TWI797962B - 基於SASE的IPv6雲邊緣網路安全連線方法 - Google Patents
基於SASE的IPv6雲邊緣網路安全連線方法 Download PDFInfo
- Publication number
- TWI797962B TWI797962B TW111101894A TW111101894A TWI797962B TW I797962 B TWI797962 B TW I797962B TW 111101894 A TW111101894 A TW 111101894A TW 111101894 A TW111101894 A TW 111101894A TW I797962 B TWI797962 B TW I797962B
- Authority
- TW
- Taiwan
- Prior art keywords
- ipv6
- traffic
- path
- function module
- sfc
- Prior art date
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
提出一種在雲端邊緣網路環境中,IPv6連線安全接取並動態配置SFC (Service Function Chain)服務鏈的方法。本方法透過IPv6安全接取機制認證IPv6連線身分權限,再利用IPv6訊務識別技術快速判斷訊務流量特徵與類別,並且結合SRv6 (Segment Routing Over IPv6)分段路由技術配置SFC服務鏈動態路徑。本方法可以有效提升IPv6雲網融合互通安全與傳送效率。
Description
本發明是有關於一種基於SASE(Secure Access Service Edge)的IPv6(Internet Protocol version 6)雲邊緣網路安全連線方法。
行動雲端的快速發展,大量的終端設備聯網產生了大量的位址需求,雲網融合多元發展趨勢所帶來的各類新服務、新應用、新技術對安全和用戶隱私保護都帶來新的挑戰。使用者對於網路服務即時處理能力及多樣化的服務需求大幅提升,使得傳統雲端網路服務的架構已無法滿足新興服務快速變動網路架構的需求。此外,鑒於IPv6的快速發展與普及,使得IPv6的安全議題越來越受到重視。針對IPv6訊務的安全管理與效能優化也是未來網路管理的重要研究課題。如何兼顧IPv6用戶安全防護與訊務傳送效率的機制,進而提供差異化的安全連線架構是雲網路實現IPv6數位轉型的發展關鍵。
因為疫情因素導致遠距辦公的趨勢越來越普及,讓直接連接到雲端應用程式的遠端工作者快速增加,也逐漸建立起以雲端服務為主的遠距辦公新生活模式。由於雲端網路容易受各種資安威脅,包括資料外洩、勒索軟體、DDoS攻擊及網路釣魚攻擊等,網路攻擊者可利用雲端的安全漏洞或侵入的應用程式發起攻擊、破壞服務或竊取敏感資料。因此,雲端安全防護系統及做法對於維護用戶關鍵應用程式的可用性以及保護機密資訊極其重要。傳統雲網路安全多依賴5防火牆、入侵檢測技術和防毒軟體等靜態的、孤立的、被動式的防禦機制,且一般多個別部署在實體設備上放置於網路連接的閘道,從而構成一個實體的安全邊界。這種佈署方式,除了對於設備投資成本與維運管理是極大的負擔外,也無法滿足未來網路系統所需的安全性、可管理性、可攜性以及迅速應變的調適能力。此外,在考慮資安議題時,若將所有用戶連線的服務流皆導入資安檢測,雖然能防堵資訊安全的漏洞,卻也同時犧牲了服務效能,固定傳輸路徑將使得雲網端點間的延遲時間增加,影響整體服務效能。由此可見,上述傳統習用作法與架構仍有諸多缺失,實非一良善之設計,亟待加以改良。
使用機器學習來辨識網路訊務是一種趨勢,然而機器學習需透過大量的訊務資料來學習辨識合法與惡意訊務相當耗費時間與精力,如何快速判斷IPv6訊務類型並採取對應的處置措施是建構安全連線與提升傳送效率的關鍵。利用機器學習分類網路訊務技術研究主要包括以下三個方面:非監督學習(unsupervised learning)、監督學習(supervised learning)和半監督學習(semi-supervised learning)。無監督學習直接學習數據的內在結構,無需樣本的標籤數據,不需要對樣本進行大量標記,但檢測率較低。監督學習需要提前對訓練樣本進行標記,該方法首先使用有標籤的訓練集學習分類器,然後使用學習後的分類器對網路行為做識別檢測。半監督學習可對少部分資料進行標註,電腦只要透過有標註的資料找出特徵並對其它的資料進行分類,這種方法可以有效提昇預測的精準率與效率,是目前較受關注的研究領域。