CN111147435B - 反回放处理方法 - Google Patents

反回放处理方法 Download PDF

Info

Publication number
CN111147435B
CN111147435B CN201811420503.9A CN201811420503A CN111147435B CN 111147435 B CN111147435 B CN 111147435B CN 201811420503 A CN201811420503 A CN 201811420503A CN 111147435 B CN111147435 B CN 111147435B
Authority
CN
China
Prior art keywords
service function
packet
forwarding station
function forwarding
path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811420503.9A
Other languages
English (en)
Other versions
CN111147435A (zh
Inventor
林士能
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanning Fulian Fugui Precision Industrial Co Ltd
Original Assignee
Nanning Fugui Precision Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanning Fugui Precision Industrial Co Ltd filed Critical Nanning Fugui Precision Industrial Co Ltd
Publication of CN111147435A publication Critical patent/CN111147435A/zh
Application granted granted Critical
Publication of CN111147435B publication Critical patent/CN111147435B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/306Route determination based on the nature of the carried application

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种反回放处理方法。所述方法在服务功能路径(SFP)中用于监视SFP中的封包计数以识别封包回放攻击事件,并识别发生封包回放攻击事件的SFP段为不安全的路径。所述方法进一步启动安全的路径绕过不安全的路径,以安全标志赋予正常SFC封包,并在安全的路径的出口阶段阻止没有安全标志的回放封包。

