專(zhuān)利名稱(chēng):提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�,尤其涉及一種提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法。
背景技術(shù):
隨著網(wǎng)絡(luò)通信技術(shù)的迅速發(fā)展�����,在IP網(wǎng)上提供電信服務(wù)和電視等多媒體服務(wù)已經(jīng)變得越來(lái)越廣泛����。在基于IP網(wǎng)提供各種電信服務(wù)的過(guò)程中,運(yùn)營(yíng)商和用戶(hù)必然要求IP網(wǎng)能夠達(dá)到或逐漸達(dá)到電信級(jí)的安全性能�����。
根據(jù)目前的組網(wǎng)結(jié)構(gòu)可知�����,路由器作為IP網(wǎng)的核心組成之一�,只有保障了路由器的安全運(yùn)行,才可能使得整個(gè)IP網(wǎng)安全運(yùn)行����。因此,路由器的各種安全特性也就日益被人們提到日程上來(lái),尤其是電信級(jí)的安全特性�。
而隨著網(wǎng)絡(luò)的普及,攻擊的工具化���,各種各樣的攻擊越來(lái)越普遍����,對(duì)攻擊者的技能要求也越來(lái)越低����。目前在網(wǎng)絡(luò)上最難于防范的攻擊就是DDos攻擊,DDoS全稱(chēng)為Distributed Deny of Service�����,中文為分布式拒絕服務(wù)�����。DDoS Attack(DdoS攻擊)是目前網(wǎng)絡(luò)上很流行的一種黑客攻擊方式��,這種攻擊可以在不同的網(wǎng)絡(luò)域控制很多的節(jié)點(diǎn)通過(guò)偽造各種看似合法的協(xié)議報(bào)文同時(shí)發(fā)往要攻擊的對(duì)象���,從而消耗盡被攻擊對(duì)象的各種資源,主要是消耗掉被攻擊對(duì)象的CPU資源,從而使得被攻擊對(duì)象沒(méi)有能力去處理正常的請(qǐng)求��。
路由器作為IP網(wǎng)絡(luò)中的重要網(wǎng)元��,正日益成為DDoS Attack的攻擊目標(biāo)��。為了增加路由器的電信級(jí)安全性���,必需在路由器上盡可能對(duì)這種攻擊進(jìn)行防范����。
目前�����,一些協(xié)議都通過(guò)使用IP報(bào)文的TTL(生存時(shí)間)域來(lái)防范這種以消耗CPU資源為手段達(dá)到使協(xié)議棧不能正常運(yùn)行的攻擊��。如果����,GTSM(通用TTL安全機(jī)制)。
所述的GTSM方案主要是基于RFC3682的建議���,在路由器上實(shí)現(xiàn)根據(jù)TTL(或稱(chēng)Hop Limit���,跳數(shù)限制)來(lái)防范針對(duì)各種需要建立Session(會(huì)話)的協(xié)議進(jìn)行的DDoS攻擊�。該方案對(duì)于建立的Session之間需要跨越多跳的協(xié)議需要逐一根據(jù)各種情況進(jìn)行考慮����。
下面對(duì)現(xiàn)有的GTSM提供安全特性的原理進(jìn)行介紹。
考慮DDoS攻擊的場(chǎng)景如圖1所示�����,圖中A為攻擊點(diǎn)�,R1至R5為路由器,且圖中的單向粗實(shí)線箭頭為目的為R2的偽造的來(lái)自各個(gè)A點(diǎn)的LDP協(xié)議報(bào)文流���。圖1中����,各個(gè)被控制的網(wǎng)絡(luò)節(jié)點(diǎn)同步的向LDP PEER(標(biāo)簽分發(fā)協(xié)議對(duì)等體)的R2發(fā)送偽造的目的地址為R2��,源地址為R3(即LDP PEER的另一端)的LDP協(xié)議報(bào)文��,在沒(méi)有實(shí)現(xiàn)GTSM機(jī)制的情況下到達(dá)R2的所有此種攻擊報(bào)文都將上送給R2的路由引擎����,從而耗盡R2路由引擎的CPU資源。
利用GTSM后���,則在路由器上可以通過(guò)以下方式防范DDoS攻擊路由器對(duì)于正常轉(zhuǎn)發(fā)的IP(IPv6或IPv4)報(bào)文在出口均會(huì)進(jìn)行TTL減1操作�,TTL值域最大為255��;而且�����,大多數(shù)協(xié)議Peering(對(duì)等體)都是建立在相鄰(包括物理上相鄰或邏輯上相鄰比如在隧道兩端)的路由器之間����;因此,對(duì)于物理上相鄰的路由器之間建立的Peering�,那么從Peering的一端發(fā)往另一端的報(bào)文在到達(dá)后,其TTL值不變�,若在源端發(fā)出的報(bào)文的TTL值為255,到達(dá)后必為255�;而對(duì)于從非Peering的任何一端的網(wǎng)絡(luò)節(jié)點(diǎn)偽造的發(fā)往Peering的任何一端的報(bào)文(很多情況下會(huì)將源地址填成Peering對(duì)端的地址),這種情況下��,到達(dá)Peering的一端的報(bào)文通常都會(huì)在中間經(jīng)過(guò)若干跳路由器才能到達(dá)��,由于報(bào)文路途中每經(jīng)過(guò)一個(gè)路由器�����,其TTL值都將被減1,因而無(wú)論發(fā)出時(shí)向TTL域填入何值����,當(dāng)?shù)竭_(dá)時(shí)其TTL必將小于255;這樣就可以在轉(zhuǎn)發(fā)平面利用TTL值來(lái)判斷到達(dá)的相應(yīng)協(xié)議報(bào)文的合法性��,從而過(guò)濾掉不合法的報(bào)文�,減輕控制平面處理器的負(fù)擔(dān),保證協(xié)議棧的正常工作����。
對(duì)于邏輯上相鄰的路由器之間建立的Peering,那么從Peering的一端發(fā)往另一端的報(bào)文(發(fā)出時(shí)TTL值為255)在到達(dá)后��,其TTL值必在255--(255-TrustRadius)的范圍內(nèi)�����;在這種情況下到達(dá)路由器的相應(yīng)協(xié)議報(bào)文若其TTL值不在范圍內(nèi)��,則可斷定其報(bào)文非法�����。因此���,采用這種機(jī)制在一定程度上可以保護(hù)協(xié)議棧的正常工作����。
然而��,上述方法在網(wǎng)絡(luò)組建的前期一定程度上是可用的��,因?yàn)樗麖腡TL值的取值范圍在一定程度上可以判斷報(bào)文的合法性�。但是,對(duì)于一個(gè)復(fù)雜的三層VPN網(wǎng)絡(luò)��,如圖2所示的MPLS(多協(xié)議標(biāo)簽交換)網(wǎng)絡(luò)組網(wǎng)����,網(wǎng)絡(luò)上存在P(運(yùn)營(yíng)商路由器)設(shè)備和PE(運(yùn)營(yíng)商邊界路由器)設(shè)備混用的網(wǎng)絡(luò),此時(shí)要進(jìn)行GTSM策略的部署就很困難�����,因?yàn)閺牟煌腜E設(shè)備轉(zhuǎn)發(fā)的報(bào)文��,其TTL值差異較大��,如圖中P2節(jié)點(diǎn)的路由器,無(wú)法通過(guò)TTL來(lái)區(qū)分來(lái)自PE2節(jié)點(diǎn)的合法報(bào)文��,和來(lái)自CE2(CE���,用戶(hù)邊界路由器)節(jié)點(diǎn)的非法報(bào)文��。因此�,上述方法將導(dǎo)致策略部署的復(fù)雜性和耦合性��,對(duì)于復(fù)雜的網(wǎng)絡(luò)而言部署難度可想而知�����。而且�,每次對(duì)網(wǎng)絡(luò)的擴(kuò)展或修改都需要進(jìn)行配置調(diào)整,大大增加了維護(hù)難度���。
除上述三層MPLS網(wǎng)絡(luò)外�����,對(duì)于由路由器組成的骨干網(wǎng)絡(luò)同樣也存在上述問(wèn)題�,如圖3所示的路由網(wǎng)絡(luò),因?yàn)椴煌倪吘壴O(shè)備到不同的骨干網(wǎng)設(shè)備的路徑不一致也帶來(lái)了GTSM策略的部署問(wèn)題���。
因此����,在很多組網(wǎng)中無(wú)法利用GTSM實(shí)現(xiàn)需要的防范功能����,或者實(shí)現(xiàn)起來(lái)十分復(fù)雜�。
另外,目前針對(duì)骨干網(wǎng)設(shè)備的保護(hù)方式還有一些基于單臺(tái)設(shè)備實(shí)現(xiàn)的保護(hù)方案���。在基于單臺(tái)設(shè)備的保護(hù)方案中����,需要應(yīng)用復(fù)雜的ACL(訪問(wèn)控制列表)�����,以及各種復(fù)雜的漏桶來(lái)實(shí)現(xiàn)��,導(dǎo)致組網(wǎng)和配置的復(fù)雜程度大增加����,并且由于害怕復(fù)合攻擊�����,因此每個(gè)漏桶都設(shè)置的比較小���,這樣,還將會(huì)影響整機(jī)的正常性能的發(fā)揮��。
發(fā)明內(nèi)容
鑒于上述現(xiàn)有技術(shù)所存在的問(wèn)題���,本發(fā)明的目的是提供一種提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法�,從而使得骨干網(wǎng)中的核心設(shè)備可以有效防范網(wǎng)絡(luò)中的攻擊����,提高網(wǎng)絡(luò)的安全性能。
本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的本發(fā)明提供了一種提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法��,包括A���、骨干網(wǎng)絡(luò)中的邊緣設(shè)備接收客戶(hù)端發(fā)來(lái)的報(bào)文��;B�����、在所述報(bào)文中設(shè)置承載區(qū)別于來(lái)自骨干網(wǎng)絡(luò)自身的傳輸報(bào)文的標(biāo)識(shí)信息�����,并發(fā)送��;C�����、在骨干網(wǎng)絡(luò)中的設(shè)備上根據(jù)接收的報(bào)文中的標(biāo)識(shí)信息識(shí)別出來(lái)自于客戶(hù)端的報(bào)文��,并進(jìn)行安全性處理�����。
所述的步驟B包括將所述報(bào)文中的生存時(shí)間TTL值修改為區(qū)別于來(lái)自骨干網(wǎng)絡(luò)自身的傳輸報(bào)文可能應(yīng)用到的TTL值����,并發(fā)送���。
所述的步驟B包括在骨干網(wǎng)絡(luò)上傳輸所述來(lái)自于客戶(hù)端的報(bào)文過(guò)程中�,相應(yīng)的報(bào)文中的TTL值的變化范圍與來(lái)自骨干網(wǎng)絡(luò)自身的報(bào)文中的TTL值的范圍不重合。
所述的步驟B具體包括將所述來(lái)自于客戶(hù)端的報(bào)文中的TTL值修改為小于設(shè)定的TTL上限值���,所述的TTL上限值為根據(jù)骨干網(wǎng)絡(luò)自身傳輸?shù)膱?bào)文可能應(yīng)用到的TTL值確定����。
所述的步驟B包括
B1��、將接收到的來(lái)自于客戶(hù)端的報(bào)文中的TTL值與設(shè)定的TTL上限值進(jìn)行比較���,如果報(bào)文中的TTL值大于設(shè)定的TTL上限值��,則執(zhí)行步驟B2���,否則,將該報(bào)文中的TTL值作減1處理�,執(zhí)行步驟B3;B2��、將所述的報(bào)文中的TTL值修改為所述TTL上限值��,執(zhí)行步驟B3����;B3�����、發(fā)送所述的修改TTL值后的報(bào)文���。
所述的步驟C包括C1、骨干網(wǎng)絡(luò)中設(shè)備接收?qǐng)?bào)文后��,將報(bào)文中的TTL值與設(shè)定的TTL下限值比較���,如果報(bào)文中的TTL值小于設(shè)定的TTL下限值��,則執(zhí)行步驟C2,否則����,執(zhí)行步驟C3;C2����、確定該報(bào)文為來(lái)自于客戶(hù)端的報(bào)文,需要對(duì)其進(jìn)行安全性處理�����;C3、確認(rèn)該報(bào)文為來(lái)自骨干網(wǎng)絡(luò)自身的報(bào)文�����,并交由上層進(jìn)行處理��。
所述的TTL下限值大于所述的TTL上限值���。
所述的步驟C2包括確定該報(bào)文為來(lái)自于客戶(hù)端的報(bào)文����,并丟棄所述來(lái)自于客戶(hù)端的報(bào)文��。
所述的步驟C2包括確定該報(bào)文為來(lái)自于客戶(hù)端的報(bào)文���,并獲取報(bào)文中的特征信息�;根據(jù)所述的特征信息及記錄的合法報(bào)文的信息判斷該報(bào)文是否合法�����,如果是����,則將該報(bào)文交由上層進(jìn)行處理���,否則,丟棄該報(bào)文�����。
所述的特征信息包括報(bào)文的源地址�����、目的地址���、源端口和目的端口信息中的至少一項(xiàng)�。
所述的合法報(bào)文的信息為記錄于骨干網(wǎng)中設(shè)備的訪問(wèn)控制列表ACL中����。
所述的步驟B包括在所述的報(bào)文服務(wù)質(zhì)量QOS或服務(wù)類(lèi)型TOS值修改為區(qū)別于來(lái)自骨干網(wǎng)絡(luò)自身的傳輸報(bào)文可能應(yīng)用到的QOS或TOS值���,并發(fā)送����。
由上述本發(fā)明提供的技術(shù)方案可以看出����,本發(fā)明的實(shí)現(xiàn)使得可以分別標(biāo)識(shí)來(lái)自用戶(hù)數(shù)據(jù)(CE側(cè))與來(lái)自骨干網(wǎng)內(nèi)部數(shù)據(jù)�����,從而在骨干網(wǎng)設(shè)備上可以很容易地識(shí)別和過(guò)濾來(lái)自用戶(hù)的所有攻擊��,解決了骨干網(wǎng)設(shè)備的安全性問(wèn)題��。而且本發(fā)明具有容易部署���、簡(jiǎn)便易行的特點(diǎn),通常只要統(tǒng)一規(guī)劃好了一次配置即可���。
另外�,本發(fā)明還可以通過(guò)和ACL結(jié)合或者在運(yùn)營(yíng)商的CE節(jié)點(diǎn)上不調(diào)整TTL來(lái)滿(mǎn)足不同的組網(wǎng)以及一些客戶(hù)對(duì)骨干網(wǎng)設(shè)備訪問(wèn)的特殊需求���。
圖1為DDOS攻擊示意圖���;圖2為MPLS組網(wǎng)示意圖;圖3為路由網(wǎng)絡(luò)組網(wǎng)示意圖���;圖4為本發(fā)明在邊緣設(shè)備中采用的處理過(guò)程示意圖����;圖5為本發(fā)明在骨干網(wǎng)絡(luò)設(shè)備中采用的處理過(guò)程示意圖。
具體實(shí)施例方式
本發(fā)明將提供一種簡(jiǎn)單易行的方法來(lái)解決上述復(fù)雜組網(wǎng)中骨干網(wǎng)的安全性問(wèn)題�����,即保護(hù)骨干網(wǎng)的設(shè)備特別是P設(shè)備(即骨干網(wǎng)上的設(shè)備)不會(huì)受到來(lái)自用戶(hù)側(cè)的任何攻擊����,從而保證骨干網(wǎng)的安全性。
本發(fā)明的核心是通過(guò)在邊緣路由設(shè)備上對(duì)客戶(hù)端發(fā)出的IP報(bào)文的打上區(qū)別標(biāo)識(shí)�����,標(biāo)識(shí)需要防范的來(lái)自用戶(hù)側(cè)的報(bào)文�����,以區(qū)別于來(lái)自骨干網(wǎng)上的合法的IP報(bào)文����,從而為骨干網(wǎng)中的路由設(shè)備提供相應(yīng)的安全保證�。
本發(fā)明可以通過(guò)在邊緣路由設(shè)備上對(duì)客戶(hù)端發(fā)出的IP報(bào)文的TTL值進(jìn)行修改,以區(qū)別于來(lái)自骨干網(wǎng)上的IP報(bào)文�,從而為骨干網(wǎng)中的路由設(shè)備提供相應(yīng)的安全保證���。也就是說(shuō),在本發(fā)明中��,骨干網(wǎng)中的路由設(shè)備可以根據(jù)接收的報(bào)文值與相應(yīng)的TTL門(mén)限值判斷報(bào)文合法性�����,以保證骨干網(wǎng)的安全��。
本發(fā)明在具體實(shí)現(xiàn)過(guò)程中����,還可以采用不同的報(bào)文QOS(服務(wù)質(zhì)量)或TOS(服務(wù)類(lèi)型)值區(qū)別合法報(bào)文,具體可以采用QOS或TOS字段的特殊的位來(lái)標(biāo)示區(qū)別不同的報(bào)文��,等等�,使得在核心網(wǎng)設(shè)備上就可以很方便的識(shí)別和處理這些需要防范的報(bào)文。
由于骨干網(wǎng)的設(shè)備通常都是運(yùn)營(yíng)商的設(shè)備����,都是由運(yùn)營(yíng)商統(tǒng)一控制和部署的,同時(shí)��,考慮到攻擊源基本上都是從CE端發(fā)起的,而幾乎不存在從骨干網(wǎng)內(nèi)部發(fā)起攻擊的情況��。因此�,如果能很好的標(biāo)識(shí)來(lái)自CE的報(bào)文和來(lái)自骨干網(wǎng)內(nèi)部的報(bào)文(即來(lái)自PE設(shè)備和P設(shè)備的報(bào)文),就能在骨干網(wǎng)設(shè)備上做到區(qū)別處理�,從而很容易屏蔽來(lái)自CE端的攻擊。
對(duì)于直接和CE相連的PE設(shè)備���,是很容易識(shí)別其直接相連的CE設(shè)備發(fā)過(guò)來(lái)的報(bào)文的�,因此如果PE設(shè)備能在收到CE來(lái)的報(bào)文后給該報(bào)文打上一個(gè)容易識(shí)別的CE標(biāo)志�,就能實(shí)現(xiàn)針對(duì)報(bào)文的合法性的控制。
下面將以通過(guò)修改TTL值的方式實(shí)現(xiàn)本發(fā)明為例進(jìn)行詳細(xì)的說(shuō)明�。
本發(fā)明中,考慮到目前所有的IP報(bào)文都有TTL字段��,該字段本身是需要被中間網(wǎng)絡(luò)設(shè)備修改的以防止環(huán)路的發(fā)生�����,因此��,可以在骨干網(wǎng)的邊緣設(shè)備的節(jié)點(diǎn)上設(shè)定一個(gè)用戶(hù)報(bào)文的TTL上限值設(shè)為T(mén)TL_USER_MAX���,而在骨干網(wǎng)的所有網(wǎng)絡(luò)設(shè)備上設(shè)定一個(gè)可以接受報(bào)文的TTL下限值TTL_ACCEPT_MIN����,而且�,TTL_ACCEPT_MIN值應(yīng)當(dāng)大于TTL_USER_MAX,并在邊緣設(shè)備上控制來(lái)自用戶(hù)IP報(bào)文的TTL值都不大于TTL_USER_MAX�����,這樣��,便可以實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的安全性�����。
下面將結(jié)合附圖對(duì)本發(fā)明所述的方法的具體實(shí)現(xiàn)方式進(jìn)行詳細(xì)的說(shuō)明���。
首先��,本發(fā)明在PE節(jié)點(diǎn)/骨干網(wǎng)邊緣設(shè)備節(jié)點(diǎn)對(duì)來(lái)自CE側(cè)/用戶(hù)側(cè)的報(bào)文的處理過(guò)程如圖4所示��,具體包括以下步驟
步驟41邊緣設(shè)備接收CE側(cè)發(fā)來(lái)的報(bào)文���,提取報(bào)文中的TTL值;步驟42判斷所述的報(bào)文中的TTL是否大于設(shè)定的所述的TTL上限值TTL_USER_MAX����,如果是����,則執(zhí)行步驟43��,否則����,執(zhí)行步驟44;步驟43調(diào)整報(bào)文的TTL值為T(mén)TL_USER_MAX�����,并轉(zhuǎn)發(fā)���;本發(fā)明的核心便是在該步驟中對(duì)報(bào)文中的TTL值進(jìn)行調(diào)整���,從而使得用戶(hù)側(cè)發(fā)來(lái)的報(bào)文的TTL值不同于骨干網(wǎng)內(nèi)部的報(bào)文的TTL值,使得在骨干網(wǎng)的路由設(shè)備上能夠方便地區(qū)別出來(lái)自于用戶(hù)的報(bào)文和來(lái)自于骨干網(wǎng)設(shè)備的報(bào)文�����,以將存在隱患的來(lái)自用戶(hù)的報(bào)文進(jìn)行單獨(dú)的處理����;也就是說(shuō)���,本發(fā)明中通過(guò)該步驟的處理,需要保證在骨干網(wǎng)絡(luò)上傳輸所述來(lái)自于客戶(hù)端的報(bào)文過(guò)程中��,相應(yīng)的報(bào)文中的TTL值的變化范圍需要與來(lái)自骨干網(wǎng)絡(luò)自身的報(bào)文中的TTL值的范圍不重合���,這樣,才能夠使得骨干網(wǎng)設(shè)備可以根據(jù)接收的報(bào)文中的TTL值有效區(qū)分出存在安全隱患的來(lái)自客戶(hù)端的報(bào)文�����,以便于進(jìn)行相應(yīng)的過(guò)濾處理���;本發(fā)明中�,所述的TTL_USER_MAX值是根據(jù)骨干網(wǎng)中傳輸?shù)墓歉删W(wǎng)內(nèi)部的報(bào)文可能應(yīng)用到的TTL值確定��,例如�,若骨干網(wǎng)內(nèi)部的報(bào)文可能應(yīng)用到的TTL值為255至200,則所述的TTL_USER_MAX值需要設(shè)置為小于200����,例如���,可以將所述的TTL_USER_MAX值設(shè)置為160、150等等�����;步驟44將所述報(bào)文中的TTL減1后�����,進(jìn)行轉(zhuǎn)發(fā)處理��,即對(duì)所述報(bào)文進(jìn)行正常的轉(zhuǎn)發(fā)處理��。
本發(fā)明在PE/P節(jié)點(diǎn)或骨干網(wǎng)節(jié)點(diǎn)設(shè)備上對(duì)收到的發(fā)到本機(jī)的報(bào)文的處理過(guò)程如圖5所示��,具體包括以下步驟步驟51骨干網(wǎng)節(jié)點(diǎn)設(shè)備接收?qǐng)?bào)文���,并提取報(bào)文中的TTL值�;步驟52判斷所述報(bào)文中的TTL是否大于或等于設(shè)定的所述的TTL下限值TTL_ACCEPT_MIN�,如果是,則執(zhí)行步驟53�,否則,執(zhí)行步驟54���;步驟53表明所述的報(bào)文是來(lái)自骨干網(wǎng)的報(bào)文���,并交給上層進(jìn)行處理�����;
步驟54確定所述的報(bào)文來(lái)自于客戶(hù)端����,需要對(duì)其進(jìn)行安全性處理����;具體的安全性處理的方法包括以下兩種(1)將所有來(lái)自骨干網(wǎng)的報(bào)文均認(rèn)為是非法報(bào)文�,即存在安全隱患的報(bào)文,并直接丟棄所述報(bào)文�����,從而保證骨干網(wǎng)設(shè)備的安全�,進(jìn)而保證骨干網(wǎng)絡(luò)的安全性;(2)還可以設(shè)置針對(duì)客戶(hù)端報(bào)文的訪問(wèn)控制列表ACL����,用于對(duì)存在安全隱患的來(lái)自客戶(hù)端的報(bào)文進(jìn)行過(guò)濾處理���;在所述的ACL中可以記錄合法報(bào)文的特征信息,具體可以包括源地址����、目的地址、源端口和目的端口信息中的一種或多種��,當(dāng)骨干網(wǎng)設(shè)備接收?qǐng)?bào)文后�����,便可以將接收的報(bào)文中的相應(yīng)的特征信息與ACL中的合法報(bào)文的特征信息進(jìn)行比較從而過(guò)濾出其中的非法報(bào)文�,僅將合法報(bào)文交給上層處理,這樣�,本發(fā)明便可以通過(guò)和設(shè)備中的ACL結(jié)合,滿(mǎn)足不同的組網(wǎng)以及一些客戶(hù)對(duì)骨干網(wǎng)設(shè)備訪問(wèn)的特殊需求���;也就是說(shuō)����,如果該節(jié)點(diǎn)允許一些特殊的訪問(wèn)���,則可以設(shè)置相應(yīng)的ACL���,當(dāng)報(bào)文中的TTL值小于所述的TTL_ACCEPT_MIN值后���,則需要通過(guò)增加設(shè)置的ACL對(duì)所述報(bào)文進(jìn)行進(jìn)一步的過(guò)濾處理,并將其中合法的報(bào)文交由上層進(jìn)行處理���,對(duì)于非法的報(bào)文����,則進(jìn)行丟棄處理�����;當(dāng)然�����,本發(fā)明在具體實(shí)現(xiàn)過(guò)程中可以根據(jù)需要確定是否在運(yùn)營(yíng)商的CE節(jié)點(diǎn)上進(jìn)行TTL調(diào)整���,以滿(mǎn)足不同的組網(wǎng)以及一些客戶(hù)對(duì)骨干網(wǎng)設(shè)備訪問(wèn)的特殊需求。
總之���,本發(fā)明中���,由于對(duì)于從骨干網(wǎng)轉(zhuǎn)發(fā)的報(bào)文的跳數(shù)是不確定的��,因此���,本發(fā)明中,可以通過(guò)修改合適的TTL下限值TTL_ACCEPT_MIN��,以及TTL上限值TTL_USER_MAX值�����,從而實(shí)現(xiàn)用戶(hù)的應(yīng)用以及骨干網(wǎng)內(nèi)部的通訊均不受影響��。
