专利名称:在电信系统中提供拒绝服务保护的系统和方法
技术领域:
本发明总体上涉及通信网络,更具体地说,涉及采用拒绝服务保护(denial of service protection)的电信系统。
背景技术:
移动节点(丽)是 一 种可以移动从而改变其对于网络的附着点(attachment point)的装置,这通常表示随着时间的推移,它可以改变其网络(IP)地址。多穴节点 (multihomed node)是一种可以同时具有若干个网络附着点,从而同时具有若干个IP地址 的装置。因此,移动多穴网络节点(匪N)是一种可以同时具有许多地址的节点,并且所有这 些地址或这些地址中的任何地址都可以随着时间的推移而改变。移动多穴攻击者(MMA)是 控制一个(或更多个)匪N的恶意方。MMA可以是匪N的使用者或已经在匪N中植入了病毒 或者某一功能,从而可能未"物理"连接到匪N的某个人(或某一实体)。
对于MMA来说,可能使用匪N来发起对MMA能够将匪N附着到的任何网络的网络 洪流攻击(network flooding attach)。可以通过使用移动因特网协议版本6 (MIP6)协议 来进行该匪N附着。通过转向MMA同时控制连接至不同网络的不同接口的背景下,使来自 匪N的洪流攻击成为可能。在这样的多穴背景下,MMA能够利用移动性信令消息以组合任何 两个或更多个接口,并且将它们呈现给对应的节点,就如同是归属网络(home network)或 外地网络的情况。 为了与这样的MMA对抗,可以使用在诸如3GPP网络的网络中常见的入站过滤 (ingress filtering)。尽管入站过滤可以提供识别攻击者的能力,但是入站过滤可能无法 阻止攻击。此外,在非3GPP环境中,由于电信系统是一个更开放并且"公共"的环境所以其 具有更少的控制,因此问题会严重得多。例如,如果在3GPP环境之外,那么并不是所有附着 的MN都可被正确地认证。同样地,如将要说明的,入站过滤并不总是有效的。
图1是示出了在来自对电信系统12中匪N 14进行控制的MMA的传统洪流攻击 中所执行的迂回路由(RR)过程的简化框图。该电信系统包括移动多穴网络节点(匪N)14。 匪N 14包括第一接口 ^和第二接口 I2。这些接口可能与IP地址相关联。该电信系统还包 括通信节点(CN)18和20。 为了发起网络洪流攻击,MMA必须将匪N的一个接口 (例如,I》附着到其对应的 归属网络或外地网络,并将另一个接口 (I2)附着到目标节点(例如,CN 18或20)。
为了开始洪流攻击,MMA利用匪N的接口 L来建立与不同CN的不同会话。与不同 的CN建立了这些不同的会话之后,MMA通过触发迂回路由(RR)过程将匪N切换至路由优 化(R0)模式。RR过程需要归属地址(HoA)可达性测试以及转交地址(CoA)可达性测试,其 中,HoA可达性测试涉及与各CN 18和20交换HoTI/HoT消息30和32,而CoA可达性测试 涉及与CN交换CoTI/CoT消息34和36。为此,通过将在I:上配置的匪N的IPv6地址作为 HoA来执行HoA可达性测试。此外,通过将在I2上配置的IPv6地址作为CoA来执行CoA可 达性测试。
图2是示出了从电信系统12中的匪N14发起的传统洪流攻击过程中的绑定更新 交换过程的简化框图。完成所有RR过程之后,使匪N向接口 12上的各CN 18和20发送绑 定更新(BU)消息以请求在两个地址之间建立绑定并且对朝向目标网络的数据包进行重路 由。在优化移动IPv6(0MIPv6)中,BU和绑定确认(BA)消息40和42的第一次交换使匪N 与CN共享长寿命秘密(long lifetime secret)。此外,在CN和匪N之间发送数据消息44 和46。 图3是示出了电信系统12中传统洪流攻击中对目标网络进行洪流攻击的数据包 的简化框图。当MMA IO切断接口 k,从而匪N从目标网络中消失时,攻击开始。同时,只要 需要,就使匪N 14继续向接口 L上的各CN发送确认(ACK)消息50和52以对目标网络进 行洪流攻击。MMA可以在任何时间将匪N接口 12重新附着到目标网络,自动配置新的IP地 址,并且使用新的IP地址在再次消失之前向CN 18和20发送新的BU消息。
上述攻击对于入站过滤是免疫的(immune),尤其是当各接口正使用其特有的合法 IP地址并且正在仅发送合适的信令消息时。从根本上来讲,攻击的主要特点是与MMA相关 联的匪N14利用在接口上配置的整个可用地址(即,HoA和CoA)池。在向网络洪流攻击的 扩展中,多个接口被用作各自为不同的归属网络,并且这些接口被用于向CN发送ACK消息。
不存在可对抗来自匪N的洪流攻击的现有系统或方法。在3GPP设置中,可能假 设入站过滤在恰当的位置。但是,入站过滤无法阻止攻击。在3GPP设置中,由于强认证 (strong authentication)的使用,有可能在攻击之后识别并且追踪攻击者。但是,在3GPP 设置中,无法阻止洪流攻击。MMA所利用的信令模式是完全合法的,并且无法被检测为被用 于发起恶意攻击。在电信系统使用非3GPP设置的情况下,更容易受到来自MMA攻击的影响。
因此,需要一种保护电信系统不受MMA攻击的系统和方法。本发明就提供了这种 系统和方法。
发明内容
本发明是一种保护电信系统不受来自多穴网络节点的洪流攻击的系统和方法,更
具体地说,是一种移动多穴网络节点(匪N)。另选的是,攻击者(MMA)可以是匪N的使用者
或已经在匪N中植入了病毒或者某一功能,从而可以不"物理"连接到匪N的某个人(或某
一实体)。本发明提供了对检测到的拒绝服务(DoS)洪流攻击的保护和制止。 在一个实施方式中,假设匪A控制一个单独的匪N,从而由于MMA的行动是通过
MMA控制匪N来执行某些协议行动来实现的,因此可以互换地使用术语匪N/MMA。当然,MMA
控制多个匪N的情况是更严重的,但是通过将与下面公开的方法相同的方法应用到各个被
控制的匪N可以逐个地(或,并行地)处理分布式拒绝服务(DDoS)攻击。 因此,一方面,本发明旨在一种保护电信网络不受来自多穴网络节点的洪流攻击
的系统,该电信系统向充当该多穴网络节点的通信节点(CN)的网络节点提供通信。该系
统包括用于确定在CN和多穴网络节点开始在其间传送数据包之后多穴网络节点是否
在预定时间内保持可达的装置;以及响应于多穴网络节点不再可达的确定,从CN中清除
(flush)与多穴网络节点相关联的缓存信息的装置。该多穴网络节点可以是具有多个IP地
址的移动多穴网络节点(匪N)。用于确定多穴网络节点是否保持可达的装置可以是与CN相
关联的接入路由器(AR),其对匪N进行可达性测试。如果多穴网络节点不再可达,那么AR向CN发送指示CN来清除与多穴网络节点相关联的缓存信息的消息。清除了缓存后,有效 地阻止了朝向被攻击的网络的数据传输。 另一方面,本发明旨在一种保护电信网络不受来自多穴网络节点的洪流攻击的方 法,该电信网络向充当该多穴网络节点的通信节点(CN)的网络节点提供通信。所述方法包 括以下步骤在CN和多穴网络节点之间传送数据;以及确定多穴网络节点是否保持可达。 如果多穴网络节点保持可达,则该方法继续在CN和多穴网络节点之间传送数据。如果多穴 网络节点不再可达,则该方法从CN中清除与多穴网络节点相关联的缓存信息。多穴网络节 点可以是具有多个IP地址的移动多穴网络节点(匪N)。 另一方面,本发明旨在一种保护电信网络不受来自多穴网络节点的洪流攻击的网 络保护节点,该电信网络向充当该多穴网络节点的通信节点(CN)的网络节点提供通信。该 保护节点包括用于确定在CN和多穴网络节点开始在其间传送数据包之后多穴网络节点 是否在预定时间内保持可达的装置;以及响应于多穴网络节点不再可达的确定、向CN发送 指示CN来清除与多穴网络节点相关联的缓存信息的消息的通信装置。在一个优选实施方 式中,网络保护节点是接入路由器。
在下面的部分中,参照附图中所示的示例性实施方式来描述本发明。 图l(现有技术)是示出了来自电信系统中的匪N的传统洪流攻击中所执行的迂
回路由(RR)过程的简化框图; 图2 (现有技术)是示出了来自电信系统中的匪N的传统洪流攻击过程中的绑定 更新交换过程的简化框图; 图3 (现有技术)是示出了来自电信系统中的匪N的传统洪流攻击中对目标网络 进行洪流攻击的数据包的简化框图; 图4是本发明示例性实施方式中采用DoS保护的电信系统的组件的简化框图;
图5是示出了在本发明示例性实施方式中防御来自MMN的攻击时的消息流程的信 令图;而 图6A-6B是示出了本发明方法的示例性实施方式中防御来自匪N的攻击时的步骤 的部分流程图。
具体实施例方式
图4是本发明示例性实施方式中采用DoS保护的电信系统100的组件的简化框 图。本发明提供了电信系统IOO内部对拒绝服务(DoS)攻击的保护。该系统包括CN 102、 CN104以及接入路由器(AR)106。与传统情况一样,匪N 108试图通过CN来攻击目标网络。
本发明积极地涉及保持MIPv6路由优化(R0)模式在网络的两个端点之间运行的 外地网。在本发明的一个实施方式中,利用了防御这些攻击的三个规定。第一个规定是将 匪N CoA可达性测试委托给匪N的接入路由器(AR)。第二个规定是引入新的信令消息,该 信令消息告知CN清除CN内部的缓存信息,这将以其他方式用于保持去往目标网络的数据 流,从而阻止洪流。第三个规定是使MMA意识到在网络中执行了上述两个步骤。这通过使 MMA意识到对策已就绪来提供对匪N的攻击的制止。
在第一个规定中,CoA可达性测试110是在匪N 108和AR 106之间进行的,它用 前缀可达性测试替换了图1中的CoTI/CoT消息。 在本发明的第二个规定中,主要目的是提高外地网抵抗图1-3中描述的洪流攻击 的能力。为了实现这个目的,利用匪N和其AR之间的信任来同样建立AR和CN之间的信任 关系,还与匪N强关联,其中,匪N和其AR之间的信任是通过运行OptiSEND协议而获得的。 应当理解的是,匪N可以是攻击者。因此,目的不是创建从匪N到CN的"传递"信任,而是 创建从CN到匪N的"传递"信任。因此,如果匪N确实是攻击者,那么所利用的主要信任是 AR 108和CN 102、104之间的信任。这个信任可以与特定匪N 108相关联。
CN和AR之间的信任关系使得AR 106能够明确且安全地请求CN从其绑定缓存条 目(BCE)120中清除已经被用于发起对网络的洪流攻击的任何CoA。为此,AR优选地向CN 发送包含匪N的HoA的、被称为"绑定清除请求"(BFR)消息112的新的移动性信令消息。 如果AR 106已经正确地认证了匪N 108并且AR是信任的,那么可将所发现的攻击联系到 匪N,并且通常情况下,CN可以将转除消息联系到攻击中所涉及的特定匪N。
接收到有效的BFR消息112后,CN从其BCE 120中删除匪N的对应条目并且关闭 与所有与匪N 108正在进行的会话。此外,各CN优选地通过发送绑定清除确认(BFA)消息 122来回复AR 106。 BFA消息还优选地用AR所使用的密钥来进行认证。
本发明的第三个规定是使由MMA所控制的匪N 108完全意识到电信系统10中正 在采取保护措施(即,第一和第二规定)。优选地通过向OptiSEND协议中添加扩展来向MMA 通报外地网规则,这明确地请求匪N与AR共享其通过运行0MIPv6协议而获得的长寿命共 享秘密(Ks)的无用信息(hash)。 OptiSEND协议中的扩展可以包括在AR周期性发送的路 由器广播(RtAdv)消息中设置的一个新位。SEND协议还可用于通报MMA该电信系统中正在 采取保护措施。 被称为Kc的新的共享密钥使得AR 106和CN能够对前缀可达性测试消息进行认 证(即,隐含地测试Kc有效性),并且上所讨论对BFR和BFA消息进行认证。
图5是本发明的示例性实施方式中用于防御来自MMA的攻击的信令图。在CN 102 和104与MMA的匪N 108之间传送数据(在190)。在CN正传送数据包的时段内,在AR 106 与MMN 108之间进行可达性测试110 (在200)。在202, AR触发不可达性检测过程。应当 注意的是,匪N在对网络进行洪流攻击之前已经切断了其接口,这触发了由AR进行的不可 达性检测。不可达性检测过程示出了匪N在该链路上不可达的AR。接着,AR 106等待预定 时段(在206)。 一旦预定时段期满,AR就向存储在其缓存中的各CN的地址发送BFR消息 112。优选地,所有BFR消息都用Kc来进行认证。在等待时段中,AR可以将接收到的数据 包存储在其缓存存储器中,因为匪N可能由于其他可能的因素(例如,链路上的噪音等)正 好不可达到。 —旦接收到BFR消息208, CN 102和/或104就确定该消息中携带的CoA是否已 经存储在CN的BCE 120中(在210)。接着,CN获取相应的Kc并且证实(validate)认证 (在212)。在214,CN清除掉CoA对应条目并且关闭会话。在此步骤的末尾,使洪流攻击停 止。此外,所有的CN都从它们的BCE中删除了攻击者的条目。CN可以提供特定策略来接收 来自具有相同HoA的节点的新连接请求。清除掉匪N的对应条目之后,各CN优选地向AR 106发送BFA消息122 (在216) 。 BFA消息可用Kc来进行认证。
图6A-6B是示出了本发明方法的示例性实施方式的防御来自匪N的攻击时的步骤 的部分流程图。现在参照图4, 5, 6A和6B来说明该方法。该方法开始于步骤300,在该步骤, 在CN 102和104与匪N 108(以及MMA 110)之间传送数据。然后,在步骤302,在AR 106 和匪N 108之间进行可达性测试110。接着,该方法移至步骤304,在该步骤确定匪N是不 可达的(即,AR无法用匪N进行CoA可达性测试110)。如果确定匪N是可达的,那么该方 法返回至步骤300,在该步骤,继续从CN向匪N传送数据。 但是,在步骤304,如果确定匪N不可达,那么该方法移至步骤306,在该步骤,AR触 发不可达性检测过程。在攻击过程中,匪N在对网络进行洪流攻击之前已经切断了其接口, 这触发了由AR进行的不可达性检测。不可达性检测过程示出了在链路上匪N不可达的AR。 在等待时段中,AR可以将接收到的数据包存储在其缓存存储器中,因为匪N可能由于其他 可能的因素(例如,链路上的噪音等)正好是不可达的。然后在步骤308,AR 106等待预定 时段。在该预定时段的末尾,所述方法移至步骤310,在该步骤,再次确定匪N是否是可达 的。如果匪N被确定是可达的(即,成功的可达性测试110),那么该方法返回至步骤300, 继续传送数据。但是,在步骤310中,如果匪N仍然是不可达的,那么所述方法移至图6B的 步骤312,在该步骤中,AR向存储在其缓存中的各CN的地址发送BFR消息112。优选地,所 有BFR消息都用Kc来进行认证。 然后,在步骤314,一旦接收到BFR消息122, CN 102和/或104就确定该消息中 携带的CoA是否已经存储在CN的BCE 120中。接着,所述方法移至步骤316,在该步骤中, CN接着获取对应的Kc并且证实认证。接着,在步骤318, CN清除掉CoA对应条目并且关闭 会话。在该步骤的末尾,使洪流攻击停止。此外,所有的CN都从它们的BCE中删除攻击者 的条目。CN可以提供特定策略来接收来自具有相同HoA的节点的新连接请求。所述方法移 至步骤320,在该步骤,清除掉匪N的对应条目之后,各CN优选地向AR 106发送BFA消息 216。 BFA消息可用Kc来进行认证。 本发明提供了对检测到的DoS攻击的保护和制止。本发明可以利用这些规定中的 一个或所有来对抗攻击。具体地讲,本发明的制止组件可由本发明来实现也可以不由本发 明来实现。 当然,本发明可能以不同于这里所述的其他特定方式来实现,而不偏离本发明的 实质特征。因此,本发明在各方面都被认为是说明性的而不是限制性的。本文旨在包括落 入所附权利要求书的含义和等同范围内的所有改变。
