本发明专利技术涉及一种用于管理根据给定传输协议进行的通信的方法,该方法由第一设备实施并且包括在检测到网络攻击之后,在该第一设备中启用(F40)与该网络的至少一个实体的协作以减轻该网络攻击的步骤,该协作包括在该第一设备根据该给定传输协议经由该网络进行的至少一次所述通信期间,由该第一设备执行(F70)至少一个确定的动作,该动作被称为协作动作。该动作被称为协作动作。该动作被称为协作动作。
【技术实现步骤摘要】
【国外来华专利技术】通信管理方法及相关联设备
[0001]本专利技术涉及一般电信领域。
[0002]更具体地,本专利技术涉及一种机制,用于在检测到网络攻击的情况下,促进在IP(互联网协议)网络内操作的安全服务的管理和操作。这样的服务可以是例如入侵或网络攻击检测服务、用于经由防火墙过滤流的服务、地址转换(或用于网络地址转换的NAT)服务等。
[0003]本专利技术尤其适用于拒绝服务(DoS)网络攻击或DDoS(分布式DoS)网络攻击。DoS攻击可以被定义为试图使计算域的资源(例如网络或计算资源)对其用户不可用。
技术介绍
[0004]DDoS攻击的规模正变得越来越大,并且可能损害数十万用户装备(固定或移动终端、连接对象、服务器、网络资源、路由器(例如CPE(代表“客户驻地装备”))、STB(代表“机顶盒”)数字解码器、服务实例(或“服务功能”)等),这些设备反过来可能被用作中继来放大这些攻击的有害力量。通过指示的方式,赛门铁克公司在其2019年的年度报告中记录了每天有近24000个嵌入移动终端的应用被这样的攻击阻止,2016年至2017年间针对连接对象的攻击增加了600%,并且2016年至2017年间的攻击流量量增加,2016年占全球网络流量的5%,而2017年为7.8%。
[0005]DDoS攻击也变得越来越频繁和激烈。此外,就其规模(攻击的流量量、攻击的幅度等)及其危害范围(以单台机器为目标,或通过以公司局域网、运营商网络等为目标从而针对多台机器)而言,它们的范围很广。这些攻击的目标或用于传播这些攻击的中继也极为不同:固定或移动终端、连接的对象、服务器、网络资源等。
[0006]为了保护其计算资源免受这样的攻击,许多公司订购了DPS(代表“DDoS保护服务”)保护服务的产品。当DPS保护服务已经订购了访问提供商时,访问提供商通常出现在进入和/或离开由DPS服务监视和保护的计算域的流量所采用的路径上。然而,在传入和/或传出流量加密的情况下,这样的DPS服务的任务可能被证明是困难的。现在,加密有所增加,尤其是随着特别是某些常用的应用对QUIC传输协议的使用越来越多,这些应用比如是Mozilla或Google等公司提供的用于访问互联网网站的浏览器。这种增加反映出希望确保其通信和在所述通信期间交换的数据的保密性的用户的主要关切。
[0007]众所周知,QUIC协议是基于UDP(用户数据报协议)协议的协议。QUIC协议的目标尤其是减少建立TCP(传输控制协议)连接时通常观察到的等待时间(从而允许更快地交换数据),并允许更好地适应支持通信的路径上的中间实体(例如,防火墙、NAT)的存在。例如,J.Iyengar等人在题为“QUIC:A UDP
‑
based multiplexed and secure transport[QUIC:基于UDP的多路复用和安全传输]”,draft
‑
ietf
‑
quic
‑
transport,2019的IETF文件中描述了QUIC协议。
[0008]根据QUIC协议,不仅在通信期间交换的有效载荷数据被加密,而且大多数通信控制信息(在QUIC协议的上下文中也通常被称为“连接”)也被加密。以未加密形式发送的QUIC信息是有限的,如图1所展示的,该图示出了短报头QUIC数据分组的结构。
[0009]这样的分组包括公共(即未加密的)报头1,该报头包括三个元素:包括各种标志|0|1|S|R|C|K|P|P|的第一字节1
‑
1,对应于允许分组被路由的连接标识符(CID)的第二元素1
‑
2,以及包含分组编号的第三元素1
‑
3。该分组还包括加密部分2,该加密部分尤其包含由该分组传输的有效载荷数据、以及各种连接控制信息,例如关于所支持的信道数量的信息、关于连接迁移的信息、关于连接标识符改变的信息等。
[0010]此外,由于QUIC协议是基于UDP传输协议的,QUIC分组不会披露对计算域入口处的流量过滤有用的任何信息,例如连接的开始和结束信息、确认等。
[0011]因此,DPS服务很难确定去往用户装备的QUIC流量是否合法(也就是说,是在QUIC分组的预期接收方的同意下接收的)或者是否可疑。因此,QUIC协议特别容易受到DDoS攻击,尤其是反射攻击和身份盗窃攻击。
[0012]解决这个问题的一种方法可以是在访问提供商的网络内部署“代理”,负责以对用户透明的方式截取他们的QUIC通信的特性数据,并分析这些特性,以确定通过他们传输的流量是合法的(换句话说,是用户同意的)还是可疑的(也就是说可能与网络攻击相关联)。为此,每个代理应该保持与通信中涉及的每个设备的连接,但无需向他们明确指出这一点。
[0013]然而,这样的方法似乎不太可行。
[0014]事实上,这样的代理将在用户不知情且未经他们明确同意的情况下实施,即使这会危及他们通信的保密性并可能损害他们的个人数据。
[0015]此外,这种方法将引入新的攻击媒介,正如Z.Durumeric等人在2017年的NDSS发表的题为“The security impact of HTTPS interception[HTTPS截取的安全影响]”的文章中强调的那样,根据该文章,对加密通信的截取使其更容易受到攻击。
[0016]每个代理还必须维护它所维护的每个连接的状态,从而需要大量资源(网络、CPU等)。因此,在发生故障(也称为SPOF(“单点故障”))时,它事实上构成了特别敏感和关键的元素。
[0017]此外,在QUIC通信的发端的设备可以是多接口的(也就是说,具有经由一个或多个网络为它们提供连接性的多个访问接口),从而建立采用多条路径或者相反仅采用一条路径的通信。位于其中一条路径上的代理看不到与这样的多接口设备相关联的全局流量。
[0018]因此,需要一种机制,该机制能够提高计算域的安全性,从而提高其用户通信的安全性(包括当这些通信是基于比如QUIC等加密传输协议时),并且能够在不危及这些通信的保密性或损害用户的个人数据的情况下做到这一点。
技术实现思路
[0019]根据第一方面,本专利技术通过提出一种用于管理网络的第一设备根据给定传输协议进行的通信的方法来解决这种需求,该方法由该第一设备实施并且包括在检测到网络攻击之后,在该第一设备上启用与该网络的至少一个实体的协作以减轻该网络攻击的步骤,该协作包括在该第一设备根据给定传输协议经由该网络进行的至少一次所述通信期间,由该第一设备执行至少一个确定的动作,该动作被称为协作动作。
[0020]相关地,本专利技术还涉及一种属于网络的第一设备,该第一设备包括启用模块,该启用模块在检测到网络攻击之后被触发,并且被配置成在该第一设备上启用与该网络的至少一个实体的协作以减轻该网络攻击,该启用模块被配置成在该协作期间,在该第一设备根
据给定传输协议经由该网络进行的至少一次通信期间,执行至少一个确定的动作,该动作被称为协作动作。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于管理网络的第一设备(4)根据给定传输协议进行的通信的方法,所述方法由该第一设备实施并且包括:在检测到网络攻击(E10)之后,在所述第一设备上启用(F40)与所述网络的至少一个实体的协作以减轻所述网络攻击的步骤,所述协作包括在所述第一设备根据所述给定传输协议经由所述网络进行的至少一次所述通信期间,由所述第一设备执行(F70)至少一个确定的动作,该动作被称为协作动作。2.如权利要求1所述的管理方法,其中,所述启用步骤是通过从该网络的所述至少一个实体接收(F10)到提出所述协作的消息来触发的。3.如权利要求1或2所述的管理方法,还包括向参与根据所述给定传输协议与所述第一设备进行的至少一次所述通信的至少一个第二设备(5)发送(F50)信息消息的步骤,该信息消息向所述第二设备通知由该第一设备执行所述至少一个协作动作。4.如权利要求3所述的管理方法,其中,所述至少一个协作动作的执行以从该第二设备接收到同意为条件。5.如权利要求3或4所述的管理方法,其中,所述信息消息包括所述协作动作的至少一个执行条件。6.一种用于与网络的第一设备(4)通信的方法,所述方法由第二设备(5)实施并且包括:
·
从该第一设备接收(G10)信息消息的步骤,该信息消息向该第二设备通知在根据给定传输协议与该第二设备进行的至少一次通信期间由该第一设备执行至少一个确定的动作,所述动作被称为协作动作并允许与该网络的至少一个实体协作,以减轻网络攻击;
·
如果所述第二设备接受执行所述协作动作,则向该第一设备通知(G30)其同意的步骤。7.如权利要求1至6中任一项所述的方法,其中,在根据所述给定传输协议进行的所述通信期间交换的至少一个数据分组包括至少一个报头,该至少一个报头以未加密形式指示用于所述通信的至少一项控制信息,该至少一项控制信息来自:
·
所述通信的建立状态;
·
同意在所述通信期间发送和/或接收数据分组;以及
·
同意或不同意所述通信。8.一种用于由网络的实体(6)与该网络的至少一个设备进行通信的方法,所述方法包括:在所述实体不能确定去往或源自所述设备的数据流是否与网络攻击相关联之后,由所述实体向所述设备发送(E60)提出设备协作以减轻所述网络攻击的消息的步骤,所述协作包括在所述设备根据给定传输协议经由所述网络进行的至少一次通信期间,由该设备执行至少一个确定的动作,该动作被称为协作动作。9.如权利要求8所述的通信方法,还包括接收至少一项信息的步骤,该至少一项信息标识去往所述设备并被所述设备同意的至少一个流,或者标识去往所述设备并被所述设备认为是与网络攻击相关联的流的至少一个流。10.如权利要求9所述的通信方法,其中,以如下方式提供所述至少一项信息:
·
在阻止命令中提供,以便通过所述实体来阻止被该设备认为是与网络攻击相关联的流的所述至少一个流;或者
·
在授权命令中提供,以便授权被该设备同意的所述至少一个流的路由。
11.如权利要求8至10中任一项所述的通信方法,还包括向所述设备发送请求以授权将在所述请求中标识的至少一个数据流路由到所述...
【专利技术属性】
技术研发人员:M布卡戴尔,C雅克内特,
申请(专利权)人:奥兰治,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。