Description

反回放处理方法
技术领域
本发明系有关于计算器技术,尤指一种利用反回放处理方法的封包安全技术。
背景技术
网络功能虚拟化(Network function virtualization,简称NFV)正渐渐成为许多大型商业网络中的关键驱动技术和网络体系。通常NFV实现了某些网络功能的虚拟化,这些功能如防火墙、加速器、入侵检测、负载平衡等,传统上是运行在单独的网络设备上。
NFV渐渐使用服务功能链(Service function chains,简称SFC)来控制某些应用于网络流量的功能或服务。服务功能链使虚拟化的网络功能成为云网络的一部分。服务功能链定义了可让网络封包流依序通过并处理的多个服务功能。封包流通过分类器节点进入网络,根据服务功能链的策略(Policy)生成该封包流的所述服务功能路径(Servicefunction path,简称SFP)。分类器节点用网络服务标头(Network service header,简称NSH)封装该封包流的每个封包,指示所述封包流将接受的服务功能,以及顺序。
黑客可能窃听并复制SFC封包以生成回放的SFC封包。反回放的保护措施可以用反回放窗口执行回放检查。使用反回放窗口进行此类回放检查的性能可能会受到窗口大小制约。举例来说,反回放窗口缩小可能会更严格地阻止重复的封包,但牺牲并丢弃掉更多在窗口之外的的有效封包。
发明内容
有鉴于此,在本发明中,使用封包计数以侦测封包回放事件,并重新规划安全的路径,以避开发生封包回放事件的路径区段。
本发明一实施方式揭露一种种反回放处理方法,由电子装置执行,包括:从一个所述服务功能路径中的多个服务功能转寄站接收封包计数;根据所述服务功能路径中第一个服务功能转寄站的第一封包计数和第二个服务功能转寄站的第二数据包计数之间的差值判别异常变化,以判定所述服务功能路径中所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生封包回放事件。在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间初始化一个安全服务功能转寄站,以回应所述封包回放事件。提供从所述第一个服务功能转寄站到所述第二个服务功能转寄站的替代路径的指示信息,用新的转发规则替换所述第一个服务功能转寄站中的原始转发规则,其中所述原始转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过原始路径传送到所述第二个服务功能转寄站,新的转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过包含所述安全服务功能转寄站的所述替代路径传送到所述第二个服务功能转寄站。
本发明一实施方式揭露一种反回放处理方法,更包含:当所述第一个服务的所述第一个封包计数与所述第二个服务功能转寄站的所述第二个数据包计数之间的差异超过预定的阈值的情况下,判定所述服务功能路径中在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生所述封包回放事件。
本发明一实施方式揭露一种反回放处理方法,其中所述安全服务功能转寄站将所述服务功能路径的封包从所述安全服务功能转寄站传送到所述第二个服务功能转寄站。
根据本发明一实施方式揭露一种反回放处理方法,更包含:所述第一个服务功能转寄站区分所述服务功能路径的正常封包与回放封包。
根据本发明一实施方式揭露一种反回放处理方法,更包含:在所述服务功能路径的封包通信中,在正常封包标注一个安全标志,以便过所述第二个服务功能转寄站,其中所述第二个服务功能转寄站允许具有所述安全标志的封包通过所述第二个服务功能转寄站,并防止没有所述安全标志的回放封包通过所述第二个服务功能转寄站。
根据本发明一实施方式揭露一种反回放处理方法,更包含:设置在所述正常封包中的保留字段中的位以标注所述安全标志。
根据本发明一实施方式揭露一种反回放处理方法,更包含:所述第二个服务功能转寄站从所述服务功能路径接收未判断的封包;当所述未判断的封包具有安全标志的情况中,所述第二个服务功能转寄站转发所述未判断的封包;以及,当所述未判断的封包没有安全标志的情况中,所述第二个服务功能转寄站丢弃所述未判断的封包。
根据本发明一实施方式揭露一种反回放处理方法,更包含:利用一个封包计数路由表确定封包回放事件;其中,所述封包计数路由表的第一个记录包括第一个服务路径标识符、第一个服务索引和第一个会话标识符以及第一个封包计数;其中,所述封包计数路由表的第二个记录包括第二个服务路径标识符、第二个服务索引和第二个会话标识符以及第二个数据包计数。
根据本发明一实施方式揭露一种反回放处理方法,由电子装置执行,包括:收接封包回放事件发生的指示信息,其中所述指示信息记录所述封包回放事件发生在一个服务功能路径中的第一个服务功能转寄站和第二个服务功能转寄站之间;收接初始化通知,其中所述初始化通知记录一个安全服务功能转寄站已初始化并设置于所述第一个服务功能转寄站和所述第二个服务功能转寄站之间以响应所述封包回放事件;提供从所述第一个服务功能转寄站到所述第二个服务功能转寄站的替代路径的指示信息,用新的转发规则替换所述第一个服务功能转寄站中的原始转发规则,其中所述原始转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过原始路径传送到所述第二个服务功能转寄站,新的转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过包含所述安全服务功能转寄站的所述替代路径传送到所述第二个服务功能转寄站。
根据本发明一实施方式揭露一种反回放处理方法,其中所述安全服务功能转寄站将所述服务功能路径的封包从所述安全服务功能转寄站传送到所述第二个服务功能转寄站。
根据本发明一实施方式揭露一种反回放处理方法,更包含:所述第一个服务功能转寄站区分所述服务功能路径的正常封包与回放封包。
根据本发明一实施方式揭露一种反回放处理方法,更包含:在所述服务功能路径的封包通信中,在正常封包标注一个安全标志,以便过所述第二个服务功能转寄站,其中所述第二个服务功能转寄站允许具有所述安全标志的封包通过所述第二个服务功能转寄站,并防止没有所述安全标志的回放封包通过所述第二个服务功能转寄站。
根据本发明一实施方式揭露一种反回放处理方法,更包含:设置在所述正常封包中的保留字段中的比特以标注所述安全标志。
本发明的反回放处理方法可以主动侦测封包回放事件,并重新规划安全的路径,以避免后续更多的封包回放。
附图说明
图1系显示本发明SFC实施方式方块图;
图2系显示本发明反回放处理方法实施方式的流程图;
图3系显示本发明SFC流示意图;
图4系显示本发明安全SFC路径;
图5系显示SFC封包表头的示意图;
图6系显示SFC封包表头内保留字段的示意图;
图7系显示执行本发明反回放处理方法的电子装置实施方式;及
图8系显示用于记录每个会话的封包计数的数据结构。
主要元件符号说明
100 服务链控制器
110 服务功能集合
121 路线分析器
122 安全的路径导航器
200 分类器
310 服务功能转寄站
320 服务功能转寄站
321 服务功能转寄站
330 服务功能转寄站
411 服务功能
421 服务功能
431 服务功能
501 恶意装置
80 网络服务表头
801 服务功能路径封包流
804 字段
805 字段
806 字段
807 字段
808 字段
811 封包
812 封包
900 装置
901 处理器
902 内存
903 储存器
904 网络通信接口
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
为了便于本领域普通技术人员理解和实施本发明,下面结合附图与实施方式对本发明进一步的详细描述,应当理解,本发明提供许多可供应用的发明概念,其可以多种特定型式实施。文中所举例讨论的特定实施方式仅为制造与使用本发明的特定方式,非用以限制本发明的范围。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施方式,都属于本发明保护的范围。
此外,在不同实施方式中可能使用重复的标号或标示。这些重复仅为了简单清楚地叙述本发明,不代表所讨论的不同实施方式及/或结构之间具有任何关连性。需要说明的是,当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中设置的组件。当一个组件被认为是“设置在”另一个组件,它可以是直接设置在另一个组件上或者可能同时存在居中设置的组件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施方式的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
本发明提供了一种用于网络功能虚拟化(NFV)和服务功能链(SFC)的电子装置可执行的反回放处理方法。基于从第一服务功能转寄站接收的第一封包计数与从第二服务功能转寄站接收的和第二数据包计数之间的异常变化,所述方法判别封包回放事件发生在所述服务功能路径中的所述第一个服务功能转寄站和所述第二个服务功能转寄站之间。所述方法通过重新安排第一和第二个服务功能转寄站之间的备用路径并区分出回放封包和正常封包,进一步响应所述封包回放事件。
参照图1,SFC控制器100连接到SFC分类器200和服务功能(SF)集合110。分类器是执行分类功能的单元。分类器的其中一种定义可在因特网工程任务组(InternetEngineering Task Force,简称IETF)RFC 7665中找到。SFC分类器200可以初始化一条所述服务功能路径(SFP)作为服务功能链(SFC)的实例(Instance)。SFP是服务功能链使用的一种机制,SFP就是将更精细的策略和操作限制应用于具有抽象要求的SFC后产生的产物。在所述服务功能集合110中,所述SFC分类器200连接到服务功能转寄站(SFF)310、320和330。所述SFF 310连接服务功能(SF)411。所述SFF 320连接SF 421。所述SFF 330连接SF 431。
SFC控制器100包括有效的路线分析器(ETA)121和安全的路径导航器(SPN)122。SFC控制器100的实施方式可以包含RFC 7665中所述的异构控制/策略点(heterogeneouscontrol/policy point)。ETA 121可以利用SFC协议或软件定义的网络协议(如OPENFLOW)收集SFP封包计数,以确定SFP或SFP段是否遭受回放攻击。在SFP中检测到回放攻击事件时,ETA 121通知SPN 122启用回放保护程序。换言之,SPN 122在收到回放攻击事件通知时将为SFP中的封包创建一个安全的路径,以绕过SFP中发生回放攻击事件的段。SPN 122进一步区分SFP中的正常封包与回放封包,标记在SFP中的正常封包,并促使多个SFF阻止回放封包。
参考图2,ETA 121可根据SFC或SDN协议信令部署有效的路线流(步骤S10)和路线报告流(步骤S12)到多个SFF 310、320和330。参考图3,ETA 121部署依循一条SFP的SFC封包流801。SFC封包流801通过所述依循的SFP被传输,包括顺序传输到所述分类器200、SFF310、SF 411、SFF 310、SFF 320、SF421、SFF 320、SFF 330、SF 431和SFF 330系列和互联网。根据路线报告流,多个SFF 310、320和330周期地向ETA 121报告SFP中每个会话(session)的封包计数(步骤S14)。ETA 121计算在SFP中每个会话的封包计数(步骤S16)。举例来说,ETA 121在一种数据结构中记录每个会话的封包计数,该数据结构的实例如图8的表1所示。
SFP中的每个会话都以索引识别。举例来说,一个会话的索引可以包括服务路径标识符(Service Path Identifier,简称SPI)、服务索引(Session Index,简称SI)和会话标识符(Identifier,简称ID)的组合。参考图5,封包流801中每个封包的网络服务表头(network service header,简称NSH)80包括用于记录SPI的字段804和用于记录SI的字段805。NSH 80的字段806包括如图6所示的多个字段。字段807包括会话ID。参照表1,ETA 121计算并在数据结构中存储分类器200的封包计数高达10000,SFF 310的封包计数高达10000,SFF 320的封包计数高达10000,SFF 330的封包计数高达15000。
ETA 121通过确定从封包计数演生的封包回放计数是否超过预定的阈值(例如SFP封包流801的吞吐量的1%作为阈值)来确定任何SFP阶段是否有异常的封包计数(步骤S18)。举例来说,SFP阶段中的封包回放计数可以从特定SFP阶段的封包计数减去的所述特定SFP阶段的先前SFP阶段的封包计数获得。在没有SFP阶段有异常封包计数的情况下,ETA121重复步骤S16。在至少一个SFP阶段有异常封包计数的情况下,ETA 121标记至少一个具有异常封包计数的SFP阶段为一个不安全的路径,并且触发SPN 122(步骤S20)。
参照图3,恶意装置501从封包流801中窃听封包811,回放封包812并将封包812放入封包流801中,所述封包流801属于SF集合110的SFP中的封包流,并引发回放攻击事件,其中如表1所示SFF 330的异常封包计数达15000。从15000减去10000而得到在SFF 330的封包回放计数是5000,超过SFF 320的封包计数10000的1%。ETA 121标志一个不安全的路径的范围从SFF 320到SFF 330,并通知SPN 122所述不安全的路径。
当通知SPN 122所述不安全的路径时,SPN 122在不安全的路径中的二个SFF之间初始化一个安全转寄站(secure forwarder)(步骤S22),并将安全标志规则部署到安全的路径中的多个SFF(步骤S24)。举例来说,参照图4,SPN 122在不安全的路径的多个SFF 320和330之间启动安全转寄站321。SFF 321将封包流801的封包从SFF 321传送到SFF 330。SPN122将安全标志规则部署到多个SFF 320和330。根据安全标志规则,SFF 320通过在正常封包的表头中建立安全标志(Secure Flag)来标记封包流801中的正常封包。举例来说,参照图6,SFF 320在封包流801中的每个正常封包的表头中存储一个安全标志于保留字段808中。在示例性实施方式中,SFF 320利用字段808储存二进制比特1以表示已表态安全标志,并以二进制比特0表示未表态状态。在本发明的另一种示例性实施方式中,根据安全标志规则,SFF 321可以通过在正常封包表头中启用已表态的安全标志以区别回放封包,从而在封包流801中标记正常封包。
SPN 122更新多个SFF中的转发策略表,以引导封包流801中正常封包通过安全服务转寄站321依循安全的路径进行传输(步骤S26)。SPN 122将安全标志规则部署到安全的路径中的多个SFF(步骤S24)。参考图4,安全的路径的多个SFF包括SFF 320、321和330。SPN122更新SFF 320、321和330中的转发策略表,来引导封包流801中的正常封包通过安全的SFF 321,以遵循安全的路径传送(步骤S26)。SPN 122在安全的路径中的SFF中部署阻挡规则以阻止回放封包(步骤S28)并通知管理员(步骤S30)。举例来说,SPN 122将阻挡规则部署到安全的路径中的多个SFF 320、321和330。SFF 330根据阻文件挡规则,识别并禁止传送没有安全标志的回放封包。在收到转发的封包后,当转发的封包是包含安全标志的情况中,SFF 330将转发的封包转发到下一个阶段,并且当转发的封包是不包含安全标志的情况中,阻挡并丢弃转发的封包。
通过在步骤S20-S26中更新转发策略表中的转发规则,SPN 122提供了从SFF 320到SFF 330的备选路由指示,方法是用新的转发规则替换SFF 320中的原始转发规则。原始转发规则将流801中的封包通过原始路径从SFF 320传送到SFF 330。新的转发规则将流801中的封包通过包括安全服务功能转寄站321的替代路径从SFF 320传送到SFF 330。
参照图7,本公开的方法可以通过存储在储存介质(例如在装置900中储存器903)中的计算机程序实现。当装置900中的处理器901将实现本发明的方法的计算机程序加载到内存902时执行本发明的方法。处理器901可以通过网络接口904与其他实体通信。图1中的每个模姐,包含SFC控制器、分类器、SF和SFF可以实作在一台装置900中。在另外的实施方式中,在图1中,SFC控制器、分类器、SFs和多个SFF的任何组合可以同时在装置900中的一个或多个虚拟机中运行,或者在装置900的多个实施方式中运行。
所述反回放处理方法监视SFP中的封包计数,以识别回放攻击事件,并识别发生回放攻击事件的SFP路段为不安全的路径。所述方法进一步启动安全的路径绕过不安全的路径,使正常SFC封包具有安全标志,并在安全的路径的出口阶段阻止没有安全标志的回放封包。
对本领域的普通技术人员来说,可以根据本发明的发明方案和发明构思结合生成的实际需要做出其他相应的改变或调整,而这些改变和调整都应属于本发明权利要求的保护范围。

Claims (13)

1.一种反回放处理方法,由电子装置执行,其特征在于,包括:
从一个服务功能路径中的多个服务功能转寄站接收封包计数;
根据所述服务功能路径中第一个服务功能转寄站的第一封包计数和第二个服务功能转寄站的第二数据包计数之间的差值判别异常变化,以判定所述服务功能路径中所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生封包回放事件;
在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间初始化一个安全服务功能转寄站,以回应所述封包回放事件;以及
提供从所述第一个服务功能转寄站到所述第二个服务功能转寄站的替代路径的指示信息,用新的转发规则替换所述第一个服务功能转寄站中的原始转发规则,其中所述原始转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过原始路径传送到所述第二个服务功能转寄站,新的转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过包含所述安全服务功能转寄站的所述替代路径传送到所述第二个服务功能转寄站。
2.如权利要求1所述之反回放处理方法,其特征在于,更包含:
当所述第一个服务的所述第一个封包计数与所述第二个服务功能转寄站的所述第二个数据包计数之间的差异超过预定的阈值的情况下,判定所述服务功能路径中在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生所述封包回放事件。
3.如权利要求2所述之反回放处理方法,其特征在于,所述安全服务功能转寄站将所述服务功能路径的封包从所述安全服务功能转寄站传送到所述第二个服务功能转寄站。
4.如权利要求3所述之反回放处理方法,其特征在于,更包含:
所述第一个服务功能转寄站区分所述服务功能路径的正常封包与回放封包。
5.如权利要求4所述之反回放处理方法,其特征在于,更包含:
在所述服务功能路径的封包通信中,在所述正常封包中标注一个安全标志,以便过所述第二个服务功能转寄站,其中所述第二个服务功能转寄站允许具有所述安全标志的封包通过所述第二个服务功能转寄站,并防止没有所述安全标志的回放封包通过所述第二个服务功能转寄站。
6.如权利要求5所述之反回放处理方法,其特征在于,更包含:
设置在所述正常封包中的保留字段以标注所述安全标志。
7.如权利要求5所述之反回放处理方法,其特征在于,更包含:
所述第二个服务功能转寄站从所述服务功能路径接收未判断的封包;
当所述未判断的封包具有安全标志的情况中,所述未判断的封包为所述正常封包,所述第二个服务功能转寄站转发所述正常封包;以及
当所述未判断的封包没有安全标志的情况中,所述未判断的封包为所述回放封包,所述第二个服务功能转寄站丢弃所述回放封包。
8.如权利要求1所述之反回放处理方法,其特征在于,更包含:
利用一个封包计数路由表确定封包回放事件;
其中,所述封包计数路由表的第一个记录包括第一个服务路径标识符、第一个服务索引和第一个会话标识符以及第一个封包计数;
其中,所述封包计数路由表的第二个记录包括第二个服务路径标识符、第二个服务索引和第二个会话标识符以及第二个数据包计数。
9.一种反回放处理方法,由电子装置执行,其特征在于,包括:
收接封包回放事件发生的指示信息,其中所述指示信息记录所述封包回放事件发生在一个服务功能路径中的第一个服务功能转寄站和第二个服务功能转寄站之间;
收接初始化通知,其中所述初始化通知记录一个安全服务功能转寄站已初始化并设置于所述第一个服务功能转寄站和所述第二个服务功能转寄站之间以响应所述封包回放事件;
提供从所述第一个服务功能转寄站到所述第二个服务功能转寄站的替代路径的指示信息,用新的转发规则替换所述第一个服务功能转寄站中的原始转发规则,其中所述原始转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过原始路径传送到所述第二个服务功能转寄站,新的转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过包含所述安全服务功能转寄站的所述替代路径传送到所述第二个服务功能转寄站。
10.如权利要求9所述之反回放处理方法,其特征在于,所述安全服务功能转寄站将所述服务功能路径的封包从所述安全服务功能转寄站传送到所述第二个服务功能转寄站。
11.如权利要求9所述之反回放处理方法,其特征在于,更包含:
所述第一个服务功能转寄站区分所述服务功能路径的正常封包与回放封包。
12.如权利要求11所述之反回放处理方法,其特征在于,更包含:
在所述服务功能路径的封包通信中,在所述正常封包标注一个安全标志,以便过所述第二个服务功能转寄站,其中所述第二个服务功能转寄站允许具有所述安全标志的封包通过所述第二个服务功能转寄站,并防止没有所述安全标志的所述回放封包通过所述第二个服务功能转寄站。
13.如权利要求12所述之反回放处理方法,其特征在于,更包含:
设置在所述正常封包中的保留字段以标注所述安全标志。
CN201811420503.9A 2018-11-05 2018-11-26 反回放处理方法 Active CN111147435B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/180370 2018-11-05
US16/180,370 US10819743B2 (en) 2018-11-05 2018-11-05 Anti-replay processing method and device utilizing the same

Publications (2)

Publication Number Publication Date
CN111147435A CN111147435A (zh) 2020-05-12
CN111147435B true CN111147435B (zh) 2021-12-21

Family

ID=70460166

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811420503.9A Active CN111147435B (zh) 2018-11-05 2018-11-26 反回放处理方法

Country Status (3)

Country Link
US (2) US10819743B2 (zh)
CN (1) CN111147435B (zh)
TW (1) TWI692219B (zh)

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060242406A1 (en) * 2005-04-22 2006-10-26 Microsoft Corporation Protected computing environment
CN101471784B (zh) * 2007-12-29 2011-07-27 北京天融信网络安全技术有限公司 一种实现ipsec抗重放攻击的方法
US8560848B2 (en) * 2009-09-02 2013-10-15 Marvell World Trade Ltd. Galois/counter mode encryption in a wireless network
US10931742B2 (en) * 2014-09-29 2021-02-23 Koninklijke Kpn N.V. State replication of virtual network function instances
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
US9621520B2 (en) * 2015-03-19 2017-04-11 Cisco Technology, Inc. Network service packet header security
US9992223B2 (en) * 2015-03-20 2018-06-05 Nxp Usa, Inc. Flow-based anti-replay checking
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US9742790B2 (en) * 2015-06-16 2017-08-22 Intel Corporation Technologies for secure personalization of a security monitoring virtual network function
US10135702B2 (en) * 2015-11-12 2018-11-20 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for testing network function virtualization (NFV)
US10171350B2 (en) * 2016-04-27 2019-01-01 Cisco Technology, Inc. Generating packets in a reverse direction of a service function chain
US10841222B2 (en) * 2016-07-05 2020-11-17 Ologn Technologies Ag Systems, apparatuses and methods for network packet management
US10129127B2 (en) * 2017-02-08 2018-11-13 Nanning Fugui Precision Industrial Co., Ltd. Software defined network controller, service function chaining system and trace tracking method
US10897710B2 (en) * 2017-05-01 2021-01-19 Analog Devices International Unlimited Company Disjoint security in wireless networks with multiple managers or access points
CN107332913B (zh) * 2017-07-04 2020-03-27 电子科技大学 一种5g移动网络中服务功能链的优化部署方法

Also Published As

Publication number Publication date
US20200404020A1 (en) 2020-12-24
CN111147435A (zh) 2020-05-12
US11252187B2 (en) 2022-02-15
US20200145453A1 (en) 2020-05-07
US10819743B2 (en) 2020-10-27
TW202019125A (zh) 2020-05-16
TWI692219B (zh) 2020-04-21

Similar Documents

Publication Publication Date Title
US10637886B2 (en) Software defined network capable of detecting DDoS attacks and switch included in the same
CN108781171B (zh) 用于在ipv6环境中用数据平面信号通知分组捕获的系统和方法
US7873038B2 (en) Packet processing
US8509106B2 (en) Techniques for preventing attacks on computer systems and networks
US7058821B1 (en) System and method for detection of intrusion attacks on packets transmitted on a network
US7031297B1 (en) Policy enforcement switching
US11546266B2 (en) Correlating discarded network traffic with network policy events through augmented flow
US20070192862A1 (en) Automated containment of network intruder
EP2164228A1 (en) Hierarchical application of security services with a computer network
EP2748981B1 (en) Network environment separation
US10778551B2 (en) Identifying sources of packet drops in a service function chain environment
US10142210B2 (en) In-line tool performance monitoring and adaptive packet routing
Ramprasath et al. Secure access of resources in software‐defined networks using dynamic access control list
KR20100132079A (ko) 능동 네트워크 방어 시스템 및 방법
US9306959B2 (en) Dual bypass module and methods thereof
US9661006B2 (en) Method for protection of automotive components in intravehicle communication system
US10374922B2 (en) In-band, health-based assessments of service function paths
US10547532B2 (en) Parallelization of inline tool chaining
CN100393047C (zh) 一种入侵检测系统与网络设备联动的系统及方法
CN111147435B (zh) 反回放处理方法
JP2006148778A (ja) パケット転送制御装置
CN107888624B (zh) 一种防护网络安全的方法和装置
Lotlikar et al. A Defense Mechanism for DoS Attacks in SDN (Software Defined Network)
EP2540050B1 (en) Dual bypass module
KR102048862B1 (ko) 네트워크 장치의 혼잡 제어 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant