本發(fā)明涉及一種網(wǎng)絡(luò)通信方法，尤其涉及一種基于軟件定義網(wǎng)絡(luò)的安全通信方法，屬于網(wǎng)絡(luò)通信技術(shù)領(lǐng)域。

背景技術(shù)：

軟件定義網(wǎng)絡(luò)(softwaredefinednetwork，簡(jiǎn)稱(chēng)“sdn”)技術(shù)分離了網(wǎng)絡(luò)的控制平臺(tái)和數(shù)據(jù)平面，為研發(fā)網(wǎng)絡(luò)新應(yīng)用和未來(lái)互聯(lián)網(wǎng)技術(shù)提供了一種新的解決方案。openflow最初是為校園網(wǎng)絡(luò)研究人員設(shè)計(jì)，其創(chuàng)新網(wǎng)絡(luò)架構(gòu)提供了真實(shí)的實(shí)驗(yàn)平臺(tái)，隨后mckeown等研究者開(kāi)始推廣sdn概念，引起學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。尤其在異構(gòu)網(wǎng)絡(luò)環(huán)境中，sdn有效地解決了不同類(lèi)型網(wǎng)絡(luò)之間的融合互通問(wèn)題。

作為一項(xiàng)新技術(shù)，sdn自身存在安全問(wèn)題，很容易受到外部攻擊，造成信息泄露。openflow作為sdn的一項(xiàng)技術(shù)，其通過(guò)流表項(xiàng)進(jìn)行信息傳遞。流表項(xiàng)中包含了一些隱藏信息，例如：ip數(shù)據(jù)包頭中的源地址、目的地址以及tcp數(shù)據(jù)包頭中的源端口、目的端口。這些信息雖然可以隱藏，但任然有通過(guò)包過(guò)濾、卡方校驗(yàn)等攻擊方式從數(shù)據(jù)包頭中提取源地址、目的地址、源端口以及目的端口等信息，攻擊者可以通過(guò)這些信息對(duì)通信網(wǎng)絡(luò)進(jìn)行攻擊，造成數(shù)據(jù)信息泄露或網(wǎng)絡(luò)癱瘓。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提供一種基于軟件定義網(wǎng)絡(luò)的安全通信方法，以解決sdn在網(wǎng)絡(luò)通信時(shí)安全系數(shù)低的技術(shù)缺陷和問(wèn)題。

為達(dá)到上述目的，本發(fā)明通過(guò)以下技術(shù)方案予以實(shí)現(xiàn)：

一種基于軟件定義網(wǎng)絡(luò)的安全通信方法，包括如下步驟：

s1：客戶(hù)端與服務(wù)器建立臨時(shí)連接；

s2：客戶(hù)端發(fā)送新通信端口協(xié)商請(qǐng)求；

s3：服務(wù)器生成新通信端口，并發(fā)送給客戶(hù)端；

s4：客戶(hù)端基于新通信端口與服務(wù)器重新建立通信連接；

s5：sdn控制器基于新通信端口生成流表項(xiàng)；

s6：交換機(jī)更新流表項(xiàng)。

本發(fā)明的目的還可以通過(guò)以下技術(shù)措施來(lái)進(jìn)一步實(shí)現(xiàn)：

進(jìn)一步地，所述s3中服務(wù)器生成新通信端口包括生成隨機(jī)大跨度新通信端口。

進(jìn)一步地，所述生成隨機(jī)大跨度新通信端口包括：

s31：獲取原通信端口；

s32：隨機(jī)生成新通信端口；

s33：判斷新通信端口是否已存在；

若不存在，則執(zhí)行s33；

若存在，則執(zhí)行s32；

s34：判斷新通信端口與原通信端口跨度是否大于預(yù)設(shè)跨度值；

若大于預(yù)設(shè)跨度值，則完成隨機(jī)大跨度新通信端口生成，并保存新通信端口；

若小于預(yù)設(shè)跨度值，則執(zhí)行s32。

進(jìn)一步地，所述s5中sdn控制器基于新通信端口生成流表項(xiàng)包括sdn控制器基于新通信端口生成只匹配通信端口的流表項(xiàng)。

進(jìn)一步地，所述s2中客戶(hù)端發(fā)送新通信端口協(xié)商請(qǐng)求的請(qǐng)求信息中包含干擾包。

進(jìn)一步地，所述基于軟件定義網(wǎng)絡(luò)的安全通信方法中客戶(hù)端和服務(wù)器之間是加密通信。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：

在本發(fā)明中，通過(guò)在客戶(hù)端與服務(wù)器建立臨時(shí)連接的基礎(chǔ)上進(jìn)行端口協(xié)商，再通過(guò)新端口重新建立連接，并更新流表項(xiàng)的技術(shù)方案，實(shí)現(xiàn)動(dòng)態(tài)調(diào)整流表項(xiàng)，只匹配端口號(hào)進(jìn)行數(shù)據(jù)交互的通信機(jī)制，獲得避免ip信息泄露的技術(shù)效果。

在本發(fā)明中，通過(guò)服務(wù)器生成隨機(jī)大跨度新通信端口，客戶(hù)端根據(jù)新端口重新連接的技術(shù)方案，可以降低嗅探攻擊的成功率，彌補(bǔ)因編程接口開(kāi)放而導(dǎo)致的信息泄露風(fēng)險(xiǎn)。

在本發(fā)明中，對(duì)客戶(hù)端與服務(wù)器之間的通信信息進(jìn)行加密，可以降低攻擊者截獲信息后獲取信息內(nèi)容的可能性。

在本發(fā)明中，在客戶(hù)端向服務(wù)器發(fā)送的新通信端口協(xié)商請(qǐng)求信息中增加干擾包，可以降低新通信端口協(xié)商請(qǐng)求信息被截獲的可能性。

附圖說(shuō)明

圖1是本發(fā)明述基于軟件定義網(wǎng)絡(luò)的安全通信方法的主視圖；

圖2是本發(fā)明獲取隨機(jī)大跨度新通信端口的流程圖。

具體實(shí)施方式

下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明。

如圖1所示，本發(fā)明提供的基于軟件定義網(wǎng)絡(luò)的安全通信方法，包括如下步驟：

s1：客戶(hù)端與服務(wù)器建立臨時(shí)連接；

s2：客戶(hù)端發(fā)送新通信端口協(xié)商請(qǐng)求；

s3：服務(wù)器生成新通信端口，并發(fā)送給客戶(hù)端；

s4：客戶(hù)端基于新通信端口與服務(wù)器重新建立通信連接；

s5：sdn控制器基于新通信端口生成流表項(xiàng)；

s6：交換機(jī)更新流表項(xiàng)。

簡(jiǎn)化計(jì)算機(jī)網(wǎng)絡(luò)中各轉(zhuǎn)發(fā)網(wǎng)絡(luò)設(shè)備，從第三層或更高層看待網(wǎng)絡(luò)，網(wǎng)絡(luò)通信實(shí)際上就是兩臺(tái)或多臺(tái)主機(jī)與服務(wù)器之間，通過(guò)特定端口、特定通道進(jìn)行的數(shù)據(jù)傳輸。從這個(gè)角度來(lái)說(shuō)，網(wǎng)絡(luò)訪(fǎng)問(wèn)的安全性關(guān)鍵在于網(wǎng)絡(luò)通信端口和通信鏈路的安全性和保密性。其中，鏈路的安全性與保密性主要通過(guò)數(shù)據(jù)加密等技術(shù)，防止信息被嗅探、截取和破壞；而端口的安全性與保密性可以通過(guò)本發(fā)明的方法實(shí)現(xiàn)。

在處于以太網(wǎng)和現(xiàn)場(chǎng)中線(xiàn)的異構(gòu)網(wǎng)絡(luò)中的客戶(hù)端與服務(wù)器正式進(jìn)行數(shù)據(jù)交互前，先建立一個(gè)臨時(shí)連接，該連接主要用于客戶(hù)端與服務(wù)器之間進(jìn)行新通信端口的協(xié)商。臨時(shí)連接建立后，當(dāng)需要進(jìn)行數(shù)據(jù)交互時(shí)，客戶(hù)端先向服務(wù)器發(fā)送新通信端口協(xié)商請(qǐng)求，服務(wù)器在收到該請(qǐng)求之后，便生成一個(gè)新端口，并將新的端口返回給客戶(hù)端，客戶(hù)端在接收到這個(gè)新端口之后，斷開(kāi)當(dāng)前臨時(shí)連接，利用新的端口作為目標(biāo)端口再與服務(wù)器進(jìn)行連接。sdn控制器根據(jù)網(wǎng)絡(luò)的新?tīng)顟B(tài)，向支持openflow協(xié)議的交換機(jī)下發(fā)新的流表項(xiàng)，動(dòng)態(tài)調(diào)整了控制選項(xiàng)。新的流表項(xiàng)，使得通信雙方只需匹配端口號(hào)即可進(jìn)行通信，流表項(xiàng)中不再包含ip信息，避免了ip信息的泄露。

如圖2所示，生成隨機(jī)大跨度新通信端口包括：

s31：獲取原通信端口；

s32：隨機(jī)生成新通信端口；

s33：判斷新通信端口是否已存在；

若不存在，則執(zhí)行s33；

若存在，則執(zhí)行s32；

s34：判斷新通信端口與原通信端口跨度是否大于預(yù)設(shè)跨度值；

若大于預(yù)設(shè)跨度值，則完成隨機(jī)大跨度新通信端口生成，并保存新通信端口；

若小于預(yù)設(shè)跨度值，則執(zhí)行s32。

如果依照固定模式，或者指定方式生成一個(gè)新通信端口，嗅探攻擊很容易獲取新通信端口。為了提高新通信端口的安全性，采用隨機(jī)生成一個(gè)與原端口之間跨度較大的一個(gè)端口作為新的通信端口。例如，原端口是a，當(dāng)服務(wù)器接收到協(xié)商端口請(qǐng)求后，生成一個(gè)隨機(jī)端口b，首先為避免隨機(jī)生成重復(fù)端口，每次成功生成一個(gè)隨機(jī)大跨度新通信端口后便將該端口保存起來(lái)，將端口b與保存的所有已生成端口進(jìn)行比較，看是否已經(jīng)存在，如已經(jīng)存在，則重新生成一個(gè)隨機(jī)端口b，如果不存在，則計(jì)算端口b與原端口a的差值的絕對(duì)值c，如果該值c大于預(yù)設(shè)跨度值，就說(shuō)明端口b與原端口a之間的跨度已滿(mǎn)足要求，反之則繼續(xù)重新生成端口b，并重復(fù)上述過(guò)程，直至滿(mǎn)足要求。

為了進(jìn)一步提高通信的安全性，將干擾包混入新通信端口協(xié)商請(qǐng)求中，避免攻擊者截獲客戶(hù)端向服務(wù)器發(fā)送的新通信端口協(xié)商請(qǐng)求，從而進(jìn)行惡意請(qǐng)求的情況。

將客戶(hù)端與服務(wù)器之間交互的信息都用des密碼算法進(jìn)行加密，即使攻擊者截獲了信息，也因?yàn)樾畔⒈患用芏y以解密獲取原信息內(nèi)容，進(jìn)一步提高了通信安全性。

除上述實(shí)施例外，本發(fā)明還可以有其他實(shí)施方式，凡采用等同替換或等效變換形成的技術(shù)方案，均落在本發(fā)明要求的保護(hù)范圍內(nèi)。