[发明专利]降低TCP洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品

说明书

技术领域

根据本发明示例性实施例的教导通常涉及通信网络安全程序，并且尤其涉及在无线通信网络中用于保护免受传输控制协议(TCP)洪泛攻击(flooding attack)和其他类似类型的恶意行为伤害的安全程序。

背景技术

在因特网中各种类型的攻击都是可能的，例如那些众所周知的TCP SYN洪泛、死亡之Ping和陆地攻击。除了易受所有这些攻击外，包括蜂窝网络的无线通信网络存在使它们易受新攻击的特点，或者甚至更易受到当前现有的一个的攻击。例如，蜂窝网络的空中接口是稀有的、有限的和昂贵的资源，用户需要为这些资源付费。结果，新类型的攻击特别指向破坏空中接口，例如在2002年向GSM联盟报告的超额计费类型的攻击。简要地说，通过洪泛任意受害人操作的此攻击使用预先建立的并且由恶意方保持开放的TCP连接。使用私有和公有因特网协议(IP)地址操作的超额计费攻击不要求受害者建立连接并且绕过(有状态)防火墙。无论受害者处于其归属网络中还是处于漫游中，超额计费攻击都是等效的。

未请求进入业务对于用户和运营商两者可以导致很多不希望的影响。这些影响包括但不限于，超额计费攻击、网络运营商资源的不必要消耗以及受害者电池寿命的降低。然而，为了支持推送(Push)服务和其他未来应用和场景(例如，主管服务器的无线终端)，有效进入分组必须能够到达蜂窝用户的无线终端。不幸地，此要求在无线终端(也称作移动台(MS)，例如蜂窝电话和其他类型的包括个人数字助理(PDA)的无线使能设备)上为甚至更多攻击打开了门路。

3GPP2标准已经认识到了此问题，并且网络防火墙控制和配置(NFCC)努力已经测试了最小化未请求业务并最小化外部方恶意攻击移动台的机会的解决方案(见3GPP2网络防火墙配置和控制-阶段1要求，2004年12月)。

迄今为止，蜂窝网络中支持的大部分应用是基于客户端-服务器模型(例如，web浏览)，其中蜂窝用户连接到外部网络中的服务器。随着无线终端启动连接，迄今为止，有状态检查分组过滤器的布设已经为用户和运营商两者提供了足够的保护(见，例如，CheckPoint NG VPN-1/FireWall-1；Jim Noble等，Syngress出版公司，2003年)。

然而，当考虑到支持新的应用(例如，推送服务和点到点(P2P)应用)和场景时(例如，无线终端主管服务器)，无线终端将不总是客户端，而是可以发挥服务器的功能。结果，可能必须由外部网络中的端点朝向蜂窝网络中的无线终端启动连接，并且进入的分组必须能够到达无线终端。

然而，此类型的操作可能会导致不同类型的攻击，因为进入的业务可能是恶意业务。参考图1A，恶意节点1可能正在经由例如因特网的外部网络2并通过防火墙3向蜂窝网络4发送业务。从蜂窝网络4起，恶意业务通过空中接口5传递至受害者无线终端6。假设无线终端6与蜂窝网络用户相关联。这可以在蜂窝网络4中导致各种问题，例如上文提到的涉及超额计费、受害者电池寿命降低、以及空中接口带宽的不必要消耗之类的问题。

因此，需要一种最小化朝向无线终端6的未请求业务的技术，并且尤其是减少对于无线(例如，蜂窝)网络用户的攻击的发生或可能性的技术。

在3GPP2中，已经提出建议以使用下列方法来减少到无线终端6的恶意进入业务的威胁：建议每个第一个进入分组应该通过保护蜂窝网络4的防火墙3；如果终端6决定接受邀请并且建立连接，则终端6进行答复，并且基于终端的答复，防火墙3创建用于对应于此流的后续分组的状态；如果终端6决定不接受连接，则它不答复。在缺少来自于终端6的答复时，防火墙3拦截对应于此流的所有后续进入分组。

提出的这个解决方案存在几个问题，并且没有实际减少威胁，因为在大部分服务拒绝(DoS)攻击中，源IP地址域是伪造的。如此，恶意节点1因而仍旧可以使用无效的进入业务淹没蜂窝用户(恶意节点1仅需要发送很多其源IP地址是随机生成的“第一消息”)。

此问题的其他解决方案已经提出。例如Feng等人已经提出在IP层处使用基于质询-响应的方法，重用谜题(puzzle)以验证分组的源IP地址的有效性(Wu-changfeng，Ed Kaiser，Wu-chifeng，AntoineLuu，“The Design and Implementation of Network Puzzles”，INFOCOM 2005论文集中，2005年3月)。然而，采用此方法将需要修改因特网协议(v4和v6)。