CN108076037A - 用于使用一次性cookie来防御拒绝服务攻击的装置、系统和方法 - Google Patents
用于使用一次性cookie来防御拒绝服务攻击的装置、系统和方法 Download PDFInfo
- Publication number
- CN108076037A CN108076037A CN201710073793.3A CN201710073793A CN108076037A CN 108076037 A CN108076037 A CN 108076037A CN 201710073793 A CN201710073793 A CN 201710073793A CN 108076037 A CN108076037 A CN 108076037A
- Authority
- CN
- China
- Prior art keywords
- cookie
- node
- data packet
- group
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/02—Details
- H04J3/06—Synchronising arrangements
- H04J3/0635—Clock or time synchronisation in a network
- H04J3/0638—Clock or time synchronisation among nodes; Internode synchronisation
- H04J3/0658—Clock or time synchronisation among packet nodes
- H04J3/0661—Clock or time synchronisation among packet nodes using timestamps
- H04J3/0667—Bidirectional timestamps, e.g. NTP or PTP for compensation of clock drift and for compensation of propagation delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请的各实施例涉及用于使用一次性COOKIE来防御拒绝服务攻击的装置、系统和方法。所公开的装置可以包括:(1)存储设备,其存储促进认证从网络内的节点接收的数据包的一组cookie,以及(2)处理单元,其通信地耦合到存储设备,其中处理单元:(A)从该节点接收至少一个数据包,(B)标识被包括在从该节点接收的数据包中的cookie,(C)在被存储在存储设备中的该一组cookie中检索在从该节点接收的数据包中包括的该cookie,(D)在对该一组cookie的检索期间,标识被包括在该数据包中的该cookie,以及(E)通过至少部分基于被包括在该数据包中的、在被存储在存储设备中的该一组cookie中标识的该cookie认证该数据包的合法性,来防御DoS攻击。还公开了各种其它装置、系统和方法。
Description
背景技术
拒绝服务(DoS)攻击通常由恶意用户施行,以试图致使计算资源(比如网络节点和/或服务器)不可用和/或不可操作。恶意用户可能实施DoS攻击的一种方式是通过扰乱网络内的受信任节点之间的时间同步。例如,恶意用户可以伪装为受信任对等体,并且使用该受信任对等体的因特网协议(IP)地址和/或介质访问控制(MAC)地址来向一个或多个其他对等体发送非法的时间同步数据包。这些非法数据包可以将不准确值引入到时间同步计算中,从而潜在地致使这些节点在彼此之间不可用和/或不可操作。
因此,本公开内容标识并解决了针对防御DoS攻击的附加和改进的装置、系统和方法的需求。
发明内容
如以下将被更具体地描述的那样,本公开内容总体上涉及用于防御DoS攻击的装置、系统和方法。在一个示例中,一种用于实现这样的任务的装置可以包括:(1)存储设备,该存储设备存储促进认证从网络内的节点接收的数据包的一组cookie,以及(2)处理单元,该处理单元通信地耦合到存储设备,其中所述处理单元:(A)从网络内的该节点接收至少一个数据包,(B)标识被包括在从该节点接收的该数据包中的cookie,(C)在被存储在存储设备中的该一组cookie中检索被包括在从该节点接收的该数据包中的该cookie,(D)在对该一组cookie的检索期间,标识被包括在从该节点接收的该数据包中的该cookie,以及(E)通过至少部分基于被包括在该数据包中的、在被存储在存储设备中的该一组cookie中标识的该cookie认证该数据包的合法性,来防御DoS攻击。
类似的,一种并入上述装置的路由器可以包括(1)存储设备,该存储设备存储促进认证从网络内的节点接收的数据包的一组cookie,以及(2)处理单元,该处理单元通信地耦合到存储设备,其中所述处理单元:(A)从网络内的该节点接收至少一个数据包,(B)标识被包括在从该节点接收的该数据包中的cookie,(C)在被存储在存储设备中的该一组cookie中检索被包括在从该节点接收的该数据包中的该cookie,(D)在对该一组cookie的检索期间,标识被包括在从该节点接收的该数据包中的该cookie,以及(E)通过至少部分基于被包括在该数据包中的、在被存储在存储设备中的该一组cookie中标识的该cookie认证该数据包的合法性,来防御DoS攻击。
一种对应的方法可以包括:(1)从网络内的节点接收至少一个数据包,(2)标识被包括在从该节点接收的该数据包中的cookie,(3)在促进认证从该节点接收的数据包的一组cookie中检索被包括在该数据包中的该cookie,(4)在对该一组cookie的检索期间,标识被包括在该数据包中的该cookie,以及(5)通过至少部分基于被包括在该数据包中的、在该一组cookie中标识的该cookie认证该数据包的合法性,来防御DoS攻击。
可以根据这里描述的一般原理相互组合地使用来自上述实施例中的任何实施例的特征。在与附图和权利要求结合阅读以下具体实施方式时,将更完全地理解这些和其它实施例、特征和优点。
附图说明
附图图示了多个示例性实施例并且是说明书的一部分。与以下描述一起,这些附图示范和说明了本公开内容的各种原理。
图1是用于防御DoS攻击的示例性装置的框图。
图2是用于防御DoS攻击的装置的示例性实现方式的框图。
图3是促进认证从网络内的节点接收的数据包的示例性cookie的图示。
图4是关于一组cookie促进协调节点和装置的示例性带外操作的时序图。
图5是关于一组cookie促进协调节点和装置的示例性带内操作的时序图。
图6是关于一组cookie促进协调一个发送方和多个接收方的示例性配置操作的时序图。
图7是用于防御DoS攻击的示例性方法的流程图。
