-
公开(公告)号:CN101931628B
公开(公告)日:2012-12-05
申请号:CN201010266548.2
申请日:2010-08-27
Applicant: 清华大学
Abstract: 本发明公开了一种域内源地址的验证装置和方法,包括获取模块,从域内网络节点上选择作为各个部署点的预定节点上,分别获取途经每个部署点的所有源地址前缀;计算模块,读取每个部署点对应路由器上的链路状态数据库,并结合每个部署点对应的途经源地址前缀计算出以各个前缀为源到达其他前缀的路由转发路径;提取模块,从路由转发路径上提取各个源地址前缀、到达每个部署点的入接口以及经过的跳数;以及报文验证模块,获得待验证报文宣告的源地址前缀、到达当前部署点的入接口以及实际转发经过的跳数,并分别与提取的源地址前缀、到达当前部署点的入接口以及跳数进行匹配验证。本发明实现简单、支持增量部署且具有更好的源地址验证效果。
-
公开(公告)号:CN101621513B
公开(公告)日:2012-06-27
申请号:CN200910089448.4
申请日:2009-07-20
Applicant: 清华大学
Abstract: 本发明提出一种规范接入子网内源地址验证方案的方法,包括以下步骤:在交换机上将IP源地址与网络层以下的信息进行绑定,所述交换机根据绑定关系判断报文所携带的所述源地址的正确性,并对假冒IP源地址的报文进行过滤;规定源地址验证方案与四种地址分配方式兼容;描述四种特殊情形;定义解决方案空间。通过本发明的框架实现了对接入子网内源地址验证方案的工作场景、工作原理、地址分配方案的兼容性和处理特殊情形等的规范,促进了对接入子网内源地址验证方案的明确理解与评价。
-
公开(公告)号:CN101605070B
公开(公告)日:2011-09-14
申请号:CN200910088190.6
申请日:2009-07-10
Applicant: 清华大学
Abstract: 本发明提出了一种验证源地址的方法及装置,该方法包括以下步骤:网络接入设备判断接收到的报文的类型;如果报文为来自于不直接相连的主机的报文,则检查其源地址是否存在于绑定关系表中,如果存在,则丢弃报文;如果不存在,则转发报文;如果报文为来自直接相连的主机的数据报文,则检查其源地址和报文到达端口或报文中源链路层地址的组合是否存在于绑定关系表中,若不存在则丢弃,若存在则转发;如果报文为来自直接相连的主机的控制报文,则检查其源地址是否合法,如果不合法则丢弃;如果合法则转发;根据报文类型对绑定关系进行操作。本发明所提出的方法和装置是细粒度的,适用于IPv6和IPv4,且不必修改主机及现有的协议。
-
公开(公告)号:CN101931628A
公开(公告)日:2010-12-29
申请号:CN201010266548.2
申请日:2010-08-27
Applicant: 清华大学
Abstract: 本发明公开了一种域内源地址的验证装置和方法,包括获取模块,从域内网络节点上选择作为各个部署点的预定节点上,分别获取途经每个部署点的所有源地址前缀;计算模块,读取每个部署点对应路由器上的链路状态数据库,并结合每个部署点对应的途经源地址前缀计算出以各个前缀为源到达其他前缀的路由转发路径;提取模块,从路由转发路径上提取各个源地址前缀、到达每个部署点的入接口以及经过的跳数;以及报文验证模块,获得待验证报文宣告的源地址前缀、到达当前部署点的入接口以及实际转发经过的跳数,并分别与提取的源地址前缀、到达当前部署点的入接口以及跳数进行匹配验证。本发明实现简单、支持增量部署且具有更好的源地址验证效果。
-
-
Patent Agency Ranking
公开(公告)号:CN101170564B
公开(公告)日:2010-08-11
申请号:CN200710178491.9
申请日:2007-11-30
Applicant: 清华大学
Abstract: 端到端自动同步的防止IP源地址伪造的方法属于互联网技术领域,尤其涉及网络安全方面的技术。本发明的特征在于:通过设计了一种高效、安全、易管理的签名生成器,用以在域间与域内采用自动同步、自动更新签名认证的方式,防止源地址的伪造,做到了降低运行与管理开销,完美地防止重放攻击,支持增量部署,对拒绝服务攻击/分布式拒绝服务攻击有很强的鲁棒性,并且在域间与域内可独立部署。
-
公开(公告)号:CN100539555C
公开(公告)日:2009-09-09
申请号:CN200710099965.0
申请日:2007-06-01
Applicant: 清华大学
Abstract: 基于可扩展消息在线协议和信誉机制的电子邮件传送方法属于网络安全领域。其特征在于:在方法中,利用了基于XMPP协议的IM平台有效地保障了源身份真实性。在Email消息发送上采取“拉模式”传输模式。在消息传输过程中,利用IM平台维护了用户在线状态的特征,采取分块传输与发送方与接收方直连传输相结合的传输方式。并且,方法中还发明了独特的将信誉机制与黑白名单策略相结合,实时地对垃圾消息攻击行为进行防范的方法。该方法可部署在目前广泛使用的基于XMPP协议的IM平台上。方法采用的服务器转发与端到端直连传输消息的传输方案减轻了对原有服务器的负担,不会对原有IM服务性能造成影响。
-
公开(公告)号:CN100493065C
公开(公告)日:2009-05-27
申请号:CN200610011422.4
申请日:2006-03-03
Applicant: 清华大学
Abstract: 本发明属于互联网技术领域。其特征在于本发明通过获取网络中即时消息软件的数据,找出监控的IP地址上并发的即时消息软件的例程数目,以此来判断该IP地址上是否运行了网络地址转换设备NAT。方法的优点在于使用了现有检测方法没有使用到的应用层信息,用户和NAT厂商无法通过修改主机网络协议栈和NAT网关的方法来逃避检测。本方法能够与现有检测方式相结合,提高NAT检测的准确性和抗逃避能力。
-
公开(公告)号:CN100483997C
公开(公告)日:2009-04-29
申请号:CN200610113189.0
申请日:2006-09-19
Applicant: 清华大学
Abstract: 本发明属于互联网技术领域,是一种基于自治系统互联关系的IPv6网络下真实源地址验证方法。本发明的特征在于:所述方法是在由验证规则生成引擎、验证引擎和自治系统号到IPv6地址前缀映射服务器组成的系统上实现的,利用自治系统互联关系,在自治系统边界路由器上生成和每一个路由器接口关联的真实IPv6源地址验证规则表,并利用其在自治系统边界路由器上对伪造IPv6源地址的的分组进行验证检查。该方法配置简单,可以在分组转发的过程中实时验证分组源IP地址的真实性,便于运营商部署,并且适用于复杂拓扑结构下的IPv6网络。
-
公开(公告)号:CN1848802A
公开(公告)日:2006-10-18
申请号:CN200510086984.0
申请日:2005-11-25
Applicant: 清华大学 , 比威网络技术有限公司
Abstract: 本发明属于网络互联技术,IPv4/IPv6过渡初期形成的IPv6“孤岛”将大量的存在于IPv4网络中,一般通过IPv6配置隧道或隧道代理接入到IPv6网络,“孤岛”间的流量将占用相当大一部分IPv6接入节点的转发流量,形成网络瓶颈。本发明的特征在于:将这些IPv6“孤岛”的边界网关在IPv4网络上连成一个P2P的重叠网络,通过该网络交互可达信息,自动建立IPv6“孤岛”间的IPv6-in-IPv4隧道;边界网关接收到发往“孤岛”外部的IPv6数据分组时,优先选用“孤岛”间的隧道进行转发。该方法能够缓解IPv6接入节点的压力,同时配置简单、即插即用,适合增量部署,可以通过逐步升级IPv6“孤岛”边界网关软件来进行推广。
-
-
-
-
-
-
-
-
-
Search Results
110
records
(took 0.023 seconds)
