CN111327628B - 一种基于sdn的匿名通信*** - Google Patents
一种基于sdn的匿名通信*** Download PDFInfo
- Publication number
- CN111327628B CN111327628B CN202010142108.XA CN202010142108A CN111327628B CN 111327628 B CN111327628 B CN 111327628B CN 202010142108 A CN202010142108 A CN 202010142108A CN 111327628 B CN111327628 B CN 111327628B
- Authority
- CN
- China
- Prior art keywords
- node
- cluster
- administrator
- communication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于SDN的匿名通信***,属于信息安全技术领域。本发明结合集群思想和SDN网络集中控制理念设计一种新的匿名通信***,从而使匿名通信服务更加安全、可靠。基于SDN的网络体系架构提高攻击者获取用户隐私难度和网络请求响应速率;采用集群的方式和节点选择限制策略,在很大程度上避免了恶意节点注入、流量分析以及单点攻击等安全威胁,提高***的防御能力。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种基于SDN的匿名通信***。
背景技术
随着互联网技术的迅速发展,网络已经融入到军事、政治、经济、社会、日常生活等各个领域。网络给用户提供便利的同时,大量的用户身份信息、信用信息、资金信息等敏感隐私数据也被不法分子窃取。虽然用户通信过程产生的数据安全性和可靠性问题可以通过加密技术得到比较好的解决,但是加密技术只是可以加密混淆网络中的信息内容,却很难有效地隐藏用户的IP地址,一旦网络地址被窃取,就容易暴露更多的个人隐私信息。因此,在使用网络的过程中,需要匿名通信技术来保护用户的隐私信息。
现有的匿名通信方案根据设计思路的不同,主要可以分为基于代理的匿名通信***、基于Mix的匿名通信***、基于广播和组播技术的匿名通信***以及基于P2P的匿名通信***。这些匿名通信***虽然各有优势,但都具有一定的局限性,只能在特定的场景中使用。目前为止,最为流行的匿名***主要是第二代洋葱路由匿名***Tor(洋葱路由网络),在暗网中超过百分之七十的服务采用Tor网络。Tor网络由于其完美的前向加密、目录服务、拥塞控制等机制,在一定程度上防止了隐私的泄露。然而Tor在应用时也存在着问题,比如用户客户端在随机地选择网络路由时,存在着盲目性和不确定性,导致容易遇到攻击面增加和暴露的问题;Tor网络由于在数据传输过程中涉及到复杂的加解密过程,会使得网络延迟明显增大,给用户带来不好的体验等等。因此在不严重影响网络性能的同时,最大化地提高网络的匿名性和安全性成为了匿名通信框架设计的主要目标。
网络中存在着一些被攻击者所控制的节点,一旦这种恶意节点加入到通信***中,这样***的安全性和匿名性就会受到破坏。结合集群思想,将网络中的主机划分为多个集群,每个集群中有一台主机作为管理员控制该集群内部节点的进出避免恶意节点的注入。除此之外,在同一通信路径中选择来自不同集群的主机,尤其是不同国家和地区的中继节点,不仅使流量分析难以进行,还可以避免单点攻击的威胁。
OpenFlow网络协议的诞生,将软件定义网络(Software Defined Network,SDN)技术推到了人们的面前。SDN将网络的控制面和转发面分离,由一个控制中枢来对网络下发控制指令,提高网络资源利用率的同时,使网络架构更加具有可控性和灵活性。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何设计一种新的匿名通信***,从而使匿名通信服务更加安全、可靠。
(二)技术方案
为了解决上述技术问题,本发明提供了一种基于SDN的匿名通信***,该***是由一个SDN控制器和多个主机组织起来的覆盖网络,该网络中的主机划分为多个集群,每个集群中有一个主机作为该集群的管理员节点。
优选地,其中,SDN控制器用于维护网络中管理员节点的映射关系和所有主机的通信状态信息,建立路由转发表以及指挥网络中的数据包转发;
各集群的管理员节点用于维护该集群中普通成员的映射关系,为该集群中普通成员请求并建立匿名通信,判断该集群中是否存在目的节点以及挑选该集群中最优转发节点。
本发明还提供了一种基于所述***实现的通信方法,包括以下步骤:匿名通信的请求与建立:作为普通节点的客户端Alice向其所在集群的管理员节点A发送与作为普通节点的服务端Bob的匿名通信请求,管理员节点A向SDN控制器提出与Bob进行匿名通信的请求,SDN控制器向各集群的管理员节点询问Bob是否在集群中,若在则对应的管理员节点向SDN控制器返回Bob的IP地址;若不在,则各管理员节点在该集群中根据节点带宽利用率和信誉度等指标挑选一个最优节点作为备选的转发节点,将其IP地址返回给SDN控制器;然后SDN控制器挑选N个节点利用路由算法计算路由转发表,从而为管理员节点A建立一条通往Bob的路由路径,从而建立管理员节点A与Bob的匿名通信链路。
优选地,管理员节点A与Bob的匿名通信链路建立后,管理员节点A将转发来往于Alice和Bob之间的中继信息。
优选地,SDN控制器在建立了路由转发表之后,向路由转发表中的每一台主机通知数据包的下一跳转发节点,这些主机只对数据包进行单纯的转发。
优选地,该方法还包括在通信过程中进行节点IP地址更新的步骤,对网络中的各节点IP地址进行非周期性更新。
优选地,N>1。
优选地,进行节点IP地址更新的步骤中,集群中的管理员节点向SDN控制器发送集群内部主机IP更新请求,SDN控制器检查该集群内是否有主机处于通信状态,若有主机处于通信状态,则暂不予以更新,一段时间后由管理员节点重新发起请求;若没有主机处于通信状态,则向管理员节点发送一组IP地址,管理员节点将这些IP地址随机分发给其集群内的主机。
(三)有益效果
本发明结合集群思想和SDN网络集中控制理念设计一种新的匿名通信***,从而使匿名通信服务更加安全、可靠。基于SDN的网络体系架构提高攻击者获取用户隐私难度和网络请求响应速率;采用集群的方式和节点选择限制策略,在很大程度上避免了恶意节点注入、流量分析以及单点攻击等安全威胁,提高***的防御能力。
附图说明
图1为本发明匿名通信基本框架示意图;
图2为本发明匿名通信网络结构拓扑图;
图3为本发明网络中节点IP地址更新时序图;
图4为本发明匿名通信的请求与建立时序图;
图5为本发明匿名通信过程示例图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
本发明的通信框架主要包括节点IP地址更新和匿名通信的请求与建立两个过程如图1所示。
本发明基于SDN的匿名通信***可以看作是由一个SDN控制器和多个主机组织起来的覆盖网络,其网络结构如图2所示,将网络中的主机划分为多个集群,每个集群中有一个主机作为该集群的管理员节点。
其中,SDN控制器用于维护网络中管理员节点的映射关系和所有主机的通信状态信息,建立路由转发表以及指挥网络中的数据包转发;
各集群的管理员节点用于维护该集群中普通成员的映射关系,为该集群中普通成员请求并建立匿名通信,判断该集群中是否存在目的节点以及挑选该集群中最优转发节点。
本发明的基于SDN的匿名通信***的通信方法包括以下步骤:
·节点IP地址更新
攻击者想要获取网络中的通信关系,主要是利用网络中的IP地址这种标识信息。因此在设计新的匿名通信***时,需要考虑到如何去提高攻击者获取真实通信关系和用户个人信息的难度。由此在网络中加入一个统一的控制中心,对网络中的各节点IP地址进行非周期性更新。其次,控制中枢的存在则会减少网络节点之间的通信开销,提高网络速度。
具体的IP地址更新过程如图3所示,集群中的管理员节点向SDN控制器发送集群内部主机IP更新请求,SDN控制器检查该集群内是否有主机处于通信状态,若有主机处于通信状态,则暂不予以更新,一段时间后由管理员节点重新发起请求;若没有主机处于通信状态,则向管理员节点发送一组IP地址,管理员节点将这些IP地址随机分发给其集群内的主机。
·匿名通信的请求与建立
匿名通信的请求与建立的执行过程涉及SDN控制器、管理员节点、客户端(信息发送者Alice)、中间节点和服务器端(信息接收者Bob)。其中管理员节点、中间节点、客户端、服务器端都是对等节点,其过程为:客户端Alice(为普通节点)向其所在集群的管理员节点A发送与服务端Bob(为普通节点)的匿名通信请求,管理员节点A向SDN控制器提出与Bob进行匿名通信的请求。SDN控制器向各集群的管理员节点询问Bob是否在集群中,若在则对应的管理员节点向SDN控制器返回Bob的IP地址;若不在,则各管理员节点在该集群中根据节点带宽利用率和信誉度等指标挑选一个最优节点作为备选的转发节点,将其IP地址返回给SDN控制器。然后SDN控制器挑选N(N>1)个节点利用路由算法计算路由转发表,从而为管理员节点A建立一条通往Bob的路由路径。管理员节点A与Bob的匿名通信链路建立后,管理员节点A将转发来往于Alice和Bob之间的中继信息。Alice向Bob发起匿名通信的请求与建立过程如图4所示。
为了保证通信过程的匿名性,SDN控制器在建立了路由转发表之后,向路由转发表中的每一台主机通知数据包的下一跳转发节点,这些主机只对数据包进行单纯的转发。这样保证了通信链路上的每一台主机只知道数据包的上一跳节点IP地址和要发送到的下一跳节点IP地址,但是不能判断上一跳路由是否是发送者,也不能判断下一跳路由是否是接收者。
具体的匿名通信过程如图5所示,虚线表示SDN控制器通知主机数据包的下一跳转发节点,实线表示数据包的实际转发路径。SDN控制器选择了中间节点1和中间节点2作为转发节点,建立匿名通信路径。SDN控制器通知管理员节点A将数据包发送给IP地址为10.0.0.1的中间节点,通知中间节点1将来自IP地址为10.0.0.0的数据包转发至IP地址为10.0.0.2的节点,通知中间节点2将来自IP地址为10.0.0.1的数据包转发至IP地址为10.0.0.3的节点。匿名通信链路建立后,管理员节点A通过这条匿名路径与Bob进行通信,Alice与Bob之间传输的数据包通过管理员节点A进行中继转发。此时,Bob不知道信息的发送方是谁,Alice和Bob也无法获取对方的真实IP地址,达到了匿名的效果。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (6)
1.一种利用基于SDN的匿名通信***实现的通信方法,其特征在于,该***是由一个SDN控制器和多个主机组织起来的覆盖网络,该网络中的主机划分为多个集群,每个集群中有一个主机作为该集群的管理员节点;
其中,SDN控制器用于维护网络中管理员节点的映射关系和所有主机的通信状态信息,建立路由转发表以及指挥网络中的数据包转发;
各集群的管理员节点用于维护该集群中普通成员的映射关系,为该集群中普通成员请求并建立匿名通信,判断该集群中是否存在目的节点以及挑选该集群中最优转发节点;
该通信方法包括以下步骤:匿名通信的请求与建立:作为普通节点的客户端Alice向其所在集群的管理员节点A发送与作为普通节点的服务端Bob的匿名通信请求,管理员节点A向SDN控制器提出与Bob进行匿名通信的请求,SDN控制器向各集群的管理员节点询问Bob是否在集群中,若在则对应的管理员节点向SDN控制器返回Bob的IP地址;若不在,则各管理员节点在该集群中根据节点带宽利用率和信誉度指标挑选一个最优节点作为备选的转发节点,将其IP地址返回给SDN控制器;然后SDN控制器挑选N个节点利用路由算法计算路由转发表,从而为管理员节点A建立一条通往Bob的路由路径,从而建立管理员节点A与Bob的匿名通信链路。
2.如权利要求1所述的通信方法,其特征在于,管理员节点A 与Bob的匿名通信链路建立后,管理员节点A将转发来往于Alice和Bob之间的中继信息。
3.如权利要求1所述的通信方法,其特征在于,SDN控制器在建立了路由转发表之后,向路由转发表中的每一台主机通知数据包的下一跳转发节点,这些主机只对数据包进行单纯的转发。
4.如权利要求1所述的通信方法,其特征在于,该方法还包括在通信过程中进行节点IP地址更新的步骤,对网络中的各节点IP地址进行非周期性更新。
5.如权利要求1所述的通信方法,其特征在于,N>1。
6.如权利要求4所述的通信方法,其特征在于,进行节点IP地址更新的步骤中,集群中的管理员节点向SDN控制器发送集群内部主机IP更新请求,SDN控制器检查该集群内是否有主机处于通信状态,若有主机处于通信状态,则暂不予以更新,一段时间后由管理员节点重新发起请求;若没有主机处于通信状态,则向管理员节点发送一组IP地址,管理员节点将这些IP地址随机分发给其集群内的主机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010142108.XA CN111327628B (zh) | 2020-03-04 | 2020-03-04 | 一种基于sdn的匿名通信*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010142108.XA CN111327628B (zh) | 2020-03-04 | 2020-03-04 | 一种基于sdn的匿名通信*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111327628A CN111327628A (zh) | 2020-06-23 |
CN111327628B true CN111327628B (zh) | 2022-04-05 |
Family
ID=71173151
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010142108.XA Active CN111327628B (zh) | 2020-03-04 | 2020-03-04 | 一种基于sdn的匿名通信*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111327628B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111935018B (zh) * | 2020-07-23 | 2022-03-08 | 北京华云安信息技术有限公司 | 一种可自主配置组网规则的跳板网络路径生成方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106027527A (zh) * | 2016-05-23 | 2016-10-12 | 华中科技大学 | 一种基于sdn环境的匿名通信方法 |
CN108293009A (zh) * | 2015-12-31 | 2018-07-17 | 华为技术有限公司 | 一种软件定义数据中心及其中的服务集群的调度和流量监控方法 |
CN108293001A (zh) * | 2015-12-31 | 2018-07-17 | 华为技术有限公司 | 一种软件定义数据中心及其中的服务集群的部署方法 |
CN108365979A (zh) * | 2018-01-31 | 2018-08-03 | 深信服科技股份有限公司 | 跨集群的控制器管理方法、sdn控制器及存储介质 |
CN110753054A (zh) * | 2019-10-25 | 2020-02-04 | 电子科技大学 | 基于sdn的匿名通信方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10084756B2 (en) * | 2015-12-30 | 2018-09-25 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Anonymous communications in software-defined networks via route hopping and IP address randomization |
-
2020
- 2020-03-04 CN CN202010142108.XA patent/CN111327628B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108293009A (zh) * | 2015-12-31 | 2018-07-17 | 华为技术有限公司 | 一种软件定义数据中心及其中的服务集群的调度和流量监控方法 |
CN108293001A (zh) * | 2015-12-31 | 2018-07-17 | 华为技术有限公司 | 一种软件定义数据中心及其中的服务集群的部署方法 |
CN106027527A (zh) * | 2016-05-23 | 2016-10-12 | 华中科技大学 | 一种基于sdn环境的匿名通信方法 |
CN108365979A (zh) * | 2018-01-31 | 2018-08-03 | 深信服科技股份有限公司 | 跨集群的控制器管理方法、sdn控制器及存储介质 |
CN110753054A (zh) * | 2019-10-25 | 2020-02-04 | 电子科技大学 | 基于sdn的匿名通信方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111327628A (zh) | 2020-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kutscher et al. | Information-centric networking (ICN) research challenges | |
Boukerche et al. | SDAR: a secure distributed anonymous routing protocol for wireless and mobile ad hoc networks | |
El-Khatib et al. | Secure dynamic distributed routing algorithm for ad hoc wireless networks | |
US7120792B1 (en) | System and method for secure communication of routing messages | |
Ling et al. | Protocol-level hidden server discovery | |
JPH1195658A (ja) | マルチキャスト・ネットワーク上で暗合鍵を安全に配布するための方法およびシステム | |
Ma et al. | APCN: A scalable architecture for balancing accountability and privacy in large-scale content-based networks | |
CN103701700A (zh) | 一种通信网络中的节点发现方法及*** | |
US20090141713A1 (en) | Remote Message Routing Device and Methods Thereof | |
US7539191B1 (en) | System and method for securing route processors against attack | |
US11088996B1 (en) | Secure network protocol and transit system to protect communications deliverability and attribution | |
US8688077B2 (en) | Communication system and method for providing a mobile communications service | |
CN111327628B (zh) | 一种基于sdn的匿名通信*** | |
Kaur et al. | Countermeasures for covert channel-internal control protocols | |
US20070174485A1 (en) | Content distribution via keys | |
Kambhampati et al. | Epiphany: A location hiding architecture for protecting critical services from DDoS attacks | |
Pradhan et al. | Blockchain based security framework for P2P filesharing system | |
Kita et al. | Producer anonymity based on onion routing in named data networking | |
WO2020003238A1 (en) | Communications bridge | |
WO2019004942A1 (en) | ALGORITHMS FOR PAIR-TO-PAIR MESSAGING SYSTEM | |
Al-Muhtadi et al. | Routing through the mist: design and implementation | |
Saboori et al. | Anonymous communication in peer-to-peer networks for providing more privacy and security | |
US8904036B1 (en) | System and method for electronic secure geo-location obscurity network | |
Podolanko et al. | LiLAC: Lightweight low-latency anonymous chat | |
Han et al. | Using blockchains for censorship-resistant bootstrapping in anonymity networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |