[发明专利]网络中的边信道攻击阻止

说明书

背景技术

网络虚拟化是将硬件和软件网络资源组合为作为虚拟化网络的单个的基 于软件的管理实体的过程。软件定义联网是网络虚拟化的示例，在该示例 中，硬件网络资源与软件网络资源解耦以便简化网络管理，并允许软件开发 者以与他们处理存储和计算机资源的方式相同的方式处理网络硬件资源。软 件定义联网允许网络智能集中在基于软件的控制器中，从而允许网络硬件装 置起到可通过开放式接口被编程的简单的包转发器的作用。

网络可能易受通过边信道攻击技术的隐蔽攻击的影响。边信道攻击是网 络上的基于从网络的物理实现得到的信息的攻击。

概述

一般地描述了包括方法和设备的技术。示例方法可包括接收被送往网络 (例如，软件定义网络或虚拟化网络)的多个传入的包。然后将所述多个传 入的包分组为包组。包组的大小可基于预定统计信息。然后可将包组包装为 封包，其中封包具有规范化大小。规范化大小可被选择以便掩盖包大小信 息，并且可基于高斯分布。规范化大小也可被选择使得规范化大小随着时间 而变化。包组可包括多个包、划分的包、虚假数据、冗余数据或它们的组 合。

在一些示例中，一种设备包括至少一个处理单元和至少一个非暂时性计 算机可读介质。非暂时性计算机可读介质可被编码用于使所述至少一个处理 单元执行以下操作的指令：接收多个被配置为通过网络进行路由的传入的 包；将传入的包中的某些包聚合为组；并将组包装为规范化大小的封包以供 分发到网络内的目的地。所述多个传入的包可包括多个包、划分的包、单个 的包或虚假数据中的一个或多个。规范化大小可根据预定统计而被确定。预 定统计可随着时间而变化或者基于网络的繁忙度而被调整。繁忙度可被定义 为通过网络行进的包的数量和频率。预定统计可在托管网络的数据中心内被 调整。预定统计还可被配置为改变组的规范化大小的分布。规范化大小的分 布可具有高斯分布(Gaussianprofile)。预定统计也可被选择以增大进入网络 的包流中的熵。包流中的熵可被定义为包流的表观复杂度或随机性。网络上 的可观测流量可包括被包装的包的封包的规范化分布，其中封包具有规范化 大小。

在一些示例中，一种设备包括至少一个处理单元以及被编码可执行指令 的至少一个计算机可读介质。所述可执行指令可使所述至少一个处理单元对 在网络中的虚拟机处接收的一个或多个包装的封包进行拆包。包装的封包可 按规范化分布进行分发，并且每个包装的封包可以是一个或多个包的聚合。 所述设备还可包括与超管理器相关联的虚拟路由器。虚拟路由器可以是认证 服务器和交易服务器之一。

在一些示例中，一种方法包括：选择用于分发在网络中的规范化大小的 分布；并在网络的网关处接收传入的包。所述方法还可包括在网关处将包分 组为针对同一目的地的包组，其中包组的大小根据规范化大小而定。所述方 法还可包括在网关处将包组包装为封包以供输送到相应的目的地。规范化大 小的分布可以是规范化分布。规范化大小的分布可根据网络的繁忙度而改 变。所述方法还可包括在与网络相关联的数据中心处选择规范化大小的分 布。

前述概要仅仅是说明性的，而并不意图以任何方式是限制性的。除了说 明性的方面，上述实施例和特征、另外的方面、实施例和特征将通过参考附 图和下面的详细描述而变得显而易见。

附图说明

通过结合附图进行的以下描述和所附权利要求，本公开的前述和其它特 征将变得更充分地显而易见。理解，这些附图仅仅描绘了根据本公开的几个 示例，因此，不应被认为是限制其范围，将通过使用附图来更具体地、更详 细地描述本公开，在附图中：

图1是说明阻止网络中的边信道攻击的示例方法的流程图；

图2是说明对网络中的包进行分组和包装的示例方法的流程图；

图3说明包括遭受边信道攻击的虚拟化网络的示例系统；

图4说明用于数据中心中的使用包封装的应用的虚拟化联网的堆栈概 览；

图5说明包括具有边信道攻击阻止的网络的示例系统；

图6是说明被布置为控制网络的示例计算装置的框图；以及

图7是说明被布置为存储用于将系统形成为防止边信道攻击的指令的示 例计算机程序产品的框图；

所有附图都是依照本公开的至少一些实施例来安排的。