[发明专利]一种基于SDN的网络安全防御系统及其工作方法

权利要求书

1.一种基于SDN的网络安全防御系统，包括密钥配置单元(1)、数据处理单元(2)、加密单元(3)和选路单元(4)，其特征在于：所述密钥配置单元(1)用于在接到业务请求时，在控制器与源宿节点设备上，预配置相同的对称密钥；所述数据处理单元(2)用于对数据进行分块处理；所述加密单元(3)用于对配置的对称密钥中的加密算法进行加密处理；所述选路单元(4)用于计算路径，并为处理后的IP包随机选择工作路径。

2.根据权利要求1所述的基于SDN的网络安全防御系统，其特征在于：所述密钥配置单元(1)包括分组加密模块和DES密钥。

3.根据权利要求2所述的基于SDN的网络安全防御系统，其特征在于：所述分组加密模块基于Feistel密码设计，其定义为：Feistel密码为长度为2t-bit的F₂区块密码，令长度为2t-bit的明文为(L₀,R₀)，其中L₀为左半-bit，R₀为右半-bit，加密过程为r个回合函数运算，即：

其中，L_i＝R_i-1，则：

其中，K_i为密钥所导出的子钥，其加密函数为：

E_K(L₀,R₀)＝(L_r,R_r)……(式1-2)。

4.根据权利要求2所述的基于SDN的网络安全防御系统，其特征在于：所述DES密钥的公式定义如下：

令字串则K为DES密钥，公式如下：

5.根据权利要求1所述的基于SDN的网络安全防御系统，其特征在于：所述数据处理单元(2)基于IP分片，将数据进行分块处理，IP头部中与分片相关的字段包括标识、标志和片偏移。

6.根据权利要求1所述的基于SDN的网络安全防御系统，其特征在于：所述加密单元(3)包括字节变换模块、行位移模块、裂变混合变换模块、轮密钥加模块和密钥扩展模块，所述字节变换模块用于对节点采集的数据进行替换，所述行位移模块用于对数据字节进行移位，所述裂变混合变换模块用于对数据字节进行裂变混合变换，所述轮密钥加模块用于执行轮密钥加，所述密钥扩展模块用于产生的轮密钥。

7.根据权利要求6所述的基于SDN的网络安全防御系统及其工作方法，其特征在于：所述裂变混合变换模块的方法为把状态矩阵的每一列看做有限域上的多项式，然后与一个固定多项式进行模乘，其公式为：

其中，F₂₈[x]/(x⁴+1)上可逆多项式c(x)＝c₀x³+c₁x²+c₂x+c₃对应的线性变化。

8.根据权利要求1所述的基于SDN的网络安全防御系统，其特征在于：所述选路单元(4)采用最小成本的路由算法，其目标函数为：

其约束条件为：

C_mn≤M_mn,m∈V,(m.n)∈E……(式4-5)；

C_nm≤M_mD,m∈V,(m.n)∈E……(式4-6)；

9.一种基于SDN的网络安全防御的工作方法，包括权利要求1-8中任意一项所述的基于SDN的网络安全防御系统，其方法包括如下步骤：

S1、接到业务请求；

S2、在控制器与源宿节点设备上，预配置相同的对称密钥；

S3、对数据进行分块处理；

S4、对配置的对称密钥中的加密算法进行加密处理；

S5、计算路径，并为处理后的IP包随机选择工作路径。