专利名称:提高骨干网络安全性的实现方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种提高骨干网络安全性的实现方法。
背景技术:
随着网络通信技术的迅速发展,在IP网上提供电信服务和电视等多媒体服务已经变得越来越广泛。在基于IP网提供各种电信服务的过程中,运营商和用户必然要求IP网能够达到或逐渐达到电信级的安全性能。
根据目前的组网结构可知,路由器作为IP网的核心组成之一,只有保障了路由器的安全运行,才可能使得整个IP网安全运行。因此,路由器的各种安全特性也就日益被人们提到日程上来,尤其是电信级的安全特性。
而随着网络的普及,攻击的工具化,各种各样的攻击越来越普遍,对攻击者的技能要求也越来越低。目前在网络上最难于防范的攻击就是DDos攻击,DDoS全称为Distributed Deny of Service,中文为分布式拒绝服务。DDoS Attack(DdoS攻击)是目前网络上很流行的一种黑客攻击方式,这种攻击可以在不同的网络域控制很多的节点通过伪造各种看似合法的协议报文同时发往要攻击的对象,从而消耗尽被攻击对象的各种资源,主要是消耗掉被攻击对象的CPU资源,从而使得被攻击对象没有能力去处理正常的请求。
路由器作为IP网络中的重要网元,正日益成为DDoS Attack的攻击目标。为了增加路由器的电信级安全性,必需在路由器上尽可能对这种攻击进行防范。
目前,一些协议都通过使用IP报文的TTL(生存时间)域来防范这种以消耗CPU资源为手段达到使协议栈不能正常运行的攻击。如果,GTSM(通用TTL安全机制)。
所述的GTSM方案主要是基于RFC3682的建议,在路由器上实现根据TTL(或称Hop Limit,跳数限制)来防范针对各种需要建立Session(会话)的协议进行的DDoS攻击。该方案对于建立的Session之间需要跨越多跳的协议需要逐一根据各种情况进行考虑。
下面对现有的GTSM提供安全特性的原理进行介绍。
考虑DDoS攻击的场景如图1所示,图中A为攻击点,R1至R5为路由器,且图中的单向粗实线箭头为目的为R2的伪造的来自各个A点的LDP协议报文流。图1中,各个被控制的网络节点同步的向LDP PEER(标签分发协议对等体)的R2发送伪造的目的地址为R2,源地址为R3(即LDP PEER的另一端)的LDP协议报文,在没有实现GTSM机制的情况下到达R2的所有此种攻击报文都将上送给R2的路由引擎,从而耗尽R2路由引擎的CPU资源。
利用GTSM后,则在路由器上可以通过以下方式防范DDoS攻击路由器对于正常转发的IP(IPv6或IPv4)报文在出口均会进行TTL减1操作,TTL值域最大为255;而且,大多数协议Peering(对等体)都是建立在相邻(包括物理上相邻或逻辑上相邻比如在隧道两端)的路由器之间;因此,对于物理上相邻的路由器之间建立的Peering,那么从Peering的一端发往另一端的报文在到达后,其TTL值不变,若在源端发出的报文的TTL值为255,到达后必为255;而对于从非Peering的任何一端的网络节点伪造的发往Peering的任何一端的报文(很多情况下会将源地址填成Peering对端的地址),这种情况下,到达Peering的一端的报文通常都会在中间经过若干跳路由器才能到达,由于报文路途中每经过一个路由器,其TTL值都将被减1,因而无论发出时向TTL域填入何值,当到达时其TTL必将小于255;这样就可以在转发平面利用TTL值来判断到达的相应协议报文的合法性,从而过滤掉不合法的报文,减轻控制平面处理器的负担,保证协议栈的正常工作。
