[发明专利]基于SDN的匿名通信方法

说明书

本发明公开了一种基于SDN的匿名通信方法，涉及计算机通信技术领域。本发明基于SDN技术，利用SDN交换机可以修改报文IP地址字段的优势，设计实现了绑定MAC、IP、PORT三元组，然后下发三元组形式流表部署在SDN交换机上，将其作为严格的过滤准则，对所到达的数据包提取数据并根据过滤规则，进行转发或丢弃操作，设计了区别于传统匿名通信技术的更为安全、稳定、易配置的匿名通信方法。

技术领域

本发明涉及计算机通信技术领域，更具体地说，涉及一种基于SDN的匿名通信方法。

背景技术

互联网中传输的任何数据报文都要经过TCP/IP协议栈的处理，由于TCP/IP是一种分层的网络结构，在每一层都需要对数据包封装和解封装。在TCP/IP协议栈封装IP头填充相关信息这一过程存在缺陷，报文源主机将自身IP地址填入IP头的源地址域中，主机和路由器均不对源IP地址的真实性进行检查，而仅仅只依照目标地址进行转发。这一缺陷很容易被攻击者利用，攻击者填入伪造的源IP地址，进而冒充他人，将非法报文发送到互联网中，而TCP/IP协议栈会将该非法报文转发到目的主机。攻击者从而可以获得目标主机的权限，为下一步攻击做准备，并且冒用他人身份可以达到很好的隐藏效果，使得攻击源头不易被追查。基于伪造IP地址的网络攻击给互联网用户带来了巨大的威胁和伤害，互联网安全形式严峻。由此，研究人员经过长期研究，发现并提出多种防御源地址欺骗的方法，虽说会增加一些设备的资源消耗，但减少了基于IP欺骗的网络攻击带来的伤害。

当通过不可靠的网络时，保护通信参与者的身份以及隐藏用户的通信信息也是非常重要的。即使信息加密，攻击者仍然可以通过未加密的信息发起通信信息攻击，比如IP地址、端口、通信量速率。例如，攻击者可以通过检查源地址和目的地址的流量识别发起人和终端用户，然后通过分析通信信息来揭示它们之间正在进行的操作。如果攻击者的目的是破坏目标应用程序或系统，他可以很容易地找到系统中的一些关键节点(如分布式文件系统的元数据服务器)，并发动主动攻击，如DoS/DDoS。如果目标是数据泄露，他可以很容易地找到系统中的目标服务器。针对目前这些复杂性高等诸多问题，研究人员试图从网络底层架构出发，提出将网络进行抽象分层以实现网络的可编程化，来应对网络安全、自动化配置、促进网络创新等问题。

发明内容

为了克服上述现有技术中存在的缺陷和不足，本发明提供了一种基于SDN的匿名通信方法，本发明基于SDN技术，利用SDN交换机可以修改报文IP地址字段的优势，结合本发明中基于带宽利用率动态选择的路由算法及源地址认证技术，设计了区别于传统匿名通信技术的更为安全、稳定、易配置的匿名通信方法。

为了解决上述现有技术中存在的问题，本发明是通过下述技术方案实现的：

本发明基于SDN的匿名通信方法，其基于的系统包括Floodlight控制器、SDN交换机群和终端客户机。其中Floodlight控制器包含了本发明主要的技术实现，包含七个模块：基本控制管理模块、路由生成模块、绑定MAC、IP和PORT模块、更改IP模块、集中计算路径过滤CPF模块、注册映射表模块和动态添加标签MPLS模块。基于带宽利用率动态选择的路由算法及源地址认证技术的创新处也在这些模块中得以实现。

基于SDN的匿名通信方法，其特征在于：包括以下步骤：

步骤A，SDN网络初始化步骤，SDN控制器获取整个网络拓扑和所有主机的地址，包括IP地址及MAC地址，保存所有IP地址与MAC地址的映射表；

步骤B、建立匿名通信通道步骤，响应端向SDN控制器注册服务名，SDN控制器根据所管理的IP和MAC地址的映射表将服务名与响应端进行绑定，并在绑定的数据上添加真实IP所对应的虚拟IP地址、真实MAC所对应的虚拟MAC地址；

步骤C、监听步骤，发起端将响应端的服务名发送给SDN控制器；发起端若指定响应端IP地址，则被判定为非匿名数据流，若指定服务名，则被判定为匿名数据流，实现发起端和响应端匿名；