通过当出现疑似高注册业务时发布伪造的认证挑战,SIP防火墙(110)保护IMS网络免受基于SIP注册的DoS/DDoS攻击。伪造的认证挑战包括在挑战响应中使用的可预测的随机数,从而促使用户成为状态感知的,并促使用户从有效的IP地址发布SIP注册请求,以便成功地响应伪造的认证挑战。当确认挑战响应和伪造的认证挑战之间的关联时,防火墙(110)打开到核心网络(116)的受保护节点的注册窗口。在这种方式下,防火墙(110)为(未认证的)合法用户打开注册窗口,且在不影响或涉及受保护节点的情况下,停止注册的DDoS模式(或者至少使它们非常困难或成本很高)。
【技术实现步骤摘要】
【国外来华专利技术】用于IP多媒体子系统(IMS)核心以防御基于SIP注册的DOS/ODDS攻击的会话初始化协议(SIP)防火墙
概括地,本专利技术涉及通信系统,并且更具体地,本专利技术涉及用于保护IMS网络免受基于SIP的攻击的防火墙。
技术介绍
当前受到欢迎的一种通信网络是IP多媒体子系统(IMS)网络。如在第三代合作伙伴计划(3GPP)或3GPP2中所提出的,IMS为汇聚网络提供具有接入无关网络架构的通用核心网络。服务提供商正在下一代网络演进中使用该架构以便为移动用户(以及还有固定接入用户)提供多媒体服务。IMS使用IP(国际互联网协议),并且更具体地使用会话初始化协议(SIP)以作为呼叫控制协议。随着IMS网络部署的激增,需要确保IMS基础结构(“IMS核心”)免受基于SIP的攻击。这样处理的一个方式是通过SIP防火墙,其中将SIP防火墙松散地定义为阻挡通过SIP消息设置的攻击的设备。SIP防火墙必须处理的最困难的攻击是分布式拒绝服务(DDOS)攻击,例如包括利用来自大量来源的格式正确和SIP兼容的注册请求对SIP防火墙进行大量的泛洪以使网络过载。接入边界是最容易受到攻击的,因为接入网络可以是部分或全部共用的,连接接入边界的固定或移动用户的数量可以非常大,这使得“每个订户”的安全规则不可实现。为了使情况复杂,订户(或黑客)可通过SIP代理连接,或通过PBX,使得基于IP源的拒绝规则无效。有利的是,防火墙可阻止泛洪以保护下一节点(被称为受保护节点),但是另一方面,防火墙一定不能关门以便对来自合法用户的注册进行初始化,否则DDOS攻击会成功。由于仅下一受保护的节点可执行认证,因为在IMS网络中,防火墙没有办法区分“好的”注册(也就是,来自合法用户)和“坏的”注册(也就是,与DDOS攻击相关联),因此这是个复杂的问题。
技术实现思路
通过防火墙(在一个实施例中,SIP防火墙)执行算法以防御DDoS攻击,解决了现有技术中的这种问题,并且得到了进步:防火墙适于允许来自合法用户的(非认证)注册,且在不影响或涉及受保护的节点的情况下,停止注册的DDoS模式(或者至少使它们非常困难或成本高)。在一个实施方式中,提供一种由驻留在接入网络和核心网络之间的防火墙实现的方法。防火墙相对于一个或多个门限(例如,非限制性地,过载门限和注册失败门限)监测注册消息业务,注册消息业务包括从尝试获得对核心网络的接入的多个用户设备发布的注册请求。响应于注册消息业务超出一个或多个门限中的任一个,防火墙利用伪造认证挑战对多个注册请求进行挑战;并且接收响应于伪造认证挑战的多个挑战响应。防火墙确认挑战响应和用于一个或多个用户设备的相应的伪造认证挑战之间的关联;并且从具有挑战响应和相应的伪造认证挑战之间的确认关联的一个或多个用户设备打开到核心网络的注册窗口。在另一实施方式中,提供一种适于在接入网络和核心网络之间操作的防火墙装置。防火墙包括存储器和与存储器耦合的至少一个处理器。将处理器配置为相对于一个或多个门限(例如,非限制性地,过载门限和注册失败门限)来监测注册消息业务,注册消息业务包括从尝试获得接入核心网络的多个用户设备发布的注册请求。响应于注册消息业务超出一个或多个门限中的任一个,处理器利用伪造认证挑战对多个注册请求进行挑战;并且接收响应于伪造认证挑战的多个挑战响应。将处理器进一步配置为确认挑战响应和相应的伪造认证挑战之间的关联;并从具有挑战响应和相应的伪造认证挑战之间的确认关联的一个或多个用户设备打开到核心网络的注册窗口。在又一个实施方式中,提供一种由驻留在接入网络和IMS核心网络之间的防火墙实现的方法。SIP防火墙相对于一个或多个门限(例如,非限制性地,过载门限和注册失败门限)来监测SIP注册消息业务,SIP注册消息业务通常包括来自尝试获得接入IMS核心网络的一个或多个用户设备中的每个用户设备的第一和第二SIP注册请求。响应于SIP注册消息业务超出一个或多个门限中的任一个,SIP防火墙利用伪造认证挑战对多个第一SIP注册请求进行挑战;并且接收响应于伪造认证挑战的一个或多个第二SIP注册请求。SIP防火墙通过确认第二SIP注册请求和相应的伪造认证挑战之间的关联,验证一个或多个用户设备的有效IP地址和状态模式;并从具有经验证的状态模式和有效IP地址的一个或多个用户设备打开到核心网络的注册窗口。附图说明通过阅读下面的详细描述并参照附图,本专利技术的前述和其它优势会变得更明显,其中:图1描述了本专利技术示例性实施方式中包括SIP防火墙的IMS网络;和图2是描述本专利技术示例性实施方式中由SIP防火墙执行的防御初始化注册DDoS攻击的方法的流程图。具体实施方式图1描述了驻留在IP接入网络102和IP对等网络104之间的IMS网络100。接入网络102是IMS移动(或固定)用户连接IMS核心的地方:他们注册、建立SIP会话和回答SIP会话请求。IMS用户(在图中没有示出)可描述合法用户或攻击者的特征;并且他们可直接通过用户设备(UE)、通过SIP代理(汇聚来自多个用户的业务)或从PBX进行连接。将与接入网络接界的IMS网络的边界称为“接入边界”。对等网络104表示IMS网络100与任何其它IMS核心网、通过扩展与不能被信赖为IMS核心内部成员(insider)的任何应用服务器的对等连通性。将与IP对等网络接界的IMS网络100的边界称为“IP互联边界”。通常,IMS网络、接入网络和对等网络之间的消息业务可在两个功能面中的一个中进行表征:用于信令业务的控制面106和用于诸如多媒体内容的承载业务的承载面108。在IMS网络的边界,SIP防火墙110用于信令控制(也就是,在控制面106上),并且承载防火墙112用于媒体控制(也就是,在承载面108上)。将由SIP防火墙保护的IMS网络的一部分称为IMS核心114;并且将用于传送承载业务的网络的一部分称为IP核心网络116。通常,SIP防火墙110和承载防火墙112驻留在同一物理结构上,将其称为会话边界控制器(SBC)。在下文中,将对SIP防火墙110的引用理解为包括SIP防火墙的任意实现方式,是否可实现在独立设备上,或与承载防火墙(例如,在SBC中)或任意其它组件集成。IMS核心114包括一个或多个受保护节点(在图中没有示出),其包含任何系统、服务器、应用或适于在IMS网络中为呼叫提供服务的功能。在组件中,受保护节点可包括用于执行诸如处理SIP注册、SIP会话请求和对用户进行认证的动作的呼叫会话控制功能(CSCF)、代理CSCP(P-CSCF)、或家庭订户服务器(HSS)。可以理解的是,受保护的节点是可驻留在一个或多个物理设备或结构中、并可物理驻留在SIP防火墙110或IMS核心114中的功能元件。SIP防火墙110的基本目的是使受保护的节点免受拒绝服务(DoS)或分布式DoS(DDoS)攻击,使得受保护的节点具有足够的资源以处理标称的负载。DDoS攻击在SIP中是重要的,这是由于异常的消息会以较高速率来发送,从而控制了SIP防火墙,并使其不能分析进入的消息负载。为了从正常的消息中分离出异常消息,SIP防火墙应当能够通过各种句法检查来分析SIP消息:长度字段匹配实际的字节计数,出现在序列中的每个消息是句法上本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2011.01.10 US 12/987,5541.一种用在通信网络中的方法,所述通信网络包括驻留在接入网络和核心网络之间的防火墙,所述方法包括所述防火墙实施以下步骤:与一个或多个门限相比较地监测注册消息业务,注册消息业务包括从尝试接入核心网络的多个用户设备发布的注册请求;响应于注册消息业务超过一个或多个门限中的任一个,利用伪造的认证挑战对多个注册请求进行挑战;接收响应于伪造的认证挑战的多个挑战响应;确认用于一个或多个用户设备的挑战响应和相应的伪造的认证挑战之间的关联;以及从具有挑战响应和相应的伪造的认证挑战之间的确认的关联的一个或多个用户设备打开到核心网络的注册窗口,以使得核心网络对所述一个或多个用户设备执行真实的认证;以及在所述核心网络对所述一个或多个用户设备执行真实的认证之前,移除所述一个或多个用户设备用来响应相应的伪造的认证挑战的认证报头。2.根据权利要求1所述的方法,其中:挑战的步骤包括响应于每个注册请求,发布包括预测的随机数值的伪造的认证挑战;以及确认关联的步骤包括确认来自一个或多个用户设备的各自挑战响应包括相应的伪造的认证挑战的预测的随机数值。3.根据权利要求1所述的方法,其中打开注册窗口的步骤包括防火墙为至少一个用户设备执行:促使用户设备再次尝试注册到核心网络;将预先可信的状态分配给用户设备以适用于预定数量的进一步注册请求;以及只要用户设备保持预先可信的状态,将由用户发布的一个或多个进一步的注册请求传递给核心网络以对用户设备进行注册。4.一种用在通信网络中的装置,所述通信网络包括驻留在接入网络和核心网络之间的防火墙,所述装置包括所述防火墙,所述防火墙包括:存储器;和与存储器耦合的至少一个处理器,将处理器配置为:与一个或多个门限相比较地监测注册消息业务,注册消息业务包括从尝试接入核心网络的多个用户设备发布的注册请求;响应于注册消息业务超过一个或多个门限中的任一个,利用伪造的认证挑战对多个注册请求进行挑战;接收响应于伪造的认证挑战的多个挑战响应;确认挑战响应和相应的伪造的认证挑战之间的关联;以及从具有挑战响应和相应的伪造的认证挑战之间的确认的关联的一个或多个用户设备打开到核心网络的注册窗口,以使得核心网络对所述一个或多个用户设备执行真实的认证;以及在所述核心网络对所述一个或多个用户设备执行真实的认证之前,移除所述一个或多个用户设备用来响应相应的伪造的认证挑战的认证报头。5.根据权利要求4所述的装置,其中符合挑战注册请求,将处理器配置为响应于每个注册请求,发布包...
【专利技术属性】
技术研发人员:T·贝西,A·V·拉娜,
申请(专利权)人:阿尔卡特朗讯公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。