專利名稱:Dstm通信網絡中的驗證系統和方法
技術領域:
本發明涉及互聯網協議(IP)版本4(IPv4)和IP版本6(IPv6)的地址轉換技術,更具體地,涉及一種系統和方法,用于在DSTM通信網絡中的DSTM節點和DSTM服務器之間分配IPv4地址時,來驗證雙協議棧過渡機制(DSTM)節點。
背景技術:
目前,基于因特網使用的廣泛被接受的網絡協議是互聯網協議(IP)。已經通過多種設計修改,形成了IP協議,目前,IPv4在因特網上廣泛使用。IPv4設計為相對簡單和靈活,但是具有諸如缺少可用IP地址、IP分組路由低效、驅動IP節點所需的各種配置過程的復雜性之類的缺點。
為了改進這些缺陷,提出了被稱為下一代網際互聯網協議(IPng)的IPv6,并且Ipv6成為當前的標準。結果,近來網絡設備數增加,因此IPV6網絡正在進行相當大的擴展。然而,大多數網絡設備仍用于傳統的IPv4網絡中。因此,需要IPv6網絡和IPv4網絡之間的配合操作,因而需要IP地址的互相轉換。更具體地,需要將IPv6地址轉換為IPv4地址(反之亦然)的地址轉換器,使得與IPv6網絡連接的節點和與IPv4網絡連接的節點可以配合操作和彼此通信。
目前,因特網工程任務組(IETF)正在制訂多種轉換技術標準,其中,DSTM(雙協議棧過渡機制)和網絡地址轉換-協議轉換(NAT-PT)方案較為突出。本發明涉及DSTM轉換技術。
根據DSTM,位于IPv6網絡中的終端具有IPv4和IPv6的兩個協議棧。為了能夠進行通信,當一個終端與IPv6節點連接時,使用IPv6棧,而當終端與IPv4節點連接時,在IPv4-in-IPv6隧道機制中使用IPv4棧。DSTM包括DSTM服務器、隧道端點(TEP)、以及DSTM節點(IPv6節點)。當DSTM節點意欲與IPv4網絡中的IPv4節點連接時,從DSTM服務器分配要建立隧道的TEP的IPv6地址和用于臨時使用的全球IPv4地址。目前,在IETFv6操作工作組中正在討論將動態主機配置協議版本6(DHCPv6)服務器用作DSTM服務器。
在傳統的過程中,DSTM節點獲得用于與IPv4節點通信的IPv4地址,并且面臨由DSTM節點攻擊者耗盡DSTM服務器的IPv4地址池的問題。
想要與IPv4網絡中的IPv4主機通信的DSTM節點向DSTM服務器發送地址分配請求消息以獲得IPv4地址。接收到該地址分配請求消息的DSTM服務器在自己的IPv4池中選擇地址,并響應DSTM節點。在該過程中,DSTM服務器不提供用于處理IPv4地址分配請求的任何驗證方法。這里,當在沒有任何驗證過程的情況下分配地址時,如果DSTM節點是DSTM攻擊者,則DSTM節點偽造IPv6源地址,并向DSTM服務器發送IPv4地址分配請求消息。
DSTM服務器響應于IPv4地址分配請求消息,將IPv4地址分配響應消息發送至DSTM節點。DSTM服務器分配相應IPv6地址的IPv4地址,在自己的IPv4地址映射表中記錄相應信息,以及將相應的映射信息發送至TEP,所述TEP是DSTM域的邊界路由器。TEP將接收到的映射信息存儲在映射表中。這里,接收到IPv4地址分配請求響應消息的節點實際上不存在,或者沒有生成分配請求消息。攻擊者連續地改變IPv6源地址,重復以上描述的過程,從而可以耗盡DSTM服務器的IPv4地址。
為了解決該問題,屬于IETF的V6操作工作組將DHCP(或者DHCPv6)服務器用作DSTM服務器,因此針對DSTM服務器使用動態主機配置協議(DHCP)驗證方法來驗證節點。DHCPv6驗證方法與DHCP驗證方法相同。
可以將用于DHCP的驗證方法大致分為三種。第一種將節點的媒體訪問控制(MAC)地址用于驗證。根據MAC驗證方法,在DHCP通信網絡中使用DHCP服務的終端向DHCP服務器注冊自己的MAC地址。由DHCP通信網絡的管理員來執行注冊過程。當DHCP終端發送IPv4地址分配請求消息時,將注冊的MAC地址用于驗證值。第二種DHCP驗證方法是時延驗證方法。根據時延驗證方法,當DHCP服務器響應于IPv4地址分配請求消息,將消息發送至DHCP節點時,DHCP終端根據散列(hash)算法,使用在DHCP終端與服務器之間共享的密碼和包含在消息中的值,來生成驗證值。
上述傳統方法可以用于解決IPv4地址池耗盡的問題。然而,當希望在終端是移動終端的移動環境中或者在另一通信網絡中進行通信時,驗證方法需要與DHCP服務器共享秘密信息的附加過程,因而在應用于通信網絡時非常低效。
因此,需要新的驗證方法,來解決當在IPv6基礎結構所必需的IPv6/IPv4轉換技術中使用傳統技術時可能出現的問題。
發明內容
本發明的目的是提供一種在DSTM通信網絡中驗證DSTM節點的系統和方法,所述系統和方法能夠解決由DSTM通信網絡中的拒絕服務(DoS)攻擊所引起的DSTM服務器IPv4地址池耗盡的問題,并應用于實際的通信網絡。
本發明的另一目的是提供一種網絡中的節點驗證系統和方法,所述網絡提供IPv4分配服務,例如DHCP服務器和DSTM服務器。
根據本發明的方案,提供了一種DSTM通信網絡中的驗證方法,該方法包括以下步驟在DSTM服務器處,將要用于驗證的至少一個圖像文件和圖像文件的至少一個驗證值存儲在數據庫中;在DSTM服務器處,將圖像文件發送至請求地址分配的DSTM節點;當DSTM節點的用戶輸入可以通過接收到的圖像文件找到的驗證值時,在DSTM節點處,將輸入的驗證值和圖像文件發送至DSTM服務器;以及在DSTM服務器處,將從DSTM節點處接收到的驗證值和圖像文件與存儲在數據庫中的驗證值和圖像文件進行比較,從而執行驗證。
該驗證方法還可以包括在DSTM服務器處將IP地址分配給DSTM節點的步驟。
圖像文件可以以可由人類識別出的文本來表示。
驗證值可以與圖像文件的文本中的空白處或特定問題的回答相對應。
數據庫還可以存儲圖像文件的有效時間值和圖像文件的校驗和。
該驗證方法還可以包括在DSTM服務器處計算從DSTM節點接收到的圖像文件的校驗和,以及將計算的校驗和與存儲的校驗和進行比較的步驟。
根據本發明的另一方案,提供了一種包括DSTM服務器和DSTM節點的DSTM通信網絡中的驗證系統,該驗證系統包括DSTM服務器,將要用于驗證的圖像文件和通過圖像文件可期望的驗證值存儲在數據庫中,將消息文件發送至DSTM節點,以及使用從DSTM節點接收到的信息來執行對DSTM節點的驗證;以及DSTM節點,將用戶根據從DSTM服務器接收到的圖像文件而輸入的值和圖像文件發送至DSTM服務器。
當結合附圖,考慮以下詳細描述時,更加完全地認識本發明,并且本發明的許多附加優點將變得顯而易見,同時更加能夠更好地理解本發明,在附圖中,相似的參考符號表示相同或相似的組件,其中圖1是示出了雙協議棧過渡機制(DSTM)通信網絡中的DSTM節點(IPv6節點)攻擊者耗盡了DSTM服務器的互聯網協議版本4(IPv4)地址池的問題的圖示;圖2是示出了根據本發明示例性實施例、應用于DSTM節點與DSTM服務器之間的人類識別驗證方法的流程圖;圖3是示出了根據本發明示例性實施例,包含在DSTM服務器中的挑戰數據庫的字段和字段值的表格。
圖4是示出了根據本發明的示例性實施例,用于生成要從DSTM服務器發送至DSTM節點的新挑戰數據的過程的圖示;圖5示出了動態主機配置協議版本6(DHCPv6)的驗證選項消息,該消息包括根據本發明示例性實施例的驗證信息字段和算法字段的值的示例;圖6示出了在根據本發明示例性實施例的DSTM節點處的用戶輸入的實施例;圖7是示出了根據本發明的示例性實施例,DSTM服務器將IPv4地址分配給DSTM節點所執行的過程的流程圖;圖8是示出了執行根據本發明示例性實施例的人類識別驗證方法的整個系統的圖示。
具體實施例方式
以下,將參照附圖詳細描述本發明的示例性實施例。在整個附圖中,由相似的參考數字表示類似的元件。對于與本發明相關且本領域熟知的事物,當認為這些描述會降低本公開的清楚和簡明程度時,不對這些內容進行詳細描述。本發明提供了一種驗證系統和方法,該驗證系統和方法響應于驗證請求,根據可由人類識別的驗證消息、而不的系統的自動機制,通過響應過程來執行驗證,以驗證雙協議棧過渡機制(DSTM)節點。
圖1示出了DSTM節點獲得用于與IPv4節點通信的IPv4地址的過程,以及由DSTM節點攻擊者耗盡DSTM服務器的IPv4地址池的問題。
如圖1所示,想要與IPv4網絡中的IPv4主機130通信的DSTM節點111向DSTM服務器110發送地址分配請求消息以獲得IPv4地址。接收到該地址分配請求消息的DSTM服務器110在自己的IPv4池中選擇地址,并響應DSTM節點111。在該過程中,DSTM服務器110不提供用于處理IPv4地址分配請求的任何驗證方法。這里,當在沒有任何驗證過程的情況下分配地址時,如果DSTM節點111是DSTM攻擊者,則DSTM節點111偽造IPv6源地址,并向DSTM服務器110發送IPv4地址分配請求消息。
DSTM服務器110響應于IPv4地址分配請求消息,將IPv4地址分配響應消息發送至DSTM節點111。DSTM服務器110分配相應IPv6地址的IPv4地址,在自己的IPv4地址映射表113中記錄相應信息,以及將相應的映射信息發送至TEP120,TEP120是DSTM域的邊界路由器。TEP 120將接收的映射信息存儲在映射表121中。這里,接收IPv4地址分配請求響應消息的節點實際上不存在,或者沒有生成分配請求消息。攻擊者連續地改變IPv6源地址,重復以上描述的過程,從而可以耗盡DSTM服務器110的IPv4地址。
圖2是示出了根據本發明示例性實施例,應用于DSTM節點與DSTM服務器之間的人類識別驗證方法的流程圖,圖3是示出了根據本發明示例性實施例,包含在DSTM服務器中的挑戰數據庫的字段和字段值的表格。
在本發明示例性實施例的以下詳細描述中,“挑戰數據庫”和“挑戰數據”表示示例性實施例中使用的數據庫和驗證消息數據。
如圖2所示,DSTM節點202請求來自于DSTM服務器203的、為與IPv4域中的節點通信所需的互聯網協議版本4(IPv4)地址(S201)。
當接收到互聯網協議(IP)分配請求時,DSTM服務器203從挑戰數據庫中選擇任意的挑戰數據,如圖3所示,然后將該挑戰數據發送至DSTM節點202(S202)。
接下來,用戶201輸入對于包含在接收到的挑戰數據中的信息適合的驗證值,然后DSTM節點202將挑戰數據響應消息發送至DSTM服務器203(S203)。挑戰數據消息包括要與挑戰數據庫中的期望響應數據進行比較的驗證值,并可以包括由DSTM節點202接收到的圖像文件,作為挑戰數據。
接收到挑戰數據響應消息的DSTM服務器203確定接收到的消息是否與挑戰數據庫的期望響應數據匹配,以及當出現匹配時,將IPv4地址映射信息發送至DSTM隧道端點(TEP)204(S204)。
接下來,DSTM服務器203將IPv4地址分配給DSTM節點202(S205)。
圖3中示出的挑戰數據庫的數據包括挑戰數據(圖像文件)、期望響應數據(驗證值)、無效時間(有效時間值)、以及挑戰數據的校驗和值。
挑戰數據是在DSTM服務器向DSTM節點請求用于驗證的輸入時使用的值,以及必須是示出了可由人類識別的文本表達的圖像文件。期望響應數據是由用戶輸入DSTM節點、發送至DSTM服務器、并用于驗證值的信息。無效時間是用于防止重復使用挑戰數據的值。當選擇任意的挑戰數據時,將所選值的無效時間設置為86,400秒。當DSTM節點正確地響應挑戰數據并因此成功驗證時,使無效時間減少1秒直至最小值0秒。86,400秒不是固定值,而可以由管理員改變。此外,當挑戰數據不夠時,可以由圖4中示出的方法生成附加挑戰數據。
當要用于響應另一DSTM節點的IPv4分配請求的挑戰數據的無效時間值不為0時,DSTM服務器應選擇無效時間值為0的其它挑戰數據。最后,在對要傳輸的挑戰數據進行圖像變換之后,由DSTM服務器計算挑戰數據(圖像文件)的校驗和值,使得惡意節點不能在每次DSTM節點請求IPv4分配時識別出接收到的挑戰數據的模式。
圖像變換是只要人們可以識別圖像的文本表達就可以執行的文件的比特轉換。因此,即使接收到相同表達的圖像文件,惡意節點也不能通過接收到的數據識別出模式。
圖4是示出了DSTM服務器改變都與挑戰數據庫中的任意挑戰數據相對應的文件名和文件的校驗和值,并生成唯一的挑戰數據的過程。
如圖4所示,生成原始挑戰數據的另一文件名,執行文件的比特轉換,只要保持了可由人類識別的文字表達即可,然后計算校驗和。
DSTM服務器在數據庫中注冊并存儲最新生成的挑戰數據。在從DSTM節點接收到基于挑戰數據的響應之后,DSTM服務器計算從DSTM節點接收到的挑戰數據(圖像文件)的校驗和值,并可以使用從挑戰數據庫中獲得的無效時間和期望響應數據、以及計算的校驗和值,來驗證DSTM節點。
圖5示出了當傳輸出現在圖2的步驟S202中的挑戰數據消息時使用的動態主機配置協議版本6(DHCPv6)形式的驗證選項消息。本發明使用按照注釋請求(RFC)3315的DHCPv6驗證選項消息,因此在本說明書中僅描述修改的部分。
如圖5所示,使用包含在算法字段中的本發明所建議的人類識別(HR)名稱,以及包含在驗證信息字段中的如以上所述生成的挑戰數據,向DSTM節點請求驗證。
圖6示出了DSTM節點的用戶響應于DSTM服務器的輸入請求,手動輸入輸入值的實施例。在此之后,DSTM節點將用戶輸入的輸入值和從DSTM服務器接收到的挑戰數據(圖像文件)發送至DSTM服務器。DSTM服務器從DSTM節點接收到對輸入請求的響應。DSTM服務器檢查從DSTM節點的用戶接收到的響應消息中的響應表達是否與DSTM服務器的挑戰數據庫中的值相同。當在挑戰數據庫中沒有相同的值時,DSTM服務器發送IPv4分配拒絕消息,而當在挑戰數據庫中有相同的值時,DSTM服務器將IPv4地址分配給DSTM節點。
圖7是示出了DSTM服務器響應于DSTM節點的IPv4地址分配請求所執行的過程的流程圖。DSTM服務器確定從DSTM節點接收到的消息是IPv4分配請求消息還是響應消息(S101)。當確定該消息是IPv4分配請求消息時,DSTM服務器檢查挑戰數據庫中的挑戰數據的無效值,然后選擇無效時間值為0的挑戰數據(S105、S106)。將所選挑戰數據的無效時間值設置為86,400秒,并存儲在DSTM服務器的挑戰數據庫中(S107)。無效時間值是由管理員隨機地設置的,并可以根據系統環境或其它條件而改變。在存儲了無效時間值之后,DSTM將生成的挑戰數據發送至DSTM節點(S108)。
相反地,當確定接收到的消息是響應消息時,DSTM服務器計算文件的期望響應數據和校驗和,然后檢查在挑戰數據庫中是否有相同的值(S102)。在DSTM服務器檢查在挑戰數據庫中是否有相同的值之后,檢查相同挑戰數據的無效時間值是否是86,400(S103)。當相同挑戰數據的無效時間值是86,400時,分配IPv4地址,并將無效時間值減1,直到最小值0秒(S104)。當無效時間值小于86,400時,由于接收到重復的驗證響應消息,所以不分配IPv4地址。在確認對DSTM節點的驗證之后執行的過程與傳統方法中的相同。
圖8是采用本發明的系統的圖示,示出了為了分配到IPv4地址,DSTM節點801、805和808的用戶800、804和807根據傳輸自DSTM服務器810的挑戰數據的圖像來輸入驗證值的示例。挑戰數據庫811存儲傳輸至每個DSTM節點801、805和808的挑戰數據。用戶800、804和807看到挑戰數據的圖像,并輸入驗證值。在上述情況下,當針對“sc□ool”(這是單詞“school”的圖像)中的空白處的值輸入“h”時,執行針對IPv4地址分配的驗證。圖像被制成填充空白處,但是也可以針對問題和回答來制作圖像。
如上所述,根據本發明示例性實施例的驗證DSTM節點的系統和方法不需要提前共享的諸如終端的媒體訪問控制(MAC)地址、口令和證書之類的信息。此外,當終端移動至另一域時,根據傳統的驗證方法,需要在線或離線過程來獲得可以在終端和服務器之間共享的新信息。但是,根據本發明示例性實施例的系統可以在沒有任何附加過程的情況下,在新域中的任何地點、任何時間,通過實時驗證而分配到IP地址。
此外,系統不可能自動響應,因而本發明可以有效地處理由于服務拒絕(DoS)攻擊而導致的IP耗盡問題等。由于只有用戶(人)可以響應DSTM服務器的請求,所以不可以使用系統的自動機制來響應服務器的驗證請求,從而本發明可以有效地處理IP耗盡問題。
此外,在考慮DSTM環境(IPv4/IPv6轉換技術)下使用新驗證機制,可以對IP地址分配問題的解決方案提出建議。
盡管已經參照本發明的示例性實施例描述了本發明,但是本領域技術人員將會理解,在不偏離由權利要求所限定的本發明的范圍的情況下,可以作出形式上和細節上的多種改變。
權利要求
1.雙協議棧過渡機制通信網絡中的驗證方法,包括以下步驟在雙協議棧過渡機制服務器處,將要用于驗證的至少一個圖像文件和與所述圖像文件相對應的至少一個驗證值存儲在數據庫中;將所述圖像文件從所述雙協議棧過渡機制服務器發送至請求地址分配的雙協議棧過渡機制節點;將由用戶響應于所述圖像文件而輸入的驗證值從所述雙協議棧過渡機制節點發送至所述雙協議棧過渡機制服務器;以及在所述雙協議棧過渡機制服務器處,將從所述雙協議棧過渡機制節點接收到的驗證值與存儲在數據庫中的驗證值進行比較,從而執行驗證。
2.如權利要求1所述的驗證方法,還包括以下步驟在所述雙協議棧過渡機制服務器處,在驗證時,將互聯網協議地址分配給所述雙協議棧過渡機制節點。
3.如權利要求1所述的驗證方法,其中,所述圖像文件與能夠由用戶識別出的文本相對應。
4.如權利要求3所述的驗證方法,其中,所述驗證值與所述圖像文件的文本中的空白處相對應。
5.如權利要求3所述的驗證方法,其中,所述驗證值與對特定間題的回答相對應。
6.如權利要求1所述的驗證方法,其中,所述數據庫還存儲圖像文件的有效時間值和校驗和。
7.如權利要求6所述的驗證方法,還包括以下步驟在所述雙協議棧過渡機制服務器處,計算從所述雙協議棧過渡機制節點接收到的所述圖像文件的校驗和,以及將所計算的校驗和與所存儲的校驗和進行比較。
8.一種包括雙協議棧過渡機制服務器和雙協議棧過渡機制節點的雙協議棧過渡機制通信網絡中的驗證系統,所述驗證系統包括雙協議棧過渡機制服務器,用于將要用于驗證的圖像文件和與所述圖像文件相對應的期望驗證值存儲在數據庫中,所述雙協議棧過渡機制服務器響應于來自所述雙協議棧過渡機制節點的地址分配請求消息,將所述消息文件發送至所述雙協議棧過渡機制節點,然后響應于與從所述雙協議棧過渡機制服務器接收到的所述圖像文件相對應的圖像的顯示,使用從所述雙協議棧過渡機制節點接收到的用戶輸入驗證信息,來執行對所述雙協議棧過渡機制節點的驗證;以及雙協議棧過渡機制節點,用于將與所述輸入驗證信息相對應的驗證值發送至雙協議棧過渡機制服務器。
9.如權利要求8所述的驗證系統,其中,所述雙協議棧過渡機制節點將所述圖像文件與所述驗證值一起發送至所述雙協議棧過渡機制服務器。
10.如權利要求8所述的驗證系統,其中,所述雙協議棧過渡機制服務器執行對所述雙協議棧過渡機制節點的驗證,然后將互聯網協議地址分配給所述雙協議棧過渡機制節點。
11.如權利要求8所述的驗證系統,其中,所述圖像文件與能夠由人類識別出的文本相對應。
12.如權利要求10所述的驗證系統,其中,所述驗證值與所述圖像文件的文本中的空白處或對特定問題的回答相對應。
13.如權利要求8所述的驗證系統,其中,所述數據庫還存儲所述圖像文件的有效時間值和所述圖像文件的校驗和。
14.如權利要求12所述的驗證系統,其中,所述雙協議棧過渡機制服務器計算從所述雙協議棧過渡機制節點接收到的所述圖像文件的校驗和,以及將所計算的校驗和與所存儲的校驗和進行比較。
15.如權利要求10所述的驗證系統,其中,所述雙協議棧過渡機制節點位于互聯網協議版本6的地址域中,并且所述分配的互聯網協議地址是互聯網協議版本4的地址。
16.雙協議棧過渡機制通信網絡中的驗證方法,包括以下步驟在雙協議棧過渡機制服務器處,將要用于驗證的至少一個圖像文件和與所述圖像文件相對應的至少一個驗證值存儲在數據庫中;將所述圖像文件發送至位于互聯網協議版本6的地址域中的雙協議棧過渡機制節點,所述雙協議棧過渡機制節點請求來自所述雙協議棧過渡機制服務器的互聯網協議版本4的地址的分配;將由用戶響應于所述圖像文件而輸入的驗證值從所述雙協議棧過渡機制節點發送至所述雙協議棧過渡機制服務器;以及在所述雙協議棧過渡機制服務器處,將從所述雙協議棧過渡機制節點接收到的所述驗證值與存儲在數據庫中的所述驗證值進行比較,從而執行驗證。
17.如權利要求16所述的驗證方法,還包括將所述圖像文件與所述驗證值一起發送至所述雙協議棧過渡機制服務器。
全文摘要
提供了一種通過對雙協議棧過渡機制(DSTM)通信網絡中的DSTM節點的驗證來分配互聯網協議版本4(IPv4)地址的系統和方法,其中DSTM是IPv4/IPv6地址轉換機制。當在DSTM通信網絡中的DSTM節點與DSTM服務器之間分配IPv4地址時,該系統和方法執行驗證。根據該系統和方法,當DSTM節點請求IPv4地址的分配時,DSTM服務器驗證DSTM節點,然后分配IPv4地址。因此,可以解決由服務拒絕(DoS)攻擊所引起的DSTM服務器的IPv4地址池的耗盡問題,以及潛在地解決IPv4/IPv6轉換過程的安全問題。
文檔編號H04L12/46GK1984146SQ200610163710
公開日2007年6月20日 申請日期2006年11月30日 優先權日2005年12月12日
發明者權宅靖, 金永翰, 鄭守桓, 崔裁德, 金善琦 申請人:三星電子株式會社