CN102187614A - 网络安全方法和装置 - Google Patents
网络安全方法和装置 Download PDFInfo
- Publication number
- CN102187614A CN102187614A CN200880131631XA CN200880131631A CN102187614A CN 102187614 A CN102187614 A CN 102187614A CN 200880131631X A CN200880131631X A CN 200880131631XA CN 200880131631 A CN200880131631 A CN 200880131631A CN 102187614 A CN102187614 A CN 102187614A
- Authority
- CN
- China
- Prior art keywords
- frame
- mpls
- safety
- label
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于对通过网络传输的MPLS帧进行安全保护的方法,MPLS帧包括MPLS报头和MPLS载荷。该方法包括从源接收MPLS帧和确定MPLS帧是否满足安全标准。如果MPLS帧满足安全标准,则对MPLS载荷进行安全保护并且创建安全MPLS帧。安全MPLS帧包括MPLS报头和安全MPLS载荷。随后,转发安全MPLS帧。
Description
技术领域
本发明涉及用于在标签交换网络中提供网络安全的方法和装置。本发明可以特别应用于多协议标签交换(MPLS)网络。
背景技术
在当今的诸如企业、政府部门、组织的社会实体中,个体经常通过使用一个或多个计算机网络(例如国际互联网)与他们自己或者其它实体传送数据。发送的数据可以涉及多种目的中的任意一个,例如文件传输、电子邮件、语音和/或视频会议。
由于技术已经发展出不同类型的计算机网络,并且已经开发和实现了不同的网络通信协议。目前在几乎所有计算机网络和协议设计中的三个共同的和首要的考虑是速度(能够实现多快的数据通信)、安全性(传送的数据有多安全)、和所要求的资源。通常这些考虑彼此是不一致的,在这种情况下与网络安全相关联的开销能够直接影响到所要求的资源、处理时间以及速度。
标签交换网络(特别是MPLS网络)是目前使用的一种网络类型。MPLS网络是分组交换网络,如其名称所暗示的,使用标签来交换分组并且能够用于承载不同协议(例如,IP、ATM、SONET、以太网)的网络业务。
在IP(国际互联网协议)或ATM(异步传输模式)隧道中通过物理链路加密或者通过封装MPLS数据帧能够在标签交换网络中提供安全性。由于这些安全方法均要求相对多的资源和网络开销,因此对网络的速度和效率产生影响。
发明内容
在一个方面中,本发明提供一种用于对通过网络传输的MPLS帧进行安全保护的方法,MPLS帧包括MPLS报头和MPLS载荷,该方法包括:从源接收MPLS帧;确定MPLS帧是否满足安全标准;如果MPLS帧满足安全标准,则对MPLS载荷进行安全保护并创建包括MPLS报头和安全MPLS载荷的安全MPLS帧;以及转发安全MPLS帧。
安全标准可以包括涉及MPLS报头中标签的标签值的标准。
安全标准可以包括在MPLS报头的顶端标签中的标签值大于15。
MPLS载荷可以通过使用单密钥加密方法进行安全保护。
可以使用单密钥加密方法对从源接收的通过网络传输的满足安全标准的更多的帧进行安全保护,使用与它们的源或目的地无关的相同密钥对更多的帧进行安全保护。
可以将安全MPLS帧的大小与网络的MTU大小进行核对,以及如果安全MPLS帧超过了网络的MTU大小,丢弃安全MPLS帧并且设置错误条件标记。
该方法可以进一步包括修改MPLS报头的ToS字段以创建用于和安全MPLS帧进行转发的经修改的MPLS报头。
在第二方面中,本发明提供一种用于对MPLS网络上的业务进行安全保护的安全设备,安全设备配置为从第一网络设备接收帧并将帧转发给第二网络设备,安全设备包括:输入/输出接口,用于接收和转发帧;存储器;安全引擎,用于根据安全标准分析所接收的帧,并且保护满足安全标准的帧的安全,安全标准包括帧为MPLS帧,其中如果所接收的帧满足安全标准:解析来自MPLS帧的MPLS报头和MPLS载荷;由安全引擎保护MPLS载荷的安全以创建安全MPLS载荷;组合MPLS报头和安全MPLS载荷以创建安全MPLS帧;以及将安全MPLS帧传递给输入/输出接口以转发给第二网络设备。
输入/输出接口可以包括用于接收帧的至少一个输入端口和用于转发帧的至少一个输出端口。
输入/输出接口可以包括专用控制端口。
安全标准可以进一步包括涉及MPLS报头中标签的标签值的标准。
安全标准可以进一步包括在MPLS报头中顶端标签的标签值大于15。
安全引擎可以使用单密钥加密方法保护MPLS载荷的安全。
在被转发到第二网络设备之前,可以将安全MPLS帧封装到包括以太网报头和以太网CRC的以太网帧中。
可以将以太网帧的大小与网络的MTU大小进行比较,如果以太网帧的大小超过MTU大小,丢弃以太网帧并设置错误条件标记。
如果帧满足安全标准,可以修改MPLS报头中的ToS字段以创建和安全MPLS帧进行转发的经修改的MPLS报头。
如果所接收的帧不满足作为MPLS帧的安全标准,则安全引擎不处理该帧。
如果所接收的帧满足作为MPLS帧的安全标准,并且MPLS报头中顶部标签的标签值小于或等于15,可以将所接收的帧作为控制面(control plane)帧进行处理。
在第三方面中,本发明提供一种用于对通过网络传输的标签交换帧进行安全保护的方法,标签交换帧包括标签交换帧报头和标签交换帧载荷,该方法包括:从源接收标签交换帧;确定标签交换帧是否满足安全标准;如果标签交换帧满足安全标准,则对标签交换帧载荷进行安全保护并且创建包括标签交换帧报头和安全标签交换帧载荷的安全标签交换帧;以及转发安全标签交换帧。
安全标准可以包括涉及标签交换帧报头中标签的标签值的标准。
标签交换帧载荷可以通过使用单密钥加密方法进行安全保护。
在第四方面中,本发明提供一种用于对标签交换网络上的业务进行安全保护的安全设备,安全设备配置为从第一网络设备接收帧并且将帧转发给第二网络设备,安全设备包括:输入/输出接口;存储器;安全引擎,用于根据安全标准分析所接收的帧,并且保护满足安全标准的帧的安全,安全标准包括帧为标签交换帧,其中如果所接收的帧满足安全标准:解析标签交换帧的标签交换帧报头和标签交换帧载荷;由安全引擎保护标签交换帧载荷的安全以创建安全标签交换帧载荷;组合标签交换帧报头和安全标签交换帧载荷以创建安全标签交换帧;以及将安全标签交换帧传递给输入/输出接口以转发给第二网络设备。
输入/输出接口可以包括用于接收帧的至少一个输入端口和用于转发帧的至少一个输出端口。
安全标准可以进一步包括涉及标签交换帧报头中标签的标签值的标准。
安全引擎可以使用单密钥加密方法来保护标签交换帧载荷的安全。
附图说明
本发明的实施方式现在将参照附图进行说明,其中:
图1提供了根据本发明的实施方式的包括安全设备的网络拓扑;
图2提供了根据本发明的实施方式的安全设备的功能性框图;
图3提供了示出在图1的网络中将分组从源传输到目的地的示意图;
图4提供了概括地描述图2中所示的安全设备所承担的步骤的流程图;
图5示出了分组从第一区域中的客户端点到另一区域中的客户端点的传输。
图6A提供了在由如图2所示的安全设备进行修改之前的数据帧的表示;
图6B提供了具有加密载荷的数据帧的表示;以及
图6C提供了具有解密载荷的数据帧的表示。
具体实施方式
本发明的描述涉及MPLS网络技术。从国际互联网工程任务组(IETF)能够获得有关MPLS网络的详细信息。特别是,IETF RFC 3031描述了标准化的MPLS体系结构,并在此将其引入作为参考。
此外,尽管可以知道本发明可以使用可替代的传输协议,本发明将关于用于传输MPLS帧的以太网的使用进行描述。
网络
图1提供了适于本发明使用的网络100的描述。网络100包括通过MPLS核心网络108互连的第一区域102、第二区域104和第三区域106。例如,区域102、104和106可以表示不同的地理位置(例如,悉尼、东京、纽约)并通过MPLS核心网络108互连。每个区域102-106可以包括多个不同的和分离的自有/受控网络,并且每个网络可以是不同的类型。
为了便于解释,每个区域102-106包括(在该实施例中)2个不同的用户存在-用户A和用户B,两个用户都使用MPLS网络。在图中仅示出了用户边缘(CE)路由器110、112、114(用于用户A)和116、118和120(用于用户B),然而可以理解的是每个CE路由器110-120与用户的局域网(LAN)相连接(用虚线箭头表示)。典型地,CE路由器可位于用户所在地,并提供用户的LAN和MPLS核心网络108之间的接口(例如,以太网)。
每个CE路由器(110-120)通过提供商边缘(PE)路由器122、124和126(分别用于区域102、104和106)与MPLS核心网络108连接。PE路由器由MPLS核心网络108的提供商控制并提供MPLS核心网络108的入口/出口。PE路由器典型地具有支持不同网络协议(例如,帧中继、ATM、以太网)的多个端口。
当通过CE路由器从用户接收帧时,PE路由器创建用于该帧的适当的MPLS报头,并将该MPLS报头添加到该帧中。从而,由用户发送的原始帧变为MPLS载荷。
MPLS报头包括具有一个或多个标签的标签栈,每个标签包括:20比特的标签值、3比特的服务类型(ToS)字段、1比特的指示标签是否在栈底部的标志、和8比特的存活时间(TTL字段)。MPLS报头中的标签允许对MPLS网络中的业务进行处理。
一旦PE路由器将MPLS报头添加到帧中,PE路由器将MPLS帧转发到MPLS网络上。重点地,下面将描述通过安全设备传送从PE路由器转发到MPLS网络的帧(以及从MPLS核心网络108传送到PE路由器的帧)。
PE路由器122-126还负责通过MPLS核心网络108建立标签交换路径(LSP)。通过网络的控制面实现LSP的建立。为了便于说明,网络的控制面用于指专用于网络自身的保持和其它管理功能的网络业务,而不是传送终端用户数据的业务。根据每个MPLS网络标准,可以通过使用标签分配协议(LDP)建立LSP,并且LSP可以是控制驱动(也就是,在数据传输之前建立)或者是数据驱动(也就是,在接收用于之前未映射目的地的数据时建立)。
在本实施方式中,每个PE路由器122-126通过安全设备128-132连接MPLS核心网络108。下面将详细描述安全交换机128-132的功能。
MPLS核心网络108自身包括多个提供商(P)路由器134、136和138。每个P路由器是转接路由器(transit router),其接收控制面消息以在MPLS核心网络108中建立所需要的LSP(例如,通过使用标签分配协议)和根据MPLS报头中的标签和所建立的LSP实现MPLS核心网络108中数据分组的交换。
当由P路由器134-138接收到标签分组时,P路由器读取栈中顶部标签的标签值,并在P路由器上存储的且有P路由器维护的标签信息库(LIB)中查找该值。对于每个标签值,LIB存储有关应将承载该标签的帧转发到哪里(也就是,下一跳)和是否在转发帧之前需要对标签栈进行任何修改(例如,将一个或多个新标签加入到栈中,用新的顶端标签代替顶端标签,或者使标签出栈)的信息。
通常,网络100能够分为可信区域和不可信区域。CE路由器110-112、CE路由器110-112之外的用户网络、PE路由器122-126、和安全设备128-132在用户或MPLS提供商或者用户的控制之中,并且从而被认为是可信的。另一方面,MPLS核心网络108的P路由器134-138不需要在MPLS提供商的用户的控制之中,并且从而被认为是不可信的。因此,每个PE路由器122-126提供从可信区域(PE路由器自身和相连的CE路由器)到不可信区域(MPLS核心网络108)的链路。
安全设备
现在将参照图2详细描述安全设备128-132的功能,图2示出了安全设备128的功能性框图。
转到图2,提供了一种根据本发明的实施方式的安全设备128的功能性框图。安全设备128包括数据处理设备202,其连接到存储器206、安全引擎208、和输入/输出接口204。
数据处理设备202可以是微处理器、微控制器、可编程逻辑设备或者其它合适的设备,或者多个这样的设备,其中每个设备执行数据处理设备202的部分功能。控制数据处理设备202的操作的指令和数据存储在存储器206中,其中存储器206与数据处理设备202进行数据通信,或者成为数据处理设备202的一部分。典型地,安全设备128可以包括易失性存储器和非易失性存储器以及多于每种类型的存储器的一个,这样的存储器统称为存储器206。存储器206还可以用于缓存从输入/输出接口204接收的输入帧/发送到输入/输出接口204的输出帧。
输入/输出(I/O)接口204允许与外部设备(例如,PE路由器、P路由器、和/或可以配置安全设备128的计算机)进行通信。在这种情况下,I/O接口204包括用于接收控制面的帧的控制端口210、用于接收输入帧的输入端口、和用于转发帧的输出端口。当然,各种配置的I/O接口都是可以的。
安全引擎208可以形成数据处理设备202的一部分或者可以成为如图所示的独立的数据处理设备。安全引擎208可以是微处理器、微控制器、可编程逻辑设备或者其它合适的设备。安全引擎208可以配有其自身专用的存储器,或可以使用存储器206。本实施方式中,安全引擎包括标准模块216和加密模块218。并且,标准模块216和加密模块218中的一个或者全部可以与安全引擎208(或者,实际上,数据处理设备202)结合,或者可以成为专用的处理设备。例如,标准模块216可以实现为硬件、固件、或者数据处理设备202中的软件。
按照图1中的每个图,将安全设备128安装在可信的PE路由器122和不可信的MPLS核心网络108之间(通过P路由器134)。所有的输出业务(也就是,从可信的PE路由器122传送到P路由器134的业务)和所有的输入业务(也就是,从不可信的P路由器134传递到可信的PE路由器122的业务)通过安全设备128。
当将帧从CE路由器110通过MPLS网络108传输到目的CE路由器112时,PE路由器122接收该帧,PE路由器122将MPLS报头添加到帧中以创建MPLS帧。于是,原始帧变为MPLS载荷。如果之前还没有建立到达所要求目的地的路径,PE路由器122也会采取请求建立路径的动作。
从而,PE路由器122将帧转发给安全设备128。安全设备128在输入端口212处接收帧,并且数据处理设备202控制该帧到安全引擎208的传递。安全引擎208的标准模块216检测帧,以确定帧是否满足预定的安全标准。如下面进一步介绍的,对于不满足预定安全标准的任何帧,安全设备实质上是透明的。
如果帧满足预定的安全标准(标准的部分是帧为MPLS帧),安全引擎208解析MPLS帧以将其分为MPLS报头和MPLS载荷。将经解析的报头存储在存储器206中。随后,将MPLS载荷发送到对MPLS载荷进行安全保护的加密引擎218。随后,安全引擎208重新组合MPLS报头和(现在是安全的)MPLS载荷,并将由此产生的帧传递给MPLS核心网络108。如果标准模块216实现为数据处理设备202的一部分,则还可由数据处理设备202来执行解析。
目的地的安全设备130对所有帧执行相似的检测。如果帧满足加密标准,安全设备130假设MPLS帧的载荷已经被加密。如同输出的帧,安全设备130于是将MPLS报头和MPLS载荷相分离,将MPLS载荷传递给加密引擎以进行解密,重新组合MPLS帧并且将帧传递给PE路由器124。
如果帧不满足按标准,安全设备128确定该帧是不需要加密/解密的帧,并且在不对MPLS报头和MPLS载荷进行分离以及对载荷进行加密/解密的情况下对帧进行交换。
例如,下面描述的安全标准是这样的,以致于非MPLS帧和涉及控制面业务的MPLS帧将不满足安全标准,并且因此安全设备不进行进一步处理就进行交换。通过在不进行不适当处理的情况下交换这些帧,将对安全设备(以及整个网络)的性能的任何影响保持为最小。
不考虑MPLS载荷是否被加密/解密,在将帧传递至下一跳(也就是说,P路由器或者PE路由器)之前,安全设备交换以太网帧的源地址和目的地址并且重新计算用于以太网帧的校验和数据。这在PE路由器和P路由器之间提供了无缝集成。如果需要,安全设备也可以减小帧的存活时间(TTL)字段,并且如果TTL为0,则丢弃该帧。
图3提供了安全设备128从PE路由器122接收的网络业务的表示。如图所示,对于输入帧302,仅仅那些标签值大于15(业务流306)的MPLS类型的帧(业务流304)被安全设备128的加密引擎218处理。标签值小于或等于15的MPLS帧(业务流310)和非MPLS帧(业务流312)均绕过加密引擎218。
一些非MPLS帧可能涉及控制面业务并且被安全设备128所截取(业务流314)。这些帧可以或者被安全设备128处理并且然后丢弃,或者在处理后被转发到另一目的地。
安全标准
如上所述,在安全设备中使用的安全标准确定安全设备将加密哪个帧的载荷,以及哪个帧在不进行载荷加密的情况下进行交换。当然,这些标准可以按照需要进行设置,然而,适当的标准(在本实施方式中)为
·帧为MPLS以太网帧(也就是,帧的以太网类型是0x8847或0x8848);以及
·MPLS报头中的顶端标签的标签值大于15(注意,根据IETF共识,标签值0-3已经分配,标签值4-15当前预留给IANA进行分配)。
通过按这种方式设置安全标准,安全设备对所有的非MPLS帧和处理网络管理和维护的所有MPLS帧(也就是,控制面的帧)是完全透明的。对于不满足安全标准的任何帧,安全设备实质上充当可信端口和不可信端口之间的第2层以太网交换机。
如上所述,如果帧满足安全标准,将MPLS帧(也就是,由用户发送的原始帧)的MPLS载荷发送给加密模块218以进行安全保护。如果帧从PE路由器输出到MPLS网络,加密模块218对MPLS载荷进行加密。如果MPLS载荷从MPLS网络输入到PE路由器,对MPLS载荷进行解密。
虽然任何形式的加密可以用于对载荷进行加密/解密(具体类型取决于所要求的安全级别),诸如三重DES(TDES)的单密钥加密可适于多种应用。使用单密钥加密方法具有这样的优势:由于仅需要将单一通用密钥提供给网络上的所有安全设备,从而减小了网络开销。
一旦MPLS载荷已经加密/解密,安全设备128检测经修改的MPLS载荷以确保其大小不会导致超过网络的最大传输单元(MTU)。如果经修改的MPLS载荷会导致超过MTU,丢弃该帧并通过控制面标记错误。
对于安全设备从可信的PE路由器接收的帧(也就是,通过安全设备传送到MPLS核心网络108上的帧),安全设备处理帧的算法可以用下面的伪代码来说明:
对于安全设备从P路由器接收的帧(也就是,通过MPLS核心网络108上的P路由器的安全设备接收的帧),安全设备处理帧的算法可以用下面的伪代码来说明:
图4提供了概括地描述由安全设备128执行的步骤400的流程图。
在步骤402中,安全设备128接收帧,以及在步骤404和步骤406中安全设备128的标准模块216对帧进行分析以确定其是否满足安全标准。
如果帧满足安全标准(也就是,通过在步骤404中检测是MPLS帧并且在步骤406中检测标签值大于15),安全设备128将MPLS报头和MPLS载荷分离(步骤408)。
在步骤410中,将MPLS载荷发送给加密模块218以进行处理。如果已经从P路由器接收到帧,加密模块218的处理会导致MPLS载荷内容的解密,并且如果安全设备128从PE路由器接收到帧,加密模块218的处理会导致MPLS载荷的加密(将通过接收帧的端口确定帧的源)。
在步骤412中,如果需要,安全设备128承担MPLS报头的进一步处理。例如,这可以包括更新MPLS TTL字段(并且如果TTL字段等于0,则丢弃帧/设置错误条件的标记以通知控制面),并且如果有需要则修改ToS字段。
在步骤414中,安全设备128重新组合MPLS帧(利用更新的MPLS报头和由安全引擎处理的MPLS载荷)。
在步骤416中,利用更新的以太网字段(源、目的、CRC)将MPLS帧写入新的以太网帧中,并且在步骤418中,将帧的大小和网络的MTU大小进行比较。如果帧超过了网络的MTU大小,将帧丢弃并且为控制面标记错误(步骤420)。如果帧处于网络的MTU大小之中,安全设备128在(步骤422)转发帧。
在步骤406,如果确定帧是标签值小于或等于15的MPLS帧,将帧标记为控制帧(步骤424)以由安全设备128进行适当的处理。
在步骤404中,如果帧不满足安全标准,处理立刻进入步骤416。
安全设备之间的密钥分配
通过使用已存在的由IP安全协议(IPSec)定义的基于IP的独立密钥交换方法能够实现安全设备128-132之间的密钥分配。
为了提供密钥交换(并且,如果需要,其它的控制面功能/业务),本实施方式的安全设备配置有安全控制端口210。或者,安全设备可以配置为利用定义的TCP/IP端口截取特定的IP帧以实现密钥交换(以及其它的控制面功能/业务)。作为另一种替换,可以将所预留的MPLS标签值(也就是,标签4-16中的一个)分配给密钥交换(或者,此外,其它控制面业务)并在此基础上由安全设备进行截取。
对ToS字段的修改
安全设备也可以配置为修改MPLS报头中的ToS字段。这在安全设备由第三方设备拥有/操作时是合适的,并且其中第三方设备希望增强与PE路由器的拥有者/控制者所指定(以及写入到MPLS报头中)不同的特定服务质量。
***
具有适当的硬件以配置为如上所述的安全设备的一个设备是泰勒斯数据保密机(Thales Datacryptor)。
网络业务的实例
参照图5和图6,将详细描述把分组从区域102中的用户A的端点502传输给区域104中的用户A的端点504。加上必要的变更,本说明可以同样应用于将业务通过MPLS网络从一个区域中的任意端点传送到另一区域中的端点。
作为概述,并且如图3所示,在该示例中分组从端点502传送到CE路由器110、PE路由器122、安全交换机128,通过MPLS核心网络108传送到安全交换机130、PE路由器124、CE路由器112、端点504。MPLS核心网络108中的业务路径将取决于所建立的LSP,但是为了便于解释,路径从P路由器134到P路由器136。
满足预定安全标准的帧
图6A-图6C提供了在从端点502至端点504的传输中的各点处对分组的详细描述。
端点502产生封装在以太网帧中的IP帧,并将其发送给CE路由器110。CE路由器110然后将帧发送给PE路由器122。
图6A描述了以当离开PE路由器122时的以太网帧500。可以看到,以太网帧包括:以太网报头602、MPLS报头604(通过PE路由器122添加到以太网帧中)、载荷606(也就是,由端点502传送的与IP分组有关的数据)、和循环冗余校验码(CRC)字段608。
将帧600从PE路由器1222传送给安全设备128。
图6B描述了由安全设备128接收并处理后的帧。在这种情况下,假设帧已经满足预定的安全标准(也就是,帧是MPLS帧并且MPLS报头的标签栈中的顶端标签的标签值大于15)。
当帧满足安全标准时,安全设备128将帧600的载荷604发送给加密模块218,其中对载荷进行加密以创建安全载荷606’。安全设备128也修改以太网报头602(从而按要求改变以太网源地址和目的地址),并重新计算CRC 608以创建与对帧所作的变化相对应的新的CRC。随后,帧重新组合并转发给MPLS核心网络108中的不可信的P路由器134。
如上所述,如果进行这样的配置,安全设备128还可以修改MPLS报头中的ToS字段。
然后,帧600根据MPLS报头604中的数据穿过MPLS核心网络108并(最终)被传送到安全设备130。
当安全设备130接收到帧600时,其使用预定的安全标准对帧600进行检测。当通过该检测时,安全设备130将帧606’的载荷发送给加密模块218,其中将其解密为原始的载荷606。安全设备130再次对以太网报头602进行修正以按要求改变源地址和目的地地址,并重新计算CRC 606。然后,对帧600进行重新组合,对其进行检测以确保其没有超过网络MTU,并将其转发给可信的PE路由器124。
可信的PE路由器124去除MPLS报头604,并且将帧600转发给CE路由器112以作为每个普通的以太网帧传输(为了确定转发帧600的合适地址,PE路由器能够访问解密的载荷606)。
可以理解的是,在帧600由不可信的路由器/交换机(也就是,在PE路由器122和PE路由器124之间)处理的全部时间中,帧600的全部载荷被加密。从而,第三方通过截获帧所能得到的唯一信息是以太网报头602、MPLS报头604、和以太网CRC 608中呈现的信息-也就是,足可以确定帧的源为PE路由器122和帧的目的地为PE路由器124的信息。涉及PE路由器122和124之外的网络拓扑的所有信息保持在由端点502创建的原始IP分组中,其在安全载荷中进行加密,从而对第三方是不可访问的。
此外,由于不对MPLS报头604进行加密,每个P路由器能够容易地访问MPLS报头信息以按要求传送分组(也就是,为了确定任意给定帧所要求的动作,P路由器不需要承担任何解密/加密),从而提供有效的帧转发。例如,这与物理链路加密形成了对比,物理链路加密要求网络中的每个链路解密并在传送前重新对每个帧进行加密。
虽然在上面描述的本发明的实施方式中,将安全设备128-132表示和描述为不同的硬件元件,当然,可以将安全设备128-132的功能结合到已有的设备中。例如,可以将安全设备128-132和PE路由器122-126设置为三个复合设备(也就是,PE路由器122与安全交换机128耦合成单一的设备,PE路由器124与安全交换机130耦合成单一的设备,以及PE路由器126与安全交换机132耦合成单一的设备)。
可以理解的是,在该说明书中公开和限定的本发明延伸到文本或附图涉及的或者对文本或附图来说是明显的两个或者多个单独特征的所有可替换的组合。所有这些不同的组合构成本发明各种可替换的方面。
Claims (25)
1.一种用于保护通过网络传输的MPLS帧的安全的方法,MPLS帧包括MPLS报头和MPLS载荷,该方法包括以下步骤:
从源接收MPLS帧;
确定MPLS帧是否满足安全标准;
如果MPLS帧满足安全标准,则对MPLS载荷进行安全保护并创建包括MPLS报头和安全MPLS载荷的安全MPLS帧;以及
转发安全MPLS帧。
2.根据权利要求1所述的方法,其中安全标准包括与MPLS报头中标签的标签值有关的标准。
3.根据权利要求1或2所述的方法,其中安全标准包括MPLS报头的顶端标签中的标签值大于15。
4.根据前述任意一项权利要求所述的方法,其中MPLS载荷通过使用单密钥加密方法进行安全保护。
5.根据前述任意一项权利要求所述的方法,其中使用单密钥加密方法对从源接收的通过网络传输的满足安全标准的更多的帧进行安全保护,使用与它们的源或目的地无关的相同密钥对更多的帧进行安全保护。
6.根据前述任意一项权利要求所述的方法,其中将安全MPLS帧的大小与网络的MTU大小进行核对,以及如果安全MPLS帧超过了网络的MTU大小,则丢弃安全MPLS帧并且标记错误条件。
7.根据前述任意一项权利要求所述的方法,进一步包括修改MPLS报头的ToS字段以创建用于和安全MPLS帧一起进行转发的经修改的MPLS报头。
8.一种用于保护MPLS网络上业务安全的安全设备,安全设备配置为从第一网络设备接收帧并将帧转发给第二网络设备,安全设备包括:
输入/输出接口,用于接收和转发帧;
存储器;
安全引擎,用于根据安全标准分析所接收的帧,并且对满足安全标准的帧进行安全保护,安全标准包括帧为MPLS帧,其中
如果所接收的帧满足安全标准:
解析来自MPLS帧的MPLS报头和MPLS载荷;
由安全引擎保护MPLS载荷的安全以创建安全MPLS载荷;
组合MPLS报头和安全MPLS载荷以创建安全MPLS帧;以及
将安全MPLS帧传递给输入/输出接口以转发给第二网络设备。
9.根据权利要求8所述的安全设备,其中输入/输出接口包括:用于接收帧的至少一个输入端口和用于转发帧的至少一个输出端口。
10.根据权利要求8或9所述的安全设备,其中输入/输出接口包括专用控制端口。
11.根据权利要求8-10中任意一项所述的安全设备,其中安全标准进一步包括与MPLS报头中标签的标签值有关的标准。
12.根据权利要求8-11中任意一项所述的安全设备,其中安全标准进一步包括MPLS报头中顶端标签的标签值大于15。
13.根据权利要求9-12中任意一项所述的安全设备,其中安全引擎使用单密钥加密方法保护MPLS载荷的安全。
14.根据权利要求9-13中任意一项所述的安全设备,其中在将安全MPLS帧转发到第二网络设备之前,将安全MPLS帧封装到包括以太网报头和以太网CRC的以太网帧中。
15.根据权利要求14所述的安全设备,其中将以太网帧的大小与网络的MTU大小进行比较,以及如果以太网帧的大小超过MTU大小,则丢弃以太网帧并标记错误条件。
16.根据权利要求9-15中任意一项所述的安全设备,其中如果帧满足安全标准,则修改MPLS报头中的ToS字段以创建和安全MPLS帧一起转发的经修改的MPLS报头。
17.根据权利要求9-16中任意一项所述的安全设备,其中如果所接收的帧不满足是MPLS帧的安全标准,则安全引擎不处理该帧。
18.根据权利要求9-16中任意一项所述的安全设备,其中如果所接收的帧满足是MPLS帧的安全标准,并且MPLS报头中顶端标签的标签值小于或等于15,将所接收的帧作为控制面帧进行处理。
19.一种用于保护通过网络传输的标签交换帧的安全的方法,标签交换帧包括标签交换帧报头和标签交换帧载荷,该方法包括以下步骤:
从源接收标签交换帧;
确定标签交换帧是否满足安全标准;
如果标签交换帧满足安全标准,则对标签交换帧载荷进行安全保护并且创建包括标签交换帧报头和安全标签交换帧载荷的安全标签交换帧;以及
转发安全标签交换帧。
20.根据权利要求19所述的方法,其中安全标准包括与标签交换帧报头中标签的标签值有关的标准。
21.根据权利要求19或20所述的方法,其中标签交换帧载荷通过使用单密钥加密方法进行安全保护。
22.一种用于保护标签交换网络上业务安全的安全设备,安全设备配置为从第一网络设备接收帧并将帧转发给第二网络设备,安全设备包括:
输入/输出接口;
存储器;
安全引擎,用于根据安全标准分析所接收的帧,并且保护满足安全标准的帧的安全,安全标准包括帧为标签交换帧,其中
如果所接收的帧满足安全标准:
解析标签交换帧的标签交换帧报头和标签交换帧载荷;
由安全引擎保护标签交换帧载荷的安全以创建安全标签交换帧载荷;
组合标签交换帧报头和安全标签交换帧载荷以创建安全标签交换帧;以及
将安全标签交换帧传递给输入/输出接口以转发给第二网络设备。
23.根据权利要求22所述的安全设备,其中输入/输出接口包括:用于接收帧的至少一个输入端口和用于转发帧的至少一个输出端口。
24.根据权利要求22或23所述的安全设备,其中安全标准进一步包括与标签交换帧报头中标签的标签值相关的标准。
25.根据权利要求22-24中任意一项所述的安全设备,其中安全引擎使用单密钥加密方法保护标签交换帧载荷的安全。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/AU2008/001550 WO2010045672A1 (en) | 2008-10-20 | 2008-10-20 | Network security method and apparatus |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102187614A true CN102187614A (zh) | 2011-09-14 |
Family
ID=42118841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880131631XA Pending CN102187614A (zh) | 2008-10-20 | 2008-10-20 | 网络安全方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP2338251B1 (zh) |
| JP (1) | JP5319777B2 (zh) |
| KR (1) | KR101584836B1 (zh) |
| CN (1) | CN102187614A (zh) |
| WO (1) | WO2010045672A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9769049B2 (en) * | 2012-07-27 | 2017-09-19 | Gigamon Inc. | Monitoring virtualized network |
| AU2018231407B2 (en) * | 2017-03-08 | 2023-02-16 | Hitachi Energy Ltd | Methods and devices for providing cyber security for time aware end-to-end packet flow networks |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000315997A (ja) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | 暗号通信方法及びノード装置 |
| JP2001007849A (ja) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mplsパケット処理方法及びmplsパケット処理装置 |
| JP2007192844A (ja) * | 2005-09-20 | 2007-08-02 | Chaosware Inc | 暗号化ラベルネットワーク |
| US8379638B2 (en) * | 2006-09-25 | 2013-02-19 | Certes Networks, Inc. | Security encapsulation of ethernet frames |
| US8332639B2 (en) * | 2006-12-11 | 2012-12-11 | Verizon Patent And Licensing Inc. | Data encryption over a plurality of MPLS networks |
-
2008
- 2008-10-20 KR KR1020117011405A patent/KR101584836B1/ko not_active IP Right Cessation
- 2008-10-20 CN CN200880131631XA patent/CN102187614A/zh active Pending
- 2008-10-20 EP EP08877477.3A patent/EP2338251B1/en not_active Not-in-force
- 2008-10-20 WO PCT/AU2008/001550 patent/WO2010045672A1/en active Application Filing
- 2008-10-20 JP JP2011531299A patent/JP5319777B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| EP2338251A4 (en) | 2013-02-20 |
| JP5319777B2 (ja) | 2013-10-16 |
| EP2338251A1 (en) | 2011-06-29 |
| KR101584836B1 (ko) | 2016-01-12 |
| JP2012506170A (ja) | 2012-03-08 |
| KR20110086093A (ko) | 2011-07-27 |
| EP2338251B1 (en) | 2019-02-20 |
| WO2010045672A1 (en) | 2010-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11374848B2 (en) | Explicit routing with network function encoding | |
| US10972391B2 (en) | Full-path validation in segment routing | |
| US8279864B2 (en) | Policy based quality of service and encryption over MPLS networks | |
| CN108702331B (zh) | Sr应用段与服务功能链(sfc)报头元数据的集成 | |
| CN1531284B (zh) | 网络基础结构的保护及控制信息的安全通信 | |
| US20140359275A1 (en) | Method And Apparatus Securing Traffic Over MPLS Networks | |
| US20110113236A1 (en) | Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism | |
| Li et al. | Improving SDN scalability with protocol-oblivious source routing: A system-level study | |
| US20090175194A1 (en) | Ip security within multi-topology routing | |
| EP3404867B1 (en) | Configurable service packet engine exploiting frames properties | |
| US7239634B1 (en) | Encryption mechanism in advanced packet switching system | |
| CN103259724A (zh) | 一种mpls vpn的实现方法、系统及客户边缘设备 | |
| US9912598B2 (en) | Techniques for decreasing multiprotocol label switching entropy label overhead | |
| CN101606142B (zh) | 在多个mpls网络上的数据加密 | |
| CN102187614A (zh) | 网络安全方法和装置 | |
| US7962741B1 (en) | Systems and methods for processing packets for encryption and decryption | |
| US7269639B1 (en) | Method and system to provide secure in-band management for a packet data network | |
| US8971330B2 (en) | Quality of service and encryption over a plurality of MPLS networks | |
| JP2001007849A (ja) | Mplsパケット処理方法及びmplsパケット処理装置 | |
| US20220150058A1 (en) | Forwarding device, key management server device, communication system, forwarding method, and computer program product | |
| US20230246959A1 (en) | Security for communication protocols | |
| US11882029B2 (en) | Securing multiprotocol label switching (MPLS) payloads |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110914 |