知的網(wǎng)絡(luò),在達(dá)到目的地之前很可能被 攻擊者捕獲����、解碼并惡意修改。
[0003] ESP(Encapsulating Security Payload����,封裝安全載荷)用于為IP提供保密性和 抗重播服務(wù),包括數(shù)據(jù)包內(nèi)容的保密性和有限的流量保密性��。
[0004] 傳統(tǒng)的ESP采用DES-CBC(密文分組鏈接方式)算法�,如圖1所示,包括:101���,發(fā)送方 構(gòu)建密鑰�;102�����,發(fā)送方向接收方發(fā)送密鑰����;103,發(fā)送方使用密鑰對數(shù)據(jù)加密�����;104,發(fā)送方把 密文和ESP頭部發(fā)送給接收方�����;105,接收方使用密鑰對數(shù)據(jù)解密�;106,接收方驗(yàn)證后去掉 ESP頭部。但是在此過程中��,發(fā)送方構(gòu)建密鑰�,單獨(dú)發(fā)送密鑰到接收方,因此只有接收方才能 驗(yàn)證報(bào)文����,處理效率非常低。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實(shí)施例提供一種基于SDN的數(shù)據(jù)流加密方法和系統(tǒng)�,能夠提高處理數(shù)據(jù)報(bào) 文的效率。
[0006] 本發(fā)明實(shí)施例提供一種基于SDN的數(shù)據(jù)流加密方法���,包括:控制器配置數(shù)據(jù)流加密 選項(xiàng);控制器接收交換機(jī)上報(bào)的MAC地址信息���,并根據(jù)交換機(jī)的MAC地址信息計(jì)算網(wǎng)絡(luò)拓?fù)洌?控制器接收交換機(jī)上報(bào)的未匹配流表的報(bào)文��,并根據(jù)網(wǎng)絡(luò)拓?fù)洹⒔粨Q機(jī)的MAC地址信息和報(bào) 文MAC地址計(jì)算轉(zhuǎn)發(fā)路徑;控制器生成密鑰���,向轉(zhuǎn)發(fā)路徑上的交換機(jī)下發(fā)流表����,其中入口交 換機(jī)和出口交換機(jī)流表中包含密鑰���,轉(zhuǎn)發(fā)路徑上的交換機(jī)根據(jù)下發(fā)的流表處理接收到的數(shù) 據(jù)報(bào)文����。
[0007] 進(jìn)一步地����,所述數(shù)據(jù)流加密選項(xiàng)的配置項(xiàng)包括SDN數(shù)據(jù)流加密功能開關(guān)項(xiàng)和SDN數(shù) 據(jù)流加密算法,其中�,SDN數(shù)據(jù)流加密功能開關(guān)項(xiàng)用于啟用或關(guān)閉SDN數(shù)據(jù)流加密功能,SDN 數(shù)據(jù)流加密算法設(shè)置SDN數(shù)據(jù)流的加密算法為密文分組鏈接方式或空�����。
[0008] 進(jìn)一步地��,所述控制器接收交換機(jī)上報(bào)的MAC地址信息��,并根據(jù)交換機(jī)的MAC地址 信息計(jì)算網(wǎng)絡(luò)拓?fù)洌唧w包括:控制器接收交換機(jī)發(fā)送的Experimenter報(bào)文��,所述 Experimenter報(bào)文中包括交換機(jī)的MAC地址信息��,所述交換機(jī)的MAC地址信息包括交換機(jī)自 己的MAC地址��、交換機(jī)的端口 ID����、以及所述交換端口下學(xué)習(xí)到MAC地址;控制器根據(jù)所述交換 機(jī)自己的MAC地址、交換機(jī)的端口 ID�����、以及所述交換端口下學(xué)習(xí)到MAC地址�,采用鏈路層發(fā)現(xiàn) 協(xié)議計(jì)算網(wǎng)絡(luò)拓?fù)洹?br>[0009] 進(jìn)一步地,所述SDN中��,包括入口交換機(jī)���、中間交換機(jī)和出口交換機(jī);所述控制器生 成密鑰���,向轉(zhuǎn)發(fā)路徑上的入口交換機(jī)和出口交換機(jī)下發(fā)包含密鑰的流表,向中間交換機(jī)下 發(fā)不包含密鑰的流表�,所述流表中設(shè)置:對于入口交換機(jī)�����,使用密鑰對原始數(shù)據(jù)報(bào)文封裝 ESP加密頭形成加密數(shù)據(jù)報(bào)文;對于中間交換機(jī),對接收到加密數(shù)據(jù)報(bào)文進(jìn)行透明傳輸;對 于出口交換機(jī)���,對使用密鑰對接收到加密數(shù)據(jù)報(bào)文進(jìn)行解密�����,并去掉ESP加密頭��,還原成原 始數(shù)據(jù)報(bào)文����。
[0010] 進(jìn)一步地�����,所述轉(zhuǎn)發(fā)路徑上的交換機(jī)根據(jù)下發(fā)的流表處理接收到的數(shù)據(jù)報(bào)文��,具 體包括:如果入口交換機(jī)接收到原始數(shù)據(jù)報(bào)文����,根據(jù)數(shù)據(jù)流加密選項(xiàng)判斷是否需要為原始 數(shù)據(jù)報(bào)文封裝安全載荷加密頭�,如果數(shù)據(jù)流加密選項(xiàng)中的SDN數(shù)據(jù)流加密功能開關(guān)項(xiàng)開啟���, 則入口交換機(jī)使用控制器下發(fā)的密鑰對原始數(shù)據(jù)進(jìn)行密文分組鏈接方式計(jì)算�����,為原始數(shù)據(jù) 報(bào)文封裝安全載荷加密頭形成加密數(shù)據(jù)報(bào)文;如果中間交換機(jī)接收到帶有封裝安全載荷加 密頭的加密數(shù)據(jù)報(bào)文���,則中間交換機(jī)在轉(zhuǎn)發(fā)路徑上對加密數(shù)據(jù)報(bào)文進(jìn)行透明傳輸;如果出 口交換機(jī)接收到帶有封裝安全載荷加密頭的加密數(shù)據(jù)報(bào)文,則出口交換機(jī)使用控制器下發(fā) 的密鑰對加密數(shù)據(jù)報(bào)文進(jìn)行解密�,并去掉封裝安全載荷加密頭,還原成原始數(shù)據(jù)報(bào)文����。
[0011] 本發(fā)明還提供了一種基于SDN的數(shù)據(jù)流加密系統(tǒng),包括:交換機(jī)����,用于向控制器上 報(bào)MAC地址信息;向控制器上報(bào)未匹配流表的報(bào)文���,所述報(bào)文包括報(bào)文MAC地址����;以及根據(jù)控 制器下發(fā)的流表處理接收到的數(shù)據(jù)報(bào)文;控制器,用于配置數(shù)據(jù)流加密選項(xiàng);接收交換機(jī)上 報(bào)的MAC地址信息����,并根據(jù)交換機(jī)的MAC地址信息計(jì)算網(wǎng)絡(luò)拓?fù)?接收交換機(jī)上報(bào)的未匹配 流表的報(bào)文,并根據(jù)網(wǎng)絡(luò)拓?fù)?、交換機(jī)的MAC地址信息和報(bào)文MAC地址計(jì)算轉(zhuǎn)發(fā)路徑;生成密 鑰���,向轉(zhuǎn)發(fā)路徑上的交換機(jī)下發(fā)流表�����,其中入口交換機(jī)和出口交換機(jī)流表中包含密鑰��。
[0012] 本發(fā)明實(shí)施例基于SDN架構(gòu)�,采用控制器控制報(bào)文的轉(zhuǎn)發(fā)路徑�����,并通過下流表的方 式���,把密鑰下發(fā)到轉(zhuǎn)發(fā)路徑上的入口交換機(jī)和出口交換機(jī)����,中間交換機(jī)進(jìn)行透明傳輸,從而 提高了處理數(shù)據(jù)報(bào)文的效率����。
【附圖說明】
[0013] 為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作一簡單地介紹����,顯而易見地,下面描述中的附圖是本發(fā) 明的一些實(shí)施例����,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根 據(jù)這些附圖獲得其他的附圖����。
[0014]圖1為現(xiàn)有技術(shù)的ESP算法的不意圖����;
[0015] 圖2為本發(fā)明實(shí)施例中基于SDN的數(shù)據(jù)流加密方法的流程示意圖;
[0016] 圖3為本發(fā)明實(shí)施例中私有二層報(bào)文的格式示意圖����;
[0017] 圖4為本發(fā)明實(shí)施例中加密頭的示意圖�����;
[0018] 圖5為本發(fā)明實(shí)施例中基于SDN的數(shù)據(jù)流加密系統(tǒng)的示意圖���;
[0019] 圖6為本發(fā)明實(shí)施例一中基于SDN的數(shù)據(jù)流加密系統(tǒng)的示意圖。
【具體實(shí)施方式】
[0020] 為使本發(fā)明實(shí)施例的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例 中的附圖��,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述���,顯然��,所描述的實(shí)施例是 本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例���?�;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員 在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�。
[0021] SDN是一種新型的網(wǎng)絡(luò)架構(gòu),其可以通過OpenFlow(開放流)技術(shù)將網(wǎng)絡(luò)設(shè)備的控 制面與數(shù)據(jù)面進(jìn)行分離���,從而實(shí)現(xiàn)對網(wǎng)絡(luò)流量的靈活控制����。在SDN中�,包含實(shí)現(xiàn)控制面功能 的控制器和若干實(shí)現(xiàn)數(shù)據(jù)面功能的交換機(jī)。
[0022] 圖2為本發(fā)明實(shí)施例中基于SDN的數(shù)據(jù)流加密方法的流程示意圖����。如圖2所示,該方 法應(yīng)用于SDN中����,所述SDN中包括交換機(jī)和控制器,該方法包括:
[0023] 步驟S21��,控制器配置數(shù)據(jù)流加密選項(xiàng)。
[0024]在本步驟中�����,本發(fā)明的控制器支持基于SDN的數(shù)據(jù)流加密功能����,如表1所示。
[0025]表 1
[0027] 控制器配置數(shù)據(jù)流加密選項(xiàng)��,該數(shù)據(jù)流加密選項(xiàng)的配置項(xiàng)包括SDN數(shù)據(jù)流加密功 能開關(guān)項(xiàng)和SDN數(shù)據(jù)流加密算法�����,其中��,SDN數(shù)據(jù)流加密功能開關(guān)項(xiàng)用于啟用或關(guān)閉SDN數(shù)據(jù) 流加密功能����,缺省值可以是關(guān)閉���;SDN數(shù)據(jù)流加密算法設(shè)置SDN數(shù)據(jù)流的加密算法DES-CBC (密文分組鏈接方式)或NULL�,缺省值可以是DES-CBC�。
[0028] 步驟S22,控制器接收交換機(jī)上報(bào)的MAC地址信息,并根據(jù)交換機(jī)的MAC地址信息計(jì) 算網(wǎng)絡(luò)拓?fù)洹?br>[0029] 在本步驟中,SDN中的交換機(jī)向控制器上報(bào)MAC地址信息�,該MAC地址信息攜帶在交 換機(jī)向控制器