CN107113239B - 包混淆和包转发 - Google Patents

包混淆和包转发 Download PDF

Info

Publication number
CN107113239B
CN107113239B CN201680004966.XA CN201680004966A CN107113239B CN 107113239 B CN107113239 B CN 107113239B CN 201680004966 A CN201680004966 A CN 201680004966A CN 107113239 B CN107113239 B CN 107113239B
Authority
CN
China
Prior art keywords
obfuscated
packet
network node
forwarding rule
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201680004966.XA
Other languages
English (en)
Other versions
CN107113239A (zh
Inventor
万涛
彼得·艾斯伍德·史密斯
童文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN107113239A publication Critical patent/CN107113239A/zh
Application granted granted Critical
Publication of CN107113239B publication Critical patent/CN107113239B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/56Routing software
    • H04L45/566Routing instructions carried by the data packet, e.g. active networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种包混淆方法包括:接收数据包,该数据包具有路由头部部分和有效载荷部分;对路由头部部分执行第一混淆以生成混淆的路由头部部分;对至少有效载荷部分执行第二混淆以生成混淆的有效载荷部分;以及将混淆的路由头部部分与混淆的有效载荷部分进行组合以形成混淆的包。一种包转发方法包括:使用包混淆函数来混淆路由信息;根据所混淆的路由信息来生成多个转发规则条目;将多个转发规则条目发送给网络中的至少一个网络节点;将包混淆函数发送给网络中的至少一个网络节点;以及将去混淆函数发送给网络中的至少一个网络节点。

Description

包混淆和包转发
交叉引用
本申请要求于2015年2月27日提交的题为“Packet Obfuscation and PacketForwarding(包混淆和包转发)”的美国专利申请序列号14/633,299的优先权,该申请的全部内容通过引用并入本文中。
背景技术
在网络中,网络节点容易受到攻击和/或后门(backdoor),这使攻击者能够远程控制网络节点和/或从网络节点窃取数据业务,从而导致数据和隐私丢失。例如,攻击者可能使用转发网络节点以利用通过网络发送的转接业务。转接业务是指通过转发网络节点传递而不在转发网络节点终止的数据业务。非转接业务是指在转发网络节点终止的数据业务。可以从转发网络节点获取数据包,并且将其拷贝或发送至另一目的地。例如,攻击者可能会篡改现有包头部(例如,修改网际协议(Internet Protocol,IP)地址),或者使用新的包头部(例如,使用IP寻址时的IP)对数据包进行封装。
为了增加安全性,网络运营商可以使用逐跳加密,逐跳加密提供在网络链路上的包保密性,但不提供在网络节点内的包保密性。替选地,网络运营商可以使用站对站加密,站对站加密提供在网络链路上和转接路由器内的保密性。然而,站对站加密不对包头部信息进行加密,从而不防止受保护的业务被窃取以作进一步的分析,例如离线解密。业务所有者可以使用端对端加密以提供有效载荷的保密性。然而,端对端加密不对包头部或业务元数据提供保密性,从而不防止加密业务被窃取以作进一步分析。
发明内容
在一种实施方式中,本公开内容包括一种包混淆方法,该包混淆方法包括:接收数据包,该数据包具有路由头部部分和有效载荷部分;对路由头部部分执行第一混淆以生成混淆的路由头部部分;对至少有效载荷部分执行第二混淆以生成混淆的有效载荷部分;以及将混淆的路由头部部分与混淆的有效载荷部分进行组合以形成混淆的包。
在另一实施方式中,本公开内容包括一种包转发方法,该包转发方法包括:接收混淆的数据包,该混淆的数据包包括混淆的路由信息;从多个转发规则条目中识别与混淆的路由信息对应的转发规则条目;以及根据该转发规则条目来发送混淆的数据包。
在又一实施方式中,本公开内容包括一种设备,该设备包括:发送器;处理器,该处理器耦接至存储器和发送器,其中,存储器包括计算机可执行指令,所述计算机可执行指令存储在非暂态计算机可读介质中使得计算机可执行指令当由处理器执行时使处理器:使用包混淆函数来混淆路由信息;根据所混淆的路由信息来生成多个转发规则条目;将多个转发规则条目发送给网络中的至少一个网络节点;将包混淆函数发送给网络中的至少一个网络节点;以及将去混淆函数发送给网络中的至少一个网络节点。
在再一实施方式中,本公开内容包括一种包转发方法,该包转发方法包括:使用包混淆函数来混淆路由信息;根据所混淆的路由信息来生成多个转发规则条目;将多个转发规则条目发送给网络中的至少一个网络节点;将包混淆函数发送给网络中的至少一个网络节点;以及将去混淆函数发送给网络中的至少一个网络节点。
根据以下结合附图和权利要求书作出的详细描述将更清楚地理解这些特征和其他特征。
附图说明
为了更完整地理解本公开内容,现在参考以下结合附图和详细描述而作出的简要描述,其中相同的附图标记表示相同的部件。
图1是一种实施方式的用于实现包混淆的系统的示意图。
图2是一种实施方式的对于网元的包混淆方法的流程图。
图3是一种实施方式的对于网元的包转发方法的流程图。
图4是一种实施方式的对于网元的包去混淆方法的流程图。
图5是一种实施方式的网元的示意图。
具体实施方式
首先应当理解,尽管下面提供了一种或更多种实施方式的说明性实现方式,但是所公开的系统和/或方法可以使用任意多种技术来实现,而无论上述技术为当前公知的技术还是现有技术。本公开内容决不应限于下面所示出的说明性实现方式、附图和技术——包括本文所示出和描述的示例性设计和实现方式——而是可以在所附权利要求书的范围以及其等同方案的完整范围内被修改。
本文公开了用于通过使用加密、散列和其他数据加扰技术来混淆数据包、通过网络来路由混淆的数据包以及将数据包去混淆的各种实施方式。混淆数据包保护数据包——包括其头部和有效载荷——的隐私。通过混淆数据业务使得头部不能够被预测、篡改或伪造还可以防止攻击者窃取和转发数据业务。包混淆对包头部和有效载荷二者进行混淆,并且可以采用协议无感知转发(protocol oblivious forwarding,PoF)。PoF在不需要理解数据包的头部格式的情况下通过网络转发数据包。PoF允许基于流的例如由偏移和长度标识的特定分段中的值来转发数据包。混淆数据包提供了在转接期间可以提高隐私性的另外的保护层。可以减少用于保护转发设备的资源以及运营商(carrier)的成本。通过使用包混淆来混淆数据包使得供应商能够在运营商不完全信任设备的情况下为运营商提供网络节点,这可以增加供应商的收入。在一种实施方式中,网络节点可以获取包混淆函数、接收数据包、使用包混淆函数来混淆数据包、使用混淆的路由头部来识别转发规则条目以及根据该转发规则条目来发送混淆的数据包。在另一实施方式中,网络节点可以接收混淆的数据包、使用混淆的路由头部来识别转发规则条目以及根据该转发规则条目来发送混淆的数据包。在又一实施方式中,网络节点可以接收混淆的数据包,并且使用去混淆函数将混淆的数据包去混淆。
