專利名稱:基于組合公鑰數(shù)字簽名技術(shù)的邊緣概率包標(biāo)記方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)安全領(lǐng)域一種基于組合公鑰數(shù)字簽名技術(shù)
的邊緣概率包標(biāo)記方法�����,特別適用于低速/高速網(wǎng)絡(luò)遭受DoS/DDoS攻 擊時對攻擊源進(jìn)行實時或非實時的追蹤定位���。
背景技術(shù):
Savage等人于2000年提出的概率包標(biāo)記(簡稱PPM)方法的基 本思想是中間路由器每收到一個數(shù)據(jù)包都以概率對數(shù)據(jù)包進(jìn)行標(biāo)記, 標(biāo)記的信息內(nèi)容是路由器的IP地址信息��。受害者通過收集大量的標(biāo) 記攻擊數(shù)據(jù)包可以定位到攻擊端的入口邊緣路由器�����。后來PPM的一些 改進(jìn)算法通過一定的措施在一定程度上減少了定位所需要的標(biāo)記攻 擊數(shù)據(jù)包個數(shù)����,但是總體來說計算過程仍然比較復(fù)雜���。
為了解決路由器偽造標(biāo)記信息,Song, D.X.等提出了高級認(rèn)證包 標(biāo)記(簡稱AAPM)法�,該方法采用兩種認(rèn)證機(jī)制來防止路由器由于被 脅迫而產(chǎn)生偽造的標(biāo)記信息,這兩種認(rèn)證機(jī)制都采用每個路由器與受 害者共享一個密鑰���,路由器對標(biāo)記數(shù)據(jù)包加密之后發(fā)送出去。發(fā)送一 段時間后����,才將密鑰發(fā)送給受害者�����。該方法采用復(fù)雜的認(rèn)證機(jī)制增加 了系統(tǒng)的復(fù)雜性�����;密鑰傳遞增加了額外的網(wǎng)絡(luò)負(fù)載���,傳遞過程也無法 保證密鑰信息不會遭受劫獲或修改等威脅;另外���,該方法對時間同步 也有一定的要求�。
PPM及其現(xiàn)有的改進(jìn)算法都存在兩個嚴(yán)重的缺陷
1. 重構(gòu)攻擊路徑的過程緩慢�。進(jìn)行信源追蹤需要大量的標(biāo)記攻 擊數(shù)據(jù)包,計算復(fù)雜����。
2. 對付多重的攻擊不具有魯棒性。很難抵御多源DDoS攻擊���,當(dāng) 攻擊源數(shù)目超過20時�,重構(gòu)攻擊路徑所要求的計算強(qiáng)度與誤重構(gòu)率 都很大。
發(fā)明內(nèi)容
3本發(fā)明所要解決的技術(shù)問題在于避免上述背景技術(shù)中的不足之 處而提供一種基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記方法�����,本發(fā)明 采用組合公鑰簽名技術(shù)保證了標(biāo)記信息的可信性����,還在進(jìn)行組合公鑰 數(shù)字簽名的信息內(nèi)容中增加了時間信息和隨機(jī)數(shù)來防止重放攻擊。本 發(fā)明具有實現(xiàn)簡單��,與現(xiàn)有協(xié)議兼容���,追蹤速度快����,允許事后分析��,
無額外網(wǎng)絡(luò)負(fù)載����,適用于多源DDoS攻擊定位���,安全性高等特點��。
本發(fā)明的目的是這樣實現(xiàn)的�,它包括下列步驟
① 當(dāng)用戶終端發(fā)出的數(shù)據(jù)包進(jìn)入邊緣路由器時,邊緣路由器對 數(shù)據(jù)包的標(biāo)記字段進(jìn)行過濾�,如果發(fā)現(xiàn)偽造標(biāo)記字段,則將標(biāo)記字段 修正為初始全'0'默認(rèn)值�,否則不進(jìn)行清'0'處理;
② 由邊緣路由器對過濾后的數(shù)據(jù)包以設(shè)定概率進(jìn)行采樣�����,沒被 設(shè)定概率采樣到的數(shù)據(jù)包進(jìn)行正常的數(shù)據(jù)轉(zhuǎn)發(fā)��;被設(shè)定概率采樣到的 數(shù)據(jù)包����,邊緣路由器將其ID信息標(biāo)記進(jìn)采樣到的數(shù)據(jù)包的標(biāo)記字段 中;
③ 邊緣路由器采用其基于ID信息的私鑰對標(biāo)記數(shù)據(jù)包進(jìn)行數(shù) 字簽名��,數(shù)字簽名的信息內(nèi)容為邊緣路由器的ID信息�����、時間T及一 個隨機(jī)數(shù)r;
④ 接收端的入侵檢測系統(tǒng)檢測到網(wǎng)絡(luò)攻擊時��,檢查數(shù)據(jù)包中的 每個攻擊數(shù)據(jù)包的標(biāo)記字段是否被標(biāo)記,抽取出標(biāo)記字段不同的攻擊 數(shù)據(jù)包����;
⑤ 依據(jù)攻擊數(shù)據(jù)包中標(biāo)記的邊緣路由器ID信息得到對應(yīng)的邊 緣路由器公鑰,利用邊緣路由器公鑰對攻擊數(shù)據(jù)包的數(shù)字簽名進(jìn)行驗 證其標(biāo)記信息可信與否�����;
⑥ 將標(biāo)記信息不可信的攻擊數(shù)據(jù)包丟棄��;根據(jù)具有可信標(biāo)記信 息的攻擊數(shù)據(jù)包中標(biāo)記的邊緣路由器ID信息一步定位到攻擊端的邊 緣路由器���,實現(xiàn)基于組合公鑰數(shù)字簽名技術(shù)的邊緣概率包標(biāo)記方法的 信源定位���。
本發(fā)明與背景技術(shù)相比具有如下優(yōu)點
1.本發(fā)明中提出的邊緣概率包標(biāo)記,與傳統(tǒng)PPM及其改進(jìn)算法 相比�,不僅降低了系統(tǒng)開銷,實現(xiàn)起來比較簡單����,而且使得用于進(jìn)行攻擊源定位所需的標(biāo)記攻擊數(shù)據(jù)包數(shù)量大大減少。另外����,本發(fā)明對付
多攻擊源攻擊也具有很好的魯棒性��,保證了對DDoS攻擊中多個攻擊
源的有效定位。
2. 本發(fā)明與PPM及其改進(jìn)算法相比���,結(jié)合了入口過濾機(jī)制��,防 止攻擊端對標(biāo)記字段的偽造����,安全性高�。
3. 本發(fā)明與AAPM算法相比,采用了基于組合公鑰的簽名技術(shù)��。 組合公鑰簽名技術(shù)與邊緣概率包標(biāo)記結(jié)合不需要密鑰的傳遞����,因此不 會增加額外的網(wǎng)絡(luò)負(fù)載,安全性也得到了保證����,對時間同步也無要求。 另外���,組合公鑰不基于第三方的非在線驗證特點也使得驗證容易實 現(xiàn)�����。
4. 本發(fā)明與AAPM算法相比��,在簽名內(nèi)容中加入時間信息和隨機(jī) 數(shù)信息防止了重放攻擊�。
5. 本發(fā)明適用于高速網(wǎng)絡(luò)條件下對攻擊源實時或事后的定位。 本發(fā)明具有定位速度快�、高可信性、簡單易實現(xiàn)���,系統(tǒng)開銷小等優(yōu)點���。
圖1是本發(fā)明基于組合公鑰簽名技術(shù)的邊緣概率包標(biāo)記實施例 的原理方框圖。
圖2是本發(fā)明對標(biāo)記包進(jìn)行基于組合公鑰的數(shù)字簽名工作過程 示意圖���。
圖1中����,1為入口過濾模塊��,2為概率采樣模塊��,3為標(biāo)記數(shù)據(jù) 包模塊��,4為隨機(jī)數(shù)生成模塊,5為標(biāo)記簽名模塊����,6為入侵檢測模 塊,7為簽名的驗證模塊�����。
具體實施例方式
參照圖1��、圖2����。圖1是本發(fā)明基于組合公鑰簽名技術(shù)的邊緣概 率包標(biāo)記實施例的原理方框圖�。它包括入口過濾模塊l,概率采樣模 塊2����,標(biāo)記數(shù)據(jù)包模塊3,隨機(jī)數(shù)生成模塊4�,標(biāo)記簽名模塊5,入侵 檢測模塊6�����,簽名的驗證模塊7,實施例如圖l所示連接線路�����。本發(fā) 明包括步驟
①當(dāng)用戶終端發(fā)出的數(shù)據(jù)包進(jìn)入邊緣路由器時�����,邊緣路由器對 數(shù)據(jù)包的標(biāo)記字段進(jìn)行過濾��,如果發(fā)現(xiàn)偽造標(biāo)記字段����,則將標(biāo)記字段進(jìn)行清'0'處理,實施例步驟① 由圖1中的入口過濾模塊1完成��。入口過濾模塊1完成對數(shù)據(jù)包的標(biāo) 記字段的過濾功能�。
在邊緣路由器未進(jìn)行數(shù)據(jù)包的概率標(biāo)記之前,用于存放標(biāo)記信息 的數(shù)據(jù)包的標(biāo)記字段不應(yīng)該出現(xiàn)標(biāo)記信息�。如果發(fā)現(xiàn)用于存放標(biāo)記信 息的數(shù)據(jù)包的標(biāo)記字段內(nèi)容出現(xiàn)非法偽造標(biāo)記,則將其修正為初始全
'0'默認(rèn)值���。由于全的ID不是有效的路由器ID信息���,所以用 該值表示初始默認(rèn)值可以有效避免攻擊端對標(biāo)記字段的偽造���。
② 由邊緣路由器對過濾后的數(shù)據(jù)包以設(shè)定概率進(jìn)行采樣,沒被 設(shè)定概率采樣到的數(shù)據(jù)包進(jìn)行正常的數(shù)據(jù)轉(zhuǎn)發(fā)�����;被設(shè)定概率采樣到的 數(shù)據(jù)包��,邊緣路由器將其ID信息標(biāo)記進(jìn)采樣到的數(shù)據(jù)包的標(biāo)記字段 中���,實施例步驟②由圖1中的概率采樣模塊2和標(biāo)記數(shù)據(jù)包模塊3 完成。概率采樣模塊2以設(shè)定的標(biāo)記概率完成對通過邊緣路由器的數(shù) 據(jù)包進(jìn)行概率采樣�。
設(shè)定標(biāo)記概率尸M可以根據(jù)對系統(tǒng)開銷的要求而選取。對于通過
邊緣路由器的每個數(shù)據(jù)包���,邊緣路由器選擇[O�����, 1)之間的一個隨機(jī) 數(shù)《���,如果《<&,則表示數(shù)據(jù)包被設(shè)定概率采樣到��;否則,表示數(shù) 據(jù)包沒被設(shè)定概率采樣到�����。
標(biāo)記數(shù)據(jù)包模塊3完成對被概率采樣到的數(shù)據(jù)包將邊緣路由器 的ID信息標(biāo)記進(jìn)數(shù)據(jù)包的標(biāo)記字段的功能�。
③ 邊緣路由器采用其基于ID信息的私鑰對標(biāo)記數(shù)據(jù)包進(jìn)行數(shù) 字簽名,數(shù)字簽名的信息內(nèi)容為邊緣路由器的ID信息�����、時間T及一 個隨機(jī)數(shù)r��,實施例步驟③由圖1中的隨機(jī)數(shù)生成模塊4和標(biāo)記簽名 模塊5完成��。隨機(jī)數(shù)生成模塊4完成對每個標(biāo)記數(shù)據(jù)包都生成一個隨 機(jī)數(shù)以標(biāo)志區(qū)分標(biāo)記數(shù)據(jù)包�����。
考慮到標(biāo)記數(shù)據(jù)包在發(fā)送過程中����,有可能在轉(zhuǎn)發(fā)過程中被劫獲, 在信源定位完成后仍然每經(jīng)過一段時間將該標(biāo)記數(shù)據(jù)包進(jìn)行周期或 定期的進(jìn)行重放�����,受害者的入侵檢測系統(tǒng)每次檢測到加標(biāo)記的攻擊數(shù) 據(jù)包都會發(fā)送信源定位請求。
為了防止這類重放攻擊��,在進(jìn)行數(shù)字簽名之前將當(dāng)前時間T加入
6數(shù)字簽名的信息內(nèi)容中�。但是,劫獲者可能在很短的時間間隔連續(xù)進(jìn) 行發(fā)送��,僅僅擁有時間信息T還不足以識別是否遭受到了重放攻擊��,
因此���,通過添加一個隨機(jī)數(shù)r來加以識別�����。
標(biāo)記簽名模塊5完成對數(shù)字簽名信息內(nèi)容邊緣路由器的ID信息、 時間信息T及一個隨機(jī)數(shù)r的基于組合公鑰簽名技術(shù)的數(shù)字簽名�����,邊 緣路由器最后將攜帶邊緣路由器ID信息及對邊緣路由器的ID信息�����、 時間信息T及一個隨機(jī)數(shù)r進(jìn)行了數(shù)字簽名的標(biāo)記數(shù)據(jù)包發(fā)送出去�, 基于組合公鑰的數(shù)字簽名工作過程如圖2所示�。
④ 接收端的入侵檢測系統(tǒng)(簡稱IDS)檢測到網(wǎng)絡(luò)攻擊時���,檢 查數(shù)據(jù)包中的每個攻擊數(shù)據(jù)包的標(biāo)記字段是否被標(biāo)記�����,抽取出標(biāo)記字 段不同的攻擊數(shù)據(jù)包�����,實施例步驟④由圖1中的入侵檢測模塊6完成��。 入侵檢測模塊6完成對網(wǎng)絡(luò)攻擊的檢測功能����。
⑤ 依據(jù)攻擊數(shù)據(jù)包中標(biāo)記的邊緣路由器ID信息得到對應(yīng)的邊 緣路由器公鑰�,利用邊緣路由器公鑰對攻擊數(shù)據(jù)包的數(shù)字簽名進(jìn)行驗 證其標(biāo)記信息可信與否,實施步驟⑤由圖1中的簽名的驗證模塊7 完成���。簽名的驗證模塊7完成對經(jīng)過標(biāo)記的攻擊數(shù)據(jù)包中標(biāo)記信息的 可信性進(jìn)行驗證的功能��。
根據(jù)經(jīng)過標(biāo)記的攻擊數(shù)據(jù)包中所標(biāo)記的邊緣路由器ID信息����,基 于組合公鑰矩陣得到對應(yīng)的邊緣路由器的公鑰。利用邊緣路由器的公 鑰對數(shù)字簽名進(jìn)行解密���,如果解密結(jié)果中ID信息與經(jīng)過標(biāo)記的攻擊 數(shù)據(jù)包中標(biāo)記的路由器ID信息一致���,時間信息在范圍內(nèi),隨機(jī)數(shù)未 曾重復(fù)出現(xiàn)���,則表示標(biāo)記信息可信�;否則�����,表示標(biāo)記信息是偽造��、篡 改或重放的��。
⑥ 將標(biāo)記信息不可信的攻擊數(shù)據(jù)包丟棄�����;根據(jù)具有可信標(biāo)記信 息的攻擊數(shù)據(jù)包中標(biāo)記的邊緣路由器ID信息一步定位到攻擊端的邊 緣路由器���,實現(xiàn)基于組合公鑰數(shù)字簽名技術(shù)的邊緣概率包標(biāo)記方法的 信源定位����。
權(quán)利要求
1. 一種基于組合公鑰數(shù)字簽名技術(shù)的邊緣概率包標(biāo)記方法�,其特征在于包括步驟①當(dāng)用戶終端發(fā)出的數(shù)據(jù)包進(jìn)入邊緣路由器時,邊緣路由器對數(shù)據(jù)包的標(biāo)記字段進(jìn)行過濾��,如果發(fā)現(xiàn)偽造標(biāo)記字段�,則將標(biāo)記字段修正為初始全‘0’默認(rèn)值,否則不進(jìn)行清‘0’處理�;②由邊緣路由器對過濾后的數(shù)據(jù)包以設(shè)定概率進(jìn)行采樣,沒被設(shè)定概率采樣到的數(shù)據(jù)包進(jìn)行正常的數(shù)據(jù)轉(zhuǎn)發(fā)��;被設(shè)定概率采樣到的數(shù)據(jù)包���,邊緣路由器將其ID信息標(biāo)記進(jìn)采樣到的數(shù)據(jù)包的標(biāo)記字段中��;③邊緣路由器采用其基于ID信息的私鑰對標(biāo)記數(shù)據(jù)包進(jìn)行數(shù)字簽名�����,數(shù)字簽名的信息內(nèi)容為邊緣路由器的ID信息���、時間T及一個隨機(jī)數(shù)r�;④接收端的入侵檢測系統(tǒng)檢測到網(wǎng)絡(luò)攻擊時�����,檢查數(shù)據(jù)包中的每個攻擊數(shù)據(jù)包的標(biāo)記字段是否被標(biāo)記����,抽取出標(biāo)記字段不同的攻擊數(shù)據(jù)包;⑤依據(jù)攻擊數(shù)據(jù)包中標(biāo)記的邊緣路由器ID信息得到對應(yīng)的邊緣路由器公鑰��,利用邊緣路由器公鑰對攻擊數(shù)據(jù)包的數(shù)字簽名進(jìn)行驗證其標(biāo)記信息可信與否�����;⑥將標(biāo)記信息不可信的攻擊數(shù)據(jù)包丟棄����;根據(jù)具有可信標(biāo)記信息的攻擊數(shù)據(jù)包中標(biāo)記的邊緣路由器ID信息一步定位到攻擊端的邊緣路由器,實現(xiàn)基于組合公鑰數(shù)字簽名技術(shù)的邊緣概率包標(biāo)記方法的信源定位��。
全文摘要
本發(fā)明公開了基于組合公鑰數(shù)字簽名技術(shù)的邊緣概率包標(biāo)記方法�,它涉及通信網(wǎng)絡(luò)安全領(lǐng)域中通過在數(shù)據(jù)包中加入標(biāo)記實現(xiàn)對攻擊源進(jìn)行定位的技術(shù)。它對從局域網(wǎng)來的數(shù)據(jù)包以設(shè)定概率進(jìn)行采樣�,用邊緣路由器ID信息對采樣數(shù)據(jù)包進(jìn)行標(biāo)記���,并對標(biāo)記進(jìn)行基于組合公鑰的數(shù)字簽名保證標(biāo)記的可信性���。通過從具有可信標(biāo)記的攻擊數(shù)據(jù)包提取邊緣路由器ID信息���,實現(xiàn)對邊緣路由器的定位。本發(fā)明具有實現(xiàn)簡單���、與現(xiàn)有協(xié)議兼容��、追蹤速度快�����、允許事后分析��、不增加額外網(wǎng)絡(luò)負(fù)載����、適用于DDoS攻擊定位�、安全性高等優(yōu)點,特別適用于低速或高速網(wǎng)絡(luò)遭受洪泛類攻擊時對各個攻擊源進(jìn)行實時或非實時的追蹤定位��。
文檔編號H04L9/28GK101447869SQ200810080210
公開日2009年6月3日 申請日期2008年12月25日 優(yōu)先權(quán)日2008年12月25日
發(fā)明者劉存才, 巍 吳, 妥艷君, 艷 李, 李丹鏑, 楊國瑞, 王俊芳, 趙麗霞, 煒 鄧 申請人:中國電子科技集團(tuán)公司第五十四研究所