CN112771833B - 标识符的分配方法、记录方法、设备、客户端节点、服务器和介质 - Google Patents
标识符的分配方法、记录方法、设备、客户端节点、服务器和介质 Download PDFInfo
- Publication number
- CN112771833B CN112771833B CN201980064096.9A CN201980064096A CN112771833B CN 112771833 B CN112771833 B CN 112771833B CN 201980064096 A CN201980064096 A CN 201980064096A CN 112771833 B CN112771833 B CN 112771833B
- Authority
- CN
- China
- Prior art keywords
- client
- client node
- identifier
- request
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种用于向客户端域的第一客户端节点分配标识符的方法,所述第一客户端节点适于管理与客户端域关联的流量以保护其免受计算机攻击,所述方法包括:‑从第一客户端节点接收用于分配客户端节点标识符的请求,所述请求包括客户端节点的至少一条标识信息;‑获得已经向至少客户端域中的活动客户端节点分配的客户端节点标识符的列表;‑向第一客户端节点分配不属于获得的列表的客户端节点标识符;‑在本地存储器中记录分配的标识符和第一客户端节点的一条标识信息之间的关联;‑向第一客户端节点传送响应,包括所分配的标识符;以及‑向与域相关联的至少一个流量管理服务器传送用于记录向域中的第一客户端节点分配的标识符的请求。
Description
技术领域
本发明的领域是在通信网络(例如,IP网络)内的通信的领域,尤其是增值IP服务的领域。
更具体地,本发明提供了一种用于保护所述通信网络和连接到这个网络的终端免受计算攻击的解决方案。
特别地,本发明提供了一种用于向连接到客户端域的客户端节点分配唯一标识符并且用于将这个标识符与所述客户端域的标识符相关联地记录的解决方案。
特别地,在缓解分布式拒绝服务(DDoS)攻击的领域中,例如通过但排他地实施由IETF标准化的DDoS开放威胁信令(DOTS)体系结构,本发明具有应用。
背景技术
提醒一下,DDoS攻击是试图使资源(例如网络或计算资源)对它们的用户不可用。通过危害大量主机并使用这些主机来放大攻击,可以大规模部署此类攻击。
为了减轻这些DDoS攻击,某些访问或服务提供商向他们的客户提供DDoS攻击检测和缓解服务。这种缓解服务(DDoS保护服务)可以被托管在由访问提供商运营的基础架构内或云中。特别地,它们使得可能区分“合法”流量(即用户同意的数据)和“可疑”流量。
当DPS类型的服务托管在云中时,很难预先识别DDoS攻击,因为这种服务不在用于到达作为DDoS攻击的受害者的网络的路由路径(默认情况下)上存在。
为了解决这个问题,特别地提出了建立隧道以将流量(传入或传出)强加到站点或网络上以由DPS服务进行检查。但是,这个方法显著增加了用户观察的等待时间,并且对能够处理来自网络的所有用户的所有传入或传出流量的DPS服务的大小施加了限制。另外,所述隧道是潜在且经过验证的攻击矢量。
当DPS类型的服务被托管在由访问提供商运营的基础结构中时,即使DPS服务存在于网络的传入或传出流量的路由路径中,在标识可疑流量时也可能会遇到困难。尤其是,随着加密流量的增加,尤其是UDP承载的流量(例如QUIC流量“快速UDP网络连接”),很难将合法流量与可疑流量区分开。访问纯文本控制消息(例如TCP协议中提供的“SYN/SYN-ACK/ACK”消息)的困难也使得验证网络节点同意接收流量变得复杂。
为了帮助标识可疑流量,已经由IETF对一种特定的体系结构进行标准化。这种称为DOTS的体系结构允许客户端节点(称为DOTS客户端)通知服务器(称为DOTS服务器)它检测到DDoS攻击,并且需要采取适当的措施来应对这个攻击。
因此,如果客户端域是DDoS攻击的目标,作为那个客户端域的一部分的DOTS客户端可以向DOTS服务器发送消息,以寻求帮助。后者与缓解器进行协调,以确保与服务攻击的拒绝相关联的可疑流量不再被路由到所述客户端域,而合法流量继续正常路由到所述客户端域。所述缓解器可以与所述DOTS服务器并置。
这个解决方案使用DOTS客户端和DOTS服务器之间的两个通信通道:
-DOTS信号通道,以及
-DOTS数据通道。
在进行DDoS攻击时才使用所述DOTS信号通道。因此,DOTS客户端可以使用这个通道向DOTS服务器请求帮助。例如,DOTS客户端使用这个信号通道将请求发送到所述服务器,通知所述服务器前缀“1.2.3.0/24”受到DDoS攻击,以便所述服务器可以采取措施阻止所述攻击。这样的请求与由唯一标识符(例如,标记为CUID(“客户端唯一标识符”))标识的DOTS客户端相关联。
如果来自所述DOTS客户端的所述请求与来自相同客户端域中其他DOTS客户端的其他请求不冲突,或者与依据所述客户端域的另一DOTS客户端先前安装在所述服务器上的过滤规则不冲突,并且如果所述服务器被启用/配置以接受最后收到的请求,则DOTS服务器因而可以采取适当的措施来阻止DDoS攻击。在发生冲突的情况下,所述服务器可以发送错误消息,例如4.09类型(“冲突”),以通知所述DOTS客户端。
在2018年1月的Reddy,T.等人的"Distributed Denial-of-Service Open ThreatSignaling(DOTS)Signal Channel Specification",draft-ietf-dots-signal-channel,特别描述了这种信号通道。
当没有正在进行DDoS攻击时,将使用所述DOTS数据通道。例如,DOTS客户端可以使用这个通道来设立过滤规则,诸如过滤从某些地址接收的流量或发往给定节点的流量。例如,DOTS客户端能够使用这个DOTS数据通道以要求所述服务器阻止所有流量到前缀“1.2.3.0/24”或去往端口号443的所有所述UDP流量。
如果所述请求不与来自相同客户端域中其他DOTS客户端的其他请求或现有过滤规则冲突,则所述DOTS服务器可以响应来自DOTS客户端的请求安装过滤规则。如果与所述DOTS服务器维护的其他规则存在冲突,则所述服务器可以发送例如类型409的错误消息(“冲突”),以通知所述DOTS客户端。
在2017年12月的Boucadair,M.等人的"Distributed Denial-of-Service OpenThreat Signaling(DOTS)Data Channel",draft-ietf-dots-data-channel中特别描述这样的数据通道。
根据上述两个文档中描述的过程,存在以下风险:DOTS服务器可能会在所述攻击确实存在时拒绝处理DOTS客户端发送的攻击缓解请求,或者拒绝DOTS客户端发送的过滤请求(过滤请求的一个目的是预期DDoS攻击)。特别是,当这些过滤请求与由所述相同客户端域的其他DOTS客户端安装的过滤规则冲突时,可能会发生这种拒绝。
但是,所述相同域的另一客户端无法删除这些规则,并且所述客户端节点在所述攻击缓解请求的起点没有有关安装这些规则的所述客户端节点的身份的信息。
这些规则也可能不再合理,因为它们是过时的,并且所述DOTS客户端在这些规则的起点不会费心卸载它们。
