本發(fā)明提供了一種報文轉(zhuǎn)發(fā)方法、裝置和轉(zhuǎn)發(fā)設(shè)備，屬于網(wǎng)絡(luò)通信技術(shù)領(lǐng)域。本發(fā)明實施例提供的報文轉(zhuǎn)發(fā)方法、裝置和轉(zhuǎn)發(fā)設(shè)備，將待發(fā)送的數(shù)據(jù)報文進行加密；并使Openflow交換機將加密的數(shù)據(jù)報文和加密策略通過不同的控制流表發(fā)送給目標接收端，使目標設(shè)備可以通過根據(jù)加密策略將數(shù)據(jù)報文進行解密，得到正確的報文信息，而中間設(shè)備無法同時獲得數(shù)據(jù)報文或加密策略，因此無法得到數(shù)據(jù)報文的信息，從而可以預防MITM攻擊，提高網(wǎng)絡(luò)信息安全。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，具體而言，涉及一種報文轉(zhuǎn)發(fā)方法、裝置和轉(zhuǎn)發(fā)設(shè)備。

背景技術(shù)

MITM(Man-in-the-MiddleAttack，中間人攻擊)是一種間接攻擊計算機的網(wǎng)絡(luò)技術(shù)，該技術(shù)將受入侵者控制的一臺中間設(shè)備虛擬放置在網(wǎng)絡(luò)連接中的兩臺計算機或通信終端之間，這臺中間設(shè)備就稱為“中間人”。然后入侵者把這臺中間設(shè)備模擬一臺或兩臺原始計算機，使“中間人”能夠與原始計算機建立活動連接并允許其讀取或修改傳遞的信息，然而兩個原始計算機用戶卻認為他們是在互相通信。

例如，當主機A和主機B通信時，都由主機C來為其“轉(zhuǎn)發(fā)”，而A、B之間并沒有真正意思上的直接通信，他們之間的信息傳遞同 C作為中介來完成，但是A、B卻不會意識到，而以為它們之間是在直接通信。這樣攻擊主機在中間成為了一個轉(zhuǎn)發(fā)器，C可以不僅竊聽 A、B的通信還可以對信息進行篡改再傳給對方，C便可以將惡意信息傳遞給A、B以達到自己的目的。因此，網(wǎng)絡(luò)黑客經(jīng)常使用該技術(shù)竊取用戶的網(wǎng)絡(luò)請求，獲取用戶的銀行，網(wǎng)絡(luò)賬號等信息，威脅了網(wǎng)絡(luò)安全，也給用戶造成了損失。

發(fā)明內(nèi)容

針對上述現(xiàn)有技術(shù)中存在的問題，本發(fā)明提供了一種報文轉(zhuǎn)發(fā)方法、裝置和轉(zhuǎn)發(fā)設(shè)備，可以預防MITM攻擊，提高網(wǎng)絡(luò)信息安全。

第一方面，本發(fā)明實施例提供了一種報文轉(zhuǎn)發(fā)方法，應(yīng)用于基于 SDN的轉(zhuǎn)發(fā)設(shè)備，包括：

將待發(fā)送的數(shù)據(jù)報文進行加密；

為加密的數(shù)據(jù)報文生成第一控制流表，以使Openflow交換機根據(jù)所述第一控制流表發(fā)送加密的數(shù)據(jù)報文；

生成第二控制流表，以使Openflow交換機根據(jù)所述第一控制流表發(fā)送加密策略；所述第二控制流表和所述第一控制流表具有相同的目的地址信息。

結(jié)合第一方面，本發(fā)明實施例提供了第一方面的第一種可能的實施方式，其中，所述第一控制流表和所述第二控制流表至少包含以下信息：源地址信息、目的地址信息、源端口信息、目的端口信息、通信鏈路信息。

結(jié)合第一方面的第一種可能的實施方式，本發(fā)明實施例提供了第一方面的第二種可能的實施方式，其中，所述第一控制流表和所述第二控制流表具有不同的通信鏈路信息。

結(jié)合第一方面，本發(fā)明實施例提供了第一方面的第三種可能的實施方式，其中，所述加密策略為密碼或加密規(guī)則。

第二方面，本發(fā)明實施例還提供了一種報文轉(zhuǎn)發(fā)裝置，應(yīng)用于基于SDN的轉(zhuǎn)發(fā)設(shè)備，包括：

加密模塊，用于將待發(fā)送的數(shù)據(jù)報文進行加密；

第一控制流表生成模塊，用于為加密的數(shù)據(jù)報文生成第一控制流表，以使Openflow交換機根據(jù)所述第一控制流表發(fā)送加密的數(shù)據(jù)報文；

第二控制流表生成模塊，生成第二控制流表，以使Openflow交換機根據(jù)所述第一控制流表發(fā)送加密策略；所述第二控制流表和所述第一控制流表具有相同的目的地址信息。

結(jié)合第二方面，本發(fā)明實施例提供了第二方面的第一種可能的實施方式，其中，所述第一控制流表和所述第二控制流表至少包含以下信息：源地址信息、目的地址信息、源端口信息、目的端口信息、通信鏈路信息。