专利名称:一种防止网络攻击的方法及装置的制作方法
技术领域:
本发明涉及网络信息安全技术领域,具体涉及防止网络攻击的方法及 装置。
背景技术:
拒绝服务(DoS, Denial of Service)攻击是一种对网络危害4艮大的恶 意攻击,通常是由一台主机攻击目标,而分布式拒绝服务攻击(DDoS, Distribute Denial of Service )是控制网络上大量的主机来对服务器发起的 集体攻击。DoS攻击具有代表性的攻击手段包括死亡之ping (Ping of Death)、 泪滴TearDrop攻击、用户凄史据才艮协议UDP ( User Datagram Protocol)洪水 攻击(FloodingAttack) 、 SYN洪水攻击、Land攻击、IP欺骗DoS等。一个典型的利用TCP协议的DDoS攻击方式如下网络传输控制协议(TCP )是一个面向连接的协议,在网络中的通 信双方通过此协议进行通信之前,需要建立一条连接。连接的建立分为 三个步骤一、建立连接时,客户端发送一个SYN报文,指明客户端打算连接 的服务器的端口,以及初始序号x;二、 服务器发回一个包含服务器的初始序号y的SYN报文作为应答, 同时,将确认序号ACK设置为(x+1)以对客户的SYN报文进行确认,一 个SYN将占用一个序号;三、 客户端将确认序号ACK设置为(y+1)来对服务器的SYN报文进 行确认。这三个报文完成TCP连接的建立。也称为"三次握手"过程。DoS攻击就是一种针对TCP连接的"三次握手"过程的攻击方式。在第 二步服务器端发送连接应斜良文后,客户端恶意地不发送第三次确认报 文,导致服务器端一直等待第三次确认消息,并会反复发送第二次应叙艮 文给客户端,从而占用大量的服务器资源,最终导致服务器无法为其它客 户提供正常的服务。现有技术中的 一种防止DDoS攻击的方法如下通过正确配置3各由器来防止DDoS攻击的方法,包括使用扩展访问 列表,使用单一地址逆向转发,使用TCP拦截,使用基于内容的访问控制 的方法。基于内容的访问控制技术是根据应用层会话信息,智能地过滤TCP和 UDP数据包,防止DoS攻击的方法。它通过设置超时时限值和会话门限值 来决定会话的维持时间以及何时删除半连接。它正是通过监视半连接的数 量和产生的频率来防止洪水攻击。每当有不正常的半连^^妄建立或者在短时 间内出现大量半连接的时候,用户可以判断是遭受了洪水攻击。基于内容的访问定时(如,每分钟)检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器 就会删除一些半连接,以保证新建立连接的需求,路由器持续删除半连接, 直到存在的半连接数量低于另一个门限值,同样,当试图建立连接的频率 超过门限值,路由器就会采取相同的措施,删除一部分连接请求,并持续 到请求连接的数量低于另 一个门限值。通过这种连续不断的监视和删除, 可以有效防止SYN洪水攻击。但是,通过设置半连接的门卩艮值的方法有 一定的误差,不能精确地判断DDos攻击的连接和正常连接中可能产生的 半连接。发明内容本发明实施例提供一种防止网络攻击的方法及装置,提高网络安全性。本发明实施例提供一种防止网络攻击的方法,包括 获取数据包,所述数据包的源地址为加密生成地址CGA; 确定所述数据包中包含所述加密生成地址CGA参数和签名信息; 对CGA参数进行验证,根据验证通过的CGA参数验证签名信息; 当所述签名信息验证通过后,将所述数据包发送给目标地址。 本发明实施例还才是供一种防止网络攻击的方法,包括 根据源地址和公钥生成CGA参数和签名信息;将数据包源地址、所述CGA参数和签名信息附加在数据包,发送所 述数据包,所述源地址为根据所述公钥生成的加密生成地址CGA。 