一种基于滑动时间窗口的IPv6地址跳变主动防御方法技术

本发明专利技术涉及一种基于滑动时间窗口的IPv6地址跳变主动防御方法，在IPv6通信发起者和IPv6通信接收者之间对滑动窗口大小、跳变间隔时长等参数的协商的基础上，执行基于IPv6地址跳变的通信过程，由于引入了时间窗口自适应调整算法，使IPv6节点间的通信呈现随机化、动态化的特点，且能适应较复杂的网络环境；本发明专利技术针对IPv6网络节点地址跳变过程中存在的同步延迟高、事件触发难和通信效率低等问题，借鉴移动目标防御技术思路，提出基于滑动时间窗口的IPv6地址跳变主动防御方法，能够在保证端节点间通信整体效率的前提下，增大对于攻击者探测的代价，提高IPv6节点间通信的安全性。

An active defense method for IPv6 address hopping based on sliding time window

The present invention relates to an IPv6 address hopping active defense method based on sliding time window. The communication process based on IPv6 address hopping is carried out on the basis of the negotiation of parameters such as sliding window size and hopping interval between the initiator of IPv6 communication and the receiver of IPv6 communication. The algorithm makes the communication between IPv6 nodes present the characteristics of randomization and dynamic, and can adapt to more complex network environment; the invention aims at the problems of high synchronization delay, difficult event triggering and low communication efficiency existing in the process of address hopping of IPv6 network nodes, and proposes a sliding time based on the idea of mobile target defense technology. The window IPv6 address hopping active defense method can increase the cost of attacker detection and improve the security of IPv6 node communication under the premise of guaranteeing the overall efficiency of end-to-end communication.

【技术实现步骤摘要】
一种基于滑动时间窗口的IPv6地址跳变主动防御方法
本专利技术涉及一种面向IPv6主机通信的主动防御方法，尤其是结合滑动时间窗口进行跳变的主动防御方法。
技术介绍
IPv6网络恢复了端到端通信，每个IPv6节点对应一个全球可路由的单播地址。由于地址空间的充足，无需再使用网络地址转换(NetworkAddressTranslation,NAT)等技术。在此情况下，攻击者能够更加准确的对目标IPv6节点实施探测攻击，因此如何增强IPv6通信的隐蔽性，保证IPv6节点的安全性已受到愈来愈多的关注。移动目标防御(MovingTargetDefense,MTD)是美国提出的“改变游戏规则”的革命性技术之一，旨在增加信息系统随机性、多样性和动态性，从而提升攻击难度与代价。地址跳变(AddressHopping,AH)是指通信双方按照既定协议伪随机地改变通信地址，实现网络主动防御，是移动目标防御在网络层的一种典型应用。现有的地址跳变技术主要存在以下三方面的问题，一是依赖时间同步机制，对网络延迟等要求较高；二是依赖事件触发机制，相应报文存在被截获的可能；三是地址跳变过程中容易产生数据包的丢失，影响会话效率。
技术实现思路
本专利技术为了解决IPv6网络节点地址跳变过程中存在的延迟高、触发难和效率低等问题，提出一种基于滑动时间窗口的IPv6地址跳变主动防御方法(AddressHoppingbasedonSlidingTimeWindowinIPv6，AHSTW)，通信双方利用共享密钥协商地址跳变参数，引入时间窗口机制，通信双方仅接收处于时间窗口内的通信数据包，既保证了通信安全性，又保证了通信效率。本专利技术所采用的技术方案：一种基于滑动时间窗口的IPv6地址跳变主动防御方法，其特征是：包括下述步骤：1)定义该方法中的发送时间窗口(SenderTimeWindow)为：通信发送者向接收者发送数据包的窗口；2)定义该方法中的接收时间窗口(ReceiverTimeWindow)为：通信接收者接收发送者数据包的窗口；3)定义该方法中的地址跳变间隔为：通信双方根据地址跳变方案从一个IPv6地址跳变到下一个IPv6地址的时间间隔；4)定义该方法中的参数协商过程为：通信双方对滑动窗口大小、跳变间隔时长等参数进行协商的过程；5)定义该方法中的地址跳变通信过程为：参数协商完成后，通信双方进行通信的过程。6)当通信发起者初次与通信接收者进行通信，或通信发起者欲更改时间窗口等参数时，将执行参数协商过程。7)当参数协商过程完成之后，通信发起者与通信接收者将执行地址跳变通信过程。步骤1)中发送时间窗口和步骤2)中接收时间窗口，均需要利用时间窗口自适应调整算法进行计算。时间窗口自适应调整算法根据IPv6网络传输往返时延(Round-TripTime，RTT)，自适应调整通信双方的时间窗口。时间窗口自适应调整算法为：步骤6)的参数协商过程包括：①通信发起者生成随机数Nonce、地址跳变间隔τ、以及发送者时间窗口stw(stw≥1)；②通信发起者将Nonce、τ和stw加密后发送至通信接收者；③通信接收者接收后解密，利用三个参数信息生成接收者时间窗口rtw(rtw≥stw)，并向通信发起者确认；④如果通信发起者受到了确认，则可以进行跳变通信，如果没有收到确认，则返回①重新执行。步骤7)的地址跳变通信过程包括：①通信发起者和通信接收者生成一个哈希链(Hashchain)；②根据哈希链生成跳变地址信息列表(AddressHoppingList，AHL)；③通信发起者和通信接收者根据地址跳变间隔τ和各自当前系统时间Tcurrent进行地址跳变，选择采用跳变地址信息列表中的某一项实施通信过程。步骤7)地址跳变通信过程中，哈希链hashchain＝{hc0,hc1,...,hcn}的生成公式为：其中，Hashi(nonce)＝Hashi-1(Hash(nonce))。步骤7)地址跳变通信过程中，跳变地址信息列表的表项生成公式为：本专利技术的有益积极效果：1、本专利技术鉴于IPv6地址暴露于网络的易探测特征，利用主动防御能够有效扰乱潜在攻击者对于端地址的窥测和对通信流量的分析。2、本专利技术提出基于滑动时间窗口的IPv6地址跳变，为下一代互联网移动目标防御的研究和应用具有非常重要的理论价值和现实意义。3、本专利技术提出的基于滑动时间窗口的IPv6地址跳变模型，通过引入时间窗口自适应调整算法，使IPv6节点间的通信呈现随机化、动态化的特点，且能适应较复杂的网络环境。4、本专利技术在保证IPv6节点间通信的安全性的同时，能够保证其通信的整体效率不受太大影响。同时，对外表现出较好的抗流量截获分析能力和抗DoS攻击能力。附图说明图1为基于滑动时间窗口的IPv6地址跳变模型结构；图2为跳变地址信息列表的表项结构图；图3为滑动时间窗口基本思想示意图。具体实施方式下面结合说明书附图对本专利技术进行详细说明：图1中，其中Alice和Bob为模型中的IPv6通信节点，Alice为通信发起者，Bob为通信接收者。AR表示IPv6子网的接入路由器；虚线单向箭头表示通信节点的地址跳变过程，双向实箭头表示通信节点间的通信。实施例：本专利技术基于滑动时间窗口的IPv6地址跳变主动防御方法，具体包括下述步骤：步骤1：以Alice与Bob之间的通信为例，当Alice初次与Bob进行通信或Alice欲更改时间窗口等参数时，将执行参数协商过程；步骤2：当Alice与Bob之间完成参数传递与确认之后，双方进行基于滑动时间窗口的IPv6地址跳变通信过程。下面详细说明步骤1和步骤2所包含的相关内容：(一)步骤1：①首先，Alice以时间戳为种子生成一个随机数nonce，同时，生成一个地址跳变间隔τ和发送者时间窗口stw(stw≥1)，即：Alice:nonce＝GenerateRandom(seedtimestamp),stw＝GenerateSTW()②之后，Alice将随机数nonce、地址跳变间隔τ和发送者时间窗口stw用共享密钥key加密后发送给Bob，即：Alice→Bob:Encryptkey(nonce|τ|stw)③Bob收到Alice发送的消息后，用共享密钥进行解密并提取出其中的参数信息，生成接收者时间窗口rtw(rtw≥stw)，然后向Alice发送确认消息；Bob:Decryptkey(nonce|τ|stw)rtw＝GenerateRTW(stw)Bob→Alice:Encryptkey(Ack)④Alice判断是否收到Bob发回的确认消息，若未收到，返回①；若收到，Alice和Bob将进行地址跳变通信过程。(二)步骤1中的时间窗口自适应调整：实际IPv6通信过程中的网络时延是不可避免的，包括发送时延Delaysend、传输时延Delaytransit、处理时延Delayhandle和排队时延Delayqueue等，为提高跳变通信模型的适应能力，采用时间窗口自适应调整算法(TimeWindowAdaptiveAdjustmentAlgorithm,TWAA)，其基本思想是根据IPv6网络传输往返时延(Round-TripTime,RTT)自适应调整通信双方的时间窗口。具体算法如表1所示：表1时间窗口自适应调整本文档来自技高网...

【技术保护点】
1.一种基于滑动时间窗口的IPv6地址跳变主动防御方法，其特征是：包括下述步骤：1)定义该方法中的发送时间窗口为：通信发送者向接收者发送数据包的窗口；2)定义该方法中的接收时间窗口为：通信接收者接收发送者数据包的窗口；3)定义该方法中的地址跳变间隔为：通信双方根据地址跳变方案从一个IPv6地址跳变到下一个IPv6地址的时间间隔；4)定义该方法中的参数协商过程为：通信双方对滑动窗口大小、跳变间隔时长等参数进行协商的过程；5)定义该方法中的地址跳变通信过程为：参数协商完成后，通信双方进行通信的过程；6)当通信发起者初次与通信接收者进行通信，或通信发起者欲更改时间窗口等参数时，将执行参数协商过程；7)当参数协商过程完成之后，通信发起者与通信接收者将执行地址跳变通信过程。

【技术特征摘要】
1.一种基于滑动时间窗口的IPv6地址跳变主动防御方法，其特征是：包括下述步骤：1)定义该方法中的发送时间窗口为：通信发送者向接收者发送数据包的窗口；2)定义该方法中的接收时间窗口为：通信接收者接收发送者数据包的窗口；3)定义该方法中的地址跳变间隔为：通信双方根据地址跳变方案从一个IPv6地址跳变到下一个IPv6地址的时间间隔；4)定义该方法中的参数协商过程为：通信双方对滑动窗口大小、跳变间隔时长等参数进行协商的过程；5)定义该方法中的地址跳变通信过程为：参数协商完成后，通信双方进行通信的过程；6)当通信发起者初次与通信接收者进行通信，或通信发起者欲更改时间窗口等参数时，将执行参数协商过程；7)当参数协商过程完成之后，通信发起者与通信接收者将执行地址跳变通信过程。2.根据权利要求1所述的基于滑动时间窗口的IPv6地址跳变主动防御方法，其特征是：步骤1)中发送时间窗口和步骤2)中接收时间窗口，均需要利用时间窗口自适应调整算法进行计算。3.根据权利要求2所述的基于滑动时间窗口的IPv6地址跳变主动防御方法，其特征是：所述时间窗口自适应调整算法根据IPv6网络传输往返时延，自适应调整通信双方的时间窗口，时间窗口自适应调整算法为：4.根据权利要求1所述的基于滑动时间窗口的IPv6地址跳变主动防御方法，其特征是：步骤6)的参数协商...

【专利技术属性】
技术研发人员：王禹，陈素霞，孔亚洲，黄全振，柏杏丽，张连成，李松阳，王淼，李嘉宾，张艳杰，
申请(专利权)人：河南工程学院，
类型：发明
国别省市：河南,41