对于逻辑上相邻的路由器之间建立的Peering,那么从Peering的一端发往另一端的报文(发出时TTL值为255)在到达后,其TTL值必在255--(255-TrustRadius)的范围内;在这种情况下到达路由器的相应协议报文若其TTL值不在范围内,则可断定其报文非法。因此,采用这种机制在一定程度上可以保护协议栈的正常工作。
然而,上述方法在网络组建的前期一定程度上是可用的,因为他从TTL值的取值范围在一定程度上可以判断报文的合法性。但是,对于一个复杂的三层VPN网络,如图2所示的MPLS(多协议标签交换)网络组网,网络上存在P(运营商路由器)设备和PE(运营商边界路由器)设备混用的网络,此时要进行GTSM策略的部署就很困难,因为从不同的PE设备转发的报文,其TTL值差异较大,如图中P2节点的路由器,无法通过TTL来区分来自PE2节点的合法报文,和来自CE2(CE,用户边界路由器)节点的非法报文。因此,上述方法将导致策略部署的复杂性和耦合性,对于复杂的网络而言部署难度可想而知。而且,每次对网络的扩展或修改都需要进行配置调整,大大增加了维护难度。
除上述三层MPLS网络外,对于由路由器组成的骨干网络同样也存在上述问题,如图3所示的路由网络,因为不同的边缘设备到不同的骨干网设备的路径不一致也带来了GTSM策略的部署问题。
因此,在很多组网中无法利用GTSM实现需要的防范功能,或者实现起来十分复杂。
另外,目前针对骨干网设备的保护方式还有一些基于单台设备实现的保护方案。在基于单台设备的保护方案中,需要应用复杂的ACL(访问控制列表),以及各种复杂的漏桶来实现,导致组网和配置的复杂程度大增加,并且由于害怕复合攻击,因此每个漏桶都设置的比较小,这样,还将会影响整机的正常性能的发挥。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种提高骨干网络安全性的实现方法,从而使得骨干网中的核心设备可以有效防范网络中的攻击,提高网络的安全性能。
本发明的目的是通过以下技术方案实现的本发明提供了一种提高骨干网络安全性的实现方法,包括A、骨干网络中的边缘设备接收客户端发来的报文;B、在所述报文中设置承载区别于来自骨干网络自身的传输报文的标识信息,并发送;C、在骨干网络中的设备上根据接收的报文中的标识信息识别出来自于客户端的报文,并进行安全性处理。
所述的步骤B包括将所述报文中的生存时间TTL值修改为区别于来自骨干网络自身的传输报文可能应用到的TTL值,并发送。
所述的步骤B包括在骨干网络上传输所述来自于客户端的报文过程中,相应的报文中的TTL值的变化范围与来自骨干网络自身的报文中的TTL值的范围不重合。
所述的步骤B具体包括将所述来自于客户端的报文中的TTL值修改为小于设定的TTL上限值,所述的TTL上限值为根据骨干网络自身传输的报文可能应用到的TTL值确定。
所述的步骤B包括
B1、将接收到的来自于客户端的报文中的TTL值与设定的TTL上限值进行比较,如果报文中的TTL值大于设定的TTL上限值,则执行步骤B2,否则,将该报文中的TTL值作减1处理,执行步骤B3;B2、将所述的报文中的TTL值修改为所述TTL上限值,执行步骤B3;B3、发送所述的修改TTL值后的报文。
所述的步骤C包括C1、骨干网络中设备接收报文后,将报文中的TTL值与设定的TTL下限值比较,如果报文中的TTL值小于设定的TTL下限值,则执行步骤C2,否则,执行步骤C3;C2、确定该报文为来自于客户端的报文,需要对其进行安全性处理;C3、确认该报文为来自骨干网络自身的报文,并交由上层进行处理。
所述的TTL下限值大于所述的TTL上限值。
所述的步骤C2包括确定该报文为来自于客户端的报文,并丢弃所述来自于客户端的报文。
所述的步骤C2包括确定该报文为来自于客户端的报文,并获取报文中的特征信息;根据所述的特征信息及记录的合法报文的信息判断该报文是否合法,如果是,则将该报文交由上层进行处理,否则,丢弃该报文。
