CN100337456C - 通过路由器签名提高ip网络安全性的方法 - Google Patents

Abstract

本发明涉及一种通过路由器签名提高IP网络安全性的方法，1)、在IPv4规程的包头可选项中增加一个新的可选项“签名”，要求IP包沿途的路由器在IP包头的可选项中记录签名者的IP地址和经过加密的附加校验信息；2)、带有路由功能的网络设备在转发IP包时根据包的内容计算生成签名，并将签名可选项插入IP包头或包的扩充部；3)、包的接收者对可疑的包记录下其包头、包括各个“签名”可选项，以及包头后面的若干字节作为内容依据，同时纪录下包的到达时间。本发明的优点是：在受到查询时根据与包的内容有关的数据、算法与参数的索引值以及时间重新计算出一个校验码，并将计算结果与校验码比对，以判定签名的真伪，可以大大缩小查找攻击者的范围。

Description

通过路由器签名提高IP网络安全性的方法

技术领域

本发明涉及一种网络和通信领域，主要是一种通过路由器签名提高IP网络安全性的方法。这种在互联网中使路由器在所转发的IP包上加上签名的方法，目的是在发生问题时可以追寻IP包的来源，从而提高IP网络的安全性。

背景技术

IP网络的安全问题是个很复杂的问题，其不安全性有着多方面的原因。其中的一个重要原因就是：即使对于已知属于黑客攻击、由黑客发来的IP包，也几乎不可能查明其真实的来源，因而只能把有关的IP包丢弃或阻挡在外了事。这样，对攻击者就既没有反制的措施，也没有吓阻的作用。

当然，在IP包中有发送者的IP地址、即“源地址”，但这是可以假冒的。黑客发往被攻击目标的IP包可以假冒别人的IP地址，而对于被攻击目标按此地址回复的IP包则可以设法加以拦截。于是，即使被攻击目标察觉了，按有关IP包中的源地址找到的也只是被假冒的无辜者。

之所以会如此有两方面的原因。第一个原因是IP包中不带有与其传输踪迹有关、而又难以伪造的信息。第二个原因是沿途各路由器并不记录(那怕是暂时记录)属于同一个“流”、即同一对节点间的流量的走向。这里的第一个原因源自IP包的格式(从而IP规程)。而第二个原因则来自IP网的基本特性，即IP网在网络层是“无连接”的，并且网络设备(路由器)是“无状态”的。

显然，由于涉及IP网的基本特性，对于上述的第二个原因是很难作什么改变的。而对于上述的第一个原因，则还存在改变的余地，只是这种改变必须是在现有IP规程的框架内进行并与之兼容。

其实在现有的IP规程中有两个可选项是与包的传输踪迹有关的。一个是“记录路径(Record Route)”可选项。这个可选项要求沿途的路由器在所转发的IP包的包头中记录下它的IP地址(由于包头大小的限制，最多只能记录前9个路由器的IP地址)。另一个是“时戳(Timestamp)”可选项。这个可选项可以要求沿途的路由器在所转发IP包的包头中记录下它的IP地址和当时的时间。然而，这两个可选项都无助于上述问题的解决。这是因为：首先，现有IP规程中可选项的使用与否是由IP包的源节点决定的，而不是由途中的路由器强制加入，攻击者当然不会主动要求使用这些可选项。第二，实际上更为重要的是，攻击者满可以伪造出一串IP地址，而受攻击的一方无从查验。

所以，解决这个问题的方案必须满足几个条件：

1.允许路由器强行在IP包头中插入与其传输踪迹有关的信息。

2.所插入的信息要难以伪造。

3.受攻击方可以根据所插入的信息进行查验，以判明其真伪。

4.与现有IP规程兼容。

本发明所提供的正是这样一种方法。

当然，IP网络的安全问题是个很复杂的问题，其不安全性有着许多方面的原因，所以不能指望找到一种单一的手段来一劳永逸地从总体上解决这个问题，任何能在一定程度上提高IP网络安全性的方法都是值得考虑采用的。

发明内容

针对上述的特定问题，即在受到攻击时找到攻击来源的问题，以及解决这个问题的方案必须满足的几个条件，本发明提供了一种通过路由器签名提高IP网络安全性的方法，带有路由功能的网络设备在所转发的IP包中依次留下与包的内容挂钩、难以伪造、并且可以查验的“签名”信息。具体方法如下：

(一)在现有IPv4规程中增添一个“签名”可选项，要求IP包沿途的路由器(或网关)在(包头中)该可选项中记录其IP地址和经过加密的附加校验信息。

(二)定义一组单向校验/加密算法。最简单的是“验和(checksum)”，也可以是杂凑、CRC，等等。

(三)每个路由器(或网关)的管理员都可以为其设置一组参数(称为“键值”)，用于上述单向校验/加密算法。

(四)“签名”可选项的使用可以由源节点主动要求，也可以由路由器(或网关)强行插入。只要(包头)空间允许，每个路由器(或网关)就顺次插入/填写一个“签名”可选项。

(五)“签名”可选项中经过加密的附加信息由两个部分构成：

●一个校验码。校验码与包的内容挂钩，由具体的路由器(或网关)随机选择一个校验算法和键值的组合，对包的内容校验码(TCP报头或UDP报头中的校验码)或内容的前N个字节进行计算而得。包的源地址和目标地址也可以计算在内。进一步，签名者的地址也可以计算在内。

●一个算法与参数的索引值。表明校验码是由哪一种算法和键值的组合计算所得。

(六)接收方平时无需检查各“签名”可选项的内容，只是对可疑的包记录下其包头、包括各个“签名”可选项，包头后面的若干字节以及包的到达时间作为内容依据。

(七)确认受到攻击后，可以就怀疑属于攻击行为的包所记录下的信息，由人工辅助或通过相应规程向留下了签名的各路由器(或网关)查验。各路由器(或网关)根据这些信息、以及签名中的索引值所表明的当时所用的校验算法和键值的组合，重新计算出一个校验码，并与签名中的校验码比对，以判定签名的真伪。这样，就可以大大缩小查找攻击者的范围。

这里校验码的长度、校验算法的个数、具体的算法、参数的个数、以及作为内容依据的字节个数或具体的哪几个字节、以及可选项的具体格式等等均属实现细节，这些细节上的变化并不影响本发明可以在包头中强制加入与其传输踪迹有关、而又难以伪造的信息的实质。

在实际使用中，并不要求所有路由器都实现对“签名”可选项的支持，例如骨干路由器就大可不必为此而进行升级，因为攻击者几乎不可能直接进入骨干网。但是网络服务提供商(ISP)的路由器以及各单位的网关则都需要支持“签名”可选项。只要ISP的路由器和各单位的网关都支持“签名”可选项，对攻击者的查找就容易多了，对攻击者的吓阻作用也就不小了。至于不支持“签名”可选项的路由器，则视之为“未知可选项”，其正常的路由/转发功能并不受到影响。

还应指出，作为一种方法，这不仅是针对IPv4的，同样也适用于IPv6，只是具体的实现略有不同。

附图说明

图1是用来说明采用本发明的方法以后受到攻击者怎样根据签名信息调查攻击来源的示意图。

具体实施方式

下面通过针对IPv4的实施例对本发明的实施作进一步介绍：

IPv4包的头部至少由5个32位“长字”构成，即20字节。这5个长字划分成许多位段，其中“头部长度”HLEN位段的值一般是5，表示5个长字(20个字节)。如果大于5就表示在头部和所载运的数据之间还有可选项。头部长度是一个4位的位段，其最大值为15、即头部的最大长度为60字节，所以最多有40字节可以用于可选项(或者，按本人的另一项发明专利申请所述，如果IPv4包头中的一个扩展标志位为1，就表示带有用于可选项的扩展部，扩展部的长度不计入包头，但计入包的总长度，所以是“外挂”的可选项，其长度不受40字节的限制)。

这里要介绍两种现有的IPv4可选项。

一种是“无操作(NOP)”可选项，其格式如下：

操作代码：1

无操作可选项只有一个字节的操作代码，其数值为1。顾名思义，路由器对无操作可选项不进行任何操作。无操作可选项的用途只是占据空间。其余IPv4可选项的长短不一，而有些可选项又要求与长字或短字边界对齐，此时就需要用无操作可选项填补空间。

另一种是“时戳(Timestamp)”可选项，其格式如下：

时戳可选项的操作代码是68，然后是一个字节的可选项长度。接着是一个字节的指针，它总是指向可选项中第一个尚未填写的位置。可选项的第一个长字的最低4位都是标志位，其中的最低位为1表示要求每个节点既填写IP地址又填写时间标记(均为32位)，为0则表示可选项中不含IP地址，因而只需填写时间标记(可选项的长度也就随之减小)。

现将本发明针对IPv4的实施具体说明如下：

1.在IPv4规程的包头可选项中增加一个新的可选项“签名”，其格式如下所示。

操作代码	索引号	校验码
			IP地址

每个签名可选项的大小为8个字节，即64位，由4个位段构成：

●操作代码，8位，建议采用数值164。

●校验计算索引号，8位。校验计算索引号分成两截，表示计算中使用了哪两个具体参数(也可以分成更多截以使用更多参数；也可以不分截而只用一个参数)。这个位段的具体用法不属于本发明的内容，可以由路由器制造商自行定义，附录中是一个可行的实例。

●校验码，16位，这就是“签名”。校验码的生成见下面的说明及附录。

●IP地址32位，签名者的IP地址，即其用来发送该IP包的网络接口上的IP地址。

2.签名可选项的插入。为减轻路由器的负担，包的源端应为签名可选项的插入在包头中或扩展部中预留一定的空间，并暂时把每个字节都设置成“无操作”可选项。为提高处理效率，也可以再定义一个“预留空间”可选项，其格式如下：

操作代码	长度	保留
			空白

●操作码位段，8位，建议采用数值166。

●长度位段，8位，其数值以32位长字为单位。

●保留，16位。

●空白，与32位长字边界对齐。

3.路由器应在所转发的包中插入自己的签名可选项。预留空间不够时可以在允许的大小范围内自行插入或扩充预留空间，然后插入自己的签名可选项。如有必要还须对预留空间可选项作出调整。

4.包的源节点也可以插入其自己的签名可选项。

5.签名可选项中校验码的生成规则。

5.1以包的内容、即其载荷部分为依据：

●如果是个UDP报文，就采用UDP报头中的16位校验码(checksum)位段为依据。

●如果是个TCP报文，就采用TCP报头中的16位校验码(checksum)位段为依据。

●如果既非UDP报文也非TCP报文，就以其前10个16位字的和为依据。

●包的源/目标地址也可以计算在内。

5.2计算方法由各路由器制造商自定，不属于本发明的内容，附录中是一个可行的实例。

6.接收者或者所配备的入侵检测装置对接收到的所有包进行登记(Log)，或对其中按某种入侵检测方法(不在本发明范围内)判定为可疑的包进行登记。每项登记包含下列内容，但不限于下列内容：

●包头中的源地址和目标地址。

●所有的签名可选项(按次序)。

●UDP或TCP报文头部的校验码，或载荷的前20个字节。

●包的到达日期和时间。

7.查验。受攻击者可以就有疑的IP包向留下了签名的节点查询，求证签名的真实性。这种查询、求证可以是人工的，也可以是通过计算机网络辅助的，还可以是通过计算机网络实时进行的，具体的查验手段不属于本发明内容。请求查验者应按第6条所列提供所记录的信息和数据。受到查验的节点根据其校验码的生成规则重作计算并加以比对，以判定真伪。具体的算法不属于本发明的内容，可以参考附录中的说明。

上面的第一项、第三项和第七项是本发明的核心所在。

需要特别指出的是：作为一种具体的实现，这里的一些细节并不是唯一的，而可以有所变化，但是细节的不同并不影响本发明的实质。

图1中“IP骨干网云状”中的路由器均视“签名”可选项为未知可选项而不予支持。但是，地处“边沿”的路由器R1、R2、R3都支持“签名”可选项，这些路由器可以是某个ISP的路由器，也可以是某个“内网”的网关。图中的V为受到攻击的节点。作为入侵检测的手段，V记录(Log)下每个可疑IP包的头部及其载荷的校验码或前20个字节。发现受到攻击并找出一些可疑IP包的记录之后，V的管理者可以就可疑IP包中各个路由器的签名向具体路由器的管理者查询求证。具体路由器的管理者根据查询者提供的数据以及本路由器采用的算法和参数进行验算，以确定签名的真伪(参看附录)。

假定某个IP包肯定属于某次攻击，而R1、R2、R3的签名全真，则攻击者一定在路由器(或网关)R1的覆盖范围内，即R1下面的子网内。可是若R2(的签名)为真但R1为伪，则攻击者在R2和R1之间的某处。而若R3也为伪，那攻击者就在本地了。

只要合理安排整个网络的拓扑，严格骨干网的接入管理，就可以比较有效地查获攻击者。另一方面，由于这样一来被查获的可能大大增加了，对于攻击者也是一种心理上的吓阻。

为帮助理解，下面进一步以图1中的路由器R1为例说明签名的生成。

假定R1面向公网(与R2相连)的端口的IP地址是140.252.13.34，这是个公网地址。现在R1从局网一侧接收到了一个IP包P，并且已经确定应该将P从面向公网的端口转发出去，这就到了要在P中留下签名的时候。

绝大部分IP包都是载运着TCP或UDP报文的，这样的IP包在其UDP报头或TCP报头中都有一个16位的校验码。这报文校验码是源节点根据报文的内容计算出来的，目标节点在接收到包文以后要重新计算一遍加以校验(计算方法是公开的)，以确定报文的内容在传输的过程中并未改变。而如果所载运的既非TCP报文又非UDP报文，那么一般都是些用于网络控制的报文，这样的报文一般不带报文校验码。但是这种报文一般都很小，其开头20字节就足以涵盖其关键信息，所以拿开头20字节按16位“验和(checksum)”方法计算出一个校验码就可以反映这报文的关键信息。现在假定P是个载运着TCP报文的包，并假定其16位报文校验码的值如果用十进制表示就是60123(16位无符号整数的数值范围为0-65535)。这就是上述的第一个操作数A，它是与报文内容密切相关的。注意这里为简单起见并没有把包头中的源/目标地址以及R1的地址计算进去，实际上这些地址也可以纳入验和计算。

为进行签名所需的加密/校验计算，R1首先要生成两个随机数p和r，p的范围为0-7，r的范围为0-31。暂且假定生成出来的p＝3而r＝27。如前所述，R1中有两个数组PM[8]和RM[32]。数组PM[8]的8个元素都是16位质数，是从质数表P[857]中随机抽取(不重复)的，并且每过一定时间(例如15分钟)就换一下。数组RM[32]中的32个元素都是16位随机数(不重复)，也是每过一定时间就换一下。同时，还要把这两个数组的内容和使用时段存入数据库。由于此时生成的p＝3和r＝27，用于计算的两个参数就是PM[3]和RM[27]，假定PM[3]＝11，RM[27]＝31002。

第一步计算是将A与PM[3]相乘并以65536取模，实际上就是取乘积的低16位。所以第一步计算是：

X＝60123×11(mod 65536)＝661353(mod 65536)＝5993

然后，第二步计算是将X与RM[27]相加并以65536取模，实际上就是取和的低16位：

C＝5993+31002(mod 65536)＝36995(mod 65536)＝36995

于是，签名中的IP地址为140.252.13.34，(签名)校验码为36995。至于索引编号则为123，它的高3位为3而低5位为27，即((3×32)+27)。最后生成的签名可选项如下：

操作代码164	索引号123	校验码36995
			IP地址140.252.13.34

现在假定黑客要伪造R1的签名。他可以假冒路由器R1的IP地址，并且自己根据TCP报文的内容计算出一个正确的报文校验码A，但是无法伪造出相应的签名校验码，因为他无法知道此刻R1中两个数组PM[8]和RM[32]的内容。从理论上说，如果黑客收集大量带有R1签名的IP包样本，知道所用的算法，并且进行大量的分析计算，是有可能推算出这两个数组的内容的(但是很困难。由于采用了取模计算，很难根据结果推算出原始的数据，更何况进行了两次取模计算)。可是，不等他计算出来，那两个数组的内容就已经变了(但是R1将这两个数组在每个时段的内容记录存档，以备查验)。

在这个过程里，索引号是个8位整数，可以取256种不同的值，所以平均每256个包中才有一个包具有相同的索引号，即采用相同的参数，这增加了黑客收集大量样本进行分析计算的难度。采用质数相乘(并取模)的目的是使计算结果即索引号分布得更加均匀，再用随机数相加并取模则使得黑客难以破译，而每过一段时间就更换可供选用的参数(PM[8]和RM[32]的内容)则使得即使破译了也没用。

理解了上述的计算过程，对于如何查验也就可以明白了。

附录1：一种杂凑校验算法

作为一个实例，下面是一种杂凑校验算法：

1.准备一个大小合适的(16位)质数表，并为之建立一个相应的质数数组P[]。例如从1024到8192区间内有857个质数，就可以为之建立一个数组P[857]。

2.准备一个大小合适的16位随机数数组R[]，例如R[1024]，并相应生成1024个随机数(不重复)。将P[857]和R[1024]的内容记录在数据库中。

3.建立一个质数引用(映射)数组PM[8]。

4.建立一个随机数引用(映射)数组RM[32]。

5.从质数数组P[857]中随机(不重复)选取8个元素，将他们填入PM[8]。

6.从随机数数组R[1024]中随机(不重复)选取32个元素，将他们填入RM[32]。

7.将当前的质数引用(映射)数组PM[8]和随机数引用(映射)数组RM[32]的内容，连同启用的日期和时间记录在数据库中，以备查询。

8.对于特定的IP包，以其所载运UDP或TCP报文头部的16位校验码A为第一个操作数。如果所载运的既非UDP报文也非TCP报文，就按验和方法计算其前10个16位短整数(20字节)的16位校验码A。

●也可以按验和方法把报头中的源/目标IP地址纳入校验码A。

●也可以按验和方法把签名者的IP地址纳入校验码A。

9.随机生成一个质数引用数组PM[8]的下标p，其数值范围为0至7。

10.将A与PM[p]相乘，取其低16位为X，即X＝(A*PM[p])mode 65536。

11.随机生成一个随机数引用数组RM[32]的下标r，其数值范围为0至31。

12.将X与RM[r]相加，取其低16位为C，即C＝(X+RM[r])mode 65536。

13.C就是可选项中的校验码，而p和r拼合成校验计算索引编号，p为其高3位，r为其低5位。

14.每过一段预定的时间长度，例如15分钟，就回到上面的第5步，改变PM[8]和RM[32]的映射并把新的数组内容和启用的日期/时间记录在数据库中。

15.数据库中滚动保留最近一星期(或其它预定的历史记录长度)的记录，以备查询。以一星期为例，如果每15分钟改变一次映射，从而产生一条记录，则每天96条记录，7天共672条记录。此后每加入一条新的记录就删除(或转储)最老的已有记录。

就某个IP包向某个路由器查询时，查询者应提供以下信息(除路由器的IP地址外)：

●UDP或TCP报文头部的16位校验码A，或报文的前20个字节。

●如果包头中的源/目标地址纳入签名计算，则须提供这两个IP地址。

●相应可选项中的校验码和校验计算索引值。

●接收到该IP包的大致时间，以及接收者所处的时区(考虑到时差)。

路由器的管理系统(可以在路由器外面)根据该IP包的接收时间可以大致推算出它的发送时段(或两个时段，如果接收时间接近其时段变更边界的话)，并从其数据库中恢复该时段的质数引用数组PM[8]和随机数引用数组RM[32]的内容，然后根据查询者提供的数据和计算索引值进行同样的计算并加以比对，就可以判定签名是否伪造了。

攻击者如果知道所用的算法，又进行长时间的偷听，收集大量样本加以分析，还是有可能推算出PM[8]和RM[32]的内容的。但是，由于计算中采用了带有取模运算的杂凑算法，那已经很困难。而这两个数组的内容随时间而变，则进一步使之难上加难了。当然，为简单起见也可以保持这两个数组的内容不变，但那样会降低安全性。

此外，也可以定义一组算法、而不是一个算法，再把校验计算索引分成三截(如2位+3位+3位)，使得具体的杂凑算法也是随机选取。但是那样并没有本质上的区别，因为一般而言8位的校验计算索引总是提供256种不同组合。

附录2：签名的查询与验证

最简单的查询/验证是人工查询，例如通过邮件或电话将有关信息告知目标路由器的管理人员，并要求其帮助验证。但是那样效率太低。

一个比较好一些的办法是让各有关路由器的管理者都开设一个查询网站，查询者可以通过浏览器访问这样的网站，提供数据并请求验证，并立即看到验证结果。

也可以让各有关路由器提供实时的在线验证服务，使查询者可以通过某种规程，例如SNMP或LDAP之类的规程进行实时的查询/验证。这样，当包的接收方发现可疑时甚至立即就可以加以查询/验证，看其传输踪迹是否伪造。

进一步，还可以像DNS服务网站那样，在互联网中设置若干用于查询/验证的代理网站，所有的查询/验证都通过这些代理网站间接地进行，而代理网站与目标路由器之间的通信则可以通过加密来提高安全性。

Claims (6)

1、一种通过路由器签名提高IP网络安全性的方法，其特征是：带有路由功能的网络设备在所转发的IP包中依次留下包含该设备本身的IP地址和经过加密的附加校验信息在内的‘签名’信息：其中，该附加校验信息是根据包的内容以及由该设备提供的参数并采用加密算法计算所得，并且该附加校验信息可以向该设备进行查验。

2、根据权利要求1所述的通过路由器签名提高IP网络安全性的方法，其特征是：

2.1)、在IPv4规程的包头可选项中增加定义一个新的、用于‘签名’的IP可选项，要求IP包沿途的路由器或网关将其IP地址和经过加密的附加校验信息写入IP包头的这个可选项中；

2.2)、带有路由功能的网络设备在转发IP包时根据包的内容计算生成签名，并将上述用于签名的可选项插入IP包头或包的扩充部；

2.3)、包的接收方通过入侵检测软件或设备对认为可疑的包记录下其包头、包括各个用于“签名”的IP可选项，以及包头后面的若干字节作为内容依据，同时记录下包的到达时间；

2.4)、对于可疑的IP包，可以通过所记录的签名可选项、与包的内容有关的数据、以及包的到达时间向留有签名的网络设备查询求证具体签名的真伪；

2.5)、带有路由功能的网络设备在受到查询时根据与包的内容有关的数据、使用于生成签名的算法与参数的索引值以及时间重新计算出一个校验码，并将计算结果与签名可选项中的校验码比对，以判定签名的真伪。

3、根据权利要求2所述的通过路由器签名提高IP网络安全性的方法，其特征在于：所述的“签名”可选项中含有签名者的IP地址和经过加密的附加校验信息，其中经过加密的附加信息由两个部分构成：

3.1)、一个根据包的内容计算所得的校验码，校验码与包的内容相关，由具体的路由器或网关随机选择一个校验算法和键值的组合，对包的内容校验码或内容的前N个字节进行计算而得；

3.2)、一个算法与参数的索引值，表明校验码是由哪一种算法和键值的组合计算所得。

4、根据权利要求2或3所述的通过路由器签名提高IP网络安全性的方法，其特征在于：所述的“签名”可选项的使用可以由路由器或网关强行插入。

5、根据权利要求3所述的通过路由器签名提高IP网络安全性的方法，其特征在于：将包的源地址和目标地址纳入签名的计算。

6、根据权利要求2或3所述的通过路由器签名提高IP网络安全性的方法，其特征在于：所述的算法是一组单向校验/加密算法，每个路由器或网关的管理员都可以为路由器设置一组参数，用于上述单向校验/加密算法。

Images