CN102124674B - 控制通信网络上的流量的方法和系统 - Google Patents
控制通信网络上的流量的方法和系统 Download PDFInfo
- Publication number
- CN102124674B CN102124674B CN200980131655.XA CN200980131655A CN102124674B CN 102124674 B CN102124674 B CN 102124674B CN 200980131655 A CN200980131655 A CN 200980131655A CN 102124674 B CN102124674 B CN 102124674B
- Authority
- CN
- China
- Prior art keywords
- receiver
- hardware processor
- packet
- message
- described receiver
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/304—Route determination for signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/143—Denial of service attacks involving systematic or selective dropping of packets
Abstract
提供了用于控制通信网络上的流量的方法和系统。根据一些实施例,提供了用于控制通信网络上的流量的方法,方法包括:在接收机内的处理器处接收对于许可将数据流发送给接收机的查询报文;发送来自接收机的许可报文;检测到发送给接收机的报文和数据包中的至少一个已经被丢弃;以及促使发送数据流的通路改变。
Description
相关申请的交叉引用
本申请要求2008年7月3月提交的美国临时专利申请61/078,291、2008年7月9日提交的61/079,411、2008年10月31日提交的61/110,344以及2009年2月27日提交的61/156,371的权益,以上每个专利申请在此通过引用的方式全文并入本申请中。
技术领域
本公开主题涉及用于控制通信网络上的流量的方法和系统。
背景技术
对通信网络上的合法数据流的攻击是正在发生的和逐渐发展的问题。拒绝服务(denial-of-service)、欺骗和丢弃攻击(drop attack)是常见的问题。在拒绝服务攻击中,压倒性数量的伪流量包和压倒性数量的服务请求可以被发送给服务器以导致网络资源过载。在欺骗攻击中,攻击者假装是合法的发送机并且发送补充或代替合法数据流的数据,从而危害接收机。在丢弃攻击中,在合法发送机和合法接收机之间的通信通路上的设备故意丢弃发送机与接收机之间的报文和数据,导致通信损失。
发明内容
本发明提供了用于控制通信网络上的流量的方法和系统。根据一些实施例,本发明提供了用于控制通信网络上的流量的方法,该方法包括:在接收机内的处理器处接收对于许可将数据流发送给接收机的查询报文;发送来自接收机的许可报文;检测到发送给接收机的报文和数据包中的至少一个已经被丢弃;以及促使发送数据流的通路改变。
根据一些实施例,本发明提供了用于控制通信网络上的流量的方法,该方法包括:传送对于许可将数据流发送给接收机的查询报文;传送授权发送机发送给定量的流量流的许可报文;以及使用处理器根据给定量的流量流来确定数据包是否被授权。
根据一些实施例,本发明提供了用于控制通信网络上的流量的方法,该方法包括:传送对于许可将数据流发送给接收机的查询报文;传送指示在将数据包传输给接收机时使用安全协议的许可报文;以及使用处理器检测到发送给接收机的数据包违反安全协议。
根据一些实施例,本发明提供了用于控制通信网络上的流量的方法,该方法包括:在接收机内的处理器处接收对于许可将数据流发送给接收机的查询报文;发送指示在将数据包传输给接收机时使用安全协议的许可报文;以及检测到发送给接收机的数据包违反安全协议。
根据一些实施例,本发明提供了用于控制通信网络上的流量的系统,该系统包括具有处理器的接收机,其中该处理器接收请求允许将数据流发送给接收机的查询报文;发送来自接收机的许可报文;检测到发送给接收机的报文和数据包中的至少一个已经被丢弃;以及促使用于发送数据流的通路改变。
根据一些实施例,本发明提供了用于控制通信网络上的流量的系统,该系统包括具有处理器的接收机,其中该处理器传送对于许可将数据流发送给接收机的查询报文;传送授权发送机发送给定量的流量流的许可报文;以及根据给定量的流量流来确定数据包是否被授权。
根据一些实施例,本发明提供了用于控制通信网络上的流量的系统,该系统包括处理器,其中该处理器传送对于许可将数据流发送给接收机的查询报文;传送指示在将数据包发送给接收机时使用安全协议的许可报文;以及检测到发送给接收机的数据包违反安全协议。
根据一些实施例,本发明提供了用于控制通信网络上的流量的系统,系统包括:具有处理器的接收机,其中该处理器:接收对于许可将数据流发送给接收机的查询报文;传送指示在将数据包发送给接收机时使用安全协议的许可报文;以及检测到发送给接收机的数据包违反安全协议。
附图说明
图1是示出根据一些实施例的与发送机和接收机之间的数据流有关的所发送的查询报文及许可报文的示意图。
图2是示出根据一些实施例的欺骗攻击检测的示意图。
图3是示出根据一些实施例可以检测到的丢弃攻击的示意图。
图4是示出根据一些实施例的丢弃攻击检测的示意图。
图5是示出根据一些实施例可以使用的硬件的示意图。
具体实施方式
根据各种实施例,本发明提供了用于控制通信网络上的流量的机制。这些机制可以使用于多种应用中,例如防止拒绝服务(DoS)攻击及其他形式的未授权流量。
在一些实施例中,对通信网络上的流量的控制可以通过要求在发送机可以发送数据包之前许可得由接收机授权许可来实现。另外,可以执行对数据包和信令报文的监控来核实只是授权的数据包正在通信并且没有被授权的数据包正在被丢弃。在一些实施例中超过它们的许可水平的数据包(如果存在)可以被丢弃或被限速(例如,到很小的量)。
为了控制和监控授权数据包的传输,信令报文可以在通信网络上的各种设备之间发送。例如,接收机可以通知在发送机和接收机之间的路由器(和/或任意其他适合的设备):来自发送机的数据包被授权从发送机发送给接收机。发送数据包的许可可以被配置为在给定的时长之后自动过期。但是,在一些实施例中,许可可以周期性刷新以在变化的网络条件(例如路由改变)下保持稳健性,以及确保许可维持比过期期限更长的时长。
要确定数据包流是否违反对该数据流的给定许可,可以确定自设置了许可状态之后已经接收或发送的数据流的量。该确定可以在发送机和接收机之间的通路上的任意适合的一个或更多个点进行。在通路上的路由器或其他适合的设备可以监控从发送机发送给接收机的数据流的量。这种数据流监控可以检测伪造包的注入或者合法包的丢弃。如果检测到授权包正由妥协的路由器(或其他设备)所丢弃,则可以触发发送机改变数据流通路。在一些实施例中,要改变数据流通路,可以使用远离当前通路的中继节点或者可以使用通过多宿主(multi-homing)的通路分集。
有至少两种可以用来设置通路上的数据包流的许可的报文类型:查询报文和许可报文。查询报文由发送机发送以请求接收机的许可。许可报文由接收机在授权许可后发送给发送机。另外,许可报文可以被用来去除(或撤消)和/或修改对数据流的许可状态。
在一些实施例中,在Schulzrinne和Hancock的“GIST:GeneralInternet Signaling Transport”(Internet Draft“draft-ietf-nsis-ntlp-17”,Internet Engineering Task Force,www.ietf.org,2008年10月,该文在此通过引用的方式全文并入本申请中)中所描述的通用互联网信令传输(GIST)可以被用来沿着数据通路传输信令报文以配置路由器(或其他设备)对数据流的许可状态。GIST可以被用来处理所有进来的信令报文并且促使它们被传送给如同在此所描述的适当的机制来处理。信令报文的传输可以使用点到点的方法来处理。因而,知道在此所描述的用于控制流量的机制的每个节点(或设备)当它接收到信令报文时可以将信令报文转发到下一节点。
在一些实施例中,要保护信令报文的认证和完整性,可以使用两种安全机制:在端到端方式中的报文安全和在逐跳(hop-by-hop)方式中的信道安全。报文安全可以被用来保护点到点流量上的报文完整性和信道安全可以被用来保护相邻节点之间的报文的完整性和机密性。报文安全(这在一些实施例中可以使用公钥密码来实现)被用来保护报文不被攻击者修改。信道安全(这在一些实施例中可以使用传输层安全(TLS)和/或数据报传输层安全(DTLS)来实现)可以被用来将数据包的互联网协议安全(IPsec)的共享密钥以逐跳方式分发给数据通路上的路由器。
要认证数据包,发送机可以使用任意适合的安全协议,例如IPsec认证报头(AH)(该认证报头在Internet Engineering Task Force的RFC4302(该文在此通过引用的方式全文并入本申请中)中进行了描述)。又如,在一些实施例中,可以使用IPsec封装安全载荷(ESP)(这在Internet Engineering Task Force的RFC4303(该文在此通过引用的方式全文并入本申请中)中进行了描述)进行认证。当使用该安全协议时,路由器可以被配置使之使用IP包过滤器来丢弃伪造包,其中所述伪造包可能已经由未授权的源插入。当使用IPsec AH时,任意适合的安全机制可以被使用来保护认证数据段的完整性。例如,在Byzantine网络(例如,其中发送机和/或路由器不可信的那种)中,公钥密码算法(例如RSA和Elliptic曲线密码(ECC))可以被用于IPsecAH中的认证数据段。又如,在值得信任的网络(例如,其中路由器是可信的并且没有妥协的那种)中,对称密钥密码算法,例如用于报文授权(HMAC)的加密散列(Keyed-Hashing)(这在RFC2104(该文在此通过引用的方式全文并入本申请中)中进行了描述),可以被使用于IPsec AH中的认证数据段,因为在可信任的网络中没有通路上的攻击者。接收机在一些实施例中可以根据所使用的策略、网络及应用来选择数据报文的密码算法。IPsec中的序列号同样可以被用来检测注入到网络之内的伪造包。
转到图1,图中示出了根据一些实施例可以如何在发送机102和接收机108之间设置许可的实例100。如图所示,发送机102给接收机108发送查询报文110以请求许可发送数据流122。在查询报文的流标识中描述了所请求的应用。查询报文在GIST中给许可报文116的通路设置相反的路由状态。接收机108然后给发送机102发送许可报文116以允许数据流122的数据包沿着查询报文110的通路进入。在设置了发送机和接收机之间的许可状态之后,发送机然后可以在所指定的时间间隔内给接收机发送所允许的数据量(许可)。
在一些实施例中,发送机102每个刷新周期(T)136可以发送查询报文110和124。接收机108然后可以在接收到查询报文110或124之后给发送机102发送许可报文116或118。
在一些实施例中,查询和许可报文的不对称传输可以得以支持。在设置了许可状态之后,如果接收机想要改变许可状态或安全算法,则它可以在没有接收到另一查询报文的情况下发送另一许可报文。
在一些实施例中可以使用公钥加密算法来保护在信令报文中的字段(在下面描述)。这种加密可以被用来支持报文的认证和完整性。在一些实施例中,要捆绑公钥和发送机,可以使用X.509证书(这在RFC5280(该文在此通过引用的方式全文并入本申请中)中进行了描述),并且证书可以被携带于信令报文中。或者,在一些实施例中,密码生成地址(CGA)(这在RFC3972(该文在此通过引用的方式全文并入本申请中)中进行了描述)可以与互联网协议版本6(IPv6)一起使用以捆绑IPv6地址和公钥,而不是公钥证书。
在一些实施例中,工作证明机制可以被用来对可能被恶意使用以发动拒绝服务攻击的查询报文限速。例如,工作证明机制可以要求发送机执行一些时间的或者处理功率密集的任务(例如散列函数的重复执行),所述任务然后在接收查询报文之前由接收机核实。
图2示出了根据一些实施例的检测攻击的实例。如所示,两种信令报文(查询报文210和许可报文212)设置在发送机202和接收机208之间的数据流214的许可状态。在该实例中,假定接收机208给发送机202授权10MB大小的许可,并且要求发送机使用对称密钥密码来加密IPsec的认证字段。在设置了许可状态之后,发送机202发送总量为1MB的数据包。接着,欺骗发送机202的地址并且具有共享密钥的攻击者216发送总量为2MB的另加的攻击包218。在刷新周期(T)220之后,发送机202发送包含它已经发送的数据量(在该实例中为1MB)的指示的查询报文222。因为查询报文222由公钥密码来保护,所以他方不能生成和/或修改查询报文。接收机208然后可以通过将查询报文的数量指示(在该实例中为1MB)与接收机已经接收的数据的总量(在该实例中为3MB)比较来检测攻击。在接收机208检测到攻击之后,它发送具有指示的许可报文226以将IPsec AH的加密算法改变成公钥加密法(例如RSA和ECC)以使攻击者无法获知对称密钥。在发送机202接收到许可报文226之后,发送机改变用于数据包的IPsec AH的密码算法。由于新的IPsec AH检验过程,使用过期的对称密钥的随后攻击包然后将在设备204或206之一处被丢弃。
在一些实施例中,可以检测到丢弃攻击(或黑洞攻击)。在这种攻击的实例中,在发送机和接收机之间妥协的路由器丢弃全部数据包和/或报文或者丢弃所选择的数据包。图3示出了检测丢弃攻击的实例300。如所示,攻击者306丢弃从发送机302发送给接收机308的所有数据包和信令报文。因为发送机302在发送了两个查询报文310和312以及等待超时设定314和316过期之后都没有接收到许可报文,所以它怀疑数据包可能已经被丢弃。因此,它在点318改变报文和数据流的通路。
在图4中示出了检测丢弃攻击的另一实例400。如所示,攻击者406丢弃数据包410而转发信令报文412、414、416和418。查询报文416指示发送机402已经发送给接收机408的数据量(在该实例中为1MB)。由于接收机408还没有接收到数据流410,因而接收机可以检测到数据包丢弃攻击。接收机408然后发送指示请求改变数据流和信令报文的通路的许可报文418以避免攻击者406。在接收到该许可报文之后,发送机402改变通路。
在一些实施例中,信令报文(例如查询报文和许可报文)可以包括通用报头和一个或更多个类型长度值(TVA)对象。通用报头可以指示报文的报文类型。例如,报头可以指示报文究竟是查询报文还是许可报文。如上所述,查询报文可以被用来请求许可和监控流量流。查询报文可以包括通用报头、流标识、报文序列号、请求量,发送量、公钥检验及认证数据。同样如上所述,许可报文可以被用来设置,去除及修改对数据流的许可状态。许可报文可以包括通用报头、流标识、报文序列号、允许量、生存时间(TTL)、刷新时间、公钥证书、防御及认证数据。
在一些实施例中,对象由通用对象报头开始。该报头可以指示对象的类型和对象的长度。对象类型的一些实例是流标识、报文序列号和允许量。报头还可以指示当对象为未知时该如何处理对象。例如,指示可以是“强制(Mandatory)”(例如,如果对象不被理解,则包含它的整个报文必须被拒绝,并发回错误报文),“忽略(Ignore)”(例如,如果对象未知,则它必须被删除并且报文的其余部分照常处理),“转发(Forward)”(例如,如果对象不被理解,则它必须在作为报文处理的结果转发的任意报文中保持不变,而不保存于本地)等。
流标识可以指示IP地址版本(例如,版本4、6等)、协议标识、发送机的端口号、预期接收机的端口号、发送机的IP地址以及预期接收机的IP地址。
报文序列号可以包括渐增的序列号。这可以被用来防止重放攻击。
请求量可以指示发送机请求数据流的字节数量。
发送量可以指示自发送机收到许可之后发送机已经发送的字节数量。
允许量可以指示接收机允许数据流的字节数量。
生存时间(TTL)可以指示对数据流的许可状态的时间限制。该TTL在一些实施例中可以以时间单位(例如,毫秒等)来表示。
刷新时间可以指示许可保持有效的时长。
公钥证书可以包括节点公钥的X.509证书(或者任意其他适合的证书)。
防御指示器可以指示对攻击的解决方案。例如,防御指示器可以指示:不要采取动作;对称密钥密码将要用来加密IPsec的认证字段;公钥算法将要用来加密IPsec的认证字段;通路将要改变以避免妥协的路由器等。防御指示器还可以指示IPsec的认证算法——例如,IPsec认证字段的密码算法。例如,这可以是HMAC-SHA1、HMAC-SHA-256、HMAC-MD5、RSA-1024、RSA-2048、ECC-160、ECC-224、数字签名算法(DSA)-1024、DSA-2048或者来自X.509证书的算法。防御指示器还可以包括IPsec认证字段的密钥。
认证数据可以指示报文字段的加密数据的认证和完整性。公钥加密技术可以被用来加密报文字段数据。
转到图5,在图中示出用于实现控制通信网络上的流量的方法和系统的硬件的实例500。如所示,该硬件可以包括发送机502、接收机508、通信网络503、路由器504、505、506、510、511、512和516,以及连接520和522。发送机502可以是给接收机508发送数据的任意适合的设备。例如,发送机502可以是通用设备(例如计算机)或专用设备(例如客户机、服务器、互联网协议语音(VoIP)电话、多媒体设备等。接收机508可以是接收来自发送机502的数据的任意适合的设备。例如,接收机508可以是通用设备(例如计算机)或专用设备(例如客户机、服务器、互联网协议语音(VoIP)网关或多会议单元、多媒体服务器等)。这些通用的或专用的设备中的任一个可以包括任意适当的元件,例如处理器(该处理器可以是微处理器、数字信号处理器、控制器等)、存储器、通信接口、显示控制器、输入设备等。通信网络503可以是任意适合的通信网络,例如,互联网(Internet)、局域网(LAN)、广域网(WAN)、有线网络、无线网络、电话网络、有线电视网络、卫星网络等。路由器504、505、506、510、511、512和516可以是能够传送在发送机502和接收机508之间传输的数据的任意适合的设备。例如,路由器504、505、506、510、511、512和516中的任一个或更多个可以是路由器、网关、交换机、防火墙或任意其他适合的设备。连接520和522可以是用于将发送机502和接收机508连接到通信网络503的任意适合的连接。例如,连接520和522可以是有线的或无线的连接。
虽然本发明已经在上述说明性的实施例中进行了描述和示出,但是应当理解,本公开内容已经只是通过实例的方式来进行描述,以及本发明的实现细节的大量改变可以在没有脱离本发明的精神和范围的情况下进行,其中本发明的精神和范围仅由下面的权利要求书所限定。所公开的实施例的特征可以以各种方式来组合和重排。
Claims (30)
1.一种用于控制通信网络上的流量的方法,包括:
在接收机内的硬件处理器处接收对于许可将数据流发送给所述接收机的查询报文;
使用硬件处理器发送来自所述接收机的许可报文;
在硬件处理器处接收指示已经发送给所述接收机的数据量的信令报文;
使用硬件处理器在由所述接收机已经接收到的数据量大于根据所述信令报文所指示的已经发送给所述接收机的数据量的情况下,确定至少一个数据包没有被授权;以及
响应于确定至少一个数据包没有被授权,使用硬件处理器促使发送所述数据流的通路改变。
2.根据权利要求1所述的方法,其中所述通路被改变以使用中继节点。
3.根据权利要求1所述的方法,其中所述通路使用多宿主来改变。
4.一种用于控制通信网络上的流量的方法,包括:
使用硬件处理器传送对于许可将数据流发送给接收机的查询报文;
使用硬件处理器传送授权所述发送机发送给定数据量的许可报文;
在硬件处理器处接收指示已经发送给所述接收机的数据量的信令报文;以及
使用硬件处理器在由所述接收机已经接收到的数据量大于根据所述信令报文所指示的已经发送给所述接收机的数据量的情况下,确定至少一个数据包没有被授权。
5.根据权利要求4所述的方法,还包括使用硬件处理器丢弃被确定为没有被授权的所述至少一个数据包。
6.一种用于控制通信网络上的流量的方法,包括:
使用硬件处理器传送对于许可将数据流发送给接收机的查询报文;
使用硬件处理器传送指示已经发送给所述接收机的数据量的信令报文;
使用硬件处理器在由所述接收机已经接收到的数据量大于所述信令报文所指示的已经发送给所述接收机的数据量的情况下,确定至少一个数据包没有被授权;
响应于确定至少一个数据包没有被授权,使用硬件处理器传送指示在将数据包传输给所述接收机时使用安全协议的许可报文;以及
使用硬件处理器确定发送给所述接收机的进一步的数据包违反所述安全协议。
7.根据权利要求6所述的方法,还包括使用硬件处理器阻止所述数据包由所述接收机所接收。
8.根据权利要求6所述的方法,其中所述安全协议是IPSec AH。
9.根据权利要求6所述的方法,还包括使用硬件处理器传送指示改变在所述安全协议中所使用的加密技术的报文。
10.根据权利要求9所述的方法,其中所述加密技术从对称密钥加密改变为公钥加密。
11.一种用于控制通信网络上的流量的方法,包括:
在接收机内的硬件处理器处接收对于许可将数据流发送给所述接收机的查询报文;
在硬件处理器处接收指示已经发送给所述接收机的数据量的信令报文;
使用硬件处理器在由所述接收机已经接收到的数据量大于根据所述信令报文所指示的已经发送给所述接收机的数据量的情况下,确定至少一个数据包没有被授权;
响应于确定至少一个数据包没有被授权,使用硬件处理器发送指示在将数据包传输给所述接收机时使用安全协议的许可报文;以及
使用硬件处理器检测到发送给所述接收机的进一步的数据包违反所述安全协议。
12.根据权利要求11所述的方法,还包括使用硬件处理器在所述接收机处忽略所述数据包。
13.根据权利要求11所述的方法,其中所述安全协议是IPSecAH。
14.根据权利要求11所述的方法,还包括使用硬件处理器发送指示改变在所述安全协议中所使用的加密技术的报文。
15.根据权利要求14所述的方法,其中所述加密技术从对称密钥加密改变为公钥加密。
16.一种用于控制通信网络上的流量的系统,包括:
具有硬件处理器的接收机,所述硬件处理器:
接收请求允许将数据流发送给所述接收机的查询报文;
发送来自所述接收机的许可报文;
接收指示已经发送给所述接收机的数据量的信令报文;
在由所述接收机已经接收到的数据量大于根据所述信令报文所指示的已经发送给所述接收机的数据量的情况下,确定至少一个数据包没有被授权;以及
响应于确定至少一个数据包没有被授权,促使用于发送所述数据流的通路改变。
17.根据权利要求16所述的系统,其中所述通路使用中继节点来改变。
18.根据权利要求16所述的系统,其中所述通路使用多宿主来改变。
19.一种用于控制通信网络上的流量的系统,包括:
硬件处理器,所述硬件处理器:
传送对于许可将数据流发送给接收机的查询报文;
传送授权所述发送机发送给定数据量的许可报文;
接收指示已经发送给所述接收机的数据量的信令报文;以及
在由所述接收机已经接收到的数据量大于根据所述信令报文所指示的已经发送给所述接收机的数据量的情况下,确定至少一个数据包没有被授权。
20.根据权利要求19所述的系统,其中所述硬件处理器丢弃被确定为没有被授权的所述至少一个数据包。
21.一种用于控制通信网络上的流量的系统,包括:
硬件处理器,所述硬件处理器:
传送对于许可将数据流发送给接收机的查询报文;
传送指示已经发送给所述接收机的数据量的信令报文;
在由所述接收机已经接收到的数据量大于根据所述信令报文所指示的已经发送给所述接收机的数据量的情况下,确定至少一个数据包没有被授权;
响应于确定至少一个数据包没有被授权,传送指示在将数据包发送给所述接收机时使用安全协议的许可报文;以及
检测到发送给所述接收机的进一步的数据包违反所述安全协议。
22.根据权利要求21所述的系统,其中所述硬件处理器还阻止所述数据包在所述接收机处被接收。
23.根据权利要求21所述的系统,其中所述安全协议是IPSecAH。
24.根据权利要求21所述的系统,其中所述硬件处理器还促使在所述安全协议中使用的加密技术改变。
25.根据权利要求24所述的系统,其中所述加密技术从对称密钥加密改变为公钥加密。
26.一种用于控制通信网络上的流量的系统,包括:
具有硬件处理器的接收机,所述硬件处理器:
接收对于许可将数据流发送给所述接收机的查询报文;
接收指示已经发送给所述接收机的数据量的信令报文;
在由所述接收机已经接收到的数据量大于根据所述信令报文所指示的已经发送给所述接收机的数据量的情况下,确定至少一个数据包没有被授权;
响应于确定至少一个数据包没有被授权,传送指示在将数据包发送给所述接收机时使用安全协议的许可报文;以及
检测到发送给所述接收机的进一步的数据包违反所述安全协议。
27.根据权利要求26所述的系统,其中所述接收机还在所述接收机处忽略所述数据包。
28.根据权利要求26所述的系统,其中所述安全协议是IPSecAH。
29.根据权利要求26所述的系统,其中所述硬件处理器还促使在所述安全协议中使用的加密技术改变。
30.根据权利要求29所述的系统,其中所述加密技术从对称密钥加密改变为公钥加密。
Applications Claiming Priority (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US7829108P | 2008-07-03 | 2008-07-03 | |
| US61/078,291 | 2008-07-03 | ||
| US7941108P | 2008-07-09 | 2008-07-09 | |
| US61/079,411 | 2008-07-09 | ||
| US11034408P | 2008-10-31 | 2008-10-31 | |
| US61/110,344 | 2008-10-31 | ||
| US15637109P | 2009-02-27 | 2009-02-27 | |
| US61/156,371 | 2009-02-27 | ||
| PCT/US2009/049608 WO2010003113A1 (en) | 2008-07-03 | 2009-07-02 | Methods and systems for controlling traffic on a communication network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102124674A CN102124674A (zh) | 2011-07-13 |
| CN102124674B true CN102124674B (zh) | 2015-08-12 |
Family
ID=41466342
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980131655.XA Expired - Fee Related CN102124674B (zh) | 2008-07-03 | 2009-07-02 | 控制通信网络上的流量的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8995274B2 (zh) |
| EP (1) | EP2294734A1 (zh) |
| CN (1) | CN102124674B (zh) |
| WO (1) | WO2010003113A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2445709T3 (es) | 2010-12-31 | 2014-03-04 | Progenika Biopharma, S.A. | Método para la identificación por técnicas moleculares de variantes genéticas que no codifican antígeno D (D-) y codifican antígeno C alterado (C+W) |
| US8937946B1 (en) * | 2011-10-24 | 2015-01-20 | Packet Design, Inc. | System and method for identifying tunnel information without frequently polling all routers for all tunnel information |
| US9531704B2 (en) | 2013-06-25 | 2016-12-27 | Google Inc. | Efficient network layer for IPv6 protocol |
| US9191209B2 (en) | 2013-06-25 | 2015-11-17 | Google Inc. | Efficient communication for devices of a home network |
| US10375043B2 (en) * | 2014-10-28 | 2019-08-06 | International Business Machines Corporation | End-to-end encryption in a software defined network |
| US11050784B1 (en) * | 2017-03-17 | 2021-06-29 | Amazon Technologies, Inc. | Mitigating a denial-of-service attack |
| US11368458B2 (en) * | 2018-09-27 | 2022-06-21 | Arm Ip Limited | Methods and systems for verifying a source of a message or call |
| US20220271920A1 (en) * | 2021-02-24 | 2022-08-25 | Cisco Technology, Inc. | Indicating Network-Based Consent Contracts using Packet-Level Data |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110664A (zh) * | 1999-07-09 | 2008-01-23 | 范德雷布玛里纳公司 | Tcp/ip以数据包为中心的无线传输系统结构 |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5455865A (en) * | 1989-05-09 | 1995-10-03 | Digital Equipment Corporation | Robust packet routing over a distributed network containing malicious failures |
| JP3688830B2 (ja) * | 1995-11-30 | 2005-08-31 | 株式会社東芝 | パケット転送方法及びパケット処理装置 |
| US5913921A (en) * | 1996-07-12 | 1999-06-22 | Glenayre Electronics, Inc. | System for communicating information about nodes configuration by generating advertisements having era values for identifying time reference for which the configuration is operative |
| US6111877A (en) * | 1997-12-31 | 2000-08-29 | Cisco Technology, Inc. | Load sharing across flows |
| US6738814B1 (en) * | 1998-03-18 | 2004-05-18 | Cisco Technology, Inc. | Method for blocking denial of service and address spoofing attacks on a private network |
| US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
| US6452915B1 (en) * | 1998-07-10 | 2002-09-17 | Malibu Networks, Inc. | IP-flow classification in a wireless point to multi-point (PTMP) transmission system |
| US6425004B1 (en) * | 1999-02-24 | 2002-07-23 | Nortel Networks Limited | Detecting and locating a misbehaving device in a network domain |
| JP2000341272A (ja) * | 1999-05-25 | 2000-12-08 | Fujitsu Ltd | Atm通信システム及びatm通信システムにおける輻輳状態検出方法並びにatm通信装置 |
| US7882247B2 (en) * | 1999-06-11 | 2011-02-01 | Netmotion Wireless, Inc. | Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments |
| US7010590B1 (en) * | 1999-09-15 | 2006-03-07 | Datawire Communications Networks, Inc. | System and method for secure transactions over a network |
| WO2002003597A1 (en) * | 2000-06-30 | 2002-01-10 | Kanad Ghose | System and method for fast, reliable byte stream transport |
| US7124440B2 (en) * | 2000-09-07 | 2006-10-17 | Mazu Networks, Inc. | Monitoring network traffic denial of service attacks |
| US7280540B2 (en) * | 2001-01-09 | 2007-10-09 | Stonesoft Oy | Processing of data packets within a network element cluster |
| US7269157B2 (en) * | 2001-04-10 | 2007-09-11 | Internap Network Services Corporation | System and method to assure network service levels with intelligent routing |
| US7068595B2 (en) * | 2001-04-13 | 2006-06-27 | Sun Microsystems, Inc. | Method and apparatus for facilitating instant failover during packet routing |
| FI118170B (fi) * | 2002-01-22 | 2007-07-31 | Netseal Mobility Technologies | Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi |
| US7895643B2 (en) * | 2002-03-16 | 2011-02-22 | Trustedflow Systems, Inc. | Secure logic interlocking |
| US20030212901A1 (en) * | 2002-05-13 | 2003-11-13 | Manav Mishra | Security enabled network flow control |
| AU2003266320A1 (en) * | 2002-09-16 | 2004-04-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure access to a subscription module |
| US7630305B2 (en) * | 2003-07-29 | 2009-12-08 | Orbital Data Corporation | TCP selective acknowledgements for communicating delivered and missed data packets |
| US20040203752A1 (en) * | 2002-11-18 | 2004-10-14 | Toshiba America Information Systems, Inc. | Mobility communications system |
| GB0312681D0 (en) * | 2003-06-03 | 2003-07-09 | Ericsson Telefon Ab L M | IP mobility |
| US7882251B2 (en) * | 2003-08-13 | 2011-02-01 | Microsoft Corporation | Routing hints |
| US7526807B2 (en) * | 2003-11-26 | 2009-04-28 | Alcatel-Lucent Usa Inc. | Distributed architecture for statistical overload control against distributed denial of service attacks |
| US7500264B1 (en) * | 2004-04-08 | 2009-03-03 | Cisco Technology, Inc. | Use of packet hashes to prevent TCP retransmit overwrite attacks |
| US7428754B2 (en) * | 2004-08-17 | 2008-09-23 | The Mitre Corporation | System for secure computing using defense-in-depth architecture |
| CN100367724C (zh) * | 2005-05-25 | 2008-02-06 | 杭州华三通信技术有限公司 | 交换机测试装置及交换机测试设备 |
| US7983183B2 (en) * | 2005-08-23 | 2011-07-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for measuring transmission quality in a packet mode communication network |
| CN101454758B (zh) * | 2005-12-14 | 2016-06-08 | 泰克莱克股份有限公司 | 用于检测和减轻欺诈性消息服务消息业务的方法和系统 |
| US8583929B2 (en) * | 2006-05-26 | 2013-11-12 | Alcatel Lucent | Encryption method for secure packet transmission |
| US8966270B2 (en) * | 2006-12-29 | 2015-02-24 | Alcatel Lucent | Methods and systems for providing controlled access to the internet |
| CN101123584B (zh) | 2007-05-21 | 2010-11-10 | 华为技术有限公司 | 一种测量ip链路丢包情况的方法及设备 |
-
2009
- 2009-07-02 EP EP09774562A patent/EP2294734A1/en not_active Withdrawn
- 2009-07-02 WO PCT/US2009/049608 patent/WO2010003113A1/en active Application Filing
- 2009-07-02 US US13/002,417 patent/US8995274B2/en active Active
- 2009-07-02 CN CN200980131655.XA patent/CN102124674B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110664A (zh) * | 1999-07-09 | 2008-01-23 | 范德雷布玛里纳公司 | Tcp/ip以数据包为中心的无线传输系统结构 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010003113A1 (en) | 2010-01-07 |
| CN102124674A (zh) | 2011-07-13 |
| US8995274B2 (en) | 2015-03-31 |
| US20110107098A1 (en) | 2011-05-05 |
| EP2294734A1 (en) | 2011-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102124674B (zh) | 控制通信网络上的流量的方法和系统 | |
| Yang et al. | A DoS-limiting network architecture | |
| US9438592B1 (en) | System and method for providing unified transport and security protocols | |
| Anderson et al. | Preventing Internet denial-of-service with capabilities | |
| Gu et al. | Denial of service attacks | |
| Vanhoef et al. | Practical verification of WPA-TKIP vulnerabilities | |
| US8631484B2 (en) | Systems and methods for inhibiting attacks with a network | |
| US20050050364A1 (en) | System and methods for protecting against denial of service attacks | |
| EP2329621B1 (en) | Key distribution to a set of routers | |
| WO2010048865A1 (zh) | 一种防止网络攻击的方法及装置 | |
| WO2001006386A1 (en) | System and method for dynamically changing a computer port or address | |
| US8738900B2 (en) | Method and devices for secure communications in a telecommunications network | |
| US7290281B1 (en) | Method and apparatus for cryptographically blocking network denial of service attacks based on payload size | |
| KR101476995B1 (ko) | 암호 키의 조작방지 생성 방법 및 시스템 | |
| JP4565788B2 (ja) | パケット認証 | |
| US8688077B2 (en) | Communication system and method for providing a mobile communications service | |
| Fowler et al. | Impact of denial of service solutions on network quality of service | |
| WO2006088751A2 (en) | Access control for mobile multicast | |
| Hong et al. | PBS: Signaling architecture for network traffic authorization | |
| Sairam et al. | Defeating reflector based denial-of-service attacks using single packet filters | |
| Murugesan et al. | Security mechanism for IPv6 router discovery based on distributed trust management | |
| Yang et al. | WSN security | |
| Westermann et al. | Introducing perfect forward secrecy for AN. ON | |
| KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
| JP2008060817A (ja) | 通信システム、ウェブサーバ装置、クライアント装置、通信を行うための通信プログラム及びプログラムを記録した記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150812 Termination date: 20160702 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |