專利名稱:防御網(wǎng)絡(luò)攻擊和建立網(wǎng)絡(luò)連接的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及防御網(wǎng)絡(luò)攻擊和建立網(wǎng)絡(luò)連接的方 法及設(shè)備����。
背景技術(shù):
SIP(Session Initiation Protocol,會話初始協(xié)議)用于發(fā)起會話。其采用 Client/Server模型�,其元素包括UA(User Agent,用戶代理)和代理服務(wù)器PS (Proxy Server) 。 SIP消息分請求和響應(yīng)兩類��,UA發(fā)送或接受請求和響 應(yīng)��,請求消息由UA發(fā)往代理服務(wù)器PS,響應(yīng)消息由PS發(fā)往UA����。 UA是用戶 代理客戶端UAC (User Agent Client)和用戶代理服務(wù)器UAS (User Agent Server)組合的邏輯實(shí)體。當(dāng)UA發(fā)送請求時(shí)充當(dāng)?shù)氖荱AC的角色��,當(dāng)UA接 受請求發(fā)送響應(yīng)時(shí)充當(dāng)?shù)氖荱AS的角色���。
SIP采用三次握手的方式建立會話�,如圖1所示����,主叫方UAC向被叫方 UAS發(fā)送SIP lnvite請求以建立會話;UAS收到該SIP lnvite請求后回應(yīng)一個(gè) 200 OK響應(yīng)�;UAC發(fā)送ACK消息對該響應(yīng)進(jìn)行確認(rèn),上述消息都通過PS轉(zhuǎn) 發(fā)�����。在整個(gè)會話的建立過程中��,UAS會保存會話狀態(tài),有狀態(tài)PS在會話過程 中同樣會保存事務(wù)狀態(tài)或會話狀態(tài)��。
然而攻擊者采用發(fā)送大量的偽From域的SIP lnvite數(shù)據(jù)包來實(shí)施洪水攻 擊����,有狀態(tài)PS和接收方UAS都會為每一個(gè)連接請求維護(hù)一個(gè)會話狀態(tài)。由于 From域被偽造����,UAS在返回200 OK響應(yīng)后,收不到來自發(fā)起方UAC的ACK 確認(rèn)�����,會話連接始終處于維護(hù)狀態(tài)�,導(dǎo)致有狀態(tài)PS和UAS消耗大量的內(nèi)存維護(hù)會話�����,最終使得PS和接受方UAS內(nèi)存耗盡�,拒絕服務(wù),甚至系統(tǒng)癱瘓��。因 此當(dāng)正當(dāng)發(fā)起方UAC發(fā)送SIP lnvite數(shù)據(jù)包時(shí)����,由于PS和UAS拒絕服務(wù)��,導(dǎo) 致UAC接收不到200 OK相應(yīng)��。^v上述描述可知���,當(dāng)沒有攻擊發(fā)生的情況下, 由于系統(tǒng)能正常運(yùn)行�����,SIP Invite數(shù)據(jù)包的數(shù)目應(yīng)該與200 OK響應(yīng)的數(shù)目相 等����,于是現(xiàn)有技術(shù)中采用基于統(tǒng)計(jì)的方法來防止攻擊,通過統(tǒng)計(jì)某時(shí)段內(nèi) SIP lnvite數(shù)據(jù)包的數(shù)目和200 OK響應(yīng)數(shù)據(jù)包的數(shù)目����,將SIP InviteS數(shù)據(jù)包的 個(gè)數(shù)和200 OK響應(yīng)數(shù)據(jù)包的個(gè)數(shù)的比值與預(yù)先設(shè)好的閾值進(jìn)行比較,當(dāng)所述 比值大于所述閾值時(shí)����,則認(rèn)為有攻擊發(fā)生,丟棄該數(shù)據(jù)包并將發(fā)送數(shù)據(jù)包的 源I P地址加入黑名單阻止連接的建立����。
在代理服務(wù)器和UAS發(fā)起認(rèn)證的情況下�,在UAS發(fā)送200 OK響應(yīng)消息 前�����,UAC會重發(fā)帶有認(rèn)證信息的lnvite請求�����,如圖2所示�。正常情況下,此時(shí) SIP lnvite數(shù)據(jù)包的數(shù)目為200 OK響應(yīng)數(shù)據(jù)包數(shù)目的兩倍��,若用上述方法進(jìn) 行檢測就會發(fā)生無攻擊情況下SIP Invite數(shù)據(jù)包的個(gè)數(shù)和200 OK響應(yīng)數(shù)據(jù)包 的個(gè)數(shù)的比值大于所述閾值�,從而出現(xiàn)大量誤報(bào),把合法的請求識別為攻 擊���,阻止了合法連接的建立。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供防御網(wǎng)絡(luò)攻擊和建立會話連接的方法及裝置���,使得有 效防御網(wǎng)絡(luò)攻擊以及建立網(wǎng)絡(luò)連接���。
本發(fā)明的實(shí)施例提供了 一種防御網(wǎng)絡(luò)攻擊的方法�����,該方法包括
接收發(fā)起方用戶代理發(fā)送的第一請求消息��;根據(jù)所述第一請求消息中攜 帶的數(shù)據(jù)包信息和域信息確定第 一驗(yàn)證信息�,向發(fā)起方用戶代理發(fā)送攜帶所 述第一驗(yàn)證信息的響應(yīng)消息�;接收發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜 帶認(rèn)證信息的第二請求消息;根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第二驗(yàn)證信息����,將所述第 一驗(yàn)證信息和所述第二驗(yàn)證信息進(jìn)行比 較,驗(yàn)證所述第二請求消息���。
本發(fā)明的實(shí)施例還提供了 一種防御網(wǎng)絡(luò)攻擊的方法�����,該方法包括 接收發(fā)起方用戶代理發(fā)送的第 一請求消息�����;驗(yàn)證所述第 一請求消息的來
源�,對不可識別的來源發(fā)送的請求消息�,根據(jù)所述第一請求消息中攜帶的數(shù) 據(jù)包信息和域信息確定第 一驗(yàn)證信息�����,向發(fā)起方用戶代理發(fā)送攜帶所述第一
驗(yàn)證信息的響應(yīng)消息���;接收發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜帶認(rèn)證 信息的第二請求消息;根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包信息和域信息 確定第二驗(yàn)證信息�,將所述第一驗(yàn)證信息和所述第二驗(yàn)證信息進(jìn)行比較,驗(yàn) 證所述第二請求消息����。
本發(fā)明的實(shí)施例還提供了 一種建立網(wǎng)絡(luò)連接的方法,該方法包括
接收發(fā)起方用戶代理發(fā)送的第一請求消息���;根據(jù)所述第 一請求消息中攜 帶的數(shù)據(jù)包信息和域信息確定第 一驗(yàn)證信息�����,向發(fā)起方用戶代理發(fā)送攜帶所 述第一驗(yàn)證信息的響應(yīng)消息����;接收發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜 帶認(rèn)證信息的第二請求消息����;根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包信息和 域信息確定第二驗(yàn)證信息,將所述第一驗(yàn)證信息和所述第二驗(yàn)證信息進(jìn)行比 較�,驗(yàn)證所述第二請求消息;向接收方用戶代理發(fā)送攜帶和所述第一驗(yàn)證信 息相同的第二驗(yàn)證信息的第二請求消息���,以建立所述發(fā)起方用戶代理和所述 接收方用戶代理之間的連接�����。
本發(fā)明的實(shí)施例還提供了 一種防御網(wǎng)絡(luò)攻擊的設(shè)備�,該設(shè)備包括
消息接收單元�,所述消息接收單元用于接收發(fā)起方用戶代理發(fā)送的第一 請求消息;信息驗(yàn)證單元����,所述信息驗(yàn)證單元用于根據(jù)所述第一請求消息中 攜帶的數(shù)據(jù)包信息和域信息確定第一驗(yàn)證信息,消息發(fā)送單元��,所述消息發(fā) 送單元用于向發(fā)起方用戶代理發(fā)送攜帶所述第一驗(yàn)證信息的響應(yīng)消息�,所述消息接收單元接收所述發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜帶認(rèn)證信息 的第二請求消息,所述信息驗(yàn)證單元根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包 信息和域信息確定第二驗(yàn)證信息��,將所述第 一驗(yàn)證信息和所述第二驗(yàn)證信息 進(jìn)行比較�,驗(yàn)證所述第二請求消息。
由上述本發(fā)明的實(shí)施例提供的技術(shù)方案可以看出,通過就發(fā)起方用戶代 理的請求消息確定第一驗(yàn)證信息��,將其與發(fā)起方用戶代理重新發(fā)起的請求信 息確定的第二驗(yàn)證信息進(jìn)行比較����,可以獲知信息以及發(fā)起者的合法性,以排 除非法攻擊�,避免誤報(bào),使得合法連接有效的建立��。��。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實(shí) 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地�,下面 描述中的附圖僅僅是本發(fā)明的 一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講���, 在不付出創(chuàng)造性勞動性的前提下��,還可以根據(jù)這些附圖獲得其他的附圖��。
圖1為現(xiàn)有技術(shù)中SIP會話連接建立示意圖2為現(xiàn)有技術(shù)中代理服務(wù)器PS認(rèn)證UAC示意圖3為本發(fā)明實(shí)施例一防御網(wǎng)絡(luò)攻擊的方法示意圖4為本發(fā)明實(shí)施例二防御網(wǎng)絡(luò)攻擊的方法示意圖5為本發(fā)明實(shí)施例三建立網(wǎng)絡(luò)連接的方法示意圖6為本發(fā)明實(shí)施例三基于驗(yàn)證防御建立網(wǎng)絡(luò)連接的原理圖7為本發(fā)明實(shí)施例四防御網(wǎng)絡(luò)攻擊的設(shè)備示意圖�。
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行 清楚���、完整地描述,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而 不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍。
代理服務(wù)器和UAS發(fā)起認(rèn)證的情況下�����,基于SIP協(xié)議在用戶代理間建立會 話�����,為了防止網(wǎng)絡(luò)攻擊����,由防護(hù)單元對發(fā)送方用戶代理的SIP lnvite請求進(jìn)行 驗(yàn)證��,使得通過驗(yàn)證的SIP lnvite請求可以進(jìn)行用戶代理間的會話連接���,從而 保證連接的可靠性,使得代理服務(wù)器以及接收方用戶代理穩(wěn)定運(yùn)行����,有效降 低了攻擊者利用SIP lnvite請求的惡意攻擊保證合法連接的建立。
本發(fā)明實(shí)施例一提供一種防御網(wǎng)絡(luò)攻擊的方法����,如圖3所示,包括 101��、發(fā)起方用戶代理UAC發(fā)送第一請求消息����。
UAC請求和接收方用戶代理UAS建立連接,該連接基于SIP協(xié)議�����。UAC 發(fā)送SIP lnvite請求消息����,SIP消息類型還包括ACK ���、 CANCEL 、 OPTIONS�、 BYE以及REGISTER。其中l(wèi)nvite和ACK用于建立呼叫�,完成三 次握手����,或者用于建立以后改變會話屬性。SIP的消息頭域由一個(gè)域名和域 值組成Field-Name:Field-Value����。完整SIP消息攜帶的頭域包括From, To, Call-ID�, Max-Forwards和Via字段。以下為一個(gè)完整SIP lnivte消息的示 例
INVITE sip:UserB@there.com SIP/2.0 Via: SIP/2.0/UDP here.com:5060 From: BigGuy <sip:UserA@here.com> To: LittleGuy <sip:UserB@there.com> Call-ID: 12345601@here.comCSeq: 1 INVITE
Contact: BigGuy <sip:UserA@here,com> Content-Type: application/sdp Content-Length: 147
v=0
o=UserA 2890844526 2890844526 IN IP4 here.com
s=Session SDP
c=IN IP4 100.101.102.103
t=0 0
m=audio 49172 RTP/AVP 0 a=rtpmap:0 PCMU/8000
102����、防護(hù)單元收到所述第一請求消息。接收到所述第一請求消息后�, 防護(hù)單元根據(jù)所述第 一請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第 一驗(yàn)證 信息,向UAC發(fā)送攜帶所述第 一驗(yàn)證信息的響應(yīng)消息�。
UAC發(fā)送的SIP lnvite消息被防護(hù)單元接收���,防護(hù)單元可以為Anti-DDoS 設(shè)備,防護(hù)單元在收到所述SIP lnvite消息后����,構(gòu)造響應(yīng)消息發(fā)送給UAC,所 述響應(yīng)消息可以為SIP消息中的407 Proxy Authentication響應(yīng)數(shù)據(jù)包�����。
防護(hù)單元根據(jù)SIP lnvite消息的數(shù)據(jù)包信息�����,包絡(luò)源IP(sip)����、目的端口 (dport),以及域信息,至少包括FROM域���、TO域�����、CALL-ID域��,根據(jù)所 述數(shù)據(jù)包信息和域信息確定第一驗(yàn)證信息����,所述第一驗(yàn)證信息可以為包括上 述數(shù)據(jù)包信息和域信息構(gòu)建的函數(shù)的值,如func(sip, dport�, from, to, call-id), 將所述第 一驗(yàn)證信息賦值給407響應(yīng)數(shù)據(jù)包的Proxy-Authenticate域的
13nonce字段。防護(hù)單元發(fā)送所述攜帶第 一 信息的407響應(yīng)數(shù)據(jù)包給UAC �。 103、 UAC收到所述響應(yīng)消息后發(fā)送攜帶認(rèn)證信息的第二請求消息��。
UAC收到所述響應(yīng)消息后���,從407響應(yīng)數(shù)據(jù)包應(yīng)答的頭域Proxy-Authenticate 中找到適用 于所述PS的認(rèn)證資源。UAC根據(jù)所述認(rèn)證資源重新 發(fā)起SIP lnvite消息����,所述消息相比于第一請求消息,至少增加攜帶了包括 PS認(rèn)證資源的認(rèn)證信息�����,所述認(rèn)證信息釆用正確的信任書��。
104�、 防護(hù)單元接收所述第二請求消息��,對所述攜帶認(rèn)證信息的第二請 求消息進(jìn)行驗(yàn)證���,根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包信息和域信息確定 第二驗(yàn)證信息,將所述第一驗(yàn)證信息和所述第二驗(yàn)證信息進(jìn)行比較����,驗(yàn)證所 述第二請求消息。
防護(hù)單元采用和第 一驗(yàn)證信息的確定相同的方法確定第二請求信息的數(shù) 據(jù)包信息和域信息生成的第二驗(yàn)證信息����,將第 一驗(yàn)證信息和第二驗(yàn)證信息進(jìn) 行比較,比較所述兩個(gè)驗(yàn)證信息是否一致以驗(yàn)證UAC的請求消息和合法性�����。
105����、 所述第一驗(yàn)證信息和所述第二驗(yàn)證信息相同,防護(hù)單元轉(zhuǎn)發(fā)所述 第二請求消息�����,否則執(zhí)行106�。
進(jìn)一步的���,防護(hù)單元轉(zhuǎn)發(fā)所述第二請求消息的同時(shí)可以將第二請求消息 來源的IP地址記錄下來,采用放入IP列表等形式保留�,以便在后續(xù)的操作中 不再對該地址來源的請求消息進(jìn)行驗(yàn)證。
106��、 終止連接請求�����。
當(dāng)所述第一驗(yàn)證信息和所述第二驗(yàn)證信息不一致����,防護(hù)單元采用丟棄所 述請求消息的數(shù)據(jù)包或者不向代理PS發(fā)送請求消息等方式終止連接請求。上述實(shí)施例通過就發(fā)起方用戶代理的請求消息確定第一驗(yàn)證信息����,將其 與發(fā)起方用戶代理重新發(fā)起的請求信息確定的第二驗(yàn)證信息進(jìn)行比較��,可以 獲知信息以及發(fā)起者的合法性����,以排除非法攻擊,避免誤報(bào)�。
本發(fā)明人實(shí)施例二提供一種防御網(wǎng)絡(luò)攻擊的方法���,如圖4所示,包括����,
201、 同步驟101��,發(fā)起方用戶代理UAC發(fā)送第一請求消息��。
202�����、 防護(hù)單元收到所述第一請求消息后����,驗(yàn)證所述消息來源的IP地 址,對可識別IP地址發(fā)送的請求消息進(jìn)行轉(zhuǎn)發(fā)����,對不可識別IP地址發(fā)送的請 求消息執(zhí)行步驟203。
203�、 同步驟102,防護(hù)單元根據(jù)所述第一請求消息中攜帶的數(shù)據(jù)包信息 和域信息確定第 一驗(yàn)證信息,向UAC發(fā)送攜帶所述第 一驗(yàn)證信息的響應(yīng)消 臺、
204�、 同步驟103, UAC收到所述響應(yīng)消息后發(fā)送攜帶認(rèn)證信息的第二請 求消息。
205���、 同步驟104,防護(hù)單元接收所述第二請求消息�����,對所述攜帶認(rèn)證信 息的第二請求消息進(jìn)行驗(yàn)證��,根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包信息和 域信息確定第二驗(yàn)證信息���,將所述第一驗(yàn)證信息和所述第二驗(yàn)證信息進(jìn)行比 較,驗(yàn)證所述第二請求消息�。
206、 同步驟105�,所述第一驗(yàn)證信息和所述第二驗(yàn)證信息相同,防護(hù)單 元轉(zhuǎn)發(fā)所述第二請求消息�,否則執(zhí)行207。
207�、 同步驟106��,終止連接請求�。上述實(shí)施例通過就發(fā)起方用戶代理的請求消息確定第 一驗(yàn)證信息,將其 與發(fā)起方用戶代理重新發(fā)起的請求信息確定的第二驗(yàn)證信息進(jìn)行比較,可以 獲知信息以及發(fā)起者的合法性�,以排除非法攻擊,避免誤報(bào)��。
本發(fā)明實(shí)施例三提供一種建立網(wǎng)絡(luò)連接的方法��,如圖5所示�����,包括�,
301-304、同實(shí)施例一中步驟101-104��。
301�����、 發(fā)起方用戶代理UAC發(fā)送第一請求消息����。
302、 防護(hù)單元收到所述第一請求消息�。接收到所述第一請求消息后, 防護(hù)單元根據(jù)所述第 一請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第 一驗(yàn)證 信息���,向UAC發(fā)送攜帶所述第 一驗(yàn)證信息的響應(yīng)消息���。
303���、 UAC收到所述響應(yīng)消息后發(fā)送攜帶認(rèn)證信息的第二請求消息。
304����、 防護(hù)單元接收所述第二請求消息,對所述攜帶認(rèn)證信息的第二請 求消息進(jìn)行驗(yàn)證���,根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包信息和域信息確定 第二驗(yàn)證信息����,將所述第一驗(yàn)證信息和所述第二驗(yàn)證信息進(jìn)行比較�����,驗(yàn)證所 述第二請求消息���。
進(jìn)一步的����,302步驟中���,防護(hù)單元收到所述第一請求消息后����,還可以驗(yàn) 證所述請求消息來源的IP地址���,對可識別IP地址發(fā)送的請求消息實(shí)施步驟 306,對不可識別IP地址發(fā)送的請求消息��,根據(jù)所述第一請求消息中攜帶的 數(shù)據(jù)包信息和域信息確定第一驗(yàn)證信息����,向UAC發(fā)送攜帶所述第一驗(yàn)證信息 的響應(yīng)消息�。
305、 所述第一驗(yàn)證信息和所述第二驗(yàn)證信息相同��,防護(hù)單元轉(zhuǎn)發(fā)所述 第二請求消息��,否則執(zhí)行307��。306�����、 防護(hù)單元向UAS發(fā)送所述第二請求消息,UAS向UAC發(fā)送響應(yīng)消 息�,UAC對所述響應(yīng)消息進(jìn)行確認(rèn),UAS收到所述確認(rèn)消息連接建立����,所述 第二請求、響應(yīng)和確認(rèn)消息均由代理PS轉(zhuǎn)發(fā)����。
見圖6所示,上述第二請求�����,響應(yīng)以及確認(rèn)消息基于SIP協(xié)議的三次握手 實(shí)施����,首先通過防護(hù)單元發(fā)送的第二請求消息經(jīng)過PS發(fā)送至UAS, UAS回復(fù) 響應(yīng)消息經(jīng)過PS發(fā)送到UAC, UAC收到所述響應(yīng)后對所述響應(yīng)確定��,發(fā)送確 認(rèn)消息通過PS到UAS���,經(jīng)過上述三次握手���,發(fā)起方UAC和接收方UAS的連接建立���。
307、 終止連接請求�。
當(dāng)所述第一驗(yàn)證信息和所述第二驗(yàn)證信息不一致����,防護(hù)單元采用丟棄所 述請求消息的數(shù)據(jù)包或者不向代理PS發(fā)送請求消息等方式終止連接請求。
上述實(shí)施例通過就發(fā)起方用戶代理的請求消息確定第一驗(yàn)證信息�,將其 與發(fā)起方用戶代理重新發(fā)起的請求信息確定的第二驗(yàn)證信息進(jìn)行比較,可以 獲知信息以及發(fā)起者的合法性�����,以排除非法攻擊���,避免誤報(bào)�����,使得合法連接 有效的建立��。
本發(fā)明實(shí)施例四提供一種防御網(wǎng)絡(luò)攻擊的設(shè)備�����,如圖6所示�����,包括
消息接收單元�,所述消息接收單元用于接收發(fā)起方用戶代理發(fā)送的第一 請求消息;信息驗(yàn)證單元��,所述信息驗(yàn)證單元用于根據(jù)所述第一請求消息中 攜帶的數(shù)據(jù)包信息和域信息確定第一驗(yàn)證信息����,消息發(fā)送單元,所述消息發(fā) 送單元用于向發(fā)起方用戶代理發(fā)送攜帶所述第 一驗(yàn)證信息的響應(yīng)消息�����。所述 消息接收單元接收所述發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜帶認(rèn)證信息 的第二請求消息����,所述信息驗(yàn)證單元根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包
17信息和域信息確定第二驗(yàn)證信息,將所述第 一驗(yàn)證信息和所述第二驗(yàn)證信息 進(jìn)行比較����,驗(yàn)證所述第二請求消息。
所述消息接收單元用于接收發(fā)起方用戶代理發(fā)送的第一請求消息,UAC 請求和接收方用戶代理UAS建立連接��,該連接基于SIP協(xié)議�����。所述第一請求 消息屬于SIP消息類型�����,SIP lnvite消息�����。
所述消息驗(yàn)證單元從所述消息接收單元獲取所述第一請求消息��,用于根 據(jù)所述第 一請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第 一驗(yàn)證信息�����,具體 的����,所述消息驗(yàn)證單元用于根據(jù)SIP lnvite消息的數(shù)據(jù)包信息���,包絡(luò)源IP (sip)�����、目的端口 (dport)�,以及頭域信息,至少包括FROM域�����、TO域�、 CALL-ID域,所述信息驗(yàn)證單元采用所述第一請求消息攜帶的數(shù)據(jù)包信息和 域信息構(gòu)建函數(shù)的方式獲得所述第一驗(yàn)證消息�,具體的,所述信息驗(yàn)證單元 根據(jù)所述數(shù)據(jù)包信息和域信息確定第 一驗(yàn)證信息���,所述第 一驗(yàn)證信息可以為 包括上述數(shù)據(jù)包信息和域信息構(gòu)建的函數(shù)的值����,如func(sip���, dport, from, to, call-id)�。所述信息驗(yàn)證單元通過消息發(fā)送單元向UAC發(fā)送攜帶所述第一驗(yàn)證 信息的響應(yīng)消息��,所述響應(yīng)消息可以為SIP消息中的407 Proxy Authentication響應(yīng)數(shù)據(jù)包,所述第 一驗(yàn)證信息賦值給407響應(yīng)數(shù)據(jù)包的 Proxy-Authenticatei或的nonce字,更����。
所述消息接收單元接收UAC應(yīng)所述響應(yīng)消息發(fā)送的攜帶認(rèn)證信息的第二 請求消息,所述第二請求消息相比于第一請求消息�,至少增加攜帶了包括PS 認(rèn)證資源的認(rèn)證信息,所述認(rèn)證信息采用正確的信任書����。所述信息驗(yàn)證單元 對所述攜帶認(rèn)證信息的第二請求消息進(jìn)行驗(yàn)證,根據(jù)所述第二請求消息中攜 帶的數(shù)據(jù)包信息和域信息確定第二驗(yàn)證信息�,將所述第 一驗(yàn)證信息和所述第 二驗(yàn)證信息進(jìn)行比較,比較所述兩個(gè)驗(yàn)證信息是否一致以驗(yàn)證所述請求消息 的合法性����。當(dāng)驗(yàn)證所述第一驗(yàn)證信息和所述第二驗(yàn)證信息相同���,將所述第二請求信息發(fā)送給所述消息發(fā)送單元進(jìn)行轉(zhuǎn)發(fā)�����,否則終止請求���。具體可以為丟 棄所述請求消息的數(shù)據(jù)包或者不向代理PS發(fā)送請求消息等方式終止連接請 求。所述信息驗(yàn)證單元還用于采用所述第二請求消息攜帶的數(shù)據(jù)包信息和域 信息構(gòu)建函數(shù)的方式獲得所述第二驗(yàn)證消息。所述信息驗(yàn)證單元采用和第一 驗(yàn)證信息的確定相同的方法確定第二請求信息的數(shù)據(jù)包信息和域信息生成的 第二驗(yàn)證信息����。
進(jìn)一步的,所述設(shè)備還包括判決單元���,所述判決單元用于驗(yàn)證所述第一 請求消息來源�,將不可識別的來源發(fā)送的所述第 一請求消息發(fā)送給所述消息 驗(yàn)證單元�����,對可識別來源發(fā)送的所述第一請求消息發(fā)送給所述消息發(fā)送單元 進(jìn)行轉(zhuǎn)發(fā)����。所述判決單元可以驗(yàn)證所述請求消息來源的IP地址,對可識別IP 地址發(fā)送的請求消息發(fā)送給所述消息發(fā)送單元�����,對不可識別IP地址發(fā)送的請 求消息���,通知信息驗(yàn)證單元根據(jù)所述第 一請求消息中攜帶的數(shù)據(jù)包信息和域
信息確定第一驗(yàn)證信息�����,通過消息發(fā)送單元向UAC發(fā)送攜帶所述第一驗(yàn)證信 息的響應(yīng)消息����。
所述消息驗(yàn)證單元通過消息發(fā)送單元向UAS發(fā)送所述第二請求消息, UAS向UAC發(fā)送響應(yīng)消息�����,UAC對所述響應(yīng)消息進(jìn)行確認(rèn)�����,UAS收到所述確 認(rèn)消息連接建立�����,所述第二請求��、響應(yīng)和確認(rèn)消息均由代理PS轉(zhuǎn)發(fā)����。
上述第二請求���,響應(yīng)以及確認(rèn)消息基于SIP協(xié)議的三次握手實(shí)施��,首先 通過消息發(fā)送單元發(fā)送的第二請求消息經(jīng)過PS發(fā)送至UAS�, UAS回復(fù)響應(yīng)消 息經(jīng)過PS發(fā)送到UAC, UAC收到所述響應(yīng)后對所述響應(yīng)確定�,發(fā)送確認(rèn)消息 通過PS到UAS,經(jīng)過上述三次握手,發(fā)起方UAC和接收方UAS的連接建立���。
所述第 一請求消息基于SIP協(xié)議連接請求�����,所述第 一請求消息中攜帶的 域信息包括SIP消息頭域信息�����,�,數(shù)據(jù)包信息包括源IP地址和目的端口����。
19上述實(shí)施例通過就發(fā)起方用戶代理的請求消息確定第一驗(yàn)證信息,將其 與發(fā)起方用戶代理重新發(fā)起的請求信息確定的第二驗(yàn)證信息進(jìn)行比較����,可以 獲知信息以及發(fā)起者的合法性,以排除非法攻擊�,避免誤報(bào)����,使得合法連接 有效的建立�。
以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
�����,但本發(fā)明的保護(hù)范圍并不 局限于此����,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可 輕易想到的變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。因此��,本發(fā)明 的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)�。
權(quán)利要求
1�、一種防御網(wǎng)絡(luò)攻擊的方法�����,其特征在于,該方法包括接收發(fā)起方用戶代理發(fā)送的第一請求消息�����;根據(jù)所述第一請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第一驗(yàn)證信息�,向發(fā)起方用戶代理發(fā)送攜帶所述第一驗(yàn)證信息的響應(yīng)消息;接收發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜帶認(rèn)證信息的第二請求消息�;根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第二驗(yàn)證信息,將所述第一驗(yàn)證信息和所述第二驗(yàn)證信息進(jìn)行比較�,驗(yàn)證所述第二請求消息。
2��、 根據(jù)權(quán)利要求1所述的方法����,其特征在于,該方法還包括驗(yàn)證所述第一驗(yàn)證信息和所述第二驗(yàn)證信息相同�����,轉(zhuǎn)發(fā)所述第二請求消 息����,否則終止請求��。
3���、 根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述第一請求消息基于SIP協(xié)議連接請求����,所述第一請求消息中攜帶的 域信息包括SIP消息域信息��,數(shù)據(jù)包信息包括源IP地址和目的端口 ����。
4、 根據(jù)權(quán)利要求3所述的方法���,其特征在于���,所述根據(jù)數(shù)據(jù)包信息和所 述域信息確定第 一驗(yàn)證消息以及第二驗(yàn)證信息包括采用所述第一請求消息攜帶的數(shù)據(jù)包信息和域信息構(gòu)建函數(shù)的方式獲得 所述第一驗(yàn)證消息;釆用所述第二請求消息攜帶的數(shù)據(jù)包信息和域信息構(gòu)建 函數(shù)的方式獲得所述第二驗(yàn)證消息�����。所述確定第二驗(yàn)證信息的方式和確定所述第 一驗(yàn)證信息的方式一致。
5�����、 根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜帶認(rèn)證信息的第二請求消息相比第一請求消息���,至少增加攜帶了包括PS認(rèn)證資源的認(rèn)證信息�����,所述認(rèn)證信息采用正確的信任書��。
6��、 一種防御網(wǎng)絡(luò)攻擊的方法���,其特征在于,該方法包括接收發(fā)起方用戶代理發(fā)送的第 一請求消息�;驗(yàn)證所述第一請求消息的來源,對不可識別的來源發(fā)送的請求消息,根 據(jù)所述第 一請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第 一驗(yàn)證信息����,向發(fā) 起方用戶代理發(fā)送攜帶所述第 一驗(yàn)證信息的響應(yīng)消息;接收發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜帶認(rèn)證信息的第二請求消自 根據(jù)所述第二請求消息t攜帶的數(shù)據(jù)包信息和域信息確定第二驗(yàn)證信 息����,將所述第一驗(yàn)證信息和所述第二驗(yàn)證信息進(jìn)行比較,驗(yàn)證所述第二請求 消息��。
7����、 根據(jù)權(quán)利要求6所述的方法,其特征在于���,還包括對可識別來源發(fā)送 的所述第 一請求消息進(jìn)行轉(zhuǎn)發(fā)�����。
8��、 根據(jù)權(quán)利要求6所述的方法����,其特征在于,所述驗(yàn)證第一請求消息的 來源包括對發(fā)送所述第 一請求消息的源IP地址進(jìn)行驗(yàn)證����。
9、 根據(jù)權(quán)利要求6所述的方法�����,其特征在于��,該方法還包括驗(yàn)證所述第一驗(yàn)證信息和所述第二驗(yàn)證信息相同�,轉(zhuǎn)發(fā)所述第二請求消 息���,否則終止請求�����。
10���、 根據(jù)權(quán)利要求6所述的方法,其特征在于���,所述第 一請求消息基于SIP協(xié)議連接請求��,所述第 一請求消息中攜帶的 域信息包括SIP消息域信息��,數(shù)據(jù)包信息包括源IP地址和目的端口�����。
11�����、 根據(jù)權(quán)利要求10所述的方法�,其特征在于,所述根據(jù)數(shù)據(jù)包信息和域信息確定第 一驗(yàn)證消息以及第二驗(yàn)證信息包括采用所述第 一請求消息攜帶的數(shù)據(jù)包信息和域信息構(gòu)建函數(shù)的方式獲得所述第 一驗(yàn)證消息�����;采用所述第二請求消息攜帶的數(shù)據(jù)包信息和域信息構(gòu)建 函數(shù)的方式獲得所述第二驗(yàn)證消息�。所述確定第二驗(yàn)證信息的方式和確定所述第 一驗(yàn)證信息的方式一致。
12�����、 根據(jù)權(quán)利要求6所述的方法�����,其特征在于,所述發(fā)起方用戶代理應(yīng) 所述響應(yīng)消息發(fā)送的攜帶認(rèn)證信息的第二請求消息相比第一請求消息�����,至少 增加攜帶了包括PS認(rèn)證資源的認(rèn)證信息�����,所述認(rèn)證信息采用正確的信任書���。
13、 一種建立網(wǎng)絡(luò)連接的方法�����,其特征在于�����,該方法包括 接收發(fā)起方用戶代理發(fā)送的第 一請求消息���;根據(jù)所述第 一請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第 一驗(yàn)證信 息�,向發(fā)起方用戶代理發(fā)送攜帶所述第 一驗(yàn)證信息的響應(yīng)消息�;接收發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜帶認(rèn)證信息的第二請求消自 根據(jù)所述第二請求消息t攜帶的數(shù)據(jù)包信息和域信息確定第二驗(yàn)證信 息�����,將所述第一驗(yàn)證信息和所述第二驗(yàn)證信息進(jìn)行比較�,驗(yàn)證所述第二請求消息���;向接收方用戶代理發(fā)送攜帶和所述第 一驗(yàn)證信息相同的第二驗(yàn)證信息的 第二請求消息��,以建立所述發(fā)起方用戶代理和所述接收方用戶代理之間的連 接���。
14、 根據(jù)權(quán)利要求13所述的方法�����,其特征在于�����,所述向接收方用戶代理 發(fā)送攜帶和所述第 一驗(yàn)證信息相同的第二驗(yàn)證信息的第二請求消息�����,以建立 所述發(fā)起方用戶代理和所述接收方用戶代理之間的連接��,包括如下步驟向接收方用戶代理發(fā)送第二請求消息,所述第二請求消息中攜帶的第二驗(yàn)證信息為-瞼證和所述第 一驗(yàn)證信息相同的信息�����;接收方用戶代理接收所述第二請求消息�,向發(fā)起方用戶代理發(fā)送響應(yīng)消自 ,發(fā)起方用戶代理對所述響應(yīng)消息進(jìn)行確認(rèn)�����,發(fā)送確認(rèn)消息����;接收方用戶代理接收所述確認(rèn)消息。所述第二請求消息��、響應(yīng)和確認(rèn)消息均由代理PS轉(zhuǎn)發(fā)�。
15�����、 根據(jù)權(quán)利要求13所述的方法���,其特征在于����,所述根據(jù)所述第一請求 消息中攜帶的數(shù)據(jù)包信息和域信息確定第一驗(yàn)證信息,向發(fā)起方用戶代理發(fā) 送攜帶所述第 一驗(yàn)證信息的響應(yīng)消息前還包括驗(yàn)證所述第 一請求消息來 源���,對不可識別的來源發(fā)送的所述第一請求消息進(jìn)行上述步驟�,對可識別來 源發(fā)送的所述第一請求消息進(jìn)行轉(zhuǎn)發(fā)�����。
16�、 根據(jù)權(quán)利要求13所述的方法,其特征在于�����,所述驗(yàn)證第一請求消息 的來源包括對發(fā)送所述第一請求消息的源IP地址進(jìn)行驗(yàn)證���。
17�����、 根據(jù)權(quán)利要求13所述的方法��,其特征在于����,所述根據(jù)數(shù)據(jù)包信息和 域信息確定第 一驗(yàn)證消息以及第二驗(yàn)證信息包括釆用所述第 一請求消息攜帶的數(shù)據(jù)包信息和域信息構(gòu)建函數(shù)的方式獲得 所述第 一驗(yàn)證消息;采用所述第二請求消息攜帶的數(shù)據(jù)包信息和域信息構(gòu)建 函數(shù)的方式獲得所述第二驗(yàn)證消息���。所述確定第二驗(yàn)證信息的方式和確定所述第 一驗(yàn)證信息的方式一致�。
18����、 根據(jù)權(quán)利要求13所述的方法,其特征在于���,所述發(fā)起方用戶代理應(yīng) 所述響應(yīng)消息發(fā)送的攜帶認(rèn)證信息的第二請求消息相比第 一請求消息���,至少 增加攜帶了包括PS認(rèn)證資源的認(rèn)證信息,所述認(rèn)證信息采用正確的信任書�����。
19����、 一種防御網(wǎng)絡(luò)攻擊的設(shè)備�,其特征在于���,該設(shè)備包括消息接收單元,所述消息接收單元用于接收發(fā)起方用戶代理發(fā)送的第一請求消息�;信息驗(yàn)證單元,所述信息驗(yàn)證單元用于根據(jù)所述第一請求消息中攜帶的 數(shù)據(jù)包信息和域信息確定第 一驗(yàn)證信息���,消息發(fā)送單元�����,所述消息發(fā)送單元用于向發(fā)起方用戶代理發(fā)送攜帶所述 第 一驗(yàn)證信息的響應(yīng)消息��,所述消息接收單元接收所述發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜帶 認(rèn)證信息的第二請求消息�����,所述信息驗(yàn)證單元根據(jù)所述第二請求消息中攜帶 的數(shù)據(jù)包信息和域信息確定第二驗(yàn)證信息�����,將所述第一驗(yàn)證信息和所述第二 驗(yàn)證信息進(jìn)行比較����,驗(yàn)證所述第二請求消息。
20����、 根據(jù)權(quán)利要求19所述的設(shè)備,其特征在于���,所述設(shè)備還包括判決單 元����,所述判決單元用于驗(yàn)證所述第一請求消息來源�,將不可識別的來源發(fā)送 的所述第一請求消息發(fā)送給所述消息驗(yàn)證單元,對可識別來源發(fā)送的所述第 一請求消息發(fā)送給所述消息發(fā)送單元進(jìn)行轉(zhuǎn)發(fā)�。
21、 根據(jù)權(quán)利要求19所述的設(shè)備����,其特征在于,所述信息單元還用于當(dāng) 驗(yàn)證所述第一驗(yàn)證信息和所述第二驗(yàn)證信息相同��,將所述第二請求信息發(fā)送 給所述消息發(fā)送單元進(jìn)行轉(zhuǎn)發(fā)����,否則終止請求。
22�����、 根據(jù)權(quán)利要求19所述的設(shè)備�,其特征在于,所述第一請求消息基于SIP協(xié)議連接請求�����,所述第一請求消息中攜帶的 域信息包括SIP消息域信息����,數(shù)據(jù)包信息包括源IP地址和目的端口。
23���、 根據(jù)權(quán)利要求19所述的設(shè)備��,其特征在于�����,所述信息驗(yàn)證單元還包括采用所述第一請求消息攜帶的數(shù)據(jù)包信息和域信息構(gòu)建函數(shù)的方式獲得 所述第一驗(yàn)證消息��,以及采用所述第二請求消息攜帶的數(shù)據(jù)包信息和域信息構(gòu)建函數(shù)的方式獲得 所述第二驗(yàn)證消息�。所述確定第二驗(yàn)證信息的方式和確定所述第 一驗(yàn)證信息的方式一致�。
全文摘要
本發(fā)明實(shí)施例公開了一種防御攻擊的方法�����,包括接收發(fā)起方用戶代理發(fā)送的第一請求消息����;根據(jù)所述第一請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第一驗(yàn)證信息��,向發(fā)起方用戶代理發(fā)送攜帶所述第一驗(yàn)證信息的響應(yīng)消息�;接收發(fā)起方用戶代理應(yīng)所述響應(yīng)消息發(fā)送的攜帶認(rèn)證信息的第二請求消息;根據(jù)所述第二請求消息中攜帶的數(shù)據(jù)包信息和域信息確定第二驗(yàn)證信息�,將所述第一驗(yàn)證信息和所述第二驗(yàn)證信息進(jìn)行比較,驗(yàn)證所述第二請求消息���?�?梢垣@知信息以及發(fā)起者的合法性���,以排除非法攻擊,避免誤報(bào)��。
文檔編號H04L29/06GK101465865SQ20091010496
公開日2009年6月24日 申請日期2009年1月13日 優(yōu)先權(quán)日2009年1月13日
發(fā)明者吳新濤 申請人:成都市華為賽門鐵克科技有限公司