[发明专利]一种可信MPTCP传输方法及系统

说明书

本发明实施例提供一种可信MPTCP传输方法及系统，该方法包括：将终端地址分配报文信息发送到SAVI基础设施，以供SAVI基础设施对终端地址分配报文信息进行解析，得到可信地址关系；获取可信地址关系，并根据可信地址关系更新可信地址绑定表；根据可信地址绑定表标记可信路径，并根据可信路径更新可信路径绑定表；根据可信路径绑定表对易攻击控制报文进行MPTCP传输。通过绑定可信IP地址和终端锚点，得到可信地址关系，告知终端的可信地址关系，终端将可信地址关系更新到地址绑定表；根据地址绑定表的内容标记可信路径识别MPTCP中的可信路径，从可信路径发送时不需要按照原始加密认证方法进行通信，因此最终提升了MPTCP的安全性并减少了加密认证的繁琐开销。

技术领域

本发明涉及数据传输技术领域，尤其涉及一种可信MPTCP传输方法及系统。

背景技术

近年来，随着种网络技术的发展，互联网端到端多路径传输协议(Multipath TCP；MPTCP)应运而生。MPTCP有效地利用了终端的多个接口和各种接入技术，为终端在网络中的数据传输与移动切换提供了很好的支持。但是与此同时，MPTCP对流量转发时并不会对报文的源地址进行验证，因此源地址容易被攻击者伪造，并不可信，这一缺陷使得管理者可以利用ADD_ADDR攻击、MP_JOIN拒绝服务攻击、中间人攻击(Manin the Middle Attack；MITM)等攻击手段进一步对用户传输的数据进行监听、篡改和劫持，甚至可以利用伪造的源地址对服务器实施分布式拒绝服务攻击。

国际互联网工程任务组在2008年提出了源地址验证体系结构(SAVArchitecture，SAVA)，SAVA从接入网、域内和域间三个层面对伪造的源地址报文进行过滤，形成了一系列标准——SAVI(SAV Improvement)，但由于自治域间合作困难、缺乏部署激励等原因，SAV技术还没有实现在现有互联网中的大规模部署。因此在SAV大规模部署前的过渡期，将长期存在着SAV基础设施和非SAV基础设施并存的场景，而在这种场景下，MPTCP统一认为网络层是不可信的，没有利用可信路径的信息。大多数解决方案通过加密认证的方式保证报文的可信性从而防止这些攻击，如散列消息身份验证码(Hashed Message Authentication Code，HMAC)等。但是这些方法开销大，且容易随着算力的提升被破解。随着用户连续不断的大量移动，其地址更新越来越频繁，每一次地址更新带来的重新认证都会对通信双端带来很大的开销。尤其在同时与多个客户端连接的服务器来说，这一开销将严重影响服务器的性能。

因此如何针对长期存在着SAV基础设施和非SAV基础设施并存的场景，实现可信的MPTCP传输已经成为业界亟待解决的问题。

发明内容

本发明实施例提供一种可信MPTCP传输方法及系统，用以解决上述背景技术中提出的技术问题，或至少部分解决上述背景技术中提出的技术问题。

第一方面，本发明实施例提供一种可信MPTCP传输方法，包括：

将终端地址分配报文信息发送到SAVI基础设施，以供SAVI基础设施对所述终端地址分配报文信息进行解析，得到可信地址关系；

获取可信地址关系，并根据所述可信地址关系更新可信地址绑定表；

根据所述可信地址绑定表标记可信路径，并根据可信路径更新可信路径绑定表；

根据所述可信路径绑定表对易攻击控制报文进行MPTCP传输。

第二方面，本发明实施例提供一种可信MPTCP传输系统，包括：

终端和SAVI基础设施；

终端将终端地址分配报文信息发送到SAVI基础设施，以供SAVI基础设施对所述终端地址分配报文信息进行解析，得到可信地址关系；

终端获取可信地址关系，并根据所述可信地址关系更新可信地址绑定表；