CN102035801B - 一种用于防止攻击的方法和装置 - Google Patents
一种用于防止攻击的方法和装置 Download PDFInfo
- Publication number
- CN102035801B CN102035801B CN200910177249.9A CN200910177249A CN102035801B CN 102035801 B CN102035801 B CN 102035801B CN 200910177249 A CN200910177249 A CN 200910177249A CN 102035801 B CN102035801 B CN 102035801B
- Authority
- CN
- China
- Prior art keywords
- equipment
- media gateway
- token
- attack
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明涉及一种用于防止攻击的方法和装置,其中,该方法包括步骤:计算指定字符串的哈希值,作为第一设备欲发送给第二设备的媒体网关控制协议消息的攻击防止令牌,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息形成,其中,所述攻击防止令牌将与所述媒体网关控制协议消息一起被发送给所述第二设备。利用该方法和装置,能够减少或避免媒体网关控制协议受到攻击。
Description
技术领域
本发明涉及一种用于防止攻击的方法和装置。
背景技术
下一代网络(NGN)是一个以分组网络为承载,提供固定和移动话音、数据和视频业务等多种业务的业务融合网络。媒体网关控制器(MGC)和媒体网关(MG)是分组网络中的两个重要设备,其中,媒体网关负责业务承载功能,用于将不同的接入方式转化为适合在IP(Internet Protocol)网络上传送的实时传输协议流(Real-time Transport Protocol),而媒体网关控制器负责呼叫控制功能,用于实现呼叫控制平面和业务承载平面的分离。
媒体网关控制(MEGACO)协议是媒体网关控制器和媒体网关之间通信的主要协议。按照媒体网关控制协议,媒体网关控制器和媒体网关之间通过诸如添加(Add)、修改(Modify)、删除(Subtract)和服务改变(ServiceChange)等这样的各种媒体网关控制协议消息来进行通信,以实现各种功能。例如,媒体网关可以通过服务改变消息来请求媒体网关控制器进行注册和去注册,媒体网关控制器可以通过修改消息来指示媒体网关把用户的状态修改为呼叫忙,媒体网关可以通过删除消息来请求媒体网关控制器删除通话结束的呼叫。
由于媒体网关控制器和媒体网关之间是通过各种媒体网关控制协议消息来进行通信以实现各种功能的,因此,如果媒体网关控制(MEGACO)协议没有安全机制,那么当网络中存在未授权的媒体网关或未授权的媒体网关控制器时,媒体网关控制协议很容易受到未授权的媒体网关或未授权的媒体网关控制器的攻击。例如,未授权的媒体网关可以冒充授权的媒体网关通过服务改变请求授权的媒体网关控制器对该授权的媒体网关进行去注册以实现去注册攻击;未授权的媒体网关控制器可以通过修改消息来通知一个授权的媒体网关呼叫忙以实现呼叫忙攻击,使得用户不能利用该授权的媒体网关来进行电话呼叫;未授权的媒体网关可以可以通过删除消息来请求授权的媒体网关控制器删除呼叫以实现呼叫删除攻击,从而干扰授权的呼叫;以及,未授权的媒体网关可以获取授权的媒体网关发送给授权的媒体网关控制器的消息,然后把所获取的消息再次发送给授权的媒体网关控制器以实现重放攻击。
为了防止媒体网关控制协议受到未授权的媒体网关或媒体网关控制器利用媒体网关控制协议的攻击,现有的媒体网关控制协议采用了一些相应的安全机制。
现有的媒体网关控制协议采用的其中一种安全机制是使用网络地址来进行身份认证。具体地,授权的媒体网关控制器预先建立一个白名单列表,用于存储各个授权的媒体网关的网络地址;然后,当该授权的媒体网关控制器收到一个媒体网关发送的消息时,该授权的媒体网关控制器判断该百名单列表中是否包括有所接收的消息中包含的该媒体网关的网络地址;接着,如果判断结果为肯定,则表明该媒体网关为授权的媒体网关,该授权的媒体网关控制器就会根据所接收的消息执行相应的操作,而如果判断结果为否定,则表明该媒体网关为未授权的媒体网关,该授权的媒体网关控制器不会执行与所接收的消息相应的操作。然而,由于消息中所包含的网络地址很容易被欺骗(假冒),所以这种安全机制并不能保护媒体网关控制协议免受上述攻击。
现有的媒体网关控制协议采用的另一种安全机制是使用IPsec(IP层协议安全架构)来保护授权的媒体网关和授权的媒体网关控制器之间的通信。然而,由于服务质量(QoS)的要求,所以在采用媒体网关控制协议的网络中,很难部署IPsec。
发明内容
考虑到现有技术的上述问题,本发明的实施例提供一种用于防止攻击的方法和装置,利用该方法和装置,能够减少或避免媒体网关控制协议受到攻击。
按照本发明的一种用于防止攻击的方法,包括步骤:计算指定字符串的哈希值,作为第一设备欲发送给第二设备的媒体网关控制协议消息的攻击防止令牌,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息形成,其中,所述攻击防止令牌用于与所述媒体网关控制协议消息一起被发送给所述第二设备。
按照本发明的一种用于防止攻击的方法,包括步骤:当第二设备接收到第一设备发送的媒体网关控制协议消息和包括有哈希值的攻击防止令牌时,计算指定字符串的哈希值,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述接收的媒体网关控制协议消息形成;判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同;以及,当判断结果为肯定时,确定所述第一设备是授权的设备。
按照本发明的一种用于防止攻击的装置,包括:计算模块,用于计算指定字符串的哈希值,作为第一设备欲发送给第二设备的媒体网关控制协议消息的攻击防止令牌,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息形成,其中,所述攻击防止令牌用于与所述媒体网关控制协议消息一起被发送给所述第二设备。
按照本发明的一种用于防止攻击的装置,包括:计算模块,用于当第二设备接收到第一设备发送的媒体网关控制协议消息和包括有哈希值的攻击防止令牌时,计算指定字符串的哈希值,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述接收的媒体网关控制协议消息形成;判断模块,用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同;以及,确定模块,用于当判断结果为肯定时,确定所述第一设备是授权的设备。
按照本发明的一种第一设备,包括:存储模块,用于存储所述第一设备和第二设备共享的密钥;攻击防止模块,包括:计算模块,用于计算指定字符串的哈希值,作为所述第一设备欲发送给所述第二设备的媒体网关控制协议消息的攻击防止令牌,其中,所述指定字符串由所述存储模块所存储的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息形成;以及,通信模块,用于向所述第二设备发送所述媒体网关控制协议消息和所述攻击防止令牌。
按照本发明的一种第二设备,包括:存储模块,用于存储所述第二设备和第一设备共享的密钥;通信模块,用于接收所述第一设备发送的媒体网关控制协议消息和包括有哈希值的攻击防止令牌;攻击防止模块,包括:计算模块,用于计算指定字符串的哈希值,其中,所述指定字符串由所述存储模块所存储的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述接收的媒体网关控制协议消息形成;判断模块,用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同;以及,确定模块,用于当判断结果为肯定时,确定所述第一设备是授权的设备;以及,执行模块,用于当确定所述第一设备是授权的设备时,执行与所述接收的媒体网关控制协议消息相应的操作。
附图说明
本发明的上述目的和其它目的、特征及优点将通过以下结合附图的详细描述将变得更加显而易见。其中:
图1是示出按照本发明一个实施例的媒体网关的结构示意图;
图2是示出按照本发明一个实施例的媒体网关控制器的结构示意图;
图3是示出按照本发明一个实施例的在媒体网关作为发送方和媒体网关控制器作为接收方的情况下用于防止攻击的方法的流程图;以及
图4是示出按照本发明一个实施例的在媒体网关作为接收方和媒体网关控制器作为发送方的情况下用于防止攻击的方法的流程图。
具体实施方式
下面,将详细描述本发明的各个实施例。
按照本发明一个实施例,在媒体网关控制协议中引入与各种媒体网关控制协议消息一起发送的攻击防止(AP:Attack Prevention)令牌,接收到AP令牌的设备(媒体网关或媒体网关控制器)根据所接收的AP令牌来确定发送该AP令牌和媒体网关控制协议消息的设备(媒体网关控制器或媒体网关)是否是授权的设备。
AP令牌包括随机数R、时间戳T和哈希(Hash)值H,其中,哈希值H是通过采用诸如MD4、MD5或SHS等这样的哈希算法,对由密钥K、媒体网关的标识MGId、时间戳T、媒体网关控制协议消息和随机数R所形成的字符串S进行哈希计算而得到。密钥K是媒体网关和媒体网关控制器共享的密钥并且媒体网关和媒体网关控制器预先都存储有密钥K,媒体网关的标识MGId是媒体网关的网络地址和端口号。
图1是示出按照本发明一个实施例的媒体网关的结构示意图。在图1中,只示出与本实施例相关的模块,与本实施例不相关的模块没有示出。
如图1所示,媒体网关10包括通信模块12、存储模块14、攻击防止模块16和执行模块18。
其中,通信模块12用于接收媒体网关控制器发送的媒体网关控制协议消息和AP令牌,或者向媒体网关控制器发送媒体网关控制协议消息和AP令牌。
存储模块14用于存储媒体网关10和媒体网关控制器共享的密钥K、媒体网关10从媒体网关控制器接收到的表示最新时间的最新时间戳、以及媒体网关10以前从媒体网关控制器接收到的各个随机数。
攻击防止模块16用于当媒体网关10欲向媒体网关控制器发送媒体网关控制协议消息时,生成与该媒体网关控制协议消息一起发送的AP令牌,以及当媒体网关10接收到来自媒体网关控制器的媒体网关控制协议消息和AP令牌时,利用该接收的AP令牌和存储模块14所存储的密钥K、最新时间戳和随机数,确定该媒体网关控制器是否是授权的设备。
执行模块18用于当媒体网关10接收到来自媒体网关控制器的媒体网关控制协议消息和AP令牌,并且攻击防止模块16确定该媒体网关控制器是授权的设备时,执行与该接收的媒体网关控制协议消息相应的操作。
图2是示出按照本发明一个实施例的媒体网关控制器的结构示意图。在图2中,只示出与本实施例相关的模块,与本实施例不相关的模块没有示出。
如图2所示,媒体网关控制器20包括通信模块22、存储模块24、攻击防止模块26和执行模块28。
其中,通信模块22用于接收媒体网关10发送的媒体网关控制协议消息和AP令牌,或者向媒体网关10发送媒体网关控制协议消息和AP令牌。
存储模块24用于存储媒体网关10与媒体网关控制器20共享的密钥K、媒体网关控制器20从媒体网关10接收到的最新时间戳、以及媒体网关控制器20以前从媒体网关10接收到的各个随机数。
攻击防止模块26用于当媒体网关控制器20欲向媒体网关10发送媒体网关控制协议消息时,生成与该媒体网关控制协议消息一起发送的AP令牌,以及当媒体网关控制器20接收到来自媒体网关10的媒体网关控制协议消息和AP令牌时,利用该接收的AP令牌和存储模块24所存储的密钥K、最新时间戳和随机数,确定媒体网关10是否是授权的设备。
执行模块28用于当媒体网关控制器20接收到来自媒体网关10的媒体网关控制协议消息和AP令牌,并且攻击防止模块26确定媒体网关10是授权的设备时,执行与该接收的媒体网关控制协议消息相应的操作。
图3是示出按照本发明一个实施例的在媒体网关作为发送方和媒体网关控制器作为接收方的情况下用于防止攻击的方法的流程图。如图3所示,当媒体网关10欲向媒体网关控制器20发送一个媒体网关控制协议消息X1以请求媒体网关控制器20执行与媒体网关控制协议消息X1相应的操作时,媒体网关10的攻击防止模块16产生随机数R以及根据当前时间产生时间戳T(步骤S300)。
接着,媒体网关10的攻击防止模块16使用媒体网关10的存储模块14存储的密钥K、媒体网关10的标识MGId、所产生的时间戳T、媒体网关控制协议消息X1和所产生的随机数R来形成字符串S1(步骤S310)。在这里,媒体网关10的标识MGId是媒体网关10的网络地址和端口号,以及,在所形成的字符串S1中,密钥K、标识MGId、时间戳T、媒体网关控制协议消息X1和随机数R之间的位置关系可以根据需要在媒体网关10和媒体网关控制器20之间预先确定。
然后,媒体网关10的攻击防止模块16使用预先指定的哈希算法SF对所形成的字符串S1进行哈希计算,以计算得到哈希值H1(步骤S320)。
接下来,媒体网关10的通信模块12向媒体网关控制器20发送媒体网关控制协议消息X1和AP令牌(步骤S330)。其中,该AP令牌包括所产生的随机数R、所产生的时间戳T和所计算得到的哈希值H1。
在媒体网关控制器20的通信模块22接收到媒体网关10发送的媒体网关控制协议消息X1和AP令牌后,媒体网关控制器20的攻击防止模块26使用媒体网关控制器20的存储模块24预先存储的密钥K、媒体网关10的标识MGId、所接收的AP令牌中包括的时间戳T、媒体网关控制协议消息X1和所接收的AP令牌中包括的随机数R来形成字符串S2(步骤S340)。其中,媒体网关10的标识MGId是媒体网关10的网络地址和端口号,媒体网关控制器20的攻击防止模块26可以从所接收的承载媒体网关控制协议消息X1中获取媒体网关10的网络地址和端口号。
媒体网关控制器20的攻击防止模块26使用与媒体网关10所使用的相同哈希算法SF对所形成的字符串S2进行哈希计算,以计算得到哈希值H2(步骤S350)。
媒体网关控制器20的攻击防止模块26判断所计算的哈希值H2与所接收的AP令牌中包括的哈希值H1是否相同、存储模块24所存储的各个随机数中是否不包含有所接收的AP令牌中包括的随机数、以及存储模块24所存储的最新时间戳所表示的时间是否早于所接收的AP令牌中包括的时间戳所表示的时间(步骤S360)。
如果步骤S360的判断结果为否定,即:所计算的哈希值H2与所接收的AP令牌中包括的哈希值H1不相同、存储模块24所存储的各个随机数中包含有所接收的AP令牌中包括的随机数、或者存储模块24所存储的最新时间戳所表示的时间不早于所接收的AP令牌中包括的时间戳所表示的时间,则媒体网关控制器20的攻击防止模块26确定媒体网关10不是授权的设备,流程结束。
如果步骤S360的判断结果为肯定,即:所计算的哈希值H2与所接收的AP令牌中包括的哈希值H1相同、存储模块24所存储的各个随机数中不包含有所接收的AP令牌中包括的随机数以及存储模块24所存储的最新时间戳所表示的时间早于所接收的AP令牌中包括的时间戳所表示的时间,则媒体网关控制器20的攻击防止模块26确定媒体网关10是授权的设备(步骤S370)。
当媒体网关控制器20的攻击防止模块26确定媒体网关10是授权的设备时,媒体网关控制器20的执行模块28执行与所接收的媒体网关控制协议消息相应的操作,并且把所接收的AP令牌中包括的时间戳存储在存储模块24中以替换原来存储的最新时间戳,以及把所接收的AP令牌中包括的随机数作为媒体网关控制器20从媒体网关10接收的随机数存储在存储模块24中(步骤S380)。在这里,执行与所接收的媒体网关控制协议消息相应的操作例如是,当所接收的媒体网关控制协议消息是表示注册的服务改变消息时执行注册操作,当所接收的媒体网关控制协议消息是表示去注册的服务改变消息时执行去注册操作。
在执行与所接收的媒体网关控制协议消息相应的操作之后,媒体网关控制器20的执行模块28经由通信模块22向媒体网关10发送一个表示成功执行操作的应答消息(步骤S390)。
图4是示出按照本发明一个实施例的在媒体网关作为接收方和媒体网关控制器作为发送方的情况下用于防止攻击的方法的流程图。如图4所示,当媒体网关控制器20欲向媒体网关10发送一个媒体网关控制协议消息X2以指示媒体网关10执行与媒体网关控制协议消息X2相应的操作时,媒体网关控制器20的攻击防止模块26产生随机数R以及根据当前时间产生时间戳T(步骤S400)。
接着,媒体网关控制器20的攻击防止模块26使用存储模块24存储的密钥K、媒体网关10的标识MGId、所产生的时间戳T、媒体网关控制协议消息X2和所产生的随机数R来形成字符串S3(步骤S410)。在这里,媒体网关10的标识MGId是媒体网关10的网络地址和端口号,以及,在所形成的字符串S3中,密钥K、标识MGId、时间戳T、媒体网关控制协议消息X2和随机数R之间的位置关系可以根据需要在媒体网关10和媒体网关控制器20之间预先确定。
然后,媒体网关控制器20的攻击防止模块26使用预先指定的哈希算法SF对所形成的字符串S3进行哈希计算,以计算得到哈希值H3(步骤S420)。
接下来,媒体网关控制器20的通信模块22向媒体网关10发送媒体网关控制协议消息X2和AP令牌(步骤S430)。其中,该AP令牌包括所产生的随机数R、所产生的时间戳T和所计算得到的哈希值H3。
在媒体网关100的通信模块12接收到媒体网关控制器20发送的媒体网关控制协议消息X2和AP令牌后,媒体网关10的攻击防止模块16使用存储模块14预先存储的密钥K、媒体网关10的标识MGId、所接收的AP令牌中包括的时间戳T、媒体网关控制协议消息X2和所接收的AP令牌中包括的随机数R来形成字符串S4(步骤S440)。其中,媒体网关10的标识MGId是媒体网关10的网络地址和端口号。
媒体网关10的攻击防止模块16使用与媒体网关控制器20所使用的相同哈希算法SF对所形成的字符串S4进行哈希计算,以计算得到哈希值H4(步骤S450)。
媒体网关10的攻击防止模块16判断所计算的哈希值H4与所接收的AP令牌中包括的哈希值H3是否相同、存储模块14所存储的各个随机数中是否不包含有所接收的AP令牌中包括的随机数、以及存储模块14所存储的最新时间戳所表示的时间是否早于所接收的AP令牌中包括的时间戳所表示的时间(步骤S460)。
如果步骤S460的判断结果为否定,即:所计算的哈希值H4与所接收的AP令牌中包括的哈希值H3不相同、存储模块14所存储的各个随机数中包含有所接收的AP令牌中包括的随机数、或者存储模块14所存储的最新时间戳所表示的时间不早于所接收的AP令牌中包括的时间戳所表示的时间,则媒体网关10的攻击防止模块16确定媒体网关控制器20不是授权的设备,流程结束。
如果步骤S460的判断结果为肯定,即:所计算的哈希值H4与所接收的AP令牌中包括的哈希值H3相同、存储模块14所存储的各个随机数中不包含有所接收的AP令牌中包括的随机数以及存储模块14所存储的最新时间戳所表示的时间早于所接收的AP令牌中包括的时间戳所表示的时间,则媒体网关10的攻击防止模块16确定媒体网关控制器20是授权的设备(步骤S470)。
当媒体网关10的攻击防止模块16确定媒体网关控制器20是授权的设备时,媒体网关10的执行模块18执行与所接收的媒体网关控制协议消息相应的操作,并且把所接收的AP令牌中包括的时间戳存储在存储模块14中以替换原来存储的最新时间戳,以及把所接收的AP令牌中包括的随机数作为媒体网关10从媒体网关控制器20接收的随机数存储在存储模块14中(步骤S480)。在这里,执行与所接收的媒体网关控制协议消息相应的操作例如是,当所接收的媒体网关控制协议消息是表示把呼叫状态修改为呼叫忙的修改消息时,把用户的呼叫状态修改为呼叫忙。
在执行与所接收的媒体网关控制协议消息相应的操作之后,媒体网关10的执行模块18经由通信模块12向媒体网关控制器20发送一个表示成功执行操作的应答消息(步骤S490)。
由上面的描述可以看出,在上述实施例中,由于AP令牌中包括时间戳,所以当接收到与媒体网关控制协议消息一起发送的该AP令牌时,作为接收方的媒体网关10或媒体网关控制器20能够根据该AP令牌所包括的时间戳和以前接收的表示最新时间的时间戳,来检测所接收的媒体网关控制协议消息是否是被重放的消息,从而防止重放攻击;由于AP令牌中包括随机数,所以当接收到与媒体网关控制协议消息一起发送的该AP令牌时,作为接收方的媒体网关10或媒体网关控制器20能够通过比较该AP令牌所包括的随机数和以前接收的各个随机数,来避免通过偶然猜中的方式而发起的猜测攻击;由于AP令牌中包括哈希值,所以当接收到与媒体网关控制协议消息一起发送的该AP令牌时,作为接收方的媒体网关10或媒体网关控制器20能够根据该AP令牌所包括的哈希值来防止窃听攻击;以及,由于AP令牌中所包括的哈希值是基于媒体网关控制协议消息计算的,所以当接收到与媒体网关控制协议消息一起发送的该AP令牌时,作为接收方的媒体网关10或媒体网关控制器20能够根据该AP令牌所包括的哈希值,来检查所接收的媒体网关控制协议消息是否是被非法篡改过,从而能够保护该媒体网关控制协议消息的一致性。
其它变型
本领域技术人员应当理解,虽然在上面的各个实施例中,在AP令牌中包括有随机数R和时间戳T,并且在计算AP令牌所包括的哈希值H时所使用的字符串包括该随机数R和时间戳T,然而,本发明并不局限于此。在本发明的其它一些实施例中,也可以在AP令牌中不包括有随机数R和时间戳T,以及在计算AP令牌所包括的哈希值H时所使用的字符串不包括该随机数R和时间戳T,例如,在媒体网关控制协议已经采取了其它的防止重放攻击和防止猜测攻击的措施时。
本领域技术人员应当理解,虽然在上面的各个实施例中,媒体网关10的标识MGId是媒体网关10的网络地址和端口号,然而,本发明并不局限于此。在本发明的其它一些实施例中,媒体网关10的标识MGId也可以是媒体网关10的网络地址。
本领域技术人员应当理解,虽然在上面的各个实施例中,每一个媒体网关控制协议消息在被发送时都为其产生AP令牌,然而,本发明并不局限于此。在本发明的其它一些实施例中,也可以是所有媒体网关控制协议消息的其中一部分在被发送时才为其产生AP令牌,其它在被发送时不为其产生AP令牌。例如,在比较安全的情况下,只有当服务改变消息和修改消息被发送时才为其产生AP令牌,除了服务改变消息和修改消息之外的其它媒体网关控制协议消息在被发送时不为其产生AP令牌。
本领域技术人员应当理解,上面的各个实施例所披露的媒体网关10和媒体网关控制器20各自所包括的各个模块可以利用软件、硬件或者软硬件结合的方式来实现。
本领域技术人员应当理解,本发明的各个实施例可以在没有偏离发明实质的情况下做出各种变型和改变,并且这些变型和改变都应该属于本发明的保护范围,因此,本发明的保护范围由所附的权利要求书来定义。
Claims (5)
1.一种用于防止媒体网关控制协议受到攻击的方法,包括步骤:
当第二设备接收到第一设备发送的媒体网关控制协议消息和包括有哈希值、随机数和时间戳的攻击防止令牌时,计算指定字符串的哈希值,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述接收的媒体网关控制协议消息形成;
判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同、所述第二设备以前从所述第一设备接收的各个随机数中是否不包括有所述攻击防止令牌所包括的所述随机数、以及所述第二设备从所述第一设备接收的表示最新时间的时间戳所表示的时间是否早于所述攻击防止令牌所包括的所述时间戳所表示的时间;
当判断结果为肯定时,确定所述第一设备是授权的设备;以及
当确定所述第一设备是所述授权的设备时,将所述攻击防止令牌所包括的所述随机数存储为所述第二设备从所述第一设备接收的随机数,以及将所述攻击防止令牌所包括的所述时间戳存储为所述第二设备从所述第一设备接收的表示最新时间的时间戳。
2.如权利要求1所述的方法,其中,所述标识是从接收的媒体网关控制协议消息得到的所述媒体网关的网络地址,或者所述媒体网关的网络地址和端口号,并且所述指定字符串进一步包括所述随机数和时间戳。
3.一种用于防止媒体网关控制协议受到攻击的装置,包括:
计算模块,用于当第二设备接收到第一设备发送的媒体网关控制协议消息和包括有哈希值、随机数和时间戳的攻击防止令牌时,计算指定字符串的哈希值,其中,所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述接收的媒体网关控制协议消息形成;
判断模块,用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈 希值是否相同、所述第二设备以前从所述第一设备接收的各个随机数中是否不包括有所述攻击防止令牌所包括的所述随机数、以及所述第二设备从所述第一设备接收的表示最新时间的时间戳所表示的时间是否早于所述攻击防止令牌所包括的所述时间戳所表示的时间;
确定模块,用于当判断结果为肯定时,确定所述第一设备是授权的设备;以及
存储控制模块,用于当确定所述第一设备是所述授权的设备时,将所述攻击防止令牌所包括的所述随机数存储为所述第二设备从所述第一设备接收的随机数,以及将所述攻击防止令牌所包括的所述时间戳存储为所述第二设备从所述第一设备接收的表示最新时间的时间戳。
4.一种第二分组网络设备,可防止媒体网关控制协议受到攻击,包括:
存储模块,用于存储所述第二分组网络设备和第一分组网络设备共享的密钥、所述第二分组网络设备以前从所述第一分组网络设备接收的各个随机数以及所述第二分组网络设备从所述第一分组网络设备接收的表示最新时间的时间戳;
通信模块,用于接收所述第一分组网络设备发送的媒体网关控制协议消息和包括有哈希值、随机数和时间戳的攻击防止令牌;
攻击防止模块,包括:
计算模块,用于计算指定字符串的哈希值,其中,所述指定字符串由所述存储模块所存储的密钥、所述第一分组网络设备和所述第二分组网络设备中其为媒体网关的设备的标识、以及所述接收的媒体网关控制协议消息形成;
判断模块,用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同、所述存储模块所存储的各个随机数中是否不包括有所述攻击防止令牌所包括的所述随机数、以及所述存储模块所存储的时间戳所表示的时间是否早于所述攻击防止令牌所包括的所述时间戳所表示的时间;以及
确定模块,用于当判断结果为肯定时,确定所述第一分组网络设备是授权的设备;
存储控制模块,用于当确定所述第一分组网络设备是授权的设备时,将 所述攻击防止令牌所包括的所述随机数作为所述第二分组网络设备从所述第一分组网络设备接收的随机数存储在所述存储模块中,以及将所述攻击防止令牌所包括的所述时间戳作为所述第二分组网络设备从所述第一分组网络设备接收的表示最新时间的时间戳存储在所述存储模块中;以及
执行模块,用于当确定所述第一分组网络设备是授权的设备时,执行与所述接收的媒体网关控制协议消息相应的操作。
5.如权利要求4所述的第二分组网络设备,其中,所述第二分组网络设备是媒体网关或媒体网关控制器。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910177249.9A CN102035801B (zh) | 2009-09-28 | 2009-09-28 | 一种用于防止攻击的方法和装置 |
| PCT/EP2010/063311 WO2011036066A1 (en) | 2009-09-28 | 2010-09-10 | A method for preventing attacks on a media gateway control protocol message |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910177249.9A CN102035801B (zh) | 2009-09-28 | 2009-09-28 | 一种用于防止攻击的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102035801A CN102035801A (zh) | 2011-04-27 |
| CN102035801B true CN102035801B (zh) | 2014-05-14 |
Family
ID=43608633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910177249.9A Active CN102035801B (zh) | 2009-09-28 | 2009-09-28 | 一种用于防止攻击的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102035801B (zh) |
| WO (1) | WO2011036066A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739659B (zh) * | 2012-06-16 | 2015-07-08 | 华南师范大学 | 一种防重放攻击的认证方法 |
| CN103685322B (zh) * | 2013-12-31 | 2016-12-21 | 广州博冠信息科技有限公司 | 传输网络数据包的方法和设备 |
| CN108737326B (zh) * | 2017-04-14 | 2021-03-30 | 北京京东尚科信息技术有限公司 | 用于进行令牌验证的方法、系统、装置及电子设备 |
| CN109120584B (zh) * | 2018-06-19 | 2020-07-24 | 上海交通大学 | 基于UEFI和WinPE的终端安全防范方法及系统 |
| US10681083B2 (en) | 2018-12-29 | 2020-06-09 | Alibaba Group Holding Limited | System and method for detecting replay attack |
| CN110431577B (zh) * | 2018-12-29 | 2023-08-22 | 创新先进技术有限公司 | 用于检测重放攻击的系统和方法 |
| WO2019072312A2 (en) | 2018-12-29 | 2019-04-18 | Alibaba Group Holding Limited | SYSTEM AND METHOD FOR DETECTING REJECTION ATTACK |
| US10735464B2 (en) | 2018-12-29 | 2020-08-04 | Alibaba Group Holding Limited | System and method for detecting replay attack |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1942007A (zh) * | 2005-07-20 | 2007-04-04 | 阿瓦雅技术有限公司 | 电话分机攻击检测、记录和智能防止 |
| CN101282222A (zh) * | 2008-05-28 | 2008-10-08 | 胡祥义 | 基于csk的数字签名方法 |
| CN101534192A (zh) * | 2008-03-14 | 2009-09-16 | 西门子公司 | 一种提供跨域令牌的系统和方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8813181B2 (en) * | 2005-03-07 | 2014-08-19 | Taun Eric Willis | Electronic verification systems |
| US7809126B2 (en) * | 2005-05-19 | 2010-10-05 | Cisco Technology, Inc. | Proxy server for internet telephony |
| CN101150405B (zh) * | 2006-09-22 | 2010-10-27 | 华为技术有限公司 | 多播广播业务认证鉴权的方法及系统 |
-
2009
- 2009-09-28 CN CN200910177249.9A patent/CN102035801B/zh active Active
-
2010
- 2010-09-10 WO PCT/EP2010/063311 patent/WO2011036066A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1942007A (zh) * | 2005-07-20 | 2007-04-04 | 阿瓦雅技术有限公司 | 电话分机攻击检测、记录和智能防止 |
| CN101534192A (zh) * | 2008-03-14 | 2009-09-16 | 西门子公司 | 一种提供跨域令牌的系统和方法 |
| CN101282222A (zh) * | 2008-05-28 | 2008-10-08 | 胡祥义 | 基于csk的数字签名方法 |
Non-Patent Citations (2)
| Title |
|---|
| Eduardo B.Fernandez et al.Security Patterns for Voice over IP Networks.《Proceedings of the International Multi-Conference on Computing in the Global Information Technology 2007(ICCGI 2007)》.2007, |
| Security Patterns for Voice over IP Networks;Eduardo B.Fernandez et al;《Proceedings of the International Multi-Conference on Computing in the Global Information Technology 2007(ICCGI 2007)》;20070309;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102035801A (zh) | 2011-04-27 |
| WO2011036066A1 (en) | 2011-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102035801B (zh) | 一种用于防止攻击的方法和装置 | |
| US7464267B2 (en) | System and method for secure transmission of RTP packets | |
| CN101635823B (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
| CN101232368B (zh) | 一种分配媒体流密钥的方法和多媒体子系统 | |
| US8549132B2 (en) | Apparatus and method for managing a network | |
| CN106936788B (zh) | 一种适用于voip语音加密的密钥分发方法 | |
| CN104618387B (zh) | 将sip信令用于量子安全通信系统的方法、综合接入量子网关及系统 | |
| CN101719825A (zh) | Ip多媒体子系统中实现安全分叉呼叫会话的方法及系统 | |
| CN110650260B (zh) | 一种网络终端音频内外网互通系统及方法 | |
| CN101183935A (zh) | Rtp报文的密钥协商方法、装置及系统 | |
| CN104767709B (zh) | 一种封堵ims业务异常呼叫的方法及装置 | |
| EP3248355B1 (en) | Enhanced establishment of ims session with secure media | |
| US20150350899A1 (en) | AUTHENTICATION METHOD OF VoLTE | |
| CN101227474A (zh) | 软交换网络中的会话初始化协议用户鉴权方法 | |
| US7570765B1 (en) | Method and an apparatus to perform secure real-time transport protocol-on-the-fly | |
| CN108270717B (zh) | VoIP通信方法、设备及通信系统 | |
| CN105991277B (zh) | 基于sip通信系统的密钥分发方法 | |
| CN103997491A (zh) | 一种量子保密通信电话用户终端扩展网关系统 | |
| CN101207480A (zh) | 一种跨域多网守端到端会话密钥协商方法 | |
| CN102185827A (zh) | 一种voip系统中语音穿透防火墙的方法 | |
| CN102571721A (zh) | 接入设备鉴别方法 | |
| KR20100003627A (ko) | 인터넷 전화 시스템의 통화 처리 방법 및 그 장치 | |
| CN101459631A (zh) | 一种虚拟媒体网关选择方法、装置及系统 | |
| CN101325564A (zh) | 一种虚拟媒体网关选择方法、装置及系统 | |
| KR101078226B1 (ko) | Srtp 세션 중계를 위한 게이트웨이 시스템과 이를 이용한 리던던시 제공 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |