自动配置服务器和方法技术

要求保护一种由自动配置服务器执行的用以防止因特网协议地址欺骗的方法以及一种自动配置服务器。该自动配置服务器经由宽带网络中的至少一个负载均衡器耦合到至少一个家庭网络中的至少一个设备，该至少一个设备包括至少一个网关设备。自动配置服务器通过使用超文本传输协议http之上的CPE WAN管理协议CWMP来远程管理设备。该方法包括从设备接收CWMP通知消息的步骤；以及‑由确定器根据CWMP数据模型参数根据上述消息确定网关设备的公共IP地址的步骤；以及‑由获取器从通知消息的http级别的http报头字段中的X‑Forwarded For字段中获取转发IP地址的步骤；以及‑由比较器比较公共IP地址与转发IP地址并且判断是否存在欺骗的步骤。获取步骤还通过以下方式来执行：根据宽带网络中的网络拓扑结构，预定至少一个负载均衡器的数目(n)，CWMP消息通过该数目的至少一个负载均衡器以便到达自动配置服务器；并且依据最后n个IP地址从X‑Forwarded For字段中选择转发IP地址。

Automatic configuration server and method

It is required to protect an automatic configuration server that prevents internet protocol address spoofing and an automatic configuration server. The automatic configuration server is coupled to at least one device in at least one home network via at least one load equalizer in a broadband network, and at least one device includes at least one gateway device. The automatic configuration server remotely manages the device by using the CPE WAN management protocol CWMP over the Hypertext Transfer Protocol HTTP. The method includes the steps of receiving the CWMP notification message from the device; and the step of determining the common IP address of the gateway device by the determiner according to the CWMP data model parameters according to the above message; and the step of obtaining the forwarding IP address in the X For field of the HTTP header field from the HTTP level of the notification message. And the steps of comparing the common IP address and the forwarding IP address by the comparator and judging whether there is deception. The acquisition step is also performed in the following way: according to the network topology in the broadband network, the number of at least one load equalizer (n) is predetermined, and the CWMP message passes at least one load balancer to reach the automatic configuration server through this number, and is selected from the X Forwarded For field according to the final n IP address. Send the IP address.

【技术实现步骤摘要】
【国外来华专利技术】自动配置服务器和方法本专利技术涉及一种用以防止因特网协议地址欺骗的自动配置服务器及相关方法。这种自动配置服务器(或简称为ACS)在本领域中是已知的，并且最终经由宽带网络中的一个或多个负载均衡器耦合到家庭网络中的不同种类的设备，诸如网关设备和局域网设备(LAN设备)。注意，本申请中的命名的负载均衡器也可以通过反向/转发代理来实现。这种自动配置服务器能够借助于超文本传输协议(简称http)之上的客户驻地设备广域网管理协议(简称CPEWAN管理协议CWMP)来远程管理不同家庭网络中的设备。宽带论坛TR-069(技术报告069)将该CWMP协议及其远程过程调用消息RPC定义为简单对象访问协议SOAP消息。家庭网络中的设备[网关，或者是LAN设备(即，网关后面的用户设备)]正在发送TR-069通知(Inform)消息以与ACS服务器进行通信。无论何时建立与ACS的会话，设备都会调用通知方法来启动事务序列。这些通知消息可以是因为如引导、设备引导程序、参数值变化等事件而被触发的，或者它可能是由ACS定期调度的周期性通知。由诸如网关等设备传输的通知消息包含根据TR-069数据模型参数的网关的公共因特网协议地址，例如：InternetGatewayDevice.WANDevice.1.WANConnectionDevice.1.WANIPConnection.2.ExternalIPAddress＝156.20.25.67这种公共因特网协议地址(公共IP地址)可以由运营支持系统在设备服务提供期间使用。事实上，ACS可以进一步向运营支持系统报告公共IP地址，并且基于公共IP地址，运营支持系统可能会将公共IP地址与特定客户的配置文件相关联，并且可以使用客户特定的数据(其可以包括服务相关的参数和密码)来配置设备。以这种方式，攻击者可以获得对被欺骗设备的第三方服务凭证的未授权访问，并且通过欺骗通知消息中的公共IP地址来执行非法活动。用以防止因特网协议地址欺骗的一般方法由ACS服务器通过使用客户端的IP地址(即，传输通知消息的设备的IP地址)检查通知消息中的公共IP地址来执行。这个客户端IP地址可以从因特网协议分组中获取，或者在设备与ACS之间存在反向(reverse)/转发(forward)代理或负载均衡器的情况下，可以从X-Forwarded-ForHttp报头中获取。如果这两个地址相匹配，则可以处理通知消息，如果它们不匹配，则将通知消息作为欺骗而丢弃。必须解释，如果在设备与自动配置服务器之间存在一个或多个反向/forward代理和/或负载均衡器，则从X-Forwarded-For属性中读取公共IP地址。X-Forwarded-For属性保存开始于起始地址的通过逗号分隔的因特网协议地址的列表。一般格式是：X-Forwarded-For：客户端的IP地址，proxy1的IP地址，proxy2的IP地址。最先的是原始客户。在实践中，这通常被称为“最左边”。这表示，客户端的IP地址在这些第一地址的预定位置被输入到字段中。传递消息的每个连续的代理或负载均衡器添加它从其接收请求的网络元件的IP地址。此后，这样的列表中的这种IP地址被称为“转发IP地址”。一个接一个的IP地址按照预定的规则被输入到列表中，这些规则遵循传递消息的顺序。然而，攻击者可能会欺骗X-Forwarded-Forhttp报头属性并且添加虚假的因特网协议地址。例如，当客户驻地设备根据以下路线来联系自动配置服务器ACS时：CPE(ip1)-->LB(ip2)-->LB(ip3)-->ACS(ip4)其中CPE：客户驻地设备LB：负载均衡器ACS：自动配置服务器在括号之间的是设备的因特网协议地址。当ACS接收到请求时，X-Forwarded-For列表应当是：“ip1，ip2”。ACS将读取最先的IP地址作为公共IP地址，即实际上是CPE的IP地址。但是，如果黑客欺骗报头并且在第一消息中发送X-Forwarded-For：(ip5)，则ACS将接收另一列表：“ip5，ip1，ip2”。ACS将再次读取转发IP地址的值作为最先的IP地址(最左边)。但是，该转发IP地址不是CPE的IP地址，而是(ip5)，即黑客的地址。这是欺骗的指示。但是，如果黑客上升了一级，并且还改变了通知消息中的公共IP地址，则两个地址将排队，即公共IP地址和转发IP地址将再次排队。具有ip5地址的黑客设备可以访问意图用于被欺骗设备[CPE(ip1)]的信息作为例如凭证和配置。本专利技术的目的是提供用于由自动配置服务器执行的方法和上述已知类型的自动配置服务器本身，但是其中提供了一种解决方案，以便在两种欺骗被引入时仍然识别黑客。实际上，提供了一种用于防止因特网协议地址欺骗的方法，由经由宽带网络中的至少一个负载均衡器耦合到至少一个家庭网络中的至少一个设备的自动配置服务器来执行，至少一个设备包括至少一个网关设备。该方法包括使用超文本传输协议之上的CPEWAN管理协议来远程管理设备。该方法还包括以下步骤：-接收器从设备接收CWMPINFORM消息；以及-由确定器根据CWMP数据模型参数来从上述消息确定网关设备的公共IP地址；以及-由获取器从消息的http级别的http报头字段中的X-ForwardedFor字段中获取转发IP地址；以及-由比较器比较两个确定的地址，即公共IP地址和转发IP地址，并且根据比较来判断是否存在欺骗。然而，与已知的方法和已知的自动配置服务器不同，本专利技术的ACS通过以下操作来执行上述获取步骤-首先，根据宽带网络中的网络拓扑，预定至少一个负载均衡器的数目(n)，CWMP消息通过该数目的至少一个负载均衡器以便到达自动配置服务器；以及-其次，依据最后n个IP地址从X-ForwardedFor字段中选择转发IP地址。因此，根据本专利技术，上述目的由于以下事实而被实现：该解决方案指定了设备经过以到达ACS的网络拓扑中的代理的数目(n)并且基于这个配置[即，根据这个数目(n)]读取转发IP地址。专利技术人提供了如下认识：X-forwardedFor字段中的转发地址的列表中的最先的IP地址(最左边)并不一致地在http级别提供有效地发送通知消息的设备的地址但是通过有效的选择，这个设备可以被ACS基于宽带网络的拓扑结构而找到。必须解释，LAN设备和GW设备在其通知消息中具有不同的参数集。对于网关后面的LAN设备，数据模型参数开始于“Device”，即Device.LAN.IPAddress。对于网关设备，它开始于“InternetGatewayDevice”，即“InternetGatewayDevice.WANDevice.1.WANConnectionDevice.1.WANIPConnection.2.ExternalIPAddress”。通过这种方式，ACS可以从数据模型参数中认识到通知消息来自网关设备或LAN设备。此外，与针对网关设备相比，针对LAN设备，公共IP地址由ACS以不同的方式来确定。本专利技术的另一特性特征在于，在CWMP通知消息是确实来自家庭网络中的网关设备的网关通知消息的情况下，确定网关设备的公共IP地址的步骤包括：-根据来自消息发送方的IP本文档来自技高网...

【技术保护点】
一种由自动配置服务器(ACS)执行的用以防止因特网协议地址欺骗的方法，所述自动配置服务器(ACS)经由宽带网络中的至少一个负载均衡器(LB1，LB2，...)耦合到至少一个家庭网络中的至少一个设备(DEV1，CPE1，...)，所述至少一个设备(DEV1，CPE1，...)包括至少一个网关设备(CPE1，...)，所述方法包括通过使用超文本传输协议(http)之上的CPE WAN管理协议(CWMP)来远程管理所述设备，所述方法包括从所述设备接收CWMP通知消息的步骤以及‑根据CWMP数据模型参数来从所述消息确定所述网关设备的公共IP地址(IP‑Public)的步骤；以及‑从所述通知消息的http级别的http报头字段中的X‑Forwarded For字段(XFF)获取转发IP地址(IP‑Forw)的步骤；以及‑比较所述公共IP地址(IP‑Public)与所述转发IP地址(IP‑Forw)并且据此来判断是否存在欺骗的步骤，其特征在于通过以下来执行所述获取步骤：‑根据所述宽带网络中的网络拓扑，预定所述至少一个负载均衡器(LB1，LB2)的数目(n)，所述CWMP消息通过所述数目的所述至少一个负载均衡器(LB1，LB2)以便到达所述自动配置服务器(ACS)；以及‑依据最后n个IP地址，在所述X‑Forwarded For字段(XFF)中选择所述转发IP地址(IP‑Forw)。...

【技术特征摘要】
【国外来华专利技术】2015.09.10 EP 15306380.51.一种由自动配置服务器(ACS)执行的用以防止因特网协议地址欺骗的方法，所述自动配置服务器(ACS)经由宽带网络中的至少一个负载均衡器(LB1，LB2，...)耦合到至少一个家庭网络中的至少一个设备(DEV1，CPE1，...)，所述至少一个设备(DEV1，CPE1，...)包括至少一个网关设备(CPE1，...)，所述方法包括通过使用超文本传输协议(http)之上的CPEWAN管理协议(CWMP)来远程管理所述设备，所述方法包括从所述设备接收CWMP通知消息的步骤以及-根据CWMP数据模型参数来从所述消息确定所述网关设备的公共IP地址(IP-Public)的步骤；以及-从所述通知消息的http级别的http报头字段中的X-ForwardedFor字段(XFF)获取转发IP地址(IP-Forw)的步骤；以及-比较所述公共IP地址(IP-Public)与所述转发IP地址(IP-Forw)并且据此来判断是否存在欺骗的步骤，其特征在于通过以下来执行所述获取步骤：-根据所述宽带网络中的网络拓扑，预定所述至少一个负载均衡器(LB1，LB2)的数目(n)，所述CWMP消息通过所述数目的所述至少一个负载均衡器(LB1，LB2)以便到达所述自动配置服务器(ACS)；以及-依据最后n个IP地址，在所述X-ForwardedFor字段(XFF)中选择所述转发IP地址(IP-Forw)。2.根据权利要求1所述的方法，其特征还在于在所述CWMP通知消息是网关通知消息的情况下，确定的所述步骤由此包括：-根据所述CWMP数据模型参数来从所述消息的发送方的IP地址字段获取所述公共IP地址(IP-Public)的步骤。3.根据权利要求1所...

【专利技术属性】
技术研发人员：B·达尼斯科，杨继刚，
申请(专利权)人：阿尔卡特朗讯，
类型：发明
国别省市：法国,FR