用于控制通信网络的装置和方法与流程

本发明涉及一种用于控制具有用于数据通信的多个终端的通信网络的装置。本发明还涉及一种具有这种装置的路由器、具有这种装置的交换机、具有这种装置的防火墙和具有这种装置的通信网络。此外，本发明涉及用于控制通信网络的方法和计算机程序产品。

背景技术：

本发明的技术背景涉及诸如公司、学校、公共机构和其它组织的通信网络等的通信网络的安全性(IT安全性)。

公司等的通信网络越来越成为攻击者的目标，特别是为了对其进行监视。与通信网络有关的威胁场景越来越专业化、通常被长期布置、并且采用高度专业的伪装技术。通常，攻击者在攻击通信网络时专门查看公司的安全策略等中的弱点。

诸如防火墙、IPS和防病毒解决方案以及web网关的已知安全解决方案被配置为通过采用签名依赖安全措施来检测已知的攻击模式。然而，新一代攻击不限于已知的攻击模式，而是动态的。例如，对目标持续进行多个攻击向量和阶段，这极大地增大了对公司网络的潜在威胁。

这里，已知的静态网络配置具有容易成为攻击者(诸如未授权实体等)进行监视和攻击的目标的缺点。

技术实现要素：

鉴于此，本发明的目的是提供一种更安全的通信网络。

根据第一方面，提出一种用于控制包括用于数据通信的多个终端的通信网络的装置。该装置包括控制单元，其被配置为对数据通信的数据面和控制面进行解耦，以及在通信会话期间使用解耦的控制面来修改从通信网络的外部可见的通信网络的至少一个特性。

由于控制单元在每个单个通信会话期间修改(更具体地动态地修改)从通信网络的外部可见的通信网络的至少一个特性，因此外部观察者或攻击者实际上不可能监视通信网络，因为通信网络的配置和出现对于外部观察者而言不可确定且不可预测。另外或替代地，还可以修改通信网络的可见数据模式。这增强了通信网络的安全性。

可以通过控制单元修改的通信网络的至少一个特性的示例是通信网络的终端的虚拟地址的改变、通信网络的配置的改变、通信网络的路由行为的改变、以及应用和/或其端口映射的改变。

通信会话或会话理解为通信网络的终端之一与通信网络的外部或通信网络内部的装置之间的通信。通信会话还可以基于诸如HTTP(超文本传输协议)等的无状态协议。

可以通过硬件和/或软件实现控制单元。在硬件实现的情况下，控制单元可以实现为装置或装置的一部分，例如实现为计算机、微处理器、路由器或交换机。在软件实现的情况下，控制单元可以实现为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。

可用于实现控制单元的工具是开源SDN控制器OpenMUL(参见参考文献[1])。OpenMUL控制器提供了用C实现的基于SDN/OpenFlow的控制平台。这里，控制单元优选配置为利用OpenFlow(参见参考文献[2])以及移动目标-防御(MTD，参见参考文献[3])。通过使用MTD，控制单元配置为动态地修改通信网络。OpenFlow是一种通信协议，其提供对处理传入的网络分组的交换机或路由器(所谓的转发面)的硬件组件的访问。

装置本身可以通过硬件和/或软件来实现。在硬件实现的情况下，装置可以实现为计算机、路由器的一部分、交换机的一部分或防火墙的一部分。在软件实现的情况下，装置可以实现为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。

通信网络也可以称为网络或计算机网络，并且例如是LAN(局域网)或WAN(广域网)。

例如，可以通过软件定义网络(参见参考文献[4]和[5])提供数据通信的数据面和控制面的解耦。

通信网络的终端的示例包括计算器、计算机、路由器、交换机、防火墙、嵌入式系统等。

根据实施例，控制单元被配置为在通信会话期间使用解耦的控制面主动地修改从通信网络的外部可见的通信网络的至少一个特性。

因此，控制单元被配置为主动地修改至少一个可见特性。因此，在通信网络上发生威胁或损害之前，通信系统的至少一个特性已经被修改。因此，可以提供针对通信网络的主动实时安全性。

在本案中，主动修改特别地理解为在每个单个数据流结束时修改至少一个可见特性。因此，与常规的被动修改相反，本控制单元配置成在识别出威胁或检测到损害的情况下主动地修改或主动及被动地修改。

更具体地，控制单元被配置为主动地修改通信网络，使得可以动态地建立具有不同安全级别和/或不同安全功能的不同安全区域。例如，控制单元可以根据所识别的威胁场景来改变所建立的安全区域。此外，控制单元优选地被配置为建立具有不同安全级别的通信网络的日间操作和夜间操作。

根据另一实施例，控制单元被配置为在通信会话期间使用解耦的控制面来改变多个终端中的至少一个的虚拟地址。虚拟地址是可以通过逻辑单元或计算机单元转换为物理地址的逻辑地址。

根据另一实施例，装置包括用于输出随机值的随机生成器。这里，控制单元被配置为根据随机生成器输出的随机值来改变虚拟地址。

根据另一实施例，控制单元被配置为在通信会话期间使用解耦的控制面修改通信网络的配置。通信网络的配置的改变优选地包括所建立的通信网络的安全级别或安全区域的改变。因此，装置可以通过改变通信网络的配置对不同的攻击场景做出不同的反应。

根据另一实施例，控制单元被配置为在通信会话期间使用解耦的控制面修改通信网络的路由行为。由于提供通信网络的路由行为的改变，攻击者由于缺乏路由行为的静态特性而无法从通信网络的路由行为的记录或日志中得出任何有用的结论。

根据另一实施例，控制单元被配置为在通信会话期间使用解耦的控制面修改通信网络的至少一个应用。由于通信网络的应用的改变，攻击者无法获得与通信网络有关的任何有用的信息。

根据另一实施例，控制单元被配置为在通信会话期间使用解耦的控制面修改至少一个应用的至少一个端口分配。由于通信网络的应用的端口分配的改变，攻击者无法获得与通信网络有关的任何有用的信息。

根据另一实施例，控制单元被配置为在通信会话期间进行通信网络所采用的第一加密算法与第二加密算法的交换。

这里，控制单元优选从多个准备的加密算法中选择第二加密算法。

有利地，由于加密算法的交换，攻击者使用静态的加密算法无法获得与通信网络有关的有用信息。

加密算法被理解为例如使用加密函数计算至少一个加密值的算法。加密算法包括诸如SSL(安全套接层)和数字签名等的加密算法。加密值可以包括诸如对称密钥和/或哈希值等的加密密钥。

根据另一实施例，控制单元被配置为修改通信网络的数据模式，特别是至少一个终端的有效载荷数据简档。

通过修改通信网络的一个数据模式或多个数据模式，控制单元能够模拟至攻击者的数据通信量。模拟的数据通信量也可以称为数据模型或通信模型。此外，控制单元优选地被配置为改变耦接至通信网络的终端、即网络终端或网络参与者以修改通信网络的数据模式。通过修改数据模式，攻击者在执行成功的二进制模式比较方面受到相当大的阻碍。

根据另一实施例，通信会话包括多个数据事务(数据流)。这里，控制单元被配置为在多个事务的子集之后修改从通信网络的外部可见的通信网络的至少一个特性。

事务子集(其后控制单元修改通信网络的至少一个可见特性)可以通过随机生成器触发或指定。

根据另一实施例，通信会话包括多个数据事务，其中控制单元被配置为在多个事务的各事务之后修改从通信网络的外部可见的通信网络的至少一个特性。

通过在各事务之后改变一个或多个特性，可以增强通信网络的安全级别。

根据另一实施例，控制单元被配置为使用软件定义网络将数据通信的控制面和数据面进行解耦。软件定义网络是一种用于构建用于通信网络和软件的装置或终端的方案，其将两个基本组件、即数据和控制命令彼此分离并进行抽象(为此目的，参见参考文献[4]和[5])。

根据另一实施例，装置包括与控制单元耦接的一个随机生成器。随机生成器被配置为随机地或准随机地触发控制单元，以在通信会话期间对从通信网络的外部可见的通信网络的至少一个特性进行至少一次修改，更具体地在通信会话期间进行多次修改。随机生成器或随机数生成器生成一系列随机值或随机数。该随机生成器可以形成为确定性随机数生成器或非确定性随机数生成器。

根据另一实施例，装置包括用于检测、隔离和对抗未授权实体对通信网络的访问的第一保护单元。根据本实施例，第一保护单元能够检测来自未被通信网络授权的一个实体的攻击或访问、隔离通信网络中检测到的攻击、以及采取措施对抗该攻击。

根据另一实施例，装置包括用于向耦接至该装置的确定系统发出警告和警报的第二保护单元。第二保护单元优选地被配置为向耦接至该装置且通过例如政府实体操作的确定系统发出警告和警报。

根据另一实施例，装置包括用于恢复至少一个关键的网络功能的第三保护单元。

这里，第三保护单元可以特别地被配置为在检测到关键网络功能的故障时启动用于执行关键网络功能的至少一个冗余单元，以恢复关键网络功能。因此，该装置有利地能够自动恢复关键网络功能。

根据另一实施例，该装置包括用于在未授权实体访问通信网络期间提供分析数据的分析单元。

根据另一实施例，该装置包括数据确定单元，用于使用所提供的分析数据确定状态数据，其中状态数据特别地能够指示通信网络的安全情况。

根据另一实施例，该装置包括用于向可耦接至该装置的确定系统发送状态数据的接口单元。这里，例如确定系统还可以经由因特网耦接至该装置。于是将接口单元配置为在确定系统和该装置之间建立加密保护的传输。例如，接口单元还可以在该装置和确定系统之间建立受保护的通信隧道。

根据另一实施例，通信网络包括具有彼此堆叠的层的基础架构。特别地，基础架构具有彼此堆叠的以下层：层1、层2、层3、层4、层5、层6、层7。这里，控制单元实现为覆盖层2和层3的虚拟覆盖网络。

根据另一实施例，通过使用虚拟可扩展LAN来实现虚拟覆盖网络。例如，通过VXLAN(虚拟可扩展LAN)实现覆盖网络。VXLAN是用于使覆盖网络在现有的层3基础架构上运行的封装协议(参见参考文献[6])。

根据另一实施例，控制单元包含在通信网络的防火墙、交换机或路由器中。

根据另一实施例，控制单元通过软件来实现。

根据另一实施例，该装置支持IPv4(因特网协议第4版；参见参考文献[7]和IPv6(因特网协议第6版；参见参考文献[8])。

根据另一实施例，该装置使用安全协议和隧道协议的组合。通过使用隧道协议，可以进一步增强数据通信的安全性。

安全协议的示例是IPsec(参见参考文献[9])。隧道协议的示例是L2TP(参见参考文献[10])。合适的隧道协议的另一示例是open-VPN(参见参考文献[11])。

诸如分析单元或保护单元等的各单元可以实现为硬件和/或软件。在硬件实现的情况下，该单元可以形成为装置或装置的一部分，例如形成为计算机、微处理器或交换机。在软件实现的情况下，该单元可以实现为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。

根据第二方面，提出一种用于通信网络的路由器，其包括根据第一方面或根据第一方面的实施例之一的装置。具体地，路由器被理解为能够在多个通信网络之间转发网络分组的网络装置。路由器可以用于连接至因特网、用于公司的多个位置的安全耦接、或者用于多个本地网段的直接耦接，在需要的情况下适配于不同的因特网协议。

根据第三方面，提出一种用于通信网络的交换机，其包括根据第一方面或根据第一方面的实施例之一的装置。交换机被理解为能够将网络段彼此连接的耦接元件。其在数据分组到达其目的地的网段内进行处理。交换机也可以称为网络交换机或分配器。

根据第四方面，提出一种用于通信网络的防火墙，其包括根据第一方面或根据第一方面的实施例之一的装置。防火墙被理解为保护通信网络、通信网络的一部分、或通信网络的单个计算机免受不期望的网络访问的网络元件。防火墙可以表示安全系统或者可以是安全系统的一部分。

根据第五方面，提供一种通信网络，其包括用于数据通信的多个终端和根据第一方面或根据第一方面的实施例之一的装置。

根据第六方面，提出一种用于控制具有用于数据通信的多个终端的通信网络的方法。该方法包括对数据通信的控制面和数据面进行解耦，以及在通信会话期间使用解耦的控制面修改从通信网络的外部可见的通信网络的至少一个特性。

根据第七方面，提出一种计算机程序产品，其使得在程序控制单元上执行根据第六方面的方法。

可以将诸如计算机程序装置的计算机程序产品例如作为诸如存储卡、USB棒、CD-ROM、DVD或可以从网络中的服务器下载的文件的形式等的记录介质来提供或供应。这可以例如在无线通信网络中通过发送具有该计算机程序产品或计算机程序装置的相应文件来实现。

针对所提出的装置描述的实施例和特征分别适用于所提出的方法。

本发明的可能的其它实施例还包括上文或下文提及的关于示例性实施例描述的特征或实施例的非明确提及的组合。这里，本领域技术人员还将添加单个方面作为对本发明的相应基本形式的改进或添加。

附图说明

在下文中，基于优选实施例参照附图详细解释了本发明。

图1示出用于控制通信网络的装置的第一实施例的示意性框图；

图2示出用于控制通信网络的装置的第二实施例的示意性框图；

图3示出用于控制通信网络的装置的第三实施例的示意性框图；

图4示出具有根据图1～3之一的装置的通信网络的示意性框图；

图5示出用于实现控制单元的具有解耦的数据面和控制面的SDN架构的示意性框图；

图6示出具有根据图1～3之一的用于控制通信网络的装置的路由器的实施例的示意性框图；

图7示出具有根据图之一的用于控制通信网络的装置的交换机的实施例的示意性框图。

图8示出具有根据图之一的用于控制通信网络的装置的防火墙的实施例的示意性框图；以及

图9示出用于控制通信网络的方法的实施例的示意性流程图。

具体实施方式

除非另有说明，附图中相同或具有相同功能的元件用相同的附图标记来表示。

图1示出用于控制通信网络100的装置10的第一实施例的示意性框图。通信网络100包括用于数据通信的多个终端21-26。多个终端21-26可以包括路由器、交换机、防火墙、计算机、个人计算机、嵌入式系统、控制设施等。通信网络100例如是LAN(局域网)或WAN(广域网)。用于控制通信网络100的装置10也可以称为控制装置10。

图1中的装置10的实施例包括控制单元11、分析单元12、DNS单元13(DNS；域名服务器)和保护单元18。控制单元11、分析单元12、DNS单元13和保护单元18可以逻辑地或物理地耦接或连接。例如，装置10可以形成为包括控制单元11、分析单元12、DNS单元13和保护单元18的计算机。

该装置的控制单元11被配置为将数据通信的数据面L1(参见图5)和控制面L2(参见图5)解耦。数据面L1也可以称为数据层或数据级。控制面L2也可以称为控制层或控制级。

此外，控制单元11被配置为使用解耦的控制面L2来修改从通信网络100的外部200(参见图4)可见的通信网络100的至少一个特性。例如，通信网络100的外部是指布置在因特网200(参见图4)中并且关于通信网络100未被授权和/或未被认证的诸如计算机等的实体。

可以通过控制单元11修改的通信网络100的至少一个特性的示例如下：通信网络100的终端21-26的虚拟地址的改变、通信网络100的配置的改变、通信网络100的路由行为的改变、和/或通信网络100中的应用和/或应用的端口映射的改变。

具体地，控制单元11被配置为主动地修改通信网络100。这里，控制单元11特别地被配置为主动地修改通信网络100，使得建立具有通信网络100中的不同安全级别和/或通信网络100中的不同安全功能的不同安全区域。更具体地，控制单元11可以根据所识别的威胁场景来改变建立的安全区域以及通信网络100的配置。

此外，控制单元11被配置为在通信网络100的操作期间进行通信网络100采用的第一加密算法与第二加密算法的交换。

附加地或替代地，控制单元11被配置为修改通信网络100的数据模式。通信网络100的这种数据模式的示例是终端21-26中的至少一个终端的有效载荷数据简档。

如上所述的通信会话可以包括多个数据事务(数据流)。这里，控制单元11被配置为在多个事务的子集之后修改从通信网络100的外部200可见的通信网络100的至少一个特性。多个事务的子集也可以是1个，使得控制单元11在每个单个事务之后修改通信网络100的至少一个可见特性。

装置10的分析单元12优选被配置为在从未授权的实体对通信网络100的访问期间提供分析数据。图3示出向可耦接到装置10的确定系统300提供分析数据的细节，这将在下面说明。

图2示出用于控制通信网络100的装置10的第二实施例的示意性框图。图2的第二实施例包括图1的第一实施例的所有特征。此外，图2的装置10包括数据分析单元14和提供随机值ZW的随机生成器19。此外，图2示出保护单元18包括第一保护单元15、第二保护单元16和第三保护单元17。

数据分析单元14被配置为使用从分析单元12提供的分析数据来确定状态数据。特别地，状态数据指示通信网络100的安全情况。

如上所述，随机数生成器19输出随机值ZW。这里，控制单元11被配置为根据随机生成器19输出的随机值ZW改变例如终端21-26中的一个终端的虚拟地址。此外，随机生成器19可以被配置为随机地或者准随机地触发控制单元11以在通信会话期间对从通信网络100的外部200可见的至少一个特性进行至少一次修改或多次修改。

如上所述，图2的保护单元18包括：第一保护单元15、第二保护单元16和第三保护单元17。第一保护单元15被配置用于检测、隔离和对抗从未授权实体对通信网络100的访问。第二保护单元16被配置用于向可以耦接到装置10的确定系统300发出警告和警报。第三保护单元17被配置为恢复通信网络100的至少一个关键网络功能。

关于这一点，图3示出用于控制通信网络100的装置10的第三实施例。图3的第三实施例包括图2的第二实施例的所有特征。此外，图3的装置10包括被配置为将装置10耦接到确定系统300的接口单元20。例如，接口单元20耦接到分析单元12、DNS单元13和数据分析单元14。接口单元20还可以耦接到诸如控制单元11或随机生成器19(未示出)等的装置10的其它单元。例如，随机生成器19可以经由接口单元20启动。

图4中示出通信网络100的示意性框图。通信网络100包括根据图的实施例之一实现的装置10。

此外，图4的通信网络100具有多个终端21-23。在不失一般性的情况下，图4的实施例示出三个终端21-23。

此外，图4的通信网络100包括路由器30、交换机40、第一防火墙51、第二防火墙52、耦接在第一防火墙51和第二防火墙52之间的非军事化LAN 61、以及将多个终端21-23耦接到第二防火墙52(内部防火墙)和路由器30、交换机40和装置10的内部LAN 62。

另外，图4示出通信网络100可以耦接到因特网200。可能攻击通信网络100的上述非授权实体特别地布置在因特网200中或与因特网200连接。

图5示出用于实现控制单元11的实施例的具有解耦的数据面L1和控制面L2的SDN架构的示意性框图。

图5的架构示出数据面L1、控制面L2和应用面L3彼此解耦。面或层L1、L2、L3经由API 101-104(API；应用程序编程接口)彼此以通信方式连接。

API 101也可以称为Southbound-API。例如，Southbound-API使用OpenFlow实现。API 102-104也可以称为Northbound-API。

物理网络装置21-25和虚拟网络装置26-28布置在数据面L1中。数据面L1中的物理网络装置21-25和虚拟网络装置26-28的数量和分布仅仅是示例性的。

控制面L2包括具有用于实现控制单元11的不同网络服务81-83的SDN控制软件70。

应用面L3包括多个应用91-93。应用91-93也可以称为商业应用。

如上所述，SDN架构的最低面或层是包括多个网络装置21-28的数据面L1。在控制面L2中，在物理网络装置和虚拟网络装置21-28或交换机之间是没有差别的。因此，虚拟网络装置26-28也视为数据级L1。数据面L1和控制面L2之间的通信通过Southbound协议经由Southbound接口101来表示。这里，参与的网络装置21-28具有关于所采用的Southbound协议的命令是先决条件。特别地，网络装置21-28仅需要支持Southbound协议的最小命令集合。为了实现这一点，可以采用Open Flow。Southbound协议的任务是实现用于操纵交换机中的流表的一组基本命令，以使复杂性和异质性在数据面L1上是透明的。

SDN控制软件70布置在控制面L2上。可以将其理解为SDN应用的对数据面L1的网络装置21-28进行抽象的中间件。

图6示出包括用于控制通信网络100的装置10的路由器30的实施例的示意性框图。装置10例如根据图的实施例之一来实施。

图7示出包括用于控制通信网络100的装置10的交换机40的实施例的示意性框图。装置10例如根据的实施例之一来实施。

图8示出包括用于控制通信网络100的装置10的防火墙50的实施例的示意性框图。装置10例如根据图的实施例之一来实施。

图9中示出用于控制通信网络100的方法的实施例的示意性流程图。图9的方法包括以下步骤901和902。

在步骤901中，数据通信的数据面L1和控制面L2彼此解耦。步骤901的结果是从数据面L1解耦的控制面L2和从控制面L2解耦的数据面L1。

在步骤902中，使用解耦的控制面L2修改从通信网络100的外部可见的通信网络100的特性。

虽然已经基于实施例描述了本发明，但是可以在多方面进行修改。例如，也可以将用于控制通信网络的装置布置在图中所示的通信网络的另一实体(例如路由器或交换机)中。此外，还可以想到在通信网络之外布置用于控制通信网络的装置。此外，用于实现用于控制通信网络的装置的控制单元的工具OpenMUL仅仅是示例性的。也可以使用替代工具。

附图标记说明：

10 装置

11 控制单元

12 分析单元

13 DNS单元

14 数据分析单元

15 第一保护单元

16 第二保护单元

17 第三保护单元

18 保护单元

19 随机生成器

20 接口单元

21 终端

22 终端

23 终端

24 终端

25 终端

26 终端

27 终端

28 终端

30 路由器

40 交换机

50 防火墙

51 防火墙

52 防火墙

61 LAN

62 LAN

70 SDN控制软件

81-83 网络服务

91-93 应用

100 通信网络

101 API

102 API

103 API

104 API

200 因特网

300 确定系统

L1 数据面

L2 控制面

L3 应用面

ZW 随机值

参考文献

[1]http://www.openmul.org/openmul-controller.html

(优先权日时可下载)

[2]Nick McKeown et al.:OpenFlow:Enabling innovation in campus networks,ACM Communications Review,April 2008

[3]http://www.dhs.gov/science-and-technology/csd-mtd

(优先权日时可下载)

[4]Software-Defined Networking:The New Norm for Networks,White Paper,Open Networking Foundation,13.April 2012

[5]Sean Michael Kerner:OpenFlow Inventor Martin Casado on SDN,VMware,and Software Defined Networking Hype,Enterprise Networking Planet,29.April 2013

[6]RFC7348:Virtual eXtensible Local Area Network(VXLAN):A Framework for Overlaying Virtualized Layer 2 Networks over Layer 3 Networks

[7]RFC791–Internet Protocol；Ipv4

[8]RFC3513–Internet Protocol；IPv6

[9]RFC4301–IPsec

[10]RFC2661–L2TP

[11]Open-VPN:https://openvpn.net/