一种基于SDN网络实现的安全协议敏捷性迁移方法和系统与流程

本发明涉及网络安全和密码学领域，具体涉及后量子加密与协议敏捷性领域，特别是涉及一种基于sdn网络实现的安全协议敏捷性迁移方法和系统。

背景技术：

1、在目前的网络安全技术中，网络中数据的安全传输主要依赖于传统的加密算法，例如rsa、ecdh等。随着量子计算技术的不断发展，这些传统加密算法面临着巨大威胁。因此，如何将后量子加密算法应用到网络安全传输中已成为当前网络安全技术领域的一个研究热点。

2、但是，直接将现有网络中的所有系统一次性全部转换到量子安全加密算法或是量子密钥分发技术是不现实的。因此，需要采用加密敏捷性或是协议敏捷性的迁移方式，将网络中的系统逐步转换到支持量子安全加密算法的安全协议，从而实现网络安全协议的递进式迁移。

3、协议敏捷性是指，在网络中，能够动态地切换不同的网络协议以适应不同的网络环境和应用需求的能力。它可以使网络系统具有更高的灵活性和可靠性，提高网络系统的性能和安全性。

4、加密敏捷性是协议敏捷性的一种特殊形式。它指的是，在网络中，能够动态地切换不同的加密算法和密钥管理机制以实现不同的安全需求和应对网络威胁的能力。加密敏捷性可以使加密系统具有更高的灵活性和可靠性，提高系统的安全性和性能。

技术实现思路

1、本说明书一个或多个实施例描述了一种基于sdn网络实现的安全协议敏捷性迁移方法和系统，可以在sdn网络中实现从传统安全协议到量子安全协议的平滑迁移。

2、根据第一方面，提供了一种基于sdn网络实现的安全协议敏捷性迁移方法，所述sdn网络具有sdn控制器和相对应的多个sdn设备，所述sdn控制器和所述sdn设备均具有由多个流表项组成的流表，所述流表项用于表征流量转发规则；在所述sdn网络中部署有通过传统加密算法实现的第一安全隧道和支持量子安全加密的第二安全隧道。

3、所述方法包括：

4、所述sdn控制器接收变更流表项集合，并下发至所述sdn设备；所述变更流表项集合用于定义，将特定流量子集的传输通道从所述第一安全隧道迁移到所述第二安全隧道，所述特定流量子集根据业务需求，按照网络协议域属性而划分；

5、所述sdn设备根据所述变更流表项集合更新流表，得到目标流表；

6、响应于接收到的网络报文，所述sdn设备在所述目标流表中，查询与所述网络报文相匹配的目标流表项；

7、根据所述目标流表项中的流量转发规则指令，所述sdn设备将所述网络报文转发至相应的安全隧道。

8、根据一种实施方式，所述sdn网络通过以下步骤获得：

9、在第一服务器、第二服务器上均安装并配置第一安全协议软件、第二安全协议软件；

10、启动所述第一安全协议软件和所述第二安全协议软件，得到所述第一安全隧道和所述第二安全隧道；

11、在所述sdn控制器中初始化流表，得到原始流表，所述原始流表包含所述第一安全隧道或所述第二安全隧道的多个流量转发规则；

12、通过所述sdn控制器将所述原始流表下发至所述sdn设备。

13、根据一种实施方式，所述sdn设备包括，支持openflow协议的虚拟交换机，其上安装有openflow agent。

14、根据一种实施方式，所述第二安全隧道基于后量子密码学算法搭建，或支持量子密钥分发技术。

15、在上述实施方式的一个场景中，所述第一安全隧道基于ipsec安全协议搭建；所述第二安全隧道基于wireguard安全协议搭建。

16、根据一种实施方式，所述变更流表项集合，具体包括：对应于所述特定流量的流表项的新增、修改或删除中的至少一个。

17、根据一种实施方式，所述sdn设备在所述目标流表中，查询与所述网络报文相匹配的目标流表项，具体通过以下步骤确定：

18、获得所述网络报文的网络协议域属性；

19、在所述目标流表中，按照流表项的优先级，从高到低，将所述网络协议域属性与所述流表项逐一匹配；

20、第一个匹配成功的流表项即为所述目标流表项。

21、在上述实施方式的一个场景中，在所述sdn设备根据所述变更流表项集合更新流表时，将所述特定流量子集的流表项，设置为高优先级，使其可以被优先匹配。

22、根据一种实施方式，所述网络协议域属性包括：源主机ip网段、目的主机ip网段。

23、根据第二方面，本发明还提供了一种实现安全协议的敏捷性迁移的sdn网络系统，所述sdn网络具有sdn控制器和相对应的多个sdn设备，所述sdn控制器和所述sdn设备均具有由多个流表项组成的流表，所述流表项用于表征流量转发规则；在所述sdn网络中部署有通过传统加密算法实现的第一安全隧道和支持量子安全加密的第二安全隧道。其中：

24、所述sdn控制器配置为，接收变更流表项集合，并下发至所述sdn设备；所述变更流表项集合用于定义，将特定流量子集的传输通道从所述第一安全隧道迁移到所述第二安全隧道，所述特定流量子集根据业务需求，按照网络协议域属性而划分。

25、所述sdn设备配置为，根据所述变更流表项集合更新流表，得到目标流表。

26、所述sdn设备还配置为，响应于接收到的网络报文，在所述目标流表中，查询与所述网络报文相匹配的目标流表项；根据所述目标流表项中的流量转发规则指令，将所述网络报文转发至相应的安全隧道。

27、相比于现有技术，本发明具有如下优点和有益效果：

28、（1）本发明可以实现在现有网络中，从支持传统密码学算法的安全协议到支持量子安全加密算法的安全协议的平滑迁移。解决了直接将现有安全协议中的传统密码学算法一次性替换成量子安全加密算法（如后量子密码学算法）所带来的性能和兼容性问题。

29、（2）本发明支持动态调整安全协议以适应不同的网络环境和安全需求，提高了网络的安全性和灵活性。

30、（3）除了量子安全加密以外，本发明中所使用的新一代vpn协议（例如wireguard）比传统vpn协议（例如ipsec），在可以支持更安全的加密算法的同时，还具有更高的性能、更低的延迟以及更简单的配置和管理。因此，本发明还有助于企业逐步从传统的vpn协议向新一代vpn协议进行迁移。有助于在为企业提供更高网络安全性的同时，降低企业的运维、审计和管理成本。

技术特征：

1.一种基于sdn网络实现的安全协议敏捷性迁移方法，其特征在于，

2.根据权利要求1所述的方法，其特征在于，所述sdn网络通过以下步骤获得：

3.根据权利要求1所述的方法，其特征在于，所述sdn设备包括，支持openflow协议的虚拟交换机，其上安装有openflow agent。

4.根据权利要求1所述的方法，其特征在于，所述第二安全隧道基于后量子密码学算法搭建，或支持量子密钥分发技术。

5.根据权利要求4所述的方法，其特征在于，

6.根据权利要求1所述的方法，其特征在于，所述变更流表项集合，具体包括：

7.根据权利要求1所述的方法，其特征在于，所述sdn设备在所述目标流表中，查询与所述网络报文相匹配的目标流表项，具体包括：

8.根据权利要求7所述的方法，其特征在于，所述sdn设备根据所述变更流表项集合更新流表，具体包括：

9.根据权利要求1所述的方法，其特征在于，所述网络协议域属性包括：

10.一种实现安全协议的敏捷性迁移的sdn网络系统，其特征在于，

技术总结本发明涉及网络安全和密码学领域，具体涉及后量子加密与协议敏捷性领域，特别是涉及一种基于SDN网络实现的安全协议敏捷性迁移方法和系统。该方法应用于具有SDN控制器和相对应的多个SDN设备的SDN网络；该方法包括：SDN控制器接收变更流表项集合，并下发至SDN设备；变更流表项集合用于定义，将特定流量子集的传输通道从第一安全隧道迁移到第二安全隧道，特定流量子集根据业务需求，按照网络协议域属性而划分；SDN设备根据变更流表项集合更新流表，得到目标流表；响应于接收到的网络报文，SDN设备在目标流表中，查询与网络报文相匹配的目标流表项；根据目标流表项中的流量转发规则指令，SDN设备将网络报文转发至相应的安全隧道。技术研发人员：冯凯,黄蕾蕾受保护的技术使用者：正则量子（北京）技术有限公司技术研发日：技术公布日：2024/7/25