專利名稱:防止在高速網(wǎng)絡中受到攻擊的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及防止在高速網(wǎng)絡中受到攻擊的技術(shù)領(lǐng)域,具體地說���,涉及一種防止目標在高速網(wǎng)絡中受到攻擊的方法和模塊���。本發(fā)明還涉及一種具有計算機可讀媒體和存儲在計算機可讀媒體上的具有程序編碼裝置的計算機程序的計算機程序產(chǎn)品有關(guān)�,所述程序編碼裝置適于在所述計算機程序在計算機上運行時執(zhí)行上述方法�����。此外����,本發(fā)明還涉及在高速網(wǎng)絡中處理請求的方法�。
背景技術(shù):
在高速網(wǎng)絡中,數(shù)據(jù)交換根據(jù)諸如TCP/IP或InfiniBand之類的標準化協(xié)議進行��。這種網(wǎng)絡中節(jié)點之間的通信由保證所涉及的網(wǎng)絡節(jié)點之間的正確數(shù)據(jù)傳送的所謂握手協(xié)議發(fā)起�����。這樣�,網(wǎng)絡中的一些所謂發(fā)起方的節(jié)點能夠使用其他節(jié)點(下稱為目標)提供的服務。因此���,發(fā)起方將請求發(fā)送給提供發(fā)起方所需的服務的目標���。
在網(wǎng)絡中�,諸如拒絕服務攻擊之類的攻擊的特征為攻擊方明顯試圖阻止服務的合法用戶使用該服務���。這可以通過分別使用虛假地址或源ID以及發(fā)送需要資源的大量請求使網(wǎng)絡中的目標溢出(flood)�,從而阻止服務器正常工作來實現(xiàn)����。
拒絕服務攻擊可以導致許多使用網(wǎng)絡的組織在時間和金錢上受到重大損失。
一種已知的方法是采用包括含有特定參數(shù)的發(fā)起消息�����、第一問題消息��、含有所述參數(shù)的對問題的答案和最終消息的4向握手協(xié)議�。然而,對于一些遵從預先規(guī)定的握手消息序列的協(xié)議來說����,這種解決方案并不能有效地防止溢出攻擊。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種防止目標在高速網(wǎng)絡中受到攻擊的方法和模塊�����,這克服了現(xiàn)有技術(shù)的已知缺點。具體地說�,本發(fā)明的目的是提供一種處理高速網(wǎng)絡中的請求、防止目標在網(wǎng)絡中受到攻擊的方法�,這能夠確保網(wǎng)絡中所有服務的無限制可用性。
這些目的是通過采用具有如權(quán)利要求1所述的特征的防止在高速網(wǎng)絡中受到攻擊的方法���、具有如在權(quán)利要求9中所述的特征的防止在高速網(wǎng)絡中受到攻擊的模塊和具有如在權(quán)利要求16中所述的特征的處理高速網(wǎng)絡中的請求的方法來達到的�����。
按照本發(fā)明,提出了防止目標在高速網(wǎng)絡中受到攻擊的方法���,包括下列步驟在從由與網(wǎng)絡中的特定節(jié)點相關(guān)聯(lián)的源ID標識的發(fā)起方接收到請求后�,產(chǎn)生問題��;將問題發(fā)送給由源ID標識的節(jié)點����;在接收到對問題的答案的情況下,評估這個答案���;以及在接收到適當答案的情況下�,通過將另一個消息,例如準備接收消息�,從目標發(fā)送給發(fā)起方使發(fā)起方與目標之間可以進行通信。
采用本發(fā)明�,可以防止在網(wǎng)絡中受到通過將大量的請求從使用虛假源ID的發(fā)起方發(fā)送給目標而引起的拒絕服務攻擊。
按照優(yōu)選實施例���,按照本發(fā)明設計的方法可以嵌入在3向(3-way)握手協(xié)議中�。
有益的是����,產(chǎn)生問題和評估答案的步驟在獨立的模塊中執(zhí)行。這個獨立的模塊可以納入硬件模塊中����,諸如邏輯芯片、PLD或FPGA���,以得到高的處理速度��。
優(yōu)選的是�,發(fā)送給發(fā)起方的問題包括與源ID和目標相關(guān)聯(lián)的參數(shù)��。問題可以加密���,以便進一步提高按照本發(fā)明所設計的這種方法的可靠性���。
按照優(yōu)選實施例���,按照本發(fā)明設計的方法還包括在表中輸入與發(fā)起方有關(guān)的信息的步驟。因此�����,就有可能發(fā)現(xiàn)在特定發(fā)起方與目標之間的連接的數(shù)量或請求的數(shù)量���。一旦所發(fā)現(xiàn)的連接或請求的數(shù)量超過預定值�����,就不再建立連接,以防止該特定發(fā)起方使目標溢出����。
有益的是,網(wǎng)絡為提供高速度和高性能的InfiniBand網(wǎng)絡��。
此外����,本發(fā)明涵蓋了一種防止目標在高速網(wǎng)絡中受到攻擊的模塊����,這種模塊包括產(chǎn)生由請求觸發(fā)的問題的裝置和評估對問題的答案的裝置�����。
優(yōu)選的是�����,這種模塊納入在硬件模塊中��,諸如邏輯片����、FLD或FPGA。這個硬件模塊可以整合在網(wǎng)絡適配器殼體中��,也可以整合在獨立的殼體中��。
按照另一個實施例�,這種模塊優(yōu)選地并入在獨立的處理器上運行的軟件模塊中。
本發(fā)明還涵蓋了一種計算機程序產(chǎn)品����,其具有計算機可讀媒體和存儲在所述計算機可讀媒體上的具有程序編碼裝置的計算機程序�����,當所述計算機程序在計算機上運行時��,所述程序編碼裝置可執(zhí)行按照本發(fā)明的方法����。
此外�����,本發(fā)明還涵蓋了一種在目標處采用通用握手協(xié)議處理高速網(wǎng)絡中的請求的方法����,其中一旦由處理請求導致的目標的負荷超過預定門限值�,就用按照權(quán)利要求1至8的任一項所述的方法修改所述通用握手協(xié)議。
由于這種防止請求溢出的保護只是在高峰使用時間需要�,因此在低峰使用時間可以使用典型為3向握手協(xié)議的通用握手協(xié)議。按照本發(fā)明的握手協(xié)議引入了兩個附加的步驟并用于高峰使用時間����。
從附圖和以下說明中可以清楚地看到本發(fā)明的其他一些特征和實施例�����。
可以理解�,上述的特征和以下所說明的特征不僅可以以所說明的組合方式使用����,而且也可以以其他組合方式或單獨使用,這并不背離本發(fā)明的專利保護范圍��。
在附圖中示意性地例示了本發(fā)明的情況��,下面將結(jié)合這些附圖進行詳細說明��?����?梢岳斫?��,這說明并不是對本發(fā)明的專利保護范圍有所限制�,而只是對本發(fā)明的一些優(yōu)選實施例的例示性說明����。
從以下結(jié)合附圖的詳細說明中可以清楚地看到本發(fā)明的其他方面和優(yōu)點���,在這些附圖中圖1示出了拒絕服務攻擊的一種可能情況;圖2示出了說明3向握手協(xié)議的示意圖�;圖3示出了說明在TCP網(wǎng)絡中的4向握手協(xié)議的示意圖;圖4示出了說明在InfiniBand網(wǎng)絡中的4向握手協(xié)議的示意圖�;圖5示出了例示按照本發(fā)明的在InfiniBand網(wǎng)絡中的5向握手協(xié)議的示意圖;圖6為原理性地示出按照本發(fā)明的在網(wǎng)絡環(huán)境中的模塊的方框圖���;圖7示出了說明按照本發(fā)明處理網(wǎng)絡中的請求的示意圖�,含有實現(xiàn)圖8流程的各個組件�����;以及圖8為例示按照本發(fā)明的方法的流程圖����。
具體實施例方式
圖1示出了拒絕服務攻擊的可能情況。使用授權(quán)發(fā)起方12的源ID的攻擊方10通過光纖16將請求發(fā)送給目標14���。按照本發(fā)明�����,這個請求在硬件聯(lián)網(wǎng)模塊18中予以評估�,以確保目標中主CPU 20的資源沒有被使用并且防止目標溢出����。
來看圖2,圖中例示了了一種3向握手協(xié)議��。由源ID確定的發(fā)起方向用目的地ID標識的目標發(fā)送請求消息�。目標回發(fā)包括目標參數(shù)的準備接收消息。為了建立連接���,發(fā)起方發(fā)送含有發(fā)起方參數(shù)的準備接收消息��。
用這種3向握手協(xié)議��,使用偽造地址的攻擊方可以用連接請求使目標溢出���,因為目標在對發(fā)起方進行識別前就為這些請求分配資源。
來看圖3����,圖中示出了在TCP網(wǎng)絡中的4向握手協(xié)議。在從發(fā)起方接收到請求后�����,目標就向分配資源的發(fā)起方發(fā)送問題。發(fā)起方將對這個問題的答案與包括發(fā)起方參數(shù)的準備接收消息一起發(fā)送給目標��。目標對這個答案進行評估�����,在它是有效答案的情況下�����,回發(fā)準備接收消息����,以建立連接。因此�����,在識別了發(fā)起方后執(zhí)行資源分配�。
然而,如圖4所示�����,這種4向握手協(xié)議沒有解決InfiniBand網(wǎng)絡中的請求溢出攻擊問題,因為其導致了I→T和T→I的不透明序列改變���,而這對上層協(xié)議是不透明的。由于I→T和T消息含有上層連接建立參數(shù)和QPN����,因此這種方式對于InfiniBand網(wǎng)絡來說不可行。問題在于��,目標不知道什么時候允許發(fā)送�。此外,這種方式并沒有解決與有限的可能隊列對數(shù)量相關(guān)的問題���。
來看圖5����,其中按照本發(fā)明的5向握手協(xié)議嵌入3向握手協(xié)議中����。從由源ID標識的發(fā)起方接收到請求后,目標(優(yōu)選的是與目標關(guān)聯(lián)的硬件模塊)產(chǎn)生從源ID得出的問題�,這個問題不包含對由源ID標識的節(jié)點的永久性數(shù)據(jù)。因此��,使用偽造地址的攻擊方接收不到這個問題,從而不能回答這個問題���。在使用有效源ID的情況下���,目標會回答這個問題。由目標對該答案進行評估����。如果答案匹配,就建立連接�。
在不涉及目標的軟件的情況下執(zhí)行問題產(chǎn)生和答案檢驗。在問題與答案之間��,沒有永久性數(shù)據(jù)必須存儲在目標中����。此外,這種方式在正常情況下對于上層協(xié)議是透明的而且是向后兼容的�����。
按照圖6���,連接HW輔助模塊30與包含要發(fā)送的外發(fā)消息的發(fā)送緩沖器32相連�����。SERDES 34讀取所有的到來消息���,這些到來消息存儲在接收緩沖器36中�。模塊30與控制邏輯38相連���,以觸發(fā)“轉(zhuǎn)發(fā)消息”(forward message)和“丟棄消息”(drop message)操作和發(fā)出“附加高負荷信息”,例如具有源地址的連接請求的到達或到達速率���。含有包括與發(fā)起方相關(guān)數(shù)據(jù)的表的負荷檢測模塊40向連接HW輔助模塊發(fā)信號“正常操作”�����、“高負荷”和“丟棄來自核實發(fā)起方的所有連接請求”���。
所提出的5向握手協(xié)議是防止使目標溢出的有效解決方案。由于這種防止請求溢出的保護只是在高峰使用時間需要����,因此在低峰使用時間可以使用3向握手協(xié)議。5向握手引入了分別為問題或詢問和詢問響應這兩個附加消息��。
來看圖7,圖中示出了使用源ID的發(fā)起方向目標發(fā)送建立連接的請求R�����。目標產(chǎn)生問題Q=f(...)��,該問題通過交換網(wǎng)絡發(fā)送給由包含在R中的源ID標識的實體���。只有接收到Q的實體能創(chuàng)建答案A�,并將答案A回發(fā)給目標�����。交換網(wǎng)絡根據(jù)包含在Q中的目的地ID將A傳送給目標��。目標驗證A的創(chuàng)建者是否通過g(A���,...)看到Q��。在優(yōu)選實施例中Q=f(源ID���、密鑰、...)����,而valid=g(A��、源ID�����、密鑰�����、...)。
在不知道“密鑰(key)”(明文加密攻擊�,自由可選的明文)的情況下(例如,用規(guī)則改變的密鑰)���,f的結(jié)果應該是任何發(fā)起方都難以預測的����。密鑰生成必須是任何發(fā)起方都不可預測的�����,例如使用物理噪聲產(chǎn)生密鑰�。此外����,不同的發(fā)起方必須導致不同的密鑰����,例如用InfiniBand LID、GID��、GUID作為輸入?yún)?shù)����。目標根據(jù)A和“密鑰”確定是否由地址與Q匹配的發(fā)起方發(fā)送了答案A。
在另一個實現(xiàn)中��,問題消息可以是InfiniBand重定向消息(GetResp(ClassPortInfo))����,含有要在答案中使用的InfiniBand參數(shù)。答案是重復的連接建立消息(InfiniBand REQ)��,其具有除了在問題消息(GetResp(ClassportInfo))中指定的參數(shù)外的原始參數(shù)組�。所有能用于重定向的參數(shù)均可用來形成問題消息。
來看圖8�,與需保護的目標關(guān)聯(lián)的模塊等待到來消息(步驟50)。接收到消息后��,在步驟52,分析這個消息的頭標�����。如果接收到的消息是對連接的請求54��,就在步驟56中產(chǎn)生問題��,在步驟58將所產(chǎn)生的問題發(fā)送給由接收到的源ID標識的節(jié)點���。
如果接收到的消息是答案60����,就在步驟62對這個答案進行評估�。在答案有效的情況下����,將消息轉(zhuǎn)給目標(步驟64)。如果不是這樣��,就丟棄這個消息(步驟66)����。
如果接收到的消息既不是請求也不是答案68����,則將所述消息轉(zhuǎn)發(fā)給目標(70)�����。
權(quán)利要求
1.一種在高速網(wǎng)絡中防止目標受到攻擊的方法��,包括下列步驟在從由與網(wǎng)絡中的特定節(jié)點相關(guān)聯(lián)的源ID標識的發(fā)起方接收到請求后���,產(chǎn)生問題�;將問題發(fā)送給由所述源ID標識的節(jié)點�;在接收到對問題的答案的情況下,對答案進行評估���;以及在接收到適當答案的情況下�����,通過將另一個消息從目標發(fā)送給發(fā)起方使發(fā)起方與目標之間可以進行通信����。
2.按照權(quán)利要求1所述的方法,其中所述方法嵌入在3向握手協(xié)議中�。
3.按照權(quán)利要求2所述的方法,其中所述產(chǎn)生問題和評估答案的步驟在獨立的模塊中執(zhí)行�����。
4.按照權(quán)利要求3所述的方法�,其中所述獨立的模塊并入在硬件模塊中。
5.按照權(quán)利要求1所述的方法����,其中所述問題包括與源ID和目標相關(guān)聯(lián)的參數(shù)。
6.按照權(quán)利要求1所述的方法��,所述方法還包括對問題進行加密的步驟�����。
7.按照權(quán)利要求1所述的方法��,所述方法還包括在表中輸入與發(fā)起方有關(guān)的信息的步驟��。
8.按照權(quán)利要求1所述的方法����,其中所述網(wǎng)絡是InfiniBand網(wǎng)絡�����。
9.一種在高速網(wǎng)絡中防止目標受到攻擊的模塊,所述模塊包括產(chǎn)生由請求觸發(fā)的問題的裝置和評估對這個問題的答案的裝置���。
10.按照權(quán)利要求9所述的模塊���,所述模塊并入在硬件模塊中。
11.按照權(quán)利要求10所述的模塊�����,其中所述模塊整合在網(wǎng)絡適配器殼體中���。
12.按照權(quán)利要求10所述的模塊��,其中所述模塊整合在獨立的殼體中�����。
13.按照權(quán)利要求10所述的模塊�,所述模塊并入在軟件模塊中����。
14.一種計算機程序產(chǎn)品����,具有計算機可讀媒體和存儲在所述計算機可讀媒體上的具有程序編碼裝置的計算機程序�,當所述計算機程序在計算機上運行時,所述程序編碼裝置適于執(zhí)行按照權(quán)利要求1至8中任一項所述的方法�����。
15.一種具有程序編碼裝置的計算機程序�,當所述計算機程序在計算機上運行時,所述程序編碼裝置適于執(zhí)行按照權(quán)利要求1至8中任一項所述的方法�����。
16.在目標處使用通用握手協(xié)議處理高速網(wǎng)絡中的請求的方法����,其中一旦所述目標的負荷超過預定門限值,就用按照權(quán)利要求1至8中任一項所述的方法修改所述通用握手協(xié)議���。
全文摘要
本發(fā)明提出了一種在高速網(wǎng)絡中防止目標受到攻擊的方法�����、模塊和計算機程序�。按照本發(fā)明所提出的方法包括下列步驟在從由與網(wǎng)絡中的特定節(jié)點相關(guān)聯(lián)的源ID標識的發(fā)起方接收到請求后���,產(chǎn)生問題�;將問題發(fā)送給由所述源ID標識的節(jié)點�;在接收到對問題的答案的情況下,對答案進行評估���;以及在接收到適當答案的情況下�����,通過將另一個消息從目標發(fā)送給發(fā)起方使發(fā)起方與目標之間可以進行通信���。
文檔編號H04L29/06GK1820483SQ200580000612
公開日2006年8月16日 申請日期2005年4月7日 優(yōu)先權(quán)日2004年6月4日
發(fā)明者克里斯托弗·萊施, 馬可·克里莫, 塞巴斯蒂安·科賽爾, 克里斯蒂·豪瑟 申請人:國際商業(yè)機器公司