CN106797378B - 用于控制通信网络的装置和方法 - Google Patents
用于控制通信网络的装置和方法 Download PDFInfo
- Publication number
- CN106797378B CN106797378B CN201580048210.0A CN201580048210A CN106797378B CN 106797378 B CN106797378 B CN 106797378B CN 201580048210 A CN201580048210 A CN 201580048210A CN 106797378 B CN106797378 B CN 106797378B
- Authority
- CN
- China
- Prior art keywords
- communication network
- control unit
- data
- communication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及用于控制通信网络(100)的装置(10),所述通信网络(100)包括用于数据通信的多个终端(21‑28)。该装置(10)包括被配置为将数据通信的数据面(L1)和控制面(L2)解耦以及在通信会话期间使用解耦的控制面(L2)修改从通信网络(100)的外部(200)可见的通信网络(100)的至少一个特性的控制单元(11)。
Description
技术领域
本发明涉及一种用于控制具有用于数据通信的多个终端的通信网络的装置。本发明还涉及一种具有这种装置的路由器、具有这种装置的交换机、具有这种装置的防火墙和具有这种装置的通信网络。此外,本发明涉及用于控制通信网络的方法和计算机程序产品。
背景技术
本发明的技术背景涉及诸如公司、学校、公共机构和其它组织的通信网络等的通信网络的安全性(IT安全性)。
公司等的通信网络越来越成为攻击者的目标,特别是为了对其进行监视。与通信网络有关的威胁场景越来越专业化、通常被长期布置、并且采用高度专业的伪装技术。通常,攻击者在攻击通信网络时专门查看公司的安全策略等中的弱点。
诸如防火墙、IPS和防病毒解决方案以及web网关的已知安全解决方案被配置为通过采用签名依赖安全措施来检测已知的攻击模式。然而,新一代攻击不限于已知的攻击模式,而是动态的。例如,对目标持续进行多个攻击向量和阶段,这极大地增大了对公司网络的潜在威胁。
这里,已知的静态网络配置具有容易成为攻击者(诸如未授权实体等)进行监视和攻击的目标的缺点。
发明内容
鉴于此,本发明的目的是提供一种更安全的通信网络。
根据第一方面,提出一种用于控制包括用于数据通信的多个终端的通信网络的装置。该装置包括控制单元,其被配置为对数据通信的数据面和控制面进行解耦,以及在通信会话期间使用解耦的控制面来修改从通信网络的外部可见的通信网络的至少一个特性。
由于控制单元在每个单个通信会话期间修改(更具体地动态地修改)从通信网络的外部可见的通信网络的至少一个特性,因此外部观察者或攻击者实际上不可能监视通信网络,因为通信网络的配置和出现对于外部观察者而言不可确定且不可预测。另外或替代地,还可以修改通信网络的可见数据模式。这增强了通信网络的安全性。
可以通过控制单元修改的通信网络的至少一个特性的示例是通信网络的终端的虚拟地址的改变、通信网络的配置的改变、通信网络的路由行为的改变、以及应用和/或其端口映射的改变。
通信会话或会话理解为通信网络的终端之一与通信网络的外部或通信网络内部的装置之间的通信。通信会话还可以基于诸如HTTP(超文本传输协议)等的无状态协议。
可以通过硬件和/或软件实现控制单元。在硬件实现的情况下,控制单元可以实现为装置或装置的一部分,例如实现为计算机、微处理器、路由器或交换机。在软件实现的情况下,控制单元可以实现为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。
可用于实现控制单元的工具是开源SDN控制器OpenMUL(参见参考文献[1])。OpenMUL控制器提供了用C实现的基于SDN/OpenFlow的控制平台。这里,控制单元优选配置为利用OpenFlow(参见参考文献[2])以及移动目标-防御(MTD,参见参考文献[3])。通过使用MTD,控制单元配置为动态地修改通信网络。OpenFlow是一种通信协议,其提供对处理传入的网络分组的交换机或路由器(所谓的转发面)的硬件组件的访问。
装置本身可以通过硬件和/或软件来实现。在硬件实现的情况下,装置可以实现为计算机、路由器的一部分、交换机的一部分或防火墙的一部分。在软件实现的情况下,装置可以实现为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。
通信网络也可以称为网络或计算机网络,并且例如是LAN(局域网)或WAN(广域网)。
例如,可以通过软件定义网络(参见参考文献[4]和[5])提供数据通信的数据面和控制面的解耦。
通信网络的终端的示例包括计算器、计算机、路由器、交换机、防火墙、嵌入式系统等。
根据实施例,控制单元被配置为在通信会话期间使用解耦的控制面主动地修改从通信网络的外部可见的通信网络的至少一个特性。
因此,控制单元被配置为主动地修改至少一个可见特性。因此,在通信网络上发生威胁或损害之前,通信系统的至少一个特性已经被修改。因此,可以提供针对通信网络的主动实时安全性。
在本案中,主动修改特别地理解为在每个单个数据流结束时修改至少一个可见特性。因此,与常规的被动修改相反,本控制单元配置成在识别出威胁或检测到损害的情况下主动地修改或主动及被动地修改。
更具体地,控制单元被配置为主动地修改通信网络,使得可以动态地建立具有不同安全级别和/或不同安全功能的不同安全区域。例如,控制单元可以根据所识别的威胁场景来改变所建立的安全区域。此外,控制单元优选地被配置为建立具有不同安全级别的通信网络的日间操作和夜间操作。
根据另一实施例,控制单元被配置为在通信会话期间使用解耦的控制面来改变多个终端中的至少一个的虚拟地址。虚拟地址是可以通过逻辑单元或计算机单元转换为物理地址的逻辑地址。
根据另一实施例,装置包括用于输出随机值的随机生成器。这里,控制单元被配置为根据随机生成器输出的随机值来改变虚拟地址。
根据另一实施例,控制单元被配置为在通信会话期间使用解耦的控制面修改通信网络的配置。通信网络的配置的改变优选地包括所建立的通信网络的安全级别或安全区域的改变。因此,装置可以通过改变通信网络的配置对不同的攻击场景做出不同的反应。
根据另一实施例,控制单元被配置为在通信会话期间使用解耦的控制面修改通信网络的路由行为。由于提供通信网络的路由行为的改变,攻击者由于缺乏路由行为的静态特性而无法从通信网络的路由行为的记录或日志中得出任何有用的结论。
根据另一实施例,控制单元被配置为在通信会话期间使用解耦的控制面修改通信网络的至少一个应用。由于通信网络的应用的改变,攻击者无法获得与通信网络有关的任何有用的信息。
根据另一实施例,控制单元被配置为在通信会话期间使用解耦的控制面修改至少一个应用的至少一个端口分配。由于通信网络的应用的端口分配的改变,攻击者无法获得与通信网络有关的任何有用的信息。
根据另一实施例,控制单元被配置为在通信会话期间进行通信网络所采用的第一加密算法与第二加密算法的交换。
这里,控制单元优选从多个准备的加密算法中选择第二加密算法。
有利地,由于加密算法的交换,攻击者使用静态的加密算法无法获得与通信网络有关的有用信息。
加密算法被理解为例如使用加密函数计算至少一个加密值的算法。加密算法包括诸如SSL(安全套接层)和数字签名等的加密算法。加密值可以包括诸如对称密钥和/或哈希值等的加密密钥。
根据另一实施例,控制单元被配置为修改通信网络的数据模式,特别是至少一个终端的有效载荷数据简档。
通过修改通信网络的一个数据模式或多个数据模式,控制单元能够模拟至攻击者的数据通信量。模拟的数据通信量也可以称为数据模型或通信模型。此外,控制单元优选地被配置为改变耦接至通信网络的终端、即网络终端或网络参与者以修改通信网络的数据模式。通过修改数据模式,攻击者在执行成功的二进制模式比较方面受到相当大的阻碍。
根据另一实施例,通信会话包括多个数据事务(数据流)。这里,控制单元被配置为在多个事务的子集之后修改从通信网络的外部可见的通信网络的至少一个特性。
事务子集(其后控制单元修改通信网络的至少一个可见特性)可以通过随机生成器触发或指定。
根据另一实施例,通信会话包括多个数据事务,其中控制单元被配置为在多个事务的各事务之后修改从通信网络的外部可见的通信网络的至少一个特性。
通过在各事务之后改变一个或多个特性,可以增强通信网络的安全级别。
根据另一实施例,控制单元被配置为使用软件定义网络将数据通信的控制面和数据面进行解耦。软件定义网络是一种用于构建用于通信网络和软件的装置或终端的方案,其将两个基本组件、即数据和控制命令彼此分离并进行抽象(为此目的,参见参考文献[4]和[5])。
根据另一实施例,装置包括与控制单元耦接的一个随机生成器。随机生成器被配置为随机地或准随机地触发控制单元,以在通信会话期间对从通信网络的外部可见的通信网络的至少一个特性进行至少一次修改,更具体地在通信会话期间进行多次修改。随机生成器或随机数生成器生成一系列随机值或随机数。该随机生成器可以形成为确定性随机数生成器或非确定性随机数生成器。
根据另一实施例,装置包括用于检测、隔离和对抗未授权实体对通信网络的访问的第一保护单元。根据本实施例,第一保护单元能够检测来自未被通信网络授权的一个实体的攻击或访问、隔离通信网络中检测到的攻击、以及采取措施对抗该攻击。
根据另一实施例,装置包括用于向耦接至该装置的确定系统发出警告和警报的第二保护单元。第二保护单元优选地被配置为向耦接至该装置且通过例如政府实体操作的确定系统发出警告和警报。
根据另一实施例,装置包括用于恢复至少一个关键的网络功能的第三保护单元。
这里,第三保护单元可以特别地被配置为在检测到关键网络功能的故障时启动用于执行关键网络功能的至少一个冗余单元,以恢复关键网络功能。因此,该装置有利地能够自动恢复关键网络功能。
根据另一实施例,该装置包括用于在未授权实体访问通信网络期间提供分析数据的分析单元。
根据另一实施例,该装置包括数据确定单元,用于使用所提供的分析数据确定状态数据,其中状态数据特别地能够指示通信网络的安全情况。
根据另一实施例,该装置包括用于向可耦接至该装置的确定系统发送状态数据的接口单元。这里,例如确定系统还可以经由因特网耦接至该装置。于是将接口单元配置为在确定系统和该装置之间建立加密保护的传输。例如,接口单元还可以在该装置和确定系统之间建立受保护的通信隧道。
根据另一实施例,通信网络包括具有彼此堆叠的层的基础架构。特别地,基础架构具有彼此堆叠的以下层:层1、层2、层3、层4、层5、层6、层7。这里,控制单元实现为覆盖层2和层3的虚拟覆盖网络。
根据另一实施例,通过使用虚拟可扩展LAN来实现虚拟覆盖网络。例如,通过VXLAN(虚拟可扩展LAN)实现覆盖网络。VXLAN是用于使覆盖网络在现有的层3基础架构上运行的封装协议(参见参考文献[6])。
根据另一实施例,控制单元包含在通信网络的防火墙、交换机或路由器中。
根据另一实施例,控制单元通过软件来实现。
根据另一实施例,该装置支持IPv4(因特网协议第4版;参见参考文献[7]和IPv6(因特网协议第6版;参见参考文献[8])。
根据另一实施例,该装置使用安全协议和隧道协议的组合。通过使用隧道协议,可以进一步增强数据通信的安全性。
安全协议的示例是IPsec(参见参考文献[9])。隧道协议的示例是L2TP(参见参考文献[10])。合适的隧道协议的另一示例是open-VPN(参见参考文献[11])。
诸如分析单元或保护单元等的各单元可以实现为硬件和/或软件。在硬件实现的情况下,该单元可以形成为装置或装置的一部分,例如形成为计算机、微处理器或交换机。在软件实现的情况下,该单元可以实现为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。
根据第二方面,提出一种用于通信网络的路由器,其包括根据第一方面或根据第一方面的实施例之一的装置。具体地,路由器被理解为能够在多个通信网络之间转发网络分组的网络装置。路由器可以用于连接至因特网、用于公司的多个位置的安全耦接、或者用于多个本地网段的直接耦接,在需要的情况下适配于不同的因特网协议。
根据第三方面,提出一种用于通信网络的交换机,其包括根据第一方面或根据第一方面的实施例之一的装置。交换机被理解为能够将网络段彼此连接的耦接元件。其在数据分组到达其目的地的网段内进行处理。交换机也可以称为网络交换机或分配器。
根据第四方面,提出一种用于通信网络的防火墙,其包括根据第一方面或根据第一方面的实施例之一的装置。防火墙被理解为保护通信网络、通信网络的一部分、或通信网络的单个计算机免受不期望的网络访问的网络元件。防火墙可以表示安全系统或者可以是安全系统的一部分。
根据第五方面,提供一种通信网络,其包括用于数据通信的多个终端和根据第一方面或根据第一方面的实施例之一的装置。
根据第六方面,提出一种用于控制具有用于数据通信的多个终端的通信网络的方法。该方法包括对数据通信的控制面和数据面进行解耦,以及在通信会话期间使用解耦的控制面修改从通信网络的外部可见的通信网络的至少一个特性。
根据第七方面,提出一种计算机程序产品,其使得在程序控制单元上执行根据第六方面的方法。
可以将诸如计算机程序装置的计算机程序产品例如作为诸如存储卡、USB棒、CD-ROM、DVD或可以从网络中的服务器下载的文件的形式等的记录介质来提供或供应。这可以例如在无线通信网络中通过发送具有该计算机程序产品或计算机程序装置的相应文件来实现。
针对所提出的装置描述的实施例和特征分别适用于所提出的方法。
本发明的可能的其它实施例还包括上文或下文提及的关于示例性实施例描述的特征或实施例的非明确提及的组合。这里,本领域技术人员还将添加单个方面作为对本发明的相应基本形式的改进或添加。
附图说明
在下文中,基于优选实施例参照附图详细解释了本发明。
图1示出用于控制通信网络的装置的第一实施例的示意性框图;
图2示出用于控制通信网络的装置的第二实施例的示意性框图;
图3示出用于控制通信网络的装置的第三实施例的示意性框图;
图4示出具有根据图1~3之一的装置的通信网络的示意性框图;
图5示出用于实现控制单元的具有解耦的数据面和控制面的SDN架构的示意性框图;
图6示出具有根据图1~3之一的用于控制通信网络的装置的路由器的实施例的示意性框图;
图9示出用于控制通信网络的方法的实施例的示意性流程图。
具体实施方式
除非另有说明,附图中相同或具有相同功能的元件用相同的附图标记来表示。
图1示出用于控制通信网络100的装置10的第一实施例的示意性框图。通信网络100包括用于数据通信的多个终端21-26。多个终端21-26可以包括路由器、交换机、防火墙、计算机、个人计算机、嵌入式系统、控制设施等。通信网络100例如是LAN(局域网)或WAN(广域网)。用于控制通信网络100的装置10也可以称为控制装置10。
图1中的装置10的实施例包括控制单元11、分析单元12、DNS单元13(DNS;域名服务器)和保护单元18。控制单元11、分析单元12、DNS单元13和保护单元18可以逻辑地或物理地耦接或连接。例如,装置10可以形成为包括控制单元11、分析单元12、DNS单元13和保护单元18的计算机。
该装置的控制单元11被配置为将数据通信的数据面L1(参见图5)和控制面L2(参见图5)解耦。数据面L1也可以称为数据层或数据级。控制面L2也可以称为控制层或控制级。
此外,控制单元11被配置为使用解耦的控制面L2来修改从通信网络100的外部200(参见图4)可见的通信网络100的至少一个特性。例如,通信网络100的外部是指布置在因特网200(参见图4)中并且关于通信网络100未被授权和/或未被认证的诸如计算机等的实体。
可以通过控制单元11修改的通信网络100的至少一个特性的示例如下:通信网络100的终端21-26的虚拟地址的改变、通信网络100的配置的改变、通信网络100的路由行为的改变、和/或通信网络100中的应用和/或应用的端口映射的改变。
具体地,控制单元11被配置为主动地修改通信网络100。这里,控制单元11特别地被配置为主动地修改通信网络100,使得建立具有通信网络100中的不同安全级别和/或通信网络100中的不同安全功能的不同安全区域。更具体地,控制单元11可以根据所识别的威胁场景来改变建立的安全区域以及通信网络100的配置。
此外,控制单元11被配置为在通信网络100的操作期间进行通信网络100采用的第一加密算法与第二加密算法的交换。
附加地或替代地,控制单元11被配置为修改通信网络100的数据模式。通信网络100的这种数据模式的示例是终端21-26中的至少一个终端的有效载荷数据简档。
如上所述的通信会话可以包括多个数据事务(数据流)。这里,控制单元11被配置为在多个事务的子集之后修改从通信网络100的外部200可见的通信网络100的至少一个特性。多个事务的子集也可以是1个,使得控制单元11在每个单个事务之后修改通信网络100的至少一个可见特性。
装置10的分析单元12优选被配置为在从未授权的实体对通信网络100的访问期间提供分析数据。图3示出向可耦接到装置10的确定系统300提供分析数据的细节,这将在下面说明。
图2示出用于控制通信网络100的装置10的第二实施例的示意性框图。图2的第二实施例包括图1的第一实施例的所有特征。此外,图2的装置10包括数据分析单元14和提供随机值ZW的随机生成器19。此外,图2示出保护单元18包括第一保护单元15、第二保护单元16和第三保护单元17。
数据分析单元14被配置为使用从分析单元12提供的分析数据来确定状态数据。特别地,状态数据指示通信网络100的安全情况。
如上所述,随机数生成器19输出随机值ZW。这里,控制单元11被配置为根据随机生成器19输出的随机值ZW改变例如终端21-26中的一个终端的虚拟地址。此外,随机生成器19可以被配置为随机地或者准随机地触发控制单元11以在通信会话期间对从通信网络100的外部200可见的至少一个特性进行至少一次修改或多次修改。
如上所述,图2的保护单元18包括:第一保护单元15、第二保护单元16和第三保护单元17。第一保护单元15被配置用于检测、隔离和对抗从未授权实体对通信网络100的访问。第二保护单元16被配置用于向可以耦接到装置10的确定系统300发出警告和警报。第三保护单元17被配置为恢复通信网络100的至少一个关键网络功能。
关于这一点,图3示出用于控制通信网络100的装置10的第三实施例。图3的第三实施例包括图2的第二实施例的所有特征。此外,图3的装置10包括被配置为将装置10耦接到确定系统300的接口单元20。例如,接口单元20耦接到分析单元12、DNS单元13和数据分析单元14。接口单元20还可以耦接到诸如控制单元11或随机生成器19(未示出)等的装置10的其它单元。例如,随机生成器19可以经由接口单元20启动。
此外,图4的通信网络100具有多个终端21-23。在不失一般性的情况下,图4的实施例示出三个终端21-23。
此外,图4的通信网络100包括路由器30、交换机40、第一防火墙51、第二防火墙52、耦接在第一防火墙51和第二防火墙52之间的非军事化LAN 61、以及将多个终端21-23耦接到第二防火墙52(内部防火墙)和路由器30、交换机40和装置10的内部LAN 62。
另外,图4示出通信网络100可以耦接到因特网200。可能攻击通信网络100的上述非授权实体特别地布置在因特网200中或与因特网200连接。
图5示出用于实现控制单元11的实施例的具有解耦的数据面L1和控制面L2的SDN架构的示意性框图。
图5的架构示出数据面L1、控制面L2和应用面L3彼此解耦。面或层L1、L2、L3经由API 101-104(API;应用程序编程接口)彼此以通信方式连接。
API 101也可以称为Southbound-API。例如,Southbound-API使用OpenFlow实现。API 102-104也可以称为Northbound-API。
物理网络装置21-25和虚拟网络装置26-28布置在数据面L1中。数据面L1中的物理网络装置21-25和虚拟网络装置26-28的数量和分布仅仅是示例性的。
控制面L2包括具有用于实现控制单元11的不同网络服务81-83的SDN控制软件70。
应用面L3包括多个应用91-93。应用91-93也可以称为商业应用。
如上所述,SDN架构的最低面或层是包括多个网络装置21-28的数据面L1。在控制面L2中,在物理网络装置和虚拟网络装置21-28或交换机之间是没有差别的。因此,虚拟网络装置26-28也视为数据级L1。数据面L1和控制面L2之间的通信通过Southbound协议经由Southbound接口101来表示。这里,参与的网络装置21-28具有关于所采用的Southbound协议的命令是先决条件。特别地,网络装置21-28仅需要支持Southbound协议的最小命令集合。为了实现这一点,可以采用Open Flow。Southbound协议的任务是实现用于操纵交换机中的流表的一组基本命令,以使复杂性和异质性在数据面L1上是透明的。
SDN控制软件70布置在控制面L2上。可以将其理解为SDN应用的对数据面L1的网络装置21-28进行抽象的中间件。
图9中示出用于控制通信网络100的方法的实施例的示意性流程图。图9的方法包括以下步骤901和902。
在步骤901中,数据通信的数据面L1和控制面L2彼此解耦。步骤901的结果是从数据面L1解耦的控制面L2和从控制面L2解耦的数据面L1。
在步骤902中,使用解耦的控制面L2修改从通信网络100的外部可见的通信网络100的特性。
虽然已经基于实施例描述了本发明,但是可以在多方面进行修改。例如,也可以将用于控制通信网络的装置布置在图中所示的通信网络的另一实体(例如路由器或交换机)中。此外,还可以想到在通信网络之外布置用于控制通信网络的装置。此外,用于实现用于控制通信网络的装置的控制单元的工具OpenMUL仅仅是示例性的。也可以使用替代工具。
附图标记说明:
10 装置
11 控制单元
12 分析单元
13 DNS单元
14 数据分析单元
15 第一保护单元
16 第二保护单元
17 第三保护单元
18 保护单元
19 随机生成器
20 接口单元
21 终端
22 终端
23 终端
24 终端
25 终端
26 终端
27 终端
28 终端
30 路由器
40 交换机
50 防火墙
51 防火墙
52 防火墙
61 LAN
62 LAN
70 SDN控制软件
81-83 网络服务
91-93 应用
100 通信网络
101 API
102 API
103 API
104 API
200 因特网
300 确定系统
L1 数据面
L2 控制面
L3 应用面
ZW 随机值
参考文献
[1]http://www.openmul.org/openmul-controller.html
(优先权日时可下载)
[2]Nick McKeown et al.:OpenFlow:Enabling innovation in campusnetworks,ACM Communications Review,April 2008
[3]http://www.dhs.gov/science-and-technology/csd-mtd
(优先权日时可下载)
[4]Software-Defined Networking:The New Norm for Networks,White Paper,Open Networking Foundation,13.April 2012
[5]Sean Michael Kerner:OpenFlow Inventor Martin Casado on SDN,VMware,and Software Defined Networking Hype,Enterprise Networking Planet,29.April2013
[6]RFC7348:Virtual eXtensible Local Area Network(VXLAN):A Frameworkfor Overlaying Virtualized Layer 2 Networks over Layer 3 Networks
[7]RFC791–Internet Protocol;Ipv4
[8]RFC3513–Internet Protocol;IPv6
[9]RFC4301–IPsec
[10]RFC2661–L2TP
[11]Open-VPN:https://openvpn.net/。
Claims (28)
1.一种用于控制通信网络(100)的装置(10),所述通信网络(100)具有用于数据通信的多个终端(21-28),所述装置(10)包括:
控制单元(11),其被配置为对所述数据通信的数据面(L1)和控制面(L2)进行解耦,以及在通信会话期间使用所解耦的控制面(L2)主动地修改从所述通信网络(100)的外部(200)可见的所述通信网络(100)的至少一个特性,
其中,所述控制单元(11)被配置为在所述通信会话期间使用所解耦的控制面(L2)修改所述多个终端(21-28)中的至少一个终端的虚拟地址,
其中,所述装置(10)还包括用于输出随机值(ZW)的随机生成器(19),
所述控制单元(11)被配置为根据所述随机生成器(19)所输出的所述随机值(ZW)来修改所述虚拟地址。
2.根据权利要求1所述的装置,其特征在于,
所述控制单元(11)被配置为主动地修改所述通信网络(100),以使得能够在所述通信网络(100)中动态地建立具有不同的安全级别和/或不同的安全功能的不同的安全区域。
3.根据权利要求1或2所述的装置,其特征在于,
所述控制单元(11)被配置为在所述通信会话期间使用所解耦的控制面(L2)修改所述通信网络(100)的配置。
4.根据权利要求1或2所述的装置,其特征在于,
所述控制单元(11)被配置为在所述通信会话期间使用所解耦的控制面(L2)修改所述通信网络(100)的路由行为。
5.根据权利要求1或2所述的装置,其特征在于,
所述控制单元(11)被配置为在所述通信会话期间使用所解耦的控制面(L2)修改所述通信网络(100)的至少一个应用和/或所述至少一个应用的端口映射。
6.根据权利要求1或2所述的装置,其特征在于,
所述控制单元(11)被配置为在所述通信会话期间进行所述通信网络(100)采用的第一加密算法与第二加密算法的交换。
7.根据权利要求1或2所述的装置,其特征在于,
所述控制单元(11)被配置为修改所述通信网络(100)的数据模式。
8.根据权利要求7所述的装置,其特征在于,
所述控制单元(11)被配置为修改所述多个终端(21-28)中的至少一个终端的有效载荷数据简档。
9.根据权利要求1或2所述的装置,其特征在于,
所述通信会话包括多个数据事务,其中所述控制单元(11)被配置为在所述多个数据事务的子集之后修改从所述通信网络(100)的外部(200)可见的所述通信网络(100)的所述至少一个特性。
10.根据权利要求1或2所述的装置,其特征在于,
所述通信会话包括多个数据事务,其中所述控制单元(11)被配置为在所述多个数据事务中的各数据事务之后修改从所述通信网络(100)的外部(200)可见的所述通信网络(100)的所述至少一个特性。
11.根据权利要求1或2所述的装置,其特征在于,
所述控制单元(11)被配置为使用软件定义网络来对所述数据通信的所述数据面(L1)和所述控制面(L2)进行解耦。
12.根据权利要求1或2所述的装置,其特征在于,还包括:
随机生成器(19),其耦接到所述控制单元(11),并且被配置为随机触发所述控制单元(11)以使所述控制单元(11)在所述通信会话期间对从所述通信网络(100)的外部(200)可见的所述至少一个特性进行至少一次修改。
13.根据权利要求12所述的装置,其特征在于,所述随机生成器(19)被配置为随机触发所述控制单元(11)以使所述控制单元(11)在所述通信会话期间对从所述通信网络(100)的外部(200)可见的所述至少一个特性进行多次修改。
14.根据权利要求1所述的装置,其特征在于,还包括:
第一保护单元(15),其用于检测、隔离和对抗未授权实体对所述通信网络(100)的访问。
15.根据权利要求14所述的装置,其特征在于,还包括:
第二保护单元(16),其用于向能够耦接到所述装置(10)的确定系统(300)发出警告和警报。
16.根据权利要求14或15所述的装置,其特征在于,还包括:
第三保护单元(17),其用于恢复至少一个关键网络功能。
17.根据权利要求1或2所述的装置,其特征在于,还包括:
分析单元(12),其用于在未授权实体对所述通信网络(100)的访问期间提供分析数据。
18.根据权利要求17所述的装置,其特征在于,还包括:
数据确定单元(14),其用于使用所提供的分析数据来确定状态数据。
19.根据权利要求18所述的装置,其特征在于,所述状态数据适合于指示所述通信网络(100)的安全情况。
20.根据权利要求18或19所述的装置,其特征在于,还包括:
接口单元(20),其用于将所述状态数据发送到能够耦接到所述装置(10)的确定系统(300)。
21.根据权利要求1或2所述的装置,其特征在于,
所述通信网络(100)包括彼此堆叠的层的基础架构,其中所述控制单元(11)被实现为覆盖所述基础架构的层2和层3的虚拟覆盖网络。
22.根据权利要求1或2所述的装置,其特征在于,
所述装置(10)使用安全协议和隧道协议的组合。
23.一种用于通信网络(100)的路由器(30),所述路由器(30)包括根据权利要求1-22中任一项所述的装置(10)。
24.一种用于通信网络(100)的交换机(40),所述交换机(40)包括根据权利要求1-22中任一项所述的装置(10)。
25.一种用于通信网络(100)的防火墙(50),所述防火墙(50)包括根据权利要求1-22中任一项所述的装置(10)。
26.一种通信网络(100),其包括:
用于数据通信的多个终端(21-28);以及
根据权利要求1-22中任一项所述的用于控制所述通信网络(100)的装置(10)。
27.一种用于控制通信网络(100)的方法,所述通信网络(100)具有用于数据通信的多个终端(21-28),所述方法包括以下步骤:
对所述数据通信的数据面(L1)和控制面(L2)进行解耦;
在通信会话期间使用所解耦的控制面(L2)主动地修改从所述通信网络(100)的外部(200)可见的所述通信网络(100)的至少一个特性;
在所述通信会话期间使用所解耦的控制面(L2)修改所述多个终端(21-28)中的至少一个终端的虚拟地址;以及
根据随机值(ZW)来修改所述虚拟地址。
28.一种非瞬时性机器可读存储介质,其上存储有计算机程序,所述计算机程序使得根据权利要求27所述的方法在程序控制单元上执行。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014217944 | 2014-09-08 | ||
DE102014217944.0 | 2014-09-08 | ||
DE102015107073.1A DE102015107073A1 (de) | 2014-09-08 | 2015-05-06 | Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks |
DE102015107073.1 | 2015-05-06 | ||
PCT/EP2015/070057 WO2016037917A1 (de) | 2014-09-08 | 2015-09-02 | Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106797378A CN106797378A (zh) | 2017-05-31 |
CN106797378B true CN106797378B (zh) | 2021-05-18 |
Family
ID=55358584
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580048210.0A Active CN106797378B (zh) | 2014-09-08 | 2015-09-02 | 用于控制通信网络的装置和方法 |
Country Status (11)
Country | Link |
---|---|
US (1) | US10681057B2 (zh) |
EP (2) | EP3192226B1 (zh) |
CN (1) | CN106797378B (zh) |
DE (1) | DE102015107073A1 (zh) |
EA (1) | EA036842B1 (zh) |
ES (2) | ES2801923T3 (zh) |
IL (1) | IL250626B (zh) |
PL (1) | PL3192226T3 (zh) |
SG (1) | SG11201701082UA (zh) |
UA (1) | UA120517C2 (zh) |
WO (1) | WO2016037917A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102015107071B3 (de) * | 2015-05-06 | 2016-11-10 | Rheinmetall Defence Electronics Gmbh | Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks |
US11005886B2 (en) * | 2018-09-28 | 2021-05-11 | EMC IP Holding Company LLC | Moving target defense with network level changes providing substantially continuous access to applications |
US11654635B2 (en) | 2019-04-18 | 2023-05-23 | The Research Foundation For Suny | Enhanced non-destructive testing in directed energy material processing |
US11757919B2 (en) | 2020-04-20 | 2023-09-12 | Kovrr Risk Modeling Ltd. | System and method for catastrophic event modeling |
DE102020131072A1 (de) | 2020-11-24 | 2022-05-25 | Rheinmetall Electronics Gmbh | Netzwerkmodul, elektronisches System und Kommunikationsnetzwerk |
CN113225314A (zh) * | 2021-04-08 | 2021-08-06 | 福建奇点时空数字科技有限公司 | 一种基于端口跳变MTD的SDN网络抗Dos方法 |
CN114244586B (zh) * | 2021-12-03 | 2023-06-20 | 中国人民解放军海军工程大学 | 一种面向Web服务的自适应移动目标防御方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1866914A (zh) * | 2005-09-21 | 2006-11-22 | 华为技术有限公司 | 无连接的分组交换通信系统 |
CN101325588A (zh) * | 2007-06-11 | 2008-12-17 | 华为技术有限公司 | 一种网络设备防攻击的方法以及网络设备 |
CN101834793A (zh) * | 2010-04-29 | 2010-09-15 | 电子科技大学 | 基于mpls/ops的虚拟专用网的实现方法 |
CN106105119A (zh) * | 2014-01-20 | 2016-11-09 | 诺基亚通信公司 | 操作网络实体的方法 |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5991749A (en) | 1996-09-11 | 1999-11-23 | Morrill, Jr.; Paul H. | Wireless telephony for collecting tolls, conducting financial transactions, and authorizing other activities |
US10511573B2 (en) * | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US6826616B2 (en) | 1998-10-30 | 2004-11-30 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network |
US9292259B2 (en) * | 2008-08-06 | 2016-03-22 | Cassy Holdings Llc | Uncertainty random value generator |
US8713627B2 (en) * | 2008-08-14 | 2014-04-29 | Juniper Networks, Inc. | Scalable security services for multicast in a router having integrated zone-based firewall |
US20140193154A1 (en) * | 2010-02-22 | 2014-07-10 | Vello Systems, Inc. | Subchannel security at the optical layer |
US9350671B2 (en) * | 2012-03-22 | 2016-05-24 | Futurewei Technologies, Inc. | Supporting software defined networking with application layer traffic optimization |
US9210180B2 (en) * | 2012-04-18 | 2015-12-08 | Radware Ltd. | Techniques for separating the processing of clients' traffic to different zones in software defined networks |
WO2014052099A2 (en) * | 2012-09-25 | 2014-04-03 | A10 Networks, Inc. | Load distribution in data networks |
US9258218B2 (en) * | 2012-11-30 | 2016-02-09 | Alcatel Lucent | Software-defined network overlay |
US20160323313A1 (en) * | 2013-05-31 | 2016-11-03 | Tt Government Solutions, Inc. | Moving-target defense with configuration-space randomization |
WO2014202021A1 (en) * | 2013-06-20 | 2014-12-24 | Huawei Technologies Co., Ltd. | A method and network apparatus of establishing path |
US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
WO2015041706A1 (en) * | 2013-09-23 | 2015-03-26 | Mcafee, Inc. | Providing a fast path between two entities |
KR102118687B1 (ko) * | 2013-11-15 | 2020-06-03 | 삼성전자주식회사 | SDN(Software-defined networking)에서 네트워크 장애 해소를 위한 컨트롤러 및 스위치의 동작 방법과, 이를 위한 컨트롤러 및 스위치 |
US20150149812A1 (en) * | 2013-11-22 | 2015-05-28 | Telefonaktiebolaget L M Ericsson (Publ) | Self-Debugging Router Platform |
US10009794B2 (en) * | 2013-12-05 | 2018-06-26 | Huawei Technologies Co., Ltd. | Framework for traffic engineering in software defined networking |
US20150180769A1 (en) * | 2013-12-20 | 2015-06-25 | Alcatel-Lucent Usa Inc. | Scale-up of sdn control plane using virtual switch based overlay |
US9742632B2 (en) * | 2013-12-27 | 2017-08-22 | Intel Corporation | Hybrid SDN controller |
WO2015105985A1 (en) * | 2014-01-08 | 2015-07-16 | Interdigital Patent Holdings, Inc. | Wifi virtual network solution |
US9444747B2 (en) * | 2014-01-30 | 2016-09-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Service specific traffic handling |
GB2523338A (en) * | 2014-02-20 | 2015-08-26 | Ng4T Gmbh | Testing a virtualised network function in a network |
US9471292B2 (en) * | 2014-04-18 | 2016-10-18 | Intel Corporation | Binary translation reuse in a system with address space layout randomization |
US9674147B2 (en) * | 2014-05-06 | 2017-06-06 | At&T Intellectual Property I, L.P. | Methods and apparatus to provide a distributed firewall in a network |
US10263809B2 (en) * | 2014-06-25 | 2019-04-16 | Hewlett Packard Enterprise Development Lp | Selecting an optimal network device for reporting flow table misses upon expiry of a flow in a software defined network |
US9774502B2 (en) * | 2014-06-25 | 2017-09-26 | Ciena Corporation | Systems and methods for combined software defined networking and distributed network control |
DE102015107071B3 (de) | 2015-05-06 | 2016-11-10 | Rheinmetall Defence Electronics Gmbh | Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks |
ES2834031T3 (es) * | 2016-04-29 | 2021-06-16 | Dcb Solutions Ltd | Una red orquestada impulsada por datos mediante un controlador SDN distribuido ligero activado por voz |
-
2015
- 2015-05-06 DE DE102015107073.1A patent/DE102015107073A1/de active Pending
- 2015-09-02 WO PCT/EP2015/070057 patent/WO2016037917A1/de active Application Filing
- 2015-09-02 EA EA201790324A patent/EA036842B1/ru not_active IP Right Cessation
- 2015-09-02 UA UAA201701398A patent/UA120517C2/uk unknown
- 2015-09-02 CN CN201580048210.0A patent/CN106797378B/zh active Active
- 2015-09-02 ES ES18202088T patent/ES2801923T3/es active Active
- 2015-09-02 EP EP15756668.8A patent/EP3192226B1/de active Active
- 2015-09-02 ES ES15756668T patent/ES2718199T3/es active Active
- 2015-09-02 EP EP18202088.3A patent/EP3451624B1/de active Active
- 2015-09-02 US US15/509,473 patent/US10681057B2/en active Active
- 2015-09-02 SG SG11201701082UA patent/SG11201701082UA/en unknown
- 2015-09-02 PL PL15756668T patent/PL3192226T3/pl unknown
-
2017
- 2017-02-15 IL IL250626A patent/IL250626B/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1866914A (zh) * | 2005-09-21 | 2006-11-22 | 华为技术有限公司 | 无连接的分组交换通信系统 |
CN101325588A (zh) * | 2007-06-11 | 2008-12-17 | 华为技术有限公司 | 一种网络设备防攻击的方法以及网络设备 |
CN101834793A (zh) * | 2010-04-29 | 2010-09-15 | 电子科技大学 | 基于mpls/ops的虚拟专用网的实现方法 |
CN106105119A (zh) * | 2014-01-20 | 2016-11-09 | 诺基亚通信公司 | 操作网络实体的方法 |
Non-Patent Citations (1)
Title |
---|
SDN-based solutions for Moving Target Defense network protection;Panos Kampanakis;《proceeding of IEEE international symposium on a world of wireless,mobile and multimedia networks》;20140619;正文第2页左栏,第4页右栏 * |
Also Published As
Publication number | Publication date |
---|---|
ES2801923T3 (es) | 2021-01-14 |
ES2718199T3 (es) | 2019-06-28 |
EP3192226A1 (de) | 2017-07-19 |
EP3451624A1 (de) | 2019-03-06 |
EP3192226B1 (de) | 2019-02-27 |
SG11201701082UA (en) | 2017-03-30 |
EA036842B1 (ru) | 2020-12-25 |
EP3451624B1 (de) | 2020-04-01 |
US20170264620A1 (en) | 2017-09-14 |
IL250626A0 (en) | 2017-04-30 |
IL250626B (en) | 2021-01-31 |
PL3192226T3 (pl) | 2019-09-30 |
EA201790324A1 (ru) | 2017-08-31 |
UA120517C2 (uk) | 2019-12-26 |
US10681057B2 (en) | 2020-06-09 |
DE102015107073A1 (de) | 2016-03-10 |
WO2016037917A1 (de) | 2016-03-17 |
CN106797378A (zh) | 2017-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106797378B (zh) | 用于控制通信网络的装置和方法 | |
EP3535657B1 (en) | Extracting encryption metadata and terminating malicious connections using machine learning | |
US10103892B2 (en) | System and method for an endpoint hardware assisted network firewall in a security environment | |
Akhunzada et al. | Securing software defined networks: taxonomy, requirements, and open issues | |
Yu et al. | PSI: Precise Security Instrumentation for Enterprise Networks. | |
Kene et al. | A review on intrusion detection techniques for cloud computing and security challenges | |
US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
US10440055B2 (en) | Apparatus and method for implementing network deception | |
JP2015165614A (ja) | 通信装置および通信装置における通信制御方法 | |
EP2903238A2 (en) | A router-based honeypot for detecting advanced persistent threats | |
James | IoT cybersecurity based smart home intrusion prevention system | |
Khan et al. | FML: A novel forensics management layer for software defined networks | |
Mavroeidakos et al. | Security architecture based on defense in depth for Cloud Computing environment | |
Dua et al. | Iisr: A secure router for iot networks | |
CN115051836A (zh) | 基于sdn的apt攻击动态防御方法及系统 | |
Kashefi et al. | A survey on security issues in firewalls: a new approach for classifying firewall vulnerabilities | |
US11956263B1 (en) | Detecting security risks on a network | |
Tahir et al. | A novel DDoS floods detection and testing approaches for network traffic based on linux techniques | |
Schmitt et al. | Vulnerability assessment of InfiniBand networking | |
US8590031B2 (en) | Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server | |
AU2018304187B2 (en) | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks | |
Tupakula et al. | Software Enabled Security Architecture for Counteracting Attacks in Control Systems | |
Bilski | New challenges in network security | |
Tupakula et al. | Techniques for Securing Control Systems from Attacks | |
McCormack | " Bolt-On" Network Security for Advanced Manufacturing Deployments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Bremen Applicant after: Rhein metal Electronics Co.,Ltd. Address before: Bremen Applicant before: Rheinmetall Defence Electronics GmbH |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |