(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111368157.6 (22)申请日 2021.11.18 (71)申请人 北京京航计算 通讯研究所 地址 100074 北京市丰台区云岗北 里西区1 号院 (72)发明人 刘伟　羌卫中　吴俊爽　安鹏伟　 陈俊英　王嬴超　王欣　盛凯南　 陈建任　季微微　王洋　 (74)专利代理 机构 北京天达知识产权代理事务 所(普通合伙) 11386 代理人 刘镜 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 45/02(2022.01)H04L 49/25(2022.01) (54)发明名称 基于门限秘密共享的软件定义网络数据安 全传输方法 (57)摘要 本发明涉及一种基于门限秘密共享的软件 定义网络 数据安全传输方法， 属于网络空间安全 技术领域， 解决了现有物联网中网络数据传输安 全性不足和可靠性差的问题。 包括交换机接收到 源主机发送的连接请求数据包后发送给控制器； 控制器根据历史通信记录和网络拓扑识别是否 需要重新选择转发路径； 需要则计算得到多条新 转发路径和路径权重； 源主机接收到目的主机发 送的连接请求回复后， 运行k ‑n门限加密算法对 原始数据加密处理， 得到n份密文数据， 根据当前 多条转发路径和路径权重选择k条转发路径发送 n份密文数据； 当目标主机接收到不重复密文数 据的份数大于等于k时， 对密文数据解密得到原 始数据。 实现了多路径的动态选择和实时权重更 新， 提高了安全性。 权利要求书3页 说明书8页 附图1页 CN 114079562 A 2022.02.22 CN 114079562 A 1.一种基于门限秘密共享的软件定义网络数据安全传输方法， 其特征在于， 包括如下 步骤： 交换机接收到源主机发送的连接请求数据包后， 将数据包头 部消息发送给控制器； 控制器接收到所述头部消息后， 根据历史通信记录和网络拓扑识别是否 需要重新选择 转发路径； 需要， 则计算得到多条新转发路径和路径权重， 并更新原转发路径和路径权重； 以及， 指示交换机在当前多条转发路径中选择一条转发所述连接请求数据包至目的主机； 源主机接收到目的主机发送 的连接请求回复后， 运行k ‑n门限加密算法对原始数据加 密处理， 得到n份密 文数据， 根据当前多 条转发路径和路径权重选择k条转 发路径发送所述n 份密文数据； 当目标主机接收到不重复密文数据的份数大于等于k时， 对密文数据解密得到原始数 据。 2.根据权利要求1所述的基于门限秘密共享的软件定义网络数据安全传输方法， 其特 征在于， 还 包括， 当目标主机 接收到不重复密文数据的份数小于k时， 等待源主机 重传密文； 所述等待源主机 重传密文， 包括： 根据当前多条转发路径的使用记录， 若存在未被使用过的转发路径且未被使用过的转 发路径的数量大于等于未收到数据回复的转 发路径数量时， 源主机对当前多 条转发路径重 新计算权重， 并按权重大小排序， 在未被使用过的转发路径中， 从权重最大的路径开始选 择， 重传未收到数据回复的密文数据， 直至目的主机 接收到不重复密文份数 大于等于k； 否则， 由控制器重新计算得到多条新转发路径和路径权重， 再发送给源主机， 源主机根 据最新的多条转 发路径和路径权重选择新转 发路径重传未收到数据回复的密 文数据， 直至 目的主机 接收到不重复密文份数 大于等于k。 3.根据权利要求1或2所述的基于门限秘密共享的软件定义网络数据安全传输方法， 其 特征在于， 所述连接请求数据包中对需要进 行k‑n加密的数据包包头进 行标记， 并包含加密 的k值和n值； 初始化时在交换机上预置了对数据包包头标记进行判断的流表规则， 交换机接收到连 接请求数据包后， 对数据包包头进行流表规则匹配， 若具有标记， 则为k ‑n加密的连接请求 数据包， 并通过PacketI n消息将数据包头 部消息发送给控制器。 4.根据权利要求3所述的基于门限秘密共享的软件定义网络数据安全传输方法， 其特 征在于， 所述控制器接 收到所述头部消息后， 根据数据包头部消息获取源主机和目的主机 信息； 所述根据历史通信记录和网络 拓扑识别是否需要重新选择转发路径， 包括： 根据历史通信记录， 确定是第一次建立连接， 或者与上次通讯时间间隔超过预置的超 时时间， 则需要重新选择转发路径； 或， 根据控制器内维护的网络全局拓扑信息， 获取转发路径上交换机增减和链路增减情 况， 当存在交换机增减和/或链路增减， 则需要重新选择转发路径； 或， 通过对发送的PacketOut消息和接收的PacketIn消息进行抓包分析， 识别出探测链路 拥塞或丢包率超过 预置阈值， 则需要重新选择转发路径。 5.根据权利要求4所述的基于门限秘密共享的软件定义网络数据安全传输方法， 其特 征在于， 所述计算得到多条新 转发路径， 包括：权　利　要　求　书 1/3 页 2 CN 114079562 A 2根据广度优先规则， 得到从源主机到目的主机的所有可用路径， 放入可用路径集合； 基 于所述可用路径集 合， 获取每条 可用路径中包 含的交换机， 放入交换机集 合； 遍历交换机集合， 计算在可用路径集合中包含每一个交换机的可用路径条数； 遍历可 用路径集 合， 将每条 可用路径上交换机的可用路径条 数相加， 得到每条路径的冲突系数； 将可用路径集合中的每条路径按照其冲突系数的大小进行排序， 选择冲突系数最小且 与已选择路径集合中的路径不相交的一条路径， 作为路径选择结果移入已选择路径集合 中， 从可用路径集合中去除与已选择路径集合中的路径相交的路径， 对可用路径集合中剩 余的路径重复选择直至为空， 得到的已选择路径集 合中的路径作为多条新 转发路径。 6.根据权利要求5所述的基于门限秘密共享的软件定义网络数据安全传输方法， 其特 征在于， 所述路径权重根据路径上数据包的质量影响因子、 历史数据包质量影响因子、 数据 包的状态和更新前路径权 重计算得到， 并且在数据包被确认时动态更新； 所述数据包被确认包括： 当源主机 接收到数据回复时， 数据包被确认接收； 当源主机在超时 时间内未收到数据回复时， 数据包被确认丢弃。 7.根据权利要求6所述的基于门限秘密共享的软件定义网络数据安全传输方法， 其特 征在于， 所述路径权 重的计算公式是： 其中， Qr,n表示在路径r 上第n个数据包被确认时的权重， Qr,n‑1表示在路径r上第n ‑1个数 据包被确认时的权重， 即权重更新前路径r的权重， 初始Qr,0＝1， fn表示第n个数据包的质量 影响因子， 每当数据包被确认丢失时， 数值递增1； Fn‑1是n‑1个历史数据包的质量影响因子 之和， 初始F0＝1， 计算公式是： Pn表示第n个数据包的状态， 计算公式是： Pn＝Sn×Rn， n≥1 其中， Sn表示第n个数据包在路径r上被确认的情况， 当被确认接收时， Sn为1， 否则Sn为 0； Rn表示数据包被确认接收的比率。 8.根据权利要求7所述的基于门限秘密共享的软件定义网络数据安全传输方法， 其特 征在于， 所述源主机 接收到目的主机发送的连接请求回复， 包括： 目的主机接收到连接请求数据包后， 得到所述加密的k值和n值， 为连接请求回复打上 和连接请求数据包相同转 发路径标签， 通过与连接请求数据包相同的转 发路径向源主机发 送连接请求回复， 源主机在预置的超时 时间内接收到目的主机发送的连接请求回复。 9.根据权利要求8所述的基于门限秘密共享的软件定义网络数据安全传输方法， 其特 征在于， 还包括， 当源主机在预置的超时时间内未接收到连接请求回复时， 重新发送连接请 求数据包， 由控制器重新计算得到多条新 转发路径和路径权 重， 发送给源主机 。 10.根据权利要求1 ‑9任一项所述的基于门限秘密共享的软件定义网络数据安全传输 方法， 其特征在于， 所述根据当前多条转发路径和路径权重选择k条转发路径发送所述n份 密文数据， 包括：权　利　要　求　书 2/3 页 3 CN 114079562 A 3