綜上所述����,本發(fā)明可以標(biāo)識(shí)區(qū)分來(lái)自用戶(hù)數(shù)據(jù)(CE側(cè))與來(lái)自骨干網(wǎng)內(nèi)部數(shù)據(jù),從而使得在骨干網(wǎng)設(shè)備上可以很容易地識(shí)別和過(guò)濾來(lái)自用戶(hù)的所有攻擊����,有效解決了骨干網(wǎng)設(shè)備的安全性問(wèn)題。而且本發(fā)明在具體實(shí)現(xiàn)過(guò)程中容易部署����,即統(tǒng)一規(guī)則后通過(guò)一次配置便可以實(shí)現(xiàn)本發(fā)明����。
以上所述����,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此�����,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)�����。
權(quán)利要求
1.一種提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法�,其特征在于���,包括A���、骨干網(wǎng)絡(luò)中的邊緣設(shè)備接收客戶(hù)端發(fā)來(lái)的報(bào)文��;B����、在所述報(bào)文中設(shè)置承載區(qū)別于來(lái)自骨干網(wǎng)絡(luò)自身的傳輸報(bào)文的標(biāo)識(shí)信息�����,并發(fā)送���;C�����、在骨干網(wǎng)絡(luò)中的設(shè)備上根據(jù)接收的報(bào)文中的標(biāo)識(shí)信息識(shí)別出來(lái)自于客戶(hù)端的報(bào)文���,并進(jìn)行安全性處理。
2.根據(jù)權(quán)利要求1所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法�����,其特征在于�����,所述的步驟B包括將所述報(bào)文中的生存時(shí)間TTL值修改為區(qū)別于來(lái)自骨干網(wǎng)絡(luò)自身的傳輸報(bào)文可能應(yīng)用到的TTL值,并發(fā)送��。
3.根據(jù)權(quán)利要求2所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法���,其特征在于���,所述的步驟B包括在骨干網(wǎng)絡(luò)上傳輸所述來(lái)自于客戶(hù)端的報(bào)文過(guò)程中,相應(yīng)的報(bào)文中的TTL值的變化范圍與來(lái)自骨干網(wǎng)絡(luò)自身的報(bào)文中的TTL值的范圍不重合��。
4.根據(jù)權(quán)利要求2所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法��,其特征在于�,所述的步驟B具體包括將所述來(lái)自于客戶(hù)端的報(bào)文中的TTL值修改為小于設(shè)定的TTL上限值,所述的TTL上限值為根據(jù)骨干網(wǎng)絡(luò)自身傳輸?shù)膱?bào)文可能應(yīng)用到的TTL值確定��。
5.根據(jù)權(quán)利要求4所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法����,其特征在于,所述的步驟B包括B1��、將接收到的來(lái)自于客戶(hù)端的報(bào)文中的TTL值與設(shè)定的TTL上限值進(jìn)行比較�����,如果報(bào)文中的TTL值大于設(shè)定的TTL上限值�,則執(zhí)行步驟B2,否則����,將該報(bào)文中的TTL值作減1處理,執(zhí)行步驟B3�;B2、將所述的報(bào)文中的TTL值修改為所述TTL上限值���,執(zhí)行步驟B3���;B3、發(fā)送所述的修改TTL值后的報(bào)文�����。
6.根據(jù)權(quán)利2至5任一項(xiàng)所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法����,其特征在于,所述的步驟C包括C1��、骨干網(wǎng)絡(luò)中設(shè)備接收?qǐng)?bào)文后,將報(bào)文中的TTL值與設(shè)定的TTL下限值比較����,如果報(bào)文中的TTL值小于設(shè)定的TTL下限值,則執(zhí)行步驟C2���,否則����,執(zhí)行步驟C3����;C2、確定該報(bào)文為來(lái)自于客戶(hù)端的報(bào)文�,需要對(duì)其進(jìn)行安全性處理;C3��、確認(rèn)該報(bào)文為來(lái)自骨干網(wǎng)絡(luò)自身的報(bào)文�,并交由上層進(jìn)行處理。
7.根據(jù)權(quán)利要求6所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法�����,其特征在于�,所述的TTL下限值大于所述的TTL上限值���。
8.根據(jù)權(quán)利要求6所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法�,其特征在于,所述的步驟C2包括確定該報(bào)文為來(lái)自于客戶(hù)端的報(bào)文���,并丟棄所述來(lái)自于客戶(hù)端的報(bào)文����。
9.根據(jù)權(quán)利要求6所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法��,其特征在于����,所述的步驟C2包括確定該報(bào)文為來(lái)自于客戶(hù)端的報(bào)文,并獲取報(bào)文中的特征信息�����;根據(jù)所述的特征信息及記錄的合法報(bào)文的信息判斷該報(bào)文是否合法��,如果是�,則將該報(bào)文交由上層進(jìn)行處理,否則����,丟棄該報(bào)文�。
10.根據(jù)權(quán)利要求9所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法����,其特征在于,所述的特征信息包括報(bào)文的源地址�����、目的地址�����、源端口和目的端口信息中的至少一項(xiàng)�����。
11.根據(jù)權(quán)利要求9所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法�����,其特征在于��,所述的合法報(bào)文的信息為記錄于骨干網(wǎng)中設(shè)備的訪問(wèn)控制列表ACL中。
12.根據(jù)權(quán)利要求1所述的提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法�,其特征在于,所述的步驟B包括在所述的報(bào)文服務(wù)質(zhì)量QOS或服務(wù)類(lèi)型TOS值修改為區(qū)別于來(lái)自骨干網(wǎng)絡(luò)自身的傳輸報(bào)文可能應(yīng)用到的QOS或TOS值����,并發(fā)送。
全文摘要
本發(fā)明涉及一種提高骨干網(wǎng)絡(luò)安全性的實(shí)現(xiàn)方法���。本發(fā)明主要包括首先,當(dāng)骨干網(wǎng)絡(luò)中的邊緣設(shè)備接收客戶(hù)端發(fā)來(lái)的報(bào)文時(shí)���,將所述報(bào)文中的生存時(shí)間TTL值修改為區(qū)別于來(lái)自骨干網(wǎng)絡(luò)自身的傳輸報(bào)文可能應(yīng)用到的TTL值��,并發(fā)送��,之后��,在骨干網(wǎng)絡(luò)中的設(shè)備上根據(jù)接收的報(bào)文中的TTL值識(shí)別出來(lái)自于客戶(hù)端的報(bào)文��,并進(jìn)行安全性處理���,以避免非法報(bào)文對(duì)骨干網(wǎng)絡(luò)中的設(shè)備的攻擊。因此���,本發(fā)明的實(shí)現(xiàn)可以有效解決骨干網(wǎng)設(shè)備的安全性問(wèn)題����;而且本發(fā)明具有容易部署、簡(jiǎn)便易行的特點(diǎn)��。
文檔編號(hào)H04L12/56GK1878125SQ20051007493
公開(kāi)日2006年12月13日 申請(qǐng)日期2005年6月6日 優(yōu)先權(quán)日2005年6月6日
發(fā)明者雷奕康 申請(qǐng)人:華為技術(shù)有限公司