本发明专利技术公开了一种源验证和路径认证方法及装置,其中该方法包括:源端和目的端通过密钥交换技术实现共享密钥和数据流标识的配送;源端对数据包的头部进行初始化;数据包在网络系统传输过程中,每一跳路由器利用随机标记机制以概率P的大小随机地在数据包的头部进行标记;目的端根据数据包头部的标记,对数据和源地址进行验证;目的端根据数据包头部的标记,利用路径恢复机制得到数据包实际走过的路径;目的端利用验证与定位机制对路径进行验证,并实现错误定位。该方法能够兼顾到数据包头部的复杂度和路由器的计算、存储开销,并能够定位错误位置,在保证可行性的同时,提高整个网络系统的安全性和可信性。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种源验证和路径认证方法及装置,其中该方法包括:源端和目的端通过密钥交换技术实现共享密钥和数据流标识的配送;源端对数据包的头部进行初始化;数据包在网络系统传输过程中,每一跳路由器利用随机标记机制以概率P的大小随机地在数据包的头部进行标记;目的端根据数据包头部的标记,对数据和源地址进行验证;目的端根据数据包头部的标记,利用路径恢复机制得到数据包实际走过的路径;目的端利用验证与定位机制对路径进行验证,并实现错误定位。该方法能够兼顾到数据包头部的复杂度和路由器的计算、存储开销,并能够定位错误位置,在保证可行性的同时,提高整个网络系统的安全性和可信性。【专利说明】源验证和路径认证方法及装置
本专利技术设及网络安全
,尤其设及一种源验证和路径认证方法。
技术介绍
网络安全一直备受关注,网络系统的脆弱性导致网络攻击事件时有发生,尤其当 前网络系统中缺少安全、可部署的源验证和路径认证,使得流重定向、路径不一致、DDoS (Distr化Uted Denial of Service,分布式拒绝服务)攻击、源地址哄骗等恶意攻击数见不 鲜。 源验证指的是确保接收到的数据包的源地址确实是源端的地址,在数据包传输过 程中没有被恶意修改。然而当前网络不支持源地址验证,因为网络始终相信数据包中源地 址确实是发送端的地址;若攻击者修改了数据包中的源地址并发送大量数据包,运会使得 目的端可能不再接收该源地址所对应的可信终端发送的任何数据包,也可能使得目的端不 堪繁重的处理任务而奔溃。路径认证是验证收到的数据包的实际路径的正确性,当前数据 包的传输路径W及对应的路由节点都是有网络决定的,数据包路径的改变会增加网络的传 输开销、降低网络系统的效率。错误的路径可能使得数据包经过恶意路由节点,导致隐私信 息的泄露等各种安全事故。 与此同时,从商业角度来讲,用户、企业及服务提供商可能会有一定偏好,他们更 希望自己收发的数据包一定经过(或不经过)某个AS(或中间路由器),所W他们更希望验证 数据包的实际路径,并能根据验证结果采取相应的措施来解决源和路径带来的问题。 当前,有很多关于源地址验证和路径认证的研究,但遗憾的是,没有一种方法能够 同时兼顾数据包复杂度和路由器开销。
技术实现思路
本专利技术的目的旨在至少在一定程度上解决上述的技术问题之一。 为此,本专利技术的第一个目的在于提出一种源验证和路径认证方法,该方法能够兼 顾到数据包头部的复杂度和路由器的计算、存储开销,并能够定位错误位置,在保证可行性 的同时,提高整个网络系统的安全性和可信性。 本专利技术的第二个目的在于提出一种源验证和路径认证装置。 为达上述目的,本专利技术第一方面实施例提出了一种源验证和路径认证方法,包括 W下步骤:源端和目的端通过密钥交换技术实现共享密钥和数据流标识的配送;所述源端 对数据包的头部进行初始化;所述数据包在网络系统传输过程中,每一跳路由器利用随机 标记机制W概率P的大小随机地在所述数据包的头部进行标记;所述目的端根据所述数据 包的头部的标记,对数据和源地址进行验证;所述目的端根据所述数据包的头部的标记,利 用路径恢复机制得到所述数据包实际走过的路径;所述目的端利用验证与定位机制对所述 路径进行验证,并实现错误定位。 根据本专利技术实施例的源验证和路径认证方法,首先源端和目的端实现共享密钥和 数据流标识的配送,接着源端对数据包的头部进行初始化,然后数据包在传输过程中每一 跳路由器利用随机标记机制W概率P的大小对数据包头部进行标记,其次目的端根据收到 的数据包头部的标记,对数据和源地址进行验证,然后目的端根据数据包头部的标记,利用 路径恢复机制得到数据包实际走过的路径,最后目的端利用验证与定位机制对路径进行验 证,并实现错误定位。该方法能够兼顾到数据包头部的复杂度和路由器的计算、存储开销, 并能够定位错误位置,在保证可行性的同时,提高整个网络系统的安全性和可信性。 在本专利技术的一个实例中,所述源端和目的端通过密钥交换技术实现共享密钥的配 送和数据流标识的发送具体包括:所述源端与所述目的端利用Diffie-Hellman密钥交换技 术完成所述共享密钥的配送;所述源端向所述目的端发送包含源地址src和所述数据流标 识FlowID的对应关系,即〈src ,FlowID〉的消息。其中,FlowID = H(s;rc_add I I s;rc_po;rt I des_po;rt I I protocol I |Ksd),所述FlowID为数据流的唯一标识,其中,s;rc_add为所述数据包 的源地址,s;rc_po;rt为所述数据包的源端口,des_po;rt为所述数据包的目的地址,protocol 为所述数据包的目的端口,Ksd为所述共享密钥。 在本专利技术的一个实施例中,所述源端对数据包的头部进行初始化具体包括:在所 述数据包的TCP头部和IP头部之间增加 PRM头部,所述PRM头部包括:PacketID、Time、FlowID 和八¥。5,其中,口日。1?5?0 =化1)日化化311||1'11116化1111||1(50,所述化。1?5110为所述数据包的唯 一标识,其中,Dat址ash为所述数据包负载电荷的哈希值,TimePoint为发送所述数据包的 当前时间点的哈希值,Ksd为所述共享密钥;Time = Time化int ? H化SD),所述Time为所述数 据包的时间标签,其中,TimePo int为发送所述数据包的当前时间点的哈希值,Ksd为所述共 享密钥;= 'WCV,, ('src_add !| FIowiD),所述AVFs为源端自身标识,其中,src_add为所述 数据包的源地址,FlowID为数据流的唯一标识,Ksd为所述共享密钥。 在本专利技术的一个实施例中,所述数据包在网络系统传输过程中,每一跳路由器利 用随机标记机制W概率P的大小随机地在所述数据包的头部进行标记具体包括:通过AVFi =MACki(src_add||FlowID)作为所述数据包的头部标记,其中,Ki为路由器Ri自身密钥由Ki = H(LSI I iFlowID)得到,LSI为路由器的隐私信息,src_add为所述数据包的源地址,FlowID 为数据流的唯一标识。 在本专利技术的一个实施例中,所述目的端根据所述数据包的头部的标记,对数据和 源地址进行验证具体包括:所述目的端根据接收到数据包头的化CketID与目的端计算得到 的化CketID'进行对比,W此进行数据验证,PacketID =化CketID',所述数据包中数据正 确,执行源验证:所述FlowID辛Flowin',所述数据包中数据错误,丢弃数据包;所述数据验 证正确,所述目的端根据接收到所述数据包的头部的AVFs与所述目的端计算得到的AVF's进 行对比W进行源验证:AVFs = AVF ' S,所述数据包中源地址正确;AVFs辛AVF ' S,所述数据包中 源地址错误。 在本专利技术的一个实施例中,所述目的端根据所述数据包的头部的标记,利用路径 恢复机制得到数据包实际走过的路径,具体包括:所述目的端根据接收到所述数据包头部 的FlowID进行分类得到FlowID相同的数据包;所述目的端读取所述FlowID本文档来自技高网...
【技术保护点】
一种源验证和路径认证方法,其特征在于,包括以下步骤:源端和目的端通过密钥交换技术实现共享密钥和数据流标识的配送;所述源端对数据包的头部进行初始化;所述数据包在网络系统传输过程中,每一跳路由器利用随机标记机制以概率P的大小随机地在所述数据包的头部进行标记;所述目的端根据所述数据包的头部的标记,对数据和源地址进行验证;所述目的端根据所述数据包的头部的标记,利用路径恢复机制得到所述数据包实际走过的路径;所述目的端利用验证与定位机制对所述路径进行验证,并实现错误定位。
【技术特征摘要】
【专利技术属性】
技术研发人员:徐恪,吴波,沈蒙,吴建平,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。