CN101160807A - 生存时间分段实现网络安全保护的方法及系统 - Google Patents

生存时间分段实现网络安全保护的方法及系统 Download PDF

Info

Publication number
CN101160807A
CN101160807A CNA2006800122996A CN200680012299A CN101160807A CN 101160807 A CN101160807 A CN 101160807A CN A2006800122996 A CNA2006800122996 A CN A2006800122996A CN 200680012299 A CN200680012299 A CN 200680012299A CN 101160807 A CN101160807 A CN 101160807A
Authority
CN
China
Prior art keywords
ttl
message
network
carrier network
subordinate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2006800122996A
Other languages
English (en)
Other versions
CN100563172C (zh
Inventor
苗福友
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN101160807A publication Critical patent/CN101160807A/zh
Application granted granted Critical
Publication of CN100563172C publication Critical patent/CN100563172C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/20Hop count for routing purposes, e.g. TTL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种生存时间分段实现网络安全保护的方法,该方法主要包括:在运营商的运营商组网中,为批发运营商网络、下级运营商网络和用户网络分配不同的生存时间TTL段;利用所述分配的TTL段,在批发运营商网络和下级运营商网络中同时实现生存时间分段安全机制TPSM。本发明还公开了一种生存时间分段实现网络安全保护的系统。利用本发明,可以在运营商的运营商CsC组网的情况下,在批发运营商网络和下级运营商网络中同时实施TPSM。

Description

生存时间分段实现网络安全保护的方法及系统
技术领域
本发明涉及网絡通讯领域, 尤其涉及一种生存时间分段实现网络安 全保护的方法及系统。
背景技术 由于 IP网络中转发环路的存在,会造成报文在环路中不断转发,从而 耗费大量资源, 为此, 在 IPv4 (因特网协议版本 4 )报文头中设置了一个 TTL ( time to live,生存时间)字段,在 IPv6报文头中设置了一个 Hop Limit (跳限制)字段, 这两个字段的长度、 作用和处理完全相同, 下面以 TTL 字段为例说明其处理过程。
当一台主机在创建一个 IPv4报文时,即给该报文的 TTL字段分配一个 初始值, 该初始值为 0到 255之间的一个数值, 一般在 Linux (一种操作系 统)上该初始值缺省为 64, 而在 Windows (一种微软公司的操作系统 )上 该初始值缺省为 128。 当一个路由器收到一个上述 IPv4才艮文时, 在转发该 报文之前先检查其 TTL字段的值, 如果该 TTL字段的值为 0, 则丟弃该报 文, 否则将该报文的 TTL字段的值减少 1 , 然后转发该报文。 这样, 如果 网络中存在转发环路,则报文在环路中最终会因为 TTL减少到 0而被丟弃 , 从而避免了该报文在环路中不断地转发。
利用上述 TTL的特点可以有效地保护网络或网络节点的安全。
现有技术中提供了一种利用 TTL分段实现骨干网络安全保护的方法, 即 TPSM ( TTL Partition Security Mechanism, TTL分段安全机制)方法。
TPSM—个基本假设是骨干网络设备不需要同用户直接进行交互 , 它 对来自于用户的报文只需要转发, 而不需要由 IP层以上的协议进行处理, 如果报文来自用户, 并且报文的目的地址是该骨干网络设备的地址, 则 该骨干网络设备可以直接丟弃该报文。
TPSM将网络分为运营商网络和客户网络, 其中运营商网络由 P ( P Router, 运营商的核心路由器)和 PE ( Provider Edge, 运营商网络边缘路 由器) 两种设备組成, PE直接连接客户的网络(如企业网)或者通过二 层网络同用户的网络或主机, 如 ADSL ( Asymmetric Digital Subscriber Loop, 不对称数字用户线)相连, P设备是运营商网络的骨干设备, 负责 将 PE路由器连接起来。
定义一个信任半径 TmstRadius,该信任半径表示设备能够信任的其他 设备距离自己的最大跳数。 TPSM将 TTL分为高低两个段, 其中高段部分 ( 255到 255-TrustRadius )分配给运营商骨干网使用,骨干网的 PE和 P设备 之间通信报文的 TTL只能在该范围之内,并且要求骨干网内的通信报文的 TTL初始值均设为 255。 如果一个 P或 PE路由器发现一个目的地址为自己 的报文的 TTL小于 255-TmstRadius, 则认为该报文来自客户网络, 直接丟 弃该报文; 如果该报文的 TTL大于 255_TrustRadius, 则进行相应的处理。
由于来自一个客户网絡的报文的 TTL可能大于 255-TrustRadius, 这样 骨干网的 P路由器就可能会错误地接受这个报文。 为了避免这种情况, 需 要在骨干网的边缘, 也就是 PE设备上将骨干网的报文的 TTL减小到一个 比 255-tmstRadius还要小的一个值, 即客户网络的报文的 TTL的最大值 TTL_USER_MAX, 这个值一般是大于 128, 使上述情况对网络的影响降 到一个比较低的水平。
现有技术中 TPSM将网络分为客户网络和运营商网络, 并且把运营商 网络作为一个整体。 而实际上为一个客户提供服务的网络可能涉及到很 多运营商网络, 这些运营商网絡之间有各种不同的关系, 尤其是一个运 营商网络可能为另一个运营商网络提供骨干网络连接, 这样, 第二个运 营商网络对于它的客户来说是运营商, 而对于为它提供骨干网络连接的 运营商网络来说则是客户。 这种情况一般称为 CsC ( Carrier's Carrier, 运 营商的运营商) , CsC中将提供 VPN ( Virtual Private Network, 虚拟专用 网) 业务的运营商称为批发运营商, 而将使用批发业务的运营商称为下 级运营商。
CsC的組网情况如图 1所示:
其中, 在批发运营商网络 A中可以单独实施上述 TPSM, 并且不会对 本身网络产生不利的影响。 但如果在下级运营商中单独实施 TPSM, 比如, 在下级运营商网絡 B 中单独实施 TPSM, 则网络 B必须决定将批发运营商网絡 A作为客户网络 还是仅仅作为 P设备。 如果将 A作为客户网络, 则 TPSM只能在网絡 B中的 每个站点中单独实施。 这样, 则会导致网络 B中不同站点内的设备无法直 接通信, 这是无法接受的; 如果将 A作为 P设备, 就需要在网络 A中的 P设 备实施同网络 B中的 P设备相同的报文 TTL处理规则, 而这在实现上是不 可能的, 因为一个批发运营商网络可能同时为多个下级运营商提供批发 业务, 而各个下级运营商可能有的实现了 TPSM, 有的还没有, 即使实现 了参数可能也不完全相同。
在现有技术当中, 还没有在批发运营商网络和下级运营商网络中同 时实施 TPSM的有效方案。
发明内容 本发明的主要目的是提供一种生存时间分段实现网络安全保护的 方法,从而可以在 CsC组网的情况下,在批发运营商网络和下级运营商网 络中同时实施 TPSM。
本发明的另一个目的是提供一种生存时间分段实现网络安全保护 的系统, 以在 CsC组网的情况下,在批发运营商网络和下 营商网络中 同时实施 TPSM。
本发明的目的是通过以下技术方案实现的:
—种生存时间分段实现网络安全保护的方法, 包括:
A、 在运营商的运营商组网中, 为批发运营商网络、 下级运营商网络 和用户网络分配不同的生存时间 TTL段;
B、 利用所述分配的 TTL段, 在批发运营商网络和下 ϋέ营商网絡中 同时实现 TTL分段安全机制 TPSM。
可选地, 所述的步骤 A具体包括:
如果下级运营商网絡接受来自批发运营商网络中设备发出的报文, 则分配批发运营商网络使用的生存时间 TTL的取值范围为: Al_min<m < 255 , 其中 Al—min为批发运营商网络的 TTL允许的最小 值;
分配 下 级运 营 商 网 络使用 的 TTL 的 取值 范 围 为 : 51 _ min < TTL < 255 ,其中 Bl— min为下级运营商网络的 TTL允许的最小 值, Bl— min小于 Al— min;
分配用户网络使用的 TTL的取值范围为: 0 < Γ7Ζ≤ f/1— max ,其中
Ul— max为用户网络允许的 TTL最大值, Ul— max小于 B 1— min。
所述的步骤 B具体包括:
批发运营商网络的边缘路由器 PE检查每个进入批发运营商网络的报 文, 当所述 PE接收到目的地址不是自己的报文时, 如果该报文的 TTL大 于 Al— min, 则将该报文的 TTL减少为 Bl— max, 然后, 将报文进行转发。
当批发运营商网络中的设备收到目的地址是自己的报文, 如果该报 文的 TTL小于或等于 Al_min, 则将该报文丟弃; 否则, 将报文转交上层 协议进行处理。
优选地, 所述的步骤 B还包括:
设置批发运营商网络中的设备发出的报文的 TTL初始值为 255。
下级运营商网络的边缘路由器 PE检查每个进入下级运营商网络的报 文, 当连接用户网络的 PE接收到目的地址不是自己的报文时, 如果该报 文的 TTL大于 Bl— min, 则将该报文的 TTL减少为 Ul— max, 然后, 将报文 进行转发, 当连接批发运营商网络的 PE接收到目的地址不是自己的报文, 则将报文进行正常转发;
当下级运营商网络中的设备收到目的地址是自己的报文, 如果该报 文的 TTL小于或等于 Bl— min, 则将该报文丢弃; 否则, 将报文转交上层 协议进行处理。
设置下级运营商网络中的设备发出的报文的 TTL初始值为 255。
可选地, 所述的步骤 A具体包括:
如果下级运营商网络不接受来自批发运营商网络中设备发出的报 文, 则分配批发运营商 网络使用 的 TTL的取值范围 为 : A2_min< TTL≤ 255 , 其中 A2— min为批发运营商网络的 TTL允许的最小 值; 分配 下 级运 营 商 网 络使用 的 TTL 的 取值 范 围 为 : 52 _ min < TTL≤B2 _ max , 其中 Β2— max为下级运营商网络的 TTL允许 的最大值, B2— min为下级运营商网络的 TTL允许的最小值, B2— max小于 A2_min;
分配用户网絡使用的 TTL的取值范围为: 0 < TTL≤U2— max , 其 中 U2—max为用户网络允许的 TTL最大值, U2— max小于 B2—min。
所述的步骤 B具体包括:
批发运营商网络的边缘路由器 PE检查每个进入批发运营商网络的报 文, 当该 PE接收到目的地址不是自己的报文时, 如果该报文的 TTL大于 A2— min, 则将该报文的 TTL减少为 B2— max, 然后, 将报文进行转发; 当批发运营商网络中的设备收到目的地址是自己的 文时, 如果该 报文的 TTL不大于 A2— min, 则将该报文丢弃; 否则, 将 ^艮文转交上层协 议进行处理。
优选地, 所述的步骤 B还包括:
设置批发运营商网络中的设备发出的报文的 TTL初始值为 255。 所述的步骤 B还包括:
下级运营商网络的 PE检查每个进入下级运营商网络的报文, 当连接 用户网络的 PE接收到目的地址不是自己的报文时, 如果该报文的 TTL大 于 B2_min, 则将该报文的 TTL减少为 U2— max, 然后, 将报文进行转发, 当连接批发运营商网络的 PE接收到目的地址不是自己的报文时, 如果该 报文的 TTL大于 B2—max, 则将该报文丟弃;
当下级运营商网络中的设备收到目的地址是自己的报文, 如果该报 文的 TTL小于或等于 B2— min, 则将该 ^=艮文丢弃; 否则, 将报文转交上层 协议进行处理。
所述的步骤 B还包括:
设置下级运营商网絡中的设备发出的报文的 TTL初始值为 B2_max。 可选地, 所述的方法适用于 IPv4网络或 IPv6网络。
一种生存时间分段实现网络安全保护的系统, 包括:
生存时间段分配装置, 用于在运营商的运营商组网中, 为批发运营 商网络、 下级运营商网络和用户网络分配不同的生存时间 TTL段; 安全机制控制装置, 与所述生存时间段分配装置相连, 利用所述分 配的 TTL段,在批发运营商网络和下级运营商网络中同时实现 TTL分段 安全机制 TPSM。 14、 根据权利要求 13所述的生存时间分段实现网絡 安全保护的系统, 其特征在于, 所述系统进一步包括:
网络策略设定装置, 与所述生存时间段分配装置相连, 用于设定下 级运营商网絡报文接收策略。
如果所述网络策略设定装置设定的下级运营商网络的报文接收策略 为: 接受来自批发运营商网络中设备发出的报文, 则所述生存时间段分 配装置按以下方式分配 TTL段:
分配批发运营商网络使用的生存时间 TTL的取值范围为: Al_min< 7TL < 255 , 其中 Al—min为批发运营商网络的 TTL允许的最小 值;
分配 下 级运 营 商 网 络使用 的 TTL 的 取值范 围 为 : 51 _ min < TTL < 255 ,其中 Bl—min为下级运营商网络的 TTL允许的最小 值, B1一 min小于 Al— min;
分配用户网络使用的 TTL的取值范围为: 0 < TTL≤ — max , 其 中 Ul—max为用户网络允许的 TTL最大值, Ul— max小于 Bl—min; 如果所述网络策略设定装置设定的下级运营商网络的报文接收策略 为: 不接受来自批发运营商网络中设备发出的报文, 则所述生存时间段 分配装置按以下方式分配 TTL段:
分配批发运 营 商 网 络使用 的 TTL 的 取值 范 围 为 : A2_min< m < 255 , 其中 A2— min为批发运营商网络的 TTL允许的最小 值;
分配 下 级运 营 商 网 络使用 的 TTL 的 取值范 围 为 :
^2 _ min≤TTL≤ 2— max ,其中 Β2— max为下级运营商网络的 TTL允许 的最大值, B2— min为下级运营商网络的 TTL允许的最小值, B2__max小于 A2_min;
分配用户网络使用的 TTL的取值范围为: < TTL≤ U2 _ max , 其 中 U2_max为用户网络允许的 TTL最大值, U2_max小于 B2— min。 其中, 所述安全机制控制装置包括:
批发运营商网络报文控制模块, 位于所述批发运营商网络的边缘路 由器中, 用于才艮据所述生存时间段分配装置为所述批发运营商网络分配 的 TTL段控制所述边缘路由器对接收到的报文的转发;
下级运营商网絡报文控制模块, 位于所述下级运营商网络的边缘路 由器中, 用于根据所述生存时间段分配装置为所述下级运营商网络分配 的 TTL段控制所述边缘路由器对接收到的报文的转发。
由上述本发明提供的技术方案可以看出,本发明通过对现有的 TPSM 方案进行改进, 从而可以在 CsC组网的情况下, 根据实际组成网络的不 同要求, 设置不同的 TPSM参数, 在批发运营商网络和下级运营商网络 中同时实施 TPSM,为批发运营商网络和下级运营商网络同时提供安全保 护机制。
附图说明
图 1为 CsC的组网示意图;
图 2为本发明方法的实现流程图; 图 4为本发明方法中 CsC的各级网络分配的 TTL字段的示意图; 图 5是本发明系统的原理框图。
具体实施方式 本发明的核心是在 CsC组网的情况下, 根据实际组成网絡的不同要 求, 为 CsS中的批发运营商网络、 下级运营商网络和用户网络分配不同的 TTL段, 在批发运营商网络和下级运营商网络中同时实施 TPSM。
为了使本技术领域的人员更好地理解本发明方案, 下面结合附图和 实施方式对本发明作进一步的详细说明。
参照图 2所示本发明方法的实现流程, 包括以下步棟:
步驟 201 : 在运营商的运营商組网中, 为批发运营商网络、 下级运营 商网络和用户网络分配不同的 TTL段。 本技术领域人员知道, 根据实际组网的需要, CsC可以有多种不同的 需求, 主要有以下两种情况:
下级运营商接受来自批发运营商的网络中设备发出的报文, 比如, 路由更新报文; 下级运营商不接受来自批发运营商的网络中设备发出的 报文, 比如, 认为这类报文本身也存在安全攻击的可能。 在本发明中, 需要根据 CsC实际组网的不同情况为其中的批发运营商网络、下级运营商 网络和用户网絡分配不同的 TTL段。下级运营商网络使用比批发运营商网 络较低的 TTL段, 可以包含批发运营商网络使用的 TTL段, 但不能为部分 相交。 对此将在后面详细说明。 步骤 202: 利用分配的 TTL段, 在批发运 营商网絡和下级运营商网络中同时实现 TPSM。
对于批发运营商网络中的节点, 当其发送一个报文时, 分配一个适 当的 TTL初始值(比如 255 )给该报文; 同样, 对于下级运营商网络中的 节点, 当其发送一个报文时, 分配一个适当的 TTL初始值(比如 255 )给 该报文。 具体值可以根据不同的节点位置和組网需求来设定。
批发运营商网络的 PE检查每个进入批发运营商网络的报文, 当该 PE 接收到目的地址不是自己的报文后, 检查该报文的 TTL; 如果 TTL大于批 发运营商网络的 TTL允许的最小值,则将该报文的 TTL减少为下级运营商 网络的 TTL允许的最大值, 然后, 将报文进行转发; 如果 TTL小于或等于 批发运营商网络的 TTL允许的最小值, 则正常转发该报文。
当批发运营商网络中的设备收到目的地址是自己的报文, 如果该报 文的 TTL小于或等于批发运营商网络的 TTL允许的最小值, 则将该报文丟 弃; 否则, 将报文转交上层协议进行处理。
下级运营商网络的 PE检查每个进入下级运营商网络的报文; 当连接 用户网络的 PE接收到目的地址不是自己的报文后, 检查该报文的 TTL, 如果 TTL大于下级运营商网络的 TTL允许的最小值, 则将该报文的 TTL减 少为用户网络允许的 TTL最大值, 然后, 将报文进行转发; 如果 TTL小于 或等于下级运营商网络的 TTL允许的最小值, 则正常转发该报文。
前面提到, 根据实际组网的需要, CsC主要有两种不同情况, 下面分 别对这两种情况下本发明的实现过程进行详细说明。 第一种情况: 下級运营商接受来自批发运营商的网络中设备发出的 报文, 比如路由更新报文的情况。
在该情况下, 在批发运营商网络、 下级运营商网络和用户网络中设 置 TPSM参数的示意图如图 3所示。
如图 3所示, 本发明将 TTL分成多个段, 其中批发运营商使用的 TTL 段是比较高的段, 取值范围为 255到 Al— min, Al— min为运营商 A的 TTL允 许的最小值; 而下级运营商使用更大的 TTL段,取值范围为 255到 Bl— min, Bl_min为运营商 B的 TTL允许的最小值, 并且 Bl— min小于 Al— min, 因此, 该 TTL段包含了批发运营商使用的 TTL段; 用户网络使用的 TTL段为 Ul— max到 0 , Ul— max为用户网络允许的 TTL最大值, 并且 Ul— max小于 Bl—min。
在这种情况下 , 在批发运营商网络 A和下级运营商网络 B中的 TPSM 处理过程如下:
对于批发运营商网络 A, 可以按照现有的 TPSM中规定的处理流程来 实现 TPSM, 具体为:
网络 A的 PE (边缘路由器)检查每个进入网络 A的报文, 如果 PE检查 到一个报文的目的地址不是自己, 并且报文的 TTL大于 Al_min, 即 TPSM 中规定的 255- TmstRadius, 则将该报文的 TTL减少为 B 1— max, 对于网络 A 而言, Bl— max即是 TPS 本方案中的 TTL— USER— MAX。 然后, 将报文 进行正常的转发; 如果该报文的 TTL小于或等于 Al— min, 则正常转发该 报文。
设置网络 A中每个设备发出的报文的 TTL初始值为 255。
网络 A中每个设备 (包括网络 A中的 PE )如果收到目的地址是自己的 报文, 同时 TTL小于或等于 Al—min, 则将该报文直接丟弃; 如果 TTL大于 Al— min,则根据事先确定的安全策略、报文的 TTL和网络 A的 TPSM参数, 将报文转上层协议进行处理。
对于下级运营商网络 B, 其 TPSM处理过程为:
网络 B的 PE检查每个进入网络 B的报文, 当连接用户网络的 PE检查到 一个来自用户网络的目的地址不是自己的报文, 并且报文的 TTL大于 Bl—min, 则将该报文的 TTL减少为 Ul— max, 然后, 将报文进行正常的转 发; 如果该报文的 TTL小于或等于 Bl—min, 则正常转发该报文。 当连接 网络 A的 PE检查到一个来自网络 A的目的地址不是自己的报文, 则直接将 报文进行正常的转发。
设置网络 B中每个设备发出的报文的 TTL初始值也为 255。 因此, 此 时网络 B中某个设备收到一个 TTL大于 Al— min的报文,无法确定该报文是 来自网絡 A还是网絡 B, 但是, 根据预先设定的策略, 即网络 B接受来自 网络 A的报文, 可知该报文来自网络 A, 因此可对该报文进行正常转发或 转上层协议处理。
网络 B中每个设备 (包括网络 B的 PE )如果收到目的地址是自己的报 文, 同时 TTL小于或等于 Bl—min, 则认为该报文来自用户网絡, 将该报 文直接丟弃; 如果 TTL大于 Bl—min, 则根据事先确定的安全策略、 报文 的 TTL和网络 B的 TPSM参数, 将报文转上层协议进行处理。
上述第一种情况下的本发明方法的处理流程的特点是实施简单, 能 够适应大多数的情况, 同基本的 TPSM差别不大, 其中 Bl—min对于网络 B 来说就是 TPSM中的 255-TmstRadius。
第二种情况: 下级运营商不接受来自批发运营商的网络中设备发出 的报文, 比如, 认为这类报文本身也存在安全攻击的可能的情况。
在该情况下, 在批发运营商网络、 下级运营商网络和用户网络中设 置 TPSM参数的示意图如图 4所示。
在该情况下本发明也将 TTL分成多个段,其中批发运营商使用比较高 的 TTL段, 取值范围为 255到 A2— min, A2— min为运营商 A的 TTL允许的最 小值; 而下级运营商使用比较低的 TTL段,取值范围为 B2— max到 A2— min, B2— max为运营商 B的 TTL允许的最大值, B2_min为运营商 B的 TTL允许的 最小值, 并且 B2— max比 A2— min小; 用户网络使用最低的 TTL段, 取值范 围为 U2— max到 0 , U2— max为用户网络允许的 TTL最大值, 并且 U2— max 小于 B2— min。
根据上述 TPSM参数设置情况, 批发运营商使用的 TTL段、 下级运营 商使用的 TTL段和用户网絡使用的 TTL段之间都没有重叠。
在这种情况下, 在批发运营商网络 A和下级运营商网络 B中的 TPSM 处理过程如下: :
对于批发运营商网络 A, 其 TPSM处理过程为:
网络 A的 PE检查每个进入网络 A的报文,如果 PE检查到一个报文的目 的地址不是自己, 并且报文的 TTL大于 A2—min , 即 TPSM中规定的 255-TrustRadius , 则将该艮文的 TTL减少为 B2—max , 对于网络 A而言, B2— max即是 TPSM基本方案中的 TTL— USER— MAX。 然后, 将艮文进行正 常的转发; 如果该报文的 TTL小于或等于 A2— min, 则正常转发该报文。
设置网络 A中每个设备发出的报文的 TTL初始值为 255。
网络 A中每个设备 (包括网络 A中的 PE )如果收到目的地址是自己的 报文, 同时 TTL不大于 A2_min, 则将该报文直接丢弃; 如果 TTL大于或等 于 A2— min, 则根据事先确定的安全策略、 报文的 TTL和网络 A的 TPSM参 数, 将报文转上层协议进行处理。
对于下级运营商网络 B, 其 TPSM处理过程为:
网络 B的边缘路由器 PE检查每个进入网络 B的报文, 当连接用户网络 的 PE检查到一个来自用户网络的目的地址不是自己的报文, 并且报文的 TTL大于 B2— min, 则将该报文的 TTL减少为 U2— max, 然后, 将报文进行 正常的转发; 如果该报文的 TTL小于或等于 B2_min, 则正常转发该报文。 当连接网络 A的 PE检查到一个来自网络 A的目的地址不是自己的报文, 并 且报文的 TTL大于 B2—max, 则直接将该报文丢弃; 如果报文的 TTL小于 或等于 B2— max, 则正常转发该报文。
设置网络 B中每个设备发出的报文的 TTL初始值为 B— max。 网絡 B中 每个设备 (包括网络 B的 PE )如果收到目的地址是自己的报文, 同时 TTL 小于或等于 B2— min, 则认为该报文来自用户网络, 将该报文直接丢弃; 如果 TTL大于 B2—min, 则根据事先确定的安全策略、 报文的 TTL和网络 B 的 TPSM参数, 将报文转上层协议进行处理。
在上述第一种情况和第二种情况中,选择 B— max和 B— min的时候需要 考虑网络 A的复杂性, 因为从网络 B的一个站点经网络 A到达网絡 B的另外 一个站点的过程中, TTL也是要减少的。因此,理论上规定: B— max - B—min > 网络 A的信任半径 +网络 B中信任半径最大的两个站点的信任半径之 和。
本发明所述的方法适用于 IPv4网络或 IPv6网络。
为了在 CsC组网的情况下, 在批发运营商网络和下级运营商网络中 同时实施 TPSM,本发明提供了一种生存时间分段实现网络安全保护的系 统, 其原理框图如图 5所示:
该系统包括:生存时间段分配装置 S1和安全机制控制装置 S2。其中, 生存时间段分配装置 S1用于在运营商的运营商组网中, 为批发运营 商网络、 下级运营商网络和用户网络分配不同的生存时间 TTL段; 安全 机制控制装置 S2与生存时间段分配装置相连, 并进一步与批发运营商网 络和下级运营商网络相连, 利用所述分配的 TTL段, 在批发运营商网络 和下级运营商网络中同时实现 TPSM。
本技术领域人员知道, 在 CsC组网中, 根据实际应用需要, 下^ 营商网络可以接受来自批发运营商网络中设备发出的报文, 也可以不接 受来自批发运营商网络中设备发出的报文。 因此, 为了方便本发明系统 的使用, 本发明系统还包括网络策略设定装置 S3 , 与生存时间段分配装 置 S1相连, 用于设定下级运营商网络报文接收策略。 从而可以使生存时 间段分配装置 S 1根据 CsC组网的不同应用需要,灵活地分配各级网络使 用的 TTL段。
在具体应用时, 可以按以下方式来设置 TTL段:
如果网络策略设定装置设定的下级运营商网络的报文接收策略为: 接受来自批发运营商网絡中设备发出的报文, 则所述生存时间段分配装 置按以下方式分配 TTL段:
分配批发运营商网络使用的生存时间 TTL的取值范围为:
Al_min< TTL≤ 255, 其中 Al— min为批发运营商网络的 TTL允许的最小 值;
分配 下 级运 营 商 网 络使用 的 TTL的 取值 范 围 为 : 1— min < TTL < 255 ,其中 Bl— min为下级运营商网络的 TTL允许的最小 值, Bl_min小于 Al— min;
分配用户网络使用的 TTL的取值范围为: Q < TTL≤ [71— max , 其 中 Ul— max为用户网络允许的 TTL最大值, Ul— max小于 Bl— min; 如果网络策略设定装置设定的下级运营商网络的报文接收策略为: 不接受来自批发运营商网络中设备发出的报文, 则所述生存时间段分配 装置按以下方式分配 TTL段:
分配批发运 营 商 网 絡使用 的 TTL 的 取值范 围 为 : A2_min< TTL≤ 255 , 其中 A2— min为批发运营商网絡的 TTL允许的最小 值;
分 配 下 级运 营商 网 络使用 的 TTL 的 取值范 围 为 :
52 _ min≤TTL≤B2 _ max ,其中 Β2— max为下級运营商网络的 TTL允许 的最大值, B2— min为下级运营商网络的 TTL允许的最小值, B2— max小于 A2— min;
分配用户网络使用的 TTL的取值范围为: 0 < 77 ≤t/2— max , 其 中 U2— max为用户网络允许的 TTL最大值, U2—max小于 B2— min。
为了更方便地控制各级网络实现 TPSM,可以在安全机制控制装置中 设置: 批发运营商网络报文控制模块 S21、 下级运营商网络报文控制模块 S22。 可以将批发运营商网络报文控制模块 S21置于批发运营商网络的各 边缘路由器中, 以根据生存时间段分配装置为该批发运营商网络分配的 TTL段控制各边缘路由器对接收到的报文的转发; 同样, 可以将下级运 营商网络报文控制模块 S22置于下级运营商网络的各边缘路由器中, 以 根据生存时间段分配装置为该下级运营商网络分配的 TTL段控制各边缘 路由器对接收到的报文的转发。
在不同应用情况下, 批发运营商网络报文控制模块 S21 和下级运营 商网络报文控制模块 S22对其所在的边缘路由器报文的转发过程可参见 前面对本发明方法的描述, 在此不再赘述。
以上所述, 仅为本发明较佳的具体实施方式, 但本发明的保护范围 并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范 围内, 可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。 因此, 本发明的保护范围应该以权利要求的保护范围为准。

Claims (12)

  1. 权 利 要 求
    1、 一种生存时间分段实现网络安全保护的方法, 其特征在于, 包 括:
    A、 在运营商的运营商组网中, 为批发运营商网络、 下 ½营商网络 和用户网络分配不同的生存时间 TTL段;
    B、 利用所述分配的 TTL段, 在批发运营商网络和下 ¾营商网络中 同时实现 TTL分段安全机制 TPSM。
    2、 根据权利要求 1所述生存时间分段实现网络安全保护的方法 , 其特征在于, 所述的步骤 A具体包括:
    如果下级运营商网络接受来自批发运营商网络中设备发出的报文, 则分配批发运营商网络使用的生存时间 TTL的取值范围为: Al_min< m < 255 , 其中 Al—min为批发运营商网络的 TTL允许的最小 值;
    分配 下 级运 营 商 网 络使用 的 TTL 的 取值范 围 为 : 1— min < TTL < 255 ,其中 Bl—min为下级运营商网络的 TTL允许的最小 值, Bl—min小于 Al—min;
    分配用户网络使用的 TTL的取值范围为: Q < TTL≤Ul _ max ,其中 Ul— max为用户网络允许的 TTL最大值, Ul— max小于 Bl— min。
  2. 3、 根据权利要求 2所述生存时间分段实现网絡安全保护的方法, 其特征在于, 所述的步骤 B具体包括:
    批发运营商网络的边缘路由器 PE检查每个进入批发运营商网络的报 文, 当所述 PE接收到目的地址不是自己的报文时, 如果该报文的 TTL大 于 Al—min, 则将该报文的 TTL减少为 Bl—max, 然后, 将报文进行转发。
    当批发运营商网络中的设备收到目的地址是自己的报文, 如果该报 文的 TTL小于或等于 Al_min, 则将该报文丢弃; 否则, 将报文转交上层 协议进行处理。
  3. 4、 根据权利要求 2或 3所述生存时间分段实现网络安全保护的方 法, 其特征在于, 所述的步骤 B还包括:
    设置批发运营商网络中的设备发出的报文的 TTL初始值为 255。 5、 根据权利要求 2或 3所述生存时间分段实现网络安全保护的方 法, 其特征在于, 所述的步骤 B还包括:
    下级运营商网络的边缘路由器 PE检查每个进入下级运营商网络的报 文, 当连接用户网络的 PE接收到目的地址不是自己的报文时, 如果该报 文的 TTL大于 Bl— min, 则将该报文的 TTL减少为 Ul— max, 然后, 将报文 进行转发, 当连接批发运营商网络的 PE接收到目的地址不是自己的报文, 则将报文进行正常转发;
    当下级运营商网络中的设备收到目的地址是自己的报文, 如果该报 文的 TTL小于或等于 Bl—min, 则将该 ^¾文丢弃; 否则, 将报文转交上层 协议进行处理。
  4. 6、 根据权利要求 5所述生存时间分段实现网络安全保护的方法, 其特征在于, 所述的步驟 B还包括:
    设置下级运营商网絡中的设备发出的报文的 TTL初始值为 255。
  5. 7、 根据权利要求 1所述生存时间分段实现网络安全保护的方法, 其特征在于, 所述的步骤 A具体包括:
    如果下级运营商网络不接受来自批发运营商网络中设备发出的报 文, 则分配批发运营商 网络使用 的 TTL的取值范 围 为 : A2_min< m≤ 255, 其中 A2— min为批发运营商网络的 TTL允许的最小 值;
    分配 下 级运 营 商 网 络使用 的 TTL 的 取值范 围 为 :
    52 _ min < TTL≤ 2— max , 其中 Β2— max为下级运营商网络的 TTL允许 的最大值, B2— min为下级运营商网络的 TTL允许的最小值, B2— max小于 A2_min;
    分配用户网络使用的 TTL的取值范围为: 0 < 77Z≤ t/2— max , 其 中 U2— max为用户网络允许的 TTL最大值, U2—max小于 B2— min。
  6. 8、 根据权利要求 7所述生存时间分段实现网络安全保护的方法, 其特征在于, 所述的步骤 B具体包括:
    批发运营商网络的边缘路由器 PE检查每个进入批发运营商网络的报 文, 当该 PE接收到目的地址不是自己的报文时, 如果该报文的 TTL大于 A2_min, 则将该报文的 TTL减少为 B2— max, 然后, 将报文进行转发; 当批发运营商网络中的设备收到目的地址是自己的报文时, 如果该 报文的 TTL不大于 A2—min, 则将该报文丢弃; 否则, 将报文转交上层协 议进行处理。
  7. 9、 根据权利要求 7或 8所述生存时间分段实现网络安全保护的方 法, 其特征在于, 所述的步骤 B还包括:
    设置批发运营商网络中的设备发出的报文的 TTL初始值为 255。
  8. 10、 根据权利要求 7或 8所述生存时间分段实现网络安全保护的方 法, 其特征在于, 所述的步骤 B还包括:
    下级运营商网絡的 PE检查每个进入下级运营商网络的报文, 当连接 用户网络的 PE接收到目的地址不是自己的报文时, 如果该报文的 TTL大 于 B2— min, 则将该报文的 TTL减少为 U2— max, 然后, 将报文进行转发, 当连接批发运营商网络的 PE接收到目的地址不是自己的报文时, 如果该 报文的 TTL大于 B2— max, 则将该报文丟弃;
    当下级运营商网络中的设备收到目的地址是自己的报文, 如果该报 文的 TTL小于或等于 B2— min, 则将该报文丢弃; 否则, 将报文转交上层 协议进行处理。
  9. 11、根据权利要求 10所述生存时间分段实现网络安全保护的方法, 其特征在于, 所述的步骤 B还包括:
    设置下级运营商网络中的设备发出的报文的 TTL初始值为 B2— max。
  10. 12、根据权利要求 1所述生存时间分段实现网络安全保护的方法, 其特征在于, 所述的方法适用于 IPv4网络或 IPv6网络。
  11. 13、 一种生存时间分段实现网络安全保护的系统, 其特征在于, 包括:
    生存时间段分配装置, 用于在运营商的运营商组网中, 为批发运营 商网络、 下级运营商网络和用户网络分配不同的生存时间 TTL段;
    安全机制控制装置, 与所述生存时间段分配装置相连, 利用所述分 配的 TTL段,在批发运营商网络和下级运营商网络中同时实现 TTL分段 安全机制 TPSM。 14、 根据权利要求 13所述的生存时间分段实现网络 安全保护的系统, 其特征在于, 所述系统进一步包括: 网络策略设定装置, 与所述生存时间段分配装置相连, 用于设定下 级运营商网络报文接收策略。
  12. 15、根据权利要求 14所述的生存时间分段实现网络安全保护的系统, 其特征在于,
    如果所述网络策略设定装置设定的下级运营商网络的报文接收策略 为: 接受来自批发运营商网络中设备发出的报文, 则所述生存时间段分 配装置按以下方式分配 TTL段:
    分配批发运营商网络使用的生存时间 TTL的取值范围为: Al_min< TTL≤ 255 , 其中 Al—min为批发运营商网络的 TTL允许的最小 值;
    分配 下 级运 营 商 网 络使用 的 TTL 的 取值 范 围 为 :
    51 _ min≤TTL < 255 ,其中 Bl—min为下级运营商网络的 TTL允许的最小 值, Bl—min小于 Al—min;
    分配用户网络使用的 TTL的取值范围为: 0 < TTL≤ — max , 其 中 Ul—max为用户网络允许的 TTL最大值, Ul— max小于 Bl—min;
    如果所述网络策略设定装置设定的下级运营商网络的报文接收策略 为: 不接受来自批发运营商网络中设备发出的报文, 则所述生存时间段 分配装置按以下方式分配 TTL段:
    分配批发运 营 商 网 络使用 的 TTL 的 取值 范 围 为 :
    A2— min≤TTL≤255 , 其中 A2— min为批发运营商网络的 TTL允许的最小 值;
    分配 下 级运 营 商 网 络使用 的 TTL 的 取值 范 围 为 : 52 _ min < TTL≤B2_ max,其中 B2— max为下级运营商网络的 TTL允许 的最大值, B2— min为下级运营商网络的 TTL允许的最小值, B2—max小于 A2_min;
    分配用户网络使用的 TTL的取值范围为: Q < TTL≤ [72— max , 其 中 U2_max为用户网络允许的 TTL最大值, U2— max小于 B2—min。
    16、根据权利要求 13所述的生存时间分段实现网络安全保护的系统 , 其特征在于, 所述安全机制控制装置包括:
    批发运营商网络报文控制模块, 位于所述批发运营商网络的边缘路 由器中, 用于根据所述生存时间段分配装置为所述批发运营商网络分配 的 TTL段控制所述边缘路由器对接收到的报文的转发;
    下级运营商网络报文控制模块, 位于所述下级运营商网络的边缘路 由器中, 用于才艮据所述生存时间段分配装置为所述下级运营商网絡分配 的 TTL段控制所述边缘路由器对接收到的报文的转发。
CNB2006800122996A 2005-09-23 2006-05-19 生存时间分段实现网络安全保护的方法及系统 Expired - Fee Related CN100563172C (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200510105507.4 2005-09-23
CNA2005101055074A CN1937619A (zh) 2005-09-23 2005-09-23 运营商的运营商情况下生存时间分区安全机制的实现方法
PCT/CN2006/001038 WO2007033541A1 (fr) 2005-09-23 2006-05-19 Procede de realisation de securisation du reseau par segmentation le ttl

Publications (2)

Publication Number Publication Date
CN101160807A true CN101160807A (zh) 2008-04-09
CN100563172C CN100563172C (zh) 2009-11-25

Family

ID=37888531

Family Applications (2)

Application Number Title Priority Date Filing Date
CNA2005101055074A Pending CN1937619A (zh) 2005-09-23 2005-09-23 运营商的运营商情况下生存时间分区安全机制的实现方法
CNB2006800122996A Expired - Fee Related CN100563172C (zh) 2005-09-23 2006-05-19 生存时间分段实现网络安全保护的方法及系统

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CNA2005101055074A Pending CN1937619A (zh) 2005-09-23 2005-09-23 运营商的运营商情况下生存时间分区安全机制的实现方法

Country Status (5)

Country Link
US (1) US7966651B2 (zh)
EP (1) EP1845657B1 (zh)
CN (2) CN1937619A (zh)
AT (1) ATE549816T1 (zh)
WO (1) WO2007033541A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1937619A (zh) 2005-09-23 2007-03-28 华为技术有限公司 运营商的运营商情况下生存时间分区安全机制的实现方法
CN101453527B (zh) * 2007-11-30 2011-11-30 华为技术有限公司 一种动态策略转换的方法、网络系统及网络设备
JP5354392B2 (ja) * 2009-02-02 2013-11-27 日本電気株式会社 通信ネットワーク管理システム、方法、プログラム、及び管理計算機
CA3002975C (en) 2009-04-01 2020-07-14 Nicira, Inc. Method and apparatus for implementing and managing virtual switches
US8560511B1 (en) * 2011-07-20 2013-10-15 Google Inc. Fine-grain locking
US8984240B2 (en) 2012-08-30 2015-03-17 International Business Machines Corporation Reducing page faults in host OS following a live partition mobility event

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6104695A (en) * 1998-03-31 2000-08-15 Sun Microsystems, Inc. Repair TTL computation and correction mechanism to perform localized repairs in a multicast data distribution setup/framework
US6760309B1 (en) * 2000-03-28 2004-07-06 3Com Corporation Method of dynamic prioritization of time sensitive packets over a packet based network
US6985476B1 (en) * 2001-08-20 2006-01-10 Bbnt Solutions Llc Automatic setting of time-to-live fields for packets in an ad hoc network
WO2003019404A1 (en) * 2001-08-30 2003-03-06 Riverhead Networks Inc. Protecting against distributed denial of service attacks
US7953088B2 (en) * 2003-06-10 2011-05-31 Cisco Technology, Inc. Method and apparatus for packet classification and rewriting
CN1234226C (zh) 2003-06-27 2005-12-28 中国科学院计算技术研究所 一种利用分组头中的剩余生命期进行分组传输服务质量调度的方法
US7415018B2 (en) * 2003-09-17 2008-08-19 Alcatel Lucent IP Time to Live (TTL) field used as a covert channel
CN1937619A (zh) 2005-09-23 2007-03-28 华为技术有限公司 运营商的运营商情况下生存时间分区安全机制的实现方法

Also Published As

Publication number Publication date
CN100563172C (zh) 2009-11-25
WO2007033541A1 (fr) 2007-03-29
CN1937619A (zh) 2007-03-28
EP1845657B1 (en) 2012-03-14
US7966651B2 (en) 2011-06-21
EP1845657A1 (en) 2007-10-17
US20080189765A1 (en) 2008-08-07
EP1845657A4 (en) 2008-05-07
ATE549816T1 (de) 2012-03-15

Similar Documents

Publication Publication Date Title
EP3143733B1 (en) Virtual flow network in a cloud environment
CN103650436B (zh) 业务路径分配方法、路由器和业务执行实体
EP3228054B1 (en) Inter-domain service function chaining
EP3818669B1 (en) Resource partitioning for network slices in segment routing networks
EP1690403B1 (en) Dual mode firewall
EP1480380B1 (en) Data mirroring
US7738457B2 (en) Method and system for virtual routing using containers
US7782897B1 (en) Multimedia over internet protocol border controller for network-based virtual private networks
CN105051688A (zh) 经扩展的标记联网
CN109525601B (zh) 内网中终端间的横向流量隔离方法和装置
US20140192808A1 (en) Tunnel sub-interface using ip header field
CN106254235B (zh) 一种负荷分担的方法及其设备
US20150236968A1 (en) Denial of service prevention in a software defined network
CN101160807A (zh) 生存时间分段实现网络安全保护的方法及系统
CN105939267B (zh) 带外管理方法及装置
EP2975808B1 (en) Method for packet processing and packet device and system
EP2951973B1 (en) Data transfer
EP3214799B1 (en) Processing inter-vlan traffic in an ethernet tree
CN112385194B (zh) 远程网络之间的状态分组传输
CN107483341A (zh) 一种跨防火墙报文快速转发方法及装置
JP4659867B2 (ja) 通信システム、制御システム、および通信方法
US7360243B2 (en) Standard based firewall adapter for communication systems and method
JP2010056819A (ja) 拠点間通信のための通信ネットワークシステム、回線接続装置及び帯域制御方法
US7577737B2 (en) Method and apparatus for controlling data to be routed in a data communications network
JP4599429B2 (ja) 通信システム及び通信方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20091125