针对欺诈报文保护通信网络的网络保护实体和方法技术

一种针对欺诈报文保护通信网络的网络保护实体(100)包括：物理接口(101，FE0)，其具有与之关联的用以接收通信报文(102)的连接干线(T1)，该通信报文(102)包括报文源地址(X)和端口编号(P)且被定向至通信网络内的目的地；用于存储合适表(105)的存储器(103)，该表(105)适于指示物理接口(101，FE0)和关联连接干线(T1)的专用源地址(A)和专用端口编号(P1)；以及处理器(107)，用于从存储器(103)获取专用源地址(A)和专用端口编号(P)，将报文源地址(X)与专用源地址(A)比较，并将端口编号(P)与专用端口编号(P1)比较，处理器(107)还用于当报文源地址(X)与专用源地址(A)不同或端口编号(P)与专用端口编号(P1)不同时将通信报文(102)丢弃。

【技术实现步骤摘要】
【国外来华专利技术】针对欺诈报文保护通信网络的网络保护实体和方法
本专利技术涉及一种针对欺诈报文保护通信网络的网络保护实体，以及一种针对欺诈报文保护通信网络的方法。
技术介绍
在过去的几十年中，针对通信网络的欺诈报文一直在稳步增加。目前，世界范围内约有195个国家或主权国家，而且随着数十年来全球范围内出现的种族和政治纷争，该数字还有可能增加。由于新的企业开始部分提供数据云等业务，提供者网络和目的地网络的数量在不断增长。在未来几年内，源于移动和/或以移动为目的地的IP流量将迅猛增长。手持设备的安全性非常易于遭受攻击，许多(新式)攻击以新的方式发生于那些完全相信其帐号不会成为攻击目标的人群和/或机构。仅仅在过去五年内，德国的IP犯罪率就上升了约50％。由于现有IPv4的HTTP匿名性、用于无状态IPv6地址隐私扩展的RFC4941等原因，此方面并无任何“监管人”，预计也不会做出改进。在不久的将来，预期既不会出现IP地址的透明化，也不会出现由国家主持的全面预防，甚至IP犯罪率的跟踪。因此，存在一种针对犯罪用户的欺诈报文更好地保护通信网络的需求。
技术实现思路
本专利技术的目的在于，为通信网络提供此种针对欺诈报文的保护。此目的由独立权利要求的特征实现。从附属权利要求、说明书和附图中，可容易理解地了解其他实施形式。本专利技术的核心思想在于通过提供一种网络保护实体，防止IP和端口欺诈攻击通信网络，所述网络保护实体例如为所述通信网络的网关或提供商边缘路由器，该网络保护实体具有收集其自身指向所述接收网络(即所述网关或提供商边缘路由器所负责的上述通信网络)内的目的地的通信报文的IP地址和端口编号通常会以的接口和干线进入所述网关或提供商边缘路由器的信息的功能。这些通信报文的细节可保存于所述网络保护实体的存储器的表内，以供对欺诈报文进行检测，以避免其进入所述通信网络。所述表可按时间间隔更新，以允许动态IP地址配置发生变化。上述表可通过发送生存时间字段为1(至下一跳为止)的所有可能的IP地址/端口编号组合的方式设置。以此原则，所述网络保护实体可为其表内的每个特定IP地址和端口编号设置合适的接口和干线。一个连接(即源的带端口编号IP地址至目的地的IP地址和端口编号)的所有数据包总是在进出两个方向上均使用相同的路径。当优选在提供商网络边缘使用按上述方式设置的网络保护实体或方法时，所有未以所述网络保护实体的正确接口和干线进入的IP流量将被丢弃，从而不能进入该流量的目的地网络，因此以任何匿名方式进行并从而在大多数情况下难以通过外部检测识别的IP欺诈将在向不知情用户发送病毒等破坏性软件的途中消亡。当在网络中实施上述网络保护实体或相应方法时，以其他用户为目标的恶意IP传输仅在使用真实IP地址和端口时才能成功实施。如此，即可更加容易地对任何形式的所有损害进行调查，并以更快的速度及更大的可能性按现行普遍做法将其绳之于法。为了详细描述本专利技术，将使用以下词语、缩写及符号：HPLMN：本地公用陆地移动网络IP:互联网协议ISO:国际标准化组织ISP:互联网服务提供商OSI:开放系统互连模型PE:提供商边缘；网络边缘TTL:生存时间根据本专利技术的方法和装置可用于提供数据包或数据帧的OSI第2层检查。OSI第2层参考模型(正式名称为ISO标准1984，7498-1:1994及CCITT标准X.200)由互联网架构委员会制定，并由IETF起草。OSI第2层规定了用于数据报的安全和无故障传输的数据链路层。在该层内，数据包被编码及解码成比特。其提供传输协议知识和传输协议管理，并对物理层、流控制和帧同步中的错误进行处理。数据链路层分为两个子层：媒体访问控制(MAC)层和逻辑链路控制(LLC)层。MAC子层控制网络内的计算机获得对数据的访问以及获得数据的传输权限。LLC层控制帧同步、流量控制和错误检查。根据本专利技术的方法和装置可使用合适表(或简称为表)指示物理接口和关联连接干线的指向接收网络内目的地的专用源地址和专用端口编号。在下文中，合适表是指可使用的任何适合于、适宜于或适应于保存所述物理接口和关联连接干线的专用源地址和专用端口编号的表。该表可排列组织成动态数组，或包括列和行的简单表，或可用于上述目的的任何种类的存储结构。该表可适于保存所述专用源地址和专用端口编号至所述物理接口和关联连接干线的映射。在以下描述中，无需赘言的是，发送至所述接收网络的报文旨在由所述目的地的IP地址和端口编号接收。一个连接(即源的带端口编号IP地址至目的地的IP地址和端口编号)的所有数据包总是在进出两个方向上均使用相同的路由。根据第一方面，本专利技术涉及一种针对欺诈报文保护通信网络的网络保护实体，该网络保护实体包括：物理接口及连接线路，该连接线路可具有多条已定义干线，该连接干线与所述物理接口相关联并用于接收通信报文，该通信报文包括报文源地址和端口编号。所述网络保护实体还包括用于存储上述合适表的存储器，该合适表指示所述网络保护实体的带干线物理接口的唯一一个专用带端口源地址；以及处理器，该处理器用于从所述存储器获取所述至少一个被允许的带端口编号源地址，并将该报文源地址及其端口与所述唯一一个带专用端口的专用源IP地址相比较，其中，所述处理器还用于，当所述数据报籍以进入所述网络保护实体的报文源地址和端口与针对所述特定IP地址和端口保存的接口和干线入口实体不同时，将所述通信报文丢弃。这通过提供所述网络保护实体实现，该网络保护实体例如为所述通信网络的网关或提供商边缘路由器，该网络保护实体具有收集其自身通信报文的报文源地址和端口通常会以的接口和具体干线进入该网络保护实体的信息的功能。这些通信报文的细节保存于所述网络保护实体的存储器内的所述合适表中，以供仅通过当带端口的报文源地址与所述合适表内保存的所述网络保护实体的带干线物理接口的被允许的带合适端口的源地址不同时将该通信报文丢弃的简单方式，检测欺诈报文，以避免其进入所述通信网络。在根据所述第一方面的一种实现形式中，所述处理器用于根据经所述物理接口和干线发送的用于填入所述表内的IP报文创建所述合适表的内容，其中，被发送的用于填入所述表的IP报文的生存时间字段设置为1。其所实现的优点在于，通过发送生存时间(TTL)字段设置为1的上述报文，可仅将此类通信报文细节存入所述合适表中，从而创建信任关系。在传输的另一端(即接收端)，TTL＝1字段对于接收节点而言，意味着所述报文从上一跳进入该节点，TTL＝1变为TTL＝0，并将被丢弃。在根据所述第一方面的一种实现形式中，所述物理接口包括用于接收所述通信报文的连接干线；所述合适表指示所述物理接口和连接干线组合的数据报应该籍以进入所述网络保护实体的至少一个被允许的带特定端口源IP地址。当所述合适表存有物理接口和该物理接口关联连接干线组合的被允许的带特定端口源IP地址时，所要求的配置信息程度更高，从而可进一步提高针对欺诈报文的检测和防御。攻击者需要更多关于所述特定网关/路由器配置的信息和洞察力才能为仅一种特定攻击生成可经数据报通过所述网络保护实体的欺诈报文(无论形式如何)，因此其仅在极端情况下才能造成损坏。在根据所述第一方面的一种实现形式中，所述通信报文的报文源地址包括IP源地址和端口编号，所述合适表指示所述物理接口和连接干线组合的被允许的IP源本文档来自技高网...

【技术保护点】
一种针对欺诈报文保护通信网络的网络保护实体(100)，其特征在于，所述网络保护实体(100)包括：物理接口(101，FE0)，包括连接干线(T1)，所述连接干线与所述物理接口(FE0)相关联，以接收通信报文(102)，其中，所述通信报文(102)包括报文源地址(X)和端口编号(P)，所述通信报文定向至所述通信网络内的目的地；存储器(103)，用于存储合适表(105)，所述合适表(105)适于指示所述物理接口(101，FE0)和相关联的所述连接干线(T1)的专用源地址(A)和专用端口编号(P1)；以及处理器(107)，用于从所述存储器(103)获取所述专用源地址(A)和所述专用端口编号(P)，并将所述报文源地址(X)与所述专用源地址(A)相比较，以及将所述端口编号(P)与所述专用端口编号(P1)相比较，所述处理器(107)还用于，当所述报文源地址(X)与所述专用源地址(A)不同，或者当所述端口编号(P)与所述专用端口编号(P1)不同时，将所述通信报文(102)丢弃。

【技术特征摘要】
【国外来华专利技术】2015.03.27 EP 15161362.71.一种针对欺诈报文保护通信网络的网络保护实体(100)，其特征在于，所述网络保护实体(100)包括：物理接口(101，FE0)，包括连接干线(T1)，所述连接干线与所述物理接口(FE0)相关联，以接收通信报文(102)，其中，所述通信报文(102)包括报文源地址(X)和端口编号(P)，所述通信报文定向至所述通信网络内的目的地；存储器(103)，用于存储合适表(105)，所述合适表(105)适于指示所述物理接口(101，FE0)和相关联的所述连接干线(T1)的专用源地址(A)和专用端口编号(P1)；以及处理器(107)，用于从所述存储器(103)获取所述专用源地址(A)和所述专用端口编号(P)，并将所述报文源地址(X)与所述专用源地址(A)相比较，以及将所述端口编号(P)与所述专用端口编号(P1)相比较，所述处理器(107)还用于，当所述报文源地址(X)与所述专用源地址(A)不同，或者当所述端口编号(P)与所述专用端口编号(P1)不同时，将所述通信报文(102)丢弃。2.如权利要求1所述的网络保护实体(100)，其特征在于，所述处理器(107)用于根据经所述物理接口(101，FE0)发送的IP报文创建所述合适表(105)的内容，在所述IP报文中，生存时间字段设置为1。3.如权利要求1或2所述的网络保护实体(100)，其特征在于，所述合适表(105)指示所述物理接口(101，FE0)和相关联的所述连接干线(T1)的组合的所述专用源地址(A)和所述专用端口编号(P)。4.如权利要求3所述的网络保护实体(100)，其特征在于，所述合适表(105)指示所述物理接口(101，FE0)和相关联的所述连接干线(T1)的组合的被允许的IP源地址(X)和端口编号(P)的组合。5.如权利要求4所述的网络保护实体(100)，其特征在于，所述通信报文(102)的所述报文源地址(X)和相关联的所述端口编号(P)还包括网络掩码、最大传输单元字节数和速度信息；以及所述合适表(105)指示所述物理接口(101，FE0)和相关联的所述连接干线(T1)的组合的被允许的IP源地址(X)和端口编号(P)的组合。6.如前述权利要求中任一项所述的网络保护实体(100)，其特征在于，所述处理器(107)用于按照一时间间隔更新所述合适表(105)，以允许报文源地址(X)动态变化的有效通信报文(102)进入所述通信网络。7.如前述权利要求中任一项所述的网络保护实体(100)，其特征在于，所述处理器(107)用于根...

【专利技术属性】
技术研发人员：弗里乔夫·范登贝赫，
申请(专利权)人：德国电信股份公司，
类型：发明
国别省市：德国,DE