一种基于SDN构架下的IP地址跳变安全通信方法

摘要

本发明公开了一种基于SDN构架下的IP地址跳变安全通信方法，包括以下步骤：A：Host₁请求Host₂的IP地址；B：控制器将Host₂的真实IP地址r₂替换为虚拟IP地址h₂；C：控制器将域名解析应答转发给Host₁；D：Host₁以r₁做为源地址，h₂做为目的地址向Host₂发送数据包；E：控制器生成流规则将r₁替换为虚拟IP地址h₁，并下发流规则；F：源交换机将r₁替换为h₁并进行转发；G：目的交换机将h₂替换为r₂并进行转发；H：Host₂以r₂做为源地址，h₁做为目的地址发送应答数据包；I：目的交换机将r₂替换为h₂并进行转发；J：源交换机将h₁替换为r₁后转发给Host₁。本发明能够为IPH网络内的主机动态分配跳变IP，透明地实现一次一变地访问主机IP，有效抵抗基于扫描的攻击和DDoS攻击。

主权项

一种基于SDN构架下的IP地址跳变安全通信方法，其特征在于，依次包括以下步骤：A：主机Host₁向DNS服务器发出域名解析请求，请求主机Host₂的IP地址；其中，主机Host₂为处于IPH网络内部的主机，主机Host₁拥有主机Host₂的域名和DNS服务器的IP地址；B：DNS服务器应答主机Host₁发出的域名解析请求，并将域名解析应答发送至控制器，控制器随机选择一个虚拟IP地址h₂，然后将域名解析应答中主机Host₂的真实IP地址r₂替换为虚拟IP地址h₂，并为虚拟IP地址h₂打开窗口期；C：控制器将包含主机Host₂的虚拟IP地址h₂的域名解析应答转发给主机Host₁；D：主机Host₁通过域名解析应答得到主机Host₂的虚拟IP地址h₂，然后以主机Host₁的真实IP地址r₁做为源地址，主机Host₂的虚拟IP地址h₂做为目的地址向主机Host₂发送数据包；由于此时源交换机Switch₁还没有相应的流规则可以路由数据包，因此源交换机Switch₁将该数据包发送给控制器；源交换机Switch₁是指主机Host₁发送的数据包进入IPH网络时的第一个交换机；E：控制器检查作为目的地址的主机Host₂的虚拟IP地址h₂是否在窗口期内，如果在窗口期内，则控制器随机选择一个虚拟IP地址h₁，生成流规则将主机Host₁的真实IP地址r₁替换为虚拟IP地址h₁，并向路径上所有的交换机下发流规则；如果否，则丢弃该数据包；F：源交换机Switch₁利用接收到的流规则，对主机Host₁发送给主机Host₂的数据包的源地址进行修改，将源地址即主机Host₁的真实IP地址r₁替换为虚拟IP地址h₁并进行转发；G：目的交换机Switch₂收到该数据包后，将目的地址即主机Host₂的虚拟IP地址h₂替换为主机Host₂的真实IP地址r₂并进行转发；目的交换机Switch₂是指主机Host₁发送的数据包离开IPH网络时经过的最后一个交换机；H：主机Host₂接收到数据包后，以主机Host₂的真实IP地址r₂做为源地址，主机Host₁的虚拟IP地址h₁做为目的地址发送应答数据包；I：目的交换机Switch₂利用控制器下发的流规则对主机Host₂发送给主机Host₁的应答数据包的源地址进行修改，将源地址即主机Host₂的真实IP地址r₂替换为主机Host₂的虚拟IP地址h₂并进行转发；J：源交换机Switch₁收到应答数据包后，将目的地址即主机Host₁的虚拟IP地址h₁替换为主机Host₁的真实IP地址r₁后转发给主机Host₁，主机Host₁正常收到应答数据包。