CN105635145B - Capwap dtls隧道的芯片级安全防护方法 - Google Patents
Capwap dtls隧道的芯片级安全防护方法 Download PDFInfo
- Publication number
- CN105635145B CN105635145B CN201511019394.6A CN201511019394A CN105635145B CN 105635145 B CN105635145 B CN 105635145B CN 201511019394 A CN201511019394 A CN 201511019394A CN 105635145 B CN105635145 B CN 105635145B
- Authority
- CN
- China
- Prior art keywords
- dtls
- capwap
- message
- chip
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/215—Flow control; Congestion control using token-bucket
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明揭示了一种CAPWAP DTLS隧道的芯片级安全防护方法,包括对CAPWAP明文报文的限速处理:查询CAPWAP条目表得到相应条目的业务ID属性,每个业务ID对应一令牌桶K和一令牌桶D,令牌桶D用于记录令牌桶K产生报文丢弃的数目,当令牌桶D的令牌数大于3时,芯片上报中断;及对CAPWAP DTLS密文的DTLS SeqID检查处理:将业务ID下当前解密报文的DTLS SeqID值B2与上一个解密报文的DTLS SeqID值B1相比较,根据比较结果丢弃或通过报文。本发明在交换路由芯片中实现CAPWAP DTLS报文的安全防护,使得AC设备可以基于硬件高速、高效地拦截恶意攻击报文,减轻设备被恶意攻击时CPU的负荷,此外还能有效遏制重放的密文流量进入网络。
Description
技术领域
本发明涉及一种CAPWAP DTLS隧道的防护技术,尤其是涉及一种CAPWAP DTLS隧道的芯片级安全防护方法。
背景技术
在“AC-瘦AP”无线架构下,无线控制器(AC)和无线接入点(AP)间通过CAPWAP(Control And Provisioning of Wireless Access Points Protocol Specification,无线接入点的控制和配置协议)协议进行通信。无线数据帧,原样或经过802.11到802.3格式的转换后被封入CAPWAP隧道中送往AC。而CAPWAP报文可使用DTLS加密。
CAPWAP DTLS隧道建立阶段,CAPWAP DTLS控制通道报文的交互是隧道安全的关键。由于AP一般安装在公共场所,若不进行防护,有可能导致AC被攻击,轻则影响单台AP的CAPWAP DTLS隧道建立和正常使用,重则影响到整个网络。
现有CAPWAP DTLS控制通道报文在芯片层面全部上CPU,由CPU使用软件方法进行安全性检查。但是,CPU往往会受到恶意攻击报文的冲击,影响设备整体性能。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种CAPWAP DTLS隧道的芯片级安全防护方法,在交换路由芯片中实现CAPWAP DTLS报文的安全防护,以使AC设备可以基于硬件高速、高效地拦截恶意攻击报文。
为实现上述目的,本发明提出如下技术方案:一种CAPWAP DTLS隧道的芯片级安全防护方法,包括:对CAPWAP明文报文的限速处理及对CAPWAP DTLS密文的DTLS序列号检查处理,其中,
所述对CAPWAP明文报文的限速处理过程包括:在芯片内设置CAPWAP条目表,根据报文中的查询字段查询CAPWAP条目表得到相应条目的业务ID属性,每个所述业务ID对应一令牌桶K和一令牌桶D,每有一个报文匹配所述业务ID时,所述令牌桶K的K值减去1,若当前K值为0,则丢弃报文,当每个所述业务ID对应的令牌桶K产生报文丢弃时,对应的所述令牌桶D的令牌数加1,当令牌桶D的令牌数大于阈值P时,芯片上报中断,其中P代表在连续P个计数周期内,均有丢包,且P大于等于0;
所述对CAPWAP DTLS密文的DTLS序列号检查处理过程包括:每个所述业务ID对应一个寄存器,将所述业务ID下当前解密报文的DTLS序列号值B2与上一个解密报文的DTLS序列号值B1相比较,根据比较结果丢弃或通过报文并更新所述寄存器的值为当前解密报文的DTLS序列号值B2。
优选地,查找所述CAPWAP条目表所用的查询字段为:报文的目的IP地址加源IP地址加四层特征信息L4Type,所述四层特征信息L4Type由芯片内的解析模块解析得到。
优选地,对于未查找到结果的报文,对应的业务ID属性值为0。
优选地,所述令牌桶K的桶深为N,芯片定期递增令牌桶K内的令牌数,若已到达最大值N,则保持最大值,其中N为不小于1的整数。
优选地,所述令牌桶D的桶深为M,且所述令牌桶D对应一个计数器,芯片定期清空令牌桶D,清空时,若令牌数不为0,则计数器值加1;清空时若令牌数为0,计数器值归0,其中M为不小于1的整数。
优选地,所述CAPWAP明文报文包括:DTLS发现请求报文、DTLS握手报文、DTLS修改密码参数报文,所述CAPWAP DTLS密文包括:DTLS应用报文。
优选地,若DTLS序列号值B2≤DTLS序列号值B1,则丢弃报文,若DTLS序列号值B2-DTLS序列号值B1>W,则丢弃报文,其中W为允许的滑动窗大小,W≥1,若DTLS序列号值B2-DTLS序列号值B1≤W,则通过报文并更新寄存器的值为B2,W≥1,所述滑动窗大小W可配置在业务ID的属性中。
本发明的有益效果是:本发明在交换路由芯片中实现CAPWAP DTLS报文的安全防护,使得AC设备可以基于硬件高速、高效地拦截恶意攻击报文,减轻设备被恶意攻击时CPU的负荷,此外还能有效遏制重放的密文流量进入网络。
附图说明
图1是本发明CAPWAP DTLS隧道的芯片级安全防护方法的原理示意图;
图2是本发明对CAPWAP明文报文的限速处理的原理示意图;
图3是本发明对CAPWAP DTLS密文的DTLS SeqID检查处理的原理示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
AP和AC间的隧道协议RFC5415协议规定了CAPWAP有两个通道:控制通道(UDP端口号=5246)和数据通道(UDP端口号=5247),两个通道可以独立建立DTLS加密连接。
在控制通道上,AC可能收到的CAPWAP明文报文有:
A1:Discovery Request报文(DTLS发现请求报文)
A2:DTLS Handshake报文(DTLS握手报文)
A3:DTLS Change Cipher Spec报文(DTLS修改密码参数报文)
在控制通道上,AC可能收到的CAPWAP加密报文有:
A4:DTLS Application报文(DTLS应用报文)
在数据通道上,AC可能收到的CAPWAP明文报文有:
B1:DTLS Handshake报文
B2:DTLS Change Cipher Spec报文
在数据通道上,AC可能收到的CAPWAP加密报文有:
B3:DTLS Application报文
通常来说,部署完AP后,AC的端口和AP的IP及MAC关系已经确定,AC的端口上会启用绑定检查。
MACSA1+IPSA1→通过
MACSA2+IPSA2→通过
……
MACSAn+IPSAn→通过
其余流量无法进入AC的端口,目前交换芯片普遍支持该功能,这里不再详述。
故而本发明只需特别防护两种攻击类别:1、采用冒充MAC地址和IP地址方式的恶意通信;2、报文重放攻击。
本发明所揭示的一种CAPWAP DTLS隧道的芯片级安全防护方法,主要针对上述两种攻击类别,在交换路由芯片中实现CAPWAP DTLS隧道的安全防护,使得AC设备可以基于硬件高速高效地拦截恶意攻击报文,减轻设备被恶意攻击时对CPU造成的负荷,此外还能有效遏制重放的密文流量进入网络。
如图1所示,本发明所揭示的一种CAPWAP DTLS隧道的芯片级安全防护方法,主要包括对CAPWAP明文报文的限速处理及对CAPWAP DTLS密文的DTLS序列号(SeqID)检查处理。
CAPWAP启用DTLS加密后,网络完成部署后,正常情况下,CAPWAP明文报文数量极少。具体地,如图2所示,对CAPWAP明文报文的限速处理过程包括:在芯片内设置CAPWAP条目表,芯片接收到CAPWAP明文报文后,根据报文中的查询字段查询CAPWAP条目表得到相应条目的业务ID属性。对于未查找到结果的报文,设置其对应的业务ID为默认值0。
查找CAPWAP条目表所用的查询字段为:报文的目的IP地址(IPDA)+源IP地址(IPSA)+L4Type(即CAPWAP),L4Type=CAPWAP由芯片内的解析模块解析得到。这里的L4Type是四层特征信息,按照CAPWAP协议,当UDP PORT=5246或5247时,认为是CAPWAP报文,即四层特征值为CAPWAP,也就是L4Type=CAPWAP。
本发明配置每个业务ID对应一个令牌桶K,其桶深为N,即令牌桶K内的令牌数取值范围为[0,N],芯片定期递增桶K内的令牌数,若已到达最大值N,则保持最大值。每有一个报文匹配该业务ID,K的值便减去1。若当前K值为0,则丢弃当前报文。
本发明还配置每个业务ID对应一个令牌桶D,其桶深为M,即令牌桶D内的令牌数取值范围为[0,M],令牌桶D对应一个计数器C。芯片定期清空令牌桶D,清空时若令牌数不为0,则计数器C值加1;清空时若令牌数为0,则计数器C值归0。
对应的,当每个业务ID对应的桶K产生报文丢弃时,令牌桶D内的令牌数便对应加1。本实施例中,当令牌桶D的令牌数大于3时,芯片便上报中断。即在连续3个计数周期内,均有丢包,这里的丢包阈值不限于这里的3,可为大于等于0的任意自然数。
这样,通过以上技术方案,可以遏制明文报文[A1/A2/A3/B1/B2]的大流量重放攻击。
如图3所示,对CAPWAP DTLS密文的DTLS SeqID检查处理过程包括:
每个业务ID对应一个寄存器A,在寄存器A中保存该业务ID下上一个成功解密的DTLS报文的DTLS SeqID值。假定当前成功解密报文的DTLS SeqID值为B2,寄存器A中保存的值为B1,那么,将DTLS SeqID值B1与DTLS SeqID值B2相比较:
若B2<=B1,则丢弃该报文;
若B2-B1>W,同样丢弃该报文。其中滑动W窗为允许的连续丢包个数,如果丢包严重,DTLS连接会断开并尝试重新建立连接,W可配置在业务ID的属性中,且W>=1。
若B2-B1<=W,则正常通过报文并更新寄存器A的值为B2。
这样,通过以上技术方案,可以遏制加密报文[A4/B3]的大流量重放攻击。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (10)
1.一种CAPWAP DTLS隧道的芯片级安全防护方法,其特征在于,包括:对CAPWAP明文报文的限速处理及对CAPWAP DTLS密文的DTLS序列号检查处理,其中,
对CAPWAP明文报文的限速处理过程包括:在芯片内设置CAPWAP条目表,根据报文中的查询字段查询CAPWAP条目表得到相应条目的业务ID属性,每个所述业务ID对应一令牌桶K和一令牌桶D,每有一个报文匹配所述业务ID时,所述令牌桶K的K值减去1,若当前K值为0,则丢弃报文,当每个所述业务ID对应的令牌桶K产生报文丢弃时,对应的所述令牌桶D的令牌数加1,当令牌桶D的令牌数大于阈值P时,芯片上报中断,其中P代表在连续P个计数周期内,均有丢包,且P大于等于0;
对CAPWAP DTLS密文的DTLS序列号检查处理过程包括:每个所述业务ID对应一个寄存器,将所述业务ID下当前解密报文的DTLS序列号值B2与上一个解密报文的DTLS序列号值B1相比较,根据比较结果丢弃或通过报文并更新所述寄存器的值为当前解密报文的DTLS序列号值B2。
2.根据权利要求1所述的CAPWAP DTLS隧道的芯片级安全防护方法,其特征在于,查找所述CAPWAP条目表所用的查询字段为:报文的目的IP地址加源IP地址加四层特征信息L4Type,所述四层特征信息L4Type由芯片内的解析模块解析得到。
3.根据权利要求1所述的CAPWAP DTLS隧道的芯片级安全防护方法,其特征在于,对于未查找到结果的报文,对应的业务ID属性值为0。
4.根据权利要求1所述的CAPWAP DTLS隧道的芯片级安全防护方法,其特征在于,所述令牌桶K的桶深为N,芯片定期递增令牌桶K内的令牌数,若已到达最大值N,则保持最大值,其中N为不小于1的整数。
5.根据权利要求1所述的CAPWAP DTLS隧道的芯片级安全防护方法,其特征在于,所述令牌桶D的桶深为M,且所述令牌桶D对应一个计数器,芯片定期清空令牌桶D,清空时,若令牌数不为0,则计数器值加1;清空时若令牌数为0,计数器值归0,其中M为不小于1的整数。
6.根据权利要求1所述的CAPWAP DTLS隧道的芯片级安全防护方法,其特征在于,所述CAPWAP明文报文包括:DTLS发现请求报文、DTLS握手报文、DTLS修改密码参数报文,所述CAPWAP DTLS密文包括:DTLS应用报文。
7.根据权利要求1所述的CAPWAP DTLS隧道的芯片级安全防护方法,其特征在于,若DTLS序列号值B2≦DTLS序列号值B1,则丢弃报文。
8.根据权利要求1所述的CAPWAP DTLS隧道的芯片级安全防护方法,其特征在于,若DTLS序列号值B2-DTLS序列号值B1﹥W,则丢弃报文,其中W为滑动窗大小,W≧1。
9.根据权利要求1所述的CAPWAP DTLS隧道的芯片级安全防护方法,其特征在于,若DTLS序列号值B2-DTLS序列号值B1≦W,则通过报文并更新寄存器的值为B2,其中W为滑动窗大小,W≧1。
10.根据权利要求8或9所述的CAPWAP DTLS隧道的芯片级安全防护方法,其特征在于,所述滑动窗大小W配置在业务ID的属性中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511019394.6A CN105635145B (zh) | 2015-12-31 | 2015-12-31 | Capwap dtls隧道的芯片级安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511019394.6A CN105635145B (zh) | 2015-12-31 | 2015-12-31 | Capwap dtls隧道的芯片级安全防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105635145A CN105635145A (zh) | 2016-06-01 |
CN105635145B true CN105635145B (zh) | 2019-01-04 |
Family
ID=56049635
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201511019394.6A Active CN105635145B (zh) | 2015-12-31 | 2015-12-31 | Capwap dtls隧道的芯片级安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105635145B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106790200B (zh) * | 2016-12-30 | 2020-04-14 | 盛科网络(苏州)有限公司 | Capwap控制通道dtls加解密的芯片协处理方法 |
CN111400210B (zh) * | 2020-03-10 | 2022-05-06 | 苏州盛科通信股份有限公司 | 一种集中式MACsec包处理芯片的中断处理方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1787483A (zh) * | 2004-12-10 | 2006-06-14 | 华为技术有限公司 | 一种流量控制方法 |
CN102984081A (zh) * | 2012-10-30 | 2013-03-20 | 盛科网络(苏州)有限公司 | 网络设备中报文处理方法及系统 |
CN104980367A (zh) * | 2014-04-03 | 2015-10-14 | 深圳市中兴微电子技术有限公司 | 一种令牌桶限速方法和装置 |
CN105141625A (zh) * | 2015-09-18 | 2015-12-09 | 郑州信大捷安信息技术股份有限公司 | 基于密码隔离方式的安全移动智能终端及其实现的方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7184404B2 (en) * | 2002-10-15 | 2007-02-27 | Broadcom Corporation | Programmable inter-packet gap generator with byte granularity |
-
2015
- 2015-12-31 CN CN201511019394.6A patent/CN105635145B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1787483A (zh) * | 2004-12-10 | 2006-06-14 | 华为技术有限公司 | 一种流量控制方法 |
CN102984081A (zh) * | 2012-10-30 | 2013-03-20 | 盛科网络(苏州)有限公司 | 网络设备中报文处理方法及系统 |
CN104980367A (zh) * | 2014-04-03 | 2015-10-14 | 深圳市中兴微电子技术有限公司 | 一种令牌桶限速方法和装置 |
CN105141625A (zh) * | 2015-09-18 | 2015-12-09 | 郑州信大捷安信息技术股份有限公司 | 基于密码隔离方式的安全移动智能终端及其实现的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105635145A (zh) | 2016-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100952350B1 (ko) | 지능망 인터페이스 컨트롤러 | |
EP2260628B1 (en) | Facilitating defense against mac table overflow attacks | |
US11863570B2 (en) | Blockchain-based network security system and processing method | |
KR20180030593A (ko) | 네트워크 공격 방지 방법, 장치 및 시스템 | |
WO2007134023A2 (en) | Portable firewall | |
US7254713B2 (en) | DOS attack mitigation using upstream router suggested remedies | |
CN111800436B (zh) | IPSec隔离网卡设备及安全通信方法 | |
CN113873512B (zh) | 一种物联网边缘网关安全架构系统 | |
US11438344B1 (en) | Systems and methods for switch-based network security | |
US10841840B2 (en) | Processing packets in a computer system | |
CN102546661A (zh) | 一种防止IPv6网关邻居欺骗攻击的方法及系统 | |
CN104333549A (zh) | 一种用于分布式防火墙系统的数据包过滤方法 | |
Raza et al. | vepc-sec: Securing lte network functions virtualization on public cloud | |
CN105635145B (zh) | Capwap dtls隧道的芯片级安全防护方法 | |
US20110145572A1 (en) | Apparatus and method for protecting packet-switched networks from unauthorized traffic | |
Alicherry et al. | Diploma: Distributed policy enforcement architecture for manets | |
US11503471B2 (en) | Mitigation of DDoS attacks on mobile networks using DDoS detection engine deployed in relation to an evolve node B | |
US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
Ibhaze et al. | A review on smart grid network security issues over 6LoWPAN | |
CN113014530B (zh) | Arp欺骗攻击防范方法及系统 | |
Duy et al. | Mitigating flow table overloading attack with controller-based flow filtering strategy in sdn | |
US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof | |
Suliaman et al. | Survey on Vulnerability of 4G/LTE Network Security and Improvements | |
KR101591306B1 (ko) | 가상의 mac 주소를 이용한 통신 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 215100 unit 13 / 16, 4th floor, building B, No. 5, Xinghan street, Suzhou Industrial Park, Jiangsu Province Patentee after: Suzhou Shengke Communication Co.,Ltd. Address before: 215021 unit 13 / 16, floor 4, building B, No. 5, Xinghan street, industrial park, Suzhou, Jiangsu Province Patentee before: CENTEC NETWORKS (SU ZHOU) Co.,Ltd. |