專利名稱:在電信系統(tǒng)中提供拒絕服務(wù)保護(hù)的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及通信網(wǎng)絡(luò)���,更具體地說,涉及采用拒絕服務(wù)保護(hù)(denial of service protection)的電信系統(tǒng)����。
背景技術(shù):
移動節(jié)點(麗)是 一 種可以移動從而改變其對于網(wǎng)絡(luò)的附著點(attachment point)的裝置���,這通常表示隨著時間的推移�����,它可以改變其網(wǎng)絡(luò)(IP)地址。多穴節(jié)點 (multihomed node)是一種可以同時具有若干個網(wǎng)絡(luò)附著點�����,從而同時具有若干個IP地址 的裝置��。因此�����,移動多穴網(wǎng)絡(luò)節(jié)點(匪N)是一種可以同時具有許多地址的節(jié)點,并且所有這 些地址或這些地址中的任何地址都可以隨著時間的推移而改變�����。移動多穴攻擊者(MMA)是 控制一個(或更多個)匪N的惡意方�。MMA可以是匪N的使用者或已經(jīng)在匪N中植入了病毒 或者某一功能�����,從而可能未"物理"連接到匪N的某個人(或某一實體)����。
對于MMA來說,可能使用匪N來發(fā)起對MMA能夠?qū)⒎薔附著到的任何網(wǎng)絡(luò)的網(wǎng)絡(luò) 洪流攻擊(network flooding attach)?�?梢酝ㄟ^使用移動因特網(wǎng)協(xié)議版本6 (MIP6)協(xié)議 來進(jìn)行該匪N附著��。通過轉(zhuǎn)向MMA同時控制連接至不同網(wǎng)絡(luò)的不同接口的背景下���,使來自 匪N的洪流攻擊成為可能����。在這樣的多穴背景下�,MMA能夠利用移動性信令消息以組合任何 兩個或更多個接口,并且將它們呈現(xiàn)給對應(yīng)的節(jié)點���,就如同是歸屬網(wǎng)絡(luò)(home network)或 外地網(wǎng)絡(luò)的情況。 為了與這樣的MMA對抗���,可以使用在諸如3GPP網(wǎng)絡(luò)的網(wǎng)絡(luò)中常見的入站過濾 (ingress filtering)。盡管入站過濾可以提供識別攻擊者的能力���,但是入站過濾可能無法 阻止攻擊。此外,在非3GPP環(huán)境中���,由于電信系統(tǒng)是一個更開放并且"公共"的環(huán)境所以其 具有更少的控制,因此問題會嚴(yán)重得多。例如,如果在3GPP環(huán)境之外��,那么并不是所有附著 的MN都可被正確地認(rèn)證��。同樣地�����,如將要說明的�,入站過濾并不總是有效的。
圖1是示出了在來自對電信系統(tǒng)12中匪N 14進(jìn)行控制的MMA的傳統(tǒng)洪流攻擊 中所執(zhí)行的迂回路由(RR)過程的簡化框圖���。該電信系統(tǒng)包括移動多穴網(wǎng)絡(luò)節(jié)點(匪N)14。 匪N 14包括第一接口 ^和第二接口 I2。這些接口可能與IP地址相關(guān)聯(lián)。該電信系統(tǒng)還包 括通信節(jié)點(CN)18和20。 為了發(fā)起網(wǎng)絡(luò)洪流攻擊�,MMA必須將匪N的一個接口 (例如�,I》附著到其對應(yīng)的 歸屬網(wǎng)絡(luò)或外地網(wǎng)絡(luò)���,并將另一個接口 (I2)附著到目標(biāo)節(jié)點(例如��,CN 18或20)�。
為了開始洪流攻擊��,MMA利用匪N的接口 L來建立與不同CN的不同會話����。與不同 的CN建立了這些不同的會話之后����,MMA通過觸發(fā)迂回路由(RR)過程將匪N切換至路由優(yōu) 化(R0)模式。RR過程需要歸屬地址(HoA)可達(dá)性測試以及轉(zhuǎn)交地址(CoA)可達(dá)性測試����,其 中����,HoA可達(dá)性測試涉及與各CN 18和20交換HoTI/HoT消息30和32�,而CoA可達(dá)性測試 涉及與CN交換CoTI/CoT消息34和36。為此�����,通過將在I:上配置的匪N的IPv6地址作為 HoA來執(zhí)行HoA可達(dá)性測試��。此外,通過將在I2上配置的IPv6地址作為CoA來執(zhí)行CoA可 達(dá)性測試��。
