[发明专利]用于控制通信网络的装置和方法

说明书

本发明涉及用于控制通信网络(100)的装置(10)，所述通信网络(100)包括用于数据通信的多个终端(21‑28)。该装置(10)包括被配置为将数据通信的数据面(L1)和控制面(L2)解耦以及在通信会话期间使用解耦的控制面(L2)修改从通信网络(100)的外部(200)可见的通信网络(100)的至少一个特性的控制单元(11)。

技术领域

本发明涉及一种用于控制具有用于数据通信的多个终端的通信网络的装置。本发明还涉及一种具有这种装置的路由器、具有这种装置的交换机、具有这种装置的防火墙和具有这种装置的通信网络。此外，本发明涉及用于控制通信网络的方法和计算机程序产品。

背景技术

本发明的技术背景涉及诸如公司、学校、公共机构和其它组织的通信网络等的通信网络的安全性(IT安全性)。

公司等的通信网络越来越成为攻击者的目标，特别是为了对其进行监视。与通信网络有关的威胁场景越来越专业化、通常被长期布置、并且采用高度专业的伪装技术。通常，攻击者在攻击通信网络时专门查看公司的安全策略等中的弱点。

诸如防火墙、IPS和防病毒解决方案以及web网关的已知安全解决方案被配置为通过采用签名依赖安全措施来检测已知的攻击模式。然而，新一代攻击不限于已知的攻击模式，而是动态的。例如，对目标持续进行多个攻击向量和阶段，这极大地增大了对公司网络的潜在威胁。

这里，已知的静态网络配置具有容易成为攻击者(诸如未授权实体等)进行监视和攻击的目标的缺点。

发明内容

鉴于此，本发明的目的是提供一种更安全的通信网络。

根据第一方面，提出一种用于控制包括用于数据通信的多个终端的通信网络的装置。该装置包括控制单元，其被配置为对数据通信的数据面和控制面进行解耦，以及在通信会话期间使用解耦的控制面来修改从通信网络的外部可见的通信网络的至少一个特性。

由于控制单元在每个单个通信会话期间修改(更具体地动态地修改)从通信网络的外部可见的通信网络的至少一个特性，因此外部观察者或攻击者实际上不可能监视通信网络，因为通信网络的配置和出现对于外部观察者而言不可确定且不可预测。另外或替代地，还可以修改通信网络的可见数据模式。这增强了通信网络的安全性。

可以通过控制单元修改的通信网络的至少一个特性的示例是通信网络的终端的虚拟地址的改变、通信网络的配置的改变、通信网络的路由行为的改变、以及应用和/或其端口映射的改变。

通信会话或会话理解为通信网络的终端之一与通信网络的外部或通信网络内部的装置之间的通信。通信会话还可以基于诸如HTTP(超文本传输协议)等的无状态协议。

可以通过硬件和/或软件实现控制单元。在硬件实现的情况下，控制单元可以实现为装置或装置的一部分，例如实现为计算机、微处理器、路由器或交换机。在软件实现的情况下，控制单元可以实现为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。

可用于实现控制单元的工具是开源SDN控制器OpenMUL(参见参考文献[1])。OpenMUL控制器提供了用C实现的基于SDN/OpenFlow的控制平台。这里，控制单元优选配置为利用OpenFlow(参见参考文献[2])以及移动目标-防御(MTD，参见参考文献[3])。通过使用MTD，控制单元配置为动态地修改通信网络。OpenFlow是一种通信协议，其提供对处理传入的网络分组的交换机或路由器(所谓的转发面)的硬件组件的访问。

装置本身可以通过硬件和/或软件来实现。在硬件实现的情况下，装置可以实现为计算机、路由器的一部分、交换机的一部分或防火墙的一部分。在软件实现的情况下，装置可以实现为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。

通信网络也可以称为网络或计算机网络，并且例如是LAN(局域网)或WAN(广域网)。