图8是能够实施在此描述和/或说明的实施例中的一个或多个实施例和/或关于这些实施例而被使用的示例性计算系统的框图。
贯穿附图,相同标号和描述指示相似但是未必相同的单元。尽管这里描述的示例性实施例易有各种修改和备选形式,但是已经在附图中通过示例示出并且这里将详细地描述具体实施例。然而,这里描述的示例性实施例并非旨在于限于公开的具体形式。实际上,本公开内容覆盖落在所附权利要求的范围内的所有修改、等效物和备选。
具体实施方式
本公开内容描述了用于防御DoS攻击的各种装置、系统和方法。如以下将更为详细地说明的那样,本公开内容的各实施例可以至少部分基于一组cookie来认证在网络内的节点之间交换的时间同步数据包。例如,第一节点和第二节点可以经由时间同步协议(比如网络时间协议(NTP)和/或精确时间协议(PTP))来尝试彼此同步。作为这一同步尝试的部分,第一节点可以向第二节点发送一组秘密cookie。可以作为带内和/或带外通信来发送该传输。附加地或备选地,这一传输可以由第一节点使用私钥加密和/或由第二节点使用对应的公钥解密。
在该一组秘密cookie到达第二节点后,第二节点可以接收似乎是源自于第一节点的时间同步数据包。第二节点可以通过首先标识时间同步数据包内的cookie来认证该时间同步数据包。第二节点可以然后在该一组秘密cookie中检索在时间同步数据包内标识的cookie。
在一方面,当在该一组秘密cookie中找到了该cookie的情况下,第二节点可以确认该时间同步数据包合法和/或是源自第一节点。响应于确认数据包的合法性,第二节点可以从该一组秘密cookie移除在数据包中标识的cookie,并且然后在对应的时间同步计算中考虑和/或使用该时间同步数据包。在另一方面,当在该一组秘密cookie中未能找到该cookie的情况下,第二节点可以确定该时间同步数据包非法。作为结果,第二节点可以忽略和/或拒绝在对应的同步时间计算中考虑和/或使用该时间同步数据包。如此,第二节点可以防御涉及扰乱第一节点和第二节点之间的时间同步的DoS攻击。
以下将参照图1和图2来提供用于防御DoS攻击的装置和对应的实现方式的示例。对应于图3的讨论将提供促进认证从网络内的节点接收的数据包的cookie示例。对应于图4至图6的讨论将提供与cookie传输有关的时序图的示例。对应于图7的讨论将提供用于防御DoS攻击的方法的示例。最后,对应于图8的讨论将提供可以包括在图1中所示的部件的系统的多种示例。
图1示出了用于防御DoS攻击的示例性装置100。装置100的示例包括但不限于:网络设备,路由器,交换机,集线器,调制解调器,网桥,中继器,网关,负载均衡器,多路复用器,网络适配器,服务器,客户端设备,它们中的一项或多项的部分,它们中的一项或多项的变型或者组合,和/或任何其它适当的装置。
如图1中所示,装置100可以包括存储设备102和处理单元106。存储设备102通常代表任何类型或形式的易失性或非易失性存储器或存储介质,它们能够存储数据和/或计算机可读指令。在一个示例中,存储设备102可以存储,加载和/或保持一组cookie 104。存储设备102的示例包括但不限于:随机存取存储器(RAM),只读存储器(ROM),闪存,硬盘驱动(HDD),固态驱动(SSD),光盘驱动,高速缓存,它们中的一项或多项的变型或者组合,和/或任何其它适当的存储设备。
cookie 104各自通常表示被用于认证、证实和/或无效在网络内的节点之间传送的数据包的数据。在一个示例中,cookie可以表示促进从一个节点向另一节点传送的单个数据包的认证的数据。因此,cookie可能不能认证从一个节点向另一节点传送的多个数据包。在单次使用之后,该cookie可以被从一组秘密cookie处理掉、删除和/或移除。
处理单元106通常表示任何类型或形式的由硬件实现的能够解译和/或执行计算机可读指令的处理器。在一个示例中,处理单元106可以访问,添加,移除,和/或修改被存储在存储设备102中的cookie 104。处理单元106的示例包括但不限于:物理处理器,微处理器,微控制器,中央处理单元(CPU),实现软核处理器的现场可编程门阵列(FPGA),专用集成电路(ASIC),它们中的一项或多项的部分,它们中的一项或多项的变型或者组合,和/或任何其它适当的处理单元。
图1中的装置100可以按照各种方式和/或情境被实施。作为具体示例,图2示出了包括用于防御DoS攻击的装置100的示例性实现方式200的框图。如图2中所示,实现方式200可以包括由多个计算设备组成的网络204。例如,网络204可以包括和/或表示节点202、节点206和/或装置100。在这一示例中,节点202和206可以能够经由装置100互相交换通信。网络204可以包括位于节点202和206之间和/或被包括在链接节点202和206的路径中的网络设备(未必在图2中示出)。
节点202和206的各自通常表示能够读取计算机可执行指令的任何类型或形式的计算设备。在一个示例中,节点202和206可以各自包括和/或表示物理网络设备(比如路由器、交换机和/或网关)。节点202和206的附加的示例包括但不限于:客户端设备,计算设备,服务器,膝上型,平板计算机,台式计算机,存储设备,蜂窝电话,个人数字助理(PDA),多媒体播放器,嵌入式系统,可穿戴设备(例如,智能手表,智能眼镜等),游戏机,它们中的一项或多项的变型或者组合和/或任何其它适当的节点。
网络204通常表示能够促进通信或数据传送的任何介质或架构。在一个示例中,网络204可以促进节点202和206之间的通信。在这一示例中,网络204可以使用无线和/或有线连接来促进通信或数据传送。网络204的示例包括但不限于:内联网,广域网(WAN),局域网(LAN),个人局域网(PAN),因特网,电力线通信(PLC),蜂窝网络(例如,全球移动通信系统(GSM)网络),它们中的一项或者多项的部分,它们中的一项或者多项的组合或者变型和/或任何其它适当网络。虽然未必在图2中以这种方式被示出,但是网络204除了节点202、206和装置100以外,也可以包括和/或表示各种其他计算设备。
在一些示例中,装置100的处理单元106可以从节点202接收至少一个数据包。例如,节点202可以发起与装置100的时间同步操作。作为这一时间同步操作的一部分,节点202可以经由网络204向装置100发送一系列NTP或PTP数据包。随着这些数据包中的一个到达装置100,处理单元106可以标识被包括在这一数据包中的cookie。
在一些示例中,处理单元106可以在被存储在存储设备102中的cookie 104中检索在从节点202接收的数据包中标识的相同cookie。在对cookie 104的这一检索期间,处理单元106可以标识被标识在数据包中的cookie。由于在这一示例中,在cookie 104中找到了相同的cookie,因此处理单元106可以通过确认数据包合法和/或源自节点202来确认该数据包有效。作为结果,处理单元106可以将这一数据包并入到对应的时间同步计算中和/或在对应的时间同步计算中考虑这一数据包。
在一些示例中,响应于在cookie 104中标识相同的cookie并且因此确认数据包有效,处理单元106可以将该cookie从cookie 104移除。通过以这种方式移除cookie,处理单元106可以确保相同的cookie不会再对从该节点接收到的任何未来数据包有效。换言之,在具有相同cookie的后续的数据包到达装置100的情况下,处理单元106可以忽略该后续的数据包和/或拒绝认证后续的数据包,因为该cookie已经被从cookie 104移除。
在一个示例中,随着另一数据包到达装置100,处理单元106可以标识被包括在这一另一数据包中的cookie。处理单元106然后可以在被存储在存储设备102中的cookie 104中检索在这一另一数据包中标识的相同的cookie。在对cookie 104的这一检索期间,处理单元106可能未能标识在另一数据包中标识的cookie,因为该cookie未被包括在cookie104中。由于在这一示例中,在cookie 104中没有找到该cookie,所以处理单元106可以使该数据包无效,并且因此确定该时间同步数据包非法和/或源自被伪装为节点202的不同的节点(未必在图2中示出)。作为结果,处理单元106可以忽略和/或拒绝在对应的时间同步计算中考虑这一另一数据包。
换言之,处理单元106可以至少部分基于被包括在这样的数据包中的、在被存储在存储设备中的cookie 104中标识的的cookie来认证某些数据包的合法性。响应于这样的认证过程,处理单元106可以在对应的时间同步计算中考虑经认证的数据包。然而,响应于使某些数据包无效,处理单元106可以执行与这样的数据包有关的安全操作。例如,处理单元106可以忽略被使得无效的数据包。在一个示例中,处理单元106可以向安全设备和/或安全应用报告被使得无效的数据包。附加地或备选地,处理单元106可以尝试标识伪装为节点202的设备和/或将其加入黑名单。通过以这种方式考虑经认证的数据包和/或忽略未经认证的数据包,处理单元106可以防御涉及扰乱节点202和装置100之间的时间同步的DoS攻击。
在一些示例中,处理单元可以从节点202接收至少一个通信。这一通信可以包括一组cookie 104。在这样的示例中,处理单元106可以在通信内标识该一组cookie 104。处理单元106可以用该一组cookie 104来填充存储设备102。例如,处理单元106可以将cookie104加入到已被存储在存储设备102中的任何现有的cookie。附加地或备选地,处理单元106可以用cookie 104来替换已被存储在存储设备102中的任何或全部现有的cookie。
在一些示例中,通信可以被加密。例如,节点202可以使用私钥来加密通信。出于安全的目的,节点202可以在可信平台模块(TPM)中存储这一私钥。在这一示例中,节点202可以向装置100发送加密的通信。随着加密的通信到达装置100,处理单元106可以使用私钥的对应的公钥来解密通信。出于安全的目的,处理单元106可以在TPM中存储这一公钥。
图3示出了示例性的一组cookie 104。如图3中所示,cookie 104可以包括和/或表示十六进制表示的列表(在这一示例中,“0x3AF7”、“0xBC19”、“0x42ED”、“0x64A2”、“0x140A”、“0x4820”、“0x47BD”和“0x592F”)。
在一些示例中,节点202和装置100可以按照多种方式执行cookie 104的交换。例如,节点202可以向装置100发送关于设立操作的带外通信。如在此使用的术语“带外”通常指如下通信方案,配置或控制的传输按照该通信方案、独立于主数据流(有时被称为带内数据流)而被发起。这一带外通信可以包括和/或表示独立于主数据流而被发送的cookie 104的列表。在这一示例中,,设立操作可以关于cookie 104来促进协调节点202和装置100。
在这一带外方法中,节点202可以确定被存储在存储设备102中的一组cookie 104内剩余的有效cookie的数量低于特定阈值。例如,节点202可以知道哪些cookie被耗费了并且哪些cookie剩下了,因为节点202负责向装置100发送包括那些的合法的cookie的数据包。响应于确定在一组cookie 104内剩余的有效cookie的数量低于阈值,处理单元106可以向装置100发送与另一设立操作有关的后续的带外通信。这一后续的带外通信可以包括和/或表示cookie的另一列表。在接收到cookie的这一另一列表时,处理单元106可以用cookie的这一其他列表来填充存储设备102以更新该一组。
图4示出了表示在节点202和装置100之间对于对cookie的交换和/或协调的带外方式的示例性时序图400。如图4中所示,管理应用402可以向节点202分发私钥404,并向装置100分发公钥406。节点202和装置100可以然后关于彼此执行设立操作408。作为这一设立操作的一部分,节点202可以用私钥404加密cookie410(1)-(N),并且然后向装置100发送这些加密的cookie。
继续这一示例,装置100可以接收加密的cookie并且然后用公钥406解密加密的cookie。一旦有效的cookie数量下降到特定阈值以下,节点202和装置100就可以关于彼此执行后续的设立操作412,以补充cookie供应。作为这一后续的设立操作的部分,节点202可以使用私钥404来加密cookie414(1)-(N),并且然后向装置100发送这些加密的cookie。
在另一示例中,节点202可以在时钟同步操作期间,向装置100发送带内通信。如在此使用的术语“带内”通常指如下通信方案,配置或控制的传输按照该通信方案被发起为与主数据流位相同的连接。这一带内通信可以包括和/或表示与在主数据流相同的连接上发送cookie 104的列表。附加地或备选地,这一带内通信可以包括和/或表示按照与主数据流相同的时间同步协议(例如,NTP或PTP)而被格式化的数据包。
图5示出了表示在节点202和装置100之间交换和/或协调cookie的带内方法的示例性时序图500。如图5中所示,管理应用402可以向节点202分发私钥404和初始cookie值502,并且向装置100分发公钥406和初始cookie值502。节点202可以生成包括用于在认证在节点202和装置100之间被交换的后续的数据包中使用的第一组秘密cookie的数据包504。数据包504也可以包括初始cookie值502作为数据包的cookie。节点202可以使用私钥404来加密数据包504并且然后将数据包发送给装置100.
继续这一示例,装置100可以接收数据包504,并且然后用公钥406对其解密。装置100也可以通过确认数据包的cookie与初始cookie值502匹配来认证504的合法性。装置100可以配置其自身以允许、认证、和/或考虑后续的数据包,这些后续的数据包的cookie属于被包括在数据包504中的该第一组秘密cookie。
响应于接收和认证数据包504,装置100可以向节点202发送确收(ACK)506。一旦节点202接收到确收506,节点202就可以继续发送数据包508(1)-(N)。在这一示例中,数据包504可以按照与主数据流(例如,数据包508(1)-(N))相同的时间同步协议(例如,NTP或PTP)被格式化。
一旦有效的cookie数量降至特定阈值以下,节点20就2可以使用私钥404来加密包括后续的一组秘密cookie的数据包510。数据包510也可以包括从第一组秘密cookie选择的cookie值以促进认证。节点202然后可以向装置100发送这一数据包以补充cookie供应。装置100可以接收这一数据包,并且然后用公钥406对其解密。装置100也可以通过确认数据包的cookie与来自第一组的秘密cookie之一匹配来认证数据包510的合法性。响应于接收和认证数据包510,装置100可以向节点202发送ACK 512。一旦节点接收到该ACK 512,节点202就可以继续发送数据包514(1)-(N)。在这一示例中,数据包510可以按照与主数据流(例如,数据包514(1)-(N))相同的时间同步协议(例如,NTP或PTP)被格式化。
图6示出了在节点602、节点202和装置100之间交换和/或协调cookie的一对多方式的示例性时序图600。如图6中所示,节点602可以加入节点202。在这一加入之后,节点202可以向节点602发送cookie 104。节点202可以然后向节点602发送作为主数据流的数据包604(1)-(N)。类似地,装置100可以加入节点202。在这一加入之后,节点202可以向装置100发送cookie 104。节点202可以然后向装置100发送作为主数据流的数据包606(1)-(N)。
在一些示例中,节点202和/或装置100可以实现关于它们的通信的不同安全级别。然而,随着安全级别的提高,其它们的通信方案的效率可能降低。例如,较低的安全级别可以涉及仅仅确保从节点202接收的数据包包括有效的cookie。在这一示例中,较高的安全级别可以涉及确保从节点202接收的数据包各自包括的位于固定偏置处的有效cookie。
作为具体示例,包括该一组秘密cookie的通信也可以标识具体骗纸,其为位于从节点202接收的数据包中的每个cookie的具体偏置。例如,节点202可以在向装置100发送的数据包中选择特定偏置以用于放置cookie。节点202可以用标识选择的偏置的偏置表现来配置包括该一组秘密cookie的通信。节点202可以然后向装置100发送通信以相互建立固定的偏置。在接收该通信时,装置100可以能够标识在后续数据包中包括的、位于由节点202选择的偏置处的cookie。
在这一示例中,数据包可以按照时钟同步协议(比如NTP或PTP)被格式化并且具有特定的增强特征。例如,每个数据包可以在数据头中包括用于秘密cookie的新的字段。这一字段可以位于距数据头的开始的固定偏置的位置。
在一个示例中,节点202和/或装置100可以实现与该一组秘密cookie有关的一个或多个老化计数器。例如,cookie中的某个cookie可以具有指示该cookie是否已期满和/或变得陈旧的老化计数器。在这一示例中,节点202和/或装置100可以确定该老化计数器超过特定阈值,从而因此指示该cookie已期满和/或变得陈旧。作为响应,节点202和/或装置100可以从该一组cookie删除和/或移除该已过期和/或陈旧的cookie,从而使得对于由节点202发送和/或由装置100接收的任何未来数据包,该cookie将不再有效。
在一些示例中,装置100可以如有节点202指令的那样配置、应用和/或实现数据包处理规则。在一个示例中,节点202可以向装置100发送用于配置、应用和/或实现这一数据包处理规则的指令(例如,在包括该一组秘密cookie的通信中)。在这一示例中,装置100可以经由硬件(例如,硬件过滤器)来实行这一数据包处理规则。这一数据包处理规则可以控制哪些数据包可以在对应的时间同步计算中被考虑和/或使用。
图7是用于防御DoS攻击的示例性方法700的流程图。方法700可以包括从网络内的节点接收数据包的步骤(710)。这一接收步骤可以按照多种方式被执行。在一个示例中,装置100的处理单元106可以检测和/或接收来自网络204内的节点202的数据包。在另一示例中,处理单元106可以检测和/或接收来自伪装为节点202的另一节点(例如,节点206)的数据包。
在一些示例中,方法700也可以包括标识被包括在从节点接收的数据包中的cookie的步骤(720)。这一标识步骤可以按照多种方式被执行。在一个示例中,装置100的处理单元106可以在数据包的数据头内的固定偏置处检索cookie。在这一检索期间,处理单元106可以标识在数据包的数据头内的固定偏置处的cookie。
在一些示例中,方法700可以进一步包括在促进认证从节点接收的数据包的一组cookie中检索被包括在数据包中的cookie的步骤(730)。这一检索步骤可以按照多种方式被执行。在一个示例中,处理单元106可以在被存储在装置100上的一组cookie中检索被包括在数据包中的同样的cookie。在这一示例中,处理单元106可以循环访问该一组cookie,并且将被包括在数据包中的该cookie与该一组内的每个cookie比较。
附加地或备选地,方法700可以包括在对该一组cookie的检索期间标识被包括在数据包中的cookie的步骤(740)。这一标识步骤可以按照多种方式被执行。在一个示例中,在检索期间,处理单元106可以标识被包括在该一组cookie内的数据包中的相同cookie。换言之,处理单元106可以在该一组中找到与在数据包中标识的cookie相同的cookie。一旦在该一组中找到了这一cookie,处理单元106就可以停止其对该一组的检索。
最后,方法700可以包括通过至少部分基于被包括在数据包中的、在该一组cookie中被标识的cookie认证数据包来防御DoS攻击的步骤(750)。这一认证步骤可以按照多种方式被执行。在一个示例中,处理单元可以认证该数据包合法地源自节点202。作为响应,处理单元106可以在节点202和装置100之间的时间同步计算中考虑和/或使用与该数据包对应的值。这样,处理单元106可以通过确保数据包不是源自伪装为节点202的恶意节点来防御DoS攻击。
图8是能够实施在此描述和/或说明的实施例中的一个或多个实施例和/或关于这些实施例而被使用的示例性计算系统800的框图。在一些实施例中,计算系统800的全部或部分可以单独地或与其他元件组合地,执行与图7有关地描述的一个或多个步骤和/或作为用于执行这样的步骤的装置。计算系统800的全部或部分也可以执行任何在此描述和/或展示的其他的步骤、方法或流程和/或作为用于执行这样的步骤、方法或流程的装置和/或实现这样的步骤、方法或流程。在一个示例中,计算系统800可以包括来自图1的装置100。
计算系统800广义地代表任何类型或形式的电气负载,其包括能够执行计算机可读指令的单个计算设备或系统或多处理器计算设备或系统。计算系统800的示例包括但不限于工作站、膝上型计算机、客户侧终端、服务器、分布式计算系统、移动设备、网络交换机、网络路由器(例如,骨干路由器、边界路由器、核心路由器、移动服务路由器、宽带路由器等)、网络装置(例如,网络安全装置、网络控制装置、网络定时装置、SSL VPN(安全套接字层虚拟专有网)装置等)、网络控制器、网关(例如,服务网关、移动分组网关、多接入网关、安全网关等)和/或任何其它类型或者形式的计算系统或者设备。
计算系统800可以被编程、配置和/或以别的方式被设计为遵循一个或者多个联网协议。根据某些实施例,计算系统800可以被设计为与开放系统互连(OSI)参考模型的一层或者多层的协议(比如物理层协议、链路层协议、网络层协议、传送层协议、会话层协议、表达层协议和/或应用层协议)一起工作。例如,计算系统800可以包括根据通用串行总线(USB)协议、电气和电子工程师协会(IEEE)1394协议、以太网协议、T1协议、同步光联网(SONET)协议、同步数字分级(SDH)协议、集成服务数字网络(ISDN)协议、异步传输模式(ATM)协议、点到点协议(PPP)、以太网上的点到点协议(PPPoE)、ATM上的点到点协议(PPPoA)、蓝牙协议、IEEE 802.XX协议、帧中继协议、令牌环协议、生成树协议和/或任何其它适当协议配置的网络设备。
计算系统800可以包括各种网络和/或计算部件。例如,计算系统800可以包括至少一个处理器814和系统存储器816。处理器814一般地代表能够处理数据或者解译和执行指令的任何类型或者形式的处理单元。例如,处理器814可以代表专用集成电路(ASIC)、片上系统(例如,网络处理器)、硬件加速器、通用处理器和/或任何其它适当处理单元。
处理器814可以根据以上讨论的联网协议中的一个或者多个联网协议来处理数据。例如,处理器814可以执行或者实施协议栈的一部分、可以处理数据包、可以执行存储器操作(例如,将数据包排队以用于以后处理)、可以执行终端用户应用和/或可以执行任何其它处理任务。
系统存储器816一般地代表能够存储数据和/或其它计算机可读指令的任何类型或者形式的易失性或者非易失性存储设备或者介质。系统存储器816的示例包括而不限于随机存取存储器(RAM)、只读存储器(ROM)、闪存或者任何其它适当存储器设备。虽然不是必需,但是在某些实施例中,计算系统800可以同时包括易失性存储器单元(如例如系统存储器816)和非易失性存储设备(如例如如以下详细地描述的主存储设备832)。系统存储器816可以被实施为共享存储器和/或在网络设备中的分布式存储器。另外,系统存储器816可以存储在联网操作中使用的数据包和/或其它信息。
在某些实施例中,示例性计算系统800也可以除了处理器814和系统存储器816之外还包括一个或者多个部件或者单元。例如,如图8中所示,计算系统800可以包括各自可以经由通信基础结构812互连的存储器控制器818、输入/输出(I/O)控制器820和通信接口822。通信基础结构812一般地代表能够促进在计算设备的一个或者多个部件之间的通信的任何类型或者形式的基础结构。通信基础结构812的示例包括而不限于通信总线(比如串行ATA(SATA)、工业标准架构(ISA)、外围部件互连(PCI)、PCI快速(PCIe)和/或任何其它适当总线)和网络。
存储器控制器818一般地代表能够操控存储器或者数据或者控制在计算系统800的一个或者多个部件之间的通信的任何类型或者形式的设备。例如,在某些实施例中,存储器控制器818可以控制经由通信基础结构812在处理器814、系统存储器816和I/O控制器820之间的通信。在一些实施例中,存储器控制器818可以包括可以向或者从链路适配器传送数据(例如,数据包)的直接存储器存取(DMA)单元。
I/O控制器820一般地代表能够协调和/或控制计算设备的输入和输出功能的任何类型或者形式的设备或者模块。例如,在某些实施例中,I/O控制器820可以控制或者促进在计算系统800的一个或者多个单元(比如处理器814、系统存储器816、通信接口822和存储接口830)之间传送数据。
通信接口822广义地代表能够促进在示例性计算系统800与一个或者多个附加设备之间通信的任何类型或者形式的通信设备或者适配器。例如,在某些实施例中,通信接口822可以促进在计算系统800与包括附加计算系统的专用或者公用网络之间的通信。通信接口822的示例包括而不限于链路适配器、有线网络接口(比如网络接口卡)、无线网络接口(比如无线网络接口卡)和任何其它适当接口。在至少一个实施例中,通信接口822可以经由到网络(比如因特网)的直接链路来提供到远程服务器的直接连接。通信接口822也可以例如通过局域网(比如以太网网络)、专用网、广域网、专有网(例如,虚拟专有网)、电话或者有线电视网络、蜂窝电话连接、卫星数据连接或者任何其它适当连接间接地提供这样的连接。
在某些实施例中,通信接口822也可以代表被配置为促进经由外部总线或者通信信道在计算系统800与一个或者多个附加网络或者存储设备之间的通信的主机适配器。主机适配器的示例包括而不限于小型计算机系统接口(SCSI)主机适配器、通用串行总线(USB)主机适配器、IEEE 1394主机适配器、高级技术附件(ATA)、并行ATA(PATA)、串行ATA(SATA)和外部SATA(eSATA)主机适配器、光纤信道接口适配器、以太网适配器等。通信接口822也可以使计算系统800能够参加分布式或者远程计算。例如,通信接口822可以从远程设备接收指令或者向远程设备发送指令以用于执行。
如图8中所示,示例性计算系统800也可以包括经由存储接口830耦合到通信基础结构812的主存储设备832和/或备用存储设备834。存储设备832和834一般地代表能够存储数据和/或其它计算机可读指令的任何类型或者形式的存储设备或者介质。例如,存储设备832和834可以代表磁盘驱动器(例如,所谓的硬盘驱动器)、固态驱动器、软盘驱动器、磁带驱动器、光盘驱动器、快闪驱动器等。存储接口830一般地代表用于在存储设备832和834与计算系统800的其它部件之间传送数据的任何类型或者形式的接口或者设备。
在某些实施例中,存储设备832和834可以被配置为从和/或向被配置为存储计算机软件、数据或者其它计算机可读信息的移动存储单元读取和/或写入。适当的移动存储单元的示例包括而不限于软盘、磁带、光盘、闪存设备等。存储设备832和834也可以包括用于允许计算机软件、数据或者其它计算机可读指令被加载到计算系统800中的其它相似结构或者设备。例如,存储设备832和834可以被配置为读取和写入软件、数据或者其它计算机可读信息。存储设备832和834可以是计算系统800的一部分或者可以是通过其它接口系统被访问的分离设备。
许多其它设备或者子系统可以被连接到计算系统800。反言之,不是所有图8中所示的部件和设备都需要存在以实现这里描述和/或图示的实施例。可以用与图8中所示的方式不同的方式互连以上引用的设备和子系统。计算系统800也可以运用任何数目的软件、固件和/或硬件配置。例如,这里公开的示例性实施例中的一个或者多个示例性实施例可以被编码为计算机可读介质上的计算机程序(也被称为计算机软件、软件应用、计算机可读指令或者计算机控制逻辑)。术语“计算机可读介质”一般地是指能够存储或者承载计算机可读指令的任何形式的设备、载体或者介质。计算机可读介质的示例包括而不限于传输型介质(比如载波)以及非瞬态型介质(比如磁存储介质(例如,硬盘驱动器和软盘))、光存储介质(例如,紧致盘(CD)和数字视频盘(DVD))、电存储介质(例如,固态驱动器和快闪介质)和其它分布式系统。
尽管前文公开内容使用了具体框图、流程图和示例来阐述各种实施例,但是这里描述和/或图示的每个框图组成、流程图步骤、操作和/或部件可以个别地和/或共同地使用广泛硬件、软件或者固件(或者其任何组合)配置被实施。附加地,在其它部件内包含的部件的任何公开内容应当被视为在性质上为示例,因为可以实施许多其它架构以实现相同功能。
在一些示例中,图1中的装置100的全部或者一部分可以代表基于云计算或者网络的环境的部分。基于云计算和网络的环境可以经由因特网提供各种服务和应用。这些基于云计算和网络的服务(例如,软件即服务、平台即服务、基础结构即服务等)可以通过web浏览器或者其它远程接口访问。这里描述的各种功能也可以提供网络切换能力、网关接入能力、网络安全功能、用于网络的内容高速缓存和递送服务、网络控制服务和/或其它联网功能。
附加地,这里描述的模块中的一个或者多个模块可以将数据、物理设备和/或物理设备的表示从一个形式变换成另一形式。附加地或者可选地,这里记载的模块中的一个或者多个模块可以通过在物理计算设备上执行、在计算设备上存储数据和/或以别的方式与计算设备交互来将计算设备的处理器、易失性存储器、非易失性存储器和/或任何其它部分从一个形式变换成另一形式。
这里描述和/或图示的过程参数和步骤的序列仅通过示例被给出并且可以如希望的那样被变化。例如,尽管可以按照特定顺序示出或者讨论这里图示和/或描述的步骤,但是未必需要按照图示或者讨论的顺序来执行这些步骤。这里描述和/或图示的各种示例性方法也可以省略这里描述或者图示的步骤中的一个或者多个步骤或者除了公开的步骤之外还包括附加步骤。
已经提供了前文描述以使本领域其他技术人员能够最好地利用这里公开的示例性实施例的各种方面。这一示例性描述没有旨在于穷举或者限于公开的任何精确形式。许多修改和变型是可能的并且未脱离本公开内容的精神实质和范围。这里公开的实施例应当在所有方面被视为说明性而不是限制。应当在确定本公开内容的范围时参照所附权利要求及其等效含义。
除非另有指出,术语“连接到”和“耦合到”(及其派生)如在说明书和权利要求中使用的那样将被解释为允许直接和间接(即,经由其它单元或者部件)连接二者。附加地,术语“一个”如在说明书和权利要求中使用的那样将被解释为意味着“……中的至少一个”。最后,为了易于使用,术语“包括(include)”和“具有”(及其派生)如在说明书和权利要求中使用的那样与单词“包括(comprise)”可互换并且具有相同含义。
Claims (15)
1.一种装置,包括:
存储设备,所述存储设备存储促进认证从网络内的节点接收的数据包的一组cookie;以及
处理单元,所述处理单元通信地耦合到所述存储设备,其中所述处理单元:
从所述网络内的所述节点接收至少一个数据包;
标识被包括在从所述节点接收的所述数据包中的cookie;
在被存储在所述存储设备中的所述一组cookie中检索被包括在从所述节点接收的所述数据包中的所述cookie;
在对所述一组cookie的所述检索期间,标识被包括在从所述节点接收的所述数据包中的所述cookie;以及
通过至少部分基于被包括在所述数据包中的、在被存储在所述存储设备中的所述一组cookie中标识的所述cookie认证所述数据包的合法性,来防御拒绝服务(DoS)攻击。
2.根据权利要求1所述的装置,其中所述处理单元响应于标识被包括在所述数据包中的所述cookie,将所述cookie从所述一组cookie移除,从而使得所述cookie对于从所述节点接收的任何未来数据包不再有效。
3.根据权利要求1所述的装置,其中所述处理单元:
从所述网络内的所述节点接收至少一个通信;
在从所述节点接收的所述通信内标识所述一组cookie;以及
用在从所述节点接收的所述通信内标识的所述一组cookie来填充所述存储设备。
4.根据权利要求3所述的装置,其中所述通信包括至少一个带外列表,所述至少一个带外列表:
包括所述一组cookie;以及
在关于所述一组cookie促进协调所述节点和所述装置的设立操作期间由所述节点发送。
5.根据权利要求4所述的装置,其中所述处理单元:
从所述网络内的所述节点接收至少一个后续通信,所述后续通信:
包括另一带外列表,所述另一带外列表包括另一组cookie;以及
响应于确定在所述一组cookie内剩余的有效cookie的数量低于特定阈值,由所述节点发送;以及
用被包括在所述后续通信的所述另一带外列表中的所述另一组cookie来填充所述存储设备。
6.根据权利要求4所述的装置,其中:
所述通信包括偏置表示,所述偏置表示标识在从所述节点接收的数据包内每个cookie位于的偏置;以及
所述处理单元在由所述偏置表示标识的所述偏置处标识被包括在所述数据包中的所述cookie。
7.根据权利要求3所述的装置,其中:
所述通信被所述节点使用私钥加密;
所述处理单元:
从管理应用接收公钥,所述公钥促进解密已被所述节点使用所述私钥加密的通信;以及
使用从所述管理应用接收的所述公钥来解密所述通信。
8.根据权利要求3所述的装置,其中:
所述数据包按照时钟同步协议被格式化;以及
所述通信包括先前数据包,所述先前数据包:
按照所述时钟同步协议被格式化;以及
并入至少一个带内列表,所述至少一个带内列表:
包括所述一组cookie;以及
在时钟同步操作期间由所述节点发送。
9.根据权利要求8所述的装置,其中所述处理单元:
从所述网络内的所述节点接收包括另一数据包的至少一个后续通信,所述另一数据包:
按照所述时钟同步协议被格式化;以及
并入至少一个带内列表,所述至少一个带内列表:
包括另一组cookie;以及
在另一时钟同步操作期间由所述节点发送。
10.根据权利要求1所述的装置,其中所述处理单元:
在所述一组cookie内标识与至少一个其他cookie有关的至少一个老化计数器;
确定所述老化计数器超过特定阈值;以及
响应于确定所述老化计数器超过所述特定阈值,从所述一组cookie移除所述其他cookie,从而使得所述cookie对于从所述节点接收的任何未来数据包不再有效。
11.一种路由器,包括:
存储设备,所述存储设备存储促进认证从网络内的节点接收的数据包的一组cookie;以及
处理单元,所述处理单元通信地耦合到所述存储设备,其中所述处理单元:
从所述网络内的所述节点接收至少一个数据包;
标识被包括在从所述节点接收的所述数据包中的cookie;
在被存储在所述存储设备中的所述一组cookie中检索被包括在从所述节点接收的所述数据包中的所述cookie;
在对所述一组cookie的所述检索期间,标识被包括在从所述节点接收的所述数据包中的所述cookie;以及
通过至少部分基于被包括在所述数据包中的、在被存储在所述存储设备中的所述一组cookie中标识的所述cookie认证所述数据包的合法性,来防御拒绝服务(DoS)攻击。
12.根据权利要求11所述的路由器,其中所述处理单元响应于标识被包括在所述数据包中的所述cookie,将所述cookie从所述一组cookie移除,从而使得所述cookie对于从所述节点接收的任何未来数据包不再有效。
13.根据权利要求11所述的路由器,其中所述处理单元:
从所述网络内的所述节点接收至少一个通信;
在从所述节点接收的所述通信内标识所述一组cookie;以及
用在从所述节点接收的所述通信内标识的所述一组cookie来填充所述存储设备。
14.根据权利要求13所述的路由器,其中所述通信由至少一个带外列表组成,该带外列表:
包括所述一组cookie;以及
在关于所述一组cookie促进协调所述节点和所述路由器的设立操作期间由所述节点发送。
15.一种方法,包括:
从网络内的节点接收至少一个数据包;
标识被包括在从所述节点接收的所述数据包中的cookie;
在促进认证从所述节点接收的数据包的一组cookie中检索被包括在所述数据包中的所述cookie;
在对所述一组cookie的检索期间,标识被包括在所述数据包中的所述cookie;以及
通过至少部分基于被包括在所述数据包中的、在所述一组cookie中标识的所述cookie认证所述数据包的合法性,来防御拒绝服务(DoS)攻击。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/349,157 US10250634B2 (en) | 2016-11-11 | 2016-11-11 | Apparatus, system, and method for protecting against denial of service attacks using one-time cookies |
| US15/349,157 | 2016-11-11 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108076037A true CN108076037A (zh) | 2018-05-25 |
| CN108076037B CN108076037B (zh) | 2021-08-24 |
Family
ID=58192068
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710073793.3A Active CN108076037B (zh) | 2016-11-11 | 2017-02-10 | 用于使用一次性cookie来防御拒绝服务攻击的装置、系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10250634B2 (zh) |
| EP (1) | EP3322148B1 (zh) |
| CN (1) | CN108076037B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019017839A1 (zh) * | 2017-07-21 | 2019-01-24 | 华为国际有限公司 | 数据传输方法、相关设备以及系统 |
| US11374760B2 (en) * | 2017-09-13 | 2022-06-28 | Microsoft Technology Licensing, Llc | Cyber physical key |
| US10735459B2 (en) * | 2017-11-02 | 2020-08-04 | International Business Machines Corporation | Service overload attack protection based on selective packet transmission |
| US10868828B2 (en) * | 2018-03-19 | 2020-12-15 | Fortinet, Inc. | Mitigation of NTP amplification and reflection based DDoS attacks |
| US11233802B1 (en) * | 2020-06-11 | 2022-01-25 | Amazon Technologies, Inc. | Cookie and behavior-based authentication |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101040488A (zh) * | 2005-01-28 | 2007-09-19 | 思科技术公司 | MPLS cookie标签 |
| US7334126B1 (en) * | 1999-12-30 | 2008-02-19 | At&T Corp. | Method and apparatus for secure remote access to an internal web server |
| CN101127043A (zh) * | 2007-08-03 | 2008-02-20 | 哈尔滨工程大学 | 一种轻量级个性化搜索引擎及其搜索方法 |
| CN101437280A (zh) * | 2007-11-16 | 2009-05-20 | 株式会社东芝 | 省电控制装置和方法 |
| CN102769625A (zh) * | 2012-07-25 | 2012-11-07 | 亿赞普(北京)科技有限公司 | 客户端Cookie信息获取方法和装置 |
| CN104519121A (zh) * | 2013-09-30 | 2015-04-15 | 瞻博网络公司 | 计算机网络内的会话感知服务链 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2002303501A1 (en) * | 2001-04-27 | 2002-11-11 | Wanwall, Inc. | Weighted fair queuing-based methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US20030135624A1 (en) | 2001-12-27 | 2003-07-17 | Mckinnon Steve J. | Dynamic presence management |
| US7058718B2 (en) | 2002-01-15 | 2006-06-06 | International Business Machines Corporation | Blended SYN cookies |
| US7974275B2 (en) | 2004-01-09 | 2011-07-05 | Broadcom Corporation | Saturated datagram aging mechanism |
| US7468981B2 (en) * | 2005-02-15 | 2008-12-23 | Cisco Technology, Inc. | Clock-based replay protection |
| US8561155B2 (en) | 2006-08-03 | 2013-10-15 | Citrix Systems, Inc. | Systems and methods for using a client agent to manage HTTP authentication cookies |
| US10382480B2 (en) * | 2016-10-13 | 2019-08-13 | Cisco Technology, Inc. | Distributed denial of service attack protection for internet of things devices |
-
2016
- 2016-11-11 US US15/349,157 patent/US10250634B2/en active Active
-
2017
- 2017-02-10 CN CN201710073793.3A patent/CN108076037B/zh active Active
- 2017-02-10 EP EP17155752.3A patent/EP3322148B1/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7334126B1 (en) * | 1999-12-30 | 2008-02-19 | At&T Corp. | Method and apparatus for secure remote access to an internal web server |
| CN101040488A (zh) * | 2005-01-28 | 2007-09-19 | 思科技术公司 | MPLS cookie标签 |
| CN101127043A (zh) * | 2007-08-03 | 2008-02-20 | 哈尔滨工程大学 | 一种轻量级个性化搜索引擎及其搜索方法 |
| CN101437280A (zh) * | 2007-11-16 | 2009-05-20 | 株式会社东芝 | 省电控制装置和方法 |
| CN102769625A (zh) * | 2012-07-25 | 2012-11-07 | 亿赞普(北京)科技有限公司 | 客户端Cookie信息获取方法和装置 |
| CN104519121A (zh) * | 2013-09-30 | 2015-04-15 | 瞻博网络公司 | 计算机网络内的会话感知服务链 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3322148B1 (en) | 2020-04-08 |
| US20180139228A1 (en) | 2018-05-17 |
| US10250634B2 (en) | 2019-04-02 |
| EP3322148A1 (en) | 2018-05-16 |
| CN108076037B (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108076037A (zh) | 用于使用一次性cookie来防御拒绝服务攻击的装置、系统和方法 | |
| US9787643B2 (en) | Transport layer security latency mitigation | |
| CN108738017A (zh) | 网络接入点中的安全通信 | |
| US11716332B2 (en) | Autonomic control plane packet transmission method, apparatus, and system | |
| CN104660603B (zh) | IPSec VPN中扩展使用量子密钥的方法及系统 | |
| US9565167B2 (en) | Load balancing internet protocol security tunnels | |
| EP3073668B1 (en) | Apparatus and method for authenticating network devices | |
| EP2829095B1 (en) | Network security configuration using short-range wireless communication | |
| CN103155512B (zh) | 用于对服务提供安全访问的系统和方法 | |
| US20160119316A1 (en) | Wireless network authentication method and wireless network authentication apparatus | |
| CN108270615A (zh) | 基于sdn网络控制器的网络设备开局方法、装置及设备 | |
| CN104283858B (zh) | 控制用户终端接入的方法、装置及系统 | |
| CN111355684B (zh) | 一种物联网数据传输方法、装置、系统、电子设备及介质 | |
| US10397047B2 (en) | Apparatus, system, and method for secure remote configuration of network devices | |
| TW201537927A (zh) | 用於加入社交wi-fi網狀網路的安全且簡化的規程 | |
| US20210099873A1 (en) | Authenticating client devices in a wireless communication network with client-specific pre-shared keys | |
| CN108810023A (zh) | 安全加密方法、密钥共享方法以及安全加密隔离网关 | |
| US11418434B2 (en) | Securing MPLS network traffic | |
| EP4270867A1 (en) | Secure communication method, apparatus, and system for dc interconnection | |
| US11606334B2 (en) | Communication security apparatus, control method, and storage medium storing a program | |
| EP3073783A1 (en) | Apparatus, system, and method for predicting roaming patterns of mobile devices within wireless networks | |
| CN110061991A (zh) | 一种实现高速公路收费专网安全接入互联网的网关设置方法 | |
| CN109698791A (zh) | 一种基于动态路径的匿名接入方法 | |
| CN108259157B (zh) | 一种ike协商中身份认证的方法及网络设备 | |
| CN105981028B (zh) | 通信网络上的网络元件认证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |