基于门限秘密共享的软件定义网络数据安全传输方法技术

本发明专利技术涉及一种基于门限秘密共享的软件定义网络数据安全传输方法，属于网络空间安全技术领域，解决了现有物联网中网络数据传输安全性不足和可靠性差的问题。包括交换机接收到源主机发送的连接请求数据包后发送给控制器；控制器根据历史通信记录和网络拓扑识别是否需要重新选择转发路径；需要则计算得到多条新转发路径和路径权重；源主机接收到目的主机发送的连接请求回复后，运行k

【技术实现步骤摘要】
基于门限秘密共享的软件定义网络数据安全传输方法


[0001]本专利技术涉及网络空间安全
，尤其涉及一种基于门限秘密共享的软件定义网络数据安全传输方法。

技术介绍

[0002]随着网络信息化的发展，网络数据的安全传输是保障上层网络应用的安全和稳定的基础。
[0003]在物联网中，设备的处理能力弱、网络链路不稳定、网络环境开放、攻击面大等特点为物联网中的数据安全传输带来了严重的挑战。
[0004]在现有技术中，依赖于节点的强计算和续航能力的高复杂度的加密算法在物联网中的应用受到限制，使得网络中传输的数据面临更大的安全风险；同时，链路的不稳定导致数据包的丢失与重传为网络带来了额外的开销和更高的延迟。虽然软件定义网络具备灵活选路、快速响应、高效更新等优势，但是，软件定义网络的优势目前还较少被用于解决物联网中的安全问题，有的技术中虽然使用了软件定义物联网架构，但是数据安全的传输只是随机选择一条路径，数据安全仍有很大隐患。

技术实现思路

[0005]鉴于上述的分析，本专利技术实施例旨在提供一种基于门限秘密共享的软件定义网络数据安全传输方法，用以解决现有物联网中网络数据传输安全性不足和可靠性差的问题。
[0006]本专利技术实施例提供了一种基于门限秘密共享的软件定义网络数据安全传输方法，包括如下步骤：
[0007]交换机接收到源主机发送的连接请求数据包后，将数据包头部消息发送给控制器；
[0008]控制器接收到头部消息后，根据历史通信记录和网络拓扑识别是否需要重新选择转发路径；需要，则计算得到多条新转发路径和路径权重，并更新原转发路径和路径权重；以及，指示交换机在当前多条转发路径中选择一条转发连接请求数据包至目的主机；
[0009]源主机接收到目的主机发送的连接请求回复后，运行k
‑
n门限加密算法对原始数据加密处理，得到n份密文数据，根据当前多条转发路径和路径权重选择k条转发路径发送n份密文数据；
[0010]当目标主机接收到不重复密文数据的份数大于等于k时，对密文数据解密得到原始数据。
[0011]基于上述方法的进一步改进，还包括，当目标主机接收到不重复密文数据的份数小于k时，等待源主机重传密文；
[0012]等待源主机重传密文，包括：
[0013]根据当前多条转发路径的使用记录，若存在未被使用过的转发路径且未被使用过的转发路径的数量大于等于未收到数据回复的转发路径数量时，源主机对当前多条转发路
径重新计算权重，并按权重大小排序，在未被使用过的转发路径中，从权重最大的路径开始选择，重传未收到数据回复的密文数据，直至目的主机接收到不重复密文份数大于等于k；
[0014]否则，由控制器重新计算得到多条新转发路径和路径权重，再发送给源主机，源主机根据最新的多条转发路径和路径权重选择新转发路径重传未收到数据回复的密文数据，直至目的主机接收到不重复密文份数大于等于k。
[0015]基于上述方法的进一步改进，连接请求数据包中对需要进行k
‑
n加密的数据包包头进行标记，并包含加密的k值和n值；
[0016]初始化时在交换机上预置了对数据包包头标记进行判断的流表规则，交换机接收到连接请求数据包后，对数据包包头进行流表规则匹配，若具有标记，则为k
‑
n加密的连接请求数据包，并通过PacketIn消息将数据包头部消息发送给控制器；否则，按照其他流表规则进行正常转发。
[0017]基于上述方法的进一步改进，控制器接收到头部消息后，根据数据包头部消息获取源主机和目的主机信息；
[0018]根据历史通信记录和网络拓扑识别是否需要重新选择转发路径，包括：
[0019]根据历史通信记录，确定是第一次建立连接，或者与上次通讯时间间隔超过预置的超时时间，则需要重新选择转发路径；或，
[0020]根据控制器内维护的网络全局拓扑信息，获取转发路径上交换机增减和链路增减情况，当存在交换机增减和/或链路增减，则需要重新选择转发路径；或，
[0021]通过对发送的PacketOut消息和接收的PacketIn消息进行抓包分析，识别出探测链路拥塞或丢包率超过预置阈值，则需要重新选择转发路径。
[0022]基于上述方法的进一步改进，计算得到多条新转发路径，包括：
[0023]根据广度优先规则，得到从源主机到目的主机的所有可用路径，放入可用路径集合；基于可用路径集合，获取每条可用路径中包含的交换机，放入交换机集合；
[0024]遍历交换机集合，计算在可用路径集合中包含每一个交换机的可用路径条数；遍历可用路径集合，将每条可用路径上交换机的可用路径条数相加，得到每条路径的冲突系数；
[0025]将可用路径集合中的每条路径按照其冲突系数的大小进行排序，选择冲突系数最小且与已选择路径集合中的路径不相交的一条路径，作为路径选择结果移入已选择路径集合中，从可用路径集合中去除与已选择路径集合中的路径相交的路径，对可用路径集合中剩余的路径重复选择直至为空，得到的已选择路径集合中的路径作为多条新转发路径。
[0026]基于上述方法的进一步改进，路径权重根据路径上数据包的质量影响因子、历史数据包质量影响因子、数据包的状态和更新前路径权重计算得到，并且在数据包被确认时动态更新；
[0027]数据包被确认包括：
[0028]当源主机接收到数据回复时，数据包被确认接收；
[0029]当源主机在超时时间内未收到数据回复时，数据包被确认丢弃。
[0030]基于上述方法的进一步改进，路径权重的计算公式是：
[0031][0032]其中，Q
r,n
表示在路径r上第n个数据包被确认时的权重，Q
r,n
‑1表示在路径r上第n
‑
1个数据包被确认时的权重，即权重更新前路径r的权重，初始Q
r,0
＝1，f
n
表示第n个数据包的质量影响因子，每当数据包被确认丢失时，数值递增1；F
n
‑1是n
‑
1个历史数据包的质量影响因子之和，初始F0＝1，计算公式是：
[0033][0034]P
n
表示第n个数据包的状态，计算公式是：
[0035]P
n
＝S
n
×
R
n
，n≥1
[0036]其中，S
n
表示第n个数据包在路径r上被确认的情况，当被确认接收时，S
n
为1，否则S
n
为0；R
n
表示数据包被确认接收的比率。
[0037]基于上述方法的进一步改进，源主机接收到目的主机发送的连接请求回复，包括：
[0038]目的主机接收到连接请求数据包后，得到加密的k值和n值，为连接请求回复打上和连接请求数据包相同转发路径标签，通过与连接请求数据包相同的转发路径向源主机本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于门限秘密共享的软件定义网络数据安全传输方法，其特征在于，包括如下步骤：交换机接收到源主机发送的连接请求数据包后，将数据包头部消息发送给控制器；控制器接收到所述头部消息后，根据历史通信记录和网络拓扑识别是否需要重新选择转发路径；需要，则计算得到多条新转发路径和路径权重，并更新原转发路径和路径权重；以及，指示交换机在当前多条转发路径中选择一条转发所述连接请求数据包至目的主机；源主机接收到目的主机发送的连接请求回复后，运行k
‑
n门限加密算法对原始数据加密处理，得到n份密文数据，根据当前多条转发路径和路径权重选择k条转发路径发送所述n份密文数据；当目标主机接收到不重复密文数据的份数大于等于k时，对密文数据解密得到原始数据。2.根据权利要求1所述的基于门限秘密共享的软件定义网络数据安全传输方法，其特征在于，还包括，当目标主机接收到不重复密文数据的份数小于k时，等待源主机重传密文；所述等待源主机重传密文，包括：根据当前多条转发路径的使用记录，若存在未被使用过的转发路径且未被使用过的转发路径的数量大于等于未收到数据回复的转发路径数量时，源主机对当前多条转发路径重新计算权重，并按权重大小排序，在未被使用过的转发路径中，从权重最大的路径开始选择，重传未收到数据回复的密文数据，直至目的主机接收到不重复密文份数大于等于k；否则，由控制器重新计算得到多条新转发路径和路径权重，再发送给源主机，源主机根据最新的多条转发路径和路径权重选择新转发路径重传未收到数据回复的密文数据，直至目的主机接收到不重复密文份数大于等于k。3.根据权利要求1或2所述的基于门限秘密共享的软件定义网络数据安全传输方法，其特征在于，所述连接请求数据包中对需要进行k
‑
n加密的数据包包头进行标记，并包含加密的k值和n值；初始化时在交换机上预置了对数据包包头标记进行判断的流表规则，交换机接收到连接请求数据包后，对数据包包头进行流表规则匹配，若具有标记，则为k
‑
n加密的连接请求数据包，并通过PacketIn消息将数据包头部消息发送给控制器。4.根据权利要求3所述的基于门限秘密共享的软件定义网络数据安全传输方法，其特征在于，所述控制器接收到所述头部消息后，根据数据包头部消息获取源主机和目的主机信息；所述根据历史通信记录和网络拓扑识别是否需要重新选择转发路径，包括：根据历史通信记录，确定是第一次建立连接，或者与上次通讯时间间隔超过预置的超时时间，则需要重新选择转发路径；或，根据控制器内维护的网络全局拓扑信息，获取转发路径上交换机增减和链路增减情况，当存在交换机增减和/或链路增减，则需要重新选择转发路径；或，通过对发送的PacketOut消息和接收的PacketIn消息进行抓包分析，识别出探测链路拥塞或丢包率超过预置阈值，则需要重新选择转发路径。5.根据权利要求4所述的基于门限秘密共享的软件定义网络数据安全传输方法，其特征在于，所述计算得到多条新转发路径，包括：
根据广度优先规则，得到从源主机到目的主机的所有可用路径，放入可用路径集合；基于所述可用路径集合，获取每条可用路径中包含的交换机，放入交换机集合；遍历交换机集合，计算在可用路径集合中包含每一个交换机的可用路径条数；遍历可用路径集合，将每条可用路径上交换机的可用路径条数相加，得到...

【专利技术属性】
技术研发人员：刘伟，羌卫中，吴俊爽，安鹏伟，陈俊英，王嬴超，王欣，盛凯南，陈建任，季微微，王洋，
申请(专利权)人：北京京航计算通讯研究所，
类型：发明
国别省市：