端到端自動同步的防止ip源地址偽造的方法

2023-05-30 13:38:36 2

專利名稱：端到端自動同步的防止ip源地址偽造的方法
技術領域：
端到端自動同步的防止IP源地址偽造的方法屬於網際網路技術領域，尤其涉及網絡安全方 面的技術。
背景技術：
在當代網際網路中，路由器基於報文的目的地址轉發報文，對報文的源IP位址不作驗證。 同時當代流行的主要作業系統，如windows, UNIX, MAC0S等等，都提供了可任意修改報文 源IP位址的API。不僅程式設計師可以隨意的偽造IP源地址，普通的用戶也可以在網上輕易地 下載到各種偽造IP源地址的自動化工具。IP源地址偽造輕而易舉，並且被很多攻擊所利用， 其中最臭名昭著的當屬拒絕服務攻擊與分布式拒絕服務攻擊。研究報告顯示，網際網路中每周 會發生約3000-4000次的拒絕服務/分布式拒絕服務攻擊；根據美國計算機應急響應組/協調 中心的統計，網際網路的安全事件正在加速增長。隨著網際網路在人類社會各方面中普及，偽 造源地址極有可能帶來各種新的危害，如在經融與經濟領域，來自網絡的安全事件時常發生， 攻擊者經常利用偽造源地址對自己提供保護或抵賴其攻擊行為。解決IP源地址的偽造是提高 網際網路安全性的基礎。
為防上IP源地址的偽造，很多方法己被提出，按是否依賴網絡拓撲可分為兩類基於網 絡拓撲的方法和端到端的方法，其中前者又可以分為追蹤類traceback與過濾類。詳細介紹 如下。
>基於網絡拓撲的追蹤類traceback
這一類方法是受害者在察覺到攻擊時，對報文的真正來源進行追蹤的方法，代表方案有 SPIE， iTrace， iTrace-CP等。通常有三種途徑實現對報文真正來源的追蹤第一種是由沿 途的路由器在報文中加入特殊的信息，受害者追蹤時可根據這些信息還原出報文的真正來源; 第二種是沿途的路由器在轉發報文時向報文的目的地址發送信息，受害者可以根據這些信息 追蹤報文的真正來源；第三種是由沿途路由器存儲報文的摘要信息，由路由器比對以完成追 蹤。
>基於網絡拓撲的過濾類方法
這一類方法在原理是根據網絡拓撲，發送到路由器特定接口的報文的可能的IP源地址是 一個集合，不在此集合內的IP源地址都是偽造的。此類方法的代表有入口過濾Ingress Filtering與反向路徑過濾uRPF。
>端到端的方法
端到端的方法忽略網絡拓撲的細節，也不需要中間路由器的協作，只需要在源端加入用 以認證的籤名，由目的端驗證籤名以判斷報文源地址是否偽造。典型的方法有基於跳數的過 濾Hop-Count Filtering,認證頭Authentication Header, 偽造防上法SPM。
基於拓撲的方法的缺點，主要在於不能很好地支持增量部署。在大規模部署或完全部署 前，這類方法很難起到過濾或追蹤的效果；只有達到了一定的部署規模時，才會出現效果。 端到端的方法的效果基本上與部署比率呈線性關係，在部分部署時也有較好的效果，能較好 地支持增量效果。但是現有的端到端的方法在運行開銷或管理開銷上巨大，或者安全性或魯 棒性不夠。
現有的方法中，絕大多數只能粗粒度地防止源地址的偽造，攻擊者可以將IP位址偽造成 同一域內或子網內的其他IP;而認證頭Authentication Header雖然能精細地防止源地址的 偽造，但是開銷巨大，容易成為拒絕服務攻擊DOS攻擊的目標。目前還沒有一種方法可以同 時部署在域間與域內，以做到細粒度地防止偽造並且抑制拒絕服務攻擊。
本發明基於上述所列已有方法的不足，提出了一種低的運行與管理開銷、能精細防止IP 源地址偽造、支持增量部署的方案。本方案是一種端到端驗證機制，通過引入自動同步與更 新籤名的方法，使得驗證可以在域內與域間兩個層次間完成，同時兩個層次是可獨立部署的， 使得攻擊者既不能偽造其他域內的IP，也不能偽造本域或本子網內的IP。本方案的另一個顯 著特點，是可以完美地防上重放攻擊，這是傳統的基於時間戳與序列號的防重放方法無法做 到的。

發明內容
本發明的目的在於提供一種能夠精細防止IP源地址偽造、削減拒絕服務攻擊/分布式拒 絕服務攻擊、支持增量部署的低開銷的方法，是一種在源端加入籤名，在目的端認證的方法。 方案的最大特點是設計了一種在源與目的之間自動同步、更新籤名的技術，做到降低運行與 管理開銷，完美地防止重放攻擊，並且在域間與域內可獨立部署。這裡所說的域，是指有統 一管理與路由策略的網絡，如整個清華大學的網絡是一個域。
本發明以籤名、認證的方式防止源地址的偽造。報文發送方在報文中加入籤名，以標識 自己沒有偽造。驗證方在收到報文時，檢查報文中的源地址與籤名是否對應，如果對應，則 說明報文沒有違造。這種籤名加認證的過程，籤名的安全性非常重要。由於可能存在竊聽等 非正常情況，籤名有可能洩露。在這種機制中，籤名的更新影響其安全性與開銷。
本方案的思路，是在域邊界設立一個驗證網關，網關與主機之間能過逐報文變化的域內 籤名實現防重放的驗證，以保證嚴格地防止偽造。網關與另外的域的網關之間通過隨時間周 期性變化的域間籤名的方式認證，以實現域與域之間的信任。如圖l。這樣，部署域之間可 以相互提供嚴格的防止偽造，未部署域的攻擊者也無法偽造成部署域內的IP來發動進攻。
本發明的特徵，在於能夠以極低的開銷，精細地防止IP源地址偽造，削減拒絕服務攻擊 /分布式拒絕服務攻擊攻擊，並且支持增量部署的。方案的最大特點是設計了一種在源與目的 之間自動同步、更新籤名的技術，做到降低運行與管理開銷，每個報文有獨立籤名的方式能 做到完美地防止重放攻擊，對拒絕服務攻擊/分布式拒絕服務攻擊有很強的魯棒性，並且在域 間與域內可獨立部署。本發明包括如下步驟
步驟l.部署本發明的域與域之間，兩兩交換相互使用的籤名生成器與備用籤名生成器， 前者用於生成與驗證籤名，後者用於在籤名不同步時重新恢復同步，籤名生成器的要求與設 計在步驟7中詳細給出。
步驟2.主機在接入網絡時，首先需要向部署在域邊界路由器入口處的一個安全認證網關 進行接入認證(可以採用已有的Radius或者Kerberos等認證機制)，認證網關將一個與主機 IP綁定的籤名生成器以及一個備用籤名生成器以密文的形式發送給主機，同時計算出第一個 籤名。
步驟3.主機在發送報文時，籤名生成器計算生成一個4位元組或更長的籤名並加入到報文 頭中，同時記錄著籤名的序號，序號是一個4位元組的從零遞增的數字，它與備用籤名生成器 一起可用於籤名不同步時的恢復。
步驟4.報文到達驗證網關後，驗證網關的域內驗證器首先通過報文的源地址，找出與之 對應籤名，如果源地址與籤名吻合，則說明報文源地址沒有偽造，域內驗證器調用其籤名生
成器計算出下一個籤名，否則，報文被認為是偽造的，報文將被丟棄。
步驟5.報文通過域內驗證器後，到達域間驗證器，域間驗證器檢察報文的目的地址前綴， 找出與之對應的籤名(域與域之間初始時也互相傳送籤名生成器與備用生成器，其籤名每隔 3分鐘由籤名生成器更新，更新後保存在籤名表中)，將原來的域內籤名替換成域間籤名。
步驟6.目的域驗證網關在接收到報文時，檢察其源地址的前綴並找出與之地應的籤名， 如果籤名正確，則確認報文源地址沒有偽造而轉發，否則報文將被丟棄。
步驟7.籤名生成器的有如下要求l.確定性，相同的籤名生成器必須保證生成相同的籤 名序列，以便於認證方認證。2.不可預測性。竊聽者在即使竊聽到己經使用的每一個籤名， 也無法推斷出以後的籤名。3.長周期。竊聽者無法掌握整個籤名的周期。4.快速高效。產生 籤名的速度極快，開銷極低，以保證不影響網絡帶寬。5.大的選擇空間。攻擊者即使在知道 籤名生成器內部詳細算法的情況下，也無法通過暴力嘗試試出籤名生成器。6.輕量的存儲空 間。籤名生成器本質上是一個狀態機，它的每一個狀態代被轉換成一個籤名，它的狀態遷移 代表了籤名的變化。在域內，主機的每發送一個籤名，狀態機狀態即發生遷移，籤名也隨之 更新；在域間，每隔一定的時間狀態機發生狀態遷移，籤名發生變化。根據狀態機的機制可 以很好地實現籤名變化與同步。狀態機的實現是靈活的，本發明中推薦使用偽隨機數生成器 作為狀態機的實現。偽隨機數生成器是數學與計算機科學交叉學科中的研究成果，是一種確 定一個大數字作為種子，就能產生在統計中展現出隨機性的數字序列的算法，滿足籤名生成 器的所有6個要求。配合使用密碼學中一次一密的加密機制，可以滿足安全性與效率的要求。 籤名生成器的詳細方案如下選用快速的分布優良的偽隨機數生成算法(如KISS)，給定兩 個種子，用其產生的數字作為狀態機的狀態，將兩個數字異或的結果作為籤名由籤名生成器 輸出。異或的作用再於保護籤名序列和種子，使其無法通過逆向推算得出。籤名生成器的設 計如圖2。
本方案在實施中，可以靈活地實施增量部署的策略。具體實施時，上述第3與第4步驟 可以有機地結合將而帶來優化，在圖3中有詳細說明。第3步驟中，如果目的地址沒有部署 本方案，則可以將報文直接轉發，而不採取任何措施。當域與域之間發現標識著對方源地址 的報文籤名連續出錯達到一定的數量時，啟用備用籤名生成器作為認證工具，通過雙方的會 話達到重新同步；驗證網關發現某主機籤名連續出錯達到一定的數量時，使用與主機之間的 備用籤名生成器作為驗證工具，通過會話達到重新同步。 本發明所提出的雙層的防止源地址欺騙的方法，可以廣泛部署到IPv4或IPv6網絡中以 提高安全性。由於本方法釆用的認證方法並沒有涉及加密解密，而是採用了快速的隨機數算 法作為底層實現，開銷是非常輕量的。實驗表明，使用P4 2. 1G的CPU軟體實現本方案，網 關對報文的處理性能大約在3.21Gbps，這超出清華大學出口處的性能相當，如果用硬體實現 性能會更高。所以本方法是完全可行的。
本發明的另一個優勢是適合增量部署並且雙層可獨立部署，即插即用，可以通過逐步在 其他域內部署來進行推廣。同時本身是一套完整的防止源地址欺騙的體系。本發明已在清華 大學與比威網絡技術有限公司合作研製的網絡設備中得到應用，並計劃在CE認ET2和中國下一 代網絡CNGI中推廣。


圖1.方案原理圖2.籤名生成器設計圖兩個偽隨機數源產生數字序列，通過異或運算產生籤名。籤 名產生速度快，安全，周期窮大，確定的序列性用於同步與驗證； 圖3.本發明流程圖； 圖4.防偽造與重放圖示。
具體實施例方式
域內用戶的接入認證過程採用常用的萊迪斯radius等身份認證機制即可。域與域之間、 認證網關與主機之間的籤名生成器與備用籤名生成器的交換，可採用加密方式進行，如採用 非對稱RSA加密算法。籤名生成器採用兩個偽隨機數生成器作為內部實現，均使用克斯KISS 生成器。兩個KISS生成器各需要一個128位的數字作為種子，第n個籤名由兩個生成器各自 產生的第n個隨機數作異或運算獲得。這樣，兩個128位的種子即可表示一個隨機數生成器。
在圖3中，我們給出了整個系統的工作流程，如下
(1) 部署本發明的域與域之間，兩兩交換相互使用的籤名生成器與備用籤名生成器.
(2) 主機在接入網絡時，首先向部署在域邊界路由器入口處的一個安全認證網關進行 接入認證(採用Radius認證機制)。認證網關將一個與主機IP綁定的籤名生成器以及一個備 用籤名生成器以密文的形式發送給主機，同時計算出第一個籤名，將籤名序號初始化為l。
(3) 主機在發送報文時，雙KISS內核組成的籤名生成器計算生成一個4位元組並加入 到報文頭中，同時將籤名序號增量。如果序號超出4位元組表示的最大範圍，則重新循環記數。
(4) 報文到達驗證網關後，驗證網關做如下處理
(a) 驗證器首先簡查報文的目的地址，如果其目的地址沒有部署本方案，則直接將報文 轉發，返回3。否則取得目的域需要的籤名，進入b.
(b) 驗證器檢查報文的源地址，驗證其籤名。如果籤名正確，則將其替換為先前取得的 域間籤名，轉發報文並進入C。否則，報文被認為是偽造的而被丟棄，返回(3)。
(c) 與源地址綁定的籤名生成器計算下一個籤名，增量籤名序號。
(5) 目的域驗證網關在接收到報文時，檢察其源地址的前綴並找出與之地應的籤名， 如果籤名正確，則確認報文源地址沒有偽造而轉發，否則報文將被丟棄。
(6) 域間籤名每隔3分鐘自動由籤名生成器更新。 在圖4中，我們給出了4種防止偽造的方式。
其中A為被偽造者，B為同域的偽造者，C為部署了本方案的外域的偽造者，D為沒有部
署本方案的外域的攻擊者，E為同域的竊聽者。
B偽造成A成功的可能性僅為+ ,因為籤名的長度是32位，它的報文會在域內網關處被
過濾；C根本無法偽造成A，因為在C域內的驗證網關處，根本沒有與A的源地址綁定的籤名 生成器，報文會被直接過濾；D偽造成A,如果向部署了本方案的域發送報文，報文會在目的 域的認證網關處被過濾，而D只能依靠猜測偽造籤名，因為域間主幹網難以竊聽；E與A在 同一域內，通過竊聽實時地獲得A的籤名，但它仍然不能偽造成A，因為每個籤名只被使用 一次，E使用時籤名己更新。我們試驗了 100， 000， 000個重放的報文，重放報文被100%地過 濾。說明本方案防止重放攻擊非常有效，本方案能有效地防止各類源地址的偽造，達到輕量、 高效、防重放和防DOS/DDOS的功能要求，適合增量部署。
權利要求
1、端到端自動同步的防止IP源地址偽造方法，其特徵在於依次含有以下步驟步驟(1).初始化在每個域的域邊界路由器入口和部署一個安全認證網關，以便用萊迪斯Radius等認證機制進行主機接入認證；在所述的安全認證網關之內，分別設有域間籤名生成器和備用域間籤名生成器，以及域內籤名生成器和備用籤名生成器，所述的域是指有統一管理和路由策略的網絡，域內是指安全認證網關和各主機之間；所述籤名生成器是一個由偽隨機數列組成的狀態機，該籤名生成器選用包括克斯KISS在內的偽隨機數生成器，在預先給定的兩個種子後，用其生成的數字作為狀態機的狀態，將兩個數字異或後得到的結果作為籤名；狀態遷移代表了籤名的變化；在域內，主機每發送一個籤名，狀態機狀態都發生遷移，籤名也隨之更新；在域間，每隔規定的時間，狀態機發生狀態遷移，籤名發生變化；當域間發現標有對方地址的報文連續出錯達到設定的數值時，啟用備和籤名生成器為認證工具，雙方再通過會話達到重新同步；在域內，當安全認證網關發現某主機籤名連續出錯達到設定的數值時，使用與主機之間的備用籤名生成器作為驗證工具，會話以達到重新同步；在安全網關內，以對方域的籤名生成器作為域間的驗證器，以主機的籤名生成器作為主機報文內籤名的域內驗證器；步驟(2).域間安全認證網關之間，或者域內安全認證網關與主機之間，均使用非對稱加密技術RSA交換籤名生成器與備用籤名生成器；步驟(3).主機在接入網絡時，採用萊迪斯radius身份認證機制進行接入認證，安全認證網關把一個與主機IP綁定的域內籤名生成器以及一個備用籤名生成器，以密文形式發送給所述主機，域內籤名生成器在主機端與網關處都設有一個籤名計數器，用以同步；在發送報文時，籤名生成器計算生成一個4位元組或更長的籤名並加入到報文頭中，同時記錄著籤名的序號。序號是一個4位元組的從零遞增的數字，它與備用籤名生成器一起可用於籤名不同步時的恢復；步驟(4).主機在發送報文時，域內籤名生成器計算生成一個等於或大於4位元組的籤名並加入到報文頭中，同時用一個4位元組的從0遞增的數字作為籤名的序號，該序號與備用籤名生成器一起用於籤名不同步時的同步恢復；步驟(5).報文到達安全認證網關後，該網關的域內驗證器首先通過報文的源地址，找出與之對應的籤名，判斷步驟(4)中主機所發送報文的源地址與域內驗證器的籤名是否符合映射關係，如符合，則域內驗證器調用域內籤名生成器計算出下一個籤名，如不符合，則將報文丟棄；步驟(6).報文通過域內生成器後，由域內驗證器送於域間驗證器，根據步驟(4)中主機所發送報文的目的地址找出域間驗證器內設定的域間籤名，並將原來的域內籤名替換成域間籤名，向目的域的安全認證網關發送步(4)中主機所發送的報文；步驟(7).目的域安全認證網關在收到步驟(6)中發送的報文後，檢察與其地址的前綴，並找出與之對應的域間籤名，若正確，則轉發，否則，認定為偽造，丟棄此報文。
2、根據權利要求1所述的端到端自動同步的防止IP原地址偽造方法，其特徵在於，若 目的地址域沒有部署步驟(l)中所述的安全認證網關，則直接將報文轉發。
全文摘要
端到端自動同步的防止IP源地址偽造的方法屬於網際網路技術領域，尤其涉及網絡安全方面的技術。本發明的特徵在於通過設計了一種高效、安全、易管理的籤名生成器，用以在域間與域內採用自動同步、自動更新籤名認證的方式，防止源地址的偽造，做到了降低運行與管理開銷，完美地防止重放攻擊，支持增量部署，對拒絕服務攻擊/分布式拒絕服務攻擊有很強的魯棒性，並且在域間與域內可獨立部署。
文檔編號H04L29/06GK101170564SQ20071017849
公開日2008年4月30日 申請日期2007年11月30日 優先權日2007年11月30日
發明者吳建平, 軍 畢, 燕 沈 申請人:清華大學