反回放处理方法技术

一种反回放处理方法。所述方法在服务功能路径(SFP)中用于监视SFP中的封包计数以识别封包回放攻击事件，并识别发生封包回放攻击事件的SFP段为不安全的路径。所述方法进一步启动安全的路径绕过不安全的路径，以安全标志赋予正常SFC封包，并在安全的路径的出口阶段阻止没有安全标志的回放封包。

【技术实现步骤摘要】
反回放处理方法
本专利技术系有关于计算器技术，尤指一种利用反回放处理方法的封包安全技术。
技术介绍
网络功能虚拟化(Networkfunctionvirtualization，简称NFV)正渐渐成为许多大型商业网络中的关键驱动技术和网络体系。通常NFV实现了某些网络功能的虚拟化，这些功能如防火墙、加速器、入侵检测、负载平衡等，传统上是运行在单独的网络设备上。NFV渐渐使用服务功能链(Servicefunctionchains，简称SFC)来控制某些应用于网络流量的功能或服务。服务功能链使虚拟化的网络功能成为云网络的一部分。服务功能链定义了可让网络封包流依序通过并处理的多个服务功能。封包流通过分类器节点进入网络，根据服务功能链的策略(Policy)生成该封包流的所述服务功能路径(Servicefunctionpath，简称SFP)。分类器节点用网络服务标头(Networkserviceheader，简称NSH)封装该封包流的每个封包，指示所述封包流将接受的服务功能，以及顺序。黑客可能窃听并复制SFC封包以生成回放的SFC封包。反回放的保护措施可以用反回放窗口执行回放检查。使用反回放窗口进行此类回放检查的性能可能会受到窗口大小制约。举例来说，反回放窗口缩小可能会更严格地阻止重复的封包，但牺牲并丢弃掉更多在窗口之外的的有效封包。
技术实现思路
有鉴于此，在本专利技术中，使用封包计数以侦测封包回放事件，并重新规划安全的路径，以避开发生封包回放事件的路径区段。本专利技术一实施方式揭露一种种反回放处理方法，由电子装置执行，包括：从一个所述服务功能路径中的多个服务功能转寄站接收封包计数；根据所述服务功能路径中第一个服务功能转寄站的第一封包计数和第二个服务功能转寄站的第二数据包计数之间的差值判别异常变化，以判定所述服务功能路径中所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生封包回放事件。在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间初始化一个安全服务功能转寄站，以回应所述封包回放事件。提供从所述第一个服务功能转寄站到所述第二个服务功能转寄站的替代路径的指示信息，用新的转发规则替换所述第一个服务功能转寄站中的原始转发规则，其中所述原始转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过原始路径传送到所述第二个服务功能转寄站，新的转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过包含所述安全服务功能转寄站的所述替代路径传送到所述第二个服务功能转寄站。本专利技术一实施方式揭露一种反回放处理方法，更包含：当所述第一个服务的所述第一个封包计数与所述第二个服务功能转寄站的所述第二个数据包计数之间的差异超过预定的阈值的情况下，判定所述服务功能路径中在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生所述封包回放事件。本专利技术一实施方式揭露一种反回放处理方法，其中所述安全服务功能转寄站将所述服务功能路径的封包从所述安全服务功能转寄站传送到所述第二个服务功能转寄站。根据本专利技术一实施方式揭露一种反回放处理方法，更包含：所述第一个服务功能转寄站区分所述服务功能路径的正常封包与回放封包。根据本专利技术一实施方式揭露一种反回放处理方法，更包含：在所述服务功能路径的封包通信中，在正常封包标注一个安全标志，以便过所述第二个服务功能转寄站，其中所述第二个服务功能转寄站允许具有所述安全标志的封包通过所述第二个服务功能转寄站，并防止没有所述安全标志的回放封包通过所述第二个服务功能转寄站。根据本专利技术一实施方式揭露一种反回放处理方法，更包含：设置在所述正常封包中的保留字段中的位以标注所述安全标志。根据本专利技术一实施方式揭露一种反回放处理方法，更包含：所述第二个服务功能转寄站从所述服务功能路径接收未判断的封包；当所述未判断的封包具有安全标志的情况中，所述第二个服务功能转寄站转发所述未判断的封包；以及，当所述未判断的封包没有安全标志的情况中，所述第二个服务功能转寄站丢弃所述未判断的封包。根据本专利技术一实施方式揭露一种反回放处理方法，更包含：利用一个封包计数路由表确定封包回放事件；其中，所述封包计数路由表的第一个记录包括第一个服务路径标识符、第一个服务索引和第一个会话标识符以及第一个封包计数；其中，所述封包计数路由表的第二个记录包括第二个服务路径标识符、第二个服务索引和第二个会话标识符以及第二个数据包计数。根据本专利技术一实施方式揭露一种反回放处理方法，由电子装置执行，包括：收接封包回放事件发生的指示信息，其中所述指示信息记录所述封包回放事件发生在一个服务功能路径中的第一个服务功能转寄站和第二个服务功能转寄站之间；收接初始化通知，其中所述初始化通知记录一个安全服务功能转寄站已初始化并设置于所述第一个服务功能转寄站和所述第二个服务功能转寄站之间以响应所述封包回放事件；提供从所述第一个服务功能转寄站到所述第二个服务功能转寄站的替代路径的指示信息，用新的转发规则替换所述第一个服务功能转寄站中的原始转发规则，其中所述原始转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过原始路径传送到所述第二个服务功能转寄站，新的转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过包含所述安全服务功能转寄站的所述替代路径传送到所述第二个服务功能转寄站。根据本专利技术一实施方式揭露一种反回放处理方法，其中所述安全服务功能转寄站将所述服务功能路径的封包从所述安全服务功能转寄站传送到所述第二个服务功能转寄站。根据本专利技术一实施方式揭露一种反回放处理方法，更包含：所述第一个服务功能转寄站区分所述服务功能路径的正常封包与回放封包。根据本专利技术一实施方式揭露一种反回放处理方法，更包含：在所述服务功能路径的封包通信中，在正常封包标注一个安全标志，以便过所述第二个服务功能转寄站，其中所述第二个服务功能转寄站允许具有所述安全标志的封包通过所述第二个服务功能转寄站，并防止没有所述安全标志的回放封包通过所述第二个服务功能转寄站。根据本专利技术一实施方式揭露一种反回放处理方法，更包含：设置在所述正常封包中的保留字段中的比特以标注所述安全标志。本专利技术的反回放处理方法可以主动侦测封包回放事件，并重新规划安全的路径，以避免后续更多的封包回放。附图说明图1系显示本专利技术SFC实施方式方块图；图2系显示本专利技术反回放处理方法实施方式的流程图；图3系显示本专利技术SFC流示意图；图4系显示本专利技术安全SFC路径；图5系显示SFC封包表头的示意图；图6系显示SFC封包表头内保留字段的示意图；图7系显示执行本专利技术反回放处理方法的电子装置实施方式；及图8系显示用于记录每个会话的封包计数的数据结构。主要元件符号说明100服务链控制器110服务功能集合121路线分析器122安全的路径导航器200分类器310服务功能转寄站320服务功能转寄站321服务功能转本文档来自技高网...

【技术保护点】
1.一种反回放处理方法，由电子装置执行，其特征在于，包括：/n从一个服务功能路径中的多个服务功能转寄站接收封包计数；/n根据所述服务功能路径中第一个服务功能转寄站的第一封包计数和第二个服务功能转寄站的第二数据包计数之间的差值判别异常变化，以判定所述服务功能路径中所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生封包回放事件；/n在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间初始化一个安全服务功能转寄站，以回应所述封包回放事件；以及/n提供从所述第一个服务功能转寄站到所述第二个服务功能转寄站的替代路径的指示信息，用新的转发规则替换所述第一个服务功能转寄站中的原始转发规则，其中所述原始转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过原始路径传送到所述第二个服务功能转寄站，新的转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过包含所述安全服务功能转寄站的所述替代路径传送到所述第二个服务功能转寄站。/n

【技术特征摘要】
20181105 US 16/1803701.一种反回放处理方法，由电子装置执行，其特征在于，包括：
从一个服务功能路径中的多个服务功能转寄站接收封包计数；
根据所述服务功能路径中第一个服务功能转寄站的第一封包计数和第二个服务功能转寄站的第二数据包计数之间的差值判别异常变化，以判定所述服务功能路径中所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生封包回放事件；
在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间初始化一个安全服务功能转寄站，以回应所述封包回放事件；以及
提供从所述第一个服务功能转寄站到所述第二个服务功能转寄站的替代路径的指示信息，用新的转发规则替换所述第一个服务功能转寄站中的原始转发规则，其中所述原始转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过原始路径传送到所述第二个服务功能转寄站，新的转发规则指导所述服务功能路径的封包从所述第一个服务功能转寄站通过包含所述安全服务功能转寄站的所述替代路径传送到所述第二个服务功能转寄站。


2.如权利要求1所述之反回放处理方法，其特征在于，更包含：
当所述第一个服务的所述第一个封包计数与所述第二个服务功能转寄站的所述第二个数据包计数之间的差异超过预定的阈值的情况下，判定所述服务功能路径中在所述第一个服务功能转寄站和所述第二个服务功能转寄站之间发生所述封包回放事件。


3.如权利要求2所述之反回放处理方法，其特征在于，所述安全服务功能转寄站将所述服务功能路径的封包从所述安全服务功能转寄站传送到所述第二个服务功能转寄站。


4.如权利要求3所述之反回放处理方法，其特征在于，更包含：
所述第一个服务功能转寄站区分所述服务功能路径的正常封包与回放封包。


5.如权利要求4所述之反回放处理方法，其特征在于，更包含：
在所述服务功能路径的封包通信中，在所述正常封包中标注一个安全标志，以便过所述第二个服务功能转寄站，其中所述第二个服务功能转寄站允许具有所述安全标志的封包通过所述第二个服务功能转寄站，并防止没有所述安全标志的回放封包通过所述第二个服务功能转寄站。


6.如权利要求5所述之反回放处理方法，其特征在于，更包含：
设置在所述正常封包中的保留字段以标注所述安全标志。


7.如权利要求5所述之反回放处理方法，其特征在于，更包含：
所述第二个服务功能转寄站从所述服务功能路径接收未判断的封包；
当所述...

【专利技术属性】
技术研发人员：林士能，
申请(专利权)人：南宁富桂精密工业有限公司，
类型：发明
国别省市：广西;45