权利要求
一种在接入路由器中保护电信网络不受来自多穴网络节点的洪流攻击的方法,所述接入路由器在所述多穴网络节点与充当所述多穴网络节点的通信节点CN的网络节点之间提供通信,所述方法包括以下步骤在所述多穴网络节点与所述CN之间传送数据;确定所述多穴网络节点是否保持可达;如果所述多穴网络节点保持可达,则继续在所述CN与所述多穴网络节点之间传送数据;以及一旦确定所述多穴网络节点不再可达,则指示所述CN来清除与所述多穴网络节点相关联的缓存信息。
2. 根据权利要求1所述的保护电信系统的方法,其中,所述多穴网络节点是具有多个 IP地址的移动多穴网络节点匪N。
3. 根据权利要求2所述的保护电信系统的方法,其中,所述攻击由移动多穴网络攻击 者MMA控制,所述MMA是所述匪N的使用者,或者所述攻击由已经在所述匪N中植入了功能 或以其他方式控制了所述匪N的实体来控制。
4. 根据权利要求3所述的保护电信系统的方法,其中,确定所述多穴网络节点是否保 持可达的步骤包括在所述接入路由器与所述匪N之间进行IP邻居可达性检测过程。
5. 根据权利要求1所述的保护电信系统的方法,其中,指示所述CN来清除所述缓存信 息的步骤包括指示所述CN来清除所述CN的绑定缓存条目。
6. 根据权利要求5所述的保护电信系统的方法,其中,从所述CN的所述绑定缓存条目 中清除与所述匪N相关联的转交地址。
7. 根据权利要求3所述的保护电信系统的方法,其中,所述接入路由器在数据传送开 始之后等待指定时段以确定在向所述CN发送指示所述CN来清除与所述匪N相关联的缓存 地址信息的绑定清除请求消息之前所述匪N是否可达。
8. 根据权利要求7所述的保护电信系统的方法,该方法还包括以下步骤 由所述CN来认证所述绑定清除请求消息;以及如果经所述CN认证为有效消息,则从所述CN中清除与所述匪N相关联的缓存信息。
9. 根据权利要求7所述的保护电信系统的方法,该方法还包括以下步骤从所述CN向 所述接入路由器发送绑定清除确认消息以确认所述CN中所述缓存信息的清除。
10. 根据权利要求9所述的保护电信系统的方法,该方法还包括以下步骤由所述接入 路由器来认证所述绑定清除确认消息。
11. 根据权利要求1所述的保护电信系统的方法,该方法还包括以下步骤将所述电信系统内的拒绝服务保护通报给所述匪N。
12. 根据权利要求11所述的保护电信系统的方法,其中,将所述拒绝服务保护通报给 所述匪N的步骤包括向OptiSEND协议消息或者SEND协议消息中添加扩展以通报所述 匪N。
13. —种在接入路由器中保护电信网络不受来自多穴网络节点的洪流攻击的结构,所 述接入路由器在所述多穴网络节点与充当所述多穴网络节点的通信节点CN的网络节点之间提供通信,所述结构包括用于在所述多穴网络节点与所述CN之间传送数据的装置;用于确定在数据传送开始之后所述多穴网络节点是否在预定时间内保持可达的装置;以及用于响应于所述多穴网络节点已经不再可达的确定,指示所述CN来清除与所述多穴 网络节点相关联的缓存信息的装置。
14. 根据权利要求13所述的保护电信系统的结构,其中,所述多穴网络节点是具有多 个IP地址的移动多穴网络节点匪N。
15. 根据权利要求13所述的保护电信系统的结构,其中,用于确定所述多穴网络节点 是否保持可达的装置是在所述接入路由器中实现的,其中,一旦确定了所述多穴网络节点 不再可达,所述接入路由器就被设置成向所述CN发送指示所述CN来清除与所述多穴网络 节点相关联的缓存信息的消息。
16. 根据权利要求15所述的保护电信系统的结构,其中,所述接入路由器被设置成通 过在所述接入路由器与所述多穴网络节点之间进行IP邻居可达性检测过程来确定所述多 穴网络节点是否保持可达。
17. 根据权利要求13所述的保护电信系统的结构,其中,所述CN通过从所述CN中清除 与所述MMN相关联的绑定缓存条目来清除所述缓存信息。
18. 根据权利要求17所述的保护电信系统的结构,其中,所述CN从所述CN的所述绑定 缓存条目中清除与所述匪N相关联的转交地址。
19. 根据权利要求15所述的保护电信系统的结构,其中,所述接入路由器被设置成在 向所述CN发送所述消息之前等待指定时段。
20. 根据权利要求15所述的保护电信系统的结构,其中,清除缓存信息的所述消息是 清除所述CN中与所述匪N相关联的任何地址的绑定清除请求。
21. 根据权利要求20所述的保护电信系统的结构,其中,所述CN被设置成对所述绑定 清除请求消息进行认证并且,如果所述CN将所述消息认证为有效消息,则从所述CN中清除 缓存信息。
22. 根据权利要求13所述的保护电信系统的结构,该结构还包括用于将所述电信系统 内的拒绝服务保护通知给所述匪N的装置。
23. 根据权利要求22所述的保护电信系统的结构,其中,用于将所述拒绝服务保护通 知给所述匪N的装置包括位于所述接入路由器内用于向OptiSEND协议消息中添加扩展以 通报所述匪N的装置。
24. —种保护电信网络不受来自多穴网络节点的洪流攻击的网络保护节点,所述保护 节点在所述多穴网络节点与充当所述多穴网络节点的通信节点CN的网络节点之间提供通 信,所述保护节点包括用于在所述多穴网络节点与所述CN之间传送数据的装置;用于确定在数据传送开始之后所述多穴网络节点是否在预定时间内保持可达的装置;以及用于响应于所述多穴网络节点已经不再可达的确定,向所述CN发送指示所述CN来清 除与所述多穴网络节点相关联的缓存信息的消息的通信装置。
25. 根据权利要求24所述的网络保护节点,其中,所述多穴网络节点是具有多个IP地 址的移动多穴网络节点匪N,并且所述攻击由移动多穴网络攻击者MMA控制,所述MMA是所述匪N的使用者,或者已经在所述匪N中植入了功能或以其他方式控制了所述匪N的实体。
26. 根据权利要求25所述的网络保护节点,其中,所述网络保护节点是接入路由器。
27. 根据权利要求25所述的网络保护节点,其中,所述通信装置包括用于发送指示所 述CN来清除与所述匪N相关联的任何地址的绑定清除请求的装置。
28. 根据权利要求25所述的网络保护节点,其中,所述通信装置还包括用于将所述电 信系统内的拒绝服务保护通知给所述匪N的装置。
29. 根据权利要求28所述的网络保护节点,其中,用于通知所述匪N所述拒绝服务保 护的所述装置包括用于向OptiSEND协议消息或者SEND协议消息中添加扩展以通报所述 匪N的装置。
全文摘要
一种保护电信系统免受移动多穴攻击者MMA(10)攻击的系统、方法和节点。所述电信系统包括用于传送数据包的一个或更多个通信节点CN(102,104)。与MMA相关联的移动多穴网络节点MMN(108)与CN进行通信并接收数据包。在MMN和CN之间传送数据的接入路由器AR(106)对MMN进行可达性测试以确定MMN是否仍然可达。如果AR确定出MMN是不可达的,则AR向CN发送消息以清除与MMN相关联的缓存信息。一旦接收到清除缓存信息的消息,CN就从CN中清除与MMN相关联的绑定缓存条目。
文档编号H04L12/56GK101743734SQ200780053774
公开日2010年6月16日 申请日期2007年7月13日 优先权日2007年7月13日
发明者安德拉什·梅海什, 瓦西姆·哈达德, 马茨·纳斯隆德 申请人:Lm爱立信电话有限公司