[发明专利]用于使用一次性COOKIE来防御拒绝服务攻击的装置、系统和方法

权利要求书

1.一种用于通信的 装置，包括：

存储设备，所述存储设备存储促进认证从网络内的节点接收的数据包的一组cookie；以及

处理单元，所述处理单元通信地耦合到所述存储设备，其中所述处理单元：

从所述网络内的所述节点接收至少一个时间同步数据包，所述时间同步数据包作为时间同步操作的一部分按照时间同步协议被格式化；

标识被包括在从所述节点接收的所述时间同步数据包中的cookie；

在被存储在所述存储设备中的所述一组cookie中检索被包括在从所述节点接收的所述时间同步数据包中的所述cookie；

在被存储在所述存储设备中的所述一组cookie中，标识被包括在从所述节点接收的所述时间同步数据包中的所述cookie；以及

通过认证所述时间同步数据包的合法性，来防御拒绝服务（DoS）攻击，通过以下来认证所述时间同步数据包的合法性：

确认被包括在所述时间同步数据包中的所述cookie，在被存储在所述存储设备中的所述一组cookie中被标识；以及

确保所述时间同步数据包不是源自伪装为受信任对等体的恶意节点；以及

至少部分基于考虑所述时间同步数据包的时间同步计算来将所述装置与所述节点同步。

2.根据权利要求1所述的装置，其中所述处理单元响应于标识被包括在所述时间同步数据包中的所述cookie，将所述cookie从所述一组cookie移除，从而使得所述cookie对于从所述节点接收的任何未来数据包不再有效。

3.根据权利要求1所述的装置，其中所述处理单元：

从所述网络内的所述节点接收至少一个通信；

在从所述节点接收的所述通信内标识所述一组cookie；以及

用在从所述节点接收的所述通信内标识的所述一组cookie来填充所述存储设备。

4.根据权利要求3所述的装置，

其中所述通信包括至少一个带外列表；以及

其中所述至少一个带外列表包括所述一组cookie，并且在关于所述一组cookie促进协调所述节点和所述装置的设立操作期间由所述节点发送。

5.根据权利要求4所述的装置，其中所述处理单元：

从所述网络内的所述节点接收至少一个后续通信，所述后续通信：

包括另一带外列表，所述另一带外列表包括另一组cookie；以及

响应于确定在所述一组cookie内剩余的有效cookie的数量低于特定阈值，由所述节点发送；以及

用被包括在所述后续通信的所述另一带外列表中的所述另一组cookie来填充所述存储设备。

6.根据权利要求4所述的装置，其中：

所述通信包括偏置表示，所述偏置表示标识在从所述节点接收的数据包内每个cookie位于的偏置；以及

所述处理单元在由所述偏置表示标识的所述偏置处标识被包括在所述时间同步数据包中的所述cookie。

7.根据权利要求3所述的装置，其中：

所述通信被所述节点使用私钥加密；

所述处理单元：

从管理应用接收公钥，所述公钥促进解密已被所述节点使用所述私钥加密的通信；以及

使用从所述管理应用接收的所述公钥来解密所述通信。

8.根据权利要求3所述的装置，其中：

所述通信包括先前数据包，所述先前数据包：

按照时钟同步协议被格式化；以及

并入至少一个带内列表，所述至少一个带内列表包括所述一组cookie，并且在时钟同步操作期间由所述节点发送。

9.根据权利要求8所述的装置，其中所述处理单元：

从所述网络内的所述节点接收包括另一数据包的至少一个后续通信，所述另一数据包：

按照所述时钟同步协议被格式化；以及

并入至少另一个带内列表，所述至少另一个带内列表包括另一组cookie，并且在另一时钟同步操作期间由所述节点发送。