此外,除IPv6訊務識別分類外,IPv6訊務傳輸路徑的選擇也是影響通訊效能的關鍵,在傳統網路中,不論每個訊務流(Traffic Flow)的封包要求雲端服務是否相同,皆需經過同一條路徑,這將使得端點間的延遲時間增加,也會影響整體服務效能;以資安應用來說,但是若能將資安服務根據實況隨選配置,除了能有效防堵資安漏洞,也能提升整體服務效能;譬如已知串流服務為影音傳輸,就沒必要再將該訊務流導向資安檢測服務,可避免龐大的訊務處理拖垮服務效能。為此,IETF提出服務功能鏈(Service Function Chain,SFC)的傳輸模型,可針對使用者的需求,將使用者訊務流導向所需要的服務,也就是將網路服務的功能虛擬化並用虛擬鏈路的方式鏈結,以提供營運商動態網路服務配置的應用。常見的服務鏈技術主要有PBR(Policy-based Routing)和NSH(Network Service Header)兩種,PBR不能攜帶metadata難以滿足將來服務的需求,且缺乏故障檢測與保護機制,在發生故障時,容易產生流量黑洞;NSH需要基於每條服務流配置,配置複雜,可擴展性差,無法滿足未來可程式化網路控制的需求。
IPv6雲網路邊緣數位轉型的關鍵在於對IPv6網路流量管理的進一步控制,最終目標是能夠根據資料價值控制在IPv6封包層級處理及傳輸資料的方式與位置。Secure Access Service Edge (SASE) 是一種新型態的網路架構,可將網路控制置於雲端邊緣,把軟體定義的網路與網路安全性功能整合在統一的雲端上,可實現化繁為簡的全新安全架構。
本發明提供一種基於SASE的IPv6雲邊緣網路安全連線方法,可提供IPv6雲端網路邊緣識別IPv6訊務流量並提供SRv6按需服務路徑配置,利用SASE架構發展IPv6雲化整合應用實現雲端數位轉型,降低雲網路IPv6安全風險以及提升IPv6訊務傳送效率,實現按需配置的IPv6雲網融合應用創新連線模式。
本發明提出一種基於SASE的IPv6雲邊緣網路安全連線方法。在邊緣端融合網路與安全功能,可依據使用者應用場景採取動態IPv6安全策略,來達到安全防護與提升網路傳輸效能的最佳效益。當用戶需連線至IPv6雲網路,系統會先利用認證控制比對建立第一道防線,判斷是否需啟動安全的控管機制(例如觸發告警、阻斷,抑或是啟用多因素認證,自動發送簡訊認證),可降低安全風險。然後系統會對於該用戶連線之IPv6流量訊務進行時間,空間以及數量抽樣以進行快速標示,再透過特徵比對與模式分析判斷該IPv6訊務的類型,進行第二道防線的判斷。最後再依據訊務類別配置動態的SRv6分段路由,實現程式化控制網路服務按需路徑的配置。
圖1為依據本發明的實施例繪示的基於SASE的IPv6雲邊緣網路安全連線架構的示意圖。圖1的IPv6接取網路終端1是指IPv6用戶端設備如電腦或手機等個人電腦裝置。另一方面,IPv6接取網路裝置2是指網路元件設備如路由器或交換器等非用戶個人裝置。當訊務流經基於SASE的IPv6雲邊緣網路安全連線系統3,基於SASE的IPv6雲邊緣網路安全連線系統3會進行IPv6訊務認證並識別其IPv6流量訊務類別,針對IPv6連線應用服務訊務,基於SASE的IPv6雲邊緣網路安全連線系統3會利用雲網路動態SRv6路徑網路裝置4或是雲網路預設IPv6路徑網路裝置5將訊務傳送到目標雲網路伺服器6,動態的SFC路徑是利用SRv6技術將IPv6 分段路由列表(segment List)封裝至IPv6封包上,中間的網路設備需依序經過IPv6 Segment List所提供的中介服務節點,實現按需求配置的SFC服務功能鏈。
圖2為依據本發明的實施例繪示的基於SASE的IPv6雲邊緣網路安全連線系統3的方塊圖。系統3包括控制器功能模組7、虛擬交換器OVS(OpenvSwitch)功能模組8、IPv6安全接取功能模組9、IPv6訊務識別功能模組10以及SFC(Service Function Chain)路徑配置功能模組11,系統各個模組用途說明如下:
控制器功能模組7:依據IPv6安全接取功能模組9以及SFC路徑配置功能模組11提供之資訊,針對流經系統3的訊務流與封包進行安全存取管控或是SR分段路由路徑封裝之指令。
虛擬交換器OVS功能模組8:可依據控制指令處置訊務流與封包轉送與標記的功能。
IPv6安全接取功能模組9:負責連線身分權限認證,依據連線IPv6位址資訊與用戶帳號比對IPv6認證資料庫14,來判斷用戶身分與判斷是否進行安全存取控制。IPv6安全接取功能模組9包括連線認證單元12、安全存取限制單元13以及IPv6認證資料庫14。
IPv6訊務識別功能模組10:負責IPv6的訊務的識別與分類,使用抽樣規則選取IPv6訊務流資料區塊,可提供快速標記的資料作為特徵與模式分析比對,可作為SRv6路徑配置功能模組判斷SFC服務功能鏈路徑的參考依據。IPv6訊務識別功能模組10包括訊務剖析單元15、快速標記單元16、特徵比對單元17、模型分類單元18以及訊務資料庫19。
SFC路徑配置功能模組11:負責路徑規劃,透過訊務剖析單元15根據流量特徵或模式擬定適合的SFC服務功能鏈路徑。SFC路徑配置功能模組11包括訊務資料分析單元20、SFC路徑配置單元21、SRv6路徑封包標記單元22以及IPv6路徑資料庫23。
連線認證單元12:依據連線IPv6位址資訊與用戶帳號認證IPv6連線訊務。
安全存取限制單元13:依據連線認證單元或訊務資料分析單元判斷之結果,進行IPv6訊務流連線安全存取管控。
IPv6認證資料庫14:紀錄註冊用戶的帳號以及綁定之IPv6位址資訊(例如IPv6 Prefix, 來源地區等)。
訊務剖析單元15:將透過虛擬交換器OVS功能模組8的網路卡介面擷取到的IPv6訊務流量資料,進行IPv6 Flow流量以及封包格式解析。針對Flow IPv6訊務資料,紀錄建立session的節點資訊,起始/持續時間,應用程式資訊,轉換/累計/排序相關訊務數值;針對個別IPv6封包資訊,紀錄封包欄位資訊,封包位址,時間,封包大小以及通訊協定資訊,轉換/累計/排序相關訊務數值。
快速標記單元16:依據該Flow第一個IPv6封包接收到的時間,進行IPv6訊務資料的抽樣與標記,抽樣範圍包含用時間,空間以及數量等三種方式如下:
時間抽樣:抽樣固定長度時間(例如1min)區塊IPv6訊務資料進行標記。
空間抽樣:抽樣固定記憶容量(例如10MB)區塊IPv6訊務資料進行標記。
數量抽樣:抽樣固定數量IPv6封包(例如1000個封包)區塊資料進行標記。
標記與統計抽樣訊務封包資料內容如啟始時間、延續時間、協定、來源IP及Port、目的IP和Port、封包數量、大小、協定及Flow的數量等。
特徵比對單元17:比對既有/已知惡意訊務資料特徵,例如惡意的來源IPv6位址或通訊協定等資訊。
模型分類單元18:利用機器學習訊務分類模組進行分類,判斷該訊務是屬於交談型(conversational)、串流型(streamiung) 互動型(interactive)或是其他背景(background)等訊務類型。
訊務資料庫19:紀錄已知惡意/異常IPv6訊務與流量特徵,以及IPv6訊務分類模型,並儲存IPv6特徵識別以及IPv6訊務分類的判斷結果。
在本實施例中,判斷特徵比對與模型分析的結果用數字代碼表示如下:
判斷結果為00表示兩者皆無。
判斷結果為01 表示有特徵辨識結果但無分類結果。
判斷結果為10 表示無辨識特徵結果,但有分類結果。
判斷結果為11表示有特徵辨識也有分類結果。
訊務資料分析單元20:依據訊務資料分析結果判斷SFC的選擇路徑。
如抽樣訊務判斷結果為00,表示該流量為未知訊務,則配置安檢路徑。
如抽樣訊務判斷結果為10或11,表示該流量為已知惡意或異常訊務,則配置隔離路徑限制該訊務流量傳輸。
如抽樣訊務判斷結果為01,表示該流量非惡意或異常訊務,可再依據該訊務的類型配置SFC路徑。
例如串流型訊務如Youtube影音,可配置限流路徑。
例如交談型或互動型訊務,可配置預設路徑。
例如其他背景Background流量,可配置安檢路徑過濾或排除。
SFC路徑配置單元21: SRv6 Segment List的路徑編組節點清單會由路徑資料庫中挑選時間距離最近使用與最少標記的中介SRv6網路分段節點作為選擇。由多個網路分段節點組合之路徑,說明如下:
預設路徑:依據IPv6 Routing Table尋找IPv6最短路徑。
流管路徑:封裝SRv6分段路由指定到達目的伺服器前須經過IPv6限速裝置後。
安檢路徑:封裝SRv6分段路由指定到達目的伺服器前須經過IPv6 IDS或防火牆等裝置。
隔離路徑:透過安全存取單元將IPv6訊務阻斷或轉送之隔離之區域進行進一步的分析(如DPI深度封包檢測)。
SRv6路徑封包標記單元22:依據SFC路徑配置單元21標記分段路由中間節點,再利用控制器將分段路由資訊封裝至IPv6 Header之上。
IPv6路徑資料庫23:維護多個不同類別應用伺服器分段路由節點(例如FW, IDS, IPS, Proxy, 頻寬限制..等)的IPv6位址,並記錄其路徑轉送標記次數與上次使用標記時間。
在此需說明的是,上述各模組/單元/資料庫可為由處理器所執行的軟體及/或韌體程式碼,或者也可實作為電路。本發明不對此限制。
圖3為依據本發明的實施例繪示的基於SASE的IPv6雲邊緣網路安全連線方法的運作流程圖,包括如下步驟:
(a)在IPv6封包進入系統3(步驟S301)之後,在步驟S302中,系統3的IPv6安全接取模組9會依據IPv6連線資訊比對IPv6認證資料庫14來判斷該IPv6連線是否符合存取權限。如非IPv6認證資料庫14紀錄之資料(步驟S302的判斷結果為「否」),則IPv6安全接取功能模組9啟動IPv6安全存取管控機制(步驟S303)。如為IPv6認證資料庫14紀錄之資料(步驟S302的判斷結果為「是」),則IPv6訊務識別功能模組10進行IPv6訊務封包識別的程序。
(b)在步驟S304中,IPv6訊務識別功能模組10會針對IPv6流量進行封包解析,並且利用訊務抽樣規則(例如時間,空間以及數量抽樣)進行資料區塊的標記處理。在步驟S305中,IPv6訊務識別功能模組10會利用平行訊務辨識架構進行IPv6流量識別以產生特徵識別。如特徵識別顯示為異常或確認已知的IPv6惡意連線(步驟S306的判斷結果為「否」),則系統3(的IPv6安全接取功能模組9)啟動IPv6安全存取管控機制。如特徵識別非異常或已知IPv6惡意連線之訊務(步驟S306的判斷結果為「是」),在步驟S307中,SFC路徑配置功能模組11依據訊務類別配置進行SFC路徑選擇判斷SRv6分段路徑。
(c)在步驟S308中,SFC路徑配置功能模組11會依據IPv6訊務特徵或運作模式判斷適合的SFC轉送策略,SFC路徑配置單元21可由IPv6路徑資料庫23中挑選距離最近使用與最少標記的中介應用伺服器作為SRv6 Segment List的路徑節點編組清單,而後再將選定的SRv6 Segment List封裝至IPv6封包。
圖4為依據本發明的另一實施例繪示的基於SASE的IPv6雲邊緣網路安全連線方法的運作流程圖,圖4所示的方法可由IPv6安全接取功能模組9實施。圖4的方法(安全存取功能流程)包括如下步驟:
(a)IPv6連線裝置(例如,IPv6接取網路終端1或IPv6接取網路裝置2)起始連線至系統3,系統3(的IPv6安全接取功能模組9)會依據IPv6連線訊務的資訊比對(此IPv6連線訊務的資訊包括但不限於IPv6位址來源以及連線帳號)。
(b)如比對結果顯示為非IPv6認證資料庫14紀錄之用戶,則啟動IPv6安全存取管控機制(預設為阻斷,也可包含告警訊息/郵件或多因子認證),若比對為IPv6認證資料庫14紀錄之用戶,則開通IPv6雲邊緣網路安全存取介面。
圖5為依據本發明的又一實施例繪示的基於SASE的IPv6雲邊緣網路安全連線方法的運作流程圖,圖5所示的方法可由IPv6訊務識別功能模組10實施。圖5的方法(訊務識別功能流程)包括如下步驟:
(a)從虛擬交換器OVS功能模組8的(網路)介面擷取IPv6訊務封包,以由IPv6訊務識別功能模組10處理IPv6訊務流量。
(b)針對Flow IPv6訊務資料,訊務剖析單元15會自動解析,紀錄建立session的節點資訊,起始/持續時間,應用程式資訊,轉換/累計/排序相關訊務數值。
(c)針對個別IPv6封包資訊,訊務剖析單元15會自動解析,紀錄封包欄位資訊,封包位址,時間,封包大小以及通訊協定資訊,轉換/累計/排序相關訊務數值。
(d)快速標記單元16會使用抽樣規則選取IPv6訊務區塊,標記與統計區塊訊務流量封包的欄位資訊。抽樣範圍包含用時間,空間以及數量等三種方式如下:
時間抽樣:抽樣固定長度時間(例如1min)區塊訊務資料進行標記。
空間抽樣:抽樣固定記憶容量(例如10MB)區塊訊務資料進行標記。
數量抽樣:抽樣固定數量封包(例如1000個封包)區塊資料進行標記。
標記與統計抽樣訊務封包資料內容如啟始時間、延續時間、協定、來源IP及Port、目的IP和Port、封包數量、大小、協定及Flow的數量等。
(e)特徵比對單元17以及模型分類單元18利用已知異常IPv6特徵進行比對以及透過訊務分類模型演算法(例如決策樹、聚類演算法、貝葉斯或神經網路等)即時分析抽樣訊務。
(f)如確認為已知異常IPv6訊務,則利用控制器功能模組7下達指令進行安全存取管控IPv6連線;如判斷未非惡意或已知異常訊務,則系統3(的SFC路徑配置功能模組11)依據IPv6訊務特徵以及分類結果規劃訊務轉送路徑。
圖6為依據本發明的再一實施例繪示的基於SASE的IPv6雲邊緣網路安全連線方法的運作流程圖,圖6所示的方法可由SFC路徑配置功能模組11實施。圖6的方法(SFC路徑配置功能流程)包括如下步驟:
(a)訊務資料分析單元20會依據IPv6訊務特徵或運作模式判斷適合的SFC轉送路徑策略 (例如預設路徑,流管路徑,安檢路徑或是隔離路徑)。
(b)IPv6路徑資料庫23會維護多個不同類別應用伺服器(例如FW, IDS, IPS, Proxy, 頻寬限制..等)的IPv6位址,並記錄其路徑轉送標記次數與上次使用標記時間。
(c)SFC路徑配置單元21可由路徑資料庫中挑選距離最近使用與最少標記的中介應用伺服器作為SRv6 Segment List的SFC編組清單,並作為訊務轉送的參考資訊。
(d)SRv6路徑封包標記單元22會依據SFC路徑選擇單元21標記Segment List中間節點資訊封裝至IPv6流量封包之中。
[特點及功效]
本發明所提供的基於SASE 的IPv6雲邊緣網路安全連線方法,與其他習用技術相互比較時,更具有下列之效益與優點:
1. 本發明的基於SASE 的IPv6雲邊緣網路安全連線方法,將IPv6網路控制與資安功能整合在雲網路邊緣,可以簡化IPv6雲網路存取安全架構以及實現雲端IPv6數位化轉型所需要的動態服務配置。
2. 本發明的基於SASE 的IPv6雲邊緣網路安全連線方法,可透過IPv6訊務快速抽樣標記技術,利用IPv6特徵識別與機器分類技術快速辨識IPv6異常訊務,結合機器學習分類IPv6訊務類別的輔助與建議,可建立資料驅動應用的創新模式。
3. 本發明的基於SASE 的IPv6雲邊緣網路安全連線方法,可透過SRv6分段路由技術實現SFC的動態服務路徑,利用IPv6單一承載技術實現端對端互通,為網路提供流量引導能力,將封包導向資料中心特定VM或容器中的網路功能,可實現IPv6雲網融合按需應用配置以及提升IPv6訊務傳送效率。
上列詳細說明係針對本發明之一可行實施例之具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
1:IPv6接取網路終端
2:IPv6接取網路裝置
3:基於SASE的IPv6雲邊緣網路安全連線系統
4:雲網路動態SRv6路徑網路裝置
5:雲網路預設IPv6路徑網路裝置
6:目標雲網路伺服器
7:控制器功能模組
8:虛擬交換器OVS功能模組
9:IPv6安全接取功能模組
10:IPv6訊務識別功能模組
11:SFC路徑配置功能模組
12:連線認證單元
13:安全存取限制單元
14:IPv6認證資料庫
15:訊務剖析單元
16:快速標記單元
17:特徵比對單元
18:模型分類單元
19:訊務資料庫
20:訊務資料分析單元
21:SFC路徑配置單元
22:SRv6路徑封包標記單元
23:IPv6路徑資料庫
S301~S308:步驟
圖1為依據本發明的實施例繪示的基於SASE的IPv6雲邊緣網路安全連線架構的示意圖。
圖2為依據本發明的實施例繪示的基於SASE的IPv6雲邊緣網路安全連線系統的方塊圖。
圖3為依據本發明的實施例繪示的基於SASE的IPv6雲邊緣網路安全連線方法的運作流程圖。
圖4為依據本發明的另一實施例繪示的基於SASE的IPv6雲邊緣網路安全連線方法的運作流程圖。
圖5為依據本發明的又一實施例繪示的基於SASE的IPv6雲邊緣網路安全連線方法的運作流程圖。
圖6為依據本發明的再一實施例繪示的基於SASE的IPv6雲邊緣網路安全連線方法的運作流程圖。
S301~S308:步驟
Claims (6)
- 一種基於SASE(Secure Access Service Edge)的IPv6(Internet Protocol version 6)雲邊緣網路安全連線方法,適用於基於SASE的IPv6雲邊緣網路安全連線系統,其中該基於SASE的IPv6雲邊緣網路安全連線系統包括控制器功能模組、虛擬交換器OVS(OpenvSwitch)功能模組、IPv6安全接取功能模組、IPv6訊務識別功能模組以及SFC(Service Function Chain)路徑配置功能模組,其中該控制器功能模組對虛擬交換器下達控制指令,進行IPv6訊務擷取、流量導向以及資訊封裝等控制動作,其中該虛擬交換器OVS功能模組依據該控制指令對訊務封包進行控制,其中該IPv6安全接取功能模組負責IPv6連線訊務的認證,其中該IPv6訊務識別功能模組負責該IPv6連線訊務的識別與分類,其中該SFC路徑配置功能模組負責SRv6(Segment Routing Over IPv6)SFC動態路徑規劃,其中所述方法包括如下步驟:(a)當IPv6訊務封包進入該基於SASE的IPv6雲邊緣網路安全連線系統後,由該IPv6安全接取功能模組依據IPv6連線資訊比對IPv6認證資料庫來判斷IPv6連線是否符合存取權限,如非該IPv6認證資料庫紀錄的資訊,則由該IPv6安全接取功能模組啟動IPv6安全存取管控機制,如為該IPv6認證資料庫紀錄的資訊,則由該IPv6訊務識別功能模組進行IPv6訊務封包識別的程序判斷;(b)由該IPv6訊務識別功能模組針對IPv6流量進行封包解析,然後利用訊務抽樣規則(例如時間,空間以及數量抽樣)進行 IPv6資料區塊的標記處理,並且利用平行訊務辨識架構進行IPv6流量識別以產生特徵識別,如該特徵識別為異常或確認已知的IPv6惡意連線,則由該IPv6安全接取功能模組啟動該IPv6安全存取管控機制,如該特徵識別非異常或已知IPv6惡意連線之訊務,則由該SFC路徑配置功能模組依據IPv6訊務類別配置進行SFC路徑配置SRv6分段路徑;(c)由該SFC路徑配置功能模組的訊務資料分析單元依據IPv6訊務特徵或運作模式判斷適合的SFC轉送策略(例如預設路徑,流管路徑,安檢路徑或是隔離路徑),由該SFC路徑配置功能模組的SFC路徑配置單元由IPv6路徑資料庫中挑選距離最近使用與最少標記的中介應用伺服器作為SRv6分段路由列表(Segment List)的SFC編組節點清單,並作為IPv6訊務轉送的參考資訊。
- 如請求項1所述的基於SASE的IPv6雲邊緣網路安全連線方法,其中該IPv6安全接取功能模組包括連線認證單元、安全存取限制單元以及IPv6認證資料庫,其中所述方法更包括:由該IPv6安全接取功能模組依據連線訊務資訊比對該IPv6認證資料庫判斷用戶身分權限與進行IPv6安全存取控制,其中該連線訊務資訊包括IPv6位址來源以及連線帳號。
- 如請求項1所述的基於SASE的IPv6雲邊緣網路安全連線方法,其中該IPv6訊務識別功能模組包括訊務剖析單元、快速標記單元、特徵比對單元、模型分類單元以及訊務資料庫單元,其中所述方法更包括: 由該IPv6訊務識別功能模組使用時間、空間或流量抽樣規則選取IPv6訊務流資料區塊,藉由快速標記的資料區塊透過已知IPv6特徵與機器學習模型分析比對,以提供該SFC路徑配置功能模組判斷IPv6路徑的參考依據。
- 如請求項1所述的基於SASE的IPv6雲邊緣網路安全連線方法,其中該SFC路徑配置功能模組包括訊務資料分析單元、SFC路徑配置單元、SRv6路徑封包標記單元以及IPv6路徑資料庫單元,其中所述方法更包括:由該SFC路徑配置功能模組依據IPv6訊務流量特徵或模式分類選擇適合的SFC路徑,其中由SRv6 segment list節點編組而成的SFC路徑提供一種鬆散源路由(loose source route)資訊封裝在IPv6封包上並記錄在該IPv6路徑資料庫中。
- 如請求項1所述的基於SASE的IPv6雲邊緣網路安全連線方法,其中該IPv6訊務識別功能模組包括訊務剖析單元、快速標記單元、特徵比對單元、模型分類單元以及訊務資料庫單元,其中所述方法更包括如下步驟:(a)由該IPv6訊務識別功能模組從虛擬交換器OVS功能模組的介面擷取IPv6訊務封包,以由該IPv6訊務識別功能模組處理IPv6訊務流量;(b)針對Flow IPv6訊務資料,由該訊務剖析單元自動解析,紀錄建立session的節點資訊,起始/持續時間,應用程式資訊,轉換/累計/排序相關訊務數值; (c)針對個別IPv6封包資訊,由該訊務剖析單元自動解析,紀錄封包欄位資訊,封包位址,時間,封包大小以及通訊協定資訊,轉換/累計/排序相關訊務數值;(d)由該快速標記單元使用抽樣規則選取IPv6訊務區塊,標記與統計區塊訊務流量封包的欄位資訊。抽樣範圍包含用時間,空間以及數量等三種方式,其中時間抽樣包括抽樣固定長度時間(例如1min)區塊IPv6訊務資料進行標記;其中空間抽樣包括抽樣固定記憶容量(例如10MB)區塊IPv6訊務資料進行標記;其中數量抽樣包括抽樣固定數量封包(例如1000個封包)區塊IPv6資料進行標記;其中,該快速標記單元標記與統計抽樣訊務封包資料內容如啟始時間、延續時間、協定、來源IP及Port、目的IP和Port、封包數量、大小、協定及Flow的數量等;(e)由該特徵比對單元以及該模型分類單元利用已知異常IPv6特徵進行比對以及透過訊務分類模型即時分析抽樣訊務;(f)如確認為已知異常IPv6訊務,則利用該控制器功能模組下達指令進行安全連線管控IPv6連線;如判斷未非惡意或已知異常訊務,則由該SFC路徑配置功能模組依據訊務特徵以及分類結果規劃訊務轉送SFC路徑。
- 如請求項1所述的基於SASE的IPv6雲邊緣網路安全連線方法,其中該SFC路徑配置功能模組包括訊務資料分析單元、SFC路徑配置單元、SRv6路徑封包標記單元以及IPv6路徑資料庫單元,其中所述方法更包括如下步驟:(a)由該訊務資料分析模組依據IPv6訊務特徵或運作模式判斷適合的SFC轉送路徑策略(例如預設路徑,流管路徑,安檢路徑或是隔離路徑);(b)由該路徑資料庫維護多個不同類別應用伺服器(例如FW,IDS,IPS,Proxy,頻寬限制..等)的IPv6位址,並記錄其路徑轉送標記次數與上次使用標記時間;(c)由該SFC路徑選擇模組從該路徑資料庫中挑選距離最近使用與最少標記的中介應用伺服器作為SRv6 Segment List的SFC編組清單,作為IPv6訊務轉送的參考資訊;(d)由該SRv6路徑標記單元依據SFC路徑選擇機制標記Segment List中間節點資訊並封裝至IPv6流量封包之中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW111101894A TWI797962B (zh) | 2022-01-17 | 2022-01-17 | 基於SASE的IPv6雲邊緣網路安全連線方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW111101894A TWI797962B (zh) | 2022-01-17 | 2022-01-17 | 基於SASE的IPv6雲邊緣網路安全連線方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI797962B true TWI797962B (zh) | 2023-04-01 |
| TW202332240A TW202332240A (zh) | 2023-08-01 |
Family
ID=86945069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW111101894A TWI797962B (zh) | 2022-01-17 | 2022-01-17 | 基於SASE的IPv6雲邊緣網路安全連線方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI797962B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116599779A (zh) * | 2023-07-19 | 2023-08-15 | 中国电信股份有限公司江西分公司 | 一种增加网络安全性能的IPv6云转换方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3028528A1 (en) * | 2013-08-27 | 2016-06-08 | Huawei Technologies Co., Ltd. | System and method for mobile network function virtualization |
| US20160344803A1 (en) * | 2015-05-20 | 2016-11-24 | Cisco Technology, Inc. | System and method to facilitate the assignment of service functions for service chains in a network environment |
| TWI690173B (zh) * | 2015-06-16 | 2020-04-01 | 美商英特爾公司 | 供安全性監控虛擬網路功能用的安全個人化之技術 |
-
2022
- 2022-01-17 TW TW111101894A patent/TWI797962B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3028528A1 (en) * | 2013-08-27 | 2016-06-08 | Huawei Technologies Co., Ltd. | System and method for mobile network function virtualization |
| US20160344803A1 (en) * | 2015-05-20 | 2016-11-24 | Cisco Technology, Inc. | System and method to facilitate the assignment of service functions for service chains in a network environment |
| TWI690173B (zh) * | 2015-06-16 | 2020-04-01 | 美商英特爾公司 | 供安全性監控虛擬網路功能用的安全個人化之技術 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116599779A (zh) * | 2023-07-19 | 2023-08-15 | 中国电信股份有限公司江西分公司 | 一种增加网络安全性能的IPv6云转换方法 |
| CN116599779B (zh) * | 2023-07-19 | 2023-10-27 | 中国电信股份有限公司江西分公司 | 一种增加网络安全性能的IPv6云转换方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202332240A (zh) | 2023-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Salman et al. | A machine learning based framework for IoT device identification and abnormal traffic detection | |
| Rahman et al. | DDoS attacks detection and mitigation in SDN using machine learning | |
| US10212224B2 (en) | Device and related method for dynamic traffic mirroring | |
| US9813447B2 (en) | Device and related method for establishing network policy based on applications | |
| US9130826B2 (en) | System and related method for network monitoring and control based on applications | |
| Maeda et al. | A botnet detection method on SDN using deep learning | |
| US9584393B2 (en) | Device and related method for dynamic traffic mirroring policy | |
| US9256636B2 (en) | Device and related method for application identification | |
| US8060927B2 (en) | Security state aware firewall | |
| US9230213B2 (en) | Device and related method for scoring applications running on a network | |
| Su et al. | Detecting p2p botnet in software defined networks | |
| US11546266B2 (en) | Correlating discarded network traffic with network policy events through augmented flow | |
| Ramprasath et al. | Secure access of resources in software‐defined networks using dynamic access control list | |
| JP2005517349A (ja) | マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 | |
| Jmila et al. | A survey of smart home iot device classification using machine learning-based network traffic analysis | |
| Krishnan et al. | OpenStackDP: a scalable network security framework for SDN-based OpenStack cloud infrastructure | |
| Nife et al. | Application-aware firewall mechanism for software defined networks | |
| Ye et al. | An anomalous behavior detection model in cloud computing | |
| CN113037731B (zh) | 基于sdn架构和蜜网的网络流量控制方法及系统 | |
| EP4002866A1 (en) | A device and method to establish a score for a computer application | |
| WO2016048962A1 (en) | Collaborative deep packet inspection systems and methods | |
| TW202137735A (zh) | 網路基礎架構可程式切換裝置 | |
| Schehlmann et al. | COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes | |
| TWI797962B (zh) | 基於SASE的IPv6雲邊緣網路安全連線方法 | |
| Al Mtawa et al. | Smart home networks: Security perspective and ml-based ddos detection |