[发明专利]一种基于软件定义网络的安全通信方法

说明书

技术领域

本发明涉及一种网络通信方法，尤其涉及一种基于软件定义网络的安全通信方法，属于网络通信技术领域。

背景技术

软件定义网络(Software Defined Network，简称“SDN”)技术分离了网络的控制平台和数据平面，为研发网络新应用和未来互联网技术提供了一种新的解决方案。OpenFlow最初是为校园网络研究人员设计，其创新网络架构提供了真实的实验平台，随后McKeown等研究者开始推广SDN概念，引起学术界和产业界的广泛关注。尤其在异构网络环境中，SDN有效地解决了不同类型网络之间的融合互通问题。

作为一项新技术，SDN自身存在安全问题，很容易受到外部攻击，造成信息泄露。OpenFlow作为SDN的一项技术，其通过流表项进行信息传递。流表项中包含了一些隐藏信息，例如：IP数据包头中的源地址、目的地址以及TCP数据包头中的源端口、目的端口。这些信息虽然可以隐藏，但任然有通过包过滤、卡方校验等攻击方式从数据包头中提取源地址、目的地址、源端口以及目的端口等信息，攻击者可以通过这些信息对通信网络进行攻击，造成数据信息泄露或网络瘫痪。

发明内容

本发明的目的在于提供一种基于软件定义网络的安全通信方法，以解决SDN在网络通信时安全系数低的技术缺陷和问题。

为达到上述目的，本发明通过以下技术方案予以实现：

一种基于软件定义网络的安全通信方法，包括如下步骤：

S1：客户端与服务器建立临时连接；

S2：客户端发送新通信端口协商请求；

S3：服务器生成新通信端口，并发送给客户端；

S4：客户端基于新通信端口与服务器重新建立通信连接；

S5：SDN控制器基于新通信端口生成流表项；

S6：交换机更新流表项。

本发明的目的还可以通过以下技术措施来进一步实现：

进一步地，所述S3中服务器生成新通信端口包括生成随机大跨度新通信端口。

进一步地，所述生成随机大跨度新通信端口包括：

S31：获取原通信端口；

S32：随机生成新通信端口；

S33：判断新通信端口是否已存在；

若不存在，则执行S33；

若存在，则执行S32；

S34：判断新通信端口与原通信端口跨度是否大于预设跨度值；

若大于预设跨度值，则完成随机大跨度新通信端口生成，并保存新通信端口；

若小于预设跨度值，则执行S32。

进一步地，所述S5中SDN控制器基于新通信端口生成流表项包括SDN控制器基于新通信端口生成只匹配通信端口的流表项。

进一步地，所述S2中客户端发送新通信端口协商请求的请求信息中包含干扰包。

进一步地，所述基于软件定义网络的安全通信方法中客户端和服务器之间是加密通信。

与现有技术相比，本发明的有益效果是：

在本发明中，通过在客户端与服务器建立临时连接的基础上进行端口协商，再通过新端口重新建立连接，并更新流表项的技术方案，实现动态调整流表项，只匹配端口号进行数据交互的通信机制，获得避免IP信息泄露的技术效果。

在本发明中，通过服务器生成随机大跨度新通信端口，客户端根据新端口重新连接的技术方案，可以降低嗅探攻击的成功率，弥补因编程接口开放而导致的信息泄露风险。

在本发明中，对客户端与服务器之间的通信信息进行加密，可以降低攻击者截获信息后获取信息内容的可能性。

在本发明中，在客户端向服务器发送的新通信端口协商请求信息中增加干扰包，可以降低新通信端口协商请求信息被截获的可能性。

附图说明

图1是本发明述基于软件定义网络的安全通信方法的主视图；

图2是本发明获取随机大跨度新通信端口的流程图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明。

如图1所示，本发明提供的基于软件定义网络的安全通信方法，包括如下步骤：

S1：客户端与服务器建立临时连接；

S2：客户端发送新通信端口协商请求；

S3：服务器生成新通信端口，并发送给客户端；

S4：客户端基于新通信端口与服务器重新建立通信连接；

S5：SDN控制器基于新通信端口生成流表项；

S6：交换机更新流表项。