CN110224980B - 一种可信mptcp传输方法及系统 - Google Patents

一种可信mptcp传输方法及系统 Download PDF

Info

Publication number
CN110224980B
CN110224980B CN201910367157.0A CN201910367157A CN110224980B CN 110224980 B CN110224980 B CN 110224980B CN 201910367157 A CN201910367157 A CN 201910367157A CN 110224980 B CN110224980 B CN 110224980B
Authority
CN
China
Prior art keywords
trusted
terminal
address
path
binding table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910367157.0A
Other languages
English (en)
Other versions
CN110224980A (zh
Inventor
李贺武
武博阳
吴茜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN201910367157.0A priority Critical patent/CN110224980B/zh
Publication of CN110224980A publication Critical patent/CN110224980A/zh
Application granted granted Critical
Publication of CN110224980B publication Critical patent/CN110224980B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种可信MPTCP传输方法及系统,该方法包括:将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对终端地址分配报文信息进行解析,得到可信地址关系;获取可信地址关系,并根据可信地址关系更新可信地址绑定表;根据可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表;根据可信路径绑定表对易攻击控制报文进行MPTCP传输。通过绑定可信IP地址和终端锚点,得到可信地址关系,告知终端的可信地址关系,终端将可信地址关系更新到地址绑定表;根据地址绑定表的内容标记可信路径识别MPTCP中的可信路径,从可信路径发送时不需要按照原始加密认证方法进行通信,因此最终提升了MPTCP的安全性并减少了加密认证的繁琐开销。

Description

一种可信MPTCP传输方法及系统
技术领域
本发明涉及数据传输技术领域,尤其涉及一种可信MPTCP传输方法及系统。
背景技术
近年来,随着种网络技术的发展,互联网端到端多路径传输协议(Multipath TCP;MPTCP)应运而生。MPTCP有效地利用了终端的多个接口和各种接入技术,为终端在网络中的数据传输与移动切换提供了很好的支持。但是与此同时,MPTCP对流量转发时并不会对报文的源地址进行验证,因此源地址容易被攻击者伪造,并不可信,这一缺陷使得管理者可以利用ADD_ADDR攻击、MP_JOIN拒绝服务攻击、中间人攻击(Manin the Middle Attack;MITM)等攻击手段进一步对用户传输的数据进行监听、篡改和劫持,甚至可以利用伪造的源地址对服务器实施分布式拒绝服务攻击。
国际互联网工程任务组在2008年提出了源地址验证体系结构(SAVArchitecture,SAVA),SAVA从接入网、域内和域间三个层面对伪造的源地址报文进行过滤,形成了一系列标准——SAVI(SAV Improvement),但由于自治域间合作困难、缺乏部署激励等原因,SAV技术还没有实现在现有互联网中的大规模部署。因此在SAV大规模部署前的过渡期,将长期存在着SAV基础设施和非SAV基础设施并存的场景,而在这种场景下,MPTCP统一认为网络层是不可信的,没有利用可信路径的信息。大多数解决方案通过加密认证的方式保证报文的可信性从而防止这些攻击,如散列消息身份验证码(Hashed Message Authentication Code,HMAC)等。但是这些方法开销大,且容易随着算力的提升被破解。随着用户连续不断的大量移动,其地址更新越来越频繁,每一次地址更新带来的重新认证都会对通信双端带来很大的开销。尤其在同时与多个客户端连接的服务器来说,这一开销将严重影响服务器的性能。
因此如何针对长期存在着SAV基础设施和非SAV基础设施并存的场景,实现可信的MPTCP传输已经成为业界亟待解决的问题。
发明内容
本发明实施例提供一种可信MPTCP传输方法及系统,用以解决上述背景技术中提出的技术问题,或至少部分解决上述背景技术中提出的技术问题。
第一方面,本发明实施例提供一种可信MPTCP传输方法,包括:
将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对所述终端地址分配报文信息进行解析,得到可信地址关系;
获取可信地址关系,并根据所述可信地址关系更新可信地址绑定表;
根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表;
根据所述可信路径绑定表对易攻击控制报文进行MPTCP传输。
第二方面,本发明实施例提供一种可信MPTCP传输系统,包括:
终端和SAVI基础设施;
终端将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对所述终端地址分配报文信息进行解析,得到可信地址关系;
终端获取可信地址关系,并根据所述可信地址关系更新可信地址绑定表;
终端根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表;
终端根据所述可信路径绑定表对易攻击控制报文进行MPTCP传输。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述可信MPTCP传输方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述可信MPTCP传输方法的步骤。
本发明实施例提供的一种可信MPTCP传输方法及系统,通过对终端地址分配报文进行解析,从而绑定可信IP地址和终端锚点,得到了可信地址关系,从而实现对于伪造IP地址的过滤,随后SAVI基础设施可以告知终端的可信地址关系,随后终端将可信地址关系更新到地址绑定表;然后根据地址绑定表的内容标记可信路径,识别出MPTCP中的可信路径,从而确定通过可信路径传输的报文均是可信的,对来自可信路径的报文验证条件放宽,且从可信路径发送时不需要按照原始加密认证方法进行通信,因此最终提升了MPTCP的安全性并减少了加密认证的繁琐开销。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例所描述的可信MPTCP传输方法流程图;
图2为本发明一实施例中所描述的终端接入时的网络基础设施构架图;
图3为本发明一实施例所描述的taNotify信令交互图;
图4为本发明一实施例描述的TMPTCP拓展机制协议栈示意图;
图5为本发明一实施例所描述的可信MPTCP传输系统示意图;
图6为本发明一实施例所描述的电子设备结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一实施例所描述的可信MPTCP传输方法流程图;如图1所示,包括:
步骤S1,将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对所述终端地址分配报文信息进行解析,得到可信地址关系;
步骤S2,获取可信地址关系,并根据所述可信地址关系更新可信地址绑定表;
步骤S3,根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表;
步骤S4,根据所述可信路径绑定表对易攻击控制报文进行MPTCP传输。
具体的,本发明实施例中所描述的终端地址分配报文信息是指终端接入网络时获取的报文信息,SAVI基础设备经一系列SAV在IETF形成的表示SAVI基础设备解析后可以绑定可信IP地址和终端锚点的可信关系;
本发明实施例中所描述的可信地址关系即是指可信IP地址和终端锚点的可信关系。
图2为本发明一实施例中所描述的终端接入时的网络基础设施构架图,如图2所示,本发明实施例中所描述构架最下层是用户终端层,包括有线终端和无线终端;本发明实施例中所描述的SAVI基础设施可以是位于中间层,在接入网层面保护终端的IP地址可信,一般在有线网络使用的是SAVI交换机,一般在无线网络中使用的是SAVI无线控制器(Access Controller,AC)或SAVI无线接入点(Access Point,AP);该架构的最上层是上层网络设施,包括地址分配相关的服务器、认证服务器和SAVA设施等,SAVA从域内和域间层面保护终端的源地址可信。
本发明实施例中所描述的更新可信地址绑定表可以是指用于记录终端自身可信地址关系的表格,该表格以终端的IP地址(Address IP)作为主键;一个Trust字段表示该IP地址的可信关系;一个Lifetime字段用于表示该可信地址关系的生存周期;一个其他(Other)字段用于保存其他可能用到的信息或扩展信息。
本发明实施例中所描述的可信路径绑定表是指用于记录与对端的路径可信关系的表格,该表以通信对端的地址ID(Address ID)为主键;一个地址IP(Address IP)字段用于保存通信对端的IP地址;一个端口(Port)字段用来保存通信对端的端口号;一个可信(Trust)字段用于保存这一路径是否可信;一个其他(Other)字段用于保存其他可能用到的信息或扩展信息。
终端通过802.1X协议接入网络时获取终端地址分配报文信息,且终端通过SHCP或SLAAC协议等方式与上层网络设施进行交互获取IP地址,然后将该终端地址分配报文信息发送到SAVI基础设施,然后SAVI基础设施对终端地址分配报文信息进行解析,从而绑定可信IP地址和终端锚点的可信关系,得到可信地址关系,可以有效过滤伪造IP地址;
且在此之前,终端可以通过802.1X协议接入网络,与SAVI基础设施协商得到成对主密钥(Pairwise Master Key,PMK),而后,SAVI基础设施通过扩展EAP协议将可信地址关系告知终端,该可信地址关系有PMK保护,由于只有终端和SAVI基础设施双方知晓PMK,因此其他设备无法伪造该信息。且可信地址关系内容可以包括终端锚点、IP地址、绑定信息和散列消息身份验证码(Hashed Message Authentication Code,HMAC),其中HMAC的密钥使用的是PMK。
本发明实施例中所描述的扩展EAP协议是指在EAP扩展类型中加入EAP-TRUST类型,用于SAVI基础设施告知接入终端的可信地址关系。
拓展MPTCP,扩展ADD_ADDR选项和增加ADDR_TRUST选项,当通信的双方终端在MPTCP中建立每一条通信路径后,均可以利用该拓展告知对方新建立的子路径的可信关系;具体的,通过可信地址绑定表可以得到通信双方终端的地址是否属于可信地址,只有在通信双方终端均为可信地址时,则判定该通信双方终端见的路径均为可信路径,并对其进行标记,并更新到可信路径绑定表中。
当MPTCP的通信双方终端发送控制报文(Vulnerable Control Packet,VCP)时,优先选择可信路径通信,且对于通过可信路径通信的VCP放宽验证条件,且省去繁琐的加密认证过程,对于不是通过可信路径通信的则使用原本的加密方法进行认证。
本发明实施例通过对终端地址分配报文进行解析,从而绑定可信IP地址和终端锚点,得到了可信地址关系,从而实现对于伪造IP地址的过滤,随后SAVI基础设施可以告知终端的可信地址关系,随后终端将可信地址关系更新到地址绑定表;然后根据地址绑定表的内容标记可信路径,识别出MPTCP中的可信路径,从而确定通过可信路径传输的报文均是可信的,对来自可信路径的报文验证条件放宽,且从可信路径发送时不需要按照原始加密认证方法进行通信,因此最终提升了MPTCP的安全性并减少了加密认证的繁琐开销。
在上述实施例的基础上,所述将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对所述终端地址分配报文信息进行解析,得到可信地址关系的步骤,具体包括:
终端与SAVI基础设施协商,得到成对主密钥;
终端将所述终端地址分配报文信息发送到SAVI基础设施,以供所述SAVI基础设施进行解析,对可信IP地址和终端锚点进行绑定,得到可信地址关系。
具体的,图3为本发明一实施例所描述的taNotify信令交互图,如图3所示,包括:
接入终端通过802.1X协议接入到网络中,并与SAVI基础设施之间协商一个安全的PMK,此密钥用于保护之后的可信地址关系报文。这一步骤与标准的802.1X认证过程无异,具体细节可以阅读802.1X相关标准
