一种用于防止攻击的方法和装置制造方法及图纸

本发明专利技术涉及一种用于防止攻击的方法和装置，其中，该方法包括步骤：计算指定字符串的哈希值，作为第一设备欲发送给第二设备的媒体网关控制协议消息的攻击防止令牌，其中，所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息形成，其中，所述攻击防止令牌将与所述媒体网关控制协议消息一起被发送给所述第二设备。利用该方法和装置，能够减少或避免媒体网关控制协议受到攻击。

【技术实现步骤摘要】

本专利技术涉及一种用于防止攻击的方法和装置。
技术介绍
下一代网络(NGN)是一个以分组网络为承载，提供固定和移动话音、数据和视 频业务等多种业务的业务融合网络。媒体网关控制器(MGC)和媒体网关(MG)是分组网 络中的两个重要设备，其中，媒体网关负责业务承载功能，用于将不同的接入方式转化为 适合在IP(Internet Protocol)网络上传送的实时传输协议流(Real-time Transport Protocol)，而媒体网关控制器负责呼叫控制功能，用于实现呼叫控制平面和业务承载平面 的分离。媒体网关控制(MEGACO)协议是媒体网关控制器和媒体网关之间通信的主要协 议。按照媒体网关控制协议，媒体网关控制器和媒体网关之间通过诸如添加(Add)、修改 (Modify)、删除(Subtract)和服务改变(ServiceChange)等这样的各种媒体网关控制协议 消息来进行通信，以实现各种功能。例如，媒体网关可以通过服务改变消息来请求媒体网 关控制器进行注册和去注册，媒体网关控制器可以通过修改消息来指示媒体网关把用户的 状态修改为呼叫忙，媒体网关可以通过删除消息来请求媒体网关控制器删除通话结束的呼 叫。 由于媒体网关控制器和媒体网关之间是通过各种媒体网关控制协议消息来进行 通信以实现各种功能的，因此，如果媒体网关控制(MEGACO)协议没有安全机制，那么当网 络中存在未授权的媒体网关或未授权的媒体网关控制器时，媒体网关控制协议很容易受到 未授权的媒体网关或未授权的媒体网关控制器的攻击。例如，未授权的媒体网关可以冒充 授权的媒体网关通过服务改变请求授权的媒体网关控制器对该授权的媒体网关进行去注 册以实现去注册攻击；未授权的媒体网关控制器可以通过修改消息来通知一个授权的媒体 网关呼叫忙以实现呼叫忙攻击，使得用户不能利用该授权的媒体网关来进行电话呼叫；未 授权的媒体网关可以可以通过删除消息来请求授权的媒体网关控制器删除呼叫以实现呼 叫删除攻击，从而干扰授权的呼叫；以及，未授权的媒体网关可以获取授权的媒体网关发送 给授权的媒体网关控制器的消息，然后把所获取的消息再次发送给授权的媒体网关控制器 以实现重放攻击。为了防止媒体网关控制协议受到未授权的媒体网关或媒体网关控制器利用媒体 网关控制协议的攻击，现有的媒体网关控制协议采用了一些相应的安全机制。现有的媒体网关控制协议采用的其中一种安全机制是使用网络地址来进行身份 认证。具体地，授权的媒体网关控制器预先建立一个白名单列表，用于存储各个授权的媒体 网关的网络地址；然后，当该授权的媒体网关控制器收到一个媒体网关发送的消息时，该授 权的媒体网关控制器判断该百名单列表中是否包括有所接收的消息中包含的该媒体网关 的网络地址；接着，如果判断结果为肯定，则表明该媒体网关为授权的媒体网关，该授权的 媒体网关控制器就会根据所接收的消息执行相应的操作，而如果判断结果为否定，则表明该媒体网关为未授权的媒体网关，该授权的媒体网关控制器不会执行与所接收的消息相应 的操作。然而，由于消息中所包含的网络地址很容易被欺骗(假冒)，所以这种安全机制并 不能保护媒体网关控制协议免受上述攻击。 现有的媒体网关控制协议采用的另一种安全机制是使用IPsecdP层协议安全架 构)来保护授权的媒体网关和授权的媒体网关控制器之间的通信。然而，由于服务质量 (QoS)的要求，所以在采用媒体网关控制协议的网络中，很难部署IPsec。
技术实现思路
考虑到现有技术的上述问题，本专利技术的实施例提供一种用于防止攻击的方法和装 置，利用该方法和装置，能够减少或避免媒体网关控制协议受到攻击。按照本专利技术的一种用于防止攻击的方法，包括步骤计算指定字符串的哈希值，作 为第一设备欲发送给第二设备的媒体网关控制协议消息的攻击防止令牌，其中，所述指定 字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为 媒体网关的设备的标识、以及所述媒体网关控制协议消息形成，其中，所述攻击防止令牌用 于与所述媒体网关控制协议消息一起被发送给所述第二设备。按照本专利技术的一种用于防止攻击的方法，包括步骤当第二设备接收到第一设备 发送的媒体网关控制协议消息和包括有哈希值的攻击防止令牌时，计算指定字符串的哈希 值，其中，所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所 述第二设备中其为媒体网关的设备的标识、以及所述接收的媒体网关控制协议消息形成； 判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同；以及，当判断结果 为肯定时，确定所述第一设备是授权的设备。按照本专利技术的一种用于防止攻击的装置，包括计算模块，用于计算指定字符串的 哈希值，作为第一设备欲发送给第二设备的媒体网关控制协议消息的攻击防止令牌，其中， 所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设 备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息形成，其中，所述攻击防 止令牌用于与所述媒体网关控制协议消息一起被发送给所述第二设备。按照本专利技术的一种用于防止攻击的装置，包括计算模块，用于当第二设备接收到 第一设备发送的媒体网关控制协议消息和包括有哈希值的攻击防止令牌时，计算指定字符 串的哈希值，其中，所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一 设备和所述第二设备中其为媒体网关的设备的标识、以及所述接收的媒体网关控制协议消 息形成；判断模块，用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否 相同；以及，确定模块，用于当判断结果为肯定时，确定所述第一设备是授权的设备。按照本专利技术的一种第一设备，包括存储模块，用于存储所述第一设备和第二设备 共享的密钥；攻击防止模块，包括计算模块，用于计算指定字符串的哈希值，作为所述第 一设备欲发送给所述第二设备的媒体网关控制协议消息的攻击防止令牌，其中，所述指定 字符串由所述存储模块所存储的密钥、所述第一设备和所述第二设备中其为媒体网关的设 备的标识、以及所述媒体网关控制协议消息形成；以及，通信模块，用于向所述第二设备发 送所述媒体网关控制协议消息和所述攻击防止令牌。按照本专利技术的一种第二设备，包括存储模块，用于存储所述第二设备和第一设备共享的密钥；通信模块，用于接收所述第一设备发送的媒体网关控制协议消息和包括有哈 希值的攻击防止令牌；攻击防止模块，包括计算模块，用于计算指定字符串的哈希值，其 中，所述指定字符串由所述存储模块所存储的密钥、所述第一设备和所述第二设备中其为 媒体网关的设备的标识、以及所述接收的媒体网关控制协议消息形成；判断模块，用于判断 所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同；以及，确定模块，用于当 判断结果为肯定时，确定所述第一设备是授权的设备；以及，执行模块，用于当确定所述第 一设备是授权的设备时，执行与所述接收的媒体网关控制协议消息相应的操作。附图说明 本专利技术的上述目的和其它目的、特征及优点将通过以下结合附图的详细描述将变 得更加显而易见。其中图1是示出按照本专利技术一个实施例的媒体网关的结构示意图；图2是示出按照本专利技术一个实施例的媒体网关控制器的结构示意图；图3是示出按照本专利技术一个实施例的在媒体网关作为本文档来自技高网...

【技术保护点】
一种用于防止攻击的方法，包括步骤：计算指定字符串的哈希值，作为第一设备欲发送给第二设备的媒体网关控制协议消息的攻击防止令牌，其中，所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息形成，其中，所述攻击防止令牌用于与所述媒体网关控制协议消息一起被发送给所述第二设备。

【技术特征摘要】
1.一种用于防止攻击的方法，包括步骤计算指定字符串的哈希值，作为第一设备欲发送给第二设备的媒体网关控制协议消息 的攻击防止令牌，其中，所述指定字符串由所述第一设备和所述第二设备共享的密钥、所述 第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体网关控制协议消息 形成，其中，所述攻击防止令牌用于与所述媒体网关控制协议消息一起被发送给所述第二设备。2.如权利要求1所述的方法，其中，还包括步骤产生随机数和基于当前时间的时间戳，其中，所述攻击防止令牌还包括所述产生的随机数和时间戳，以及所述指定字符串还 包括所述产生的随机数和时间戳。3.如权利要求1或2所述的方法，其中，所述标识是所述媒体网关的网络地址，或者所 述媒体网关的网络地址和端口号。4.一种用于防止攻击的方法，包括步骤当第二设备接收到第一设备发送的媒体网关控制协议消息和包括有哈希值的攻击防 止令牌时，计算指定字符串的哈希值，其中，所述指定字符串由所述第一设备和所述第二设 备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述接 收的媒体网关控制协议消息形成；判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同；以及当判断结果为肯定时，确定所述第一设备是授权的设备。5.如权利要求4所述的方法，其中所述攻击防止令牌还包括随机数和时间戳，所述判断步骤进一步包括判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相同、所述第二设备 以前从所述第一设备接收的各个随机数中是否不包括有所述攻击防止令牌所包括的所述 随机数、以及所述第二设备从所述第一设备接收的表示最新时间的时间戳所表示的时间是 否早于所述攻击防止令牌所包括的所述时间戳所表示的时间，以及所述方法还包括步骤当确定所述第一设备是所述授权的设备时，将所述攻击防止令牌所包括的所述随机数 存储为所述第二设备从所述第一设备接收的随机数，以及将所述攻击防止令牌所包括的所 述时间戳存储为所述第二设备从所述第一设备接收的表示最新时间的时间戳。6.如权利要求4或5所述的方法，其中，所述标识是所述媒体网关的网络地址，或者所 述媒体网关的网络地址和端口号。7.一种用于防止攻击的装置，包括计算模块，用于计算指定字符串的哈希值，作为第一设备欲发送给第二设备的媒体网 关控制协议消息的攻击防止令牌，其中，所述指定字符串由所述第一设备和所述第二设备 共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标识、以及所述媒体 网关控制协议消息形成，其中，所述攻击防止令牌用于与所述媒体网关控制协议消息一起被发送给所述第二设备。8.如权利要求7所述的装置，其中，还包括产生模块，用于产生随机数和基于当前时间的时间戳，其中，所述攻击防止令牌还包括所述产生的随机数和时间戳，以及所述指定字符串还 包括所述产生的随机数和时间戳。9.一种用于防止攻击的装置，包括计算模块，用于当第二设备接收到第一设备发送的媒体网关控制协议消息和包括有 哈希值的攻击防止令牌时，计算指定字符串的哈希值，其中，所述指定字符串由所述第一设 备和所述第二设备共享的密钥、所述第一设备和所述第二设备中其为媒体网关的设备的标 识、以及所述接收的媒体网关控制协议消息形成；判断模块，用于判断所述计算的哈希值和所述攻击防止令牌所包括的哈希值是否相 同；以及确定模块，用于当判断结果为肯定时，确定所述第一设备是授权的设备。10.如权利要求9所述的装置，其中所述攻击防止令牌还包括随机数和时间戳，所述判断模块进一步用...

【专利技术属性】
技术研发人员：杨满智，
申请(专利权)人：西门子中国有限公司，
类型：发明
国别省市：11[中国|北京]