一种流量自适应调度的攻击防御方法及系统技术方案

本发明专利技术提供一种流量自适应调度的攻击防御方法及系统，在控制器与交换机之间建立安全加密通道，增加可信任机构CA对控制器和交换机进行认证签名，实现控制器和交换机之间的双向认证，以及在控制器与交换机之间进行密钥协商，实现针对性地改进SDN网络漏洞；实时调度被攻击交换机的网络流量到其他邻居交换机，有效减少了链路时间延迟。

An attack defense method and system of traffic adaptive scheduling

【技术实现步骤摘要】
一种流量自适应调度的攻击防御方法及系统
本申请涉及网络安全
，尤其涉及一种流量自适应调度的攻击防御方法及系统。
技术介绍
现有的SDN网络中控制器与交换机之间不强制建立TLS安全通道，并且默认状态为非开启状态，使得网络变得脆弱，控制器与交换机之间可能出现明文通信，任何第三方都可以截获或者修改双方的通信内容，容易受到中间人的攻击。控制器与交换机之间缺乏对证书的验证，攻击者容易截取控制器发送给交换机的请求，伪装成控制器与交换机进行通信，从而获得交换机与控制器之间通信的所有内容。同时，SDN网络系统中的DDos攻击会严重消耗被攻击目标主机的资源，使得用户无法正常访问被攻击主机，造成控制器与被攻击交换机之间的安全通道阻塞。所以急需一种针对性改进SDN网络漏洞的攻击防御方法和系统。
技术实现思路
本专利技术的目的在于提供一种流量自适应调度的攻击防御方法及系统，在控制器与交换机之间建立安全加密通道，增加可信任机构CA对控制器和交换机进行认证签名，实现控制器和交换机之间的双向认证，以及在控制器与交换机之间进行密钥协商，实现针对性地改进SDN网络漏洞；实时调度被攻击交换机的网络流量到其他邻居交换机，有效减少了链路时间延迟。第一方面，本申请提供一种流量自适应调度的攻击防御方法，所述方法包括：获取网络流量数据，根据网络特征，识别网络的类型；当识别网络为SDN网络时，下发控制指令给控制器和交换机，所述控制指令携带有网络中间可信任机构CA的标识和地址；所述控制器和交换机接收所述控制指令，分别向网络中间可信任机构CA发送身份认证请求，所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识；所述可信任机构CA接收到所述身份认证请求，根据设备标识查询数据库，判断所述控制器和交换机是否合法，如果判断结果为合法，则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机；如果判断结果为不合法，则所述可信任机构CA返回认证失败的通知；所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书，使用所述可信任机构CA的公钥对所述数字签名证书进行验证，若验证成功，则所述控制器和交换机将所述数字签名证书替换为各自的身份信息；若验证不成功，则所述控制器和交换机向所述可信任机构CA发送认证错误的通知；所述控制器和交换机在验证成功后，交换机向控制器发送加密安全连接请求，所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数；所述控制器接收到所述加密安全连接请求后，向所述交换机返回响应消息，所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书；所述交换机接收到所述响应消息后，使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证，如果验证成功，则生成第三随机数，并使用控制器的公钥对所述第三随机数进行加密，与交换机的数字签名证书一起发送给所述控制器；所述控制器接收到所述交换机发送的消息后，使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证，如果验证成功，则使用控制器的私钥解密消息中的所述第三随机数密文，完成控制器和交换机的密钥协商；所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信；判断控制器与当前交换机之间是否发生DDos攻击，如果判断结果为真，则获取所述当前交换机的至少一个邻居交换机上传Packet-in报文的数量，并计算上传Packet-in报文的速率；将所述至少一个邻居交换机的Packet-in报文速率进行排序，确定其中Packet-in报文速率最小的邻居交换机，获取该速率最小的邻居交换机的标识DPID；根据目的IP地址获取网络流量数据包的content、输入端口和路径集合，再根据邻居交换机的标识DPID和输入端口从路径集合中选择满足预定条件的路径，按照该路径下发更新的流规则到被攻击的当前交换机；等待预先设定的时间间隔，再次判断控制器与当前交换机之间是否发生DDos攻击。结合第一方面，在第一方面第一种可能的实现方式中，所述数字签名证书采用了哈希运算。结合第一方面，在第一方面第二种可能的实现方式中，所述加密算法包括DES、MD5、AES中任意一种。结合第一方面，在第一方面第三种可能的实现方式中，所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。第二方面，本申请提供一种流量自适应调度的攻击防御系统，所述系统包括：网关服务器、分析服务器、网络中间可信任机构CA、至少一个SDN控制器和至少一个SDN交换机；所述网关服务器获取网络流量数据，根据网络特征，识别网络的类型；当识别网络为SDN网络时，下发控制指令给至少一个控制器和至少一个交换机，所述控制指令携带有网络中间可信任机构CA的标识和地址；所述至少一个控制器和至少一个交换机接收所述控制指令，分别向网络中间可信任机构CA发送身份认证请求，所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识；所述可信任机构CA接收到所述身份认证请求，根据设备标识查询数据库，判断所述至少一个控制器和至少一个交换机是否合法，如果判断结果为合法，则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述至少一个控制器和至少一个交换机；如果判断结果为不合法，则所述可信任机构CA返回认证失败的通知；所述至少一个控制器和至少一个交换机接收到所述可信任机构CA发送的数字签名证书，使用所述可信任机构CA的公钥对所述数字签名证书进行验证，若验证成功，则所述至少一个控制器和至少一个交换机将所述数字签名证书替换为各自的身份信息；若验证不成功，则所述至少一个控制器和至少一个交换机向所述可信任机构CA发送认证错误的通知；所述至少一个控制器和至少一个交换机在验证成功后，交换机向对应控制器发送加密安全连接请求，所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数；所述控制器接收到所述加密安全连接请求后，向所述交换机返回响应消息，所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书；所述交换机接收到所述响应消息后，使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证，如果验证成功，则生成第三随机数，并使用控制器的公钥对所述第三随机数进行加密，与交换机的数字签名证书一起发送给所述控制器；所述控制器接收到所述交换机发送的消息后，使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证，如果验证成功，则使用控制器的私钥解密消息中的所述第三随机数密文，完成控制器和交换机的密钥协商；所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信；所述分析服务器判断控制器与当前交换机之间是否发生DDos攻击，如果判断结果为真，则获取所述当前交换机的至少一个邻居交换机上传Pac本文档来自技高网...

【技术保护点】
1.一种流量自适应调度的攻击防御方法，其特征在于，所述方法包括：/n获取网络流量数据，根据网络特征，识别网络的类型；/n当识别网络为SDN网络时，下发控制指令给控制器和交换机，所述控制指令携带有网络中间可信任机构CA的标识和地址；/n所述控制器和交换机接收所述控制指令，分别向网络中间可信任机构CA发送身份认证请求，所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识；/n所述可信任机构CA接收到所述身份认证请求，根据设备标识查询数据库，判断所述控制器和交换机是否合法，如果判断结果为合法，则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机；如果判断结果为不合法，则所述可信任机构CA返回认证失败的通知；/n所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书，使用所述可信任机构CA的公钥对所述数字签名证书进行验证，若验证成功，则所述控制器和交换机将所述数字签名证书替换为各自的身份信息；若验证不成功，则所述控制器和交换机向所述可信任机构CA发送认证错误的通知；/n所述控制器和交换机在验证成功后，交换机向控制器发送加密安全连接请求，所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数；/n所述控制器接收到所述加密安全连接请求后，向所述交换机返回响应消息，所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书；/n所述交换机接收到所述响应消息后，使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证，如果验证成功，则生成第三随机数，并使用控制器的公钥对所述第三随机数进行加密，与交换机的数字签名证书一起发送给所述控制器；/n所述控制器接收到所述交换机发送的消息后，使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证，如果验证成功，则使用控制器的私钥解密消息中的所述第三随机数密文，完成控制器和交换机的密钥协商；/n所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信；/n判断控制器与当前交换机之间是否发生DDos攻击，如果判断结果为真，则获取所述当前交换机的至少一个邻居交换机上传Packet-in报文的数量，并计算上传Packet-in报文的速率；/n将所述至少一个邻居交换机的Packet-in报文速率进行排序，确定其中Packet-in报文速率最小的邻居交换机，获取该速率最小的邻居交换机的标识DPID；/n根据目的IP地址获取网络流量数据包的content、输入端口和路径集合，再根据邻居交换机的标识DPID和输入端口从路径集合中选择满足预定条件的路径，按照该路径下发更新的流规则到被攻击的当前交换机；/n等待预先设定的时间间隔，再次判断控制器与当前交换机之间是否发生DDos攻击。/n...

【技术特征摘要】
1.一种流量自适应调度的攻击防御方法，其特征在于，所述方法包括：
获取网络流量数据，根据网络特征，识别网络的类型；
当识别网络为SDN网络时，下发控制指令给控制器和交换机，所述控制指令携带有网络中间可信任机构CA的标识和地址；
所述控制器和交换机接收所述控制指令，分别向网络中间可信任机构CA发送身份认证请求，所述身份认证请求携带有控制器和交换机各自的公钥、用户身份信息和设备标识；
所述可信任机构CA接收到所述身份认证请求，根据设备标识查询数据库，判断所述控制器和交换机是否合法，如果判断结果为合法，则所述可信任机构CA将一条明文消息以及使用CA私钥对明文消息的数字签名证书一起返回给所述控制器和交换机；如果判断结果为不合法，则所述可信任机构CA返回认证失败的通知；
所述控制器和交换机接收到所述可信任机构CA发送的数字签名证书，使用所述可信任机构CA的公钥对所述数字签名证书进行验证，若验证成功，则所述控制器和交换机将所述数字签名证书替换为各自的身份信息；若验证不成功，则所述控制器和交换机向所述可信任机构CA发送认证错误的通知；
所述控制器和交换机在验证成功后，交换机向控制器发送加密安全连接请求，所述加密安全连接请求携带有版本信息、所支持的加密算法和第一随机数；
所述控制器接收到所述加密安全连接请求后，向所述交换机返回响应消息，所述响应消息包括确认的加密算法、随机生成的第二随机数和控制器的数字签名证书；
所述交换机接收到所述响应消息后，使用所述可信任机构CA的公钥对控制器的数字签名证书进行验证，如果验证成功，则生成第三随机数，并使用控制器的公钥对所述第三随机数进行加密，与交换机的数字签名证书一起发送给所述控制器；
所述控制器接收到所述交换机发送的消息后，使用所述可信任机构CA的公钥对交换机的数字签名证书进行验证，如果验证成功，则使用控制器的私钥解密消息中的所述第三随机数密文，完成控制器和交换机的密钥协商；
所述控制器和交换机使用协商好的加密算法和密钥对建立的加密安全连接进行加密通信；
判断控制器与当前交换机之间是否发生DDos攻击，如果判断结果为真，则获取所述当前交换机的至少一个邻居交换机上传Packet-in报文的数量，并计算上传Packet-in报文的速率；
将所述至少一个邻居交换机的Packet-in报文速率进行排序，确定其中Packet-in报文速率最小的邻居交换机，获取该速率最小的邻居交换机的标识DPID；
根据目的IP地址获取网络流量数据包的content、输入端口和路径集合，再根据邻居交换机的标识DPID和输入端口从路径集合中选择满足预定条件的路径，按照该路径下发更新的流规则到被攻击的当前交换机；
等待预先设定的时间间隔，再次判断控制器与当前交换机之间是否发生DDos攻击。


2.根据权利要求1所述的方法，其特征在于，所述数字签名证书采用了哈希运算。


3.根据权利要求1-2任一项所述的方法，其特征在于，所述加密算法包括DES、MD5、AES中任意一种。


4.根据权利要求1-3任一项所述的方法，其特征在于，所述网络中间可信任机构CA可以是认证服务器、密钥服务器、数字证书服务器中任意一种。


5.一种流量自适应调度的攻击防御系统，其特征在于，所述系统包括：网关服务器、分析服务器、网络中间可信任机构CA、至...

【专利技术属性】
技术研发人员：段彬，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：湖北;42