CN107534655A - 控制器生成的网际控制报文协议回声请求的防火墙认证 - Google Patents
控制器生成的网际控制报文协议回声请求的防火墙认证 Download PDFInfo
- Publication number
- CN107534655A CN107534655A CN201680021991.9A CN201680021991A CN107534655A CN 107534655 A CN107534655 A CN 107534655A CN 201680021991 A CN201680021991 A CN 201680021991A CN 107534655 A CN107534655 A CN 107534655A
- Authority
- CN
- China
- Prior art keywords
- network
- authentication token
- test
- message
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种由网络防火墙实施的方法,包括:获取用于网络测试的第一认证令牌,接收用于对连接到该网络防火墙的网元(network element,NE)进行网络测试的测试请求消息,通过判断所述测试请求消息是否包括与所述第一认证令牌匹配的第二认证令牌来认证该测试请求消息,以及当所述第二认证令牌与第一认证令牌匹配时,授权所述NE的所述网络测试。
Description
交叉申请
本申请要求2015年5月11日提交的发明名称为“控制器生成的网际控制报文协议(ICMP)回声请求的防火墙认证(Firewall Authentication of Controller-GeneratedInternet Control Message Protocol(ICMP)Echo Requests)”的第14/709,180号美国专利申请的优先权,该在先申请的全部内容以引入的方式并入本文本中。
背景技术
随着因特网广泛用于现代通信,例如电子邮件、内容共享、在线购物和/或银行交易,网络安全正变得越来越重要。但是,因特网同时也为恶意通信或安全攻击提供了许多可乘之机。防火墙为网络安全系统的一个示例,其基于所应用规则集控制网络或联网域的输入和/或输出业务。防火墙在可信安全的内部网络与因特网等被认为不可信且不安全的另一外部网络之间建立屏障。防火墙可以实施为软件解决方案或硬件设施。某些在网络间传送数据的路由器与防火墙组件集成在一起。反之,某些防火墙与基础路由功能集成在一起。
发明内容
在一项实施例中,本发明包括一种由网络防火墙实施的方法,包括:获取网络测试的第一认证令牌,接用于对连接到网络防火墙的网元(network element,NE)进行网络测试的测试请求消息,通过判断所述测试请求消息是否包括与所述第一认证令牌匹配的第二认证令牌来认证所述测试请求消息,以及当所述第二认证令牌与第一认证令牌匹配时,授权所述NE的所述网络测试。
在另一项实施例中,本发明包括一种由网络管理实体实施的方法,包括:与网络防火墙交换认证令牌来进行网络测试,生成用于对连接到所述网络防火墙的NE进行网络测试的网络请求消息,将所述认证令牌嵌入到所述测试请求消息中,以及向所述NE发送包括所述认证令牌的所述测试请求消息。
在又一项实施例中,本发明包括连接到网络防火墙的NE,包括:用于耦合到网络的接收器、用于耦合到所述网络的发射器以及耦合到所述接收器和所述发射器的的处理器,其中,所述处理器用于:通过所述接收器从指示连接性测试请求的网络管理实体接收第一测试请求消息,其中所述第一测试请求消息包括认证令牌;向所述网络防火墙转发所述第一测试请求消息,以通过所述网络防火墙请求认证所述认证令牌;当所述第一测试请求消息的认证令牌成功认证时,从所述网络防火墙接收到第二测试请求消息;以及在从所述网络防火墙接收到所述第二测试请求消息后,通过所述发射器向所述网络管理实体发送测试回复消息。
在另一项实施例中,本发明包括一种装置,所述装置包括:接收器,用于接收用于对连接到所述装置的NE进行网络测试的第一请求消息;以及处理器,耦合到所述接收器并用于获取用于所述网络测试的第一认证令牌,通过判断所述测试请求消息是否包括与所述第一认证令牌匹配的第二认证令牌来认证所述测试请求消息,以及当所述第二认证令牌与所述第一认证令牌匹配时,授权所述NE的所述网络测试。
在另一项实施例中,本发明包括一种装置,所述装置包括发射器、接收器,以及耦合到所述发射器和所述接收器的处理器,其中,所述处理器用于:通过所述发射器和接收器与网络防火墙交换认证令牌来进行网络测试;将所述认证令牌嵌入到用于对连接到所述网络防火墙的NE进行网络测试的测试请求消息;以及通过发射器向所述NE发送包括该认证令牌的测试请求消息。
在另一项实施例中,本发明包括一种由连接到网络防火墙的NE实施的方法,包括:从指示连接性测试请求的网络管理实体接收第一测试请求消息,其中所述第一测试请求消息包括认证令牌;向所述网络防火墙转发所述第一测试请求以请求通过所述网络防火墙来认证所述认证令牌;当所述第一测试请求消息的认证令牌成功认证后,从所述网络防火墙接收第二测试请求消息;以及在从所述网络防火墙接收到所述第二测试请求消息后,向所述网络管理实体发送测试回复消息。
结合附图和权利要求书可以从以下的详细描述中更清楚地理解这些和其它特征。
附图说明
为了更透彻地理解本发明,现参阅以下简要描述连同附图和具体实施方式,其中的相同参考标号表示相同部分。
图1为网络系统的一实施例的示意图。
图2为网络系统内NE的一实施例的示意图。
图3为实施用于进行安全网络测试的方法的网络的一实施例的示意图。
图4为一种用于建立认证网络测试会话的方法的一实施例的协议图。
图5为一种用于建立认证网络测试会话的方法的另一实施例的协议图。
图6为一种用于在认证网络测试会话中对连接防火墙的NE进行网络测试的方法的一实施例的协议图。
图7为用于在认证网络测试会话中对连接防火墙的NE进行网络测试的方法的一实施例的流程图。
图8为用于认证网络测试的方法的一实施例的流程图。
图9为扩展网际控制报文协议(Internet Control Message Protocol,ICMP)回声请求报文的一实施例的示意图。
图10为用于在认证网络测试会话中响应网络测试的方法的一实施例的流程图。
具体实施方式
首先应理解,尽管下文提供一项或多项实施例的说明性实施方案,但所公开的系统和/或方法可使用任何数目的技术来实施,无论该技术是当前已知还是后续开发的。本发明决不应限于下文所说明的说明性实施方案、附图和技术,包括本文所说明并描述设计和实施方案,而是可在所附权利要求书的范围以及其等效物的完整范围内修改。
ICMP是一种上报涉及IP网络中互联网协议(Internet protocol,IP)报文处理错误和其他信息的协议。IP版本4(IP version 4,IPv4)和IP版本6(IP version 6,IPv6)的ICMP分别在互联网工程任务组(Internet Engineering Task Force,IETF)文档征求意见稿(Request For Comments,RFC)792和RFC4443中进行了描述,这两个征求意见稿均以引入的方式并入本文本中。网络设备,例如路由器、交换机、网关和网桥,可以使用ICMP来发送错误消息,例如指示所请求的服务不可用或者上报不可达主机或路由器的错误消息。一些基于ICMP的示例应用和/或实用包括ping和traceroute。ping实用和traceroute实用通过ICMP回声请求消息和ICMP回声回复消息来实施。该ping实用用来测试IP网络上目的网络设备的可达性或连接性。此外,ping实用可以测量始发网络设备与目的网络设备之间的往返延迟。traceroute实用用来发现始发网络设备与目的网络设备之间的连续网络设备。此外,traceroute实用可以测量连续网络设备之间的报文迁移延迟。许多网络使用防火墙来改进网络安全性。但是,一些防火墙可以拒绝或阻止ICMP消息,导致该ping实用和/或该traceroute实用上报故障。
本发明公开了用来用于认证网络管理实体或网络控制器和与防火墙之间网络测试会话的机制。所公开的认证机制使得防火墙能够识别和接收接受(例如经过)已认证的或可信的网络控制器和/或网络管理实体所产生的测试请求消息,以及拒绝(例如过滤掉)其他其它非信任实体所产生的测试请求消息。为建立认证网络测试会话,网络控制器与防火墙交换认证令牌(例如32位随机数字)。该认证令牌可能跟到期时间周期相关,在到期时间周期之后,该认证令牌可能变为无效。随后,当网络控制器发送测试请求消息给连接防火墙的网络设备时,网络控制器将所交换的认证令牌嵌入到测试请求消息求求消息中,这样防火墙可允许测试请求消息传递给该网络设备。例如,当网络设备从网络控制器接收到测试请求消息时,网络设备将测试请求消息转发给防火墙进行认证。防火墙通过核实所交换的认证令牌为有效来认证该测试请求消息,例如,在到期周期截止到期前,该测试请求消息包括与所交换的认证令牌匹配的认证令牌。防火墙在认证该测试请求消息后,将转发该测试请求消息回来转发回给该网络设备。该网络设备可以通过发送测试回复消息给网络控制器来回复该测试请求消息。在一个项实施例中,网络控制器在交换认证令牌过程中期间生成认证令牌。在另一项实施例中,防火墙在交换认证令牌过程中期间生成认证令牌。在一个项实施例中,网络测试为基于ICMP回声请求消息和ICMP回声回复消息的逻辑连接性测试。所公开的实施例提供用于用于扩展IETF文档RFC792和RFC4443所定义的ICMP回声请求消息的机制。所公开的实施例适用于任何网络,例如传统IP网络或者网络定义网络(software-defined network,SDN)。在传统IP网络中,中央网络管理实体可以为管理实体,例如网络管理员,而在SDN中,中央网络管理实体可以为SDN控制器。
图1为网络系统100的一实施例的示意图。系统100可为数据中心(data center,DC)网络、城域网(metropolitan area network,MAN)、SDN或者企业广域网(wide areanetwork,WAN)。系统100包括耦合到网络控制器110的传输网络130。网络130包括通过多个链路131互联的多个网络节点121、122和123(例如R1、R2和R3),以及防火墙150。网络130可包括单个组网域或者多个组网域。在一项实施例中,系统100可分区为多个网络域,每个网络域可以耦合到网络控制器110。在另一项实施例中,系统100可包括耦合到多个网络控制器110的单个网络域。在又项一实施例中,系统100可包括耦合到单个网络控制器110的单个网络域。链路131可包括用于传输数据的物理链路,比如例如光纤链路、电子链路、逻辑链路、或者其它们的组合。
网络控制器110可以为虚拟机器(virtual machine,,VM)、虚拟机监视器、包括多个计算设备的分布式系统、,或者用于管理网络130的任何设备和/或系统。网络控制器110可以为在硬件上运行的软件代理,且代表拥有网络130的网络提供商进行操作的软件代理,。网络控制器110可以执行多种运行、管理和维护(operation,administration,andmanagement,,OAM)操作,以使网络运营商和/或网络提供商解决网络问题、监控网络性能、执行网络维护。例如,网络控制器110监控和并核实网络节点121至123间的连接性,跟踪经过跨网络130的特定网络路径中的网络节点121至123,检测和并隔离链路131的连接性故障,和/或当检测到故障工作链路131时进行保护切换。
网络节点121至123可以为交换机、路由器、网桥、网关,和/或任何其它适合在网络130中转发数据的网络设备。防火墙150可为用于连接网络节点121至123中一个或多个节点的任何设备,例如用来保护连接到网络节点121至123的租户系统(tenant system,TS)。防火墙150可实施为网络设备上的软件组件和/或硬件组件。如系统100所示,防火墙150用来保护通过网络节点122连接的TS,例如,基于一组预定规则通过控制去往网络节点122的输入业务和/或发送自网络节点122的输出业务。例如,防火墙150可能拒绝并丢弃输入业务和/或输出业务中的某种数据报文,比如ICMP报文。在一些实施例中,防火墙150为物理设施,可以称为中间盒,包括软件和/或可配置硬件,例如现场可编程门阵列(field-programmable gate array,FPGA),用来执行业务过滤以防止某些类型的数据业务经过网络节点122。在一些其它实施例中,防火墙150实施为集成在网络节点122中的组件和/或单元,可称为访问控制列表(access control list,ACL)。
系统100还包括多个TS141和142(例如TSA和TSB)。如系统100所示,TS141通过网络节点121接入网络130,TS142通过网络节点123接入网络130。TS141和142可以在物理上位于不同地理位置。TS141和142可以为连接到同一实体所拥有的租户网络的网络设备,可以并可使用系统100提供的服务,例如数据传送传输带宽、网络存储,和/或其他其它网络资源。系统100可以由本领域普通技术人员所示或所确定的来配置,以达到相同实现相似功能。
在一项实施例中,系统100通过使用SDN技术来实施为SDN,其中系统100的控制面从系统100的转发面解耦合。网络控制器110用来定义和管理产生在网络130的数据面中出现的数据流。网络控制器110维护网络130的基础设施的全拓扑视图,计算通过网络130的转发路径,使用转发指令配置沿转发路径的网络节点121至123。该转发指令可包括数据流和/或处理数据流功能的流中的下一网络节点121、122或123(下一跳节点)。网络控制器110通过控制面接口132发送转发指令给网络节点121至123.网络节点121至123用于通过控制面接口132、从网络控制器110接收转发指令。网络节点121至123可将转发指令存储在例如一个或多个流表格或转发信息库(forwarding information base,FIB)中。基于转发指令,网络节点121至123可以转发输入报文给下一网络节点121至123,或丢弃该报文。或者,当从未知流或确定由网络控制器110处理的流中接收报文时,网络节点121至123可以转发该报文给该网络控制器110。网络控制器110可以反过来确定该报文的转发路径。
通过网络130的数据传输,例如通过网络节点121至123的数据传输,涉及多种网络控制和管理操作。例如,网络控制器110可以测试网络130中网络节点121至123间的连接性,检测并隔离链路131上的连接性故障,和/或在工作链路131被破坏时,提供网络130中的备选保护切换路径。一种测试网络连接性的方法是使用ICMP回声请求和回复消息。例如,网络控制器100发送ICMP回声请求消息给目的网络节点121、122或123,网络节点121、122或123通过发送ICMP回声回复消息来响应。
在一个项实施例中,系统100实施网络功能虚拟化(network functionvirtualization,,NFV)和服务链接,防火墙150用于拦截ICMP报文。例如,通过沿网络路径133上(如示为虚线所示)的网络节点121至123、在TS141和142间建立服务链,其中网络节点122连接到防火墙150。当网络节点122连接到防火墙150时,防火墙150过滤可能会经过网络节点122的业务,例如,通过以网络节点122保护连接到网络130的TS。网络路径133包括连接网络节点121至123的多个链路131。网络控制器110可以通过发送ICMP回声请求消息给网络节点121至123来确定测试TS141和TS142之间的网络连接性。然而,防火墙150通过拦截ICMP回声请求消息来阻止网络节点122响应ICMP回声请求消息。所以,网络连接性测试可能不会成功完成,而且可能指示在沿网络路径133上的该连接工作时指示为故障连接。
图2为系统100等网络内的NE200的一示例实施例的示意图。例如,NE200可以为路由器、交换机、网关、和/或网络节点,例如网络节点121至123或者防火墙140,网络控制器,例如网络控制器110,和/或网络系统中的任何网络设备或设施。NE200可用于实施和/或支持本文所述的网络测试和认证机制。NE200可在单个节点中实施,或者NE200的功能可在多个节点中实施。本领域技术人员会认识到,术语NE包括多种设备,NE200仅为一个示例。NE200包括在其中是为论述清晰起见,但绝非意指限制本发明的应用为某一特定NE实施例或某类NE实施例。本发明所述的至少一些特性和/或方法可用在网络装置或模块,如NE200中实施。例如,本发明中的特性和/或方法可通过硬件、固件和/或安装以运行在硬件上的软件来实施。如图2所示,NE200可包括一个或多个收发器(transceiver,Tx/Rx)210,可以为发射器、接收器、或其组合。Tx/Rx 210可耦合到多个端口220,以从其它节点传输和/或接收帧。处理器230可耦合到Tx/Rx 210以处理帧和/或确定向哪些节点发送帧。处理器230可包括一个或多个多核处理器和/或存储设备232,存储设备232可作为数据存储器、缓存等。处理器230可实施为通用处理器或可为一个或多个专用集成电路(application specificintegrated circuit,ASIC)的和/或数字信号处理器(digital signal processor,DSP)中的一部分。处理器230可包括网络测试处理模块233,其可执行网络测试和/或网络控制器110、防火墙150或网络节点121、122或123的认证功能,并实施方法300、400、500、600、700、800和/或1000,如下文所充分论述。因此,包含的网络测试处理模块233和相关方法及系统带来了网络改进。在替代性实施例中,网络测试处理模块233可实施为存储在存储设备232中的指令,这些指令可由处理器230来执行。存储设备232可包括暂时存储内容的缓存,如随机存储器(random-access memory,RAM)。此外,存储设备232可包括用于长时期存储内容的长期存储,例如只读存储器(read-only memory,ROM)。举例而言,该缓存和长期存储器可包括动态RAM(dynamic RAM,DRAM)、固态驱动(SSDs)、硬盘或它们的组合。
可以理解,通过编程和/或加载可执行指令到NE200上,处理器230和/或存储器设备232中的至少一个会变化,将NE200部分转变为特定机器或装备,例如拥有本发明所述的新颖功能的多核转发架构。加载可执行软件至计算机所实现的功能可以通过众所周知的设计规则转换为硬件实施,这在电子工程和软件工程领域是很基础的。决定使用软件里还是硬件来实施一个概念通常取决于对设计稳定性和待生产单元的数目的考虑,而非从软件域转移到硬件域中涉及的任何问题。一般而言,仍然处于频繁改变中的设计可能更倾向于在软件中实施,因为重制硬件实施比重制软件设计更加昂贵。一般而言,稳定且大规模生产的设计可能更适于在硬件中实施,例如在ASIC中,因为对于大量生产而言,硬件实施可能比软件实施更为便宜。设计经常可通过软件形式开发和测试,然后再根据公认的设计规则转换为ASIC中的等同硬件实施,该ASIC硬线软件指令。由新的ASIC控制的机器是一种特定机器或装置,同样地,编程和/或加载有可执行指令的计算机可视为特定机器或装置。
如上所述,许多防火墙,如防火墙150,用于应用一套报文过滤规则来保护专用内部网络免受外部网络干扰。报文过滤规则经常设计用来拦截ICMP消息。同样因此,经常使用的基于ICMP回声消息的ping实用和/或traceroute实用均基于ICMP回声消息,不可以用来测试包括连接到防火墙的节点的网络路径连接性。克服解决ICMP回声请求消息遭到拒绝或拦截的一种方法是在网络控制器,如网络控制器110,和与防火墙之间建立信任关系,比如例如在进行连接性测试之前,以及扩展ICMP协议以使认证信息能够可嵌入到ICMP回声请求消息中。例如,网络控制器可以可建立与防火墙建立的认证会话以交换认证信息。随后,当测试连接到防火墙的节点时,该网络控制器可以使用嵌入了交换的认证信息的扩展ICMP回声请求消息。该扩展ICMP回声请求消息和认证信息允许防火墙区分网络控制器发送的ICMP回声消息和其他其它非信任实体。例如,防火墙可以传递控制器产生的ICMP回声消息给该节点,并拒绝由其他其它非信任实体产生的ICMP回声消息。
