一种支持地址空间扩展的SDN网络IP跳变方法与流程

一种支持地址空间扩展的sdn网络ip跳变方法
技术领域
1.本发明涉及计算机技术领域，尤其涉及一种支持地址空间扩展的sdn网络ip跳变方法。


背景技术：

2.针对当前网络固有的攻防不对称特性，为了平衡现有网络的攻防环境，美国网络安全与信息保障研发计划提出了应对新型网络攻击的新概念——移动目标防御技术(又称动目标防御，moving target defense，mtd)。
3.mtd的核心思想是利用受攻击面的变化使网络系统动态化，通过“化静为动、反客为主”的机制策略，提供动态、主动的网络防御功能，使系统具有更少的确定性、静态性、同构性，利用随机化和多样化为攻击者造成困难和障碍，使攻击者难以完成攻击任务，以此减少攻击者攻击成功的可能性，从而让防守方取得有利局面。
4.随着mtd理论受关注程度的不断提高，越来越多的研究开始着重探讨mtd的实现路径。其中，sdn(软件定义网络)是一种基于开放标准的灵活架构，具备集中控制、灵活定制的独特优势，可以非常好的支持mtd技术实现以及防御效能发挥。因此，将mtd的动态变换与sdn的灵活编排相结合，已成为更具应用价值的研究热点。
5.在攻击者对openflow交换机发起攻击之前，需要获得攻击目标确切的ip地址、端口号或转发路径。因此，上述参数的改变，能够有效抵御有针对性的侦查攻击。针对数据层的一系列攻击，当前面向sdn的移动目标防御技术主要包括以下3种技术：1)地址跳变；2)路由跳变；3)端口跳变。现有的ip跳变当局限于某一子网，导致变化空间不充分。因此，ip地址紧缺问题也就成为我国乃至世界网络发展的一个瓶颈。


技术实现要素：

6.(一)发明目的
7.为解决背景技术中存在的技术问题，本发明提出一种支持地址空间扩展的sdn网络ip跳变方法。本发明中设置主服务器、子服务器、内存空间管理器、交换机、ip随机生成器、虚拟ip处理器和空间扩展池配合，通过内存空间管理器处理空闲的系统空间资源，实现了系统的优化和充分利用，设置真实ip编码模块和虚拟ip编码模块，对全局ip进行编码，提高跳变的效率，利用跳变模块和编码捕获模块连接真实ip编码通道、虚拟ip编码通道和虚拟ip编码存储池，提高ip跳变的随机性和不确定性，设置管理空间扩展池对空间段、诱饵节点和虚拟ip进行分配和管理，地址空间扩展性好，且提高了系统的主动防御性能，为了进一步增加sdn网络的不确定性，减少被攻击面，提出一种动态地址解决方案，解决了当前地址跳变局限于某一子网，变化空间不充分的问题。
8.(二)技术方案
9.为解决上述问题，本发明提供了一种支持地址空间扩展的sdn网络ip跳变方法，包括主服务器、子服务器、内存空间管理器、交换机、ip随机生成器、虚拟ip处理器和空间扩展
池；交换机上设置有真实ip编码通道、虚拟ip编码通道和虚拟ip编码存储池；主服务器连接真实ip编码通道；ip随机生成器连接虚拟ip编码通道；虚拟ip处理器连接虚拟ip编码存储池；子服务器连接子网、主服务器和空间扩展池；内存空间管理器连接主服务器和虚拟ip处理器；主服务器包括空间映射模块、控制模块、真实ip存储模块、真实ip查询模块和真实ip编码模块；内存空间管理器包括空间收集模块、空间合并模块和空间片选模块；子服务器包括ip请求模块和ip获取模块；交换机包括跳变模块和编码捕获模块；ip随机生成器包括虚拟ip存储模块、虚拟ip编码模块和第二接口模块；虚拟ip处理器包括编码读取模块、编码翻译模块和伪装模块。
10.优选的，真实ip查询模块包括身份验证单元、网络安全验证单元、查询单元和备份单元。
11.优选的，真实ip编码模块包括解析单元、加密单元和编码单元。
12.优选的，虚拟ip编码通道的末端连通虚拟ip编码存储池，首端连通第二接口模块。
13.优选的，真实ip编码通道的首端连通第一接口模块，末端通过跳变模块和编码捕获模块连通虚拟ip编码存储池。
14.优选的，内存空间管理器对全局的空间资源进行监控，远程收集空闲资源，合并成逻辑地址内存空间，并对其分段为多个空间段，投入空间扩展池。
15.优选的，主服务器采用双层地址空间映射机制，对空间扩展池进行映射，管理空间扩展池内的空间段。
16.优选的，伪装模块向空间扩展池内投放诱饵节点。
17.优选的，空间扩展池内设置有地址分配模块；地址分配模块根据随机化算法模型对空间段、诱饵节点和虚拟ip进行分配和管理。
18.优选的，方法步骤如下：
19.s1、建立ip编码库和对应的编码翻译模型；
20.s2、内存空间管理器对全局的空间资源进行监控，远程收集空闲资源，合并成逻辑地址内存空间，并对其分段为多个空间段，投入空间扩展池；
21.s3、子服务器向主服务器提出ip请求；
22.s4、主服务器对请求来源进行身份验证，并检测全局网络安全环境，检测、验证通过后，查询真实ip，并将其对应的编码输送至交换机上的真实ip通道；此外主服务器对空间扩展池进行映射，管理空间扩展池内的空间段；
23.s5、ip随机生成器从虚拟ip存储模块随机提取虚拟ip编码，将其输送至虚拟ip编码存储池；
24.s6、交换机上的跳变模块和编码捕获模块对真实ip编码和虚拟ip编码存储池内的编码进行周期性捕获和跳变；跳变的真实ip编码以及对应虚拟ip编码被关联存储；
25.s7、虚拟ip处理器对跳变后的虚拟ip编码进行读取、翻译和伪装，得到虚拟ip；
26.s8、虚拟ip投入空间扩展池，经地址分配模块处理，与空间段、诱饵节点结合，对其进行伪装和空间扩展，得到成型虚拟ip；
27.s9、子服务器得到成型虚拟ip。
28.本发明的上述技术方案具有如下有益的技术效果：
29.本发明中设置主服务器、子服务器、内存空间管理器、交换机、ip随机生成器、虚拟
ip处理器和空间扩展池配合，通过内存空间管理器处理空闲的系统空间资源，实现了系统的优化和充分利用，设置真实ip编码模块和虚拟ip编码模块，对全局ip进行编码，提高跳变的效率，利用跳变模块和编码捕获模块连接真实ip编码通道、虚拟ip编码通道和虚拟ip编码存储池，提高ip跳变的随机性和不确定性，设置管理空间扩展池对空间段、诱饵节点和虚拟ip进行分配和管理，地址空间扩展性好，且提高了系统的主动防御性能，为了进一步增加sdn网络的不确定性，减少被攻击面，提出一种动态地址解决方案，解决了当前地址跳变局限于某一子网，变化空间不充分的问题。
附图说明
30.图1为本发明提出的一种支持地址空间扩展的sdn网络ip跳变方法中各个设备连接关系示意图。
31.图2为本发明提出的一种支持地址空间扩展的sdn网络ip跳变方法中真实ip查询模块的结构示意图。
32.图3为本发明提出的一种支持地址空间扩展的sdn网络ip跳变方法中真实ip编码模块的结构示意图。
33.图4为本发明提出的一种支持地址空间扩展的sdn网络ip跳变方法的实施流程框图。
具体实施方式
34.为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
35.实施例1
36.如图1
‑
3所示，本发明提出的一种支持地址空间扩展的sdn网络ip跳变方法，包括主服务器、子服务器、内存空间管理器、交换机、ip随机生成器、虚拟ip处理器和空间扩展池；交换机上设置有真实ip编码通道、虚拟ip编码通道和虚拟ip编码存储池；主服务器连接真实ip编码通道；ip随机生成器连接虚拟ip编码通道；虚拟ip处理器连接虚拟ip编码存储池；子服务器连接子网、主服务器和空间扩展池；内存空间管理器连接主服务器和虚拟ip处理器；主服务器包括空间映射模块、控制模块、真实ip存储模块、真实ip查询模块和真实ip编码模块；内存空间管理器包括空间收集模块、空间合并模块和空间片选模块；子服务器包括ip请求模块和ip获取模块；交换机包括跳变模块和编码捕获模块；ip随机生成器包括虚拟ip存储模块、虚拟ip编码模块和第二接口模块；虚拟ip处理器包括编码读取模块、编码翻译模块和伪装模块。
37.在一个可选的实施例中，真实ip查询模块包括身份验证单元、网络安全验证单元、查询单元和备份单元。
38.在一个可选的实施例中，真实ip编码模块包括解析单元、加密单元和编码单元。
39.在一个可选的实施例中，虚拟ip编码通道的末端连通虚拟ip编码存储池，首端连通第二接口模块。
40.在一个可选的实施例中，真实ip编码通道的首端连通第一接口模块，末端通过跳变模块和编码捕获模块连通虚拟ip编码存储池。
41.在一个可选的实施例中，内存空间管理器对全局的空间资源进行监控，远程收集空闲资源，合并成逻辑地址内存空间，并对其分段为多个空间段，投入空间扩展池。
42.在一个可选的实施例中，主服务器采用双层地址空间映射机制，对空间扩展池进行映射，管理空间扩展池内的空间段。
43.在一个可选的实施例中，伪装模块向空间扩展池内投放诱饵节点。
44.在一个可选的实施例中，空间扩展池内设置有地址分配模块；地址分配模块根据随机化算法模型对空间段、诱饵节点和虚拟ip进行分配和管理。
45.本发明中设置主服务器、子服务器、内存空间管理器、交换机、ip随机生成器、虚拟ip处理器和空间扩展池配合，通过内存空间管理器处理空闲的系统空间资源，实现了系统的优化和充分利用，设置真实ip编码模块和虚拟ip编码模块，对全局ip进行编码，提高跳变的效率，利用跳变模块和编码捕获模块连接真实ip编码通道、虚拟ip编码通道和虚拟ip编码存储池，提高ip跳变的随机性和不确定性，设置管理空间扩展池对空间段、诱饵节点和虚拟ip进行分配和管理，地址空间扩展性好，且提高了系统的主动防御性能，为了进一步增加sdn网络的不确定性，减少被攻击面，提出一种动态地址解决方案，解决了当前地址跳变局限于某一子网，变化空间不充分的问题。
46.实施例2
47.如图4所示，本发明提出的一种支持地址空间扩展的sdn网络ip跳变方法，步骤如下：
48.s1、建立ip编码库和对应的编码翻译模型；
49.s2、内存空间管理器对全局的空间资源进行监控，远程收集空闲资源，合并成逻辑地址内存空间，并对其分段为多个空间段，投入空间扩展池；
50.s3、子服务器向主服务器提出ip请求；
51.s4、主服务器对请求来源进行身份验证，并检测全局网络安全环境，检测、验证通过后，查询真实ip，并将其对应的编码输送至交换机上的真实ip通道；此外主服务器对空间扩展池进行映射，管理空间扩展池内的空间段；
52.s5、ip随机生成器从虚拟ip存储模块随机提取虚拟ip编码，将其输送至虚拟ip编码存储池；
53.s6、交换机上的跳变模块和编码捕获模块对真实ip编码和虚拟ip编码存储池内的编码进行周期性捕获和跳变；跳变的真实ip编码以及对应虚拟ip编码被关联存储；
54.s7、虚拟ip处理器对跳变后的虚拟ip编码进行读取、翻译和伪装，得到虚拟ip；
55.s8、虚拟ip投入空间扩展池，经地址分配模块处理，与空间段、诱饵节点结合，对其进行伪装和空间扩展，得到成型虚拟ip；
56.s9、子服务器得到成型虚拟ip。
57.本发明中的支持地址空间扩展的sdn网络ip跳变方法在很大程度上提高地址跳变的不确定性和不可预测性，用以解决当前地址跳变局限于某一子网，变化空间不充分的问题。
58.应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的
原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。