專利名稱:基于身份與位置分離映射機制的DoS攻擊防御方法
技術領域:
本發(fā)明涉及一種基于身份與位置分離映射機制的DoS攻擊防御方法��,使得終端受到惡意攻擊時可以主動請求防御���,避免造成進一步的危害且不影響終端其他通信連接。屬于網(wǎng) 絡安全技術領域���。
背景技術:
身份與位置分離網(wǎng)絡體系可以解決路由可擴展問題����,然而��,正如傳統(tǒng)網(wǎng)絡面臨的安全問題��,身份與位置分離網(wǎng)絡體系仍然面臨許多網(wǎng)絡安全問題���。DoS和DDoS攻擊是傳統(tǒng)網(wǎng)絡中的主要攻擊方式�,也將是身份與位置分離網(wǎng)絡體系的主要安全威脅�����。傳統(tǒng)網(wǎng)絡中連接建立時接收端并不知道發(fā)送端通信的意圖,接收端處于被動接收數(shù)據(jù)的狀態(tài)���。終端受到攻擊時��,不能采取措施阻止攻擊數(shù)據(jù)流����,而只能中斷終端設備所有的通信����,這樣嚴重影響受害終端的正常通信,且攻擊數(shù)據(jù)流持續(xù)影響受害終端網(wǎng)絡的數(shù)據(jù)傳輸��。StopIt系統(tǒng)是基于過濾規(guī)則的DoS防御系統(tǒng)����。在StopIt系統(tǒng)中,接收端發(fā)現(xiàn)發(fā)送端為惡意節(jié)點時�����,接收端可以請求路由器設置過濾規(guī)則���,阻斷發(fā)送端到接收端的數(shù)據(jù)流。StopIt系統(tǒng)工作的具體步驟為1)接收端Hd檢測到受發(fā)送端Hs的攻擊,Hd向所在接入路由器Rd發(fā)送過濾Hs數(shù)據(jù)流的請求���;過濾請求中包含HcUHs的地址和過濾時間Tb ���;2)接入路由器Rd驗證Hd過濾請求;Rd向所在自治系統(tǒng)(Autonomous System, AS) 的StopIt服務器Sd發(fā)送過濾Hs數(shù)據(jù)包的請求��;3)接收端AS的StopIt服務器Sd轉發(fā)過濾請求到Hs所在AS的StopIt服務器 Ss ����;4)發(fā)送端AS的StopIt服務器Ss向Hs的接入路由器Rs發(fā)送過濾Hs的數(shù)據(jù)包請求;5)發(fā)送端接入路由器Rs驗證Ss的過濾請求��,創(chuàng)建過濾規(guī)則進行過濾����。Rs向發(fā)送端Hs發(fā)送過濾通告,告之發(fā)往Hd數(shù)據(jù)流被過濾���,在Tb時間內停止向Hd發(fā)送數(shù)據(jù)包��。然而���,StopIt系統(tǒng)存在一系列缺點1)過濾規(guī)則可擴展性受限�。處理大規(guī)模DoS攻擊時���,路由器要維護巨大規(guī)模的過濾規(guī)則��,復雜大量的過濾規(guī)則可能嚴重影響路由器的數(shù)據(jù)包處理速度���。2) StopIt系統(tǒng)只允許終端受到攻擊時可以發(fā)送請求阻止惡意攻擊行為,不能在通信連接建立時就為終端提供允許或拒絕能力���。3) StopIt和身份與位置分離網(wǎng)絡體系結合性差�。StopIt在自治域(AS)的邊緣路由器過濾數(shù)據(jù)包�,而身份與位置分離網(wǎng)絡體系將接入網(wǎng)與核心網(wǎng)分離,用戶處于接入網(wǎng)����,應在接入網(wǎng)邊緣路由器過濾數(shù)據(jù)包過濾。4) StopIt沒有存儲終端策略的功能�。當終端需要長時間維持在某一個策略狀態(tài)時,如拒絕或允許部分通信數(shù)據(jù)����,StopIt不能提供這種支持。
發(fā)明內容
本發(fā)明的目的是提供一種基于身份與位置分離映射機制的DoS攻擊防御方法����,減少網(wǎng)絡中惡意數(shù)據(jù)傳輸,當終端受到惡意攻擊時可以主動請求防御����,避免造成進一步的危害,且不影響終端其他通信連接����。為此,本發(fā)明提供了一種基于身份與位置分離映射機制的DoS攻擊防御方法����,其特征在于,在身份與位置分離映射系統(tǒng)的基礎上���,向xTR映射緩存中的映射信息加入額外的通信狀態(tài)標志���,表示終端通信意愿,包括允許所有連接�����、允許部分連接�、拒絕部分連接���、拒絕所有連接等;代理服務器使通信狀態(tài)標志與身份與位置分離網(wǎng)絡體系的映射系統(tǒng)結合�, 將通信狀態(tài)等安全參數(shù)內嵌于映射系統(tǒng)的映射信息中,該xTR映射緩存中映射信息的通信狀態(tài)標志通過詢問代理服務器得到�,該代理服務器通過詢問其管理范圍內的終端,收集��、維護終端的通信狀態(tài)���,并應答xTR的通信狀態(tài)查詢�����;當終端發(fā)現(xiàn)受到惡意攻擊時����,發(fā)送過濾請求�,要求阻止攻擊數(shù)據(jù)流傳輸;當終端設置通信狀態(tài)為允許部分連接通信狀態(tài)時���,發(fā)送端需要發(fā)送連接數(shù)據(jù)包����,完成連接建立的過程。優(yōu)選地�,所述要求阻止攻擊數(shù)據(jù)流傳輸?shù)倪^程,包括下列步驟1)A向B連續(xù)發(fā)送數(shù)據(jù)流Pb����,Pb按照身份與位置分離網(wǎng)絡體系中終端間 通信過程到達B���,終端B根據(jù)數(shù)據(jù)流Pb判斷終端A在發(fā)起攻擊或其他惡意行為����,B需要阻止來自A的數(shù)據(jù)�����。B向XTR2發(fā)送過濾請求報文Fkeq��。過濾請求報文Fkeq中包含過濾目標EIDa,過濾時間 Tb��,過濾請求源B的通信狀態(tài)和通信狀態(tài)有效期Ts等信息�����;2) XTR2驗證過濾請求報文Fkeq的真實性��,添加認證信息MACkp供代理服務器PS2驗證。XTR2然后向代理服務器PS2轉發(fā)Fkeq ����; 3) PS2驗證Fkeq中的認證信息MACKP。驗證成功后PS2儲存終端B的通信狀態(tài)���,通信狀態(tài)有效期Ts���,過濾目標地址EIDa,過濾時間Tb等信息。PS2根據(jù)過濾請求報文Fkeq中的過濾目標EIDa,向過濾目標EIDa所在管理范圍的代理服務器PS1發(fā)送過濾執(zhí)行報文FDQ�����,過濾執(zhí)行報文Fdq包括過濾請求源EIDb���,B的通信狀態(tài)����,過濾目標EIDa,過濾時間Tb ��;4)代理服務器PS1驗證Fiw的真實性����,添加認證信息MACpk供XTR1驗證��,轉發(fā)過濾執(zhí)行報文Fdq到XTR1 �;5) XTR1驗證Fd����。中的認證信息MACPK。驗證成功后XTR1根據(jù)過濾源EIDB����,將通信狀態(tài)標志Fi Iter加入到映射緩存的EIDfto-RLOC2條目中(即映射信息變?yōu)?EIDB-to-RLOC2-Filter��,其中通信狀態(tài)標志Filter包含B的通信狀態(tài)�����,過濾目標EIDa和過濾時間Tb等信息)����。XTR1向終端A轉發(fā)Fm,告之發(fā)送到終端B的數(shù)據(jù)包進入過濾機制�,在過濾時間Tb內的向B發(fā)送的數(shù)據(jù)包都將被丟棄;至此終端B完成對終端A惡意攻擊數(shù)據(jù)包的過濾設置��,Tb時間內終端A向終端B 發(fā)送的數(shù)據(jù)包到達XTR1時���,XTR1查詢映射緩存或代理服務器得知終端B要求過濾終端A發(fā)送到終端B的數(shù)據(jù)包�,XTR1丟棄源為EIDa目的地為EIDb的數(shù)據(jù)包。優(yōu)選地���,所述完成連接建立的過程的步驟包括1)終端A向B發(fā)送數(shù)據(jù)包Pf �����;2) XTR1查詢映射緩存中是否存在EIDfto-RLOC2映射信息��,若沒有則向映射服務器MS1查詢����;
3)映射服務器MS1向XTR1返回EIDb的映射信息����;^xTR1向?5工發(fā)送連接詢問報文Lkq����,詢問本次連接是否被允許。連接詢問報文包括連接請求源EIDa,連接目的EIDb等信息�����;5)PS1驗證連接詢問報文Lkq的真實性。PS1向終端B所在管理范圍的代理服務器 PS2轉發(fā)連接詢問報文Lkq; 6) PS2查詢存儲的EIDb的通信狀態(tài)����,連接請求源EIDa是否被拒絕連接。若EIDa被拒絕�,則返回連接回復報文Lkp到PS1,轉到11)���;否則���,PS2向連接詢問報文Lkq添加MACpk���,以便XTR2驗證��,并向B轉發(fā)連接詢問報文Lkq ����;7) XTR2驗證Lkq中的認證信息MACpk,�����,向Lkq中添加認證信息MACke供終端驗證,并轉發(fā)連接詢問報文Lkq到終端B ����;8)終端B驗證Lkq中的認證信息MACke ;根據(jù)連接請求源EIDa和終端B的網(wǎng)絡狀態(tài)��,返回連接回復報文Lkp �����;狀態(tài)應答報文包含B的通信狀態(tài)�,通信狀態(tài)有效期Ts,是否允許終端A的連接請求等信息���;9)XTR2驗證連接回復報文LKP����,向Lkp添加認證信息MACkp,�,并向PS2轉發(fā)連接回復 艮文Lep ;10) PS2驗證Lkp中的認證信息MACkp,�,儲存終端B的通信狀態(tài),通信狀態(tài)有效期Ts�����, 是否允許終端A的連接請求等信息;PS2發(fā)送連接回復報文Lkp到PS1 �;IDPS1驗證Lkp的真實性,添加認證信息MACpk到連接回復報文Lkp并轉發(fā)給XTR1 ��;12) XTR1驗證Lkp的認證信息MACPK����,確認連接回復報文Lkp的真實性;將終端B的通信狀態(tài)信息���、是否允許終端A的連接請求等信息存儲到映射緩存中對應的EIDB-to-RL0CJ^ 射條目中���;XTR1根據(jù)B是否允許終端A的連接請求等信息判斷是否處理并轉發(fā)數(shù)據(jù)包Pf ;13) XTR2處理數(shù)據(jù)包Pf包頭并轉發(fā)到終端B��。xTR2向映射緩存中的EIDfto-RLOC1 條目加入終端A的默認通信狀態(tài)允許EIDb與EIDa的通信����,允許xTR2轉發(fā)B向A發(fā)送的數(shù)據(jù)����。優(yōu)選地,通信狀態(tài)標志包含終端通信狀態(tài)�、通信狀態(tài)有效期Ts���、允許或拒絕的終端標識EID、過濾時間Tb等其他信息��。優(yōu)選地���,允許部分連接狀態(tài)和拒絕部分連接狀態(tài)互不排斥��,可同時存在���,未允許和拒絕的連接可以發(fā)起連接請求;允許所有連接是終端默認的連接狀態(tài)�;在允許部分連接狀態(tài),被允許的終端可以與其直接建立連接��,其他未被允許的終端發(fā)起連接時需要詢問代理服務器連接是否被允許����,代理服務器返回被請求終端對該連接請求的決定;在拒絕部分連接狀態(tài)��,只需要阻止部分指定終端的連接請求��,其他未被指定終端的連接可以直接建立�,不受影響�,拒絕部分連接狀態(tài)可以拒絕某個終端的連接請求�,也可以拒絕某個接入網(wǎng)內所有終端的連接請求;在拒絕所有連接狀態(tài)��,終端只接受所在接入網(wǎng)內其他終端的連接請求����,不接受其他接入網(wǎng)的終端連接請求,當終端可以與其他接入網(wǎng)終端通信時�,需要修改拒絕所有連接狀態(tài)為其他通信狀態(tài)。優(yōu)選地�����,代理服務器工作在控制平面�,管理接入網(wǎng)中終端的通信狀態(tài)標志,管理范圍是通過xTR與其相連的接入網(wǎng)��;所有代理服務器組成一個專用網(wǎng)絡�����,代理服務器之間可以通過隧道或者其他專用鏈路通信�;代理服務器之間可以完成密鑰協(xié)商與分配�,數(shù)據(jù)交換�、 轉發(fā)與認證等功能��;代理服務器與管理范圍內xTR可以完成密鑰協(xié)商與分配�����,數(shù)據(jù)交換����、轉發(fā)與認證等功能;MACkp是由xTR和代理服務器協(xié)商的密鑰生成的消息認證碼�����,可以完成消息從xTR到代理服務器的完整性驗證����;MACpk是由代理服務器和xTR協(xié)商的密鑰生成的消息認證碼,可以完成消息從代理服務器到xTR的完整性驗證��。 優(yōu)選地���,終端可以不定期的向代理服務器發(fā)送狀態(tài)通告報文指定其通信狀態(tài)���;為了避免攻擊���,xTR可以限制通信狀態(tài)通告報文的速率;代理服務器收集�����、儲存管理范圍內終端的通信狀態(tài)�,終端通信狀態(tài)快過期時,代理服務器主動向終端發(fā)送狀態(tài)查詢報文以便更新通信狀態(tài)�����;一般情況下通信狀態(tài)有效期Ts和過濾時間Tb大于映射信息在xTR的映射緩存的有效期TTL����,因而通信狀態(tài)有效期Ts和過濾時間Tb不影響xTR中映射緩存的映射條目數(shù)。優(yōu)選地�,代理服務器的邏輯功能可以集成到映射服務器上,只需要在映射服務器中對應EID的映射信息條目中加入通信狀態(tài)標志Filter就可以表示該終端的通信狀態(tài)����;終端通信狀態(tài)隨對應映射信息存儲、傳輸和更新而不影響映射系統(tǒng)的基本功能�。優(yōu)選地,連接回復報文可以不經(jīng)過代理服務器組成的專用轉發(fā),可以通過XTR2和核心網(wǎng)中間路由器的路由傳輸?shù)桨l(fā)送端的XTR1, XTR1根據(jù)連接回復報文的信息設置對應終端的通信狀態(tài)標志����。優(yōu)選地���,代理服務器的部署方式可以是分布式的��,也可以是集中式的��,或者其他形式���;代理服務器之間、代理服務器與xTR之間���、xTR與終端之間的消息真實性驗證方法可以使用數(shù)字簽名�,消息認證碼MAC等方法�����;代理服務器的邏輯功能可以集成到映射服務器中�����, 由映射服務器同時完成通信狀態(tài)查詢應答和映射信息查詢應答的雙重功能而互不影響。根據(jù)本發(fā)明�,基于身份與位置分離的映射機制,設計了可以與身份與位置分離網(wǎng)絡體系的映射系統(tǒng)有效結合的DoS攻擊防御方法�,賦予接收端主動阻止惡意攻擊和主動拒絕通信連接的能力。根據(jù)本發(fā)明�,使得身份與位置分離網(wǎng)絡體系的終端不再像傳統(tǒng)網(wǎng)絡被動的接收數(shù)據(jù),被攻擊時無能為力�。根據(jù)本發(fā)明,賦予了身份與位置分離網(wǎng)絡體系中終端額外的能力��,可以使終端參與到攻擊防御中�����,幫助網(wǎng)絡服務提供商(Internet Service Provider, ISP)改善網(wǎng)絡環(huán)境���, 終端受到惡意攻擊時可以主動發(fā)送請求���,過濾惡意數(shù)據(jù)包,避免受到進一步的危害����,且不影響終端其他通信連接。根據(jù)本發(fā)明�,終端不能偽造其他接入網(wǎng)內終端地址,在身份與位置分離網(wǎng)絡體系中,為終端提供了一種主動的DoS攻擊防御方法�����,使終端有能力允許或拒絕建立通信連接請求���;使終端在受到惡意攻擊時,有能力阻止惡意攻擊數(shù)據(jù)流而不影響終端其他的數(shù)據(jù)通信�,保障終端網(wǎng)絡通信服務的正常運行。根據(jù)本發(fā)明����,基于身份與位置分離網(wǎng)絡體系,在身份與位置分離的映射信息中加入額外的控制信息�����,為終端提供輔助管理其映射信息的能力�,使終端受到攻擊時可以很容易的阻止惡意信息,并且終端可以根據(jù)網(wǎng)絡情況或終端的策略����,允許或拒絕其他終端的連接請求。根據(jù)本發(fā)明�����,內嵌于身份與位置分離網(wǎng)絡體系的映射機制的DoS攻擊防御方法, 可以與映射系統(tǒng)有效結合���,共同完成映射解析和DoS攻擊防御的功能�。在本發(fā)明中�����,終端可以依據(jù)網(wǎng)絡狀況改變其通信狀態(tài)�,不定期的向代理服務器通告其通信狀態(tài),防止自己受到惡意攻擊�����。終端通過設置通信狀態(tài)標志Filter���,可以允許或拒絕某個連接請求����;受到攻擊時可以準確地阻止從惡意節(jié)點來的數(shù)據(jù)����。本發(fā)明在身份與位置分離網(wǎng)絡體系中授權終端用戶管理其連接的能力�,及時阻止惡意數(shù)據(jù)流入網(wǎng)絡����,保障網(wǎng)絡安全環(huán)境。
圖1是根據(jù)現(xiàn)有技術的身份與位置分離網(wǎng)絡體系拓撲示意圖�。圖2是根據(jù)本發(fā)明的報文交換流程圖。圖3是根據(jù)本發(fā)明的實例的操作過程示意圖�����。
具體實施例方式近年來�����,互聯(lián)網(wǎng)用戶數(shù)目變得空前龐大�����。各種業(yè)務在互聯(lián)網(wǎng)上開展����,包括移動性��、 多家鄉(xiāng)�����、流量工程(Traffic Engineering)等,使全球路由表的規(guī)模發(fā)生巨大增長和不穩(wěn)定抖動�����?����;ヂ?lián)網(wǎng)架構委員會(Internet Architecture Board, IAB)透露����,互聯(lián)網(wǎng)路由系統(tǒng)面臨嚴重的可擴展性問題。隨著IPv4地址的耗盡和IPv6的逐步應用�����,IPv6巨大的地址空間將可能超過路由表的處理能力�,影響互聯(lián)網(wǎng)的正常運行。因此�����,IAB委托互聯(lián)網(wǎng)研究專門工作組(Internet Research Task Force, I RTF) 的路由研究組(Routing Research Group, RRG)設計一個新的網(wǎng)絡體系解決路由可擴展性問題�。當前研究人員提出了多種網(wǎng)絡體系方案解決路由可擴展性問題���。傳統(tǒng)網(wǎng)絡中IP地址同時具有位置屬性和身份屬性,這種語義過載限制了網(wǎng)絡的靈活性�。在當前提出的多種網(wǎng)絡體系方案中,大多數(shù)方案都采用身份與位置分離的思想���,設計兩種不同類型的地址身份標識(Identifiers)表示身份屬性���,和位置標識(Locators) 表示位置屬性。身份標識用來表示一個終端���,位置標識用來表示終端連接到網(wǎng)絡中的拓撲位置�。身份標識可以完成數(shù)據(jù)包在接入網(wǎng)中的路由���,不隨終端位置變化而改變;位置標識完成數(shù)據(jù)包在核心網(wǎng)的尋路功能���,隨終端移動而改變���。由于身份標識與位置標識分別應用在接入網(wǎng)和核心網(wǎng),需要一個映射系統(tǒng)將身份標識與位置標識對應起來����。采用這種身份與位置分離思想的網(wǎng)絡體系方案主要有LISP����,GLI-Split��,Six/One, Ivip�����,一體化標識網(wǎng)絡等�����。身份與位置分離網(wǎng)絡體系方案的兩個地址類型終端標識(Endpoint Identifier, EID):表示終端身份屬性的身份標識�,不隨終端移動而改變;以及路由標識 (Routing Locator, RL0C)表示終端位置屬性的位置標識��,隨終端移動而改變����。EID與RLOC的映射關系可以是一對多,多對一���,多對多����。 身份與位置分離體系方案主要功能模塊有映射系統(tǒng)(Mapping System),由映射服務器(Mapping Server, MS)組成��,完成身份標識與位置標識的映射存儲����、查詢和應答;以及出/入口隧道路由器(Egress/Ingress Tunnel Router��,xTR)�,連接接入網(wǎng)與核心網(wǎng),負責終端標識與路由標識映射信息的查詢���,數(shù)據(jù)包頭操作(包括映射封裝(Map & Encap)或地址替換等)和數(shù)據(jù)包的轉發(fā)��。xTR的映射緩存(Mapping Cache)存儲本地接入終端的映射信息和部分通信對端的映射信息��。如圖1,身份與位置分離網(wǎng)絡體系中終端間通信過程如下步驟1 :A發(fā)送源和目的地址分別為EIDa和EIDb的數(shù)據(jù)包����,數(shù)據(jù)包在發(fā)送端接入網(wǎng)使用EID尋路轉發(fā)。
步驟2 數(shù)據(jù)包到達出/入口路由器XTR115 XTR1保存了 EIDfto-RLOC1的映射信息����, XTR1查詢映射緩存是否保存對應EIDfto-RLOC2的映射信息���,若沒有則向映射服務器MS1詢問EIDb對應的映射信息。步驟3 映射服務器MS1在映射系統(tǒng)中查詢EIDb的映射信息�����,向XTR1返回對應 EIDfto-RLOC2的映射信息���,XTR1將EIDB-to_RL0C2的映射信息保存到映射緩存中����。步驟4 =XTR1對數(shù)據(jù)包進行數(shù)據(jù)包頭操作(映射封裝或地址替換等)�����,數(shù)據(jù)包源和目的地址變?yōu)镽LOC1和RL0C2�����。然后XTR1向核心網(wǎng)轉發(fā)處理后的數(shù)據(jù)包���。步驟5 數(shù)據(jù)包使用路由地址RLOC尋路到達xTR2��。xTR2保存了 EIDB-to_RL0C2的映射信息�,XTR2查詢映射緩存是否存儲EIDfto-RLOC1的映射信息,若沒有則詢問映射服務器 MS2��。步驟6 映射服務器MS2映射系統(tǒng)中查詢EIDa的映射信息�����,向xTR2返回 EIDfto-RLOC1的映射信息�����,XTR2將其保存在映射緩存中���。步驟7 =XTR2進行數(shù)據(jù)包頭逆操作(映射解封裝或地址逆替換)�,數(shù)據(jù)包源和目的地址變?yōu)镋IDa和EIDB����,然后,XTR2向B轉發(fā)數(shù)據(jù)包�。身份與位置分離網(wǎng)絡體系方案中的接入網(wǎng)與核心網(wǎng)分別采用兩種獨立的名字空間���,終端標識和路由標識��。終端標識只在接入網(wǎng)內完成數(shù)據(jù)包尋路轉發(fā)��,接入網(wǎng)絡內拓撲變化只影響接入網(wǎng)絡內的路由表信息�����;路由標識只在核心網(wǎng)內完成數(shù)據(jù)包尋路轉發(fā)�,核心網(wǎng)拓撲變化只影響核心網(wǎng)絡內的路由表信息。映射系統(tǒng)將接入網(wǎng)的終端標識和核心網(wǎng)的路由標識對應起來����,它負責收集、存儲和更新終端標識與路由標識的映射關系���。映射服務器接收映射查詢報文���,返回映射應答報文。本發(fā)明是在身份與位置分離的映射系統(tǒng)基礎上�����,向xTR映射緩存中的映射信息加入額外的通信狀態(tài)標志����,表示終端對連接采取的態(tài)度����。 xTR映射緩存中映射條目的通信狀態(tài)標志可以詢問代理服務器得到��。代理服務器(Proxy Server)通過詢問其管理范圍內終端��,收集��、維護終端的通信狀態(tài)����,并應答xTR的通信狀態(tài)查詢。通信狀態(tài)標志(Filter)通信狀態(tài)標志可與映射信息對應�,是由終端指定的通信狀態(tài),表示其對通信連接的態(tài)度�����。通信狀態(tài)標志包含終端通信狀態(tài)�、通信狀態(tài)有效期Ts、允許或拒絕的終端標識 EID���、過濾時間Tb等其他信息���。終端通信狀態(tài)包括允許所有連接�����、允許部分連接、拒絕部分連接����、拒絕所有連接等。其中����,允許部分連接狀態(tài)和拒絕部分連接狀態(tài)互不排斥,可同時存在�����,未允許或拒絕的連接可以發(fā)起連接請求�����。 1)允許所有連接���,該狀態(tài)表示終端當前允許所有請求的連接���,是終端默認的連接狀態(tài)����,終端未特別指定其通信狀態(tài)時默認此狀態(tài)���。2)允許部分連接���,該狀態(tài)是終端指定的一種允許部分終端連接請求的通信狀態(tài)。 終端的通信狀態(tài)標志設置為此狀態(tài)時��,被允許的終端可以與其直接建立連接����,其他未被允許的終端發(fā)起連接時需要詢問代理服務器連接是否被允許,代理服務器返回被請求終端對該連接請求的決定��。3)拒絕部分連接���,該狀態(tài)是終端指定的一種拒絕部分終端連接請求的通信狀態(tài)����。這種狀態(tài)只阻止部分指定終 端的連接請求���,其他未被指定終端的連接可以直接建立����,不受影響。拒絕部分連接狀態(tài)可以拒絕某個終端的連接請求���,也可以拒絕某個接入網(wǎng)內所有終端的連接請求。4)拒絕所有連接��,該狀態(tài)是終端拒絕非所在接入網(wǎng)連接請求的通信狀態(tài)�����。終端指定這種狀態(tài)時���,終端只接受所在接入網(wǎng)內其他終端的連接請求���,不接受其他接入網(wǎng)的終端連接請求。當終端與其他接入網(wǎng)終端通信時��,需要修改拒絕所有連接狀態(tài)為其他通信狀態(tài)��。本發(fā)明中引入的代理服務器(Proxy Server)工作在控制平面����,管理接入網(wǎng)中終端的通信狀態(tài)標志����,管理范圍是通過xTR與其相連的接入網(wǎng)�。所有代理服務器組成一個專用網(wǎng)絡,代理服務器之間可以通過隧道或者其他鏈路
通{曰����。代理服務器之間可以完成密鑰協(xié)商與分配,數(shù)據(jù)交換��、轉發(fā)與認證等功能����;代理服務器與管理范圍內xTR可以完成密鑰協(xié)商與分配,數(shù)據(jù)交換與認證等功能���。MACkp是由xTR和代理服務器協(xié)商的密鑰生成的消息認證碼���,可以完成消息從xTR 到代理服務器的完整性驗證;MACpk是由代理服務器和xTR協(xié)商的密鑰生成的消息認證碼���, 可以完成消息從代理服務器到xTR的完整性驗證�。如圖2所示,本發(fā)明的身份與位置分離網(wǎng)絡體系下的終端B主動阻止終端A攻擊的流程如下步驟1-7 :A向B連續(xù)發(fā)送數(shù)據(jù)流Pb�����,Pb按照身份與位置分離網(wǎng)絡體系中終端間通信過程到達B�����。步驟8 終端B根據(jù)數(shù)據(jù)流Pb判斷終端A在發(fā)起攻擊或其他惡意行為���,B需要阻止來自A的數(shù)據(jù)。B向XTR2發(fā)送過濾請求報文Fkeq��。過濾請求報文Fkeq中包含過濾目標EIDa, 過濾時間Tb�����,過濾請求源B的通信狀態(tài)和通信狀態(tài)有效期Ts等信息��。步驟9 =XTR2驗證過濾請求報文Fkeq的真實性�,添加認證信息MACkp供代理服務器 PS2驗證。XTR2然后向代理服務器PS2轉發(fā)Fkeq�。步驟10 =PS2驗證Fkeq中的認證信息MACKP。驗證成功后PS2儲存終端B的通信狀態(tài)信息���,通信狀態(tài)有效期Ts��,過濾目標地址EIDa,過濾時間Tb等信息����。PS2根據(jù)過濾請求報文 Feeq中的過濾目標EIDa,向過濾目標EIDa所在管理范圍的代理服務器PS1發(fā)送過濾執(zhí)行報文 Fdo,過濾執(zhí)行報文Fdq包括過濾請求源EIDb�����,B的通信狀態(tài)����,過濾目標EIDa,過濾時間Tb。步驟11 代理服務器PS1驗證Fdq的真實性��,添加認證信息MACpk供XTR1驗證�,轉發(fā)過濾執(zhí)行報文Fm到XTR1。步驟12 =XTR1驗證Fm中的認證信息MACra。驗證成功后XTR1根據(jù)過濾源EIDB�, 將通信狀態(tài)標志Fi 1 ter加入到映射緩存的EIDfto-RLOC2條目中(即映射信息變?yōu)?EIDB-to-RLOC2-Filter�����,其中通信狀態(tài)標志Filter包含B的通信狀態(tài)���,過濾目標EIDa和過濾時間Tb等信息)。XTR1向終端A轉發(fā)Fm,告之發(fā)送到終端B的數(shù)據(jù)包進入過濾機制����,在過濾時間Tb內的向B發(fā)送的數(shù)據(jù)包都將被丟棄�����。至此終端B完成對終端A惡意攻擊數(shù)據(jù)包的過濾設置�����。Tb時間內終端A向終端B 發(fā)送的數(shù)據(jù)包到達XTR1時,XTR1查詢映射緩存或代理服務器得知終端B要求過濾終端A發(fā)送到終端B的數(shù)據(jù)包,XTR1丟棄源為EIDa目的地為EIDb的數(shù)據(jù)包。
當終端B通信狀態(tài)設置為允許部分連接狀態(tài)時�,未被允許的終端需要通過請求����, 被允許后才能建立連接�����。A與B的通信連接建立的過程如下步驟13 終端A向B發(fā)送數(shù)據(jù)包Pf�����。步驟14 = XTR1查詢映射緩存中是否存在EIDfto-RLOC2映射信息�����,若沒有則向映射服務器MS1查詢。步驟15 映射服務器MS1向XTR1返回EIDb的映射信息���。步驟16 =XTR1向PS1發(fā)送連接詢問報文Lkq,詢問本次連接是否被允許。連接詢問報文包括連接請求源EIDa,連接目的EIDb等信息���。步驟17 =PS1驗證連接詢問報文Lkq的真實性��。PS1向終端B所在管理范圍的代理服務器PS2轉發(fā)連接詢問報文Lkq����。步驟18 =PS2查詢存儲的EIDb的通信狀態(tài),連接請求源EIDa是否在拒絕連接列表內��。若EIDa仍被拒絕�,則返回連接回復報文Lkp到PS1�,轉到步驟23。否則PS2向連接詢問報文Lkq添加MACpk,以便XTR2驗證��,并向B轉發(fā)連接詢問報文LKQ���。步驟19 =XTR2驗證Lkq中的認證信息MACpk,��,向Lkq中添加認證信息MACke供終端驗證��,并轉發(fā)連接詢問報文Lkq到終端B。 步驟20 終端B驗證Lkq中的認證信息MACke��。根據(jù)連接請求源EIDa和終端B的網(wǎng)絡狀態(tài),返回連接回復報文LKP��。狀態(tài)應答報文包含B的通信狀態(tài),通信狀態(tài)有效期Ts��,是否允許終端A的連接請求等信息�����。步驟21 =XTR2驗證連接回復報文LKP�,向Lkp添加認證信息MACKP,,并向PS2轉發(fā)連接回復報文LKP��。步驟22 =PS2驗證Lkp中的認證信息MACKP��,��,驗證正確時儲存終端B的通信狀態(tài),通信狀態(tài)有效期Ts�,是否允許終端A的連接請求等信息。PS2發(fā)送連接回復報文Lkp到PS115步驟23 =PS1驗證Lkp的真實性�����,添加認證信息MACpk到連接回復報文Lkp并轉發(fā)給 XTR1��。步驟24 =XTR1驗證Lkp的認證信息MACPK�,確認連接回復報文Lkp的真實性���。將終端B的通信狀態(tài)信息��、是否允許終端A的連接請求等信息存儲到映射緩存中對應的 EIDfto-RLOC2條目中��。XTR1根據(jù)B是否允許終端A的連接請求等信息判斷是否處理并轉發(fā)數(shù)據(jù)包Pf。步驟25:xTR2處理數(shù)據(jù)包Pf包頭并轉發(fā)到終端B���。xTR2向映射緩存中的 EIDfto-RLOC1條目加入終端A的默認通信狀態(tài)允許EIDb與EIDa的通信,允許xTR2轉發(fā)B 向A發(fā)送的數(shù)據(jù)��。終端可以不定期的向代理服務器發(fā)送狀態(tài)通告報文指定其通信狀態(tài)。為了避免攻擊��,xTR可以限制通信狀態(tài)通告報文的速率����。代理服務器收集、儲存管理范圍內終端的通信狀態(tài)���,終端通信狀態(tài)快到期時��,代理服務器主動向終端發(fā)送狀態(tài)查詢報文以便更新通信狀態(tài)���。需要指出的是�����,一般情況下通信狀態(tài)有效期Ts和過濾時間Tb大于映射信息在xTR的映射緩存的有效期TTL����。代理服務器是一個邏輯功能模塊���,代理服務器的邏輯功能可以集成到映射服務器上���,這樣只需要在映射服務器中對應EID的映射信息條目中加入通信狀態(tài)標志Filter就可以表示該終端的通信狀態(tài)。終端通信狀態(tài)隨對應映射信息存儲����、傳輸和更新而不影響映射系統(tǒng)的基本功能,減少消息交互數(shù)量��,降低通信延遲����。 特別是���,步驟21-23的連接回復報文可以不經(jīng)過代理服務器組成的專用網(wǎng)絡轉發(fā),可以通過XTR2和核心網(wǎng)中間路由器的路由傳輸?shù)桨l(fā)送端的XTR1, XTR1根據(jù)連接回復報文的信息設置對應終端的通信狀態(tài)標志�����。特別是�����,代理服務器的部署方式可以是分布式的���,也可以是集中式的���,或者其他形式。代理服務器間組成的專用網(wǎng)絡可以快速通信���,其專用網(wǎng)絡的數(shù)據(jù)處理和傳輸速度較快, 不是終端間通信延遲的主要原因�����。特別是�,代理服務器之間���、代理服務器與XTR之間、xTR與終端之間的控制信息真實性驗證方法可以使用數(shù)字簽名����,消息認證碼MAC等驗證方法。特別是�����,代理服務器的邏輯功能集成到映射服務器中���,安全傳輸方法與映射系統(tǒng)有效結合���,共同完成數(shù)據(jù)通信狀態(tài)查詢應答和映射信息查詢應答的雙重功能而互不影響, 且這樣可以減少控制消息量�,降低開銷。根據(jù)本發(fā)明��,終端設置通信狀態(tài)表示終端通信意愿的方法���,包括允許所有連接��,允許部分連接��,拒絕部分連接�,拒絕所有連接等通信狀態(tài)。根據(jù)本發(fā)明�,引入代理服務器的邏輯功能,使通信狀態(tài)標志與身份與位置分離網(wǎng)絡體系的映射系統(tǒng)結合�����,將通信狀態(tài)等安全參數(shù)內嵌于映射系統(tǒng)的映射信息中��。根據(jù)本發(fā)明���,身份與位置分離網(wǎng)絡體系下終端發(fā)現(xiàn)受到惡意攻擊時�,發(fā)送過濾請求���,要求阻止攻擊數(shù)據(jù)流信息的傳輸過程���,包括步驟8-12。根據(jù)本發(fā)明�,終端設置通信狀態(tài)為允許部分連接通信狀態(tài)時�,發(fā)送端發(fā)送連接數(shù)據(jù)包,完成連接建立的過程�����,包括步驟13-25。如圖3�,終端A和終端B分別位于不同的接入網(wǎng)。映射服務器組成的映射系統(tǒng)構成一個專用網(wǎng)絡���。映射服務器中集成代理服務器邏輯功能�。xTR連接接入網(wǎng)與核心網(wǎng)�,完成映射查詢、數(shù)據(jù)過濾�、數(shù)據(jù)包頭操作(映射封裝(Map & Encap)或地址替換)、數(shù)據(jù)包路由轉發(fā)等功能��。當終端A與終端B的連接已經(jīng)建立�,終端B發(fā)現(xiàn)終端A在進行惡意攻擊行為,需要對A的數(shù)據(jù)進行過濾����,請求過濾過程如下步驟1 終端B發(fā)送過濾請求數(shù)據(jù)包Fkeq。步驟2 =XTR2驗證Fkeq的真實性�,添加認證信息MACkp供代理服務器PS2驗證,然后轉發(fā)過濾數(shù)據(jù)包Fkeq到映射服務器MS2��。步驟3 映射服務器MS2驗證認證信息MACkp,確認Fkeq的真實性。在映射數(shù)據(jù)庫的 EIDfto-RLOC2映射條目中加入B的通信狀態(tài)標志Filter��,向MS1發(fā)送過濾執(zhí)行數(shù)據(jù)包FDQ�����。步驟4 =MS1驗證過濾執(zhí)行數(shù)據(jù)包Fdq的真實性����,添加認證信息MACpk供XTR1驗證, 然后轉發(fā)Fdq到XTR1���。步驟5 =XTR1驗證認證信息MACpk,確認過濾執(zhí)行數(shù)據(jù)包Fm的真實性�����。XTR1更新映射緩存的對應映射信息終端EIDb的通信狀態(tài)標志���,轉發(fā)過濾執(zhí)行數(shù)據(jù)包Fm到終端A,告之發(fā)送到終端B通信的數(shù)據(jù)包被過濾��,過濾時間Tb���。至此終端B完成對終端A惡意攻擊數(shù)據(jù)包的過濾�,終端A向終端B發(fā)送的數(shù)據(jù)包到達XTR1時,XTR1查詢映射緩存得知終端B要求過濾終端A發(fā)送到終端B的數(shù)據(jù)包�����,XTR1 丟棄源為EIDa目的為EIDb的數(shù)據(jù)包��。
當終端B的通信狀態(tài)設置為允許部分通信時�,終端A主動與終端B的連接建立過程如下步驟6 終端A向B發(fā)送數(shù)據(jù)包�。步驟7 =XTR1緩存中沒有映射信息,向映射服務器MS1查詢EIDb的映射信息和通信狀態(tài)標志信息���,發(fā)送包含通信狀態(tài)查詢信息的映射查詢報文����。步驟8 =MS1驗證映射查詢報文的真實性��,向MS2轉發(fā)映射查詢報文��。步驟9 =MS2查詢映射數(shù)據(jù)庫����,若MS2映射數(shù)據(jù)庫沒有B的通信狀態(tài)標志是拒絕EIDa 與EIDb連接或拒絕信息已過期,則向終端B發(fā)送連接查詢報文����。若有����,則在映射應答報文中加入拒絕連接信息���,發(fā)送到XTR2���,轉到步驟12。步驟10 =XTR2轉發(fā)連接查詢報文到B����,B返回連接回復報文到MS2。步驟11 =MS2向MS1發(fā)送包含終端B連接回復信息的映射應答報文���。步驟12 =MS1驗證映射應答報文的真實性��,加入認證信息MACmk以便XTR1驗證���,轉發(fā)映射應答報文到XTR1。步驟13 =XTR1驗證嫩(^確認映射應答報文的真實性�����,將映射信息和連接回復信息儲存在映射緩存中。終端B若允許連接��,則完成數(shù)據(jù)包頭操作���,轉發(fā)數(shù)據(jù)包。否則丟棄源為 EIDa目的為EIDb的數(shù)據(jù)包�。步驟14 =XTR2完成數(shù)據(jù)包頭操作,轉發(fā)從A發(fā)送來的數(shù)據(jù)包到B��。至此終端A完成與終端B連接建立過程�。若終端A不是攻擊者,則通信可以一直正常進行��。
權利要求
1.一種基于身份與位置分離映射機制的DoS攻擊防御方法�,其特征在于,在身份與位置分離的映射系統(tǒng)基礎上�,向xTR映射緩存中的映射信息加入額外的通信狀態(tài)標志,表示終端通信意愿���,包括允許所有連接�、允許部分連接�、拒絕部分連接、拒絕所有連接����;代理服務器使通信狀態(tài)標志與身份與位置分離網(wǎng)絡體系的映射系統(tǒng)結合��,將通信狀態(tài)等安全參數(shù)內嵌于映射系統(tǒng)的映射信息中����,該xTR映射緩存中映射信息的通信狀態(tài)標志通過詢問代理服務器得到�����,該代理服務器通過詢問其管理范圍內的終端����,收集、維護終端的通信狀態(tài)�,并應答xTR的通信狀態(tài)查詢;當終端發(fā)現(xiàn)受到惡意攻擊時�����,發(fā)送過濾請求����,要求阻止攻擊數(shù)據(jù)流信息的傳輸過程;當終端設置通信狀態(tài)為允許部分連接通信狀態(tài)時�,發(fā)送端發(fā)送連接數(shù)據(jù)包�����,完成連接建立的過程�����。
2.如權利要求1所述的DoS攻擊防御方法����,其特征在于����,所述要求阻止攻擊數(shù)據(jù)流信息的傳輸過程���,包括下列步驟1)A向B連續(xù)發(fā)送數(shù)據(jù)流Pb�����,Pb按照身份與位置分離網(wǎng)絡體系中終端間通信過程到達 B,終端B根據(jù)數(shù)據(jù)流Pb判斷終端A在發(fā)起攻擊或其他惡意行為���,B需要阻止來自A的數(shù)據(jù); B向XTR2發(fā)送過濾請求報文Fkeq ���;過濾請求報文Fkeq中包含過濾目標EIDa,過濾時間Tb��,過濾請求源B的通信狀態(tài)和通信狀態(tài)有效期Ts等信息�;2)XTR2驗證過濾請求報文Fkeq的真實性,添加認證信息MACkp供代理服務器PS2驗證��, XTR2然后向代理服務器PS2轉發(fā)Fkeq ���;3)PS2驗證Fkeq中的認證信息MACkp,驗證成功后PS2儲存終端B的通信狀態(tài)信息����,通信狀態(tài)有效期Ts����,過濾目標地址EIDa,過濾時間Tb等信息�,PS2根據(jù)過濾請求報文Fkeq中的過濾目標EIDa,向過濾目標EIDa所在管理范圍的代理服務器PS1發(fā)送過濾執(zhí)行報文FDQ,過濾執(zhí)行報文Fdq包括過濾請求源EIDb�,B的通信狀態(tài),過濾目標EIDa,過濾時間Tb信息��;4)代理服務器PS1驗證Fiw的真實性�,添加認證信息MACpk供XTR1驗證,轉發(fā)過濾執(zhí)行報文Fdo到XTR1 ��;5)XTR1驗證Fim中的認證信息MACpk,驗證成功后XTR1根據(jù)過濾源EIDB,將通信狀態(tài)標志 Filter加入到映射緩存的EIDB-to-RL0C2條目中���,即映射信息變?yōu)镋IDB-to-RLOC2_Filter�, 其中通信狀態(tài)標志Filter包含B的通信狀態(tài)�,過濾目標EIDa和過濾時間Tb等信息;XTR1 向終端A轉發(fā)Fiw��,告之發(fā)送到終端B的數(shù)據(jù)包進入過濾機制�����,在過濾時間Tb內的向B發(fā)送的數(shù)據(jù)包都將被丟棄��;至此終端B完成對終端A惡意攻擊數(shù)據(jù)包的過濾設置��,Tb時間內終端A向終端B發(fā)送的數(shù)據(jù)包到達XTR1時�����,XTR1查詢映射緩存或代理服務器得知終端B要求過濾終端A發(fā)送到終端B的數(shù)據(jù)包���,XTR1丟棄源為EIDa目的地為EIDb的數(shù)據(jù)包。
3.如權利要求1所述的DoS攻擊防御方法��,其特征在于,所述完成連接建立的過程的步驟包括1)終端A向B發(fā)送數(shù)據(jù)包Pf;2)XTR1查詢映射緩存中是否存在EIDfto-RLOC2映射信息��,若沒有則向映射服務器MS1 查詢�����;3)映射服務器MS1向XTR1返回EIDb的映射信息�;4)XTR1向PS1發(fā)送連接詢問報文Lkq,詢問本次連接是否被允許��,連接詢問報文包括連接請求源EIDa,連接目的EIDb等信息���;5)PS1驗證連接詢問報文Lkq的真實性�����,PS1向終端B所在管理范圍的代理服務器PS2轉發(fā)連接詢問報文Lkq;6)PS2查詢存儲的EIDb的通信狀態(tài)���,連接請求源EIDa是否被拒絕連接,若EIDa被拒絕��, 則返回連接回復報文Lkp到PS1����,轉到11)����;否則���,PS2向連接詢問報文Lkq添加MACPK�,以便XTR2 驗證�����,并向B轉發(fā)連接詢問報文Lkq ����;7)XTR2驗證Lkq中的認證信息MACpk,,向Lkq中添加認證信息MACke供終端驗證,并轉發(fā)連接詢問報文Lkq到終端B;8)終端B驗證Lkq中的認證信息MACke����;根據(jù)連接請求源EIDa和終端B的網(wǎng)絡狀態(tài)�����,返回連接回復報文Lkp ��;狀態(tài)應答報文包含B的通信狀態(tài),通信狀態(tài)有效期Ts����,是否允許終端A 的連接請求等信息;9)XTR2驗證連接回復報文LKP����,向Lkp添加認證信息MACKP,����,并向PS2轉發(fā)連接回復報文τ .ijEP ’10)PS2驗證Lkp中的認證信息MACKP,�,儲存終端B的通信狀態(tài),通信狀態(tài)有效期Ts����,是否允許終端A的連接請求等信息;PS2發(fā)送連接回復報文Lkp到PS1 ���;IDPS1驗證Lkp的真實性�����,添加認證信息MACpk到連接回復報文Lkp并轉發(fā)給XTR1 ���;12)XTR1驗證Lkp的認證信息MACpk,確認連接回復報文Lkp的真實性���;將終端B的通信狀態(tài)信息、是否允許終端A的連接請求等信息存儲到映射緩存中對應的EIDfto-RLOC2映射條目中�;XTR1根據(jù)B是否允許終端A的連接請求等信息判斷是否處理并轉發(fā)數(shù)據(jù)包Pf ;13)XTR2處理數(shù)據(jù)包Pf包頭并轉發(fā)到終端B�,XTR2向映射緩存中的EIDfto-RLOC1條目加入終端A的默認通信狀態(tài)允許EIDb與EIDa的通信,允許xTR2轉發(fā)B向A發(fā)送的數(shù)據(jù)����。
4.如權利要求1所述的DoS攻擊防御方法,其特征在于����,通信狀態(tài)標志包含終端通信狀態(tài)、通信狀態(tài)有效期Ts�����、允許或拒絕的終端標識EID����、過濾時間Tb等其他信息����。
5.如權利要求1所述的DoS攻擊防御方法�,其特征在于�,允許部分連接狀態(tài)和拒絕部分連接狀態(tài)互不排斥,可同時存在�,未允許或拒絕的連接可以發(fā)起連接請求;允許所有連接是終端默認的連接狀態(tài)�����;在允許部分連接狀態(tài)�,被允許的終端可以與其直接建立連接,其他未被允許的終端發(fā)起連接時需要詢問代理服務器連接是否被允許����,代理服務器返回被請求終端對該連接請求的決定;在拒絕部分連接狀態(tài)�,只需要阻止部分指定終端的連接請求,其他未被指定終端的連接可以直接建立����,不受影響,拒絕部分連接狀態(tài)可以拒絕某個終端的連接請求��,也可以拒絕某個接入網(wǎng)內所有終端的連接請求����;在拒絕所有連接狀態(tài)�����,終端只接受所在接入網(wǎng)內其他終端的連接請求��,不接受其他接入網(wǎng)的終端連接請求�,當終端可以與其他接入網(wǎng)終端通信時�,需要修改拒絕所有連接狀態(tài)為其他通信狀態(tài)。
6.如權利要求1所述的DoS攻擊防御方法�����,其特征在于�����,代理服務器工作在控制平面��,管理接入網(wǎng)中終端的通信狀態(tài)標志����,管理范圍是通過xTR與其相連的接入網(wǎng);所有代理服務器組成一個專用網(wǎng)絡����,代理服務器之間可以通過隧道或者其他鏈路通信;代理服務器之間可以完成密鑰協(xié)商與分配����,數(shù)據(jù)交換、轉發(fā)與認證等功能��; 代理服務器與管理范圍內xTR可以完成密鑰協(xié)商與分配��,數(shù)據(jù)交換與認證等功能�; MACkp是由xTR和代理服務器協(xié)商的密鑰生成的消息認證碼,可以完成消息從xTR到代理服務器的完整性驗證��;MACpk是由代理服務器和xTR協(xié)商的密鑰生成的消息認證碼���,可以完成消息從代理服務器到xTR的完整性驗證���。
7.如權利要求1所述的DoS攻擊防御方法,其特征在于�����,終端可以不定期的向代理服務器發(fā)送狀態(tài)通告報文指定其通信狀態(tài)���; 為了避免攻擊�����,xTR限制通信狀態(tài)通告報文的速率��;代理服務器收集�����、儲存管理范圍內終端的通信狀態(tài)����,終端通信狀態(tài)快到期時,代理服務器主動向終端發(fā)送狀態(tài)查詢報文以便更新通信狀態(tài)����;一般情況下通信狀態(tài)有效期Ts和過濾時間Tb大于映射信息在xTR的映射緩存的有效期 TTL。
8.如權利要求1所述的DoS攻擊防御方法�����,其特征在于�,代理服務器的邏輯功能可以集成到映射服務器上,只需要在映射服務器中對應EID的映射信息條目中加入通信狀態(tài)標志Filter就可以表示該終端的通信狀態(tài);終端通信狀態(tài)隨對應映射信息存儲�����、傳輸和更新而不影響映射系統(tǒng)的基本功能�����。
9.如權利要求1所述的DoS攻擊防御方法��,其特征在于��,連接回復報文可以不經(jīng)過代理服務器組成的專用網(wǎng)絡轉發(fā)���,可以通過XTR2和核心網(wǎng)中間路由器的路由傳輸?shù)桨l(fā)送端的 XTR1, XTR1根據(jù)連接回復報文的信息設置對應終端的通信狀態(tài)。
10.如權利要求1所述的DoS攻擊防御方法�����,其特征在于����,代理服務器的部署方式可以是分布式的,也可以是集中式的���,或者其他形式�; 代理服務器之間、代理服務器與xTR之間��、xTR與終端之間的控制信息真實性驗證方法可以使用數(shù)字簽名�,消息認證碼MAC等方法;代理服務器的邏輯功能可以集成到映射服務器中��,安全傳輸方法與映射系統(tǒng)有效結合��,共同完成通信狀態(tài)查詢應答和映射信息查詢應答的雙重功能而互不影響�����。
全文摘要
一種基于身份與位置分離映射機制的DoS攻擊防御方法�,在身份與位置分離網(wǎng)絡體系的映射系統(tǒng)基礎上,向xTR映射緩存中的映射信息加入額外的通信狀態(tài)標志�����,代理服務器使通信狀態(tài)標志與身份與位置分離網(wǎng)絡體系的映射系統(tǒng)結合���,該xTR映射緩存中映射信息的通信狀態(tài)標志通過詢問代理服務器得到��,該代理服務器通過詢問其管理范圍內的終端�,收集、維護終端的通信狀態(tài)����,并應答xTR的通信狀態(tài)查詢;當終端發(fā)現(xiàn)受到惡意攻擊時���,要求阻止攻擊數(shù)據(jù)流的傳輸�;當終端設置通信狀態(tài)為允許部分連接時��,發(fā)送端完成連接建立的過程�����。本發(fā)明可以防御DoS攻擊�����,終端受到惡意攻擊時可以主動請求防御���,避免造成進一步的危害,且不影響終端其他通信連接���。
文檔編號H04L29/06GK102447700SQ201110404999
公開日2012年5月9日 申請日期2011年12月8日 優(yōu)先權日2011年12月8日
發(fā)明者劉穎, 周華春, 唐建強, 張宏科 申請人:北京交通大學