專利名稱:基于身份與位置分離映射機(jī)制的DoS攻擊防御方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于身份與位置分離映射機(jī)制的DoS攻擊防御方法�,使得終端受到惡意攻擊時(shí)可以主動(dòng)請(qǐng)求防御,避免造成進(jìn)一步的危害且不影響終端其他通信連接�����。屬于網(wǎng) 絡(luò)安全技術(shù)領(lǐng)域���。
背景技術(shù):
身份與位置分離網(wǎng)絡(luò)體系可以解決路由可擴(kuò)展問(wèn)題���,然而���,正如傳統(tǒng)網(wǎng)絡(luò)面臨的安全問(wèn)題,身份與位置分離網(wǎng)絡(luò)體系仍然面臨許多網(wǎng)絡(luò)安全問(wèn)題�����。DoS和DDoS攻擊是傳統(tǒng)網(wǎng)絡(luò)中的主要攻擊方式���,也將是身份與位置分離網(wǎng)絡(luò)體系的主要安全威脅�。傳統(tǒng)網(wǎng)絡(luò)中連接建立時(shí)接收端并不知道發(fā)送端通信的意圖�����,接收端處于被動(dòng)接收數(shù)據(jù)的狀態(tài)����。終端受到攻擊時(shí)��,不能采取措施阻止攻擊數(shù)據(jù)流����,而只能中斷終端設(shè)備所有的通信,這樣嚴(yán)重影響受害終端的正常通信,且攻擊數(shù)據(jù)流持續(xù)影響受害終端網(wǎng)絡(luò)的數(shù)據(jù)傳輸�。StopIt系統(tǒng)是基于過(guò)濾規(guī)則的DoS防御系統(tǒng)。在StopIt系統(tǒng)中�����,接收端發(fā)現(xiàn)發(fā)送端為惡意節(jié)點(diǎn)時(shí)����,接收端可以請(qǐng)求路由器設(shè)置過(guò)濾規(guī)則,阻斷發(fā)送端到接收端的數(shù)據(jù)流��。StopIt系統(tǒng)工作的具體步驟為1)接收端Hd檢測(cè)到受發(fā)送端Hs的攻擊���,Hd向所在接入路由器Rd發(fā)送過(guò)濾Hs數(shù)據(jù)流的請(qǐng)求�;過(guò)濾請(qǐng)求中包含HcUHs的地址和過(guò)濾時(shí)間Tb ����;2)接入路由器Rd驗(yàn)證Hd過(guò)濾請(qǐng)求;Rd向所在自治系統(tǒng)(Autonomous System, AS) 的StopIt服務(wù)器Sd發(fā)送過(guò)濾Hs數(shù)據(jù)包的請(qǐng)求����;3)接收端AS的StopIt服務(wù)器Sd轉(zhuǎn)發(fā)過(guò)濾請(qǐng)求到Hs所在AS的StopIt服務(wù)器 Ss ;4)發(fā)送端AS的StopIt服務(wù)器Ss向Hs的接入路由器Rs發(fā)送過(guò)濾Hs的數(shù)據(jù)包請(qǐng)求����;5)發(fā)送端接入路由器Rs驗(yàn)證Ss的過(guò)濾請(qǐng)求���,創(chuàng)建過(guò)濾規(guī)則進(jìn)行過(guò)濾。Rs向發(fā)送端Hs發(fā)送過(guò)濾通告�,告之發(fā)往Hd數(shù)據(jù)流被過(guò)濾,在Tb時(shí)間內(nèi)停止向Hd發(fā)送數(shù)據(jù)包���。然而�,StopIt系統(tǒng)存在一系列缺點(diǎn)1)過(guò)濾規(guī)則可擴(kuò)展性受限����。處理大規(guī)模DoS攻擊時(shí),路由器要維護(hù)巨大規(guī)模的過(guò)濾規(guī)則�,復(fù)雜大量的過(guò)濾規(guī)則可能?chē)?yán)重影響路由器的數(shù)據(jù)包處理速度。2) StopIt系統(tǒng)只允許終端受到攻擊時(shí)可以發(fā)送請(qǐng)求阻止惡意攻擊行為����,不能在通信連接建立時(shí)就為終端提供允許或拒絕能力��。3) StopIt和身份與位置分離網(wǎng)絡(luò)體系結(jié)合性差����。StopIt在自治域(AS)的邊緣路由器過(guò)濾數(shù)據(jù)包����,而身份與位置分離網(wǎng)絡(luò)體系將接入網(wǎng)與核心網(wǎng)分離��,用戶處于接入網(wǎng)�,應(yīng)在接入網(wǎng)邊緣路由器過(guò)濾數(shù)據(jù)包過(guò)濾。4) StopIt沒(méi)有存儲(chǔ)終端策略的功能�����。當(dāng)終端需要長(zhǎng)時(shí)間維持在某一個(gè)策略狀態(tài)時(shí)�����,如拒絕或允許部分通信數(shù)據(jù)�,StopIt不能提供這種支持。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于身份與位置分離映射機(jī)制的DoS攻擊防御方法�����,減少網(wǎng)絡(luò)中惡意數(shù)據(jù)傳輸��,當(dāng)終端受到惡意攻擊時(shí)可以主動(dòng)請(qǐng)求防御�����,避免造成進(jìn)一步的危害,且不影響終端其他通信連接�。為此,本發(fā)明提供了一種基于身份與位置分離映射機(jī)制的DoS攻擊防御方法���,其特征在于�,在身份與位置分離映射系統(tǒng)的基礎(chǔ)上�����,向xTR映射緩存中的映射信息加入額外的通信狀態(tài)標(biāo)志����,表示終端通信意愿,包括允許所有連接�、允許部分連接、拒絕部分連接��、拒絕所有連接等����;代理服務(wù)器使通信狀態(tài)標(biāo)志與身份與位置分離網(wǎng)絡(luò)體系的映射系統(tǒng)結(jié)合���, 將通信狀態(tài)等安全參數(shù)內(nèi)嵌于映射系統(tǒng)的映射信息中����,該xTR映射緩存中映射信息的通信狀態(tài)標(biāo)志通過(guò)詢問(wèn)代理服務(wù)器得到,該代理服務(wù)器通過(guò)詢問(wèn)其管理范圍內(nèi)的終端��,收集���、維護(hù)終端的通信狀態(tài)��,并應(yīng)答xTR的通信狀態(tài)查詢�;當(dāng)終端發(fā)現(xiàn)受到惡意攻擊時(shí)�,發(fā)送過(guò)濾請(qǐng)求,要求阻止攻擊數(shù)據(jù)流傳輸�����;當(dāng)終端設(shè)置通信狀態(tài)為允許部分連接通信狀態(tài)時(shí)�����,發(fā)送端需要發(fā)送連接數(shù)據(jù)包��,完成連接建立的過(guò)程�。優(yōu)選地,所述要求阻止攻擊數(shù)據(jù)流傳輸?shù)倪^(guò)程�����,包括下列步驟1)A向B連續(xù)發(fā)送數(shù)據(jù)流Pb,Pb按照身份與位置分離網(wǎng)絡(luò)體系中終端間 通信過(guò)程到達(dá)B����,終端B根據(jù)數(shù)據(jù)流Pb判斷終端A在發(fā)起攻擊或其他惡意行為,B需要阻止來(lái)自A的數(shù)據(jù)��。B向XTR2發(fā)送過(guò)濾請(qǐng)求報(bào)文Fkeq����。過(guò)濾請(qǐng)求報(bào)文Fkeq中包含過(guò)濾目標(biāo)EIDa,過(guò)濾時(shí)間 Tb,過(guò)濾請(qǐng)求源B的通信狀態(tài)和通信狀態(tài)有效期Ts等信息��;2) XTR2驗(yàn)證過(guò)濾請(qǐng)求報(bào)文Fkeq的真實(shí)性�,添加認(rèn)證信息MACkp供代理服務(wù)器PS2驗(yàn)證。XTR2然后向代理服務(wù)器PS2轉(zhuǎn)發(fā)Fkeq �; 3) PS2驗(yàn)證Fkeq中的認(rèn)證信息MACKP。驗(yàn)證成功后PS2儲(chǔ)存終端B的通信狀態(tài)����,通信狀態(tài)有效期Ts,過(guò)濾目標(biāo)地址EIDa,過(guò)濾時(shí)間Tb等信息����。PS2根據(jù)過(guò)濾請(qǐng)求報(bào)文Fkeq中的過(guò)濾目標(biāo)EIDa,向過(guò)濾目標(biāo)EIDa所在管理范圍的代理服務(wù)器PS1發(fā)送過(guò)濾執(zhí)行報(bào)文FDQ,過(guò)濾執(zhí)行報(bào)文Fdq包括過(guò)濾請(qǐng)求源EIDb����,B的通信狀態(tài),過(guò)濾目標(biāo)EIDa,過(guò)濾時(shí)間Tb ���;4)代理服務(wù)器PS1驗(yàn)證Fiw的真實(shí)性�����,添加認(rèn)證信息MACpk供XTR1驗(yàn)證�,轉(zhuǎn)發(fā)過(guò)濾執(zhí)行報(bào)文Fdq到XTR1 ����;5) XTR1驗(yàn)證Fd。中的認(rèn)證信息MACPK����。驗(yàn)證成功后XTR1根據(jù)過(guò)濾源EIDB,將通信狀態(tài)標(biāo)志Fi Iter加入到映射緩存的EIDfto-RLOC2條目中(即映射信息變?yōu)?EIDB-to-RLOC2-Filter�����,其中通信狀態(tài)標(biāo)志Filter包含B的通信狀態(tài),過(guò)濾目標(biāo)EIDa和過(guò)濾時(shí)間Tb等信息)�。XTR1向終端A轉(zhuǎn)發(fā)Fm,告之發(fā)送到終端B的數(shù)據(jù)包進(jìn)入過(guò)濾機(jī)制���,在過(guò)濾時(shí)間Tb內(nèi)的向B發(fā)送的數(shù)據(jù)包都將被丟棄��;至此終端B完成對(duì)終端A惡意攻擊數(shù)據(jù)包的過(guò)濾設(shè)置�,Tb時(shí)間內(nèi)終端A向終端B 發(fā)送的數(shù)據(jù)包到達(dá)XTR1時(shí)�,XTR1查詢映射緩存或代理服務(wù)器得知終端B要求過(guò)濾終端A發(fā)送到終端B的數(shù)據(jù)包,XTR1丟棄源為EIDa目的地為EIDb的數(shù)據(jù)包����。優(yōu)選地,所述完成連接建立的過(guò)程的步驟包括1)終端A向B發(fā)送數(shù)據(jù)包Pf �����;2) XTR1查詢映射緩存中是否存在EIDfto-RLOC2映射信息��,若沒(méi)有則向映射服務(wù)器MS1查詢����;
3)映射服務(wù)器MS1向XTR1返回EIDb的映射信息;^xTR1向���?5工發(fā)送連接詢問(wèn)報(bào)文Lkq��,詢問(wèn)本次連接是否被允許����。連接詢問(wèn)報(bào)文包括連接請(qǐng)求源EIDa,連接目的EIDb等信息����;5)PS1驗(yàn)證連接詢問(wèn)報(bào)文Lkq的真實(shí)性。PS1向終端B所在管理范圍的代理服務(wù)器 PS2轉(zhuǎn)發(fā)連接詢問(wèn)報(bào)文Lkq; 6) PS2查詢存儲(chǔ)的EIDb的通信狀態(tài)�,連接請(qǐng)求源EIDa是否被拒絕連接。若EIDa被拒絕��,則返回連接回復(fù)報(bào)文Lkp到PS1�,轉(zhuǎn)到11);否則����,PS2向連接詢問(wèn)報(bào)文Lkq添加MACpk,以便XTR2驗(yàn)證��,并向B轉(zhuǎn)發(fā)連接詢問(wèn)報(bào)文Lkq ����;7) XTR2驗(yàn)證Lkq中的認(rèn)證信息MACpk,,向Lkq中添加認(rèn)證信息MACke供終端驗(yàn)證,并轉(zhuǎn)發(fā)連接詢問(wèn)報(bào)文Lkq到終端B �����;8)終端B驗(yàn)證Lkq中的認(rèn)證信息MACke ����;根據(jù)連接請(qǐng)求源EIDa和終端B的網(wǎng)絡(luò)狀態(tài),返回連接回復(fù)報(bào)文Lkp ���;狀態(tài)應(yīng)答報(bào)文包含B的通信狀態(tài)�,通信狀態(tài)有效期Ts����,是否允許終端A的連接請(qǐng)求等信息;9)XTR2驗(yàn)證連接回復(fù)報(bào)文LKP���,向Lkp添加認(rèn)證信息MACkp,�,并向PS2轉(zhuǎn)發(fā)連接回復(fù) 艮文Lep ����;10) PS2驗(yàn)證Lkp中的認(rèn)證信息MACkp,,儲(chǔ)存終端B的通信狀態(tài)��,通信狀態(tài)有效期Ts, 是否允許終端A的連接請(qǐng)求等信息�;PS2發(fā)送連接回復(fù)報(bào)文Lkp到PS1 ;IDPS1驗(yàn)證Lkp的真實(shí)性����,添加認(rèn)證信息MACpk到連接回復(fù)報(bào)文Lkp并轉(zhuǎn)發(fā)給XTR1 ;12) XTR1驗(yàn)證Lkp的認(rèn)證信息MACPK��,確認(rèn)連接回復(fù)報(bào)文Lkp的真實(shí)性�����;將終端B的通信狀態(tài)信息���、是否允許終端A的連接請(qǐng)求等信息存儲(chǔ)到映射緩存中對(duì)應(yīng)的EIDB-to-RL0CJ^ 射條目中;XTR1根據(jù)B是否允許終端A的連接請(qǐng)求等信息判斷是否處理并轉(zhuǎn)發(fā)數(shù)據(jù)包Pf �����;13) XTR2處理數(shù)據(jù)包Pf包頭并轉(zhuǎn)發(fā)到終端B�����。xTR2向映射緩存中的EIDfto-RLOC1 條目加入終端A的默認(rèn)通信狀態(tài)允許EIDb與EIDa的通信�����,允許xTR2轉(zhuǎn)發(fā)B向A發(fā)送的數(shù)據(jù)。優(yōu)選地����,通信狀態(tài)標(biāo)志包含終端通信狀態(tài)、通信狀態(tài)有效期Ts�����、允許或拒絕的終端標(biāo)識(shí)EID�、過(guò)濾時(shí)間Tb等其他信息。優(yōu)選地�����,允許部分連接狀態(tài)和拒絕部分連接狀態(tài)互不排斥�,可同時(shí)存在,未允許和拒絕的連接可以發(fā)起連接請(qǐng)求�;允許所有連接是終端默認(rèn)的連接狀態(tài);在允許部分連接狀態(tài)�����,被允許的終端可以與其直接建立連接��,其他未被允許的終端發(fā)起連接時(shí)需要詢問(wèn)代理服務(wù)器連接是否被允許,代理服務(wù)器返回被請(qǐng)求終端對(duì)該連接請(qǐng)求的決定��;在拒絕部分連接狀態(tài)��,只需要阻止部分指定終端的連接請(qǐng)求����,其他未被指定終端的連接可以直接建立,不受影響��,拒絕部分連接狀態(tài)可以拒絕某個(gè)終端的連接請(qǐng)求�,也可以拒絕某個(gè)接入網(wǎng)內(nèi)所有終端的連接請(qǐng)求;在拒絕所有連接狀態(tài)�,終端只接受所在接入網(wǎng)內(nèi)其他終端的連接請(qǐng)求����,不接受其他接入網(wǎng)的終端連接請(qǐng)求,當(dāng)終端可以與其他接入網(wǎng)終端通信時(shí)��,需要修改拒絕所有連接狀態(tài)為其他通信狀態(tài)����。優(yōu)選地,代理服務(wù)器工作在控制平面�,管理接入網(wǎng)中終端的通信狀態(tài)標(biāo)志����,管理范圍是通過(guò)xTR與其相連的接入網(wǎng)��;所有代理服務(wù)器組成一個(gè)專用網(wǎng)絡(luò)���,代理服務(wù)器之間可以通過(guò)隧道或者其他專用鏈路通信�����;代理服務(wù)器之間可以完成密鑰協(xié)商與分配�,數(shù)據(jù)交換�、 轉(zhuǎn)發(fā)與認(rèn)證等功能;代理服務(wù)器與管理范圍內(nèi)xTR可以完成密鑰協(xié)商與分配���,數(shù)據(jù)交換���、轉(zhuǎn)發(fā)與認(rèn)證等功能;MACkp是由xTR和代理服務(wù)器協(xié)商的密鑰生成的消息認(rèn)證碼�����,可以完成消息從xTR到代理服務(wù)器的完整性驗(yàn)證�;MACpk是由代理服務(wù)器和xTR協(xié)商的密鑰生成的消息認(rèn)證碼���,可以完成消息從代理服務(wù)器到xTR的完整性驗(yàn)證。 優(yōu)選地����,終端可以不定期的向代理服務(wù)器發(fā)送狀態(tài)通告報(bào)文指定其通信狀態(tài);為了避免攻擊��,xTR可以限制通信狀態(tài)通告報(bào)文的速率���;代理服務(wù)器收集��、儲(chǔ)存管理范圍內(nèi)終端的通信狀態(tài)�����,終端通信狀態(tài)快過(guò)期時(shí)��,代理服務(wù)器主動(dòng)向終端發(fā)送狀態(tài)查詢報(bào)文以便更新通信狀態(tài);一般情況下通信狀態(tài)有效期Ts和過(guò)濾時(shí)間Tb大于映射信息在xTR的映射緩存的有效期TTL���,因而通信狀態(tài)有效期Ts和過(guò)濾時(shí)間Tb不影響xTR中映射緩存的映射條目數(shù)����。優(yōu)選地,代理服務(wù)器的邏輯功能可以集成到映射服務(wù)器上����,只需要在映射服務(wù)器中對(duì)應(yīng)EID的映射信息條目中加入通信狀態(tài)標(biāo)志Filter就可以表示該終端的通信狀態(tài);終端通信狀態(tài)隨對(duì)應(yīng)映射信息存儲(chǔ)��、傳輸和更新而不影響映射系統(tǒng)的基本功能���。優(yōu)選地����,連接回復(fù)報(bào)文可以不經(jīng)過(guò)代理服務(wù)器組成的專用轉(zhuǎn)發(fā)�,可以通過(guò)XTR2和核心網(wǎng)中間路由器的路由傳輸?shù)桨l(fā)送端的XTR1, XTR1根據(jù)連接回復(fù)報(bào)文的信息設(shè)置對(duì)應(yīng)終端的通信狀態(tài)標(biāo)志。優(yōu)選地���,代理服務(wù)器的部署方式可以是分布式的�����,也可以是集中式的�,或者其他形式�����;代理服務(wù)器之間、代理服務(wù)器與xTR之間�、xTR與終端之間的消息真實(shí)性驗(yàn)證方法可以使用數(shù)字簽名,消息認(rèn)證碼MAC等方法����;代理服務(wù)器的邏輯功能可以集成到映射服務(wù)器中, 由映射服務(wù)器同時(shí)完成通信狀態(tài)查詢應(yīng)答和映射信息查詢應(yīng)答的雙重功能而互不影響�����。根據(jù)本發(fā)明�����,基于身份與位置分離的映射機(jī)制���,設(shè)計(jì)了可以與身份與位置分離網(wǎng)絡(luò)體系的映射系統(tǒng)有效結(jié)合的DoS攻擊防御方法���,賦予接收端主動(dòng)阻止惡意攻擊和主動(dòng)拒絕通信連接的能力。根據(jù)本發(fā)明���,使得身份與位置分離網(wǎng)絡(luò)體系的終端不再像傳統(tǒng)網(wǎng)絡(luò)被動(dòng)的接收數(shù)據(jù),被攻擊時(shí)無(wú)能為力。根據(jù)本發(fā)明�,賦予了身份與位置分離網(wǎng)絡(luò)體系中終端額外的能力,可以使終端參與到攻擊防御中���,幫助網(wǎng)絡(luò)服務(wù)提供商(Internet Service Provider, ISP)改善網(wǎng)絡(luò)環(huán)境�, 終端受到惡意攻擊時(shí)可以主動(dòng)發(fā)送請(qǐng)求���,過(guò)濾惡意數(shù)據(jù)包����,避免受到進(jìn)一步的危害����,且不影響終端其他通信連接。根據(jù)本發(fā)明�,終端不能偽造其他接入網(wǎng)內(nèi)終端地址,在身份與位置分離網(wǎng)絡(luò)體系中�,為終端提供了一種主動(dòng)的DoS攻擊防御方法,使終端有能力允許或拒絕建立通信連接請(qǐng)求�;使終端在受到惡意攻擊時(shí),有能力阻止惡意攻擊數(shù)據(jù)流而不影響終端其他的數(shù)據(jù)通信�,保障終端網(wǎng)絡(luò)通信服務(wù)的正常運(yùn)行。根據(jù)本發(fā)明����,基于身份與位置分離網(wǎng)絡(luò)體系�����,在身份與位置分離的映射信息中加入額外的控制信息���,為終端提供輔助管理其映射信息的能力,使終端受到攻擊時(shí)可以很容易的阻止惡意信息�����,并且終端可以根據(jù)網(wǎng)絡(luò)情況或終端的策略����,允許或拒絕其他終端的連接請(qǐng)求。根據(jù)本發(fā)明�����,內(nèi)嵌于身份與位置分離網(wǎng)絡(luò)體系的映射機(jī)制的DoS攻擊防御方法����, 可以與映射系統(tǒng)有效結(jié)合,共同完成映射解析和DoS攻擊防御的功能���。在本發(fā)明中�,終端可以依據(jù)網(wǎng)絡(luò)狀況改變其通信狀態(tài)���,不定期的向代理服務(wù)器通告其通信狀態(tài)���,防止自己受到惡意攻擊。終端通過(guò)設(shè)置通信狀態(tài)標(biāo)志Filter�,可以允許或拒絕某個(gè)連接請(qǐng)求;受到攻擊時(shí)可以準(zhǔn)確地阻止從惡意節(jié)點(diǎn)來(lái)的數(shù)據(jù)��。本發(fā)明在身份與位置分離網(wǎng)絡(luò)體系中授權(quán)終端用戶管理其連接的能力����,及時(shí)阻止惡意數(shù)據(jù)流入網(wǎng)絡(luò),保障網(wǎng)絡(luò)安全環(huán)境�。
圖1是根據(jù)現(xiàn)有技術(shù)的身份與位置分離網(wǎng)絡(luò)體系拓?fù)涫疽鈭D。圖2是根據(jù)本發(fā)明的報(bào)文交換流程圖�����。圖3是根據(jù)本發(fā)明的實(shí)例的操作過(guò)程示意圖�����。
具體實(shí)施例方式近年來(lái),互聯(lián)網(wǎng)用戶數(shù)目變得空前龐大���。各種業(yè)務(wù)在互聯(lián)網(wǎng)上開(kāi)展�,包括移動(dòng)性��、 多家鄉(xiāng)�、流量工程(Traffic Engineering)等,使全球路由表的規(guī)模發(fā)生巨大增長(zhǎng)和不穩(wěn)定抖動(dòng)���?����;ヂ?lián)網(wǎng)架構(gòu)委員會(huì)(Internet Architecture Board, IAB)透露����,互聯(lián)網(wǎng)路由系統(tǒng)面臨嚴(yán)重的可擴(kuò)展性問(wèn)題���。隨著IPv4地址的耗盡和IPv6的逐步應(yīng)用����,IPv6巨大的地址空間將可能超過(guò)路由表的處理能力���,影響互聯(lián)網(wǎng)的正常運(yùn)行�。因此,IAB委托互聯(lián)網(wǎng)研究專門(mén)工作組(Internet Research Task Force, I RTF) 的路由研究組(Routing Research Group, RRG)設(shè)計(jì)一個(gè)新的網(wǎng)絡(luò)體系解決路由可擴(kuò)展性問(wèn)題�����。當(dāng)前研究人員提出了多種網(wǎng)絡(luò)體系方案解決路由可擴(kuò)展性問(wèn)題����。傳統(tǒng)網(wǎng)絡(luò)中IP地址同時(shí)具有位置屬性和身份屬性����,這種語(yǔ)義過(guò)載限制了網(wǎng)絡(luò)的靈活性。在當(dāng)前提出的多種網(wǎng)絡(luò)體系方案中����,大多數(shù)方案都采用身份與位置分離的思想,設(shè)計(jì)兩種不同類型的地址身份標(biāo)識(shí)(Identifiers)表示身份屬性�,和位置標(biāo)識(shí)(Locators) 表示位置屬性。身份標(biāo)識(shí)用來(lái)表示一個(gè)終端����,位置標(biāo)識(shí)用來(lái)表示終端連接到網(wǎng)絡(luò)中的拓?fù)湮恢谩I矸輼?biāo)識(shí)可以完成數(shù)據(jù)包在接入網(wǎng)中的路由��,不隨終端位置變化而改變;位置標(biāo)識(shí)完成數(shù)據(jù)包在核心網(wǎng)的尋路功能���,隨終端移動(dòng)而改變���。由于身份標(biāo)識(shí)與位置標(biāo)識(shí)分別應(yīng)用在接入網(wǎng)和核心網(wǎng),需要一個(gè)映射系統(tǒng)將身份標(biāo)識(shí)與位置標(biāo)識(shí)對(duì)應(yīng)起來(lái)���。采用這種身份與位置分離思想的網(wǎng)絡(luò)體系方案主要有LISP��,GLI-Split��,Six/One, Ivip����,一體化標(biāo)識(shí)網(wǎng)絡(luò)等�����。身份與位置分離網(wǎng)絡(luò)體系方案的兩個(gè)地址類型終端標(biāo)識(shí)(Endpoint Identifier, EID):表示終端身份屬性的身份標(biāo)識(shí)�����,不隨終端移動(dòng)而改變;以及路由標(biāo)識(shí) (Routing Locator, RL0C)表示終端位置屬性的位置標(biāo)識(shí)���,隨終端移動(dòng)而改變����。EID與RLOC的映射關(guān)系可以是一對(duì)多���,多對(duì)一�����,多對(duì)多。 身份與位置分離體系方案主要功能模塊有映射系統(tǒng)(Mapping System)�����,由映射服務(wù)器(Mapping Server, MS)組成�,完成身份標(biāo)識(shí)與位置標(biāo)識(shí)的映射存儲(chǔ)、查詢和應(yīng)答���;以及出/入口隧道路由器(Egress/Ingress Tunnel Router��,xTR)��,連接接入網(wǎng)與核心網(wǎng)��,負(fù)責(zé)終端標(biāo)識(shí)與路由標(biāo)識(shí)映射信息的查詢�����,數(shù)據(jù)包頭操作(包括映射封裝(Map & Encap)或地址替換等)和數(shù)據(jù)包的轉(zhuǎn)發(fā)�。xTR的映射緩存(Mapping Cache)存儲(chǔ)本地接入終端的映射信息和部分通信對(duì)端的映射信息。如圖1�����,身份與位置分離網(wǎng)絡(luò)體系中終端間通信過(guò)程如下步驟1 :A發(fā)送源和目的地址分別為EIDa和EIDb的數(shù)據(jù)包����,數(shù)據(jù)包在發(fā)送端接入網(wǎng)使用EID尋路轉(zhuǎn)發(fā)。
步驟2 數(shù)據(jù)包到達(dá)出/入口路由器XTR115 XTR1保存了 EIDfto-RLOC1的映射信息��, XTR1查詢映射緩存是否保存對(duì)應(yīng)EIDfto-RLOC2的映射信息���,若沒(méi)有則向映射服務(wù)器MS1詢問(wèn)EIDb對(duì)應(yīng)的映射信息����。步驟3 映射服務(wù)器MS1在映射系統(tǒng)中查詢EIDb的映射信息�����,向XTR1返回對(duì)應(yīng) EIDfto-RLOC2的映射信息,XTR1將EIDB-to_RL0C2的映射信息保存到映射緩存中��。步驟4 =XTR1對(duì)數(shù)據(jù)包進(jìn)行數(shù)據(jù)包頭操作(映射封裝或地址替換等)�����,數(shù)據(jù)包源和目的地址變?yōu)镽LOC1和RL0C2�。然后XTR1向核心網(wǎng)轉(zhuǎn)發(fā)處理后的數(shù)據(jù)包。步驟5 數(shù)據(jù)包使用路由地址RLOC尋路到達(dá)xTR2�����。xTR2保存了 EIDB-to_RL0C2的映射信息��,XTR2查詢映射緩存是否存儲(chǔ)EIDfto-RLOC1的映射信息�����,若沒(méi)有則詢問(wèn)映射服務(wù)器 MS2���。步驟6 映射服務(wù)器MS2映射系統(tǒng)中查詢EIDa的映射信息,向xTR2返回 EIDfto-RLOC1的映射信息����,XTR2將其保存在映射緩存中����。步驟7 =XTR2進(jìn)行數(shù)據(jù)包頭逆操作(映射解封裝或地址逆替換)�,數(shù)據(jù)包源和目的地址變?yōu)镋IDa和EIDB,然后��,XTR2向B轉(zhuǎn)發(fā)數(shù)據(jù)包����。身份與位置分離網(wǎng)絡(luò)體系方案中的接入網(wǎng)與核心網(wǎng)分別采用兩種獨(dú)立的名字空間,終端標(biāo)識(shí)和路由標(biāo)識(shí)���。終端標(biāo)識(shí)只在接入網(wǎng)內(nèi)完成數(shù)據(jù)包尋路轉(zhuǎn)發(fā)�,接入網(wǎng)絡(luò)內(nèi)拓?fù)渥兓挥绊懡尤刖W(wǎng)絡(luò)內(nèi)的路由表信息�����;路由標(biāo)識(shí)只在核心網(wǎng)內(nèi)完成數(shù)據(jù)包尋路轉(zhuǎn)發(fā)�����,核心網(wǎng)拓?fù)渥兓挥绊懞诵木W(wǎng)絡(luò)內(nèi)的路由表信息�。映射系統(tǒng)將接入網(wǎng)的終端標(biāo)識(shí)和核心網(wǎng)的路由標(biāo)識(shí)對(duì)應(yīng)起來(lái)����,它負(fù)責(zé)收集��、存儲(chǔ)和更新終端標(biāo)識(shí)與路由標(biāo)識(shí)的映射關(guān)系��。映射服務(wù)器接收映射查詢報(bào)文�����,返回映射應(yīng)答報(bào)文����。本發(fā)明是在身份與位置分離的映射系統(tǒng)基礎(chǔ)上,向xTR映射緩存中的映射信息加入額外的通信狀態(tài)標(biāo)志���,表示終端對(duì)連接采取的態(tài)度���。 xTR映射緩存中映射條目的通信狀態(tài)標(biāo)志可以詢問(wèn)代理服務(wù)器得到。代理服務(wù)器(Proxy Server)通過(guò)詢問(wèn)其管理范圍內(nèi)終端�,收集�、維護(hù)終端的通信狀態(tài),并應(yīng)答xTR的通信狀態(tài)查詢����。通信狀態(tài)標(biāo)志(Filter)通信狀態(tài)標(biāo)志可與映射信息對(duì)應(yīng)��,是由終端指定的通信狀態(tài)�,表示其對(duì)通信連接的態(tài)度���。通信狀態(tài)標(biāo)志包含終端通信狀態(tài)��、通信狀態(tài)有效期Ts��、允許或拒絕的終端標(biāo)識(shí) EID�、過(guò)濾時(shí)間Tb等其他信息���。終端通信狀態(tài)包括允許所有連接�����、允許部分連接���、拒絕部分連接、拒絕所有連接等����。其中�����,允許部分連接狀態(tài)和拒絕部分連接狀態(tài)互不排斥���,可同時(shí)存在,未允許或拒絕的連接可以發(fā)起連接請(qǐng)求����。 1)允許所有連接,該狀態(tài)表示終端當(dāng)前允許所有請(qǐng)求的連接����,是終端默認(rèn)的連接狀態(tài),終端未特別指定其通信狀態(tài)時(shí)默認(rèn)此狀態(tài)����。2)允許部分連接,該狀態(tài)是終端指定的一種允許部分終端連接請(qǐng)求的通信狀態(tài)�。 終端的通信狀態(tài)標(biāo)志設(shè)置為此狀態(tài)時(shí),被允許的終端可以與其直接建立連接���,其他未被允許的終端發(fā)起連接時(shí)需要詢問(wèn)代理服務(wù)器連接是否被允許��,代理服務(wù)器返回被請(qǐng)求終端對(duì)該連接請(qǐng)求的決定�。3)拒絕部分連接��,該狀態(tài)是終端指定的一種拒絕部分終端連接請(qǐng)求的通信狀態(tài)���。這種狀態(tài)只阻止部分指定終 端的連接請(qǐng)求��,其他未被指定終端的連接可以直接建立�,不受影響���。拒絕部分連接狀態(tài)可以拒絕某個(gè)終端的連接請(qǐng)求�����,也可以拒絕某個(gè)接入網(wǎng)內(nèi)所有終端的連接請(qǐng)求��。4)拒絕所有連接�����,該狀態(tài)是終端拒絕非所在接入網(wǎng)連接請(qǐng)求的通信狀態(tài)�。終端指定這種狀態(tài)時(shí)���,終端只接受所在接入網(wǎng)內(nèi)其他終端的連接請(qǐng)求����,不接受其他接入網(wǎng)的終端連接請(qǐng)求。當(dāng)終端與其他接入網(wǎng)終端通信時(shí)���,需要修改拒絕所有連接狀態(tài)為其他通信狀態(tài)�。本發(fā)明中引入的代理服務(wù)器(Proxy Server)工作在控制平面�,管理接入網(wǎng)中終端的通信狀態(tài)標(biāo)志,管理范圍是通過(guò)xTR與其相連的接入網(wǎng)��。所有代理服務(wù)器組成一個(gè)專用網(wǎng)絡(luò)�����,代理服務(wù)器之間可以通過(guò)隧道或者其他鏈路
通{曰����。代理服務(wù)器之間可以完成密鑰協(xié)商與分配,數(shù)據(jù)交換����、轉(zhuǎn)發(fā)與認(rèn)證等功能;代理服務(wù)器與管理范圍內(nèi)xTR可以完成密鑰協(xié)商與分配��,數(shù)據(jù)交換與認(rèn)證等功能。MACkp是由xTR和代理服務(wù)器協(xié)商的密鑰生成的消息認(rèn)證碼��,可以完成消息從xTR 到代理服務(wù)器的完整性驗(yàn)證�����;MACpk是由代理服務(wù)器和xTR協(xié)商的密鑰生成的消息認(rèn)證碼, 可以完成消息從代理服務(wù)器到xTR的完整性驗(yàn)證����。如圖2所示,本發(fā)明的身份與位置分離網(wǎng)絡(luò)體系下的終端B主動(dòng)阻止終端A攻擊的流程如下步驟1-7 :A向B連續(xù)發(fā)送數(shù)據(jù)流Pb�,Pb按照身份與位置分離網(wǎng)絡(luò)體系中終端間通信過(guò)程到達(dá)B。步驟8 終端B根據(jù)數(shù)據(jù)流Pb判斷終端A在發(fā)起攻擊或其他惡意行為��,B需要阻止來(lái)自A的數(shù)據(jù)����。B向XTR2發(fā)送過(guò)濾請(qǐng)求報(bào)文Fkeq。過(guò)濾請(qǐng)求報(bào)文Fkeq中包含過(guò)濾目標(biāo)EIDa, 過(guò)濾時(shí)間Tb�,過(guò)濾請(qǐng)求源B的通信狀態(tài)和通信狀態(tài)有效期Ts等信息。步驟9 =XTR2驗(yàn)證過(guò)濾請(qǐng)求報(bào)文Fkeq的真實(shí)性�����,添加認(rèn)證信息MACkp供代理服務(wù)器 PS2驗(yàn)證。XTR2然后向代理服務(wù)器PS2轉(zhuǎn)發(fā)Fkeq�����。步驟10 =PS2驗(yàn)證Fkeq中的認(rèn)證信息MACKP����。驗(yàn)證成功后PS2儲(chǔ)存終端B的通信狀態(tài)信息,通信狀態(tài)有效期Ts���,過(guò)濾目標(biāo)地址EIDa,過(guò)濾時(shí)間Tb等信息����。PS2根據(jù)過(guò)濾請(qǐng)求報(bào)文 Feeq中的過(guò)濾目標(biāo)EIDa�,向過(guò)濾目標(biāo)EIDa所在管理范圍的代理服務(wù)器PS1發(fā)送過(guò)濾執(zhí)行報(bào)文 Fdo,過(guò)濾執(zhí)行報(bào)文Fdq包括過(guò)濾請(qǐng)求源EIDb,B的通信狀態(tài)�,過(guò)濾目標(biāo)EIDa,過(guò)濾時(shí)間Tb。步驟11 代理服務(wù)器PS1驗(yàn)證Fdq的真實(shí)性���,添加認(rèn)證信息MACpk供XTR1驗(yàn)證�,轉(zhuǎn)發(fā)過(guò)濾執(zhí)行報(bào)文Fm到XTR1�����。步驟12 =XTR1驗(yàn)證Fm中的認(rèn)證信息MACra。驗(yàn)證成功后XTR1根據(jù)過(guò)濾源EIDB���, 將通信狀態(tài)標(biāo)志Fi 1 ter加入到映射緩存的EIDfto-RLOC2條目中(即映射信息變?yōu)?EIDB-to-RLOC2-Filter�,其中通信狀態(tài)標(biāo)志Filter包含B的通信狀態(tài)�����,過(guò)濾目標(biāo)EIDa和過(guò)濾時(shí)間Tb等信息)�����。XTR1向終端A轉(zhuǎn)發(fā)Fm��,告之發(fā)送到終端B的數(shù)據(jù)包進(jìn)入過(guò)濾機(jī)制��,在過(guò)濾時(shí)間Tb內(nèi)的向B發(fā)送的數(shù)據(jù)包都將被丟棄�。至此終端B完成對(duì)終端A惡意攻擊數(shù)據(jù)包的過(guò)濾設(shè)置�����。Tb時(shí)間內(nèi)終端A向終端B 發(fā)送的數(shù)據(jù)包到達(dá)XTR1時(shí)��,XTR1查詢映射緩存或代理服務(wù)器得知終端B要求過(guò)濾終端A發(fā)送到終端B的數(shù)據(jù)包�����,XTR1丟棄源為EIDa目的地為EIDb的數(shù)據(jù)包。
當(dāng)終端B通信狀態(tài)設(shè)置為允許部分連接狀態(tài)時(shí)�����,未被允許的終端需要通過(guò)請(qǐng)求����, 被允許后才能建立連接。A與B的通信連接建立的過(guò)程如下步驟13 終端A向B發(fā)送數(shù)據(jù)包Pf�����。步驟14 = XTR1查詢映射緩存中是否存在EIDfto-RLOC2映射信息����,若沒(méi)有則向映射服務(wù)器MS1查詢。步驟15 映射服務(wù)器MS1向XTR1返回EIDb的映射信息��。步驟16 =XTR1向PS1發(fā)送連接詢問(wèn)報(bào)文Lkq��,詢問(wèn)本次連接是否被允許�����。連接詢問(wèn)報(bào)文包括連接請(qǐng)求源EIDa,連接目的EIDb等信息。步驟17 =PS1驗(yàn)證連接詢問(wèn)報(bào)文Lkq的真實(shí)性�。PS1向終端B所在管理范圍的代理服務(wù)器PS2轉(zhuǎn)發(fā)連接詢問(wèn)報(bào)文Lkq。步驟18 =PS2查詢存儲(chǔ)的EIDb的通信狀態(tài)�,連接請(qǐng)求源EIDa是否在拒絕連接列表內(nèi)。若EIDa仍被拒絕��,則返回連接回復(fù)報(bào)文Lkp到PS1����,轉(zhuǎn)到步驟23。否則PS2向連接詢問(wèn)報(bào)文Lkq添加MACpk,以便XTR2驗(yàn)證����,并向B轉(zhuǎn)發(fā)連接詢問(wèn)報(bào)文LKQ�。步驟19 =XTR2驗(yàn)證Lkq中的認(rèn)證信息MACpk,,向Lkq中添加認(rèn)證信息MACke供終端驗(yàn)證��,并轉(zhuǎn)發(fā)連接詢問(wèn)報(bào)文Lkq到終端B�����。 步驟20 終端B驗(yàn)證Lkq中的認(rèn)證信息MACke����。根據(jù)連接請(qǐng)求源EIDa和終端B的網(wǎng)絡(luò)狀態(tài)�,返回連接回復(fù)報(bào)文LKP����。狀態(tài)應(yīng)答報(bào)文包含B的通信狀態(tài),通信狀態(tài)有效期Ts��,是否允許終端A的連接請(qǐng)求等信息�。步驟21 =XTR2驗(yàn)證連接回復(fù)報(bào)文LKP,向Lkp添加認(rèn)證信息MACKP��,�����,并向PS2轉(zhuǎn)發(fā)連接回復(fù)報(bào)文LKP�����。步驟22 =PS2驗(yàn)證Lkp中的認(rèn)證信息MACKP����,,驗(yàn)證正確時(shí)儲(chǔ)存終端B的通信狀態(tài)����,通信狀態(tài)有效期Ts�,是否允許終端A的連接請(qǐng)求等信息�。PS2發(fā)送連接回復(fù)報(bào)文Lkp到PS115步驟23 =PS1驗(yàn)證Lkp的真實(shí)性,添加認(rèn)證信息MACpk到連接回復(fù)報(bào)文Lkp并轉(zhuǎn)發(fā)給 XTR1����。步驟24 =XTR1驗(yàn)證Lkp的認(rèn)證信息MACPK,確認(rèn)連接回復(fù)報(bào)文Lkp的真實(shí)性�。將終端B的通信狀態(tài)信息、是否允許終端A的連接請(qǐng)求等信息存儲(chǔ)到映射緩存中對(duì)應(yīng)的 EIDfto-RLOC2條目中�����。XTR1根據(jù)B是否允許終端A的連接請(qǐng)求等信息判斷是否處理并轉(zhuǎn)發(fā)數(shù)據(jù)包Pf���。步驟25:xTR2處理數(shù)據(jù)包Pf包頭并轉(zhuǎn)發(fā)到終端B�����。xTR2向映射緩存中的 EIDfto-RLOC1條目加入終端A的默認(rèn)通信狀態(tài)允許EIDb與EIDa的通信,允許xTR2轉(zhuǎn)發(fā)B 向A發(fā)送的數(shù)據(jù)��。終端可以不定期的向代理服務(wù)器發(fā)送狀態(tài)通告報(bào)文指定其通信狀態(tài)�����。為了避免攻擊,xTR可以限制通信狀態(tài)通告報(bào)文的速率���。代理服務(wù)器收集����、儲(chǔ)存管理范圍內(nèi)終端的通信狀態(tài)��,終端通信狀態(tài)快到期時(shí)���,代理服務(wù)器主動(dòng)向終端發(fā)送狀態(tài)查詢報(bào)文以便更新通信狀態(tài)�。需要指出的是����,一般情況下通信狀態(tài)有效期Ts和過(guò)濾時(shí)間Tb大于映射信息在xTR的映射緩存的有效期TTL。代理服務(wù)器是一個(gè)邏輯功能模塊����,代理服務(wù)器的邏輯功能可以集成到映射服務(wù)器上,這樣只需要在映射服務(wù)器中對(duì)應(yīng)EID的映射信息條目中加入通信狀態(tài)標(biāo)志Filter就可以表示該終端的通信狀態(tài)�。終端通信狀態(tài)隨對(duì)應(yīng)映射信息存儲(chǔ)、傳輸和更新而不影響映射系統(tǒng)的基本功能����,減少消息交互數(shù)量���,降低通信延遲。 特別是�����,步驟21-23的連接回復(fù)報(bào)文可以不經(jīng)過(guò)代理服務(wù)器組成的專用網(wǎng)絡(luò)轉(zhuǎn)發(fā)��,可以通過(guò)XTR2和核心網(wǎng)中間路由器的路由傳輸?shù)桨l(fā)送端的XTR1, XTR1根據(jù)連接回復(fù)報(bào)文的信息設(shè)置對(duì)應(yīng)終端的通信狀態(tài)標(biāo)志�����。特別是��,代理服務(wù)器的部署方式可以是分布式的�����,也可以是集中式的����,或者其他形式����。代理服務(wù)器間組成的專用網(wǎng)絡(luò)可以快速通信��,其專用網(wǎng)絡(luò)的數(shù)據(jù)處理和傳輸速度較快����, 不是終端間通信延遲的主要原因��。特別是��,代理服務(wù)器之間����、代理服務(wù)器與XTR之間、xTR與終端之間的控制信息真實(shí)性驗(yàn)證方法可以使用數(shù)字簽名����,消息認(rèn)證碼MAC等驗(yàn)證方法。特別是�,代理服務(wù)器的邏輯功能集成到映射服務(wù)器中,安全傳輸方法與映射系統(tǒng)有效結(jié)合����,共同完成數(shù)據(jù)通信狀態(tài)查詢應(yīng)答和映射信息查詢應(yīng)答的雙重功能而互不影響, 且這樣可以減少控制消息量����,降低開(kāi)銷(xiāo)����。根據(jù)本發(fā)明����,終端設(shè)置通信狀態(tài)表示終端通信意愿的方法,包括允許所有連接����,允許部分連接,拒絕部分連接��,拒絕所有連接等通信狀態(tài)��。根據(jù)本發(fā)明�����,引入代理服務(wù)器的邏輯功能�����,使通信狀態(tài)標(biāo)志與身份與位置分離網(wǎng)絡(luò)體系的映射系統(tǒng)結(jié)合�,將通信狀態(tài)等安全參數(shù)內(nèi)嵌于映射系統(tǒng)的映射信息中����。根據(jù)本發(fā)明��,身份與位置分離網(wǎng)絡(luò)體系下終端發(fā)現(xiàn)受到惡意攻擊時(shí)�����,發(fā)送過(guò)濾請(qǐng)求��,要求阻止攻擊數(shù)據(jù)流信息的傳輸過(guò)程�����,包括步驟8-12����。根據(jù)本發(fā)明�,終端設(shè)置通信狀態(tài)為允許部分連接通信狀態(tài)時(shí),發(fā)送端發(fā)送連接數(shù)據(jù)包���,完成連接建立的過(guò)程�����,包括步驟13-25�。如圖3,終端A和終端B分別位于不同的接入網(wǎng)����。映射服務(wù)器組成的映射系統(tǒng)構(gòu)成一個(gè)專用網(wǎng)絡(luò)。映射服務(wù)器中集成代理服務(wù)器邏輯功能��。xTR連接接入網(wǎng)與核心網(wǎng)�����,完成映射查詢���、數(shù)據(jù)過(guò)濾�����、數(shù)據(jù)包頭操作(映射封裝(Map & Encap)或地址替換)����、數(shù)據(jù)包路由轉(zhuǎn)發(fā)等功能���。當(dāng)終端A與終端B的連接已經(jīng)建立����,終端B發(fā)現(xiàn)終端A在進(jìn)行惡意攻擊行為,需要對(duì)A的數(shù)據(jù)進(jìn)行過(guò)濾����,請(qǐng)求過(guò)濾過(guò)程如下步驟1 終端B發(fā)送過(guò)濾請(qǐng)求數(shù)據(jù)包Fkeq�。步驟2 =XTR2驗(yàn)證Fkeq的真實(shí)性,添加認(rèn)證信息MACkp供代理服務(wù)器PS2驗(yàn)證��,然后轉(zhuǎn)發(fā)過(guò)濾數(shù)據(jù)包Fkeq到映射服務(wù)器MS2���。步驟3 映射服務(wù)器MS2驗(yàn)證認(rèn)證信息MACkp,確認(rèn)Fkeq的真實(shí)性�。在映射數(shù)據(jù)庫(kù)的 EIDfto-RLOC2映射條目中加入B的通信狀態(tài)標(biāo)志Filter����,向MS1發(fā)送過(guò)濾執(zhí)行數(shù)據(jù)包FDQ。步驟4 =MS1驗(yàn)證過(guò)濾執(zhí)行數(shù)據(jù)包Fdq的真實(shí)性����,添加認(rèn)證信息MACpk供XTR1驗(yàn)證, 然后轉(zhuǎn)發(fā)Fdq到XTR1����。步驟5 =XTR1驗(yàn)證認(rèn)證信息MACpk,確認(rèn)過(guò)濾執(zhí)行數(shù)據(jù)包Fm的真實(shí)性����。XTR1更新映射緩存的對(duì)應(yīng)映射信息終端EIDb的通信狀態(tài)標(biāo)志�����,轉(zhuǎn)發(fā)過(guò)濾執(zhí)行數(shù)據(jù)包Fm到終端A��,告之發(fā)送到終端B通信的數(shù)據(jù)包被過(guò)濾��,過(guò)濾時(shí)間Tb����。至此終端B完成對(duì)終端A惡意攻擊數(shù)據(jù)包的過(guò)濾,終端A向終端B發(fā)送的數(shù)據(jù)包到達(dá)XTR1時(shí)��,XTR1查詢映射緩存得知終端B要求過(guò)濾終端A發(fā)送到終端B的數(shù)據(jù)包�����,XTR1 丟棄源為EIDa目的為EIDb的數(shù)據(jù)包��。
當(dāng)終端B的通信狀態(tài)設(shè)置為允許部分通信時(shí)����,終端A主動(dòng)與終端B的連接建立過(guò)程如下步驟6 終端A向B發(fā)送數(shù)據(jù)包��。步驟7 =XTR1緩存中沒(méi)有映射信息��,向映射服務(wù)器MS1查詢EIDb的映射信息和通信狀態(tài)標(biāo)志信息�,發(fā)送包含通信狀態(tài)查詢信息的映射查詢報(bào)文����。步驟8 =MS1驗(yàn)證映射查詢報(bào)文的真實(shí)性,向MS2轉(zhuǎn)發(fā)映射查詢報(bào)文�����。步驟9 =MS2查詢映射數(shù)據(jù)庫(kù)�,若MS2映射數(shù)據(jù)庫(kù)沒(méi)有B的通信狀態(tài)標(biāo)志是拒絕EIDa 與EIDb連接或拒絕信息已過(guò)期�,則向終端B發(fā)送連接查詢報(bào)文。若有�����,則在映射應(yīng)答報(bào)文中加入拒絕連接信息��,發(fā)送到XTR2��,轉(zhuǎn)到步驟12����。步驟10 =XTR2轉(zhuǎn)發(fā)連接查詢報(bào)文到B��,B返回連接回復(fù)報(bào)文到MS2��。步驟11 =MS2向MS1發(fā)送包含終端B連接回復(fù)信息的映射應(yīng)答報(bào)文�。步驟12 =MS1驗(yàn)證映射應(yīng)答報(bào)文的真實(shí)性����,加入認(rèn)證信息MACmk以便XTR1驗(yàn)證,轉(zhuǎn)發(fā)映射應(yīng)答報(bào)文到XTR1�。步驟13 =XTR1驗(yàn)證嫩(^確認(rèn)映射應(yīng)答報(bào)文的真實(shí)性,將映射信息和連接回復(fù)信息儲(chǔ)存在映射緩存中�。終端B若允許連接,則完成數(shù)據(jù)包頭操作�,轉(zhuǎn)發(fā)數(shù)據(jù)包。否則丟棄源為 EIDa目的為EIDb的數(shù)據(jù)包�。步驟14 =XTR2完成數(shù)據(jù)包頭操作,轉(zhuǎn)發(fā)從A發(fā)送來(lái)的數(shù)據(jù)包到B�����。至此終端A完成與終端B連接建立過(guò)程��。若終端A不是攻擊者,則通信可以一直正常進(jìn)行�����。
權(quán)利要求
1.一種基于身份與位置分離映射機(jī)制的DoS攻擊防御方法����,其特征在于,在身份與位置分離的映射系統(tǒng)基礎(chǔ)上���,向xTR映射緩存中的映射信息加入額外的通信狀態(tài)標(biāo)志����,表示終端通信意愿�,包括允許所有連接����、允許部分連接、拒絕部分連接�����、拒絕所有連接�;代理服務(wù)器使通信狀態(tài)標(biāo)志與身份與位置分離網(wǎng)絡(luò)體系的映射系統(tǒng)結(jié)合,將通信狀態(tài)等安全參數(shù)內(nèi)嵌于映射系統(tǒng)的映射信息中���,該xTR映射緩存中映射信息的通信狀態(tài)標(biāo)志通過(guò)詢問(wèn)代理服務(wù)器得到����,該代理服務(wù)器通過(guò)詢問(wèn)其管理范圍內(nèi)的終端,收集���、維護(hù)終端的通信狀態(tài)���,并應(yīng)答xTR的通信狀態(tài)查詢;當(dāng)終端發(fā)現(xiàn)受到惡意攻擊時(shí)�,發(fā)送過(guò)濾請(qǐng)求,要求阻止攻擊數(shù)據(jù)流信息的傳輸過(guò)程�����;當(dāng)終端設(shè)置通信狀態(tài)為允許部分連接通信狀態(tài)時(shí)���,發(fā)送端發(fā)送連接數(shù)據(jù)包�,完成連接建立的過(guò)程���。
2.如權(quán)利要求1所述的DoS攻擊防御方法�,其特征在于,所述要求阻止攻擊數(shù)據(jù)流信息的傳輸過(guò)程�����,包括下列步驟1)A向B連續(xù)發(fā)送數(shù)據(jù)流Pb��,Pb按照身份與位置分離網(wǎng)絡(luò)體系中終端間通信過(guò)程到達(dá) B,終端B根據(jù)數(shù)據(jù)流Pb判斷終端A在發(fā)起攻擊或其他惡意行為�,B需要阻止來(lái)自A的數(shù)據(jù); B向XTR2發(fā)送過(guò)濾請(qǐng)求報(bào)文Fkeq ����;過(guò)濾請(qǐng)求報(bào)文Fkeq中包含過(guò)濾目標(biāo)EIDa,過(guò)濾時(shí)間Tb,過(guò)濾請(qǐng)求源B的通信狀態(tài)和通信狀態(tài)有效期Ts等信息�����;2)XTR2驗(yàn)證過(guò)濾請(qǐng)求報(bào)文Fkeq的真實(shí)性����,添加認(rèn)證信息MACkp供代理服務(wù)器PS2驗(yàn)證���, XTR2然后向代理服務(wù)器PS2轉(zhuǎn)發(fā)Fkeq �;3)PS2驗(yàn)證Fkeq中的認(rèn)證信息MACkp,驗(yàn)證成功后PS2儲(chǔ)存終端B的通信狀態(tài)信息��,通信狀態(tài)有效期Ts,過(guò)濾目標(biāo)地址EIDa�����,過(guò)濾時(shí)間Tb等信息�����,PS2根據(jù)過(guò)濾請(qǐng)求報(bào)文Fkeq中的過(guò)濾目標(biāo)EIDa,向過(guò)濾目標(biāo)EIDa所在管理范圍的代理服務(wù)器PS1發(fā)送過(guò)濾執(zhí)行報(bào)文FDQ�����,過(guò)濾執(zhí)行報(bào)文Fdq包括過(guò)濾請(qǐng)求源EIDb�����,B的通信狀態(tài)�,過(guò)濾目標(biāo)EIDa,過(guò)濾時(shí)間Tb信息;4)代理服務(wù)器PS1驗(yàn)證Fiw的真實(shí)性�,添加認(rèn)證信息MACpk供XTR1驗(yàn)證,轉(zhuǎn)發(fā)過(guò)濾執(zhí)行報(bào)文Fdo到XTR1 ��;5)XTR1驗(yàn)證Fim中的認(rèn)證信息MACpk,驗(yàn)證成功后XTR1根據(jù)過(guò)濾源EIDB�,將通信狀態(tài)標(biāo)志 Filter加入到映射緩存的EIDB-to-RL0C2條目中,即映射信息變?yōu)镋IDB-to-RLOC2_Filter��, 其中通信狀態(tài)標(biāo)志Filter包含B的通信狀態(tài),過(guò)濾目標(biāo)EIDa和過(guò)濾時(shí)間Tb等信息�����;XTR1 向終端A轉(zhuǎn)發(fā)Fiw����,告之發(fā)送到終端B的數(shù)據(jù)包進(jìn)入過(guò)濾機(jī)制,在過(guò)濾時(shí)間Tb內(nèi)的向B發(fā)送的數(shù)據(jù)包都將被丟棄�����;至此終端B完成對(duì)終端A惡意攻擊數(shù)據(jù)包的過(guò)濾設(shè)置��,Tb時(shí)間內(nèi)終端A向終端B發(fā)送的數(shù)據(jù)包到達(dá)XTR1時(shí)����,XTR1查詢映射緩存或代理服務(wù)器得知終端B要求過(guò)濾終端A發(fā)送到終端B的數(shù)據(jù)包,XTR1丟棄源為EIDa目的地為EIDb的數(shù)據(jù)包����。
3.如權(quán)利要求1所述的DoS攻擊防御方法,其特征在于����,所述完成連接建立的過(guò)程的步驟包括1)終端A向B發(fā)送數(shù)據(jù)包Pf;2)XTR1查詢映射緩存中是否存在EIDfto-RLOC2映射信息,若沒(méi)有則向映射服務(wù)器MS1 查詢��;3)映射服務(wù)器MS1向XTR1返回EIDb的映射信息���;4)XTR1向PS1發(fā)送連接詢問(wèn)報(bào)文Lkq���,詢問(wèn)本次連接是否被允許,連接詢問(wèn)報(bào)文包括連接請(qǐng)求源EIDa,連接目的EIDb等信息�����;5)PS1驗(yàn)證連接詢問(wèn)報(bào)文Lkq的真實(shí)性�,PS1向終端B所在管理范圍的代理服務(wù)器PS2轉(zhuǎn)發(fā)連接詢問(wèn)報(bào)文Lkq;6)PS2查詢存儲(chǔ)的EIDb的通信狀態(tài),連接請(qǐng)求源EIDa是否被拒絕連接��,若EIDa被拒絕�����, 則返回連接回復(fù)報(bào)文Lkp到PS1�����,轉(zhuǎn)到11)����;否則�,PS2向連接詢問(wèn)報(bào)文Lkq添加MACPK��,以便XTR2 驗(yàn)證��,并向B轉(zhuǎn)發(fā)連接詢問(wèn)報(bào)文Lkq ����;7)XTR2驗(yàn)證Lkq中的認(rèn)證信息MACpk,,向Lkq中添加認(rèn)證信息MACke供終端驗(yàn)證,并轉(zhuǎn)發(fā)連接詢問(wèn)報(bào)文Lkq到終端B;8)終端B驗(yàn)證Lkq中的認(rèn)證信息MACke�����;根據(jù)連接請(qǐng)求源EIDa和終端B的網(wǎng)絡(luò)狀態(tài)�����,返回連接回復(fù)報(bào)文Lkp ��;狀態(tài)應(yīng)答報(bào)文包含B的通信狀態(tài)�,通信狀態(tài)有效期Ts,是否允許終端A 的連接請(qǐng)求等信息����;9)XTR2驗(yàn)證連接回復(fù)報(bào)文LKP�����,向Lkp添加認(rèn)證信息MACKP,�,并向PS2轉(zhuǎn)發(fā)連接回復(fù)報(bào)文τ .ijEP ’10)PS2驗(yàn)證Lkp中的認(rèn)證信息MACKP,��,儲(chǔ)存終端B的通信狀態(tài)��,通信狀態(tài)有效期Ts���,是否允許終端A的連接請(qǐng)求等信息�����;PS2發(fā)送連接回復(fù)報(bào)文Lkp到PS1 �����;IDPS1驗(yàn)證Lkp的真實(shí)性�,添加認(rèn)證信息MACpk到連接回復(fù)報(bào)文Lkp并轉(zhuǎn)發(fā)給XTR1 �;12)XTR1驗(yàn)證Lkp的認(rèn)證信息MACpk,確認(rèn)連接回復(fù)報(bào)文Lkp的真實(shí)性;將終端B的通信狀態(tài)信息���、是否允許終端A的連接請(qǐng)求等信息存儲(chǔ)到映射緩存中對(duì)應(yīng)的EIDfto-RLOC2映射條目中�����;XTR1根據(jù)B是否允許終端A的連接請(qǐng)求等信息判斷是否處理并轉(zhuǎn)發(fā)數(shù)據(jù)包Pf ����;13)XTR2處理數(shù)據(jù)包Pf包頭并轉(zhuǎn)發(fā)到終端B,XTR2向映射緩存中的EIDfto-RLOC1條目加入終端A的默認(rèn)通信狀態(tài)允許EIDb與EIDa的通信���,允許xTR2轉(zhuǎn)發(fā)B向A發(fā)送的數(shù)據(jù)��。
4.如權(quán)利要求1所述的DoS攻擊防御方法�,其特征在于����,通信狀態(tài)標(biāo)志包含終端通信狀態(tài)、通信狀態(tài)有效期Ts��、允許或拒絕的終端標(biāo)識(shí)EID�����、過(guò)濾時(shí)間Tb等其他信息。
5.如權(quán)利要求1所述的DoS攻擊防御方法����,其特征在于,允許部分連接狀態(tài)和拒絕部分連接狀態(tài)互不排斥��,可同時(shí)存在���,未允許或拒絕的連接可以發(fā)起連接請(qǐng)求;允許所有連接是終端默認(rèn)的連接狀態(tài)���;在允許部分連接狀態(tài)���,被允許的終端可以與其直接建立連接,其他未被允許的終端發(fā)起連接時(shí)需要詢問(wèn)代理服務(wù)器連接是否被允許����,代理服務(wù)器返回被請(qǐng)求終端對(duì)該連接請(qǐng)求的決定;在拒絕部分連接狀態(tài)����,只需要阻止部分指定終端的連接請(qǐng)求,其他未被指定終端的連接可以直接建立�����,不受影響,拒絕部分連接狀態(tài)可以拒絕某個(gè)終端的連接請(qǐng)求�,也可以拒絕某個(gè)接入網(wǎng)內(nèi)所有終端的連接請(qǐng)求;在拒絕所有連接狀態(tài)�����,終端只接受所在接入網(wǎng)內(nèi)其他終端的連接請(qǐng)求���,不接受其他接入網(wǎng)的終端連接請(qǐng)求����,當(dāng)終端可以與其他接入網(wǎng)終端通信時(shí)����,需要修改拒絕所有連接狀態(tài)為其他通信狀態(tài)。
6.如權(quán)利要求1所述的DoS攻擊防御方法���,其特征在于���,代理服務(wù)器工作在控制平面,管理接入網(wǎng)中終端的通信狀態(tài)標(biāo)志�,管理范圍是通過(guò)xTR與其相連的接入網(wǎng);所有代理服務(wù)器組成一個(gè)專用網(wǎng)絡(luò),代理服務(wù)器之間可以通過(guò)隧道或者其他鏈路通信�����;代理服務(wù)器之間可以完成密鑰協(xié)商與分配�����,數(shù)據(jù)交換�����、轉(zhuǎn)發(fā)與認(rèn)證等功能����; 代理服務(wù)器與管理范圍內(nèi)xTR可以完成密鑰協(xié)商與分配���,數(shù)據(jù)交換與認(rèn)證等功能�����; MACkp是由xTR和代理服務(wù)器協(xié)商的密鑰生成的消息認(rèn)證碼�����,可以完成消息從xTR到代理服務(wù)器的完整性驗(yàn)證�;MACpk是由代理服務(wù)器和xTR協(xié)商的密鑰生成的消息認(rèn)證碼,可以完成消息從代理服務(wù)器到xTR的完整性驗(yàn)證��。
7.如權(quán)利要求1所述的DoS攻擊防御方法�����,其特征在于���,終端可以不定期的向代理服務(wù)器發(fā)送狀態(tài)通告報(bào)文指定其通信狀態(tài)��; 為了避免攻擊�,xTR限制通信狀態(tài)通告報(bào)文的速率����;代理服務(wù)器收集、儲(chǔ)存管理范圍內(nèi)終端的通信狀態(tài)����,終端通信狀態(tài)快到期時(shí),代理服務(wù)器主動(dòng)向終端發(fā)送狀態(tài)查詢報(bào)文以便更新通信狀態(tài)�;一般情況下通信狀態(tài)有效期Ts和過(guò)濾時(shí)間Tb大于映射信息在xTR的映射緩存的有效期 TTL。
8.如權(quán)利要求1所述的DoS攻擊防御方法�,其特征在于��,代理服務(wù)器的邏輯功能可以集成到映射服務(wù)器上���,只需要在映射服務(wù)器中對(duì)應(yīng)EID的映射信息條目中加入通信狀態(tài)標(biāo)志Filter就可以表示該終端的通信狀態(tài);終端通信狀態(tài)隨對(duì)應(yīng)映射信息存儲(chǔ)�、傳輸和更新而不影響映射系統(tǒng)的基本功能。
9.如權(quán)利要求1所述的DoS攻擊防御方法���,其特征在于����,連接回復(fù)報(bào)文可以不經(jīng)過(guò)代理服務(wù)器組成的專用網(wǎng)絡(luò)轉(zhuǎn)發(fā)���,可以通過(guò)XTR2和核心網(wǎng)中間路由器的路由傳輸?shù)桨l(fā)送端的 XTR1, XTR1根據(jù)連接回復(fù)報(bào)文的信息設(shè)置對(duì)應(yīng)終端的通信狀態(tài)���。
10.如權(quán)利要求1所述的DoS攻擊防御方法�����,其特征在于���,代理服務(wù)器的部署方式可以是分布式的�,也可以是集中式的,或者其他形式���; 代理服務(wù)器之間��、代理服務(wù)器與xTR之間�����、xTR與終端之間的控制信息真實(shí)性驗(yàn)證方法可以使用數(shù)字簽名���,消息認(rèn)證碼MAC等方法;代理服務(wù)器的邏輯功能可以集成到映射服務(wù)器中���,安全傳輸方法與映射系統(tǒng)有效結(jié)合���,共同完成通信狀態(tài)查詢應(yīng)答和映射信息查詢應(yīng)答的雙重功能而互不影響。
全文摘要
一種基于身份與位置分離映射機(jī)制的DoS攻擊防御方法�,在身份與位置分離網(wǎng)絡(luò)體系的映射系統(tǒng)基礎(chǔ)上,向xTR映射緩存中的映射信息加入額外的通信狀態(tài)標(biāo)志�,代理服務(wù)器使通信狀態(tài)標(biāo)志與身份與位置分離網(wǎng)絡(luò)體系的映射系統(tǒng)結(jié)合,該xTR映射緩存中映射信息的通信狀態(tài)標(biāo)志通過(guò)詢問(wèn)代理服務(wù)器得到�,該代理服務(wù)器通過(guò)詢問(wèn)其管理范圍內(nèi)的終端,收集��、維護(hù)終端的通信狀態(tài),并應(yīng)答xTR的通信狀態(tài)查詢�����;當(dāng)終端發(fā)現(xiàn)受到惡意攻擊時(shí)�,要求阻止攻擊數(shù)據(jù)流的傳輸;當(dāng)終端設(shè)置通信狀態(tài)為允許部分連接時(shí)�����,發(fā)送端完成連接建立的過(guò)程��。本發(fā)明可以防御DoS攻擊����,終端受到惡意攻擊時(shí)可以主動(dòng)請(qǐng)求防御,避免造成進(jìn)一步的危害��,且不影響終端其他通信連接����。
文檔編號(hào)H04L29/06GK102447700SQ201110404999
公開(kāi)日2012年5月9日 申請(qǐng)日期2011年12月8日 優(yōu)先權(quán)日2011年12月8日
發(fā)明者劉穎, 周華春, 唐建強(qiáng), 張宏科 申請(qǐng)人:北京交通大學(xué)