CN103327006B - 多接入网络中的安全方法 - Google Patents
多接入网络中的安全方法 Download PDFInfo
- Publication number
- CN103327006B CN103327006B CN201310185696.5A CN201310185696A CN103327006B CN 103327006 B CN103327006 B CN 103327006B CN 201310185696 A CN201310185696 A CN 201310185696A CN 103327006 B CN103327006 B CN 103327006B
- Authority
- CN
- China
- Prior art keywords
- address
- router
- session
- legal
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种多接入网络中的安全方法。第一路由器接收新地址加入会话请求消息,根据预设的会话合法地址表项信息查询会话中待加入主机的合法地址,向所述待加入主机的合法地址查询所述待加入主机的待加入地址的合法性,根据查询结果确定是否在所述会话中加入所述待加入地址。采用本发明提供的多接入网络中的安全方法,能够避免攻击者以虚假地址发起泛洪攻击和攻击者假冒合法的主机的身份发起的劫持攻击。
Description
技术领域
本发明涉及通信技术,尤其涉及一种多接入网络中的安全方法。
背景技术
在采用传输控制协议(Transmission Control Protocol,简称TCP)的计算机网络中,存在泛洪攻击和劫持攻击。攻击者发起泛洪攻击时,攻击者采用大量虚拟的互联网协议(Internet Protocol,简称IP)地址,向数据源发起连接,请求数据源向上述每个IP地址发送数据,导致数据源发送量增大,使其向网络中其它主机发送数据的能力下降。攻击者发起劫持攻击时,攻击者伪装成通信一方来截获数据。
目前,在请求评议(Request for Comments,RFC)2827中提出入口过滤技术。在主机与网络供应商之间的路由器上设置入口过滤器,如果来自主机的消息的源地址在预设的网段内,则该路由器向该网络供应商转发该消息,如果来自主机的消息的源地址不在预设的网段内,则该路由器丢弃该消息。
上述入口过滤技术仅适用于单路径TCP网络,单路径TCP网络中的主机之间仅采用一条链路进行通信。用户对互联网带宽的需求越来越大,多种接入技术的涌现也使TCP应用更为广泛,单路径TCP无法满足用户对多接入和网络资源并行获取的需求。多路径TCP(Multipath TCP,简称MPTCP)使网络中的主机之间采用多条链路进行通信,提供多接入的支持,可大大提高网络资源利用率。上述入口过滤技术无法适用于MPTCP网络,并且上述入口过滤技术仅能保护单路径TCP网络不受无效IP地址的攻击,即仅能防止泛洪攻击,而无法防止攻击者采用通信一方的合法IP地址发起的劫持攻击。
发明内容
本发明的第一个方面是提供一种多接入网络中的安全方法,用以解决现有技术中的缺陷,防止计算机网络中的泛洪攻击和劫持攻击。
本发明的第一个方面是提供一种多接入网络中的安全方法,包括:
第一路由器接收新地址加入会话请求消息,所述新地址加入会话请求消息中包括:会话标识、待加入主机的主机标识、待加入地址;
所述第一路由器根据预设的会话合法地址表项信息查询会话中待加入主机的合法地址;
所述第一路由器向所述待加入主机的合法地址查询所述待加入主机的待加入地址的合法性;
所述第一路由器根据查询结果确定是否在所述会话中加入所述待加入地址。
如上所述的方法,其中,
所述新地址加入会话请求消息中还包括:通信对端地址;
所述第一路由器接收新地址加入会话请求消息之后,所述第一路由器根据预设的会话合法地址表项信息查询会话中待加入主机的合法地址之前,还包括:
所述第一路由器判断自身下属网络中包括所述待加入地址或所述通信对端地址;
若所述第一路由器下属网络中包括所述待加入地址,则所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息或所述新地址加入会话请求消息中携带的会话合法地址表项信息中查询会话中待加入主机的合法地址;所述第一路由器向所述合法地址查询所述待加入主机的待加入地址的合法性包括:所述第一路由器向所述合法地址对应的主机发送地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址,以使所述主机查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址,并向所述第一路由器返回查询反馈消息;
若所述第一路由器下属网络中包括所述通信对端地址,则所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息或所述通信对端地址对应的主机存储的会话合法地址表项信息查找所述会话标识和所述主机标识对应的合法地址;所述第一路由器向所述合法地址查询所述待加入主机的待加入地址的合法性包括:所述第一路由器向所述合法地址对应的第二路由器发送地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址,以使所述第二路由器查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址,并向所述第一路由器返回查询反馈消息;
若所述第一路由器下属网络中既不包括所述待加入地址又不包括所述通信对端地址,则所述第一路由器按照预设路径转发所述新地址加入会话请求消息。
如上所述的方法,其中,
所述第一路由器从自身存储的会话合法地址表项信息或所述新地址加入会话请求消息中携带的会话合法地址表项信息中查询会话中待加入主机的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址,若未查找到,从所述新地址加入会话请求消息中携带的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址;
所述第一路由器从自身存储的会话合法地址表项信息或所述通信对端地址对应的主机存储的会话合法地址表项信息查找所述会话标识和所述主机标识对应的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址,若未查找到,从所述通信对端地址对应的主机存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址。
如上所述的方法,其中,还包括:
所述第一路由器接收来自自身对应的主机的新地址启用消息,所述新地址启用消息是所述第一路由器对应的主机与其它主机建立会话时发送的,所述新地址启用消息中包括:会话标识、本端主机的主机标识、对端主机的主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址;所述第一路由器将所述新地址启用消息中的内容存储到所述会话合法地址表项信息中;
和/或,所述第一路由器在自身存储的会话合法地址表项信息中删除失效的地址,向所述第一路由器对应的主机以及所述失效的地址对应的通信对端路由器发送地址删除通知消息,以使所述第一路由器对应的主机以及所述失效的地址对应的通信对端路由器在存储的会话合法地址表项信息中删除所述失效的地址。
如上所述的方法,其中,
所述第一路由器根据查询结果确定是否在所述会话中加入所述待加入地址包括:在所述查询反馈消息为肯定答复时,所述第一路由器在自身存储的会话合法地址表项信息中所述会话标识和所述主机标识对应的合法地址中增加所述待加入地址,转发来自所述待加入地址的消息;在所述查询反馈消息为否定答复时,所述第一路由器向所述待加入地址发送拒绝加入会话消息;
所述第一路由器在自身存储的会话合法地址表项信息中所述会话标识和所述主机标识对应的合法地址中增加所述待加入地址之后,还包括:所述第一路由器向自身对应的主机发送地址更新消息,所述地址更新消息中包括所述第一路由器存储的会话合法地址表项信息,以使所述第一路由器对应的主机向所述第一路由器存储的会话合法地址表项信息中的本端路由器标识对应的路由器发送所述第一路由器存储的会话合法地址表项信息。
本发明的另一个方面是提供一种多接入网络中的安全方法,包括:
第二路由器接收来自第一路由器的待加入地址的合法性查询请求;
所述第二路由器根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法;
所述第二路由器向所述第一路由器返回查询结果,以使所述第一路由器根据查询结果确定是否在所述会话中加入所述待加入地址。
如上所述的方法,其中,
所述第二路由器接收来自第一路由器的待加入地址的合法性查询请求包括:所述第二路由器接收来自所述第一路由器的地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址;
所述第二路由器根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法包括:所述第二路由器查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址;
所述第二路由器向所述第一路由器返回查询结果包括:所述第二路由器向所述第一路由器返回查询反馈消息,若所述第二路由器自身存储的会话合法地址表项信息中所述会话标识对应的合法地址包括所述待加入地址,则所述查询反馈消息为肯定答复,若所述第二路由器自身存储的会话合法地址表项信息中所述会话标识对应的合法地址不包括所述待加入地址,则所述查询反馈消息为否定答复。
本发明的又一个方面是提供一种多接入网络中的安全方法,包括:
主机接收来自对应的路由器的待加入地址的合法性查询请求;
所述主机根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法;
所述主机向所述路由器返回查询结果,以使所述路由器根据查询结果确定是否在所述会话中加入所述待加入地址。
如上所述的方法,其中,
所述主机接收来自对应的路由器的待加入地址的合法性查询请求包括:所述主机接收来自所述路由器的地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址;
所述主机根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法包括:所述主机查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址;
所述主机向所述路由器返回查询结果包括:所述主机向所述路由器返回查询反馈消息,若所述主机自身存储的会话合法地址表项信息中所述会话标识对应的合法地址包括所述待加入地址,则所述查询反馈消息为肯定答复,若所述主机自身存储的会话合法地址表项信息中所述会话标识对应的合法地址不包括所述待加入地址,则所述查询反馈消息为否定答复。
如上所述的方法,其中,还包括:
所述主机在会话建立过程生成并存储所述会话合法地址表项信息;
和/或,在新的路由器连接到所述主机时,所述主机根据所述新的路由器的会话合法地址表项信息更新所述主机自身存储的会话合法地址表项信息;
和/或,所述主机在存储的所述会话合法地址表项信息中删除不再使用的地址,向所述主机对应的路由器以及所述不再使用的地址对应的通信对端主机发送地址删除通知消息,以使所述主机对应的路由器以及所述不再使用的地址对应的通信对端主机在存储的会话合法地址表项信息中删除所述不再使用的地址。
由上述发明内容可见,新地址加入会话请求消息会话合法地址表项信息新地址加入会话请求消息第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址,向合法地址查询待加入主机的待加入地址的合法性,根据查询结果确定是否在会话中加入待加入地址。由于每次有待加入主机采用新的地址申请加入时,都向该申请中声明的待加入主机的合法地址验证待加入地址的合法性,从而既避免了攻击者以虚假地址发起泛洪攻击,也避免了攻击者假冒合法的主机的身份发起的劫持攻击。
附图说明
图1为本发明实施例一的多接入网络中的安全方法的流程图;
图2为本发明实施例二的多接入网络中的安全方法的流程图;
图3为本发明实施例三的多接入网络中的安全方法的流程图;
图4为本发明实施例四的多接入网络中的安全方法的信令流程图;
图5为本发明实施例五的计算机网络的结构示意图;
图6为本发明实施例六的多接入网络中的安全方法的信令流程图;
图7为本发明实施例七的多接入网络中的安全方法的信令流程图;
图8为本发明实施例八的多接入网络中的安全方法的信令流程图;
图9为本发明实施例九的路由器的结构示意图;
图10为本发明实施例十的路由器的结构示意图;
图11为本发明实施例十一的主机的结构示意图。
具体实施方式
采用本发明的多接入网络中的安全方法,对网络中的各个路由器进行改进。在每个路由器上均维护一张会话合法地址表项信息,该会话合法地址表项信息用于记录已经建立的会话的合法信息,其中,对于每一个会话记录的信息包括:会话标识、本端主机标识、对端主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址。路由器根据该会话合法地址表项信息向主机的合法地址验证待加入的地址是否合法。具体地,可以在各个路由器上设置入口过滤器,通过入口过滤器来实现上述改进的功能,并且,该入口过滤器还可以实现现有的入口过滤器的功能。
图1为本发明实施例一的多接入网络中的安全方法的流程图。如图1所示,该方法包括以下过程。
步骤101:第一路由器接收新地址加入会话请求消息。
在本步骤中,所述新地址加入会话请求消息中包括:会话标识、待加入主机的主机标识、待加入地址。
步骤102:所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址。
步骤103:所述第一路由器向所述合法地址查询所述待加入主机的待加入地址的合法性。
步骤104:所述第一路由器根据查询结果确定是否在所述会话中加入所述待加入地址。
在本发明实施例一中,第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址,向合法地址查询待加入主机的待加入地址的合法性,根据查询结果确定是否在会话中加入待加入地址。由于每次有待加入主机采用新的地址申请加入时,都向该申请中声明的待加入主机的合法地址验证待加入地址的合法性,从而既避免了攻击者以虚假地址发起泛洪攻击,也避免了攻击者假冒合法的主机的身份发起的劫持攻击。
在本发明实施例一的上述技术方案的基础上,进一步地,所述路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址之前,还可以包括以下步骤:
所述第一路由器接收新地址加入会话请求消息,所述新地址加入会话请求消息中包括:会话标识、主机标识、待加入地址和通信对端地址;所述第一路由器判断自身下属网络中包括所述待加入地址或所述通信对端地址。
若所述第一路由器下属网络中包括所述待加入地址,则所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息或所述新地址加入会话请求消息中携带的会话合法地址表项信息中查询会话中待加入主机的合法地址;所述第一路由器向所述合法地址查询所述待加入主机的待加入地址的合法性包括:所述第一路由器向所述合法地址对应的主机发送地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址,以使所述主机查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址,并向所述第一路由器返回查询反馈消息。
若所述第一路由器下属网络中包括所述通信对端地址,则所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息或所述通信对端地址对应的主机存储的会话合法地址表项信息查找所述会话标识和所述主机标识对应的合法地址;所述第一路由器向所述合法地址查询所述待加入主机的待加入地址的合法性包括:所述第一路由器向所述合法地址对应的第二路由器发送地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址,以使所述第二路由器查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址,并向所述第一路由器返回查询反馈消息。
若所述第一路由器下属网络中既不包括所述待加入地址又不包括所述通信对端地址,则所述第一路由器按照预设路径转发所述新地址加入会话请求消息。其中,上述路径为按照网络结构预设在第一路由器中的路径,第一路由器根据该预设路径获取下一跳地址,按照预设路径,向下一条转发所述新地址加入会话请求消息。
在本发明实施例一的上述技术方案的基础上,进一步地,所述第一路由器从自身存储的会话合法地址表项信息或所述新地址加入会话请求消息中携带的会话合法地址表项信息中查询会话中待加入主机的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址,若未查找到,从所述新地址加入会话请求消息中携带的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址。
相应地,所述第一路由器从自身存储的会话合法地址表项信息或所述通信对端地址对应的主机存储的会话合法地址表项信息查找所述会话标识和所述主机标识对应的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址,若未查找到,从所述通信对端地址对应的主机存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址。
在本发明实施例一的上述技术方案的基础上,进一步地,所述第一路由器根据查询结果确定是否在所述会话中加入所述待加入地址可以包括以下步骤:在所述查询反馈消息为肯定答复时,所述第一路由器在自身存储的会话合法地址表项信息中所述会话标识和所述主机标识对应的合法地址中增加所述待加入地址,转发来自所述待加入地址的消息;在所述查询反馈消息为否定答复时,所述第一路由器向所述待加入地址发送拒绝加入会话消息。
在本发明实施例一的上述技术方案的基础上,进一步地,还可以包括以下步骤:
所述第一路由器接收来自自身对应的主机的新地址启用消息,所述新地址启用消息是所述第一路由器对应的主机与其它主机建立会话时发送的,所述新地址启用消息中包括:会话标识、本端主机的主机标识、对端主机的主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址。
所述第一路由器将所述新地址启用消息中的内容存储到所述会话合法地址表项信息中。
在本发明实施例一的上述技术方案的基础上,进一步地,还可以包括以下步骤:所述第一路由器在自身存储的会话合法地址表项信息中删除失效的地址,向所述第一路由器对应的主机以及所述失效的地址对应的通信对端路由器发送地址删除通知消息,以使所述第一路由器对应的主机以及所述失效的地址对应的通信对端路由器在存储的会话合法地址表项信息中删除所述失效的地址。具体地,当第一路由器检测到某一地址失去连接时,第一路由器先等待该地址重新连接,若一定时间内该地址没有获取连接,则第一路由器认为该地址失效,将该地址从合法地址表中删除,并通知本端和对端的其它路由器更新合法地址表,从合法地址表中删除该失效的地址,并通过其它管理该会话的路由器通知本端和对端主机更新合法地址表,从合法地址表中删除该失效的地址。其中,如果该失效的地址为某路由器在这个会话中的唯一转发路径,则该路由器将该地址对应的表项删除,不再参与此会话。
在本发明实施例一的上述技术方案的基础上,进一步地,所述第一路由器在自身存储的会话合法地址表项信息中所述会话标识和所述主机标识对应的合法地址中增加所述待加入地址之后,还可以包括以下步骤:
所述第一路由器向自身对应的主机发送地址更新消息,所述地址更新消息中包括所述第一路由器存储的会话合法地址表项信息,以使所述第一路由器对应的主机向所述第一路由器存储的会话合法地址表项信息中的本端路由器标识对应的路由器发送所述第一路由器存储的会话合法地址表项信息。
图2为本发明实施例二的多接入网络中的安全方法的流程图。如图2所示,该方法包括以下过程。
步骤201:第二路由器接收来自第一路由器的待加入地址的合法性查询请求。
步骤202:所述第二路由器根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法。
步骤203:所述第二路由器向所述第一路由器返回查询结果。
在本步骤中,所述第二路由器向所述第一路由器返回查询结果,以使所述第一路由器根据查询结果确定是否在所述会话中加入所述待加入地址。
在本发明实施例二中,第二路由器接收来自第一路由器的待加入地址的合法性查询请求,根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法,向所述第一路由器返回查询结果,以使所述第一路由器根据查询结果确定是否在所述会话中加入所述待加入地址。由于第二路由器对待加入地址的合法性进行验证,并将验证结果返回给第一路由器,第一路由器根据第二路由器的验证确定是否加入待加入地址,从而既避免了攻击者以虚假地址发起泛洪攻击,也避免了攻击者假冒合法的主机的身份发起的劫持攻击。
在本发明实施例二的上述技术方案的基础上,进一步地,所述第二路由器接收来自第一路由器的待加入地址的合法性查询请求包括:所述第二路由器接收来自所述第一路由器的地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址。
相应地,所述第二路由器根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法包括:所述第二路由器查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址。
相应地,所述第二路由器向所述第一路由器返回查询结果包括:所述第二路由器向所述第一路由器返回查询反馈消息,若所述第二路由器自身存储的会话合法地址表项信息中所述会话标识对应的合法地址包括所述待加入地址,则所述查询反馈消息为肯定答复,若所述第二路由器自身存储的会话合法地址表项信息中所述会话标识对应的合法地址不包括所述待加入地址,则所述查询反馈消息为否定答复。
在本发明实施例二的上述技术方案的基础上,进一步地,还可以包括以下步骤:所述第二路由器在自身存储的会话合法地址表项信息中删除失效的地址,向所述第二路由器对应的主机以及所述失效的地址对应的通信对端路由器发送地址删除通知消息,以使所述第二路由器对应的主机以及所述失效的地址对应的通信对端路由器在存储的会话合法地址表项信息中删除所述失效的地址。具体地,当第二路由器检测到某一地址失去连接时,第二路由器先等待该地址重新连接,若一定时间内该地址没有获取连接,则第二路由器认为该地址失效,将该地址从合法地址表中删除,并通知本端和对端的其它路由器更新合法地址表,从合法地址表中删除该失效的地址,并通过其它管理该会话的路由器通知本端和对端主机更新合法地址表,从合法地址表中删除该失效的地址。其中,如果该失效的地址为某路由器在这个会话中的唯一转发路径,则该路由器将该地址对应的表项删除,不再参与此会话。
图3为本发明实施例三的多接入网络中的安全方法的流程图。如图3所示,该方法包括以下过程。
步骤301:主机接收来自对应的路由器的待加入地址的合法性查询请求。
步骤302:所述主机根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法。
步骤303:所述主机向所述路由器返回查询结果。
在本步骤中,所述主机向所述路由器返回查询结果,以使所述路由器根据查询结果确定是否在所述会话中加入所述待加入地址。
在本发明实施例三中,主机接收来自对应的路由器的待加入地址的合法性查询请求,根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法,向所述路由器返回查询结果,以使所述路由器根据查询结果确定是否在所述会话中加入所述待加入地址。由于主机对待加入地址的合法性进行验证,并将验证结果返回给路由器,路由器根据主机的验证确定是否加入待加入地址,从而既避免了攻击者以虚假地址发起泛洪攻击,也避免了攻击者假冒合法的主机的身份发起的劫持攻击。
在本发明实施例三的上述技术方案的基础上,进一步地,所述主机接收来自对应的路由器的待加入地址的合法性查询请求包括:所述主机接收来自所述路由器的地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址。
相应地,所述主机根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法包括:所述主机查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址。
相应地,所述主机向所述路由器返回查询结果包括:所述主机向所述路由器返回查询反馈消息,若所述主机自身存储的会话合法地址表项信息中所述会话标识对应的合法地址包括所述待加入地址,则所述查询反馈消息为肯定答复,若所述主机自身存储的会话合法地址表项信息中所述会话标识对应的合法地址不包括所述待加入地址,则所述查询反馈消息为否定答复。
在本发明实施例三的上述技术方案的基础上,进一步地,还可以包括:所述主机在会话建立过程生成并存储所述会话合法地址表项信息;和/或,在新的路由器连接到所述主机时,所述主机根据所述新的路由器的会话合法地址表项信息更新所述主机自身存储的会话合法地址表项信息。
在本发明实施例三的上述技术方案的基础上,进一步地,还可以包括:所述主机在存储的所述会话合法地址表项信息中删除不再使用的地址,向所述主机对应的路由器以及所述不再使用的地址对应的通信对端主机发送地址删除通知消息,以使所述主机对应的路由器以及所述不再使用的地址对应的通信对端主机在存储的会话合法地址表项信息中删除所述不再使用的地址。具体地,当主机的某个地址不再使用时,该主机通知自身对应的全部路由器,各个路由器在确认该通知的来源之后,将不再使用的地址从合法地址表中删除。其中,如果不再使用的地址是某个路由器在这个会话中的唯一转发路径,则该路由器删除该地址对应的表项。并且,该主机还通知通信对端主机,通信对端主机通知自身对应的全部路由器,通信对端主机和其对应的全部路由器将不再使用的地址从合法地址表中删除。
图4为本发明实施例四的多接入网络中的安全方法的流程图。如图4所示,该方法包括如下过程。
步骤401:第一路由器接收新地址加入会话请求消息。
在本步骤中,第一路由器接收一个新地址加入会话请求消息。具体地,该新地址加入会话请求消息可能是由第一路由器的内部网络中的主机发送的,也有可能是由其它路由器向第一主机转发的。其中,该新地址加入会话请求消息中至少包括:会话标识、主机标识、待加入地址和通信对端地址,其中,该请求消息表示:该主机标识对应的主机,请求以待加入地址加入该会话标识对应的对话。进一步地,如果该会话请求消息是该会话标识对应的会话中的合法主机发送的,则该会话请求消息中还包括:会话合法地址表项信息,该消息中的会话合法地址表项信息中记录该会话当前的合法信息。
步骤402:第一路由器判断自身下属网络中包括待加入地址或通信对端地址。
在本步骤中,第一路由器根据该新地址加入会话请求消息获取待加入地址和通信对端地址,判断自身下属网络中包括待加入地址还是通信对端地址。如果第一路由器自身下属网络中包括待加入地址,说明该新地址加入会话请求消息是第一路由器内部网络中的主机发送的,则执行步骤403;如果第一路由器自身下属网络中包括通信对端地址,说明该新地址加入会话请求消息是发送给第一路由器内部网络中的主机的,则执行步骤408;若所述第一路由器下属网络中既不包括所述待加入地址又不包括所述通信对端地址,则所述第一路由器按照路径转发所述新地址加入会话请求消息。
步骤403:第一路由器从自身存储的会话合法地址表项信息中查找会话标识和主机标识对应的合法地址。
在本步骤中,第一路由器从新地址加入会话请求消息中获取会话标识和主机标识,查找第一路由器自身存储的会话合法地址表项信息,从该表中查找会话标识和主机标识对应的合法地址。如果查找到,执行步骤406;如果未查找到,执行步骤404。
步骤404:第一路由器从新地址加入会话请求消息中携带的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址。
在本步骤中,第一路由器从新地址加入会话请求消息中获取会话标识和主机标识,第一路由器查找新地址加入会话请求消息中携带的会话合法地址表项信息,在该表中查找所述会话标识和所述主机标识对应的合法地址。如果查找到,执行步骤406。如果未查找到,执行步骤405。
步骤405:第一路由器执行会话建立过程。
在本步骤中,第一路由器在自身存储的会话合法地址表项信息和新地址加入会话请求消息中携带的会话合法地址表项信息中均未查找到会话标识和主机标识对应的合法地址,则该第一路由器按照会话建立过程执行。具体地,第一路由器向通信对端地址的主机对应的第二路由器发送新地址启用消息,以使主机标识对应的主机以待加入地址与通信对端地址的主机进行会话建立,并且,在会话建立成功后,第一路由器在自身存储的会话合法地址表项信息中增加该会话标识对应的表项,在该表项中记录建立的会话标识、本端路由器标识、本端主机标识、对端主机标识、本端主机地址、对端主机地址等信息。具体地,第一路由器对应的主机与其它主机建立会话时,向第一路由器发送新地址启用消息,所述新地址启用消息中包括:会话标识、本端主机的主机标识、对端主机的主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址,第一路由器将新地址启用消息中的内容存储到自身的会话合法地址表项信息中。
步骤406:第一路由器向合法地址对应的主机发送地址查询消息。
在本步骤中,第一路由器向合法地址对应的主机发送地址查询消息。其中,该地址查询消息包括:所述会话标识和所述待加入地址。
步骤407:合法地址对应的主机查询自身存储的会话合法地址表项信息,并向第一路由器返回查询反馈消息。
在本步骤中,合法地址对应的主机查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址,并向所述第一路由器返回查询反馈消息,如果查询结果为包括,则查询反馈消息为肯定答复,如果查询结果为不包括,则查询反馈消息为否定答复。其中,在主机上存储的会话合法地址表项信息用于记录该主机当前的合法会话的属性信息,至少包括该主机当前建立的各个会话,以及该主机在各个会话中采用的地址。在主机上存储的会话合法地址表项信息与在各个路由器上存储的会话合法地址表项信息可以采用相同的表格结构,也可以采用不同的表格结构,在主机上存储的会话合法地址表项信息还可以采用现有的主机上存储的记录会话的属性信息的任何表格,只要该表格中记录有该主机当前建立的各个会话和该主机在各个会话中采用的地址的信息均可适用。
在步骤407之后,执行步骤413。
步骤408:第一路由器从自身存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址。
在本步骤中,第一路由器从新地址加入会话请求消息中获取会话标识和主机标识,查找第一路由器自身存储的会话合法地址表项信息,从该表中查找会话标识和主机标识对应的合法地址。如果查找到,执行步骤411;如果未查找到,执行步骤409。
步骤409:第一路由器从所述通信对端地址对应的主机存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址。
在本步骤中,第一路由器从新地址加入会话请求消息中获取会话标识和主机标识,第一路由器查找所述通信对端地址对应的主机存储的会话合法地址表项信息,在该表中查找所述会话标识和所述主机标识对应的合法地址。如果查找到,执行步骤411。如果未查找到,执行步骤410。在本步骤中,具体可以采用如下三种方式。方式一:第一路由器可以从通信对端地址对应的主机获取该主机存储的会话合法地址表项信息,将该表存储到第一路由器本地,第一路由器在本地存储的该表中进行查找。方式二:第一路由器可以将会话标识发送给通信对端地址对应的主机,从该主机获取该主机存储的会话合法地址表项信息中该会话标识对应的表项,将该表项存储到第一路由器本地,第一路由器在本地存储的该表项中进行查找。方式三:第一路由器可以将所述会话标识和所述主机标识发送给通信对端地址对应的主机,由该主机在自身存储的会话合法地址表项信息中进行查找,并将查找结果反馈给第一路由器。
步骤410:第一路由器执行会话建立过程。
在本步骤中,第一路由器在自身存储的会话合法地址表项信息和通信对端地址对应的主机存储的会话合法地址表项信息中均未查找到会话标识和主机标识对应的合法地址,则该第一路由器按照会话建立过程执行。具体地,第一路由器向通信对端地址的主机发送新地址启用消息,以使所述主机标识对应的主机以待加入地址与通信对端地址的主机进行会话建立,并且,在会话建立成功后,第一路由器在自身存储的会话合法地址表项信息中增加该会话标识对应的表项,在该表项中记录建立的会话标识、本端路由器标识、本端主机标识、对端主机标识、本端主机地址、对端主机地址等信息。具体地,第一路由器对应的主机与其它主机建立会话时,向第一路由器发送新地址启用消息,所述新地址启用消息中包括:会话标识、本端主机的主机标识、对端主机的主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址,第一路由器将新地址启用消息中的内容存储到自身的会话合法地址表项信息中。
步骤411:第一路由器向合法地址对应的第二路由器发送地址查询消息。
在本步骤中,第一路由器向合法地址对应的第二路由器发送地址查询消息。当前第一路由器作为目的端的路由器,查询到的合法地址为源端的主机地址,合法地址对应的第二路由器为源端的路由器,也就是说,作为目的端路由器的第一路由器,在查询到所述会话标识和所述主机标识对应的合法地址后,向源端的路由器发送地址查询消息。其中,所述地址查询消息包括:所述会话标识和所述待加入地址。
步骤412:合法地址对应的第二路由器查询自身存储的会话合法地址表项信息,并向第一路由器返回查询反馈消息。
在本步骤中,合法地址对应的第二路由器查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址,并向所述第一路由器返回查询反馈消息,如果查询结果为包括,则查询反馈消息为肯定答复,如果查询结果为不包括,则查询反馈消息为否定答复。
在步骤412之后,执行步骤413。
步骤413:第一路由器判断查询反馈消息为肯定答复或否定答复。
在本步骤中,第一路由器接收查询反馈消息,判断该查询反馈消息为肯定答复或否定答复。如果是肯定答复,执行步骤414。如果是否定答复,执行步骤415。
步骤414:第一路由器在会话中加入待加入地址。
在本步骤中,第一路由器收到的查询反馈消息为肯定答复,则在会话中加入待加入地址,当第一路由器在该会话的后续通信过程中收到来自待加入地址的消息时,转发来自所述待加入地址的消息。并且,第一路由器还在自身存储的会话合法地址表项信息中所述会话标识和所述主机标识对应的合法地址中增加所述待加入地址。进一步地,第一路由器在自身存储的会话合法地址表项信息中增加所述待加入地址之后,还可以向自身对应的主机发送地址更新消息,所述地址更新消息中包括所述第一路由器存储的会话合法地址表项信息,第一路由器对应的主机在接收到上述地址更新消息后,根据第一路由器存储的会话合法地址表项信息,向该表中的本端路由器标识对应的路由器发送所述第一路由器存储的会话合法地址表项信息,从而使得该主机在该会话中相关的全部路由器均实时更新,确保各个路由器中的存储的会话合法地址表项信息保持一致。
步骤415:第一路由器向所述待加入地址发送拒绝加入会话消息。
在本步骤中,第一路由器向所述待加入地址发送拒绝加入会话消息,从而拒绝待加入地址加入到会话。
在本发明实施例四中,第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址,向合法地址对应的第二路由器或主机查询待加入主机的待加入地址的合法性,根据查询结果确定是否在会话中加入待加入地址。由于每次有待加入主机采用新的地址申请加入时,都向该申请中声明的待加入主机的合法地址验证待加入地址的合法性,从而既避免了攻击者以虚假地址发起泛洪攻击,也避免了攻击者假冒合法的主机的身份发起的劫持攻击。新地址加入会话请求消息新地址加入会话请求消息会话合法地址表项信息会话合法地址表项信息会话合法地址表项信息会话合法地址表项信息会话合法地址表项信息会话合法地址表项信息会话合法地址表项信息会话合法地址表项信息新地址加入会话请求消息会话合法地址表项信息新地址加入会话请求消息
以下通过本发明实施例五至八,对本发明的多接入网络中的安全方法进行详细说明。本发明实施例五至八以在一个实际的计算机网络中应用该多接入网络中的安全方法为例。图5为本发明实施例五的计算机网络的结构示意图。如图5所示,在本发明实施例五至八中,主机A与主机B进行多路通信,主机A采用地址1连接到路由器1,主机A采用地址2连接到路由器2,主机A采用地址3连接到路由器3,主机B采用地址4连接到路由器4,主机B采用地址5连接到路由器5,路由器1与路由器2均与路由器4连接,路由器3与路由器5连接,以主机C表示攻击者,主机C采用地址6连接到路由器6,路由器6连接到路由器1与路由器4之间的链路上。以图5所示的网络结构为例,以下通过图6至图8所示的实施例,对多接入网络中的安全方法进行详细说明。
图6为本发明实施例六的多接入网络中的安全方法的信令流程图。如图6所示,该方法包括以下过程。
步骤601:主机A与主机B建立会话,其中,主机A采用地址1,主机B采用地址4。
在本步骤中,主机A与主机B分别采用各自的任一地址建立会话,在本发明实施例中仅以主机A采用地址1、主机B采用地址4为例。
步骤602:主机A向路由器1发送新地址启用消息,主机B向路由器4发送新地址启用消息。
在本步骤中,主机A采用地址1,向地址1对应的路由器发送新地址启用消息。参见图5,主机A的地址1对应的路由器为路由器1。在该新地址启用消息中,包括:会话标识、本端主机的主机标识、对端主机的主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址。例如,该新地址启用消息中,包括:“会话1、主机A、主机B、路由器1、地址1、地址4”。主机B采用地址4,向地址4对应的路由器发送新地址启用消息。参见图5,主机B的地址4对应的路由器为路由器4。在该新地址启用消息中,包括:会话标识、本端主机的主机标识、对端主机的主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址。例如,该新地址启用消息中,包括:“会话1、主机B、主机A、路由器4、地址4、地址1”。
步骤603:路由器1将来自主机A的新地址启用消息中的内容存储到会话合法地址表项信息,路由器4将来自主机B的新地址启用消息中的内容存储到会话合法地址表项信息。
在本步骤中,在路由器1和路由器4中分别存储一个会话合法地址表项信息。该表的格式如表1所示。表1为会话合法地址表项信息。路由器1将来自主机A的新地址启用消息中的内容存储到会话合法地址表项信息,完成会话合法地址表项信息的建立过程,获得如表2所示的会话合法地址表项信息。路由器4将来自主机B的新地址启用消息中的内容存储到会话合法地址表项信息,完成会话合法地址表项信息的建立过程,获得如表3所以的合法地址表。
表1.会话合法地址表项信息
表2.路由器1的会话合法地址表项信息
表3.路由器4的会话合法地址表项信息
步骤604:主机A采用地址3向路由器3发送新地址加入会话请求消息。
在本步骤中,主机A采用地址3向路由器3发送新地址加入会话请求消息,其中,该会话请求消息中包括:会话标识、主机标识和待加入地址。例如,该会话请求消息中包括:会话1、主机A和地址3。进一步地,该会话请求消息中还可以包括:路由器1存储的会话合法地址表项信息。
步骤605:路由器3在存储的会话合法地址表项信息中查找会话1和主机A对应的主机的合法地址。
在本步骤中,路由器3根据新地址加入会话请求消息,在自身存储的会话合法地址表项信息中查找会话标识和主机标识对应的主机的合法地址。当该会话请求消息中包括路由器1存储的会话合法地址表项信息时,路由器3首先将该会话请求消息中包括的会话合法地址表项信息存储到自身,然后,路由器3在自身存储的会话合法地址表项信息中查找会话标识和主机标识对应的主机的合法地址,例如,路由器3在会话合法地址表项信息中查找“会话1、主机A”,获得主机A的合法地址为“地址1”。
步骤606:路由器3判断主机的合法地址列表是否包括地址3。
在本步骤中,路由器3判断所述主机的合法地址列表是否包括所述待加入地址。例如,路由器3在会话合法地址表项信息中查找“会话1、主机A”,获得主机A的合法地址列表为“地址1”,并不包括待加入地址“地址3”,则继续执行步骤607。
步骤607:路由器3根据地址1,通过路由器1向主机A发送地址查询消息。
在本步骤中,路由器3根据主机的合法地址向所述主机发送地址查询消息,该地址查询消息包括:待加入地址,即该地址查询消息包括:地址3。
步骤608:主机A向路由器3发送查询反馈消息。
在本步骤中,主机A向路由器3发送查询反馈消息,该查询反馈消息为肯定答复,执行步骤609。
步骤609:路由器3在会话合法地址表项信息中会话1对应的本端合法地址中增加地址3并转发来自地址3的消息。
在本步骤中,路由器3更新会话合法地址表项信息,在会话合法地址表项信息中会话1对应的本端合法地址中增加地址3,并且,在会话合法地址表项信息中会话1对应的本端路由器标识中增加自身的路由器标识,更新后的会话合法地址表项信息如表4所示。
表4.路由器3的会话合法地址表项信息
步骤610:路由器3向主机A发送地址更新消息。
在本步骤中,地址更新消息中包括路由器3存储的会话合法地址表项信息。
步骤611:主机A向路由器1发送路由器3的会话合法地址表项信息。
在本步骤中,主机A根据路由器3存储的会话合法地址表项信息,向该表中的本端路由器标识对应的路由器发送该表,在本发明实施例中,主机A向路由器1发送路由器3的会话合法地址表项信息。
步骤612:路由器1更新会话合法地址表项信息。
在本步骤中,路由器1根据主机A发送的路由器3存储的会话合法地址表项信息,更新自身的会话合法地址表项信息。从而使得主机A的所有与会话1有关的路由器中的会话合法地址表项信息保持一致。
相应地,在主机A在会话1中不再继续使用地址3时,也可以执行步骤610至步骤612,向会话1相关的全部本端路由器发送地址更新消息,该地址更新消息中包括在会话1的记录中删除地址3之后的会话更新消息,从而使得主机A的所有与会话1有关的路由器中的会话合法地址表项信息中均删除地址3。
在本发明实施例六中,通过记录主机的合法地址,并且每次收到来自未知地址的请求时,都与该请求中标明的发送该请求的主机验证该地址的合法性,从而既避免了攻击者以虚假地址发起泛洪攻击,也避免了攻击者假冒合法的主机的身份发起的劫持攻击。进一步地,通过记录主机在会话中对应的路由器,每当该会话中主机新增或删除了合法地址后,均向记录的主机在会话中对应的全部路由器发起更新过程,使主机在会话中对应的全部路由器中记录的主机的合法地址实时保持最新,从而提高了对未知地址进行合法性验证的准确性。
图7为本发明实施例七的多接入网络中的安全方法的信令流程图。在本发明实施例七中,仍以图5所示的网络结构为例,以主机C作为攻击者为例,介绍主机C以主机A的身份向路由器4发起加入会话请求的情况下,防止主机C的攻击的方法。如图7所示,该方法包括以下过程。
在主机A与主机B已经建立MPTCP通信后,其中,主机A与路由器1连接,主机B与路由器4连接,执行以下步骤。
步骤701:主机C向路由器4发送新地址加入会话请求消息。
在本步骤中,主机C向路由器4发送新地址加入会话请求消息,该会话请求消息包括:会话标识、主机标识和待加入地址,具体地,会话标识为会话1,主机标识为主机A,待加入地址为地址6,从而主机C以主机A的身份发起加入会话请求。
步骤702:路由器4在存储的会话合法地址表项信息中查找会话1中主机A的合法地址。
在本步骤中,路由器4在存储的会话合法地址表项信息中查找,获得会话1中主机A的合法地址为地址1。
步骤703:路由器4判断会话1中主机A的合法地址中是否包括地址6。
在本步骤中,路由器4获取会话1中主机A的合法地址为地址1,不包括地址6,因此继续执行步骤704。
步骤704:路由器4向路由器1发送地址查询消息。
在本步骤中,路由器4根据所述主机的合法地址向所述主机对应的路由器发送地址查询消息。具体地,路由器4向地址1发送地址查询消息,根据该地址1,将该地址查询消息发送到路由器1上。地址查询消息中包括:待加入地址,在本发明实施例中,待加入的地址为地址6。
步骤705:路由器1在会话合法地址表项信息中查询地址6。
步骤706:路由器1向路由器4发送查询反馈消息。
在本步骤中,路由器1向路由器4发送查询反馈消息,该查询反馈消息为否定答复。
步骤707:路由器4向主机C发送拒绝会话请求消息。
在本发明实施例七中,当攻击者冒充主机A以攻击者自身的地址向主机B对应的路由器发送加入会话请求时,主机B对应的路由器向主机A对应的路由器询问该地址是否合法,主机A对应的路由器识别出该地址非法,则主机B对应的路由器拒绝攻击者的请求,从而避免了攻击者冒充合法主机加入会话,防止该攻击者进行劫持攻击。
图8为本发明实施例八的多接入网络中的安全方法的信令流程图。在本发明实施例把中,仍以图5所示的网络结构为例,以主机C作为攻击者为例,介绍主机C以主机A的身份向路由器1发起加入会话请求的情况下,防止主机C的攻击的方法。如图8所示,该方法包括以下过程。
在主机A与主机B已经建立MPTCP通信后,其中,主机A与路由器1连接,主机B与路由器4连接,执行以下步骤。
步骤801:主机C向路由器1发送新地址加入会话请求消息。
在本步骤中,主机C向路由器1发送新地址加入会话请求消息,该会话请求消息包括:会话标识、主机标识和待加入地址,具体地,会话标识为会话1,主机标识为主机A,待加入地址为地址6,从而主机C以主机A的身份发起加入会话请求。
步骤802:路由器1在存储的会话合法地址表项信息中查找会话1中主机A的合法地址。
在本步骤中,路由器1在存储的会话合法地址表项信息中查找,获得会话1中主机A的合法地址为地址1。
步骤803:路由器1判断会话1中主机A的合法地址中是否包括地址6。
在本步骤中,路由器4获取会话1中主机A的合法地址为地址1,不包括地址6,因此继续执行步骤804。
步骤804:路由器1向主机A发送地址查询消息。
在本步骤中,路由器1根据所述主机的合法地址向所述主机发送地址查询消息。具体地,路由器1向地址1发送地址查询消息,根据该地址1,将该地址查询消息发送到主机A上。地址查询消息中包括:待加入地址,在本发明实施例中,待加入的地址为地址6。
步骤805:主机A在会话合法地址表项信息中查询地址6。
步骤806:主机A向路由器1发送查询反馈消息。
在本步骤中,主机A向路由器1发送查询反馈消息,该查询反馈消息为否定答复。
步骤807:路由器1向主机C发送拒绝会话请求消息。
在本发明实施例八中,当攻击者冒充主机A以攻击者自身的地址向主机A对应的路由器发送加入会话请求时,主机A对应的路由器向主机A询问该地址是否合法,主机A识别出该地址非法,则主机A对应的路由器拒绝攻击者的请求,从而避免了攻击者冒充合法主机加入会话,防止该攻击者进行劫持攻击。
在上述本发明各个实施例中,可以在上述实施例中涉及的各个路由器上分别设置一个入口过滤器,通过该入口过滤器存储、维护、查找该会话合法地址表项信息并根据具体情况控制路由器发送相应的消息或转发数据,从而实现上述实施例中各个路由器的功能。
图9为本发明实施例九的路由器的结构示意图。该路由器可以执行上述本发明实施例一至本发明实施例八中的第一路由器的功能。如图9所示,该路由器至少包括:接收单元91、第一查询单元92、第二查询单元93、会话控制单元94。进一步地,还可以包括:判断单元95、发送单元96和/或维护单元97。
其中,接收单元91,用于接收新地址加入会话请求消息,所述新地址加入会话请求消息中包括:会话标识、待加入主机的主机标识、待加入地址;第一查询单元92,用于根据预设的会话合法地址表项信息查询会话中待加入主机的合法地址;第二查询单元93,用于向所述待加入主机的合法地址查询所述待加入主机的待加入地址的合法性;会话控制单元94,用于根据查询结果确定是否在所述会话中加入所述待加入地址。
在上述技术方案的基础上,进一步地,所述新地址加入会话请求消息中还包括:通信对端地址。相应地,所述路由器还包括:判断单元95和发送单元96。其中,所述判断单元95用于在所述接收单元91接收新地址加入会话请求消息之后,在所述第一查询单元92根据预设的会话合法地址表项信息查询会话中待加入主机的合法地址之前,判断自身下属网络中包括所述待加入地址或所述通信对端地址。若所述判断单元95判断所述路由器下属网络中包括所述待加入地址,则所述第一查询单元92具体用于从自身存储的会话合法地址表项信息或所述新地址加入会话请求消息中携带的会话合法地址表项信息中查询会话中待加入主机的合法地址,所述第二查询单元93具体用于向所述合法地址对应的主机发送地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址,以使所述主机查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址,并向所述路由器返回查询反馈消息。若所述判断单元95判断所述路由器下属网络中包括所述通信对端地址,则所述第一查询单元92具体用于从自身存储的会话合法地址表项信息或所述通信对端地址对应的主机存储的会话合法地址表项信息查找所述会话标识和所述主机标识对应的合法地址;所述第二查询单元93具体用于向所述合法地址对应的另一路由器发送地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址,以使所述另一路由器查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址,并向所述路由器返回查询反馈消息。若所述判断单元95判断所述路由器下属网络中既不包括所述待加入地址又不包括所述通信对端地址,则所述发送单元96按照路径转发所述新地址加入会话请求消息。
在上述技术方案的基础上,进一步地,所述第二查询单元93具体用于从自身存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址,若未查找到,从所述新地址加入会话请求消息中携带的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址。和/或,所述第二查询单元93具体用于从自身存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址,若未查找到,从所述通信对端地址对应的主机存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址。
在上述技术方案的基础上,进一步地,所述的路由器还可以包括:维护单元97。相应地,所述接收单元91还用于接收来自自身对应的主机的新地址启用消息,所述新地址启用消息是所述路由器对应的主机与其它主机建立会话时发送的,所述新地址启用消息中包括:会话标识、本端主机的主机标识、对端主机的主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址;所述维护单元97用于将所述新地址启用消息中的内容存储到所述会话合法地址表项信息中。和/或,所述维护单元97用于在自身存储的会话合法地址表项信息中删除失效的地址,所述发送单元96还用于向所述路由器对应的主机以及所述失效的地址对应的通信对端路由器发送地址删除通知消息,以使所述路由器对应的主机以及所述失效的地址对应的通信对端路由器在存储的会话合法地址表项信息中删除所述失效的地址。
在上述技术方案的基础上,进一步地,所述会话控制单元94具体用于在所述查询反馈消息为肯定答复时,控制所述维护单元97在所述路由器自身存储的会话合法地址表项信息中所述会话标识和所述主机标识对应的合法地址中增加所述待加入地址,并控制所述发送单元96转发来自所述待加入地址的消息,在所述查询反馈消息为否定答复时,控制所述发送单元96向所述待加入地址发送拒绝加入会话消息。相应地,所述维护单元97还用于在所述路由器在自身存储的会话合法地址表项信息中所述会话标识和所述主机标识对应的合法地址中增加所述待加入地址之后,向自身对应的主机发送地址更新消息,所述地址更新消息中包括所述路由器存储的会话合法地址表项信息,以使所述路由器对应的主机向所述路由器存储的会话合法地址表项信息中的本端路由器标识对应的路由器发送所述路由器存储的会话合法地址表项信息。
图10为本发明实施例十的路由器的结构示意图。该路由器可以执行上述本发明实施例一至本发明实施例八中的第二路由器的功能。如图10所示,该路由器至少包括:接收单元1001、查询单元1002、发送单元1003。
其中,接收单元1001,用于接收来自另一路由器的待加入地址的合法性查询请求;查询单元1002,用于根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法;发送单元1003,用于向所述另一路由器返回查询结果,以使所述另一路由器根据查询结果确定是否在所述会话中加入所述待加入地址。
在上述技术方案的基础上,进一步地,所述接收单元1001具体用于接收来自所述另一路由器的地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址;相应地,所述查询单元1002具体用于查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址;相应地,所述发送单元1003具体用于向所述另一路由器返回查询反馈消息,若所述第二路由器自身存储的会话合法地址表项信息中所述会话标识对应的合法地址包括所述待加入地址,则所述查询反馈消息为肯定答复,若所述第二路由器自身存储的会话合法地址表项信息中所述会话标识对应的合法地址不包括所述待加入地址,则所述查询反馈消息为否定答复。
图11为本发明实施例十一的主机的结构示意图。该主机可以执行上述本发明实施例一至本发明实施例八中的主机的功能。如图11所示,该主机至少包括:接收单元1101、查询单元1102、发送单元1103。进一步地,还可以包括:维护单元1104。
其中,接收单元1101,用于接收来自对应的路由器的待加入地址的合法性查询请求;查询单元1102,用于根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法;发送单元1103,用于向所述路由器返回查询结果,以使所述路由器根据查询结果确定是否在所述会话中加入所述待加入地址。
在上述技术方案的基础上,进一步地,所述接收单元1101,具体用于接收来自所述路由器的地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址;相应地,所述查询单元1102具体用于查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址;相应地,所述发送单元1103具体用于向所述路由器返回查询反馈消息,若所述主机自身存储的会话合法地址表项信息中所述会话标识对应的合法地址包括所述待加入地址,则所述查询反馈消息为肯定答复,若所述主机自身存储的会话合法地址表项信息中所述会话标识对应的合法地址不包括所述待加入地址,则所述查询反馈消息为否定答复。
在上述技术方案的基础上,进一步地,还可以包括:维护单元1104。所述维护单元1104用于在会话建立过程生成并存储所述会话合法地址表项信息;和/或,所述维护单元1104用于在新的路由器连接到所述主机时,根据所述新的路由器的会话合法地址表项信息更新所述主机自身存储的会话合法地址表项信息;和/或,所述维护单元1104用于在存储的所述会话合法地址表项信息中删除不再使用的地址,所述发送单元1103还用于向所述主机对应的路由器以及所述不再使用的地址对应的通信对端主机发送地址删除通知消息,以使所述主机对应的路由器以及所述不再使用的地址对应的通信对端主机在存储的会话合法地址表项信息中删除所述不再使用的地址。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种多接入网络中的安全方法,其特征在于,包括:
在每个路由器上维护一张会话合法地址表项信息,所述会话合法地址表项信息用于记录已经建立的会话的合法信息,其中,对于每一个会话记录的信息包括:会话标识、本端主机标识、对端主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址;
第一路由器接收新地址加入会话请求消息,所述新地址加入会话请求消息中包括:会话标识、待加入主机的主机标识、待加入地址、通信对端地址;
所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址;
所述第一路由器向所述待加入主机的合法地址查询所述待加入主机的待加入地址的合法性;
所述第一路由器根据查询结果确定是否在所述会话中加入所述待加入地址;
其中,若所述第一路由器下属网络中包括所述待加入地址,则所述第一路由器向所述待加入主机的合法地址查询所述待加入主机的待加入地址的合法性包括:所述第一路由器向所述合法地址对应的主机发送地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址,以使所述主机查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址,并向所述第一路由器返回查询反馈消息;若所述第一路由器下属网络中包括所述通信对端地址,则所述第一路由器向所述待加入主机的合法地址查询所述待加入主机的待加入地址的合法性包括:所述第一路由器向所述合法地址对应的第二路由器发送地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址,以使所述第二路由器查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址,并向所述第一路由器返回查询反馈消息。
2.根据权利要求1所述的方法,其特征在于,
所述第一路由器接收新地址加入会话请求消息之后,所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址之前,还包括:
所述第一路由器判断自身下属网络中是否包括所述待加入地址或所述通信对端地址;
若所述第一路由器下属网络中包括所述待加入地址,则所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息或所述新地址加入会话请求消息中携带的会话合法地址表项信息中查询会话中待加入主机的合法地址;
若所述第一路由器下属网络中包括所述通信对端地址,则所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息或所述通信对端地址对应的主机存储的会话合法地址表项信息查找所述会话标识和所述主机标识对应的合法地址;
若所述第一路由器下属网络中既不包括所述待加入地址又不包括所述通信对端地址,则所述第一路由器按照预设路径转发所述新地址加入会话请求消息。
3.根据权利要求2所述的方法,其特征在于,
所述第一路由器从自身存储的会话合法地址表项信息或所述新地址加入会话请求消息中携带的会话合法地址表项信息中查询会话中待加入主机的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址,若未查找到,从所述新地址加入会话请求消息中携带的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址;
所述第一路由器从自身存储的会话合法地址表项信息或所述通信对端地址对应的主机存储的会话合法地址表项信息查找所述会话标识和所述主机标识对应的合法地址包括:所述第一路由器从自身存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址,若未查找到,从所述通信对端地址对应的主机存储的会话合法地址表项信息中查找所述会话标识和所述主机标识对应的合法地址。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,还包括:
所述第一路由器接收来自自身对应的主机的新地址启用消息,所述新地址启用消息是所述第一路由器对应的主机与其它主机建立会话时发送的,所述新地址启用消息中包括:会话标识、本端主机的主机标识、对端主机的主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址;所述第一路由器将所述新地址启用消息中的内容存储到所述会话合法地址表项信息中;
和/或,所述第一路由器在自身存储的会话合法地址表项信息中删除失效的地址,向所述第一路由器对应的主机以及所述失效的地址对应的通信对端路由器发送地址删除通知消息,以使所述第一路由器对应的主机以及所述失效的地址对应的通信对端路由器在存储的会话合法地址表项信息中删除所述失效的地址。
5.根据权利要求4所述的方法,其特征在于,
所述第一路由器根据查询结果确定是否在所述会话中加入所述待加入地址包括:在所述查询反馈消息为肯定答复时,所述第一路由器在自身存储的会话合法地址表项信息中所述会话标识和所述主机标识对应的合法地址中增加所述待加入地址,转发来自所述待加入地址的消息;在所述查询反馈消息为否定答复时,所述第一路由器向所述待加入地址发送拒绝加入会话消息;
所述第一路由器在自身存储的会话合法地址表项信息中所述会话标识和所述主机标识对应的合法地址中增加所述待加入地址之后,还包括:所述第一路由器向自身对应的主机发送地址更新消息,所述地址更新消息中包括所述第一路由器存储的会话合法地址表项信息,以使所述第一路由器对应的主机向所述第一路由器存储的会话合法地址表项信息中的本端路由器标识对应的路由器发送所述第一路由器存储的会话合法地址表项信息。
6.一种多接入网络中的安全方法,其特征在于,包括:
在每个路由器上维护一张会话合法地址表项信息,所述会话合法地址表项信息用于记录已经建立的会话的合法信息,其中,对于每一个会话记录的信息包括:会话标识、本端主机标识、对端主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址;
第一路由器接收新地址加入会话请求消息,所述新地址加入会话请求消息中包括:会话标识、待加入主机的主机标识、待加入地址、通信对端地址;
所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址;
若所述第一路由器下属网络中包括所述通信对端地址,则所述第一路由器向所述合法地址对应的第二路由器发送地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址;
第二路由器接收来自第一路由器的待加入地址的合法性查询请求;
所述第二路由器根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法;
所述第二路由器向所述第一路由器返回查询结果,以使所述第一路由器根据查询结果确定是否在所述会话中加入所述待加入地址。
7.根据权利要求6所述的方法,其特征在于,
所述第二路由器接收来自第一路由器的待加入地址的合法性查询请求包括:所述第二路由器接收来自所述第一路由器的所述地址查询消息;
所述第二路由器根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法包括:所述第二路由器查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址;
所述第二路由器向所述第一路由器返回查询结果包括:所述第二路由器向所述第一路由器返回查询反馈消息,若所述第二路由器自身存储的会话合法地址表项信息中所述会话标识对应的合法地址包括所述待加入地址,则所述查询反馈消息为肯定答复,若所述第二路由器自身存储的会话合法地址表项信息中所述会话标识对应的合法地址不包括所述待加入地址,则所述查询反馈消息为否定答复。
8.一种多接入网络中的安全方法,其特征在于,包括:
在每个路由器上维护一张会话合法地址表项信息,所述会话合法地址表项信息用于记录已经建立的会话的合法信息,其中,对于每一个会话记录的信息包括:会话标识、本端主机标识、对端主机标识、本端路由器标识、本端主机的合法地址、对端主机的合法地址;
第一路由器接收新地址加入会话请求消息,所述新地址加入会话请求消息中包括:会话标识、待加入主机的主机标识、待加入地址;
所述第一路由器根据获取的会话合法地址表项信息查询会话中待加入主机的合法地址;
若所述第一路由器下属网络中包括所述待加入地址,则所述第一路由器向所述合法地址对应的主机发送地址查询消息,所述地址查询消息包括:所述会话标识和所述待加入地址;
主机接收来自对应的路由器的待加入地址的合法性查询请求;
所述主机根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法;
所述主机向所述路由器返回查询结果,以使所述路由器根据查询结果确定是否在所述会话中加入所述待加入地址。
9.根据权利要求8所述的方法,其特征在于,
所述主机接收来自对应的路由器的待加入地址的合法性查询请求包括:所述主机接收来自所述路由器的所述地址查询消息;
所述主机根据自身存储的会话合法地址表项信息,查询所述待加入地址是否合法包括:所述主机查询自身存储的会话合法地址表项信息中所述会话标识对应的合法地址列表是否包括所述待加入地址;
所述主机向所述路由器返回查询结果包括:所述主机向所述路由器返回查询反馈消息,若所述主机自身存储的会话合法地址表项信息中所述会话标识对应的合法地址包括所述待加入地址,则所述查询反馈消息为肯定答复,若所述主机自身存储的会话合法地址表项信息中所述会话标识对应的合法地址不包括所述待加入地址,则所述查询反馈消息为否定答复。
10.根据权利要求8或9所述的方法,其特征在于,还包括:
所述主机在会话建立过程生成并存储所述会话合法地址表项信息;
和/或,在新的路由器连接到所述主机时,所述主机根据所述新的路由器的会话合法地址表项信息更新所述主机自身存储的会话合法地址表项信息;
和/或,所述主机在存储的所述会话合法地址表项信息中删除不再使用的地址,向所述主机对应的路由器以及所述不再使用的地址对应的通信对端主机发送地址删除通知消息,以使所述主机对应的路由器以及所述不再使用的地址对应的通信对端主机在存储的会话合法地址表项信息中删除所述不再使用的地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310185696.5A CN103327006B (zh) | 2013-05-17 | 2013-05-17 | 多接入网络中的安全方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310185696.5A CN103327006B (zh) | 2013-05-17 | 2013-05-17 | 多接入网络中的安全方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103327006A CN103327006A (zh) | 2013-09-25 |
| CN103327006B true CN103327006B (zh) | 2016-12-28 |
Family
ID=49195537
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310185696.5A Active CN103327006B (zh) | 2013-05-17 | 2013-05-17 | 多接入网络中的安全方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103327006B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106982234A (zh) * | 2017-05-26 | 2017-07-25 | 杭州迪普科技股份有限公司 | 一种arp攻击防御方法及装置 |
| CN112272179B (zh) * | 2020-10-23 | 2022-02-22 | 新华三信息安全技术有限公司 | 一种网络安全处理方法、装置、设备及机器可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022458A (zh) * | 2007-03-23 | 2007-08-22 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
| EP2495927A1 (en) * | 2011-03-02 | 2012-09-05 | Alcatel Lucent | Concept for providing information on a data packet association and for forwarding a data packet |
| CN103067385A (zh) * | 2012-12-27 | 2013-04-24 | 深圳市深信服电子科技有限公司 | 防御会话劫持攻击的方法和防火墙 |
-
2013
- 2013-05-17 CN CN201310185696.5A patent/CN103327006B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022458A (zh) * | 2007-03-23 | 2007-08-22 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
| EP2495927A1 (en) * | 2011-03-02 | 2012-09-05 | Alcatel Lucent | Concept for providing information on a data packet association and for forwarding a data packet |
| CN103067385A (zh) * | 2012-12-27 | 2013-04-24 | 深圳市深信服电子科技有限公司 | 防御会话劫持攻击的方法和防火墙 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103327006A (zh) | 2013-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7133010B2 (ja) | Diameterエッジエージェント(DEA:DIAMETER EDGE AGENT)を用いる、アウトバウンドローミング加入者に対するモビリティ管理エンティティ(MME:MOBILITY MANAGEMENT ENTITY)認証のための、方法、システム、およびコンピュータ読み取り可能な媒体 | |
| US10958623B2 (en) | Identity and metadata based firewalls in identity enabled networks | |
| JP3459183B2 (ja) | パケット検証方法 | |
| JP6080313B2 (ja) | 仮想ネットワークを実装及び管理するシステム及び方法 | |
| CN102754409B (zh) | 用于直径协议协调的方法、系统和计算机可读介质 | |
| CN108234522A (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
| US7647623B2 (en) | Application layer ingress filtering | |
| CN103763194B (zh) | 一种报文转发方法及装置 | |
| CN105009509A (zh) | 在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议 | |
| RU2006129488A (ru) | Устройство динамического управления сетью и способ динамического управления сетью | |
| US20080112374A1 (en) | System and method for redirecting requests | |
| CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
| CN112492602B (zh) | 5g终端安全接入装置、系统及设备 | |
| CN106254152A (zh) | 一种流量控制策略处理方法和装置 | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和系统 | |
| CN108540588A (zh) | Mac地址获取方法及系统、网络安全设备及可读存储介质 | |
| US8893271B1 (en) | End node discovery and tracking in layer-2 of an internet protocol version 6 network | |
| KR100964350B1 (ko) | IPv6 환경에서의 SEND와 IPSec 협업 기법 및시스템 | |
| CN103327006B (zh) | 多接入网络中的安全方法 | |
| CN109936515A (zh) | 接入配置方法、信息提供方法及装置 | |
| CN102752266B (zh) | 访问控制方法及其设备 | |
| CN109698869B (zh) | 私网穿越方法、通信节点及存储介质 | |
| CN114710388B (zh) | 一种校园网安全系统及网络监护系统 | |
| CN113518032B (zh) | 基于SRv6的用户可信标识携带方法及系统 | |
| CN107707685B (zh) | 一种无线路由器访问控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |