用于控制通信网络的装置和方法制造方法及图纸

本发明专利技术涉及用于控制通信网络(100)的装置(10)，所述通信网络(100)包括用于数据通信的多个终端(21‑28)。该装置(10)包括被配置为将数据通信的数据面(L1)和控制面(L2)解耦以及在通信会话期间使用解耦的控制面(L2)修改从通信网络(100)的外部(200)可见的通信网络(100)的至少一个特性的控制单元(11)。

Apparatus and method for controlling communication network

The present invention relates to a control device of the communication network (100) (10), the communication network (100) includes a plurality of terminal data communication (21 28). The device (10) configured to include data communication data (L1) and control (L2) and the decoupling control using decoupling during a communication session (L2) surface modification from the communication network (100) external communication network (200) visible control unit (100) at least one characteristic the (11).

【技术实现步骤摘要】
【国外来华专利技术】用于控制通信网络的装置和方法
本专利技术涉及一种用于控制具有用于数据通信的多个终端的通信网络的装置。本专利技术还涉及一种具有这种装置的路由器、具有这种装置的交换机、具有这种装置的防火墙和具有这种装置的通信网络。此外，本专利技术涉及用于控制通信网络的方法和计算机程序产品。
技术介绍
本专利技术的技术背景涉及诸如公司、学校、公共机构和其它组织的通信网络等的通信网络的安全性(IT安全性)。公司等的通信网络越来越成为攻击者的目标，特别是为了对其进行监视。与通信网络有关的威胁场景越来越专业化、通常被长期布置、并且采用高度专业的伪装技术。通常，攻击者在攻击通信网络时专门查看公司的安全策略等中的弱点。诸如防火墙、IPS和防病毒解决方案以及web网关的已知安全解决方案被配置为通过采用签名依赖安全措施来检测已知的攻击模式。然而，新一代攻击不限于已知的攻击模式，而是动态的。例如，对目标持续进行多个攻击向量和阶段，这极大地增大了对公司网络的潜在威胁。这里，已知的静态网络配置具有容易成为攻击者(诸如未授权实体等)进行监视和攻击的目标的缺点。
技术实现思路
鉴于此，本专利技术的目的是提供一种更安全的通信网络。根据第一方面，提出一种用于控制包括用于数据通信的多个终端的通信网络的装置。该装置包括控制单元，其被配置为对数据通信的数据面和控制面进行解耦，以及在通信会话期间使用解耦的控制面来修改从通信网络的外部可见的通信网络的至少一个特性。由于控制单元在每个单个通信会话期间修改(更具体地动态地修改)从通信网络的外部可见的通信网络的至少一个特性，因此外部观察者或攻击者实际上不可能监视通信网络，因为通信网络的配置和出现对于外部观察者而言不可确定且不可预测。另外或替代地，还可以修改通信网络的可见数据模式。这增强了通信网络的安全性。可以通过控制单元修改的通信网络的至少一个特性的示例是通信网络的终端的虚拟地址的改变、通信网络的配置的改变、通信网络的路由行为的改变、以及应用和/或其端口映射的改变。通信会话或会话理解为通信网络的终端之一与通信网络的外部或通信网络内部的装置之间的通信。通信会话还可以基于诸如HTTP(超文本传输协议)等的无状态协议。可以通过硬件和/或软件实现控制单元。在硬件实现的情况下，控制单元可以实现为装置或装置的一部分，例如实现为计算机、微处理器、路由器或交换机。在软件实现的情况下，控制单元可以实现为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。可用于实现控制单元的工具是开源SDN控制器OpenMUL(参见参考文献[1])。OpenMUL控制器提供了用C实现的基于SDN/OpenFlow的控制平台。这里，控制单元优选配置为利用OpenFlow(参见参考文献[2])以及移动目标-防御(MTD，参见参考文献[3])。通过使用MTD，控制单元配置为动态地修改通信网络。OpenFlow是一种通信协议，其提供对处理传入的网络分组的交换机或路由器(所谓的转发面)的硬件组件的访问。装置本身可以通过硬件和/或软件来实现。在硬件实现的情况下，装置可以实现为计算机、路由器的一部分、交换机的一部分或防火墙的一部分。在软件实现的情况下，装置可以实现为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。通信网络也可以称为网络或计算机网络，并且例如是LAN(局域网)或WAN(广域网)。例如，可以通过软件定义网络(参见参考文献[4]和[5])提供数据通信的数据面和控制面的解耦。通信网络的终端的示例包括计算器、计算机、路由器、交换机、防火墙、嵌入式系统等。根据实施例，控制单元被配置为在通信会话期间使用解耦的控制面主动地修改从通信网络的外部可见的通信网络的至少一个特性。因此，控制单元被配置为主动地修改至少一个可见特性。因此，在通信网络上发生威胁或损害之前，通信系统的至少一个特性已经被修改。因此，可以提供针对通信网络的主动实时安全性。在本案中，主动修改特别地理解为在每个单个数据流结束时修改至少一个可见特性。因此，与常规的被动修改相反，本控制单元配置成在识别出威胁或检测到损害的情况下主动地修改或主动及被动地修改。更具体地，控制单元被配置为主动地修改通信网络，使得可以动态地建立具有不同安全级别和/或不同安全功能的不同安全区域。例如，控制单元可以根据所识别的威胁场景来改变所建立的安全区域。此外，控制单元优选地被配置为建立具有不同安全级别的通信网络的日间操作和夜间操作。根据另一实施例，控制单元被配置为在通信会话期间使用解耦的控制面来改变多个终端中的至少一个的虚拟地址。虚拟地址是可以通过逻辑单元或计算机单元转换为物理地址的逻辑地址。根据另一实施例，装置包括用于输出随机值的随机生成器。这里，控制单元被配置为根据随机生成器输出的随机值来改变虚拟地址。根据另一实施例，控制单元被配置为在通信会话期间使用解耦的控制面修改通信网络的配置。通信网络的配置的改变优选地包括所建立的通信网络的安全级别或安全区域的改变。因此，装置可以通过改变通信网络的配置对不同的攻击场景做出不同的反应。根据另一实施例，控制单元被配置为在通信会话期间使用解耦的控制面修改通信网络的路由行为。由于提供通信网络的路由行为的改变，攻击者由于缺乏路由行为的静态特性而无法从通信网络的路由行为的记录或日志中得出任何有用的结论。根据另一实施例，控制单元被配置为在通信会话期间使用解耦的控制面修改通信网络的至少一个应用。由于通信网络的应用的改变，攻击者无法获得与通信网络有关的任何有用的信息。根据另一实施例，控制单元被配置为在通信会话期间使用解耦的控制面修改至少一个应用的至少一个端口分配。由于通信网络的应用的端口分配的改变，攻击者无法获得与通信网络有关的任何有用的信息。根据另一实施例，控制单元被配置为在通信会话期间进行通信网络所采用的第一加密算法与第二加密算法的交换。这里，控制单元优选从多个准备的加密算法中选择第二加密算法。有利地，由于加密算法的交换，攻击者使用静态的加密算法无法获得与通信网络有关的有用信息。加密算法被理解为例如使用加密函数计算至少一个加密值的算法。加密算法包括诸如SSL(安全套接层)和数字签名等的加密算法。加密值可以包括诸如对称密钥和/或哈希值等的加密密钥。根据另一实施例，控制单元被配置为修改通信网络的数据模式，特别是至少一个终端的有效载荷数据简档。通过修改通信网络的一个数据模式或多个数据模式，控制单元能够模拟至攻击者的数据通信量。模拟的数据通信量也可以称为数据模型或通信模型。此外，控制单元优选地被配置为改变耦接至通信网络的终端、即网络终端或网络参与者以修改通信网络的数据模式。通过修改数据模式，攻击者在执行成功的二进制模式比较方面受到相当大的阻碍。根据另一实施例，通信会话包括多个数据事务(数据流)。这里，控制单元被配置为在多个事务的子集之后修改从通信网络的外部可见的通信网络的至少一个特性。事务子集(其后控制单元修改通信网络的至少一个可见特性)可以通过随机生成器触发或指定。根据另一实施例，通信会话包括多个数据事务，其中控制单元被配置为在多个事务的各事务之后修改从通信网络的外部可见的通信网络的至少一个特性。通过在各事务之后改变一个或多个特性，可以增强通信网络的安全级别。根据另一实施例，控制单元被配置为使用软件定义网络本文档来自技高网...

【技术保护点】
一种用于控制通信网络(100)的装置(10)，所述通信网络(100)具有用于数据通信的多个终端(21‑28)，所述装置(10)包括：控制单元(11)，其被配置为对所述数据通信的数据面(L1)和控制面(L2)进行解耦，以及在通信会话期间使用所解耦的控制面(L2)修改从所述通信网络(100)的外部(200)可见的所述通信网络(100)的至少一个特性。

【技术特征摘要】
【国外来华专利技术】2014.09.08 DE 102014217944.0;2015.05.06 DE 10201511.一种用于控制通信网络(100)的装置(10)，所述通信网络(100)具有用于数据通信的多个终端(21-28)，所述装置(10)包括：控制单元(11)，其被配置为对所述数据通信的数据面(L1)和控制面(L2)进行解耦，以及在通信会话期间使用所解耦的控制面(L2)修改从所述通信网络(100)的外部(200)可见的所述通信网络(100)的至少一个特性。2.根据权利要求1所述的装置，其特征在于，所述控制单元(11)被配置为在所述通信会话期间使用所解耦的控制面(L2)主动地修改从所述通信网络(100)的外部(200)可见的所述通信网络(100)的所述至少一个特性。3.根据权利要求1或2所述的装置，其特征在于，所述控制单元(11)被配置为在所述通信会话期间使用所解耦的控制面(L2)修改所述多个终端(21-28)中的至少一个终端的虚拟地址。4.根据权利要求3所述的装置，其特征在于，还包括：用于输出随机值(ZW)的随机生成器(19)，其中，所述控制单元(11)被配置为根据所述随机生成器(19)所输出的所述随机值(ZW)来修改所述虚拟地址。5.根据权利要求1-4中任一项所述的装置，其特征在于，所述控制单元(11)被配置为在所述通信会话期间使用所解耦的控制面(L2)修改所述通信网络(100)的配置。6.根据权利要求1-5中任一项所述的装置，其特征在于，所述控制单元(11)被配置为在所述通信会话期间使用所解耦的控制面(L2)修改所述通信网络(100)的路由行为。7.根据权利要求1-6中任一项所述的装置，其特征在于，所述控制单元(11)被配置为在所述通信会话期间使用所解耦的控制面(L2)修改所述通信网络(100)的至少一个应用和/或所述至少一个应用的端口映射。8.根据权利要求1-7中任一项所述的装置，其特征在于，所述控制单元(11)被配置为在所述通信会话期间进行所述通信网络(100)采用的第一加密算法与第二加密算法的交换。9.根据权利要求1-8中任一项所述的装置，其特征在于，所述控制单元(11)被配置为修改所述通信网络(100)的数据模式，特别是所述多个终端(21-28)中的至少一个终端的有效载荷数据简档。10.根据权利要求1-9中任一项所述的装置，其特征在于，所述通信会话包括多个数据事务，其中所述控制单元(11)被配置为在所述多个数据事务的子集之后修改从所述通信网络(100)的外部(200)可见的所述通信网络(100)的所述至少一个特性。11.根据权利要求1-10中任一项所述的装置，其特征在于，所述通信会话包括多个数据事务，其中所述控制单元(11)被配置为在所述多个数据事务中的各数据事务之后修改从所述通信网络(100)的外部(200)可见的所述通信网络(100)的所述至少一个特性。12.根据权利要求1-11中任一项所述的装置，其...

【专利技术属性】
技术研发人员：亨利希·斯德迈耶，
申请(专利权)人：莱茵金属电子防护股份有限公司，
类型：发明
国别省市：德国,DE