公开(公告)号：CN105072101B

公开(公告)日：2018-11-30

申请号：CN201510455076.8

申请日：2015-07-29

申请人： 中国科学院信息工程研究所

发明人： 黄亮 ,  姜帆 ,  荀浩 ,  马多贺 ,  王利明 ,  徐震

IPC分类号： H04L29/06

摘要： 本发明涉及一种基于入侵容忍的SDN控制器端系统和安全通信方法。该系统包括SDN控制器群组、交换机和至少一个前置代理；所述前置代理位于SDN控制器群组和交换机之间，负责将交换机发出的Openflow请求消息发往SDN控制器群组中的多个SDN控制器，并提取各个SDN控制器发出的Openflow应答消息中的流规则，对提取的流规则进行比对，如果比对结果满足预设的入侵容忍策略，则向交换机转发正确的Openflow应答消息。本发明能够提高SDN控制器的可用性和可靠性，为SDN网络提供安全保证。

公开(公告)号：CN105207950A

公开(公告)日：2015-12-30

申请号：CN201510590699.6

申请日：2015-09-16

申请人： 中国科学院信息工程研究所

发明人： 宋晨 ,  杨倩 ,  王利明 ,  徐震 ,  姜帆 ,  黎海燕 ,  荀浩

IPC分类号： H04L12/813 ,  H04L12/937 ,  H04L29/06

摘要： 本发明公开了一种基于SDN技术的通信数据保护方法。本方法为：1)控制器生成随机化标签和交换机标签；2)控制器根据定义的分割元组生成随机化策略与还原策略，并将其以流表的方式发送到交换机；3)交换机检测数据包是否带有随机化标签，如果是则进行步骤4)；否则进入源地址判断过程：判断该数据包源地址是否在传输列表中，如果在则执行随机化策略流表，新生成的数据包并将其转发给下一跳交换机；4)判断该数据包带有的随机化标签是否匹配随机化标签，如果匹配则判断该数据包的交换机标签是否正确，如果正确则根据网络拓扑判断其是否连接目的主机，如果是则执行还原策略流表，然后将还原数据发送给目的主机。本发明大大提高了通信安全性。

公开(公告)号：CN106506264B

公开(公告)日：2019-11-19

申请号：CN201610929876.3

申请日：2016-10-31

申请人： 中国科学院信息工程研究所

发明人： 宋晨 ,  王利明 ,  史淼 ,  荀浩 ,  杨倩 ,  谢德俊

IPC分类号： H04L12/26

摘要： 本发明公开了一种基于SDN的自定义数据包采样方法。本方法为：1)在控制器中设置一采样模块，控制器根据上层应用发来的采样配置信息对指定交换机进行配置；2)当控制器接收上层应用发来的采样开始指令时，将其发送给指定交换机；3)交换机收到采样开始指令时，启动设置的定时器，根据配置对每一数据包进行筛选，得到满足匹配规则的数据包，然后按照配置的采样方式从筛选出的数据包中提取所需内容，输出到指定端口；4)当控制器接收上层应用发来的采样停止指令时，根据采样停止指令向指定交换机下发采样停止指令；交换机收到停止采样指令时，停止采样并取消定时器。本发明不但保证采样内容更加精确，而且能最大程度的减小数据包的大小。

公开(公告)号：CN106341418B

公开(公告)日：2019-07-02

申请号：CN201610877753.X

申请日：2016-10-08

申请人： 中国科学院信息工程研究所

发明人： 杨倩 ,  宋晨 ,  荀浩 ,  史淼 ,  谢德俊 ,  王利明

IPC分类号： H04L29/06

摘要： 本发明公开了一种DNS分布式反射型拒绝服务攻击检测、防御方法与系统。本方法为：1)SDN控制器提取网络中匹配各个交换机流表的数据包字节数，计算同一交换机中相同IP地址的上下行流量差异值P，若P大于阈值，则生成对较小流量进行采样标记的流表规则并下发到交换机；2)各交换机根据该流表规则对数据包进行采样；3)分析模块根据采样信息将数据包的源、目的IP地址以及经过的所有交换机ID和入口端口信息发送到SDN控制器；4)SDN控制器根据网络拓扑确定数据包进入网络的首个交换机ID和入口端口，将该首个交换机ID与该数据包的地址对应的流表所属的交换机ID信息进行比较，若不匹配，则检测为攻击流量，对其进行隔离。

公开(公告)号：CN105391690A

公开(公告)日：2016-03-09

申请号：CN201510679633.4

申请日：2015-10-19

申请人： 中国科学院信息工程研究所

发明人： 王利明 ,  徐震 ,  宋晨 ,  马多贺 ,  杨倩 ,  姜帆 ,  黎海燕 ,  荀浩

IPC分类号： H04L29/06

CPC分类号： H04L63/1475 ,  H04L63/30

摘要： 本发明提供一种基于POF的网络窃听防御方法，包括以下步骤：在控制器收到传输路径请求时，计算网络架构中存在的所有传输备选路径；从中随机选取一条，并将该路径的传输方案下发至底层交换机；每隔指定时间，随机切换另一新路径，并以流表形式将该新路径的传输方案下发，并延迟一段时间后删除前次传输方案；每隔一指定时间，切换新的数据包承载协议类型，该新的协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步，控制器识别承载协议类型；底层交换机收到以切换后的协议类型封装的数据包后，将其上传，控制器根据切换后的协议类型下发对应的流表。还提供实现上述方法的系统。可适用任何互联网通信协议，可与现有加密技术兼容。

公开(公告)号：CN106790219A

公开(公告)日：2017-05-31

申请号：CN201710018099.1

申请日：2017-01-10

申请人： 中国科学院信息工程研究所

发明人： 荀浩 ,  宋晨 ,  王利明 ,  史淼 ,  杨倩 ,  谢德俊

IPC分类号： H04L29/06 ,  H04L12/24

摘要： 本发明公开了一种SDN控制器的访问控制方法及系统。本系统包括SDN控制器、交换机和至少一项北向应用；北向应用分为三种安全级别：管理员类别、网络配置类别和用户类别；其中，管理员类别允许读写数据平面中的设备数据；网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据，以及数据平面中的用于控制数据包转发的控制数据；用户类别允许读写数据平面中的转发数据；所述北向应用将用户分类在对应用的安全级别中；以及将用户信息以及访问请求发送给SDN控制器中对应的基础应用；该基础应用根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限，进行访问控制。本发明提高了SDN网络中网络信息的机密性。

公开(公告)号：CN106341418A

公开(公告)日：2017-01-18

申请号：CN201610877753.X

申请日：2016-10-08

申请人： 中国科学院信息工程研究所

发明人： 杨倩 ,  宋晨 ,  荀浩 ,  史淼 ,  谢德俊 ,  王利明

IPC分类号： H04L29/06

CPC分类号： H04L63/1458 ,  H04L63/1408

摘要： 本发明公开了一种DNS分布式反射型拒绝服务攻击检测、防御方法与系统。本方法为：1)SDN控制器提取网络中匹配各个交换机流表的数据包字节数，计算同一交换机中相同IP地址的上下行流量差异值P，若P大于阈值，则生成对较小流量进行采样标记的流表规则并下发到交换机；2)各交换机根据该流表规则对数据包进行采样；3)分析模块根据采样信息将数据包的源、目的IP地址以及经过的所有交换机ID和入口端口信息发送到SDN控制器；4)SDN控制器根据网络拓扑确定数据包进入网络的首个交换机ID和入口端口，将该首个交换机ID与该数据包的地址对应的流表所属的交换机ID信息进行比较，若不匹配，则检测为攻击流量，对其进行隔离。

公开(公告)号：CN105072101A

公开(公告)日：2015-11-18

申请号：CN201510455076.8

申请日：2015-07-29

申请人： 中国科学院信息工程研究所

发明人： 黄亮 ,  姜帆 ,  荀浩 ,  马多贺 ,  王利明 ,  徐震

IPC分类号： H04L29/06

CPC分类号： H04L63/0281 ,  H04L63/1425

摘要： 本发明涉及一种基于入侵容忍的SDN控制器端系统和安全通信方法。该系统包括SDN控制器群组、交换机和至少一个前置代理；所述前置代理位于SDN控制器群组和交换机之间，负责将交换机发出的Openflow请求消息发往SDN控制器群组中的多个SDN控制器，并提取各个SDN控制器发出的Openflow应答消息中的流规则，对提取的流规则进行比对，如果比对结果满足预设的入侵容忍策略，则向交换机转发正确的Openflow应答消息。本发明能够提高SDN控制器的可用性和可靠性，为SDN网络提供安全保证。

公开(公告)号：CN106790219B

公开(公告)日：2019-11-26

申请号：CN201710018099.1

申请日：2017-01-10

申请人： 中国科学院信息工程研究所

发明人： 荀浩 ,  宋晨 ,  王利明 ,  史淼 ,  杨倩 ,  谢德俊

IPC分类号： H04L29/06 ,  H04L12/24

摘要： 本发明公开了一种SDN控制器的访问控制方法及系统。本系统包括SDN控制器、交换机和至少一项北向应用；北向应用分为三种安全级别：管理员类别、网络配置类别和用户类别；其中，管理员类别允许读写数据平面中的设备数据；网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据，以及数据平面中的用于控制数据包转发的控制数据；用户类别允许读写数据平面中的转发数据；所述北向应用将用户分类在对应用的安全级别中；以及将用户信息以及访问请求发送给SDN控制器中对应的基础应用；该基础应用根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限，进行访问控制。本发明提高了SDN网络中网络信息的机密性。

公开(公告)号：CN105207950B

公开(公告)日：2019-01-25

申请号：CN201510590699.6

申请日：2015-09-16

申请人： 中国科学院信息工程研究所

发明人： 宋晨 ,  杨倩 ,  王利明 ,  徐震 ,  姜帆 ,  黎海燕 ,  荀浩

IPC分类号： H04L12/813 ,  H04L12/937 ,  H04L29/06

摘要： 本发明公开了一种基于SDN技术的通信数据保护方法。本方法为：1)控制器生成随机化标签和交换机标签；2)控制器根据定义的分割元组生成随机化策略与还原策略，并将其以流表的方式发送到交换机；3)交换机检测数据包是否带有随机化标签，如果是则进行步骤4)；否则进入源地址判断过程：判断该数据包源地址是否在传输列表中，如果在则执行随机化策略流表，新生成的数据包并将其转发给下一跳交换机；4)判断该数据包带有的随机化标签是否匹配随机化标签，如果匹配则判断该数据包的交换机标签是否正确，如果正确则根据网络拓扑判断其是否连接目的主机，如果是则执行还原策略流表，然后将还原数据发送给目的主机。本发明大大提高了通信安全性。