另外,如果所述相同域的所述DOTS客户端使用的所述标识符冲突,则会引起复杂化。例如,如果所述DOTS服务器检测到所述DOTS客户端使用的所述标识符在所述缓解请求的起点与所述相同客户端域的另一DOTS客户端的标识符冲突,则缓解DDoS攻击可能需要更长的时间。
因此,需要一种新技术来改进所述客户端与所述DOTS服务器之间的交换的可靠性和安全性,从而实现针对计算攻击(尤其是服务攻击的拒绝)的有效保护。
发明内容
根据至少一个实施例,本发明涉及一种用于向客户端域的第一客户端节点分配标识符的方法,所述第一客户端节点能够管理与所述客户端域相关联的流量以保护其免受计算攻击,所述方法包括:
-从所述第一客户端节点接收用于分配客户端节点标识符的请求,所述请求包含用于标识所述客户端节点的至少一个信息项;
-获得已经分配给至少在所述客户端域中活动的所述客户端节点的客户端节点标识符的列表;
-向所述第一客户端节点分配不属于所述获得的列表的客户端节点标识符;
-在本地存储器中记录所述分配的标识符和用于标识所述第一客户端节点的所述信息项之间的关联;
-向所述第一客户端节点发送响应,包含所述分配的标识符;以及
-向与所述域相关联的至少一个流量管理服务器发送用于记录分配给所述域中的所述第一客户端节点的所述标识符的请求。
因此,本发明提供了由客户端域的所述客户端节点彼此之间以及与和所述客户端域相关联的流量管理服务器进行通信所使用的所述标识符的受控管理。根据这个实施例,当它在所述域中变为活动时,它保证分配给所述第一节点的所述标识符的唯一性,从而避免活动节点之间的标识冲突。
注意,所述方法可以由受益于所述客户端域中的特权的另一客户端节点(称为主客户端)来实现,或者由称为CMI(CUID管理实例)的专用软件实例来实现,所述实例与所述主客户端节点对接。还可能有一个或多个服务器参与针对所述相同客户端域的缓解计算攻击,例如,拒绝服务攻击。
根据特定实施例,一旦检测到与所述客户端域的活动有关的事件,所述方法包括修改记录在所述本地存储器中的关联。
因此,根据这个实施例,当所述节点连接到所述客户端域时,在整个时间段内控制分配给所述第一客户端节点的所述标识符的所述管理。
特别地,所述检测到的事件属于包括以下内容的组:
-所述第一客户端节点的所述不活动;
-所述第一客户端节点的可疑行为;
-接收从所述第一客户端节点接收的删除请求;和
-与最大允许数量相比过高的在所述域中激活的客户端节点的数量。
注意,所述事件可能涉及所述第一客户端节点的所述活动或所述客户端域的所述安全性或管理策略的更改。
根据第一实施例,所述修改包括删除所述记录,并且所述方法包括向所述服务器发送用于取消所述分配的标识符的所述记录的请求。
因此,这个第一实施例使得可能在服务器级别上应用所述关联(客户端,cuid)的所述删除。因此释放了分配给所述第一客户端的标识符,并且可以将其分配给另一活动的客户端节点。
根据第二实施例,所述修改包括在所述本地存储器的所述记录中利用用于标识所述域的第二客户端的信息项替换用于标识所述第一客户端的所述信息项。
因此,这个第二实施例有利于用第二客户端节点替换所述第一客户端节点,而无需修改由所述第一客户端节点安装的所述缓解动作,因此,不中断这些缓解动作的持续执行。所述第二客户端节点将恢复对由所述第一客户端节点先前实施的所述缓解动作的所述处理。根据这个示例,由于它已经存储了客户端节点唯一标识符和域标识符之间的正确关联,因此不必将这个修改应用于所述服务器。
根据特定实施例,所述接收的请求还包括用于分配管理委托属性的请求,所述属性旨在由另一客户端节点在处理传送至所述服务器的流量管理规则的请求中指定,以将所述流量管理规则的管理委托给所述第一客户端节点,所述方法包括:
-将委托属性分配给所述第一客户端节点,
-将所述分配的属性以及所述关联存储在所述记录中,以及
发送到所述第一客户端节点的响应包括所述分配的委托属性。
根据这个实施例,当在所述服务器上执行缓解动作之后安装规则(过滤器、ACL等)时,所述委托属性可以由所述第一客户端节点指定,以指示其授予所述缓解动作的委托。然后,所述委托属性由所述服务器与所述安装的规则关联存储。可以将分配给所述第一客户端节点的这个委托属性的意识传送到另一客户端节点,以便它可以修改由所述第一客户端节点安装的规则。为此,所述第二客户端节点必须在其请求中***这个委托属性的值,用于修改发送给所述服务器的所述相关规则。
例如,所述响应还包括分配给至少一个其他客户端节点的所述委托属性。这样,所述域中的多个客户端节点共享所述相同的委托属性,从而允许它们在必要时根据另一客户端节点安装的规则进行操作。这个解决方案的一个优点是它简单,且可以优化保护服务。
相反,当从所述主客户端节点或所述CMI实体接收的所述响应不包含委托属性时,这意味着所述主客户端节点或所述CMI实体希望禁用所述委托过程,例如,因为这会在所述域的某些客户端节点上带来过多负担。
在另一实施例中,本发明涉及一种在服务器中实现的用于记录分配给能够管理与客户端域相关联的流量以保护其免受计算攻击的客户端节点的标识符的方法,所述方法包括:
-从第一客户端节点接收记录请求,所述请求包含所述第一客户端节点的标识符,所述标识符已经根据如前所述的分配方法分配给所述第一客户端节点;
-获得所述客户端节点所属的所述客户端域的标识符;以及
-在存储器中记录与所述获得的客户端域的所述标识符相关联的所述第一客户端节点的所述标识符。
根据这个实施例,本发明提出在所述务器级别记录分配给所述客户端节点的所述唯一标识符与所述客户端域的所述标识符之间的关联,这使得可能确保所述客户端节点与所述服务器之间的交换,以管理与所述客户端域相关联的所述流量,并保证由{CUID,CDID}对组成的所述标识符的全局唯一性。
特别地,一旦接收到由所述客户端节点发送的用于处理流量管理规则的请求,所述请求包括所述第一客户端节点的所述标识符,所述方法包括搜索在存储器中的所述记录,并且如果找不到所述记录,则拒绝所述请求。
因此,可以更容易地检测例如属于另一客户端域的恶意客户端节点,并且如果所述节点是恶意的,则可以拒绝所述请求。
根据特定实施例,当所述处理请求包括用于修改由第二客户端节点安装的流量管理规则的请求时,所述方法包括:
-通过在存储在所述存储器中的记录中比较在用于修改所述流量管理规则的请求中指定的第一管理委托属性和与所述第二客户端节点安装的所述流量管理规则相关联的第二管理委托属性,来验证管理委托;
-当所述第一和第二委托属性具有相同的值时,根据所述请求修改所述流量管理规则。
因此,在所述客户端节点在其安装的起点不可用的情况下,这个委托过程允许迁移缓解动作的管理。在攻击的情况下,当客户端节点先前向所述服务器发送缓解请求,所述服务器响应在它的请求与执行缓解操作之后由另一客户端节点已经安装的至少一个规则之间存在冲突时,这特别有趣。利用本发明,检测到攻击的所述客户端节点可以利用所述委托过程来要求所述服务器修改所述规则,从而它不再阻碍缓解进行中的所述攻击。因此,所述攻击缓解服务的可靠性得到提高。
特别地,一旦接收到用于删除所述第一客户端节点的所述标识符记录的请求,所述方法包括删除所述记录以及删除由所述第一客户端节点安装的所述流量管理规则。
根据特定实施例,用于记录标识符的方法包括:在所述删除由所述第一客户端节点安装的所述流量管理规则之前,通知在所述客户端域中活动的所述其他客户端节点。
因此,有可能向其他客户端节点通知即将删除客户端为缓解攻击而安装的规则,并使它们有机会要求所述服务器迁移它们以获取利益。
