CN101404579B - 一种防止网络攻击的方法及装置 - Google Patents
一种防止网络攻击的方法及装置 Download PDFInfo
- Publication number
- CN101404579B CN101404579B CN200810174681.8A CN200810174681A CN101404579B CN 101404579 B CN101404579 B CN 101404579B CN 200810174681 A CN200810174681 A CN 200810174681A CN 101404579 B CN101404579 B CN 101404579B
- Authority
- CN
- China
- Prior art keywords
- cga
- packet
- checking
- parameter
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/604—Address structures or formats
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Abstract
本发明实施例公开了一种防止网络攻击的方法,包括:获取数据包,所述数据包的源地址为加密生成地址CGA;确定所述数据包中包含所述加密生成地址CGA参数和签名信息;对CGA参数进行验证,根据验证通过的CGA参数验证签名信息;当所述签名信息验证通过后,将所述数据包发送给目标地址。本发明实施例还相应地提供防止网络攻击的装置,直接利用数据包使用的CGA参数来保证数据包发送地地址的非伪造性,从而防止了通过伪造地址来实施网络攻击。并且通过对签名信息的验证,进一步保证了数据包发送方身份及其地址绑定的真实性。从而将非法的数据包过滤掉,防止对服务器的网络攻击,提高网络安全性能。
Description
技术领域
本发明涉及网络信息安全技术领域,具体涉及防止网络攻击的方法及装置。
背景技术
拒绝服务(DoS,Denial ofService)攻击是一种对网络危害很大的恶意攻击,通常是由一台主机攻击目标,而分布式拒绝服务攻击(DDoS,Distribute Denial of Service)是控制网络上大量的主机来对服务器发起的集体攻击。
DoS攻击具有代表性的攻击手段包括死亡之ping(Ping ofDeath)、泪滴TearDrop攻击、用户数据报协议UDP(User Datagram Protocol)洪水攻击(Flooding Attack)、SYN洪水攻击、Land攻击、IP欺骗DoS等。
一个典型的利用TCP协议的DDoS攻击方式如下:
网络传输控制协议(TCP)是一个面向连接的协议,在网络中的通信双方通过此协议进行通信之前,需要建立一条连接。连接的建立分为三个步骤:
一、建立连接时,客户端发送一个SYN报文,指明客户端打算连接的服务器的端口,以及初始序号x;
二、服务器发回一个包含服务器的初始序号y的SYN报文作为应答,同时,将确认序号ACK设置为(x+1)以对客户的SYN报文进行确认,一个SYN将占用一个序号;
三、客户端将确认序号ACK设置为(y+1)来对服务器的SYN报文进行确认。这三个报文完成TCP连接的建立。也称为“三次握手”过程。
DoS攻击就是一种针对TCP连接的“三次握手”过程的攻击方式。在第二步服务器端发送连接应答报文后,客户端恶意地不发送第三次确认报文,导致服务器端一直等待第三次确认消息,并会反复发送第二次应答答报文给客户端,从而占用大量的服务器资源,最终导致服务器无法为其它客 户提供正常的服务。
现有技术中的一种防止DDoS攻击的方法如下:
通过正确配置路由器来防止DDoS攻击的方法,包括:使用扩展访问列表,使用单一地址逆向转发,使用TCP拦截,使用基于内容的访问控制的方法。
基于内容的访问控制技术是根据应用层会话信息,智能地过滤TCP和UDP数据包,防止DoS攻击的方法。它通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。它正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候,用户可以判断是遭受了洪水攻击。
基于内容的访问定时(如,每分钟)检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器就会删除一些半连接,以保证新建立连接的需求,路由器持续删除半连接,直到存在的半连接数量低于另一个门限值,同样,当试图建立连接的频率超过门限值,路由器就会采取相同的措施,删除一部分连接请求,并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除,可以有效防止SYN洪水攻击。但是,通过设置半连接的门限值的方法有一定的误差,不能精确地判断DDos攻击的连接和正常连接中可能产生的半连接。
发明内容
本发明实施例提供一种防止网络攻击的方法及装置,提高网络安全性。
本发明实施例提供一种防止网络攻击的方法,包括:
获取数据包,所述数据包的源地址为加密生成地址CGA;
确定所述数据包中包含所述加密生成地址CGA参数和签名信息;
对CGA参数进行验证,根据验证通过的CGA参数验证签名信息,其中,所述对CGA参数进行验证,根据验证通过的CGA参数验证签名信息包括:查询记录表是否存在所述数据包的源地址;如果不存在所述源地址, 对CGA参数进行验证,根据验证通过的CGA参数对签名信息进行验证,验证通过后,保存所述源地址和对应的公钥在所述记录表中;如果验证不通过,丢弃所述数据包;如果存在所述源地址,利用记录表中对应的公钥对签名信息进行验证,如果验证不通过,丢弃所述数据包;
当所述签名信息验证通过后,将所述数据包发送给目标地址。
本发明实施例提供一种防止网络攻击的装置,包括:
数据包接收模块,用于获取数据包,所述数据包的源地址为加密生成地址CGA;
数据包检查模块,用于对收到的数据包进行检查,判断其是否包含CGA参数和签名信息,发送第一检查结果;
CGA验证模块,用于当所述第一检查结果表示检查到有CGA参数,对所获取数据包的CGA参数进行验证,发送验证结果;
签名验证模块,用于所述CGA验证模块发送的验证结果表明所述CGA参数通过验证,根据验证通过的CGA参数验证签名信息,发送验证结果;
主控制模块,用于根据收到所述第一检查结果、CGA验证模块或签名验证模块发送的验证结果处理发送给服务器的数据包;
当所述CGA验证模块对所获取数据包的CGA验证成功且所述签名验证模块验证成功,所述主控制模块将所述数据包发送给目标地址。
本发明实施例提供的技术方案中,在数据包中附上CGA参数及签名信息,在接收到数据包时检查数据包是否包含CGA参数及签名信息。通过对CGA参数及签名信息进行验证,如果对CGA参数及签名验证均成功,将通过验证的数据包发给目标地址,直接利用数据包使用的CGA参数来保证数据包发送地地址的非伪造性,从而防止了通过伪造地址来实施网络攻击。并且通过对签名信息的验证,进一步保证了数据包发送方身份及其地址绑定的真实性。从而将非法的数据包过滤掉,防止对服务器的网络攻击,提高网络安全性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的防止网络攻击方法流程图;
图2为本发明实施例二提供的防止网络攻击方法流程图;
图3(a)及(b)分别为本发明实施例CGA参数和CGA扩展头的数据结构的示意图;
图4为本发明实施例三提供的防止网络攻击方法流程图;
图5为本发明实施例四提供的防止网络攻击方法流程图;
图6为本发明实施例五提供的防止网络攻击的装置结构示意图;
图7为本发明实施例六提供的防止网络攻击的装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
IPv6(Internet Protocol Version 6)作为下一代互联网协议,将越来越广泛地被应用。IPv6相对于现在的IP(即IPv4)有如下特点:扩展的寻址能力,简化的报头格式,对扩展报头和选项支持的改进,标识流的能力,认证和加密能力。
实施例一
如图1(a)所示,本发明实施例提供一种防止网络攻击方法,在数据包发送方,具体包括以下步骤:
步骤11:根据源地址和公钥生成CGA参数和签名信息;
在IPv6网络中,网络地址的规划更为合理,同一子网内的网络地址 都有相同的网络前缀,通过网络地址中的网络前缀就可以确定出这个地址是否是这个子网内的地址。IPv6地址有128位,前64位为子网前缀,后64位为接口标识符。本发明实施例中,假定发送数据包的都是客户端,客户端在加入网络时,网络系统会分配一个公钥给客户端,同时子网前缀也是固定的,客户端根据公钥和一些附加参数通过计算单向哈希函数生成接口标识符,生成的接口标识符和子网前缀共同组成CGA,生成的CGA就作为客户端的IP地址。具体地,接口标识符根据RFC3972中定义的算法生成。
CGA参数的数据结构如图3(a),包含修正域、子网前缀、公钥和扩展域,还可能包括冲突计数;根据源地址生成CGA参数具体包括:将子网前缀、公钥和冲突计数分别插入固定的数据结构中,生成CGA参数;
根据源地址生成签名信息具体包括:采用私钥对数据包载荷进行加密得到签名信息,该私钥与生成所述CGA地址的公钥所对应。
步骤12:将所述源地址、CGA参数和签名信息附加在数据包,发送所述数据包,所述源地址为根据公钥生成的加密生成地址CGA。
IPv6数据包包含基本头,数目不固定的扩展头及其载荷。其中,基本头中包含源地址和目的地址,并指明下一个扩展头。CGA扩展头结构如图3(b)所示,扩展头中也包含指明下一个头的字段,还包含定义的与此扩展头相关的选项,CGA扩展头中还包含CGA参数和签名信息。
本发明实施例通过根据源地址生成CGA参数和签名信息,并附在数据包中,来证明数据包发送方地址的可靠性;CGA参数根据公钥产生,签名信息根据公钥对应的私钥产生,由于公钥和私钥具有一定的身份标识性和私密性,他人不容易进行身分伪造。
实施例二
如图2所示,本发明实施例提供一种防止网络攻击方法,在数据包接收方,具体包括以下步骤:
步骤21:获取数据包,该数据包的源地址为加密生成地址CGA;
步骤22:确定所述数据包中包含所述加密生成地址CGA参数和签名信息;
具体地,确定数据包CGA扩展头结构里是否包含有CGA参数和签名信息;如果没有包含CGA参数和签名信息或只包含一种参数,则丢弃数据包。
步骤23:对CGA参数进行验证,根据验证通过的CGA参数验证签名信息;
具体地,本实施例中所述对数据包的CGA参数进行验证的步骤包括:
对CGA参数中的公钥重新进行哈希计算得到哈希值,与源地址中的接口标识符比较,如果两者不一致,则CGA验证失败;
或者检查CGA参数数据结构中的子网前缀是否为所述加密生成地址的子网前缀,若不是,则CGA验证失败;
或者检查CGA参数数据结构中的冲突计数是否在预定的范围内,若不在预定的范围内,则CGA验证失败。
具体地,本实施例中根据验证通过的CGA参数对签名信息进行验证,包括:
提取验证通过的CGA参数中的公钥,采用与签名时相应的加密算法利用该公钥对所述签名进行计算,将计算得到的值与签名计算之前的值进行比较,若相同,则签名验证通过。
步骤24:当所述签名信息验证通过后,将所述数据包发送给目标地址;
签名验证通过,说明数据包源地址是正确的,没有经过伪造,可以认为数据包是安全的。
如果CGA参数和签名信息没有认证通过,则说明数据包源地址可能是他人伪造的,那么可能是攻击者所利用的傀儡机发送的数据包,那么数据包是恶意的,则丢弃该数据包,向客户端发送错误报告。
步骤25:确定所述数据包不包括CGA参数和签名信息,则丢弃该数据包,向客户端发送错误报告。
若数据包包含CGA参数和签名信息,或仅包含签名信息时,则DDoS攻击防御设备查询设备中维护的一个源IP地址与相应公钥的记录表,判断数据包的源地址是否在表中,若表中有该源地址项,则用表中对应的公钥对签名信息进行验证。
本发明实施例可以直接利用数据包使用的CGA参数来保证数据包发 送地地址的非伪造性,从而防止了通过伪造地址来实施网络攻击。并且通过对签名信息的验证,进一步保证了数据包发送方身份及其地址绑定的真实性。从而将非法的IPv6数据包过滤掉,防止对服务器的网络攻击,提高网络安全性能。
实施例三
在这个实施例中,以网络攻击为DDoS攻击,服务器为网络攻击防御设备保护的对象为例,从数据包接收端对防止网络攻击方法进行详细说明,参照图4,在本实施例中,防止网络攻击的具体实现过程包括如下步骤:
步骤S100:客户端向服务器发送一个数据包,其源地址是由CGA生成的IPv6地址;
在这个步骤中,客户端和服务器之间建立会话。
步骤S101:网络攻击防御设备接收该数据包;
步骤S102:检查IP数据包中是否包含CGA参数及签名。如果仅包含签名信息选项,或者CGA参数和签名信息两个选项都包含时,转入步骤103;如果仅包含CGA参数选项,或者CGA参数和签名信息都不包含时,转入步骤107;
所述签名信息由客户端采用与生成所述源地址的公钥所对应的私钥对数据包载荷进行加密得到。
步骤S103:查询记录表,判断查询表中是否存在该源地址;
所述记录表是预先构建的,记录表保存的是验证成功后的源地址和对应公钥,以供后续验证查询使用。
提取所接收的数据包的源地址,查询所述记录表是否保存有该源地址。
步骤S104:如果记录表不存在此源地址记录,则先对CGA参数进行验证,根据验证通过的CGA参数对签名信息进行验证;
具体地,本实施例中对CGA参数进行验证的步骤包括:
检查CGA参数数据结构中的子网前缀是否为所述加密生成地址的子网前缀,若不是,则CGA验证失败;
检查CGA参数数据结构中的冲突计数是否在预定的范围内,若不在预定的范围内,则CGA验证失败。
具体地,本实施例中对签名信息进行验证,包括:
提取验证通过的CGA参数中的公钥,采用与签名时相应的加密算法利用该公钥对所述签名进行计算,将计算得到的值与签名计算之前的值进行比较,若相同,则签名验证通过。
步骤S105:验证成功后,将源地址和对应的公钥保存到记录表中,并将数据包转给服务器;
源地址不存在记录表中,CGA参数和签名信息又能够通过验证,说明这是客户端第一次发送数据包给服务器;
步骤S106:如果记录表中记载有该源地址,则利用记录表中对应的公钥对签名信息进行验证;
因为记录表中保存的都是成功通过CGA验证的源地址,因此不需要再对源地址进行CGA验证;
具体地,本实施例中对签名信息进行验证,包括:
提取验证通过的CGA参数中的公钥,采用与签名时相应的加密算法利用该公钥对所述签名进行计算,将计算得到的值与签名计算之前的值进行比较,若相同,则签名验证通过。
步骤S107:如果数据包中不包含CGA参数选项和签名信息,或仅包含CGA参数选项时,网络攻击防御设备丢弃该数据包,并向客户端返回错误报告;
步骤S108:如果这两个验证中有一个验证不成功,则丢弃该数据包;
步骤S109:验证成功,网络攻击防御设备将通过验证的数据包发给服务器。
当会话结束后,网络攻击防御设备清除记录表中的客户端源地址和对应公钥的记录。
本发明实施例可以直接利用客户端使用的CGA参数来保证客户端地址的非伪造性,从而防止了通过伪造地址来实施DDoS攻击。并且通过对客户端发送的消息的签名的验证,进一步保证了客户端身份及其地址绑定 的真实性。从而将非法的IPv6数据包过滤掉,防止对服务器的DDoS攻击,提高网络安全性能。
实施例四
参照图5,本实施例提供一种防止网络攻击的方法,仍以网络攻击为DDoS攻击,服务器为网络攻击防御设备保护的对象为例,对防止网络攻击方法进行详细说明:
步骤S200,客户端向服务器发送一个数据包,其源地址是由CGA生成的IPv6地址;
步骤S201,网络攻击防御设备接收该数据包;
步骤S202,网络攻击防御设备检查此数据包中是否包含CGA参数及签名;
步骤S203,如果不包含,则丢弃该数据包,网络攻击防御设备向源端发送错误报告,来提示客户端发送包含CGA参数及签名的数据包;
步骤S204,如果包含,则先对CGA参数进行验证,根据验证通过的CGA参数对签名信息进行验证;
步骤S205,如果这两个验证中有一个验证失败,则验证失败,丢弃该数据包;
步骤S206,如果CGA参数验证和签名验证成功,则网络攻击防御设备将该数据包发送给服务器。
本实施例与实施例三的不同之处在于,实施例三中网络攻击防御设备需要维护一个通过验证的源地址和相应公钥的记录表,在客户端与服务器的一次会话期间,只需要在第一次发起会话的通信中对CGA参数进行验证,到会话结束之前,期间只需验证签名信息。而在实施例三中,网络攻击防御设备需要验证客户端发送的每一个数据包中的CGA参数和签名信息。显然,与实施例三相比实施例二省去了对CGA参数重复验证的开销,但需要创建、维护和销毁一个记录表并需要对记录表进行查询。
本实施例提供的技术方案中,通过检查判断IP数据包是否包含CGA参数及签名信息。通过对CGA参数及签名信息进行验证,如果对CGA参数及签名验证均成功,将通过验证的数据包发给服务器,这样可确认数据 包的发送方合法,将非法的IPv6数据包过滤掉,从而防止对服务器的DDoS攻击,提高网络安全性能。
实施例五
参照图5,本发明实施例还提供一种防止网络攻击的装置300,包括数据包接收模块310、数据包检查模块320、CGA验证模块330、签名验证模块340和主控制模块350,其中:
数据包接收模块310,用于获取数据包,该数据包的源地址为加密生成地址CGA;
数据包检查模块320,对收到的数据包进行检查,确认数据包是否包含CGA参数和签名信息,并生成第一检查结果发送给CGA验证模块330和主控制模块350;
所述CGA参数包含修正域、子网前缀、公钥、冲突计数和扩展域;
所述签名信息由发送端采用与生成所述源地址的公钥所对应的私钥对数据包载荷进行加密得到。
CGA验证模块330,对所获取数据包的CGA参数进行验证,将验证结果发送给签名验证模块340和主控制模块350;
签名验证模块340,利用CGA参数的公钥对数据包的签名信息进行验证,并将验证结果返回给主控制模块350;
主控制模块350,用于根据收到的数据包检查模块320发送的第一检查结果、CGA验证模块330或签名验证模块340的验证结果,处理数据包;
若所述数据包检查模块320判断所述数据包不包含签名信息,则主控制模块350将所述数据包丢弃;
若所述CGA验证模块330对CGA参数的验证失败或所述签名验证模块340验证签名信息失败,则所述主控制模块350将所述数据包丢弃;
若CGA验证模块330对所获取数据包的CGA参数验证成功且所述签名验证模块340验证成功,则所述主控制模块350将所述数据包发送给目的地址。
所述防止网络攻击的装置300还包括:
存储模块360,用于存储记录表,所述记录表包括通过所述CGA验证模块验证的数据包的源地址及其所对应公钥;
记录查询模块370,根据收到的IP数据包的源地址查询存储模块中的记录表,将生成的第二检查结果返回给主控制模块。
若记录查询模块370查询确定所述源地址存在于记录表中,所述签名验证模块利用记录表中的公钥对签名进行验证;当所述签名验证通过后,将所述数据包发送给所述服务器,否则,将所述数据包丢弃;
接收到的所述第二检查结果表示记录表中不存在所述数据包的源地址,将所述数据包的CGA参数和签名信息分别发给所述CGA验证模块和签名验证模块进行验证,保存验证通过后的CGA参数和签名信息在所述记录表中。
本实施例提供的防止网络攻击的装置中,通过检查判断数据包是否包含CGA参数及签名信息。通过对CGA参数及签名进行验证,如果对CGA参数及签名验证均成功,该防止网络攻击装置将通过验证的数据包发给目标网络设备,这样可将非法的IPv6数据包过滤掉,从而防止对目标网络设备的网络攻击,从而提高网络安全性能。
实施例六
参照图7,本发明实施例还提供一种防止网络攻击的装置,包括:
参数生成模块601,用于根据源地址和公钥生成CGA参数和签名信息,所述源地址为根据公钥生成的加密生成地址CGA,源地址通常为IPv6地址;公钥为本实施例提供的防止网络攻击的装置在进入网络时由网络自动发放的。
具体地,参数生成模块包括:
CGA参数生成单元6011,用于将源地址的子网前缀、公钥和冲突计数分别插入固定的数据结构中,生成CGA参数;
签名信息生成单元6012,用于采用私钥对数据包载荷进行加密得到签名信息,该私钥与生成所述CGA地址的公钥所对应。
参数附加模块602,用于将所述源地址、CGA参数和签名信息附加在数据包;IPv6数据包包含基本头,数目不固定的扩展头及其载荷。其中, 基本头中包含源地址和目的地址,并指明下一个扩展头。CGA扩展头结构如图3(b)所示,扩展头中也包含指明下一个头的字段,还包含定义的与此扩展头相关的选项,CGA扩展头中还包含CGA参数和签名信息。
数据包发送模块603,用于发送所述数据包。具体地,发送包括了基本头、扩展头和载荷的数据包。
本发明实施例通过根据源地址生成CGA参数和签名信息,并附在数据包中,来证明数据包发送方地址的可靠性;CGA参数根据公钥产生,签名信息根据公钥对应的私钥产生,由于公钥和私钥具有一定的身份标识性和私密性,他人不容易进行身分伪造。
显然,本领域的技术人员应该明白,上述的本发明的各单元或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个单元或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (7)
1.一种防止网络攻击的方法,其特征在于,包括:
获取数据包,所述数据包的源地址为加密生成地址CGA;
确定所述数据包中包含所述加密生成地址CGA参数和签名信息;
对CGA参数进行验证,根据验证通过的CGA参数验证签名信息,其中,所述对CGA参数进行验证,根据验证通过的CGA参数验证签名信息包括:查询记录表是否存在所述数据包的源地址;如果不存在所述源地址,对CGA参数进行验证,根据验证通过的CGA参数对签名信息进行验证,验证通过后,保存所述源地址和对应的公钥在所述记录表中;如果验证不通过,丢弃所述数据包;如果存在所述源地址,利用记录表中对应的公钥对签名信息进行验证,如果验证不通过,丢弃所述数据包;
当所述签名信息验证通过后,将所述数据包发送给目标地址。
2.如权利要求1所述的方法,其特征在于,所述CGA参数包含公钥、子网前缀和冲突计数,所述对CGA参数进行验证包括:
对CGA参数中的公钥进行哈希计算得到哈希值,与源地址中的接口标识符比较,如果两者不一致,则CGA验证失败;或者
检查CGA参数中的子网前缀是否为所述加密生成地址的子网前缀,若不是,则CGA验证失败;或者
检查CGA参数中的冲突计数是否在预定的范围内,若不在预定的范围内,则CGA验证失败。
3.如权利要求1所述的方法,其特征在于,所述CGA参数包括公钥,所述根据验证通过的CGA参数验证签名信息包括:
采用与签名时相应的加密算法利用所述公钥对所述签名进行计算,将计算得到的值与签名计算之前的值进行比较,若相同,则签名验证通过。
4.如权利要求1所述的方法,其特征在于,进一步包括:
丢弃所述数据包后,向发送所述数据包的源地址返回错误报告。
5.一种防止网络攻击的装置,其特征在于,包括:
数据包接收模块,用于获取数据包,所述数据包的源地址为加密生成地址CGA;
数据包检查模块,用于对收到的数据包进行检查,判断其是否包含CGA参数和签名信息,发送第一检查结果;
CGA验证模块,用于当所述第一检查结果表示检查到有CGA参数,对所获取数据包的CGA参数进行验证,发送验证结果;
签名验证模块,用于所述CGA验证模块发送的验证结果表明所述CGA参数通过验证,根据验证通过的CGA参数验证签名信息,发送验证结果;
主控制模块,用于根据收到所述第一检查结果、CGA验证模块或签名验证模块发送的验证结果处理发送给服务器的数据包;
当所述CGA验证模块对所获取数据包的CGA验证成功且所述签名验证模块验证成功,所述主控制模块将所述数据包发送给目标地址。
6.如权利要求5所述的装置,其特征在于,还包括:
存储模块,用于存储记录表,所述记录表包括通过所述CGA验证模块验证的数据包的源地址及其所对应公钥。
7.如权利要求6所述的装置,其特征在于,还包括:
记录查询模块,根据所述数据包的源地址查询存储模块中的记录表,向所述主控制模块发送第二检查结果;
所述主控制模块还用于,当接收到的所述第二检查结果表示记录表中存在所述数据包的源地址,利用记录表中对应的公钥对签名信息进行验证,如果验证不通过,丢弃所述数据包;当接收到的所述第二检查结果表示记录表中不存在所述数据包的源地址,将所述数据包的CGA参数和签名信息分别发给所述CGA验证模块和签名验证模块进行验证,保存验证通过后的CGA参数和签名信息在所述记录表中。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810174681.8A CN101404579B (zh) | 2008-10-31 | 2008-10-31 | 一种防止网络攻击的方法及装置 |
PCT/CN2009/074578 WO2010048865A1 (zh) | 2008-10-31 | 2009-10-23 | 一种防止网络攻击的方法及装置 |
EP09823057.6A EP2346205B1 (en) | 2008-10-31 | 2009-10-23 | A method and device for preventing network attack |
US13/097,676 US8499146B2 (en) | 2008-10-31 | 2011-04-29 | Method and device for preventing network attacks |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810174681.8A CN101404579B (zh) | 2008-10-31 | 2008-10-31 | 一种防止网络攻击的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101404579A CN101404579A (zh) | 2009-04-08 |
CN101404579B true CN101404579B (zh) | 2011-02-09 |
Family
ID=40538457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810174681.8A Active CN101404579B (zh) | 2008-10-31 | 2008-10-31 | 一种防止网络攻击的方法及装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8499146B2 (zh) |
EP (1) | EP2346205B1 (zh) |
CN (1) | CN101404579B (zh) |
WO (1) | WO2010048865A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8499146B2 (en) | 2008-10-31 | 2013-07-30 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and device for preventing network attacks |
CN109831260A (zh) * | 2018-12-04 | 2019-05-31 | 南京时代大数据网络安全技术与发展战略研究院有限公司 | 数据传输系统及方法、存储装置 |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7162035B1 (en) | 2000-05-24 | 2007-01-09 | Tracer Detection Technology Corp. | Authentication method and system |
US8171567B1 (en) | 2002-09-04 | 2012-05-01 | Tracer Detection Technology Corp. | Authentication method and system |
US7995196B1 (en) | 2008-04-23 | 2011-08-09 | Tracer Detection Technology Corp. | Authentication method and system |
CN101299668A (zh) * | 2008-06-30 | 2008-11-05 | 华为技术有限公司 | 一种通信的建立方法、系统和装置 |
CN101931662B (zh) * | 2010-08-30 | 2015-05-13 | 清华大学 | 冲突地址检测、地址解析/地址不可达探测的方法及系统 |
KR101807700B1 (ko) * | 2011-12-09 | 2017-12-14 | 한국전자통신연구원 | 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 방법 및 장치 |
CN103259764B (zh) * | 2012-02-17 | 2017-12-15 | 精品科技股份有限公司 | 一种局域网络防护系统与方法 |
US9973473B2 (en) | 2012-03-30 | 2018-05-15 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for rapid filtering of opaque data traffic |
US9009465B2 (en) * | 2013-03-13 | 2015-04-14 | Futurewei Technologies, Inc. | Augmenting name/prefix based routing protocols with trust anchor in information-centric networks |
JP5986546B2 (ja) * | 2013-08-29 | 2016-09-06 | ヤフー株式会社 | 情報処理装置、および情報処理方法 |
CN103560889B (zh) * | 2013-11-05 | 2017-01-18 | 江苏先安科技有限公司 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
CN105451101B (zh) * | 2014-08-13 | 2019-01-25 | 北京金山安全软件有限公司 | 一种视频播放方法及装置 |
CN106656914A (zh) * | 2015-10-29 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 防攻击数据传输方法及装置 |
CN106953835B (zh) * | 2016-01-06 | 2020-05-22 | 中兴通讯股份有限公司 | 一种检测报文的方法、装置和系统 |
CN107104929B (zh) * | 2016-02-23 | 2021-03-09 | 阿里巴巴集团控股有限公司 | 防御网络攻击的方法、装置和系统 |
US10097525B2 (en) * | 2016-03-08 | 2018-10-09 | Qualcomm Incorporated | System, apparatus and method for generating dynamic IPV6 addresses for secure authentication |
CN107342964B (zh) * | 2016-04-28 | 2019-05-07 | 华为技术有限公司 | 一种报文解析方法及设备 |
CN106998366B (zh) * | 2017-05-23 | 2020-12-22 | 金华市智甄通信设备有限公司 | 一种云控制器负载均衡方法及其装置、一种云控制器 |
CN109150890A (zh) * | 2018-09-05 | 2019-01-04 | 杭州迪普科技股份有限公司 | 新建连接攻击的防护方法及相关设备 |
CN110032862B (zh) * | 2019-04-01 | 2022-12-16 | 中科天御(苏州)科技有限公司 | 一种防撞库攻击的数据动态防护方法及装置 |
CN110309082A (zh) * | 2019-04-23 | 2019-10-08 | 深圳市全智芯科技有限公司 | 数据存储方法、存储系统及微控制器 |
CN111556020B (zh) * | 2020-03-27 | 2022-09-16 | 江苏大学 | 一种基于兴趣包签名边缘校验的ndn访问控制方法 |
US11606346B2 (en) | 2020-06-29 | 2023-03-14 | Rockwell Automation Technologies, Inc. | Method and apparatus for managing reception of secure data packets |
US11599649B2 (en) * | 2020-06-29 | 2023-03-07 | Rockwell Automation Technologies, Inc. | Method and apparatus for managing transmission of secure data packets |
CN113904807B (zh) * | 2021-09-08 | 2023-11-21 | 北京世纪互联宽带数据中心有限公司 | 一种源地址认证的方法、装置、电子设备及存储介质 |
US20230171099A1 (en) * | 2021-11-27 | 2023-06-01 | Oracle International Corporation | Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification |
CN114389835B (zh) * | 2021-12-01 | 2024-04-16 | 青海师范大学 | 一种IPv6选项显式源地址加密安全验证网关及验证方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101106568A (zh) * | 2007-07-25 | 2008-01-16 | 华为技术有限公司 | 生成转交地址及提高路由优化安全性的方法、装置和系统 |
CN101162999A (zh) * | 2006-10-15 | 2008-04-16 | 柏建敏 | 基于身份的公钥密码系统与加密地址在网络中的认证方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7203837B2 (en) * | 2001-04-12 | 2007-04-10 | Microsoft Corporation | Methods and systems for unilateral authentication of messages |
JP2006139747A (ja) * | 2004-08-30 | 2006-06-01 | Kddi Corp | 通信システムおよび安全性保証装置 |
KR100651715B1 (ko) * | 2004-10-07 | 2006-12-01 | 한국전자통신연구원 | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 |
US7925027B2 (en) | 2005-05-02 | 2011-04-12 | Ntt Docomo, Inc. | Secure address proxying using multi-key cryptographically generated addresses |
US8281383B2 (en) * | 2006-12-11 | 2012-10-02 | Cisco Technology, Inc. | Secured IPv6 traffic preemption |
US8065515B2 (en) * | 2007-04-23 | 2011-11-22 | Cisco Technology, Inc. | Autoconfigured prefix delegation based on distributed hash |
US7779136B2 (en) * | 2007-11-01 | 2010-08-17 | Telefonaktiebolaget L M Ericsson (Publ) | Secure neighbor discovery between hosts connected through a proxy |
CN101404579B (zh) * | 2008-10-31 | 2011-02-09 | 成都市华为赛门铁克科技有限公司 | 一种防止网络攻击的方法及装置 |
-
2008
- 2008-10-31 CN CN200810174681.8A patent/CN101404579B/zh active Active
-
2009
- 2009-10-23 WO PCT/CN2009/074578 patent/WO2010048865A1/zh active Application Filing
- 2009-10-23 EP EP09823057.6A patent/EP2346205B1/en active Active
-
2011
- 2011-04-29 US US13/097,676 patent/US8499146B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101162999A (zh) * | 2006-10-15 | 2008-04-16 | 柏建敏 | 基于身份的公钥密码系统与加密地址在网络中的认证方法 |
CN101106568A (zh) * | 2007-07-25 | 2008-01-16 | 华为技术有限公司 | 生成转交地址及提高路由优化安全性的方法、装置和系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8499146B2 (en) | 2008-10-31 | 2013-07-30 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and device for preventing network attacks |
CN109831260A (zh) * | 2018-12-04 | 2019-05-31 | 南京时代大数据网络安全技术与发展战略研究院有限公司 | 数据传输系统及方法、存储装置 |
Also Published As
Publication number | Publication date |
---|---|
EP2346205A4 (en) | 2012-03-21 |
EP2346205A1 (en) | 2011-07-20 |
US8499146B2 (en) | 2013-07-30 |
CN101404579A (zh) | 2009-04-08 |
WO2010048865A1 (zh) | 2010-05-06 |
EP2346205B1 (en) | 2013-06-12 |
US20110264908A1 (en) | 2011-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101404579B (zh) | 一种防止网络攻击的方法及装置 | |
CN101180826B (zh) | 较高级协议认证 | |
US7961883B2 (en) | System and method for securing a personalized indicium assigned to a mobile communications device | |
US7472414B2 (en) | Method of processing data traffic at a firewall | |
US7664855B1 (en) | Port scanning mitigation within a network through establishment of an a prior network connection | |
CN109639712B (zh) | 一种防护ddos攻击的方法及系统 | |
US20010042200A1 (en) | Methods and systems for defeating TCP SYN flooding attacks | |
US8880891B2 (en) | Method, system and apparatus for establishing communication | |
CN101147376A (zh) | 降低tcp洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品 | |
WO2011029357A1 (zh) | 认证通信流量的方法、通信系统和防护装置 | |
JP2010508760A (ja) | 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置 | |
CN108667601A (zh) | 一种传输数据的方法、装置和设备 | |
US8406223B2 (en) | Mechanism for protecting H.323 networks for call set-up functions | |
CN101304407A (zh) | 一种源地址认证方法、系统及装置 | |
CN107948124A (zh) | 一种arp条目更新管理方法、装置及系统 | |
EP1154610A2 (en) | Methods and system for defeating TCP Syn flooding attacks | |
CN108965309B (zh) | 一种数据传输处理方法、装置、系统及设备 | |
CN102291378B (zh) | 一种防御DDoS攻击的方法和设备 | |
US20060225141A1 (en) | Unauthorized access searching method and device | |
Stewart et al. | Security attacks found against the stream control transmission protocol (SCTP) and current countermeasures | |
Fung et al. | A denial-of-service resistant public-key authentication and key establishment protocol | |
Biagioni | Preventing udp flooding amplification attacks with weak authentication | |
WO2011157142A2 (zh) | 报文发送方法和装置 | |
US20210273974A1 (en) | Methods for verifying the validity of an ip resource, and associated access control server, validation server, client node, relay node and computer program | |
Noureldien et al. | Block Spoofed Packets at Source (BSPS): a method for detecting and preventing all types of spoofed source IP packets and SYN Flooding packets at source: a theoretical framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |