專利名稱:鑒權分組有效負荷的方法
技術領域:
本發(fā)明涉及鑒權�����,尤其涉及分組有效負荷的鑒權。
背景技術:
近年來����,對于有效網(wǎng)絡安全性的需要逐步變得重要,這歸因于網(wǎng)絡黑客����、病毒以及其它類型網(wǎng)絡攻擊的頻繁發(fā)生和更為復雜�。電子商務已引進了一種新型網(wǎng)絡攻擊�����,稱為業(yè)務否定或DoS攻擊��。在DoS攻擊中�,當使用標準傳輸控制協(xié)議或TCP在兩個應用之間提供數(shù)據(jù)的順序傳輸時,惡意第三方可以將錯誤分組注入或“合并”到所述分組流內(nèi)����。為了逃避駕馭TCP(例如安全套接層或SSL,或是傳輸層安全或TLS)的安全協(xié)議的檢測��,所述錯誤分組被適當構造�,從而使其包括正確的地址對和序列號(從而使得所述分組顯示為是有效的),但包括虛假數(shù)據(jù)���。當正確分組稍后到達時����,所述分組被作為重新傳送的復本而刪除�。因為所述虛假數(shù)據(jù)無法成功鑒權���,所述安全協(xié)議通過發(fā)送錯誤消息到所述發(fā)動節(jié)點來終止所述會話。所述安全協(xié)議無法選擇性地請求所丟棄(正確)數(shù)據(jù)的重新傳輸��。因此�,所述DoS攻擊必須通過長密碼協(xié)商會話來重新建立所述TLS連接,這需要大量的處理資源����。DoS攻擊不僅無必要地消耗處理資源,還使得電子商務每年損失百萬美金收入�����。
一種用于挫敗DoS攻擊的方法是以傳輸模式使用IP安全或IPSec協(xié)議以鑒權每個IP分組��。IPSec不僅可以加密實際用戶數(shù)據(jù)或有效負荷���,還可以加密一些用于泄露技術會話攻擊簡表內(nèi)的客戶地址的協(xié)議棧信息項���。IPSec作為開放系統(tǒng)互連或OSI體系結(jié)構的第三層(“IP”上的互聯(lián)網(wǎng)協(xié)議)和第四層(TCP或UDP)之間的“墊片”,并包括一套協(xié)議�����,所述協(xié)議共同規(guī)定鑒權標題(AH)����、封裝的安全有效負荷(ESP)以及互聯(lián)網(wǎng)密鑰交換(IKE)。IPSec提供了經(jīng)由AH的地址鑒權�、經(jīng)由ESP的數(shù)據(jù)加密、使用IKE的發(fā)送者和接收者節(jié)點之間的自動密鑰交換���。
圖2A示出了具有鑒權標題204的IPv4分組200���。所述鑒權標題204包括下一標題字段208(其具有一個字節(jié)的長度,并識別符合所述AH的較高級協(xié)議)���、有效負荷長度字段212(其具有一個字節(jié)的長度��,并規(guī)定所述鑒權數(shù)據(jù)字段216的長度)���、預留字段220(其具有為將來使用預留的兩個字節(jié))、安全參數(shù)索引或SPI字段224(其具有四個字節(jié)的長度���,并識別用于所述分組的安全協(xié)議)���、序列號字段228(其具有四個字節(jié)的長度��,并作為一個計數(shù)器�,所述計數(shù)器識別其已接收的負載相同目的地和SPI數(shù)據(jù)的IPAH分組的數(shù)量)�����、鑒權數(shù)據(jù)字段216(其具有可變的長度��,并包括完整性檢查值或ICV(其是使用DES�����、MD5或安全散列算法(SHA-1)生成的分組的數(shù)字簽名))�����。
圖2B示出了具有封裝的安全有效負荷或ESP標題254的IPv4分組250����。所述封裝的安全有效負荷標題包括上述的SPI和序列號字段224和228、TCP或用戶數(shù)據(jù)報協(xié)議(UDP)標題230�����、有效負荷數(shù)據(jù)字段258(其包括用戶的原始數(shù)據(jù)的加密后版本)���、填充字段262(其提供加密算法的任何必需的填充需要���,或是提供字節(jié)界限校準)、填充長度字段266(其規(guī)定用于所述填充字段的填充字節(jié)的數(shù)量)���、下一標題字段270(其通過識別包括在所述有效負荷數(shù)據(jù)字段內(nèi)的數(shù)據(jù)的類型來參考所述有效負荷數(shù)據(jù))����、鑒權數(shù)據(jù)274(其為應用于整個ESP標題的數(shù)字簽名)�。
但是,IPSec無法通過防火墻�����,尤其是執(zhí)行網(wǎng)絡-地址翻譯或網(wǎng)絡-地址-端口翻譯的代理服務器防火墻�����。以下將參照圖1來討論該問題����。參照圖1,防火墻(或代理服務器)100位與網(wǎng)絡104和各種有防火墻保護的網(wǎng)絡節(jié)點108a-n之間��。每個節(jié)點108a-n都具有對應IP地址和端口號。當節(jié)點108a-N將分組發(fā)送出所述網(wǎng)絡時��,所述防火墻可能僅改變所述IP地址�,或改變所述IP地址和端口號兩者。所述新IP地址通常是代理服務器的IP地址�。因為IPSec在第三層和第四層內(nèi)操作,且IPSec并不具有用于端口技術規(guī)范的設備�����,因而所述代理服務器嘗試改變端口失敗����,且所述分組并不被傳送。所述ESP標題254通常允許改變IP地址����,但不允許改變端口號。另一方面����,所述AH 204通常不允許改變IP地址或是端口號。
發(fā)明內(nèi)容
上述需要以及其它需要由本發(fā)明的各個實施例與配置來滿足��。本發(fā)明指向一種方法,其用于在所述應用層之下的層內(nèi)鑒權分組�,例如在OSI傳輸以及TCP/IP主機到主機傳輸層內(nèi)。
在本發(fā)明的一個實施例中���,提供了一種用于鑒權分組的方法���,所述方法包括步驟(a)接收分組��,所述分組包括標題和有效負荷��,而所述標題包括傳輸標題部分��;(b)基于所述分組的至少一部分內(nèi)容計算第一消息鑒權碼�;以及(c)比較所述第一消息鑒權碼與所述傳輸標題部分內(nèi)的第二消息鑒權碼來鑒權所述分組。
所述傳輸標題部分可由任何適當?shù)能浖P蛠矶x���,例如所述OSI傳輸層以及TCP/IP主機到主機傳輸層����。
所述消息鑒權碼可使用任何適當?shù)乃惴▉碛嬎?����,例?安全)散列算法。所述第一和第二鑒權碼通常被截短為預定數(shù)量比特���。
所述第一和第二消息鑒權碼可基于所述標題的全部或所選擇部分和/或所述有效負荷的全部或所選擇部分�。通常至少基于所述傳輸標題部分來確定所述第一和第二消息鑒權碼���。
在一種配置中��,所述第一和第二鑒權碼是基于偽標題計算的��,在所述偽標題中�,源端口和/或目的地端口字段被設置為與所述標題中對應源端口或目的地端口字段不同的值����。另一種方式是,所述源和/或目的地字段具有獨立于所述標題中對應源和目的地字段的值����。例如,所述源和/或目的地字段被設置為零�。并不被所述防火墻處理的所述分組內(nèi)的字段在所述偽標題內(nèi)通常不會被設置為不同的值或忽略。
在可能與上述實施例一起使用的另一實施例中��,本發(fā)明指向一種用于所接收分組的鑒權方法��,所述方法包括步驟(a)在第一模式中,當所述標題并不包括有效鑒權選項時����,丟棄所述分組,所述鑒權選項包括所述第二消息鑒權碼�;以及(b)在第二不同模式中,當所述標題包括鑒權選項時丟棄所述分組����。上述實施例中的計算和比較步驟僅發(fā)生在所述第一模式中。所述操作模式通常是由較高層確定的����,例如由所述應用層或會話層�����,或是由傳輸層自身����。
在可與上述實施例中的任何一個一起使用的又一個實施例中,本發(fā)明指向一種用于將被傳送的分組的鑒權方法����,所述方法包括步驟(a)組合包括標題和有效負荷的分組,所述標題包括傳輸標題部分,其中(b)在第一模式中��,所述傳輸標題部分包括有效鑒權選項字段�;以及(c)在第二不同模式中,所述傳輸標題部分內(nèi)并不包括有效鑒權選項字段�����;以及(d)隨后傳送所述分組���。
所述各個實施例相對于現(xiàn)有技術都具有大量優(yōu)點���。例如,所述標題的傳輸部分內(nèi)包括鑒權選項可有效阻止未授權地操作傳送中的數(shù)據(jù)�,并提供對于由第三方注入未經(jīng)鑒權數(shù)據(jù)所引起的會話破壞的更高抵抗力,例如在DoS攻擊的情況下�。在生成分組時,計算消息鑒權碼并將其插入所述標題��。在接收所述分組時�����,驗證所附的消息鑒權碼��。當所述驗證失敗時,所述分組顯然已被修改(或被虛假地注入所述分組流)�,因此不再確認即丟棄所述分組。鑒權或未確認分組將由所述發(fā)送者重新傳送���。所述消息鑒權碼可以一種方式來定義����,從而使得所述分組流過地址和/或端口翻譯防火墻���,而無需將所述分組內(nèi)的機密公開給所述防火墻�。根據(jù)這樣一種定義����,由代理服務器型防火墻操作或改變的所述源端口和/或目的地端口字段以及其它任何字段的值被設置為與所述標題中的值不同����,例如被設置為零,或被在所述消息鑒權碼所基于的偽標題內(nèi)完全忽略����。用于計算所述消息鑒權碼的所述共享機密或密鑰由所述傳輸層之上的協(xié)議層提供。因此���,提供允許以未鑒權模式使用所述傳輸層����,以協(xié)商所述共享機密。在完成所述協(xié)商時�����,傳輸層鑒權可被激活�,以使所有后續(xù)分組化的信息得到鑒權。這樣��,本發(fā)明最大地使用了現(xiàn)有協(xié)議���,例如TLS和TCP��,而無需備選解決方案或是生成新協(xié)議����。
本文所公開的發(fā)明內(nèi)容將使得上述優(yōu)點以及其它優(yōu)點變得清晰�。
上述實施例和配置并不是完全的,亦非窮舉的�。應當理解的是,本發(fā)明的其它實施例也可以單獨或組合使用一個或多個上述或以下詳述的特征�。
圖1是常規(guī)代理服務器型防火墻的方框圖�;圖2A是常規(guī)分組與鑒權標題的方框圖�����;圖2B是常規(guī)分組與封裝安全協(xié)議標題的方框圖���;圖3是根據(jù)本發(fā)明實施例的代理服務器型防火墻的方框圖�;圖4是根據(jù)傳輸控制協(xié)議的常規(guī)傳輸層標題的方框圖�����;圖5是根據(jù)本發(fā)明的鑒權TCP選項字段的方框圖��;圖6是用于計算消息鑒權碼的偽標題的方框圖�;圖7是描述密碼代理的操作的流程圖;以及圖8A和B是描述跟蹤代理的操作的流程圖����。
具體實施例方式
圖3描述了一種根據(jù)本發(fā)明的第一實施例的體系結(jié)構����。所述體系結(jié)構至少包括第一和第二端點或節(jié)點300a、b����,以及位于所述節(jié)點300a�、b之間的防火墻304和網(wǎng)絡308��。
所述第一和第二節(jié)點300a�、b可以是任何計算部件,例如個人計算機或PC�、服務器、膝上電腦���、個人數(shù)字助理或PDA�����、IP電話��、VoIP媒介網(wǎng)關��、H.323門衛(wèi)等��。每個節(jié)點都包括傳輸代理312��、密碼代理316以及輸入端或接口322�����。
所述傳輸代理312(a)提供數(shù)據(jù)的無錯傳送����,(b)從相鄰的較高層接受數(shù)據(jù),例如從所述OSI的會話層或第5層或是從TCP/IP的應用層�����,如果需要將所述數(shù)據(jù)分割到較小分組內(nèi)��,將所述分組傳送至相鄰的較低層��,例如所述OSI的網(wǎng)絡層或第3層或是TCP/IP的互連網(wǎng)絡層���,并確認所述分組完全并正確地到達其目的地�����,以及(c)鑒權所述分組的所選擇內(nèi)容��。
所述密碼代理316包括協(xié)議���,例如安全套接層或SSL(用于安全性)和/或傳輸層安全或TLS(用于安全性)(通常統(tǒng)稱為“SSL/TLS”)�、公共管理協(xié)議或CMIP(用于網(wǎng)絡管理)���,文件傳送、接入以及管理(用于遠程文件處理)���,X.400(用于電子郵件)�����,和/或定義具體的面向用戶的應用業(yè)務和進程的SASL��。所述密碼代理316可以在OSI面向業(yè)務層(例如層5���、6和/或7)的任何應用內(nèi)或TCP/IP的應用層內(nèi)操作。
套接320代表所述鑒權和傳輸代理之間的接口���。
應當理解的是�����,所述OSI分層過程在源機器的應用層或第7層內(nèi)開始����,在所述的層內(nèi),消息由應用程序生成����。所述消息通過該層向下移動,直至其到達第1層���。第1層是實際物理通信媒介�����。所述分組化的數(shù)據(jù)然后被通過所述媒介傳送至所述接收主機�,在所述接收主機內(nèi)��,所述信息向上移動通過所述的層�,即從第1層到第7層。當消息在所述源機器內(nèi)通過所述的層向下移動時���,所述消息被以與特定的層相關的標題封裝��,例如IP標題232����,AH 204���,TCP或UDP標題236����,或ESPH 254(圖2A和2B)���。當所述消息在所述主機內(nèi)通過所述的層向上移動時���,標題由每個對應的層去除。所述TCP/IP層以非常相似的方式操作�����。
防火墻304可以是任何類型的防火墻�。例如,所述防火墻可以是幀過濾防火墻�、分組過濾防火墻、電路網(wǎng)關防火墻����、狀態(tài)防火墻或是應用網(wǎng)關或代理服務器防火墻。
網(wǎng)絡308可以是數(shù)字或模擬的任意分布式處理網(wǎng)絡�,例如互聯(lián)網(wǎng)。
以下將參照圖4-6來描述由所述傳輸代理312用于鑒權的所述TCP標題���。圖4描述了所述TCP標題400的現(xiàn)有技術格式��。所述TCP標題400包括的字段為源端口404�����、目的地端口408�、分組序列號412(上述的)、字節(jié)確認號416(其指示在發(fā)送確認之前接收和接受的最后字節(jié)號)�、數(shù)據(jù)偏移420(其指示數(shù)據(jù)在所述分組內(nèi)的開始位置)、標志字段422���、預留424�����、窗口428(其指示可以接收和緩存的字節(jié)數(shù))�、校驗和432���、緊急指針436(其指示所述分組內(nèi)出現(xiàn)緊急數(shù)據(jù))����、選項440(其包括與所述協(xié)議相關的各個選項)以及填充444(以足夠的零比特填充所述選項字段以確保所述標題具有所需長度的可變長度字段)���。根據(jù)本發(fā)明�����,通過在所述選項字段440內(nèi)包括鑒權選項來實現(xiàn)TCP分組數(shù)據(jù)單元(“PDU”)或分組的鑒權�。應當理解的是,所述選項字段內(nèi)的選項可以具有兩種形式中的一種���,即后跟選項長度的字節(jié)的單個字節(jié)值選項類型,或是后跟選項數(shù)據(jù)的(選項長度-2)字節(jié)的字節(jié)選項類型�����。在一種配置中�,所述的鑒權選項具有第二種形式。
圖5描述了第二種形式的鑒權選項��。所述的鑒權選項500包括以下字段�����,即選項指示符504��、長度508以及消息鑒權碼512��。所述選項指示符字段504是指配的選項數(shù)字比特或/所述分組鑒權選項的值,所述長度字段508是所述消息鑒權碼或MAC的長度����,而所述消息鑒權碼512字段包括所述消息鑒權碼自身。所述MAC可以任何技術計算�,包括鍵控散列消息鑒權碼,例如HMAC-MD5和HMAC-SHA1算法�,它們被截斷為N個比特,分別表示為HMAC-MD5-N和HMAC-SHA1-N��。其它支持的消息鑒權碼包括任何鍵控的���、密碼安全MAC���,例如那些基于密碼反饋加密的MAC。這些代碼同樣優(yōu)選的是被截斷為N個比特�����。散列消息鑒權碼的截短阻止了攻擊者解密所述散列密鑰信息��。用于生成所述代碼的所述密鑰是從所述密碼代理處接收的����。
以下將參照圖6來討論所述MAC的計算���。所述MAC的計算可在全部或部分所述TCP標題和有效負荷上執(zhí)行,而所選擇字段被設置為零(或被設置為零比特)���。在圖6中����,所述MAC是在代表所述整個TCP標題�、有效負荷以及所述分組的主體的偽標題600上執(zhí)行,而所述偽標題內(nèi)的源端口字段604�����、目的地端口字段608�、校驗和字段612都被設置為零(或零比特)�。因此,可由某些類型防火墻處理的所述源端口和目的地端口以及涵蓋其的所述校驗和被從所述MAC計算中排除���。這允許在所述TCP標題通過地址或地址與端口翻譯防火墻時���,以常規(guī)方式操作所述TCP標題,而不會影響鑒權�����。
并不由所述防火墻操作的所述分組內(nèi)的字段被設置為不同的值,所述字段例如是緊急指針標志(其指示所述緊急指針字段是有效的)����、PSH標志(其指示數(shù)據(jù)應當被推至使用層)、結(jié)束標志��、確認標志�����、“syn”標志(其指示同步序列號應當被發(fā)送)��、RST標志(重新設置連接)��、序列號����、確認號、數(shù)據(jù)偏移���、窗口�����、選項���、填充��。一般而言�����,所述確認字段與ack字段應當被鑒權(連同其它標志)覆蓋���。
應當理解的是,依據(jù)應用可將所述偽標題600內(nèi)的源端口字段604�、目的地端口字段608和校驗和字段612中的一個或多個設置為非零值。在計算所述MAC時�����,所述源端口字段604和目的地端口字段608都應當由防火墻304每一側(cè)的每個節(jié)點保持不變�,以避免確定MAC時的矛盾���。每個所述字段內(nèi)的值通常都是不同的���,且不依賴于所述防火墻60與第一和第二節(jié)點300a���、b的地址。例如���,從所述第一節(jié)點傳送到第二節(jié)點的分組應當具有所述偽標題600內(nèi)的被設置為常量的源端口字段���,而從所述第二節(jié)點傳送到第一節(jié)點的分組應當具有所述偽標題600內(nèi)的被設置為常量的目的地端口字段,以避免防火墻304的端口翻譯的復雜性�����。
所述鑒權選項500(圖5)包括在偽標題的選項字段內(nèi)����。盡管并不要求所述選項-數(shù)據(jù)字段不會由所述防火墻改變,所述選項-數(shù)據(jù)字段具有適當?shù)拈L度���,通常被設置為零(或是零比特)�����。使用實際標題計算標準TCP校驗和��。
所述密碼代理316通過提供(多個)算法的選擇以及所述算法的(多個)密碼資料����,在TCP連接的一個或兩個方向上激活鑒權。一旦由傳送密碼代理316激活�,所有所傳送的分組都必須包括有效鑒權選項500,而當傳送密碼代理并未激活時����,未生成的TCP標題可能包括鑒權選項500。如果鑒權由接收密碼代理316激活�,則所有所接收的分組必須包括有效鑒權選項500,如上所述��,其中包括的MAC必須匹配于所接收分組����,或所述分組由傳輸代理312判斷為無效。當鑒權由所述接收密碼代理316激活時��,任何未通過鑒權或并不包括有效鑒權選項500的分組與帶有無效校驗和的分組由傳輸代理312以相同的方式處理����。鑒權錯誤可能由所述傳輸代理312記錄或計數(shù)����,所述傳輸代理312使所述密碼代理316或使用層在請求時可得到所述日志/計數(shù)����。在所述密碼代理316協(xié)調(diào)所述激活的假定下�,所述傳輸代理312尚未報告給所述密碼代理316的任何所接收數(shù)據(jù)被丟棄(所接收的序列號相應地并不增加), 因此所述數(shù)據(jù)一定已被攻擊者在傳送中注入或破壞����。當鑒權并不由所述接收密碼代理316激活時,所有具有鑒權選項500的分組都被丟棄�����。這是因為所述傳送密碼代理316顯然期望具有鑒權后的分組�����,而所述接收密碼代理316可能尚未為此提供必需的鑒權參數(shù)��。
以下將參照圖7和8描述所述傳輸代理312和密碼代理316的操作�。
圖7描述每個節(jié)點內(nèi)的密碼代理所執(zhí)行的操作。在圖7的步驟700中����,第一節(jié)點300a與第二節(jié)點300b的密碼代理316使用常規(guī)技術經(jīng)由安全信道協(xié)商協(xié)議參數(shù)�����。協(xié)商通常涉及每方交換密鑰���,在一些情況下還涉及數(shù)字證書。根據(jù)交換后的密鑰來計算共享主密鑰�。當所述第一與第二節(jié)點所交換的完成消息內(nèi)的散列一致時,完成協(xié)商�����。通常借助數(shù)字簽名在密碼代理層上驗證所述交換�����。
在完成協(xié)商時����,在所述第一與第二節(jié)點之間交換多個消息。在步驟704中����,所述第一與第二節(jié)點將開始密碼或改變密碼指令發(fā)送到所述第二節(jié)點,反之亦然�����。當所述第一或第二節(jié)點內(nèi)的密碼代理316發(fā)送所述開始密碼指令時�,所述代理316在步驟708中指令對應傳輸代理312啟動傳送鑒權,并將必需的信息(通常為共享機密�,例如消息鑒權碼算法的傳送密鑰與識別)提供給所述代理312,以在將被傳送到另一節(jié)點的分組上執(zhí)行鑒權操作���。當所述第一或第二節(jié)點內(nèi)的密碼代理316在步驟712中從另一節(jié)點接收所述開始密碼指令時���,所述代理316在步驟716中指令對應傳輸代理312啟動接收鑒權,并將必需的信息(通常為共享機密��,例如消息鑒權碼算法的接收密鑰(其可能不同于所述傳送密鑰)與識別)提供給所述代理312����,以在所接收分組上執(zhí)行鑒權操作。在所述第一或第二節(jié)點執(zhí)行步驟708之后���,在步驟702中為對應傳輸代理312提供將被鑒權的數(shù)據(jù)�����,用于傳輸?shù)搅硪还?jié)點�。在執(zhí)行步驟720或716之后,所述密碼代理316在步驟724中等待從另一節(jié)點接收數(shù)據(jù)�。
圖8A和B描述每個節(jié)點內(nèi)的傳輸代理所執(zhí)行的操作。
參照圖8A����,在步驟800中,所述傳輸代理312接收所述傳送鑒權指令與鑒權信息��。作為響應�,所述傳輸代理312進入傳送鑒權模式(或第一模式),其中鑒權選項500包括在每個被傳送到所述第二節(jié)點的分組的選項字段440內(nèi)�����。在步驟808中����,所述傳輸代理312通過生成鑒權選項500來鑒權所述數(shù)據(jù),所述鑒權數(shù)據(jù)包括在所述分組標題的選項字段440內(nèi)��。如上所述�����,在建立所述選項500時���,所述傳輸代理312基于圖6的偽標題與共享機密��,計算所述消息鑒權碼���,將其截斷為N比特。在步驟812中�,所述傳輸代理312將所述分組格式化,并將所述分組發(fā)送到另一節(jié)點的傳輸代理���。在執(zhí)行步驟312之后�,發(fā)送傳輸代理312在步驟816中等待來自密碼代理316的更多數(shù)據(jù)����。
參照圖8B,在步驟802中����,所述傳輸代理312接收所述接收鑒權指令與鑒權信息。作為響應�����,所述傳輸代理312進入接收鑒權模式�����,其中鑒權選項500必須包括在所述第二節(jié)點所接收的每個分組的選項字段440內(nèi)。應當理解的是�����,所有的所接收分組都可進入此模式���,或是只有從所述第二節(jié)點接收的分組方可進入此模式�����。在步驟824中����,所述傳輸代理從另一節(jié)點的發(fā)送傳輸代理接收分組�。在判定菱形框828中,所述接收傳輸代理312確定所接收的分組是否包括鑒權選項����。在所述分組包括鑒權選項時,所述傳輸代理312在步驟832中通過基于分組偽標題和其它內(nèi)容以及共享機密計算截短為N比特的消息鑒權碼�����,并將所計算的消息鑒權碼與鑒權選項的字段512內(nèi)的消息鑒權碼相比較,從而鑒權所述分組����。在判定菱形框828中,所述傳輸代理312確定分組鑒權是否成功�����。當所述消息鑒權碼不同時��,分組鑒權失敗���,所述代理312繼續(xù)步驟840(如下所述)。當所述消息鑒權碼相同時�,分組鑒權成功,所述代理312繼續(xù)步驟844�����。在步驟844中�����,所述分組內(nèi)包括的數(shù)據(jù)被轉(zhuǎn)發(fā)到接收節(jié)點的對應密碼代理316。當在判定菱形框828中所述分組并不包括鑒權選項500時���,或當在判定菱形框836中鑒權失敗時����,所述傳輸代理312在步驟840中丟棄所述分組��,在步驟848中記錄和計數(shù)鑒權錯誤�����,在步驟852中并不增加序列號�����。在丟棄所述分組時���,由于所述發(fā)送節(jié)點從未接收到成功接收所丟棄分組的確認����,所以其將會重新發(fā)送所述分組���,從而顯著惡化并降低DoS攻擊者的能力�����。所述代理312然后繼續(xù)步驟856�,并等待下一個將接收的分組。
因為由代理服務器處理的所述源和目的地地址字段和校驗和字段在所述消息鑒權碼所基于的所述偽標題600內(nèi)被設置為零(或零比特)���,所以防火墻地址和/或端口翻譯在所述密碼代理316內(nèi)并不會與諸如SSL和TLS的安全協(xié)議的操作相干擾�。
應當理解的是��,響應于由所述密碼代理316接收的停止密碼指令(例如下一改變密碼指令或結(jié)束指令)�����,所述傳輸代理312被重新設置為所述第一或無鑒權模式���。停止鑒權指令然后由所述接收密碼代理發(fā)送至所述對應密碼代理。
因為所有以傳送鑒權模式傳送���,并以接收鑒權模式接收的分組必須包括鑒權選項�,所以以這些模式傳送/接收的確認分組必須在其標題內(nèi)包括鑒權選項��。這阻止了DoS攻擊者通過將錯誤確認發(fā)送至所述發(fā)送節(jié)點來阻塞會話或引起會話終止�。
可以使用本發(fā)明的多種改變和修改。可以提供本發(fā)明的一些特征而不提供其它特征����。
例如在一個備選實施例中,所述傳輸代理312可以上述協(xié)議之外的協(xié)議實施����。例如,用于所述傳輸代理的其它協(xié)議包括TCP����、UDP、互聯(lián)網(wǎng)控制消息協(xié)議或ICMP或是會話控制傳輸協(xié)議或SCTP的其它版本�����。數(shù)據(jù)傳輸和確認內(nèi)主要基于SCTP���。STP的一種改變是定義兩個新的有效負荷類型�����,并限制主要內(nèi)容�。一種有效負荷類型用于鑒權分組流�,另一有效負荷類型用于確認所述分組流���。
同樣在其它實施例中,所述密碼代理可使用多個適當安全協(xié)議的任何一種����,例如IPsec等。
在另一備選實施例中�����,鑒權選項的實施方式不僅在傳輸層標題內(nèi)�,而且可作為棧內(nèi)的Bump,或OSI第3層和第4層之間的BITS實施方式��。
在有一備選實施例中��,所述鑒權選項在對應于OSI傳輸層的TCP/IP層內(nèi)���。例如,所述鑒權選項可在TCP/IP主機到主機傳輸層內(nèi)�。
在又一備選實施例中,可能是由或可能不是由OSI第3�、4、5���、6��、和/或7層定義的偽標題僅代表所述標題和/或有效負荷的一部分�,并可能包括一個或多個與圖6所示的字段不同的字段。
在另一備選實施例中����,所述傳輸代理和/或密碼代理或是其部分被體現(xiàn)為邏輯電路以及或替代軟件,所述邏輯電路例如是專用集成電路�。
在各種實施例中,本發(fā)明包括本文充分描述和敘述的元件�、方法、過程����、系統(tǒng)和/或裝置,包括各種實施例����、子組合及其子集。本領域技術人員在理解本公開之后應當理解如何使用本發(fā)明�����。在各種實施例中�,在忽略并未在本文或其各實施例中說明和/或描述的項目的情況下����,包括在忽略現(xiàn)有設備或過程所使用的所述項目的情況下�,本發(fā)明提供了例如用于提高性能、便于實現(xiàn)和/或降低實施成本的設備與過程��。
本發(fā)明的以上討論是出于示例與描述目的而提供的����。以上并非用于將本發(fā)明限制為本文公開的一個或多個形式。例如在以上的詳細描述中��,本發(fā)明的各種特征可在一個或多個實施例中結(jié)合在一起�����,以將此公開連成整體�。所公開的方法不應當被解釋為權利要求的本發(fā)明需要比在每個權利要求內(nèi)明確陳述的特征更多的特征。而是如權利要求書所反映��,發(fā)明方面決不在于單個上述實施例的所有特征�����。因此�,將權利要求書引入具體實施方式
,其中每個權利要求都可獨立作為本發(fā)明的優(yōu)選實施例�����。
此外�����,盡管本發(fā)明的描述已包括一個或多個實施例以及特定改變與修改�,但本領域技術人員在理解本發(fā)明之后,可了解其它改變與修改同樣在本發(fā)明的范圍內(nèi)��。旨在得到達到所允許程度的包括備選實施例的權利����,包括所要求權利的備選、可交換和/或等同的結(jié)構��、功能����、范圍或步驟,不論其是否在本文得到描述��,而非旨在公開共享任何專利內(nèi)容���。
權利要求
1.一種用于鑒權分組的體系結(jié)構����,包括接收分組,所述分組包括標題和有效負荷�����;至少部分地基于從一些所述分組標題中得到的偽標題來計算第一消息鑒權碼�;其中所述偽標題中的源與目的地端口字段中的至少一個具有與所述分組標題中的對應源與目的地端口字段不同的值;以及比較所述第一消息鑒權碼與所述標題中的第二消息鑒權碼�����,以鑒權所述分組����。
2.根據(jù)權利要求1的方法,其中所述標題包括傳輸標題部分����,且所述第二鑒權碼在所述傳輸標題部分中。
3.根據(jù)權利要求1的方法�,其中所述第二鑒權碼是基于偽標題計算的,在所述偽標題中,源與目的地端口字段中的至少一個被設置為具有與所述標題中的對應源或目的地端口字段不同的值���。
4.根據(jù)權利要求3的方法,其中在所述偽標題中���,源與目的地字段中的至少一個具有獨立于所述標題中的對應源和目的地字段的值�。
5.根據(jù)權利要求4的方法���,其中所述源與目的地字段中的至少一個被設置為零�����,且其中所述傳輸標題部分由OSI傳輸層與TCP/IP主機到主機傳輸層中的一個定義���。
6.根據(jù)權利要求1的方法,其中所述第一與第二鑒權碼是散列消息鑒權碼�����;其中所述第一與第二鑒權碼被截斷為具有預定數(shù)量的比特��;其中使用所述傳輸標題部分來確定所述第一與第二消息鑒權碼����;其中在所述比較步驟中�,當所述第一與第二消息鑒權碼不同時����,所述分組被認為是無效的,且還包括將指示分組無效的實例的計數(shù)器遞增���。
7.根據(jù)權利要求1的方法����,在所述接收步驟之后還包括在第一種模式中�����,當所述標題并不包括有效鑒權選項時����,丟棄所述分組,所述鑒權選項包括所述第二消息鑒權碼�;以及在第二種不同的模式中,當所述標題包括鑒權選項時����,丟棄所述分組����,其中所述計算與比較步驟僅發(fā)生在所述第一種模式中���。
8.根據(jù)權利要求7的方法���,其中所述第二模式是有效的��,其還包括從較高層接收中止所述第二模式并啟動所述第一模式的指令���;以及響應于所述指令�����,中止所述第二模式并啟動所述第一模式�����;以及其中所述指令由應用層生成�,其為傳送鑒權指令與接收鑒權指令的其中一個�����。
9.根據(jù)權利要求7的方法,在所述第一模式中還包括基于一些所述分組的內(nèi)容來計算第一消息鑒權碼�;以及比較所述第一消息鑒權碼與所述傳輸標題部分中的第二消息鑒權碼,以鑒權所述分組�,其中所述第二鑒權碼在所述傳輸標題部分內(nèi)。
10.根據(jù)權利要求1的方法���,還包括匯編所述分組����,所述分組標題包括傳輸標題部分�;且其中在第一種模式中,在所述傳輸標題部分中包括有效鑒權選項字段���;以及在第二種不同的模式中�����,并不在所述傳輸標題部分內(nèi)包括有效鑒權選項字段����;以及隨后傳送所述分組�����。
11.一種分組,其包括傳輸層標題部分�,所述傳輸層標題部分包括源端口字段;目的地端口字段�;序列號字段;以及選項字段�,其中所述選項字段包括鑒權選項,所述鑒權選項包括消息鑒權碼����;以及有效負荷。
12.根據(jù)權利要求11的分組����,其中所述消息鑒權碼是基于偽標題計算的���,在所述偽標題中�����,源與目的地端口字段中的至少一個被設置為具有與所述分組標題中的對應源或目的地端口字段不同的值��。
13.一種用于鑒權分組的體系結(jié)構���,其包括用于接收分組的輸入裝置����,所述分組包括標題和有效負荷����;計算裝置,其用于至少部分地基于從一些所述分組標題中得到的偽標題來計算第一消息鑒權碼��;其中所述偽標題中的源與目的地端口字段中的至少一個具有與所述分組標題中的對應源與目的地端口字段不同的值�;以及比較裝置,其用于比較所述第一消息鑒權碼與所述標題中的第二消息鑒權碼�,以鑒權所述分組。
14.根據(jù)權利要求13的系統(tǒng)���,其中所述標題包括傳輸標題部分���;其中所述第二鑒權碼在所述傳輸標題部分內(nèi);以及其中所述第二鑒權碼是基于偽標題計算的���,在所述偽標題中�����,源與目的地端口字段中的至少一個被設置為具有與所述標題中的對應源或目的地端口字段不同的值���。
15.根據(jù)權利要求14的體系結(jié)構���,其中在所述偽標題中,源與目的地字段中的至少一個具有獨立于所述標題中的對應源和目的地字段的值�。
16.根據(jù)權利要求15的體系結(jié)構,其中所述源與目的地字段中的至少一個被設置為零��,且其中所述傳輸標題部分由OSI傳輸層與TCP/IP主機到主機傳輸層中的一個定義����。
17.根據(jù)權利要求13的體系結(jié)構,其中所述第一與第二鑒權碼是散列消息鑒權碼�����;其中所述第一與第二鑒權碼被截斷為具有預定數(shù)量的比特���;其中使用所述傳輸標題部分來確定所述第一與第二消息鑒權碼;以及其中當所述第一與第二消息鑒權碼不同時�����,所述分組被認為是無效的���,且還包括用于將指示分組無效的實例的計數(shù)器遞增的計數(shù)裝置�。
18.根據(jù)權利要求13的體系結(jié)構,還包括分組丟棄裝置��,其在第一種模式中��,當所述標題并不包括有效鑒權選項時�,丟棄所述分組,所述鑒權選項包括所述第二消息鑒權碼��,而在第二種不同的模式中���,當所述標題包括鑒權選項時�,丟棄所述分組���;以及其中所述計算與比較裝置僅在所述第一模式中操作�����,且所述丟棄操作在接收到所述分組之后發(fā)生����。
19.根據(jù)權利要求18的體系結(jié)構�����,其中所述第二模式是有效的;其中所述丟棄裝置從較高層接收中止所述第二模式并啟動所述第一模式的指令�,且響應于所述指令,中止所述第二模式并啟動所述第一模式���;以及其中所述指令由應用層生成�,其為傳送鑒權指令與接收鑒權指令的其中一個�。
20.根據(jù)權利要求18的體系結(jié)構,其中所述丟棄裝置在所述第一模式中基于一些所述分組的內(nèi)容計算第一消息鑒權碼���,并比較所述第一消息鑒權碼與所述傳輸標題部分中的第二消息鑒權碼��,以鑒權所述分組��,其中所述第二鑒權碼在所述傳輸標題部分內(nèi)�����。
21.根據(jù)權利要求13的體系結(jié)構,還包括用于匯編所述分組的裝置����,所述分組標題包括傳輸標題部分��;用于在第一種模式中使所述傳輸標題部分內(nèi)包括有效鑒權選項字段��,并在第二種不同的模式中使所述傳輸標題部分內(nèi)不包括有效鑒權選項字段的裝置��;以及用于隨后傳送所述分組的裝置�。
全文摘要
提供了一種用于鑒權分組的體系結(jié)構��,其包括可用于接收分組的輸入端322���,所述分組包括傳輸����、會話和顯示標題部分中的至少一個����;傳輸代理312,其可用于基于所述分組的至少一部分內(nèi)容計算第一消息鑒權碼�����,并將所述第一消息鑒權碼與所述傳輸�����、會話和顯示標題部分中的至少一個內(nèi)的第二消息鑒權碼相比較,以鑒權所述分組�。
文檔編號H04L29/06GK1536847SQ200410031300
公開日2004年10月13日 申請日期2004年3月26日 優(yōu)先權日2003年3月27日
發(fā)明者克里斯托弗·J.·東利, 庫爾特·H.·哈瑟羅特, 羅伯特·R.·吉爾曼, 約翰·M.·沃爾頓, H. 哈瑟羅特, R. 吉爾曼, M. 沃爾頓, 克里斯托弗 J. 東利 申請人:阿瓦雅技術公司