專利名稱:Dstm通信網(wǎng)絡(luò)中的驗(yàn)證系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)協(xié)議(IP)版本4(IPv4)和IP版本6(IPv6)的地址轉(zhuǎn)換技術(shù),更具體地,涉及一種系統(tǒng)和方法,用于在DSTM通信網(wǎng)絡(luò)中的DSTM節(jié)點(diǎn)和DSTM服務(wù)器之間分配IPv4地址時(shí),來驗(yàn)證雙協(xié)議棧過渡機(jī)制(DSTM)節(jié)點(diǎn)。
背景技術(shù):
目前,基于因特網(wǎng)使用的廣泛被接受的網(wǎng)絡(luò)協(xié)議是互聯(lián)網(wǎng)協(xié)議(IP)。已經(jīng)通過多種設(shè)計(jì)修改,形成了IP協(xié)議,目前,IPv4在因特網(wǎng)上廣泛使用。IPv4設(shè)計(jì)為相對(duì)簡單和靈活,但是具有諸如缺少可用IP地址、IP分組路由低效、驅(qū)動(dòng)IP節(jié)點(diǎn)所需的各種配置過程的復(fù)雜性之類的缺點(diǎn)。
為了改進(jìn)這些缺陷,提出了被稱為下一代網(wǎng)際互聯(lián)網(wǎng)協(xié)議(IPng)的IPv6,并且Ipv6成為當(dāng)前的標(biāo)準(zhǔn)。結(jié)果,近來網(wǎng)絡(luò)設(shè)備數(shù)增加,因此IPV6網(wǎng)絡(luò)正在進(jìn)行相當(dāng)大的擴(kuò)展。然而,大多數(shù)網(wǎng)絡(luò)設(shè)備仍用于傳統(tǒng)的IPv4網(wǎng)絡(luò)中。因此,需要IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)之間的配合操作,因而需要IP地址的互相轉(zhuǎn)換。更具體地,需要將IPv6地址轉(zhuǎn)換為IPv4地址(反之亦然)的地址轉(zhuǎn)換器,使得與IPv6網(wǎng)絡(luò)連接的節(jié)點(diǎn)和與IPv4網(wǎng)絡(luò)連接的節(jié)點(diǎn)可以配合操作和彼此通信。
目前,因特網(wǎng)工程任務(wù)組(IETF)正在制訂多種轉(zhuǎn)換技術(shù)標(biāo)準(zhǔn),其中,DSTM(雙協(xié)議棧過渡機(jī)制)和網(wǎng)絡(luò)地址轉(zhuǎn)換-協(xié)議轉(zhuǎn)換(NAT-PT)方案較為突出。本發(fā)明涉及DSTM轉(zhuǎn)換技術(shù)。
根據(jù)DSTM,位于IPv6網(wǎng)絡(luò)中的終端具有IPv4和IPv6的兩個(gè)協(xié)議棧。為了能夠進(jìn)行通信,當(dāng)一個(gè)終端與IPv6節(jié)點(diǎn)連接時(shí),使用IPv6棧,而當(dāng)終端與IPv4節(jié)點(diǎn)連接時(shí),在IPv4-in-IPv6隧道機(jī)制中使用IPv4棧。DSTM包括DSTM服務(wù)器、隧道端點(diǎn)(TEP)、以及DSTM節(jié)點(diǎn)(IPv6節(jié)點(diǎn))。當(dāng)DSTM節(jié)點(diǎn)意欲與IPv4網(wǎng)絡(luò)中的IPv4節(jié)點(diǎn)連接時(shí),從DSTM服務(wù)器分配要建立隧道的TEP的IPv6地址和用于臨時(shí)使用的全球IPv4地址。目前,在IETFv6操作工作組中正在討論將動(dòng)態(tài)主機(jī)配置協(xié)議版本6(DHCPv6)服務(wù)器用作DSTM服務(wù)器。
在傳統(tǒng)的過程中,DSTM節(jié)點(diǎn)獲得用于與IPv4節(jié)點(diǎn)通信的IPv4地址,并且面臨由DSTM節(jié)點(diǎn)攻擊者耗盡DSTM服務(wù)器的IPv4地址池的問題。
想要與IPv4網(wǎng)絡(luò)中的IPv4主機(jī)通信的DSTM節(jié)點(diǎn)向DSTM服務(wù)器發(fā)送地址分配請(qǐng)求消息以獲得IPv4地址。接收到該地址分配請(qǐng)求消息的DSTM服務(wù)器在自己的IPv4池中選擇地址,并響應(yīng)DSTM節(jié)點(diǎn)。在該過程中,DSTM服務(wù)器不提供用于處理IPv4地址分配請(qǐng)求的任何驗(yàn)證方法。這里,當(dāng)在沒有任何驗(yàn)證過程的情況下分配地址時(shí),如果DSTM節(jié)點(diǎn)是DSTM攻擊者,則DSTM節(jié)點(diǎn)偽造IPv6源地址,并向DSTM服務(wù)器發(fā)送IPv4地址分配請(qǐng)求消息。
DSTM服務(wù)器響應(yīng)于IPv4地址分配請(qǐng)求消息,將IPv4地址分配響應(yīng)消息發(fā)送至DSTM節(jié)點(diǎn)。DSTM服務(wù)器分配相應(yīng)IPv6地址的IPv4地址,在自己的IPv4地址映射表中記錄相應(yīng)信息,以及將相應(yīng)的映射信息發(fā)送至TEP,所述TEP是DSTM域的邊界路由器。TEP將接收到的映射信息存儲(chǔ)在映射表中。這里,接收到IPv4地址分配請(qǐng)求響應(yīng)消息的節(jié)點(diǎn)實(shí)際上不存在,或者沒有生成分配請(qǐng)求消息。攻擊者連續(xù)地改變IPv6源地址,重復(fù)以上描述的過程,從而可以耗盡DSTM服務(wù)器的IPv4地址。
為了解決該問題,屬于IETF的V6操作工作組將DHCP(或者DHCPv6)服務(wù)器用作DSTM服務(wù)器,因此針對(duì)DSTM服務(wù)器使用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)驗(yàn)證方法來驗(yàn)證節(jié)點(diǎn)。DHCPv6驗(yàn)證方法與DHCP驗(yàn)證方法相同。
可以將用于DHCP的驗(yàn)證方法大致分為三種。第一種將節(jié)點(diǎn)的媒體訪問控制(MAC)地址用于驗(yàn)證。根據(jù)MAC驗(yàn)證方法,在DHCP通信網(wǎng)絡(luò)中使用DHCP服務(wù)的終端向DHCP服務(wù)器注冊(cè)自己的MAC地址。由DHCP通信網(wǎng)絡(luò)的管理員來執(zhí)行注冊(cè)過程。當(dāng)DHCP終端發(fā)送IPv4地址分配請(qǐng)求消息時(shí),將注冊(cè)的MAC地址用于驗(yàn)證值。第二種DHCP驗(yàn)證方法是時(shí)延驗(yàn)證方法。根據(jù)時(shí)延驗(yàn)證方法,當(dāng)DHCP服務(wù)器響應(yīng)于IPv4地址分配請(qǐng)求消息,將消息發(fā)送至DHCP節(jié)點(diǎn)時(shí),DHCP終端根據(jù)散列(hash)算法,使用在DHCP終端與服務(wù)器之間共享的密碼和包含在消息中的值,來生成驗(yàn)證值。
上述傳統(tǒng)方法可以用于解決IPv4地址池耗盡的問題。然而,當(dāng)希望在終端是移動(dòng)終端的移動(dòng)環(huán)境中或者在另一通信網(wǎng)絡(luò)中進(jìn)行通信時(shí),驗(yàn)證方法需要與DHCP服務(wù)器共享秘密信息的附加過程,因而在應(yīng)用于通信網(wǎng)絡(luò)時(shí)非常低效。
因此,需要新的驗(yàn)證方法,來解決當(dāng)在IPv6基礎(chǔ)結(jié)構(gòu)所必需的IPv6/IPv4轉(zhuǎn)換技術(shù)中使用傳統(tǒng)技術(shù)時(shí)可能出現(xiàn)的問題。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種在DSTM通信網(wǎng)絡(luò)中驗(yàn)證DSTM節(jié)點(diǎn)的系統(tǒng)和方法,所述系統(tǒng)和方法能夠解決由DSTM通信網(wǎng)絡(luò)中的拒絕服務(wù)(DoS)攻擊所引起的DSTM服務(wù)器IPv4地址池耗盡的問題,并應(yīng)用于實(shí)際的通信網(wǎng)絡(luò)。
本發(fā)明的另一目的是提供一種網(wǎng)絡(luò)中的節(jié)點(diǎn)驗(yàn)證系統(tǒng)和方法,所述網(wǎng)絡(luò)提供IPv4分配服務(wù),例如DHCP服務(wù)器和DSTM服務(wù)器。
根據(jù)本發(fā)明的方案,提供了一種DSTM通信網(wǎng)絡(luò)中的驗(yàn)證方法,該方法包括以下步驟在DSTM服務(wù)器處,將要用于驗(yàn)證的至少一個(gè)圖像文件和圖像文件的至少一個(gè)驗(yàn)證值存儲(chǔ)在數(shù)據(jù)庫中;在DSTM服務(wù)器處,將圖像文件發(fā)送至請(qǐng)求地址分配的DSTM節(jié)點(diǎn);當(dāng)DSTM節(jié)點(diǎn)的用戶輸入可以通過接收到的圖像文件找到的驗(yàn)證值時(shí),在DSTM節(jié)點(diǎn)處,將輸入的驗(yàn)證值和圖像文件發(fā)送至DSTM服務(wù)器;以及在DSTM服務(wù)器處,將從DSTM節(jié)點(diǎn)處接收到的驗(yàn)證值和圖像文件與存儲(chǔ)在數(shù)據(jù)庫中的驗(yàn)證值和圖像文件進(jìn)行比較,從而執(zhí)行驗(yàn)證。
該驗(yàn)證方法還可以包括在DSTM服務(wù)器處將IP地址分配給DSTM節(jié)點(diǎn)的步驟。
圖像文件可以以可由人類識(shí)別出的文本來表示。
驗(yàn)證值可以與圖像文件的文本中的空白處或特定問題的回答相對(duì)應(yīng)。
數(shù)據(jù)庫還可以存儲(chǔ)圖像文件的有效時(shí)間值和圖像文件的校驗(yàn)和。
該驗(yàn)證方法還可以包括在DSTM服務(wù)器處計(jì)算從DSTM節(jié)點(diǎn)接收到的圖像文件的校驗(yàn)和,以及將計(jì)算的校驗(yàn)和與存儲(chǔ)的校驗(yàn)和進(jìn)行比較的步驟。
根據(jù)本發(fā)明的另一方案,提供了一種包括DSTM服務(wù)器和DSTM節(jié)點(diǎn)的DSTM通信網(wǎng)絡(luò)中的驗(yàn)證系統(tǒng),該驗(yàn)證系統(tǒng)包括DSTM服務(wù)器,將要用于驗(yàn)證的圖像文件和通過圖像文件可期望的驗(yàn)證值存儲(chǔ)在數(shù)據(jù)庫中,將消息文件發(fā)送至DSTM節(jié)點(diǎn),以及使用從DSTM節(jié)點(diǎn)接收到的信息來執(zhí)行對(duì)DSTM節(jié)點(diǎn)的驗(yàn)證;以及DSTM節(jié)點(diǎn),將用戶根據(jù)從DSTM服務(wù)器接收到的圖像文件而輸入的值和圖像文件發(fā)送至DSTM服務(wù)器。
當(dāng)結(jié)合附圖,考慮以下詳細(xì)描述時(shí),更加完全地認(rèn)識(shí)本發(fā)明,并且本發(fā)明的許多附加優(yōu)點(diǎn)將變得顯而易見,同時(shí)更加能夠更好地理解本發(fā)明,在附圖中,相似的參考符號(hào)表示相同或相似的組件,其中圖1是示出了雙協(xié)議棧過渡機(jī)制(DSTM)通信網(wǎng)絡(luò)中的DSTM節(jié)點(diǎn)(IPv6節(jié)點(diǎn))攻擊者耗盡了DSTM服務(wù)器的互聯(lián)網(wǎng)協(xié)議版本4(IPv4)地址池的問題的圖示;圖2是示出了根據(jù)本發(fā)明示例性實(shí)施例、應(yīng)用于DSTM節(jié)點(diǎn)與DSTM服務(wù)器之間的人類識(shí)別驗(yàn)證方法的流程圖;圖3是示出了根據(jù)本發(fā)明示例性實(shí)施例,包含在DSTM服務(wù)器中的挑戰(zhàn)數(shù)據(jù)庫的字段和字段值的表格。
圖4是示出了根據(jù)本發(fā)明的示例性實(shí)施例,用于生成要從DSTM服務(wù)器發(fā)送至DSTM節(jié)點(diǎn)的新挑戰(zhàn)數(shù)據(jù)的過程的圖示;圖5示出了動(dòng)態(tài)主機(jī)配置協(xié)議版本6(DHCPv6)的驗(yàn)證選項(xiàng)消息,該消息包括根據(jù)本發(fā)明示例性實(shí)施例的驗(yàn)證信息字段和算法字段的值的示例;圖6示出了在根據(jù)本發(fā)明示例性實(shí)施例的DSTM節(jié)點(diǎn)處的用戶輸入的實(shí)施例;圖7是示出了根據(jù)本發(fā)明的示例性實(shí)施例,DSTM服務(wù)器將IPv4地址分配給DSTM節(jié)點(diǎn)所執(zhí)行的過程的流程圖;圖8是示出了執(zhí)行根據(jù)本發(fā)明示例性實(shí)施例的人類識(shí)別驗(yàn)證方法的整個(gè)系統(tǒng)的圖示。
具體實(shí)施例方式
以下,將參照附圖詳細(xì)描述本發(fā)明的示例性實(shí)施例。在整個(gè)附圖中,由相似的參考數(shù)字表示類似的元件。對(duì)于與本發(fā)明相關(guān)且本領(lǐng)域熟知的事物,當(dāng)認(rèn)為這些描述會(huì)降低本公開的清楚和簡明程度時(shí),不對(duì)這些內(nèi)容進(jìn)行詳細(xì)描述。本發(fā)明提供了一種驗(yàn)證系統(tǒng)和方法,該驗(yàn)證系統(tǒng)和方法響應(yīng)于驗(yàn)證請(qǐng)求,根據(jù)可由人類識(shí)別的驗(yàn)證消息、而不的系統(tǒng)的自動(dòng)機(jī)制,通過響應(yīng)過程來執(zhí)行驗(yàn)證,以驗(yàn)證雙協(xié)議棧過渡機(jī)制(DSTM)節(jié)點(diǎn)。
圖1示出了DSTM節(jié)點(diǎn)獲得用于與IPv4節(jié)點(diǎn)通信的IPv4地址的過程,以及由DSTM節(jié)點(diǎn)攻擊者耗盡DSTM服務(wù)器的IPv4地址池的問題。
如圖1所示,想要與IPv4網(wǎng)絡(luò)中的IPv4主機(jī)130通信的DSTM節(jié)點(diǎn)111向DSTM服務(wù)器110發(fā)送地址分配請(qǐng)求消息以獲得IPv4地址。接收到該地址分配請(qǐng)求消息的DSTM服務(wù)器110在自己的IPv4池中選擇地址,并響應(yīng)DSTM節(jié)點(diǎn)111。在該過程中,DSTM服務(wù)器110不提供用于處理IPv4地址分配請(qǐng)求的任何驗(yàn)證方法。這里,當(dāng)在沒有任何驗(yàn)證過程的情況下分配地址時(shí),如果DSTM節(jié)點(diǎn)111是DSTM攻擊者,則DSTM節(jié)點(diǎn)111偽造IPv6源地址,并向DSTM服務(wù)器110發(fā)送IPv4地址分配請(qǐng)求消息。
DSTM服務(wù)器110響應(yīng)于IPv4地址分配請(qǐng)求消息,將IPv4地址分配響應(yīng)消息發(fā)送至DSTM節(jié)點(diǎn)111。DSTM服務(wù)器110分配相應(yīng)IPv6地址的IPv4地址,在自己的IPv4地址映射表113中記錄相應(yīng)信息,以及將相應(yīng)的映射信息發(fā)送至TEP120,TEP120是DSTM域的邊界路由器。TEP 120將接收的映射信息存儲(chǔ)在映射表121中。這里,接收IPv4地址分配請(qǐng)求響應(yīng)消息的節(jié)點(diǎn)實(shí)際上不存在,或者沒有生成分配請(qǐng)求消息。攻擊者連續(xù)地改變IPv6源地址,重復(fù)以上描述的過程,從而可以耗盡DSTM服務(wù)器110的IPv4地址。
圖2是示出了根據(jù)本發(fā)明示例性實(shí)施例,應(yīng)用于DSTM節(jié)點(diǎn)與DSTM服務(wù)器之間的人類識(shí)別驗(yàn)證方法的流程圖,圖3是示出了根據(jù)本發(fā)明示例性實(shí)施例,包含在DSTM服務(wù)器中的挑戰(zhàn)數(shù)據(jù)庫的字段和字段值的表格。
在本發(fā)明示例性實(shí)施例的以下詳細(xì)描述中,“挑戰(zhàn)數(shù)據(jù)庫”和“挑戰(zhàn)數(shù)據(jù)”表示示例性實(shí)施例中使用的數(shù)據(jù)庫和驗(yàn)證消息數(shù)據(jù)。
如圖2所示,DSTM節(jié)點(diǎn)202請(qǐng)求來自于DSTM服務(wù)器203的、為與IPv4域中的節(jié)點(diǎn)通信所需的互聯(lián)網(wǎng)協(xié)議版本4(IPv4)地址(S201)。
當(dāng)接收到互聯(lián)網(wǎng)協(xié)議(IP)分配請(qǐng)求時(shí),DSTM服務(wù)器203從挑戰(zhàn)數(shù)據(jù)庫中選擇任意的挑戰(zhàn)數(shù)據(jù),如圖3所示,然后將該挑戰(zhàn)數(shù)據(jù)發(fā)送至DSTM節(jié)點(diǎn)202(S202)。
接下來,用戶201輸入對(duì)于包含在接收到的挑戰(zhàn)數(shù)據(jù)中的信息適合的驗(yàn)證值,然后DSTM節(jié)點(diǎn)202將挑戰(zhàn)數(shù)據(jù)響應(yīng)消息發(fā)送至DSTM服務(wù)器203(S203)。挑戰(zhàn)數(shù)據(jù)消息包括要與挑戰(zhàn)數(shù)據(jù)庫中的期望響應(yīng)數(shù)據(jù)進(jìn)行比較的驗(yàn)證值,并可以包括由DSTM節(jié)點(diǎn)202接收到的圖像文件,作為挑戰(zhàn)數(shù)據(jù)。
接收到挑戰(zhàn)數(shù)據(jù)響應(yīng)消息的DSTM服務(wù)器203確定接收到的消息是否與挑戰(zhàn)數(shù)據(jù)庫的期望響應(yīng)數(shù)據(jù)匹配,以及當(dāng)出現(xiàn)匹配時(shí),將IPv4地址映射信息發(fā)送至DSTM隧道端點(diǎn)(TEP)204(S204)。
接下來,DSTM服務(wù)器203將IPv4地址分配給DSTM節(jié)點(diǎn)202(S205)。
圖3中示出的挑戰(zhàn)數(shù)據(jù)庫的數(shù)據(jù)包括挑戰(zhàn)數(shù)據(jù)(圖像文件)、期望響應(yīng)數(shù)據(jù)(驗(yàn)證值)、無效時(shí)間(有效時(shí)間值)、以及挑戰(zhàn)數(shù)據(jù)的校驗(yàn)和值。
挑戰(zhàn)數(shù)據(jù)是在DSTM服務(wù)器向DSTM節(jié)點(diǎn)請(qǐng)求用于驗(yàn)證的輸入時(shí)使用的值,以及必須是示出了可由人類識(shí)別的文本表達(dá)的圖像文件。期望響應(yīng)數(shù)據(jù)是由用戶輸入DSTM節(jié)點(diǎn)、發(fā)送至DSTM服務(wù)器、并用于驗(yàn)證值的信息。無效時(shí)間是用于防止重復(fù)使用挑戰(zhàn)數(shù)據(jù)的值。當(dāng)選擇任意的挑戰(zhàn)數(shù)據(jù)時(shí),將所選值的無效時(shí)間設(shè)置為86,400秒。當(dāng)DSTM節(jié)點(diǎn)正確地響應(yīng)挑戰(zhàn)數(shù)據(jù)并因此成功驗(yàn)證時(shí),使無效時(shí)間減少1秒直至最小值0秒。86,400秒不是固定值,而可以由管理員改變。此外,當(dāng)挑戰(zhàn)數(shù)據(jù)不夠時(shí),可以由圖4中示出的方法生成附加挑戰(zhàn)數(shù)據(jù)。
當(dāng)要用于響應(yīng)另一DSTM節(jié)點(diǎn)的IPv4分配請(qǐng)求的挑戰(zhàn)數(shù)據(jù)的無效時(shí)間值不為0時(shí),DSTM服務(wù)器應(yīng)選擇無效時(shí)間值為0的其它挑戰(zhàn)數(shù)據(jù)。最后,在對(duì)要傳輸?shù)奶魬?zhàn)數(shù)據(jù)進(jìn)行圖像變換之后,由DSTM服務(wù)器計(jì)算挑戰(zhàn)數(shù)據(jù)(圖像文件)的校驗(yàn)和值,使得惡意節(jié)點(diǎn)不能在每次DSTM節(jié)點(diǎn)請(qǐng)求IPv4分配時(shí)識(shí)別出接收到的挑戰(zhàn)數(shù)據(jù)的模式。
圖像變換是只要人們可以識(shí)別圖像的文本表達(dá)就可以執(zhí)行的文件的比特轉(zhuǎn)換。因此,即使接收到相同表達(dá)的圖像文件,惡意節(jié)點(diǎn)也不能通過接收到的數(shù)據(jù)識(shí)別出模式。
圖4是示出了DSTM服務(wù)器改變都與挑戰(zhàn)數(shù)據(jù)庫中的任意挑戰(zhàn)數(shù)據(jù)相對(duì)應(yīng)的文件名和文件的校驗(yàn)和值,并生成唯一的挑戰(zhàn)數(shù)據(jù)的過程。
如圖4所示,生成原始挑戰(zhàn)數(shù)據(jù)的另一文件名,執(zhí)行文件的比特轉(zhuǎn)換,只要保持了可由人類識(shí)別的文字表達(dá)即可,然后計(jì)算校驗(yàn)和。
DSTM服務(wù)器在數(shù)據(jù)庫中注冊(cè)并存儲(chǔ)最新生成的挑戰(zhàn)數(shù)據(jù)。在從DSTM節(jié)點(diǎn)接收到基于挑戰(zhàn)數(shù)據(jù)的響應(yīng)之后,DSTM服務(wù)器計(jì)算從DSTM節(jié)點(diǎn)接收到的挑戰(zhàn)數(shù)據(jù)(圖像文件)的校驗(yàn)和值,并可以使用從挑戰(zhàn)數(shù)據(jù)庫中獲得的無效時(shí)間和期望響應(yīng)數(shù)據(jù)、以及計(jì)算的校驗(yàn)和值,來驗(yàn)證DSTM節(jié)點(diǎn)。
圖5示出了當(dāng)傳輸出現(xiàn)在圖2的步驟S202中的挑戰(zhàn)數(shù)據(jù)消息時(shí)使用的動(dòng)態(tài)主機(jī)配置協(xié)議版本6(DHCPv6)形式的驗(yàn)證選項(xiàng)消息。本發(fā)明使用按照注釋請(qǐng)求(RFC)3315的DHCPv6驗(yàn)證選項(xiàng)消息,因此在本說明書中僅描述修改的部分。
如圖5所示,使用包含在算法字段中的本發(fā)明所建議的人類識(shí)別(HR)名稱,以及包含在驗(yàn)證信息字段中的如以上所述生成的挑戰(zhàn)數(shù)據(jù),向DSTM節(jié)點(diǎn)請(qǐng)求驗(yàn)證。
圖6示出了DSTM節(jié)點(diǎn)的用戶響應(yīng)于DSTM服務(wù)器的輸入請(qǐng)求,手動(dòng)輸入輸入值的實(shí)施例。在此之后,DSTM節(jié)點(diǎn)將用戶輸入的輸入值和從DSTM服務(wù)器接收到的挑戰(zhàn)數(shù)據(jù)(圖像文件)發(fā)送至DSTM服務(wù)器。DSTM服務(wù)器從DSTM節(jié)點(diǎn)接收到對(duì)輸入請(qǐng)求的響應(yīng)。DSTM服務(wù)器檢查從DSTM節(jié)點(diǎn)的用戶接收到的響應(yīng)消息中的響應(yīng)表達(dá)是否與DSTM服務(wù)器的挑戰(zhàn)數(shù)據(jù)庫中的值相同。當(dāng)在挑戰(zhàn)數(shù)據(jù)庫中沒有相同的值時(shí),DSTM服務(wù)器發(fā)送IPv4分配拒絕消息,而當(dāng)在挑戰(zhàn)數(shù)據(jù)庫中有相同的值時(shí),DSTM服務(wù)器將IPv4地址分配給DSTM節(jié)點(diǎn)。
圖7是示出了DSTM服務(wù)器響應(yīng)于DSTM節(jié)點(diǎn)的IPv4地址分配請(qǐng)求所執(zhí)行的過程的流程圖。DSTM服務(wù)器確定從DSTM節(jié)點(diǎn)接收到的消息是IPv4分配請(qǐng)求消息還是響應(yīng)消息(S101)。當(dāng)確定該消息是IPv4分配請(qǐng)求消息時(shí),DSTM服務(wù)器檢查挑戰(zhàn)數(shù)據(jù)庫中的挑戰(zhàn)數(shù)據(jù)的無效值,然后選擇無效時(shí)間值為0的挑戰(zhàn)數(shù)據(jù)(S105、S106)。將所選挑戰(zhàn)數(shù)據(jù)的無效時(shí)間值設(shè)置為86,400秒,并存儲(chǔ)在DSTM服務(wù)器的挑戰(zhàn)數(shù)據(jù)庫中(S107)。無效時(shí)間值是由管理員隨機(jī)地設(shè)置的,并可以根據(jù)系統(tǒng)環(huán)境或其它條件而改變。在存儲(chǔ)了無效時(shí)間值之后,DSTM將生成的挑戰(zhàn)數(shù)據(jù)發(fā)送至DSTM節(jié)點(diǎn)(S108)。
相反地,當(dāng)確定接收到的消息是響應(yīng)消息時(shí),DSTM服務(wù)器計(jì)算文件的期望響應(yīng)數(shù)據(jù)和校驗(yàn)和,然后檢查在挑戰(zhàn)數(shù)據(jù)庫中是否有相同的值(S102)。在DSTM服務(wù)器檢查在挑戰(zhàn)數(shù)據(jù)庫中是否有相同的值之后,檢查相同挑戰(zhàn)數(shù)據(jù)的無效時(shí)間值是否是86,400(S103)。當(dāng)相同挑戰(zhàn)數(shù)據(jù)的無效時(shí)間值是86,400時(shí),分配IPv4地址,并將無效時(shí)間值減1,直到最小值0秒(S104)。當(dāng)無效時(shí)間值小于86,400時(shí),由于接收到重復(fù)的驗(yàn)證響應(yīng)消息,所以不分配IPv4地址。在確認(rèn)對(duì)DSTM節(jié)點(diǎn)的驗(yàn)證之后執(zhí)行的過程與傳統(tǒng)方法中的相同。
圖8是采用本發(fā)明的系統(tǒng)的圖示,示出了為了分配到IPv4地址,DSTM節(jié)點(diǎn)801、805和808的用戶800、804和807根據(jù)傳輸自DSTM服務(wù)器810的挑戰(zhàn)數(shù)據(jù)的圖像來輸入驗(yàn)證值的示例。挑戰(zhàn)數(shù)據(jù)庫811存儲(chǔ)傳輸至每個(gè)DSTM節(jié)點(diǎn)801、805和808的挑戰(zhàn)數(shù)據(jù)。用戶800、804和807看到挑戰(zhàn)數(shù)據(jù)的圖像,并輸入驗(yàn)證值。在上述情況下,當(dāng)針對(duì)“sc□ool”(這是單詞“school”的圖像)中的空白處的值輸入“h”時(shí),執(zhí)行針對(duì)IPv4地址分配的驗(yàn)證。圖像被制成填充空白處,但是也可以針對(duì)問題和回答來制作圖像。
如上所述,根據(jù)本發(fā)明示例性實(shí)施例的驗(yàn)證DSTM節(jié)點(diǎn)的系統(tǒng)和方法不需要提前共享的諸如終端的媒體訪問控制(MAC)地址、口令和證書之類的信息。此外,當(dāng)終端移動(dòng)至另一域時(shí),根據(jù)傳統(tǒng)的驗(yàn)證方法,需要在線或離線過程來獲得可以在終端和服務(wù)器之間共享的新信息。但是,根據(jù)本發(fā)明示例性實(shí)施例的系統(tǒng)可以在沒有任何附加過程的情況下,在新域中的任何地點(diǎn)、任何時(shí)間,通過實(shí)時(shí)驗(yàn)證而分配到IP地址。
此外,系統(tǒng)不可能自動(dòng)響應(yīng),因而本發(fā)明可以有效地處理由于服務(wù)拒絕(DoS)攻擊而導(dǎo)致的IP耗盡問題等。由于只有用戶(人)可以響應(yīng)DSTM服務(wù)器的請(qǐng)求,所以不可以使用系統(tǒng)的自動(dòng)機(jī)制來響應(yīng)服務(wù)器的驗(yàn)證請(qǐng)求,從而本發(fā)明可以有效地處理IP耗盡問題。
此外,在考慮DSTM環(huán)境(IPv4/IPv6轉(zhuǎn)換技術(shù))下使用新驗(yàn)證機(jī)制,可以對(duì)IP地址分配問題的解決方案提出建議。
盡管已經(jīng)參照本發(fā)明的示例性實(shí)施例描述了本發(fā)明,但是本領(lǐng)域技術(shù)人員將會(huì)理解,在不偏離由權(quán)利要求所限定的本發(fā)明的范圍的情況下,可以作出形式上和細(xì)節(jié)上的多種改變。
權(quán)利要求
1.雙協(xié)議棧過渡機(jī)制通信網(wǎng)絡(luò)中的驗(yàn)證方法,包括以下步驟在雙協(xié)議棧過渡機(jī)制服務(wù)器處,將要用于驗(yàn)證的至少一個(gè)圖像文件和與所述圖像文件相對(duì)應(yīng)的至少一個(gè)驗(yàn)證值存儲(chǔ)在數(shù)據(jù)庫中;將所述圖像文件從所述雙協(xié)議棧過渡機(jī)制服務(wù)器發(fā)送至請(qǐng)求地址分配的雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn);將由用戶響應(yīng)于所述圖像文件而輸入的驗(yàn)證值從所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)發(fā)送至所述雙協(xié)議棧過渡機(jī)制服務(wù)器;以及在所述雙協(xié)議棧過渡機(jī)制服務(wù)器處,將從所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)接收到的驗(yàn)證值與存儲(chǔ)在數(shù)據(jù)庫中的驗(yàn)證值進(jìn)行比較,從而執(zhí)行驗(yàn)證。
2.如權(quán)利要求1所述的驗(yàn)證方法,還包括以下步驟在所述雙協(xié)議棧過渡機(jī)制服務(wù)器處,在驗(yàn)證時(shí),將互聯(lián)網(wǎng)協(xié)議地址分配給所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)。
3.如權(quán)利要求1所述的驗(yàn)證方法,其中,所述圖像文件與能夠由用戶識(shí)別出的文本相對(duì)應(yīng)。
4.如權(quán)利要求3所述的驗(yàn)證方法,其中,所述驗(yàn)證值與所述圖像文件的文本中的空白處相對(duì)應(yīng)。
5.如權(quán)利要求3所述的驗(yàn)證方法,其中,所述驗(yàn)證值與對(duì)特定間題的回答相對(duì)應(yīng)。
6.如權(quán)利要求1所述的驗(yàn)證方法,其中,所述數(shù)據(jù)庫還存儲(chǔ)圖像文件的有效時(shí)間值和校驗(yàn)和。
7.如權(quán)利要求6所述的驗(yàn)證方法,還包括以下步驟在所述雙協(xié)議棧過渡機(jī)制服務(wù)器處,計(jì)算從所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)接收到的所述圖像文件的校驗(yàn)和,以及將所計(jì)算的校驗(yàn)和與所存儲(chǔ)的校驗(yàn)和進(jìn)行比較。
8.一種包括雙協(xié)議棧過渡機(jī)制服務(wù)器和雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)的雙協(xié)議棧過渡機(jī)制通信網(wǎng)絡(luò)中的驗(yàn)證系統(tǒng),所述驗(yàn)證系統(tǒng)包括雙協(xié)議棧過渡機(jī)制服務(wù)器,用于將要用于驗(yàn)證的圖像文件和與所述圖像文件相對(duì)應(yīng)的期望驗(yàn)證值存儲(chǔ)在數(shù)據(jù)庫中,所述雙協(xié)議棧過渡機(jī)制服務(wù)器響應(yīng)于來自所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)的地址分配請(qǐng)求消息,將所述消息文件發(fā)送至所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn),然后響應(yīng)于與從所述雙協(xié)議棧過渡機(jī)制服務(wù)器接收到的所述圖像文件相對(duì)應(yīng)的圖像的顯示,使用從所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)接收到的用戶輸入驗(yàn)證信息,來執(zhí)行對(duì)所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)的驗(yàn)證;以及雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn),用于將與所述輸入驗(yàn)證信息相對(duì)應(yīng)的驗(yàn)證值發(fā)送至雙協(xié)議棧過渡機(jī)制服務(wù)器。
9.如權(quán)利要求8所述的驗(yàn)證系統(tǒng),其中,所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)將所述圖像文件與所述驗(yàn)證值一起發(fā)送至所述雙協(xié)議棧過渡機(jī)制服務(wù)器。
10.如權(quán)利要求8所述的驗(yàn)證系統(tǒng),其中,所述雙協(xié)議棧過渡機(jī)制服務(wù)器執(zhí)行對(duì)所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)的驗(yàn)證,然后將互聯(lián)網(wǎng)協(xié)議地址分配給所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)。
11.如權(quán)利要求8所述的驗(yàn)證系統(tǒng),其中,所述圖像文件與能夠由人類識(shí)別出的文本相對(duì)應(yīng)。
12.如權(quán)利要求10所述的驗(yàn)證系統(tǒng),其中,所述驗(yàn)證值與所述圖像文件的文本中的空白處或?qū)μ囟▎栴}的回答相對(duì)應(yīng)。
13.如權(quán)利要求8所述的驗(yàn)證系統(tǒng),其中,所述數(shù)據(jù)庫還存儲(chǔ)所述圖像文件的有效時(shí)間值和所述圖像文件的校驗(yàn)和。
14.如權(quán)利要求12所述的驗(yàn)證系統(tǒng),其中,所述雙協(xié)議棧過渡機(jī)制服務(wù)器計(jì)算從所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)接收到的所述圖像文件的校驗(yàn)和,以及將所計(jì)算的校驗(yàn)和與所存儲(chǔ)的校驗(yàn)和進(jìn)行比較。
15.如權(quán)利要求10所述的驗(yàn)證系統(tǒng),其中,所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)位于互聯(lián)網(wǎng)協(xié)議版本6的地址域中,并且所述分配的互聯(lián)網(wǎng)協(xié)議地址是互聯(lián)網(wǎng)協(xié)議版本4的地址。
16.雙協(xié)議棧過渡機(jī)制通信網(wǎng)絡(luò)中的驗(yàn)證方法,包括以下步驟在雙協(xié)議棧過渡機(jī)制服務(wù)器處,將要用于驗(yàn)證的至少一個(gè)圖像文件和與所述圖像文件相對(duì)應(yīng)的至少一個(gè)驗(yàn)證值存儲(chǔ)在數(shù)據(jù)庫中;將所述圖像文件發(fā)送至位于互聯(lián)網(wǎng)協(xié)議版本6的地址域中的雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn),所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)請(qǐng)求來自所述雙協(xié)議棧過渡機(jī)制服務(wù)器的互聯(lián)網(wǎng)協(xié)議版本4的地址的分配;將由用戶響應(yīng)于所述圖像文件而輸入的驗(yàn)證值從所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)發(fā)送至所述雙協(xié)議棧過渡機(jī)制服務(wù)器;以及在所述雙協(xié)議棧過渡機(jī)制服務(wù)器處,將從所述雙協(xié)議棧過渡機(jī)制節(jié)點(diǎn)接收到的所述驗(yàn)證值與存儲(chǔ)在數(shù)據(jù)庫中的所述驗(yàn)證值進(jìn)行比較,從而執(zhí)行驗(yàn)證。
17.如權(quán)利要求16所述的驗(yàn)證方法,還包括將所述圖像文件與所述驗(yàn)證值一起發(fā)送至所述雙協(xié)議棧過渡機(jī)制服務(wù)器。
全文摘要
提供了一種通過對(duì)雙協(xié)議棧過渡機(jī)制(DSTM)通信網(wǎng)絡(luò)中的DSTM節(jié)點(diǎn)的驗(yàn)證來分配互聯(lián)網(wǎng)協(xié)議版本4(IPv4)地址的系統(tǒng)和方法,其中DSTM是IPv4/IPv6地址轉(zhuǎn)換機(jī)制。當(dāng)在DSTM通信網(wǎng)絡(luò)中的DSTM節(jié)點(diǎn)與DSTM服務(wù)器之間分配IPv4地址時(shí),該系統(tǒng)和方法執(zhí)行驗(yàn)證。根據(jù)該系統(tǒng)和方法,當(dāng)DSTM節(jié)點(diǎn)請(qǐng)求IPv4地址的分配時(shí),DSTM服務(wù)器驗(yàn)證DSTM節(jié)點(diǎn),然后分配IPv4地址。因此,可以解決由服務(wù)拒絕(DoS)攻擊所引起的DSTM服務(wù)器的IPv4地址池的耗盡問題,以及潛在地解決IPv4/IPv6轉(zhuǎn)換過程的安全問題。
文檔編號(hào)H04L12/46GK1984146SQ200610163710
公開日2007年6月20日 申請(qǐng)日期2006年11月30日 優(yōu)先權(quán)日2005年12月12日
發(fā)明者權(quán)宅靖, 金永翰, 鄭守桓, 崔裁德, 金善琦 申請(qǐng)人:三星電子株式會(huì)社