[发明专利]一种基于SDN的匿名通信系统

说明书

本发明涉及一种基于SDN的匿名通信系统，属于信息安全技术领域。本发明结合集群思想和SDN网络集中控制理念设计一种新的匿名通信系统，从而使匿名通信服务更加安全、可靠。基于SDN的网络体系架构提高攻击者获取用户隐私难度和网络请求响应速率；采用集群的方式和节点选择限制策略，在很大程度上避免了恶意节点注入、流量分析以及单点攻击等安全威胁，提高系统的防御能力。

技术领域

本发明属于信息安全技术领域，具体涉及一种基于SDN的匿名通信系统。

背景技术

随着互联网技术的迅速发展，网络已经融入到军事、政治、经济、社会、日常生活等各个领域。网络给用户提供便利的同时，大量的用户身份信息、信用信息、资金信息等敏感隐私数据也被不法分子窃取。虽然用户通信过程产生的数据安全性和可靠性问题可以通过加密技术得到比较好的解决，但是加密技术只是可以加密混淆网络中的信息内容，却很难有效地隐藏用户的IP地址，一旦网络地址被窃取，就容易暴露更多的个人隐私信息。因此，在使用网络的过程中，需要匿名通信技术来保护用户的隐私信息。

现有的匿名通信方案根据设计思路的不同，主要可以分为基于代理的匿名通信系统、基于Mix的匿名通信系统、基于广播和组播技术的匿名通信系统以及基于P2P的匿名通信系统。这些匿名通信系统虽然各有优势，但都具有一定的局限性，只能在特定的场景中使用。目前为止，最为流行的匿名系统主要是第二代洋葱路由匿名系统Tor(洋葱路由网络)，在暗网中超过百分之七十的服务采用Tor网络。Tor网络由于其完美的前向加密、目录服务、拥塞控制等机制，在一定程度上防止了隐私的泄露。然而Tor在应用时也存在着问题，比如用户客户端在随机地选择网络路由时，存在着盲目性和不确定性，导致容易遇到攻击面增加和暴露的问题；Tor网络由于在数据传输过程中涉及到复杂的加解密过程，会使得网络延迟明显增大，给用户带来不好的体验等等。因此在不严重影响网络性能的同时，最大化地提高网络的匿名性和安全性成为了匿名通信框架设计的主要目标。

网络中存在着一些被攻击者所控制的节点，一旦这种恶意节点加入到通信系统中，这样系统的安全性和匿名性就会受到破坏。结合集群思想，将网络中的主机划分为多个集群，每个集群中有一台主机作为管理员控制该集群内部节点的进出避免恶意节点的注入。除此之外，在同一通信路径中选择来自不同集群的主机，尤其是不同国家和地区的中继节点，不仅使流量分析难以进行，还可以避免单点攻击的威胁。

OpenFlow网络协议的诞生，将软件定义网络(Software Defined Network,SDN)技术推到了人们的面前。SDN将网络的控制面和转发面分离，由一个控制中枢来对网络下发控制指令，提高网络资源利用率的同时，使网络架构更加具有可控性和灵活性。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种新的匿名通信系统，从而使匿名通信服务更加安全、可靠。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于SDN的匿名通信系统，该系统是由一个SDN控制器和多个主机组织起来的覆盖网络，该网络中的主机划分为多个集群，每个集群中有一个主机作为该集群的管理员节点。

优选地，其中，SDN控制器用于维护网络中管理员节点的映射关系和所有主机的通信状态信息，建立路由转发表以及指挥网络中的数据包转发；

各集群的管理员节点用于维护该集群中普通成员的映射关系，为该集群中普通成员请求并建立匿名通信，判断该集群中是否存在目的节点以及挑选该集群中最优转发节点。