所述的特征信息包括报文的源地址、目的地址、源端口和目的端口信息中的至少一项。
所述的合法报文的信息为记录于骨干网中设备的访问控制列表ACL中。
所述的步骤B包括在所述的报文服务质量QOS或服务类型TOS值修改为区别于来自骨干网络自身的传输报文可能应用到的QOS或TOS值,并发送。
由上述本发明提供的技术方案可以看出,本发明的实现使得可以分别标识来自用户数据(CE侧)与来自骨干网内部数据,从而在骨干网设备上可以很容易地识别和过滤来自用户的所有攻击,解决了骨干网设备的安全性问题。而且本发明具有容易部署、简便易行的特点,通常只要统一规划好了一次配置即可。
另外,本发明还可以通过和ACL结合或者在运营商的CE节点上不调整TTL来满足不同的组网以及一些客户对骨干网设备访问的特殊需求。
图1为DDOS攻击示意图;图2为MPLS组网示意图;图3为路由网络组网示意图;图4为本发明在边缘设备中采用的处理过程示意图;图5为本发明在骨干网络设备中采用的处理过程示意图。
具体实施例方式
本发明将提供一种简单易行的方法来解决上述复杂组网中骨干网的安全性问题,即保护骨干网的设备特别是P设备(即骨干网上的设备)不会受到来自用户侧的任何攻击,从而保证骨干网的安全性。
本发明的核心是通过在边缘路由设备上对客户端发出的IP报文的打上区别标识,标识需要防范的来自用户侧的报文,以区别于来自骨干网上的合法的IP报文,从而为骨干网中的路由设备提供相应的安全保证。
本发明可以通过在边缘路由设备上对客户端发出的IP报文的TTL值进行修改,以区别于来自骨干网上的IP报文,从而为骨干网中的路由设备提供相应的安全保证。也就是说,在本发明中,骨干网中的路由设备可以根据接收的报文值与相应的TTL门限值判断报文合法性,以保证骨干网的安全。
本发明在具体实现过程中,还可以采用不同的报文QOS(服务质量)或TOS(服务类型)值区别合法报文,具体可以采用QOS或TOS字段的特殊的位来标示区别不同的报文,等等,使得在核心网设备上就可以很方便的识别和处理这些需要防范的报文。
由于骨干网的设备通常都是运营商的设备,都是由运营商统一控制和部署的,同时,考虑到攻击源基本上都是从CE端发起的,而几乎不存在从骨干网内部发起攻击的情况。因此,如果能很好的标识来自CE的报文和来自骨干网内部的报文(即来自PE设备和P设备的报文),就能在骨干网设备上做到区别处理,从而很容易屏蔽来自CE端的攻击。
对于直接和CE相连的PE设备,是很容易识别其直接相连的CE设备发过来的报文的,因此如果PE设备能在收到CE来的报文后给该报文打上一个容易识别的CE标志,就能实现针对报文的合法性的控制。
下面将以通过修改TTL值的方式实现本发明为例进行详细的说明。
本发明中,考虑到目前所有的IP报文都有TTL字段,该字段本身是需要被中间网络设备修改的以防止环路的发生,因此,可以在骨干网的边缘设备的节点上设定一个用户报文的TTL上限值设为TTL_USER_MAX,而在骨干网的所有网络设备上设定一个可以接受报文的TTL下限值TTL_ACCEPT_MIN,而且,TTL_ACCEPT_MIN值应当大于TTL_USER_MAX,并在边缘设备上控制来自用户IP报文的TTL值都不大于TTL_USER_MAX,这样,便可以实现网络设备的安全性。
下面将结合附图对本发明所述的方法的具体实现方式进行详细的说明。
首先,本发明在PE节点/骨干网边缘设备节点对来自CE侧/用户侧的报文的处理过程如图4所示,具体包括以下步骤
步骤41边缘设备接收CE侧发来的报文,提取报文中的TTL值;步骤42判断所述的报文中的TTL是否大于设定的所述的TTL上限值TTL_USER_MAX,如果是,则执行步骤43,否则,执行步骤44;步骤43调整报文的TTL值为TTL_USER_MAX,并转发;本发明的核心便是在该步骤中对报文中的TTL值进行调整,从而使得用户侧发来的报文的TTL值不同于骨干网内部的报文的TTL值,使得在骨干网的路由设备上能够方便地区别出来自于用户的报文和来自于骨干网设备的报文,以将存在隐患的来自用户的报文进行单独的处理;也就是说,本发明中通过该步骤的处理,需要保证在骨干网络上传输所述来自于客户端的报文过程中,相应的报文中的TTL值的变化范围需要与来自骨干网络自身的报文中的TTL值的范围不重合,这样,才能够使得骨干网设备可以根据接收的报文中的TTL值有效区分出存在安全隐患的来自客户端的报文,以便于进行相应的过滤处理;本发明中,所述的TTL_USER_MAX值是根据骨干网中传输的骨干网内部的报文可能应用到的TTL值确定,例如,若骨干网内部的报文可能应用到的TTL值为255至200,则所述的TTL_USER_MAX值需要设置为小于200,例如,可以将所述的TTL_USER_MAX值设置为160、150等等;步骤44将所述报文中的TTL减1后,进行转发处理,即对所述报文进行正常的转发处理。
本发明在PE/P节点或骨干网节点设备上对收到的发到本机的报文的处理过程如图5所示,具体包括以下步骤步骤51骨干网节点设备接收报文,并提取报文中的TTL值;步骤52判断所述报文中的TTL是否大于或等于设定的所述的TTL下限值TTL_ACCEPT_MIN,如果是,则执行步骤53,否则,执行步骤54;步骤53表明所述的报文是来自骨干网的报文,并交给上层进行处理;
步骤54确定所述的报文来自于客户端,需要对其进行安全性处理;具体的安全性处理的方法包括以下两种(1)将所有来自骨干网的报文均认为是非法报文,即存在安全隐患的报文,并直接丢弃所述报文,从而保证骨干网设备的安全,进而保证骨干网络的安全性;(2)还可以设置针对客户端报文的访问控制列表ACL,用于对存在安全隐患的来自客户端的报文进行过滤处理;在所述的ACL中可以记录合法报文的特征信息,具体可以包括源地址、目的地址、源端口和目的端口信息中的一种或多种,当骨干网设备接收报文后,便可以将接收的报文中的相应的特征信息与ACL中的合法报文的特征信息进行比较从而过滤出其中的非法报文,仅将合法报文交给上层处理,这样,本发明便可以通过和设备中的ACL结合,满足不同的组网以及一些客户对骨干网设备访问的特殊需求;也就是说,如果该节点允许一些特殊的访问,则可以设置相应的ACL,当报文中的TTL值小于所述的TTL_ACCEPT_MIN值后,则需要通过增加设置的ACL对所述报文进行进一步的过滤处理,并将其中合法的报文交由上层进行处理,对于非法的报文,则进行丢弃处理;当然,本发明在具体实现过程中可以根据需要确定是否在运营商的CE节点上进行TTL调整,以满足不同的组网以及一些客户对骨干网设备访问的特殊需求。
总之,本发明中,由于对于从骨干网转发的报文的跳数是不确定的,因此,本发明中,可以通过修改合适的TTL下限值TTL_ACCEPT_MIN,以及TTL上限值TTL_USER_MAX值,从而实现用户的应用以及骨干网内部的通讯均不受影响。
综上所述,本发明可以标识区分来自用户数据(CE侧)与来自骨干网内部数据,从而使得在骨干网设备上可以很容易地识别和过滤来自用户的所有攻击,有效解决了骨干网设备的安全性问题。而且本发明在具体实现过程中容易部署,即统一规则后通过一次配置便可以实现本发明。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种提高骨干网络安全性的实现方法,其特征在于,包括A、骨干网络中的边缘设备接收客户端发来的报文;B、在所述报文中设置承载区别于来自骨干网络自身的传输报文的标识信息,并发送;C、在骨干网络中的设备上根据接收的报文中的标识信息识别出来自于客户端的报文,并进行安全性处理。
2.根据权利要求1所述的提高骨干网络安全性的实现方法,其特征在于,所述的步骤B包括将所述报文中的生存时间TTL值修改为区别于来自骨干网络自身的传输报文可能应用到的TTL值,并发送。
3.根据权利要求2所述的提高骨干网络安全性的实现方法,其特征在于,所述的步骤B包括在骨干网络上传输所述来自于客户端的报文过程中,相应的报文中的TTL值的变化范围与来自骨干网络自身的报文中的TTL值的范围不重合。
4.根据权利要求2所述的提高骨干网络安全性的实现方法,其特征在于,所述的步骤B具体包括将所述来自于客户端的报文中的TTL值修改为小于设定的TTL上限值,所述的TTL上限值为根据骨干网络自身传输的报文可能应用到的TTL值确定。
5.根据权利要求4所述的提高骨干网络安全性的实现方法,其特征在于,所述的步骤B包括B1、将接收到的来自于客户端的报文中的TTL值与设定的TTL上限值进行比较,如果报文中的TTL值大于设定的TTL上限值,则执行步骤B2,否则,将该报文中的TTL值作减1处理,执行步骤B3;B2、将所述的报文中的TTL值修改为所述TTL上限值,执行步骤B3;B3、发送所述的修改TTL值后的报文。
6.根据权利2至5任一项所述的提高骨干网络安全性的实现方法,其特征在于,所述的步骤C包括C1、骨干网络中设备接收报文后,将报文中的TTL值与设定的TTL下限值比较,如果报文中的TTL值小于设定的TTL下限值,则执行步骤C2,否则,执行步骤C3;C2、确定该报文为来自于客户端的报文,需要对其进行安全性处理;C3、确认该报文为来自骨干网络自身的报文,并交由上层进行处理。
7.根据权利要求6所述的提高骨干网络安全性的实现方法,其特征在于,所述的TTL下限值大于所述的TTL上限值。
8.根据权利要求6所述的提高骨干网络安全性的实现方法,其特征在于,所述的步骤C2包括确定该报文为来自于客户端的报文,并丢弃所述来自于客户端的报文。
9.根据权利要求6所述的提高骨干网络安全性的实现方法,其特征在于,所述的步骤C2包括确定该报文为来自于客户端的报文,并获取报文中的特征信息;根据所述的特征信息及记录的合法报文的信息判断该报文是否合法,如果是,则将该报文交由上层进行处理,否则,丢弃该报文。
10.根据权利要求9所述的提高骨干网络安全性的实现方法,其特征在于,所述的特征信息包括报文的源地址、目的地址、源端口和目的端口信息中的至少一项。
11.根据权利要求9所述的提高骨干网络安全性的实现方法,其特征在于,所述的合法报文的信息为记录于骨干网中设备的访问控制列表ACL中。
12.根据权利要求1所述的提高骨干网络安全性的实现方法,其特征在于,所述的步骤B包括在所述的报文服务质量QOS或服务类型TOS值修改为区别于来自骨干网络自身的传输报文可能应用到的QOS或TOS值,并发送。
全文摘要
本发明涉及一种提高骨干网络安全性的实现方法。本发明主要包括首先,当骨干网络中的边缘设备接收客户端发来的报文时,将所述报文中的生存时间TTL值修改为区别于来自骨干网络自身的传输报文可能应用到的TTL值,并发送,之后,在骨干网络中的设备上根据接收的报文中的TTL值识别出来自于客户端的报文,并进行安全性处理,以避免非法报文对骨干网络中的设备的攻击。因此,本发明的实现可以有效解决骨干网设备的安全性问题;而且本发明具有容易部署、简便易行的特点。
文档编号H04L12/56GK1878125SQ20051007493
公开日2006年12月13日 申请日期2005年6月6日 优先权日2005年6月6日
发明者雷奕康 申请人:华为技术有限公司