專利名稱:基于組合公鑰數字簽名技術的邊緣概率包標記方法
技術領域:
本發明涉及通信網絡安全領域一種基于組合公鑰數字簽名技術
的邊緣概率包標記方法,特別適用于低速/高速網絡遭受DoS/DDoS攻 擊時對攻擊源進行實時或非實時的追蹤定位。
背景技術:
Savage等人于2000年提出的概率包標記(簡稱PPM)方法的基 本思想是中間路由器每收到一個數據包都以概率對數據包進行標記, 標記的信息內容是路由器的IP地址信息。受害者通過收集大量的標 記攻擊數據包可以定位到攻擊端的入口邊緣路由器。后來PPM的一些 改進算法通過一定的措施在一定程度上減少了定位所需要的標記攻 擊數據包個數,但是總體來說計算過程仍然比較復雜。
為了解決路由器偽造標記信息,Song, D.X.等提出了高級認證包 標記(簡稱AAPM)法,該方法采用兩種認證機制來防止路由器由于被 脅迫而產生偽造的標記信息,這兩種認證機制都采用每個路由器與受 害者共享一個密鑰,路由器對標記數據包加密之后發送出去。發送一 段時間后,才將密鑰發送給受害者。該方法采用復雜的認證機制增加 了系統的復雜性;密鑰傳遞增加了額外的網絡負載,傳遞過程也無法 保證密鑰信息不會遭受劫獲或修改等威脅;另外,該方法對時間同步 也有一定的要求。
PPM及其現有的改進算法都存在兩個嚴重的缺陷
1. 重構攻擊路徑的過程緩慢。進行信源追蹤需要大量的標記攻 擊數據包,計算復雜。
2. 對付多重的攻擊不具有魯棒性。很難抵御多源DDoS攻擊,當 攻擊源數目超過20時,重構攻擊路徑所要求的計算強度與誤重構率 都很大。
發明內容
3本發明所要解決的技術問題在于避免上述背景技術中的不足之 處而提供一種基于組合公鑰簽名技術的邊緣概率包標記方法,本發明 采用組合公鑰簽名技術保證了標記信息的可信性,還在進行組合公鑰 數字簽名的信息內容中增加了時間信息和隨機數來防止重放攻擊。本 發明具有實現簡單,與現有協議兼容,追蹤速度快,允許事后分析,
無額外網絡負載,適用于多源DDoS攻擊定位,安全性高等特點。
本發明的目的是這樣實現的,它包括下列步驟
① 當用戶終端發出的數據包進入邊緣路由器時,邊緣路由器對 數據包的標記字段進行過濾,如果發現偽造標記字段,則將標記字段 修正為初始全'0'默認值,否則不進行清'0'處理;
② 由邊緣路由器對過濾后的數據包以設定概率進行采樣,沒被 設定概率采樣到的數據包進行正常的數據轉發;被設定概率采樣到的 數據包,邊緣路由器將其ID信息標記進采樣到的數據包的標記字段 中;
③ 邊緣路由器采用其基于ID信息的私鑰對標記數據包進行數 字簽名,數字簽名的信息內容為邊緣路由器的ID信息、時間T及一 個隨機數r;
④ 接收端的入侵檢測系統檢測到網絡攻擊時,檢查數據包中的 每個攻擊數據包的標記字段是否被標記,抽取出標記字段不同的攻擊 數據包;
⑤ 依據攻擊數據包中標記的邊緣路由器ID信息得到對應的邊 緣路由器公鑰,利用邊緣路由器公鑰對攻擊數據包的數字簽名進行驗 證其標記信息可信與否;
⑥ 將標記信息不可信的攻擊數據包丟棄;根據具有可信標記信 息的攻擊數據包中標記的邊緣路由器ID信息一步定位到攻擊端的邊 緣路由器,實現基于組合公鑰數字簽名技術的邊緣概率包標記方法的 信源定位。
本發明與背景技術相比具有如下優點
1.本發明中提出的邊緣概率包標記,與傳統PPM及其改進算法 相比,不僅降低了系統開銷,實現起來比較簡單,而且使得用于進行攻擊源定位所需的標記攻擊數據包數量大大減少。另外,本發明對付
多攻擊源攻擊也具有很好的魯棒性,保證了對DDoS攻擊中多個攻擊
源的有效定位。
2. 本發明與PPM及其改進算法相比,結合了入口過濾機制,防 止攻擊端對標記字段的偽造,安全性高。
3. 本發明與AAPM算法相比,采用了基于組合公鑰的簽名技術。 組合公鑰簽名技術與邊緣概率包標記結合不需要密鑰的傳遞,因此不 會增加額外的網絡負載,安全性也得到了保證,對時間同步也無要求。 另外,組合公鑰不基于第三方的非在線驗證特點也使得驗證容易實 現。
4. 本發明與AAPM算法相比,在簽名內容中加入時間信息和隨機 數信息防止了重放攻擊。
5. 本發明適用于高速網絡條件下對攻擊源實時或事后的定位。 本發明具有定位速度快、高可信性、簡單易實現,系統開銷小等優點。
圖1是本發明基于組合公鑰簽名技術的邊緣概率包標記實施例 的原理方框圖。
圖2是本發明對標記包進行基于組合公鑰的數字簽名工作過程 示意圖。
圖1中,1為入口過濾模塊,2為概率采樣模塊,3為標記數據 包模塊,4為隨機數生成模塊,5為標記簽名模塊,6為入侵檢測模 塊,7為簽名的驗證模塊。
具體實施例方式
參照圖1、圖2。圖1是本發明基于組合公鑰簽名技術的邊緣概 率包標記實施例的原理方框圖。它包括入口過濾模塊l,概率采樣模 塊2,標記數據包模塊3,隨機數生成模塊4,標記簽名模塊5,入侵 檢測模塊6,簽名的驗證模塊7,實施例如圖l所示連接線路。本發 明包括步驟
①當用戶終端發出的數據包進入邊緣路由器時,邊緣路由器對 數據包的標記字段進行過濾,如果發現偽造標記字段,則將標記字段進行清'0'處理,實施例步驟① 由圖1中的入口過濾模塊1完成。入口過濾模塊1完成對數據包的標 記字段的過濾功能。
在邊緣路由器未進行數據包的概率標記之前,用于存放標記信息 的數據包的標記字段不應該出現標記信息。如果發現用于存放標記信 息的數據包的標記字段內容出現非法偽造標記,則將其修正為初始全
'0'默認值。由于全的ID不是有效的路由器ID信息,所以用 該值表示初始默認值可以有效避免攻擊端對標記字段的偽造。
② 由邊緣路由器對過濾后的數據包以設定概率進行采樣,沒被 設定概率采樣到的數據包進行正常的數據轉發;被設定概率采樣到的 數據包,邊緣路由器將其ID信息標記進采樣到的數據包的標記字段 中,實施例步驟②由圖1中的概率采樣模塊2和標記數據包模塊3 完成。概率采樣模塊2以設定的標記概率完成對通過邊緣路由器的數 據包進行概率采樣。
設定標記概率尸M可以根據對系統開銷的要求而選取。對于通過
邊緣路由器的每個數據包,邊緣路由器選擇[O, 1)之間的一個隨機 數《,如果《<&,則表示數據包被設定概率采樣到;否則,表示數 據包沒被設定概率采樣到。
標記數據包模塊3完成對被概率采樣到的數據包將邊緣路由器 的ID信息標記進數據包的標記字段的功能。
③ 邊緣路由器采用其基于ID信息的私鑰對標記數據包進行數 字簽名,數字簽名的信息內容為邊緣路由器的ID信息、時間T及一 個隨機數r,實施例步驟③由圖1中的隨機數生成模塊4和標記簽名 模塊5完成。隨機數生成模塊4完成對每個標記數據包都生成一個隨 機數以標志區分標記數據包。
考慮到標記數據包在發送過程中,有可能在轉發過程中被劫獲, 在信源定位完成后仍然每經過一段時間將該標記數據包進行周期或 定期的進行重放,受害者的入侵檢測系統每次檢測到加標記的攻擊數 據包都會發送信源定位請求。
為了防止這類重放攻擊,在進行數字簽名之前將當前時間T加入
6數字簽名的信息內容中。但是,劫獲者可能在很短的時間間隔連續進 行發送,僅僅擁有時間信息T還不足以識別是否遭受到了重放攻擊,
因此,通過添加一個隨機數r來加以識別。
標記簽名模塊5完成對數字簽名信息內容邊緣路由器的ID信息、 時間信息T及一個隨機數r的基于組合公鑰簽名技術的數字簽名,邊 緣路由器最后將攜帶邊緣路由器ID信息及對邊緣路由器的ID信息、 時間信息T及一個隨機數r進行了數字簽名的標記數據包發送出去, 基于組合公鑰的數字簽名工作過程如圖2所示。
④ 接收端的入侵檢測系統(簡稱IDS)檢測到網絡攻擊時,檢 查數據包中的每個攻擊數據包的標記字段是否被標記,抽取出標記字 段不同的攻擊數據包,實施例步驟④由圖1中的入侵檢測模塊6完成。 入侵檢測模塊6完成對網絡攻擊的檢測功能。
⑤ 依據攻擊數據包中標記的邊緣路由器ID信息得到對應的邊 緣路由器公鑰,利用邊緣路由器公鑰對攻擊數據包的數字簽名進行驗 證其標記信息可信與否,實施步驟⑤由圖1中的簽名的驗證模塊7 完成。簽名的驗證模塊7完成對經過標記的攻擊數據包中標記信息的 可信性進行驗證的功能。
根據經過標記的攻擊數據包中所標記的邊緣路由器ID信息,基 于組合公鑰矩陣得到對應的邊緣路由器的公鑰。利用邊緣路由器的公 鑰對數字簽名進行解密,如果解密結果中ID信息與經過標記的攻擊 數據包中標記的路由器ID信息一致,時間信息在范圍內,隨機數未 曾重復出現,則表示標記信息可信;否則,表示標記信息是偽造、篡 改或重放的。
⑥ 將標記信息不可信的攻擊數據包丟棄;根據具有可信標記信 息的攻擊數據包中標記的邊緣路由器ID信息一步定位到攻擊端的邊 緣路由器,實現基于組合公鑰數字簽名技術的邊緣概率包標記方法的 信源定位。
權利要求
1. 一種基于組合公鑰數字簽名技術的邊緣概率包標記方法,其特征在于包括步驟①當用戶終端發出的數據包進入邊緣路由器時,邊緣路由器對數據包的標記字段進行過濾,如果發現偽造標記字段,則將標記字段修正為初始全‘0’默認值,否則不進行清‘0’處理;②由邊緣路由器對過濾后的數據包以設定概率進行采樣,沒被設定概率采樣到的數據包進行正常的數據轉發;被設定概率采樣到的數據包,邊緣路由器將其ID信息標記進采樣到的數據包的標記字段中;③邊緣路由器采用其基于ID信息的私鑰對標記數據包進行數字簽名,數字簽名的信息內容為邊緣路由器的ID信息、時間T及一個隨機數r;④接收端的入侵檢測系統檢測到網絡攻擊時,檢查數據包中的每個攻擊數據包的標記字段是否被標記,抽取出標記字段不同的攻擊數據包;⑤依據攻擊數據包中標記的邊緣路由器ID信息得到對應的邊緣路由器公鑰,利用邊緣路由器公鑰對攻擊數據包的數字簽名進行驗證其標記信息可信與否;⑥將標記信息不可信的攻擊數據包丟棄;根據具有可信標記信息的攻擊數據包中標記的邊緣路由器ID信息一步定位到攻擊端的邊緣路由器,實現基于組合公鑰數字簽名技術的邊緣概率包標記方法的信源定位。
全文摘要
本發明公開了基于組合公鑰數字簽名技術的邊緣概率包標記方法,它涉及通信網絡安全領域中通過在數據包中加入標記實現對攻擊源進行定位的技術。它對從局域網來的數據包以設定概率進行采樣,用邊緣路由器ID信息對采樣數據包進行標記,并對標記進行基于組合公鑰的數字簽名保證標記的可信性。通過從具有可信標記的攻擊數據包提取邊緣路由器ID信息,實現對邊緣路由器的定位。本發明具有實現簡單、與現有協議兼容、追蹤速度快、允許事后分析、不增加額外網絡負載、適用于DDoS攻擊定位、安全性高等優點,特別適用于低速或高速網絡遭受洪泛類攻擊時對各個攻擊源進行實時或非實時的追蹤定位。
文檔編號H04L9/28GK101447869SQ200810080210
公開日2009年6月3日 申請日期2008年12月25日 優先權日2008年12月25日
發明者劉存才, 巍 吳, 妥艷君, 艷 李, 李丹鏑, 楊國瑞, 王俊芳, 趙麗霞, 煒 鄧 申請人:中國電子科技集團公司第五十四研究所