[发明专利]一种基于SDN构架下的IP地址跳变安全通信方法

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种基于SDN构架下的IP地址跳变安全通信方法。

背景技术

目前,随着计算机网络的发展和普及，网络信息安全逐渐引起人们的重视，网络攻防对抗已成为当前研究的热点。传统的基于静态IP的网络通信使得服务器或某些重要主机暴露在攻击者面前，使得攻击者能够准确快速地识别和攻击目标。IP跳变是MTD中的一类技术，其通过增加主机IP地址的动态性和随机性使攻击者难以在攻击的准备阶段锁定攻击目标，限制攻击者发现漏洞，隐藏网络内部资产。

在传统网络中，实现IP跳变的开销很高，往往需要在通信双方的终端部署软硬件，且需要在分布式的环境中进行同步。实现高效的IP跳变需要可塑造的且高度可控的网络。新兴的软件定义网络为实现IP跳变带来了新的方法。软件定义网络(software-definednetwork，简称SDN)将网络的控制平面与转发平面(也称数据平面)解耦，对网络集中控制。SDN是一种灵活的架构，其能够对网络直接可编程且对底层设备进行抽象，这使得SDN拥有强大的网络管理和控制能力，是实现IP跳变良好选择。

在传统网络的架构下，Ehab等人提出了随机主机跳变RMH方案，该方案周期性给主机分配虚拟IP，将该虚拟IP用于路由，并在网络的边缘将跳变IP自动翻译为真实的IP地址。Matthew等人提出MT6D，其利用地址空间巨大的IPv6实现了鲁棒的IP跳变策略。该方法采用隧道技术将数据包封装，反复变换隧道发送者和接收者的源目的IP地址，使攻击者难以确定通信主机的位置和身份，难以监听到完整的通信流量。Sifalakis等人提出一种基于网络地址跳变的网络通信数据保护机制，其将一个流分散为多个端到端的连接，对两个节点间的通信进行隐藏。Antonatos等人提出基于DHCP更新的网络地址空间随机化方案NASR，其改造了终端操作系统，利用IP跳变抵抗基于攻击列表的蠕虫，该方案的IP地址跳变速度有限。以上方案均需要在终端安装软件、更改终端操作系统或者部署硬件设备，这使得上述方案部署代价高，难以实际应用。在SDN网络架构下，Jafarian等人提出了对终端透明的IP跳变方法OF-RMH。该方法利用了SDN对数据平面的集中控制和可编程的特性，由控制器实现真实IP和虚拟IP的映射，并在Openflow交换机上做真实IP与虚拟IP的转换。但由于该方法透明地修改网络中数据包的IP地址，导致该方法不支持多通道协议，且该方法仅抵抗攻击，但不对攻击者采取进一步的措施。

发明内容

本发明的目的是提供一种基于SDN构架下的IP地址跳变安全通信方法，能够为IPH网络内的主机动态分配跳变IP，透明地实现一次一变地访问主机IP，有效抵抗基于扫描的攻击和DDoS攻击，能够支持多通道协议且增加了攻击难度。

本发明采用下述技术方案：

一种基于SDN构架下的IP地址跳变安全通信方法，其特征在于，依次包括以下步骤：

A：主机Host₁向DNS服务器发出域名解析请求，请求主机Host₂的IP地址；

其中，主机Host₂为处于IPH网络内部的主机，主机Host₁拥有主机Host₂的域名和DNS服务器的IP地址；

B：DNS服务器应答主机Host₁发出的域名解析请求，并将域名解析应答发送至控制器，控制器随机选择一个虚拟IP地址h₂，然后将域名解析应答中主机Host₂的真实IP地址r₂替换为虚拟IP地址h₂，并为虚拟IP地址h₂打开窗口期；

C：控制器将包含主机Host₂的虚拟IP地址h₂的域名解析应答转发给主机Host₁；