专利名称:一种用于防止攻击的方法和装置的制作方法
技术领域:
本发明涉及一种用于防止攻击的方法和装置。
背景技术:
下一代网络(NGN)是一个以分组网络为承载,提供固定和移动话音、数据和视 频业务等多种业务的业务融合网络。媒体网关控制器(MGC)和媒体网关(MG)是分组网 络中的两个重要设备,其中,媒体网关负责业务承载功能,用于将不同的接入方式转化为 适合在IP(Internet Protocol)网络上传送的实时传输协议流(Real-time Transport Protocol),而媒体网关控制器负责呼叫控制功能,用于实现呼叫控制平面和业务承载平面 的分离。媒体网关控制(MEGACO)协议是媒体网关控制器和媒体网关之间通信的主要协 议。按照媒体网关控制协议,媒体网关控制器和媒体网关之间通过诸如添加(Add)、修改 (Modify)、删除(Subtract)和服务改变(ServiceChange)等这样的各种媒体网关控制协议 消息来进行通信,以实现各种功能。例如,媒体网关可以通过服务改变消息来请求媒体网 关控制器进行注册和去注册,媒体网关控制器可以通过修改消息来指示媒体网关把用户的 状态修改为呼叫忙,媒体网关可以通过删除消息来请求媒体网关控制器删除通话结束的呼 叫。 由于媒体网关控制器和媒体网关之间是通过各种媒体网关控制协议消息来进行 通信以实现各种功能的,因此,如果媒体网关控制(MEGACO)协议没有安全机制,那么当网 络中存在未授权的媒体网关或未授权的媒体网关控制器时,媒体网关控制协议很容易受到 未授权的媒体网关或未授权的媒体网关控制器的攻击。例如,未授权的媒体网关可以冒充 授权的媒体网关通过服务改变请求授权的媒体网关控制器对该授权的媒体网关进行去注 册以实现去注册攻击;未授权的媒体网关控制器可以通过修改消息来通知一个授权的媒体 网关呼叫忙以实现呼叫忙攻击,使得用户不能利用该授权的媒体网关来进行电话呼叫;未 授权的媒体网关可以可以通过删除消息来请求授权的媒体网关控制器删除呼叫以实现呼 叫删除攻击,从而干扰授权的呼叫;以及,未授权的媒体网关可以获取授权的媒体网关发送 给授权的媒体网关控制器的消息,然后把所获取的消息再次发送给授权的媒体网关控制器 以实现重放攻击。为了防止媒体网关控制协议受到未授权的媒体网关或媒体网关控制器利用媒体 网关控制协议的攻击,现有的媒体网关控制协议采用了一些相应的安全机制。现有的媒体网关控制协议采用的其中一种安全机制是使用网络地址来进行身份 认证。具体地,授权的媒体网关控制器预先建立一个白名单列表,用于存储各个授权的媒体 网关的网络地址;然后,当该授权的媒体网关控制器收到一个媒体网关发送的消息时,该授 权的媒体网关控制器判断该百名单列表中是否包括有所接收的消息中包含的该媒体网关 的网络地址;接着,如果判断结果为肯定,则表明该媒体网关为授权的媒体网关,该授权的 媒体网关控制器就会根据所接收的消息执行相应的操作,而如果判断结果为否定,则表明该媒体网关为未授权的媒体网关,该授权的媒体网关控制器不会执行与所接收的消息相应 的操作。然而,由于消息中所包含的网络地址很容易被欺骗(假冒),所以这种安全机制并 不能保护媒体网关控制协议免受上述攻击。 现有的媒体网关控制协议采用的另一种安全机制是使用IPsecdP层协议安全架 构)来保护授权的媒体网关和授权的媒体网关控制器之间的通信。然而,由于服务质量 (QoS)的要求,所以在采用媒体网关控制协议的网络中,很难部署IPsec。
发明内容
考虑到现有技术的上述问题,本发明的实施例提供一种用于防止攻击的方法和装 置,利用该方法和装置,能够减少或避免媒体网关控制协议受到攻击。按照本发明的一种用于防止攻击的方法,包括步骤计算指定字符串的哈希值,作 为第一设备欲发送给第二设备的媒体网关控制协议消息的攻击防止令牌,其中,所述指定 字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为 媒体网关的设备的标识、以及所述媒体网关控制协议消息形成,其中,所述攻击防止令牌用 于与所述媒体网关控制协议消息一起被发送给所述第二设备。按照本发明的一种用于防止攻击的方法,包括步骤当第二设备接收到第一设备 发送的媒体网关控制协议消息和包括有哈希值的攻击防止令牌时,计算指定字符串的哈希 值,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所 述第二设备中其为媒体网关的设备的标识、以及所述接收的媒体网关控制协议消息形成; 判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同;以及,当判断结果 为肯定时,确定所述第一设备是授权的设备。按照本发明的一种用于防止攻击的装置,包括计算模块,用于计算指定字符串的 哈希值,作为第一设备欲发送给第二设备的媒体网关控制协议消息的攻击防止令牌,其中, 所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设 备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息形成,其中,所述攻击防 止令牌用于与所述媒体网关控制协议消息一起被发送给所述第二设备。按照本发明的一种用于防止攻击的装置,包括计算模块,用于当第二设备接收到 第一设备发送的媒体网关控制协议消息和包括有哈希值的攻击防止令牌时,计算指定字符 串的哈希值,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一 设备和所述第二设备中其为媒体网关的设备的标识、以及所述接收的媒体网关控制协议消 息形成;判断模块,用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否 相同;以及,确定模块,用于当判断结果为肯定时,确定所述第一设备是授权的设备。按照本发明的一种第一设备,包括存储模块,用于存储所述第一设备和第二设备 共享的密钥;攻击防止模块,包括计算模块,用于计算指定字符串的哈希值,作为所述第 一设备欲发送给所述第二设备的媒体网关控制协议消息的攻击防止令牌,其中,所述指定 字符串由所述存储模块所存储的密钥、所述第一设备和所述第二设备中其为媒体网关的设 备的标识、以及所述媒体网关控制协议消息形成;以及,通信模块,用于向所述第二设备发 送所述媒体网关控制协议消息和所述攻击防止令牌。按照本发明的一种第二设备,包括存储模块,用于存储所述第二设备和第一设备共享的密钥;通信模块,用于接收所述第一设备发送的媒体网关控制协议消息和包括有哈 希值的攻击防止令牌;攻击防止模块,包括计算模块,用于计算指定字符串的哈希值,其 中,所述指定字符串由所述存储模块所存储的密钥、所述第一设备和所述第二设备中其为 媒体网关的设备的标识、以及所述接收的媒体网关控制协议消息形成;判断模块,用于判断 所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同;以及,确定模块,用于当 判断结果为肯定时,确定所述第一设备是授权的设备;以及,执行模块,用于当确定所述第 一设备是授权的设备时,执行与所述接收的媒体网关控制协议消息相应的操作。
本发明的上述目的和其它目的、特征及优点将通过以下结合附图的详细描述将变 得更加显而易见。其中图1是示出按照本发明一个实施例的媒体网关的结构示意图;图2是示出按照本发明一个实施例的媒体网关控制器的结构示意图;图3是示出按照本发明一个实施例的在媒体网关作为发送方和媒体网关控制器 作为接收方的情况下用于防止攻击的方法的流程图;以及图4是示出按照本发明一个实施例的在媒体网关作为接收方和媒体网关控制器 作为发送方的情况下用于防止攻击的方法的流程图。
具体实施例方式下面,将详细描述本发明的各个实施例。按照本发明一个实施例,在媒体网关控制协议中引入与各种媒体网关控制协议消 息一起发送的攻击防止(AP :Attack Prevention)令牌,接收到AP令牌的设备(媒体网关 或媒体网关控制器)根据所接收的AP令牌来确定发送该AP令牌和媒体网关控制协议消息 的设备(媒体网关控制器或媒体网关)是否是授权的设备。AP令牌包括随机数R、时间戳T和哈希(Hash)值H,其中,哈希值H是通过采用诸 如MD4、MD5或SHS等这样的哈希算法,对由密钥K、媒体网关的标识MGId、时间戳T、媒体网 关控制协议消息和随机数R所形成的字符串S进行哈希计算而得到。密钥K是媒体网关和 媒体网关控制器共享的密钥并且媒体网关和媒体网关控制器预先都存储有密钥K,媒体网 关的标识MGId是媒体网关的网络地址和端口号。图1是示出按照本发明一个实施例的媒体网关的结构示意图。在图1中,只示出 与本实施例相关的模块,与本实施例不相关的模块没有示出。如图1所示,媒体网关10包括通信模块12、存储模块14、攻击防止模块16和执行 模块18。其中,通信模块12用于接收媒体网关控制器发送的媒体网关控制协议消息和AP 令牌,或者向媒体网关控制器发送媒体网关控制协议消息和AP令牌。存储模块14用于存储媒体网关10和媒体网关控制器共享的密钥K、媒体网关10 从媒体网关控制器接收到的表示最新时间的最新时间戳、以及媒体网关10以前从媒体网 关控制器接收到的各个随机数。攻击防止模块16用于当媒体网关10欲向媒体网关控制器发送媒体网关控制协议消息时,生成与该媒体网关控制协议消息一起发送的AP令牌,以及当媒体网关10接收到来 自媒体网关控制器的媒体网关控制协议消息和AP令牌时,利用该接收的AP令牌和存储模 块14所存储的密钥K、最新时间戳和随机数,确定该媒体网关控制器是否是授权的设备。执行模块18用于当媒体网关10接收到来自媒体网关控制器的媒体网关控制协议 消息和AP令牌,并且攻击防止模块16确定该媒体网关控制器是授权的设备时,执行与该接 收的媒体网关控制协议消息相应的操作。图2是示出按照本发明一个实施例的媒体网关控制器的结构示意图。在图2中, 只示出与本实施例相关的模块,与本实施例不相关的模块没有示出。如图2所示,媒体网关控制器20包括通信模块22、存储模块24、攻击防止模块26 和执行模块28。其中,通信模块22用于接收媒体网关10发送的媒体网关控制协议消息和AP令 牌,或者向媒体网关10发送媒体网关控制协议消息和AP令牌。存储模块24用于存储媒体网关10与媒体网关控制器20共享的密钥K、媒体网关 控制器20从媒体网关10接收到的最新时间戳、以及媒体网关控制器20以前从媒体网关10 接收到的各个随机数。攻击防止模块26用于当媒体网关控制器20欲向媒体网关10发送媒体网关控制 协议消息时,生成与该 媒体网关控制协议消息一起发送的AP令牌,以及当媒体网关控制器 20接收到来自媒体网关10的媒体网关控制协议消息和AP令牌时,利用该接收的AP令牌和 存储模块24所存储的密钥K、最新时间戳和随机数,确定媒体网关10是否是授权的设备。执行模块28用于当媒体网关控制器20接收到来自媒体网关10的媒体网关控制 协议消息和AP令牌,并且攻击防止模块26确定媒体网关10是授权的设备时,执行与该接 收的媒体网关控制协议消息相应的操作。图3是示出按照本发明一个实施例的在媒体网关作为发送方和媒体网关控制器 作为接收方的情况下用于防止攻击的方法的流程图。如图3所示,当媒体网关10欲向媒体 网关控制器20发送一个媒体网关控制协议消息Xl以请求媒体网关控制器20执行与媒体 网关控制协议消息Xl相应的操作时,媒体网关10的攻击防止模块16产生随机数R以及根 据当前时间产生时间戳T (步骤S300)。接着,媒体网关10的攻击防止模块16使用媒体网关10的存储模块14存储的密 钥K、媒体网关10的标识MGId、所产生的时间戳T、媒体网关控制协议消息Xl和所产生的随 机数R来形成字符串Sl (步骤S310)。在这里,媒体网关10的标识MGId是媒体网关10的 网络地址和端口号,以及,在所形成的字符串Sl中,密钥K、标识MGId、时间戳T、媒体网关控 制协议消息Xl和随机数R之间的位置关系可以根据需要在媒体网关10和媒体网关控制器 20之间预先确定。然后,媒体网关10的攻击防止模块16使用预先指定的哈希算法SF对所形成的字 符串Sl进行哈希计算,以计算得到哈希值Hl (步骤S320)。接下来,媒体网关10的通信模块12向媒体网关控制器20发送媒体网关控制协议 消息Xl和AP令牌(步骤S330)。其中,该AP令牌包括所产生的随机数R、所产生的时间戳 T和所计算得到的哈希值HI。在媒体网关控制器20的通信模块22接收到媒体网关10发送的媒体网关控制协议消息Xl和AP令牌后,媒体网关控制器20的攻击防止模块26使用媒体网关控制器20的 存储模块24预先存储的密钥K、媒体网关10的标识MGId、所接收的AP令牌中包括的时间 戳T、媒体网关控制协议消息Xl和所接收的AP令牌中包括的随机数R来形成字符串S2 (步 骤S340)。其中,媒体网关10的标识MGId是媒体网关10的网络地址和端口号,媒体网关控 制器20的攻击防止模块26可以从所接收的承载媒体网关控制协议消息Xl中获取媒体网 关10的网络地址和端口号。媒体网关控制器20的攻击防止模块26使用与媒体网关10所使用的相同哈希算 法SF对所形成的字符串S2进行哈希计算,以计算得到哈希值H2 (步骤S350)。媒体网关控制器20的攻击防止模块26判断所计算的哈希值H2与所接收的AP令 牌中包括的哈希值Hl是否相同、存储模块24所存储的各个随机数中是否不包含有所接收 的AP令牌中包括的随机数、以及存储模块24所存储的最新时间戳所表示的时间是否早于 所接收的AP令牌中包括的时间戳所表示的时间(步骤S360)。如果步骤S360的判断结果为否定,即所计算的哈希值H2与所接收的AP令牌中 包括的哈希值Hl不相同、存储模块24所存储的各个随机数中包含有所接收的AP令牌中包 括的随机数、或者存储模块24所存储的最新时间戳所表示的时间不早于所接收的AP令牌 中包括的时间戳所表示的时间,则媒体网关控制器20的攻击防止模块26确定媒体网关10 不是授权的设备,流程结束。如果步骤S360的判断结果为肯定,即所计算的哈希值H2与所接收的AP令牌中 包括的哈希值Hl相同、存储模块24所存储的各个随机数中不包含有所接收的AP令牌中包 括的随机数以及存储模块24所存储的最新时间戳所表示的时间早于所接收的AP令牌中包 括的时间戳所表示的时间,则媒体网关控制器20的攻击防止模块26确定媒体网关10是授 权的设备(步骤S370)。当媒体网关控制器20的攻击防止模块26确定媒体网关10是授权的设备时,媒体 网关控制器20的执行模块28执行与所接收的媒体网关控制协议消息相应的操作,并且把 所接收的AP令牌中包括的时间戳存储在存储模块24中以替换原来存储的最新时间戳,以 及把所接收的AP令牌中包括的随机数作为媒体网关控制器20从媒体网关10接收的随机 数存储在存储模块24中(步骤S380)。在这里,执行与所接收的媒体网关控制协议消息相 应的操作例如是,当所接收的媒体网关控制协议消息是表示注册的服务改变消息时执行注 册操作,当所接收的媒体网关控制协议消息是表示去注册的服务改变消息时执行去注册操 作。在执行与所接收的媒体网关控制协议消息相应的操作之后,媒体网关控制器20 的执行模块28经由通信模块22向媒体网关10发送一个表示成功执行操作的应答消息(步 骤 S390)。图4是示出按照本发明一个实施例的在媒体网关作为接收方和媒体网关控制器 作为发送方的情况下用于防止攻击的方法的流程图。如图4所示,当媒体网关控制器20欲 向媒体网关10发送一个媒体网关控制协议消息X2以指示媒体网关10执行与媒体网关控 制协议消息X2相应的操作时,媒体网关控制器20的攻击防止模块26产生随机数R以及根 据当前时间产生时间戳T (步骤S400)。
接着,媒体网关控制器20的攻击防止模块26使用存储模块24存储的密钥K、媒体网关10的标识MGId、所产生的时间戳Τ、媒体网关控制协议消息X2和所产生的随机数R来 形成字符串S3(步骤S410)。在这里,媒体网关10的标识MGId是媒体网关10的网络地址 和端口号,以及,在所形成的字符串S3中,密钥K、标识MGId、时间戳T、媒体网关控制协议消 息X2和随机数R之间的位置关系可以根据需要在媒体网关10和媒体网关控制器20之间
预先确定。 然后,媒体网关控制器20的攻击防止模块26使用预先指定的哈希算法SF对所形 成的字符串S3进行哈希计算,以计算得到哈希值H3 (步骤S420)。接下来,媒体网关控制器20的通信模块22向媒体网关10发送媒体网关控制协议 消息X2和AP令牌(步骤S430)。其中,该AP令牌包括所产生的随机数R、所产生的时间戳 T和所计算得到的哈希值H3。在媒体网关100的通信模块12接收到媒体网关控制器20发送的媒体网关控制协 议消息X2和AP令牌后,媒体网关10的攻击防止模块16使用存储模块14预先存储的密钥 K、媒体网关10的标识MGId、所接收的AP令牌中包括的时间戳T、媒体网关控制协议消息X2 和所接收的AP令牌中包括的随机数R来形成字符串S4(步骤S440)。其中,媒体网关10的 标识MGId是媒体网关10的网络地址和端口号。媒体网关10的攻击防止模块16使用与媒体网关控制器20所使用的相同哈希算 法SF对所形成的字符串S4进行哈希计算,以计算得到哈希值H4 (步骤S450)。媒体网关10的攻击防止模块16判断所计算的哈希值H4与所接收的AP令牌中包 括的哈希值H3是否相同、存储模块14所存储的各个随机数中是否不包含有所接收的AP令 牌中包括的随机数、以及存储模块14所存储的最新时间戳所表示的时间是否早于所接收 的AP令牌中包括的时间戳所表示的时间(步骤S460)。如果步骤S460的判断结果为否定,即所计算的哈希值H4与所接收的AP令牌中 包括的哈希值H3不相同、存储模块14所存储的各个随机数中包含有所接收的AP令牌中包 括的随机数、或者存储模块14所存储的最新时间戳所表示的时间不早于所接收的AP令牌 中包括的时间戳所表示的时间,则媒体网关10的攻击防止模块16确定媒体网关控制器20 不是授权的设备,流程结束。如果步骤S460的判断结果为肯定,即所计算的哈希值H4与所接收的AP令牌中 包括的哈希值H3相同、存储模块14所存储的各个随机数中不包含有所接收的AP令牌中包 括的随机数以及存储模块14所存储的最新时间戳所表示的时间早于所接收的AP令牌中包 括的时间戳所表示的时间,则媒体网关10的攻击防止模块16确定媒体网关控制器20是授 权的设备(步骤S470)。当媒体网关10的攻击防止模块16确定媒体网关控制器20是授权的设备时,媒体 网关10的执行模块18执行与所接收的媒体网关控制协议消息相应的操作,并且把所接收 的AP令牌中包括的时间戳存储在存储模块14中以替换原来存储的最新时间戳,以及把所 接收的AP令牌中包括的随机数作为媒体网关10从媒体网关控制器20接收的随机数存储 在存储模块14中(步骤S480)。在这里,执行与所接收的媒体网关控制协议消息相应的操 作例如是,当所接收的媒体网关控制协议消息是表示把呼叫状态修改为呼叫忙的修改消息 时,把用户的呼叫状态修改为呼叫忙。在执行与所接收的媒体网关控制协议消息相应的操作之后,媒体网关10的执行模块18经由通信模块12向媒体网关控制器20发送一个表示成功执行操作的应答消息(步 骤 S490)。由上面的描述可以看出,在上述实施例中,由于AP令牌中包括时间戳,所以当接 收到与媒体网关控制协议消息一起发送的该AP令牌时,作为接收方的媒体网关10或媒体 网关控制器20能够根据该AP令牌所包括的时间戳和以前接收的表示最新时间的时间戳, 来检测所接收的媒体网关控制协议消息是否是被重放的消息,从而防止重放攻击;由于AP 令牌中包括随机数,所以当接收到与媒体网关控制协议消息一起发送的该AP令牌时,作为 接收 方的媒体网关10或媒体网关控制器20能够通过比较该AP令牌所包括的随机数和以 前接收的各个随机数,来避免通过偶然猜中的方式而发起的猜测攻击;由于AP令牌中包括 哈希值,所以当接收到与媒体网关控制协议消息一起发送的该AP令牌时,作为接收方的媒 体网关10或媒体网关控制器20能够根据该AP令牌所包括的哈希值来防止窃听攻击;以 及,由于AP令牌中所包括的哈希值是基于媒体网关控制协议消息计算的,所以当接收到与 媒体网关控制协议消息一起发送的该AP令牌时,作为接收方的媒体网关10或媒体网关控 制器20能够根据该AP令牌所包括的哈希值,来检查所接收的媒体网关控制协议消息是否 是被非法篡改过,从而能够保护该媒体网关控制协议消息的一致性。其它变型本领域技术人员应当理解,虽然在上面的各个实施例中,在AP令牌中包括有随机 数R和时间戳T,并且在计算AP令牌所包括的哈希值H时所使用的字符串包括该随机数R 和时间戳T,然而,本发明并不局限于此。在本发明的其它一些实施例中,也可以在AP令牌 中不包括有随机数R和时间戳T,以及在计算AP令牌所包括的哈希值H时所使用的字符串 不包括该随机数R和时间戳T,例如,在媒体网关控制协议已经采取了其它的防止重放攻击 和防止猜测攻击的措施时。本领域技术人员应当理解,虽然在上面的各个实施例中,媒体网关10的标识MGId 是媒体网关10的网络地址和端口号,然而,本发明并不局限于此。在本发明的其它一些实 施例中,媒体网关10的标识MGId也可以是媒体网关10的网络地址。本领域技术人员应当理解,虽然在上面的各个实施例中,每一个媒体网关控制协 议消息在被发送时都为其产生AP令牌,然而,本发明并不局限于此。在本发明的其它一些 实施例中,也可以是所有媒体网关控制协议消息的其中一部分在被发送时才为其产生AP 令牌,其它在被发送时不为其产生AP令牌。例如,在比较安全的情况下,只有当服务改变消 息和修改消息被发送时才为其产生AP令牌,除了服务改变消息和修改消息之外的其它媒 体网关控制协议消息在被发送时不为其产生AP令牌。本领域技术人员应当理解,上面的各个实施例所披露的媒体网关10和媒体网关 控制器20各自所包括的各个模块可以利用软件、硬件或者软硬件结合的方式来实现。本领域技术人员应当理解,本发明的各个实施例可以在没有偏离发明实质的情况 下做出各种变型和改变,并且这些变型和改变都应该属于本发明的保护范围,因此,本发明 的保护范围由所附的权利要求书来定义。
