Capwap dtls隧道的芯片級(jí)安全防護(hù)方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及一種CAPWAP DTLS隧道的防護(hù)技術(shù)���,尤其是涉及一種CAPWAP DTLS隧道的芯片級(jí)安全防護(hù)方法��。
【背景技術(shù)】
[0002]在“AC-瘦AP”無線架構(gòu)下����,無線控制器(AC)和無線接入點(diǎn)(AP)間通過CAPWAP(Control And Provis1ning of Wireless Access Points Protocol Specificat1n����,無線接入點(diǎn)的控制和配置協(xié)議)協(xié)議進(jìn)行通信。無線數(shù)據(jù)幀�,原樣或經(jīng)過802.11到802.3格式的轉(zhuǎn)換后被封入CAPWAP隧道中送往AC。而CAPWAP報(bào)文可使用DTLS加密���。
[0003]CAPffAP DTLS隧道建立階段�,CAPWAP DTLS控制通道報(bào)文的交互是隧道安全的關(guān)鍵。由于AP—般安裝在公共場(chǎng)所�,若不進(jìn)行防護(hù),有可能導(dǎo)致AC被攻擊���,輕則影響單臺(tái)AP的CAPffAP DTLS隧道建立和正常使用���,重則影響到整個(gè)網(wǎng)絡(luò)。
[0004]現(xiàn)有CAPWAP DTLS控制通道報(bào)文在芯片層面全部上CPU��,由CPU使用軟件方法進(jìn)行安全性檢查�。但是,CPU往往會(huì)受到惡意攻擊報(bào)文的沖擊����,影響設(shè)備整體性能。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的缺陷��,提供一種CAPWAPDTLS隧道的芯片級(jí)安全防護(hù)方法�,在交換路由芯片中實(shí)現(xiàn)CAPWAP DTLS報(bào)文的安全防護(hù),以使AC設(shè)備可以基于硬件高速��、高效地?cái)r截惡意攻擊報(bào)文。
[0006]為實(shí)現(xiàn)上述目的��,本發(fā)明提出如下技術(shù)方案:一種CAPWAPDTLS隧道的芯片級(jí)安全防護(hù)方法����,包括:對(duì)CAPWAP明文報(bào)文的限速處理及對(duì)CAPWAP DTLS密文的DTLS序列號(hào)檢查處理���,其中�����,
[0007]所述對(duì)CAPWAP明文報(bào)文的限速處理過程包括:在芯片內(nèi)設(shè)置CAPWAP條目表�,根據(jù)報(bào)文中的查詢字段查詢CAPWAP條目表得到相應(yīng)條目的業(yè)務(wù)ID屬性����,每個(gè)所述業(yè)務(wù)ID對(duì)應(yīng)一令牌桶K和一令牌桶D,每有一個(gè)報(bào)文匹配所述業(yè)務(wù)ID時(shí)�,所述令牌桶K的K值減去I,若當(dāng)前K值為O�����,則丟棄報(bào)文��,當(dāng)每個(gè)所述業(yè)務(wù)ID對(duì)應(yīng)的令牌桶K產(chǎn)生報(bào)文丟棄時(shí),對(duì)應(yīng)的所述令牌桶D的令牌數(shù)加I����,當(dāng)令牌桶D的令牌數(shù)大于3時(shí),芯片上報(bào)中斷�;
[0008]所述對(duì)CAPWAP DTLS密文的DTLS序列號(hào)檢查處理過程包括:每個(gè)所述業(yè)務(wù)ID對(duì)應(yīng)一個(gè)寄存器,將所述業(yè)務(wù)ID下當(dāng)前解密報(bào)文的DTLS序列號(hào)值B2與上一個(gè)解密報(bào)文的DTLS序列號(hào)值BI相比較�,根據(jù)比較結(jié)果丟棄或通過報(bào)文并更新所述寄存器的值為當(dāng)前解密報(bào)文的DTLS序列號(hào)值B2。
[0009]優(yōu)選地�����,查找所述CAPWAP條目表所用的查詢字段為:報(bào)文的目的IP地址加源IP地址加四層特征信息L4Type���,所述四層特征信息L4Type由芯片內(nèi)的解析模塊解析得到�。
[0010]優(yōu)選地��,對(duì)于未查找到結(jié)果的報(bào)文�,對(duì)應(yīng)的業(yè)務(wù)ID屬性值為O。
[0011]優(yōu)選地�����,所述令牌桶K的桶深為N���,芯片定期遞增令牌桶K內(nèi)的令牌數(shù)�,若已到達(dá)最大值N,則保持最大值�����,其中N為不小于I的整數(shù)���。
[0012]優(yōu)選地,所述令牌桶D的桶深為M�,且所述令牌桶D對(duì)應(yīng)一個(gè)計(jì)數(shù)器,芯片定期清空令牌桶D���,清空時(shí)��,若令牌數(shù)不為O����,則計(jì)數(shù)器值加I ����;清空時(shí)若令牌數(shù)為O,計(jì)數(shù)器值歸O���,其中M為不小于I的整數(shù)�����。
[0013]優(yōu)選地��,所述CAPWAP明文報(bào)文包括:DTLS發(fā)現(xiàn)請(qǐng)求報(bào)文�、DTLS握手報(bào)文、DTLS修改密碼參數(shù)報(bào)文����,所述CAPWAP DTLS密文包括:DTLS應(yīng)用報(bào)文。
[0014]優(yōu)選地��,若DTLS序列號(hào)值B2 < DTLS序列號(hào)值BI�,則丟棄報(bào)文,若DTLS序列號(hào)值B2-DTLS序列號(hào)值BI >W����,則丟棄報(bào)文,其中W為允許的滑動(dòng)窗大小��,I����,若DTLS序列號(hào)值B2-DTLS序列號(hào)值BI < W����,則通過報(bào)文并更新寄存器的值為B2�����,W 2 I��,所述滑動(dòng)窗大小W可配置在業(yè)務(wù)ID的屬性中���。
[0015]本發(fā)明的有益效果是:本發(fā)明在交換路由芯片中實(shí)現(xiàn)CAPWAPDTLS報(bào)文的安全防護(hù)�,使得AC設(shè)備可以基于硬件高速�����、高效地?cái)r截惡意攻擊報(bào)文�����,減輕設(shè)備被惡意攻擊時(shí)CPU的負(fù)荷�����,此外還能有效遏制重放的密文流量進(jìn)入網(wǎng)絡(luò)��。
【附圖說明】
[0016]圖1是本發(fā)明CAPWAPDTLS隧道的芯片級(jí)安全防護(hù)方法的原理示意圖���;
[0017]圖2是本發(fā)明對(duì)CAPWAP明文報(bào)文的限速處理的原理示意圖�����;
[0018]圖3是本發(fā)明對(duì)CAPWAP DTLS密文的DTLS SeqID檢查處理的原理示意圖����。
【具體實(shí)施方式】
[0019]下面將結(jié)合本發(fā)明的附圖��,對(duì)本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行清楚�����、完整的描述���。
[0020]AP和AC間的隧道協(xié)議RFC5415協(xié)議規(guī)定了CAPWAP有兩個(gè)通道:控制通道(UDP端口號(hào)=5246)和數(shù)據(jù)通道(UDP端口號(hào)=5247)����,兩個(gè)通道可以獨(dú)立建立DTLS加密連接�。
[0021 ]在控制通道上,AC可能收到的CAPWAP明文報(bào)文有:
[0022]Al:Discovery Request報(bào)文(DTLS發(fā)現(xiàn)請(qǐng)求報(bào)文)
[0023]A2:DTLS Handshake報(bào)文(DTLS握手報(bào)文)
[0024]A3:DTLS Change Cipher Spec報(bào)文(DTLS修改密碼參數(shù)報(bào)文)
[0025]在控制通道上�����,AC可能收到的CAPWAP加密報(bào)文有:
[0026]A4:DTLS Applicat1n報(bào)文(DTLS應(yīng)用報(bào)文)
[0027]在數(shù)據(jù)通道上,AC可能收到的CAPWAP明文報(bào)文有:
[0028]B1:DTLS Handshake報(bào)文
[0029]B2:DTLS Change Cipher Spec報(bào)文
[0030]在數(shù)據(jù)通道上��,AC可能收到的CAPWAP加密報(bào)文有:
[0031]B3:DTLS Applicat1n報(bào)文
[0032]通常來說�����,部署完AP后����,AC的端口和AP的IP及MAC關(guān)系已經(jīng)確定,AC的端口上會(huì)啟用綁定檢查�。
[0033]MACSA1+IPSA1—通過
[0034]MACSA2+IPSA2—通過
[0035]……
[0036]MACSAn+IPSAn—通過
[0037]其余流量無法進(jìn)入AC的端口,目前交換芯片普遍支持該功能�,這里不再詳述。
[0038]故而本發(fā)明只需特別防護(hù)兩種攻擊類別:1��、采用冒充MAC地址和IP地址方式的惡意通信;2����、報(bào)文重放攻擊�����。
[0039]本發(fā)明所揭示的一種CAPWAPDTLS隧道的芯片級(jí)安全防護(hù)方法,主要針對(duì)上述兩種攻擊類別��,在交換路由芯片中實(shí)現(xiàn)CAPWAP DTLS隧道的安全防護(hù)�,使得AC設(shè)備可以基于硬件高速高效地?cái)r截惡意攻擊報(bào)文,減輕設(shè)備被惡意攻擊時(shí)對(duì)(PU造成的負(fù)荷�����,此外還能有效遏制重放的密文流量進(jìn)入網(wǎng)絡(luò)�。
[0040]如圖1所示,本發(fā)明所揭示的一種CAPWAPDTLS隧道的芯片級(jí)安全防護(hù)方法�,主要包括對(duì)CAPWAP明文報(bào)文的限速處理及對(duì)CAPWAP DTLS密文的DTLS序列號(hào)(SeqID)檢查處理。[0041 ] CAPWAP啟用DTLS加密后�����,網(wǎng)絡(luò)完成部署后��,正常情況下�����,CAPWAP明文報(bào)文數(shù)量極少�。具體地,如圖2所示����,對(duì)CAPWAP明