国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種防止網(wǎng)絡(luò)攻擊的方法及裝置的制作方法

      文檔序號:7921249閱讀:259來源:國知局
      專利名稱:一種防止網(wǎng)絡(luò)攻擊的方法及裝置的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,具體涉及防止網(wǎng)絡(luò)攻擊的方法及 裝置。
      背景技術(shù)
      拒絕服務(wù)(DoS, Denial of Service)攻擊是一種對網(wǎng)絡(luò)危害4艮大的惡 意攻擊,通常是由一臺主機(jī)攻擊目標(biāo),而分布式拒絕服務(wù)攻擊(DDoS, Distribute Denial of Service )是控制網(wǎng)絡(luò)上大量的主機(jī)來對服務(wù)器發(fā)起的 集體攻擊。DoS攻擊具有代表性的攻擊手段包括死亡之ping (Ping of Death)、 淚滴TearDrop攻擊、用戶凄史據(jù)才艮協(xié)議UDP ( User Datagram Protocol)洪水 攻擊(FloodingAttack) 、 SYN洪水攻擊、Land攻擊、IP欺騙DoS等。一個(gè)典型的利用TCP協(xié)議的DDoS攻擊方式如下網(wǎng)絡(luò)傳輸控制協(xié)議(TCP )是一個(gè)面向連接的協(xié)議,在網(wǎng)絡(luò)中的通 信雙方通過此協(xié)議進(jìn)行通信之前,需要建立一條連接。連接的建立分為 三個(gè)步驟一、建立連接時(shí),客戶端發(fā)送一個(gè)SYN報(bào)文,指明客戶端打算連接 的服務(wù)器的端口,以及初始序號x;二、 服務(wù)器發(fā)回一個(gè)包含服務(wù)器的初始序號y的SYN報(bào)文作為應(yīng)答, 同時(shí),將確認(rèn)序號ACK設(shè)置為(x+1)以對客戶的SYN報(bào)文進(jìn)行確認(rèn),一 個(gè)SYN將占用一個(gè)序號;三、 客戶端將確認(rèn)序號ACK設(shè)置為(y+1)來對服務(wù)器的SYN報(bào)文進(jìn) 行確認(rèn)。這三個(gè)報(bào)文完成TCP連接的建立。也稱為"三次握手"過程。DoS攻擊就是一種針對TCP連接的"三次握手"過程的攻擊方式。在第 二步服務(wù)器端發(fā)送連接應(yīng)斜良文后,客戶端惡意地不發(fā)送第三次確認(rèn)報(bào) 文,導(dǎo)致服務(wù)器端一直等待第三次確認(rèn)消息,并會反復(fù)發(fā)送第二次應(yīng)敘艮 文給客戶端,從而占用大量的服務(wù)器資源,最終導(dǎo)致服務(wù)器無法為其它客 戶提供正常的服務(wù)?,F(xiàn)有技術(shù)中的 一種防止DDoS攻擊的方法如下通過正確配置3各由器來防止DDoS攻擊的方法,包括使用擴(kuò)展訪問 列表,使用單一地址逆向轉(zhuǎn)發(fā),使用TCP攔截,使用基于內(nèi)容的訪問控制 的方法?;趦?nèi)容的訪問控制技術(shù)是根據(jù)應(yīng)用層會話信息,智能地過濾TCP和 UDP數(shù)據(jù)包,防止DoS攻擊的方法。它通過設(shè)置超時(shí)時(shí)限值和會話門限值 來決定會話的維持時(shí)間以及何時(shí)刪除半連接。它正是通過監(jiān)視半連接的數(shù) 量和產(chǎn)生的頻率來防止洪水攻擊。每當(dāng)有不正常的半連^^妄建立或者在短時(shí) 間內(nèi)出現(xiàn)大量半連接的時(shí)候,用戶可以判斷是遭受了洪水攻擊?;趦?nèi)容的訪問定時(shí)(如,每分鐘)檢測一次已經(jīng)存在的半連接數(shù)量和試圖建立連接的頻率,當(dāng)已經(jīng)存在的半連接數(shù)量超過了門限值,路由器 就會刪除一些半連接,以保證新建立連接的需求,路由器持續(xù)刪除半連接, 直到存在的半連接數(shù)量低于另一個(gè)門限值,同樣,當(dāng)試圖建立連接的頻率 超過門限值,路由器就會采取相同的措施,刪除一部分連接請求,并持續(xù) 到請求連接的數(shù)量低于另 一個(gè)門限值。通過這種連續(xù)不斷的監(jiān)視和刪除, 可以有效防止SYN洪水攻擊。但是,通過設(shè)置半連接的門卩艮值的方法有 一定的誤差,不能精確地判斷DDos攻擊的連接和正常連接中可能產(chǎn)生的 半連接。發(fā)明內(nèi)容本發(fā)明實(shí)施例提供一種防止網(wǎng)絡(luò)攻擊的方法及裝置,提高網(wǎng)絡(luò)安全性。本發(fā)明實(shí)施例提供一種防止網(wǎng)絡(luò)攻擊的方法,包括 獲取數(shù)據(jù)包,所述數(shù)據(jù)包的源地址為加密生成地址CGA; 確定所述數(shù)據(jù)包中包含所述加密生成地址CGA參數(shù)和簽名信息; 對CGA參數(shù)進(jìn)行驗(yàn)證,根據(jù)驗(yàn)證通過的CGA參數(shù)驗(yàn)證簽名信息; 當(dāng)所述簽名信息驗(yàn)證通過后,將所述數(shù)據(jù)包發(fā)送給目標(biāo)地址。 本發(fā)明實(shí)施例還才是供一種防止網(wǎng)絡(luò)攻擊的方法,包括 根據(jù)源地址和公鑰生成CGA參數(shù)和簽名信息;將數(shù)據(jù)包源地址、所述CGA參數(shù)和簽名信息附加在數(shù)據(jù)包,發(fā)送所 述數(shù)據(jù)包,所述源地址為根據(jù)所述公鑰生成的加密生成地址CGA。 本發(fā)明實(shí)施例4是供一種防止網(wǎng)絡(luò)攻擊的裝置,包括 數(shù)據(jù)包接收模塊,用于獲取數(shù)據(jù)包,所述數(shù)據(jù)包的源地址為加密生成 地址CGA;數(shù)據(jù)包檢查模塊,用于對收到的數(shù)據(jù)包進(jìn)行檢查,判斷其是否包含 CGA參數(shù)和簽名信息,發(fā)送第一檢查結(jié)果;CGA驗(yàn)證模塊,用于當(dāng)所述第一檢查結(jié)果表示檢查到有CGA參數(shù),對 所獲取數(shù)據(jù)包的CGA參數(shù)進(jìn)行驗(yàn)證,發(fā)送驗(yàn)證結(jié)果;簽名驗(yàn)證模塊,用于所述CGA驗(yàn)證模塊發(fā)送的驗(yàn)證結(jié)果表明所述 CGA參數(shù)通過驗(yàn)證,根據(jù)驗(yàn)證通過的CGA參數(shù)驗(yàn)證簽名信息,發(fā)送驗(yàn)證 結(jié)果;主控制模塊,用于根據(jù)收到所述第一檢查結(jié)果、CGA驗(yàn)證模塊或簽 名驗(yàn)證模塊發(fā)送的驗(yàn)證結(jié)果處理發(fā)送給服務(wù)器的數(shù)據(jù)包;當(dāng)所述CGA驗(yàn)證模塊對所獲取數(shù)據(jù)包的CGA驗(yàn)證成功且所述簽名驗(yàn) 證模塊驗(yàn)證成功,所述主控制模塊將所述數(shù)據(jù)包發(fā)送給目標(biāo)地址。 本發(fā)明實(shí)施例還提供一種防止網(wǎng)絡(luò)攻擊的裝置,包括 參數(shù)生成模塊,用于根據(jù)源地址和公鑰生成CGA參數(shù)和簽名信息; 參數(shù)附加模塊,用于將所述源地址、CGA參數(shù)和簽名信息附加在數(shù) 據(jù)包,所述源地址為根據(jù)公鑰生成的加密生成地址CGA; 數(shù)據(jù)包發(fā)送模塊,用于發(fā)送所述數(shù)據(jù)包。本發(fā)明實(shí)施例提供的技術(shù)方案中,在數(shù)據(jù)包中附上CGA參數(shù)及簽名 信息,在接收到數(shù)據(jù)包時(shí)檢查數(shù)據(jù)包是否包含CGA參數(shù)及簽名信息。通 過對CGA參數(shù)及簽名信息進(jìn)行驗(yàn)證,如果對CGA參數(shù)及簽名驗(yàn)證均成功, 將通過驗(yàn)證的數(shù)據(jù)包發(fā)給目標(biāo)地址,直接利用數(shù)據(jù)包使用的CGA參數(shù)來 保證數(shù)據(jù)包發(fā)送地地址的非偽造性,從而防止了通過偽造地址來實(shí)施網(wǎng)絡(luò) 攻擊。并且通過對簽名信息的驗(yàn)證,進(jìn)一步保證了數(shù)據(jù)包發(fā)送方身份及其 地址綁定的真實(shí)性。從而將非法的數(shù)據(jù)包過濾掉,防止對服務(wù)器的網(wǎng)絡(luò)攻 擊,提高網(wǎng)絡(luò)安全性能。


      為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對 實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地, 下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員 來講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的 附圖。圖1為本發(fā)明實(shí)施例一提供的防止網(wǎng)絡(luò)攻擊方法流程圖; 圖2為本發(fā)明實(shí)施例二提供的防止網(wǎng)絡(luò)攻擊方法流程圖; 圖3 (a)及(b)分別為本發(fā)明實(shí)施例CGA參數(shù)和CGA擴(kuò)展頭的數(shù) 據(jù)結(jié)構(gòu)的示意圖;圖4為本發(fā)明實(shí)施例三提供的防止網(wǎng)絡(luò)攻擊方法流程圖;圖5為本發(fā)明實(shí)施例四提供的防止網(wǎng)絡(luò)攻擊方法流程圖;圖6為本發(fā)明實(shí)施例五提供的防止網(wǎng)絡(luò)攻擊的裝置結(jié)構(gòu)示意圖;圖7為本發(fā)明實(shí)施例六提供的防止網(wǎng)絡(luò)攻擊的裝置結(jié)構(gòu)示意圖。
      具體實(shí)施方式
      下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn) 行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例, 而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒 有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的 范圍。IPv6 (Internet Protocol Version 6 )作為下一代互聯(lián)網(wǎng)協(xié)議,將越來越 廣泛地被應(yīng)用。IPv6相對于現(xiàn)在的IP (即IPv4)有如下特點(diǎn)擴(kuò)展的尋 址能力,筒化的報(bào)頭格式,對擴(kuò)展報(bào)頭和選項(xiàng)支持的改進(jìn),標(biāo)識流的能力, iU正和加密能力。 實(shí)施例一如圖l(a)所示,本發(fā)明實(shí)施例提供一種防止網(wǎng)絡(luò)攻擊方法,在數(shù)據(jù)包 發(fā)送方,具體包括以下步驟步驟ll:根據(jù)源地址和公鑰生成CGA參數(shù)和簽名信息;在IPv6網(wǎng)絡(luò)中,網(wǎng)絡(luò)地址的規(guī)劃更為合理,同 一子網(wǎng)內(nèi)的網(wǎng)絡(luò)地址都有相同的網(wǎng)絡(luò)前綴,通過網(wǎng)絡(luò)地址中的網(wǎng)絡(luò)前綴就可以確定出這個(gè)地址是否是這個(gè)子網(wǎng)內(nèi)的地址。IPv6地址有128位,前64位為子網(wǎng)前綴,后 64位為接口標(biāo)識符。本發(fā)明實(shí)施例中,假定發(fā)送數(shù)據(jù)包的都是客戶端, 客戶端在加入網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)系統(tǒng)會分配一個(gè)公鑰給客戶端,同時(shí)子網(wǎng)前 綴也是固定的,客戶端根據(jù)公鑰和一些附加參數(shù)通過計(jì)算單向哈希函數(shù) 生成接口標(biāo)識符,生成的接口標(biāo)識符和子網(wǎng)前綴共同組成CGA,生成的 CGA就作為客戶端的IP地址。具體地,接口標(biāo)識符根據(jù)RFC3972中定義 的算法生成。CGA參數(shù)的數(shù)據(jù)結(jié)構(gòu)如圖3 (a),包含修正域、子網(wǎng)前綴、公鑰和擴(kuò) 展域,還可能包括沖突計(jì)數(shù);根據(jù)源地址生成CGA參數(shù)具體包括將子網(wǎng) 前綴、公鑰和沖突計(jì)數(shù)分別插入固定的數(shù)據(jù)結(jié)構(gòu)中,生成CGA參數(shù);根據(jù)源地址生成簽名信息具體包括采用私鑰對數(shù)據(jù)包載荷進(jìn)行加密 得到簽名信息,該私鑰與生成所述CGA地址的公鑰所對應(yīng)。步驟12:將所述源地址、CGA參數(shù)和簽名信息附加在數(shù)據(jù)包,發(fā)送所 述數(shù)據(jù)包,所述源地址為根據(jù)公鑰生成的加密生成地址CGA。IPv6數(shù)據(jù)包包含基本頭,數(shù)目不固定的擴(kuò)展頭及其載荷。其中,基 本頭中包含源地址和目的地址,并指明下一個(gè)擴(kuò)展頭。CGA擴(kuò)展頭結(jié)構(gòu) 如圖3 (b)所示,擴(kuò)展頭中也包含指明下一個(gè)頭的字段,還包含定義的 與此擴(kuò)展頭相關(guān)的選項(xiàng),CGA擴(kuò)展頭中還包含CGA參數(shù)和簽名信息。本發(fā)明實(shí)施例通過根據(jù)源地址生成CGA參數(shù)和簽名信息,并附在數(shù) 據(jù)包中,來證明數(shù)據(jù)包發(fā)送方地址的可靠性;CGA參數(shù)根據(jù)公鑰產(chǎn)生, 簽名信息根據(jù)公鑰對應(yīng)的私鑰產(chǎn)生,由于公鑰和私鎮(zhèn)具有一 定的身份標(biāo) 識性和私密性,他人不容易進(jìn)行身分偽造。 實(shí)施例二如圖2所示,本發(fā)明實(shí)施例提供一種防止網(wǎng)絡(luò)攻擊方法,在數(shù)據(jù)包接 收方,具體包括以下步驟步驟21:獲取數(shù)據(jù)包,該數(shù)據(jù)包的源地址為加密生成地址CGA; 步驟22:確定所述數(shù)據(jù)包中包含所述加密生成地址CGA參數(shù)和簽名信息;具體地,確定數(shù)據(jù)包CGA擴(kuò)展頭結(jié)構(gòu)里是否包含有CGA參數(shù)和簽名信 息;如果沒有包含CGA參數(shù)和簽名信息或只包含一種參數(shù),則丟棄數(shù)據(jù)包。 步驟23:對CGA參數(shù)進(jìn)行驗(yàn)證,根據(jù)驗(yàn)證通過的CGA參數(shù)驗(yàn)證簽名信臺 具體地,本實(shí)施例中所述對數(shù)據(jù)包的CGA參數(shù)進(jìn)行驗(yàn)證的步驟包括對CGA參數(shù)中的公鑰重新進(jìn)行哈希計(jì)算得到哈希值,與源地址中的接 口標(biāo)識符比較,如果兩者不一致,則CGA-險(xiǎn)i正失?。换蛘邫z查CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)中的子網(wǎng)前綴是否為所述加密生成地址 的子網(wǎng)前綴,若不是,則CGA驗(yàn)證失??;或者檢查CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)中的沖突計(jì)數(shù)是否在預(yù)定的范圍內(nèi),若不 在預(yù)定的范圍內(nèi),則CGA驗(yàn)證失敗。具體地,本實(shí)施例中根據(jù)驗(yàn)證通過的CGA參數(shù)對簽名信息進(jìn)行驗(yàn)證, 包括提取驗(yàn)證通過的CGA參數(shù)中的公鑰,釆用與簽名時(shí)相應(yīng)的加密算法利 用該公鑰對所述簽名進(jìn)行計(jì)算,將計(jì)算得到的值與簽名計(jì)算之前的值進(jìn)行 比較,若相同,則簽名驗(yàn)證通過。步驟24:當(dāng)所述簽名信息驗(yàn)證通過后,將所述數(shù)據(jù)包發(fā)送給目標(biāo)地址; 簽名驗(yàn)證通過,說明數(shù)據(jù)包源地址是正確的,沒有經(jīng)過偽造,可以認(rèn) 為數(shù)據(jù)包是安全的。如果CGA參數(shù)和簽名信息沒有認(rèn)證通過,則說明數(shù)據(jù)包源地址可能是 他人偽造的,那么可能是攻擊者所利用的傀儡機(jī)發(fā)送的數(shù)據(jù)包,那么數(shù)據(jù) 包是惡意的,則丟棄該數(shù)據(jù)包,向客戶端發(fā)送錯(cuò)誤^^告。步驟25:確定所述數(shù)據(jù)包不包括CGA參數(shù)和簽名信息,則丟棄該數(shù)據(jù) 包,向客戶端發(fā)送錯(cuò)誤才艮告。若數(shù)據(jù)包包含CGA參數(shù)和簽名信息,或僅包含簽名信息時(shí),貝'jDDoS 攻擊防御設(shè)備查詢設(shè)備中維護(hù)的 一個(gè)源IP地址與相應(yīng)公鑰的記錄表,判 斷數(shù)據(jù)包的源地址是否在表中,若表中有該源地址項(xiàng),則用表中對應(yīng)的 公鑰對簽名信息進(jìn)行驗(yàn)證。本發(fā)明實(shí)施例可以直接利用數(shù)據(jù)包使用的CGA參數(shù)來保證數(shù)據(jù)包發(fā)送地地址的非偽造性,從而防止了通過偽造地址來實(shí)施網(wǎng)絡(luò)攻擊。并且通 過對簽名信息的驗(yàn)證,進(jìn)一步保證了數(shù)據(jù)包發(fā)送方身份及其地址綁定的真 實(shí)性。從而將非法的IPv6數(shù)據(jù)包過濾掉,防止對服務(wù)器的網(wǎng)絡(luò)攻擊,提高 網(wǎng)絡(luò)安全性能。 實(shí)施例三在這個(gè)實(shí)施例中,以網(wǎng)絡(luò)攻擊為DDoS攻擊,服務(wù)器為網(wǎng)絡(luò)攻擊防御設(shè)備保護(hù)的對象為例,從數(shù)據(jù)包接收端對防止網(wǎng)絡(luò)攻擊方法進(jìn)行詳細(xì)說明,參照圖4,在本實(shí)施例中,防止網(wǎng)絡(luò)攻擊的具體實(shí)現(xiàn)過程包括如下步 驟步驟S100:客戶端向服務(wù)器發(fā)送一個(gè)數(shù)據(jù)包,其源地址是由CGA生 成的IPv6;也址;在這個(gè)步驟中,客戶端和服務(wù)器之間建立會話。 步驟S101:網(wǎng)絡(luò)攻擊防御設(shè)備接收該數(shù)據(jù)包;步驟S102:檢查IP數(shù)據(jù)包中是否包含CGA參數(shù)及簽名。如果僅包含 簽名信息選項(xiàng),或者CGA參數(shù)和簽名信息兩個(gè)選項(xiàng)都包含時(shí),轉(zhuǎn)入步驟 103;如果僅包含CGA參數(shù)選項(xiàng),或者CGA參數(shù)和簽名信息都不包含時(shí), 轉(zhuǎn)入步驟107;所述簽名信息由客戶端采用與生成所述源地址的公鑰所對應(yīng)的私鑰 對數(shù)據(jù)包載荷進(jìn)行加密得到。步驟S103:查詢記錄表,判斷查詢表中是否存在該源地址;所述記錄表是預(yù)先構(gòu)建的,記錄表保存的是驗(yàn)證成功后的源地址和對 應(yīng)公鑰,以供后續(xù)驗(yàn)證查詢〗吏用。提取所接收的數(shù)據(jù)包的源地址,查詢所迷記錄表是否保存有該源地址。步驟S104:如果記錄表不存在此源地址記錄,則先對CGA參數(shù)進(jìn)行驗(yàn)證,根據(jù)驗(yàn)證通過的CGA參數(shù)對簽名信息進(jìn)行驗(yàn)證;具體地,本實(shí)施例中對CGA參lt進(jìn)行驗(yàn)證的步驟包括檢查CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)中的子網(wǎng)前綴是否為所述加密生成地址的子網(wǎng)前綴,若不是,則CGA驗(yàn)i正失敗;檢查CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)中的沖突計(jì)數(shù)是否在預(yù)定的范圍內(nèi),若不在預(yù)定的范圍內(nèi),則CGA驗(yàn)證失敗。具體地,本實(shí)施例中對簽名信息進(jìn)行馬全^L,包括提取驗(yàn)證通過的CGA參數(shù)中的公鑰,采用與簽名時(shí)相應(yīng)的加密算法利 用該公鑰對所述簽名進(jìn)行計(jì)算,將計(jì)算得到的值與簽名計(jì)算之前的值進(jìn)行 比較,若相同,則簽名驗(yàn)證通過。步驟S105:驗(yàn)證成功后,將源地址和對應(yīng)的公鑰保存到記錄表中,并 將數(shù)據(jù)包轉(zhuǎn)給服務(wù)器;源地址不存在記錄表中,CGA參數(shù)和簽名信息又能夠通過驗(yàn)證,說明 這是客戶端第 一 次發(fā)送數(shù)據(jù)包給服務(wù)器;步驟S106:如果記錄表中記載有該源地址,則利用記錄表中對應(yīng)的公 鑰對簽名信息進(jìn)行驗(yàn)證;因?yàn)橛涗洷碇斜4娴亩际浅晒νㄟ^CGA^r證的源地址,因此不需要再 對源地址進(jìn)行CGA一瞼i正;具體地,本實(shí)施例中對簽名信息進(jìn)行驗(yàn)i正,包括才是耳又-瞼證通過的CGA參數(shù)中的公鑰,采用與簽名時(shí)相應(yīng)的加密算法利 用該公鑰對所述簽名進(jìn)行計(jì)算,將計(jì)算得到的值與簽名計(jì)算之前的值進(jìn)行 比較,若相同,則簽名驗(yàn)證通過。步驟S107:如果數(shù)據(jù)包中不包含CGA參數(shù)選項(xiàng)和簽名信息,或僅包含 CGA參數(shù)選項(xiàng)時(shí),網(wǎng)絡(luò)攻擊防御設(shè)備丟棄該數(shù)據(jù)包,并向客戶端返回錯(cuò)誤報(bào)告;步驟S108:如果這兩個(gè)驗(yàn)證中有一個(gè)驗(yàn)證不成功,則丟棄該數(shù)據(jù)包; 步驟S109:驗(yàn)證成功,網(wǎng)絡(luò)攻擊防御設(shè)備將通過驗(yàn)證的數(shù)據(jù)包發(fā)給 服務(wù)器。當(dāng)會話結(jié)束后,網(wǎng)絡(luò)攻擊防御設(shè)備清除記錄表中的客戶端源地址和對 應(yīng)7>鑰的記錄。本發(fā)明實(shí)施例可以直接利用客戶端使用的CGA參數(shù)來保證客戶端地 址的非偽造性,從而防止了通過偽造地址來實(shí)施DDoS攻擊。并且通過對 客戶端發(fā)送的消息的簽名的驗(yàn)證,進(jìn)一步保證了客戶端身份及其地址綁定的真實(shí)性。從而將非法的IPv6數(shù)據(jù)包過濾掉,防止對服務(wù)器的DDoS攻擊,提高網(wǎng)絡(luò)安全性能。實(shí)施例四參照圖5,本實(shí)施例提供二種防止網(wǎng)絡(luò)攻擊的方法,仍以網(wǎng)絡(luò)攻擊為 DDoS攻擊,服務(wù)器為網(wǎng)絡(luò)攻擊防御設(shè)備保護(hù)的對象為例,對防止網(wǎng)絡(luò)攻 擊方法進(jìn)4于詳細(xì)i兌明步驟S200,客戶端向服務(wù)器發(fā)送一個(gè)數(shù)據(jù)包,其源地址是由CGA生成 的IPv6地址;步驟S201,網(wǎng)絡(luò)攻擊防御設(shè)備接收該數(shù)據(jù)包;步驟S202,網(wǎng)絡(luò)攻擊防御設(shè)備檢查此數(shù)據(jù)包中是否包含CGA參數(shù)及簽名;步驟S203,如果不包含,則丟棄該數(shù)據(jù)包,網(wǎng)絡(luò)攻擊防御設(shè)備向源端 發(fā)送錯(cuò)誤報(bào)告,來提示客戶端發(fā)送包含CGA參數(shù)及簽名的數(shù)據(jù)包;步驟S204,如果包含,則先對CGA參數(shù)進(jìn)行驗(yàn)證,根據(jù)驗(yàn)證通過的 CGA參數(shù)對簽名信息進(jìn)行驗(yàn)證;步驟S205,如果這兩個(gè)驗(yàn)證中有一個(gè)驗(yàn)證失敗,則驗(yàn)證失敗,丟棄該 數(shù)據(jù)包;步驟S206,如果CGA參數(shù)驗(yàn)證和簽名驗(yàn)證成功,則網(wǎng)絡(luò)攻擊防御設(shè)備 將該數(shù)據(jù)包發(fā)送給服務(wù)器。本實(shí)施例與實(shí)施例三的不同之處在于,實(shí)施例三中網(wǎng)絡(luò)攻擊防御設(shè) 備需要維護(hù) 一 個(gè)通過驗(yàn)證的源地址和相應(yīng)公鑰的記錄表,在客戶端與服 務(wù)器的 一次會話期間,只需要在第 一次發(fā)起會話的通信中對CGA參數(shù)進(jìn) 行驗(yàn)證,到會話結(jié)束之前,期間只需驗(yàn)證簽名信息。而在實(shí)施例三中, 網(wǎng)絡(luò)攻擊防御設(shè)備需要驗(yàn)證客戶端發(fā)送的每 一 個(gè)數(shù)據(jù)包中的CGA參數(shù)和 簽名信息。顯然,與實(shí)施例三相比實(shí)施例二省去了對CGA參數(shù)重復(fù)一驗(yàn)i正 的開銷,但需要?jiǎng)?chuàng)建、維護(hù)和銷毀一個(gè)記錄表并需要對記錄表進(jìn)行查詢。 本實(shí)施例提供的技術(shù)方案中,通過檢查判斷IP數(shù)據(jù)包是否包含CGA 參數(shù)及簽名信息。通過對CGA參數(shù)及簽名信息進(jìn)行驗(yàn)證,如果對CGA參 數(shù)及簽名驗(yàn)證均成功,將通過驗(yàn)證的數(shù)據(jù)包發(fā)給服務(wù)器,這樣可確認(rèn)數(shù)據(jù)包的發(fā)送方合法,將非法的IPv6數(shù)據(jù)包過濾掉,從而防止對服務(wù)器的DDoS攻擊,提高網(wǎng)絡(luò)安全性能。實(shí)施例五參照圖5,本發(fā)明實(shí)施例還提供一種防止網(wǎng)絡(luò)攻擊的裝置300,包括 數(shù)據(jù)包接收模塊310、數(shù)據(jù)包檢查模塊320、 CGA驗(yàn)證模塊330、簽名驗(yàn) 證模塊340和主控制模塊350,其中數(shù)據(jù)包接收模塊310,用于獲取數(shù)據(jù)包,該數(shù)據(jù)包的源地址為加密生 成地址CGA;數(shù)據(jù)包檢查模塊320,對收到的數(shù)據(jù)包進(jìn)行檢查,確認(rèn)數(shù)據(jù)包是否包 含CGA參數(shù)和簽名信息,并生成第一檢查結(jié)果發(fā)送給CGA驗(yàn)證模塊330 和主控制模塊350;所述CGA參數(shù)包含修正域、子網(wǎng)前綴、公鑰、沖突計(jì)數(shù)和擴(kuò)展域;對數(shù)據(jù)包載荷進(jìn)行加密得到。CGA驗(yàn)證模塊330,對所獲取數(shù)據(jù)包的CGA參數(shù)進(jìn)行驗(yàn)證,將驗(yàn)證結(jié) 果發(fā)送給簽名驗(yàn)證模塊340和主控制模塊350;簽名驗(yàn)證模塊340,利用CGA參數(shù)的公鑰對數(shù)據(jù)包的簽名信息進(jìn)行 驗(yàn)證,并將驗(yàn)證結(jié)果返回給主控制模塊350;主控制模塊350,用于根據(jù)收到的數(shù)據(jù)包檢查模塊320發(fā)送的第一檢 查結(jié)果、CGA驗(yàn)證模塊330或簽名驗(yàn)證模塊340的驗(yàn)證結(jié)果,處理數(shù)據(jù) 包;若所述數(shù)據(jù)包檢查模塊320判斷所述數(shù)據(jù)包不包含簽名信息,則主控 制模塊350將所述數(shù)據(jù)包丟棄;若所述CGA驗(yàn)證模塊330對CGA參數(shù)的驗(yàn)證失敗或所述簽名驗(yàn)證模 塊340驗(yàn)證簽名信息失敗,則所述主控制模塊350將所述數(shù)據(jù)包丟棄;若CGA驗(yàn)證模塊330對所獲取數(shù)據(jù)包的CGA參數(shù)驗(yàn)證成功且所述簽 名驗(yàn)證模塊340驗(yàn)證成功,則所述主控制模塊350將所述數(shù)據(jù)包發(fā)送給目 的地址。所述防止網(wǎng)絡(luò)攻擊的裝置300還包括存儲模塊360,用于存儲記錄表,所述記錄表包括通過所述CGA驗(yàn)證 模塊驗(yàn)證的數(shù)據(jù)包的源地址及其所對應(yīng)公鑰;記錄查詢模塊370,根據(jù)收到的IP數(shù)據(jù)包的源地址查詢存儲^^塊中的 記錄表,將生成的第二檢查結(jié)果返回給主控制^^莫塊。若記錄查詢模塊370查詢確定所述源地址存在于記錄表中,所述簽名 驗(yàn)證模塊利用記錄表中的公鑰對簽名進(jìn)行驗(yàn)證;當(dāng)所述簽名驗(yàn)證通過后, 將所述數(shù)據(jù)包發(fā)送給所述服務(wù)器,否則,將所述數(shù)據(jù)包丟棄;接收到的所述第二檢查結(jié)果表示記錄表中不存在所述數(shù)據(jù)包的源地 址,將所述數(shù)據(jù)包的CGA參數(shù)和簽名信息分別發(fā)給所述CGA驗(yàn)證模塊和簽 名-驗(yàn)證模塊進(jìn)行驗(yàn)證,保存驗(yàn)證通過后的CGA參數(shù)和簽名信息在所述記錄 表中。本實(shí)施例提供的防止網(wǎng)絡(luò)攻擊的裝置中,通過檢查判斷數(shù)據(jù)包是否包 含CGA參數(shù)及簽名信息。通過對CGA參數(shù)及簽名進(jìn)行驗(yàn)證,如果對CGA 參數(shù)及簽名驗(yàn)證均成功,該防止網(wǎng)絡(luò)攻擊裝置將通過驗(yàn)證的數(shù)據(jù)包發(fā)給目 標(biāo)網(wǎng)絡(luò)設(shè)備,這樣可將非法的IPv6數(shù)據(jù)包過濾掉,,人而防止對目標(biāo)網(wǎng)絡(luò)設(shè) 備的網(wǎng)絡(luò)攻擊,從而提高網(wǎng)絡(luò)安全性能。實(shí)施例六參照圖7,本發(fā)明實(shí)施例還提供一種防止網(wǎng)絡(luò)攻擊的裝置,包括 參數(shù)生成模塊601,用于根據(jù)源地址和公鑰生成CGA參數(shù)和簽名信息, 所述源地址為根據(jù)公鑰生成的加密生成地址CGA ,源地址通常為IPv6地 址;公鑰為本實(shí)施例提供的防止網(wǎng)絡(luò)攻擊的裝置在進(jìn)入網(wǎng)絡(luò)時(shí)由網(wǎng)絡(luò)自動(dòng) 發(fā)放的。具體地,參數(shù)生成模塊包括CGA參數(shù)生成單元6011,用于將源地址的子網(wǎng)前綴、公鑰和沖突計(jì)數(shù) 分別插入固定的數(shù)據(jù)結(jié)構(gòu)中,生成CGA參數(shù);簽名信息生成單元6012,用于采用私鑰對數(shù)據(jù)包載荷進(jìn)行加密得到簽 名信息,該私鑰與生成所述CGA地址的公鑰所對應(yīng)。參數(shù)附加模塊602,用于將所述源地址、CGA參數(shù)和簽名信息附加在 數(shù)據(jù)包;IPv6數(shù)據(jù)包包含基本頭,數(shù)目不固定的擴(kuò)展頭及其載荷。其中,基本頭中包含源地址和目的地址,并指明下一個(gè)擴(kuò)展頭。CGA擴(kuò)展頭結(jié)構(gòu) 如圖3(b)所示,擴(kuò)展頭中也包含指明下一個(gè)頭的字段,還包含定義的與此擴(kuò)展頭相關(guān)的選項(xiàng),CGA擴(kuò)展頭中還包含CGA參數(shù)和簽名信息。數(shù)據(jù)包發(fā)送模塊603,用于發(fā)送所述數(shù)據(jù)包。具體地,發(fā)送包括了基 本頭、擴(kuò)展頭和載荷的數(shù)據(jù)包。本發(fā)明實(shí)施例通過根據(jù)源地址生成CGA參數(shù)和簽名信息,并附在數(shù)據(jù) 包中,來證明數(shù)據(jù)包發(fā)送方地址的可靠性;CGA參數(shù)才艮據(jù)公鑰產(chǎn)生,簽名 信息根據(jù)公鑰對應(yīng)的私鑰產(chǎn)生,由于公鑰和私鑰具有一定的身份標(biāo)識性 和私密性,他人不容易進(jìn)行身分偽造。顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各單元或各步驟 可以用通用的計(jì)算裝置來實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上,或者 分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上,可選地,它們可以用計(jì)算裝置可執(zhí) 行的程序代碼來實(shí)現(xiàn),從而,可以將它們存儲在存儲裝置中由計(jì)算裝置來 執(zhí)行,或者將它們分別制作成各個(gè)集成電路模塊,或者將它們中的多個(gè)單 元或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)。這樣,本發(fā)明不限制于任何特 定的硬件和軟件結(jié)合。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù) 范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等, 均包含在本發(fā)明的保護(hù)范圍內(nèi)。
      權(quán)利要求
      1、一種防止網(wǎng)絡(luò)攻擊的方法,其特征在于,包括獲取數(shù)據(jù)包,所述數(shù)據(jù)包的源地址為加密生成地址CGA;確定所述數(shù)據(jù)包中包含所述加密生成地址CGA參數(shù)和簽名信息;對CGA參數(shù)進(jìn)行驗(yàn)證,根據(jù)驗(yàn)證通過的CGA參數(shù)驗(yàn)證簽名信息;當(dāng)所述簽名信息驗(yàn)證通過后,將所述數(shù)據(jù)包發(fā)送給目標(biāo)地址。
      2、 如權(quán)利要求1所述的方法,其特征在于,所述對CGA參數(shù)進(jìn)行驗(yàn) 證,根據(jù)驗(yàn)證通過的CGA參數(shù)驗(yàn)證簽名信息包括查詢記錄表是否存在所述數(shù)據(jù)包的源地址;如果不存在所述源地址,對CGA參數(shù)進(jìn)行驗(yàn)證,根據(jù)驗(yàn)證通過的CGA 參數(shù)對簽名信息進(jìn)行驗(yàn)證,驗(yàn)證通過后,保存所述源地址和對應(yīng)的公鑰在所 述記錄表中;如果驗(yàn)證不通過,丟棄所述數(shù)據(jù)包;如果存在所述源地址,利用記錄表中對應(yīng)的公鑰對簽名信息進(jìn)行驗(yàn)證, 如果驗(yàn)證不通過,丟棄所述數(shù)據(jù)包。
      3、 如權(quán)利要求1或2所述的方法,其特征在于,所述CGA參數(shù)包含 公鑰、子網(wǎng)前綴和沖突計(jì)數(shù),所述對CGA參數(shù)進(jìn)行驗(yàn)證包括對CGA參數(shù)中的公鑰進(jìn)行哈希計(jì)算得到哈希值,與源地址中的接口標(biāo)識 符比較,如果兩者不一致,則CGA^r證失?。换蛘邫z查CGA參數(shù)中的子網(wǎng)前綴是否為所述加密生成地址的子網(wǎng)前綴,若 不是,則CGA驗(yàn)證失?。换蛘邫z查CGA參數(shù)中的沖突計(jì)數(shù)是否在預(yù)定的范圍內(nèi),若不在預(yù)定的范圍 內(nèi),則CGA驗(yàn)i正失敗。
      4、 如權(quán)利要求1或2所述的方法,其特征在于,所述CGA參數(shù)包括 公鑰,所述根據(jù)驗(yàn)證通過的CGA參數(shù)驗(yàn)證簽名信息包括采用與簽名時(shí)相應(yīng)的加密算法利用所述公鑰對所述簽名進(jìn)行計(jì)算,將計(jì) 算得到的值與簽名計(jì)算之前的值進(jìn)行比較,若相同,則簽名驗(yàn)證通過。
      5、 如權(quán)利要求2所述的方法,其特征在于,進(jìn)一步包括 丟棄所述數(shù)據(jù)包后,向發(fā)送所述數(shù)據(jù)包的源地址返回錯(cuò)誤報(bào)告。
      6、 一種防止網(wǎng)絡(luò)攻擊的方法,其特征在于,包括 根據(jù)源地址和公鑰生成CGA參數(shù)和簽名信息;將數(shù)據(jù)包源地址、所述CGA參數(shù)和簽名信息附加在數(shù)據(jù)包,發(fā)送所述 數(shù)據(jù)包,所述源地址為根據(jù)所述公鑰生成的加密生成地址CGA。
      7、 如權(quán)利要求6所述的方法,其特征在于,所述簽名信息采用私鑰對 數(shù)據(jù)包載荷進(jìn)行加密得到,所述私鑰與生成所述CGA的公鑰相對應(yīng)。
      8、 如權(quán)利要求6所述的方法,其特征在于,所述CGA參數(shù)包括修正 域、子網(wǎng)前綴、公鑰、沖突計(jì)數(shù)和擴(kuò)展域。
      9、 如權(quán)利要求6所述的方法,其特征在于,所述數(shù)據(jù)包包括基本頭、 擴(kuò)展頭和載荷,所逸基本頭包括源地址和目的地址,擴(kuò)展頭包括CGA參數(shù) 和簽名信息。
      10、 一種防止網(wǎng)絡(luò)攻擊的裝置,其特征在于,包括 數(shù)據(jù)包接收模塊,用于獲取數(shù)據(jù)包,所述數(shù)據(jù)包的源地址為加密生成地址CGA;數(shù)據(jù)包檢查模塊,用于對收到的數(shù)據(jù)包進(jìn)行檢查,判斷其是否包含CGA 參數(shù)和簽名信息,發(fā)送第一檢查結(jié)果;CGA驗(yàn)證模塊,用于當(dāng)所述第一檢查結(jié)果表示檢查到有CGA參數(shù),對 所獲取數(shù)據(jù)包的CGA參數(shù)進(jìn)行驗(yàn)證,發(fā)送驗(yàn)證結(jié)果;簽名驗(yàn)證模塊,用于所述CGA驗(yàn)證模塊發(fā)送的驗(yàn)證結(jié)果表明所述CGA 參數(shù)通過驗(yàn)證,根據(jù)驗(yàn)證通過的CGA參數(shù)驗(yàn)證簽名信息,發(fā)送驗(yàn)證結(jié)果;主控制模塊,用于根據(jù)收到所述第一檢查結(jié)果、CGA驗(yàn)證模塊或簽名 驗(yàn)證模塊發(fā)送的驗(yàn)證結(jié)果處理發(fā)送給服務(wù)器的數(shù)據(jù)包;當(dāng)所述CGA驗(yàn)證模塊對所獲取數(shù)據(jù)包的CGA驗(yàn)證成功且所述簽名驗(yàn) 證模塊驗(yàn)證成功,所述主控制模塊將所述數(shù)據(jù)包發(fā)送給目標(biāo)地址。
      11、 如權(quán)利要求IO所述的裝置,其特征在于,還包括存儲模塊,用于存儲記錄表,所述記錄表包括通過所述CGA驗(yàn)證模塊 驗(yàn)證的數(shù)據(jù)包的源地址及其所對應(yīng)公鑰。
      12、 如權(quán)利要求ll所述的裝置,其特征在于,還包括 記錄查詢模塊,根據(jù)所述數(shù)據(jù)包的源地址查詢存儲模塊中的記錄表,向所述主控制模塊發(fā)送第二檢查結(jié)果;所述主控制模塊還用于,當(dāng)接收到的所述第二檢查結(jié)果表示記錄表中存在所述數(shù)據(jù)包的源地址,利用記錄表中對應(yīng)的公鑰對簽名信息進(jìn)行驗(yàn)證,如 果驗(yàn)證不通過,丟棄所述數(shù)據(jù)包;當(dāng)接收到的所述第二檢查結(jié)果表示記錄表中不存在所述數(shù)據(jù)包的源地址,將所述數(shù)據(jù)包的CGA參數(shù)和簽名信息分別 發(fā)給所述CGA驗(yàn)證模塊和簽名驗(yàn)證模塊進(jìn)行驗(yàn)證,保存驗(yàn)證通過后的CGA 參數(shù)和簽名信息在所述記錄表中。
      13、 一種防止網(wǎng)絡(luò)攻擊的裝置,其特征在于,包括 參數(shù)生成模塊,用于根據(jù)源地址和公鑰生成CGA參數(shù)和簽名信息; 參數(shù)附加模塊,用于將所述源地址、CGA參數(shù)和簽名信息附加在數(shù)據(jù)包,所述源地址為根據(jù)公鑰生成的加密生成地址CGA; 數(shù)據(jù)包發(fā)送模塊,用于發(fā)送所述數(shù)據(jù)包。
      14、 如權(quán)利要求13所述的裝置,其特征在于,所述參數(shù)生成模塊包括 CGA參數(shù)生成單元,用于將源地址的子網(wǎng)前綴、公鑰和沖突計(jì)數(shù)分別插入固定的數(shù)據(jù)結(jié)構(gòu)中,生成CGA參數(shù);簽名信息生成單元,用于采用私鑰對數(shù)據(jù)包載荷進(jìn)行加密得到簽名信 息,所述私鑰與生成所述CGA地址的公鑰所對應(yīng)。
      全文摘要
      本發(fā)明實(shí)施例公開了一種防止網(wǎng)絡(luò)攻擊的方法,包括獲取數(shù)據(jù)包,所述數(shù)據(jù)包的源地址為加密生成地址CGA;確定所述數(shù)據(jù)包中包含所述加密生成地址CGA參數(shù)和簽名信息;對CGA參數(shù)進(jìn)行驗(yàn)證,根據(jù)驗(yàn)證通過的CGA參數(shù)驗(yàn)證簽名信息;當(dāng)所述簽名信息驗(yàn)證通過后,將所述數(shù)據(jù)包發(fā)送給目標(biāo)地址。本發(fā)明實(shí)施例還相應(yīng)地提供防止網(wǎng)絡(luò)攻擊的裝置,直接利用數(shù)據(jù)包使用的CGA參數(shù)來保證數(shù)據(jù)包發(fā)送地地址的非偽造性,從而防止了通過偽造地址來實(shí)施網(wǎng)絡(luò)攻擊。并且通過對簽名信息的驗(yàn)證,進(jìn)一步保證了數(shù)據(jù)包發(fā)送方身份及其地址綁定的真實(shí)性。從而將非法的數(shù)據(jù)包過濾掉,防止對服務(wù)器的網(wǎng)絡(luò)攻擊,提高網(wǎng)絡(luò)安全性能。
      文檔編號H04L9/36GK101404579SQ20081017468
      公開日2009年4月8日 申請日期2008年10月31日 優(yōu)先權(quán)日2008年10月31日
      發(fā)明者馮鴻雁, 劉利鋒 申請人:成都市華為賽門鐵克科技有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1