(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111483868.8 (22)申请日 2021.12.07 (71)申请人 中国人民解 放军63891部队 地址 471000 河南省洛阳市洛龙区瀛洲路 关林路交叉口 (72)发明人 王少磊　樊永文　郭荣华　石鹏飞　 秦富童　刘迎龙　鲁智勇　王震　 刘喆　周超　 (74)专利代理 机构 洛阳市凯旋专利事务所(普 通合伙) 41112 代理人 林志坚 (51)Int.Cl. H04L 45/02(2022.01) H04L 45/74(2022.01) H04L 61/103(2022.01)H04L 61/255(2022.01) H04L 61/4511(2022.01) H04L 61/5007(2022.01) H04L 9/40(2022.01) G06F 16/901(2019.01) G06F 16/903(2019.01) (54)发明名称 一种基于SDN的地址随机 变换方法 (57)摘要 本发明公开了一种基于SDN的地址随机变换 方法， 包括： 全局数据结构， 用于提供网络地址随 机变换过程中的各种数据结构； 拓扑监测模块， 用于监测整个转发 网络的实时拓扑结构； 路由计 算模块， 用于计算整个转发网络的路由； 网络地 址配置模块， 用于动态配置各主机对应的IP地 址； 路由分发模块， 用于为各数据流在转发设备 中部署相应的路由及地址随机变换的相关操作 指令； 运行控制实例集模块， 用于对转发网络中 各转发设备的运行事件或数据进行处理和控制。 采用本发明所述方法， 能够 有效拓展网络中各台 主机的地址随机变换空间， 提高地址随机变换的 变换性能和安全效能。 权利要求书3页 说明书10页 附图1页 CN 114257538 A 2022.03.29 CN 114257538 A 1.一种基于SDN的地址随机变换方法， 其特征在于， 包括： 全局数据结构， 用于提供网络 地址随机变换过程中的各种 数据结构； 拓扑监测模块， 用于监测整个转发网络的实时拓扑 结构； 路由计算模块， 用于计算整个转发网络的路由； 网络地址配置模块， 用于动态配置各 主机对应的IP地址； 路由分发模块， 用于为各数据流在转发设备中部署相应的路由及地址 随机变换 的相关操作指令； 运行控制实例集模块， 用于对转发网络中各转发设备 的运行事 件或数据进行处 理和控制。 2.根据权利要求1所述的基于SDN的地址随机变换方法， 其特征在于， 所述全局数据结 构包括： enar_router_dict， 用于存储路由器运行控制实例信息的数据结构； enar_ topology_dict， 用于存储转发网络拓扑信息的数据结构； enar_metric_dict， 用于存储转 发网络链路度量信息的数据结构； enar_path_dict， 用于存储转发网络中各节点之间转发 路径计算结果的数据 结构； enar_router_interface_ address_dict， 用于存储转发网络 中 各路由器接口IP地址配置状态的数据结构； enar_host _address_space， 用于对主机进行IP 地址配置的地址空间； enar_cycle_counter， 用于统计系统所历经的最小地址随机变换周 期数量的数据结构； enar_host_address_dict， 用于存储主机实时IP地址配置状态及地址 随机变换频率等级的数据结构； enar_used_address_dict， 用于存储已配置IP地址使用状 态的数据结构。 3.根据权利要求1所述的基于SDN的地址随机变换方法， 其特征在于， 所述拓扑监测模 块在运行之初需要依次启动POX控制器提供的Discovery和Listeners组件， 之后进入持续 的事件监听状态； 如果在监听过程中捕获到LinkEv ent事件， 则说明监测到一条新的链路状 态信息， 需要对存储转发网络中各节 点之间转发路径计算结果的数据结构enar_path_dict 中的转发路径数据进 行一次复位操作， 之后依据 链路的具体状态信息对存储转发网络拓扑 信息的数据结构enar_topo logy_dict中的数据进行相应的更新。 4.根据权利要求1所述的基于SDN的地址随机变换方法， 其特征在于， 所述路由计算模 块采用了一种基于Floyd ‑Warshell算法的最短路径搜索及存储算法， 能够计算并保存整个 转发网络中各节点之间的最短转发路径； 在运行过程中， 首先需要依据存储路由器运行控 制实例信息的数据结构enar_router_dict中的路由器运行控制实例数据、 存储转发网络拓 扑信息的数据结构enar_topology_dict中的拓扑结构数据以及存储转发网络链路度量信 息的数据结构enar_link_metric_dict中的链路度量数据， 对存储转发网络中各节点之间 转发路径计算结果的数据结构enar_path_dict中的最短路径数据进行初始化， 识别出转发 网络中的直接相邻节点； 之后， 通过三轮循环的遍历比对操作， 计算出转 发网络中任意两个 节点的最短路径并依次存 入enar_path_dict中。 5.根据权利要求1所述的基于SDN的地址随机变换方法， 其特征在于， 所述网络地址配 置模块在运行过程中采用了周期性的刷新机制， 能够实现对网络中各主机地址随机变换频 率的差异化控制； 在运行之初先要启动一个基于时间戳的事件监听器， 之后进入持续的事 件监听状态； 如果在监听过程中捕获到RefreshingTimeUp事件， 说明到达了系统设定的最 小地址随机变换时间间隔； 首先， 对存储已配置IP地址使用状态的数据结构enar_used_ address_dict中各主机的映射IP地址使用状态进行循环地判断， 如果某个主机的映射IP地 址使用路由分发模块， 用于为各数据流在转 发设备中部署相应的路由及地址随机变换的相 关操作指令状态为False， 则将对应的IP地址添加 到对主机进行IP地址配置的地址空间数权　利　要　求　书 1/3 页 2 CN 114257538 A 2据结构enar_host _address_space中进行回收； 之后， 根据统计系统所历经的最小地址随机 变换周期数量的数据结构enar_cycle_counter中系统所历经的地址随机变换周期实时统 计状态， 循环地从enar_host_address_space中随机挑选IP地址对已经到达所配置的地址 随机变换周期的各台主机进 行IP地址的重新映射， 每一轮循环中随机选出的映射IP地址会 被从enar_host_address_space中剔除以避免产生配置冲突的问题， 存储已配置IP地址使 用状态的数据结构enar_used_address_dict中重新映射的主机所对应的映射IP地址使用 状态也将会被设置为False； 最后， 对enar_cycle_counter中系统所历经的最小地址随机变 换周期统计 状态进行 更新。 6.根据权利要求1所述的基于SDN的地址随机变换方法， 其特征在于， 所述路由分发模 块在运行过程中首先需要判断存储转发网络中各节点之间转发路径计算结果的数据结构 enar_path_dict中的数据是否为空， 如果为空， 说明此前没有进行过路由计算， 或者是此前 已经进行过路由计算但是转 发网络的实时拓扑结构发生了变动， 需要调用路由计算模块对 全网路由进行一轮重新计算； 随后， 采用递归循环的方式从enar_path_dict中提取出从转 发源节点到转发终节点的最短路径， 依据存储转发网络拓扑信息的数据结构enar_ topology_dict中的实时拓扑数据添加相应的转发端口， 形成两个节 点之间的路由， 将该路 由依据配置的匹配规则及进行网络地址随机变换所需进行 的操作， 转换为相应的流表项， 根据流表项修改存储已配置IP地址使用状态的数据结构enar_used_address_dict中实时 映射IP地址的对应计数值， 之后分发到对应的路由器中， 完成正向路由及处理逻辑的分发； 之后， 对此前的最短路径进行反向转换， 依据enar_topology_dict中的实时拓扑数据添加 相应的反向转发端口， 形成两个节点之间的反向路由， 将该反向路由依据配置的匹配规则 以及进行网络地址随机变换所需进 行的操作， 转换为相应的流表项， 根据流表项修改enar_ used_address_dict中实时映射IP地址的对应计数值， 之后分发到对应的路由器中， 完成反 向路由及处 理逻辑的分发。 7.根据权利要求1所述的基于SDN的地址随机变换方法， 其特征在于， 所述运行控制实 例集模块在运行过程中， 首先依次启动拓扑监测模块、 网络地址配置模块以及事件监听器， 之后进入持续的事件监听状态； 如果监听器捕捉到某个路由器的接入事件， 则为该路由器 创建并启动一个运行控制实例以接受并处理该路由器的各种数据处理请求， 而后使用接入 事件的相关信息对该运行控制实例进 行初始化配置， 之后 将该运行控制实例的相关信息添 加到存储路由器运行控制实例信息的数据结构enar_r outer_dict中； 运行控制实例在运行 过程中先启动对应的事件监听组件， 之后进入持续的事件监听状态： （1） 如果运行控制实例 捕捉到路由器根据OpenFlow协议生成的Packet_in事件， 则