图3为实施用于进行安全网络测试的方法300的网络的一实施例的示意图。该网络与系统100类似。例如,该网络包括类似于网络控制器110的网络控制器310,类似于网络节点121至123的多个网络节点321、322和323,类似于防火墙150的防火墙350,类似TS141和TS142的多个TS341和342。网络控制器310用于控制多个网络节点321至323。网络节点322连接至防火墙350。TS341和342通过网络节点321至323沿类似于网络路径133的网络路径333(示为虚线)连接。当网络控制器确定测试两个节点(例如网络节点321和323)之间的网络路径(例如网路路径333)的连接性,并且沿该网络路径的至少一个节点(例如网络节点322)连接到拦截ICMP回声消息的防火墙(例如防火墙350)时,实施方法300。例如,为了测试TS341和342的连接性,网络控制器310可以测试网络节点321与323之间的网络路径333,其中网络路径333穿过连接到防火墙350的网络节点322。
在步骤381中,网络控制器310与防火墙350建立认证网络测试会话,并与防火墙350交换认证令牌。认证令牌可以由网络控制器310或防火墙350来生成,如下文所充分讨论。认证令牌可以是为自无效权标令牌。例如,认证令牌可在分配有到期时间周期里分配,这意味着其指示认证令牌的生存周期(time-to-live,TTL)值。认证令牌在到期时间周期结束时变为无效。认证令牌的无效同样也会使得已认证网络测试会话无效和/或结束。例如,到期时间周期大约等同于所期望的认证网络测试会话时长。在一个项实施例中,到期时间周期设置为充足的时长,以允许完成网络节点321和与323之间的网络连接性测试。
在步骤382中,网络控制器310在建立该认证网络测试会话后,通过发送第一ICMP回声请求消息给网络节点321来开始网络连接性测试。网络控制器可以将ICMP回声请求消息的TTL值(例如在IP头中)设置为值1,使得网络节点321可通过第一ICMP回声回复消息进行响应。
在步骤383中,网络控制器310在接收到第一ICMP回声回复消息后,通过网络节点321发送去往网络节点322的第二ICMP回声请求消息。网络控制器310将步骤381中的交换认证令牌嵌入到第二ICMP回声请求消息中,如下文所充分论述。网络控制器可将第二ICMP回声请求消息的TTL值设置为值2(例如TTL=2),使得第二ICMP回声请求消息可到达网络节点322。在步骤384中,一旦接收到第二ICMP回声请求消息,网络节点321就会将第二ICMP回声请求消息的TLL值减1(例如TTL=1),并转发第二ICMP回声请求消息给网络节点322。
在步骤385中,一旦接收到第二ICMP回声请求消息,网络节点322就会将第二ICMP回声请求消息转发给防火墙350来认证。防火墙350通过确定认证令牌尚未到期来认证第二ICMP回声请求消息,且第二ICMP回声消息携带匹配步骤381中的交换认证令牌的认证令牌。防火墙350在成功认证第二ICMP回声请求消息后,将第二ICMP回声请求消息转发回给网络节点322。应注意的是,网络控制器310不会在连接性测试中将防火墙350当做一跳,因此防火墙350不会减少第二ICMP回声请求消息的TLL值。在步骤386中,防火墙350认证第二ICMP回声请求消息后,网络节点322通过发送第二ICMP回声回复消息给网络控制器310来响应网络控制器310。
在步骤387中,网络控制器310在接收到第二ICMP回声回复消息后,通过网络节点321发送去往网络节点323的第三ICMP回声请求消息。网络控制器可以将第三ICMP回声请求消息的TTL值设置为值3(例如TTL=3),使得第三ICMP回声请求消息到达网络节点322。在步骤388中,一旦接收到第三ICMP回声请求消息,网络节点321就会将第三ICMP回声请求消息的TLL值递减1(例如TTL=2),并转发第三ICMP回声请求消息给网络节点322。在步骤389中,一旦接收到第三ICMP回声请求消息,网络节点322就将ICMP回声请求消息的TLL值再递减1(例如TTL=1),并转发第三ICMP回声请求消息给网络节点323。第三ICMP回声请求消息不会转发给防火墙350,因为第三ICMP回声请求消息去往网络节点323,而非网络节点322。在步骤390中,一旦接收到第三ICMP回声请求消息,网络节点322就会以第三ICMP回声回复消息进行响应。应注意的是,网络控制器310可以基于测试中的网络控制器310与指定的网络节点321、322或323间的跳数来配置ICMP回声请求消息的TTL值。当TTL值为0时,ICMP回声请求消息可能会被丢弃。或者,当TTL值为1时,ICMP回声请求消息不会被转发。然而,如上所述,防火墙350不会在网络连接测试中被当做一跳。应注意的是,第一与第三ICMP回声请求消息可能不含步骤381中的认证令牌。
图4为用于建立认证网络测试会话的方法400的一实施例的协议图。方法400在网络控制器,例如网络控制器310,与防火墙,例如防火墙350,之间实施。当网络控制器确定要在连接防火墙的网络节点,例如网络节点322上进行测试时,实施方法400。在步骤410中,网络控制器生成网络测试的认证令牌,确定网络测试或认证令牌的到期时间周期,基于该到期时间周期配置认证令牌的TTL值。认证令牌可以为适合识别该认证网络测试会话的32位随机数字或者任何其它唯一标识。在步骤420中,网络控制器发送包括认证令牌和到期时间周期的认证发起消息给防火墙,以发起认证网络测试会话。在一些实施例中,认证发起消息可为加密消息。在步骤430中,一旦接收到认证发起消息,防火墙就会保存认证令牌,为递减计数器或计时器配置等同于到期时间周期的周期,并启动计数器或计时器。在步骤440中,防火墙发送认证确认消息给网络控制器,以确认认证网络测试会话的建立。
图5为用于建立认证网络测试会话的方法500的另一实施例的协议图。方法500在网络控制器,例如网络控制器310,与防火墙,例如防火墙350,之间实施。当网络控制器确定要在连接防火墙的网络节点,例如步骤381中的网络节点322,上进行测试时,实施方法500。在步骤510中,网络控制器确定网络测试的到期时间周期。在步骤520中,网络控制器发送包括到期周期的认证发起消息给防火墙,以发起认证网络测试会话。在步骤530中,一旦接收到认证发起消息,防火墙就会计算认证令牌,为递减计数器或计时器配置等同于到期时间周期的周期,并启动计数器或计时器。认证令牌可以为适合识别该认证会话的32位随机数字或者任何其它唯一标识。在步骤540中,防火墙发送包括认证令牌的认证确认消息给网络控制器,以确认认证网络测试会话的建立。
图6为用于一种在认证网络测试会话中对连接防火墙的NE,例如网络控制器310,进行网络测试的方法600的一实施例的协议图。方法600在网络控制器,例如网络控制器310,和防火墙,例如防火墙350),,以及连接防火墙的NE之间实施。方法600使用如方法300中所述的大体相似的机制。在认证网络测试会话建立后实施方法600,例如通过使用方法400或500。例如,在建议建立认证网络测试会话期间,在网络控制器和防火墙之间交换与过期时间周期相关的认证令牌。在步骤610,网络控制器发送包括认证令牌的测试请求消息给连接防火墙的NE。在步骤620中,一旦收到测试请求消息,连接防火墙的NE就会转发测试请求消息给防火墙。在步骤620中,一旦收到连接防火墙的NE转发的网络测试请求消息,防火墙就会认证该网络测试请求消息。例如,防火墙首先通过确定到期时间周期未到期从而来确定认证令牌为有效。当认证令牌为有效时,防火墙继续确定测试请求消息包括防火墙认证令牌字段。例如,包括防火墙认证令牌字段的测试请求消息可能包括某一净荷大小。网络控制器在确定测试请求消息包括防火墙认证令牌字段后,会比较防火墙认证令牌字段中的取值值与交换认证令牌。如果防火墙认证令牌字段值与交换认证令牌匹配,则防火墙可允许网络测试进行步骤640。否则,防火墙可以通过丢弃测试请求消息来终止网络测试。在步骤640中,一旦成功认证测试请求消息,防火墙就会转发该测试请求消息给连接防火墙的NE。在步骤650中,一旦接收到防火墙认证的测试请求消息,连接防火墙的NE就通过发送网络测试回复消息来响应网络控制器。在一项实施例中,网络测试为网络连接性测试,测试请求消息为扩展ICMP回声请求消息,如下文所充分论述,且网络测试回复消息为ICMP回声回复消息。应注意的是,在此实施例中,当例如在步骤630中认证ICMP回声请求消息时,防火墙保留了扩展ICMP回声请求消息的TTL值。
图7为用于在认证网络测试会话中对连接防火墙的NE,例如网络节点322,进行网络测试的方法700的一实施例的流程图。方法700由网络控制器310等网络控制器、网络管理员、NE200等NE或任何网络管理节点实施。方法700使用如方法300、400、500和/或600中所述的大体相似的机制。当网络控制器对连接防火墙的网络节点进行网络测试时,实施方法700。在步骤710中,交换认证令牌与网络防火墙交换,例如防火墙350,以进行网络测试。例如,认证令牌可通过使用方法400或500中所述的相似机制来进行交换。在步骤720中,生成指定到去往连接防火墙的NE的测试请求消息。使用测试请求消息来对用于该NE进行网络测试。在步骤730中,将交换认证令牌嵌入到测试请求消息中,例如到防火墙认证令牌字段中,如下文所充分论述。将认证令牌嵌入到测试请求消息中使得防火墙可以成功认证测试请求消息,并使得测试请求要求通过该NE。在步骤740中,向NE发送测试请求消息。在步骤750中,从NE获得测试回复消息,该测试回复消息响应步骤740中发送的测试请求消息。在一项实施例中,测试请求消息为扩展ICMP回声请求消息,如下文所充分论述,测试回复消息为ICMP回声回复消息。
图8为一种用于认证网络测试的方法800的一实施例的流程图。方法800由防火墙(,例如防火墙350),,或NE(,例如NE200)来实施。例如,防火墙用于连接系统(如系统100)等网络中的NE,例如网络节点121至123和NE200。在认证网络测试会话中,实施方法800。在步骤810中,获取认证网络测试会话的认证令牌,比如例如通过方法400或500所述的网络控制器来交换认证发起消息和认证确认消息。认证令牌与到期时间周期相关(例如TTL值)相关,其中认证令牌在到期时间周期结束时会无效或过期。在步骤820中,计时器基于到期时间周期启动计时器。例如,计时器为递减计时器,且计时器配置有等同于到期时间周期的周期,且与认证令牌相关的周期。在步骤830中,接收到测试请求消息,用于进行随连接防火墙的NE的进行网络测试的测试请求消息。例如,测试请求消息由网络控制器发起,由连接防火墙的NE转发。在步骤840中,例如基于该测试请求消息的长度或大小,判断测试请求消息是否包括防火墙认证令牌字段,。如果该测试请求消息不包括防火墙认证令牌字段(例如不包括扩展ICMP回声请求消息),则接下来在步骤880中丢弃该测试请求消息。在一项实施例中,当该测试请求消息为扩展ICMP回声请求消息时,该消息可包括64位净荷,如下文所充分论述。
如果该测试请求消息包括防火墙认证令牌字段,则接下来在步骤850中,判断该防火墙认证令牌字段的值是否匹配该认证令牌。如果发现不匹配,则接下来在步骤850中,丢弃该测试请求消息。如果发现匹配,则接下来在步骤860中,判断对应认证令牌的计时器是否已到期。如果计时器已到期,则接下来在步骤880中,丢弃该测试请求消息。如果计时器没有到期,则接下来在步骤870中,例如通过将该测试请求消息转发回给连接防火墙的NE以使网络测试能够继续,来授权连接防火墙的NE的网络测试。应注意的是,特定计时器与特定认证令牌之间的关联可以通过标识或本领域普通技术人员决定的任何其它适合的机制来实施。
图9为扩展ICMP回声请求报文900的一实施例的示意图。报文900为IP报文的一部分,可以是IPv4或IPv6报文。报文900与ICMP定义的ICMP回声请求消息类似,但会扩展该ICMP回声请求报文以包括扩展字段来携带认证信息。当对连接防火墙350等防火墙的网络节点322等网络节点进行连接性测试时,报文900由网络控制器310等网络控制器来使用,如控制器310。例如,当在认证网络测试会话中发送指定去往连接防火墙的NE的测试请求消息时,方法300、400、500、600、和/或700可使用报文900。报文900包括头910和净荷920。头910包括类型字段911、、码字段912、头校验和字段913、标识字段914和序列号字段915。类型字段911的长度为1字节,指示携带在报文900中的ICMP消息的类型。例如,类型字段911设置为值8,指示报文900为ICMP回声请求报文。码字段912的长度约为1个字节,指示ICMP子类型。例如,码字段912针对ICMP回声请求设置为值0。头校验和字段913的长度约为2字节,指示头910的校验和值。
标识字段914的长度约为2字节,指示报文900的标识。序列号字段915的长度约为2字节,指示序列号。标识字段914和序列号字段915可用于匹配ICMP回声回复到报文900。
净荷920包括数据格式版本号字段921、请求类型字段922、保留预留字段923,和防火墙认证令牌字段924。数据格式版本号字段921的长度约为1个字节,指示与报文900相关的数据版本号。例如,数据格式版本号字段921可用于反向兼容,值可设置约为1以指示净荷920携带扩展的第一版本的扩展。请求类型字段922的长度约为1字节,指示报文900请求的信息的类型。例如,请求类型字段922可以指示虚拟路由和转发(virtual routing andforwarding,VRF)配置数据。保留预留字段923的长度约为2字节,可保留预留以备将来使用。防火墙认证令牌字段924的长度约为4字节,指示认证令牌值。例如,当报文900指定到去往连接防火墙的NE时,网络控制器可以嵌入认证令牌(例如与防火墙交换的)认证令牌到防火墙认证令牌字段924中,以使使得防火墙允许报文900通过连接防火墙的NE。如报文900所示,净荷920的长度约为64比特。这样,净荷大小约为64比特,指示ICMP回声请求报文为扩展ICMP回声请求报文。需要应注意的是,净荷920可以由本领域普通技术人员所示或所确定的来配置,以达到实现相同功能。在一些实施例中,净荷920包括紧随防火墙认证令牌字段924的附加数据,例如报文延迟、往返延迟等。在这些这类实施例中,净荷大小可以相应地调整,或者可使用其他其它机制来判断报文900是否为扩展ICMP回声请求报文。
图10为一种用于在认证网络测试会话中响应网络测试的方法100的一实施例的流程图。方法1000由连接到防火墙350等防火墙的网络节点322或NE200等NE在网络控制器(如网络控制器200)和防火墙(如防火墙350)之间实施。在认证令牌在防火墙和与网络管理实体(如网络控制器310)等网络管理实体之间交换后,例如通过使用方法300、400,、500,、700和800中所述的机制,来实施方法1000,例如通过使用方法300、400,、500,、700和800中所述机制。方法1000与方法600类似。在步骤1010中,从指示连接性测试请求的网络管理实体接收第一测试请求消息,其中该第一测试请求消息包括认证令牌。在步骤1020中,向网络防火墙转发该第一测试请求消息给网络防火墙以通过该网络防火墙请求认证该认证令牌。在步骤1030中,当该第一测试请求消息的认证令牌成功认证时,从该网络防火墙接收第二测试请求消息。在步骤1040中,从该网络防火墙接收到所述该第二测试请求消息后,发送测试回复消息给该网络管理实体。
虽然本发明中已提供若干实施例,但应理解,在不脱离本发明的精神或范围的情况下,本发明所公开的系统和方法可以以许多其它特定形式来体现。本发明的实例应被视为说明性而非限制性的,且本发明并不限于本文本所给出的细节。例如,各种元件或部件可以在另一系统中组合或合并,或者某些特征可以省略或不实施。
此外,在不脱离本发明的范围的情况下,各种实施例中描述和说明为离散或单独的技术、系统、子系统和方法可以与其它系统、模块、技术或方法进行组合或合并。展示或论述为彼此耦合或直接耦合或通信的其它项也可以采用电方式、机械方式或其它方式通过某一接口、设备或中间部件间接地耦合或通信。其它变化、替代和改变的示例可以由本领域的技术人员在不脱离本文精神和所公开的范围的情况下确定。
Claims (39)
1.一种由网络防火墙实施的方法,其特征在于,包括:
获取用于网络测试的第一认证令牌;
接收用于对连接到所述网络防火墙的网元(network element,NE)进行所述网络测试的测试请求消息;
通过判断所述测试请求消息是否包括与所述第一认证令牌匹配的第二认证令牌来认证所述测试请求消息;以及
当所述第二认证令牌与所述第一认证令牌匹配时,授权所述NE的所述网络测试。
2.根据权利要求1所述的方法,其特征在于,还包括当所述第二认证令牌未能匹配所述第二认证令牌时,拒绝所述网络测试。
3.根据权利要求1所述的方法,其特征在于,还包括通过网络从网络管理实体接收认证发起消息,所述认证发起消息指定了与所述第一认证令牌相关的到期时间周期对应的值。
4.根据权利要求3所述的方法,其特征在于,所述认证发起消息还包括所述第一认证令牌,所述第一认证令牌从所述认证发起消息中获取。
5.根据权利要求3所述的方法,其特征在于,获取用于所述网络测试的所述第一认证令牌包括响应所述认证发起消息生成所述第一认证令牌,所述方法还包括发送认证确认消息给所述网络管理实体以指示所述第一认证令牌。
6.根据权利要求3所述的方法,其特征在于,还包括在认证所述测试请求消息之前确定所述第一认证令牌与未过期的到期时间周期相关。
7.根据权利要求3所述的方法,其特征在于,所述网络为软件定义网络(software-defined network,SDN),所述网络管理实体为SDN控制器。
8.根据权利要求1所述的方法,其特征在于,所述第一认证令牌包括一个32位随机数字。
9.根据权利要求1所述的方法,其特征在于,所述测试请求消息为扩展网际控制报文协议(ICMP)回声请求报文,包括:
数据格式版本号字段,指示所述扩展ICMP回声请求报文的版本号;
请求类型字段,指示所述扩展ICMP回声请求消息所请求的信息的类型;以及
防火墙认证令牌字段,识别用于所述网络测试的防火墙认证令牌;以及
所述第二认证令牌携带在所述防火墙认证令牌字段中。
10.根据权利要求1所述的方法,其特征在于,授权所述NE的所述网络测试包括在不修改所述测试请求消息的情况下转发所述测试请求消息给所述NE。
11.一种由网络管理实体实施的方法,其特征在于,包括:
与网络防火墙交换认证令牌来进行网络测试;
将所述认证令牌嵌入到测试请求消息中来对连接到所述网络防火墙的网元(networkelement,NE)进行所述网络测试;以及
发送包括所述认证令牌的所述测试请求消息给所述NE。
12.根据权利要求11所述的方法,其特征在于,与所述网络防火墙交换所述认证令牌包括:
发送认证发起消息给所述网络防火墙,以建立用于进行所述网络测试的认证网络测试会话;以及
从所述网络防火墙接收包括所述认证令牌的认证确认消息。
13.根据权利要求11所述的方法,其特征在于,与所述网络防火墙交换所述认证令牌包括:
生成所述认证令牌;以及
发送认证发起消息给所述网络防火墙,以建立进行所述网络测试的认证网络测试会话,所述认证发起消息指示所述认证令牌。
14.根据权利要求11所述的方法,还包括发送认证发起消息给所述网络防火墙,以建立进行所述网络测试的认证网络测试会话,其中所述认证发起消息指示所述认证令牌的生存时间(time-to-live,TTL)值,所述TTL值指示所述认证令牌有效的时长。
15.根据权利要求11所述的方法,其特征在于,所述测试请求消息为包括防火墙认证令牌字段的扩展网际控制报文协议(ICMP)回声请求报文,将所述认证令牌嵌入到所述测试请求消息中包括将所述认证令牌嵌入到所述防火墙认证令牌字段中。
16.根据权利要求11所述的方法,其特征在于,所述网络管理实体为软件定义网络(software-defined network,SDN)控制器。
17.一种连接到网络防火墙的网元(network element,NE),其特征在于,包括:
接收器,用于耦合到网络;
发射器,用于耦合到所述网络;以及
耦合到所述接收器和发射器的处理器,其中所述处理器用于:
通过所述接收器从指示连接性测试请求的网络管理实体接收第一测试请求消息,其中所述第一测试请求消息包括认证令牌;
转发所述第一测试请求消息给所述网络防火墙以请求通过所述网络防火墙认证所述认证令牌;
当所述第一测试请求消息的所述认证令牌成功认证时,从所述网络防火墙接收第二测试请求消息;以及
从所述网络防火墙接收到所述第二测试请求消息后,通过所述发射器发送测试回复消息给所述网络管理实体。
18.根据权利要求17所述的NE,其特征在于,所述第一测试请求消息为网际控制报文协议(Internet Control Message Protocol,ICMP)回声请求报文,所述测试回复消息为ICMP回声回复报文,所述第一测试请求消息和所述第二测试请求消息包括相同的生存时间(time-to-live,TTL)值。
19.根据权利要求17所述的NE,其特征在于,所述NE还包括耦合到所述发射器、所述接收器和所述处理器的集成防火墙组件,所述网络防火墙对应所述集成防火墙组件。
20.根据权利要求17所述的方法,其特征在于,所述网络为软件定义网络(software-defined network,SDN)。
21.一种装置,其特征在于,包括:
接收器,用于接收用于连接到所述装置的网元(network element,NE)进行网络测试的测试请求消息;以及
耦合到所述接收器的处理器,用于:
获取用于所述网络测试的第一认证令牌;
通过判断所述测试请求消息是否包括与所述第一认证令牌匹配的第二认证令牌来认证所述测试请求消息;以及
当所述第二认证令牌与所述第一认证令牌匹配时,授权所述NE的所述网络测试。
22.根据权利要求21所述的装置,其特征在于,所述处理器还用于当所述第二认证令牌未能与所述第一认证令牌匹配时,拒绝所述网络测试。
23.根据权利要求21所述的装置,其特征在于,所述接收器还用于通过所述网络从网络管理实体接收认证发起消息,所述认证发起消息指定与所述第一认证令牌相关的到期时间周期对应的值。
24.根据权利要求23所述的装置,其特征在于,所述认证发起消息还包括所述第一认证令牌,所述第一认证令牌从所述认证发起消息中获取。
25.根据权利要求23所述的方法,其特征在于,所述处理器还用于通过响应所述认证发起消息生成所述第一认证令牌来获取用于所述网络测试的所述第一认证令牌,所述NE还包括耦合到所述处理器的发射器,用于发送认证确认消息给所述网络管理实体以指示所述第一认证令牌。
26.根据权利要求23所述的装置,其特征在于,所述处理器还用于在认证所述测试请求消息之前确定所述第一认证令牌与未过期的到期时间周期相关。
27.根据权利要求23所述的装置,其特征在于,所述网络为软件定义网络(software-defined network,SDN),所述网络管理实体为SDN控制器。
28.根据权利要求21所述的装置,其特征在于,所述第一认证令牌包括一个32位随机数字。
29.根据权利要求21所述的方法,其特征在于,所述测试请求消息为扩展网际控制报文协议(Internet Control Message Protocol,ICMP)回声请求报文,包括:
数据格式版本号字段,指示所述扩展ICMP回声请求报文的版本号;
请求类型字段,指示所述扩展ICMP回声请求消息所请求的信息的类型;以及
防火墙认证令牌字段,识别用于所述网络测试的防火墙认证令牌;以及
所述第二认证令牌携带在所述防火墙认证令牌字段中。
30.根据权利要求21所述的装置,其特征在于,还包括耦合到所述处理器的发射器,用于对于所述NE进行的所述网络测试被授权时,在不修改所述测试请求消息的情况下转发所述测试请求消息给所述NE。
31.一种装置,其特征在于,包括:
发射器;
接收器;以及
耦合到所述接收器和所述发射器的处理器,其中所述处理器用于:
通过所述发射器和所述接收器,与网络防火墙交换认证令牌来进行网络测试;
将所述认证令牌嵌入到测试请求消息中来对连接到所述网络防火墙的网元(networkelement,NE)进行所述网络测试;以及
发送包括所述认证令牌的所述测试请求消息给所述NE。
32.根据权利要求31所述的装置,其特征在于,所述处理器还用于通过以下方式与所述网络防火墙交换所述认证令牌:
通过所述发射器发送认证发起消息给所述网络防火墙,以建立用于进行所述网络测试的认证网络测试会话;
通过所述接收器,从所述网络防火墙接收包括所述认证令牌的认证确认消息。
33.根据权利要求31所述的装置,其特征在于,所述处理器还用于通过以下方式与所述网络防火墙交换所述认证令牌:
生成所述认证令牌;以及
通过所述发射器发送认证发起消息给所述网络防火墙,以建立用于进行所述网络测试的认证网络测试会话,所述认证发起消息指示所述认证令牌。
34.根据权利要求31所述的装置,其特征在于,所述处理器还用于通过所述发射器发送认证发起消息给所述网络防火墙,以建立用于进行所述网络测试的已认证网络测试会话,所述认证发起消息指示所述认证令牌的生存时间(time-to-live,TLL)值,所述生存时间值指示所述认证令牌有效的时长。
35.根据权利要求31所述的装置,其特征在于,所述测试请求消息为包括防火墙认证令牌字段的扩展网际控制报文协议(Internet Control Message Protocol,ICMP)回声请求报文,以及将所述认证令牌嵌入到所述测试请求消息中包括将所述认证令牌嵌入到所述防火墙认证字段中。
36.根据权利要求31所述的装置,其特征在于,所述网络管理实体为软件定义网络(software-defined network,SDN)控制器。
37.一种由连接到网络防火墙的网元(network element,NE)实施的方法,包括:
从指示连接性测试请求的网络管理实体接收第一测试请求消息,所述第一测试请求消息包括认证令牌;
转发所述第一测试请求消息给所述网络防火墙以请求通过所述网络防火墙认证所述认证令牌;
当所述第一测试请求消息的所述认证令牌成功认证时,从所述网络防火墙接收第二测试请求消息;以及
在从所述网络防火墙接收到所述第二测试请求消息后,发送测试回复消息给所述网络管理实体。
38.根据权利要求37所述的方法,其特征在于,所述第一测试请求消息为网际控制报文协议(Internet Control Message Protocol,ICMP)回声请求报文,所述测试回复消息为ICMP回声回复报文,所述第一测试请求消息和所述第二测试请求消息包括相同的生存时间(time-to-live,TTL)值。
39.根据权利要求37所述的方法,其特征在于,所述网络为软件定义网络(software-defined network,SDN)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/709,180 US10015162B2 (en) | 2015-05-11 | 2015-05-11 | Firewall authentication of controller-generated internet control message protocol (ICMP) echo requests |
| US14/709,180 | 2015-05-11 | ||
| PCT/CN2016/080902 WO2016180257A1 (en) | 2015-05-11 | 2016-05-03 | Firewall authentication of controller-generated internet control message protocol (icmp) echo requests |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107534655A true CN107534655A (zh) | 2018-01-02 |
| CN107534655B CN107534655B (zh) | 2020-06-26 |
Family
ID=57248676
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680021991.9A Active CN107534655B (zh) | 2015-05-11 | 2016-05-03 | 控制器生成的网际控制报文协议回声请求的防火墙认证的方法及装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10015162B2 (zh) |
| EP (1) | EP3281383B1 (zh) |
| CN (1) | CN107534655B (zh) |
| CA (1) | CA2984692C (zh) |
| ES (1) | ES2818187T3 (zh) |
| WO (1) | WO2016180257A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676452A (zh) * | 2021-07-15 | 2021-11-19 | 北京思特奇信息技术股份有限公司 | 基于一次性密钥的重放攻击抵御方法及系统 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015115944A1 (en) * | 2014-01-28 | 2015-08-06 | Telefonaktiebolaget L M Ericsson (Publ) | Providing information to a service in a communication network |
| JP6511001B2 (ja) * | 2016-04-05 | 2019-05-08 | 日本電信電話株式会社 | ネットワーク疎通確認システムおよびネットワーク疎通確認方法 |
| US10116544B2 (en) * | 2016-06-21 | 2018-10-30 | Juniper Networks, Inc. | Extended ping protocol for determining status for remote interfaces without requiring network reachability |
| US10587616B2 (en) * | 2016-09-16 | 2020-03-10 | Google Llc | Methods, systems, and media for authentication of user devices to a display device |
| CN108259261B (zh) * | 2017-03-31 | 2020-02-11 | 新华三技术有限公司 | 路径探测方法和装置 |
| US10812463B2 (en) * | 2017-12-08 | 2020-10-20 | International Business Machines Corporation | Secure access to an enterprise computing environment |
| US10812392B2 (en) * | 2018-03-05 | 2020-10-20 | Schweitzer Engineering Laboratories, Inc. | Event-based flow control in software-defined networks |
| CN111327574B (zh) * | 2018-12-14 | 2022-05-06 | 英业达科技有限公司 | 允许网络地址变动的单机登录系统及其方法 |
| US11818102B2 (en) * | 2021-04-16 | 2023-11-14 | Nokia Technologies Oy | Security enhancement on inter-network communication |
| US11824753B2 (en) | 2021-09-05 | 2023-11-21 | Cisco Technology, Inc. | Network node-to-node connectivity verification including data path processing of packets within a packet switching device |
| CN113779893B (zh) * | 2021-09-29 | 2023-06-16 | 北京航空航天大学 | 基于回声状态网络的保障性仿真输出结果可信性评价方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6775704B1 (en) * | 2000-12-28 | 2004-08-10 | Networks Associates Technology, Inc. | System and method for preventing a spoofed remote procedure call denial of service attack in a networked computing environment |
| CN1801821A (zh) * | 2006-01-17 | 2006-07-12 | 北京邮电大学 | 一种在移动环境下穿越防火墙的方法 |
| EP1833194A1 (en) * | 2004-12-28 | 2007-09-12 | ZTE Corporation | A method for diagnosing the router which supports strategy-selectingpath |
| US7506054B1 (en) * | 1999-07-02 | 2009-03-17 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| US20110154473A1 (en) * | 2009-12-23 | 2011-06-23 | Craig Anderson | Systems and methods for cross site forgery protection |
| US20110252462A1 (en) * | 2010-04-07 | 2011-10-13 | International Business Machines Corporation | Authenticating a Remote Host to a Firewall |
Family Cites Families (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5828833A (en) * | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
| JP3557056B2 (ja) * | 1996-10-25 | 2004-08-25 | 株式会社東芝 | パケット検査装置、移動計算機装置及びパケット転送方法 |
| US7055173B1 (en) * | 1997-12-19 | 2006-05-30 | Avaya Technology Corp. | Firewall pooling in a network flowswitch |
| US6901075B1 (en) * | 1998-03-12 | 2005-05-31 | Whale Communications Ltd. | Techniques for protection of data-communication networks |
| US6182226B1 (en) * | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
| US6507869B1 (en) * | 1999-04-28 | 2003-01-14 | International Business Machines Corporation | Method and apparatus for asset tracking of network attached devices |
| US7154858B1 (en) | 1999-06-30 | 2006-12-26 | Cisco Technology, Inc. | System and method for measuring latency of a selected path of a computer network |
| US7215637B1 (en) * | 2000-04-17 | 2007-05-08 | Juniper Networks, Inc. | Systems and methods for processing packets |
| US7207061B2 (en) * | 2001-08-31 | 2007-04-17 | International Business Machines Corporation | State machine for accessing a stealth firewall |
| US7107619B2 (en) * | 2001-08-31 | 2006-09-12 | International Business Machines Corporation | System and method for the detection of and reaction to denial of service attacks |
| US9087319B2 (en) | 2002-03-11 | 2015-07-21 | Oracle America, Inc. | System and method for designing, developing and implementing internet service provider architectures |
| AU2003247635A1 (en) * | 2002-06-24 | 2004-01-06 | Paradyne Corporation | Determination of network performance characteristics |
| JP4232550B2 (ja) * | 2002-07-01 | 2009-03-04 | 日本電気株式会社 | ネットワーク情報検出装置および方法 |
| US7130286B2 (en) * | 2002-10-02 | 2006-10-31 | Nokia Corporation | System and method for resource authorizations during handovers |
| GB0227049D0 (en) * | 2002-11-20 | 2002-12-24 | Bae Sys Defence Sys Ltd | Management of network security domains |
| US7340771B2 (en) * | 2003-06-13 | 2008-03-04 | Nokia Corporation | System and method for dynamically creating at least one pinhole in a firewall |
| WO2005057345A2 (en) * | 2003-12-05 | 2005-06-23 | Cambia Security, Inc. | Real-time change detection for network systems |
| US7583667B2 (en) * | 2004-03-19 | 2009-09-01 | Avaya Inc. | Automatic determination of connectivity problem locations or other network-characterizing information in a network utilizing an encapsulation protocol |
| US7650635B2 (en) | 2004-04-07 | 2010-01-19 | Cisco Technology, Inc. | Method and apparatus for preventing network attacks by authenticating internet control message protocol packets |
| ES2279308T3 (es) * | 2004-06-01 | 2007-08-16 | France Telecom | Control de acceso a una red de un terminal fuente que utiliza un tunel en modo bloqueante. |
| US7945656B1 (en) * | 2004-10-18 | 2011-05-17 | Cisco Technology, Inc. | Method for determining round trip times for devices with ICMP echo disable |
| JP4733706B2 (ja) | 2004-10-21 | 2011-07-27 | 株式会社エヌ・ティ・ティ・ドコモ | セキュアセッション転送の方法および対応するターミナルデバイス |
| US7577132B2 (en) * | 2004-10-28 | 2009-08-18 | Microsoft Corporation | User interface for securing lightweight directory access protocol traffic |
| US7568092B1 (en) * | 2005-02-09 | 2009-07-28 | Sun Microsystems, Inc. | Security policy enforcing DHCP server appliance |
| JP2006229410A (ja) * | 2005-02-16 | 2006-08-31 | Matsushita Electric Ind Co Ltd | 通信方法、通信システム、通信装置および通信プログラム |
| US20060248588A1 (en) * | 2005-04-28 | 2006-11-02 | Netdevices, Inc. | Defending Denial of Service Attacks in an Inter-networked Environment |
| WO2007007546A1 (ja) * | 2005-07-08 | 2007-01-18 | Nec Corporation | 端末、セキュリティ設定方法、及びそのプログラム |
| CA2531579A1 (en) * | 2005-12-23 | 2007-06-23 | Bce Inc. | Methods and computer-readable media for testing a network connection at a computing device |
| US20070160050A1 (en) * | 2006-01-09 | 2007-07-12 | Broadcom Corporation | Diagnostic mechanism for Layer 2 and Layer 3 networks |
| US8117301B2 (en) * | 2006-01-30 | 2012-02-14 | Juniper Networks, Inc. | Determining connectivity status for unnumbered interfaces of a target network device |
| US20070271453A1 (en) * | 2006-05-19 | 2007-11-22 | Nikia Corporation | Identity based flow control of IP traffic |
| US7907621B2 (en) * | 2006-08-03 | 2011-03-15 | Citrix Systems, Inc. | Systems and methods for using a client agent to manage ICMP traffic in a virtual private network environment |
| WO2008085206A2 (en) * | 2006-12-29 | 2008-07-17 | Prodea Systems, Inc. | Subscription management of applications and services provided through user premises gateway devices |
| US7895425B2 (en) * | 2007-08-03 | 2011-02-22 | Cisco Technology, Inc. | Operation, administration and maintenance (OAM) in a service insertion architecture (SIA) |
| US20090094691A1 (en) * | 2007-10-03 | 2009-04-09 | At&T Services Inc. | Intranet client protection service |
| US8667175B2 (en) * | 2008-03-13 | 2014-03-04 | Cisco Technology, Inc. | Server selection for routing content to a client using application layer redirection |
| US8515015B2 (en) * | 2008-05-09 | 2013-08-20 | Verizon Patent And Licensing Inc. | Method and system for test automation and dynamic test environment configuration |
| US8363836B2 (en) * | 2009-01-16 | 2013-01-29 | Cisco Technology, Inc. | Using authentication tokens to authorize a firewall to open a pinhole |
| CN101848454B (zh) * | 2009-03-26 | 2014-01-01 | 华为技术有限公司 | 一种分配前缀的方法、网络系统和本地移动锚点 |
| US8578465B2 (en) * | 2009-07-21 | 2013-11-05 | Cisco Technology, Inc. | Token-based control of permitted sub-sessions for online collaborative computing sessions |
| US8370920B2 (en) * | 2009-10-28 | 2013-02-05 | Aunigma Network Security Corp. | System and method for providing unified transport and security protocols |
| US8407530B2 (en) * | 2010-06-24 | 2013-03-26 | Microsoft Corporation | Server reachability detection |
| US9350705B2 (en) * | 2010-06-25 | 2016-05-24 | Salesforce.Com, Inc. | Methods and systems for providing a token-based application firewall correlation |
| EP2493139A1 (en) * | 2011-02-22 | 2012-08-29 | Voipfuture GmbH | VoIP quality measurement enhancements using the internet control message protocol |
| US8776202B2 (en) * | 2011-04-08 | 2014-07-08 | Cisco Technology, Inc. | Method and apparatus to scale authenticated firewall traversal using trusted routing point |
| CN102231748B (zh) | 2011-08-02 | 2014-12-24 | 杭州迪普科技有限公司 | 一种客户端验证方法及装置 |
| US8800024B2 (en) * | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
| FI125972B (fi) * | 2012-01-09 | 2016-05-13 | Tosibox Oy | Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi |
| JP5971037B2 (ja) * | 2012-08-31 | 2016-08-17 | ブラザー工業株式会社 | 液体吐出装置 |
| CN103067385B (zh) * | 2012-12-27 | 2015-09-09 | 深圳市深信服电子科技有限公司 | 防御会话劫持攻击的方法和防火墙 |
| US20140208406A1 (en) * | 2013-01-23 | 2014-07-24 | N-Dimension Solutions Inc. | Two-factor authentication |
| US20170039372A1 (en) * | 2013-03-15 | 2017-02-09 | Electro Industries/Gauge Tech | Devices, systems and methods for upgrading firmware in intelligent electronic devices |
| US20150106526A1 (en) * | 2013-10-11 | 2015-04-16 | Hewlett-Packard Development Company, L.P | Provisioning a network for network traffic |
| EP3066607B1 (en) * | 2013-11-04 | 2018-12-12 | Illumio, Inc. | Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model |
| US9253028B2 (en) * | 2013-12-13 | 2016-02-02 | International Business Machines Corporation | Software-defined networking tunneling extensions |
| US9787559B1 (en) * | 2014-03-28 | 2017-10-10 | Juniper Networks, Inc. | End-to-end monitoring of overlay networks providing virtualized network services |
| US9571452B2 (en) * | 2014-07-01 | 2017-02-14 | Sophos Limited | Deploying a security policy based on domain names |
| US9930013B2 (en) * | 2014-11-14 | 2018-03-27 | Cisco Technology, Inc. | Control of out-of-band multipath connections |
| US9954767B2 (en) * | 2014-12-17 | 2018-04-24 | Cisco Technology, Inc. | Internet control message protocol for completing a secondary protocol transaction |
-
2015
- 2015-05-11 US US14/709,180 patent/US10015162B2/en active Active
-
2016
- 2016-05-03 CN CN201680021991.9A patent/CN107534655B/zh active Active
- 2016-05-03 EP EP16792107.1A patent/EP3281383B1/en active Active
- 2016-05-03 ES ES16792107T patent/ES2818187T3/es active Active
- 2016-05-03 WO PCT/CN2016/080902 patent/WO2016180257A1/en unknown
- 2016-05-03 CA CA2984692A patent/CA2984692C/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7506054B1 (en) * | 1999-07-02 | 2009-03-17 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| US6775704B1 (en) * | 2000-12-28 | 2004-08-10 | Networks Associates Technology, Inc. | System and method for preventing a spoofed remote procedure call denial of service attack in a networked computing environment |
| EP1833194A1 (en) * | 2004-12-28 | 2007-09-12 | ZTE Corporation | A method for diagnosing the router which supports strategy-selectingpath |
| CN1801821A (zh) * | 2006-01-17 | 2006-07-12 | 北京邮电大学 | 一种在移动环境下穿越防火墙的方法 |
| US20110154473A1 (en) * | 2009-12-23 | 2011-06-23 | Craig Anderson | Systems and methods for cross site forgery protection |
| US20110252462A1 (en) * | 2010-04-07 | 2011-10-13 | International Business Machines Corporation | Authenticating a Remote Host to a Firewall |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676452A (zh) * | 2021-07-15 | 2021-11-19 | 北京思特奇信息技术股份有限公司 | 基于一次性密钥的重放攻击抵御方法及系统 |
| CN113676452B (zh) * | 2021-07-15 | 2024-01-09 | 北京思特奇信息技术股份有限公司 | 基于一次性密钥的重放攻击抵御方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3281383B1 (en) | 2020-07-08 |
| CA2984692A1 (en) | 2016-11-17 |
| EP3281383A4 (en) | 2018-03-21 |
| US20160337314A1 (en) | 2016-11-17 |
| CN107534655B (zh) | 2020-06-26 |
| EP3281383A1 (en) | 2018-02-14 |
| ES2818187T3 (es) | 2021-04-09 |
| US10015162B2 (en) | 2018-07-03 |
| CA2984692C (en) | 2023-10-03 |
| WO2016180257A1 (en) | 2016-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107534655A (zh) | 控制器生成的网际控制报文协议回声请求的防火墙认证 | |
| Schulzrinne et al. | GIST: general internet signalling transport | |
| CN103875226B (zh) | 用于网络环境中主机发起的防火墙发现的系统和方法 | |
| Ahmed et al. | IPv6 neighbor discovery protocol specifications, threats and countermeasures: a survey | |
| CN103907330B (zh) | 在网络环境中用于重定向的防火墙发现的系统和方法 | |
| EP1769611B1 (en) | Method of operating a network with test packets | |
| CN101507235A (zh) | 用于提供无线网状网的方法和设备 | |
| CN109327426A (zh) | 一种防火墙攻击防御方法 | |
| CN105812318B (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| Lu et al. | An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6 | |
| WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| Wu et al. | RFL: Robust fault localization on unreliable communication channels | |
| Baidya et al. | Link discovery attacks in software-defined networks: Topology poisoning and impact analysis | |
| US20060225141A1 (en) | Unauthorized access searching method and device | |
| US11509565B2 (en) | Network link verification | |
| Bagnulo et al. | Efficient security for IPv6 multihoming | |
| Bagnulo et al. | Secure neighbor discovery (send) source address validation improvement (savi) | |
| Jacquin et al. | Too big or too small? the PTB-PTS ICMP-based attack against IPsec gateways | |
| Ahmed et al. | Securing IPv6 link local communication using IPSec: obstacles and challenges | |
| WO2016058631A1 (en) | Prevention of overload-based service failure of security aggregation point | |
| Kumar et al. | A new way towards security in TCP/IP protocol suite | |
| Pappas et al. | Network transparency for better internet security | |
| US20220417831A1 (en) | Method and device for protecting a local area network comprising a network switch to which a station is connected by cable connection | |
| Liu et al. | Community Cleanup: Incentivizing Network Hygiene via Distributed Attack Reporting | |
| KR101906437B1 (ko) | 네트워크 보안 정책을 테스트하는 방법, 장치 및 컴퓨터 프로그램 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |