CN101170564B - 端到端自动同步的防止ip源地址伪造的方法 - Google Patents
端到端自动同步的防止ip源地址伪造的方法 Download PDFInfo
- Publication number
- CN101170564B CN101170564B CN2007101784919A CN200710178491A CN101170564B CN 101170564 B CN101170564 B CN 101170564B CN 2007101784919 A CN2007101784919 A CN 2007101784919A CN 200710178491 A CN200710178491 A CN 200710178491A CN 101170564 B CN101170564 B CN 101170564B
- Authority
- CN
- China
- Prior art keywords
- territory
- signature
- maker
- message
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
端到端自动同步的防止IP源地址伪造的方法属于互联网技术领域,尤其涉及网络安全方面的技术。本发明的特征在于:通过设计了一种高效、安全、易管理的签名生成器,用以在域间与域内采用自动同步、自动更新签名认证的方式,防止源地址的伪造,做到了降低运行与管理开销,完美地防止重放攻击,支持增量部署,对拒绝服务攻击/分布式拒绝服务攻击有很强的鲁棒性,并且在域间与域内可独立部署。
Description
技术领域
端到端自动同步的防止IP源地址伪造的方法属于互联网技术领域,尤其涉及网络安全方面的技术。
背景技术
在当代因特网中,路由器基于报文的目的地址转发报文,对报文的源IP地址不作验证。同时当代流行的主要操作系统,如windows,UNIX,MAC OS等等,都提供了可任意修改报文源IP地址的API。不仅程序员可以随意的伪造IP源地址,普通的用户也可以在网上轻易地下载到各种伪造IP源地址的自动化工具。IP源地址伪造轻而易举,并且被很多攻击所利用,其中最臭名昭著的当属拒绝服务攻击与分布式拒绝服务攻击。研究报告显示,因特网中每周会发生约3000-4000次的拒绝服务/分布式拒绝服务攻击;根据美国计算机应急响应组/协调中心的统计,互联网络的安全事件正在加速增长。随着因特网在人类社会各方面中普及,伪造源地址极有可能带来各种新的危害,如在经融与经济领域,来自网络的安全事件时常发生,攻击者经常利用伪造源地址对自己提供保护或抵赖其攻击行为。解决IP源地址的伪造是提高因特网安全性的基础。
为防上IP源地址的伪造,很多方法已被提出,按是否依赖网络拓扑可分为两类:基于网络拓扑的方法和端到端的方法,其中前者又可以分为追踪类traceback与过滤类。详细介绍如下。
这一类方法是受害者在察觉到攻击时,对报文的真正来源进行追踪的方法,代表方案有SPIE,iTrace,iTrace-CP等。通常有三种途径实现对报文真正来源的追踪:第一种是由沿途的路由器在报文中加入特殊的信息,受害者追踪时可根据这些信息还原出报文的真正来源;第二种是沿途的路由器在转发报文时向报文的目的地址发送信息,受害者可以根据这些信息追踪报文的真正来源;第三种是由沿途路由器存储报文的摘要信息,由路由器比对以完成追踪。
这一类方法在原理是根据网络拓扑,发送到路由器特定接口的报文的可能的IP源地址是一个集合,不在此集合内的IP源地址都是伪造的。此类方法的代表有入口过滤IngressFiltering与反向路径过滤uRPF。
端到端的方法
端到端的方法忽略网络拓扑的细节,也不需要中间路由器的协作,只需要在源端加入用以认证的签名,由目的端验证签名以判断报文源地址是否伪造。典型的方法有基于跳数的过滤Hop-Count Filtering,认证头Authentication Header,伪造防上法SPM。
基于拓扑的方法的缺点,主要在于不能很好地支持增量部署。在大规模部署或完全部署前,这类方法很难起到过滤或追踪的效果;只有达到了一定的部署规模时,才会出现效果。端到端的方法的效果基本上与部署比率呈线性关系,在部分部署时也有较好的效果,能较好地支持增量效果。但是现有的端到端的方法在运行开销或管理开销上巨大,或者安全性或鲁棒性不够。
现有的方法中,绝大多数只能粗粒度地防止源地址的伪造,攻击者可以将IP地址伪造成同一域内或子网内的其他IP;而认证头Authentication Header虽然能精细地防止源地址的伪造,但是开销巨大,容易成为拒绝服务攻击DOS攻击的目标。目前还没有一种方法可以同时部署在域间与域内,以做到细粒度地防止伪造并且抑制拒绝服务攻击。
本发明基于上述所列已有方法的不足,提出了一种低的运行与管理开销、能精细防止IP源地址伪造、支持增量部署的方案。本方案是一种端到端验证机制,通过引入自动同步与更新签名的方法,使得验证可以在域内与域间两个层次间完成,同时两个层次是可独立部署的,使得攻击者既不能伪造其他域内的IP,也不能伪造本域或本子网内的IP。本方案的另一个显著特点,是可以完美地防上重放攻击,这是传统的基于时间戳与序列号的防重放方法无法做到的。
发明内容
本发明的目的在于提供一种能够精细防止IP源地址伪造、削减拒绝服务攻击/分布式拒绝服务攻击、支持增量部署的低开销的方法,是一种在源端加入签名,在目的端认证的方法。方案的最大特点是设计了一种在源与目的之间自动同步、更新签名的技术,做到降低运行与管理开销,完美地防止重放攻击,并且在域间与域内可独立部署。这里所说的域,是指有统一管理与路由策略的网络,如整个清华大学的网络是一个域。
本发明以签名、认证的方式防止源地址的伪造。报文发送方在报文中加入签名,以标识自己没有伪造。验证方在收到报文时,检查报文中的源地址与签名是否对应,如果对应,则说明报文没有违造。这种签名加认证的过程,签名的安全性非常重要。由于可能存在窃听等非正常情况,签名有可能泄露。在这种机制中,签名的更新影响其安全性与开销。
本方案的思路,是在域边界设立一个验证网关,网关与主机之间能过逐报文变化的域内签名实现防重放的验证,以保证严格地防止伪造。网关与另外的域的网关之间通过随时间周期性变化的域间签名的方式认证,以实现域与域之间的信任。如图1。这样,部署域之间可以相互提供严格的防止伪造,未部署域的攻击者也无法伪造成部署域内的IP来发动进攻。
本发明的特征,在于能够以极低的开销,精细地防止IP源地址伪造,削减拒绝服务攻击/分布式拒绝服务攻击攻击,并且支持增量部署的。方案的最大特点是设计了一种在源与目的之间自动同步、更新签名的技术,做到降低运行与管理开销,每个报文有独立签名的方式能做到完美地防止重放攻击,对拒绝服务攻击/分布式拒绝服务攻击有很强的鲁棒性,并且在域间与域内可独立部署。本发明包括如下步骤:
步骤1.部署本发明的域与域之间,两两交换相互使用的签名生成器与备用签名生成器,前者用于生成与验证签名,后者用于在签名不同步时重新恢复同步,签名生成器的要求与设计在步骤7中详细给出。
步骤2.主机在接入网络时,首先需要向部署在域边界路由器入口处的一个安全认证网关进行接入认证(可以采用已有的Radius或者Kerberos等认证机制),认证网关将一个与主机IP绑定的签名生成器以及一个备用签名生成器以密文的形式发送给主机,同时计算出第一个签名。
步骤3.主机在发送报文时,签名生成器计算生成一个4字节或更长的签名并加入到报文头中,同时记录着签名的序号,序号是一个4字节的从零递增的数字,它与备用签名生成器一起可用于签名不同步时的恢复。
步骤4.报文到达验证网关后,验证网关的域内验证器首先通过报文的源地址,找出与之对应签名,如果源地址与签名吻合,则说明报文源地址没有伪造,域内验证器调用其签名生成器计算出下一个签名,否则,报文被认为是伪造的,报文将被丢弃。
步骤5.报文通过域内验证器后,到达域间验证器,域间验证器检察报文的目的地址前缀,找出与之对应的签名(域与域之间初始时也互相传送签名生成器与备用生成器,其签名每隔3分钟由签名生成器更新,更新后保存在签名表中),将原来的域内签名替换成域间签名。
步骤6.目的域验证网关在接收到报文时,检察其源地址的前缀并找出与之地应的签名,如果签名正确,则确认报文源地址没有伪造而转发,否则报文将被丢弃。
步骤7.签名生成器的有如下要求:1.确定性,相同的签名生成器必须保证生成相同的签名序列,以便于认证方认证。2.不可预测性。窃听者在即使窃听到已经使用的每一个签名,也无法推断出以后的签名。3.长周期。窃听者无法掌握整个签名的周期。4.快速高效。产生签名的速度极快,开销极低,以保证不影响网络带宽。5.大的选择空间。攻击者即使在知道签名生成器内部详细算法的情况下,也无法通过暴力尝试试出签名生成器。6.轻量的存储空间。签名生成器本质上是一个状态机,它的每一个状态代被转换成一个签名,它的状态迁移代表了签名的变化。在域内,主机的每发送一个签名,状态机状态即发生迁移,签名也随之更新;在域间,每隔一定的时间状态机发生状态迁移,签名发生变化。根据状态机的机制可以很好地实现签名变化与同步。状态机的实现是灵活的,本发明中推荐使用伪随机数生成器作为状态机的实现。伪随机数生成器是数学与计算机科学交叉学科中的研究成果,是一种确定一个大数字作为种子,就能产生在统计中展现出随机性的数字序列的算法,满足签名生成器的所有6个要求。配合使用密码学中一次一密的加密机制,可以满足安全性与效率的要求。签名生成器的详细方案如下:选用快速的分布优良的伪随机数生成算法(如KISS),给定两个种子,用其产生的数字作为状态机的状态,将两个数字异或的结果作为签名由签名生成器输出。异或的作用再于保护签名序列和种子,使其无法通过逆向推算得出。签名生成器的设计如图2。
本方案在实施中,可以灵活地实施增量部署的策略。具体实施时,上述第3与第4步骤可以有机地结合将而带来优化,在图3中有详细说明。第3步骤中,如果目的地址没有部署本方案,则可以将报文直接转发,而不采取任何措施。当域与域之间发现标识着对方源地址的报文签名连续出错达到一定的数量时,启用备用签名生成器作为认证工具,通过双方的会话达到重新同步;验证网关发现某主机签名连续出错达到一定的数量时,使用与主机之间的备用签名生成器作为验证工具,通过会话达到重新同步。
本发明所提出的双层的防止源地址欺骗的方法,可以广泛部署到IPv4或IPv6网络中以提高安全性。由于本方法采用的认证方法并没有涉及加密解密,而是采用了快速的随机数算法作为底层实现,开销是非常轻量的。实验表明,使用P4 2.1G的CPU软件实现本方案,网关对报文的处理性能大约在3.21Gbps,这超出清华大学出口处的性能相当,如果用硬件实现性能会更高。所以本方法是完全可行的。
本发明的另一个优势是适合增量部署并且双层可独立部署,即插即用,可以通过逐步在其他域内部署来进行推广。同时本身是一套完整的防止源地址欺骗的体系。本发明已在清华大学与比威网络技术有限公司合作研制的网络设备中得到应用,并计划在CERNET2和中国下一代网络CNGI中推广。
附图说明
图1.方案原理图;
图2.签名生成器设计图:两个伪随机数源产生数字序列,通过异或运算产生签名。签名产生速度快,安全,周期穷大,确定的序列性用于同步与验证;
图3.本发明流程图;
图4.防伪造与重放图示。
具体实施方式
域内用户的接入认证过程采用常用的莱迪斯radius等身份认证机制即可。域与域之间、认证网关与主机之间的签名生成器与备用签名生成器的交换,可采用加密方式进行,如采用非对称RSA加密算法。签名生成器采用两个伪随机数生成器作为内部实现,均使用克斯KISS生成器。两个KISS生成器各需要一个128位的数字作为种子,第n个签名由两个生成器各自产生的第n个随机数作异或运算获得。这样,两个128位的种子即可表示一个随机数生成器。
在图3中,我们给出了整个系统的工作流程,如下:
(1)部署本发明的域与域之间,两两交换相互使用的签名生成器与备用签名生成器.
(2)主机在接入网络时,首先向部署在域边界路由器入口处的一个安全认证网关进行接入认证(采用Radius认证机制)。认证网关将一个与主机IP绑定的签名生成器以及一个备用签名生成器以密文的形式发送给主机,同时计算出第一个签名,将签名序号初始化为1。
(3)主机在发送报文时,双KISS内核组成的签名生成器计算生成一个4字节并加入到报文头中,同时将签名序号增量。如果序号超出4字节表示的最大范围,则重新循环记数。
(4)报文到达验证网关后,验证网关做如下处理:
(a)验证器首先简查报文的目的地址,如果其目的地址没有部署本方案,则直接将报文转发,返回3。否则取得目的域需要的签名,进入b.
(b)验证器检查报文的源地址,验证其签名。如果签名正确,则将其替换为先前取得的域间签名,转发报文并进入C。否则,报文被认为是伪造的而被丢弃,返回(3)。
(c)与源地址绑定的签名生成器计算下一个签名,增量签名序号。
(5)目的域验证网关在接收到报文时,检察其源地址的前缀并找出与之地应的签名,如果签名正确,则确认报文源地址没有伪造而转发,否则报文将被丢弃。
(6)域间签名每隔3分钟自动由签名生成器更新。
在图4中,我们给出了4种防止伪造的方式。
其中A为被伪造者,B为同域的伪造者,C为部署了本方案的外域的伪造者,D为没有部署本方案的外域的攻击者,E为同域的窃听者。
B伪造成A成功的可能性仅为
因为签名的长度是32位,它的报文会在域内网关处被过滤;C根本无法伪造成A,因为在C域内的验证网关处,根本没有与A的源地址绑定的签名生成器,报文会被直接过滤;D伪造成A,如果向部署了本方案的域发送报文,报文会在目的域的认证网关处被过滤,而D只能依靠猜测伪造签名,因为域间主干网难以窃听;E与A在同一域内,通过窃听实时地获得A的签名,但它仍然不能伪造成A,因为每个签名只被使用一次,E使用时签名已更新。我们试验了100,000,000个重放的报文,重放报文被100%地过滤。说明本方案防止重放攻击非常有效,本方案能有效地防止各类源地址的伪造,达到轻量、高效、防重放和防DOS/DDOS的功能要求,适合增量部署。
Claims (2)
1.端到端自动同步的防止IP源地址伪造的方法,其特征在于依次含有以下步骤:
步骤(1).初始化
在每个域的域边界路由器入口部署一个安全认证网关,以便用莱迪斯Radius认证机制进行主机接入认证;
在所述的安全认证网关之内,分别设有域间签名生成器和备用域间签名生成器,以及域内签名生成器和备用签名生成器,所述的域是指有统一管理和路由策略的网络,域内是指安全认证网关和各主机之间;
所述签名生成器是一个由伪随机数列组成的状态机,该签名生成器选用包括克斯KISS在内的伪随机数生成器,在预先给定的两个种子后,用其生成的数字作为状态机的状态,将两个数字异或后得到的结果作为签名;状态迁移代表了签名的变化;在域内,主机每发送一个签名,状态机状态都发生迁移,签名也随之更新;在域间,每隔规定的时间,状态机发生状态迁移,签名发生变化;当域间发现标有对方地址的报文连续出错达到设定的数值时,启用备用域间签名生成器为认证工具,双方再通过会话达到重新同步;在域内,当安全认证网关发现某主机签名连续出错达到设定的数值时,使用与主机之间的备用签名生成器作为验证工具,会话以达到重新同步;在安全网关内,以对方域的签名生成器作为域间的验证器,以主机的签名生成器作为主机报文内签名的域内验证器;
步骤(2).域间安全认证网关之间,或者域内安全认证网关与主机之间,均使用非对称加密技术RSA交换签名生成器与备用签名生成器;
步骤(3).主机在接入网络时,采用莱迪斯radius身份认证机制进行接入认证,安全认证网关把一个与主机IP绑定的域内签名生成器以及一个备用签名生成器,以密文形式发送给所述主机,域内签名生成器在主机端与网关处都设有一个签名计数器,用以同步;
步骤(4).主机在发送报文时,域内签名生成器计算生成一个等于或大于4字节的签名并加入到报文头中,同时用一个4字节的从0递增的数字作为签名的序号,该序号与备用签名生成器一起用于签名不同步时的同步恢复;
步骤(5).报文到达安全认证网关后,该网关的域内验证器首先通过报文的源地址,找出与之对应的签名,判断步骤(4)中主机所发送报文的源地址与域内验证器的签名是否符合映射关系,如符合,则域内验证器调用域内签名生成器计算出下一个签名,如不符合,则将报文丢弃;
步骤(6).报文通过域内验证器后,由域内验证器送到域间验证器,根据步骤(4)中主机所发送报文的目的地址找出域间验证器内设定的域间签名,并将原来的域内签名替换成域间签名,向目的域的安全认证网关发送步(4)中主机所发送的报文;
步骤(7).目的域安全认证网关在收到步骤(6)中发送的报文后,检查其源地址的前缀,并找出与之对应的域间签名,若正确,则转发,否则,认定为伪造,丢弃此报文。
2.根据权利要求1所述的端到端自动同步的防止IP源地址伪造的方法,其特征在于,若目的地址域没有部署步骤(1)中所述的安全认证网关,则直接将报文转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101784919A CN101170564B (zh) | 2007-11-30 | 2007-11-30 | 端到端自动同步的防止ip源地址伪造的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101784919A CN101170564B (zh) | 2007-11-30 | 2007-11-30 | 端到端自动同步的防止ip源地址伪造的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101170564A CN101170564A (zh) | 2008-04-30 |
| CN101170564B true CN101170564B (zh) | 2010-08-11 |
Family
ID=39391025
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101784919A Active CN101170564B (zh) | 2007-11-30 | 2007-11-30 | 端到端自动同步的防止ip源地址伪造的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101170564B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101621513B (zh) * | 2009-07-20 | 2012-06-27 | 清华大学 | 规范接入子网内源地址验证方案的方法 |
| CN101867473B (zh) * | 2010-01-27 | 2012-01-04 | 南京大学 | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 |
| CN102196423B (zh) * | 2010-03-04 | 2016-07-06 | 腾讯科技(深圳)有限公司 | 一种安全数据中转方法及系统 |
| CN102014142B (zh) * | 2010-12-31 | 2013-01-30 | 中国科学院计算技术研究所 | 一种源地址验证方法和系统 |
| CN102447694B (zh) * | 2011-11-03 | 2014-10-15 | 富春通信股份有限公司 | 一种IPv6网络虚假源地址数据包追溯方法和装置 |
| CN103259764B (zh) * | 2012-02-17 | 2017-12-15 | 精品科技股份有限公司 | 一种局域网络防护系统与方法 |
| CN102769524B (zh) * | 2012-06-29 | 2015-03-11 | 深圳光启创新技术有限公司 | 一种恢复握手同步的方法和系统 |
| CN105357024A (zh) * | 2015-09-23 | 2016-02-24 | 清华大学 | 用于sdn网络的区域控制设备、域控制设备和控制系统 |
| CN108462690A (zh) * | 2018-01-25 | 2018-08-28 | 刘春燕 | 一种数控机床设备数据远程通信方法 |
| CN110912853A (zh) * | 2018-09-15 | 2020-03-24 | 华为技术有限公司 | 防仿冒攻击检查的方法、设备和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5978373A (en) * | 1997-07-11 | 1999-11-02 | Ag Communication Systems Corporation | Wide area network system providing secure transmission |
| CN1921394A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | 基于自治系统互联关系的真实IPv6源地址验证方法 |
| CN1921488A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | IPv6子网内基于签名认证的防止源地址伪造的方法 |
-
2007
- 2007-11-30 CN CN2007101784919A patent/CN101170564B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5978373A (en) * | 1997-07-11 | 1999-11-02 | Ag Communication Systems Corporation | Wide area network system providing secure transmission |
| CN1921394A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | 基于自治系统互联关系的真实IPv6源地址验证方法 |
| CN1921488A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | IPv6子网内基于签名认证的防止源地址伪造的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101170564A (zh) | 2008-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101170564B (zh) | 端到端自动同步的防止ip源地址伪造的方法 | |
| CN100452799C (zh) | IPv6子网内基于签名认证的防止源地址伪造的方法 | |
| Liu et al. | Efficient and Secure Source Authentication with Packet Passports. | |
| CN103427998B (zh) | 一种面向互联网数据分发的身份验证和数据加密方法 | |
| CN101867473B (zh) | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 | |
| CN111464503B (zh) | 基于随机多维变换的网络动态防御方法、装置及系统 | |
| CN106209883A (zh) | 基于链路选择和破碎重组的多链路传输方法及系统 | |
| CN114389835B (zh) | 一种IPv6选项显式源地址加密安全验证网关及验证方法 | |
| CN113364811B (zh) | 基于ike协议的网络层安全防护系统及方法 | |
| CN105262737B (zh) | 一种基于跳通道模式的抵御ddos攻击的方法 | |
| CN101610255B (zh) | 基于密码学生成地址的源地址验证装置 | |
| CN100512108C (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
| CN109067774B (zh) | 一种基于信任令牌的安全接入系统及其安全接入方法 | |
| CN108989316B (zh) | 一种适用于专用网络的端口跳变通信方法及系统 | |
| Lagutin | Redesigning internet-the packet level authentication architecture | |
| McNevin et al. | pTCP: A client puzzle protocol for defending against resource exhaustion denial of service attacks | |
| Wang et al. | T-IP: A self-trustworthy and secure Internet protocol | |
| Liu et al. | Design of APT attack defense system based on dynamic deception | |
| CN101827079A (zh) | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 | |
| CN102256252A (zh) | 移动互联网中接入认证的安全模型实现方法 | |
| ShenTu et al. | Transaction remote release (TRR): A new anonymization technology for bitcoin | |
| Schridde et al. | TrueIP: prevention of IP spoofing attacks using identity-based cryptography | |
| CN111093193B (zh) | 一种适用于Lora网络的MAC层安全通信的方法 | |
| Bhadula et al. | Utilization of puzzles for protection against DDoS attacks | |
| RU2472217C1 (ru) | Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |