专利摘要

本发明公开一种基于FPGA的SDN交换机流表加密方法，通过FPGA对上层控制器下发的流表数据进行加密并以未加密数据中提取的IP地址作为写入地址写入存储器中；对物理端口传输的数据进行采集，根据采集到的IP地址作为读取地址从存储器中读取对应地址数据并解密。本发明可以利用FPGA的并行高速性，在保证数据高速转发的情况下，增加了流表存储的安全性。相比于流水线的查找方式，IP地址映射存储器地址的查找方式又降低了数据的处理时间。

权利要求

1.基于FPGA的SDN交换机流表加密方法，其特征是，包括如下步骤：

步骤1、上层控制器通过控制协议将指定流表下发至FPGA中；

步骤2、FPGA提取流表中的IP地址，并通过预定的加密算法对流表进行加密；再以流表所提取到的IP地址作为寻址地址，将对应的流表密文写入SDN交换机的存储器中；

步骤3、FPGA对客户机发送的网络数据流进行网络数据的采集，并对网络数据进行特征的提取；

步骤4、FPGA以流表所提取到的IP地址作为寻址地址从存储器中读出加密的流表；

步骤5、FPGA对从存储器中读出的密文进行解密，并将解密后的流表与步骤3的网络数据中所提取的特征信息进行匹配；

步骤6、对于步骤3的网络数据的转发与否取决于步骤5中的匹配结果；若完全匹配，则转发步骤3中客户机发送的网络数据；否则，丢弃该网络数据，并将该网络数据中的目的MAC地址转发至上层控制器，上层控制器将其加入编号标签，设置生存时间，封装成ARP请求报文，通过SDN交换机进行ARP请求报文广播；

步骤7、SDN交换机若收到ARP请求报文应答，则提取该ARP请求报文中的特征信息并上传上层控制器；

步骤8、上层控制器收到特征信息，封装成流表后下发至FPGA，并返回步骤2。

2.根据权利要求1所述基于FPGA的SDN交换机流表加密方法，其特征是，步骤2中，加密算法为AES加密算法。

3.根据权利要求1所述基于FPGA的SDN交换机流表加密方法，其特征是，步骤2中，流表所提取到的IP地址通过Hash运算映射后，形成寻址地址。

说明书

技术领域

本发明属于网络数据处理技术领域，具体涉及一种基于FPGA的SDN交换机流表加密方法。

背景技术

随着互联网、物联网等领域的快速发展，大数据逐渐成为人们关注的焦点，海量的数据处理使得其对网络提出了更高的要求，传统的网络以及难以满足其对资源的需求。

SDN(软件定义网络)将转发与控制分离，一方面进行灵活控制，另一方面进行快速转发。我们可以将流表通过控制器下发至SDN交换机中并存储在特定存储器中，而该存储器不具有安全性，任何人都可以读取和修改存储器流表内容，很容易被人植入病毒以窃取各种信息，甚至恶意攻击。

发明内容

本发明所要解决的技术问题是现有SDN交换机中的存储器易被读取和修改的问题，提供一种基于FPGA的SDN交换机流表加密方法。

为解决上述问题，本发明是通过以下技术方案实现的：

一种基于FPGA的SDN交换机流表加密方法，包括如下步骤：

步骤1、上层控制器通过控制协议将指定流表下发至FPGA中；

步骤2、FPGA提取流表中的IP地址，并通过预定的加密算法对流表进行加密；再以流表所提取到的IP地址作为寻址地址，将对应的流表密文写入SDN交换机的存储器中；

步骤3、FPGA对客户机发送的网络数据流进行网络数据的采集，并对网络数据进行特征的提取；

步骤4、FPGA以流表所提取到的IP地址作为寻址地址从存储器中读出加密的流表；

步骤5、FPGA对从存储器中读出的密文进行解密，并将解密后的流表与步骤3的网络数据中所提取的特征信息进行匹配；

步骤6、对于步骤3的网络数据的转发与否取决于步骤5中的匹配结果；若完全匹配，则转发步骤3中客户机发送的网络数据；否则，丢弃该网络数据，并将该网络数据中的目的MAC地址转发至上层控制器，上层控制器将其加入编号标签，设置生存时间，封装成ARP请求报文，通过SDN交换机进行ARP请求报文广播；

步骤7、SDN交换机若收到ARP请求报文应答，则提取该ARP请求报文中的特征信息并上传上层控制器；

步骤8、上层控制器收到特征信息，封装成流表后下发至FPGA，并返回步骤2。

上述步骤2中，加密算法为AES加密算法。

上述步骤2中，流表所提取到的IP地址通过Hash运算映射后，形成寻址地址。

与现有技术相比，本发明可以利用FPGA的并行高速性，在保证数据高速转发的情况下，增加了流表存储的安全性。相比于流水线的查找方式，IP地址映射存储器地址的查找方式又降低了数据的处理时间。

附图说明

图1为一种基于FPGA的SDN交换机流表加密方法的总体流程图。

图2为AES算法的总体流程。

具体实施方式

下面以NetMagic为例对本发明进行进一步详细说明，需要说明的是：实施例中的参数并不影响本发明的一般性。

一种基于FPGA的SDN交换机流表加密方法，如图1所示，其具体步骤包含如下：

步骤S1、上位机将指定流表通过nmac协议下载至内部FPGA中。

步骤S2、FPGA通过对流表的提取得到IP地址，然后通过AES加密算法对收到的流表进行加密，具体加密过程如图2所示，IP地址通过Hash运算映射成26位DDR2写入地址，并将对应的流表密文写入该地址当中。

步骤S3、FPGA对客户机发送的数据流在rx_tx_1000模块中进行数据的采集，并对数据进行特征的提取。

步骤S4、FPGA将所提取到的IP地址作Hash运算映射成26位DDR2读取地址从DDR2中读出加密的流表。

步骤S5、FPGA对从DDR2中读出的加密流表进行解密并与数据包中提取的特征信息匹配。

步骤S6、对于步骤3中的数据转发与否取决于步骤5中的匹配结果，若完全匹配则转发，否则丢弃并将目的MAC地址转发至NetMagic控制器，控制器对其加入编号标签，设置生存时间，封装成ARP请求报文流，通过nmac协议下发至NetMagic进行ARP广播。

步骤S7、若NetMagic收到ARP应答流，则提取特征信息并上传NatMagic控制器。

步骤S8、控制器收到特征信息，封装成流表并下发至FPGA重复步骤S2。

FPGA利用其硬件并行优势，对上层控制器下发的流表数据进行加密并以未加密数据中提取的IP地址作为写入地址写入存储器中；对物理端口传输的数据进行采集，根据采集到的IP地址作为读取地址从存储器中读取对应地址数据并解密。

以上内容是结合具体的优选实施方式对本发明的进一步详细说明，不能认定本发明的具体实施方式仅限于此，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单的推演或替换，都应该视为属于本发明的权利要求书的保护范围。

基于FPGA的SDN交换机流表加密方法专利购买费用说明

Q：办理专利转让的流程及所需资料

A：专利权人变更需要办理著录项目变更手续，有代理机构的，变更手续应当由代理机构办理。

1：专利变更应当使用专利局统一制作的“著录项目变更申报书”提出。

2：按规定缴纳著录项目变更手续费。

3：同时提交相关证明文件原件。

4：专利权转移的，变更后的专利权人委托新专利代理机构的，应当提交变更后的全体专利申请人签字或者盖章的委托书。

Q:专利著录项目变更费用如何缴交

A：（1）直接到国家知识产权局受理大厅收费窗口缴纳,（2）通过代办处缴纳，（3）通过邮局或者银行汇款,更多缴纳方式

Q：专利转让变更，多久能出结果

A：著录项目变更请求书递交后，一般1-2个月左右就会收到通知，国家知识产权局会下达《转让手续合格通知书》。