本发明实施例4是供一种防止网络攻击的装置,包括 数据包接收模块,用于获取数据包,所述数据包的源地址为加密生成 地址CGA;数据包检查模块,用于对收到的数据包进行检查,判断其是否包含 CGA参数和签名信息,发送第一检查结果;CGA验证模块,用于当所述第一检查结果表示检查到有CGA参数,对 所获取数据包的CGA参数进行验证,发送验证结果;签名验证模块,用于所述CGA验证模块发送的验证结果表明所述 CGA参数通过验证,根据验证通过的CGA参数验证签名信息,发送验证 结果;主控制模块,用于根据收到所述第一检查结果、CGA验证模块或签 名验证模块发送的验证结果处理发送给服务器的数据包;当所述CGA验证模块对所获取数据包的CGA验证成功且所述签名验 证模块验证成功,所述主控制模块将所述数据包发送给目标地址。 本发明实施例还提供一种防止网络攻击的装置,包括 参数生成模块,用于根据源地址和公钥生成CGA参数和签名信息; 参数附加模块,用于将所述源地址、CGA参数和签名信息附加在数 据包,所述源地址为根据公钥生成的加密生成地址CGA; 数据包发送模块,用于发送所述数据包。本发明实施例提供的技术方案中,在数据包中附上CGA参数及签名 信息,在接收到数据包时检查数据包是否包含CGA参数及签名信息。通 过对CGA参数及签名信息进行验证,如果对CGA参数及签名验证均成功, 将通过验证的数据包发给目标地址,直接利用数据包使用的CGA参数来 保证数据包发送地地址的非伪造性,从而防止了通过伪造地址来实施网络 攻击。并且通过对签名信息的验证,进一步保证了数据包发送方身份及其 地址绑定的真实性。从而将非法的数据包过滤掉,防止对服务器的网络攻 击,提高网络安全性能。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对 实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地, 下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员 来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的 附图。图1为本发明实施例一提供的防止网络攻击方法流程图; 图2为本发明实施例二提供的防止网络攻击方法流程图; 图3 (a)及(b)分别为本发明实施例CGA参数和CGA扩展头的数 据结构的示意图;图4为本发明实施例三提供的防止网络攻击方法流程图;图5为本发明实施例四提供的防止网络攻击方法流程图;图6为本发明实施例五提供的防止网络攻击的装置结构示意图;图7为本发明实施例六提供的防止网络攻击的装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进 行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例, 而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没 有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的 范围。IPv6 (Internet Protocol Version 6 )作为下一代互联网协议,将越来越 广泛地被应用。IPv6相对于现在的IP (即IPv4)有如下特点扩展的寻 址能力,筒化的报头格式,对扩展报头和选项支持的改进,标识流的能力, iU正和加密能力。 实施例一如图l(a)所示,本发明实施例提供一种防止网络攻击方法,在数据包 发送方,具体包括以下步骤步骤ll:根据源地址和公钥生成CGA参数和签名信息;在IPv6网络中,网络地址的规划更为合理,同 一子网内的网络地址都有相同的网络前缀,通过网络地址中的网络前缀就可以确定出这个地址是否是这个子网内的地址。IPv6地址有128位,前64位为子网前缀,后 64位为接口标识符。本发明实施例中,假定发送数据包的都是客户端, 客户端在加入网络时,网络系统会分配一个公钥给客户端,同时子网前 缀也是固定的,客户端根据公钥和一些附加参数通过计算单向哈希函数 生成接口标识符,生成的接口标识符和子网前缀共同组成CGA,生成的 CGA就作为客户端的IP地址。具体地,接口标识符根据RFC3972中定义 的算法生成。CGA参数的数据结构如图3 (a),包含修正域、子网前缀、公钥和扩 展域,还可能包括冲突计数;根据源地址生成CGA参数具体包括将子网 前缀、公钥和冲突计数分别插入固定的数据结构中,生成CGA参数;根据源地址生成签名信息具体包括采用私钥对数据包载荷进行加密 得到签名信息,该私钥与生成所述CGA地址的公钥所对应。步骤12:将所述源地址、CGA参数和签名信息附加在数据包,发送所 述数据包,所述源地址为根据公钥生成的加密生成地址CGA。IPv6数据包包含基本头,数目不固定的扩展头及其载荷。其中,基 本头中包含源地址和目的地址,并指明下一个扩展头。CGA扩展头结构 如图3 (b)所示,扩展头中也包含指明下一个头的字段,还包含定义的 与此扩展头相关的选项,CGA扩展头中还包含CGA参数和签名信息。本发明实施例通过根据源地址生成CGA参数和签名信息,并附在数 据包中,来证明数据包发送方地址的可靠性;CGA参数根据公钥产生, 签名信息根据公钥对应的私钥产生,由于公钥和私镇具有一 定的身份标 识性和私密性,他人不容易进行身分伪造。 实施例二如图2所示,本发明实施例提供一种防止网络攻击方法,在数据包接 收方,具体包括以下步骤步骤21:获取数据包,该数据包的源地址为加密生成地址CGA; 步骤22:确定所述数据包中包含所述加密生成地址CGA参数和签名信息;具体地,确定数据包CGA扩展头结构里是否包含有CGA参数和签名信 息;如果没有包含CGA参数和签名信息或只包含一种参数,则丟弃数据包。 步骤23:对CGA参数进行验证,根据验证通过的CGA参数验证签名信台 具体地,本实施例中所述对数据包的CGA参数进行验证的步骤包括对CGA参数中的公钥重新进行哈希计算得到哈希值,与源地址中的接 口标识符比较,如果两者不一致,则CGA-险i正失败;或者检查CGA参数数据结构中的子网前缀是否为所述加密生成地址 的子网前缀,若不是,则CGA验证失败;或者检查CGA参数数据结构中的沖突计数是否在预定的范围内,若不 在预定的范围内,则CGA验证失败。具体地,本实施例中根据验证通过的CGA参数对签名信息进行验证, 包括提取验证通过的CGA参数中的公钥,釆用与签名时相应的加密算法利 用该公钥对所述签名进行计算,将计算得到的值与签名计算之前的值进行 比较,若相同,则签名验证通过。步骤24:当所述签名信息验证通过后,将所述数据包发送给目标地址; 签名验证通过,说明数据包源地址是正确的,没有经过伪造,可以认 为数据包是安全的。如果CGA参数和签名信息没有认证通过,则说明数据包源地址可能是 他人伪造的,那么可能是攻击者所利用的傀儡机发送的数据包,那么数据 包是恶意的,则丟弃该数据包,向客户端发送错误^^告。步骤25:确定所述数据包不包括CGA参数和签名信息,则丢弃该数据 包,向客户端发送错误才艮告。若数据包包含CGA参数和签名信息,或仅包含签名信息时,贝'jDDoS 攻击防御设备查询设备中维护的 一个源IP地址与相应公钥的记录表,判 断数据包的源地址是否在表中,若表中有该源地址项,则用表中对应的 公钥对签名信息进行验证。本发明实施例可以直接利用数据包使用的CGA参数来保证数据包发送地地址的非伪造性,从而防止了通过伪造地址来实施网络攻击。并且通 过对签名信息的验证,进一步保证了数据包发送方身份及其地址绑定的真 实性。从而将非法的IPv6数据包过滤掉,防止对服务器的网络攻击,提高 网络安全性能。 实施例三在这个实施例中,以网络攻击为DDoS攻击,服务器为网络攻击防御设备保护的对象为例,从数据包接收端对防止网络攻击方法进行详细说明,参照图4,在本实施例中,防止网络攻击的具体实现过程包括如下步 骤步骤S100:客户端向服务器发送一个数据包,其源地址是由CGA生 成的IPv6;也址;在这个步骤中,客户端和服务器之间建立会话。 步骤S101:网络攻击防御设备接收该数据包;步骤S102:检查IP数据包中是否包含CGA参数及签名。如果仅包含 签名信息选项,或者CGA参数和签名信息两个选项都包含时,转入步骤 103;如果仅包含CGA参数选项,或者CGA参数和签名信息都不包含时, 转入步骤107;所述签名信息由客户端采用与生成所述源地址的公钥所对应的私钥 对数据包载荷进行加密得到。步骤S103:查询记录表,判断查询表中是否存在该源地址;所述记录表是预先构建的,记录表保存的是验证成功后的源地址和对 应公钥,以供后续验证查询〗吏用。提取所接收的数据包的源地址,查询所迷记录表是否保存有该源地址。步骤S104:如果记录表不存在此源地址记录,则先对CGA参数进行验证,根据验证通过的CGA参数对签名信息进行验证;具体地,本实施例中对CGA参lt进行验证的步骤包括检查CGA参数数据结构中的子网前缀是否为所述加密生成地址的子网前缀,若不是,则CGA验i正失败;检查CGA参数数据结构中的冲突计数是否在预定的范围内,若不在预定的范围内,则CGA验证失败。具体地,本实施例中对签名信息进行马全^L,包括提取验证通过的CGA参数中的公钥,采用与签名时相应的加密算法利 用该公钥对所述签名进行计算,将计算得到的值与签名计算之前的值进行 比较,若相同,则签名验证通过。步骤S105:验证成功后,将源地址和对应的公钥保存到记录表中,并 将数据包转给服务器;源地址不存在记录表中,CGA参数和签名信息又能够通过验证,说明 这是客户端第 一 次发送数据包给服务器;步骤S106:如果记录表中记载有该源地址,则利用记录表中对应的公 钥对签名信息进行验证;因为记录表中保存的都是成功通过CGA^r证的源地址,因此不需要再 对源地址进行CGA一睑i正;具体地,本实施例中对签名信息进行验i正,包括才是耳又-睑证通过的CGA参数中的公钥,采用与签名时相应的加密算法利 用该公钥对所述签名进行计算,将计算得到的值与签名计算之前的值进行 比较,若相同,则签名验证通过。步骤S107:如果数据包中不包含CGA参数选项和签名信息,或仅包含 CGA参数选项时,网络攻击防御设备丟弃该数据包,并向客户端返回错误报告;步骤S108:如果这两个验证中有一个验证不成功,则丢弃该数据包; 步骤S109:验证成功,网络攻击防御设备将通过验证的数据包发给 服务器。当会话结束后,网络攻击防御设备清除记录表中的客户端源地址和对 应7>钥的记录。本发明实施例可以直接利用客户端使用的CGA参数来保证客户端地 址的非伪造性,从而防止了通过伪造地址来实施DDoS攻击。并且通过对 客户端发送的消息的签名的验证,进一步保证了客户端身份及其地址绑定的真实性。从而将非法的IPv6数据包过滤掉,防止对服务器的DDoS攻击,提高网络安全性能。实施例四参照图5,本实施例提供二种防止网络攻击的方法,仍以网络攻击为 DDoS攻击,服务器为网络攻击防御设备保护的对象为例,对防止网络攻 击方法进4于详细i兌明步骤S200,客户端向服务器发送一个数据包,其源地址是由CGA生成 的IPv6地址;步骤S201,网络攻击防御设备接收该数据包;步骤S202,网络攻击防御设备检查此数据包中是否包含CGA参数及签名;步骤S203,如果不包含,则丢弃该数据包,网络攻击防御设备向源端 发送错误报告,来提示客户端发送包含CGA参数及签名的数据包;步骤S204,如果包含,则先对CGA参数进行验证,根据验证通过的 CGA参数对签名信息进行验证;步骤S205,如果这两个验证中有一个验证失败,则验证失败,丢弃该 数据包;步骤S206,如果CGA参数验证和签名验证成功,则网络攻击防御设备 将该数据包发送给服务器。