圖2是示出了從電信系統(tǒng)12中的匪N14發(fā)起的傳統(tǒng)洪流攻擊過程中的綁定更新 交換過程的簡化框圖����。完成所有RR過程之后,使匪N向接口 12上的各CN 18和20發(fā)送綁 定更新(BU)消息以請求在兩個地址之間建立綁定并且對朝向目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行重路 由�����。在優(yōu)化移動IPv6(0MIPv6)中,BU和綁定確認(rèn)(BA)消息40和42的第一次交換使匪N 與CN共享長壽命秘密(long lifetime secret)�����。此外��,在CN和匪N之間發(fā)送數(shù)據(jù)消息44 和46�����。 圖3是示出了電信系統(tǒng)12中傳統(tǒng)洪流攻擊中對目標(biāo)網(wǎng)絡(luò)進(jìn)行洪流攻擊的數(shù)據(jù)包 的簡化框圖。當(dāng)MMA IO切斷接口 k����,從而匪N從目標(biāo)網(wǎng)絡(luò)中消失時�����,攻擊開始。同時�����,只要 需要����,就使匪N 14繼續(xù)向接口 L上的各CN發(fā)送確認(rèn)(ACK)消息50和52以對目標(biāo)網(wǎng)絡(luò)進(jìn) 行洪流攻擊��。MMA可以在任何時間將匪N接口 12重新附著到目標(biāo)網(wǎng)絡(luò)�����,自動配置新的IP地 址,并且使用新的IP地址在再次消失之前向CN 18和20發(fā)送新的BU消息�����。
上述攻擊對于入站過濾是免疫的(immune)���,尤其是當(dāng)各接口正使用其特有的合法 IP地址并且正在僅發(fā)送合適的信令消息時�。從根本上來講,攻擊的主要特點是與MMA相關(guān) 聯(lián)的匪N14利用在接口上配置的整個可用地址(即��,HoA和CoA)池���。在向網(wǎng)絡(luò)洪流攻擊的 擴(kuò)展中��,多個接口被用作各自為不同的歸屬網(wǎng)絡(luò)���,并且這些接口被用于向CN發(fā)送ACK消息��。
不存在可對抗來自匪N的洪流攻擊的現(xiàn)有系統(tǒng)或方法。在3GPP設(shè)置中,可能假 設(shè)入站過濾在恰當(dāng)?shù)奈恢?。但是����,入站過濾無法阻止攻擊�。在3GPP設(shè)置中,由于強(qiáng)認(rèn)證 (strong authentication)的使用�,有可能在攻擊之后識別并且追蹤攻擊者。但是,在3GPP 設(shè)置中,無法阻止洪流攻擊。MMA所利用的信令模式是完全合法的�����,并且無法被檢測為被用 于發(fā)起惡意攻擊���。在電信系統(tǒng)使用非3GPP設(shè)置的情況下�����,更容易受到來自MMA攻擊的影響��。
因此,需要一種保護(hù)電信系統(tǒng)不受MMA攻擊的系統(tǒng)和方法����。本發(fā)明就提供了這種 系統(tǒng)和方法����。
發(fā)明內(nèi)容
本發(fā)明是一種保護(hù)電信系統(tǒng)不受來自多穴網(wǎng)絡(luò)節(jié)點的洪流攻擊的系統(tǒng)和方法,更
具體地說,是一種移動多穴網(wǎng)絡(luò)節(jié)點(匪N)��。另選的是���,攻擊者(MMA)可以是匪N的使用者
或已經(jīng)在匪N中植入了病毒或者某一功能�,從而可以不"物理"連接到匪N的某個人(或某
一實體)。本發(fā)明提供了對檢測到的拒絕服務(wù)(DoS)洪流攻擊的保護(hù)和制止。 在一個實施方式中�����,假設(shè)匪A控制一個單獨的匪N�,從而由于MMA的行動是通過
MMA控制匪N來執(zhí)行某些協(xié)議行動來實現(xiàn)的,因此可以互換地使用術(shù)語匪N/MMA���。當(dāng)然,MMA
控制多個匪N的情況是更嚴(yán)重的�����,但是通過將與下面公開的方法相同的方法應(yīng)用到各個被
控制的匪N可以逐個地(或�,并行地)處理分布式拒絕服務(wù)(DDoS)攻擊�����。 因此�����,一方面,本發(fā)明旨在一種保護(hù)電信網(wǎng)絡(luò)不受來自多穴網(wǎng)絡(luò)節(jié)點的洪流攻擊
的系統(tǒng)���,該電信系統(tǒng)向充當(dāng)該多穴網(wǎng)絡(luò)節(jié)點的通信節(jié)點(CN)的網(wǎng)絡(luò)節(jié)點提供通信。該系
統(tǒng)包括用于確定在CN和多穴網(wǎng)絡(luò)節(jié)點開始在其間傳送數(shù)據(jù)包之后多穴網(wǎng)絡(luò)節(jié)點是否
