[发明专利]基于组合公钥数字签名技术的边缘概率包标记方法

说明书

技术领域

本发明涉及通信网络安全领域一种基于组合公钥数字签名技术的边缘概率包标记方法，特别适用于低速/高速网络遭受DoS/DDoS攻击时对攻击源进行实时或非实时的追踪定位。

背景技术

Savage等人于2000年提出的概率包标记(简称PPM)方法的基本思想是中间路由器每收到一个数据包都以概率对数据包进行标记，标记的信息内容是路由器的IP地址信息。受害者通过收集大量的标记攻击数据包可以定位到攻击端的入口边缘路由器。后来PPM的一些改进算法通过一定的措施在一定程度上减少了定位所需要的标记攻击数据包个数，但是总体来说计算过程仍然比较复杂。

为了解决路由器伪造标记信息，Song，D.X.等提出了高级认证包标记(简称AAPM)法，该方法采用两种认证机制来防止路由器由于被胁迫而产生伪造的标记信息，这两种认证机制都采用每个路由器与受害者共享一个密钥，路由器对标记数据包加密之后发送出去。发送一段时间后，才将密钥发送给受害者。该方法采用复杂的认证机制增加了系统的复杂性；密钥传递增加了额外的网络负载，传递过程也无法保证密钥信息不会遭受劫获或修改等威胁；另外，该方法对时间同步也有一定的要求。

PPM及其现有的改进算法都存在两个严重的缺陷：

1.重构攻击路径的过程缓慢。进行信源追踪需要大量的标记攻击数据包，计算复杂。

2.对付多重的攻击不具有鲁棒性。很难抵御多源DDoS攻击，当攻击源数目超过20时，重构攻击路径所要求的计算强度与误重构率都很大。

发明内容

本发明所要解决的技术问题在于避免上述背景技术中的不足之处而提供一种基于组合公钥签名技术的边缘概率包标记方法，本发明采用组合公钥签名技术保证了标记信息的可信性，还在进行组合公钥数字签名的信息内容中增加了时间信息和随机数来防止重放攻击。本发明具有实现简单，与现有协议兼容，追踪速度快，允许事后分析，无额外网络负载，适用于多源DDoS攻击定位，安全性高等特点。

本发明的目的是这样实现的，它包括下列步骤：

①当用户终端发出的数据包进入边缘路由器时，边缘路由器对数据包的标记字段进行过滤，如果发现伪造标记字段，则将标记字段修正为初始全‘0’默认值，否则不进行清‘0’处理；

②由边缘路由器对过滤后的数据包以设定概率进行采样，没被设定概率采样到的数据包进行正常的数据转发；被设定概率采样到的数据包，边缘路由器将本路由器的ID信息标记进采样到的数据包的标记字段中；

③边缘路由器采用其基于ID信息的私钥对标记数据包进行数字签名，数字签名的信息内容为边缘路由器的ID信息、时间T及一个随机数r；

④接收端的入侵检测系统检测到网络攻击时，检查数据包中的每个攻击数据包的标记字段是否被标记，抽取出标记字段不同的攻击数据包；

⑤依据攻击数据包中标记的边缘路由器ID信息得到对应的边缘路由器公钥，利用边缘路由器公钥对攻击数据包的数字签名进行验证其标记信息可信与否；

⑥将标记信息不可信的攻击数据包丢弃；根据具有可信标记信息的攻击数据包中标记的边缘路由器ID信息一步定位到攻击端的边缘路由器，实现基于组合公钥数字签名技术的边缘概率包标记方法的信源定位。

本发明与背景技术相比具有如下优点：

 1.本发明中提出的边缘概率包标记，与传统PPM及其改进算法相比，不仅降低了系统开销，实现起来比较简单，而且使得用于进行攻击源定位所需的标记攻击数据包数量大大减少。另外，本发明对付多攻击源攻击也具有很好的鲁棒性，保证了对DDoS攻击中多个攻击源的有效定位。

2.本发明与PPM及其改进算法相比，结合了入口过滤机制，防止攻击端对标记字段的伪造，安全性高。

3.本发明与AAPM算法相比，采用了基于组合公钥的签名技术。组合公钥签名技术与边缘概率包标记结合不需要密钥的传递，因此不会增加额外的网络负载，安全性也得到了保证，对时间同步也无要求。另外，组合公钥不基于第三方的非在线验证特点也使得验证容易实现。

4.本发明与AAPM算法相比，在签名内容中加入时间信息和随机数信息防止了重放攻击。

5.本发明适用于高速网络条件下对攻击源实时或事后的定位。本发明具有定位速度快、高可信性、简单易实现，系统开销小等优点。

附图说明

图1是本发明基于组合公钥签名技术的边缘概率包标记实施例的原理方框图。

图2是本发明对标记包进行基于组合公钥的数字签名工作过程示意图。