[发明专利]一种基于openflow交换机端口混淆的移动目标防御方法

权利要求书

1.一种基于openflow交换机端口混淆的移动目标防御方法，其特征在于：所述的移动目标防御方法包括按顺序进行的下列步骤：

1)构建由控制器(1)、多个openflow交换机(2)和多个用户端(3)构成的网络系统；

2)控制器(1)与openflow交换机(2)通过握手消息进行连接，双方通过网络系统设置对端口混淆表及相关参数在内的信息进行初始化；

3)某一用户端(3)向网络系统中发送目标地址为另一用户端(3)的数据包，与发送数据包的用户端(3)相连的openflow交换机(2)接收到该数据包后，将数据包中的数据报文包头信息与自身的流表项进行匹配，若匹配成功则进行转发，若匹配失败则将数据包封装在packet_in消息中并上传给控制器(1)，由控制器(1)决定数据包的转发策略；

4)控制器(1)接收到openflow交换机(2)上传的packet_in消息后，根据openflow交换机(2)真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值，将混淆端口的生存时间衰减，并判断是否进行端口混淆；若是，则利用端口混淆算法进行端口混淆，生成数据流处理规则并下发到openflow交换机(2)，否则直接生成数据流处理规则并下发到openflow交换机(2)；更新端口混淆表；

5)openflow交换机(2)接收到控制器(1)下发的flow_mod消息并进行数据转发时，根据该消息中的混淆端口变换值查找更新后的端口混淆表以确定出真实的数据输出端口号，并进行相应的数据转发，将混淆端口的生存时间衰减，然后判断是否进行端口混淆；若是，则利用端口混淆算法进行端口混淆，更新端口混淆表；否则直接更新端口混淆表；

在步骤4)中，所述的控制器(1)接收到openflow交换机(2)上传的packet_in消息后，根据openflow交换机(2)真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值，将混淆端口的生存时间衰减，并判断是否进行端口混淆；若是，则利用端口混淆算法进行端口混淆，生成数据流处理规则并下发到openflow交换机(2)，否则直接生成数据流处理规则并下发到openflow交换机(2)；更新端口混淆表的具体步骤如下：

4.1、控制器(1)接收到openflow交换机(2)上传的packet_in消息后，计算出该消息转发的下一跳路径，然后根据openflow交换机(2)真实的数据输出端口号查找初始化后的端口混淆表而确定出对应的混淆端口变换值；

4.2、将混淆端口的生存时间进行衰减并判断其值是否为零，若不为零，则将混淆端口变换值作为输出端口号封装到flow_mod消息中并下发给openflow交换机(2)；若为零，则调用端口混淆算法，生成新的混淆端口变换值，将混淆端口变换值作为输出端口号且设置idle_timeout超时时间，然后将流表项封装到flow_mod消息中并下发给openflow交换机(2)以指导数据转发；

4.3、更新端口混淆表；

在步骤5)中，所述的openflow交换机(2)接收到控制器(1)下发的flow_mod消息并进行数据转发时，根据该消息中的混淆端口变换值查找更新后的端口混淆表以确定出真实的数据输出端口号，并进行相应的数据转发，将混淆端口的生存时间衰减，然后判断是否进行端口混淆；若是，则利用端口混淆算法进行端口混淆，更新端口混淆表；否则直接更新端口混淆表的具体步骤如下：

5.1、openflow交换机(2)接收到控制器(1)下发的flow_mod消息后，将相应的流表项进行存储；

5.2、进行数据转发时，根据流表项中的混淆端口变换值查找更新后的端口混淆表，确定出进行数据转发时真实的数据输出端口号；

5.3、根据真实的数据输出端口号进行数据转发，同时将混淆端口的生存时间衰减并判断其值是否为零；若为零，则调用端口混淆算法进行端口混淆而生成新的端口混淆变换值，否则直接进入下一步；

5.4、删除先前流表项，更新端口混淆表。