本发明系有关于计算器技术,尤指一种利用反回放处理方法的封包安全技术。
背景技术:
网络功能虚拟化(networkfunctionvirtualization,简称nfv)正渐渐成为许多大型商业网络中的关键驱动技术和网络体系。通常nfv实现了某些网络功能的虚拟化,这些功能如防火墙、加速器、入侵检测、负载平衡等,传统上是运行在单独的网络设备上。
nfv渐渐使用服务功能链(servicefunctionchains,简称sfc)来控制某些应用于网络流量的功能或服务。服务功能链使虚拟化的网络功能成为云网络的一部分。服务功能链定义了可让网络封包流依序通过并处理的多个服务功能。封包流通过分类器节点进入网络,根据服务功能链的策略(policy)生成该封包流的所述服务功能路径(servicefunctionpath,简称sfp)。分类器节点用网络服务标头(networkserviceheader,简称nsh)封装该封包流的每个封包,指示所述封包流将接受的服务功能,以及顺序。
黑客可能窃听并复制sfc封包以生成回放的sfc封包。反回放的保护措施可以用反回放窗口执行回放检查。使用反回放窗口进行此类回放检查的性能可能会受到窗口大小制约。举例来说,反回放窗口缩小可能会更严格地阻止重复的封包,但牺牲并丢弃掉更多在窗口之外的的有效封包。
技术实现要素:
有鉴于此,在本发明中,使用封包计数以侦测封包回放事件,并重新规划安全的路径,以避开发生封包回放事件的路径区段。
本发明一实施方式揭露一种种反回放处理方法,由电子装置执行,包括:从一个所述服务功能路径中的多个服务功能转寄站接收封包计数;根据所述服务功能路径中第一个服务功能转寄站的第一封包计数和第二个服务功能转寄站的第二数据包计数之间的差值判别异常变化,以判定所述服务功能路径中所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生封包回放事件。在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间初始化一个安全服务功能转寄站,以回应所述封包回放事件。提供从所述第一个服务功能转寄站到所述第二个服务功能转寄站的替代路径的指示信息,用新的转发规则替换所述第一个服务功能转寄站中的原始转发规则,其中所述原始转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过原始路径传送到所述第二个服务功能转寄站,新的转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过包含所述安全服务功能转寄站的所述替代路径传送到所述第二个服务功能转寄站。
本发明一实施方式揭露一种反回放处理方法,更包含:当所述第一个服务的所述第一个封包计数与所述第二个服务功能转寄站的所述第二个数据包计数之间的差异超过预定的阈值的情况下,判定所述服务功能路径中在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生所述封包回放事件。
本发明一实施方式揭露一种反回放处理方法,其中所述安全服务功能转寄站将所述服务功能路径的封包从所述安全服务功能转寄站传送到所述第二个服务功能转寄站。
根据本发明一实施方式揭露一种反回放处理方法,更包含:所述第一个服务功能转寄站区分所述服务功能路径的正常封包与回放封包。
根据本发明一实施方式揭露一种反回放处理方法,更包含:在所述服务功能路径的封包通信中,在正常封包标注一个安全标志,以便过所述第二个服务功能转寄站,其中所述第二个服务功能转寄站允许具有所述安全标志的封包通过所述第二个服务功能转寄站,并防止没有所述安全标志的回放封包通过所述第二个服务功能转寄站。
根据本发明一实施方式揭露一种反回放处理方法,更包含:设置在所述正常封包中的保留字段中的位以标注所述安全标志。
根据本发明一实施方式揭露一种反回放处理方法,更包含:所述第二个服务功能转寄站从所述服务功能路径接收未判断的封包;当所述未判断的封包具有安全标志的情况中,所述第二个服务功能转寄站转发所述未判断的封包;以及,当所述未判断的封包没有安全标志的情况中,所述第二个服务功能转寄站丢弃所述未判断的封包。
根据本发明一实施方式揭露一种反回放处理方法,更包含:利用一个封包计数路由表确定封包回放事件;其中,所述封包计数路由表的第一个记录包括第一个服务路径标识符、第一个服务索引和第一个会话标识符以及第一个封包计数;其中,所述封包计数路由表的第二个记录包括第二个服务路径标识符、第二个服务索引和第二个会话标识符以及第二个数据包计数。
根据本发明一实施方式揭露一种反回放处理方法,由电子装置执行,包括:收接封包回放事件发生的指示信息,其中所述指示信息记录所述封包回放事件发生在一个服务功能路径中的第一个服务功能转寄站和第二个服务功能转寄站之间;收接初始化通知,其中所述初始化通知记录一个安全服务功能转寄站已初始化并设置于所述第一个服务功能转寄站和所述第二个服务功能转寄站之间以响应所述封包回放事件;提供从所述第一个服务功能转寄站到所述第二个服务功能转寄站的替代路径的指示信息,用新的转发规则替换所述第一个服务功能转寄站中的原始转发规则,其中所述原始转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过原始路径传送到所述第二个服务功能转寄站,新的转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过包含所述安全服务功能转寄站的所述替代路径传送到所述第二个服务功能转寄站。
根据本发明一实施方式揭露一种反回放处理方法,其中所述安全服务功能转寄站将所述服务功能路径的封包从所述安全服务功能转寄站传送到所述第二个服务功能转寄站。
根据本发明一实施方式揭露一种反回放处理方法,更包含:所述第一个服务功能转寄站区分所述服务功能路径的正常封包与回放封包。
根据本发明一实施方式揭露一种反回放处理方法,更包含:在所述服务功能路径的封包通信中,在正常封包标注一个安全标志,以便过所述第二个服务功能转寄站,其中所述第二个服务功能转寄站允许具有所述安全标志的封包通过所述第二个服务功能转寄站,并防止没有所述安全标志的回放封包通过所述第二个服务功能转寄站。
根据本发明一实施方式揭露一种反回放处理方法,更包含:设置在所述正常封包中的保留字段中的比特以标注所述安全标志。
本发明的反回放处理方法可以主动侦测封包回放事件,并重新规划安全的路径,以避免后续更多的封包回放。
附图说明
图1系显示本发明sfc实施方式方块图;
图2系显示本发明反回放处理方法实施方式的流程图;
图3系显示本发明sfc流示意图;
图4系显示本发明安全sfc路径;
图5系显示sfc封包表头的示意图;
图6系显示sfc封包表头内保留字段的示意图;
图7系显示执行本发明反回放处理方法的电子装置实施方式;及
图8系显示用于记录每个会话的封包计数的数据结构。
主要元件符号说明
100服务链控制器
110服务功能集合
121路线分析器
122安全的路径导航器
200分类器
310服务功能转寄站
320服务功能转寄站
321服务功能转寄站
330服务功能转寄站
411服务功能
421服务功能
431服务功能
501恶意装置
80网络服务表头
801服务功能路径封包流
804字段
805字段
806字段
807字段
808字段
811封包
812封包
900装置
901处理器
902内存
903储存器
904网络通信接口
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为了便于本领域普通技术人员理解和实施本发明,下面结合附图与实施方式对本发明进一步的详细描述,应当理解,本发明提供许多可供应用的发明概念,其可以多种特定型式实施。文中所举例讨论的特定实施方式仅为制造与使用本发明的特定方式,非用以限制本发明的范围。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施方式,都属于本发明保护的范围。
此外,在不同实施方式中可能使用重复的标号或标示。这些重复仅为了简单清楚地叙述本发明,不代表所讨论的不同实施方式及/或结构之间具有任何关连性。需要说明的是,当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中设置的组件。当一个组件被认为是“设置在”另一个组件,它可以是直接设置在另一个组件上或者可能同时存在居中设置的组件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施方式的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
本发明提供了一种用于网络功能虚拟化(nfv)和服务功能链(sfc)的电子装置可执行的反回放处理方法。基于从第一服务功能转寄站接收的第一封包计数与从第二服务功能转寄站接收的和第二数据包计数之间的异常变化,所述方法判别封包回放事件发生在所述服务功能路径中的所述第一个服务功能转寄站和所述第二个服务功能转寄站之间。所述方法通过重新安排第一和第二个服务功能转寄站之间的备用路径并区分出回放封包和正常封包,进一步响应所述封包回放事件。
参照图1,sfc控制器100连接到sfc分类器200和服务功能(sf)集合110。分类器是执行分类功能的单元。分类器的其中一种定义可在因特网工程任务组(internetengineeringtaskforce,简称ietf)rfc7665中找到。sfc分类器200可以初始化一条所述服务功能路径(sfp)作为服务功能链(sfc)的实例(instance)。sfp是服务功能链使用的一种机制,sfp就是将更精细的策略和操作限制应用于具有抽象要求的sfc后产生的产物。在所述服务功能集合110中,所述sfc分类器200连接到服务功能转寄站(sff)310、320和330。所述sff310连接服务功能(sf)411。所述sff320连接sf421。所述sff330连接sf431。
sfc控制器100包括有效的路线分析器(eta)121和安全的路径导航器(spn)122。sfc控制器100的实施方式可以包含rfc7665中所述的异构控制/策略点(heterogeneouscontrol/policypoint)。eta121可以利用sfc协议或软件定义的网络协议(如openflow)收集sfp封包计数,以确定sfp或sfp段是否遭受回放攻击。在sfp中检测到回放攻击事件时,eta121通知spn122启用回放保护程序。换言之,spn122在收到回放攻击事件通知时将为sfp中的封包创建一个安全的路径,以绕过sfp中发生回放攻击事件的段。spn122进一步区分sfp中的正常封包与回放封包,标记在sfp中的正常封包,并促使多个sff阻止回放封包。
参考图2,eta121可根据sfc或sdn协议信令部署有效的路线流(步骤s10)和路线报告流(步骤s12)到多个sff310、320和330。参考图3,eta121部署依循一条sfp的sfc封包流801。sfc封包流801通过所述依循的sfp被传输,包括顺序传输到所述分类器200、sff310、sf411、sff310、sff320、sf421、sff320、sff330、sf431和sff330系列和互联网。根据路线报告流,多个sff310、320和330周期地向eta121报告sfp中每个会话(session)的封包计数(步骤s14)。eta121计算在sfp中每个会话的封包计数(步骤s16)。举例来说,eta121在一种数据结构中记录每个会话的封包计数,该数据结构的实例如图8的表1所示。
sfp中的每个会话都以索引识别。举例来说,一个会话的索引可以包括服务路径标识符(servicepathidentifier,简称spi)、服务索引(sessionindex,简称si)和会话标识符(identifier,简称id)的组合。参考图5,封包流801中每个封包的网络服务表头(networkserviceheader,简称nsh)80包括用于记录spi的字段804和用于记录si的字段805。nsh80的字段806包括如图6所示的多个字段。字段807包括会话id。参照表1,eta121计算并在数据结构中存储分类器200的封包计数高达10000,sff310的封包计数高达10000,sff320的封包计数高达10000,sff330的封包计数高达15000。
eta121通过确定从封包计数演生的封包回放计数是否超过预定的阈值(例如sfp封包流801的吞吐量的1%作为阈值)来确定任何sfp阶段是否有异常的封包计数(步骤s18)。举例来说,sfp阶段中的封包回放计数可以从特定sfp阶段的封包计数减去的所述特定sfp阶段的先前sfp阶段的封包计数获得。在没有sfp阶段有异常封包计数的情况下,eta121重复步骤s16。在至少一个sfp阶段有异常封包计数的情况下,eta121标记至少一个具有异常封包计数的sfp阶段为一个不安全的路径,并且触发spn122(步骤s20)。
参照图3,恶意装置501从封包流801中窃听封包811,回放封包812并将封包812放入封包流801中,所述封包流801属于sf集合110的sfp中的封包流,并引发回放攻击事件,其中如表1所示sff330的异常封包计数达15000。从15000减去10000而得到在sff330的封包回放计数是5000,超过sff320的封包计数10000的1%。eta121标志一个不安全的路径的范围从sff320到sff330,并通知spn122所述不安全的路径。
当通知spn122所述不安全的路径时,spn122在不安全的路径中的二个sff之间初始化一个安全转寄站(secureforwarder)(步骤s22),并将安全标志规则部署到安全的路径中的多个sff(步骤s24)。举例来说,参照图4,spn122在不安全的路径的多个sff320和330之间启动安全转寄站321。sff321将封包流801的封包从sff321传送到sff330。spn122将安全标志规则部署到多个sff320和330。根据安全标志规则,sff320通过在正常封包的表头中建立安全标志(secureflag)来标记封包流801中的正常封包。举例来说,参照图6,sff320在封包流801中的每个正常封包的表头中存储一个安全标志于保留字段808中。在示例性实施方式中,sff320利用字段808储存二进制比特1以表示已表态安全标志,并以二进制比特0表示未表态状态。在本发明的另一种示例性实施方式中,根据安全标志规则,sff321可以通过在正常封包表头中启用已表态的安全标志以区别回放封包,从而在封包流801中标记正常封包。
spn122更新多个sff中的转发策略表,以引导封包流801中正常封包通过安全服务转寄站321依循安全的路径进行传输(步骤s26)。spn122将安全标志规则部署到安全的路径中的多个sff(步骤s24)。参考图4,安全的路径的多个sff包括sff320、321和330。spn122更新sff320、321和330中的转发策略表,来引导封包流801中的正常封包通过安全的sff321,以遵循安全的路径传送(步骤s26)。spn122在安全的路径中的sff中部署阻挡规则以阻止回放封包(步骤s28)并通知管理员(步骤s30)。举例来说,spn122将阻挡规则部署到安全的路径中的多个sff320、321和330。sff330根据阻文件挡规则,识别并禁止传送没有安全标志的回放封包。在收到转发的封包后,当转发的封包是包含安全标志的情况中,sff330将转发的封包转发到下一个阶段,并且当转发的封包是不包含安全标志的情况中,阻挡并丢弃转发的封包。
通过在步骤s20-s26中更新转发策略表中的转发规则,spn122提供了从sff320到sff330的备选路由指示,方法是用新的转发规则替换sff320中的原始转发规则。原始转发规则将流801中的封包通过原始路径从sff320传送到sff330。新的转发规则将流801中的封包通过包括安全服务功能转寄站321的替代路径从sff320传送到sff330。
参照图7,本公开的方法可以通过存储在储存介质(例如在装置900中储存器903)中的计算机程序实现。当装置900中的处理器901将实现本发明的方法的计算机程序加载到内存902时执行本发明的方法。处理器901可以通过网络接口904与其他实体通信。图1中的每个模姐,包含sfc控制器、分类器、sf和sff可以实作在一台装置900中。在另外的实施方式中,在图1中,sfc控制器、分类器、sfs和多个sff的任何组合可以同时在装置900中的一个或多个虚拟机中运行,或者在装置900的多个实施方式中运行。
所述反回放处理方法监视sfp中的封包计数,以识别回放攻击事件,并识别发生回放攻击事件的sfp路段为不安全的路径。所述方法进一步启动安全的路径绕过不安全的路径,使正常sfc封包具有安全标志,并在安全的路径的出口阶段阻止没有安全标志的回放封包。
对本领域的普通技术人员来说,可以根据本发明的发明方案和发明构思结合生成的实际需要做出其他相应的改变或调整,而这些改变和调整都应属于本发明权利要求的保护范围。