本实施例与实施例三的不同之处在于,实施例三中网络攻击防御设 备需要维护 一 个通过验证的源地址和相应公钥的记录表,在客户端与服 务器的 一次会话期间,只需要在第 一次发起会话的通信中对CGA参数进 行验证,到会话结束之前,期间只需验证签名信息。而在实施例三中, 网络攻击防御设备需要验证客户端发送的每 一 个数据包中的CGA参数和 签名信息。显然,与实施例三相比实施例二省去了对CGA参数重复一验i正 的开销,但需要创建、维护和销毁一个记录表并需要对记录表进行查询。 本实施例提供的技术方案中,通过检查判断IP数据包是否包含CGA 参数及签名信息。通过对CGA参数及签名信息进行验证,如果对CGA参 数及签名验证均成功,将通过验证的数据包发给服务器,这样可确认数据包的发送方合法,将非法的IPv6数据包过滤掉,从而防止对服务器的DDoS攻击,提高网络安全性能。实施例五参照图5,本发明实施例还提供一种防止网络攻击的装置300,包括 数据包接收模块310、数据包检查模块320、 CGA验证模块330、签名验 证模块340和主控制模块350,其中数据包接收模块310,用于获取数据包,该数据包的源地址为加密生 成地址CGA;数据包检查模块320,对收到的数据包进行检查,确认数据包是否包 含CGA参数和签名信息,并生成第一检查结果发送给CGA验证模块330 和主控制模块350;所述CGA参数包含修正域、子网前缀、公钥、冲突计数和扩展域;对数据包载荷进行加密得到。CGA验证模块330,对所获取数据包的CGA参数进行验证,将验证结 果发送给签名验证模块340和主控制模块350;签名验证模块340,利用CGA参数的公钥对数据包的签名信息进行 验证,并将验证结果返回给主控制模块350;主控制模块350,用于根据收到的数据包检查模块320发送的第一检 查结果、CGA验证模块330或签名验证模块340的验证结果,处理数据 包;若所述数据包检查模块320判断所述数据包不包含签名信息,则主控 制模块350将所述数据包丢弃;若所述CGA验证模块330对CGA参数的验证失败或所述签名验证模 块340验证签名信息失败,则所述主控制模块350将所述数据包丟弃;若CGA验证模块330对所获取数据包的CGA参数验证成功且所述签 名验证模块340验证成功,则所述主控制模块350将所述数据包发送给目 的地址。所述防止网络攻击的装置300还包括存储模块360,用于存储记录表,所述记录表包括通过所述CGA验证 模块验证的数据包的源地址及其所对应公钥;记录查询模块370,根据收到的IP数据包的源地址查询存储^^块中的 记录表,将生成的第二检查结果返回给主控制^^莫块。若记录查询模块370查询确定所述源地址存在于记录表中,所述签名 验证模块利用记录表中的公钥对签名进行验证;当所述签名验证通过后, 将所述数据包发送给所述服务器,否则,将所述数据包丟弃;接收到的所述第二检查结果表示记录表中不存在所述数据包的源地 址,将所述数据包的CGA参数和签名信息分别发给所述CGA验证模块和签 名-验证模块进行验证,保存验证通过后的CGA参数和签名信息在所述记录 表中。本实施例提供的防止网络攻击的装置中,通过检查判断数据包是否包 含CGA参数及签名信息。通过对CGA参数及签名进行验证,如果对CGA 参数及签名验证均成功,该防止网络攻击装置将通过验证的数据包发给目 标网络设备,这样可将非法的IPv6数据包过滤掉,,人而防止对目标网络设 备的网络攻击,从而提高网络安全性能。实施例六参照图7,本发明实施例还提供一种防止网络攻击的装置,包括 参数生成模块601,用于根据源地址和公钥生成CGA参数和签名信息, 所述源地址为根据公钥生成的加密生成地址CGA ,源地址通常为IPv6地 址;公钥为本实施例提供的防止网络攻击的装置在进入网络时由网络自动 发放的。具体地,参数生成模块包括CGA参数生成单元6011,用于将源地址的子网前缀、公钥和冲突计数 分别插入固定的数据结构中,生成CGA参数;签名信息生成单元6012,用于采用私钥对数据包载荷进行加密得到签 名信息,该私钥与生成所述CGA地址的公钥所对应。参数附加模块602,用于将所述源地址、CGA参数和签名信息附加在 数据包;IPv6数据包包含基本头,数目不固定的扩展头及其载荷。其中,基本头中包含源地址和目的地址,并指明下一个扩展头。CGA扩展头结构 如图3(b)所示,扩展头中也包含指明下一个头的字段,还包含定义的与此扩展头相关的选项,CGA扩展头中还包含CGA参数和签名信息。数据包发送模块603,用于发送所述数据包。具体地,发送包括了基 本头、扩展头和载荷的数据包。本发明实施例通过根据源地址生成CGA参数和签名信息,并附在数据 包中,来证明数据包发送方地址的可靠性;CGA参数才艮据公钥产生,签名 信息根据公钥对应的私钥产生,由于公钥和私钥具有一定的身份标识性 和私密性,他人不容易进行身分伪造。显然,本领域的技术人员应该明白,上述的本发明的各单元或各步骤 可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者 分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执 行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来 执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个单 元或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特 定的硬件和软件结合。以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护 范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等, 均包含在本发明的保护范围内。
权利要求
1、一种防止网络攻击的方法,其特征在于,包括获取数据包,所述数据包的源地址为加密生成地址CGA;确定所述数据包中包含所述加密生成地址CGA参数和签名信息;对CGA参数进行验证,根据验证通过的CGA参数验证签名信息;当所述签名信息验证通过后,将所述数据包发送给目标地址。
2、 如权利要求1所述的方法,其特征在于,所述对CGA参数进行验 证,根据验证通过的CGA参数验证签名信息包括查询记录表是否存在所述数据包的源地址;如果不存在所述源地址,对CGA参数进行验证,根据验证通过的CGA 参数对签名信息进行验证,验证通过后,保存所述源地址和对应的公钥在所 述记录表中;如果验证不通过,丟弃所述数据包;如果存在所述源地址,利用记录表中对应的公钥对签名信息进行验证, 如果验证不通过,丢弃所述数据包。
3、 如权利要求1或2所述的方法,其特征在于,所述CGA参数包含 公钥、子网前缀和冲突计数,所述对CGA参数进行验证包括对CGA参数中的公钥进行哈希计算得到哈希值,与源地址中的接口标识 符比较,如果两者不一致,则CGA^r证失败;或者检查CGA参数中的子网前缀是否为所述加密生成地址的子网前缀,若 不是,则CGA验证失败;或者检查CGA参数中的冲突计数是否在预定的范围内,若不在预定的范围 内,则CGA验i正失败。
4、 如权利要求1或2所述的方法,其特征在于,所述CGA参数包括 公钥,所述根据验证通过的CGA参数验证签名信息包括采用与签名时相应的加密算法利用所述公钥对所述签名进行计算,将计 算得到的值与签名计算之前的值进行比较,若相同,则签名验证通过。
5、 如权利要求2所述的方法,其特征在于,进一步包括 丟弃所述数据包后,向发送所述数据包的源地址返回错误报告。
6、 一种防止网络攻击的方法,其特征在于,包括 根据源地址和公钥生成CGA参数和签名信息;将数据包源地址、所述CGA参数和签名信息附加在数据包,发送所述 数据包,所述源地址为根据所述公钥生成的加密生成地址CGA。
7、 如权利要求6所述的方法,其特征在于,所述签名信息采用私钥对 数据包载荷进行加密得到,所述私钥与生成所述CGA的公钥相对应。
8、 如权利要求6所述的方法,其特征在于,所述CGA参数包括修正 域、子网前缀、公钥、冲突计数和扩展域。
9、 如权利要求6所述的方法,其特征在于,所述数据包包括基本头、 扩展头和载荷,所逸基本头包括源地址和目的地址,扩展头包括CGA参数 和签名信息。
10、 一种防止网络攻击的装置,其特征在于,包括 数据包接收模块,用于获取数据包,所述数据包的源地址为加密生成地址CGA;数据包检查模块,用于对收到的数据包进行检查,判断其是否包含CGA 参数和签名信息,发送第一检查结果;CGA验证模块,用于当所述第一检查结果表示检查到有CGA参数,对 所获取数据包的CGA参数进行验证,发送验证结果;签名验证模块,用于所述CGA验证模块发送的验证结果表明所述CGA 参数通过验证,根据验证通过的CGA参数验证签名信息,发送验证结果;主控制模块,用于根据收到所述第一检查结果、CGA验证模块或签名 验证模块发送的验证结果处理发送给服务器的数据包;当所述CGA验证模块对所获取数据包的CGA验证成功且所述签名验 证模块验证成功,所述主控制模块将所述数据包发送给目标地址。
11、 如权利要求IO所述的装置,其特征在于,还包括存储模块,用于存储记录表,所述记录表包括通过所述CGA验证模块 验证的数据包的源地址及其所对应公钥。
12、 如权利要求ll所述的装置,其特征在于,还包括 记录查询模块,根据所述数据包的源地址查询存储模块中的记录表,向所述主控制模块发送第二检查结果;所述主控制模块还用于,当接收到的所述第二检查结果表示记录表中存在所述数据包的源地址,利用记录表中对应的公钥对签名信息进行验证,如 果验证不通过,丟弃所述数据包;当接收到的所述第二检查结果表示记录表中不存在所述数据包的源地址,将所述数据包的CGA参数和签名信息分别 发给所述CGA验证模块和签名验证模块进行验证,保存验证通过后的CGA 参数和签名信息在所述记录表中。
13、 一种防止网络攻击的装置,其特征在于,包括 参数生成模块,用于根据源地址和公钥生成CGA参数和签名信息; 参数附加模块,用于将所述源地址、CGA参数和签名信息附加在数据包,所述源地址为根据公钥生成的加密生成地址CGA; 数据包发送模块,用于发送所述数据包。
14、 如权利要求13所述的装置,其特征在于,所述参数生成模块包括 CGA参数生成单元,用于将源地址的子网前缀、公钥和冲突计数分别插入固定的数据结构中,生成CGA参数;签名信息生成单元,用于采用私钥对数据包载荷进行加密得到签名信 息,所述私钥与生成所述CGA地址的公钥所对应。
全文摘要
本发明实施例公开了一种防止网络攻击的方法,包括获取数据包,所述数据包的源地址为加密生成地址CGA;确定所述数据包中包含所述加密生成地址CGA参数和签名信息;对CGA参数进行验证,根据验证通过的CGA参数验证签名信息;当所述签名信息验证通过后,将所述数据包发送给目标地址。本发明实施例还相应地提供防止网络攻击的装置,直接利用数据包使用的CGA参数来保证数据包发送地地址的非伪造性,从而防止了通过伪造地址来实施网络攻击。并且通过对签名信息的验证,进一步保证了数据包发送方身份及其地址绑定的真实性。从而将非法的数据包过滤掉,防止对服务器的网络攻击,提高网络安全性能。
文档编号H04L9/36GK101404579SQ20081017468
公开日2009年4月8日 申请日期2008年10月31日 优先权日2008年10月31日
发明者冯鸿雁, 刘利锋 申请人:成都市华为赛门铁克科技有限公司