CN101917397B - 域间互换相互使用的签名生成器与备用签名生成器的方法 - Google Patents
域间互换相互使用的签名生成器与备用签名生成器的方法 Download PDFInfo
- Publication number
- CN101917397B CN101917397B CN 201010217752 CN201010217752A CN101917397B CN 101917397 B CN101917397 B CN 101917397B CN 201010217752 CN201010217752 CN 201010217752 CN 201010217752 A CN201010217752 A CN 201010217752A CN 101917397 B CN101917397 B CN 101917397B
- Authority
- CN
- China
- Prior art keywords
- autonomous domain
- autonomous
- alliance
- domain
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
域间互换相互使用的签名生成器和备用签名生成器的方法属于IP源地址验证技术领域,其特征在于,对已公开的专利申请CN 101170564A“端到端自动同步的防止IP源地址伪造的方法”中域间部分的“两两交换相互使用的签名生成器和备用签名生成器”这一步骤中所述的交换的具体技术、设备需求和部署方法作了具体说明,解决了如何具体实现的问题。
Description
技术领域
本发明属于互联网技术和网络安全方面领域,更具体的属于IP源地址验证技术领域。
背景技术
源地址伪造是网络主机使用假冒的IP源地址发起网络攻击或进行不正当网络活动的行为。利用源地址伪造的手段,网络攻击的发起者可以隐匿自己的身份和位置,逃避法律的制裁。随着源地址伪造手段的大量使用,基于真实地址的网络计费、管理、监控和安全认证等都无法正常进行,对互联网基础设施和上层应用都造成了严重的危害。随着互联网地下经济的发展,基于源地址伪造的网络攻击愈发猖獗,甚至危害到社会和国家的安全。据互联网观测组织CAIDA的统计,中国已成为全世界第二大的假冒源地址流量的源泉。加强网络设备对源地址的验证、过滤掉源地址伪造的IP报文,对于互联网的安全和扩展,乃至经济、社会的健康发展都具有重要的意义。
互联网中存在源地址伪造的根本原因在于,网络设备(路由器、交换机等)按照IP报文的目的地址进行转发和处理,并不对报文的源地址进行检查,从而致使带有假冒源地址的IP报文也可以在网络传输、最终到达攻击目标。目前,国际上已经提出了许多方法来防御源地址伪造,主要包括两类技术:一是对报文源头进行追溯的技术——IP Traceback;二是对假冒源地址的报文进行过滤的技术。其中,前者是被动的防御技术,在结点受到攻击后才对攻击报文进行追溯;而后者是主动的防御技术,在假冒报文到达目标主机之前将其过滤掉。由于后者能够保护目标主机免于攻击,因此对网络安全更具意义。
在假冒源地址过滤技术共分两类,第一类是基于路径的过滤技术,比较著名的包括:uRPF,Packet Passports,DPF,HCF,SAVE,Passport,BASE等。这些方法的主要缺点在于,它们的正确性依赖于获得正确的、充分的或及时的路有信息,或者要求不存在非对称路由、多宿主等,然而,这些限制条件在现实网络中是无法被满足的,因此这些技术往往要过滤掉一些合法的报文,造成网络服务不稳定。
第二类是端到端的过滤技术,主要包括:IP Puzzles,IPSec,SPM等。这些技术克服了第一类技术的缺陷,其正确性不依赖路径信息。然而,这些方法又存在各自的缺点。其中,IP Puzzle无法防止基于源地址伪造的DrDoS攻击;IPSec开销过大;SPM在不支持自治域多宿主等。
因此,需要一种克服如上缺点的源地址验证技术。首先,它应当是具有保护性的,即是一种过滤技术而非追溯技术;其次,它应当是端到端的;第三,它不应该错误的过滤合法的报文;第四,它应当开销较小;最后,它要对部署者提供激励和收益。
已公开的专利申请CN 101170564A所发明的端到端自动同步的源地址验证方法所描述的技术,就是一种满足如上条件的源地址验证技术。该专利的域间部分,通过在自治域的边界路由器上部署域间验证器来检查IP报文的源地址。具体的方法是:当来自于域内的报文到达边界路由器后,域间验证器检察该报文的目的地址前缀,找出与之对应的签名(域与域之间初始时也交换签名生成器与备用签名生成器,其签名每隔3分钟由签名生成器更新,更新后保存在签名表中),将该签名加入报文中并转发报文。报文从域外到达边界路由器时,域间验证器检察该报文的源地址前缀并找出与之对应的签名,如果报文中的签名正确,则确认报文源地址没有伪造而转发,否则报文将被丢弃。该方法在原理上是正确的,但该专利没有涉及到交换签名生成器与备用签名生成器的所需要的设备及技术;缺少这些具体的技术和设备,该专利的方法将无法实施和执行。比如,如果不解决边界路由器如何知道该与哪些自治域交换签名生成器,如果一个自治域有多台边界路由器、那么由谁来代表本自治域与对端自治域交换签名生成器等问题,则该方法无法执行。因此,本发明针对该专利所缺少的签名生成器与备用签名生成器的交换方法进行了设计。
发明内容
本发明的目的在于提供一种在已公开的专利申请CN 101170564A中所述的端到端自动同步的防止IP源地址伪造的域间部分(以下简称为“域间端到端源地址验证方法”)中进行两两交换相互使用的签名生成器与备用签名生成器的方法。通过本方法的实施,域间端到端源地址验证方法才得以可行。
本方案的思路,是将部署了域间端到端源地址验证方法的自治域组成一个信任联盟。信任联盟设立一个注册服务器,用以记录并宣告联盟中有哪些自治域以及这些自治域的注册信息。每个信任联盟中的自治域内设立一个控制服务器,用以从联盟注册服务器接收联盟中的自治域的注册信息;自治域的控制服务器代表所属的自治域两两之间交换相互使用的签名生成器以及备用签名生成器;自治域的控制服务器还要把所获得的联盟中的自治域信息以及与这些自治域之间相互使用的签名生成器与备用签名生成器的信息发送给本自治域的所有边界路由器。边界路由器从本自治域的控制服务器获取了相关信息后,用这些信息防止IP源地址伪造。
本发明的特征,在于在一种基于端到端自动同步的防止IP源地址伪造的自治域域间中实现的在边界路由器的安全认证模块之间,彼此交换域间签名生成器和域间备用签名生成器,本方法包括如下步骤:
步骤(1)首先任选一个即将部署域间端到端源地址验证的安全认证模块的自治域,在其中设立一个联盟注册服务器、建立信任联盟,并在每个即将部署域间端到端源地址验证的安全认证模块的自治域内设立一个控制服务器,在每个自治域的各边界路由器上部署一个安全认证模块,其中:
联盟注册服务器,记录了有哪些自治域部署了域间端到端源地址验证安全认证模块,并记录了包括自治域号、所属自治域的控制服务器的IP地址在内的自治域的注册信息,这些部署了域间端到端源地址验证安全认证模块的自治域组成了信任联盟,并将这些自治域被称为信任联盟内的自治域,在所述信任联盟中的自治域发生自治域的加入或退出或者控制服务器的IP地址发生变更时,联盟注册服务器把变更后的信任联盟内所有自治域的注册信息发送给信任联盟内的所有自治域的控制服务器,
自治域的控制服务器从所述联盟注册服务器接收所述信任联盟内所有自治域变更的注册信息,并将此变更的注册信息转发给本自治域内的所有边界路由器,控制服务器上拥有域间签名生成器和备用域间签名生成器,还代表本自治域与信任联盟中所有其他自治域的控制服务器两两互换相互使用的签名生成器与备用签名生成器,并将交换完毕的签名生成器与备用签名生成器转发给本自治域内的所有边界路由器,其中
边界路由器从本自治域的控制服务器接收所述信任联盟内所有自治域的注册信息,因此知道了哪些自治域已经部署了域间端到端源地址验证安全认证模块,以及与这些自治域传输报文、检查源地址所需的签名生成器与备用签名生成器,得到这些信息之后,便具有了使用自治域间端到端自动同步的防止IP源地址伪造的安全验证模块按所述的后续步骤进行源地址的检查的能力,
步骤(2)在一个自治域加入信任联盟之前,首先安装步骤(1)中所述进行初始化,该自治域的控制服务器向联盟注册服务器发送本自治域的初始注册信息,联盟注册服务器接收该初始注册信息并将更新后的信任联盟内所有自治域的注册信息发送给信任联盟内所有自治域的控制服务器,这些控制服务器再将此信息转发发给本自治域的所有边界路由器,
步骤(3)当一个自治域加入信任联盟后,该自治域的控制服务器与称为“对端自治域”的信任联盟内的所有其他自治域的控制服务器两两互换相互使用的签名生成器与备用签名生成器,具体的方法是:生成从本自治域到达对端自治域所使用的签名生成器与备用签名生成器并发送给对端自治域的控制服务器,并从对端自治域的控制服务器接收对端自治域到达本自治域所使用的签名生成器与备用签名生成器,再将交换完毕的两两相互的签名生成器与备用签名生成器转发给本自治域内的所有边界路由器,
步骤(4)各边界路由器从本自治域的控制服务器接收所述信任联盟内所有自治域的注册信息,因此知道了哪些自治域已经部署了域间端到端源地址验证安全认证模块,以及与这些自治域传输报文、验证报文源地址所需的签名生成器与备用签名生成器,得到这些信息之后,便使用自治域间端到端自动同步的防止IP源地址伪造的方法的步骤进行源地址的检查。
本发明通过完整的设备支持和方法设计,使部署了域间端到端源地址验证方法的自治域能够得到充足的信息,以完成互换相互使用的签名生成器与备用签名生成器。其效果是补充了端到端自动同步的防止IP源地址伪造的方法中交换签名生成器和备用签名生成器的部分,使其切实可行。
附图说明
图1.方法原理图;图1中所示为本方法的原理图。图中点虚线是联盟注册服务器向信任联盟内所有自治域的控制服务器发送信任联盟内所有自治域的注册信息,点划线是自治域的控制服务器之间两两互换相互使用的签名生成器与备用签名生成器,短划线是自治域的控制服务器向本自治域的所有边界路由器发送信任联盟内所有自治域的注册信息和本自治域与信任联盟内所有其他自治域所使用的签名生成器与备用签名生成器。
图2.本发明流程图。
具体实施方式
本方法中所涉及的通信包括联盟注册服务器与自治域的控制服务器的通信、自治域的控制服务器之间的通信、以及自治域的控制服务器与本域各边界路由器之间的通信,这些通信的方式和内容是本方法得以实施的核心原理,见图1。
本发明的实施需要保证按照正确的流程,见图2。
首先设立联盟的注册服务器,建立信任联盟。
在一个自治域加入信任联盟时,自治域的控制服务器将注册信息发给联盟注册服务器,联盟注册服务器将新加入自治域的注册信息发送给所有自治域的控制服务器,自治域的控制服务器将信任联盟所有自治域的注册信息转发给本自治域的所有边界路由器。
自治域间两两互换相互使用的签名生成器与备用签名生成器。自治域的控制服务器生成到达对端自治域使用的签名生成器与备用签名生成器,并发送给对端自治域的控制服务器。自治域的控制服务器接收对端自治域到达本自治域使用的签名生成器与备用签名生成器,并将所有签名生成器与备用签名生成器转发给本自治域的所有边界路由器。
最后,边界路由器使用签名生成器,按照“自治域间端到端自动同步的防止IP源地址伪造的方法”进行源地址检查。
本方法具有很高性能、可行性和可扩展性。本方法对CPU、内存和带宽占用率很低。在评估中,即使互联网中所有自治域都部署了本方法,对CPU的最高占用率为0.066%(Windows PC with T2300 CPU),对内存的占用为12M,对带宽的占用为3.44kbps。这样的特征不仅使其十分快速,而且可以防止DoS攻击、更加安全。通过本方法的补充,自治域间端到端自动同步的防止IP源地址伪造的方法得以完整并具有可行性。
Claims (2)
1.域间互换相互使用的签名生成器和备用签名生成器的方法,其特征是在一种基于端到端自动同步的防止IP源地址伪造的自治域域间中实现的:在边界路由器的安全认证模块之间,彼此交换域间签名生成器和域间备用签名生成器,所述方法包括如下步骤:
步骤(1)首先任选一个即将部署域间端到端源地址验证的安全认证模块的自治域,在其中设立一个联盟注册服务器、建立信任联盟,并在每个即将部署域间端到端源地址验证的安全认证模块的自治域内设立一个控制服务器,在每个自治域的各边界路由器上部署一个安全认证模块,其中:
联盟注册服务器,记录了有哪些自治域部署了域间端到端源地址验证安全认证模块,并记录了包括自治域号、所属自治域的控制服务器的IP地址在内的自治域的注册信息,这些部署了域间端到端源地址验证安全认证模块的自治域组成了信任联盟,并将这些自治域被称为信任联盟内的自治域,在所述信任联盟中的自治域发生自治域的加入或退出或者控制服务器的IP地址发生变更时,联盟注册服务器把变更后的信任联盟内所有自治域的注册信息发送给信任联盟内的所有自治域的控制服务器,
自治域的控制服务器从所述联盟注册服务器接收所述信任联盟内所有自治域变更的注册信息,并将此变更的注册信息转发给本自治域内的所有边界路由器,控制服务器上拥有域间签名生成器和备用域间签名生成器,还代表本自治域与信任联盟中所有其他自治域的控制服务器两两互换相互使用的签名生成器与备用签名生成器,并将交换完毕的签名生成器与备用签名生成器转发给本自治域内的所有边界路由器,其中
边界路由器从本自治域的控制服务器接收所述信任联盟内所有自治域的注册信息,因此知道了哪些自治域已经部署了域间端到端源地址验证安全认证模块,以及与这些自治域传输报文、检查源地址所需的签名生成器与备用签名生成器,得到这些信息之后,便具有了使用自治域间端到端自动同步的防止IP源地址伪造的安全验证模块按后续步骤进行源地址的检查的能力,
步骤(2)在一个自治域加入信任联盟之前,首先按照步骤(1)中所述进行初始化,该自治域的控制服务器向联盟注册服务器发送本自治域的初始注册信息,联盟注册服务器接收该初始注册信息并将更新后的信任联盟内所有自治域的注册信息发送给信任联盟内所有自治域的控制服务器,这些控制服务器再将此信息转发发给本自治域的所有边界路由器,
步骤(3)当一个自治域加入信任联盟后,该自治域的控制服务器与称为“对端自治域”的信任联盟内的所有其他自治域的控制服务器两两互换相互使用的签名生成器与备用签名生成器,具体的方法是:生成从本自治域到达对端自治域所使用的签名生成器与备用签名生成器并发送给对端自治域的控制服务器,并从对端自治域的控制服务器接收对端自治域到达本自治域所使用的签名生成器与备用签名生成器,再将交换完毕的两两相互的签名生成器与备用签名生成器转发给本自治域内的所有边界路由器,
步骤(4)各边界路由器从本自治域的控制服务器接收所述信任联盟内所有自治域的注册信息,因此知道了哪些自治域已经部署了域间端到端源地址验证安全认证模块,以及与这些自治域传输报文、验证报文源地址所需的签名生成器与备用签名生成器,得到这些信息之后,便使用自治域间端到端自动同步的防止IP源地址伪造的方法的步骤进行源地址的检查。
2.根据权利要求1所述的域间互换相互使用的签名生成器和备用签名生成器的方法,其特征在于,在步骤(4)中,从本自治域发往对端自治域的报文在本自治域的边界路由器上被添加由本自治域到对端自治域相对应的签名生成器所生成的签名,对端自治域的边界路由器使用对应的签名生成器生成的签名比对报文中的签名,如果比对一致,则报文被去除掉签名并转发,否则该报文被丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010217752 CN101917397B (zh) | 2010-07-05 | 2010-07-05 | 域间互换相互使用的签名生成器与备用签名生成器的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010217752 CN101917397B (zh) | 2010-07-05 | 2010-07-05 | 域间互换相互使用的签名生成器与备用签名生成器的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101917397A CN101917397A (zh) | 2010-12-15 |
| CN101917397B true CN101917397B (zh) | 2013-02-27 |
Family
ID=43324783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010217752 Active CN101917397B (zh) | 2010-07-05 | 2010-07-05 | 域间互换相互使用的签名生成器与备用签名生成器的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101917397B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110012119B (zh) * | 2019-03-12 | 2019-11-01 | 广州大学 | 一种ip地址前缀授权与管理方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1701475A1 (en) * | 2005-03-01 | 2006-09-13 | Omron Corporation | Home appliance control in a virtual private network environment |
| CN1921487A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | 基于签名的自治系统间IPv6真实源地址验证方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NZ523378A (en) * | 2002-12-24 | 2005-02-25 | Yellowtuna Holdings Ltd | Network device without configuration data and a method of configuring the network device from a remote verification authority |
-
2010
- 2010-07-05 CN CN 201010217752 patent/CN101917397B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1701475A1 (en) * | 2005-03-01 | 2006-09-13 | Omron Corporation | Home appliance control in a virtual private network environment |
| CN1921487A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | 基于签名的自治系统间IPv6真实源地址验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101917397A (zh) | 2010-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106506274B (zh) | 一种可动态扩展的高效单包溯源方法 | |
| CN105009509B (zh) | 在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议 | |
| Goldberg | Why is it taking so long to secure internet routing? | |
| CN1937589B (zh) | 路由配置验证的装置和方法 | |
| CN110012119B (zh) | 一种ip地址前缀授权与管理方法 | |
| CN101917434B (zh) | 域内ip源地址验证的方法 | |
| Wu et al. | A source address validation architecture (sava) testbed and deployment experience | |
| CN102647394B (zh) | 路由设备身份认证方法及装置 | |
| CN101902474B (zh) | 基于标签替换的自治域间IPv6真实源地址验证方法 | |
| CN111726368B (zh) | 一种基于SRv6的域间源地址验证的方法 | |
| CN100508453C (zh) | 一种开放式真实IPv6源地址过滤与验证方法 | |
| CN102158469A (zh) | 一种边界网关协议前缀劫持攻击防范方法 | |
| CN101610255B (zh) | 基于密码学生成地址的源地址验证装置 | |
| Siddiqui et al. | A survey on the recent efforts of the Internet Standardization Body for securing inter-domain routing | |
| CN112910863A (zh) | 一种网络溯源方法及系统 | |
| Li et al. | Bgp with bgpsec: Attacks and countermeasures | |
| CN106687983A (zh) | 用于在包括虚拟网络的网络中通信的方法和包括虚拟网络实体的通信节点 | |
| Castelucio et al. | An AS-level overlay network for IP traceback | |
| CN101917397B (zh) | 域间互换相互使用的签名生成器与备用签名生成器的方法 | |
| CN108092897B (zh) | 一种基于sdn的可信路由源管理方法 | |
| Liu et al. | DISCS: a distributed collaboration system for inter-AS spoofing defense | |
| Aghaei-Foroushani et al. | Autonomous system based flow marking scheme for IP-Traceback | |
| Paillisse et al. | Decentralized trust in the inter-domain routing infrastructure | |
| Qiu et al. | Hi-BGP: A lightweight hijack-proof inter-domain routing protocol | |
| CN110401646A (zh) | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |