CN102027726A - 用于控制数据分组的路由的方法和设备 - Google Patents
用于控制数据分组的路由的方法和设备 Download PDFInfo
- Publication number
- CN102027726A CN102027726A CN2008801292419A CN200880129241A CN102027726A CN 102027726 A CN102027726 A CN 102027726A CN 2008801292419 A CN2008801292419 A CN 2008801292419A CN 200880129241 A CN200880129241 A CN 200880129241A CN 102027726 A CN102027726 A CN 102027726A
- Authority
- CN
- China
- Prior art keywords
- voucher
- end host
- packet
- route
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种用于控制IP网络(200)中数据分组的路由的方法和设备。DNS系统(202)存储针对第一终端主机(B)而配置的分组接纳策略,该分组接纳策略规定了允许或不允许其他终端主机向第一终端主机传递数据分组的条件。定义了将数据分组路由至第一终端主机所需的路由凭证。将该路由凭证分发给IP网络中的路由器(R)。当在DNS系统(202)处从第二终端主机接收到地址查询时,如果所配置的策略允许第二终端主机传送数据分组,则将凭证提供给第二终端主机。否则,不提供凭证。如果允许,则第二终端主机将路由凭证添加至导向至第一终端主机的任何数据分组。当在网络中的路由器(204)处的分组中存在有效路由凭证时,将该分组转发至IP网络中的下一路由器。否则,路由器将丢弃该分组。
Description
技术领域
本发明总体涉及一种用于控制如互联网之类的公共IP网络中数据分组的路由的方法和设备。
背景技术
通过IP(互联网协议)网络在不同方之间对数字编码的信息进行的基于分组的传输用于多种通信服务,例如电子邮件消息收发、互联网浏览、语音和视频电话、内容流传输、游戏等等。在发送方处将数字编码的信息布置在数据分组中,然后通过传输路径向目标接收方发送数据分组。发送方与接收方之间的传输路径可以包括各种网络、交换机、网关、路由器和接口。通信方常被称作“终端主机”,“终端主机”可以是能够进行基于分组的IP通信的任何类型的设备,例如固定和移动电话、计算机、服务器、游戏台等。在本说明书中,术语“终端主机”将总体表示任何这样的通信设备。
典型地,与互联网相连接的终端主机已经被分配有以沿传输路径对导向至该终端主机的任何数据分组进行路由所需的IP地址的形式存在的转发标识。典型地,终端主机还已经被分配有以文本串的形式存在的或多或少可理解的名称,例如传统的电子邮件地址或网址,如user@operator.com,其与所分配的IP地址相关联。包括DNS服务器的层级在内的DNS(域名服务器)系统用于检索特定主机名称的当前IP地址。因此,终端主机可以向DNS系统查询要与之进行通信的主机名称,然后,DNS将通过提供对应终端主机的当前IP地址来进行应答。这种类型的查询有时被称作目的地查询、标识查询或地址查询,在整个本说明书中使用的是后者。
基本上,数据分组被配置为具有:数据字段,包含有效载荷数据;以及首部字段,其中,进行发送的终端主机插入目标终端主机的目的地地址,即从DNS系统获得的IP地址。因此,基于分组的首部字段中的目的地地址,沿传输路径,通过总体被称作IP路由器的多个网络节点,来路由每个数据分组。
除了简单地接收和转发数据分组以外,IP路由器还可能能够进行其他功能,例如安全性控制、分组调度以及地址和协议的转换。此外,终端主机可以具有:防火墙功能,用于例如根据用户所作的设置来确定是应当接纳还是应当丢弃输入数据分组。
典型地,IP网络中的每个路由器包括分别充当用于接收和发送数据分组的接口的入口和出口单元。路由器还包括:路由或转发功能,用于基于路由器中定义的转发表来确定应当将输入数据分组发送至哪个路由器作为“下一跳”。如本领域公知的,通常,可以根据网络拓扑和当前业务量负载,沿多个备选路径来路由数据分组。
通过对应端口,在每个路由器中提供至最接近相邻路由器的链路,并且还基于对拓扑信息和链路信息的分发来在路由器中配置转发架构。每个端口可以配置有IP地址和IP掩码,并且在配置过程中,路由协议用于在网络中的路由器之间分发该信息。然后,根据所分发的拓扑信息,每个路由器计算其自身的转发表,转发表包含多个目的地IP地址和相关联的输出端口。由于每个输入数据分组在其首部中具有目的地IP地址,因此使用转发表,根据该IP地址在转发表中找到合适的条目。因此,转发表的主要功能是确定每个输入分组的适当输出端口。
在图1中,示出了在位于IP网络中时传统IP路由器100的基本结构。IP路由器100还包括入口部分100a、出口部分100b和这里由转发表100c示意性表示的转发功能等等。出口部分100b包括:多个输出端口PA、PB、PC、……,分别通向路由器100直接与之相连的不同相邻路由器A、B、C、……。输入数据分组102具有有效载荷字段PL和首部H,后者包含分组的目的地地址。
转发表100c由多个条目组成,每个条目包含IP掩码、IP地址和输出端口号。可以以十六进制编码的串(如FF.FF.FF.0或FF.FF.8.0等)来定义IP掩码。简而言之,通过将逻辑“AND(与)”运算应用于目的地地址和IP掩码,将首部H中的目的地地址与转发表100c中的条目进行比较,以检测具有相同IP地址的匹配条目。一旦找到匹配条目,就可以根据该条目的端口号在输出端口上将分组发送出去。
因此,在入口单元100a处,首先接收可能已从前一路由器(未示出)转发至路由器100的输入数据分组102。然后,基于首部H中的目的地地址并使用转发表100c来确定应当将分组发送至哪个下一路由器。在本示例中,输入分组102所具有的目的地IP地址在与掩码组合时与转发表100c中具有端口号PC的条目的IP地址相匹配。因此,在与路由器C相连接的对应端口上将分组102发送出去。
然而,IP网络和互联网中的主要问题在于,安全性支持一般不足,如以下所解释。当前的路由架构和协议原先是针对“友好”环境而设计的,即假定没有“非法的”或“恶意的”用户在IP网络中通信。然而,已经将各种安全性方案添加至IP架构,以保护所通信的数据,例如低层的IP-sec以及高层的TLS(传输层安全性)。此外,MPLS(多协议标签交换)是用于构建层3VPN(虚拟专用网)以确保安全通信的方案。在VPN的情况下,当使用内网时,需要专用寻址,并在一定程度上将该网络与公共互联网隔离,使得不允许外部未授权主机到达附着至内网的主机以及与附着至内网的主机进行通信。
用于在路由协议中提供安全性的其他现有方案包括:路由器之间的安全通信,使得没有非法实体能够窃听、操控或模仿路由器;路由器端口之间IP-sec隧道的建立,以便保护路由器之间的分组传输;以及层2的链路安全性。还可以使用各种认证过程和密码密钥,例如根据DNSSec(DNS安全性)、HIP(主机标识协议)和CGA(以密码方式产生的地址),以便增强安全性。尽管针对特定应用(例如电子邮件的垃圾信息过滤)使用了抵御有害业务的保护,但是一般地,在公共IP基础结构中并未提供避免侵犯终端主机以及避免有害数据分组的基本保护。
由于以上述方式端到端地、公开地分发内部转发标识(即,IP地址),因此任何终端主机基本上都能够通过互联网来向任何其他终端主机发送消息和数据分组,造成洪泛、垃圾信息、病毒、欺诈和所谓“拒绝服务”威胁的公知问题。因此,一般来说,问题在于:任何终端主机都可以在完全不受进行接收的终端主机控制的情况下传递数据分组,并且如互联网之类的公共IP网络在IP基础结构中不具有防止来自潜在非法或恶意终端用户的数据分组被路由至接收器的机制。
尽管在终端主机处或在链路层中也可以添加或多或少复杂的功能(如防火墙等)以限制连接性。然而,这些方案是“最后一道防线”方案,意味着有害数据分组的传输仍可以消耗沿整个发送器-接收器路径的网络资源,只是要在接收器处被丢弃。
Ballani等人的论文“Off by default!”,4th ACM Workshop on Hot Topics in Networks HotNets 2005,College Park,MD,November 2005描述了一种IP级协议,通过该IP级协议,由终端主机信号通知并由路由器交换对不同目的地前缀的可达性约束。根据该文献,强制终端主机配置其在路由器中的可达性。
发明内容
本发明的目的在于解决上述问题中的至少一些。本发明的目的还在于获得一种用于控制IP网络中数据分组的路由以避免有害业务的机制。这些和其他目的可以主要通过提供如所附独立权利要求中所限定的方法和设备来实现。
根据一个方面,提供了一种用于控制IP网络中数据分组的路由的方法,所述方法由DNS系统执行。在本方法中,将针对相关联的第一终端主机而配置的分组接纳策略存储在DNS系统中。该策略规定了允许或不允许其他终端主机向第一终端主机传递数据分组的条件。针对第一终端主机定义了与分组接纳策略相对应的路由凭证,在导向至第一终端主机的数据分组中需要所述路由凭证或其表示以向第一终端主机路由数据分组。然后,将所述路由凭证或凭证表示分发给IP网络中的至少一个路由器。
当从第二终端主机接收到针对第一终端主机的地址查询时,如果分组接纳策略允许第二终端主机向第一终端主机传送数据分组,则将所述路由凭证或其表示提供给第二终端主机。从而,第二终端主机能够将所述路由凭证或凭证表示添加至导向至第一终端主机的任何数据分组,以通过IP网络进行接纳。另一方面,如果分组接纳策略不允许第二终端主机向第一终端主机传送数据分组,则DNS系统禁止将所述路由凭证或凭证表示提供给第二终端主机。
根据另一方面,提供了一种在DNS系统中用于控制IP网络中数据分组的路由的设备。该DNS系统设备包括:策略存储器,适于存储针对相关联的第一终端主机而配置的分组接纳策略,所述分组接纳策略规定了允许或不允许终端主机向第一终端主机传递数据分组的条件。
该DNS系统设备还包括:凭证管理器,适于针对第一终端主机来定义与分组接纳策略相对应的路由凭证,在导向至第一终端主机的数据分组中需要所述路由凭证或其表示以向第一终端主机路由数据分组。所述凭证管理器还适于将所述路由凭证或凭证表示分发给IP网络中的至少一个路由器。
该DNS系统设备还包括:地址查询管理器,适于从第二终端主机接收针对第一终端主机的地址查询,并在分组接纳策略允许第二终端主机向第一终端主机传送数据分组的情况下,将所述路由凭证或其表示提供给第二终端主机。所述地址查询管理器还适于在分组接纳策略不允许第二终端主机向第一终端主机传送数据分组的情况下,禁止将所述路由凭证或凭证表示提供给第二终端主机。
在DNS系统的上述方法和设备中可能有不同的实施例。例如,分组接纳策略可以规定以下任一项:允许哪些终端主机向第一终端主机传送数据分组;不允许哪些终端主机向第一终端主机传送数据分组;何时将数据分组接纳至第一终端主机;以及仅将有限数量、速率和/或大小的数据分组接纳至第一终端主机。
所述路由凭证可以具有有限的有效性,并可以根据包括以下任一项在内的预定方案来改变或更新:以特定的固定或变化时间间隔;在特定次数的地址查询之后;以及依赖于第二终端主机的标识。
所述地址查询管理器还可以适于向第二终端主机提供无论何时向第一终端主机发送数据分组都包括凭证或凭证表示的指令。
可以向第一终端主机通知第二终端主机已通过接收所述路由凭证而被允许传送数据分组。此外,DNS系统可以向第一终端主机发送所述路由凭证或另一相关联路由凭证,以使得能够沿相反方向将数据分组接纳至第二终端主机。
所述路由凭证还可以与IMS网络中的一个或多个IMS网关相关联,此时,可以在针对IMS服务的请求中需要所述路由凭证。
根据另一方面,提供了一种用于控制IP网络中数据分组的路由的方法,所述方法由IP网络中的路由器执行。在本方法中,维护凭证列表,所述凭证列表包括所接收的、针对第一终端主机而定义的路由凭证,在导向至第一终端主机的数据分组中需要所述路由凭证以在IP网络中路由数据分组。所述路由凭证与在DNS系统中针对第一终端主机而配置的分组接纳策略相对应,所述分组接纳策略规定了允许或不允许其他终端主机向第一终端主机传递数据分组的条件。
当从第二终端主机接收到导向至第一终端主机的数据分组时,确定所接收的数据分组是否包含能够通过检查凭证列表来验证的有效路由凭证或其表示。如果所接收的数据分组包含这种有效路由凭证或凭证表示,则向所接收的数据分组的目的地转发所接收的数据分组,而如果所接收的数据分组不包含这种有效路由凭证或凭证表示,则丢弃分组。
根据另一方面,提供了一种在路由器中用于控制IP网络中数据分组的路由的设备。该路由器设备包括:凭证存储器,具有凭证列表,所述凭证列表包括所接收的、针对第一终端主机而定义的路由凭证,在导向至第一终端主机的数据分组中需要所述路由凭证以在IP网络中路由数据分组。所述路由凭证与在DNS系统中针对第一终端主机而配置的分组接纳策略相对应,所述分组接纳策略规定了允许或不允许其他终端主机向第一终端主机传递数据分组的条件。该路由器设备还包括:入口部分,用于从第二终端主机接收导向至第一终端主机的数据分组。
该路由器设备还包括:路由控制器,适于确定所接收的数据分组是否包含能够通过检查凭证列表来验证的有效路由凭证或其表示。所述路由控制器还适于在所接收的数据分组包含这种有效路由凭证或凭证表示的情况下向所接收的数据分组的目的地转发所接收的数据分组,而在所接收的数据分组不包含这种有效路由凭证或凭证表示的情况下丢弃分组。该路由器设备还包括:出口部分,用于在接纳数据分组的情况下向数据分组的目的地发送数据分组。
在上述路由器方法和设备中可能有不同的实施例。例如,所述凭证存储器可以从DNS系统或从凭证传播过程中的另一路由器获得所述路由凭证或凭证表示。此外,如果可以接纳数据分组,则可以是通过转发表来确定下一跳。
通过以下具体描述,本发明的其他可能的特征和优点将变得显而易见。
附图说明
现在将通过示例实施例并参照附图来更详细地描述本发明,附图中:
-图1是示意了根据现有技术的IP网络中的传统路由器的示意框图。
-图2是示意了根据一个实施例可以如何控制IP网络中数据分组的路由的示意框图总览。
-图3是根据另一实施例由DNS系统执行的用于控制IP网络中数据分组的路由的过程中的步骤的流程图。
-图4是根据另一实施例由路由器执行的用于控制IP网络中数据分组的路由的过程中的步骤的流程图。
-图5是更详细示意了根据其他实施例的DNS系统和路由器的示意框图。
具体实施方式
简而言之,本发明提供了一种方案,利用现有DNS系统,基于针对终端主机而配置的分组接纳策略,定义和管理该终端主机的路由凭证。路由凭证是在IP网络中的IP路由器中分发的,并且还可以被提供给被授权向终端主机发送数据分组的实体。路由凭证将基本上采用以下更详细描述的方式,通过网络来提供对导向至相关联终端主机的数据分组的接纳。
相关联终端主机的分组接纳策略可以由规则和/或参数集合等组成,该规则和/或参数集合规定了允许终端主机向相关联终端主机传递数据分组的条件。例如,分组接纳策略可以规定允许哪些终端主机传送数据分组、不允许哪些终端主机传送数据分组和/或何时可以将数据分组接纳至相关联终端主机。分组接纳策略还可以规定仅将有限数据量、数据速率和/或分组大小允许至相关联终端主机,等等。
当终端主机向DNS系统发送针对目标终端主机的地址查询或标识查询以与目标终端主机进行通信时,DNS系统将检查目标终端主机的策略以确定是否可以通过IP网络来接纳来自进行查询的终端主机的数据分组。如果可以,则DNS系统通过将目标终端主机的IP地址以及路由凭证提供给进行查询的终端主机来进行应答。备选地,路由凭证自身可以被配置为包含嵌入式路由信息,该嵌入式路由信息表明可用于向目的地路由数据分组的目的地地址或其他路由参数。在这种情况下,DNS系统仅提供路由凭证。
然后,进行查询的终端主机可以向目标终端主机发送包含路由凭证在内的数据分组,并且在中间IP网络中,将基于有效地作为分组的“证书”或“证明”的路由凭证路由这些数据分组。自然地,如果目标终端主机不具有在DNS系统中配置的分组接纳策略,则通过IP网络向该终端主机路由分组可能不需要路由凭证。然而,一些终端主机可以服从在所通信的分组中需要有效路由凭证的一般或缺省分组接纳策略。
因此,在检查有效路由凭证的网络中的任何路由器处,将停止或丢弃导向至目标终端主机但缺少所需有效路由凭证的任何数据分组。从而,与IP网络相连接的终端主机将能够通过在DNS系统中设置分组接纳策略并需要有效路由凭证来进行路由,从而控制可以允许来自哪些其他终端主机的数据分组。尽管未授权的终端主机可以进行管理以从除DNS以外的其他位置得到目标终端主机的IP地址,但是所需的路由凭证仅可以从DNS系统得到并仅在满足分组接纳策略的情况下得到。
假定在没有有效路由凭证的情况下不能通过IP网络来路由数据分组,则基本上无需专用寻址就可以实现VPN或内网,专用寻址例如包括:终端主机组,在实现分组接纳策略的其DNS中仅允许该组内的数据分组。因此,策略规则及其中的参数将通过路由凭证来规定并限制连接性,从而对对路由凭证的访问加以限制。
因此,路由凭证可以用于“开启”或实现通信方(即,终端主机)之间的转发。可以使路由凭证是全局唯一的,并且路由凭证可以是应当实质上不可能猜测到的随机数或代码。因此,可以容易地避免所创建的路由凭证的任何重叠,从而不需要添加的标识来区分凭证,其中,是在重叠专用IP地址的情况下典型地需要这种垫片首部(shim header)。
图2是框图总览,示意性地示意了可以如何基于在包括DNS服务器层级在内的DNS系统202中针对终端主机B而定义的路由凭证来控制通过IP网络200从一个终端主机A导向至另一终端主机B的数据分组的路由,如图中示意性地指示。该过程被示作一系列动作或步骤。在第一步骤2:1中,终端主机B发起对DNS系统202中的分组接纳策略的配置,分组接纳策略规定允许哪些终端主机向终端主机B传送数据分组。备选地,网络运营商可以在步骤2:1中在DNS系统202中对针对终端主机B的分组接纳策略进行配置。此外,一般或缺省策略配置可以自动用于终端主机B,使得基本上不需要步骤2:1。
然后,在下一步骤2:2中,DNS系统202定义对终端主机B有效的对应路由凭证,在导向至终端主机B的数据分组中需要该路由凭证以通过IP网络200进行分组接纳。还可以针对特定终端主机定义多个路由凭证以提供给不同的进行查询的终端主机,使得每个凭证对于每个进行查询的终端主机来说是唯一的。
在接下来的步骤2:3中,将所定义的路由凭证或其表示分发给IP网络200中的路由器。在该步骤中,DNS系统202可以将该凭证发送至仅一个或仅一些路由器,该仅一个或仅一些路由器进而可以根据某种合适的传播方案将该凭证传播至网络中的另外的路由器,然而,这里不必进一步描述该传播方案来理解本发明。只要需要,都还可以由路由器从DNS系统202或其他位置取得该凭证。如上所示,还可以分发该凭证的合适表示,路由器可以以预定的方式从该合适表示导出实际的路由凭证。由此,在任一种情况下,所分发的路由凭证将最终存储在整个网络200中的多个路由器中。实际上,根据实现方式,与DNS系统202相关联的凭证服务器等可以负责在步骤2:3中分发凭证。
在随后的某时刻,在另一步骤2:4中,终端主机A预期要与终端主机B进行通信,并将针对终端主机B的地址查询发送至DNS系统202,基本上请求由文本串等(例如以传统电子邮件地址或web地址的方式)标识的目标终端主机B的当前目的地地址。
在接下来的步骤2:5中,DNS系统202检查先前针对终端主机B而配置的分组接纳策略,以确定是否允许终端主机A向终端主机B传送数据分组。在本示例中,终端主机A实际上满足终端主机B的分组接纳策略。因此,在下一步骤2:6中,DNS系统202可以向终端主机A发送响应,该响应包含以上在步骤2:2中定义且在步骤2:3中分发的路由凭证或该凭证的表示,在凭证自身不包括或表明有用路由信息的情况下还可能包含终端主机B的目的地地址。在该步骤中,DNS系统202还可以提供无论何时向终端主机B发送数据分组都包括凭证的指令。
终端主机A现在能够通过所获得的路由凭证或凭证表示、通过网络200向终端主机B传递数据分组。可选地,DNS系统202还可以向终端主机B通知终端主机A已接收到路由凭证从而被允许向B传送数据分组。因此,在下一步骤2:7中,终端主机A开始通信并发送导向至终端主机B的数据分组,在该分组的目的地字段中具有先前获得的路由凭证或凭证表示,并且在目的地地址未包含在凭证中的情况下,该分组还可能包括目的地地址。在图中,假定网络200包含多个路由器,包括存在于沿终端主机A和B之间的传输路径上某处的所示路由器204。
当接收到由终端主机A发出的数据分组时,IP路由器204检查针对目标终端主机B而定义的有效路由凭证或其表示是否包括在分组中。如果分组中未指示这种针对目标终端主机B而定义的路由凭证,则路由器204将丢弃该分组,从而停止进一步路由该分组。由于在这种情况下目标主机B的凭证存在于该分组中,因此可以接纳该分组以进一步路由。
因此,路由器204例如以上述方式通过传统的转发表来确定分组的下一跳,并在最后示出的步骤2:8中,将该分组相应地发送至传输路径中的下一路由器。转发操作本身可以以任何合适的方式执行,然而这是本发明范围之外的。应当理解,接收分组、检查有效路由凭证、以及在接纳时将分组转发至下一节点、或者在不接纳时丢弃分组的以上过程在传输路径中具有该功能和针对分组接纳而实现的上述路由凭证条件的任何路由器处重复。
如果在步骤2:6中将凭证的表示而不是凭证自身提供给终端主机A,则A可以简单地将其包括在发往B的任何分组中,假定传输路径中的路由器可以以预定方式从中导出实际凭证。因此,在一种可能的实现方式中,路由器可以在分发步骤2.3中接收凭证表示,并且在步骤2:7中所接收的分组可以包括另一凭证表示。如果路由器可以从所分发的凭证表示和包括在所接收的分组中的凭证表示中导出相同的有效路由凭证,则可以接纳该分组并将其转发至下一跳节点。
以上方案还可以用于增加数据分组的安全性,使得在步骤2:5中提供给终端主机A的路由凭证实际上包含两个部分:1)第一部分,以上述方式通过网络进行接纳;以及2)第二部分,包含终端主机B已知的、终端主机A用以对分组中的数据进行安全性处理的加密密钥。然后,终端主机B可以在接收到分组时对分组进行解密,而在中间网络200中并不必要解密。在这种情况下,仅必须将第一凭证部分附着至分组以用于接纳。
图3是由DNS系统(例如图2中的DNS系统200)执行的用于控制IP网络中数据分组的路由的示例过程中的步骤的流程图。在第一步骤300中,在DNS系统中针对第一终端主机配置分组接纳策略,该分组接纳策略规定了允许哪些终端主机向第一终端主机传送数据分组。策略配置可以由第一终端主机或网络运营商来发起,或者,可以针对第一终端主机自动地缺省配置预定义策略,如上所述。在DNS系统中还针对第一终端主机定义并维护路由凭证。如上所述,可以针对特定终端主机定义多个路由凭证,以便例如提供给不同的进行查询的终端主机。
在下一步骤302中,例如在上述步骤2:3中那样,将路由凭证或其表示分发给IP网络中的路由器。在该步骤中,如上所述,路由凭证也可以由路由器取得。根据路由器拓扑,可能不必将凭证分发给域中的所有路由器。然后,在某时刻,在步骤304中,从第二终端主机接收针对第一终端主机的地址查询。
然后,在接下来的步骤306中,检查上述分组接纳策略是否允许第二终端主机向第一终端主机传送数据分组。如果不允许,则在步骤308中DNS系统基本上禁止将路由凭证提供给第二终端主机。在该步骤中,向第二终端主机发送合适的响应而不具有路由所需的有效路由凭证,从而禁止第二终端主机向第一终端主机传递数据分组。该响应可以以各种不同方式来布置。例如,步骤308中的响应可以简单地拒绝地址查询或指示不允许分组传输,并且,该响应可以包括或可以不包括所请求的第一终端主机IP地址。根据另外的选项,策略可以规定:发送响应,表明基本上“不能立即接收分组,但在X分钟后再次尝试”或类似响应。
另一方面,如果策略允许从第二终端主机至第一终端主机的分组传输,则在步骤310中,在对第二终端主机的响应中,提供第一终端主机的路由凭证或其表示,可能还有其目的地地址。该响应还可以包括:将凭证或凭证表示包括在发送至第一终端主机的任何数据分组中的指令。
然后,第二终端主机可以向第一终端主机发送包括凭证或凭证表示在内的数据分组,如上所述,传输路径中的路由器将接纳并转发该数据分组。另一可选步骤312指示,DNS系统可以向第一终端主机通知已经通过所提供的IP地址和路由凭证允许第二终端主机传送数据分组。DNS系统还可以向第一终端主机发送凭证以实现安全的双向通信,或者一般也可以沿相反方向发送分组。因此,共享该凭证,并且两个终端主机都可以使用该凭证来互相传递数据分组。备选地,DNS系统可以向第一终端主机发送另一关联凭证以包括在至第二终端主机的任何分组中。在这种情况下,共享的凭证或相关联凭证对也可以由两个终端主机之间的传输路径中的路由器使用以确保对称路由,即,在期望时,分组沿两个方向都可以穿过相同的路由器集合。
图4是由IP网络中的IP路由器(例如图2中的路由器204)执行的用于控制IP网络中数据分组的路由的示例过程中的步骤的流程图。在第一步骤400中,接收针对第一终端主机而定义的路由凭证或其表示。如上所述,可以从已针对第一终端主机配置了分组接纳策略的DNS系统或者从凭证传播过程中的另一路由器接收路由凭证或凭证表示。路由器还可以从DNS系统或其他凭证处理实体取得路由凭证。然后,可以将所接收的路由凭证或凭证表示存储在IP路由器中的这种凭证或凭证表示的列表中。
在随后的某时刻,在下一步骤402中,从进行发送的第二终端主机接收导向至第一终端主机的数据分组。可能已经从第二终端主机与第一终端主机之间的传输路径中的前一路由器或另一节点转发了该分组。
然后,在下一步骤404中,确定该分组中是否包括针对第一终端主机而定义且有效的路由凭证或对应凭证表示。如果包括有效的凭证或凭证表示,则在另一步骤406中,例如通过转发表来确定传输路径中的下一跳并相应地转发该分组。另一方面,如果在步骤404中在所接收的数据分组中未包括这种有效的路由凭证或凭证表示,则在最后示出的步骤408中丢弃该分组。
图5是更详细示意了根据其他可能实施例的存在于IP网络中的DNS系统500和路由器502的示例逻辑框图。DNS系统500一般被配置为以或多或少传统的方式将目的地地址或其他有用路由信息提供给进行查询的终端主机。此外,DNS系统500还适于根据上述路由凭证方案来提供路由凭证。
DNS系统500包括:策略存储器500a,适于针对终端主机来配置并保持分组接纳策略,例如由图中所示的终端主机B或者由运营商发起的策略P,或者根据实现方式可应用于一些终端主机的一般缺省策略。DNS系统500还包括:凭证管理器500b,适于维护针对相关联分组接纳策略和终端主机而定义的路由凭证,并将凭证或其表示分发或一般地提供给IP网络中的路由器。根据实现方式,路由凭证实际上可以由凭证管理器500b或策略存储器500a来定义。
DNS系统500还包括:地址查询管理器500c,适于从终端主机接收地址查询,具体地,从终端主机A接收与目标终端主机B有关的地址查询Q。地址查询管理器500c还适于检查终端主机B的分组接纳策略P,以确定是否允许主机A向主机B发送分组。因此,如果根据所检查的策略P,允许主机A向主机B发送分组,则响应于查询,地址查询管理器500c将以上述方式将已针对目标终端主机B而定义的路由凭证V或凭证表示提供给终端主机A。在这种情况下,地址查询管理器500c将从凭证管理器500b取得路由凭证V。地址查询管理器500c还将目标终端主机B的目的地地址或者表明可用于路由数据分组的目的地的其他路由信息提供给终端主机A(作为单独的信息或以合适的方式嵌入路由凭证中)。
路由器502包括:凭证存储器502a,保持对在DNS系统500中配置有分组接纳策略P的不同终端用户有效的路由凭证的列表。存储器502a中的路由凭证或其表示可能已从凭证管理器500b分发或取得。路由器502还包括:路由控制器502b,适于根据存储器502a中的凭证列表,根据存在或不存在有效路由凭证或凭证表示来确定在入口部分502c处接收的数据分组是否可以被接纳以通过出口部分502d向其目的地进行路由。
因此,当接收到导向至目标终端主机的数据分组时,路由控制器502b适于检测路由凭证或凭证表示的存在,并在凭证存储器502a中检查该路由凭证或凭证表示是否对目标终端主机有效。更具体地,如果在分组中找到路由凭证或凭证表示,则路由控制器502b将在接纳该分组以进一步路由之前,检查该路由凭证是否还存在于存储器502a中以及其还与目标终端主机相对应。否则,将丢弃该分组。如上所述,可以以传统的方式通过转发表来确定下一跳。路由控制器502b可以在转发单元等中实现。
应当注意,图5仅在逻辑意义上示意了各种功能单元,而本领域技术人员实际上可以使用任何合适的软件和硬件装置来自由地实现这些功能。因此,本发明一般不限于DNS系统500和路由器502的所示结构。
还可以在如下的IMS(IP多媒体子系统)的概念中应用上述方案。如本领域公知,IMS服务一般是通过SIP(会话发起协议)来控制的。IMS系统包括具有不同功能的各种网关,例如用于进行代码转换和会议的设备。如果将这些网关附着至公共IP网络,则它们可能受到“拒绝服务”攻击,该攻击可能降低总体服务质量。然而,通过还对IMS服务请求以上述方式需要有效的路由凭证以便接纳请求,可以容易地避免这种攻击以改进网络的质量。
与IMS网关相关联的路由凭证最初不为任何进行服务请求的终端主机所知,因此,根据对应的分组接纳策略,必须从DNS系统获得有效路由凭证,从而消费IMS服务。这意味着,除非从服务接收到许可,否则不能够达到或访问IMS服务基础结构。
当在称作“CSCF”(呼叫会话控制功能)的SIP会话控制服务器处从终端主机接收到SIP请求时,并且如果在有效载荷传输路径中需要网关,则向DNS系统发送查询以获得对网关有效的路由凭证。然后,将该路由凭证封装入发送至终端主机的DNS应答中。可以由终端主机或SIP服务器向DNS系统发送查询。为了确保没有未授权的终端主机获得DNS应答,可以使SIP服务器负责对DNS进行查询。
在接收到DNS应答之后,凭证将从而被进行服务请求的终端主机所知。分组接纳策略可以具有用于规定特定限制条件的规则,例如仅允许特定分组速率或数量或将凭证限于仅一个会话,以避免该终端主机对凭证的任意后续滥用。凭证还可以具有有限的有效时段,并可以根据预定方案进行改变,使得必须在前一凭证已到期之后获得新凭证。这还将减少对凭证的任意过度滥用。
通过根据如互联网之类的公共IP网络的基础结构中的上述实施例中的任一个来实现本发明,可以在现有DNS系统中针对终端主机来配置分组接纳策略,以控制允许哪些其他终端主机传送数据分组。从而,可以通过该策略来防止对来自潜在非法或恶意终端用户的数据分组进行路由。此外,利用现有DNS系统,以所描述的方式来执行这种策略也是一种优点,由于这是一种完好建立的系统,用于一般将目标终端主机的目的地地址(或IP地址)提供给进行查询的终端主机。
针对相关联终端主机的分组接纳策略中的规则的一些示例可以包括:
-设置对同时提供给特定的进行查询的终端主机的路由凭证的最大数目的限制。
-设置对地址查询的速率的限制。如果太过频繁地对终端主机的目的地地址进行查询,则可以使用这种速率限制来避免“拒绝服务”攻击。
-根据对用户组的定义(例如,在VPN的情况下是封闭的用户组),拒绝终端主机获得路由凭证。用户组之外的终端主机不应当获得路由凭证。
-根据日、周或季的时间,应用分组接纳策略中的不同规则或参数。
-规定包含路由凭证在内的任何数据分组的转发优先级,这是在转发分组时在路由器中执行的。
-在将路由凭证提供给终端主机以接纳通信之前,需要货币抵押。此时,如果该通信被认为在某方面对进行接收的终端主机有害,则可以保留抵押金额。
终端主机还可以接纳来自任何其他终端主机的分组,只要可以跟踪进行发送的终端主机(例如需要通过在DNS系统处进行认证)。路由凭证还可以具有有限的有效性,并可以根据预定方案而改变或更新,以便限制当将凭证提供给进行查询的终端主机时对凭证的任意过度滥用。用于改变或更新凭证的预定方案可以包括以下任一项:以特定的固定或变化时间间隔;在特定次数的地址查询之后(例如在每次地址查询时);或者依赖于第二终端主机的标识。
本发明提供了一种用于在IP基础结构中控制数据分组的路由,以防止在网络中路由来自潜在地非法或恶意的终端用户的分组的机制。因此,该机制可以用于避免洪泛、垃圾信息、病毒、欺诈、DoS攻击和一般未经请求的业务。
尽管参照特定示例实施例描述了本发明,但是一般来说,该描述仅意在示意本发明的概念,而不应被视为限制本发明的范围。本发明由所附权利要求来限定。
Claims (19)
1.一种用于控制IP网络(200)中数据分组的路由的方法,所述方法包括由DNS系统(202)执行的以下步骤:
-将针对相关联的第一终端主机(B)而配置的分组接纳策略存储在DNS系统中,所述策略规定了允许或不允许其他终端主机向第一终端主机传递数据分组的条件;
-针对第一终端主机定义与分组接纳策略相对应的路由凭证,在导向至第一终端主机的数据分组中需要所述路由凭证或凭证表示以向第一终端主机路由所述数据分组;
-将所述路由凭证或凭证表示分发给IP网络中的至少一个路由器(204);
-从第二终端主机(A)接收针对第一终端主机的地址查询;
-如果分组接纳策略允许第二终端主机向第一终端主机传送数据分组,则将所述路由凭证或凭证表示提供给第二终端主机,其中,第二终端主机能够将所述路由凭证或凭证表示添加至导向至第一终端主机的任何数据分组,以通过IP网络进行接纳;以及
-如果分组接纳策略不允许第二终端主机向第一终端主机传送数据分组,则禁止将所述路由凭证或凭证表示提供给第二终端主机。
2.根据权利要求1所述的方法,其中,分组接纳策略规定了以下任一项:允许哪些终端主机向第一终端主机传送数据分组;不允许哪些终端主机向第一终端主机传送数据分组;何时将数据分组接纳至第一终端主机;以及仅将有限数量、速率和/或大小的数据分组接纳至第一终端主机。
3.根据权利要求1或2所述的方法,其中,所述路由凭证具有有限的有效性,并根据包括以下任一项在内的预定方案而改变或更新:以特定的固定或变化时间间隔;在特定次数的地址查询之后;以及依赖于第二终端主机的标识。
4.根据权利要求1至3中任一项所述的方法,其中,所述路由凭证包括:第一部分,用于通过网络进行接纳;以及第二部分,包含第一终端主机已知的、第二终端主机用以对分组中的数据进行安全性处理的加密密钥。
5.根据权利要求1至4中任一项所述的方法,其中,所述路由凭证还与IMS网络中的一个或多个IMS网关相关联,并且在针对IMS服务的请求中需要所述路由凭证。
6.一种在DNS系统(500)中用于控制IP网络中数据分组的路由的设备,所述设备包括:
-策略存储器(500a),适于存储针对相关联的第一终端主机(B)而配置的分组接纳策略,所述策略规定了允许或不允许终端主机向第一终端主机传递数据分组的条件;
-凭证管理器(500b),适于:针对第一终端主机来定义与分组接纳策略相对应的路由凭证,在导向至第一终端主机的数据分组中需要所述路由凭证或凭证表示以向第一终端主机路由所述数据分组;以及将所述路由凭证或凭证表示分发给IP网络中的至少一个路由器(204);
-地址查询管理器(500c),适于:从第二终端主机(A)接收针对第一终端主机的地址查询;在分组接纳策略允许第二终端主机向第一终端主机传送数据分组的情况下,将所述路由凭证或凭证表示提供给第二终端主机(A),其中,第二终端主机能够将所述路由凭证或凭证表示添加至导向至第一终端主机的任何数据分组以通过IP网络进行接纳;以及在分组接纳策略不允许第二终端主机向第一终端主机传送数据分组的情况下,禁止将所述路由凭证或凭证表示提供给第二终端主机。
7.根据权利要求6所述的设备,其中,分组接纳策略规定了以下任一项:允许哪些终端主机向第一终端主机传送数据分组;不允许哪些终端主机向第一终端主机传送数据分组;何时将数据分组接纳至第一终端主机;以及仅将有限数量、速率和/或大小的数据分组接纳至第一终端主机。
8.根据权利要求6或7所述的设备,其中,分组接纳策略包括以下任一项:
-设置对同时提供给特定终端主机的路由凭证或凭证表示的最大数目的限制;
-设置对地址查询的速率的限制以避免太过频繁地对终端主机的目的地地址进行查询;
-根据对用户组的定义来提供路由凭证或凭证表示,使得用户组之外的终端主机不会获得路由凭证;
-根据日、周或季的时间,应用分组接纳策略中的不同规则或参数;
-规定包含所述路由凭证或凭证表示在内的任何数据分组的转发优先级;以及
-在将路由凭证或凭证表示提供给终端主机之前,需要货币抵押。
9.根据权利要求6至8中任一项所述的设备,其中,所述路由凭证具有有限的有效性,并根据包括以下任一项在内的预定方案而改变或更新:以特定的固定或变化时间间隔;在特定次数的地址查询之后;以及依赖于第二终端主机的标识。
10.根据权利要求6至9中任一项所述的设备,其中,所述地址查询管理器还适于向第二终端主机提供无论何时向第一终端主机发送数据分组都包括所述凭证或凭证表示的指令。
11.根据权利要求6至10中任一项所述的设备,其中,所述路由凭证包括:第一部分,用于通过网络进行接纳;以及第二部分,包含第一终端主机已知的、第二终端主机用以对分组中的数据进行安全性处理的加密密钥。
12.根据权利要求6至11中任一项所述的设备,其中,所述设备适于向第一终端主机通知第二终端主机已通过接收所述路由凭证而被允许传送数据分组。
13.根据权利要求12所述的设备,其中,所述设备还适于向第一终端主机发送所述路由凭证或另一关联路由凭证,以使得能够沿相反方向将数据分组接纳至第二终端主机。
14.根据权利要求6至13中任一项所述的设备,其中,所述路由凭证还与IMS网络中的一个或多个IMS网关相关联,并且在针对IMS服务的请求中需要所述路由凭证。
15.一种用于控制IP网络(200)中数据分组的路由的方法,所述方法包括由IP网络中的路由器(204)执行的以下步骤:
-维护凭证列表,所述凭证列表包括所接收的、针对第一终端主机(B)而定义的路由凭证,在导向至第一终端主机的数据分组中需要所述路由凭证以在IP网络中路由所述数据分组,所述路由凭证与在DNS系统中针对第一终端主机而配置的分组接纳策略相对应,所述分组接纳策略规定了允许或不允许其他终端主机向第一终端主机传递数据分组的条件;
-从第二终端主机(A)接收导向至第一终端主机的数据分组;
-确定所接收的数据分组是否包含能够通过检查凭证列表来验证的有效路由凭证或凭证表示;
-如果所接收的数据分组包含这种有效路由凭证或凭证表示,则向所接收的数据分组的目的地转发所接收的数据分组;以及
-如果所接收的数据分组不包含这种有效路由凭证或凭证表示,则丢弃分组。
16.根据权利要求15所述的方法,其中,已经从DNS系统或从凭证传播过程中的另一路由器获得所述路由凭证或凭证表示。
17.一种在路由器(204)中用于控制IP网络(200)中数据分组的路由的设备,所述设备包括:
-凭证存储器(502a),具有凭证列表,所述凭证列表包括所接收的、针对第一终端主机而定义的路由凭证,在导向至第一终端主机的数据分组中需要所述路由凭证以在IP网络中路由所述数据分组,所述路由凭证与在DNS系统中针对第一终端主机而配置的分组接纳策略相对应,所述策略规定了允许或不允许其他终端主机向第一终端主机传递数据分组的条件;
-入口部分(502c),用于从第二终端主机接收导向至第一终端主机的数据分组;
-路由控制器(502b),适于:确定所接收的数据分组是否包含能够通过检查凭证列表来验证的有效路由凭证或凭证表示;在所接收的数据分组包含这种有效路由凭证或凭证表示的情况下,向所接收的数据分组的目的地转发所接收的数据分组;以及在所接收的数据分组不包含这种有效路由凭证或凭证表示的情况下丢弃分组;以及
-出口部分(502d),用于在接纳数据分组的情况下向数据分组的目的地发送数据分组。
18.根据权利要求17所述的设备,其中,所述凭证存储器还适于从DNS系统或从凭证传播过程中的另一路由器获得所述路由凭证或凭证表示。
19.根据权利要求17或18所述的设备,其中,所述设备适于在能够接纳数据分组的情况下通过转发表来确定下一跳。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/SE2008/050599 WO2009142561A1 (en) | 2008-05-22 | 2008-05-22 | Method and apparatus for controlling the routing of data packets |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102027726A true CN102027726A (zh) | 2011-04-20 |
CN102027726B CN102027726B (zh) | 2014-01-15 |
Family
ID=41340340
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200880129241.9A Active CN102027726B (zh) | 2008-05-22 | 2008-05-22 | 用于控制数据分组的路由的方法和设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8649378B2 (zh) |
EP (1) | EP2279599B1 (zh) |
CN (1) | CN102027726B (zh) |
WO (1) | WO2009142561A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107257331A (zh) * | 2012-04-20 | 2017-10-17 | 瑞典爱立信有限公司 | 用于提供ip服务应用的方法、设备、网络实体和计算机程序产品 |
US10893109B2 (en) | 2012-04-20 | 2021-01-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, device, network entity and computer program product for providing an IP service application |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ES2609521T3 (es) * | 2010-12-13 | 2017-04-20 | Nec Corporation | Sistema de control de ruta de comunicación, dispositivo de control de ruta, método de control de ruta de comunicación, y programa de control de ruta |
CA2982827A1 (en) * | 2015-04-17 | 2016-10-20 | Level 3 Communications, Llc | Illicit route viewing system and method of operation |
US9930004B2 (en) * | 2015-10-13 | 2018-03-27 | At&T Intellectual Property I, L.P. | Method and apparatus for expedited domain name system query resolution |
US20220377006A1 (en) * | 2021-05-14 | 2022-11-24 | The Regents Of The University Of California | Techniques for safe acyclic routing in a communications network |
US20230396586A1 (en) * | 2022-06-07 | 2023-12-07 | Centurylink Intellectual Property Llc | Intelligent firewall using identification of valid traffic |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040098485A1 (en) * | 1998-10-30 | 2004-05-20 | Science Applications International Corporation | Agile network protocol for secure communications using secure domain names |
WO2007035655A2 (en) * | 2005-09-16 | 2007-03-29 | The Trustees Of Columbia University In The City Of New York | Using overlay networks to counter denial-of-service attacks |
CN101044735A (zh) * | 2004-06-29 | 2007-09-26 | 达马卡公司 | 用于对等混合通信的系统和方法 |
CN101166139A (zh) * | 2006-08-04 | 2008-04-23 | 阿尔卡特朗讯 | 用于接入网络的路由设备、路由模块以及路由方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2787267B1 (fr) * | 1998-12-14 | 2001-02-16 | France Telecom | Dispositif et procede de traitement d'une sequence de paquets d'information |
EP2403219B1 (en) * | 2001-09-28 | 2014-10-22 | Level 3 CDN International, Inc. | Method for name to address resolution |
WO2004023263A2 (en) * | 2002-09-09 | 2004-03-18 | Netrake Corporation | System for allowing network traffic through firewalls |
US7269348B1 (en) * | 2002-11-18 | 2007-09-11 | At&T Corp. | Router having dual propagation paths for packets |
US20050132060A1 (en) * | 2003-12-15 | 2005-06-16 | Richard Mo | Systems and methods for preventing spam and denial of service attacks in messaging, packet multimedia, and other networks |
WO2008147302A1 (en) | 2007-05-09 | 2008-12-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for protecting the routing of data packets |
-
2008
- 2008-05-22 EP EP08767160.8A patent/EP2279599B1/en not_active Not-in-force
- 2008-05-22 WO PCT/SE2008/050599 patent/WO2009142561A1/en active Application Filing
- 2008-05-22 CN CN200880129241.9A patent/CN102027726B/zh active Active
- 2008-05-22 US US12/993,674 patent/US8649378B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040098485A1 (en) * | 1998-10-30 | 2004-05-20 | Science Applications International Corporation | Agile network protocol for secure communications using secure domain names |
CN101044735A (zh) * | 2004-06-29 | 2007-09-26 | 达马卡公司 | 用于对等混合通信的系统和方法 |
WO2007035655A2 (en) * | 2005-09-16 | 2007-03-29 | The Trustees Of Columbia University In The City Of New York | Using overlay networks to counter denial-of-service attacks |
CN101166139A (zh) * | 2006-08-04 | 2008-04-23 | 阿尔卡特朗讯 | 用于接入网络的路由设备、路由模块以及路由方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107257331A (zh) * | 2012-04-20 | 2017-10-17 | 瑞典爱立信有限公司 | 用于提供ip服务应用的方法、设备、网络实体和计算机程序产品 |
CN107257331B (zh) * | 2012-04-20 | 2021-01-01 | 瑞典爱立信有限公司 | 用于提供ip服务应用的方法、设备和存储介质 |
US10893109B2 (en) | 2012-04-20 | 2021-01-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, device, network entity and computer program product for providing an IP service application |
Also Published As
Publication number | Publication date |
---|---|
CN102027726B (zh) | 2014-01-15 |
US8649378B2 (en) | 2014-02-11 |
EP2279599A4 (en) | 2013-12-25 |
US20110064085A1 (en) | 2011-03-17 |
WO2009142561A1 (en) | 2009-11-26 |
EP2279599A1 (en) | 2011-02-02 |
EP2279599B1 (en) | 2015-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101682656B (zh) | 用于保护数据分组的路由选择的方法和设备 | |
EP2345212B1 (en) | Method and apparatus for forwarding data packets using aggregating router keys | |
CN102132532B (zh) | 用于避免不需要的数据分组的方法和装置 | |
CN1531284B (zh) | 网络基础结构的保护及控制信息的安全通信 | |
Clark et al. | Addressing reality: an architectural response to real-world demands on the evolving internet | |
CN1640090B (zh) | 分布式服务拒绝攻击的安全的自动化的响应装置与方法 | |
CN102027726B (zh) | 用于控制数据分组的路由的方法和设备 | |
Jen et al. | APT: A practical tunneling architecture for routing scalability | |
JP2012529812A (ja) | ネットワークにおけるパケットルーティング | |
EP1284558B1 (en) | Method and apparatus for protecting electronic commerce sites from distributed denial-of-service attacks | |
Hsiao et al. | STRIDE: sanctuary trail--refuge from internet DDoS entrapment | |
CN111726368A (zh) | 一种基于SRv6的域间源地址验证的方法 | |
CN100446505C (zh) | 提高骨干网络安全性的实现方法 | |
US20090080416A1 (en) | Mechanism for Protecting H.323 Networks for Call Set-Up Functions | |
US8688077B2 (en) | Communication system and method for providing a mobile communications service | |
Rhee | Wireless Mobile Internet Security | |
Jacobson | Introduction to network security | |
Motivated et al. | Security and Protocols | |
Zhao et al. | Source prefix filtering in ROFL | |
Wilbur et al. | Mac layer security measures in local area networks | |
Ramjee | ACACIA: A Certificate-based Access-Controlled Internet Architecture | |
Böttger | ROUTING SECURITY | |
Mohanta et al. | SECURITY EFFICIENCY AND DDOS ATTACK IN THE NDN FRAMEWORK | |
Sisalem et al. | Deliverable no.: D2. 1 Title of the deliverable: Towards a Secure and Reliable VoIP Infrastructure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |