[发明专利]一种基于隐藏概率采样的动态网络路径认证方法及装置

说明书

本发明公开了一种基于隐藏概率采样的动态网络路径认证方法及装置，该方法包括：源从输入队列中取出数据包,初始化生成数据包元数据以及供目的地验证的证明，对数据包进行采样并生成供下一跳验证用的路径证明，将数据包转发至下一跳；中间路由器从输入队列中取出数据包，依据等概率采样决定是否对数据包进行采样，若不则路由器生成路径证明并用其替换数据包原有的路径证明；否则验证数据包原有的路径证明的有效性并在验证通过后对数据包原有的路径证明进行更新，将更新后的数据包转发至下一跳；目的地路由器对数据包原有的路径证明进行验证，并执行终点验证，若验证均通过，目的地路由器接收数据包。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于隐藏概率采样的动态网络路径认证方法及装置。

背景技术

作为未来安全互联网的一个基本特征，路径认证已经被逐步部署。路径认证强制数据包沿着指定的路径转发，并同时验证数据包是否真正遵循了这些路径。在传统的数据包转发过程中，一旦数据包进入互联网，其转发过程对于终端主机来说是透明的，这种透明性容易导致许多转发不一致的情况发生，例如路径上节点的跳过，乱序，增加以及被恶意转发等。与传统转发方式相比，路径认证通过对转发过程的控制不仅可以避免发生上述转发不一致的情况，还可以有效地缓解各种攻击，如重路由、BGP劫持和数据包篡改，从而提高互联网服务的质量以及安全性。

有一系列倡导路径认证的路径感知互联网架构已经发布，例如NIRA、NEBULA和SCION。它们基本的设计策略是要求路径上的路由器在数据包头添加证明，然后路由器可以使用这些证明来验证数据包的转发，即数据包以何种顺序穿越了哪些路由器。最近，SCIONLab已经在全球范围内部署了各种支持路径认证的路由器，这进一步推进了路径认证的部署。

然而，现如今已提出的路径认证解决方案主要集中在静态路径上，并不适用于完全动态的路径。具体来说，现有方案都需要有整个转发路径的信息作为先验条件，这一点在大多数只针对静态路径的现有解决方案中可以很轻易地获得，J.Naous等(Verifying andenforcing network paths with ICING，CoNEXT，2011年)要求每个路由器知道它所处的转发路径，以便它能向下游路由器提供自己的证明，以及验证上游路由器对自己的证明；J.Kim等(Lightweight source authentication and path validation，SIGCOMM，2014年)和M.Legner等(EPIC:Every packet is checked in the data plane of a path-awareInternet，USENIX Security，2020年)通过使可信源为下游路由器预先计算凭证来提高效率；B.Wu等(Enabling efficient source and path verification via probabilisticpacket marking，IWQoS，2018年)要求一个数据包遵照由路径信息计算的概率只由两个相邻路由器采样验证，最后通过整个流的数据包来共同证明路径上的转发正确性。上述只适用于静态路径的方法一旦发现路由发生偏差就会丢弃数据包，这限制了它们调整转发路径的灵活性，例如当需要避免网络拥塞或恶意路由器的时候，静态路径认证方案就不能及时的做出响应。