在預(yù)定時間內(nèi)保持可達(dá)的裝置��;以及響應(yīng)于多穴網(wǎng)絡(luò)節(jié)點不再可達(dá)的確定�����,從CN中清除
(flush)與多穴網(wǎng)絡(luò)節(jié)點相關(guān)聯(lián)的緩存信息的裝置����。該多穴網(wǎng)絡(luò)節(jié)點可以是具有多個IP地
址的移動多穴網(wǎng)絡(luò)節(jié)點(匪N)����。用于確定多穴網(wǎng)絡(luò)節(jié)點是否保持可達(dá)的裝置可以是與CN相
關(guān)聯(lián)的接入路由器(AR),其對匪N進(jìn)行可達(dá)性測試�。如果多穴網(wǎng)絡(luò)節(jié)點不再可達(dá)�����,那么AR向CN發(fā)送指示CN來清除與多穴網(wǎng)絡(luò)節(jié)點相關(guān)聯(lián)的緩存信息的消息���。清除了緩存后��,有效 地阻止了朝向被攻擊的網(wǎng)絡(luò)的數(shù)據(jù)傳輸���。 另一方面��,本發(fā)明旨在一種保護(hù)電信網(wǎng)絡(luò)不受來自多穴網(wǎng)絡(luò)節(jié)點的洪流攻擊的方 法,該電信網(wǎng)絡(luò)向充當(dāng)該多穴網(wǎng)絡(luò)節(jié)點的通信節(jié)點(CN)的網(wǎng)絡(luò)節(jié)點提供通信����。所述方法包 括以下步驟在CN和多穴網(wǎng)絡(luò)節(jié)點之間傳送數(shù)據(jù)����;以及確定多穴網(wǎng)絡(luò)節(jié)點是否保持可達(dá)����。 如果多穴網(wǎng)絡(luò)節(jié)點保持可達(dá),則該方法繼續(xù)在CN和多穴網(wǎng)絡(luò)節(jié)點之間傳送數(shù)據(jù)。如果多穴 網(wǎng)絡(luò)節(jié)點不再可達(dá)����,則該方法從CN中清除與多穴網(wǎng)絡(luò)節(jié)點相關(guān)聯(lián)的緩存信息��。多穴網(wǎng)絡(luò)節(jié) 點可以是具有多個IP地址的移動多穴網(wǎng)絡(luò)節(jié)點(匪N)���。 另一方面���,本發(fā)明旨在一種保護(hù)電信網(wǎng)絡(luò)不受來自多穴網(wǎng)絡(luò)節(jié)點的洪流攻擊的網(wǎng) 絡(luò)保護(hù)節(jié)點�����,該電信網(wǎng)絡(luò)向充當(dāng)該多穴網(wǎng)絡(luò)節(jié)點的通信節(jié)點(CN)的網(wǎng)絡(luò)節(jié)點提供通信�����。該 保護(hù)節(jié)點包括用于確定在CN和多穴網(wǎng)絡(luò)節(jié)點開始在其間傳送數(shù)據(jù)包之后多穴網(wǎng)絡(luò)節(jié)點 是否在預(yù)定時間內(nèi)保持可達(dá)的裝置�����;以及響應(yīng)于多穴網(wǎng)絡(luò)節(jié)點不再可達(dá)的確定、向CN發(fā)送 指示CN來清除與多穴網(wǎng)絡(luò)節(jié)點相關(guān)聯(lián)的緩存信息的消息的通信裝置���。在一個優(yōu)選實施方 式中,網(wǎng)絡(luò)保護(hù)節(jié)點是接入路由器。
在下面的部分中�,參照附圖中所示的示例性實施方式來描述本發(fā)明��。 圖l(現(xiàn)有技術(shù))是示出了來自電信系統(tǒng)中的匪N的傳統(tǒng)洪流攻擊中所執(zhí)行的迂
回路由(RR)過程的簡化框圖�����; 圖2 (現(xiàn)有技術(shù))是示出了來自電信系統(tǒng)中的匪N的傳統(tǒng)洪流攻擊過程中的綁定 更新交換過程的簡化框圖��; 圖3 (現(xiàn)有技術(shù))是示出了來自電信系統(tǒng)中的匪N的傳統(tǒng)洪流攻擊中對目標(biāo)網(wǎng)絡(luò) 進(jìn)行洪流攻擊的數(shù)據(jù)包的簡化框圖���; 圖4是本發(fā)明示例性實施方式中采用DoS保護(hù)的電信系統(tǒng)的組件的簡化框圖�����;
圖5是示出了在本發(fā)明示例性實施方式中防御來自MMN的攻擊時的消息流程的信 令圖����;而 圖6A-6B是示出了本發(fā)明方法的示例性實施方式中防御來自匪N的攻擊時的步驟 的部分流程圖。
具體實施例方式