图1是一种实施方式的用于实现包混淆的系统100的示意图。系统100包括控制器102和多个网络节点104至114。控制器102是集中式控制器(例如,软件定义网络(software-defined network,SDN)控制器),并且与网络节点104至114通信。控制器102用于向网络节点104至114提供包混淆函数、去混淆函数、一个或更多个密钥和/或转发规则。网络节点104至114可以是支持通过系统100传输数据包的任何设备和/或部件。例如,当数据业务用于从网络节点104流向网络节点114时,网络节点104是入口网络节点并且网络节点114是出口网络节点。在一些实施方式中,网络节点104至114包括交换机、路由器、本领域普通技术人员在阅读本公开内容时会理解的用于传送数据包的任何其他适当的网络设备或其组合。在一种实施方式中,网络节点104至114配置有包混淆函数。在另一实施方式中,网络节点104至114用于从控制器102接收包混淆函数。网络节点104至114中的一个或更多个用于:获取包混淆函数和转发规则条目;使用包混淆函数来混淆数据包;使用混淆的数据包的预定部分来识别转发规则条目;以及根据该转发规则条目来发送混淆的数据包。在一种实施方式中,混淆的路由信息在混淆的数据包中占用的位置与原始路由信息在原始数据包中占用的位置相同。此外,网络节点104至114中的一个或更多个用于:获取转发规则条目;接收混淆的数据包;使用混淆的数据包的预定部分来识别转发规则条目;以及根据该转发规则条目来发送混淆的数据包。此外,网络节点104至114中的一个或更多个用于:使用去混淆函数将混淆的数据包去混淆。网络节点104至114经由多个链路或隧道(例如,多协议标签交换(multiprotocol label switching,MPLS)隧道)彼此耦接并且与控制器102耦接。本文所讨论的链路可以是诸如电链路、光链路的物理链路和用于传输数据的逻辑链路(例如,虚拟链路)。虽然针对控制器102和网络节点104至114的特定配置公开了图1的实施方式,应注意的是,系统100可以包括任何适当数量的控制器102和网络节点104至114或者本领域普通技术人员在阅读本公开内容时会理解的控制器102和网络节点104至114的配置。
控制器102用于获取或建立用于传送混淆的数据包的转发规则和密钥。例如,控制器102可以用于:使用包混淆函数来混淆用于网络的路由信息,并且生成多个转发规则条目。路由信息可以包括目的地地址或者可以标识网络中的流。在一种实施方式中,控制器102用于将转发规则传送给网络节点106至112。在一种实施方式中,网络节点104和网络节点114用于从控制器102获取包混淆函数和密钥。替选地,网络节点104和网络节点114用于例如通过使用动态密钥分配来从其他网络节点104至114获取密钥。
包混淆函数以下述方式混淆数据包:使得数据包不相似于或遵循传统格式结构,因此不能够使用传统协议(例如,IP协议和MPLS协议)来处理。对于未被授权的网络节点而言,混淆的头部与目的地之间的关联是未知的。这样,未被授权的网络节点不能够对数据包进行重新封装以将数据包路由至预期目的地。包混淆函数可以包括:用于包混淆的指令或算法和/或用于包去混淆的指令或算法;用于对数据包的至少一部分进行加密和/或解密的加密指令;以及用于通过使用一个或更多个密钥对数据包的至少一部分进行散列的密码指令。密钥可以包括:用于加密算法的加密密钥;用于密码算法的认证密钥;以及本领域普通技术人员在阅读本公开内容时会理解的任何其他类型的密钥。转发规则可以包括:转发表;查找表;用于确定或关联转发规则条目和混淆的数据包的指令;一个或更多个转发规则条目;以及用于使用转发规则条目来路由混淆的数据包的指令。转发规则条目可以包括但不限于:通过网络的流或路径;下一跳标识符;端口标识符以及网络地址(例如,IP地址)。流是指通过网络的至少一部分的路径,所述网络的至少一部分沿该路径包括一个或更多个网络节点104至114。
在一种实施方式中,包混淆函数对数据包的头部部分应用密码算法(例如,键控散列算法)以生成混淆的头部,并且对数据包的头部部分和有效载荷部分应用加密算法以生成混淆的有效载荷。在另一实施方式中,对数据包的仅有效载荷部分应用加密算法以生成混淆的有效载荷。然后,通过混淆的头部对混淆的有效载荷进行封装以生成混淆的数据包。混淆的头部包括混淆的路由头部部分和混淆的安全头部部分。安全头部部分可以包括安全参数索引、序列号以及认证数据。安全参数索引用于指示用于对数据包进行混淆或去混淆的密钥或算法。序列号用于防止重放攻击。认证数据是被创建用于对混淆的数据包进行验证或认证的数据。可以使用密钥来认证混淆的数据包。例如,可以对混淆的路由头部部分和混淆的有效载荷中的至少一部分应用密码算法和认证密钥以生成测试数据。当测试数据与认证数据匹配时混淆的数据包被验证。
在一种实施方式中,包混淆函数用于通过将路由信息(例如,目的地地址或MPLS隧道)与随机数据进行级联来生成混淆的头部。密码算法包括对级联的结果应用的散列函数(例如,安全散列算法(secure hashing algorithm,SHA)256)。路由信息和散列函数的结果具有一对一映射。可以使用散列函数的结果来建立转发表中的转发规则条目。例如,将使用散列函数的结果建立的转发规则条目映射至通过网络的流。未配置有包混淆函数和密钥的其他网络节点不能够篡改混淆的头部。可以使用混淆的头部的至少一部分例如混淆的路由头部部分来识别转发表中的转发规则条目。混淆的路由头部部分被唯一地分配给转发规则条目。数据包的有效载荷通过使用加密算法(例如,使用高级加密标准(advancedencryption standard,AES)-128)来加密,并且与混淆的头部进行组合。所得到的混淆的数据包通过包混淆函数来加密。混淆的头部可以在任何预定位置与混淆的有效载荷进行组合。可以对所有数据包应用包混淆函数,并且对于每个转发规则条目而言包混淆函数可以是唯一的。可以采用本领域普通技术人员在阅读本公开内容时会理解的任何其他适当的包混淆函数来生成混淆的数据包,该混淆的数据包包括混淆的头部和混淆的有效载荷。可以使用去混淆函数和密钥将混淆的数据包去混淆,以生成去混淆的数据包。去混淆函数可以颠倒或倒置由包混淆函数对混淆的数据包应用的步骤,以获得原始数据包。例如,去混淆函数可以将混淆的有效载荷与混淆的头部解封装,并且颠倒由包混淆函数应用的步骤以恢复原始的头部和有效载荷。
网络节点104用于接收数据包160,数据包160例如可以是从另一网络中的网络节点发送的IP包。网络节点104用于:使用包混淆函数来生成混淆的数据包162。网络节点104用于对数据包160应用包混淆函数以生成混淆的数据包162。在一种实施方式中,网络节点104可以采用一个或更多个密钥与包混淆函数结合来生成混淆的数据包162。混淆的数据包162包括混淆的头部和混淆的有效载荷。网络节点104用于使用混淆的头部来确定网络节点106是混淆的数据包162的下一跳。网络节点104使用混淆的头部来识别与混淆的数据包162的流或下一跳相关联的转发规则条目。例如,混淆的数据包包括值为0x0011223344556677的混淆的路由头部部分。转发表可以包括条目{0,64,表2},这表示使用混淆的数据包中的从位置0到位置63的比特作为搜索关键字,并且将该搜索关键字与表2一起使用。表2包括条目{0x0011223344556677,eth0/0/0},该条目与搜索关键字对应并且指示要将混淆的数据包转发至接口eth0/0/0。网络节点104确定该转发规则条目与网络节点106相关联。网络节点104将混淆的数据包162发送给网络节点106。未配置有包混淆函数和密钥的网络节点不能够对混淆的数据包162进行篡改或解密。网络节点106用于:接收混淆的数据包162;使用混淆的头部和转发规则来确定网络节点108是与混淆的数据包162相关联的下一跳;以及将混淆的数据包162发送给网络节点108。类似地,网络节点108至112用于:接收混淆的数据包162;使用混淆的头部和转发规则来确定与混淆的数据包162相关联的下一跳;以及将混淆的数据包162发送给下一跳。网络节点114用于:接收混淆的数据包162并且将其去混淆。例如,网络节点114用于对数据包162应用去混淆函数以恢复原始的数据包160。网络节点114用于使用数据包160的头部中所提供的路由信息(例如,目的地地址)来发送数据包160。
图2是一种实施方式的对于网络节点的包混淆方法200的流程图。包混淆方法200用于混淆数据包以及通过网络发送混淆的数据包。在一种实施方式中,网络节点(例如,图1中的网络节点104)用于:获取包混淆函数、一个或更多个密钥及转发规则;使用包混淆函数和一个或更多个密钥来混淆数据包;以及发送混淆的数据包。在步骤202处,网络节点获取包混淆函数和转发规则,转发规则包括多个转发规则条目。网络节点还可以获取一个或更多个密钥,如与包混淆函数相关联的加密密钥和认证密钥。在一种实施方式中,网络节点从控制器(例如,图1的控制器102)获取包混淆函数、密钥以及转发规则。在步骤204处,网络节点接收数据包。数据包可以是IP数据包或本领域普通技术人员在阅读本公开内容时会理解的任何其他适当的包类型。在步骤206处,网络节点使用包混淆函数来混淆数据包。网络节点对数据包应用包混淆函数以生成混淆的数据包,该混淆的数据包包括混淆的头部和混淆的有效载荷。在步骤208处,网络节点使用混淆的头部的混淆的路由头部部分来识别转发表中的转发规则条目。例如,转发表将混淆的路由头部部分与通过网络的流或替选地与流中的下一跳节点唯一地关联。网络节点基于混淆的头部仅知道混淆的数据包接下来去往的地点。网络节点不能够了解混淆的数据包的整个源路由。此外,网络节点不能够再现预期源路由的混淆的头部,并且不能够修改混淆的头部以将混淆的数据包拷贝给未被授权的接收者。在步骤210处,网络节点根据通过混淆的路由头部部分识别的转发规则条目来将混淆的数据包发送给下一跳网络节点。
图3是一种实施方式的对于网络节点的包转发方法300的流程图。包转发方法300用于通过网络转发混淆的数据包。在一种实施方式中,网络节点(例如,图1中的网络节点106至112)用于:获取转发规则;接收混淆的数据包;识别与混淆的数据包相关联的转发规则条目;以及根据该转发规则条目来转发混淆的数据包。在步骤302处,网络节点获取转发规则,转发规则包括多个转发规则条目。在一种实施方式中,网络节点从控制器(例如,图1中的控制器102)接收转发规则。在步骤304处,网络节点接收混淆的数据包。混淆的数据包包括混淆的头部和混淆的有效载荷。可选地,网络节点可以获取一个或更多个密钥,并且例如通过使用混淆的数据包和密钥对该混淆的数据包进行认证。在步骤306处,网络节点识别与混淆的路由头部部分相关联的转发规则条目。混淆的路由头部部分引用与混淆的头部唯一地关联的转发规则条目。在步骤308处,网络节点根据该转发规则条目将混淆的数据包沿流发送给另一网络节点。
图4是一种实施方式的对于网络节点的包去混淆方法400的流程图。可以采用包去混淆方法400以将混淆的数据包去混淆。在一种实施方式中,网络节点(例如,图1中的网络节点114)用于:获取去混淆函数和一个或更多个密钥;接收混淆的数据包;使用去混淆函数将混淆的数据包去混淆;以及发送去混淆的数据包。在步骤402处,网络节点获取去混淆函数。网络节点还可以获取与去混淆函数相关联的一个或更多个密钥。在一种实施方式中,网络节点从控制器(例如,图1中的控制器102)获取去混淆函数和一个或更多个密钥。在步骤404处,网络节点接收混淆的数据包。混淆的数据包包括混淆的头部和混淆的有效载荷。可选地,网络节点可以例如使用混淆的数据包和密钥对该混淆的数据包进行认证。在步骤406处,网络节点使用去混淆函数将混淆的数据包去混淆。在一种实施方式中,去混淆函数颠倒由包混淆函数对混淆的数据包应用的步骤以生成去混淆的数据包。在步骤408处,网络节点使用在去混淆的数据包的头部中提供的路由信息(例如,目的地地址)将去混淆的数据包发送给另一网络节点。
图5是网络设备500的示意图。网络设备500可以适用于实现所公开的实施方式。例如,网络设备500可以实现系统100中的网络节点104至114以及方法200至400。网络设备500包括端口510、收发器单元(Tx/Rx)520、处理器530以及存储器560,其中存储器560包括包混淆模块570。端口510耦接至Tx/Rx 520,Tx/Rx 520可以是发送器、接收器或其组合。Tx/Rx520可以经由端口510发送和接收数据。处理器530用于处理数据。存储器560用于存储用于实现本文所描述的实施方式的数据和指令。网络设备500还可以包括电-光(electrical-to-optical,EO)部件和光-电(optical-to-electrical,OE)部件,所述电-光部件和光-电部件耦接至端口510和Tx/Rx 520用于接收和发送电信号和光信号。
处理器530可以由硬件和软件来实现。处理器530可以被实现为一个或更多个中央处理单元(central processing unit,CPU)芯片、逻辑单元、核(例如,作为多核处理器)、现场可编程门阵列(field-programmable gate array,FPGA)、专用集成电路(applicationspecific integrated circuit,ASIC)以及数字信号处理器(digital signal processor,DSP)。处理器530与端口510、Tx/Rx 520以及存储器560通信。
存储器560包括一个或更多个磁盘、磁带驱动器以及固态驱动器,并且可以用作溢出数据存储装置,该溢出数据存储装置用于在程序被选择用于执行时存储这样的程序以及用于存储在程序执行期间读取的指令和数据。存储器560可以是易失性和非易失性的,并且可以是只读存储器(read-only memory,ROM)、随机存取存储器(random-access memory,RAM)、三态内容可寻址存储器(ternary content-addressable memory,TCAM)以及静态随机存取存储器(static random-access memory,SRAM)。包混淆模块570在处理器530上实现,处理器530执行用于实现各种实施方式如方法200至400的指令。
尽管在本公开内容中提供了几种实施方式,但是应当理解,在不脱离本公开内容的精神或范围的情况下,所公开的系统和方法可以以许多其他具体形式来实施。本发明的示例应被视为说明性而非限制性的,并且意图并不限于本文所给出的细节。例如,各个元件或部件可以被组合或合并在其他系统中,或者某些特征可以省略或不实现。
此外,在不脱离本公开内容的范围的情况下,各种实施方式中描述和说明为分立或单独的技术、系统、子系统和方法可以与其他系统、模块、技术或方法进行组合或合并。被示出为或论述为彼此耦接或者彼此直接耦接或通信的其他项可以不论以电方式,机械方式还是以其他方式通过某个接口、设备或中间部件而被间接地耦接或进行通信。本领域技术人员能够确定其他更改、替换以及改变的示例并且在不偏离本文所公开的精神和范围的情况下还可以做出其他更改、替换以及改变的示例。

Claims (22)

1.一种包混淆方法,应用于第一网络节点,包括:
从第二网络节点接收数据包,所述数据包具有路由头部部分和有效载荷部分;
对所述路由头部部分执行第一混淆以生成混淆的路由头部部分;
对至少所述有效载荷部分执行第二混淆以生成混淆的有效载荷部分;
将所述混淆的路由头部部分与所述混淆的有效载荷部分进行组合以形成混淆的数据包;
使用所述混淆的路由头部部分来识别转发规则条目,其中,所述混淆的路由头部部分与所述转发规则条目唯一地关联;以及
根据所述转发规则条目来向下一跳网络节点发送所述混淆的数据包。
2.根据权利要求1所述的方法,其中,所述第二混淆包括仅对所述有效载荷部分进行混淆以生成混淆的有效载荷部分。
3.根据权利要求1所述的方法,其中,所述第二混淆包括对所述路由头部部分和所述有效载荷部分进行混淆以生成混淆的有效载荷部分。
4.根据权利要求1所述的方法,还包括生成混淆的安全头部部分,所述混淆的安全头部部分包括用于验证所述混淆的数据包的完整性的认证数据。
5.根据权利要求1所述的方法,其中,执行所述第一混淆包括使用第一密钥来生成混淆的路由头部部分。
6.根据权利要求1所述的方法,其中,执行所述第二混淆包括使用第二密钥来生成混淆的有效载荷部分。
7.一种包转发方法,其特征在于,应用于未配置有包混淆函数和密钥的网络节点,且所述方法包括:
接收混淆的数据包,所述混淆的数据包包括混淆的路由信息;
使用混淆的路由信息从多个转发规则条目中识别转发规则条目,其中,所述转发规则条目用于识别数据包将要被转发至的下一跳网络节点;以及
根据所述转发规则条目来向下一跳网络节点发送所述混淆的数据包。
8.根据权利要求7所述的方法,其中,所述混淆的数据包包括所述混淆的路由信息和混淆的路由头部部分。
9.根据权利要求8所述的方法,其中,所述混淆的路由头部部分与所述转发规则条目唯一地关联。
10.根据权利要求7所述的方法,其中,发送所述混淆的数据包包括在不修改所述混淆的数据包的情况下转发所述混淆的数据包。
11.根据权利要求7所述的方法,其中,所述转发规则条目与通过网络的流相关联。
12.根据权利要求7所述的方法,其中,所述转发规则条目与目的地地址相关联。
13.一种包混淆设备,包括:
发送器;
处理器,所述处理器耦接至存储器和所述发送器,其中,所述存储器包括计算机可执行指令,所述计算机可执行指令存储在非暂态计算机可读介质中使得所述计算机可执行指令当由所述处理器执行时使所述处理器:
使用包混淆函数来混淆路由信息;
根据所混淆的路由信息来生成多个转发规则条目;
将所述多个转发规则条目中的至少一个转发规则条目发送给网络中的至少一个第一网络节点;
将所述包混淆函数发送给所述网络中的至少一个第二网络节点;以及
将去混淆函数发送给所述网络中的至少一个第三网络节点。
14.根据权利要求13所述的设备,其中,混淆所述路由信息包括使用密钥。
15.根据权利要求14所述的设备,其中,所述存储器包括用于使所述处理器将所述密钥发送给至少一个网络节点的计算机可执行指令。
16.根据权利要求13所述的设备,其中,所述多个转发规则条目中的每个转发规则条目与通过所述网络的流唯一地关联。
17.根据权利要求13所述的设备,其中,所述多个转发规则条目中的每个转发规则条目与目的地地址唯一地关联。
18.一种包转发方法,包括:
使用包混淆函数来混淆路由信息;
根据所混淆的路由信息来生成多个转发规则条目;
将所述多个转发规则条目中的至少一个转发规则条目发送给网络中的至少一个第一网络节点;
将所述包混淆函数发送给所述网络中的至少一个第二网络节点;以及
将去混淆函数发送给所述网络中的至少一个第三网络节点。
19.根据权利要求18所述的方法,其中,混淆所述路由信息包括使用密钥。
20.根据权利要求19所述的方法,还包括将所述密钥发送给至少一个网络节点。
21.根据权利要求18所述的方法,其中,所述多个转发规则条目中的每个转发规则条目与通过所述网络的流唯一地关联。
22.根据权利要求18所述的方法,其中,所述多个转发规则条目中的每个转发规则条目与目的地地址唯一地关联。
CN201680004966.XA 2015-02-27 2016-02-26 包混淆和包转发 Active CN107113239B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/633,299 US9923874B2 (en) 2015-02-27 2015-02-27 Packet obfuscation and packet forwarding
US14/633,299 2015-02-27
PCT/CN2016/074647 WO2016134664A1 (en) 2015-02-27 2016-02-26 Packet obfuscation and packet forwarding

Publications (2)

Publication Number Publication Date
CN107113239A CN107113239A (zh) 2017-08-29
CN107113239B true CN107113239B (zh) 2020-03-31

Family

ID=56787885

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680004966.XA Active CN107113239B (zh) 2015-02-27 2016-02-26 包混淆和包转发

Country Status (4)

Country Link
US (1) US9923874B2 (zh)
EP (1) EP3254418B1 (zh)
CN (1) CN107113239B (zh)
WO (1) WO2016134664A1 (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10397190B2 (en) * 2016-02-05 2019-08-27 Huawei Technologies Co., Ltd. System and method for generating an obfuscated optical signal
US10320750B1 (en) * 2016-03-30 2019-06-11 Amazon Technologies, Inc. Source specific network scanning in a distributed environment
US10333962B1 (en) 2016-03-30 2019-06-25 Amazon Technologies, Inc. Correlating threat information across sources of distributed computing systems
US11876786B2 (en) * 2016-12-08 2024-01-16 Comcast Cable Communications, Llc Protocol obfuscation in moving target defense
WO2018174901A1 (en) * 2017-03-24 2018-09-27 Visa International Service Association Authentication system using secure multi-party computation
US10666624B2 (en) * 2017-08-23 2020-05-26 Qualcomm Incorporated Systems and methods for optimized network layer message processing
CN108055657A (zh) * 2017-12-14 2018-05-18 深圳Tcl数字技术有限公司 节点信息转发方法、网络设备及计算机可读存储介质
GB201802347D0 (en) * 2018-02-13 2018-03-28 Nchain Holdings Ltd Computer-implemented system and method
US11206244B2 (en) * 2018-12-21 2021-12-21 ARRIS Enterprise LLC Method to preserve video data obfuscation for video frames
US11170128B2 (en) * 2019-02-27 2021-11-09 Bank Of America Corporation Information security using blockchains
CN110191052B (zh) * 2019-04-23 2021-05-14 北京交通大学 一种跨协议网络传输方法及系统
US11741248B2 (en) 2019-08-20 2023-08-29 Bank Of America Corporation Data access control using data block level encryption
US11176264B2 (en) 2019-08-20 2021-11-16 Bank Of America Corporation Data access control using data block level decryption
CN111787032B (zh) * 2020-08-05 2022-10-25 北京北斗弘鹏科技有限公司 一种抵御网络通信监听的数据发送和接收方法以及装置
US12099622B2 (en) * 2020-12-21 2024-09-24 Cryptography Research, Inc Protection of neural networks by obfuscation of activation functions
US11528257B1 (en) * 2021-08-19 2022-12-13 NortonLifeLock Inc. Identifying and removing a tracking capability from an external domain that performs a tracking activity on a host web page
US11848919B1 (en) * 2021-12-13 2023-12-19 Akamai Technologies, Inc. Patternless obfuscation of data with low-cost data recovery
EP4322466A1 (en) * 2022-08-08 2024-02-14 Apple Inc. Techniques for transmitting frames with securely scrambled payload
CN115348340B (zh) * 2022-08-15 2024-03-08 中国人民解放军战略支援部队信息工程大学 一种数据转发方法、装置、设备和存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1805333A (zh) * 2005-01-11 2006-07-19 三星电子株式会社 无线网络系统中的数据安全

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7111163B1 (en) * 2000-07-10 2006-09-19 Alterwan, Inc. Wide area network using internet with quality of service
US20050235145A1 (en) * 2002-12-05 2005-10-20 Canon Kabushiki Kaisha Secure file format
US7978655B2 (en) * 2003-07-22 2011-07-12 Toshiba America Research Inc. Secure and seamless WAN-LAN roaming
JP4334425B2 (ja) * 2004-07-09 2009-09-30 富士通株式会社 ホームエージェント
GB2422272A (en) * 2005-01-14 2006-07-19 King S College London Network mobility
US7793110B2 (en) * 2006-05-24 2010-09-07 Palo Alto Research Center Incorporated Posture-based data protection
US7865717B2 (en) * 2006-07-18 2011-01-04 Motorola, Inc. Method and apparatus for dynamic, seamless security in communication protocols
WO2008147302A1 (en) * 2007-05-09 2008-12-04 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for protecting the routing of data packets
US8397065B2 (en) * 2007-10-17 2013-03-12 Telcordia Technologies, Inc. Secure content based routing in mobile ad hoc networks
US8700894B2 (en) 2007-10-17 2014-04-15 Pitney Bowes Inc. Method and system for securing routing information of a communication using identity-based encryption scheme
US8533465B2 (en) 2008-03-05 2013-09-10 The Johns Hopkins University System and method of encrypting network address for anonymity and preventing data exfiltration
US20090313465A1 (en) * 2008-05-23 2009-12-17 Verma Pramode K Methods and apparatus for securing optical burst switching (obs) networks
EP2329621B1 (en) * 2008-09-24 2020-09-23 Telefonaktiebolaget LM Ericsson (publ) Key distribution to a set of routers
US8996728B2 (en) * 2010-10-01 2015-03-31 Telcordia Technologies, Inc. Obfuscating network traffic from previously collected network traffic
DE102011009008A1 (de) * 2011-01-20 2012-07-26 Rohde & Schwarz Gmbh & Co. Kg Authentifizierung von verschlüsselten Datenblöcken
WO2013149041A1 (en) * 2012-03-30 2013-10-03 Huawei Technologies Co., Ltd. Enhancing ipsec performance and security against eavesdropping
US8924718B2 (en) * 2012-10-29 2014-12-30 Tektronix, Inc. Deciphering internet protocol (IP) security in an IP multimedia subsystem (IMS) using a monitoring system
US9009465B2 (en) * 2013-03-13 2015-04-14 Futurewei Technologies, Inc. Augmenting name/prefix based routing protocols with trust anchor in information-centric networks
WO2014175335A1 (ja) * 2013-04-24 2014-10-30 日本電気株式会社 制御装置、計算機システム、通信制御方法及びプログラム
CN104283757B (zh) 2013-07-08 2017-10-20 北京思普崚技术有限公司 一种基于IPsec的VPN快速连接方法
US9509606B2 (en) * 2014-07-30 2016-11-29 Aruba Networks, Inc. Distributed virtual private network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1805333A (zh) * 2005-01-11 2006-07-19 三星电子株式会社 无线网络系统中的数据安全

Also Published As

Publication number Publication date
WO2016134664A1 (en) 2016-09-01
US20160255054A1 (en) 2016-09-01
EP3254418B1 (en) 2021-05-26
EP3254418A1 (en) 2017-12-13
CN107113239A (zh) 2017-08-29
US9923874B2 (en) 2018-03-20
EP3254418A4 (en) 2018-02-21

Similar Documents

Publication Publication Date Title
CN107113239B (zh) 包混淆和包转发
US10992654B2 (en) Secure WAN path selection at campus fabric edge
CN107567704B (zh) 使用带内元数据的网络路径通过验证
US8112622B2 (en) Chaining port scheme for network security
US11804967B2 (en) Systems and methods for verifying a route taken by a communication
EP2823619B1 (en) Policy for secure packet transmission using required node paths and cryptographic signatures
US10491569B1 (en) Secure transfer of independent security domains across shared media
US8370921B2 (en) Ensuring quality of service over VPN IPsec tunnels
EP3157225B1 (en) Encrypted ccnx
US11297070B2 (en) Communication apparatus, system, method, and non-transitory medium
US7877601B2 (en) Method and system for including security information with a packet
US9515992B2 (en) Network environment separation
US11418434B2 (en) Securing MPLS network traffic
US7797741B2 (en) System and method for coping with encrypted harmful traffic in hybrid IPv4/IPv6 networks
CN110048986B (zh) 一种保证环网协议运行安全的方法及装置
WO2018214701A1 (zh) 一种数据报文发送方法、网络设备、控制设备及网络系统
CN110832806B (zh) 针对面向身份的网络的基于id的数据面安全
CN104219222A (zh) 交换路径网络中用于中间消息认证的系统和方法
CN105743863A (zh) 一种对报文进行处理的方法及装置
CN111970247B (zh) 匿名通信网络中对等环的混淆消息发送方法
US20210092103A1 (en) In-line encryption of network data
US12088562B1 (en) Tunneling of MACsec frames
US20170063813A1 (en) Secure Packet Communication with Common Protocol
Leddy et al. IPv6 Segment Routing Header (SRH)
Gokulakrishnan et al. A Novel Approach for Authenticated Data Transmission in Sensor Virtual Private Network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant