軟件定義網絡中基于加密的端口跳變技術研究

趙子郁 郭淵博,2 劉 偉

1(信息工程大學先進計算國家重點實驗室 河南 鄭州 450001)2(信息控制和安全技術重點實驗室 浙江 嘉興 314033)

軟件定義網絡中基于加密的端口跳變技術研究

趙子郁1郭淵博1,2劉 偉1

1(信息工程大學先進計算國家重點實驗室 河南 鄭州 450001)2(信息控制和安全技術重點實驗室 浙江 嘉興 314033)

針對軟件定義網絡中拒絕服務攻擊問題，在其控制平面提出了加密的端口跳變解決方案。利用軟件定義網絡集中控制可編程特性，提出了改進的加密端口跳變策略，保證了從端口生成初期到通信過程的安全性，并采用基于Ack的同步技術保證了通信過程的連續(xù)性。理論結合實驗表明，端口跳變技術在OpenFlow實驗平臺上實現(xiàn)簡單，改進的加密算法安全性高，是基于軟件定義網絡的輕量級端口跳變策略。

軟件定義網絡 端口跳變 加密算法 認證 基于Ack同步

0 引 言

拒絕服務攻擊DoS(denial of service)[1-2]已成為如今互聯(lián)網的主要安全威脅之一，用傳統(tǒng)的解決方案例如防火墻、IDS/IPS等并不能夠最大程度阻止和回避這種攻擊模式。而隨著軟件定義網絡SDN(software defined network)[3]這一新型網絡架構的日趨成熟和使用，在SDN中使用DoS攻擊的數量也日漸增多，對抗DoS攻擊的方案也逐步出現(xiàn)，其中包括：Oktian等[4]通過在控制器上構造威脅檢測應用程序，根據端口流量數據檢測出DoS攻擊并進行數據包過濾；Lim等[5]使用OpenFlow標準接口[6]在SDN控制器上實現(xiàn)DoS阻斷應用；Wang等[7]提出一個高效、輕量級且協(xié)議無關的FloodGuard防御方案。綜上，目前提到的抗DoS攻擊方案多采取被動或外掛式方案，重在檢測，缺乏能靈活動態(tài)發(fā)現(xiàn)和抵御攻擊的主動防御機制。

目前，動態(tài)目標防御作為一種主動防御策略被提出，不再單純依靠安全系統(tǒng)本身的復雜度進行目標保護，其通過增加系統(tǒng)的不確定性或減少系統(tǒng)的可預見性增加攻擊者攻擊難度。而端口跳變技術作為動態(tài)目標防御里的重要分支，能夠通過一定時隙改變通信雙方端口號增加系統(tǒng)隨機性，達到抗DoS攻擊的目的。

相比傳統(tǒng)網絡，在SDN網絡上實現(xiàn)端口跳變的意義在于其本身具有集中控制、可編程性、數據平面與控制平面相分離的特性，能夠利用SDN控制器掌握全網的全局信息并能通過北向接口在上層直接進行代碼編寫，便于端口跳變方案的動態(tài)調整。 而SDN中使用動態(tài)目標防御技術中端口可變方案抗DoS攻擊的Kampanakis等[8]的端口跳變策略能夠通過控制器過濾掉可疑流量，但無法應對DoS攻擊者在盲攻階段對特定端口的掃描以及對特定主機的直接攻擊。

為進一步解決SDN網絡中的DoS攻擊問題，本文結合動態(tài)目標防御領域的端口跳變關鍵技術，結合SDN控制器所具有的全局監(jiān)測、動態(tài)調整的特性，在SDN網絡中引出了系統(tǒng)的基于加密的端口跳變解決方案。基于加密的端口跳變算法可以保證在端口生成初期不被攻擊者探測到初始端口號，相對普通的端口跳變算法，安全性更高，特別適用于對安全性、可靠性有較高需求的通信場合。本文提出的跳變策略也可以和其他安全策略一起使用，組成一套能夠保護目標主機的安全策略組合機制。

1 相關研究

端口跳變的一般模型主要包括隨機端口序列生成函數，加密、密鑰交換算法和通信同步策略。而通信同步策略是其關鍵技術。Lee等[10]提出的端口跳變方案，將時間端劃分為相等的時隙，為每個時隙分配不一樣的端口，所提這個方案無需修改原有TCP/UDP協(xié)議，為防止數據傳輸時丟失，重復開放為每個時隙前后一段時間內使用的端口。Badishi等[11]提出基于Ack的發(fā)送方、接收方使用的端口跳變協(xié)議，接收方在收到數據消息后向發(fā)送方發(fā)送確認Ack消息，并根據傳輸成功率分析了攻擊者由盲目攻擊狀態(tài)到直接攻擊狀態(tài)狀態(tài)所需最短時間ε，提出了隨機端口跳變(RPH)算法，證明其緩解DoS攻擊具有一定效果。Hari等[12]為避免Ack丟失或被截獲的情況發(fā)生，提出了改進的RPH算法。改進的RPH在分配端口時向通信雙方分配兩個通信端口，當其中一個端口跳變過程遭受盲目攻擊后可以使用另一端口進行通信。Fu等[13]提出了HOPERRA算法來解決線性時鐘漂移對通信同步的影響，實現(xiàn)了不需要第三方參與的同步機制。Jia等[14]在該模型的基礎上，提出一種插件策略來抵抗服務器端信息被監(jiān)聽。Lin等[15]使用基于時間戳的同步方式提升時鐘同步性能并證實了該方案的有效性。Liu等[16]提出了基于非廣延熵和Sibson熵融合的實時網絡異度度量算法，在此之上設計了端信息跳變周期和跳變空間調整策略，并證明了其主動防御效果。

綜上，端口跳變技術可以有效抵抗DoS攻擊。本文正是結合了SDN網絡自身特點，設計了適用于SDN網絡的加密端口跳變一般模型，利用其集中控制、可編程特性通過改進的加密算法保證了從端口生成階段初期到雙方通信的安全性，實現(xiàn)了SDN中對抗DoS攻擊的目的。

2 SDN架構下基于加密的端口跳變技術

2.1 場景分析與模型架構

考慮到這樣一種場景，如果某一信息部門采用SDN網絡架構需要從下屬眾多子機構中接收日常數據，信息部門需要確保能獲得準確安全的數據，并能防止竊聽以及DoS攻擊，顯然在SDN網絡架構中部署需要考慮安全性和可用性這兩個最重要的要素，這樣就需要加密技術運用到端口跳變方案中為SDN架構提供解決方案。本文所提出的模型及構建方案就可以用來部署在上述場景中，控制器先對接入主機進行身份認證、對端口流量進行檢測，再通過改進的Diffie-Hellman[17]算法在SDN架構中實現(xiàn)端口跳變達到抵御DoS攻擊的目的。

本模型的網絡拓撲如圖1所示，在控制器上架構跳變模塊，客戶端服務端架構跳變模塊和同步模塊。其中，跳變模塊負責實現(xiàn)網絡通信過程中端口跳變功能，同步模塊負責時鐘同步，以保證雙方端口使用匹配，防止丟包、通信中斷等情況。

圖1 模型系統(tǒng)架構

提出的基于加密的端口跳變方案有兩個主要優(yōu)勢：(1) 采用的加密算法能夠確保端口設定過程中防止DoS攻擊者竊聽通信端口號；(2) 使用基于時隙的端口跳變算法能夠快速變化通信端口從而保證通信過程的可靠性和安全性。

2.2SDN架構下基于加密的跳變算法

本文提出的應用于SDN的端口跳變算法根據改進的秘鑰交換的Diffie-Hellman算法生成秘鑰K，后通過線性移位寄存器生成偽隨機序列，根據跳變時隙j(j={0,1,2,…})變換通信端口。

在跳變開始前，控制器使用簡單的融入邏輯的應用程序來驗證進入網絡的每個設備的注冊信息，支持OpenFlow1.0協(xié)議及以上的設備在源MAC地址上做匹配，對請求通信的雙方進行身份認證。然后改進Diffie-Hellman算法：

1)SDN控制器向通信雙方分配初始數字序列，a是P模下設定的初值(a為源根，P為素數)；

2) 客戶端生成隨機數x，計算axmodP并把計算結果發(fā)給服務端；

3) 服務端生成隨機數y，計算aymodP并把計算結果返回客戶端；

4) 客戶端計算K=(aymodP)xmodP,服務端計算K′=(axmodP)ymodP即K=(aymodP)xmodP=axymodP=(axmodP)ymodP=K′因此K即為生成的秘鑰。

此時的生成秘鑰交由流密碼中經常使用的線性移位寄存器進行處理，秘鑰K轉換為二進制比特流x0,x1,…,xn-1來作為n-bit的移位寄存器的每個寄存器上的初始值，每一個時鐘周期，反饋移位寄存器執(zhí)行如下動作：

1) 將最后一個寄存器上的值x0作為輸出，傳遞到輸出序列；

2) 對于其他所有寄存器，發(fā)生一次值的向下傳遞，把第i+1個寄存器的值xi+1賦值給xi；

3) 對于第一個寄存器xn-1，則是將前一時刻的所有寄存器的值輸入一個反饋函數f(x0,x1,…,,xn-1)中，將反饋函數的輸出作為xn-1新的值。

此時得到反饋移位寄存器的二進制輸出序列，由于TCP/IP通信端口范圍是0～65 535，因而將輸出的偽隨機序列字節(jié)按照16比特為單元進行劃分(這時最大端口號是16個1即65 535)，生成的16比特端轉化為十進制的通信端口號作為正常通信使用。

例如，控制器下發(fā)的初始序列 =<5,23>,客戶端選取隨機數x=12，服務端選取隨機數y=4，分別計算axmodP=512 mod 23=18;aymodP=54 mod 23=4。交換后求得K=412 mod 23=184 mod 23=4。K作為初始值代入線性反饋移位寄存器中，如：

f(x)=x0⊕x1⊕x2⊕x3⊕…⊕xn-1

(1)

初始值為其二進制序列0100，即(x0,x1,x2,x3)=0100，輸出序列010010100101001…，周期為5。將其以16比特為單位劃分成端口號，即為01001010010 10010則其初始端口號是19026。

移位寄存器的輸出序列的隨機性主要由其本身設定的反饋函數f(x0,x1,…,xn-1)來決定。根據其反饋函數的不同劃分為線性和非線性移位寄存器，式(1)使用了線性移位寄存器，也可使用非線性移位寄存器。移位寄存器有多種生成隨機數邏輯表達式，也可為其函數式x0,x1,x2,x3前設置0,1比特的常數項c0,c1,c2,c3。這樣在很大程度上保證了生成的端口號隨機性高。

這樣，根據跳變時隙j選擇不同的比特段轉化為十進制端口進行通信，為進一步防止DoS攻擊，控制器根據接入主機通信目的端口號判斷是否符合當前時隙開放的端口，過濾不符合當前時隙開放端口的數據流。

2.3 基于Ack的同步方式

在客戶端服務端通信過程中，端口同步對端口跳變非常重要，現(xiàn)有端口跳變同步方式包括時間同步[10]、基于Ack同步[11]以及基于時間戳的同步[15]。時間同步要求客戶端和服務端設置相同的時鐘，跳變信息根據當前時間決定。這一方案可能會受網絡延遲影響，基于Ack同步方案中跳變信息在Ack段中傳輸，不需要設置精確時鐘并且設置過程較為簡單。

本文采用基于Ack的同步方案，相關偽代碼如下所示。在端口同步實現(xiàn)過程中，使用portGenerator，portCounter，buf分別代表端口隨機生成函數p，端口計數器，緩存。sendPacket函數和receivePacket函數分別用來發(fā)送/接收數據包。用reInit函數初始化通信狀態(tài)，在reInit函數中portCounter和portGenerator被初始化，channelAB和channelBA分別代表客戶端到服務端以及服務端到客戶端使用的通信鏈路。

具體做法是：用一個端口計數器記錄兩個生成的端口號，在客戶端到服務端的通信過程中(channelAB)，客戶端挑選其中一個端口發(fā)送數據包，服務端同時開啟兩個接收端口，當服務端從客戶端任一接口接收到數據包時，服務端更新端口計數器并向客戶端發(fā)送確認消息Ack，同時客戶端開啟發(fā)送端口在channelBA中接收Ack，客戶端從任一端口收到Ack后更新計數器portCounter。

本文采用的這種基于Ack的同步方案的優(yōu)勢在于：(1) 即便客戶端不能從服務端接收到Ack確認消息或者選定端口不能及時執(zhí)行跳變策略，客戶端也可以使用開啟的另一端口，保證了端口隨機變化的連續(xù)性；(2) 本方案不需要設定精確時鐘，不會具有較高傳輸時延因而對于跨域通信十分有效。

客戶端SendPacket方法:

for(i=1,…,nPackets){

packets[i].portToSend←portGenerator[portCounter];

}

Add this.packets to channelAB.receivePackets;

客戶端ReceivePacket方法：

buf←channel[1].sendPacket();

for(i=1,…,nBuf){

if(buf[i].sender=receiver){

if(receivePacketCount>nPacketChangePort||

receivePacketTime>j)

portCounter++;

receivePacketCount←0&&j++;

channelBA.openPort(PortGenerator[portCounter]);

}else{

receivePacketCount++;

}

}

}

服務端ReceivePacket方法：

buf←channel[0].sendPacket();

for(i=0,…,nBuf){

if(buf[i].sender=sender){

Create ack;

ack.portToSend←PortGenerator[portCounter]{

ack.sender←receiver;

if(buf[i].portToSend=portGenerator[portCounter]

portCounter++;

channelAB.openPort(portGenerator[portcounter])

channelAB.openPort();

}

}

}

3 安全性分析

3.1 端口跳變算法抗DoS攻擊能力分析

在DoS攻擊階段，傳統(tǒng)網絡模型中端口號不會發(fā)生變化，在這種情況下，攻擊者可采用的最簡便的方法就是按序掃描整個端口空間。即當掃描數量大于整個端口空間n時，攻擊者可以發(fā)現(xiàn)所有脆弱端口。在靜態(tài)攻擊場景中，攻擊者不需要掃描前面已經掃描過的端口，掃描過的端口不會改變因而不需要重新掃描，在這種情況下，攻擊者在k次探測下檢測到脆弱端口數X(脆弱端口總數為v)的概率P(X)取決于其超幾何分布：

(2)

由于靜態(tài)端口探測完不會發(fā)生變化，這對接下來的掃描非常有利，攻擊者至少探測到一個脆弱端口的成功概率為：

(3)

在跳變系統(tǒng)中，端口隨機變化改變了關聯(lián)相關服務的端口號，假定從未使用端口序列中抽取一新端口替換原來的端口，這樣一旦跳變發(fā)生，攻擊者將失去所有原先偵測過的端口號，這樣即便攻擊者可以抽取到整個端口空間n，也不會找到所有脆弱端口。在這種情況下，攻擊者在k次探測下檢測到脆弱端口數X(脆弱端口總數為v)的概率P(X)取決于其二項分布：

(4)

P(X≥1)=1-P(X=0)=1-(1-p)k

(5)

倘若總共有脆弱端口v=5，攻擊者又能探測到所有端口空間(k=n)，在這種情況下，靜態(tài)端口起不到保護目標主機的目的，所有脆弱端口都將被發(fā)現(xiàn)。

從上述分析可以發(fā)現(xiàn)，端口跳變技術理論上具備抗DoS攻擊的能力。

3.2SDN網絡中基于加密的端口跳變算法抗DoS攻擊能力分析

相比一般的端口跳變模型，本文設計的基于加密的端口跳變算法具備更高的機密性和安全性。在跳變系統(tǒng)中，假設加密算法記為δ，有效報文數據量為L，數據噪聲記為λ，數據報文劃分為φ個數據段。這樣，由于系統(tǒng)主機地址端口偽隨機跳變，攻擊者無法通過監(jiān)聽系統(tǒng)中一個或幾個主機獲取到有效數據信息，從而被迫監(jiān)聽系統(tǒng)所有主機。數據報文依次發(fā)送，順序不能隱藏，因此數據報文被攻擊者截獲的概率為：

(6)

可以看出，系統(tǒng)的抗攻擊性與端口跳變加密算法有關，采用的基于加密的端口跳變算法提升了SDN網絡中端口跳變系統(tǒng)的機密性，增加了攻擊者的攻擊難度，保證了主機安全。

在SDN網絡中，控制器連接源目的交換機，控制器具有的集中控制特性，所有需要到達源目的交換機的數據包都要經過SDN控制器，因而相對于傳統(tǒng)網絡架構，使用SDN網絡架構實現(xiàn)端口跳變能夠抵御內外DoS攻擊者。而SDN通過使用簡單的融入邏輯的應用程序來驗證進入網絡的每個設備的注冊信息以及根據接入主機通信目的端口號判斷是否符合當前時隙開放的端口，過濾不符合當前時隙開放端口的數據流提高了接入端可靠性，保證了目標主機安全。本文提出的基于加密的端口跳變技術能夠保證目標主機在端口生成階段不被DoS攻擊者竊聽到初始端口，最大程度上增加了網絡安全性。

3.3 效率分析

從系統(tǒng)安全層面考慮，為更好地發(fā)揮端口跳變技術的優(yōu)勢，應適當減小端口跳變時長，增加可用端口數(即增加跳變算法端口選擇的隨機性)，端口跳變系統(tǒng)的安全性可從以下公式考量：

(7)

式中R(x)代表攻擊者發(fā)動DoS攻擊時擊中端口的概率，其中x代表發(fā)送出的包含正確端口號的數據包，m是發(fā)動攻擊的攻擊者數量或僵尸主機數量，s是攻擊者生成數據包的速率，t是端口變化時間段，n是所有可用端口數量，l是時間同步錯誤或客戶端服務端數據傳輸延遲。顯然，攻擊者數量越多，速度越快，攻擊成功概率越高，并且，端口跳變時間越長，攻擊者攻擊成功概率越高。另一方面，可用端口數量越多，攻擊者攻擊成功概率越低，安全性越好。例如，假定ms=20 000(攻擊速率為19.2Mbit/s，數據包總長度為60Byte)，跳變時長t=0.5s，l=0.2，n=65 536，那么計算得出R(x)≈0.21。所以，縮短跳變時長并且增加可用端口數可以提升系統(tǒng)的安全性。本文提出的端口跳變算法增加了選取端口的隨機性，達到了更好的抗DoS攻擊的目的。

4 實驗結果及分析

為測試本文提出的在SDN架構下實現(xiàn)的基于加密的端口跳變技術的可行性和安全性，本文采用了SDN仿真軟件mininet進行模擬，搭建了如圖1所示的網絡拓撲環(huán)境，采用Floodlight控制器[18]實現(xiàn)端口隨機生成并負責端口同步的功能。

4.1 數據傳輸成功率測試

為驗證算法有效性，我們在實驗1中用IXIA[19]在普通SDN網絡中注入攻擊流，從圖2可以看出，在普通SDN網絡中，隨著攻擊時間的增加，數據傳輸速率大幅下降，而使用加密端口跳變安全策略數據發(fā)送成功率會逐漸回歸，算法在一定程度上抵抗了攻擊，通過實驗驗證，我們測試了加密端口跳變算法的有效性。

圖2 已知跳變序列攻擊結果

為進一步測試端口的抗攻擊能力，在實驗2中我們在mininet中向五臺主機發(fā)送TCP報文進行通信測試(如圖3所示)，攻擊者盲目攻擊端口數k=1 000，2 000，5 000，10 000時，圖3所示是使用基于端口跳變的SDN加密安全策略在DoS攻擊盲目攻擊階段遭受四種盲目攻擊的數據傳輸成功率。

圖3 抗DoS攻擊數據傳輸實驗數據

從圖3中可以看出，在遭受DoS攻擊時，在攻擊端口數目達到1000以上時，采用本跳變模型可以保證90%以上的數據包正常傳輸，采用基于Ack的同步方式保證了高通信質量。

4.2SDN中抗DoS攻擊策略對比

將以上實驗結果與目前SDN中采用的主流抗DoS攻擊方法(文獻[4-5,7])進行了比對，由于文獻[4-5,7]都是根據惡意鏈接數判斷系統(tǒng)是否遭受DoS攻擊后采用數據包過濾的策略(文獻[4])、將受攻擊目標主機的IP地址重定向到其他可用地址空間的策略(文獻[5])、生成動態(tài)規(guī)則并將攻擊包保留在控制平面緩存后進行過濾的策略(文獻[7])。

這些策略大多通過在上層添加應用程序的方式對惡意流量進行過濾處理，在DoS攻擊開始時無法迅速做出反應(文獻[4])，且通信數據包傳輸數量多有起伏(文獻[5])。而本文提出的基于SDN端口跳變技術由于不斷變化通信端口，能夠對DoS攻擊迅速做出反應，并且通過不斷變化通信端口的方式阻礙攻擊者在盲攻階段對端口的惡意掃描和在直接攻擊階段對目標主機端口的進攻，從而保證數據傳輸效果，具備更好的抗DoS攻擊性能。

4.3 響應時間測試

相比傳統(tǒng)網絡中簡單端口跳變算法，本文提出的適用于SDN網絡的加密端口跳變策略具備更好的安全性和機密性(式(6))。為進一步驗證理論分析結果，我們采用SYNflooding對本文提出的加密端口跳變模型進行攻擊測試，圖4顯示了在DoS攻擊下不同跳變策略在響應時間上的區(qū)別。

圖4 DoS攻擊下響應時間數據擬合

通過實驗數據可以看出，隨著攻擊速率的提高，不使用端口跳變策略的網絡響應時間越來越慢并且極具下降，最終在70Mbps時達到近1 000ms的響應速率。采用簡單端口跳變算法在傳統(tǒng)網絡中的實驗數據擬合結果顯示，在70Mbps時響應時間接近80ms，響應時間有迅速上升趨勢。而在SDN網絡中采用的基于加密的端口跳變算法使系統(tǒng)的響應時間基本沒有受到攻擊的影響，在70Mps時仍是30ms的響應速度，遠超過未使用端口跳變的網絡模型，相對普通網絡中的簡單端口跳變策略，縮短了響應時間。實驗驗證了式(6)的理論分析結果，證明了采用加密的端口跳變算法更具安全性，降低了攻擊者獲取端口信息的能力。

4.4 系統(tǒng)性能

為驗證本策略的性能，我們在SDN仿真網絡中使用Cbench測量工具測量了采用基于加密的端口跳變策略的系統(tǒng)延遲，結果如圖5所示。

圖5 端口跳變策略延遲測試

隨著端口跳變策略的執(zhí)行，控制平面的流表項個數也在不斷增加。Cbench工具測量了流表項數量在10、100、1 000時的延遲時間?？梢钥闯?，端口跳變策略會對系統(tǒng)延遲造成一定影響，但是在流表項條數可控的情況下，延遲是在可接受范圍內的。

5 結 語

本文設計了基于OpenFlow的端口跳變算法——加密端口跳變算法，利用控制器先對接入主機進行身份認證后通過改進的Diffie-Hellman加密端口跳變策略最大程度上保證了從端口生成初期到通信過程的安全性，并采用基于Ack的同步技術保證了通信過程的連續(xù)性。實驗表明，基于加密的端口跳變技術在OpenFlow實驗平臺上實現(xiàn)簡單有效，是一種安全性高的輕量級端口跳變策略。

[1]HansmanS,HuntR.Ataxonomyofnetworkandcomputerattacks[J].Computers&Security,2005,24(1):31-43.

[2]HoqueN,BhuyanMH,BaishyaRC,etal.Networkattacks:taxonomy,toolsandsystems[J].JournalofNetworkandComputerApplications,2014,40:307-324.

[3]McKeownN,AndersonT,BalakrishnanH,etal.OpenFlow:enablinginnovationincampusnetworks[N].ACMSIGCOMMComputerCommunicationReview,2008,38(2):69-74.

[4]OktianYE,LeeS,LeeH.MitigatingDenialofService(DoS)attacksinOpenFlownetworks[C]//InformationandCommunicationTechnologyConvergence(ICTC),2014InternationalConferenceon.IEEE,2014:325-330.

[5]LimS,HaJ,KimH,etal.ASDN-orientedDDosblockingschemeforbotnet-basedattacks[C]//Proceedingsofthe2014 6thInternationalConferenceonUbiquitousandFutureNetworks,2014:63-68.

[6]OpenFlowSwitchSpecificationv1.3.0[S/OL].https://www.open-networking.org/images/stories/downloads/specification/OpenFlow-spec-v1.3.0.pdf.

[7]WangH,XuL,GuG.FloodGuard:aDosattackpreventionextensioninsoftwaredefinednetworks[C]//Proceedingsofthe2015 45thAnnualIEEE/IFIPInternationalConferenceonDependableSystemsandNetworks,2015:239-250.

[8]KampanakisP,PerrorsH,BeyeneT.SDN-basedsolutionsforMovingTargetDefenseNetworkprotection[C]//2014IEEE15thInternationalSymposiumonAWorldofWireless,MobileandMultimediaNetworks,2014:1-6.

[9]TangX,ZhangL,ShiX,etal.PorthoppingbasedSDNnetworkdefensetechnology[J].ApplicationResearchofComputers,2015.

[10]LeeHCJ,ThingVLL.Porthoppingforresilientnetworks[C]//Proceedingsofthe2004IEEE60thVehicularTechnologyConference,2004:3291-3295.

[11]BadishiG,HerzbergA,KeidarI.Keepingdenialofserviceattackersinthedark[J].IEEETransactionsonDependableandSecureComputing,2007,4(3):191-204.

[12]HariK,DohiT.Dependabilitymodelingandanalysisofrandomporthopping[C]//Proceedingsofthe2012 9thInternationalConferenceonUbiquitousIntelligenceandComputingand9thInternationalConferenceonAutonomicandTrustedComputing.IEEEComputerSociety,2012:586-593.

[13]FuZ,PapatriantafilouM,TsigasP.Mitigatingdistributeddenialofserviceattacksinmultipartyapplicationsinthepresenceofclockdrifts[C]//Proceedingsof27thIEEEInternationalSymposiumonReliableDistributedSystems,2008:63-72.

[14]JiaCF,LinK,LuK.Plug-inpolicyforDoSattackdefensemechanismbasedonendhopping[J].JournalonCommunications,2009,30(10):114-118.

[15]LinK,JiaC,WengC.DistributedTimestampSynchronizationforEndHopping[J].ChinaCommunications,2011,8(4):164-169.

[16]LiuJ,ZhangHQ,DaiXD,etal.AProactiveNetworkDefenseModelBasedonSelf-adaptiveEndHopping[J].JournalofElectronicsandInformationTechnology,2015,37(11):2642-2649.

[17]Wikipedia.Diffie-Hellmankeyexchange[DB/OL].https://simple.wikipedia.org/wiki/Diffie-Hellman_key_exchange.

[18]Floodlight[OL].http://floodlight.openflowhub.org.

[19]IXIA[OL].http://www.ixiacom.com/.

RESEARCH ON ENCRYPTION-BASED PORT HOPPING IN SOFTWARE DEFINED NETWORK

Zhao Ziyu1Guo Yuanbo1,2Liu Wei1

1(StatekeyLaboratoryofMathematicalEngineeringandAdvancedComputing,InformationEngineeringUniversity,Zhengzhou450001,Henan,China)2(ScienceandTechnologyonCommunicationInformationSecurityControlLaboratory,Jiaxing314033,Zhejiang,China)

Aiming at the DoS attack in software defined network, an encryption-based port hopping solution is proposed in its control plane. Using software to define the control programmability of the centralized network, an improved encryption port hopping strategy is proposed to ensure the security from the initial port generation to the communication process. We also use Ack-based synchronization technology to ensure the continuity of the communication process. Theory combined with the experimental results show that the port hopping technology is simple and improved on the OpenFlow experimental platform, and it is a lightweight port hopping strategy based on software defined network.

Software defined network Port hopping Encryption algorithm Authentication Ack-based synchronization

2016-02-27。國家自然科學基金項目(61309016)；國家重點基礎研究發(fā)展計劃基金項目(2012CB315901，2013CB329104)。趙子郁，碩士生，主研領域：網絡安全，軟件定義網絡。郭淵博，教授。劉偉，副教授。

TP393.0

A

10.3969/j.issn.1000-386x.2017.04.055