圖4是本發(fā)明示例性實施方式中采用DoS保護(hù)的電信系統(tǒng)100的組件的簡化框 圖����。本發(fā)明提供了電信系統(tǒng)IOO內(nèi)部對拒絕服務(wù)(DoS)攻擊的保護(hù)。該系統(tǒng)包括CN 102�、 CN104以及接入路由器(AR)106��。與傳統(tǒng)情況一樣��,匪N 108試圖通過CN來攻擊目標(biāo)網(wǎng)絡(luò)�����。
本發(fā)明積極地涉及保持MIPv6路由優(yōu)化(R0)模式在網(wǎng)絡(luò)的兩個端點之間運(yùn)行的 外地網(wǎng)�。在本發(fā)明的一個實施方式中�,利用了防御這些攻擊的三個規(guī)定。第一個規(guī)定是將 匪N CoA可達(dá)性測試委托給匪N的接入路由器(AR)。第二個規(guī)定是引入新的信令消息,該 信令消息告知CN清除CN內(nèi)部的緩存信息����,這將以其他方式用于保持去往目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù) 流�,從而阻止洪流。第三個規(guī)定是使MMA意識到在網(wǎng)絡(luò)中執(zhí)行了上述兩個步驟。這通過使 MMA意識到對策已就緒來提供對匪N的攻擊的制止��。
在第一個規(guī)定中����,CoA可達(dá)性測試110是在匪N 108和AR 106之間進(jìn)行的�,它用 前綴可達(dá)性測試替換了圖1中的CoTI/CoT消息�����。 在本發(fā)明的第二個規(guī)定中���,主要目的是提高外地網(wǎng)抵抗圖1-3中描述的洪流攻擊 的能力��。為了實現(xiàn)這個目的���,利用匪N和其AR之間的信任來同樣建立AR和CN之間的信任 關(guān)系,還與匪N強(qiáng)關(guān)聯(lián)�,其中��,匪N和其AR之間的信任是通過運(yùn)行OptiSEND協(xié)議而獲得的����。 應(yīng)當(dāng)理解的是����,匪N可以是攻擊者。因此�,目的不是創(chuàng)建從匪N到CN的"傳遞"信任����,而是 創(chuàng)建從CN到匪N的"傳遞"信任。因此����,如果匪N確實是攻擊者,那么所利用的主要信任是 AR 108和CN 102���、104之間的信任�����。這個信任可以與特定匪N 108相關(guān)聯(lián)���。
CN和AR之間的信任關(guān)系使得AR 106能夠明確且安全地請求CN從其綁定緩存條 目(BCE)120中清除已經(jīng)被用于發(fā)起對網(wǎng)絡(luò)的洪流攻擊的任何CoA�。為此�����,AR優(yōu)選地向CN 發(fā)送包含匪N的HoA的���、被稱為"綁定清除請求"(BFR)消息112的新的移動性信令消息��。 如果AR 106已經(jīng)正確地認(rèn)證了匪N 108并且AR是信任的����,那么可將所發(fā)現(xiàn)的攻擊聯(lián)系到 匪N�����,并且通常情況下,CN可以將轉(zhuǎn)除消息聯(lián)系到攻擊中所涉及的特定匪N�����。
接收到有效的BFR消息112后����,CN從其BCE 120中刪除匪N的對應(yīng)條目并且關(guān)閉 與所有與匪N 108正在進(jìn)行的會話。此外�����,各CN優(yōu)選地通過發(fā)送綁定清除確認(rèn)(BFA)消息 122來回復(fù)AR 106��。 BFA消息還優(yōu)選地用AR所使用的密鑰來進(jìn)行認(rèn)證�。
本發(fā)明的第三個規(guī)定是使由MMA所控制的匪N 108完全意識到電信系統(tǒng)10中正 在采取保護(hù)措施(即�����,第一和第二規(guī)定)�。優(yōu)選地通過向OptiSEND協(xié)議中添加擴(kuò)展來向MMA 通報外地網(wǎng)規(guī)則�,這明確地請求匪N與AR共享其通過運(yùn)行0MIPv6協(xié)議而獲得的長壽命共 享秘密(Ks)的無用信息(hash)。 OptiSEND協(xié)議中的擴(kuò)展可以包括在AR周期性發(fā)送的路 由器廣播(RtAdv)消息中設(shè)置的一個新位。SEND協(xié)議還可用于通報MMA該電信系統(tǒng)中正在 采取保護(hù)措施。 被稱為Kc的新的共享密鑰使得AR 106和CN能夠?qū)η熬Y可達(dá)性測試消息進(jìn)行認(rèn) 證(即�,隱含地測試Kc有效性)�,并且上所討論對BFR和BFA消息進(jìn)行認(rèn)證�。
圖5是本發(fā)明的示例性實施方式中用于防御來自MMA的攻擊的信令圖。在CN 102 和104與MMA的匪N 108之間傳送數(shù)據(jù)(在190)。在CN正傳送數(shù)據(jù)包的時段內(nèi)��,在AR 106 與MMN 108之間進(jìn)行可達(dá)性測試110 (在200)���。在202�����, AR觸發(fā)不可達(dá)性檢測過程。應(yīng)當(dāng) 注意的是,匪N在對網(wǎng)絡(luò)進(jìn)行洪流攻擊之前已經(jīng)切斷了其接口���,這觸發(fā)了由AR進(jìn)行的不可 達(dá)性檢測。不可達(dá)性檢測過程示出了匪N在該鏈路上不可達(dá)的AR。接著�,AR 106等待預(yù)定 時段(在206)����。 一旦預(yù)定時段期滿��,AR就向存儲在其緩存中的各CN的地址發(fā)送BFR消息 112���。優(yōu)選地����,所有BFR消息都用Kc來進(jìn)行認(rèn)證��。在等待時段中�,AR可以將接收到的數(shù)據(jù) 包存儲在其緩存存儲器中�,因為匪N可能由于其他可能的因素(例如,鏈路上的噪音等)正 好不可達(dá)到�����。 —旦接收到BFR消息208�, CN 102和/或104就確定該消息中攜帶的CoA是否已 經(jīng)存儲在CN的BCE 120中(在210)。接著����,CN獲取相應(yīng)的Kc并且證實(validate)認(rèn)證 (在212)。在214�,CN清除掉CoA對應(yīng)條目并且關(guān)閉會話���。在此步驟的末尾����,使洪流攻擊停 止。此外����,所有的CN都從它們的BCE中刪除了攻擊者的條目�。CN可以提供特定策略來接收 來自具有相同HoA的節(jié)點的新連接請求����。清除掉匪N的對應(yīng)條目之后,各CN優(yōu)選地向AR 106發(fā)送BFA消息122 (在216) ����。 BFA消息可用Kc來進(jìn)行認(rèn)證����。
圖6A-6B是示出了本發(fā)明方法的示例性實施方式的防御來自匪N的攻擊時的步驟 的部分流程圖。現(xiàn)在參照圖4��, 5���, 6A和6B來說明該方法�����。該方法開始于步驟300,在該步驟�����, 在CN 102和104與匪N 108(以及MMA 110)之間傳送數(shù)據(jù)�����。然后�����,在步驟302,在AR 106 和匪N 108之間進(jìn)行可達(dá)性測試110。接著�����,該方法移至步驟304����,在該步驟確定匪N是不 可達(dá)的(即,AR無法用匪N進(jìn)行CoA可達(dá)性測試110)�����。如果確定匪N是可達(dá)的�����,那么該方 法返回至步驟300����,在該步驟�����,繼續(xù)從CN向匪N傳送數(shù)據(jù)��。 但是����,在步驟304,如果確定匪N不可達(dá),那么該方法移至步驟306��,在該步驟,AR觸 發(fā)不可達(dá)性檢測過程���。在攻擊過程中�,匪N在對網(wǎng)絡(luò)進(jìn)行洪流攻擊之前已經(jīng)切斷了其接口���, 這觸發(fā)了由AR進(jìn)行的不可達(dá)性檢測���。不可達(dá)性檢測過程示出了在鏈路上匪N不可達(dá)的AR���。 在等待時段中,AR可以將接收到的數(shù)據(jù)包存儲在其緩存存儲器中����,因為匪N可能由于其他 可能的因素(例如,鏈路上的噪音等)正好是不可達(dá)的���。然后在步驟308��,AR 106等待預(yù)定 時段�����。在該預(yù)定時段的末尾�,所述方法移至步驟310�,在該步驟,再次確定匪N是否是可達(dá) 的�。如果匪N被確定是可達(dá)的(即�,成功的可達(dá)性測試110)�,那么該方法返回至步驟300���, 繼續(xù)傳送數(shù)據(jù)。但是��,在步驟310中����,如果匪N仍然是不可達(dá)的,那么所述方法移至圖6B的 步驟312�����,在該步驟中�����,AR向存儲在其緩存中的各CN的地址發(fā)送BFR消息112�。優(yōu)選地,所 有BFR消息都用Kc來進(jìn)行認(rèn)證���。 然后,在步驟314���,一旦接收到BFR消息122, CN 102和/或104就確定該消息中 攜帶的CoA是否已經(jīng)存儲在CN的BCE 120中�。接著���,所述方法移至步驟316���,在該步驟中����, CN接著獲取對應(yīng)的Kc并且證實認(rèn)證��。接著,在步驟318��, CN清除掉CoA對應(yīng)條目并且關(guān)閉 會話����。在該步驟的末尾,使洪流攻擊停止。此外����,所有的CN都從它們的BCE中刪除攻擊者 的條目�����。CN可以提供特定策略來接收來自具有相同HoA的節(jié)點的新連接請求。所述方法移 至步驟320,在該步驟����,清除掉匪N的對應(yīng)條目之后�����,各CN優(yōu)選地向AR 106發(fā)送BFA消息 216。 BFA消息可用Kc來進(jìn)行認(rèn)證�����。 本發(fā)明提供了對檢測到的DoS攻擊的保護(hù)和制止��。本發(fā)明可以利用這些規(guī)定中的 一個或所有來對抗攻擊�����。具體地講,本發(fā)明的制止組件可由本發(fā)明來實現(xiàn)也可以不由本發(fā) 明來實現(xiàn)。 當(dāng)然,本發(fā)明可能以不同于這里所述的其他特定方式來實現(xiàn),而不偏離本發(fā)明的 實質(zhì)特征�����。因此��,本發(fā)明在各方面都被認(rèn)為是說明性的而不是限制性的。本文旨在包括落 入所附權(quán)利要求書的含義和等同范圍內(nèi)的所有改變��。
權(quán)利要求
一種在接入路由器中保護(hù)電信網(wǎng)絡(luò)不受來自多穴網(wǎng)絡(luò)節(jié)點的洪流攻擊的方法���,所述接入路由器在所述多穴網(wǎng)絡(luò)節(jié)點與充當(dāng)所述多穴網(wǎng)絡(luò)節(jié)點的通信節(jié)點CN的網(wǎng)絡(luò)節(jié)點之間提供通信�,所述方法包括以下步驟在所述多穴網(wǎng)絡(luò)節(jié)點與所述CN之間傳送數(shù)據(jù);確定所述多穴網(wǎng)絡(luò)節(jié)點是否保持可達(dá)�;如果所述多穴網(wǎng)絡(luò)節(jié)點保持可達(dá)�����,則繼續(xù)在所述CN與所述多穴網(wǎng)絡(luò)節(jié)點之間傳送數(shù)據(jù);以及一旦確定所述多穴網(wǎng)絡(luò)節(jié)點不再可達(dá),則指示所述CN來清除與所述多穴網(wǎng)絡(luò)節(jié)點相關(guān)聯(lián)的緩存信息�。
2. 根據(jù)權(quán)利要求1所述的保護(hù)電信系統(tǒng)的方法��,其中,所述多穴網(wǎng)絡(luò)節(jié)點是具有多個 IP地址的移動多穴網(wǎng)絡(luò)節(jié)點匪N。
3. 根據(jù)權(quán)利要求2所述的保護(hù)電信系統(tǒng)的方法�,其中�,所述攻擊由移動多穴網(wǎng)絡(luò)攻擊 者M(jìn)MA控制�,所述MMA是所述匪N的使用者,或者所述攻擊由已經(jīng)在所述匪N中植入了功能 或以其他方式控制了所述匪N的實體來控制。
4. 根據(jù)權(quán)利要求3所述的保護(hù)電信系統(tǒng)的方法�����,其中,確定所述多穴網(wǎng)絡(luò)節(jié)點是否保 持可達(dá)的步驟包括在所述接入路由器與所述匪N之間進(jìn)行IP鄰居可達(dá)性檢測過程。
5. 根據(jù)權(quán)利要求1所述的保護(hù)電信系統(tǒng)的方法����,其中��,指示所述CN來清除所述緩存信 息的步驟包括指示所述CN來清除所述CN的綁定緩存條目。
6. 根據(jù)權(quán)利要求5所述的保護(hù)電信系統(tǒng)的方法,其中�����,從所述CN的所述綁定緩存條目 中清除與所述匪N相關(guān)聯(lián)的轉(zhuǎn)交地址�。
7. 根據(jù)權(quán)利要求3所述的保護(hù)電信系統(tǒng)的方法�,其中,所述接入路由器在數(shù)據(jù)傳送開 始之后等待指定時段以確定在向所述CN發(fā)送指示所述CN來清除與所述匪N相關(guān)聯(lián)的緩存 地址信息的綁定清除請求消息之前所述匪N是否可達(dá)���。
8. 根據(jù)權(quán)利要求7所述的保護(hù)電信系統(tǒng)的方法,該方法還包括以下步驟 由所述CN來認(rèn)證所述綁定清除請求消息��;以及如果經(jīng)所述CN認(rèn)證為有效消息���,則從所述CN中清除與所述匪N相關(guān)聯(lián)的緩存信息��。
9. 根據(jù)權(quán)利要求7所述的保護(hù)電信系統(tǒng)的方法��,該方法還包括以下步驟從所述CN向 所述接入路由器發(fā)送綁定清除確認(rèn)消息以確認(rèn)所述CN中所述緩存信息的清除。
10. 根據(jù)權(quán)利要求9所述的保護(hù)電信系統(tǒng)的方法����,該方法還包括以下步驟由所述接入 路由器來認(rèn)證所述綁定清除確認(rèn)消息��。
11. 根據(jù)權(quán)利要求1所述的保護(hù)電信系統(tǒng)的方法,該方法還包括以下步驟將所述電信系統(tǒng)內(nèi)的拒絕服務(wù)保護(hù)通報給所述匪N�。
12. 根據(jù)權(quán)利要求11所述的保護(hù)電信系統(tǒng)的方法��,其中,將所述拒絕服務(wù)保護(hù)通報給 所述匪N的步驟包括向OptiSEND協(xié)議消息或者SEND協(xié)議消息中添加擴(kuò)展以通報所述 匪N��。
13. —種在接入路由器中保護(hù)電信網(wǎng)絡(luò)不受來自多穴網(wǎng)絡(luò)節(jié)點的洪流攻擊的結(jié)構(gòu)����,所 述接入路由器在所述多穴網(wǎng)絡(luò)節(jié)點與充當(dāng)所述多穴網(wǎng)絡(luò)節(jié)點的通信節(jié)點CN的網(wǎng)絡(luò)節(jié)點之間提供通信,所述結(jié)構(gòu)包括用于在所述多穴網(wǎng)絡(luò)節(jié)點與所述CN之間傳送數(shù)據(jù)的裝置��;用于確定在數(shù)據(jù)傳送開始之后所述多穴網(wǎng)絡(luò)節(jié)點是否在預(yù)定時間內(nèi)保持可達(dá)的裝置���;以及用于響應(yīng)于所述多穴網(wǎng)絡(luò)節(jié)點已經(jīng)不再可達(dá)的確定�����,指示所述CN來清除與所述多穴 網(wǎng)絡(luò)節(jié)點相關(guān)聯(lián)的緩存信息的裝置。
14. 根據(jù)權(quán)利要求13所述的保護(hù)電信系統(tǒng)的結(jié)構(gòu)�,其中�,所述多穴網(wǎng)絡(luò)節(jié)點是具有多 個IP地址的移動多穴網(wǎng)絡(luò)節(jié)點匪N���。
15. 根據(jù)權(quán)利要求13所述的保護(hù)電信系統(tǒng)的結(jié)構(gòu)�,其中,用于確定所述多穴網(wǎng)絡(luò)節(jié)點 是否保持可達(dá)的裝置是在所述接入路由器中實現(xiàn)的,其中�,一旦確定了所述多穴網(wǎng)絡(luò)節(jié)點 不再可達(dá)�,所述接入路由器就被設(shè)置成向所述CN發(fā)送指示所述CN來清除與所述多穴網(wǎng)絡(luò) 節(jié)點相關(guān)聯(lián)的緩存信息的消息�����。
16. 根據(jù)權(quán)利要求15所述的保護(hù)電信系統(tǒng)的結(jié)構(gòu)�����,其中,所述接入路由器被設(shè)置成通 過在所述接入路由器與所述多穴網(wǎng)絡(luò)節(jié)點之間進(jìn)行IP鄰居可達(dá)性檢測過程來確定所述多 穴網(wǎng)絡(luò)節(jié)點是否保持可達(dá)�����。
17. 根據(jù)權(quán)利要求13所述的保護(hù)電信系統(tǒng)的結(jié)構(gòu)����,其中,所述CN通過從所述CN中清除 與所述MMN相關(guān)聯(lián)的綁定緩存條目來清除所述緩存信息����。
18. 根據(jù)權(quán)利要求17所述的保護(hù)電信系統(tǒng)的結(jié)構(gòu)��,其中,所述CN從所述CN的所述綁定 緩存條目中清除與所述匪N相關(guān)聯(lián)的轉(zhuǎn)交地址。
19. 根據(jù)權(quán)利要求15所述的保護(hù)電信系統(tǒng)的結(jié)構(gòu)�����,其中,所述接入路由器被設(shè)置成在 向所述CN發(fā)送所述消息之前等待指定時段�。
20. 根據(jù)權(quán)利要求15所述的保護(hù)電信系統(tǒng)的結(jié)構(gòu),其中,清除緩存信息的所述消息是 清除所述CN中與所述匪N相關(guān)聯(lián)的任何地址的綁定清除請求����。
21. 根據(jù)權(quán)利要求20所述的保護(hù)電信系統(tǒng)的結(jié)構(gòu)����,其中��,所述CN被設(shè)置成對所述綁定 清除請求消息進(jìn)行認(rèn)證并且��,如果所述CN將所述消息認(rèn)證為有效消息,則從所述CN中清除 緩存信息���。
22. 根據(jù)權(quán)利要求13所述的保護(hù)電信系統(tǒng)的結(jié)構(gòu),該結(jié)構(gòu)還包括用于將所述電信系統(tǒng) 內(nèi)的拒絕服務(wù)保護(hù)通知給所述匪N的裝置�����。
23. 根據(jù)權(quán)利要求22所述的保護(hù)電信系統(tǒng)的結(jié)構(gòu)�����,其中����,用于將所述拒絕服務(wù)保護(hù)通 知給所述匪N的裝置包括位于所述接入路由器內(nèi)用于向OptiSEND協(xié)議消息中添加擴(kuò)展以 通報所述匪N的裝置�����。
24. —種保護(hù)電信網(wǎng)絡(luò)不受來自多穴網(wǎng)絡(luò)節(jié)點的洪流攻擊的網(wǎng)絡(luò)保護(hù)節(jié)點����,所述保護(hù) 節(jié)點在所述多穴網(wǎng)絡(luò)節(jié)點與充當(dāng)所述多穴網(wǎng)絡(luò)節(jié)點的通信節(jié)點CN的網(wǎng)絡(luò)節(jié)點之間提供通 信���,所述保護(hù)節(jié)點包括用于在所述多穴網(wǎng)絡(luò)節(jié)點與所述CN之間傳送數(shù)據(jù)的裝置���;用于確定在數(shù)據(jù)傳送開始之后所述多穴網(wǎng)絡(luò)節(jié)點是否在預(yù)定時間內(nèi)保持可達(dá)的裝置��;以及用于響應(yīng)于所述多穴網(wǎng)絡(luò)節(jié)點已經(jīng)不再可達(dá)的確定,向所述CN發(fā)送指示所述CN來清 除與所述多穴網(wǎng)絡(luò)節(jié)點相關(guān)聯(lián)的緩存信息的消息的通信裝置。
25. 根據(jù)權(quán)利要求24所述的網(wǎng)絡(luò)保護(hù)節(jié)點����,其中�����,所述多穴網(wǎng)絡(luò)節(jié)點是具有多個IP地 址的移動多穴網(wǎng)絡(luò)節(jié)點匪N,并且所述攻擊由移動多穴網(wǎng)絡(luò)攻擊者M(jìn)MA控制�,所述MMA是所述匪N的使用者���,或者已經(jīng)在所述匪N中植入了功能或以其他方式控制了所述匪N的實體��。
26. 根據(jù)權(quán)利要求25所述的網(wǎng)絡(luò)保護(hù)節(jié)點,其中��,所述網(wǎng)絡(luò)保護(hù)節(jié)點是接入路由器��。
27. 根據(jù)權(quán)利要求25所述的網(wǎng)絡(luò)保護(hù)節(jié)點���,其中�,所述通信裝置包括用于發(fā)送指示所 述CN來清除與所述匪N相關(guān)聯(lián)的任何地址的綁定清除請求的裝置��。
28. 根據(jù)權(quán)利要求25所述的網(wǎng)絡(luò)保護(hù)節(jié)點����,其中����,所述通信裝置還包括用于將所述電 信系統(tǒng)內(nèi)的拒絕服務(wù)保護(hù)通知給所述匪N的裝置�。
29. 根據(jù)權(quán)利要求28所述的網(wǎng)絡(luò)保護(hù)節(jié)點�,其中�,用于通知所述匪N所述拒絕服務(wù)保 護(hù)的所述裝置包括用于向OptiSEND協(xié)議消息或者SEND協(xié)議消息中添加擴(kuò)展以通報所述 匪N的裝置。
全文摘要
一種保護(hù)電信系統(tǒng)免受移動多穴攻擊者M(jìn)MA(10)攻擊的系統(tǒng)��、方法和節(jié)點�����。所述電信系統(tǒng)包括用于傳送數(shù)據(jù)包的一個或更多個通信節(jié)點CN(102�����,104)。與MMA相關(guān)聯(lián)的移動多穴網(wǎng)絡(luò)節(jié)點MMN(108)與CN進(jìn)行通信并接收數(shù)據(jù)包�。在MMN和CN之間傳送數(shù)據(jù)的接入路由器AR(106)對MMN進(jìn)行可達(dá)性測試以確定MMN是否仍然可達(dá)�����。如果AR確定出MMN是不可達(dá)的,則AR向CN發(fā)送消息以清除與MMN相關(guān)聯(lián)的緩存信息�����。一旦接收到清除緩存信息的消息����,CN就從CN中清除與MMN相關(guān)聯(lián)的綁定緩存條目。
文檔編號H04L12/56GK101743734SQ200780053774
公開日2010年6月16日 申請日期2007年7月13日 優(yōu)先權(quán)日2007年7月13日
發(fā)明者安德拉什·梅海什, 瓦西姆·哈達(dá)德, 馬茨·納斯隆德 申請人:Lm愛立信電話有限公司