[发明专利]允许电信网络中的安全通信而免于服务的拒绝(DoS)和浸灌攻击的方法和装置

说明书

技术领域

本发明涉及在电信网络中使得通信安全。

背景技术

电信网络（诸如，因特网）经由共用基础设施来在各种网络实体（诸如，网络服务器或电子消息传送服务器）之间传送数据。借助于示例，本发明可以应用于从网络实体到服务平台的安全接入。

借助于示例，本发明还可以应用于将“原始消息”从网络实体传送到一个或多个其它网络实体；在这里，术语“原始消息”用于意指任何数据集合，例如，电子邮件、或用于发起因特网协议上的语音（VoIP）呼叫的请求、或者实际上的“即时消息”。一般而言，附接（attach）到“起源”域并且连接到“发送”域的“起源客户端”将原始消息发送到附接到“目的域”并且连接到“接收”域的“目的客户端”（在本发明的上下文中，当实体拥有与网络域的服务和/或逻辑和/或管控（administrative）链路时，将该实体称为“附接”到该网络域；针对电子邮件，该逻辑地址对应于“电子邮件地址”）。发送域可以可选地相异于起源域，并且接收域可以可选地相异于目的域；例如，当发送域将连接到发送域、但是没有附接到发送域的漫游的起源客户端所发送的消息中继到目的客户端时，此在域之间的相异性是有用的。

如公知的，电信网络经历针对职业、行政、或个人目标的攻击。现今常见的攻击在于，向尽可能多的目的地发送非期望的消息，所述消息是非期望的原因在于它们并不是被要求的，诸如用于电子邮件的“垃圾邮件（spam）”或者用于因特网电话呼叫的“垃圾电话（spit）”。术语“非期望的”被广泛使用，并且同样地应用于消息的起源者的身份，并且应用于消息的内容，该消息的起源者的身份可以是真实的或者伪造的。

具体地，用于垃圾邮件/垃圾电话类型的攻击的潜在性依赖于以下因素：

·在因特网上使用的协议的弱点，诸如，简单邮件转移协议（SMTP），其处于用于转移电子邮件的最普遍使用中，并且具体地没有合并用于对电子邮件的发送者进行验证的功能；

·计算机的功率上的增加，其可以在非常短的时段上按照自动的方式来成批地发送非期望消息；以及

·有权接入因特网的网络的数目上的增加、和这些网络之间的连接性上的增加，由此向攻击者呈现了非常大数目的目标，所述攻击者可以隐藏在相对松懈的（lax）或者超出目标网络的法定或管控界限的网络之后。

此外，类型“sende r.fr”的发送域不易于确定由连接到发送域的漫游起源客户端供应的类型useroriginator.fr的地址是否是有效的，即是否实际上在域“originator.fr”中分配了该客户端的地址，并且不易于确定该客户端是否具有从这个地址发送消息的权利：发送域并不管理身份，即类型“originator.fr”的逻辑地址。攻击者经常利用这个核查的难题，以在虚假的身份之下，从攻击者有权接入的域中、或者实际上经由位于合法域中的被侵占（corrupt）的机器来发送消息。例如，由攻击者创建的因特网域“domain.fr”完全适合于在具有呼叫者身份+332abcdefghdomain.fr的发送语音呼叫中使用，即使订户号码“+332abcdefgh”事实上比方说是被分配到域“orange.fr”的。面对这种攻击，要求主叫域添加数字签名（参照因特网工程任务组（IETF）文献请求注解（RFC）4474）是无效的，这是由于尽管它针对目的地保证了呼叫确实实际上来自“domain.fr”，但是它针对目的地没有确保在这个域中事实上注册了该主叫号码。

对于这个检查的难题的一个解决方案在于，在发送域中动作为阻止其中起源地址没有附接到发送域的任何消息的发送，然而，这个解决方案具体地在VoIP服务的移动性方面极为有限，该VoIP服务使得漫游的终端能够使用第三方中继器（诸如，发送域），以便设立电话呼叫。这个情形引起了以下问题，即寻找使得目的域能够确保已经在从其中正在发送消息的域中执行了充分检查的部件。