根据另一实施例,本发明涉及一种用于向能够管理与客户端域相关联的流量以保护其免受计算攻击的第一客户端分配标识符的设备,所述设备包括至少一台可编程计算机器或一台专用计算机器,其被配置为实现:
-从所述第一客户端节点接收用于分配客户端节点标识符的请求,所述请求包含用于标识所述客户端节点的至少一个信息项;
-获得已经分配给至少在所述客户端域中活动的客户端节点的客户端节点标识符的列表;
-向所述第一客户端节点分配不属于所述获得的列表的客户端节点标识符;
-在本地存储器中记录所述分配的标识符和用于标识所述第一客户端节点的所述信息项之间的关联;
-向所述第一客户端节点发送响应,包含所述分配的标识符;以及
-向与所述域相关联的至少一个流量管理服务器发送用于记录分配给所述域中的所述第一客户端节点的所述标识符的请求。
其他实施例涉及对应的客户端节点和服务器。
在另一实施例中,本发明涉及一个或多个计算机程序,包括指令,当这个程序或这些程序由处理器执行时,用于实现根据本发明的至少一个实施例的方法。
在又一个实施例中,本发明涉及一种或多种不可移除的、或部分或全部可移除的、计算机可读的信息介质,并且包括来自一个或多个计算机程序的指令,用于实现根据本发明的至少一个实施例的方法。
因此,可以以各种方式,特别是以有线形式和/或以软件形式,来实现根据本发明的方法。
附图说明
关于附图,通过阅读在此给出以作为示例性而非限制性示例的以下说明,本发明的其他目的、特征和优点将变得更加明显,其中:
-图1示出了根据本发明实施例的实现用于分配客户端节点标识符的方法和用于记录标识符的方法的通信网络的示例;
-图2示出了根据本发明实施例的用于分配标识符的方法的主要步骤;
-图3示出了根据本发明实施例的用于记录标识符的方法的主要步骤;
-图4A和图4B示出了根据本发明实施例的用于将标识符分配给客户端域的第一客户端并对其进行记录的、在第一客户端节点、主客户端和服务器之间交换的消息的示例;
-图5A和图5B示出了本发明的用于增强客户端节点和服务器之间的交换的可靠性的应用示例;
-图6A至图6D示出了根据本发明实施例的用于删除分配给第一客户端节点的标识符的、在第一客户端节点、主客户端和服务器之间交换的消息的示例;
-图7详细示出了根据本发明实施例的服务器执行的步骤,该步骤处理由第一客户端节点对由第二客户端节点安装的管理动作的修改请求;
-图8A至图8C示出了根据本发明实施例的流量管理动作之间的冲突的解决;
-图9A至图9C示出了根据本发明实施例的客户端节点之间的用于实现委派过程而交换的消息的示例;以及
-图10示意性地示出了根据本发明实施例的客户端节点和服务器的硬件结构。
具体实施方式
本发明的一般原理是基于向作为客户端域的一部分的客户端节点分配唯一标识符,而且还基于与客户端域的标识符相关联的这个标识符的记录,以及基于这个唯一标识符的使用以增强域内拒绝服务攻击的保护的效率和可靠性。
关于图1,提出了一种根据本发明实施例的网络的不同设备,其负责保护网络及其连接的终端免受计算攻击,以及实现用于分配标识符的方法。
例如,客户端域11包含一台或多台机器,也称为节点。此处使用的术语“域”是指由相同实体负责的一组机器或节点。例如,考虑属于客户端域11的与服务器S12通信的几个客户端节点C1、C2、Cm。
根据示出的示例,服务器12不属于客户端域11。在未示出的另一示例中,服务器12可以属于客户端域11。
在说明书的其余部分中,考虑DOTS类型的体系结构的情况,根据所述体系结构,客户端节点C1、C2和Cm 114是DOTS客户端,并且服务器S是DOTS服务器。客户端节点C1、C2和Cm以及服务器S因此可以经由结合现有技术定义的DOTS信号和数据信道进行通信,以通知服务器检测到DDoS攻击并且需要采取适当的措施。
5.1DOTS体系结构的提醒
DOTS请求可以是,例如:
-别名管理消息,例如,将标识符与位于客户端域中的一个或多个网络资源相关联,
-信令消息以要求来自DOTS服务器的服务攻击的拒绝的缓解,所述服务器能够在接收到这样的消息后发起停止攻击的必要动作,或者
-流量管理规则管理消息,例如进行过滤,包括请求DOTS服务器安装(或已安装)、修改或删除访问控制列表(ACL)以缓解攻击。在下文中,“处理请求”指定用于安装一个或多个显式过滤规则、访问控制列表的请求,并且更一般地,DOTS客户端节点可以向服务器请求用于缓解攻击的任何操作,并且更一般地,针对托管DOTS客户端的域的安全策略的应用。
可以从属于DOTS客户端域的DOTS客户端向DOTS服务器或多个DOTS服务器发送DOTS请求。DOTS域可以支持一个或多个DOTS客户端。换句话说,客户端域的几个客户端节点可以具有DOTS功能。
客户端域和域服务器之间的DOTS通信可以直接进行,也可以经由未示出的DOTS网关建立。这些网关可以托管在客户端域、服务器域或两者内。换句话说,客户端域的客户端节点可以直接与服务器通信,或者将请求传送到与服务器或服务器域的网关直接通信的客户端域的网关,或者将请求传送到与服务器通信的服务器域的网关。
位于客户端域中的DOTS网关被DOTS服务器视为DOTS客户端。
位于服务器域中的DOTS网关被DOTS客户端视为DOTS服务器。如果服务器域中存在DOTS网关,则可以将DOTS客户端的认证托付给服务器域的DOTS网关。可以使用其域内的活动DOTS网关列表来配置DOTS服务器,并且服务器可以将其某些功能委托给这些受信任的网关。特别是,服务器可以通过特别认证过程(例如,由服务器的授权管理员对列表进行显式配置,从诸如AAA服务器(用于“认证、授权和计费”)的认证服务器中检索列表等)安全地使用在由服务器声明并维护的列表上的网关提供的信息。
不论DOTS体系结构的配置如何(客户端域中的一个或多个DOTS客户端、无DOTS网关、客户端域或服务器域中的一个或多个DOTS网关、与服务器域分离的客户端域等),都可以实施以下呈现的实施例。
可以根据上述文档"Distributed Denial-of-Service Open Threat Signaling(DOTS)Signal Channel Specification"中描述的过程来完成安全DOTS会话的建立。
在下文中,假定DOTS代理((多个)客户端、(多个)服务器)彼此认证。因此,在DOTS客户端和DOTS服务器之间存在类型为DTLS/TLS((数据报)传输层安全性)的安全通信通道。
因此,从另一服务器接收的欺骗合法服务器的IP地址的消息可能会被DOTS客户端拒绝。同样,来自未授权访问缓解服务的DOTS客户端的请求被DOTS服务器忽略。假设随后这个过程由DOTS代理实施。
DTLS/TLS交换的细节以及与用于DOTS代理的相互认证的安全密钥的管理有关的细节不是本发明的主题,并且在此不进行详细描述。
5.2缓解服务域(DPS)中的应用示例
图2示出了根据本发明实施例的用于向第一客户端节点C1分配标识符的方法的主要步骤。这个方法可以由受益于服务器S上特权的客户端域的另一客户端节点(称为主客户端Cm)或由与主客户端节点C1对接的称为CMI(“CUID管理实例”)的专用软件实例来实现。在下文中,假设用于分配标识符的方法是由客户端域11的主客户端Cm实现的。但是,当这个功能由所述专用CMI实体实现时,应用相同的方法。
当DOTS客户端C1启动时,它联系其主客户端Cm或CMI实例,以在21中请求分配DOTS客户端标识符或cuid。为此,DOTS客户端C1向主客户端Cm发送MREQID或GET()分配请求消息,如图4A所示。一旦DOTS主客户端Cm(或CMI实例)接收到MREQID或GET()消息,后者验证这个客户端C1被授权调用DOTS服务。如有必要,主客户端Cm在22中获得当前在域中使用的标识符的列表,例如通过检查存储在存储器中的表,并在23中选择不是这个列表的一部分的标识符cuid_c1。这样,默认情况下,DOTS客户端Cm(或CMI实例)可确保客户端域的两个客户端不使用相同的标识符“cuid”。应当注意,可以在将DOTS客户端保护或替换为另一客户端的阶段期间释放这个约束。一旦选择了标识符cuid_c1,主客户端Cm就在24中将由分配的唯一标识符和客户端C1的标识符形成的对存储在存储器(例如本地存储器)中。然后,为了改进DOTS服务的健壮性,DOTS主客户端Cm在25中联系27Cm中的服务器S以记录在DOTS客户端域中为客户端C1激活的新标识符。如图4B所示,它例如使用MREQREG()或REGISTER_REQ()记录请求消息来执行这个。这个消息可以包括单独的客户端C1或多个客户端的(多个)DOTS标识符cuid。如图4A所示,一旦从服务器S接收到MREPREG()或REGISTER_ACK()确认消息,它在26向客户端C1发送MREPID或SET(cuid_c1)确认消息,所述消息包括分配给它的标识符cuid_c1。一旦从服务器S接收到拒绝响应,客户端Cm可以重复所述过程,以便向客户端C1重新分配新的标识符,并再次请求向服务器S记录新的标识符cuid_c1。
可选地,一旦在27中检测到在客户端域中发生的事件,诸如客户端节点C1的不活动,或其断开连接、或客户端域的安全策略中的更改,它将在28中至少本地修改标识符cuid_c1的记录。
关于图3,现在描述根据本发明实施例的由服务器S实现的用于记录分配给客户端节点的标识符的方法的步骤。一旦在31中从主客户端Cm接收到针对客户端域11的客户端C1的标识符cuid_c1的MREQREG()或REGISTER_REQ记录请求,服务器S执行已经提及的安全检查(未示出),如图4B所示。在成功的情况下,它在32中获得客户端C1所附加到的客户端域11的标识符“cdid”(客户端域标识符)。作为示例,DOTS服务器经由cdid属性标识属于相同域的DOTS客户端。用于标识客户端域的其他机制可以由服务器支持。域标识符可以由服务器本地计算,也可以由另一受信任实体(通常是其服务器域的DOTS中继)传递,或两者。没有对cdid的结构做任何假设。然后,它在33中检查这个客户端标识符cuid_c1与这个域标识符“cdid”之间的关联是否已存储在存储器中。如果找到一个,则在35中通过向主客户端返回MREPREQ(rej)响应来拒绝记录请求。如果找不到一个,则通过将客户端C1的(cuid,cdid)对存储在存储器M2中,来在34中处理记录请求。然后,它使用MREPREG(ack)或REGISTER-ACK()消息确认记录请求,如图4B所示。
可选地,一旦在36中收到用于实现缓解解决的MREQT处理请求,诸如类型为流量过滤Rk的流量管理规则的安装,这个请求源自由标识符cuid_c1标识的客户端,服务器在37中检查标识符cuid_c1与所述请求源自的客户端域的标识符相关联地有效地记录在其存储器中。在成功的情况下,它在38中处理所述请求,否则拒绝所述请求。应当注意,即使在恶意实体盗窃安全身份的情况下,由DOTS服务器实现以处理来自DOTS客户端的DOTS请求的根据本发明的验证过程也增强了服务的可靠性。相对于表1,呈现了由主DOTS客户端Cm维护的DOTS客户端列表的摘录示例。所述表显示了这个域的三个活动DOTS客户端。本发明并不暗示由CMI实例/DOTS主客户端维护的表的任何特定结构。
客户端标识符(cuid) | 客户端身份 |
cuid_ex1 | 安全凭证 |
cuid_ex2 | 安全凭证 |
cuid_ex3 | 安全凭证 |
表1
应当注意,在根据本发明的方法由软件实体CMI实现的情况下,与DOTS客户端标识符的分配有关的信息由CMI实例传递至DOTS主客户端Cm。
下面呈现由主客户端Cm传送到服务器S的MREPREG记录请求的摘录的示例。在这个示例中,通过服务器域的DOTS中继来中继PUT请求。中继客户端节点***“cdid=here.example”信息,以将DOTS客户端的域的身份传递至服务器。这个信息特别由服务器使用以实施策略,诸如应用配额或限制每个域的请求数。
关于表2,还呈现由服务器S维护的客户端列表的摘录的示例。所述表显示了5个活动的DOTS客户端,其中3个属于主客户端Cm的“here.example”域。
cuid/客户端标识符 | 客户端身份 | 客户端域 | … |
cuid_ex1 | 安全凭证 | here.example | … |
cuid_ex2 | 安全凭证 | here.example | … |
cuid_ex3 | 安全凭证 | here.example | … |
cuid_exi | 安全凭证 | there.example | … |
cuid_exj | 安全凭证 | there.example | … |
表2
为了说明根据本发明的用于分配唯一标识符的方法的优点,考虑图5A和图5B中的情况示例。
在这两个示例中,主客户端C1首先将其分配给客户端C3的标识符cuid_c3记录到服务器S。如前所述,一旦接收到REGISTER_REQ(cuid_c3)请求,服务器S检查这个标识符在由其唯一标识符cdid=“here.example”标识的客户端域11中是唯一的,如果是,则在存储器存储(cuid_c3,cdid)关联。
关于图5A,如果属于另一域12的恶意DOTS客户端C4与服务器S联系,代表所述客户端C3请求执行管理动作(即使用其标识符cuid_c3),则服务器检测到(cuid_c3,cdid)关联不正确,并拒绝所述请求。
关于图5B,如果与客户端C3和主客户端Cm属于相同域11的恶意DOTS客户端C2联系服务器S用于攻击缓解请求,则其请求将由服务器S拒绝,因为这个客户端C2没有有效地向其注册。
关于图6A至图6C,现在详细描述根据本发明第一实施例的用于检测与客户端域相关联的流量管理事件的步骤27、和用于修改在主客户端或CMI实体的本地存储器中记录的标识符的关联的步骤28。
假定在27中检测的事件是与域中记录的客户端节点的活动或域内应用的安全策略的更改有关的事件。根据本发明,主客户端节点Cm使用唯一标识符来对这个事件做出反应。例如:
-客户端节点在预定时间段内处于不活动状态;
-客户端域管理员决定减少域内激活的DOTS客户端的数量;
-DOTS客户端节点的可疑行为;
-来自客户端域11的DOTS客户端节点的显式记录删除请求。
在这个检测之后,主客户端Cm可以决定删除服务器S的一个或多个客户端节点的记录。
为此,如图6A所示,它发送MREQUNREG或UNREGISTER_REQ()记录删除请求消息。记录删除消息可以包括客户端域的DOTS客户端的一个或多个标识符。一旦收到这个消息,DOTS服务器S删除其表中列出的客户端(在常规安全检查之后)。
关于图6B,由主客户端Cm检测的事件是来自客户端域的客户端节点C1的显式记录删除请求的接收。一旦接收到MREQSUP()或DELETE(cuid_c1)请求,主客户端Cm修改客户端C1的标识符的记录。
考虑两个选项:
-根据第一选项,如图6B所示,主客户端C1用MREPSUP(ack)响应消息确认客户端C1的请求,并将MREQUNREG()记录删除请求从客户端C1发送到服务器S。后者从其表中删除(cuid_c1,cdid)关联,并通过确认消息响应主客户端Cm。因此,标识符cuid_c1在服务器S级别被释放,然后它将删除使用这个标识符安装的动作。
根据图6C所示的变型,在删除使用新释放的标识符安装的流量管理规则之前,DOTS服务器S将这些规则的存在通知域的其他客户端,以便它们可以重新安装它们。
在实施例中,假定DOTS代理(客户端和服务器)支持“用于事件通知的RESTCONF和HTTP传输”机制,如在文档"RESTCONF Transport for Event Notifications,draft-ietf-netconf-restconf-notif,E.Voit et al.,Sept.2018"中所指定的。
当客户端C2断开连接或服务器在给定时间段内检测到客户端C2处于不活动状态时,它将标识与这个C2客户端关联的过滤器,然后通知相同客户端域的其他客户端节点(例如C1)其打算删除与客户端C2相关联的流量管理规则的意图。
一旦接收到这个通知,客户端C1可以决定对最初与客户端C2相关联的某些规则承担责任。为此,它向服务器S传送POST类型的请求,以要求其将客户端C2的某些规则迁移到其名称。服务器S迁移这些规则,并且向客户端C1发送类型为“创建了204”的确认消息(即,客户端节点C1的标识符将由服务器维护,因为其负责这些规则的管理)。
如果未从客户端域的其他客户端收到响应,则服务器S确认删除过滤器。
-根据第二选项,如图6D所示,主客户端Cm利用MREPSUP(ack)响应消息确认客户端C1的请求。为了避免打扰DOTS域11的操作,它不要求服务器S删除客户端C1的标识符cuid_c1的记录,而是将这个标识符重新分配给域11的另一客户端C2。这样,它将客户端C1替换为域中的另一客户端,而不会影响服务器S维护的状态。
当客户端C2通过使用标识符cuid_c1标识自身将处理请求(诸如,安装过滤规则)发送到服务器S时,服务器可以接受其请求,因为可以有效地标识客户端C2。
因此,通过根据本发明的方法执行的向客户端域的每个客户端分配唯一标识符,增强了DOTS代理之间的交换的可靠性,并且即使在断开相同客户端域的某些客户端节点的连接的情况下,通过位于客户端域11中的主客户端Cm来保护客户端域免受攻击的能力更健壮。
关于图7,现在详细描述根据本发明的第二实施例的由服务器S实现的用于接收和处理用于修改流量管理规则的请求的步骤36至38。
服务器S在36中从客户端C1接收对规则Rk的处理请求。
在37中,检查与客户端域cdid的标识符相关联地记录了标识符cuid_c1。如有必要,它在371中搜索将标识符cuid_c1与rk属性标识的规则Rk相关联的记录。如果是这样,客户端C1就是其要修改的规则Rk的安装源。服务器S在38中执行所请求的修改。
否则,它在372中执行附加检查,所述附加检查包括在与规则Rk相关联的记录中搜索客户端C1的“THIRD_PARTY_NONCE”委托属性。如果找到它,则服务器S认为客户端C1受益于来自客户端C2的修改规则Rk的委托,并在38中执行所请求的修改。
具体地,当在服务器S上创建规则Rk时,这个新的“THIRD_PARTY_NONCE”属性由DOTS客户端C2指定。这个属性包括唯一标识符,例如客户端C1的标识符cuid_c1。
这个委托过程允许客户端域的客户端节点修改那个客户端域的另一客户端安装的动作,诸如过时的流量过滤规则或与其他过滤规则的安装冲突的流量过滤规则,例如用于实施针对DDoS攻击的缓解解决方案。
现在详述考虑客户端域11的客户端节点C1和C2的示例的根据本发明的委托过程的实现。假定C1和C2激活DOTS操作的委托过程,以在其中之一不可用、发生冲突等情况下增强服务的可靠性。可以通过以下几种方式来激活委托过程:
-根据第一选项,仅由客户端C1激活委托,以使客户端C2受益。客户端C2不指定客户端C1作为委托的接收者;
-根据第二选项,委托由两个客户端激活:C1委托给C2,反之亦然。考虑了两个变型:
o两个客户端使用相同的THIRD_PARTY_NONCE属性值。
o每个客户端使用不同的值。
出于说明目的,下面呈现了用于安装管理操作的请求的示例“my_acl”,由标识符cuid_c2标识的客户端节点C2为此,通过在其请求中为THIRD_PARTY_NONCE属性指示值“263afd79-835c-4ee7-9535-df245cf28d9a”,来通知服务器它支持委托。
现在假定客户端节点C1检测到IP地址为“1.2.3.1/32”的机器受到攻击,如图8A所示。
关于图8B,客户端节点C1恳求服务器S,以便它通过在81C1中发送以下消息,来实现针对这个攻击的缓解解决方案:
一旦82S中接收到这个请求,服务器S在83S中执行已经描述的客户端节点C1的安全性和记录检查,然后在84S中决定要实施的动作。例如,这涉及安装新的过滤规则Rk2。当尝试安装这个规则时,它在85S中检测到与客户端节点C2已安装的过滤规则Rk=“my_acl”发生冲突。
它在86S中向客户端节点C1发送错误消息4.09(冲突),以通知其与过滤规则Rk=“my-acl”的冲突的存在。
客户端节点C1在87C1中收到这个错误消息。与现有技术相反,客户端节点C1在88C1中向服务器S1发回用于修改过滤规则Rk的请求以解决冲突。在这个示例中,假定客户端节点C1向现有规则“my-acl”添加新条目,以仅阻止发往地址“1.2.3.1/32”的流量。例如,它发送给服务器S1的修改Rk的请求采用以下形式:
注意,它指定THIRD_PARTY_NONCE属性的值。一旦在89S中这个消息由DOTS服务器S接收,后者检查“THIRD_PARTY_NONCE”属性(263afd79-835c-4ee7-9535-df245cf28d9a)的值是否与由客户端C2在创建过滤规则Rk=“my-acl”时指示的值相同,并且检查客户端C1和C2都属于相同DOTS客户端域11。在这个检查之后,DOTS服务器S决定根据客户端节点C1的请求修改过滤器。然后如图8C所示阻止DDoS流量。因此,本发明解决了冲突而无需恳求客户端节点C2。
根据本发明的第三实施例,“THIRD_PARTY_NONCE”属性的值与标识符“cuid”一起由CMI实例/主客户端Cm分配。可以通过静态或动态配置,例如,经由DHCP协议,获得委托属性的值。
关于图9A,客户端节点C1传送针对标识符“cuid_c1”和委托属性的MREQID()或GET(cuid,THIRD_PARTY_NONCE)分配请求。
有利地,CMI实例或主客户端节点Cm可以通过不将任何委托属性值返回给客户端C1,来禁用这个委托过程,如图9B所示。具体地,在从CMI接收到的响应中不存在THIRD_PARTY_NONCE属性是显式的指示,其通知客户端节点C1已禁用所述DOTS委托过程。
实际上,委托过程会引起客户端节点的计算超载,所述客户端节点从另一客户端节点接管以管理其正在进行的操作。如果所述中继节点的负载达到某个阈值,例如达到CPU(中央处理单元)的80%,则可以禁用委托过程。可以通过诸如“SNMP陷阱”的常规通知手段,来向负责启用委托过程的实体通知阈值超限。
根据实施例变型,如图9C所示,主客户端节点在其对客户端节点C1的响应中不仅指示它分配给它的委托属性的值,而且还指示它分配给相同的客户端域的其他客户端节点的委托属性的值。可以理解,在这种情况下,客户端域的所有客户端节点共享相同的委托属性值。
因此,如刚刚描述的本发明的不同实施例所示,通过服务器S进行的由主客户端节点或CMI实体分配给客户端节点的唯一标识符与客户端域11的标识符之间的关联的记录,不仅增强了DOTS代理之间交换的可靠性,而且使服务器S实施的针对DDoS攻击的保护更加容易和健壮。
5.3结构
最后,关于图10,呈现根据上述实施例之一的客户端节点和服务器的简化结构的描述。
根据一个特定实施例,客户端节点Cm包括:存储器101Cm,其包含缓冲存储器;处理单元102Cm,其配备有例如可编程计算机器或专用计算机器,例如处理器P,并且由计算机程序103Cm控制,实现根据本发明的实施例的用于向负责管理与客户端域相关联的流量的第一客户端节点分配标识符的方法的步骤。
在初始化时,计算机程序103Cm的代码指令例如在由处理单元102Cm的处理器执行之前加载到RAM存储器中。
处理单元102Cm的处理器根据计算机程序103Cm的指令,实现上述标识符分配方法的步骤,以:
-从所述第一客户端节点接收用于分配客户端节点标识符的请求,所述请求包含用于标识所述客户端节点的至少一个信息项;
-获得已经分配给至少在所述客户端域中活动的所述客户端节点的客户端节点标识符的列表;
-向所述第一客户端节点分配不属于所述获得的列表的客户端节点标识符;
-在本地存储器中记录所述分配的标识符和用于标识所述第一客户端节点的所述信息项之间的关联;
-向所述第一客户端节点发送响应,包含所述分配的标识符;以及
-向与所述域相关联的至少一个流量管理服务器发送用于记录分配给所述域中的所述第一客户端节点的所述标识符的请求。
根据一个特定实施例,服务器S包括:存储器101S,其包括缓冲存储器;处理单元102S,其配备有例如可编程计算机器或专用计算机器,例如处理器P,并且由计算机程序103S控制,实施根据本发明实施例的记录标识符的方法的步骤。
在初始化时,计算机程序103S的代码指令例如在由处理单元102S的处理器执行之前被加载到RAM存储器中。
处理单元102S的处理器根据计算机程序103S的指令,实施上述标识符记录方法的步骤,以:
-从第一客户端节点接收记录请求,所述请求包含所述第一客户端节点的标识符,所述标识符已经根据本发明由客户端节点Cm分配给所述第一客户端节点;
-获得所述客户端节点所属的所述客户端域的标识符;以及
-在存储器中记录与所述获得的客户端域的所述标识符相关联的所述第一客户端节点的所述标识符。
Claims (15)
1.一种用于向客户端域的第一客户端节点分配标识符的分配方法,所述第一客户端节点能够管理与所述客户端域相关联的流量,以便保护其免受计算攻击,所述方法包括:
-从所述第一客户端节点接收(21)用于分配客户端节点标识符的请求,所述请求包含用于标识所述客户端节点的至少一个信息项;
-获得(22)已经向至少在所述客户端域中活动的所述客户端节点分配的客户端节点标识符的列表;
-向所述第一客户端节点分配(23)不属于获得的列表的客户端节点标识符;
-在本地存储器中记录(24)分配的标识符和用于标识所述第一客户端节点的所述信息项之间的关联;
-向所述第一客户端节点发送(26)响应,包含所述分配的标识符;以及
-向与所述客户端域相关联的至少一个流量管理服务器发送(25)用于记录向所述客户端域中的所述第一客户端节点分配的所述标识符的请求。
2.根据权利要求1所述的分配方法,其特征在于,一旦检测到与所述客户端域的活动有关的事件,所述方法包括对在所述本地存储器中记录的所述关联的修改(28)。
3.根据权利要求2所述的分配方法,其特征在于,检测到的事件属于包括以下的组:
-所述第一客户端节点的不活动状态;
-所述第一客户端节点的可疑行为;
-接收从所述第一客户端节点接收到的删除请求;和
-与最大允许数量相比过高的在所述客户端域中激活的客户端节点的数量。
4.根据权利要求2或3中的一项所述的分配方法,其特征在于,所述修改包括删除所述记录,并且在于所述方法包括向所述流量管理服务器发送用于取消所述分配的标识符的所述记录的请求。
5.根据权利要求2所述的分配方法,其特征在于,所述修改包括在所述本地存储器的所述记录中利用用于标识所述客户端域的第二客户端的信息项来替换用于标识所述第一客户端的所述信息项。
6.根据权利要求1所述的分配方法,其特征在于,所述接收的请求还包括用于分配管理委托属性的请求,所述属性旨在由另一客户端节点在用于处理向所述流量管理服务器传送的流量管理规则的请求中指定,以将所述流量管理规则的管理委托给所述第一客户端节点,所述方法包括:
-将委托属性分配给所述第一客户端节点,
-将分配的委托属性以及所述关联存储在所述记录中,并在于
-发送到所述第一客户端节点的响应包括所述分配的委托属性。
7.一种在服务器中实现的、用于记录分配给能够管理与客户端域相关联的流量以保护其免受计算攻击的客户端节点的标识符的记录方法,所述方法包括:
-从第一客户端节点接收记录请求,所述请求包含所述第一客户端节点的标识符,所述标识符已经依据根据权利要求1至6中的一项所述的分配方法分配给所述第一客户端节点;
-获得所述第一客户端节点所属的所述客户端域的标识符;以及
-在存储器中记录与获得的客户端域的所述标识符相关联的所述第一客户端节点的所述标识符。
8.根据权利要求7所述的记录方法,其特征在于,一旦接收到由所述第一客户端节点发送的用于处理流量管理规则的请求,所述请求包括所述第一客户端节点的所述标识符,所述方法包括在存储器中搜索所述记录,并且如果找不到所述记录,则拒绝所述请求。
9.根据权利要求8所述的记录方法,其特征在于,当所述用于处理流量管理规则的请求包括用于修改由第二客户端节点安装的流量管理规则的请求时,所述方法包括:
-通过在存储在所述存储器中的记录中、比较在用于修改所述流量管理规则的请求中指定的第一管理委托属性和与所述第二客户端节点安装的所述流量管理规则相关联的第二管理委托属性,来验证管理委托;
-当所述第一管理委托属性和所述第二管理委托属性具有相同的值时,根据所述请求修改所述流量管理规则。
10.根据权利要求8或9所述的记录方法,其特征在于,一旦接收到用于删除所述第一客户端节点的所述标识符记录的请求,所述方法包括删除所述记录以及删除由所述第一客户端节点安装的所述流量管理规则。
11.根据权利要求10所述的记录方法,其特征在于,所述方法包括在由所述第一客户端节点安装的所述流量管理规则的所述删除之前,通知在所述客户端域中活动的其他客户端节点。
12.一种用于向第一客户端节点分配标识符的设备,所述第一客户端节点能够管理与客户端域相关联的流量以保护其免受计算攻击,所述设备包括至少一个处理器,其被配置为实现:
-从所述第一客户端节点接收用于分配客户端节点标识符的请求,所述请求包含用于标识所述客户端节点的至少一个信息项;
-获得已经向至少在所述客户端域中活动的客户端节点分配的客户端节点标识符的列表;
-向所述第一客户端节点分配不属于获得的列表的客户端节点标识符;
-在本地存储器中记录分配的标识符和用于标识所述第一客户端节点的所述信息项之间的关联;
-向所述第一客户端节点发送响应,包含所述分配的标识符;以及
-向与所述客户端域相关联的至少一个流量管理服务器发送用于记录分配给所述客户端域中的所述第一客户端节点的所述标识符的请求。
13.一种客户端节点,包括至少一个处理器,所述客户端节点被配置为管理与客户端域相关联的流量,其特征在于,其包括根据权利要求12所述的用于向第一客户端节点分配标识符的设备。
14.一种服务器,包括至少一个处理器,所述服务器被配置为管理与客户端域相关联的流量以保护其免受计算攻击,实现:
-从第一客户端节点接收记录请求,所述请求包括所述第一客户端节点的标识符;
-获得所述第一客户端节点所属的所述客户端域的标识符;
-在存储器中记录与获得的客户端域的所述标识符相关联的所述第一客户端节点的标识符。
15.一种计算机可读存储介质,其上记录有计算机程序,所述计算机程序包括用于当由处理器执行时、实现根据权利要求1至10中的任一项所述的方法的程序代码指令。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1859044A FR3086776A1 (fr) | 2018-09-28 | 2018-09-28 | Procede d'allocation d'un identifiant a un nœud client, procede d'enregistrement d'un identifiant, dispositif, nœud client, serveur et programmes d'ordinateurs correspondants. |
FR1859044 | 2018-09-28 | ||
PCT/FR2019/052279 WO2020065232A1 (fr) | 2018-09-28 | 2019-09-26 | Procédé d'allocation d'un identifiant à un nœud client, procédé d'enregistrement d'un identifiant, dispositif, nœud client, serveur et programmes d'ordinateurs correspondants |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112771833A CN112771833A (zh) | 2021-05-07 |
CN112771833B true CN112771833B (zh) | 2023-06-06 |
Family
ID=65685535
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980064096.9A Active CN112771833B (zh) | 2018-09-28 | 2019-09-26 | 标识符的分配方法、记录方法、设备、客户端节点、服务器和介质 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20220038473A1 (zh) |
EP (1) | EP3857848B1 (zh) |
CN (1) | CN112771833B (zh) |
ES (1) | ES2932499T3 (zh) |
FR (1) | FR3086776A1 (zh) |
WO (1) | WO2020065232A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3086821A1 (fr) * | 2018-09-28 | 2020-04-03 | Orange | Procedes de collaboration et de demande de collaboration entre services de protection associes a au moins un domaine, agents et programme d’ordinateur correspondants. |
US11637710B2 (en) * | 2019-12-10 | 2023-04-25 | Jpmorgan Chase Bank, N.A. | Systems and methods for federated privacy management |
WO2022152377A1 (en) * | 2021-01-14 | 2022-07-21 | Telefonaktiebolaget Lm Ericsson (Publ) | MITIGATING DDoS ATTACKS |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103067385A (zh) * | 2012-12-27 | 2013-04-24 | 深圳市深信服电子科技有限公司 | 防御会话劫持攻击的方法和防火墙 |
CN105262722A (zh) * | 2015-09-07 | 2016-01-20 | 深信服网络科技(深圳)有限公司 | 终端恶意流量规则更新方法、云端服务器和安全网关 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1655928A1 (en) * | 2004-11-05 | 2006-05-10 | Hitachi, Ltd. | Method and apparatus for allocating a unique identifier to a network node |
US7653352B2 (en) * | 2005-12-22 | 2010-01-26 | Motorola, Inc. | Method and apparatus for self-assigning addresses |
US20080161008A1 (en) * | 2006-12-27 | 2008-07-03 | Enoch Porat | Method and system for identification of a communication device in a wireless communication network |
US9137135B2 (en) * | 2011-11-14 | 2015-09-15 | Jds Uniphase Corporation | Selective IP address allocation for probes that do not have assigned IP addresses |
US8935430B2 (en) * | 2012-06-29 | 2015-01-13 | Verisign, Inc. | Secondary service updates into DNS system |
CN104618351A (zh) * | 2015-01-15 | 2015-05-13 | 中国科学院信息工程研究所 | 一种识别dns欺骗攻击包及检测dns欺骗攻击的方法 |
CN105610852A (zh) * | 2016-01-15 | 2016-05-25 | 腾讯科技(深圳)有限公司 | 处理ack洪泛攻击的方法和装置 |
US20170345009A1 (en) * | 2016-05-25 | 2017-11-30 | Mastercard International Incorporated | Systems and Methods for Use in Facilitating Network Transactions |
US10728280B2 (en) * | 2016-06-29 | 2020-07-28 | Cisco Technology, Inc. | Automatic retraining of machine learning models to detect DDoS attacks |
US10382480B2 (en) * | 2016-10-13 | 2019-08-13 | Cisco Technology, Inc. | Distributed denial of service attack protection for internet of things devices |
US10305931B2 (en) * | 2016-10-19 | 2019-05-28 | Cisco Technology, Inc. | Inter-domain distributed denial of service threat signaling |
US9756075B1 (en) * | 2016-11-22 | 2017-09-05 | Acalvio Technologies, Inc. | Dynamic hiding of deception mechanism |
-
2018
- 2018-09-28 FR FR1859044A patent/FR3086776A1/fr not_active Withdrawn
-
2019
- 2019-09-26 EP EP19802235.2A patent/EP3857848B1/fr active Active
- 2019-09-26 CN CN201980064096.9A patent/CN112771833B/zh active Active
- 2019-09-26 ES ES19802235T patent/ES2932499T3/es active Active
- 2019-09-26 WO PCT/FR2019/052279 patent/WO2020065232A1/fr unknown
- 2019-09-26 US US17/279,999 patent/US20220038473A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103067385A (zh) * | 2012-12-27 | 2013-04-24 | 深圳市深信服电子科技有限公司 | 防御会话劫持攻击的方法和防火墙 |
CN105262722A (zh) * | 2015-09-07 | 2016-01-20 | 深信服网络科技(深圳)有限公司 | 终端恶意流量规则更新方法、云端服务器和安全网关 |
Also Published As
Publication number | Publication date |
---|---|
EP3857848B1 (fr) | 2022-08-31 |
WO2020065232A1 (fr) | 2020-04-02 |
CN112771833A (zh) | 2021-05-07 |
FR3086776A1 (fr) | 2020-04-03 |
EP3857848A1 (fr) | 2021-08-04 |
US20220038473A1 (en) | 2022-02-03 |
ES2932499T3 (es) | 2023-01-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3433993B1 (en) | Secure resource-based policy | |
US8413238B1 (en) | Monitoring darknet access to identify malicious activity | |
US20180198828A1 (en) | Identity-Based Internet Protocol Networking | |
CN112771833B (zh) | 标识符的分配方法、记录方法、设备、客户端节点、服务器和介质 | |
US11595385B2 (en) | Secure controlled access to protected resources | |
EP3545451B1 (en) | Automatic forwarding of access requests and responses thereto | |
CA3152253A1 (en) | Network cyber-security platform | |
CN115134175B (zh) | 一种基于授权策略的安全通讯方法及装置 | |
CN112789836B (zh) | 保护客户端域的方法、对应客户端节点、服务器和计算机程序 | |
EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
US10659497B2 (en) | Originator-based network restraint system for identity-oriented networks | |
US20220414211A1 (en) | Method for coordinating the mitigation of a cyber attack, associated device and system | |
CN112514350B (zh) | 用于核实ip资源的有效性的方法以及相关联的访问控制服务器、验证服务器、客户端节点、中继节点和计算机程序 | |
US11563816B2 (en) | Methods for managing the traffic associated with a client domain and associated server, client node and computer program | |
CN113056896B (zh) | 在与至少一个域相关联的保护服务之间进行协作和请求协作的方法、相应的代理和计算机程序 | |
US11916957B1 (en) | System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network | |
US20240007440A1 (en) | Persistent IP address allocation for virtual private network (VPN) clients | |
CN113992412B (zh) | 一种云原生防火墙的实现方法及相关设备 | |
CN117914505A (zh) | 控制终端安全访问互联网和内网的方法及设备 | |
WO2024003539A1 (en) | Persistent ip address allocation for virtual private network (vpn) clients | |
CN116896456A (zh) | 通信方法及装置 | |
CN116015692A (zh) | 一种网络准入控制方法、装置、终端及存储介质 | |
JP2006101414A (ja) | ネットワーク管理装置及びネットワーク管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |