專利名稱:控制通信網(wǎng)絡(luò)上的流量的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本公開(kāi)主題涉及用于控制通信網(wǎng)絡(luò)上的流量的方法和系統(tǒng)。
背景技術(shù):
對(duì)通信網(wǎng)絡(luò)上的合法數(shù)據(jù)流的攻擊是正在發(fā)生的和逐漸發(fā)展的問(wèn)題���。拒絕服務(wù) (denial-of-service)��、欺騙和丟棄攻擊(drop attack)是常見(jiàn)的問(wèn)題���。在拒絕服務(wù)攻擊 中����,壓倒性數(shù)量的偽流量包和壓倒性數(shù)量的服務(wù)請(qǐng)求可以被發(fā)送給服務(wù)器以導(dǎo)致網(wǎng)絡(luò)資源 過(guò)載。在欺騙攻擊中�����,攻擊者假裝是合法的發(fā)送機(jī)并且發(fā)送補(bǔ)充或代替合法數(shù)據(jù)流的數(shù)據(jù)�, 從而危害接收機(jī)���。在丟棄攻擊中��,在合法發(fā)送機(jī)和合法接收機(jī)之間的通信通路上的設(shè)備故 意丟棄發(fā)送機(jī)與接收機(jī)之間的報(bào)文和數(shù)據(jù)���,導(dǎo)致通信損失����。
發(fā)明內(nèi)容
本發(fā)明提供了用于控制通信網(wǎng)絡(luò)上的流量的方法和系統(tǒng)。根據(jù)一些實(shí)施例����,本發(fā) 明提供了用于控制通信網(wǎng)絡(luò)上的流量的方法����,該方法包括在接收機(jī)內(nèi)的處理器處接收對(duì) 于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文��;發(fā)送來(lái)自接收機(jī)的許可報(bào)文�����;檢測(cè)到發(fā)送給接 收機(jī)的報(bào)文和數(shù)據(jù)包中的至少一個(gè)已經(jīng)被丟棄���;以及促使發(fā)送數(shù)據(jù)流的通路改變��。根據(jù)一些實(shí)施例���,本發(fā)明提供了用于控制通信網(wǎng)絡(luò)上的流量的方法����,該方法包括 傳送對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文��;傳送授權(quán)發(fā)送機(jī)發(fā)送給定量的流量流的 許可報(bào)文�����;以及使用處理器根據(jù)給定量的流量流來(lái)確定數(shù)據(jù)包是否被授權(quán)�。根據(jù)一些實(shí)施例����,本發(fā)明提供了用于控制通信網(wǎng)絡(luò)上的流量的方法��,該方法包括 傳送對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文��;傳送指示在將數(shù)據(jù)包傳輸給接收機(jī)時(shí)使 用安全協(xié)議的許可報(bào)文;以及使用處理器檢測(cè)到發(fā)送給接收機(jī)的數(shù)據(jù)包違反安全協(xié)議。根據(jù)一些實(shí)施例�����,本發(fā)明提供了用于控制通信網(wǎng)絡(luò)上的流量的方法,該方法包括 在接收機(jī)內(nèi)的處理器處接收對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文����;發(fā)送指示在將數(shù) 據(jù)包傳輸給接收機(jī)時(shí)使用安全協(xié)議的許可報(bào)文���;以及檢測(cè)到發(fā)送給接收機(jī)的數(shù)據(jù)包違反安 全協(xié)議。根據(jù)一些實(shí)施例���,本發(fā)明提供了用于控制通信網(wǎng)絡(luò)上的流量的系統(tǒng)�����,該系統(tǒng)包括 具有處理器的接收機(jī)����,其中該處理器接收請(qǐng)求允許將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文��;發(fā) 送來(lái)自接收機(jī)的許可報(bào)文����;檢測(cè)到發(fā)送給接收機(jī)的報(bào)文和數(shù)據(jù)包中的至少一個(gè)已經(jīng)被丟 棄���;以及促使用于發(fā)送數(shù)據(jù)流的通路改變�。根據(jù)一些實(shí)施例���,本發(fā)明提供了用于控制通信網(wǎng)絡(luò)上的流量的系統(tǒng),該系統(tǒng)包括具有處理器的接收機(jī)�����,其中該處理器傳送對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文��;傳 送授權(quán)發(fā)送機(jī)發(fā)送給定量的流量流的許可報(bào)文�;以及根據(jù)給定量的流量流來(lái)確定數(shù)據(jù)包是 否被授權(quán)�。根據(jù)一些實(shí)施例,本發(fā)明提供了用于控制通信網(wǎng)絡(luò)上的流量的系統(tǒng)�����,該系統(tǒng)包括 處理器���,其中該處理器傳送對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文���;傳送指示在將數(shù) 據(jù)包發(fā)送給接收機(jī)時(shí)使用安全協(xié)議的許可報(bào)文�;以及檢測(cè)到發(fā)送給接收機(jī)的數(shù)據(jù)包違反安 全協(xié)議���。根據(jù)一些實(shí)施例�,本發(fā)明提供了用于控制通信網(wǎng)絡(luò)上的流量的系統(tǒng)�,系統(tǒng)包括具 有處理器的接收機(jī)���,其中該處理器接收對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文;傳 送指示在將數(shù)據(jù)包發(fā)送給接收機(jī)時(shí)使用安全協(xié)議的許可報(bào)文��;以及檢測(cè)到發(fā)送給接收機(jī)的 數(shù)據(jù)包違反安全協(xié)議�����。
圖1是示出根據(jù)一些實(shí)施例的與發(fā)送機(jī)和接收機(jī)之間的數(shù)據(jù)流有關(guān)的所發(fā)送的 查詢報(bào)文及許可報(bào)文的示意圖��。圖2是示出根據(jù)一些實(shí)施例的欺騙攻擊檢測(cè)的示意圖�。圖3是示出根據(jù)一些實(shí)施例可以檢測(cè)到的丟棄攻擊的示意圖。圖4是示出根據(jù)一些實(shí)施例的丟棄攻擊檢測(cè)的示意圖。圖5是示出根據(jù)一些實(shí)施例可以使用的硬件的示意圖�。
具體實(shí)施例方式根據(jù)各種實(shí)施例,本發(fā)明提供了用于控制通信網(wǎng)絡(luò)上的流量的機(jī)制���。這些機(jī)制可 以使用于多種應(yīng)用中���,例如防止拒絕服務(wù)(DoS)攻擊及其他形式的未授權(quán)流量。在一些實(shí)施例中��,對(duì)通信網(wǎng)絡(luò)上的流量的控制可以通過(guò)要求在發(fā)送機(jī)可以發(fā)送數(shù) 據(jù)包之前許可得由接收機(jī)授權(quán)許可來(lái)實(shí)現(xiàn)���。另外����,可以執(zhí)行對(duì)數(shù)據(jù)包和信令報(bào)文的監(jiān)控來(lái) 核實(shí)只是授權(quán)的數(shù)據(jù)包正在通信并且沒(méi)有被授權(quán)的數(shù)據(jù)包正在被丟棄�。在一些實(shí)施例中超 過(guò)它們的許可水平的數(shù)據(jù)包(如果存在)可以被丟棄或被限速(例如�,到很小的量)。為了控制和監(jiān)控授權(quán)數(shù)據(jù)包的傳輸�����,信令報(bào)文可以在通信網(wǎng)絡(luò)上的各種設(shè)備之間 發(fā)送�。例如,接收機(jī)可以通知在發(fā)送機(jī)和接收機(jī)之間的路由器(和/或任意其他適合的設(shè) 備)來(lái)自發(fā)送機(jī)的數(shù)據(jù)包被授權(quán)從發(fā)送機(jī)發(fā)送給接收機(jī)。發(fā)送數(shù)據(jù)包的許可可以被配置 為在給定的時(shí)長(zhǎng)之后自動(dòng)過(guò)期��。但是��,在一些實(shí)施例中�����,許可可以周期性刷新以在變化的網(wǎng) 絡(luò)條件(例如路由改變)下保持穩(wěn)健性�����,以及確保許可維持比過(guò)期期限更長(zhǎng)的時(shí)長(zhǎng)�。要確定數(shù)據(jù)包流是否違反對(duì)該數(shù)據(jù)流的給定許可,可以確定自設(shè)置了許可狀態(tài)之 后已經(jīng)接收或發(fā)送的數(shù)據(jù)流的量��。該確定可以在發(fā)送機(jī)和接收機(jī)之間的通路上的任意適合 的一個(gè)或更多個(gè)點(diǎn)進(jìn)行�����。在通路上的路由器或其他適合的設(shè)備可以監(jiān)控從發(fā)送機(jī)發(fā)送給接 收機(jī)的數(shù)據(jù)流的量�����。這種數(shù)據(jù)流監(jiān)控可以檢測(cè)偽造包的注入或者合法包的丟棄�。如果檢測(cè) 到授權(quán)包正由妥協(xié)的路由器(或其他設(shè)備)所丟棄,則可以觸發(fā)發(fā)送機(jī)改變數(shù)據(jù)流通路。在 一些實(shí)施例中�����,要改變數(shù)據(jù)流通路�,可以使用遠(yuǎn)離當(dāng)前通路的中繼節(jié)點(diǎn)或者可以使用通過(guò) 多宿主(multi-homing)的通路分集。
5
有至少兩種可以用來(lái)設(shè)置通路上的數(shù)據(jù)包流的許可的報(bào)文類型查詢報(bào)文和許可 報(bào)文�����。查詢報(bào)文由發(fā)送機(jī)發(fā)送以請(qǐng)求接收機(jī)的許可�����。許可報(bào)文由接收機(jī)在授權(quán)許可后發(fā)送 給發(fā)送機(jī)��。另外�,許可報(bào)文可以被用來(lái)去除(或撤消)和/或修改對(duì)數(shù)據(jù)流的許可狀態(tài)。在一些實(shí)施例中��,在Schulzrinne 和 Hancock 的"GIST =GeneralInternet Signaling Transport" (Internet Draft “draft-ietf-nsis-ntlp-17", Internet Engineering Task Force, www. ietf. org, 2008年10月���,該文在此通過(guò)引用的方式全文并 入本申請(qǐng)中)中所描述的通用互聯(lián)網(wǎng)信令傳輸(GIST)可以被用來(lái)沿著數(shù)據(jù)通路傳輸信令 報(bào)文以配置路由器(或其他設(shè)備)對(duì)數(shù)據(jù)流的許可狀態(tài)。GIST可以被用來(lái)處理所有進(jìn)來(lái) 的信令報(bào)文并且促使它們被傳送給如同在此所描述的適當(dāng)?shù)臋C(jī)制來(lái)處理�����。信令報(bào)文的傳輸 可以使用點(diǎn)到點(diǎn)的方法來(lái)處理。因而���,知道在此所描述的用于控制流量的機(jī)制的每個(gè)節(jié)點(diǎn) (或設(shè)備)當(dāng)它接收到信令報(bào)文時(shí)可以將信令報(bào)文轉(zhuǎn)發(fā)到下一節(jié)點(diǎn)�。在一些實(shí)施例中�,要保護(hù)信令報(bào)文的認(rèn)證和完整性,可以使用兩種安全機(jī)制在端 到端方式中的報(bào)文安全和在逐跳(hop-by-hop)方式中的信道安全���。報(bào)文安全可以被用來(lái) 保護(hù)點(diǎn)到點(diǎn)流量上的報(bào)文完整性和信道安全可以被用來(lái)保護(hù)相鄰節(jié)點(diǎn)之間的報(bào)文的完整 性和機(jī)密性��。報(bào)文安全(這在一些實(shí)施例中可以使用公鑰密碼來(lái)實(shí)現(xiàn))被用來(lái)保護(hù)報(bào)文不 被攻擊者修改�。信道安全(這在一些實(shí)施例中可以使用傳輸層安全(TLS)和/或數(shù)據(jù)報(bào)傳 輸層安全(DTLS)來(lái)實(shí)現(xiàn))可以被用來(lái)將數(shù)據(jù)包的互聯(lián)網(wǎng)協(xié)議安全(IPsec)的共享密鑰以 逐跳方式分發(fā)給數(shù)據(jù)通路上的路由器����。要認(rèn)證數(shù)據(jù)包,發(fā)送機(jī)可以使用任意適合的安全協(xié)議���,例如IPsec認(rèn)證報(bào)頭(AH) (該認(rèn)證報(bào)頭在Internet Engineering Task Force的RFC4302 (該文在此通過(guò)引用的方 式全文并入本申請(qǐng)中)中進(jìn)行了描述)�。又如��,在一些實(shí)施例中����,可以使用IPsec封裝安全 載荷(ESP)(這在Internet Engineering Task Force的RFC4303 (該文在此通過(guò)引用的方 式全文并入本申請(qǐng)中)中進(jìn)行了描述)進(jìn)行認(rèn)證��。當(dāng)使用該安全協(xié)議時(shí)����,路由器可以被配 置使之使用IP包過(guò)濾器來(lái)丟棄偽造包�����,其中所述偽造包可能已經(jīng)由未授權(quán)的源插入�����。當(dāng) 使用IPsec AH時(shí)�,任意適合的安全機(jī)制可以被使用來(lái)保護(hù)認(rèn)證數(shù)據(jù)段的完整性。例如����,在 Byzantine網(wǎng)絡(luò)(例如�����,其中發(fā)送機(jī)和/或路由器不可信的那種)中���,公鑰密碼算法(例如 RSA和Elliptic曲線密碼(ECC))可以被用于IPsecAH中的認(rèn)證數(shù)據(jù)段。又如�,在值得信任 的網(wǎng)絡(luò)(例如,其中路由器是可信的并且沒(méi)有妥協(xié)的那種)中�,對(duì)稱密鑰密碼算法,例如用 于報(bào)文授權(quán)(HMAC)的加密散列(Keyed-Hashing)(這在RFC2104(該文在此通過(guò)引用的方 式全文并入本申請(qǐng)中)中進(jìn)行了描述)����,可以被使用于IPsec AH中的認(rèn)證數(shù)據(jù)段,因?yàn)樵诳?信任的網(wǎng)絡(luò)中沒(méi)有通路上的攻擊者��。接收機(jī)在一些實(shí)施例中可以根據(jù)所使用的策略��、網(wǎng)絡(luò) 及應(yīng)用來(lái)選擇數(shù)據(jù)報(bào)文的密碼算法�。IPsec中的序列號(hào)同樣可以被用來(lái)檢測(cè)注入到網(wǎng)絡(luò)之 內(nèi)的偽造包。轉(zhuǎn)到圖1��,圖中示出了根據(jù)一些實(shí)施例可以如何在發(fā)送機(jī)102和接收機(jī)108之間設(shè) 置許可的實(shí)例100�����。如圖所示�,發(fā)送機(jī)102給接收機(jī)108發(fā)送查詢報(bào)文110以請(qǐng)求許可發(fā)送 數(shù)據(jù)流122。在查詢報(bào)文的流標(biāo)識(shí)中描述了所請(qǐng)求的應(yīng)用�����。查詢報(bào)文在GIST中給許可報(bào)文 116的通路設(shè)置相反的路由狀態(tài)。接收機(jī)108然后給發(fā)送機(jī)102發(fā)送許可報(bào)文116以允許 數(shù)據(jù)流122的數(shù)據(jù)包沿著查詢報(bào)文110的通路進(jìn)入�����。在設(shè)置了發(fā)送機(jī)和接收機(jī)之間的許可 狀態(tài)之后�����,發(fā)送機(jī)然后可以在所指定的時(shí)間間隔內(nèi)給接收機(jī)發(fā)送所允許的數(shù)據(jù)量(許可)����。
在一些實(shí)施例中,發(fā)送機(jī)102每個(gè)刷新周期(T) 136可以發(fā)送查詢報(bào)文110和124�����。 接收機(jī)108然后可以在接收到查詢報(bào)文110或124之后給發(fā)送機(jī)102發(fā)送許可報(bào)文116或 118�����。在一些實(shí)施例中����,查詢和許可報(bào)文的不對(duì)稱傳輸可以得以支持。在設(shè)置了許可狀 態(tài)之后�,如果接收機(jī)想要改變?cè)S可狀態(tài)或安全算法��,則它可以在沒(méi)有接收到另一查詢報(bào)文 的情況下發(fā)送另一許可報(bào)文��。在一些實(shí)施例中可以使用公鑰加密算法來(lái)保護(hù)在信令報(bào)文中的字段(在下面描 述)。這種加密可以被用來(lái)支持報(bào)文的認(rèn)證和完整性��。在一些實(shí)施例中�,要捆綁公鑰和發(fā) 送機(jī),可以使用X. 509證書(shū)(這在RFC5280(該文在此通過(guò)引用的方式全文并入本申請(qǐng)中) 中進(jìn)行了描述)���,并且證書(shū)可以被攜帶于信令報(bào)文中���。或者�����,在一些實(shí)施例中����,密碼生成地址 (CGA)(這在RFC3972(該文在此通過(guò)引用的方式全文并入本申請(qǐng)中)中進(jìn)行了描述)可以 與互聯(lián)網(wǎng)協(xié)議版本6 (IPv6) —起使用以捆綁IPv6地址和公鑰,而不是公鑰證書(shū)��。在一些實(shí)施例中����,工作證明機(jī)制可以被用來(lái)對(duì)可能被惡意使用以發(fā)動(dòng)拒絕服務(wù)攻 擊的查詢報(bào)文限速���。例如,工作證明機(jī)制可以要求發(fā)送機(jī)執(zhí)行一些時(shí)間的或者處理功率密 集的任務(wù)(例如散列函數(shù)的重復(fù)執(zhí)行)����,所述任務(wù)然后在接收查詢報(bào)文之前由接收機(jī)核實(shí)。圖2示出了根據(jù)一些實(shí)施例的檢測(cè)攻擊的實(shí)例�����。如所示����,兩種信令報(bào)文(查詢報(bào)文 210和許可報(bào)文212)設(shè)置在發(fā)送機(jī)202和接收機(jī)208之間的數(shù)據(jù)流214的許可狀態(tài)。在該 實(shí)例中�,假定接收機(jī)208給發(fā)送機(jī)202授權(quán)IOMB大小的許可,并且要求發(fā)送機(jī)使用對(duì)稱密 鑰密碼來(lái)加密IPsec的認(rèn)證字段���。在設(shè)置了許可狀態(tài)之后�����,發(fā)送機(jī)202發(fā)送總量為1MB的數(shù) 據(jù)包�。接著,欺騙發(fā)送機(jī)202的地址并且具有共享密鑰的攻擊者216發(fā)送總量為2MB的另 加的攻擊包218���。在刷新周期(T) 220之后�,發(fā)送機(jī)202發(fā)送包含它已經(jīng)發(fā)送的數(shù)據(jù)量(在 該實(shí)例中為1MB)的指示的查詢報(bào)文222���。因?yàn)椴樵儓?bào)文222由公鑰密碼來(lái)保護(hù),所以他方 不能生成和/或修改查詢報(bào)文���。接收機(jī)208然后可以通過(guò)將查詢報(bào)文的數(shù)量指示(在該實(shí) 例中為1MB)與接收機(jī)已經(jīng)接收的數(shù)據(jù)的總量(在該實(shí)例中為3MB)比較來(lái)檢測(cè)攻擊���。在接 收機(jī)208檢測(cè)到攻擊之后,它發(fā)送具有指示的許可報(bào)文226以將IPsec AH的加密算法改變 成公鑰加密法(例如RSA和ECC)以使攻擊者無(wú)法獲知對(duì)稱密鑰���。在發(fā)送機(jī)202接收到許 可報(bào)文226之后�����,發(fā)送機(jī)改變用于數(shù)據(jù)包的IPsec AH的密碼算法�����。由于新的IPsec AH檢 驗(yàn)過(guò)程���,使用過(guò)期的對(duì)稱密鑰的隨后攻擊包然后將在設(shè)備204或206之一處被丟棄�����。在一些實(shí)施例中�,可以檢測(cè)到丟棄攻擊(或黑洞攻擊)��。在這種攻擊的實(shí)例中��,在 發(fā)送機(jī)和接收機(jī)之間妥協(xié)的路由器丟棄全部數(shù)據(jù)包和/或報(bào)文或者丟棄所選擇的數(shù)據(jù)包���。 圖3示出了檢測(cè)丟棄攻擊的實(shí)例300�。如所示���,攻擊者306丟棄從發(fā)送機(jī)302發(fā)送給接收機(jī) 308的所有數(shù)據(jù)包和信令報(bào)文����。因?yàn)榘l(fā)送機(jī)302在發(fā)送了兩個(gè)查詢報(bào)文310和312以及等 待超時(shí)設(shè)定314和316過(guò)期之后都沒(méi)有接收到許可報(bào)文�����,所以它懷疑數(shù)據(jù)包可能已經(jīng)被丟 棄。因此�,它在點(diǎn)318改變報(bào)文和數(shù)據(jù)流的通路。在圖4中示出了檢測(cè)丟棄攻擊的另一實(shí)例400����。如所示,攻擊者406丟棄數(shù)據(jù)包 410而轉(zhuǎn)發(fā)信令報(bào)文412�、414、416和418����。查詢報(bào)文416指示發(fā)送機(jī)402已經(jīng)發(fā)送給接收 機(jī)408的數(shù)據(jù)量(在該實(shí)例中為1MB)��。由于接收機(jī)408還沒(méi)有接收到數(shù)據(jù)流410��,因而接 收機(jī)可以檢測(cè)到數(shù)據(jù)包丟棄攻擊�。接收機(jī)408然后發(fā)送指示請(qǐng)求改變數(shù)據(jù)流和信令報(bào)文的 通路的許可報(bào)文418以避免攻擊者406。在接收到該許可報(bào)文之后��,發(fā)送機(jī)402改變通路���。
在一些實(shí)施例中�����,信令報(bào)文(例如查詢報(bào)文和許可報(bào)文)可以包括通用報(bào)頭和一 個(gè)或更多個(gè)類型長(zhǎng)度值(TVA)對(duì)象���。通用報(bào)頭可以指示報(bào)文的報(bào)文類型���。例如,報(bào)頭可以 指示報(bào)文究竟是查詢報(bào)文還是許可報(bào)文����。如上所述,查詢報(bào)文可以被用來(lái)請(qǐng)求許可和監(jiān)控 流量流����。查詢報(bào)文可以包括通用報(bào)頭、流標(biāo)識(shí)�����、報(bào)文序列號(hào)����、請(qǐng)求量,發(fā)送量���、公鑰檢驗(yàn)及認(rèn) 證數(shù)據(jù)���。同樣如上所述��,許可報(bào)文可以被用來(lái)設(shè)置���,去除及修改對(duì)數(shù)據(jù)流的許可狀態(tài)。許 可報(bào)文可以包括通用報(bào)頭�、流標(biāo)識(shí)、報(bào)文序列號(hào)��、允許量���、生存時(shí)間(TTL)�、刷新時(shí)間�����、公鑰證 書(shū)�、防御及認(rèn)證數(shù)據(jù)�。在一些實(shí)施例中,對(duì)象由通用對(duì)象報(bào)頭開(kāi)始����。該報(bào)頭可以指示對(duì)象的類型和對(duì)象 的長(zhǎng)度���。對(duì)象類型的一些實(shí)例是流標(biāo)識(shí)、報(bào)文序列號(hào)和允許量�����。報(bào)頭還可以指示當(dāng)對(duì)象為未 知時(shí)該如何處理對(duì)象��。例如�,指示可以是“強(qiáng)制(Mandatory) ”(例如,如果對(duì)象不被理解�����,則 包含它的整個(gè)報(bào)文必須被拒絕���,并發(fā)回錯(cuò)誤報(bào)文)�����,“忽略(Ignore) ”(例如�,如果對(duì)象未知����, 則它必須被刪除并且報(bào)文的其余部分照常處理)��,“轉(zhuǎn)發(fā)(Forward)��,�����,(例如����,如果對(duì)象不被 理解���,則它必須在作為報(bào)文處理的結(jié)果轉(zhuǎn)發(fā)的任意報(bào)文中保持不變�,而不保存于本地)等����。流標(biāo)識(shí)可以指示IP地址版本(例如,版本4����、6等)����、協(xié)議標(biāo)識(shí)����、發(fā)送機(jī)的端口號(hào)���、預(yù) 期接收機(jī)的端口號(hào)����、發(fā)送機(jī)的IP地址以及預(yù)期接收機(jī)的IP地址�����。報(bào)文序列號(hào)可以包括漸增的序列號(hào)���。這可以被用來(lái)防止重放攻擊����。請(qǐng)求量可以指示發(fā)送機(jī)請(qǐng)求數(shù)據(jù)流的字節(jié)數(shù)量���。發(fā)送量可以指示自發(fā)送機(jī)收到許可之后發(fā)送機(jī)已經(jīng)發(fā)送的字節(jié)數(shù)量���。允許量可以指示接收機(jī)允許數(shù)據(jù)流的字節(jié)數(shù)量。生存時(shí)間(TTL)可以指示對(duì)數(shù)據(jù)流的許可狀態(tài)的時(shí)間限制��。該TTL在一些實(shí)施例 中可以以時(shí)間單位(例如,毫秒等)來(lái)表示����。刷新時(shí)間可以指示許可保持有效的時(shí)長(zhǎng)。公鑰證書(shū)可以包括節(jié)點(diǎn)公鑰的X. 509證書(shū)(或者任意其他適合的證書(shū))����。防御指示器可以指示對(duì)攻擊的解決方案。例如�,防御指示器可以指示不要采取 動(dòng)作;對(duì)稱密鑰密碼將要用來(lái)加密IPsec的認(rèn)證字段�;公鑰算法將要用來(lái)加密IPsec的 認(rèn)證字段;通路將要改變以避免妥協(xié)的路由器等�。防御指示器還可以指示IPsec的認(rèn)證 算法——例如,IPsec認(rèn)證字段的密碼算法��。例如�,這可以是HMAC-SHA1、HMAC-SHA-256�、 HMAC-MD5、RSA-1024�����、RSA-2048�����、ECC-160���、ECC-224�����、數(shù)字簽名算法(DSA)-1024����、DSA-2048 或 者來(lái)自X. 509證書(shū)的算法�����。防御指示器還可以包括IPsec認(rèn)證字段的密鑰�。認(rèn)證數(shù)據(jù)可以指示報(bào)文字段的加密數(shù)據(jù)的認(rèn)證和完整性。公鑰加密技術(shù)可以被用 來(lái)加密報(bào)文字段數(shù)據(jù)�����。轉(zhuǎn)到圖5�,在圖中示出用于實(shí)現(xiàn)控制通信網(wǎng)絡(luò)上的流量的方法和系統(tǒng)的硬件的實(shí) 例500。如所示,該硬件可以包括發(fā)送機(jī)502��、接收機(jī)508�、通信網(wǎng)絡(luò)503、路由器504�����、505�����、 506����、510、511���、512和516��,以及連接520和522���。發(fā)送機(jī)502可以是給接收機(jī)508發(fā)送數(shù)據(jù) 的任意適合的設(shè)備。例如���,發(fā)送機(jī)502可以是通用設(shè)備(例如計(jì)算機(jī))或?qū)S迷O(shè)備(例如客 戶機(jī)��、服務(wù)器��、互聯(lián)網(wǎng)協(xié)議語(yǔ)音(VoIP)電話�、多媒體設(shè)備等���。接收機(jī)508可以是接收來(lái)自發(fā) 送機(jī)502的數(shù)據(jù)的任意適合的設(shè)備�����。例如���,接收機(jī)508可以是通用設(shè)備(例如計(jì)算機(jī))或 專用設(shè)備(例如客戶機(jī)、服務(wù)器��、互聯(lián)網(wǎng)協(xié)議語(yǔ)音(VoIP)網(wǎng)關(guān)或多會(huì)議單元����、多媒體服務(wù)器 等)。這些通用的或?qū)S玫脑O(shè)備中的任一個(gè)可以包括任意適當(dāng)?shù)脑?,例如處理?該處理器可以是微處理器、數(shù)字信號(hào)處理器���、控制器等)�����、存儲(chǔ)器����、通信接口、顯示控制器����、輸入設(shè)備 等。通信網(wǎng)絡(luò)503可以是任意適合的通信網(wǎng)絡(luò)����,例如,互聯(lián)網(wǎng)(Internet)����、局域網(wǎng)(LAN)、廣 域網(wǎng)(WAN)��、有線網(wǎng)絡(luò)����、無(wú)線網(wǎng)絡(luò)����、電話網(wǎng)絡(luò)�、有線電視網(wǎng)絡(luò)、衛(wèi)星網(wǎng)絡(luò)等���。路由器504�����、505、 506�、510、511���、512和516可以是能夠傳送在發(fā)送機(jī)502和接收機(jī)508之間傳輸?shù)臄?shù)據(jù)的任 意適合的設(shè)備����。例如����,路由器504、505���、506��、510��、511����、512和516中的任一個(gè)或更多個(gè)可以 是路由器、網(wǎng)關(guān)���、交換機(jī)�、防火墻或任意其他適合的設(shè)備�。連接520和522可以是用于將發(fā) 送機(jī)502和接收機(jī)508連接到通信網(wǎng)絡(luò)503的任意適合的連接。例如�,連接520和522可 以是有線的或無(wú)線的連接。 雖然本發(fā)明已經(jīng)在上述說(shuō)明性的實(shí)施例中進(jìn)行了描述和示出��,但是應(yīng)當(dāng)理解���,本 公開(kāi)內(nèi)容已經(jīng)只是通過(guò)實(shí)例的方式來(lái)進(jìn)行描述��,以及本發(fā)明的實(shí)現(xiàn)細(xì)節(jié)的大量改變可以在 沒(méi)有脫離本發(fā)明的精神和范圍的情況下進(jìn)行�����,其中本發(fā)明的精神和范圍僅由下面的權(quán)利要 求書(shū)所限定����。所公開(kāi)的實(shí)施例的特征可以以各種方式來(lái)組合和重排。
權(quán)利要求
1.一種用于控制通信網(wǎng)絡(luò)上的流量的方法�,包括在接收機(jī)內(nèi)的處理器處接收對(duì)于許可將數(shù)據(jù)流發(fā)送給所述接收機(jī)的查詢報(bào)文; 發(fā)送來(lái)自所述接收機(jī)的許可報(bào)文�;檢測(cè)到發(fā)送給所述接收機(jī)的報(bào)文和數(shù)據(jù)包中的至少一個(gè)已經(jīng)被丟棄;以及 促使發(fā)送所述數(shù)據(jù)流的通路改變�。
2.根據(jù)權(quán)利要求1所述的方法,其中所述通路被改變以使用中繼節(jié)點(diǎn)��。
3.根據(jù)權(quán)利要求1所述的方法���,其中所述通路使用多宿主來(lái)改變。
4.一種用于控制通信網(wǎng)絡(luò)上的流量的方法�����,包括 傳送對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文���;傳送授權(quán)所述發(fā)送機(jī)發(fā)送給定量的流量流的許可報(bào)文����;以及 使用處理器根據(jù)所述給定量的流量流來(lái)確定數(shù)據(jù)包是否被授權(quán)。
5.根據(jù)權(quán)利要求4所述的方法�����,還包括丟棄被確定為沒(méi)有被授權(quán)的數(shù)據(jù)包。
6.一種用于控制通信網(wǎng)絡(luò)上的流量的方法,包括 傳送對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文�����;傳送指示在將數(shù)據(jù)包傳輸給所述接收機(jī)時(shí)使用安全協(xié)議的許可報(bào)文���;以及 使用處理器確定發(fā)送給所述接收機(jī)的數(shù)據(jù)包違反所述安全協(xié)議�。
7.根據(jù)權(quán)利要求6所述的方法��,還包括阻止所述數(shù)據(jù)包由所述接收機(jī)所接收�����。
8.根據(jù)權(quán)利要求6所述的方法�����,其中所述安全協(xié)議是IPkcAH�����。
9.根據(jù)權(quán)利要求6所述的方法,還包括改變?cè)谒霭踩珔f(xié)議中所使用的加密技術(shù)����。
10.根據(jù)權(quán)利要求9所述的方法���,其中所述加密技術(shù)從對(duì)稱密鑰加密改變?yōu)楣€加密�����。
11.一種用于控制通信網(wǎng)絡(luò)上的流量的方法�����,包括在接收機(jī)內(nèi)的處理器處接收對(duì)于許可將數(shù)據(jù)流發(fā)送給所述接收機(jī)的查詢報(bào)文�����; 發(fā)送指示在將數(shù)據(jù)包傳輸給所述接收機(jī)時(shí)使用安全協(xié)議的許可報(bào)文���;以及 檢測(cè)到發(fā)送給所述接收機(jī)的數(shù)據(jù)包違反所述安全協(xié)議。
12.根據(jù)權(quán)利要求11所述的方法,還包括在所述接收機(jī)處忽略所述數(shù)據(jù)包����。
13.根據(jù)權(quán)利要求11所述的方法,其中所述安全協(xié)議是IPkcAH�。
14.根據(jù)權(quán)利要求11所述的方法,還包括改變?cè)谒霭踩珔f(xié)議中所使用的加密技術(shù)�。
15.根據(jù)權(quán)利要求14所述的方法,其中所述加密技術(shù)從對(duì)稱密鑰加密改變?yōu)楣€加
16.一種用于控制通信網(wǎng)絡(luò)上的流量的系統(tǒng)����,包括 具有處理器的接收機(jī),所述處理器接收請(qǐng)求允許將數(shù)據(jù)流發(fā)送給所述接收機(jī)的查詢報(bào)文��; 發(fā)送來(lái)自所述接收機(jī)的許可報(bào)文��;檢測(cè)到發(fā)送給所述接收機(jī)的報(bào)文和數(shù)據(jù)包中的至少一個(gè)已經(jīng)被丟棄�;以及 促使用于發(fā)送所述數(shù)據(jù)流的通路改變。
17.根據(jù)權(quán)利要求16所述的系統(tǒng)���,其中所述通路使用中繼節(jié)點(diǎn)來(lái)改變��。
18.根據(jù)權(quán)利要求16所述的系統(tǒng),其中所述通路使用多宿主來(lái)改變�。
19.一種用于控制通信網(wǎng)絡(luò)上的流量的系統(tǒng),包括 處理器,所述處理器傳送對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文���; 傳送授權(quán)所述發(fā)送機(jī)發(fā)送給定量的流量流的許可報(bào)文���;以及 根據(jù)所述給定量的流量流來(lái)確定數(shù)據(jù)包是否被授權(quán)。
20.根據(jù)權(quán)利要求19所述的系統(tǒng)�,其中所述處理器丟棄被確定為沒(méi)有被授權(quán)的數(shù)據(jù)包。
21.一種用于控制通信網(wǎng)絡(luò)上的流量的系統(tǒng)��,包括 處理器�����,所述處理器傳送對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文����;傳送指示在將數(shù)據(jù)包發(fā)送給所述接收機(jī)時(shí)使用安全協(xié)議的許可報(bào)文;以及檢測(cè)到發(fā)送給所述接收機(jī)的數(shù)據(jù)包違反所述安全協(xié)議����。
22.根據(jù)權(quán)利要求21所述的系統(tǒng),其中所述處理器還阻止所述數(shù)據(jù)包在所述接收機(jī)處 接收����。
23.根據(jù)權(quán)利要求21所述的系統(tǒng)���,其中所述安全協(xié)議是IPkcAH。
24.根據(jù)權(quán)利要求21所述的系統(tǒng)�����,其中所述處理器還促使在所述安全協(xié)議中使用的加 密技術(shù)改變��。
25.根據(jù)權(quán)利要求M所述的系統(tǒng)����,其中所述加密技術(shù)從對(duì)稱密鑰加密改變?yōu)楣€加密。
26.一種用于控制通信網(wǎng)絡(luò)上的流量的系統(tǒng)����,包括 具有處理器的接收機(jī),所述處理器接收對(duì)于許可將數(shù)據(jù)流發(fā)送給所述接收機(jī)的查詢報(bào)文����;傳送指示在將數(shù)據(jù)包發(fā)送給所述接收機(jī)時(shí)使用安全協(xié)議的許可報(bào)文;以及檢測(cè)到發(fā)送給所述接收機(jī)的數(shù)據(jù)包違反所述安全協(xié)議�����。
27.根據(jù)權(quán)利要求沈所述的系統(tǒng)�,其中所述接收機(jī)還在所述接收機(jī)處忽略所述數(shù)據(jù)包����。
28.根據(jù)權(quán)利要求沈所述的系統(tǒng)����,其中所述安全協(xié)議是IPkcAH�。
29.根據(jù)權(quán)利要求沈所述的系統(tǒng),其中所述處理器還促使在所述安全協(xié)議中使用的加 密技術(shù)改變���。
30.根據(jù)權(quán)利要求沈所述的系統(tǒng)����,其中所述加密技術(shù)從對(duì)稱密鑰加密改變?yōu)楣€加密����。
全文摘要
提供了用于控制通信網(wǎng)絡(luò)上的流量的方法和系統(tǒng)。根據(jù)一些實(shí)施例�����,提供了用于控制通信網(wǎng)絡(luò)上的流量的方法�,方法包括在接收機(jī)內(nèi)的處理器處接收對(duì)于許可將數(shù)據(jù)流發(fā)送給接收機(jī)的查詢報(bào)文;發(fā)送來(lái)自接收機(jī)的許可報(bào)文��;檢測(cè)到發(fā)送給接收機(jī)的報(bào)文和數(shù)據(jù)包中的至少一個(gè)已經(jīng)被丟棄;以及促使發(fā)送數(shù)據(jù)流的通路改變����。
文檔編號(hào)H04J1/16GK102124674SQ200980131655
公開(kāi)日2011年7月13日 申請(qǐng)日期2009年7月2日 優(yōu)先權(quán)日2008年7月3日
發(fā)明者H·舒爾茲芮那, 洪世基 申請(qǐng)人:紐約市哥倫比亞大學(xué)理事會(huì)