权利要求
1.一种用于防止攻击的方法,包括步骤计算指定字符串的哈希值,作为第一设备欲发送给第二设备的媒体网关控制协议消息 的攻击防止令牌,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述 第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息 形成,其中,所述攻击防止令牌用于与所述媒体网关控制协议消息一起被发送给所述第二设备。
2.如权利要求1所述的方法,其中,还包括步骤产生随机数和基于当前时间的时间戳,其中,所述攻击防止令牌还包括所述产生的随机数和时间戳,以及所述指定字符串还 包括所述产生的随机数和时间戳。
3.如权利要求1或2所述的方法,其中,所述标识是所述媒体网关的网络地址,或者所 述媒体网关的网络地址和端口号。
4.一种用于防止攻击的方法,包括步骤当第二设备接收到第一设备发送的媒体网关控制协议消息和包括有哈希值的攻击防 止令牌时,计算指定字符串的哈希值,其中,所述指定字符串由所述第一设备和所述第二设 备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述接 收的媒体网关控制协议消息形成;判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同;以及当判断结果为肯定时,确定所述第一设备是授权的设备。
5.如权利要求4所述的方法,其中所述攻击防止令牌还包括随机数和时间戳,所述判断步骤进一步包括判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同、所述第二设备 以前从所述第一设备接收的各个随机数中是否不包括有所述攻击防止令牌所包括的所述 随机数、以及所述第二设备从所述第一设备接收的表示最新时间的时间戳所表示的时间是 否早于所述攻击防止令牌所包括的所述时间戳所表示的时间,以及所述方法还包括步骤当确定所述第一设备是所述授权的设备时,将所述攻击防止令牌所包括的所述随机数 存储为所述第二设备从所述第一设备接收的随机数,以及将所述攻击防止令牌所包括的所 述时间戳存储为所述第二设备从所述第一设备接收的表示最新时间的时间戳。
6.如权利要求4或5所述的方法,其中,所述标识是所述媒体网关的网络地址,或者所 述媒体网关的网络地址和端口号。
7.一种用于防止攻击的装置,包括计算模块,用于计算指定字符串的哈希值,作为第一设备欲发送给第二设备的媒体网 关控制协议消息的攻击防止令牌,其中,所述指定字符串由所述第一设备和所述第二设备 共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体 网关控制协议消息形成,其中,所述攻击防止令牌用于与所述媒体网关控制协议消息一起被发送给所述第二设备。
8.如权利要求7所述的装置,其中,还包括产生模块,用于产生随机数和基于当前时间的时间戳,其中,所述攻击防止令牌还包括所述产生的随机数和时间戳,以及所述指定字符串还 包括所述产生的随机数和时间戳。
9.一种用于防止攻击的装置,包括计算模块,用于当第二设备接收到第一设备发送的媒体网关控制协议消息和包括有 哈希值的攻击防止令牌时,计算指定字符串的哈希值,其中,所述指定字符串由所述第一设 备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标 识、以及所述接收的媒体网关控制协议消息形成;判断模块,用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相 同;以及确定模块,用于当判断结果为肯定时,确定所述第一设备是授权的设备。
10.如权利要求9所述的装置,其中所述攻击防止令牌还包括随机数和时间戳,所述判断模块进一步用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈希 值是否相同、所述第二设备以前从所述第一设备接收的各个随机数中是否不包括有所述攻 击防止令牌所包括的所述随机数、以及所述第二设备从所述第一设备接收的表示最新时间 的时间戳所表示的时间是否早于所述攻击防止令牌所包括的所述时间戳所表示的时间,以 及所述装置还包括存储控制模块,用于当确定所述第一设备是所述授权的设备时,将所 述攻击防止令牌所包括的所述随机数存储为所述第二设备从所述第一设备接收的随机数, 以及将所述攻击防止令牌所包括的所述时间戳存储为所述第二设备从所述第一设备接收 的表示最新时间的时间戳。
11.一种第一设备,包括存储模块,用于存储所述第一设备和第二设备共享的密钥;攻击防止模块,包括计算模块,用于计算指定字符串的哈希值,作为所述第一设备欲发送给所述第二设备 的媒体网关控制协议消息的攻击防止令牌,其中,所述指定字符串由所述存储模块所存储 的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体网关 控制协议消息形成;以及通信模块,用于向所述第二设备发送所述媒体网关控制协议消息和所述攻击防止令牌。
12.如权利要求11所述的第一设备,其中,所述攻击防止模块还包括产生模块,用于产生随机数和基于当前时间的时间戳,其中,所述攻击防止令牌还包括所述产生的随机数和时间戳,以及所述指定字符串还 包括所述产生的随机数和时间戳。
13.如权利要求11或12所述的第一设备,其中,所述第一设备是媒体网关或媒体网关 控制器。
14.一种第二设备,包括存储模块,用于存储所述第二设备和第一设备共享的密钥;通信模块,用于接收所述第一设备发送的媒体网关控制协议消息和包括有哈希值的攻 击防止令牌;攻击防止模块,包括计算模块,用于计算指定字符串的哈希值,其中,所述指定字符串由所述存储模块所存 储的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述接收的 媒体网关控制协议消息形成;判断模块,用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相 同;以及确定模块,用于当判断结果为肯定时,确定所述第一设备是授权的设备;以及执行模块,用于当确定所述第一设备是授权的设备时,执行与所述接收的媒体网关控 制协议消息相应的操作。
15.如权利要求14所述的第二设备,其中所述攻击防止令牌还包括随机数和时间戳,所述存储模块还用于存储所述第二设备以前从所述第一设备接收的各个随机数以及 所述第二设备从所述第一设备接收的表示最新时间的时间戳;所述判断模块进一步用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈希 值是否相同、所述所述存储模块所存储的各个随机数中是否不包括有所述攻击防止令牌所 包括的所述随机数、以及所述所述存储模块所存储的时间戳所表示的时间是否早于所述攻 击防止令牌所包括的所述时间戳所表示的时间,以及所述第二设备还包括存储控制模块,用于当确定所述第一设备是所述授权的设备时, 将所述攻击防止令牌所包括的所述随机数作为所述第二设备从所述第一设备接收的随机 数存储在所述存储模块中,以及将所述攻击防止令牌所包括的所述时间戳作为所述第二设 备从所述第一设备接收的表示最新时间的时间戳存储在所述存储模块中。
16.如权利要求14或15所述的第二设备,其中,所述第二设备是媒体网关或媒体网关 控制器。
17.一种机器可读存储介质,其上包括有机器可读指令,当所述机器可读指令被执行 时,使得机器执行权利要求1-6中任意一个权利要求所包括的步骤。
全文摘要
本发明涉及一种用于防止攻击的方法和装置,其中,该方法包括步骤计算指定字符串的哈希值,作为第一设备欲发送给第二设备的媒体网关控制协议消息的攻击防止令牌,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息形成,其中,所述攻击防止令牌将与所述媒体网关控制协议消息一起被发送给所述第二设备。利用该方法和装置,能够减少或避免媒体网关控制协议受到攻击。
文档编号H04L29/06GK102035801SQ200910177249
公开日2011年4月27日 申请日期2009年9月28日 优先权日2009年9月28日
发明者杨满智 申请人:西门子(中国)有限公司