CN101465865A - 防御网络攻击和建立网络连接的方法及设备 - Google Patents

防御网络攻击和建立网络连接的方法及设备 Download PDF

Info

Publication number
CN101465865A
CN101465865A CNA2009101049616A CN200910104961A CN101465865A CN 101465865 A CN101465865 A CN 101465865A CN A2009101049616 A CNA2009101049616 A CN A2009101049616A CN 200910104961 A CN200910104961 A CN 200910104961A CN 101465865 A CN101465865 A CN 101465865A
Authority
CN
China
Prior art keywords
information
request message
message
authorization information
user agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2009101049616A
Other languages
English (en)
Other versions
CN101465865B (zh
Inventor
吴新涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Huawei Technology Co Ltd
Original Assignee
Huawei Symantec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Symantec Technologies Co Ltd filed Critical Huawei Symantec Technologies Co Ltd
Priority to CN2009101049616A priority Critical patent/CN101465865B/zh
Publication of CN101465865A publication Critical patent/CN101465865A/zh
Application granted granted Critical
Publication of CN101465865B publication Critical patent/CN101465865B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种防御攻击的方法,包括接收发起方用户代理发送的第一请求消息;根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向发起方用户代理发送携带所述第一验证信息的响应消息;接收发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息;根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。可以获知信息以及发起者的合法性,以排除非法攻击,避免误报。

Description

防御网络攻击和建立网络连接的方法及设备
技术领域
本发明涉及通信技术领域,尤其涉及防御网络攻击和建立网络连接的方法及设备。
背景技术
SIP(Session Initiation Protocol,会话初始协议)用于发起会话。其采用Client/Server模型,其元素包括UA(User Agent,用户代理)和代理服务器PS(Proxy Server)。SIP消息分请求和响应两类,UA发送或接受请求和响应,请求消息由UA发往代理服务器PS,响应消息由PS发往UA。UA是用户代理客户端UAC(User Agent Client)和用户代理服务器UAS(User AgentServer)组合的逻辑实体。当UA发送请求时充当的是UAC的角色,当UA接受请求发送响应时充当的是UAS的角色。
SIP采用三次握手的方式建立会话,如图1所示,主叫方UAC向被叫方UAS发送SIP Invite请求以建立会话;UAS收到该SIP Invite请求后回应一个200OK响应;UAC发送ACK消息对该响应进行确认,上述消息都通过PS转发。在整个会话的建立过程中,UAS会保存会话状态,有状态PS在会话过程中同样会保存事务状态或会话状态。
然而攻击者采用发送大量的伪From域的SIP Invite数据包来实施洪水攻击,有状态PS和接收方UAS都会为每一个连接请求维护一个会话状态。由于From域被伪造,UAS在返回200OK响应后,收不到来自发起方UAC的ACK确认,会话连接始终处于维护状态,导致有状态PS和UAS消耗大量的内存维护会话,最终使得PS和接受方UAS内存耗尽,拒绝服务,甚至系统瘫痪。因此当正当发起方UAC发送SIP Invite数据包时,由于PS和UAS拒绝服务,导致UAC接收不到200 OK相应。从上述描述可知,当没有攻击发生的情况下,由于系统能正常运行,SIP Invite数据包的数目应该与200 OK响应的数目相等,于是现有技术中采用基于统计的方法来防止攻击,通过统计某时段内SIP Invite数据包的数目和200OK响应数据包的数目,将SIP InviteS数据包的个数和200 OK响应数据包的个数的比值与预先设好的阈值进行比较,当所述比值大于所述阈值时,则认为有攻击发生,丢弃该数据包并将发送数据包的源IP地址加入黑名单阻止连接的建立。
在代理服务器和UAS发起认证的情况下,在UAS发送200 OK响应消息前,UAC会重发带有认证信息的Invite请求,如图2所示。正常情况下,此时SIP Invite数据包的数目为200 OK响应数据包数目的两倍,若用上述方法进行检测就会发生无攻击情况下SIP Invite数据包的个数和200 OK响应数据包的个数的比值大于所述阈值,从而出现大量误报,把合法的请求识别为攻击,阻止了合法连接的建立。
发明内容
本发明实施例提供防御网络攻击和建立会话连接的方法及装置,使得有效防御网络攻击以及建立网络连接。
本发明的实施例提供了一种防御网络攻击的方法,该方法包括:
接收发起方用户代理发送的第一请求消息;根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向发起方用户代理发送携带所述第一验证信息的响应消息;接收发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息;根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。
本发明的实施例还提供了一种防御网络攻击的方法,该方法包括:
接收发起方用户代理发送的第一请求消息;验证所述第一请求消息的来源,对不可识别的来源发送的请求消息,根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向发起方用户代理发送携带所述第一验证信息的响应消息;接收发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息;根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。
本发明的实施例还提供了一种建立网络连接的方法,该方法包括:
接收发起方用户代理发送的第一请求消息;根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向发起方用户代理发送携带所述第一验证信息的响应消息;接收发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息;根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息;向接收方用户代理发送携带和所述第一验证信息相同的第二验证信息的第二请求消息,以建立所述发起方用户代理和所述接收方用户代理之间的连接。
本发明的实施例还提供了一种防御网络攻击的设备,该设备包括:
消息接收单元,所述消息接收单元用于接收发起方用户代理发送的第一请求消息;信息验证单元,所述信息验证单元用于根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,消息发送单元,所述消息发送单元用于向发起方用户代理发送携带所述第一验证信息的响应消息,所述消息接收单元接收所述发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息,所述信息验证单元根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。
由上述本发明的实施例提供的技术方案可以看出,通过就发起方用户代理的请求消息确定第一验证信息,将其与发起方用户代理重新发起的请求信息确定的第二验证信息进行比较,可以获知信息以及发起者的合法性,以排除非法攻击,避免误报,使得合法连接有效的建立。。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中SIP会话连接建立示意图;
图2为现有技术中代理服务器PS认证UAC示意图;
图3为本发明实施例一防御网络攻击的方法示意图;
图4为本发明实施例二防御网络攻击的方法示意图;
图5为本发明实施例三建立网络连接的方法示意图;
图6为本发明实施例三基于验证防御建立网络连接的原理图;
图7为本发明实施例四防御网络攻击的设备示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
代理服务器和UAS发起认证的情况下,基于SIP协议在用户代理间建立会话,为了防止网络攻击,由防护单元对发送方用户代理的SIP Invite请求进行验证,使得通过验证的SIP Invite请求可以进行用户代理间的会话连接,从而保证连接的可靠性,使得代理服务器以及接收方用户代理稳定运行,有效降低了攻击者利用SIP Invite请求的恶意攻击保证合法连接的建立。
本发明实施例一提供一种防御网络攻击的方法,如图3所示,包括:
101、发起方用户代理UAC发送第一请求消息。
UAC请求和接收方用户代理UAS建立连接,该连接基于SIP协议。UAC发送SIP Invite请求消息,SIP消息类型还包括:ACK、CANCEL、OPTIONS、BYE以及REGISTER。其中Invite和ACK用于建立呼叫,完成三次握手,或者用于建立以后改变会话属性。SIP的消息头域由一个域名和域值组成:Field-Name:Field-Value。完整SIP消息携带的头域包括:From,To,Call-ID,Max-Forwards和Via字段。以下为一个完整SIP Inivte消息的示例:
INVITE sip:UserB@there.com SIP/2.0
Via:SIP/2.0/UDP here.com:5060
From:BigGuy<sip:UserA@here.com>
To:LittleGuy<sip:UserB@there.com>
Call-ID:12345601@here.com
CSeq:1 INVITE
Contact:BigGuy<sip:UserA@here.com>
Content-Type:application/sdp
Content-Length:147
v=0
o=UserA 2890844526 2890844526 IN IP4 here.com
s=Session SDP
c=IN IP4 100.101.102.103
t=0 0
m=audio 49172 RTP/AVP 0
a=rtpmap:0 PCMU/8000
102、防护单元收到所述第一请求消息。接收到所述第一请求消息后,防护单元根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向UAC发送携带所述第一验证信息的响应消息。
UAC发送的SIP Invite消息被防护单元接收,防护单元可以为Anti-DDoS设备,防护单元在收到所述SIP Invite消息后,构造响应消息发送给UAC,所述响应消息可以为SIP消息中的407 Proxy Authentication响应数据包。
防护单元根据SIP Invite消息的数据包信息,包络源IP(sip)、目的端口(dport),以及域信息,至少包括FROM域、TO域、CALL-ID域,根据所述数据包信息和域信息确定第一验证信息,所述第一验证信息可以为包括上述数据包信息和域信息构建的函数的值,如func(sip,dport,from,to,call-id),将所述第一验证信息赋值给407响应数据包的Proxy-Authenticate域的nonce字段。防护单元发送所述携带第一信息的407响应数据包给UAC。103、UAC收到所述响应消息后发送携带认证信息的第二请求消息。
UAC收到所述响应消息后,从407响应数据包应答的头域Proxy-Authenticate中找到适用于所述PS的认证资源。UAC根据所述认证资源重新发起SIP Invite消息,所述消息相比于第一请求消息,至少增加携带了包括PS认证资源的认证信息,所述认证信息采用正确的信任书。
104、防护单元接收所述第二请求消息,对所述携带认证信息的第二请求消息进行验证,根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。
防护单元采用和第一验证信息的确定相同的方法确定第二请求信息的数据包信息和域信息生成的第二验证信息,将第一验证信息和第二验证信息进行比较,比较所述两个验证信息是否一致以验证UAC的请求消息和合法性。
105、所述第一验证信息和所述第二验证信息相同,防护单元转发所述第二请求消息,否则执行106。
进一步的,防护单元转发所述第二请求消息的同时可以将第二请求消息来源的IP地址记录下来,采用放入IP列表等形式保留,以便在后续的操作中不再对该地址来源的请求消息进行验证。
106、终止连接请求。
当所述第一验证信息和所述第二验证信息不一致,防护单元采用丢弃所述请求消息的数据包或者不向代理PS发送请求消息等方式终止连接请求。
上述实施例通过就发起方用户代理的请求消息确定第一验证信息,将其与发起方用户代理重新发起的请求信息确定的第二验证信息进行比较,可以获知信息以及发起者的合法性,以排除非法攻击,避免误报。
本发明人实施例二提供一种防御网络攻击的方法,如图4所示,包括,
201、同步骤101,发起方用户代理UAC发送第一请求消息。
202、防护单元收到所述第一请求消息后,验证所述消息来源的IP地址,对可识别IP地址发送的请求消息进行转发,对不可识别IP地址发送的请求消息执行步骤203。
203、同步骤102,防护单元根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向UAC发送携带所述第一验证信息的响应消息。
204、同步骤103,UAC收到所述响应消息后发送携带认证信息的第二请求消息。
205、同步骤104,防护单元接收所述第二请求消息,对所述携带认证信息的第二请求消息进行验证,根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。
206、同步骤105,所述第一验证信息和所述第二验证信息相同,防护单元转发所述第二请求消息,否则执行207。
207、同步骤106,终止连接请求。
上述实施例通过就发起方用户代理的请求消息确定第一验证信息,将其与发起方用户代理重新发起的请求信息确定的第二验证信息进行比较,可以获知信息以及发起者的合法性,以排除非法攻击,避免误报。
本发明实施例三提供一种建立网络连接的方法,如图5所示,包括,
301-304、同实施例一中步骤101-104。
301、发起方用户代理UAC发送第一请求消息。
302、防护单元收到所述第一请求消息。接收到所述第一请求消息后,防护单元根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向UAC发送携带所述第一验证信息的响应消息。
303、UAC收到所述响应消息后发送携带认证信息的第二请求消息。
304、防护单元接收所述第二请求消息,对所述携带认证信息的第二请求消息进行验证,根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。
进一步的,302步骤中,防护单元收到所述第一请求消息后,还可以验证所述请求消息来源的IP地址,对可识别IP地址发送的请求消息实施步骤306,对不可识别IP地址发送的请求消息,根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向UAC发送携带所述第一验证信息的响应消息。
305、所述第一验证信息和所述第二验证信息相同,防护单元转发所述第二请求消息,否则执行307。
306、防护单元向UAS发送所述第二请求消息,UAS向UAC发送响应消息,UAC对所述响应消息进行确认,UAS收到所述确认消息连接建立,所述第二请求、响应和确认消息均由代理PS转发。
见图6所示,上述第二请求,响应以及确认消息基于SIP协议的三次握手实施,首先通过防护单元发送的第二请求消息经过PS发送至UAS,UAS回复响应消息经过PS发送到UAC,UAC收到所述响应后对所述响应确定,发送确认消息通过PS到UAS,经过上述三次握手,发起方UAC和接收方UAS的连接建立。
307、终止连接请求。
当所述第一验证信息和所述第二验证信息不一致,防护单元采用丢弃所述请求消息的数据包或者不向代理PS发送请求消息等方式终止连接请求。
上述实施例通过就发起方用户代理的请求消息确定第一验证信息,将其与发起方用户代理重新发起的请求信息确定的第二验证信息进行比较,可以获知信息以及发起者的合法性,以排除非法攻击,避免误报,使得合法连接有效的建立。
本发明实施例四提供一种防御网络攻击的设备,如图6所示,包括:
消息接收单元,所述消息接收单元用于接收发起方用户代理发送的第一请求消息;信息验证单元,所述信息验证单元用于根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,消息发送单元,所述消息发送单元用于向发起方用户代理发送携带所述第一验证信息的响应消息。所述消息接收单元接收所述发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息,所述信息验证单元根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。
所述消息接收单元用于接收发起方用户代理发送的第一请求消息,UAC请求和接收方用户代理UAS建立连接,该连接基于SIP协议。所述第一请求消息属于SIP消息类型,SIP Invite消息。
所述消息验证单元从所述消息接收单元获取所述第一请求消息,用于根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,具体的,所述消息验证单元用于根据SIP Invite消息的数据包信息,包络源IP(sip)、目的端口(dport),以及头域信息,至少包括FROM域、TO域、CALL-ID域,所述信息验证单元采用所述第一请求消息携带的数据包信息和域信息构建函数的方式获得所述第一验证消息,具体的,所述信息验证单元根据所述数据包信息和域信息确定第一验证信息,所述第一验证信息可以为包括上述数据包信息和域信息构建的函数的值,如func(sip,dport,from,to,call-id)。所述信息验证单元通过消息发送单元向UAC发送携带所述第一验证信息的响应消息,所述响应消息可以为SIP消息中的407 ProxyAuthentication响应数据包,所述第一验证信息赋值给407响应数据包的Proxy-Authenticate域的nonce字段。
所述消息接收单元接收UAC应所述响应消息发送的携带认证信息的第二请求消息,所述第二请求消息相比于第一请求消息,至少增加携带了包括PS认证资源的认证信息,所述认证信息采用正确的信任书。所述信息验证单元对所述携带认证信息的第二请求消息进行验证,根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,比较所述两个验证信息是否一致以验证所述请求消息的合法性。当验证所述第一验证信息和所述第二验证信息相同,将所述第二请求信息发送给所述消息发送单元进行转发,否则终止请求。具体可以为丢弃所述请求消息的数据包或者不向代理PS发送请求消息等方式终止连接请求。所述信息验证单元还用于采用所述第二请求消息携带的数据包信息和域信息构建函数的方式获得所述第二验证消息。所述信息验证单元采用和第一验证信息的确定相同的方法确定第二请求信息的数据包信息和域信息生成的第二验证信息。
进一步的,所述设备还包括判决单元,所述判决单元用于验证所述第一请求消息来源,将不可识别的来源发送的所述第一请求消息发送给所述消息验证单元,对可识别来源发送的所述第一请求消息发送给所述消息发送单元进行转发。所述判决单元可以验证所述请求消息来源的IP地址,对可识别IP地址发送的请求消息发送给所述消息发送单元,对不可识别IP地址发送的请求消息,通知信息验证单元根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,通过消息发送单元向UAC发送携带所述第一验证信息的响应消息。
所述消息验证单元通过消息发送单元向UAS发送所述第二请求消息,UAS向UAC发送响应消息,UAC对所述响应消息进行确认,UAS收到所述确认消息连接建立,所述第二请求、响应和确认消息均由代理PS转发。
上述第二请求,响应以及确认消息基于SIP协议的三次握手实施,首先通过消息发送单元发送的第二请求消息经过PS发送至UAS,UAS回复响应消息经过PS发送到UAC,UAC收到所述响应后对所述响应确定,发送确认消息通过PS到UAS,经过上述三次握手,发起方UAC和接收方UAS的连接建立。
所述第一请求消息基于SIP协议连接请求,所述第一请求消息中携带的域信息包括SIP消息头域信息,,数据包信息包括源IP地址和目的端口。
上述实施例通过就发起方用户代理的请求消息确定第一验证信息,将其与发起方用户代理重新发起的请求信息确定的第二验证信息进行比较,可以获知信息以及发起者的合法性,以排除非法攻击,避免误报,使得合法连接有效的建立。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (23)

1、一种防御网络攻击的方法,其特征在于,该方法包括:
接收发起方用户代理发送的第一请求消息;
根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向发起方用户代理发送携带所述第一验证信息的响应消息;
接收发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息;
根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。
2、根据权利要求1所述的方法,其特征在于,该方法还包括:
验证所述第一验证信息和所述第二验证信息相同,转发所述第二请求消息,否则终止请求。
3、根据权利要求1所述的方法,其特征在于,
所述第一请求消息基于SIP协议连接请求,所述第一请求消息中携带的域信息包括SIP消息域信息,数据包信息包括源IP地址和目的端口。
4、根据权利要求3所述的方法,其特征在于,所述根据数据包信息和所述域信息确定第一验证消息以及第二验证信息包括:
采用所述第一请求消息携带的数据包信息和域信息构建函数的方式获得所述第一验证消息;采用所述第二请求消息携带的数据包信息和域信息构建函数的方式获得所述第二验证消息。
所述确定第二验证信息的方式和确定所述第一验证信息的方式一致。
5、根据权利要求1所述的方法,其特征在于,所述发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息相比第一请求消息,至少增加携带了包括PS认证资源的认证信息,所述认证信息采用正确的信任书。
6、一种防御网络攻击的方法,其特征在于,该方法包括:
接收发起方用户代理发送的第一请求消息;
验证所述第一请求消息的来源,对不可识别的来源发送的请求消息,根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向发起方用户代理发送携带所述第一验证信息的响应消息;
接收发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息;
根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。
7、根据权利要求6所述的方法,其特征在于,还包括对可识别来源发送的所述第一请求消息进行转发。
8、根据权利要求6所述的方法,其特征在于,所述验证第一请求消息的来源包括对发送所述第一请求消息的源IP地址进行验证。
9、根据权利要求6所述的方法,其特征在于,该方法还包括:
验证所述第一验证信息和所述第二验证信息相同,转发所述第二请求消息,否则终止请求。
10、根据权利要求6所述的方法,其特征在于,
所述第一请求消息基于SIP协议连接请求,所述第一请求消息中携带的域信息包括SIP消息域信息,数据包信息包括源IP地址和目的端口。
11、根据权利要求10所述的方法,其特征在于,所述根据数据包信息和域信息确定第一验证消息以及第二验证信息包括:
采用所述第一请求消息携带的数据包信息和域信息构建函数的方式获得所述第一验证消息;采用所述第二请求消息携带的数据包信息和域信息构建函数的方式获得所述第二验证消息。
所述确定第二验证信息的方式和确定所述第一验证信息的方式一致。
12、根据权利要求6所述的方法,其特征在于,所述发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息相比第一请求消息,至少增加携带了包括PS认证资源的认证信息,所述认证信息采用正确的信任书。
13、一种建立网络连接的方法,其特征在于,该方法包括:
接收发起方用户代理发送的第一请求消息;
根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向发起方用户代理发送携带所述第一验证信息的响应消息;
接收发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息;
根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息;
向接收方用户代理发送携带和所述第一验证信息相同的第二验证信息的第二请求消息,以建立所述发起方用户代理和所述接收方用户代理之间的连接。
14、根据权利要求13所述的方法,其特征在于,所述向接收方用户代理发送携带和所述第一验证信息相同的第二验证信息的第二请求消息,以建立所述发起方用户代理和所述接收方用户代理之间的连接,包括如下步骤:
向接收方用户代理发送第二请求消息,所述第二请求消息中携带的第二验证信息为验证和所述第一验证信息相同的信息;
接收方用户代理接收所述第二请求消息,向发起方用户代理发送响应消息;
发起方用户代理对所述响应消息进行确认,发送确认消息;
接收方用户代理接收所述确认消息。
所述第二请求消息、响应和确认消息均由代理PS转发。
15、根据权利要求13所述的方法,其特征在于,所述根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,向发起方用户代理发送携带所述第一验证信息的响应消息前还包括:验证所述第一请求消息来源,对不可识别的来源发送的所述第一请求消息进行上述步骤,对可识别来源发送的所述第一请求消息进行转发。
16、根据权利要求13所述的方法,其特征在于,所述验证第一请求消息的来源包括对发送所述第一请求消息的源IP地址进行验证。
17、根据权利要求13所述的方法,其特征在于,所述根据数据包信息和域信息确定第一验证消息以及第二验证信息包括:
采用所述第一请求消息携带的数据包信息和域信息构建函数的方式获得所述第一验证消息;采用所述第二请求消息携带的数据包信息和域信息构建函数的方式获得所述第二验证消息。
所述确定第二验证信息的方式和确定所述第一验证信息的方式一致。
18、根据权利要求13所述的方法,其特征在于,所述发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息相比第一请求消息,至少增加携带了包括PS认证资源的认证信息,所述认证信息采用正确的信任书。
19、一种防御网络攻击的设备,其特征在于,该设备包括:
消息接收单元,所述消息接收单元用于接收发起方用户代理发送的第一请求消息;
信息验证单元,所述信息验证单元用于根据所述第一请求消息中携带的数据包信息和域信息确定第一验证信息,
消息发送单元,所述消息发送单元用于向发起方用户代理发送携带所述第一验证信息的响应消息,
所述消息接收单元接收所述发起方用户代理应所述响应消息发送的携带认证信息的第二请求消息,所述信息验证单元根据所述第二请求消息中携带的数据包信息和域信息确定第二验证信息,将所述第一验证信息和所述第二验证信息进行比较,验证所述第二请求消息。
20、根据权利要求19所述的设备,其特征在于,所述设备还包括判决单元,所述判决单元用于验证所述第一请求消息来源,将不可识别的来源发送的所述第一请求消息发送给所述消息验证单元,对可识别来源发送的所述第一请求消息发送给所述消息发送单元进行转发。
21、根据权利要求19所述的设备,其特征在于,所述信息单元还用于当验证所述第一验证信息和所述第二验证信息相同,将所述第二请求信息发送给所述消息发送单元进行转发,否则终止请求。
22、根据权利要求19所述的设备,其特征在于,
所述第一请求消息基于SIP协议连接请求,所述第一请求消息中携带的域信息包括SIP消息域信息,数据包信息包括源IP地址和目的端口。
23、根据权利要求19所述的设备,其特征在于,所述信息验证单元还包括:
采用所述第一请求消息携带的数据包信息和域信息构建函数的方式获得所述第一验证消息,以及
采用所述第二请求消息携带的数据包信息和域信息构建函数的方式获得所述第二验证消息。
所述确定第二验证信息的方式和确定所述第一验证信息的方式一致。
CN2009101049616A 2009-01-13 2009-01-13 防御网络攻击和建立网络连接的方法及设备 Active CN101465865B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009101049616A CN101465865B (zh) 2009-01-13 2009-01-13 防御网络攻击和建立网络连接的方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009101049616A CN101465865B (zh) 2009-01-13 2009-01-13 防御网络攻击和建立网络连接的方法及设备

Publications (2)

Publication Number Publication Date
CN101465865A true CN101465865A (zh) 2009-06-24
CN101465865B CN101465865B (zh) 2012-04-25

Family

ID=40806227

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009101049616A Active CN101465865B (zh) 2009-01-13 2009-01-13 防御网络攻击和建立网络连接的方法及设备

Country Status (1)

Country Link
CN (1) CN101465865B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8975982B2 (en) 2010-07-15 2015-03-10 Lg Innotek Co., Ltd. Apparatus and method for detecting transmission and reception signal
CN104871500A (zh) * 2012-12-19 2015-08-26 日本电气株式会社 通信节点、控制装置、通信系统、分组处理方法、通信节点控制方法及程序
CN108111476A (zh) * 2017-08-08 2018-06-01 西安交大捷普网络科技有限公司 C&c通道检测方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8975982B2 (en) 2010-07-15 2015-03-10 Lg Innotek Co., Ltd. Apparatus and method for detecting transmission and reception signal
CN104871500A (zh) * 2012-12-19 2015-08-26 日本电气株式会社 通信节点、控制装置、通信系统、分组处理方法、通信节点控制方法及程序
US9906438B2 (en) 2012-12-19 2018-02-27 Nec Corporation Communication node, control apparatus, communication system, packet processing method, communication node controlling method and program
CN108111476A (zh) * 2017-08-08 2018-06-01 西安交大捷普网络科技有限公司 C&c通道检测方法
CN108111476B (zh) * 2017-08-08 2021-01-19 西安交大捷普网络科技有限公司 C&c通道检测方法

Also Published As

Publication number Publication date
CN101465865B (zh) 2012-04-25

Similar Documents

Publication Publication Date Title
EP2112798B1 (en) Service controlling in a service provisioning system
CN1838590B (zh) 在会话起始协议信号过程提供因特网密钥交换的方法及系统
US8170590B2 (en) Method, system and apparatus for forking transmission of short message service
US9077806B2 (en) Method, system and apparatus for implementing secure call forwarding
US10116708B2 (en) SIP signalling
US9420018B2 (en) End-to-end address transfer
JP2010535451A (ja) Sessioninitiationprotocolベースのネットワークでの複数のアプリケーション・サーバを用いる呼転送
US10412128B2 (en) SPI handling between UE and P-CSCF in an IMS network
US20130097265A1 (en) Method for transferring and storing cpm service message and service thereof
CN101465865B (zh) 防御网络攻击和建立网络连接的方法及设备
KR100852145B1 (ko) SIP 기반 VoIP 서비스를 위한 호 제어 메시지의보안 시스템 및 방법
Zhang et al. Blocking attacks on SIP VoIP proxies caused by external processing
CN108924142B (zh) 一种基于sip协议的安全语音对讲通讯方法
US20230370493A1 (en) Apparatus and method to mitigate malicious calls in a wireless network
CN1881870A (zh) 一种设备间安全通信的方法
CN108270747B (zh) 一种认证方法及装置
Chen et al. Research on man-in-the-middle denial of service attack in sip voip
CN103581112A (zh) 用户交换机接入网际协议多媒体子系统网络的鉴权方法和装置
Sonkar et al. A review paper: security on voice over internet protocol from spoofing attacks
Qiu Study of digest authentication for Session Initiation protocol (SIP)
JP2010161769A (ja) 通信サービスを管理する方法、通信サービスを使用するように構成されている端末、端末を登録するように構成されている登録デバイス、プロキシデバイス、及びプロトコルスタック製品
Madhosingh The design of a differentiated session initiation protocol to control voip spam
Cha et al. Detection of SIP De-Registration and Call-Disruption Attacks Using a Retransmission Mechanism and a Countermeasure Scheme
CN102316577A (zh) 一种注册控制方法
El-Mousa et al. The design of a secure SIP-based architecture for broadband service providers

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD.

Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.

Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right

Effective date of registration: 20220921

Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041

Patentee after: Chengdu Huawei Technologies Co.,Ltd.

Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China

Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220927

Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041

Patentee after: Chengdu Huawei Technologies Co.,Ltd.

Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China

Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.

TR01 Transfer of patent right