TWI770483B - 計算機網路中的資料收發方法及裝置、計算機程式以及資料集 - Google Patents
計算機網路中的資料收發方法及裝置、計算機程式以及資料集 Download PDFInfo
- Publication number
- TWI770483B TWI770483B TW109109604A TW109109604A TWI770483B TW I770483 B TWI770483 B TW I770483B TW 109109604 A TW109109604 A TW 109109604A TW 109109604 A TW109109604 A TW 109109604A TW I770483 B TWI770483 B TW I770483B
- Authority
- TW
- Taiwan
- Prior art keywords
- node
- puzzle
- network
- received
- random number
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
提供一種用於在計算機網路中發送資料之方法,該方法包含在該網路之第一節點處:接收來自該網路不同於該第一節點之難題(puzzle)伺服器節點之計算難題;決定針對該難題而用於發送訊息至該網路不同於該難題伺服器節點的第二節點之解答;以及發送資料至該第二節點,其中,該發送資料包含該訊息及針對該難題之該決定的解答。
Description
本發明係關於在通訊網路中之資料通訊之領域,尤其係關於諸如工業匯流排網路(例如,開放平台通訊統一架構網路(OPC-UA network,Open Platform Communication Unified Architecture network))之工業網路。
依據對於目標用例時常是專屬的及特別配置的,在計算機網路中諸如工業現場總線網路之資料通訊機制通常允許在該網路之兩個節點之間發送及/或接收資料,該資料包含關鍵時間分散式控制資料。(COMPUTER,有稱為電腦之情形,本文中稱為計算機)
近幾年傳統上為封閉網路之工業網路已經發展至包含諸如管理節點的節點或連接至諸如該網際網路之公共網路的網路間通訊節點。例如,以連接至該網際網路之個人計算機平台執行個人計算機(PC,Personal Computer)操作系統所實現之操作及管理(O&M,operation and management)節點可以連接至先前關閉的網路以管理該網路之該操作。另一個例子,此類連接至該網際網路之執行個人計算機操作系統之個人計算機平台可用以控制設置在地理位置上不同場所之封閉工業網路。
包含連接至不安全的計算機之節點之工業網路因此可變成透過連接至公共網路之本身節點的計算機攻擊(諸如阻斷服務(DoS,Denial of Service)攻擊)之該目標。阻斷服務或耗盡攻擊是一種攻擊,其中該攻擊者發送大量請求至特定裝置(例如伺服器),造成耗盡本身的資源而導致該特定裝置無法處理某些合法請求。
在關鍵系統中的阻斷服務攻擊可具有較大的影響,因為它們可很快導致合法請求之延遲處理。例如,使用於即時分散式控制之工業現場總線系統是時間關鍵的,因為每一個接收的訊息應在限定的時間內進行處理以保證該工業流程之良好運行。由該接收到一組意外的訊息所造成之該處理可延遲關鍵訊息之該處理,導致該全局處理之故障或顯著惡化的效能。再者,工業計算機網路對於阻斷服務攻擊可以是非常敏感的,因為它們通常包含經常基於具有有限的計算資源之硬體的裝置(由於該裝置的部署環境、產品壽命及成本)。
因此需要提供解決在該技藝中之該習知的技術之至少某些該上述的缺點與不足之改進的資料通訊方案及實現該資料通訊方案之網路節點。
本發明之目的在於提供改進的資料通訊方案及實現該資料通訊方案之裝置。
本發明之另一個目的在於提供在計算機網路中之改進的資料發送方案及實現用於減輕習知方案之該上述缺點及不足之該資料發送方案的裝置,尤其在用於執行在節點間之時間關鍵資料通訊所組配之計算機網路中。
本發明之另一個目的在於提供在計算機網路中之改進的資料接收方案及實現用於減輕習知方案之該上述缺點及不足之該資料接收方
案的裝置,尤其在用於執行在節點間之時間關鍵資料通訊所組配之計算機網路中。
為了達到這些目標及其它優點並且依據本發明之該目的,如同在此所實施及廣泛描述的,在本發明之其中一個態樣,本發明提出用於在計算機網中發送資料之方法。該方法包含在該網路之第一節點處:從該網路不同於該第一節點之難題伺服器節點接收計算難題;決定針對該難題而用於發送訊息至該網路不同於該難題伺服器節點的第二節點之解答;以及發送資料至該第二節點,其中,該發送資料包含該訊息及針對該難題之該決定的解答。
本發明提出的方法有利於提供可以使用於工業網路中用於保護此類網路對抗諸如阻斷服務攻擊之攻擊的方案。
依據本發明之另一個態樣,所提出在計算機網路中用於發送資料之方法包含在該網路之第一節點處:從該網路不同於該第一節點之難題伺服器節點接收計算難題之隨機數(nonce);決定針對使用該隨機數之該難題而用於發送訊息至該網路不同於該難題伺服器節點之第二節點之至少一個解答;以及發送資料至該第二節點,其中,該發送資料包含該訊息及針對該難題之該決定的解答。
依據本發明之另一個態樣,提出在計算機網中用於接收資料之方法,該方法包含在該網路之第二節點處:從該網路不同於該第二節點之難題伺服器節點接收計算難題;接收從該網路不同於該難題伺服器節點之第一節點之資料,其中,該接收的資料包含訊息及針對該難題之解答;
決定是否該接收的難題解答基於該接收的難題是有效的;以及當決定該接收的難題解答是有效的時,處理在該接收的訊息中所包含之請求。
依據本發明之另一個態樣,提出在計算機網中用於接收資料之方法,該方法包含在該網路之第二節點處:從該網路不同於該第二節點之難題伺服器節點接收計算難題之隨機數;接收從該網路不同於該難題伺服器節點之第一節點之資料,其中,該接收的資料包括訊息及針對該難題之解答;決定是否該接收的難題解答基於該接收的隨機數是有效的;以及當決定該接收的難題解答是有效的時,處理在該接收的訊息中所包含之請求。
在所提出用於接收資料的方法之一個或多個實施例中,該提出的方法更可以包含:當決定該接收的難題解答是無效時,捨棄該接收的訊息。
在該提出的方法(無論是用於接收及/或發送資料)之一個或多個實施例中,該計算難題可以是密碼難題。
在該提出的方法(無論是用於接收及/或發送資料)之一個或多個實施例中,該隨機數可以包含隨機數值。在該提出的方法(無論是用於接收及/或發送資料)之一個或多個之實施例中,該隨機數值可以是基於該難題之發送時間。在該提出的方法(無論是用於接收及/或發送資料)之一個或多個實施例中,該隨機數值可以是基於包括在時間同步訊息中之時間戳資訊。
在該提出的方法(無論是用於接收及/或發送資料)之一個或多個實施例中,新的難題可以是依據預定的週期而週期性地接收。
在該提出的方法(無論是用於接收及/或發送資料)之一個或多個實施例中,可以使用基於在該計算機網路中之時間同步資訊所獲得之時間數值與該接收的隨機數一起作為該難題之參數。
在該提出的用於接收資料之方法之一個或多個之實施例中,該方法更包含:決定是否該接收的難題解答是已經由該計算機網路之任何節點所接收。
在該提出的方法(無論是用於接收及/或發送資料)之一個或多個實施例中,可以使用資料串流識別器與該接收的隨機數一起作為該難題之參數。
在本發明之另一個態樣中,提出在計算機網路中之用於網路節點之處理器,其經由配置以執行如同在本發明中所提出之方法。
在本發明之另一個實施例中,提出一種裝置,其包含處理器、操作上耦接至該處理器之記憶體及在計算機網路中通訊之網路介面,其中,該裝置經配置以執行在本發明中所提出之方法。
在本發明之另一個態樣中,提出可執行指令所編碼之非暫時性計算機可讀取媒介,當執行時非暫時性計算機可讀取媒介造成包括操作上與記憶體耦接的處理器之裝置,以執行如同在本發明中所提出之方法。
在本發明之另一個態樣中,提出包含具體實施於計算機可讀取媒介中之計算機程式碼之計算機程式產品,該計算機程式碼包含當提供至計算機系統並且執行時之指令以造成該計算機執行如同在本發明中所提出之方法。在本發明之另一個態樣中,例如透過壓縮或編碼,提出代表如同在此所提出的計算機程式之資料集。
應該要瞭解的是本發明可以以各種方式來實現及使用,包括但不限定於流程、系統、裝置及用於現在已知及以後開發之方法。在經由
下文的描述及該附加的圖式,在此所揭露之該系統之這些及其它獨特的特徵將立刻變得顯而易見。
結合該附加的說明書及對於熟習該項技藝之人士在參考該下文圖式後,本發明將更易於瞭解並且本發明的各種目的及優點將變得更加顯而易見。
1:網路節點
2:控制引擎
3:網路管理引擎
4:資料通訊引擎
5:記憶體
10:用戶端
11:伺服器
12:發送
13:產生
14:發送
15:計算
16:發送
17:檢查
18:執行
20:健康的網路節點
21:癱瘓節點、節點
22:節點
23:攻擊節點、節點
30:伺服器
31:節點
32:節點
33:節點
34:節點
35:節點
36:節點
37:外部代管雲服務
38:星型拓撲網路
41:節點
42:節點
43:節點
44:節點
45:節點
50:接收
51:決定
52:發送
53:接收
54:接收
55:決定
56:處理
60:難題主控器、難題主控器節點
61:伺服節點
62:第一發送節點、發送節點#1、發送節點
63:第二發送節點、發送節點#2
64a:發送、接收
64b:發送、接收
64c:發送
65:發送
66:檢查
67:發出、檢查
68a:接收
68b:接收
69:計算
70:發送
71:查找
72:計算
73:發送
74:查找
75a:接收
75b:接收
77:計算
79:查找
P:難題
X:位元串
Y:位元串
第1a圖圖示可以依據一個或多個實施例而使用之例示性的雜湊型難題方案。
第1b圖圖示可以依據一個或多個實施例而使用之例示性的雜湊型難題方案。
第1c圖圖示在用戶端及伺服器之間之主從難題協定。
第1d圖圖示在菊花鏈拓撲網路中之癱瘓節點所產生之網路擁塞。
第2a圖圖示依據一個或多個實施例所提出的方法可以應用之例示性的計算機網路。
第2b圖圖示依據一個或多個實施例所提出的方法可以應用之例示性的計算機網路。
第3a圖圖示依據一個或多個實施例之例示性的資料發送方案。
第3b圖圖示依據一個或多個實施例之例示性的資料接收方案。
第4圖圖示依據一個或多個實施例可以使用於難題操作之例示性的循環。
第5a圖圖示依據一個或多個實施例之例示性的資料通訊方案。
第5b圖圖示依據一個或多個實施例之例示性的資料通訊方案。
第6圖圖示依據一個或多個實施例之例示性的網路節點。
為了說明之簡潔及清晰,該圖式圖示該一般的構造方式,並且眾所周知的特徵及技術之描述及細節可以忽略以避免非必要地混淆本發明之該描述的實施例之該討論。此外,在該圖式中之元件並非一定按比例繪製。例如,在該圖式中之某些元件之該尺寸相對於其它元件可以是經過放大以幫助增加對本發明之實施例之瞭解。諸如當結構是呈現具有直線、銳角及/或平行平面或者在真實情況下可以是顯著地較不具對稱性及失序之類似形狀時,特定的圖式可以以理想的方式來呈現以輔助瞭解。在不同的圖式中之相同的圖式標號意指相同的元件,而類似的圖式標號可以是但並非必要地意指類似的元件。
此外,應該顯而易見的是在此之教示可以廣泛地以各種形式來實施並且在此所揭示之任何特定的結構及/或功能僅是代表性的。尤其,熟習該項技藝之人士將會理解的是在此所揭示之觀點可以是獨立於任何其它觀點來實現並且幾個觀點可以以各種方式來結合。
本發明依據一個或多個例示性的實施例參照該方法、系統及計算機程式之功能、引擎、方塊圖及流程圖說明而於下文作描述。每一個描述的功能、引擎、方塊圖之方塊及流程圖說明可以以硬體、軟體、靭體、中介軟體、微碼或所述元件之任何適當的組合來實現。若是以軟體來實現時,該功能、引擎、方塊圖之方塊及/或流程圖說明可以藉由計算機程式指令或軟體碼來實現,該軟體可以經由計算機可讀取的媒介來儲存或發送,或者載入至通用計算機、專用計算機或其它可程式化資料處理裝置上以生
產機器,使得在該計算機或其它可程式化資料處理裝置上執行之該計算機程式指令或軟體碼能產生用於實現在此所描述之該功能的方法。
計算機可讀取媒介之實施例包括但不限於促進計算機程式由一個地方至另一個地方的轉移之計算機儲存媒介及通訊媒介兩者。如同在此所使用的,“計算機儲存媒介”可以是能夠由計算機或處理器所存取之任何實體的媒介。此外,該名稱“記憶體”及“計算機儲存媒介”包括任何類型的資料儲存裝置,諸如,但不限於硬碟、隨身碟或其它快閃記憶體裝置(例如記憶體鑰匙、記憶體棒、鑰匙碟、固態硬碟)、光碟片(CD-ROM)或其它光學儲存、數位多功能影音光碟(DVD)、磁碟儲存或其它磁性儲存裝置、記憶晶片、隨機存取記憶體(RAM,Random Access Memory)、唯讀式記憶體(ROM,Read-Only-Memory)、電子可抹除可程式化唯讀記憶體(EEPROM,Electrically-erasable programmable read-only memory)、智慧卡或任何其它適合的媒介,該資料儲存裝置可以使用以執行或儲存以指令或資料結構的形式之程式碼,該指令或資料結構可以由計算機處理器或該計算機處理器之組合所讀取。再者,各種形式的計算機可讀取媒介可以發送或執行指令至計算機,包含路由器、閘道器、伺服器或其它傳輸裝置、有線(同軸電纜、光纖、雙絞線、數位用戶線路(DSL,Digital Subscriber Line)電纜)或無線(紅外、無線、移動、微波)。該指令可以包含來自任何計算機程式化語言之程式碼,包括但不限於assembly、C、C++、Python、Visual Basic、SQL、PHP及JAVA。
除非特別陳述,將會瞭解到在下面的描述討論中使用諸如處理、計算、運算、決定或類似片語之名稱意指計算機或計算系統或類似的電子計算裝置之該行動或程序,該裝置操縱或傳送代表實體的資料,諸如電子、在該暫存器內之量化值或該計算系統之記憶體成為類似代表在該記
憶體內之實體量化值、暫存器或該計算系統之其它此類的資訊儲存、傳輸或顯示裝置的其它資料。
如同在此所使用的,該名稱“包含”、“包括”、“具有”及該名稱之任何變化,是意在含含非排他性包括,使得包含一系列元件之程序、方法、物體或裝置並非必要限定於該元件,而是可以包括未明確列出或此類程序、方法、物體或裝置所固有之其它元件。
此外,在此所使用之該名詞“例示性的”意指“用作為例示、實例或說明”。在此描述為“例示性的”之任何實施例或設計不一定要解釋為相較於其它實施例或設計是更佳的或具優勢的。
在本發明中,與該名稱的衍生性質之該名稱“難題”及“計算難題”可以無差別地使用以表示有關於可以用一個或多個的參數(例如,隨機數)所闡述的問題之資料,欲求解之參數牽涉機器或裝置所執行之計算,該機器或裝置包含例如藉由在計算機上執行一個或多個的演算法之處理器。
該名稱“隨機數”將使用於本發明中以指定使用作為計算難題之參數的資料,該計算難題必須用於決定針對該難題之解答。較佳的是隨機數將選定為由包含可使用以決定針對該難題之解答的處理器之任何裝置所不可預測的。例如,使用於該提出的方法之實施例中之每一個隨機數至少一部分將是以隨機方式而產生或獲得。
在本發明中,該名稱“密碼難題”、“工作難題的證明”、“用戶難題”、“密碼”,與該名稱的衍生性質,可以無差別地使用以表示難題,該難題之解答之決定牽涉使用密碼功能(例如,加密功能、哈希功能、壓縮功能)。
在本發明中,該名稱“耦接”及“連接”,與該名稱的衍生
性質,可以無差別地使用以表示兩個或兩個以上之元件是彼此直接實體的或電性的接觸,或者兩個或兩個以上之元件不是彼此直接接觸,但是仍然彼此合作或交互。
在本發明中,該名稱“載荷”、“載荷資料”、“訊息”、“封包”及“資料封包”可以無差別地使用,並且可以包括資料方塊、協定資料單元或可以在節點或站之間或透過網路而路由或傳輸之任何單元的資料。封包可以包括位元群組,該位元群組可以包括例如一個或多個之位址欄位、控制欄位及資料。資料方塊可以是任何單元的資料或資訊位元。
對於本發明之目的,在此所使用之該名稱“伺服器”意指提供處理、資料庫及通訊設施之服務點。例如但不限定,該名稱“伺服器”可以意指具有結合通訊及資料儲存與資料庫設施之單一的、實體的處理器,或者該伺服器可以意指網路的或群集複合的處理器及結合網路與儲存裝置,以及操作軟體及支援由該伺服器所提供的服務之一個或多個的資料庫系統與應用軟體。伺服器可以以架構或能力而廣泛地變化,但是通常伺服器可以包括一個或多個的中央處理單元及記憶體。伺服器亦可以包括一個或多個的大容量儲存裝置、一個或多個的電源供應器、一個或多個的有線或無線網路介面、一個或多個的輸入/輸出介面或一個或多個的操作系統,諸如Windows Server、Mac OS X、Unix、Linux、FreeBSD或類似的操作系統。
為達到本發明之目的,“計算機網路”應該理解為意指可以耦接裝置(在此亦稱為“節點”)之網路,以便資料通訊可發生在裝置之間,例如包括在經由無線網路所耦接之無線裝置之間。網路亦可以包括大量儲存,諸如網路附加儲存(NAS,network attached storage)、儲存區域網路(SAN,storage area network)或例如其它形式的計算機或機器可讀取的媒
介,並且可以包括或連接至伺服器。網路可以包括該網際網路、一個或多個的區域網路(LANs,local area networks)、一個或多個的廣域網路(WANs,wide area networks)、有線類型連接、無線類型連接、行動,諸如載波電話線、光纖、同步光纖網路、同步數位階層連結、電力線通訊連結(例如,IEEE 61334,IEEE P1901.2)、乙太網路、藍芽、低功耗藍芽(BLE,Bluetooth Low Energy)或藍芽智慧、WiFi或基於IEEE802.11x協定之任何連接、ZigBee或基於IEEE802.15.4協定之任何連接、Z-Wave、IPv6低功耗無線個人區域網路(6LowPAN,IPv6 Low-power wireless Personal Area Network)、Thread、Sigfox、Neul、LoRa、任何近距離無線通訊(NFC,Near-Field Communication)連接、2G(包含GSM/GPRS/EDGE)/3G(包含UMTS/HSPA)/4G(包含LTE及LTE-Advanced)/5G行動或該行動之任何組合。各種類型的裝置,例如閘道器,對於使用於該網路中之不同的架構或協定可以做到提供相互操作的能力。依據本發明,任何數量的節點、裝置、儀器、連結、相互連接等等可以使用於計算機網路中。
通訊鏈結或頻道可以包括例如類比電話線路、全部或部分數位線路、包括衛星鏈結之無線鏈結或諸如對於熟習該項技藝之人士可能是已知的其它通訊鏈結或頻道。
網路之計算裝置,例如感測器節點或致動器節點,諸如透過有線或無線網路可以具有能力發送或接收訊號,並且/或者可以具有能力處理及/或儲存資料。
應該要瞭解的是本發明之實施例可以使用於各種應用中,尤其但不限於諸如工業匯流排或感測器網路之工業網路,其中潛在大量的感測器聯合監測在不同位置處(例如在工廠內或核電廠設施)之物理或環境條件。雖然本發明並非限定在這個方面,在此所揭露之該方法可以使用於很
多類型的具有各種拓撲之計算機網路中,諸如例如任何低功耗有損網路(LLN,Low Power and Lossy Networks)、任何菊花鏈拓撲網路、任何車用匯流排網路、任何多重跳接系統,例如網狀網路、任何物聯網(IoT,Internet of Things)網路或系統、任何機器對機器(M2M,Machine-to-Machine)網路或系統,例如智慧物件網路,諸如感測器網路或該網路之任何組合,並且可以使用於諸如在計算機網路之任何網路節點中之很多裝置內,諸如例如根節點、閘道器節點、感測器節點、致動器節點或者在連接至或包含於該計算機網路中之任何伺服器內。
該提出的方法能有利於部署於必須傳輸具有關鍵時序及安全性約束之單向資料流的通訊系統中。尤其,新開發的基於具有訊息加密及認證支持(諸如OPC-UA PubSub)之乙太網路之該工業控制網路需要受保護以對抗某些潛在的阻斷服務(Deny-Of-Service)攻擊。即使加密及訊息認證機制可以應對大量威脅,它們可能仍然容易因為實施(硬體及軟體)而受到阻斷服務攻擊。確實,該認證機制需要計算資源,並且可受到耗盡攻擊。本發明有利於允許在具有較低計算資源之硬體平台上之阻斷服務攻擊的減緩,該方法因此允許在該網路中之成本降低同時保持網路安全性。
用戶端密碼難題已經導入作為對付阻斷服務攻擊在計算機網路中之對策。在用戶端/伺服器模型中,當來自該用戶端的請求接收時,用戶端難題是由伺服器提交給用戶端之可計算的密碼問題。該用戶端必須求解該問題及提供該解答至該伺服器作為針對該伺服器處理本身請求之條件。在該伺服器端,由該用戶端所提供之該解答首先經過快速確認以檢查是否該解答是正確與否,並且先前來自該用戶端所接收之該請求僅在其中該接收的解答是正確的情況下才處理。為了確保該用戶端密碼難題方案之良好的效率,該難題通常經過設計以便需要求解該難題問題之該資源(計算
及記憶體)比確認該解答之該正確性所需要之該資源重要得多。因此,雖然合法用戶端將僅經歷一點點額外的計算以提交請求給伺服器,但攻擊者必須有權存取大量計算資源以產生足夠的請求以建立出具有對該伺服器的效能之顯著影響的阻斷服務攻擊。該提交的問題通常使用伺服器機密或隨機數值、時間及額外的用戶端特定資訊來制定。
較佳的是該難題解答必須是獨特的以便由該用戶端或由竊聽裝置之重播是不可能的。
此外,該難題最好以沒有用戶端能夠預測從防禦伺服器所接收的該難題之這樣方式來設計。在這種方式中,用戶端無法事先計算難題解答。
該難題之該複雜度亦可以依據該伺服器之壓力(stress)並且因此依據攻擊之該強度而作調整。
不同等級(類型)的難題已經提出以對付諸如阻斷服務攻擊之攻擊,在該難題中CPU限制難題之該等級是最大等級的用戶端難題。
例如,計算所謂的“雜湊型難題”之該解答通常需要執行包含密碼哈希函數之計算。
依據雜湊型難題方案之其中一個例子,該哈希之該反向的部分可以提供至該用戶端以便該用戶端可以求解該難題,意即藉由蠻力找出該反向哈希之該剩餘部分(意即,使用隨機嘗試)。如同在第1a圖之圖示,該難題P可以存在於長度n位元(n-k bits:X<k+1...n>)之部分的位元串X中以及位元串Y,其中Y是該位元串X之該哈希值。該難題P之該解答存在於X:X<1..k>之該缺失的k位元,該解答可以假設是獨特的以便X之該哈希值等於Y。
在第1b圖上所圖示之雜湊型難題方案之另一個例子中,該難題P可以存在於長度n位元(n-k bits:X<k+1...n>)之部分的位元串X中,並且在初始的位元串Y之位元數1等於零,其中Y是該位元串X之該哈希值。該難題P之該解答存在於X之該缺失部分,該解答可以藉由蠻力所決定同時遵守該哈希值Y之最低有效位元是等於0之該條件。
第1c圖圖示在用戶端(10)及伺服器(11)之間之典型的主從難題協定。
在該主從式用戶端難題協定方案中,在請求處理之前該用戶端首先必須與該伺服器聯繫請求以接收難題及求解該難題。如同在第1c圖中之圖示,該用戶端(10)首先發送(12)請求至伺服器(11)。當收到該請求時,該伺服器(11)產生(13)難題P,並且發送(14)該難題P至該用戶端(10)。當收到該難題P時,該用戶端(10)針對該難題P計算(15)該解答S,並且發送(16)此類解答S至該伺服器(11)。當收到該解答S時,該伺服器(11)檢查(17)該解答,並且若該解答S是正確的,該伺服器(11)執行(18)初始來自該用戶端(10)所接收之該請求。
如同在第1c圖中所看到的,該主從式用戶端難題協定方案牽涉在用戶端及伺服器之間之複數個難題相關的訊息之交換。這導致執行該用戶端請求之該網路延遲之增加。此外,該主從式用戶端難題協定方案並不適用於某些單向通訊方案,諸如該廣播或多重播送通訊方案。
視本身的架構及拓撲而定,某些計算機網路(例如,用於工業中)可使用某些部分的網路或在該網路、廣播及/或多重播送通訊中之某些通訊。
此外,諸如現場總線系統之工業計算機網路可以經由配置以使用於時間關鍵資料通訊。例如,工業或汽車客運可混合不同的計算能力
之異質裝置(例如,具有非常低至高的計算能力的裝置)。意即,即使具有低的計算能力之裝置可以具有該能力以藉由簡單複製封包及變更在封包內部的小量位元組而在高速網路介面下發送封包。這給攻擊者留下癱瘓任何裝置之該可能性以導致對連接至該匯流排之任何其它裝置造成阻斷服務攻擊。
再者,某些通訊系統使用加密的及認證的(例如簽署的)資料流,例如經由在傳輸用於認證目的之前在每一個訊息中藉由傳輸節點所插入之編碼(有時候稱之為訊息認證碼(MAC,Message Authentication Code))。接收帶有訊息認證碼編碼的訊息之該網路的該節點可以使用此類編碼以確認該訊息並非由惡意或癱瘓節點所發送。然而,檢查訊息認證碼可以是相當耗費資源的操作,尤其對於具有低的計算能力之節點,其限制認證資料流之該使用。此外,訊息認證碼編碼之此類檢查可受到阻斷服務攻擊。確實,在該接收者端,該認證過程可通常需要處理該整個簽署的資料。因此,即使該攻擊者並未存取該簽名金鑰,該攻擊者可以產生大量的具有錯誤簽名(意即不正確的訊息認證碼編碼)之癱瘓訊息。為了確認每一個接收的訊息,該接收者對於每一個接收的訊息仍然將必須計算該訊息認證碼,以便對於該接收的訊息檢查該訊息認證碼。若該簽署演算法效能是低於資料鏈結速度,則該攻擊者將可在該接收者處消耗資源並且避免該接收者執行合法請求,尤其是時間關鍵之合法請求。
由於難題提交通常需要在用戶端及伺服器之間之特定的訊息交換,對於難題提交給該用戶端之該方案亦產生某些爭議。因此,除了需要求解及確認該難題之計算資源之外,該用戶端難題協定方案耗費某些網路頻寬。
再者,視該網路拓撲及架構而定,執行阻斷服務攻擊之攻擊者亦可以引起網路擁塞在某些部分的網路中,或者干擾中間網路節點之該正常執行。例如,工業現場網路總線可以部署以菊花鏈拓撲,如同在第1d圖中之圖示。在這個部署中,每一個網路節點是以串連方式連接至下一個網路節點。若其中一個節點(在第1d圖之節點(21))受到癱瘓時,將會泛濫該在該網鏈(在第1d圖中之節點(22)及(23))中位在該節點之後的任何裝置。對於此類情況,基於使用諸如限速之網路指標的網路串流政策之防禦策略可能缺乏效率,因為此類的方法無法分辨有效訊息與泛濫訊息。因此,為了應付此類攻擊之威脅,有需要在最接近該癱瘓節點(21)之該資料路徑中之該健康的網路節點(20)內識別及過濾該泛濫訊息,同時在該癱瘓節點(21)及該攻擊節點(23)之間的該路徑中則不識別及過濾。
第2a及2b圖依據一個或多個實施例顯示該提出方法可以適用之例示性的計算機網路。
第2a圖顯示具有伺服器(30)經由乙太網路鏈結連接至複數個節點(31-36)並且連接至外部代管雲服務(37)之星型拓撲網路(38)。節點(31)可以執行製造執行系統及/或企業資源計畫(ERP,Entreprise Resource Planning)功能,節點(32)可以執行監測、控制及產品線功能的監督(監督控制及資料採集(SCADA,Supervisory Control And Data Acquisition)),節點(33)可以透過一個或多個可程式邏輯控制器(PLC,programmable logic controller(s))而執行機器及系統功能之調節,及一個或複數個節點(34-36)可以執行具有系統之感測器及/或致動器之介面功能。
在第2a圖中所顯示之該網路(38)可以使用在該工業領域中經設計用於資料通訊之該開放平台通訊統一架構協定,以便該伺服器可以
經由配置作為開放平台通訊統一架構伺服器,並且其它節點作為開放平台通訊統一架構用戶端。再者,一個或多個節點可以經由配置作為開放平台通訊統一架構發佈者及/或訂閱者。
第2b圖顯示具有單向資料流之菊花鏈拓撲網路。訊息可以從每一個節點(41-45)沿著由在該圖式中之箭頭所說明之該資料通訊路徑傳送至另一個節點。
第3a圖顯示依據本發明之一個或多個實施例之例示性的資料發送方案。
如同在第3a圖中所顯示,用於實現該提出的資料發送方案所配置之第一網路節點可從難題伺服器節點接收(50)計算難題。
在一個或多個實施例中,該計算難題可以使用隨機數之公式表示,以便該第一網路節點可以接收隨機數,並且可經由配置以考量該第一網路節點透過收到該難題之隨機數已經接收到難題。
在其中一個或多個實施例中,該計算難題可以是密碼難題,在該例子中該密碼難題可以使用隨機數值之公式表示,意即,表示數字或位元串之隨機數資料。該隨機數值通常可以對於數字或位元串的該部分或全部之隨機抽取,以便該隨機數值可以包括是隨機之至少部分的該數字或位元串,如以下例子中所述。
在一個或多個實施例中,該計算難題可以是不同的類型。例如,該計算難題可以對應問題,針對該問題,由包含處理器之機器或裝置之解答的決定可以牽涉在隨機數資料中之一個或多個圖案的識別,例如使用人工智慧引擎。在此類例子中,使用於表示該難題之該隨機數資料可以對應於影像,在一組影像中已經經過隨機選擇之部分或所有影像,並且決
定該計算難題之解答在該隨機數資料中可需要預定圖案(例如,紅綠燈、汽車、動物等等)之該識別。
在一個或多個實施例中,該第一節點基於該接收的難題可以決定(51)針對該難題之至少一個解答,以使用於發送訊息至該網路不同於該難題伺服器節點之另一個節點(第二節點)。在某些實施例中,該第一節點基於該難題之接收的隨機數可以決定針對該難題之解答。
一旦針對該難題之解答決定後,該第一節點可以發送(52)資料至該第二節點,該資料包含欲發送至該第二節點之該訊息以及針對該難題之該決定的解答。
在某些實施例中,該發送的資料可以包含在該發送的訊息及該發送的難題解答之間之關聯的指示,視該實施例而定該關聯可以是隱含或明示。在某些實施例中,該第一節點可以有利於使用這類指示以發送複數個訊息至該第二節點,每一個訊息結合針對該難題之(最好單個)解答。例如,在某些實施例中,該發送訊息可以包含針對該難題之該決定的解答。在此類的例子中,該指示是透過在該對應的訊息中包括針對該難題之該解答而隱含地傳遞。為了發送指示訊息之資料至所結合的難題解答之訊息的目的,使用隱含指示有利於避免耗費頻寬。
在其中在難題解答及訊息之間結合的該指示之實施例中,例如使用識別碼,帶有該指示之該資料可以受到應付潛在攻擊之保護,例如藉由使用不可預測的數值(例如藉由使用部分地或全部地隨機數值),該數值僅該發送節點(節點發送該訊息、該解答及該指示)以及該接收節點(節點接收該訊息、該解答及該指示)知道。
視該實施例而定,使用該提出的方案之該難題可以是依照該網路之該節點之該計算能力的計算難題。
第3b圖顯示依據本發明之一個或多個實施例之例示性的資料接收方案。
如同第3b圖所顯示,經由配置用於實現該提出的資料發送方案之第二網路節點可以接收(53)來自不同於該第二節點之難題伺服器節點之計算難題。
此外,該第二網路節點可以接收(54)來自第一節點(亦不同於該難題伺服器節點)包含針對該難題之訊息及解答之資料。
該第二節點接著可以檢查該接收的解答,意即,決定(55)是否基於該接收的難題之該接收的解答是有效的。
關於第3a圖如同上文所描述,在一個或多個實施例中,該計算難題可以以具有隨機數之公式表示,以便該第二網路節點可以接收隨機數,並且可以經由配置以考量該第二網路節點經由該難題之隨機數之該接收而已經接收到欲使用於檢查針對該難題之至少一個接收的解答之資料。
關於第3a圖亦如同上文所描述,視該實施例而定,該計算難題可以是密碼難題或者是不同的類型。
當決定該接收的答案是有效的時,該第二節點可以處理(56)該接收的訊息。
在某些實施例中,可以使用諸如雜湊型難題之密碼難題。
在某些實施例中,該接收的資料可以包含針對該難題在該接收的訊息及該接收的解答之間之關聯的指示,視該實施例而定該指示可以是隱含或明示。
例如,在某些實施例中,該接收的訊息可以包含針對該難題之該解答。在此類例子中,該指示透過在對應的訊息中包括針對該難題之該解答是隱含地傳遞。
該提出的資料發送方案因此提供由節點所接收之難題,該難題是使用於其中該節點想要發送訊息至另一個節點之該例子中。該節點可以經由配置以便在尚未首先求解出來自難題伺服器節點所接收之難題並且發送該訊息至該其它節點以及針對該難題之決定的解答下,該節點並未發送訊息至該網路之另一個節點。
該提出的資料接收方案提供該難題亦可以由節點所接收,該難題是使用於該例子中,其中該節點接收來自另一個節點之訊息。該節點可以經由配置以便在尚未首先檢查由相同發送節點關於該發送的訊息所接收的解答是有效的情況下,該節點不接收或處理來自該網路之另一個節點之接收的訊息。因此,使用用於解答之計算的難題在計算上比檢查解答耗費得多,將有利於減輕在該計算機網路中之阻斷服務攻擊之該風險,同時限制在該發送節點及該接收節點之間之網路頻寬之使用以及兩者節點處之資源的使用。可需要確認結合接收訊息之難題解答之有限的計算資源可以有利於在具有節點之網路中的改善,該節點可以使用非常有限的計算資源而僅接收訊息,並且仍然提供有效的解答用於保護此類節點免於受攻擊。
在某些實施例中,若此類訊息並未接收到具有針對該接收的難題之解答時,該接收的節點可以經由配置以捨棄接收的訊息。在某些實施例中,若此類訊息是接收到具有針對接收的難題之無效的解答時,該接收的節點可以經由配置以捨棄接收的訊息。
在該發送節點處之訊息之發送及在該接收節點處之該訊息之該接收,兩者接著可以基於由該發送節點及該接收節點兩者所接收之難題而作調節,例如來自該網路之難題伺服器節點。
因為該難題是接收來自不同於該訊息欲發出的該節點之伺服器節點,該提出的方案有利於限制信號開銷以及由該提出的方案所產生之該網路延遲。此外,該提出的方案是有利於適用在單向通訊方案,諸如廣播或多重播送通訊方案。
依據某些實施例,本發明提出密碼方案以減緩阻斷服務攻擊,該方案可以有利於使用在已經實現具有資料加密及認證機制之網路安全之關鍵通訊系統中。該提出的方案可以有利於適用在各種網路架構及協定,包括用於諸如例如使用在基於所謂的“發佈/訂閱”模型之新的工業現場總線協定之多重播送之單向資料流。確實,在這種類型網路中,因為關於可運用計算資源之裝置異質性,接收的裝置可以藉由發送大量的具有錯誤簽名之簽署訊息由攻擊者所輕易地泛濫。
在一個或多個實施例中,該提出的方法使用藉由節點欲發送訊息至另一個節點的密碼難題之該解決方法,迫使該發送節點在發送該訊息之前耗費時間(及計算資源)。不像習知的方法,本發明對於該訊息遞送延遲(該延遲在關鍵系統中是重要的)具有非常有限的影響及產生少的信號開銷。在某些實施例中本發明亦有利於允許識別及過濾在任何中間節點中之惡意泛濫流量,本發明避免由該攻擊所建立之可能的網路擁塞之該發生。再者,該提出的方案是有利於經由設計以針對可能的重演、預先計算或模擬攻擊具有彈性,並且亦可經由輕質微控制型裝置而輕易地部署。
該提出的方案更進而有利於解決對於適用於某些通訊系統之新的密碼難題協定方案之目前的需求,該通訊系統應該支援在同步的節點之間的數位簽署單向資料流。
例如,設計用於工業通訊匯流排之該新開發的通訊協定開放平台通訊統一架構(由該OPC基金會所指定,使用該縮寫“OPC”代表“開放平台通訊(Open Platform Communication)”),例如用於工業自動化應用,包括基於用戶端/伺服器協定(該協定可依賴於該傳輸控制協定/網際網路協定(TCP/IP,Transmission Control Protocol/Internet Protocol)堆疊(如同由該網際網路工程任務組(IETF,Internet Engineering Task Force)所指定)),以及更包括用於即時通訊發佈一訂閱(PubSub,publish-subscribe)方案,每一個方案可依賴乙太網路。因為安全性需求,該開放平台通訊統一架構發佈/訂閱協定本質上透過訊息認證碼(MAC,Message Authentication Code)實現每一個協定訊息之加密及認證,該訊息認證碼使用機密簽署金鑰經由包含在該訊息內之資料而計算並且加在該訊息末尾處。在該接收者端,在該接收的訊息中之該訊息認證碼是系統化確認。這種操作需要非常重要的計算資源及增加延遲。
必須在同步節點之間支援數位化簽署單向資料流之通訊系統之另一個例子是依賴於必須傳遞單向加密音頻/視頻資料流之IEEE 802.1AVB之音頻/視頻播放系統。
在某些實施例中,該提出的方法可以使用雜湊型難題,該雜湊型難題存在於找出位元串解答X使得該X的哈希數值之該m個最低有效位元與由該協定所提供之另一個位元串Z串聯在一起是等於預定位元串流Y,意即LSBm[H(x|z)]=Y。
在一個或多個實施例中,為了防止預先計算攻擊,該難題可以以具有共同隨機數之公式表示(例如隨機數值),較佳的是經由選擇以便該隨機數不可以被預測。該隨機數n可以藉由特定訊息所傳遞,例如稱為“隨機數難題控制(NPC,Nonce Puzzle Control)”訊息,該隨機數難題控制訊息可以提供至經由配置以使用該提出的程序之該網路的節點,例如使用廣播及/或多重播送資料傳送。該隨機數難題控制訊息在某些實施例中可以是由主節點使用給定頻率經由該網路而週期性發送。
在某些實施例中,新的難題可以藉由難題主節點重複地發送,以便由節點所接收之每一個難題可以考量是有效的而用於此類節點之使用直到新的難題接收到為止。在某些實施例中,該節點在預定的時間週期可以經由配置用於接收新的難題,以便新的難題可依據預定的週期由該節點週期性地接收。難題使用該提出的方法之該重複的(例如週期性的)發送至節點視在該計算機網路中之頻寬限制而定有利於允許將在兩個連續的難題發送之間之持續時間設定為選定值。例如,在兩個連續的難題發送之間之該持續時間可以選定足夠長以便該難題發送至該網路之該節點將不會耗費非必要高量的網路頻寬。反之,在兩個連續的難題發送之間之該持續時間可以選定足夠短暫以確保由該節點所使用之該難題是時常更新的以確保較高的安全性來應付攻擊。
在一個或多個實施例中,發送至節點用於發送該難題至此類節點之該隨機數值可以依據該難題之發送時間。在某些實施例中,該隨機數難題控制訊息之發送時間依據本發明可以藉由用於計算或確認難題解答所配置之所有網路節點而使用作為共同的隨機數值。
在某些實施例中,其中包括隨機數值之難題是重複地發送的(例如以給定的週期之廣播),基於該難題之發送時間之隨機數值可以是該
難題的一部分,並且可以是有效的直到新的隨機數值發送為止。優選的是,基於本身的發送時間之用於產生難題所配置之該難題伺服器節點可以經由配置以便產生的隨機數值無法由任何節點(尤其是攻擊者)所預測,該方法有利於避免難題解答預先計算。因此,在某些實施例中,使用於產生隨機數值之該發送時間可以足夠精確選定(例如達到該奈秒等級)以便該難題必須載入避免其它節點預測該隨機數值之隨機部分。
在一個或多個實施例中其中該節點包含在時間同步網路中,使用於同步節點的當地的時脈與網路時脈之該時間同步協定可以基於本身的發送時間而有利於使用以分配隨機數值,藉以降低結合該難題之該分配的該頻寬使用。例如,在其中該精確時間協定(PTP,Precision Time Protocol)(如同在該IEEE-1588標準中所定義)是使用於網路節點之時間同步之實施例中,代表該“同步”精確時間協定(“Sync”PTP)訊息之該發送時間之該時間戳資料如同在該後續“接續”精確時間協定(“FollowUp”PTP)訊息內部所指示可以由接收該同步及接續精確時間協定訊息之該節點所使用而作為共同的隨機數值。因此,包含在時間同步協定之廣播訊息中之資料可以藉由該時間同步網路之節點所使用作為共同的隨機數值。該提出的難題分配方案有利於避免特定訊息之該使用以分配難題至在該網路中之節點,減輕了對於結合難題在該網路中之該分配的額外網路頻寬之該需求。
熟習該項技藝之人士將可瞭解,即使本發明描述意指精確時間協定作為可以使用於一個或多個實施例中之時間同步協定的例子,任何其它適合的時間同步協定,諸如,例如,該網際網路工程任務組(IETF,Internet Engineering Task Force)網路時間協定(NTP,Network Time Protocol),如同在用於註解(RFC,Request for Comments)5950之該請求
中所指定的,可以使用於代替該精確時間協定,該網路時間協定僅是以例子之方式而給定。
在一個或多個實施例中,由該計算機網路之感興趣的節點(發送節點及/或接收節點)所使用之該難題可以用複數個參數來表示,包括依據難題分配方案之感興趣的該節點所獲得之隨機數參數(如同上文所描述,該隨機數參數可以藉由難題伺服器節點或藉由該網路之另一個伺服器節點所提供(例如時間同步伺服器節點)),以及由獨立於難題分配方案之該感興趣之該節點所獲得之一個或多個之參數,諸如使用於分配該隨機數參數。反之,經由配置以使用該提出的方法之該節點可以使用至少具有隨機數參數(如同上文所描述關於時間同步網路而接收來自難題伺服器節點或來自另一個類型的伺服器節點)以及在執行並非難題分配相關的功能之該過程中所獲得之具有一個或多個參數(稱之為“隱含”難題參數,因為該參數並未分配至該節點作為部分難題分配方案)所表示之難題。
例如,在某些實施例中,結合該接收的隨機數(當透過難題分配方案用於傳送難題參數至該節點而獲得時,該隨機數不是隱含的難題參數),可以使用基於在該計算機網路中之時間同步資訊所獲得之時間值作為(隱含)該難題之參數。其它隱含的難題參數可以使用於與該時間值隱含難題參數及該隨機數參數結合。
該下文提供使用此類時間值作為關於時間同步網路之該難題之隱含參數之例示性的實施例,其中通訊節點是時間同步的並且分享共同的時脈。
為了執行該難題應付重播攻擊(意即,其中該攻擊者使用用於發送許多訊息之單一難題解答之攻擊),該難題在一個或多個實施例中可以以不是部分該隨機數之時間值所表示。意即,不論藉由發送節點或接收
節點,依據此類實施例所使用之該難題可以具有複數個參數,包括隨機數參數及時間值參數。
在某些實施例中,其中該時間同步計算機網路之該節點具有與網路時間同步之當地時脈,該時脈域可以基於預定的週期(亦稱之為“循環”)而分割,以便時間可以依序藉由循環數(或指標)來識別。易言之,該時間域可以分割成為預定持續時間(例如,100ms)之循環,以便時間值可以對應於在循環之指標序列中之循環指標。
因此,在一個或多個實施例中,其中該提出的方法是使用於其中節點是時間同步的之時間同步網路中,每一個節點可以經由配置以計算基於本身的當地時脈之循環指標。例如,任何節點可以經由配置以獲得(例如,接收來自該網路或決定)目前的循環數。該目前的循環數之該決定可以牽涉藉由預定的循環持續時間計算該目前時間(基於與網路時脈同步之該當地時脈)之該(例如,整數)分割。在某些實施例中,除了藉由作為部分該難題的難題主控器而分配至節點的隨機數外,如同由使用該提出的方法之節點所計算之該目前的循環之指標可以使用作為額外的難題參數。
在此類的實施例中,經由配置以使用該提出的方法之節點可以經由配置以使用該獲得循環指標作為欲使用之部分該難題(用於決定在發送節點處之解答,以及用於檢查在接收節點處之接收的解答),以便必須在單一循環內部發送複數個訊息之發送節點可以經由配置以求解基於接收的隨機數及對於該循環獲得的指標之相同的難題。在這個方法中,該產生的解答在每一個循環期間可以有利於是獨特的。在某些實施例中,在確認該難題解答之前,該接收節點可以經由配置以檢查該難題解答在該目前的循環期間尚未提出。因此,在某些實施例中,對應於循環指標之時間值可以使用於藉由發送節點及接收節點所使用之該難題之制定,以便每一個循
環可以決定難題,而隨後的循環決定了另一個難題。該循環指標因此可以使用作為難題參數,具有優點為該額外的參數可以不分配至該節點而該隨機數參數才是,因為該額外的參數可以在時間同步的網路之每一個節點處所計算。該方案有利於增加難題參數之數量,該方案改善該節點保護應付攻擊,而不會產生結合該難題之該分配之額外的取樣負擔。再者有利的是循環之該持續時間可以選定短暫的,以便難題之有效性之該持續時間同樣地短暫,並且該難題是時常更新的。
第4圖圖示依據本發明之實施例可以使用於難題操作之循環。如同在第4圖中之圖示,搭載用於難題P之隨機數之訊息可以實質上週期性地廣播於該計算機網路中,而具有預定的隨機數廣播週期。此類訊息之例子是圖示在第4圖中作為隨機數難題控制(NPC,Nonce Puzzle Control)訊息NPCn、NPCn+1及NPCn+2。在位在兩個連續的隨機數分配訊息之間之該時間週期可以分割成為m+1個循環的預定循環持續時間:Cycle0,Cycle1,....,Cyclem。對於對應於隨機數難題控制訊息NPCn之每一個循環Cyclei(意即,在初始的該循環Cyclei時之該最後接收的隨機數難題控制訊息)經由配置以使用該提出的方法(發送節點決定一個或多個難題解答或接收節點檢查一個或多個接收的難題解答)之節點可以衍生出來自在該對應的隨機數難題控制訊息NPCn中所接收之隨機數及來自該循環指標i之難題Pn,i。
第5a圖說明依據本發明之一個或多個實施例之例示性的資料通訊方案。
參考第5a圖,在一個或多個實施例中,難題伺服器節點可以經由配置用於提供以隨機數所表示之難題P,例如,針對每一個複數個該網路之節點之隨機數值(例如無法預測的(部分或全部隨機)數值)。例如,
如同在第5a圖中所圖示,所謂的“難題主控器”節點(60)發送(64a、64b、64c)用於難題P之隨機數值至第一發送節點(62)、至第二發送節點(63)及至伺服節點(61)。
在一個或多個實施例中,為了具有發送至另一個節點之訊息是由此類的其它節點所處理(例如,為了具有請求發送至由此類的其它節點所服務之另一個節點),有效的難題解答必須獲得(例如,計算)及由發送該訊息之該節點所發送以及提供至該目的地節點以便處理該訊息。例如,在某些實施例中,為了完成請求,有效的難題解答必須是藉由發送請求至伺服節點之任何請求節點所計算。
在一個或多個實施例中,由該發送節點所計算之該解答可以結合該發送訊息而送出。在某些實施例中,該計算的解答可以是嵌入至該發送的訊息中。
在某些實施例中,針對該最後接收的難題之解答可以嵌入至每一個發送的訊息中。
在該接收節點處,結合接收的訊息之所接收之該難題解答可以在處理該訊息之前經過確認。在某些實施例中,該解答可以在任何其它處理操作之前在該接收節點處經過確認,若有支援的話包括訊息認證。在其中該接收的訊息包括針對該難題之該解答之例子中,該訊息首先可以處理以擷取該難題解答,並且一旦該難題解答經決定是有效的時,該訊息可以更進而做處理。
在其中使用雜湊型難題做簽署確認之實施例中,該難題存在於找出位元串解答X使得該X的哈希數值之該m個最低有效位元與由該協定所提供之另一個位元串Z串聯在一起是等於預定位元串流Y(LSBm[H(x|z)]=Y),意即,檢查針對該難題之該接收的解答可以有利於
僅存在於計算與Z串聯在一起之該難題解答X之該哈希值,並且檢查是否該結果之該m個最低有效位元符合Y。該操作從計算成本觀點通常是較便捷及較快速於計算針對該難題之解答。因此,當潛在的攻擊者將受到制止而無法發出大量具有結合解答之訊息至該網路之另一個節點時,此類其它節點將不需要高的計算資源用於防禦本身應付此類阻斷服務攻擊,因為檢查接收的解答將是計算上較不昂貴的。
例如,如同在第5a圖中之圖示,發送節點#1(62)計算針對來自該難題主控器(60)所接收(64b)之該難題P之解答(S1),接著發送(65)包括結合(可包含)針對該難題P之該解答S1的Request#1之訊息Msg#1至該伺服節點(61)。同樣的,發送節點#2(63)計算針對來自該難題主控器(60)所接收(64a)之該難題P之解答(S2),接著發出(67)包括結合(可包含)針對該難題P之該解答S2的Request#2之訊息Msg#2至該伺服節點(61)。
當接收該訊息Msg#1及該解答S1時,該伺服節點(61)可以經由配置用於檢查(66)該解答S1,並且一旦該解答S1經決定是有效的時,處理該Msg#1,例如服務該Request#1。同樣的,當接收該訊息Msg#2及該解答S2時,該伺服節點(61)可以經由配置用於檢查(67)該解答S2,並且一旦該解答S2經決定是有效的時,處理該Msg#2,例如服務該Request#2。
如同上文所討論的,該提出的方法並未依賴使用接收的節點機密所表示之難題。例如,在其中使用雜湊型難題之實施例中,該難題存在於找出位元串解答X使得該X的哈希數值之該m個最低有效位元與由該協定所提供之另一個位元串Z串聯在一起是等於預定位元串流Y(LSBm[H(x|z)]=Y),該位元串Z可以不包括在該發送及接收的節點之間所分享之任何機密。再者更有利的是,在該發送節點及該接收節點之間不需要某些先前的訊息交換以得到任何機密。此外,由於此類節點將已經接
收來自難題主控器之該難題,該提出的處理有利於允許在該發送節點及該接收節點之間在該訊息路由上之任何節點以檢查由任何訊息所傳遞之該難題解答。
在一個或多個實施例中,當接收到使用儲存該難題解答相對於該難題P已經使用及確認之查找表時,用於難題P之解答之獨特性可以做確認。查找表(在此稱之為“難題解答LUT”)可以在經配置用於使用該提出的方法用於接收資料之該網路的每一個節點處做維護,並且對於給定的節點可以使用以儲存已經使用之難題解答及與相對於不同的難題而關於該對應的難題做確認。當至少一個預定的難題參數改變時(例如,當隨機數參數改變及/或當時間值參數改變時,視該節點配置而定),經配置用於管理難題解答LUT之節點可以經由配置用於清除本身的表單。意即,當經由配置用於觸發難題解答LUT之重置的難題參數改變時,該查找表可以清除,以便該查找表可以再次使用於其它難題。該查找表可以是使用每一個接收的有效解答而順序地填入。當接收解答時,該接收節點首先可以確認該接收的解答是獨特的,意即,透過在本身的查找表中查找已經儲存在該表單中之相同的解答,而尚未收到該解答。當決定出相同的解答已經儲存在該表單中時,該接收的節點可以捨棄該訊息,而甚至不用確認結合該訊息所接收之該解答之該有效性。當決定未有相同的解答已經儲存在該表單中時,該接收的節點可以繼續處理檢查結合該訊息所接收之該解答之該有效性。如同依據本發明之實施例於上文所描述,在該接收節點處之更進一步的操作接著可以執行。
例如,如同在第5b圖中所圖示的,難題主控器(60)對於該週期n可以發送搭載用於難題P1有效性的隨機數之隨機數難題控制訊息至發送節點(62)及至伺服節點(61)(接收節點)。該發送節點(62)可以計算
(69)針對在該週期n期間來自該難題主控器(60)所接收(68a)之該難題P1之解答(S1,1),接著發送(70)結合(可包含)針對該難題P1的該解答S1,1之訊息Msg#1至該伺服節點(61)。
當接收該訊息Msg#1及該解答S1,1時,該伺服節點(61)可以經由配置用於在本身的解答表單中查找(71)該解答S1,1以檢查是否該伺服節點(61)已經接收該解答S1,1。若該解答S1,1在該解答表單中無法找到時,該伺服節點(61)基於在來自該難題主控器(60)之該週期n期間所接收(68b)之該難題P1可以檢查該解答S1,1之該有效性,並且一旦該解答S1,1經由決定是有效的,處理該Msg#1,例如服務包括在該訊息內之請求。
同時,在相同的週期n期間,該發送節點(62)可以計算(72)針對在來自該難題主控器(60)之該週期n期間所接收(68a)的該難題P1之另一個解答(S1,2),以發出另一個訊息至該伺服節點(61)。該發送節點(62)接著可以發送(73)結合(可包含)針對該難題P1的該解答S1,2之訊息Msg#2至該伺服節點(61)。
當接收該訊息Msg#2及該解答S1,2時,該伺服節點(61)可以經由配置用於在本身的解答表單中查找(74)該解答S1,2以檢查是否該伺服節點(61)已經接收該解答S1,2。若該解答S1,2在該解答表單中無法找到時,該伺服節點(61)基於在來自該難題主控器(60)之該週期n期間所接收(68b)之該難題P1可以檢查該解答S1,2之該有效性,並且一旦該解答S1,2經由決定是有效的,處理該Msg#2,例如服務包括在該訊息內之請求。
該後續週期(n+1)接著可以達到,在該時段點該難題主控器(60)對於該目前的週期(n+1)可以發送搭載用於難題P2有效性的隨機數之新的隨機數難題控制訊息至該發送節點(62)及至該伺服節點(61)(接收節點)。
欲發送資料至該伺服節點之該發送節點(62)可以經由配置以使用該最後接收的難題以計算該難題解答,該發送節點(62)將發送結合欲發送之該訊息的該難題解答至該伺服節點。該發送節點(62)接著可以計算(77)針對來自該難題主控器(60)對於該目前的週期n+1所接收(75a)的該難題P2之解答(S2,1),以發出另一個訊息至該伺服節點(61)。該發送節點(62)接著可以發送(73)結合(可包含)針對該難題P2之該解答S2,1之訊息Msg#3至該伺服節點(61)。
當接收用於該難題P2之該隨機數時,該伺服節點(61)可以經由配置用於清除本身的解答表單(例如,重置儲存在本身的解答表單中之所有難題解答),以便該伺服節點(61)在該新的目前週期(n+1)期間管理接收的難題解答。當接收到該訊息Msg#3及該解答S2,1時,該伺服節點(61)更進而可以經由配置用於查找(79)在本身的解答表單中之該解答S2,1以檢查是否該伺服節點(61)已經接收該解答S2,1。若該解答S2,1在該解答表單中無法找到時,該伺服節點(61)基於在來自該難題主控器(60)之該週期n+1期間所接收(75b)之該難題P2可以檢查該解答S2,1之該有效性,並且一旦該解答S2,1經由決定是有效的,處理該Msg#3,例如服務包括在該訊息內之請求。
如同上文所討論的,在一個或多個實施例中,由該計算機網路之感興趣的節點(發送節點及/或接收節點)所使用之該難題可以用複數個參數來表示,包括依據難題分配方案之感興趣的該節點所獲得之隨機數參數及由獨立於難題分配方案之該感興趣之該節點所獲得之一個或多個參數,諸如使用於分配該隨機數參數(隱含難題參數)。
如同隱含難題參數之另一個例子,在某些實施例中,可以使用結合該接收的隨機數之資料串流識別器作為該難題之(隱含)參數。
該資料串流識別器隱含難題參數可以有利於使用在一個或多個實施例中以補強針對任何種類的攻擊之難題彈性,以便節點無法“偷取”由另一個上游節點所計算之該難題解答。包含串流識別器之難題之該使用對於菊花鏈拓撲網路是特別有用的,其中中間癱瘓節點可偷取對應於傳入的訊息之難題解答,並且發出具有該偷取的難題解答之某些泛濫的訊息。
在使用基於乙太網路之工業匯流排之實施例中,依據該提出的方法所使用之該串流識別器可以包含該串聯的第二層乙太網路來源及目的位址,以及可能的虛擬區域網路(VLAN,Virtual Local Area Network)標籤。
對於由用戶資料訊息協定(UDP,User Datagram Protocal)層所傳遞之資料串流,依據該提出的方法所使用之該串流識別器可以包含該串聯的用戶資料訊息協定來源位址、用戶資料訊息協定目的位址、用戶資料訊息協定來源埠及用戶資料訊息協定目的埠。
其它隱含難題參數,諸如例如如同上文所描述之該時間值參數,可以結合該資料串流識別器參數及該隨機數參數而使用。
在其中使用雜湊型難題之某些實施例中,該難題存在於找出位元串解答X使得該X的哈希數值之該m個最低有效位元與由該協定所提供之另一個位元串Z串聯在一起是等於預定位元串流Y(LSBm[H(x|z)]=Y),該位元串z可以包含該串聯的隨機數值(例如對應於時間同步協定訊息(例如,當使用該IEEE-1588協定時之該“同步”訊息)之發送時間)、時間值(例如時間循環序列數)及串流識別器。例如,z可以選定如下:z=TimeSync|CyclesN|StreamID。
在其中使用上文陳述的公式表示(LSBm[H(x|z)]=Y)之實施例中,該發送節點必須使用蠻力計算解答。該探求的數值視應該設定為
特定數值之輸出位元之該數目而定。為了簡化,該輸出預期數值Y可以選定為0之位元串。當該系統能夠安全地依賴該資料串流識別器(意即無法由任何節點所偽造)時,則該位元數目可以視該資料串流識別器而定以便該難題對於具有高度計算資源之節點相較對於較少資源是更加的複雜。該有利於具彈性的方法可以使用以在該網路中定義某些高度信賴的節點,對於該節點所需位元之該數目可以設定為0。
在使用雜湊型難題之實施例中,該哈希函數較佳的是可以經由選定以便該最終輸出數值無法預測。例如,安全哈希演算法(SHA,Secure Hash Algorithm)(例如,該SHA-2或SHA-3系列)可以使用於實現具有雜湊型難題之該提出的方法。
在一個或多個實施例中,使用以廣播隨機數型難題之該訊息可以受到保護,例如使用認證方案。在某些實施例中,該隨機數難題控制訊息本身可以經過認證以防止將允許該攻擊者使用複數組預先計算的難題解答之可能虛假的訊息。
此外,對於防止可能的封包漏失,該隨機數值可以由安插入該難題解答內之指標所識別。該指標可以是由該隨機數難題控制訊息週期性所分割之該目前的時間。傳遞隨機數值之封包之該漏失因為反應在該接收的隨機數值之該週期性接著可以輕易地由節點所偵測。關於某些實施例如同上文所討論的,發送節點可以經由配置以使用該最近接收的隨機數用於難題解答之該計算。當確認難題解答時,接收節點可以經由配置以使用由安插至該解答中之該指標所識別之該隨機數。在某些實施例中,若該隨機數在該節點處並未取得(由於封包漏失),則該難題解答可以考慮為正確的。在其它實施例中,若該隨機數在該節點處並未取得(由於封包漏失),則
該難題解答不可以考慮為正確的,並且結合該解答之該訊息可以捨棄,如同上文所描述。
在用於時間同步之使用該IEEE-1588協定之實施例中,該“SequenceID”字段最好可以使用作為隨機數指標。
第6圖依據本發明之實施例圖示經由配置以使用網路傳送及/或接收特徵之例示性的網路節點1。
該網路節點1包括控制引擎2、網路管理引擎3、資料通訊引擎4、記憶體5及電源供應器(例如,電池、插入式電源供應器等等)(未在圖式中表示)。
在圖示於第6圖中之該架構中,所有該網路管理引擎3、資料通訊引擎4及記憶體5在操作上是透過該控制引擎2而彼此耦接。
在一個實施例中,該網路管理引擎3如同在此所描述的是經由配置以執行用於資料發送及/或資料接收之該提出的方法之各種態樣的實施例。
在一個實施例中,該資料通訊引擎4是經由配置以接收及發送資料封包,並且處理接收的封包。
該控制引擎2包含處理器,該處理器可以是任何適合的微處理器、微控制器、現場可程式化邏輯閘陣列(FPGA,Field Programmable Gate Arrays)、特殊應用積體電路(ASIC,Application Specific Integrated Circuit)、數位訊號處理晶片及/或狀態機,或者該裝置之組合。依據各種實施例,一個或多個該計算機可以經配置為具有多重處理器用於提供平行計算之多重處理器計算機。該控制引擎2亦可以包含計算機儲存媒介或者可以與該計算機儲存媒介通訊,諸如但不限於該記憶體5,當由該處理器執行時能夠儲存計算機程式指令或軟體碼,該計算機程式指令或軟體碼使
得該處理器執行在此所描述之該元件。此外,該記憶體5可以是任何類型的資料儲存計算機儲存媒介,能夠儲存表示該網路節點1所屬的計算機網路之資料結構,該記憶體5連結至該控制引擎2並且可與該資料通訊引擎4及該網路管理引擎3共同操作以促進管理及處理儲存在與該記憶體5相關聯之資料封包。
在本發明之實施例中,該網路節點1是經由配置用於執行在此所描述之方法之該資料發送及/或資料接收方法。
將會瞭解的是參考第6圖所顯示及描述之該網路節點1僅以例示性提供。各種其它架構、操作環境及配置是可以的。該節點之其它實施例可以包括較少或較多數量的組件,並且可以結合參考顯示於第6圖中之該網路節點組件所描述之某些或所有該功能性。因此,雖然該控制引擎2、網路管理引擎3、資料通訊引擎4及記憶體5是說明作為部分的該網路節點1,組件2-5之該位置及控制並未作限制。尤其,在其它實施例中,組件2-5可以是部分不同的實體或計算系統。
該提出難題方法可以有利於使用以減緩在各種網路通訊系統中之阻斷服務攻擊,包括具有該下列特徵之系統:時間同步網路節點(例如使用IEEE1588/PTP)、牽涉用於輕量裝置以發送之可能性的高資料速度(例如,十億位元乙太網路)。
在此所提供之該提出的方法之該各種實施例之優點包括下列:支援單向資料流(例如發佈-訂閱通訊模式/多重播送串流)、可以使用具有訊息加密及認證、低的附加網路信號(輕量難題用戶端協定)、能夠確認及過濾泛濫訊息之中間媒介節點(上游過濾)、彈性化重播及預先計算;用於適合合法節點之難題解決所需之計算及在該接收節點中之低複雜度計算(難題確認)。
雖然本發明已經參考較佳的實施例作描述,熟習該項技藝之人士將可立即瞭解針對本發明可以做各種改變及/或修正而不背離本發明如同由該附加的申請專利範圍所定義之精神及範疇。
雖然本發明已經揭露於某些較佳實施例之內文中,應該要瞭解的是該系統、裝置及方法之某些優點、特徵及方面可以以各種其它的實施例而實現。此外,應該考量的是在此所描述之各種目的及特徵可以分開實施、結合一起或彼此替代,並且該特徵及目的之各種組合及次組合可以實施並且仍然落入本發明之範疇內。再者,上文所描述之該系統及裝置不需要包含在該較佳實施例中所描述之所有該模組及功能。
在此所描述之資訊及訊號可以使用任何各種不同的技術及技巧來表示。例如,資料、指令、命令、資訊、訊號、位元、符號及晶片可以藉由電壓、電流、電磁波、磁場或粒子、光場或粒子,或者該資訊及訊號之任何組合來表示。
視該實施例而定,在此所描述之任何該方法之某些動作、事件或功能可以以不同的順序來執行,並且可以加入、合併或留下或一起排除在外(例如,並非所有描述的動作或事件是必須用於該方法之實行)。再者,在某些實施例中,動作或事件可以同時執行而非順序執行。
60:難題主控器、難題主控器節點
61:伺服節點
62:第一發送節點、發送節點#1、發送節點
63:第二發送節點、發送節點#2
64a:發送、接收
64b:發送、接收
64c:發送
65:發送
66:檢查
67:發出、檢查
Claims (16)
- 一種用於在計算機網路中發送資料之方法,包含在該網路之第一節點處:接收來自該網路不同於該第一節點之難題伺服器節點之計算難題的隨機數,該隨機數係使用作為該計算難題之參數;使用用於發送訊息至該網路不同於該難題伺服器節點之第二節點的該隨機數而決定針對該難題之至少一個解答;以及發送資料至該第二節點,其中,該發送資料包含訊息及針對該難題之該決定的解答,且該方法結合該接收的隨機數,使用資料串流識別器作為該難題之參數。
- 一種用於在計算機網路中接收資料之方法,包含在該網路之第二節點處:接收來自該網路不同於該第二節點之難題伺服器節點之計算難題的隨機數,該隨機數係使用作為該計算難題之參數;接收來自不同於該難題伺服器節點之該網路之第一節點的資料,其中,該接收的資料包含針對該難題之訊息及解答;基於該接收的隨機數而決定是否該接收的難題解答是有效的;以及一旦決定該接收的難題解答為有效時,處理包含在該接收的訊息中之請求,其中該方法結合該接收的隨機數,使用資料串流識別器作為該難題之參數。
- 一種用於在計算機網路中發送資料之方法,包含在該網路之第一節點處:接收來自該網路不同於該第一節點之難題伺服器節點之計算難題的隨機數,該隨機數係使用作為該計算難題之參數; 使用用於發送訊息至該網路不同於該難題伺服器節點之第二節點的該隨機數而決定針對該難題之至少一個解答;以及發送資料至該第二節點,其中,該發送資料包含訊息及針對該難題之該決定的解答,該隨機數包含隨機數值,該隨機數值是基於該難題之發送時間,且該隨機數值是基於包括在時間同步訊息中之時間戳資訊。
- 一種用於在計算機網路中接收資料之方法,包含在該網路之第二節點處:接收來自該網路不同於該第二節點之難題伺服器節點之計算難題的隨機數,該隨機數係使用作為該計算難題之參數;接收來自不同於該難題伺服器節點之該網路之第一節點的資料,其中,該接收的資料包含針對該難題之訊息及解答;基於該接收的隨機數而決定是否該接收的難題解答是有效的;以及一旦決定該接收的難題解答為有效時,處理包含在該接收的訊息中之請求,其中該隨機數包含隨機數值,該隨機數值是基於該難題之發送時間,且該隨機數值是基於包括在時間同步訊息中之時間戳資訊。
- 如申請專利範圍第4項所述之方法,更包含:一旦決定該接收的難題解答並非有效時,捨棄該接收的訊息。
- 如申請專利範圍第3項所述之方法,其中,該訊息包含針對該難題之該解答。
- 如申請專利範圍第4項所述之方法,其中,該訊息包含針對該難題之該解答。
- 如申請專利範圍第5項所述之方法,其中,該訊息包含針對該難題之該解答。
- 如申請專利範圍第1至8項中之任何一項所述之方法,其中,新的難題是依據預定的週期而週期性地接收。
- 如申請專利範圍第1至8項中之任何一項所述之方法,其中,該方法結合該接收的隨機數,使用基於在該計算機網路中之時間同步資訊所獲得之時間值,作為該難題之參數。
- 如申請專利範圍第4至8項中之任何一項所述之方法,更包含:決定是否該接收的難題解答已經由該計算機網路之任何節點所接收。
- 如申請專利範圍第3至8項中之任何一項所述之方法,其中,該方法結合該接收的隨機數,使用資料串流識別器作為該難題之參數。
- 一種在經配置以執行如申請專利範圍第1至8項中之任何一項所述之方法的計算機網路中用於網路節點之處理器。
- 一種用於在計算機網路中發送或接收資料之裝置,包含處理器、操作上耦接至該處理器之記憶體及網路介面以在計算機網路中通訊,其中,該裝置是經由配置以執行如申請專利範圍第1至8項中之任何一項所述之方法。
- 一種計算機程式,包含具體實施在計算機可讀取媒介中之計算機程式碼,該計算機程式碼包含指令,當該指令提供至計算機系統及執行時,該指令使該計算機執行如申請專利範圍第1至8項中之任何一項所述之方法。
- 一種透過壓縮或編碼而代表如申請專利範圍第15項所述之計算機程式的資料集。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP19305427.7A EP3716570B1 (en) | 2019-03-29 | 2019-03-29 | Computational puzzles against dos attacks |
| EP19305427.7 | 2019-03-29 | ||
| PCT/JP2020/004445 WO2020202780A1 (en) | 2019-03-29 | 2020-01-30 | Computational puzzles against dos attacks |
| WOPCT/JP2020/004445 | 2020-01-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202037125A TW202037125A (zh) | 2020-10-01 |
| TWI770483B true TWI770483B (zh) | 2022-07-11 |
Family
ID=66951865
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109109604A TWI770483B (zh) | 2019-03-29 | 2020-03-23 | 計算機網路中的資料收發方法及裝置、計算機程式以及資料集 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11785043B2 (zh) |
| EP (1) | EP3716570B1 (zh) |
| JP (1) | JP7427689B2 (zh) |
| KR (1) | KR102581039B1 (zh) |
| CN (1) | CN113632435B (zh) |
| TW (1) | TWI770483B (zh) |
| WO (1) | WO2020202780A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3716570B1 (en) * | 2019-03-29 | 2022-07-27 | Mitsubishi Electric R&D Centre Europe B.V. | Computational puzzles against dos attacks |
| US11962703B2 (en) * | 2022-02-08 | 2024-04-16 | International Business Machines Corporation | Cooperative session orchestration |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW498233B (en) * | 1999-12-21 | 2002-08-11 | Qualcomm Inc | Method of authenticating anonymous users while reducing potential for ""middleman"" fraud |
| WO2014144555A1 (en) * | 2013-03-15 | 2014-09-18 | Robert Bosch Gmbh | System and method for mitigation of denial of service attacks in networked computing systems |
| US20180131679A1 (en) * | 2015-04-16 | 2018-05-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and Device for Establishing a Computational Puzzle for Use in Communication Between a Client and a Server |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8321955B2 (en) * | 2003-08-26 | 2012-11-27 | Wu-Chang Feng | Systems and methods for protecting against denial of service attacks |
| KR100828372B1 (ko) * | 2005-12-29 | 2008-05-08 | 삼성전자주식회사 | 서비스 거부 공격으로부터 서버를 보호하는 방법 및 장치 |
| US8793497B2 (en) | 2008-05-09 | 2014-07-29 | Qualcomm Incorporated | Puzzle-based authentication between a token and verifiers |
| US8547848B2 (en) * | 2008-07-09 | 2013-10-01 | Telefonaktiebolaget L M Ericsson (Publ) | Traffic control within a network architecture providing many-to-one transmission with denial-of-service protection |
| CN107534997B (zh) * | 2015-04-16 | 2021-08-03 | 瑞典爱立信有限公司 | 网络节点中的向设备提供对网络的访问的方法 |
| US10462138B2 (en) * | 2016-02-19 | 2019-10-29 | Google Llc | Application programming interface access controls |
| JP2018011370A (ja) * | 2016-07-11 | 2018-01-18 | 株式会社日立製作所 | 電力系統監視システム、方法および装置 |
| KR102223563B1 (ko) * | 2016-09-23 | 2021-03-04 | 애플 인크. | 네트워크 타이밍 동기화 |
| CN108270821A (zh) * | 2016-12-30 | 2018-07-10 | 深圳瀚德创客金融投资有限公司 | 用于区块链网络中的区块生成方法和网络节点 |
| CN106850603B (zh) * | 2017-01-19 | 2020-01-07 | 北京梆梆安全科技有限公司 | 一种白盒密码双向身份认证方法、终端、服务端及系统 |
| US11270276B1 (en) * | 2017-01-25 | 2022-03-08 | State Farm Mutual Automobile Insurance Company | Systems and methods for blockchain-based payments |
| US10861015B1 (en) * | 2017-01-25 | 2020-12-08 | State Farm Mutual Automobile Insurance Company | Blockchain based account funding and distribution |
| EP3425845A1 (de) * | 2017-07-05 | 2019-01-09 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zum erzeugen eines kryptographischen zeitstempels für ein digitales dokument auf mehrheitsbasis |
| US11171791B2 (en) * | 2019-01-15 | 2021-11-09 | 0Chain, LLC | Systems and methods of aggregate signing of digital signatures on multiple messages simultaneously using key splitting |
| US11979490B2 (en) * | 2017-10-24 | 2024-05-07 | 0Chain Corp. | Non-fungible token blockchain processing |
| CN107888615B (zh) * | 2017-12-01 | 2021-07-02 | 郑州云海信息技术有限公司 | 一种节点注册的安全认证方法 |
| US20190197130A1 (en) * | 2017-12-21 | 2019-06-27 | Microsoft Technology Licensing, Llc | Ensuring consistency in distributed incremental content publishing |
| KR102610127B1 (ko) * | 2018-04-26 | 2023-12-04 | 주식회사 넥슨코리아 | 전자 지갑을 이용한 암호화폐의 거래 서비스를 제공하는 장치 및 방법 |
| CN108876332B (zh) * | 2018-06-04 | 2020-09-22 | 清华大学 | 一种基于生物特征标记认证的区块链安全交易方法及装置 |
| US11153070B2 (en) * | 2018-09-11 | 2021-10-19 | International Business Machines Corporation | Access to data broadcast in encrypted form based on blockchain |
| GB2585816A (en) * | 2018-12-12 | 2021-01-27 | Univ York | Proof-of-work for blockchain applications |
| WO2020120672A1 (en) * | 2018-12-14 | 2020-06-18 | Sony Corporation | Communication network node, methods, and a mobile terminal |
| US20200210584A1 (en) * | 2018-12-31 | 2020-07-02 | Shape Security, Inc. | Deterministic Reproduction of Client/Server Computer State or Output Sent to One or More Client Computers |
| EP3683713B1 (de) * | 2019-01-16 | 2020-12-30 | Siemens Aktiengesellschaft | Verfahren, vorrichtungen und system zum sicherheitsgeschützten bereitstellen von datensätzen |
| US20220103369A1 (en) * | 2019-02-05 | 2022-03-31 | Ethopass, Llc | Security system and related methods |
| US20220148111A1 (en) * | 2019-03-04 | 2022-05-12 | nChain Holdings Limited | Method of using a blockchain |
| EP3713189A1 (de) * | 2019-03-22 | 2020-09-23 | Siemens Aktiengesellschaft | Intrusionserkennung bei computersystemen |
| EP3716570B1 (en) * | 2019-03-29 | 2022-07-27 | Mitsubishi Electric R&D Centre Europe B.V. | Computational puzzles against dos attacks |
-
2019
- 2019-03-29 EP EP19305427.7A patent/EP3716570B1/en active Active
-
2020
- 2020-01-30 JP JP2021562440A patent/JP7427689B2/ja active Active
- 2020-01-30 US US17/427,724 patent/US11785043B2/en active Active
- 2020-01-30 WO PCT/JP2020/004445 patent/WO2020202780A1/en active Application Filing
- 2020-01-30 CN CN202080024045.6A patent/CN113632435B/zh active Active
- 2020-01-30 KR KR1020217029537A patent/KR102581039B1/ko active IP Right Grant
- 2020-03-23 TW TW109109604A patent/TWI770483B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW498233B (en) * | 1999-12-21 | 2002-08-11 | Qualcomm Inc | Method of authenticating anonymous users while reducing potential for ""middleman"" fraud |
| WO2014144555A1 (en) * | 2013-03-15 | 2014-09-18 | Robert Bosch Gmbh | System and method for mitigation of denial of service attacks in networked computing systems |
| US20180131679A1 (en) * | 2015-04-16 | 2018-05-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and Device for Establishing a Computational Puzzle for Use in Communication Between a Client and a Server |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220116418A1 (en) | 2022-04-14 |
| CN113632435B (zh) | 2023-04-18 |
| EP3716570A1 (en) | 2020-09-30 |
| KR20210127971A (ko) | 2021-10-25 |
| KR102581039B1 (ko) | 2023-09-20 |
| JP7427689B2 (ja) | 2024-02-05 |
| TW202037125A (zh) | 2020-10-01 |
| US11785043B2 (en) | 2023-10-10 |
| EP3716570B1 (en) | 2022-07-27 |
| JP2022517046A (ja) | 2022-03-03 |
| CN113632435A (zh) | 2021-11-09 |
| WO2020202780A1 (en) | 2020-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Khan et al. | IoT security: Review, blockchain solutions, and open challenges | |
| Perrig et al. | Efficient authentication and signing of multicast streams over lossy channels | |
| US9596075B2 (en) | Transparent serial encryption | |
| Hussen et al. | SAKES: Secure authentication and key establishment scheme for M2M communication in the IP-based wireless sensor network (6L0WPAN) | |
| JP4608000B2 (ja) | セキュアで帯域効率の良い暗号化同期方法 | |
| US9832175B2 (en) | Group member recovery techniques | |
| TWI770483B (zh) | 計算機網路中的資料收發方法及裝置、計算機程式以及資料集 | |
| US7139679B1 (en) | Method and apparatus for cryptographic protection from denial of service attacks | |
| EP3278527B1 (en) | Enhanced network security by token | |
| US20150236752A1 (en) | Method for selection of unique next-time-interval internet protocol address and port | |
| US8887280B1 (en) | Distributed denial-of-service defense mechanism | |
| US20120216036A1 (en) | Encryption methods and systems | |
| TWM541160U (zh) | 網路封鎖設備以及電腦可讀取儲存媒體 | |
| WO2019165235A1 (en) | Secure encrypted network tunnels using osi layer 2 protocol | |
| EP3766223B1 (en) | Defeating man-in-the-middle attacks in one leg of 1+1 redundant network paths | |
| Ordu et al. | RPL Authenticated Mode Evaluation: Authenticated Key Exchange and Network Behavioral | |
| Treytl et al. | Practical application of 1588 security | |
| CN114826602B (zh) | 安全感知的时间敏感网络调度方法、系统、装置及介质 | |
| CN115426116B (zh) | 一种基于动态密钥的加密哈希跳变方法 | |
| Narayanan et al. | TLS cipher suite: Secure communication of 6LoWPAN devices | |
| Ashraf et al. | Design and Implementation of Lightweight Certificateless Secure Communication Scheme on Industrial NFV-Based IPv6 Virtual Networks | |
| Dô et al. | RFC 8967: MAC Authentication for the Babel Routing Protocol | |
| Jennings et al. | Rfc 6940: Resource Location and Discovery (Reload) Base Protocol | |
| Du et al. | An improved scheme of μTESLA authentication based trusted computing platform | |
| Szalachowski et al. | Enhancing the Oakley key agreement protocol with secure time information |