[发明专利]报文转发方法、装置和转发设备

说明书

本发明提供了一种报文转发方法、装置和转发设备，属于网络通信技术领域。本发明实施例提供的报文转发方法、装置和转发设备，将待发送的数据报文进行加密；并使Openflow交换机将加密的数据报文和加密策略通过不同的控制流表发送给目标接收端，使目标设备可以通过根据加密策略将数据报文进行解密，得到正确的报文信息，而中间设备无法同时获得数据报文或加密策略，因此无法得到数据报文的信息，从而可以预防MITM攻击，提高网络信息安全。

技术领域

本发明涉及网络通信技术领域，具体而言，涉及一种报文转发方法、装置和转发设备。

背景技术

MITM(Man-in-the-MiddleAttack，中间人攻击)是一种间接攻击计算机的网络技术，该技术将受入侵者控制的一台中间设备虚拟放置在网络连接中的两台计算机或通信终端之间，这台中间设备就称为“中间人”。然后入侵者把这台中间设备模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息，然而两个原始计算机用户却认为他们是在互相通信。

例如，当主机A和主机B通信时，都由主机C来为其“转发”，而A、B之间并没有真正意思上的直接通信，他们之间的信息传递同 C作为中介来完成，但是A、B却不会意识到，而以为它们之间是在直接通信。这样攻击主机在中间成为了一个转发器，C可以不仅窃听 A、B的通信还可以对信息进行篡改再传给对方，C便可以将恶意信息传递给A、B以达到自己的目的。因此，网络黑客经常使用该技术窃取用户的网络请求，获取用户的银行，网络账号等信息，威胁了网络安全，也给用户造成了损失。

发明内容

针对上述现有技术中存在的问题，本发明提供了一种报文转发方法、装置和转发设备，可以预防MITM攻击，提高网络信息安全。

第一方面，本发明实施例提供了一种报文转发方法，应用于基于 SDN的转发设备，包括：

将待发送的数据报文进行加密；

为加密的数据报文生成第一控制流表，以使Openflow交换机根据所述第一控制流表发送加密的数据报文；

生成第二控制流表，以使Openflow交换机根据所述第一控制流表发送加密策略；所述第二控制流表和所述第一控制流表具有相同的目的地址信息。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述第一控制流表和所述第二控制流表至少包含以下信息：源地址信息、目的地址信息、源端口信息、目的端口信息、通信链路信息。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述第一控制流表和所述第二控制流表具有不同的通信链路信息。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述加密策略为密码或加密规则。

第二方面，本发明实施例还提供了一种报文转发装置，应用于基于SDN的转发设备，包括：

加密模块，用于将待发送的数据报文进行加密；

第一控制流表生成模块，用于为加密的数据报文生成第一控制流表，以使Openflow交换机根据所述第一控制流表发送加密的数据报文；

第二控制流表生成模块，生成第二控制流表，以使Openflow交换机根据所述第一控制流表发送加密策略；所述第二控制流表和所述第一控制流表具有相同的目的地址信息。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述第一控制流表和所述第二控制流表至少包含以下信息：源地址信息、目的地址信息、源端口信息、目的端口信息、通信链路信息。