CN106453421A

CN106453421A - 融合LTE的智慧标识网络对服务篡改DoS攻击的协同防御方法

Info

Publication number: CN106453421A
Application number: CN201611122590.0A
Authority: CN
Inventors: 陈佳; 童博; 张宏科; 左元钧; 寸怡鹏; 贾海宇
Original assignee: Beijing Jiaotong University
Current assignee: Beijing Jiaotong University
Priority date: 2016-12-08
Filing date: 2016-12-08
Publication date: 2017-02-22
Anticipated expiration: 2036-12-08
Also published as: CN106453421B

Abstract

本发明公开一种融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法，包括：在PGW上维持异常SID信誉管理表，并在GSR返回的数据包中增设与数据包中的SID对应的校验概率；PGW收到数据包时判断表中是否存在数据包中的SID，若是则将数据包中的校验概率设为表中存储的SID对应的，若否则保持数据包中的校验概率；当eNodeB接收到PGW返回的数据包时根据数据包中的校验概率决定是否对数据包进行签名认证，若进行且成功则缓存数据包并发送数据包，若失败则丢弃数据包并向PGW发送携带该SID的异常报警信息；当PGW收到信息时判断表中是否存在该SID，若是则提高表中的SID对应的校验概率，若否则将SID加入到表中再提高其对应的校验概率。本发明可提高检测出被篡改数据包的概率。

Description

融合LTE的智慧标识网络对服务篡改DoS攻击的协同防御方法

技术领域

本发明涉及网络通信技术领域。更具体地，涉及一种融合LTE(Long TermEvolution，长期演进)的智慧标识网络对服务篡改DoS(Denial of Service，拒绝服务)攻击的协同防御方法。

背景技术

互联网在其长期的发展过程中，尤其是近年来，规模急剧扩大，其主要的“三重绑定模型”的原始设计思想造成工作模式相对“静态”和“僵化”，导致诸多难以解决的问题。如“资源和位置绑定”导致现有互联网难以实现全网规模的云计算；“控制和数据绑定”难以实现网络的节能；“身份与位置绑定”难以有效解决网络的可扩展性、移动性和安全性问题。再如传统互联网在智能、感知、认知、动态等智慧化机制方面的支持严重不足，当用户或者网络行为发生变化时，网络难以感知并实现资源动态适配，造成网络资源分配不合理、利用率低、能耗大。

为了解决现有互联网存在的诸多问题，并抛开继续打补丁似的修复思想，近年来世界各国及各网络研究组织和机构纷纷开展了网络体系的新型架构。其中，智慧标识网络是北京交通大学下一代互联网互连设备国家工程实验室依托国家重点基础研究发展计划(973计划)“智慧标识网络理论基础研究”项目，深入研究和探索支持智慧(智能、感知、认知、动态等)服务与网络的未来网络体系基础理论，提出的未来互联网架构。其优势在于其结合互联网和传统电信网的优点，将IP地址的二义性解耦合，采用身份与位置分离、资源与位置分离技术，提高网络可扩展性、安全性、移动性。智慧标识网络将网络分为实体域与行为域，引入接入网标识AID(Access Identifier)与内网标识RID(Routing Identifier)，一方面提高了网络服务质量，另一方面提升了网络的安全性能，并能够与现有的互联网与网络架构进行融合。

智慧标识网络作为下一代互联网研究的一个重要组成部分，其网络架构同样以内容为中心，路由及缓存方式不同于传统的IP网络。该架构通过分布式内容缓存机制，实现以内容为核心的数据传输，改变了传统基于主机的网络通信模式。

随着移动互联网的蓬勃发展，各种新型网络应用的高速发展，数据业务流量已经超过语音业务流量，成为最重要的流量开销。人们在享受各种全新网络服务的同时，***式的流量增长不断加重对移动互联网的流量要求随着智能设备的兴起，人们的下载内容数量空前巨大，这给网络带来了很大的压力。全球无线运营商因此在高速移动宽带服务方面面临日益增长的需求,越来越多的用户倾向于极耗带宽的应用，例如视频应用，运营商不得不寻找新的技术来领先这些不断增长的需求。相对于3G而言，LTE可提供高速移动网络宽带服务。它的理论下载速度约为100MB/秒，约等于拨号上网的2000倍。按照这个速度，下载一个600MB的文件，只需6秒。不过在实际应用中，所有带宽都受到传输距离和同时在线用户数的影响。目前国际电联对4G基本的技术要求是，在移动状态下达到速率100兆比特/秒，静态和慢移动状态下达到速率1G比特/秒。与现有的移动通信技术相比，4G的传输速度可提高1000倍。

近年来，互联网安全问题日益突出。网上办公，电子商务，甚至电子政务都得到飞速的发展。互联网设计之初，假定所有节点都是可信的，并且都是自由平等的。这导致传统互联网缺乏用户身份认证机制，缺乏安全的管理机制，这使得身份的冒用与欺骗成为可能。因为网络上充斥着各种黑客，他们利用技术手段(病毒或网络攻击)获取不法的利益。人们也在不断寻求互联网安全的解决措施，如开发防火墙，安全审计***，入侵检测***等，但都没有从根本上解决对用户身份验证可信性的验证。

智慧标识网络包括三个层面：网络组件层、资源适配层和智慧服务层。其中，智慧服务层负责各种服务的统一命名与描述、服务行为描述、服务的动态智慧匹配，这些服务包括由运营商或第三方增值服务商提供的各种网络业务，主要是语音、数据、流媒体等。智慧服务层引入服务标识SID(Service Identifier)来标记一次智慧服务，实现服务的“资源和位置分离”，不仅完成服务的统一命名与描述，而且实现服务的“资源和位置分离”；服务标识智慧映射用于完成某次服务与资源适配层的网络族群(底层的网络组件组合)之间的动态匹配，实现服务和网络基础设施之间的智慧耦合，使服务的实现更加可靠。

智慧标识网络是以内容为中心的网络架构，用户不再关注内容存储位置，而只关心内容本身。报文不再以类似IP地址作为标识，而是采用服务本身的名称作为标识。在该网络通信过程中，传输两种数据包类型，包括用户请求的带有服务标识兴趣包和服务器(或缓存节点)返回的数据包。用户请求者发送带有服务标识的兴趣包，该包将通过智慧标识网络节点转发给能够响应该请求内容的邻近的节点；然后包含服务标识和内容的数据包将沿着兴趣包的反响路径传送给请求者，以此完成一次信息的传输。

图1示出了现有的LTE网络与智慧标识网络融合网络中，主要的网元设备包括：LTE核心网EPC(Evolved Packet Core)的基本网元LTE基站eNodeB(Evolved Node B)、网络节点MME(Mobility Management Entity)和服务网关SGW(Serving GateWay)；智慧标识网络的专网SID服务器、专网路由器GSR(Gigabit Switch Router，千兆位交换路由器)和映射服务器；以及融合了PDN网关PGW(PDN GateWay)和专网接入路由器ASR的移动专网安全网关设备。

在该网络环境中，用户终端UE(User Equipment)发出的请求可以是SID请求，该SID请求需要LTE网络中的网元设备支持处理包含SID的数据包。采用基于SID的通信方式不同传统的基于IP/AID的通信方式：第一，用户终端发出的数据包格式不同——数据包中所包含的字段主要包括SID、AID、UID及其他各项；第二，通信流程存在差异——UE发出的SID请求，需要先经过SID解析服务器，来解析数据包中的SID字段，并将SID对应的AID或AID组合返回给UE，然后UE再用对应的AID请求通信；第三，当数据包传输到移动专网安全网关时，数据包中的AID字段将被替换成RID，该RID是由映射服务器为相应的AID分配的。

在该网络环境中，如图2所示，用户终端接入LTE网络并向专网发送SID请求的流程共包括14个步骤，其中第1步至第11步为用户终端接入LTE网络的步骤，第12步至第14步为用户终端在接入LTE网络并开始正常通信后，向专网发送SID请求的步骤，上述向专网发送SID请求是指向专网路由器GSR发送SID请求。

如上所述，LTE网络与智慧标识网络融合网络中每个节点都包含内容存储器CS(content storage)，用来缓存数据包——不同于IP路由器在数据转发完成后就清空存储内容，该网络中的节点为方便不同用户请求相同数据，需要尽可能缓存已完成的数据。而每个节点的存储空间是有限的，每个节点不能无限缓存所有的数据包。当缓存的数据包达到节点空间所能承受的最大值，再接收到新的数据包，就需要进行缓存置换，即以某种策略，丢弃旧的数据包，以保证节点存储空间不被占满，降低内容请求失败的概率。

