專利名稱:用于控制數(shù)據(jù)分組的路由的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體涉及一種用于控制如互聯(lián)網(wǎng)之類的公共IP網(wǎng)絡(luò)中數(shù)據(jù)分組的路由的 方法和設(shè)備。
背景技術(shù):
通過IP (互聯(lián)網(wǎng)協(xié)議)網(wǎng)絡(luò)在不同方之間對數(shù)字編碼的信息進(jìn)行的基于分組的傳 輸用于多種通信服務(wù)��,例如電子郵件消息收發(fā)����、互聯(lián)網(wǎng)瀏覽、語音和視頻電話��、內(nèi)容流 傳輸���、游戲等等��。在發(fā)送方處將數(shù)字編碼的信息布置在數(shù)據(jù)分組中��,然后通過傳輸路徑 向目標(biāo)接收方發(fā)送數(shù)據(jù)分組��。發(fā)送方與接收方之間的傳輸路徑可以包括各種網(wǎng)絡(luò)�、交換 機(jī)�����、網(wǎng)關(guān)���、路由器和接口�����。通信方常被稱作“終端主機(jī)”����,“終端主機(jī)”可以是能夠進(jìn) 行基于分組的IP通信的任何類型的設(shè)備,例如固定和移動電話����、計算機(jī)、服務(wù)器�����、游戲 臺等���。在本說明書中�,術(shù)語“終端主機(jī)”將總體表示任何這樣的通信設(shè)備�。典型地,與互聯(lián)網(wǎng)相連接的終端主機(jī)已經(jīng)被分配有以沿傳輸路徑對導(dǎo)向至該終 端主機(jī)的任何數(shù)據(jù)分組進(jìn)行路由所需的IP地址的形式存在的轉(zhuǎn)發(fā)標(biāo)識�。典型地,終端主 機(jī)還已經(jīng)被分配有以文本串的形式存在的或多或少可理解的名稱���,例如傳統(tǒng)的電子郵件 地址或網(wǎng)址�����,如user@operator.com,其與所分配的IP地址相關(guān)聯(lián)��。包括DNS服務(wù)器的 層級在內(nèi)的DNS (域名服務(wù)器)系統(tǒng)用于檢索特定主機(jī)名稱的當(dāng)前IP地址��。因此���,終端 主機(jī)可以向DNS系統(tǒng)查詢要與之進(jìn)行通信的主機(jī)名稱,然后��,DNS將通過提供對應(yīng)終端 主機(jī)的當(dāng)前IP地址來進(jìn)行應(yīng)答��。這種類型的查詢有時被稱作目的地查詢��、標(biāo)識查詢或地 址查詢�����,在整個本說明書中使用的是后者����?��;旧希瑪?shù)據(jù)分組被配置為具有數(shù)據(jù)字段��,包含有效載荷數(shù)據(jù)��;以及首部字 段�,其中,進(jìn)行發(fā)送的終端主機(jī)插入目標(biāo)終端主機(jī)的目的地地址����,即從DNS系統(tǒng)獲得的 IP地址。因此����,基于分組的首部字段中的目的地地址,沿傳輸路徑�,通過總體被稱作IP 路由器的多個網(wǎng)絡(luò)節(jié)點,來路由每個數(shù)據(jù)分組���。除了簡單地接收和轉(zhuǎn)發(fā)數(shù)據(jù)分組以外�����,IP路由器還可能能夠進(jìn)行其他功能�,例 如安全性控制、分組調(diào)度以及地址和協(xié)議的轉(zhuǎn)換�����。此外����,終端主機(jī)可以具有防火墻功 能,用于例如根據(jù)用戶所作的設(shè)置來確定是應(yīng)當(dāng)接納還是應(yīng)當(dāng)丟棄輸入數(shù)據(jù)分組�����。典型地����,IP網(wǎng)絡(luò)中的每個路由器包括分別充當(dāng)用于接收和發(fā)送數(shù)據(jù)分組的接口 的入口和出口單元�。路由器還包括路由或轉(zhuǎn)發(fā)功能,用于基于路由器中定義的轉(zhuǎn)發(fā)表 來確定應(yīng)當(dāng)將輸入數(shù)據(jù)分組發(fā)送至哪個路由器作為“下一跳”��。如本領(lǐng)域公知的��,通 常����,可以根據(jù)網(wǎng)絡(luò)拓?fù)浜彤?dāng)前業(yè)務(wù)量負(fù)載�,沿多個備選路徑來路由數(shù)據(jù)分組�����。通過對應(yīng)端口�����,在每個路由器中提供至最接近相鄰路由器的鏈路���,并且還基于 對拓?fù)湫畔⒑玩溌沸畔⒌姆职l(fā)來在路由器中配置轉(zhuǎn)發(fā)架構(gòu)��。每個端口可以配置有IP地址 和IP掩碼�,并且在配置過程中�����,路由協(xié)議用于在網(wǎng)絡(luò)中的路由器之間分發(fā)該信息��。然 后���,根據(jù)所分發(fā)的拓?fù)湫畔?����,每個路由器計算其自身的轉(zhuǎn)發(fā)表��,轉(zhuǎn)發(fā)表包含多個目的地 IP地址和相關(guān)聯(lián)的輸出端口�����。由于每個輸入數(shù)據(jù)分組在其首部中具有目的地IP地址�,因此使用轉(zhuǎn)發(fā)表,根據(jù)該IP地址在轉(zhuǎn)發(fā)表中找到合適的條目��。因此���,轉(zhuǎn)發(fā)表的主要功能是 確定每個輸入分組的適當(dāng)輸出端口�����。在圖1中,示出了在位于IP網(wǎng)絡(luò)中時傳統(tǒng)IP路由器100的基本結(jié)構(gòu)�����。IP路由 器100還包括入口部分100a��、出口部分100b和這里由轉(zhuǎn)發(fā)表100c示意性表示的轉(zhuǎn)發(fā)功能 等等。出口部分100b包括多個輸出端口 PA��、PB> Pc>……����,分別通向路由器100直 接與之相連的不同相鄰路由器A、B�����、C���、……�。輸入數(shù)據(jù)分組102具有有效載荷字段 PL和首部H���,后者包含分組的目的地地址���。轉(zhuǎn)發(fā)表100c由多個條目組成,每個條目包含IP掩碼�、IP地址和輸出端口號。 可以以十六進(jìn)制編碼的串(如FF.FF.FF.0或FF.FF.8.0等)來定義IP掩碼��。簡而言之�,通 過將邏輯“AND(與)”運算應(yīng)用于目的地地址和IP掩碼,將首部H中的目的地地址與 轉(zhuǎn)發(fā)表100c中的條目進(jìn)行比較,以檢測具有相同IP地址的匹配條目���。一旦找到匹配條 目��,就可以根據(jù)該條目的端口號在輸出端口上將分組發(fā)送出去�。因此�����,在入口單元100a處�,首先接收可能已從前一路由器(未示出)轉(zhuǎn)發(fā)至路 由器100的輸入數(shù)據(jù)分組102。然后��,基于首部H中的目的地地址并使用轉(zhuǎn)發(fā)表100c來 確定應(yīng)當(dāng)將分組發(fā)送至哪個下一路由器����。在本示例中,輸入分組102所具有的目的地IP 地址在與掩碼組合時與轉(zhuǎn)發(fā)表100c中具有端口號Pc的條目的IP地址相匹配�����。因此����,在 與路由器C相連接的對應(yīng)端口上將分組102發(fā)送出去。然而�,IP網(wǎng)絡(luò)和互聯(lián)網(wǎng)中的主要問題在于,安全性支持一般不足����,如以下所解 釋。當(dāng)前的路由架構(gòu)和協(xié)議原先是針對“友好”環(huán)境而設(shè)計的�,即假定沒有“非法的” 或“惡意的”用戶在IP網(wǎng)絡(luò)中通信。然而��,已經(jīng)將各種安全性方案添加至IP架構(gòu)����,以保 護(hù)所通信的數(shù)據(jù),例如低層的IP-sec以及高層的TLS(傳輸層安全性)����。此外,MPLS (多 協(xié)議標(biāo)簽交換)是用于構(gòu)建層3VPN(虛擬專用網(wǎng))以確保安全通信的方案�����。在VPN的 情況下�����,當(dāng)使用內(nèi)網(wǎng)時,需要專用尋址���,并在一定程度上將該網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)隔離��, 使得不允許外部未授權(quán)主機(jī)到達(dá)附著至內(nèi)網(wǎng)的主機(jī)以及與附著至內(nèi)網(wǎng)的主機(jī)進(jìn)行通信����。用于在路由協(xié)議中提供安全性的其他現(xiàn)有方案包括路由器之間的安全通信��, 使得沒有非法實體能夠竊聽�、操控或模仿路由器;路由器端口之間IP-sec隧道的建立���, 以便保護(hù)路由器之間的分組傳輸�;以及層2的鏈路安全性�。還可以使用各種認(rèn)證過程和 密碼密鑰,例如根據(jù)DNSSec (DNS安全性)����、HIP (主機(jī)標(biāo)識協(xié)議)和CGA(以密碼方式 產(chǎn)生的地址),以便增強(qiáng)安全性�����。盡管針對特定應(yīng)用(例如電子郵件的垃圾信息過濾)使 用了抵御有害業(yè)務(wù)的保護(hù)�����,但是一般地�,在公共IP基礎(chǔ)結(jié)構(gòu)中并未提供避免侵犯終端主 機(jī)以及避免有害數(shù)據(jù)分組的基本保護(hù)。由于以上述方式端到端地����、公開地分發(fā)內(nèi)部轉(zhuǎn)發(fā)標(biāo)識(即,IP地址)�����,因此任何 終端主機(jī)基本上都能夠通過互聯(lián)網(wǎng)來向任何其他終端主機(jī)發(fā)送消息和數(shù)據(jù)分組�����,造成洪 泛��、垃圾信息��、病毒��、欺詐和所謂“拒絕服務(wù)”威脅的公知問題��。因此,一般來說��,問 題在于任何終端主機(jī)都可以在完全不受進(jìn)行接收的終端主機(jī)控制的情況下傳遞數(shù)據(jù)分 組���,并且如互聯(lián)網(wǎng)之類的公共IP網(wǎng)絡(luò)在IP基礎(chǔ)結(jié)構(gòu)中不具有防止來自潛在非法或惡意終 端用戶的數(shù)據(jù)分組被路由至接收器的機(jī)制���。盡管在終端主機(jī)處或在鏈路層中也可以添加或多或少復(fù)雜的功能(如防火墻等) 以限制連接性。然而����,這些方案是“最后一道防線”方案,意味著有害數(shù)據(jù)分組的傳輸仍可以消耗沿整個發(fā)送器_接收器路徑的網(wǎng)絡(luò)資源����,只是要在接收器處被丟棄。Ballani 等人的論文 “Off by default ����! ”,4th ACM Workshop on Hot Topics in Networks HotNets 2005, College Park, MD, November 2005 描述 了一種 IP 級協(xié)議���,通過
該IP級協(xié)議�,由終端主機(jī)信號通知并由路由器交換對不同目的地前綴的可達(dá)性約束。根 據(jù)該文獻(xiàn)��,強(qiáng)制終端主機(jī)配置其在路由器中的可達(dá)性�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于解決上述問題中的至少一些��。本發(fā)明的目的還在于獲得一種 用于控制IP網(wǎng)絡(luò)中數(shù)據(jù)分組的路由以避免有害業(yè)務(wù)的機(jī)制�。這些和其他目的可以主要通 過提供如所附獨立權(quán)利要求中所限定的方法和設(shè)備來實現(xiàn)�����。根據(jù)一個方面����,提供了一種用于控制IP網(wǎng)絡(luò)中數(shù)據(jù)分組的路由的方法,所述方 法由DNS系統(tǒng)執(zhí)行��。在本方法中�,將針對相關(guān)聯(lián)的第一終端主機(jī)而配置的分組接納策略 存儲在DNS系統(tǒng)中。該策略規(guī)定了允許或不允許其他終端主機(jī)向第一終端主機(jī)傳遞數(shù)據(jù) 分組的條件�。針對第一終端主機(jī)定義了與分組接納策略相對應(yīng)的路由憑證,在導(dǎo)向至第 一終端主機(jī)的數(shù)據(jù)分組中需要所述路由憑證或其表示以向第一終端主機(jī)路由數(shù)據(jù)分組�����。 然后,將所述路由憑證或憑證表示分發(fā)給IP網(wǎng)絡(luò)中的至少一個路由器���。當(dāng)從第二終端主機(jī)接收到針對第一終端主機(jī)的地址查詢時����,如果分組接納策略 允許第二終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組�,則將所述路由憑證或其表示提供給第 二終端主機(jī)。從而��,第二終端主機(jī)能夠?qū)⑺雎酚蓱{證或憑證表示添加至導(dǎo)向至第一終 端主機(jī)的任何數(shù)據(jù)分組�,以通過IP網(wǎng)絡(luò)進(jìn)行接納。另一方面��,如果分組接納策略不允許 第二終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組����,則DNS系統(tǒng)禁止將所述路由憑證或憑證表 示提供給第二終端主機(jī)。根據(jù)另一方面����,提供了一種在DNS系統(tǒng)中用于控制IP網(wǎng)絡(luò)中數(shù)據(jù)分組的路由的 設(shè)備。該DNS系統(tǒng)設(shè)備包括策略存儲器���,適于存儲針對相關(guān)聯(lián)的第一終端主機(jī)而配置 的分組接納策略�,所述分組接納策略規(guī)定了允許或不允許終端主機(jī)向第一終端主機(jī)傳遞 數(shù)據(jù)分組的條件。該DNS系統(tǒng)設(shè)備還包括憑證管理器�����,適于針對第一終端主機(jī)來定義與分組接 納策略相對應(yīng)的路由憑證����,在導(dǎo)向至第一終端主機(jī)的數(shù)據(jù)分組中需要所述路由憑證或其 表示以向第一終端主機(jī)路由數(shù)據(jù)分組���。所述憑證管理器還適于將所述路由憑證或憑證表 示分發(fā)給IP網(wǎng)絡(luò)中的至少一個路由器��。該DNS系統(tǒng)設(shè)備還包括地址查詢管理器����,適于從第二終端主機(jī)接收針對第一 終端主機(jī)的地址查詢��,并在分組接納策略允許第二終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分 組的情況下����,將所述路由憑證或其表示提供給第二終端主機(jī)。所述地址查詢管理器還適 于在分組接納策略不允許第二終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組的情況下��,禁止將 所述路由憑證或憑證表示提供給第二終端主機(jī)。在DNS系統(tǒng)的上述方法和設(shè)備中可能有不同的實施例�����。例如�,分組接納策略可 以規(guī)定以下任一項允許哪些終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組;不允許哪些終端 主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組���;何時將數(shù)據(jù)分組接納至第一終端主機(jī)��;以及僅將有 限數(shù)量�����、速率和/或大小的數(shù)據(jù)分組接納至第一終端主機(jī)��。
所述路由憑證可以具有有限的有效性���,并可以根據(jù)包括以下任一項在內(nèi)的預(yù)定 方案來改變或更新以特定的固定或變化時間間隔;在特定次數(shù)的地址查詢之后���;以及 依賴于第二終端主機(jī)的標(biāo)識��。所述地址查詢管理器還可以適于向第二終端主機(jī)提供無論何時向第一終端主機(jī) 發(fā)送數(shù)據(jù)分組都包括憑證或憑證表示的指令����。可以向第一終端主機(jī)通知第二終端主機(jī)已通過接收所述路由憑證而被允許傳送 數(shù)據(jù)分組���。此外��,DNS系統(tǒng)可以向第一終端主機(jī)發(fā)送所述路由憑證或另一相關(guān)聯(lián)路由憑 證�����,以使得能夠沿相反方向?qū)?shù)據(jù)分組接納至第二終端主機(jī)����。所述路由憑證還可以與IMS網(wǎng)絡(luò)中的一個或多個IMS網(wǎng)關(guān)相關(guān)聯(lián)�����,此時�,可以 在針對IMS服務(wù)的請求中需要所述路由憑證���。根據(jù)另一方面�����,提供了一種用于控制IP網(wǎng)絡(luò)中數(shù)據(jù)分組的路由的方法���,所述方 法由IP網(wǎng)絡(luò)中的路由器執(zhí)行����。在本方法中����,維護(hù)憑證列表,所述憑證列表包括所接收 的����、針對第一終端主機(jī)而定義的路由憑證,在導(dǎo)向至第一終端主機(jī)的數(shù)據(jù)分組中需要所 述路由憑證以在IP網(wǎng)絡(luò)中路由數(shù)據(jù)分組�����。所述路由憑證與在DNS系統(tǒng)中針對第一終端 主機(jī)而配置的分組接納策略相對應(yīng)�,所述分組接納策略規(guī)定了允許或不允許其他終端主 機(jī)向第一終端主機(jī)傳遞數(shù)據(jù)分組的條件。當(dāng)從第二終端主機(jī)接收到導(dǎo)向至第一終端主機(jī)的數(shù)據(jù)分組時��,確定所接收的數(shù) 據(jù)分組是否包含能夠通過檢查憑證列表來驗證的有效路由憑證或其表示�����。如果所接收的 數(shù)據(jù)分組包含這種有效路由憑證或憑證表示,則向所接收的數(shù)據(jù)分組的目的地轉(zhuǎn)發(fā)所接 收的數(shù)據(jù)分組��,而如果所接收的數(shù)據(jù)分組不包含這種有效路由憑證或憑證表示����,則丟棄 分組。根據(jù)另一方面�����,提供了一種在路由器中用于控制IP網(wǎng)絡(luò)中數(shù)據(jù)分組的路由的設(shè) 備�����。該路由器設(shè)備包括憑證存儲器���,具有憑證列表,所述憑證列表包括所接收的���、針 對第一終端主機(jī)而定義的路由憑證���,在導(dǎo)向至第一終端主機(jī)的數(shù)據(jù)分組中需要所述路由 憑證以在IP網(wǎng)絡(luò)中路由數(shù)據(jù)分組。所述路由憑證與在DNS系統(tǒng)中針對第一終端主機(jī)而 配置的分組接納策略相對應(yīng)���,所述分組接納策略規(guī)定了允許或不允許其他終端主機(jī)向第 一終端主機(jī)傳遞數(shù)據(jù)分組的條件����。該路由器設(shè)備還包括入口部分,用于從第二終端主 機(jī)接收導(dǎo)向至第一終端主機(jī)的數(shù)據(jù)分組�����。該路由器設(shè)備還包括路由控制器�����,適于確定所接收的數(shù)據(jù)分組是否包含能夠 通過檢查憑證列表來驗證的有效路由憑證或其表示�����。所述路由控制器還適于在所接收的 數(shù)據(jù)分組包含這種有效路由憑證或憑證表示的情況下向所接收的數(shù)據(jù)分組的目的地轉(zhuǎn)發(fā) 所接收的數(shù)據(jù)分組��,而在所接收的數(shù)據(jù)分組不包含這種有效路由憑證或憑證表示的情況 下丟棄分組���。該路由器設(shè)備還包括出口部分�,用于在接納數(shù)據(jù)分組的情況下向數(shù)據(jù)分 組的目的地發(fā)送數(shù)據(jù)分組�����。在上述路由器方法和設(shè)備中可能有不同的實施例。例如����,所述憑證存儲器可以 從DNS系統(tǒng)或從憑證傳播過程中的另一路由器獲得所述路由憑證或憑證表示。此外�,如 果可以接納數(shù)據(jù)分組,則可以是通過轉(zhuǎn)發(fā)表來確定下一跳��。通過以下具體描述�,本發(fā)明的其他可能的特征和優(yōu)點將變得顯而易見。
現(xiàn)在將通過示例實施例并參照附圖來更詳細(xì)地描述本發(fā)明���,附圖中-圖1是示意了根據(jù)現(xiàn)有技術(shù)的IP網(wǎng)絡(luò)中的傳統(tǒng)路由器的示意框圖���。-圖2是示意了根據(jù)一個實施例可以如何控制IP網(wǎng)絡(luò)中數(shù)據(jù)分組的路由的示意框 圖總覽。-圖3是根據(jù)另一實施例由DNS系統(tǒng)執(zhí)行的用于控制IP網(wǎng)絡(luò)中數(shù)據(jù)分組的路由 的過程中的步驟的流程圖��。-圖4是根據(jù)另一實施例由路由器執(zhí)行的用于控制IP網(wǎng)絡(luò)中數(shù)據(jù)分組的路由的過 程中的步驟的流程圖��。-圖5是更詳細(xì)示意了根據(jù)其他實施例的DNS系統(tǒng)和路由器的示意框圖�。
具體實施例方式簡而言之����,本發(fā)明提供了一種方案�,利用現(xiàn)有DNS系統(tǒng)����,基于針對終端主機(jī)而 配置的分組接納策略,定義和管理該終端主機(jī)的路由憑證�。路由憑證是在IP網(wǎng)絡(luò)中的IP 路由器中分發(fā)的,并且還可以被提供給被授權(quán)向終端主機(jī)發(fā)送數(shù)據(jù)分組的實體���。路由憑 證將基本上采用以下更詳細(xì)描述的方式�����,通過網(wǎng)絡(luò)來提供對導(dǎo)向至相關(guān)聯(lián)終端主機(jī)的數(shù) 據(jù)分組的接納�����。相關(guān)聯(lián)終端主機(jī)的分組接納策略可以由規(guī)則和/或參數(shù)集合等組成��,該規(guī)則和/ 或參數(shù)集合規(guī)定了允許終端主機(jī)向相關(guān)聯(lián)終端主機(jī)傳遞數(shù)據(jù)分組的條件�。例如��,分組接 納策略可以規(guī)定允許靈些終端主機(jī)傳送數(shù)據(jù)分組�、王允許哪些終端主機(jī)傳送數(shù)據(jù)分組和/ 或ME可以將數(shù)據(jù)分組接納至相關(guān)聯(lián)終端主機(jī)。分組接納策略還可以規(guī)定僅將有限數(shù)據(jù) 量、數(shù)據(jù)速率和/或分組大小允許至相關(guān)聯(lián)終端主機(jī)���,等等���。當(dāng)終端主機(jī)向DNS系統(tǒng)發(fā)送針對目標(biāo)終端主機(jī)的地址查詢或標(biāo)識查詢以與目標(biāo) 終端主機(jī)進(jìn)行通信時,DNS系統(tǒng)將檢查目標(biāo)終端主機(jī)的策略以確定是否可以通過IP網(wǎng)絡(luò) 來接納來自進(jìn)行查詢的終端主機(jī)的數(shù)據(jù)分組���。如果可以��,則DNS系統(tǒng)通過將目標(biāo)終端主 機(jī)的IP地址以及路由憑證提供給進(jìn)行查詢的終端主機(jī)來進(jìn)行應(yīng)答�。備選地����,路由憑證自 身可以被配置為包含嵌入式路由信息,該嵌入式路由信息表明可用于向目的地路由數(shù)據(jù) 分組的目的地地址或其他路由參數(shù)�����。在這種情況下�,DNS系統(tǒng)僅提供路由憑證。然后�����,進(jìn)行查詢的終端主機(jī)可以向目標(biāo)終端主機(jī)發(fā)送包含路由憑證在內(nèi)的數(shù)據(jù) 分組�,并且在中間IP網(wǎng)絡(luò)中,將基于有效地作為分組的“證書”或“證明”的路由憑證 路由這些數(shù)據(jù)分組����。自然地,如果目標(biāo)終端主機(jī)不具有在DNS系統(tǒng)中配置的分組接納策 略����,則通過IP網(wǎng)絡(luò)向該終端主機(jī)路由分組可能不需要路由憑證。然而���,一些終端主機(jī)可 以服從在所通信的分組中需要有效路由憑證的一般或缺省分組接納策略���。因此,在檢查有效路由憑證的網(wǎng)絡(luò)中的任何路由器處����,將停止或丟棄導(dǎo)向至目 標(biāo)終端主機(jī)但缺少所需有效路由憑證的任何數(shù)據(jù)分組。從而�����,與IP網(wǎng)絡(luò)相連接的終端主 機(jī)將能夠通過在DNS系統(tǒng)中設(shè)置分組接納策略并需要有效路由憑證來進(jìn)行路由���,從而控 制可以允許來自哪些其他終端主機(jī)的數(shù)據(jù)分組���。盡管未授權(quán)的終端主機(jī)可以進(jìn)行管理以 從除DNS以外的其他位置得到目標(biāo)終端主機(jī)的IP地址����,但是所需的路由憑證僅可以從 DNS系統(tǒng)得到并僅在滿足分組接納策略的情況下得到��。
假定在沒有有效路由憑證的情況下不能通過IP網(wǎng)絡(luò)來路由數(shù)據(jù)分組��,則基本上 無需專用尋址就可以實現(xiàn)VPN或內(nèi)網(wǎng)���,專用尋址例如包括終端主機(jī)組�����,在實現(xiàn)分組接 納策略的其DNS中僅允許該組內(nèi)的數(shù)據(jù)分組����。因此���,策略規(guī)則及其中的參數(shù)將通過路由 憑證來規(guī)定并限制連接性����,從而對對路由憑證的訪問加以限制。因此�,路由憑證可以用于“開啟”或?qū)崿F(xiàn)通信方(即,終端主機(jī))之間的轉(zhuǎn) 發(fā)���。可以使路由憑證是全局唯一的��,并且路由憑證可以是應(yīng)當(dāng)實質(zhì)上不可能猜測到的隨 機(jī)數(shù)或代碼�����。因此�,可以容易地避免所創(chuàng)建的路由憑證的任何重疊,從而不需要添加的 標(biāo)識來區(qū)分憑證�����,其中���,是在重疊專用IP地址的情況下典型地需要這種墊片首部(shim header)���。圖2是框圖總覽,示意性地示意了可以如何基于在包括DNS服務(wù)器層級在內(nèi)的 DNS系統(tǒng)202中針對終端主機(jī)B而定義的路由憑證來控制通過IP網(wǎng)絡(luò)200從一個終端主 機(jī)A導(dǎo)向至另一終端主機(jī)B的數(shù)據(jù)分組的路由��,如圖中示意性地指示。該過程被示作一 系列動作或步驟����。在第一步驟2:1中,終端主機(jī)B發(fā)起對DNS系統(tǒng)202中的分組接納策 略的配置��,分組接納策略規(guī)定允許哪些終端主機(jī)向終端主機(jī)B傳送數(shù)據(jù)分組�。備選地, 網(wǎng)絡(luò)運營商可以在步驟2:1中在DNS系統(tǒng)202中對針對終端主機(jī)B的分組接納策略進(jìn)行配 置����。此外,一般或缺省策略配置可以自動用于終端主機(jī)B�,使得基本上不需要步驟2:1。然后���,在下一步驟2:2中����,DNS系統(tǒng)202定義對終端主機(jī)B有效的對應(yīng)路由憑 證�����,在導(dǎo)向至終端主機(jī)B的數(shù)據(jù)分組中需要該路由憑證以通過IP網(wǎng)絡(luò)200進(jìn)行分組接 納�。還可以針對特定終端主機(jī)定義多個路由憑證以提供給不同的進(jìn)行查詢的終端主機(jī)�, 使得每個憑證對于每個進(jìn)行查詢的終端主機(jī)來說是唯一的�����。在接下來的步驟2:3中�����,將所定義的路由憑證或其表示分發(fā)給IP網(wǎng)絡(luò)200中的 路由器��。在該步驟中����,DNS系統(tǒng)202可以將該憑證發(fā)送至僅一個或僅一些路由器���,該僅 一個或僅一些路由器進(jìn)而可以根據(jù)某種合適的傳播方案將該憑證傳播至網(wǎng)絡(luò)中的另外的 路由器����,然而���,這里不必進(jìn)一步描述該傳播方案來理解本發(fā)明�����。只要需要��,都還可以由 路由器從DNS系統(tǒng)202或其他位置取得該憑證��。如上所示����,還可以分發(fā)該憑證的合適表 示,路由器可以以預(yù)定的方式從該合適表示導(dǎo)出實際的路由憑證�。由此,在任一種情況 下��,所分發(fā)的路由憑證將最終存儲在整個網(wǎng)絡(luò)200中的多個路由器中��。實際上����,根據(jù)實 現(xiàn)方式,與DNS系統(tǒng)202相關(guān)聯(lián)的憑證服務(wù)器等可以負(fù)責(zé)在步驟2:3中分發(fā)憑證��。在隨后的某時刻����,在另一步驟2:4中,終端主機(jī)A預(yù)期要與終端主機(jī)B進(jìn)行通 信�,并將針對終端主機(jī)B的地址查詢發(fā)送至DNS系統(tǒng)202�,基本上請求由文本串等(例 如以傳統(tǒng)電子郵件地址或web地址的方式)標(biāo)識的目標(biāo)終端主機(jī)B的當(dāng)前目的地地址��。在接下來的步驟2:5中����,DNS系統(tǒng)202檢查先前針對終端主機(jī)B而配置的分組接 納策略,以確定是否允許終端主機(jī)A向終端主機(jī)B傳送數(shù)據(jù)分組�。在本示例中,終端主 機(jī)A實際上滿足終端主機(jī)B的分組接納策略�����。因此����,在下一步驟2:6中����,DNS系統(tǒng)202 可以向終端主機(jī)A發(fā)送響應(yīng),該響應(yīng)包含以上在步驟2:2中定義且在步驟2:3中分發(fā)的路 由憑證或該憑證的表示��,在憑證自身不包括或表明有用路由信息的情況下還可能包含終 端主機(jī)B的目的地地址�����。在該步驟中,DNS系統(tǒng)202還可以提供無論何時向終端主機(jī)B 發(fā)送數(shù)據(jù)分組都包括憑證的指令���。終端主機(jī)A現(xiàn)在能夠通過所獲得的路由憑證或憑證表示���、通過網(wǎng)絡(luò)200向終端主機(jī)B傳遞數(shù)據(jù)分組?�?蛇x地��,DNS系統(tǒng)202還可以向終端主機(jī)B通知終端主機(jī)A已接 收到路由憑證從而被允許向B傳送數(shù)據(jù)分組���。因此�,在下一步驟2:7中���,終端主機(jī)A開 始通信并發(fā)送導(dǎo)向至終端主機(jī)B的數(shù)據(jù)分組���,在該分組的目的地字段中具有先前獲得的 路由憑證或憑證表示,并且在目的地地址未包含在憑證中的情況下���,該分組還可能包括 目的地地址�����。在圖中����,假定網(wǎng)絡(luò)200包含多個路由器,包括存在于沿終端主機(jī)A和B之 間的傳輸路徑上某處的所示路由器204��。當(dāng)接收到由終端主機(jī)A發(fā)出的數(shù)據(jù)分組時���,IP路由器204檢查針對目標(biāo)終端主 機(jī)B而定義的有效路由憑證或其表示是否包括在分組中�。如果分組中未指示這種針對目 標(biāo)終端主機(jī)B而定義的路由憑證���,則路由器204將丟棄該分組�,從而停止進(jìn)一步路由該分 組��。由于在這種情況下目標(biāo)主機(jī)B的憑證存在于該分組中����,因此可以接納該分組以進(jìn)一 步路由�。因此,路由器204例如以上述方式通過傳統(tǒng)的轉(zhuǎn)發(fā)表來確定分組的下一跳�,并 在最后示出的步驟2:8中,將該分組相應(yīng)地發(fā)送至傳輸路徑中的下一路由器。轉(zhuǎn)發(fā)操作本 身可以以任何合適的方式執(zhí)行�����,然而這是本發(fā)明范圍之外的�。應(yīng)當(dāng)理解,接收分組�����、檢 查有效路由憑證���、以及在接納時將分組轉(zhuǎn)發(fā)至下一節(jié)點�����、或者在不接納時丟棄分組的以 上過程在傳輸路徑中具有該功能和針對分組接納而實現(xiàn)的上述路由憑證條件的任何路由 器處重復(fù)��。如果在步驟2:6中將憑證的表示而不是憑證自身提供給終端主機(jī)A����,則A可以簡 單地將其包括在發(fā)往B的任何分組中�����,假定傳輸路徑中的路由器可以以預(yù)定方式從中導(dǎo) 出實際憑證。因此��,在一種可能的實現(xiàn)方式中�,路由器可以在分發(fā)步驟2.3中接收憑證表 示,并且在步驟2:7中所接收的分組可以包括另一憑證表示���。如果路由器可以從所分發(fā)的 憑證表示和包括在所接收的分組中的憑證表示中導(dǎo)出相同的有效路由憑證��,則可以接納 該分組并將其轉(zhuǎn)發(fā)至下一跳節(jié)點����。以上方案還可以用于增加數(shù)據(jù)分組的安全性���,使得在步驟2:5中提供給終端主機(jī) A的路由憑證實際上包含兩個部分1)第一部分���,以上述方式通過網(wǎng)絡(luò)進(jìn)行接納;以及 2)第二部分����,包含終端主機(jī)B已知的、終端主機(jī)A用以對分組中的數(shù)據(jù)進(jìn)行安全性處理 的加密密鑰����。然后,終端主機(jī)B可以在接收到分組時對分組進(jìn)行解密�����,而在中間網(wǎng)絡(luò)200 中并不必要解密�。在這種情況下,僅必須將第一憑證部分附著至分組以用于接納���。圖3是由DNS系統(tǒng)(例如圖2中的DNS系統(tǒng)200)執(zhí)行的用于控制IP網(wǎng)絡(luò)中數(shù) 據(jù)分組的路由的示例過程中的步驟的流程圖���。在第一步驟300中,在DNS系統(tǒng)中針對第 一終端主機(jī)配置分組接納策略��,該分組接納策略規(guī)定了允許哪些終端主機(jī)向第一終端主 機(jī)傳送數(shù)據(jù)分組���。策略配置可以由第一終端主機(jī)或網(wǎng)絡(luò)運營商來發(fā)起���,或者,可以針對 第一終端主機(jī)自動地缺省配置預(yù)定義策略���,如上所述��。在DNS系統(tǒng)中還針對第一終端主 機(jī)定義并維護(hù)路由憑證�。如上所述,可以針對特定終端主機(jī)定義多個路由憑證���,以便例 如提供給不同的進(jìn)行查詢的終端主機(jī)��。在下一步驟302中�,例如在上述步驟2:3中那樣��,將路由憑證或其表示分發(fā)給IP 網(wǎng)絡(luò)中的路由器�����。在該步驟中��,如上所述��,路由憑證也可以由路由器取得��。根據(jù)路由器 拓?fù)?�,可能不必將憑證分發(fā)給域中的所有路由器��。然后���,在某時刻��,在步驟304中����,從 第二終端主機(jī)接收針對第一終端主機(jī)的地址查詢��。
然后��,在接下來的步驟306中�����,檢查上述分組接納策略是否允許第二終端主機(jī) 向第一終端主機(jī)傳送數(shù)據(jù)分組����。如果不允許,則在步驟308中DNS系統(tǒng)基本上禁止將路 由憑證提供給第二終端主機(jī)�����。在該步驟中���,向第二終端主機(jī)發(fā)送合適的響應(yīng)而不具有路 由所需的有效路由憑證�,從而禁止第二終端主機(jī)向第一終端主機(jī)傳遞數(shù)據(jù)分組����。該響應(yīng) 可以以各種不同方式來布置�����。例如�,步驟308中的響應(yīng)可以簡單地拒絕地址查詢或指示 不允許分組傳輸���,并且��,該響應(yīng)可以包括或可以不包括所請求的第一終端主機(jī)IP地址�。 根據(jù)另外的選項����,策略可以規(guī)定發(fā)送響應(yīng),表明基本上“不能立即接收分組����,但在X 分鐘后再次嘗試”或類似響應(yīng)。另一方面�����,如果策略允許從第二終端主機(jī)至第一終端主機(jī)的分組傳輸�����,則在步 驟310中,在對第二終端主機(jī)的響應(yīng)中�,提供第一終端主機(jī)的路由憑證或其表示,可能 還有其目的地地址���。該響應(yīng)還可以包括將憑證或憑證表示包括在發(fā)送至第一終端主機(jī) 的任何數(shù)據(jù)分組中的指令。然后�����,第二終端主機(jī)可以向第一終端主機(jī)發(fā)送包括憑證或憑證表示在內(nèi)的數(shù)據(jù) 分組��,如上所述����,傳輸路徑中的路由器將接納并轉(zhuǎn)發(fā)該數(shù)據(jù)分組。另一可選步驟312指 示���,DNS系統(tǒng)可以向第一終端主機(jī)通知已經(jīng)通過所提供的IP地址和路由憑證允許第二 終端主機(jī)傳送數(shù)據(jù)分組�。DNS系統(tǒng)還可以向第一終端主機(jī)發(fā)送憑證以實現(xiàn)安全的雙向通 信����,或者一般也可以沿相反方向發(fā)送分組��。因此�����,共享該憑證�,并且兩個終端主機(jī)都可 以使用該憑證來互相傳遞數(shù)據(jù)分組����。備選地,DNS系統(tǒng)可以向第一終端主機(jī)發(fā)送另一關(guān) 聯(lián)憑證以包括在至第二終端主機(jī)的任何分組中�����。在這種情況下�����,共享的憑證或相關(guān)聯(lián)憑 證對也可以由兩個終端主機(jī)之間的傳輸路徑中的路由器使用以確保對稱路由��,即��,在期 望時��,分組沿兩個方向都可以穿過相同的路由器集合。圖4是由IP網(wǎng)絡(luò)中的IP路由器(例如圖2中的路由器204)執(zhí)行的用于控制IP網(wǎng) 絡(luò)中數(shù)據(jù)分組的路由的示例過程中的步驟的流程圖�����。在第一步驟400中�����,接收針對第一 終端主機(jī)而定義的路由憑證或其表示���。如上所述,可以從已針對第一終端主機(jī)配置了分 組接納策略的DNS系統(tǒng)或者從憑證傳播過程中的另一路由器接收路由憑證或憑證表示����。 路由器還可以從DNS系統(tǒng)或其他憑證處理實體取得路由憑證。然后���,可以將所接收的路 由憑證或憑證表示存儲在IP路由器中的這種憑證或憑證表示的列表中�。在隨后的某時刻����,在下一步驟402中,從進(jìn)行發(fā)送的第二終端主機(jī)接收導(dǎo)向至 第一終端主機(jī)的數(shù)據(jù)分組���?�?赡芤呀?jīng)從第二終端主機(jī)與第一終端主機(jī)之間的傳輸路徑中 的前一路由器或另一節(jié)點轉(zhuǎn)發(fā)了該分組�。然后,在下一步驟404中�,確定該分組中是否包括針對第一終端主機(jī)而定義且 有效的路由憑證或?qū)?yīng)憑證表示。如果包括有效的憑證或憑證表示�,則在另一步驟406 中,例如通過轉(zhuǎn)發(fā)表來確定傳輸路徑中的下一跳并相應(yīng)地轉(zhuǎn)發(fā)該分組�。另一方面,如果 在步驟404中在所接收的數(shù)據(jù)分組中未包括這種有效的路由憑證或憑證表示���,則在最后 示出的步驟408中丟棄該分組����。圖5是更詳細(xì)示意了根據(jù)其他可能實施例的存在于IP網(wǎng)絡(luò)中的DNS系統(tǒng)500和 路由器502的示例邏輯框圖��。DNS系統(tǒng)500 —般被配置為以或多或少傳統(tǒng)的方式將目的 地地址或其他有用路由信息提供給進(jìn)行查詢的終端主機(jī)��。此外�����,DNS系統(tǒng)500還適于根 據(jù)上述路由憑證方案來提供路由憑證�����。
DNS系統(tǒng)500包括策略存儲器500a,適于針對終端主機(jī)來配置并保持分組接 納策略���,例如由圖中所示的終端主機(jī)B或者由運營商發(fā)起的策略P��,或者根據(jù)實現(xiàn)方式可 應(yīng)用于一些終端主機(jī)的一般缺省策略���。DNS系統(tǒng)500還包括憑證管理器500b,適于維 護(hù)針對相關(guān)聯(lián)分組接納策略和終端主機(jī)而定義的路由憑證���,并將憑證或其表示分發(fā)或一 般地提供給IP網(wǎng)絡(luò)中的路由器�����。根據(jù)實現(xiàn)方式,路由憑證實際上可以由憑證管理器500b 或策略存儲器500a來定義�。DNS系統(tǒng)500還包括地址查詢管理器500c,適于從終端主機(jī)接收地址查詢�����, 具體地���,從終端主機(jī)A接收與目標(biāo)終端主機(jī)B有關(guān)的地址查詢Q���。地址查詢管理器500c 還適于檢查終端主機(jī)B的分組接納策略P��,以確定是否允許主機(jī)A向主機(jī)B發(fā)送分組�����。 因此���,如果根據(jù)所檢查的策略P,允許主機(jī)A向主機(jī)B發(fā)送分組��,則響應(yīng)于查詢��,地址查 詢管理器500c將以上述方式將已針對目標(biāo)終端主機(jī)B而定義的路由憑證V或憑證表示提 供給終端主機(jī)A���。在這種情況下�,地址查詢管理器500c將從憑證管理器500b取得路由 憑證V�。地址查詢管理器500c還將目標(biāo)終端主機(jī)B的目的地地址或者表明可用于路由數(shù) 據(jù)分組的目的地的其他路由信息提供給終端主機(jī)A(作為單獨的信息或以合適的方式嵌入 路由憑證中)。路由器502包括憑證存儲器502a�����,保持對在DNS系統(tǒng)500中配置有分組接納 策略P的不同終端用戶有效的路由憑證的列表。存儲器502a中的路由憑證或其表示可能 已從憑證管理器500b分發(fā)或取得���。路由器502還包括路由控制器502b�����,適于根據(jù)存 儲器502a中的憑證列表�����,根據(jù)存在或不存在有效路由憑證或憑證表示來確定在入口部分 502c處接收的數(shù)據(jù)分組是否可以被接納以通過出口部分502d向其目的地進(jìn)行路由�。因此���,當(dāng)接收到導(dǎo)向至目標(biāo)終端主機(jī)的數(shù)據(jù)分組時��,路由控制器502b適于檢測 路由憑證或憑證表示的存在����,并在憑證存儲器502a中檢查該路由憑證或憑證表示是否對 目標(biāo)終端主機(jī)有效��。更具體地�,如果在分組中找到路由憑證或憑證表示���,則路由控制器 502b將在接納該分組以進(jìn)一步路由之前�����,檢查該路由憑證是否還存在于存儲器502a中以 及其還與目標(biāo)終端主機(jī)相對應(yīng)�。否則,將丟棄該分組�。如上所述,可以以傳統(tǒng)的方式通 過轉(zhuǎn)發(fā)表來確定下一跳�����。路由控制器502b可以在轉(zhuǎn)發(fā)單元等中實現(xiàn)���。應(yīng)當(dāng)注意����,圖5僅在邏輯意義上示意了各種功能單元��,而本領(lǐng)域技術(shù)人員實際 上可以使用任何合適的軟件和硬件裝置來自由地實現(xiàn)這些功能�����。因此����,本發(fā)明一般不限 于DNS系統(tǒng)500和路由器502的所示結(jié)構(gòu)��。還可以在如下的IMS(IP多媒體子系統(tǒng))的概念中應(yīng)用上述方案��。如本領(lǐng)域公 知����,IMS服務(wù)一般是通過SIP(會話發(fā)起協(xié)議)來控制的�����。IMS系統(tǒng)包括具有不同功能的 各種網(wǎng)關(guān)��,例如用于進(jìn)行代碼轉(zhuǎn)換和會議的設(shè)備�����。如果將這些網(wǎng)關(guān)附著至公共IP網(wǎng)絡(luò)����, 則它們可能受到“拒絕服務(wù)”攻擊,該攻擊可能降低總體服務(wù)質(zhì)量�。然而�����,通過還對 IMS服務(wù)請求以上述方式需要有效的路由憑證以便接納請求,可以容易地避免這種攻擊 以改進(jìn)網(wǎng)絡(luò)的質(zhì)量����。與IMS網(wǎng)關(guān)相關(guān)聯(lián)的路由憑證最初不為任何進(jìn)行服務(wù)請求的終端主機(jī)所知,因 此�,根據(jù)對應(yīng)的分組接納策略,必須從DNS系統(tǒng)獲得有效路由憑證�,從而消費IMS服 務(wù)。這意味著���,除非從服務(wù)接收到許可���,否則不能夠達(dá)到或訪問IMS服務(wù)基礎(chǔ)結(jié)構(gòu)。當(dāng)在稱作“CSCF”(呼叫會話控制功能)的SIP會話控制服務(wù)器處從終端主機(jī)接收到SIP請求時��,并且如果在有效載荷傳輸路徑中需要網(wǎng)關(guān)���,則向DNS系統(tǒng)發(fā)送查詢 以獲得對網(wǎng)關(guān)有效的路由憑證��。然后�,將該路由憑證封裝入發(fā)送至終端主機(jī)的DNS應(yīng)答 中���?�?梢杂山K端主機(jī)或SIP服務(wù)器向DNS系統(tǒng)發(fā)送查詢���。為了確保沒有未授權(quán)的終端 主機(jī)獲得DNS應(yīng)答����,可以使SIP服務(wù)器負(fù)責(zé)對DNS進(jìn)行查詢����。在接收到DNS應(yīng)答之后,憑證將從而被進(jìn)行服務(wù)請求的終端主機(jī)所知��。分組 接納策略可以具有用于規(guī)定特定限制條件的規(guī)則�,例如僅允許特定分組速率或數(shù)量或?qū)?憑證限于僅一個會話,以避免該終端主機(jī)對憑證的任意后續(xù)濫用����。憑證還可以具有有限 的有效時段,并可以根據(jù)預(yù)定方案進(jìn)行改變��,使得必須在前一憑證已到期之后獲得新憑 證�����。這還將減少對憑證的任意過度濫用。通過根據(jù)如互聯(lián)網(wǎng)之類的公共IP網(wǎng)絡(luò)的基礎(chǔ)結(jié)構(gòu)中的上述實施例中的任一個來 實現(xiàn)本發(fā)明���,可以在現(xiàn)有DNS系統(tǒng)中針對終端主機(jī)來配置分組接納策略,以控制允許哪 些其他終端主機(jī)傳送數(shù)據(jù)分組�。從而,可以通過該策略來防止對來自潛在非法或惡意終 端用戶的數(shù)據(jù)分組進(jìn)行路由�����。此外�,利用現(xiàn)有DNS系統(tǒng),以所描述的方式來執(zhí)行這種策 略也是一種優(yōu)點��,由于這是一種完好建立的系統(tǒng)���,用于一般將目標(biāo)終端主機(jī)的目的地地 址(或IP地址)提供給進(jìn)行查詢的終端主機(jī)���。針對相關(guān)聯(lián)終端主機(jī)的分組接納策略中的規(guī)則的一些示例可以包括-設(shè)置對同時提供給特定的進(jìn)行查詢的終端主機(jī)的路由憑證的最大數(shù)目的限制。-設(shè)置對地址查詢的速率的限制�。如果太過頻繁地對終端主機(jī)的目的地地址進(jìn)行 查詢,則可以使用這種速率限制來避免“拒絕服務(wù)”攻擊���。_根據(jù)對用戶組的定義(例如��,在VPN的情況下是封閉的用戶組)��,拒絕終端主 機(jī)獲得路由憑證��。用戶組之外的終端主機(jī)不應(yīng)當(dāng)獲得路由憑證��。-根據(jù)日��、周或季的時間���,應(yīng)用分組接納策略中的不同規(guī)則或參數(shù)�����。-規(guī)定包含路由憑證在內(nèi)的任何數(shù)據(jù)分組的轉(zhuǎn)發(fā)優(yōu)先級���,這是在轉(zhuǎn)發(fā)分組時在路 由器中執(zhí)行的。_在將路由憑證提供給終端主機(jī)以接納通信之前��,需要貨幣抵押��。此時���,如果該 通信被認(rèn)為在某方面對進(jìn)行接收的終端主機(jī)有害����,則可以保留抵押金額。終端主機(jī)還可以接納來自任何其他終端主機(jī)的分組��,只要可以跟蹤進(jìn)行發(fā)送的 終端主機(jī)(例如需要通過在DNS系統(tǒng)處進(jìn)行認(rèn)證)���。路由憑證還可以具有有限的有效性, 并可以根據(jù)預(yù)定方案而改變或更新�,以便限制當(dāng)將憑證提供給進(jìn)行查詢的終端主機(jī)時對 憑證的任意過度濫用。用于改變或更新憑證的預(yù)定方案可以包括以下任一項以特定的 固定或變化時間間隔����;在特定次數(shù)的地址查詢之后(例如在每次地址查詢時);或者依賴 于第二終端主機(jī)的標(biāo)識����。本發(fā)明提供了一種用于在IP基礎(chǔ)結(jié)構(gòu)中控制數(shù)據(jù)分組的路由,以防止在網(wǎng)絡(luò)中 路由來自潛在地非法或惡意的終端用戶的分組的機(jī)制���。因此�����,該機(jī)制可以用于避免洪 泛��、垃圾信息�����、病毒���、欺詐�、DoS攻擊和一般未經(jīng)請求的業(yè)務(wù)���。盡管參照特定示例實施例描述了本發(fā)明�����,但是一般來說��,該描述僅意在示意本 發(fā)明的概念�,而不應(yīng)被視為限制本發(fā)明的范圍���。本發(fā)明由所附權(quán)利要求來限定��。
權(quán)利要求
1.一種用于控制IP網(wǎng)絡(luò)(200)中數(shù)據(jù)分組的路由的方法�����,所述方法包括由DNS系統(tǒng) (202)執(zhí)行的以下步驟-將針對相關(guān)聯(lián)的第一終端主機(jī)(B)而配置的分組接納策略存儲在DNS系統(tǒng)中�,所 述策略規(guī)定了允許或不允許其他終端主機(jī)向第一終端主機(jī)傳遞數(shù)據(jù)分組的條件;-針對第一終端主機(jī)定義與分組接納策略相對應(yīng)的路由憑證��,在導(dǎo)向至第一終端主機(jī) 的數(shù)據(jù)分組中需要所述路由憑證或憑證表示以向第一終端主機(jī)路由所述數(shù)據(jù)分組�;-將所述路由憑證或憑證表示分發(fā)給IP網(wǎng)絡(luò)中的至少一個路由器(204);-從第二終端主機(jī)(A)接收針對第一終端主機(jī)的地址查詢��;-如果分組接納策略允許第二終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組����,則將所述路由 憑證或憑證表示提供給第二終端主機(jī)��,其中�,第二終端主機(jī)能夠?qū)⑺雎酚蓱{證或憑證 表示添加至導(dǎo)向至第一終端主機(jī)的任何數(shù)據(jù)分組,以通過IP網(wǎng)絡(luò)進(jìn)行接納�;以及-如果分組接納策略不允許第二終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組,則禁止將所 述路由憑證或憑證表示提供給第二終端主機(jī)����。
2.根據(jù)權(quán)利要求1所述的方法,其中�,分組接納策略規(guī)定了以下任一項允許哪些 終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組���;不允許哪些終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù) 分組;何時將數(shù)據(jù)分組接納至第一終端主機(jī)�����;以及僅將有限數(shù)量���、速率和/或大小的數(shù) 據(jù)分組接納至第一終端主機(jī)�����。
3.根據(jù)權(quán)利要求1或2所述的方法�,其中���,所述路由憑證具有有限的有效性����,并根據(jù) 包括以下任一項在內(nèi)的預(yù)定方案而改變或更新以特定的固定或變化時間間隔�;在特定 次數(shù)的地址查詢之后;以及依賴于第二終端主機(jī)的標(biāo)識��。
4.根據(jù)權(quán)利要求1至3中任一項所述的方法���,其中�,所述路由憑證包括第一部分, 用于通過網(wǎng)絡(luò)進(jìn)行接納�;以及第二部分,包含第一終端主機(jī)已知的���、第二終端主機(jī)用以 對分組中的數(shù)據(jù)進(jìn)行安全性處理的加密密鑰��。
5.根據(jù)權(quán)利要求1至4中任一項所述的方法�����,其中�,所述路由憑證還與IMS網(wǎng)絡(luò)中 的一個或多個IMS網(wǎng)關(guān)相關(guān)聯(lián)���,并且在針對IMS服務(wù)的請求中需要所述路由憑證。
6.—種在DNS系統(tǒng)(500)中用于控制IP網(wǎng)絡(luò)中數(shù)據(jù)分組的路由的設(shè)備���,所述設(shè)備包括-策略存儲器(500a)����,適于存儲針對相關(guān)聯(lián)的第一終端主機(jī)(B)而配置的分組接納策 略���,所述策略規(guī)定了允許或不允許終端主機(jī)向第一終端主機(jī)傳遞數(shù)據(jù)分組的條件����;-憑證管理器(500b),適于針對第一終端主機(jī)來定義與分組接納策略相對應(yīng)的路 由憑證�����,在導(dǎo)向至第一終端主機(jī)的數(shù)據(jù)分組中需要所述路由憑證或憑證表示以向第一終 端主機(jī)路由所述數(shù)據(jù)分組�����;以及將所述路由憑證或憑證表示分發(fā)給IP網(wǎng)絡(luò)中的至少一個 路由器(204)�;-地址查詢管理器(500c),適于從第二終端主機(jī)(A)接收針對第一終端主機(jī)的地 址查詢����;在分組接納策略允許第二終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組的情況下,將 所述路由憑證或憑證表示提供給第二終端主機(jī)(A)����,其中,第二終端主機(jī)能夠?qū)⑺雎?由憑證或憑證表示添加至導(dǎo)向至第一終端主機(jī)的任何數(shù)據(jù)分組以通過IP網(wǎng)絡(luò)進(jìn)行接納��; 以及在分組接納策略不允許第二終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組的情況下,禁止 將所述路由憑證或憑證表示提供給第二終端主機(jī)����。
7.根據(jù)權(quán)利要求6所述的設(shè)備,其中�,分組接納策略規(guī)定了以下任一項允許哪些 終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù)分組;不允許哪些終端主機(jī)向第一終端主機(jī)傳送數(shù)據(jù) 分組����;何時將數(shù)據(jù)分組接納至第一終端主機(jī);以及僅將有限數(shù)量����、速率和/或大小的數(shù) 據(jù)分組接納至第一終端主機(jī)。
8.根據(jù)權(quán)利要求6或7所述的設(shè)備����,其中,分組接納策略包括以下任一項-設(shè)置對同時提供給特定終端主機(jī)的路由憑證或憑證表示的最大數(shù)目的限制��;-設(shè)置對地址查詢的速率的限制以避免太過頻繁地對終端主機(jī)的目的地地址進(jìn)行查詢�;-根據(jù)對用戶組的定義來提供路由憑證或憑證表示,使得用戶組之外的終端主機(jī)不會 獲得路由憑證���;-根據(jù)日、周或季的時間����,應(yīng)用分組接納策略中的不同規(guī)則或參數(shù)���;_規(guī)定包含所述路由憑證或憑證表示在內(nèi)的任何數(shù)據(jù)分組的轉(zhuǎn)發(fā)優(yōu)先級;以及-在將路由憑證或憑證表示提供給終端主機(jī)之前�����,需要貨幣抵押��。
9.根據(jù)權(quán)利要求6至8中任一項所述的設(shè)備�����,其中����,所述路由憑證具有有限的有效 性,并根據(jù)包括以下任一項在內(nèi)的預(yù)定方案而改變或更新以特定的固定或變化時間間 隔����;在特定次數(shù)的地址查詢之后;以及依賴于第二終端主機(jī)的標(biāo)識�。
10.根據(jù)權(quán)利要求6至9中任一項所述的設(shè)備,其中,所述地址查詢管理器還適于向 第二終端主機(jī)提供無論何時向第一終端主機(jī)發(fā)送數(shù)據(jù)分組都包括所述憑證或憑證表示的 指令�����。
11.根據(jù)權(quán)利要求6至10中任一項所述的設(shè)備���,其中�,所述路由憑證包括第一部 分�����,用于通過網(wǎng)絡(luò)進(jìn)行接納��;以及第二部分�,包含第一終端主機(jī)已知的、第二終端主機(jī) 用以對分組中的數(shù)據(jù)進(jìn)行安全性處理的加密密鑰�����。
12.根據(jù)權(quán)利要求6至11中任一項所述的設(shè)備����,其中,所述設(shè)備適于向第一終端主機(jī) 通知第二終端主機(jī)已通過接收所述路由憑證而被允許傳送數(shù)據(jù)分組�。
13.根據(jù)權(quán)利要求12所述的設(shè)備���,其中����,所述設(shè)備還適于向第一終端主機(jī)發(fā)送所述路 由憑證或另一關(guān)聯(lián)路由憑證,以使得能夠沿相反方向?qū)?shù)據(jù)分組接納至第二終端主機(jī)����。
14.根據(jù)權(quán)利要求6至13中任一項所述的設(shè)備,其中�����,所述路由憑證還與IMS網(wǎng)絡(luò) 中的一個或多個IMS網(wǎng)關(guān)相關(guān)聯(lián)��,并且在針對IMS服務(wù)的請求中需要所述路由憑證�����。
15.一種用于控制IP網(wǎng)絡(luò)(200)中數(shù)據(jù)分組的路由的方法����,所述方法包括由IP網(wǎng)絡(luò) 中的路由器(204)執(zhí)行的以下步驟-維護(hù)憑證列表,所述憑證列表包括所接收的���、針對第一終端主機(jī)(B)而定義的路 由憑證��,在導(dǎo)向至第一終端主機(jī)的數(shù)據(jù)分組中需要所述路由憑證以在IP網(wǎng)絡(luò)中路由所述 數(shù)據(jù)分組�����,所述路由憑證與在DNS系統(tǒng)中針對第一終端主機(jī)而配置的分組接納策略相對 應(yīng)����,所述分組接納策略規(guī)定了允許或不允許其他終端主機(jī)向第一終端主機(jī)傳遞數(shù)據(jù)分組 的條件;-從第二終端主機(jī)(A)接收導(dǎo)向至第一終端主機(jī)的數(shù)據(jù)分組����;_確定所接收的數(shù)據(jù)分組是否包含能夠通過檢查憑證列表來驗證的有效路由憑證或憑 證表示;-如果所接收的數(shù)據(jù)分組包含這種有效路由憑證或憑證表示�����,則向所接收的數(shù)據(jù)分組的目的地轉(zhuǎn)發(fā)所接收的數(shù)據(jù)分組��;以及“如果所接收的數(shù)據(jù)分組不包含這種有效路由憑證或憑證表示��,則丟棄分組�����。
16.根據(jù)權(quán)利要求15所述的方法,其中�����,已經(jīng)從DNS系統(tǒng)或從憑證傳播過程中的另 一路由器獲得所述路由憑證或憑證表示����。
17.—種在路由器(204)中用于控制IP網(wǎng)絡(luò)(200)中數(shù)據(jù)分組的路由的設(shè)備���,所述設(shè) 備包括-憑證存儲器(502a)���,具有憑證列表,所述憑證列表包括所接收的���、針對第一終端主 機(jī)而定義的路由憑證�,在導(dǎo)向至第一終端主機(jī)的數(shù)據(jù)分組中需要所述路由憑證以在IP網(wǎng) 絡(luò)中路由所述數(shù)據(jù)分組����,所述路由憑證與在DNS系統(tǒng)中針對第一終端主機(jī)而配置的分組 接納策略相對應(yīng),所述策略規(guī)定了允許或不允許其他終端主機(jī)向第一終端主機(jī)傳遞數(shù)據(jù) 分組的條件��;-入口部分(502c)�����,用于從第二終端主機(jī)接收導(dǎo)向至第一終端主機(jī)的數(shù)據(jù)分組; -路由控制器(502b)����,適于確定所接收的數(shù)據(jù)分組是否包含能夠通過檢查憑證列 表來驗證的有效路由憑證或憑證表示;在所接收的數(shù)據(jù)分組包含這種有效路由憑證或憑 證表示的情況下��,向所接收的數(shù)據(jù)分組的目的地轉(zhuǎn)發(fā)所接收的數(shù)據(jù)分組����;以及在所接收 的數(shù)據(jù)分組不包含這種有效路由憑證或憑證表示的情況下丟棄分組;以及-出口部分(502d)�����,用于在接納數(shù)據(jù)分組的情況下向數(shù)據(jù)分組的目的地發(fā)送數(shù)據(jù)分組�。
18.根據(jù)權(quán)利要求17所述的設(shè)備,其中����,所述憑證存儲器還適于從DNS系統(tǒng)或從憑 證傳播過程中的另一路由器獲得所述路由憑證或憑證表示。
19.根據(jù)權(quán)利要求17或18所述的設(shè)備�����,其中,所述設(shè)備適于在能夠接納數(shù)據(jù)分組的 情況下通過轉(zhuǎn)發(fā)表來確定下一跳�����。
全文摘要
本發(fā)明提供了一種用于控制IP網(wǎng)絡(luò)(200)中數(shù)據(jù)分組的路由的方法和設(shè)備����。DNS系統(tǒng)(202)存儲針對第一終端主機(jī)(B)而配置的分組接納策略,該分組接納策略規(guī)定了允許或不允許其他終端主機(jī)向第一終端主機(jī)傳遞數(shù)據(jù)分組的條件�����。定義了將數(shù)據(jù)分組路由至第一終端主機(jī)所需的路由憑證��。將該路由憑證分發(fā)給IP網(wǎng)絡(luò)中的路由器(R)����。當(dāng)在DNS系統(tǒng)(202)處從第二終端主機(jī)接收到地址查詢時����,如果所配置的策略允許第二終端主機(jī)傳送數(shù)據(jù)分組,則將憑證提供給第二終端主機(jī)�。否則,不提供憑證�����。如果允許,則第二終端主機(jī)將路由憑證添加至導(dǎo)向至第一終端主機(jī)的任何數(shù)據(jù)分組�。當(dāng)在網(wǎng)絡(luò)中的路由器(204)處的分組中存在有效路由憑證時,將該分組轉(zhuǎn)發(fā)至IP網(wǎng)絡(luò)中的下一路由器����。否則,路由器將丟棄該分組�。
文檔編號H04L12/56GK102027726SQ200880129241
公開日2011年4月20日 申請日期2008年5月22日 優(yōu)先權(quán)日2008年5月22日
發(fā)明者安德拉斯·塞薩, 拉斯·韋斯特伯格, 馬茨·內(nèi)斯隆德 申請人:艾利森電話股份有限公司