接入终端通过动态主机设置协议(Stateless address autoconfiguration;DHCP)或无状态地址自动配置(Stateless address autoconfiguration;SLAAC)协议与上层网络设施进行交互获取IP地址,SAVI基础设施通过解析地址分配报文并绑定可信IP地址与终端锚点的可信关系,这一步骤与标准的SAVI绑定和过滤过程无异,具体细节可以阅读SAVI相关标准。
SAVI基础设施在建立可信绑定关系后,通过扩展的可拓展身份验证(ExtensibleAuthentication Protocol;EAP)协议告知接入终端其可信地址关系。
终端绑定可信地址关系到可信地址绑定表(Trusted Address BindingTable,TABT),然后终端向SAVI基础设施返回绑定成功消息。
本发明实施例扩展了一种可信地址告知机制,对接入终端和SAVI基础设施通过802.1X认证实现了双向认证,并拓展了EAP协议完成了SAVI基础设施与终端的可信地址告知,避免了终端收到非法网络侧伪造的可信地址关系报文。
在上述实施例的基础上,所述根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表的步骤,包括:
第一终端与第二终端建立路径时,将所述第一终端的可信地址绑定表告知第二终端,以供所述第二终端根据所述第一终端的可信地址绑定表判断所述第一终端是否为可信地址;
若所述第一终端和所述第二终端均为可信地址,则将所述路径标记为可信路径;
将所述可信路径更新到可信路径绑定表。
具体的,通信双方终端每一条路径建立成功后,此时所建立的路径是否是可信路径,尚且无法确定,通信双发终端可以通过ADDR_TRUST选项进行可信地址告知,而终端将自身的可信关系存储在可信地址绑定表,则通信双方终端在建立路径时,还会交换告知双方的可信地址绑定表,从而确定通信双端是否为可信地址,若通信双方终端有任意一端的地址不是可信地址,该通信双方终端建立的路径均不是可信路径,只有通信双方终端的地址均为可信地址,其通信双方终端间建立的所有路径均属于可标记为可信地址;通信一终端向通信另一终端通告的报文中除了告知IP地址和地址ID之外,通过扩展ADD_ADDR选项,增加TRUST表示新建立子路径的可信关系。
在接入网层面,该可信的可信性由SAVI保护;在域内或域间层面,该可信路径的可信性由SAVA保护。即使该可信路径中间存在着没有部署SAV技术的网络域,只要通信双方终端所在的网络域部署了SAV技术,其他网络域中也无法伪造通信双方终端的IP地址并与其通信。
本发明实施例通过对于MPTCP通信双方终端所有的TCP路径进行可信标记并记录,在通信双方终端建立每一条子流时,终端会根据地址绑定表对每一条路径进行标记并记录,从而确定可信路径,有利于后续步骤的进行。
在上述实施例的基础上,所述根据所述可信路径绑定表进行MPTCP传输的步骤,具体包括:
通信终端在发送易攻击控制报文时,根据所述可信路径绑定表选择可信路径;
若通信终端双端可以在可信路径绑定表中找到可信路径,则通过可信路径进行通信。
具体的,通信终端在发送易攻击控制报文时,如果通信接收终端与该通信终端之间存在可信路径,则优先通过可信路径来发送易攻击控制报文进行通信,此时不需要按照原始复杂的加密认真方法对该易攻击控制报文进行加密。
若通信接收终端与该通信终端之间不存在可信路径,则按照原始的加密认证方法进行通信,例如HMAC等。
本发明实施例通过对来自可信路径的报文验证条件放宽,且从可信路径发送时不需要按照原始加密认证方法进行通信,因此最终提升了MPTCP的安全性并减少了加密认证的繁琐开销。
在上述实施例的基础上,所述根据所述可信路径绑定表进行MPTCP传输的步骤,具体包括:
通信终端在接收易攻击控制报文时,根据所述可信路径绑定表判断是否通过可信路径接收易攻击控制报文;
若通过可信路径接收易攻击控制报文,则对所述易攻击控制报文放宽验证条件。
具体的,如果通信发送终端与该通信终端之间存在可信路径,则优先通过可信路径来接收易攻击控制报文进行通信,此时对易攻击控制报文的验证条件放宽,若通信发送终端与该通信终端之间不存在可信路径,则必须对不可信路径的报文进行严格验证。
本发明实施例通过对来自可信路径的报文验证条件放宽,且从可信路径接收时不需要进行严格的验证,因此最终提升了MPTCP的安全性并减少了验证认证的繁琐开销。
在上述实施例的基础上,所述可信地址关系包括:
终端锚点信息、可信IP地址信息、绑定信息和建议生命周期信息。
具体的,本发明实施例中所描述的建议生命周期信息是指建议该绑定关系存在的时间信息。
本发明实施例中所描述的终端锚点信息是指终端不可被伪造的部分信息。
本发明实施例中所描述的绑定信息是指可信IP地址和终端锚点进行绑定后得到的绑定关系。
本发明实施例通过终端锚点信息、可信IP地址信息、绑定信息和建议生命周期信息,有利于后续步骤的进行。
在上述实施例的基础上,所述终端锚点为终端可信信息。
具体的,终端锚点信息是指终端不可被伪造的部分信息,例如在有线网指的是终端MAC和交换机端口号,在无线网指的是被802.11i等技术保护终端MAC地址。
本发明实施例通过终端锚点从而确定可信的绑定关系,有利于后续步骤的进行。
在上述实施例的基础上,图4为本发明一实施例描述的TMPTCP拓展机制协议栈示意图,如图4所示,包括:
taNotify可信地址告知机制401,用于终端在接入由SAVI保护的接入网时,SAVI基础设施告知终端其可信地址关系。
tpMark可信路径标记机制402,用于MPTCP的通信双端对其所有的TCP路径是否可信进行标记并记录。
tpChoose可信路径选择机制403,用于MPTCP的通信双端在发送重要的、易被攻击的控制报文时(Vulnerable Control Packet,VCP)时,优先选择可信的路径通信。
图5为本发明一实施例所描述的可信MPTCP传输系统示意图,包括:终端510和SAVI基础设施520;终端510将终端地址分配报文信息发送到SAVI基础设施520,以供SAVI基础设施520对所述终端地址分配报文信息进行解析,得到可信地址关系;终端510获取可信地址关系,并根据所述可信地址关系更新可信地址绑定表;终端510根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表;终端510根据所述可信路径绑定表对易攻击控制报文进行MPTCP传输。
本发明实施例所描述的系统是用于描述上述实施例所述方法的系统,具体过程请参照上述实施例,此处不再赘述。
本发明实施例通过对终端地址分配报文进行解析,从而绑定可信IP地址和终端锚点,得到了可信地址关系,从而实现对于伪造IP地址的过滤,随后SAVI基础设施可以告知终端的可信地址关系,随后终端将可信地址关系更新到地址绑定表;然后根据地址绑定表的内容标记可信路径,识别出MPTCP中的可信路径,从而确定通过可信路径传输的报文均是可信的,对来自可信路径的报文验证条件放宽,且从可信路径发送时不需要按照原始加密认证方法进行通信,因此最终提升了MPTCP的安全性并减少了加密认证的繁琐开销。
在上述实施例的基础上,所述终端进一步用于:
所述终端与所述SAVI基础设施协商,得到成对主密钥;
所述终端将所述终端地址分配报文信息发送到SAVI基础设施,以供所述SAVI基础设施进行解析,对可信IP地址和终端锚点进行绑定,得到可信地址关系。
接入终端通过802.1X协议接入到网络中,并与SAVI基础设施之间协商一个安全的PMK,此密钥用于保护之后的可信地址关系报文。这一步骤与标准的802.1X认证过程无异,具体细节可以阅读802.1X相关标准
接入终端通过802.1X协议接入到网络中,并与SAVI基础设施之间协商一个安全的PMK,此密钥用于保护之后的可信地址关系报文。这一步骤与标准的802.1X认证过程无异,具体细节可以阅读802.1X相关标准
接入终端通过动态主机设置协议(Stateless address autoconfiguration;DHCP)或无状态地址自动配置(Stateless address autoconfiguration;SLAAC)协议与上层网络设施进行交互获取IP地址,SAVI基础设施通过解析地址分配报文并绑定可信IP地址与终端锚点的可信关系,这一步骤与标准的SAVI绑定和过滤过程无异,具体细节可以阅读SAVI相关标准。
SAVI基础设施在建立可信绑定关系后,通过扩展的可拓展身份验证(ExtensibleAuthentication Protocol;EAP)协议告知接入终端其可信地址关系。
本发明实施例扩展了一种可信地址告知机制,对接入终端和SAVI基础设施通过802.1X认证实现了双向认证,并拓展了EAP协议完成了SAVI基础设施与终端的可信地址告知,避免了终端收到非法网络侧伪造的可信地址关系报文。
在上述实施例的基础上,所述终端进一步用于:
所述终端根据所述可信地址绑定表判断路径双端地址是否均为可信地址;
若所述终端判断所述路径双端地址均为可信地址,则将所述路径标记为可信路径;
所述终端将所述可信路径更新到可信路径绑定表。
在接入网层面,该可信的可信性由SAVI保护;在域内或域间层面,该可信路径的可信性由SAVA保护。即使该可信路径中间存在着没有部署SAV技术的网络域,只要通信双方终端所在的网络域部署了SAV技术,其他网络域中也无法伪造通信双方终端的IP地址并与其通信。
本发明实施例通过对于MPTCP通信双方终端所有的TCP路径进行可信标记并记录,在通信双方终端建立每一条子流时,终端会根据地址绑定表对每一条路径进行标记并记录,从而确定可信路径,有利于后续步骤的进行。
图6为本发明一实施例所描述的电子设备结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行如下方法:将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对所述终端地址分配报文信息进行解析,得到可信地址关系;获取可信地址关系,并根据所述可信地址关系更新可信地址绑定表;根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表;根据所述可信路径绑定表对易攻击控制报文进行MPTCP传输。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对所述终端地址分配报文信息进行解析,得到可信地址关系;获取可信地址关系,并根据所述可信地址关系更新可信地址绑定表;根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表;根据所述可信路径绑定表对易攻击控制报文进行MPTCP传输。
本发明实施例提供一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储服务器指令,该计算机指令使计算机执行上述实施例所提供的一种可信MPTCP传输方法,例如包括:将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对所述终端地址分配报文信息进行解析,得到可信地址关系;获取可信地址关系,并根据所述可信地址关系更新可信地址绑定表;根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表;根据所述可信路径绑定表对易攻击控制报文进行MPTCP传输。
以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种可信MPTCP传输方法,其特征在于,包括:
将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对所述终端地址分配报文信息进行解析,得到可信地址关系;
获取可信地址关系,并根据所述可信地址关系更新可信地址绑定表;
根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表;
根据所述可信路径绑定表对易攻击控制报文进行MPTCP传输;
其中,所述可信路径绑定表进行MPTCP传输的步骤,具体包括:
终端在发送易攻击控制报文时,根据所述可信路径绑定表选择可信路径;
若终端双端可以在可信路径绑定表中找到可信路径,则通过可信路径进行通信。
2.根据权利要求1所述可信MPTCP传输方法,其特征在于,所述将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对所述终端地址分配报文信息进行解析,得到可信地址关系的步骤,具体包括:
终端与SAVI基础设施协商,得到成对主密钥;
终端将所述终端地址分配报文信息发送到SAVI基础设施,以供所述SAVI基础设施进行解析,对可信IP地址和终端锚点进行绑定,得到可信地址关系。
3.根据权利要求1所述可信MPTCP传输方法,其特征在于,所述根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表的步骤,包括:
第一终端与第二终端建立路径时,将所述第一终端的可信地址绑定表告知第二终端,以供所述第二终端根据所述第一终端的可信地址绑定表判断所述第一终端是否为可信地址;
若所述第一终端和所述第二终端均为可信地址,则将所述路径标记为可信路径;
将所述可信路径更新到可信路径绑定表。
4.根据权利要求1所述可信MPTCP传输方法,其特征在于,所述根据所述可信路径绑定表进行MPTCP传输的步骤,具体包括:
终端在接收易攻击控制报文时,根据所述可信路径绑定表判断是否通过可信路径接收易攻击控制报文;
若通过可信路径接收易攻击控制报文,则对所述易攻击控制报文放宽验证条件。
5.一种可信MPTCP传输系统,其特征在于,包括:终端和SAVI基础设施;
终端将终端地址分配报文信息发送到SAVI基础设施,以供SAVI基础设施对所述终端地址分配报文信息进行解析,得到可信地址关系;
终端获取可信地址关系,并根据所述可信地址关系更新可信地址绑定表;
终端根据所述可信地址绑定表标记可信路径,并根据可信路径更新可信路径绑定表;
终端根据所述可信路径绑定表对易攻击控制报文进行MPTCP传输;
其中,所述可信路径绑定表进行MPTCP传输,具体为:
终端在发送易攻击控制报文时,根据所述可信路径绑定表选择可信路径;
若终端双端可以在可信路径绑定表中找到可信路径,则通过可信路径进行通信。
6.根据权利要求5所述可信MPTCP传输系统,其特征在于,所述终端进一步用于:
所述终端与所述SAVI基础设施协商,得到成对主密钥;
所述终端将所述终端地址分配报文信息发送到所述SAVI基础设施,以供所述SAVI基础设施进行解析,对可信IP地址和终端锚点进行绑定,得到可信地址关系。
7.根据权利要求5所述可信MPTCP传输系统,其特征在于,所述终端进一步用于:
所述终端根据所述可信地址绑定表判断路径双端地址是否均为可信地址;
若所述终端判断所述路径双端地址均为可信地址,则将所述路径标记为可信路径;
所述终端将所述可信路径更新到可信路径绑定表。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述可信MPTCP传输方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述可信MPTCP传输方法的步骤。
CN201910367157.0A 2019-05-05 2019-05-05 一种可信mptcp传输方法及系统 Active CN110224980B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910367157.0A CN110224980B (zh) 2019-05-05 2019-05-05 一种可信mptcp传输方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910367157.0A CN110224980B (zh) 2019-05-05 2019-05-05 一种可信mptcp传输方法及系统

Publications (2)

Publication Number Publication Date
CN110224980A CN110224980A (zh) 2019-09-10
CN110224980B true CN110224980B (zh) 2020-10-27

Family

ID=67820318

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910367157.0A Active CN110224980B (zh) 2019-05-05 2019-05-05 一种可信mptcp传输方法及系统

Country Status (1)

Country Link
CN (1) CN110224980B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113518032B (zh) * 2020-04-10 2022-11-01 清华大学 基于SRv6的用户可信标识携带方法及系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8918522B2 (en) * 2008-03-12 2014-12-23 Telefonaktiebolaget L M Ericsson (Publ) Re-establishment of a security association
CN101938500B (zh) * 2010-09-28 2012-12-12 中国人民解放军信息工程大学 源地址验证方法及系统
CN102123376B (zh) * 2011-01-14 2013-09-25 中国科学院计算技术研究所 一种源地址验证方法和系统
CN103581156B (zh) * 2012-08-09 2018-02-06 中铁信弘远(北京)信息软件开发有限公司 一种可信网络和可信网络的工作方法
CN106330894B (zh) * 2016-08-22 2019-11-22 赛尔网络有限公司 基于本地链路地址的savi代理认证系统及方法
CN107454112A (zh) * 2017-09-29 2017-12-08 恒宝股份有限公司 一种访问可信应用的方法及其系统
CN108600207B (zh) * 2018-04-12 2020-05-15 清华大学 基于802.1x与savi的网络认证与访问方法

Also Published As

Publication number Publication date
CN110224980A (zh) 2019-09-10

Similar Documents

Publication Publication Date Title
JP5431517B2 (ja) 非3gppアクセスネットワーク経由のアクセス
JP4477003B2 (ja) 通信システムにおける位置プライバシー
US8737616B2 (en) Method and apparatus for identifying CGA public key, and method, apparatus, and system for determining CGA public key
KR20080093431A (ko) 무선 네트워크의 클라이언트의 인증 방법
EP2285041B1 (en) Communication establishing method, system and device
US7933253B2 (en) Return routability optimisation
JP4944904B2 (ja) モバイルインタネットプロトコルに準拠して交換されるメッセージの真正性を保証する方法
EP3614741A1 (en) Processing apparatus for terminal access to 3gpp network and communication system
WO2018138006A1 (en) Guaranteeing authenticity and integrity in signalling exchange between mobile networks
EP3574608A1 (en) Guaranteeing authenticity and integrity in signalling exchange between mobile networks
US20080126455A1 (en) Methods of protecting management frames exchanged between two wireless equipments, and of receiving and transmitting such frames, computer programs, and data media containing said computer programs
CN104883339A (zh) 一种用户隐私保护的方法、设备和系统
US8819790B2 (en) Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment
CN113922987B (zh) 数据安全传输方法、设备、系统和存储介质
CN110224980B (zh) 一种可信mptcp传输方法及系统
CN1980231B (zh) 一种在移动IPv6中更新防火墙的方法
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
Wu et al. TMPTCP: a lightweight trust extension for multipath-TCP
EP1562340A1 (en) Method and apparatus for establishing a temporary secure connection between a mobile network node and an access network node during a data transmission handover
CN114765805A (zh) 一种通信方法、网络设备、基站及计算机可读存储介质
JP2010537604A (ja) モバイルノードの位置更新
JP3911697B2 (ja) ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体
CN113438178B (zh) 报文转发方法、装置、计算机设备和存储介质
CN117956450A (zh) 一种通信公网与通信专网的协作通信方法和系统
CN113132972A (zh) 基于IPv6跨域漫游的终端管理方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant