本发明专利技术公开了一种基于SDN构架下的IP地址跳变安全通信方法,包括以下步骤:A:Host1请求Host2的IP地址;B:控制器将Host2的真实IP地址r2替换为虚拟IP地址h2;C:控制器将域名解析应答转发给Host1;D:Host1以r1做为源地址,h2做为目的地址向Host2发送数据包;E:控制器生成流规则将r1替换为虚拟IP地址h1,并下发流规则;F:源交换机将r1替换为h1并进行转发;G:目的交换机将h2替换为r2并进行转发;H:Host2以r2做为源地址,h1做为目的地址发送应答数据包;I:目的交换机将r2替换为h2并进行转发;J:源交换机将h1替换为r1后转发给Host1。本发明专利技术能够为IPH网络内的主机动态分配跳变IP,透明地实现一次一变地访问主机IP,有效抵抗基于扫描的攻击和DDoS攻击。
【技术实现步骤摘要】
本专利技术设及网络安全领域,尤其设及一种基于SDN构架下的IP地址跳变安全通信 方法。
技术介绍
目前,随着计算机网络的发展和普及,网络信息安全逐渐引起人们的重视,网络 攻防对抗已成为当前研究的热点。传统的基于静态IP的网络通信使得服务器或某些重要 主机暴露在攻击者面前,使得攻击者能够准确快速地识别和攻击目标。IP跳变是MTD中的 一类技术,其通过增加主机IP地址的动态性和随机性使攻击者难W在攻击的准备阶段锁 定攻击目标,限制攻击者发现漏桐,隐藏网络内部资产。 在传统网络中,实现IP跳变的开销很高,往往需要在通信双方的终端部署软 硬件,且需要在分布式的环境中进行同步。实现高效的IP跳变需要可塑造的且高度 可控的网络。新兴的软件定义网络为实现IP跳变带来了新的方法。软件定义网络 (software-definednetwork,简称SDN)将网络的控制平面与转发平面(也称数据平面) 解禪,对网络集中控制。SDN是一种灵活的架构,其能够对网络直接可编程且对底层设备进 行抽象,运使得SDN拥有强大的网络管理和控制能力,是实现IP跳变良好选择。 在传统网络的架构下,化ab等人提出了随机主机跳变RMH方案,该方案周期性给 主机分配虚拟IP,将该虚拟IP用于路由,并在网络的边缘将跳变IP自动翻译为真实的IP 地址。Matthew等人提出MT抓,其利用地址空间巨大的IPv6实现了鲁棒的IP跳变策略。该 方法采用隧道技术将数据包封装,反复变换隧道发送者和接收者的源目的IP地址,使攻击 者难W确定通信主机的位置和身份,难W监听到完整的通信流量。Sifalakis等人提出一种 基于网络地址跳变的网络通信数据保护机制,其将一个流分散为多个端到端的连接,对两 个节点间的通信进行隐藏。Antonatos等人提出基于DHCP更新的网络地址空间随机化方 案NASR,其改造了终端操作系统,利用IP跳变抵抗基于攻击列表的蠕虫,该方案的IP地址 跳变速度有限。W上方案均需要在终端安装软件、更改终端操作系统或者部署硬件设备,运 使得上述方案部署代价高,难W实际应用。在SDN网络架构下,Jafarian等人提出了对终 端透明的IP跳变方法0F-RMH。该方法利用了SDN对数据平面的集中控制和可编程的特性, 由控制器实现真实IP和虚拟IP的映射,并在化enflow交换机上做真实IP与虚拟IP的转 换。但由于该方法透明地修改网络中数据包的IP地址,导致该方法不支持多通道协议,且 该方法仅抵抗攻击,但不对攻击者采取进一步的措施。
技术实现思路
阳〇化]本专利技术的目的是提供一种基于SDN构架下的IP地址跳变安全通信方法,能够为IPH网络内的主机动态分配跳变IP,透明地实现一次一变地访问主机IP,有效抵抗基于扫 描的攻击和DDoS攻击,能够支持多通道协议且增加了攻击难度。 阳006] 本专利技术采用下述技术方案: 一种基于SDN构架下的IP地址跳变安全通信方法,其特征在于,依次包括W下步 骤: 阳00引 A:主机化Sti向DNS服务器发出域名解析请求,请求主机化St2的IP地址; 其中,主机化Stz为处于IPH网络内部的主机,主机化St1拥有主机化St2的域名 和DNS服务器的IP地址; B:DNS服务器应答主机化Sti发出的域名解析请求,并将域名解析应答发送至控 制器,控制器随机选择一个虚拟IP地址h2,然后将域名解析应答中主机化Stz的真实IP地 址。替换为虚拟IP地址h2,并为虚拟IP地址hz打开窗口期; C:控制器将包含主机化Stz的虚拟IP地址h2的域名解析应答转发给主机化St1; D:主机化Sti通过域名解析应答得到主机化St2的虚拟IP地址h2,然后W主机 化Sti的真实IP地址ri做为源地址,主机化St2的虚拟IP地址h2做为目的地址向主机化St2 发送数据包;由于此时源交换机Switchi还没有相应的流规则可W路由数据包,因此源交换 机Switchi将该数据包发送给控制器;源交换机Switch1是指主机化St1发送的数据包进入 IPH网络时的第一个交换机; E:控制器检查作为目的地址的主机化Stz的虚拟IP地址h2是否在窗口期内,如果 在窗口期内,则控制器随机选择一个虚拟IP地址hi,生成流规则将主机化Sti的真实IP地 址ri替换为虚拟IP地址h1,并向路径上所有的交换机下发流规则;如果否,则丢弃该数据 包; F:源交换机Switchi利用接收到的流规则,对主机Host1发送给主机Host2的数据 包的源地址进行修改,将源地址即主机化Sti的真实IP地址r1替换为虚拟IP地址h1并进 行转发; G:目的交换机Switchz收到该数据包后,将目的地址即主机化St2的虚拟IP地址 1?替换为主机化St2的真实IP地址r2并进行转发;目的交换机Switch2是指主机化St1发 送的数据包离开IPH网络时经过的最后一个交换机; 阳016]H:主机化Stz接收到数据包后,W主机化St2的真实IP地址r2做为源地址,主机 化Sti的虚拟IP地址h1做为目的地址发送应答数据包;I:目的交换机Switchz利用控制器下发的流规则对主机化St2发送给主机化St1 的应答数据包的源地址进行修改,将源地址即主机化St2的真实IP地址r2替换为主机 化Stz的虚拟IP地址h2并进行转发; 阳0化]J:源交换机Switchi收到应答数据包后,将目的地址即主机Host1的虚拟IP地址hi替换为主机化St1的真实IP地址r1后转发给主机化St1,主机化Sti正常收到应答数据 包。 所述的步骤B中,控制器将域名请求应答中的TTL值写入最小可行值,W保证主机 化Sti再次访问主机化St2时需要重新进行域名解析。 所述的步骤B中,在控制器为虚拟IP地址h2打开窗口期的过程中,控制器首先根 据内网IP地址列表判断主机化Sti是IPH网络外部的主机或是IPH网络内部的主机; 当主机化Sti是IPH网络外部的主机时,控制器为虚拟IP地址h2打开外部窗口期 W。。,,然后将域名解析应答中主机化Stz的真实IP地址r2替换为虚拟IP地址h2; 阳02引当主机化Sti是IPH网络内部的主机时,控制器为虚拟IP地址h2开放内部窗口期 Wm,最后将域名解析应答中主机化St2的真实IP地址r2替换为虚拟IP地址h2。 所述的步骤B中,当主机化Sti是IPH网络外部的主机时,域名解析请求数据包中 不包含源主机IP地址即主机化Sti的真实IP地址ri,控制器将源主机IP地址和通配符W及 超期时间绑定在一起得到窗口期S元组Weut= {dst_hIP, *,expiration_time},其中dst_ hIP是指目的主机的跳变IP地址即虚拟IP地址,dst_hIP=hz,expiration_time是指窗 口期过期时间;外部窗口期W。。,仅接受目的IP为dst_hIP即主机化St2的虚拟IP地址h2、 源主机IP地址为外网IP的任意数据包。 所述的步骤B中,当主机化Sti是IPH网络内部的主机时,控制器将为化St2随机 分配的虚拟IP地址h2和主机化St1的源IP地址即真实IP地址r1W及窗口期过期时间绑 定在一起得到窗口期S元组Win= {dst_hIP,s;rc本文档来自技高网...
【技术保护点】
一种基于SDN构架下的IP地址跳变安全通信方法,其特征在于,依次包括以下步骤:A:主机Host1向DNS服务器发出域名解析请求,请求主机Host2的IP地址;其中,主机Host2为处于IPH网络内部的主机,主机Host1拥有主机Host2的域名和DNS服务器的IP地址;B:DNS服务器应答主机Host1发出的域名解析请求,并将域名解析应答发送至控制器,控制器随机选择一个虚拟IP地址h2,然后将域名解析应答中主机Host2的真实IP地址r2替换为虚拟IP地址h2,并为虚拟IP地址h2打开窗口期;C:控制器将包含主机Host2的虚拟IP地址h2的域名解析应答转发给主机Host1;D:主机Host1通过域名解析应答得到主机Host2的虚拟IP地址h2,然后以主机Host1的真实IP地址r1做为源地址,主机Host2的虚拟IP地址h2做为目的地址向主机Host2发送数据包;由于此时源交换机Switch1还没有相应的流规则可以路由数据包,因此源交换机Switch1将该数据包发送给控制器;源交换机Switch1是指主机Host1发送的数据包进入IPH网络时的第一个交换机;E:控制器检查作为目的地址的主机Host2的虚拟IP地址h2是否在窗口期内,如果在窗口期内,则控制器随机选择一个虚拟IP地址h1,生成流规则将主机Host1的真实IP地址r1替换为虚拟IP地址h1,并向路径上所有的交换机下发流规则;如果否,则丢弃该数据包;F:源交换机Switch1利用接收到的流规则,对主机Host1发送给主机Host2的数据包的源地址进行修改,将源地址即主机Host1的真实IP地址r1替换为虚拟IP地址h1并进行转发;G:目的交换机Switch2收到该数据包后,将目的地址即主机Host2的虚拟IP地址h2替换为主机Host2的真实IP地址r2并进行转发;目的交换机Switch2是指主机Host1发送的数据包离开IPH网络时经过的最后一个交换机;H:主机Host2接收到数据包后,以主机Host2的真实IP地址r2做为源地址,主机Host1的虚拟IP地址h1做为目的地址发送应答数据包;I:目的交换机Switch2利用控制器下发的流规则对主机Host2发送给主机Host1的应答数据包的源地址进行修改,将源地址即主机Host2的真实IP地址r2替换为主机Host2的虚拟IP地址h2并进行转发;J:源交换机Switch1收到应答数据包后,将目的地址即主机Host1的虚拟IP地址h1替换为主机Host1的真实IP地址r1后转发给主机Host1,主机Host1正常收到应答数据包。...
【技术特征摘要】
【专利技术属性】
技术研发人员:芦斌,赵正,巩道福,刘粉林,
申请(专利权)人:芦斌,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。