SDN安全性制造技术

本发明专利技术提供了关于SDN安全性的装置、方法、计算机程序、计算机程序产品和计算机可读介质。该方法包括检查用户平面中的消息是否符合预先配置的规则，并且如果确定消息符合预先配置的规则，则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值，并且如果已经达到预定阈值，则节流向控制器的特定信令消息的发送。

【技术实现步骤摘要】
【国外来华专利技术】SDN安全性
本专利技术涉及关于SDN（软件定义联网）安全性的装置、方法、系统、计算机程序、计算机程序产品和计算机可读介质。本专利技术适用于比如例如DHCP（动态主机配置协议）、RADIUS（远程认证拨入用户服务）、L2TP（第二层隧道协议）和PPP（点对点协议）等各种协议。
技术介绍
动态主机配置协议（DHCP）是用于管理和动态分配IP（网际协议）地址给TCP/IP（传输控制协议/网际协议）网络中的站的协议。DHCP是客户端-服务器架构，并且在客户端和服务器之间执行如图1所示的用于分配IP地址（而不考虑GTP（GPRS（通用分组无线业务）隧道协议）的过程。如图1所示，客户端在步骤S11中向服务器发送广播消息“DHCP-发现”，服务器继而在步骤S12中用包括针对IP地址和其他相关参数的提议的“DHCP-提供”消息进行响应。然后，客户端在步骤S13中广播“DHCP-请求”消息，以用于确认/请求在“DHCP-提供”消息中提供的IP地址，并且服务器在步骤S14中用包含配置参数的“DHCP-ACK”消息针对请求的客户端进行响应。这方面的细节在文档RFC（请求注解）2131中描述。图2是图示在充当DHCP客户端的终端设备（TE）与充当DHCP服务器的内联网或ISP（互联网服务提供商）之间使用DHCPv4的地址分配的另一示例的信令（signaling）图（参考3GPPTS（技术规范）29.061）。图2进一步示出移动终端（MT）、SGSN（服务GPRS支持节点）和充当DHCP中继代理的GGSN（网关GPRS（通用分组无线服务）支持节点）。图2的步骤1）到12）的以下描述取自TS29.061。针对这方面的细节，参考该文档。在步骤S21中，TE（终端设备）和MT（移动终端）交换携带QoS（服务质量）和由TE请求的其他参数并且请求PDP类型IP的PDP（分组数据协议）上下文的激活的若干个AT（注意，如例如在3GPPTS27.007中描述的）命令。TE选择提供DHCP服务的配置的内联网/ISP的APN（接入点名称）、或者由用户已订阅的DHCP的预留服务标签组成的APN。在后一种情况下，TE将连接到提供DHCP服务的PLMN（公共陆地移动网络）运营商配置的服务提供商（根据APN选择规则）。在步骤S22中，MT将具有空PDP地址字段的激活PDP上下文请求消息发送给SGSN。在步骤S23中，SGSN基于由TE和MT构成的MS（移动站）所请求的APN来选择GGSN，并向该GGSN发送创建PDP（分组数据协议）上下文请求消息。GGSN用创建PDP上下文响应消息进行回复。如果运营商尚未配置GGSN以将具有DHCP的外部PDN（分组数据网络）地址分配用于所请求的APN，则原因应设置为“服务不支持”。此时没有IP地址被分配；由GGSN返回的PDP地址设置为0.0.0.0，从而指示IP地址尚未被分配，并且应在PDP上下文激活过程之后由TE与内联网/ISP进行协商。在步骤S24中，取决于在创建PDP上下文响应中接收到的原因值，SGSN将激活PDP上下文接受或激活PDP上下文拒绝发回给MT。在成功激活的情况下，PDP上下文被建立，其中PDP地址设置为0.0.0.0。在步骤S25中，当接收到激活PDP上下文接受时，MT向TE发送AT响应，该响应确认PDP上下文激活过程的完成。在步骤S26中，TE发送DHCPDISCOVER消息，其中IP目的地地址设置为有限广播地址（全1）。GGSN将把DHCPDISCOVER传递给DHCP中继代理，DHCP中继代理将把请求中继给针对PDP上下文的APN而配置的DHCP服务器。如果针对给定的APN配置多于一个DHCP服务器，则请求将被发送给所有的DHCP服务器。DHCP中继代理将向DHCPDISCOVER消息添加足够的信息，以便能够将回复中继回到MS。在步骤S27中，接收DHCPDISCOVER请求的DHCP服务器通过发送包括提供的IP地址的DHCPOFFER消息来回复。DHCP中继代理将回复转发给合适的MS。在步骤S28中，TE选择可能若干个DHCPOFFER中的一个，并且发送确认其选择并请求附加的配置信息的DHCPREQUEST。中继代理如步骤S26中所解释的那样中继DHCPOFFER。在步骤S29中，选择的DHCP服务器接收DHCPREQUEST，并用包含由TE所请求的配置信息的DHCPACK进行回复。DHCP中继代理将DHCPACK中继给TE。在步骤S210中，DHCP中继代理将分配的IP地址传递给将其存储在对应的PDP上下文中的GGSN。然后，GGSN通过向其中最终用户地址信息元素设置为分配的IP地址的适当的SGSN发送更新PDP上下文请求来发起PDP上下文修改过程。在步骤S211中，SGSN向具有PDP地址信息元素中的分配的IP地址的MT发送修改PDP上下文请求。MT通过向SGSN发送修改PDP上下文接受来确认。在步骤S212中，SGSN向GGSN发送更新PDP上下文响应。用分配的IP地址成功更新PDP上下文。关于3GPP，在UE经由DHCP请求了IP地址分配的情况下，GTP-U（GPRS隧道协议用户平面）携带DHCP信令业务和由UE所生成的业务的有效载荷二者。此外，根据现今的OpenFlow（开放流）规范，通常可以发送在EPCGW（演进分组核心网关）的GTP-U中接收的所有DHCP消息直到SDN（软件定义联网）环境中的控制器。因此，在SDN中，在用户平面中接收的所有DHCP消息都可以被发送到SDN控制器。然而，这引起安全性担忧，因为SDN控制器可能被DoS（拒绝服务）攻击溢流（flood）。因此，需要一种解决方案来使控制器安全，以确保网络的承载商等级行为使得客户的网络的其他用户/订户以及当然网络本身不受对应攻击所影响。由于DHCP协议是UE发源的，所以如果UE经由PCO（协议配置选项，参见3GPPTS24.008，经由S5/S8接口TS29.274GTPv2控制平面（4G）或经由Gn接口TS29.060GTPv1控制平面（3G））请求了DHCP，则UE可能影响网络SDN控制器。从前，SDN控制器并不如此存在。因此，运营商网络潜在被攻击和破坏的威胁（由于尤其是SDN控制器可能不再能够适当地控制网络中的分配的交换机中的流）是由SDN方法新创建的。到目前为止，在引入SDN之前，没有必要注意，因为不存在任何威胁。目前，无论是所有DHCP消息都发送给控制器还是没有DHCP消息发送给控制器，但PGW-C（分组数据网络网关控制平面）都需要具有被分派/分配给UE的IP地址。因此在SDN环境中，存在现今未解决的冲突的要求。然而，要注意的是，DHCP仅是示例。上述问题和本专利技术也适用于其他协议，比如例如RADIUS（远程认证拨入用户服务）、L2TP（第二层隧道协议）和PPP（点对点协议）等。图9是图示如3GPPTS29.061中定义的成功的PDP上下文激活的示例的信令图。在图9所示的示例中，给予MS（移动站）属于内联网/ISP寻址空间的地址。地址在订阅时给予，在这种情况下，它是静态地址，或者在PDP上下文激活时给予，在这种情况下它是动态地址。该地址被用于GGSN内的分组转发和内联网/ISP上的分组转发。这需要G本文档来自技高网...

【技术保护点】
一种用于在用户平面中的网络元件中使用的方法，包括：检查用户平面中的消息是否符合预先配置的规则，并且如果确定消息符合预先配置的规则，则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值，并且如果已经达到预定阈值，则节流向控制器的特定信令消息的发送。

【技术特征摘要】
【国外来华专利技术】2015.06.10 EP 151713431.一种用于在用户平面中的网络元件中使用的方法，包括：检查用户平面中的消息是否符合预先配置的规则，并且如果确定消息符合预先配置的规则，则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值，并且如果已经达到预定阈值，则节流向控制器的特定信令消息的发送。2.根据权利要求1所述的方法，其中，节流包括减少特定信令消息的发送以及完全停止向控制器的特定信令消息的发送。3.根据权利要求2所述的方法，还包括：如果尚未达到预定阈值，则将特定信令消息发送给控制器，并且如果已经达到特定阈值并且发送已经被节流，则根据来自控制器的请求恢复特定信令消息的发送。4.根据权利要求1至3中任一项所述的方法，还包括：针对携带特定信息的特定信令消息进行搜索，从特定信令消息中提取特定信息，以及将所提取的特定信息发送给控制器。5.根据权利要求1至4中任一项所述的方法，其中，特定信令消息是根据动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP和点对点协议PPP中的一个的信令消息。6.根据权利要求5所述的方法，还包括：经由DHCP中继或LCP/认证/IPCP协商将特定信息发送给RADIUS/DHCP/L2TP映射功能，其中特定信息是网际协议地址或网际协议地址的租用时间。7.根据权利要求1至6中任一项所述的方法，其中，当消息符合动态主机配置、RADIUS、L2TP或PPP协议时，用户平面中的消息符合预先配置的规则；和/或其中所述控制器符合OpenFlow协议或者转发和控制元件分离协议中的一个。8.一种用于在网络元件中使用的方法，包括：评估针对地址分配的请求是否满足预定条件，如果确定请求满足预定条件，则使得用户平面中的另一网络元件检查用户平面中的消息是否符合预先配置的规则，并且如果用户平面中的消息符合预先配置的规则，则使得用户平面中的所述另一网络元件节流向控制器的特定信令消息。9.根据权利要求8所述的方法，其中，节流包括减少特定信令消息的发送以及完全停止向控制器的特定信令消息的发送。10.根据权利要求8或9所述的方法，其中，预定条件包括已经经由动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP、或点对点协议PPP中的一个请求了地址分配，以及预先配置的规则包括用户平面中的消息为符合动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP、或点对点协议PPP中的一个的消息；和/或其中在创建会话请求消息中经由通用分组无线业务隧道协议控制平面GTP-C请求地址分配；或其中在创建分组数据协议PDP上下文请求消息中经由网关通用分组无线业务支持节点GGSN请求地址分配；和/或所述方法还包括：在协议配置选项PCO中评估是否经由DHCP、链路控制协议LCP、密码认证协议PAP、挑战握手认证协议CHAP和网际协议控制协议IPCP中的一个请求地址分配。11.一种用于在用户平面中的网络元件中使用的装置，包括：至少一个处理器，和至少一个存储器，用于存储要由处理器执行的指令，其中，所述至少一个存储器和所述指令被配置为利用所述至少一个处理器使得所述装置至少执行：检查用户平面中的消息是否符合预先配置的规则，并且如果确定消息符合预先配置的规则，则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定...

【专利技术属性】
技术研发人员：K霍夫曼，
申请(专利权)人：诺基亚通信有限责任两合公司，
类型：发明
国别省市：德国,DE