但当这种通过缓存来获取数据包的方式被攻击者利用，如攻击者控制了某个节点路由器，从而篡改的数据包的内容，但不改变其SID，这样当正常的兴趣包到达后，因为匹配了SID将返回被篡改的数据包，该数据包直到到达用户时才会被发现并不是其所期望的内容，于此同时，在整个返回的下行链路中，都将缓存已经被篡改的该SID的数据包，当其他用户再次请求该SID时，同样得不到期望的内容。此时，当合法用户进行正常请求时，因中间节点不再能向其提供正常服务，用户不得不向更远的缓存节点甚至内容源去请求数据，因而大大降低了用户的请求效率。假如路由节点也选择进行签名认证，其开销是非常大的，有实验表明拥有多个千兆网口的路由器对每一个数据包进行签名认证所需要的计算性能是十分不现实的。

如上所述，针对以内容为中心的智慧标识网络架构的基于节点缓存的通信过程，攻击者采用攻击手段如：

(1)通过控制某个路由器，对其所收到的数据包的内容进行篡改，那么其下行的路由器所缓存的数据包的内容也都是被篡改过的。

(2)通过对某个特定SID的预测，攻击者通过自己控制的机器模拟请求者与服务提供者，将符合该SID的但是内容并不是正常用户所期望的内容的数据包预先存入路由器的缓存中。

而以上两种攻击行为都造成用户发出正常服务请求的兴趣包无法收到正确的服务内容数据包。现有内容中心网络中，解决内容篡改比较主流的技术是SCIC(Self-Certifying Interests/Content)。主要包括S-SCIC(Static-Self-CertifyingInterests/Content)与D-SCIC(Dynamic-Self-Certifying Interests/Content)S-SCIC主要是根据每一个数据包的内容自动生成一个哈希值，这样一旦数据包的内容发生改变，哈希值也会随着改变。D-SCIC主要是请求者在兴趣包中加入一个字段PublisherPublicKeyDigest存放的是服务提供者的公钥的哈希值，一旦请求者使用这个字段，每个路由器都将校验返回的数据包是否符合与兴趣包相同的公钥。

上述方法中，S-SCIC可以很好的解决内容被篡改的问题，同时针对连续的数据(content1,content2,…)，其解决方法是将content2的哈希值hash2一起存入content1中，因此只需要知道content1的哈希值hash1即可保证一段连续的数据的准确性。但是，其作用范围仅限于静态的数据，例如一部电影或是一本电子书，服务提供者可以提前将每一段内容的哈希值计算出来并将hash1发送给请求者。而在实际网络中，是存在很多动态的内容的，也许将要返回的内容是在请求发起前并不存在的(例如网络搜索的结果)。这种情况下S-SCIC无法保证内容的完整性与准确性。同时，D-SCIC虽然可以解决一些被控制的服务提供者引起的内容篡改的问题。但一旦攻击者是直接修改其所信任的服务提供者缓存在路由器上的数据包的内容而不是公钥时，公钥匹配仍然会正确，但返回即沿途返回的数据包的内容仍然是错误的。而且，目前任何基于自认证命名***都无法做到同时支持静态与动态的自认证内容命名方式。

因此，需要提供一种在合理的计算性能范围内提高检测到被恶意篡改内容的数据包的概率从而降低被篡改内容的数据包被缓存的概率的融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法。

发明内容

本发明的目的在于提供一种融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法，以实现：

1、当攻击者挟持了专网中的某一个专网路由器GSR并篡改其所缓存或接收的正常包含SID的数据包的内容时，将在数据包传输到LTE网络中时进行协同防御，降低被篡改的数据包被eNodeB缓存的概率，同时增加了移动用户正常获取正确服务内容的概率；

2、由于PGW所承载的数据传输量是巨大的，因此PGW本身并不进行签名认证，而是将通过该PGW接入到专网的eNodeB作为认证单元来共同组成协同防御机制，同时PGW作为一个中心控制，来提高eNodeB检测出被篡改数据包的概率，在兼顾性能的同时有效的保证效率。

为达到上述目的，本发明采用下述技术方案：

一种融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法，包括如下步骤：

在PGW上维持异常SID信誉管理表，并在GSR返回的数据包中增设与数据包中的SID对应的校验概率；

当PGW接收到该数据包时，判断异常SID信誉管理表中是否存在该数据包中的SID，若是则将该数据包中的校验概率设置为异常SID信誉管理表中存储的该数据包中的SID对应的校验概率，若否则保持该数据包中的校验概率；

当eNodeB接收到PGW返回的数据包时，根据数据包中的校验概率决定是否对该数据包进行签名认证，若进行签名认证且认证成功则缓存该数据包并将该数据包发送到用户终端，若进行签名认证且认证失败则丢弃该数据包并向PGW发送携带该数据包中的SID的异常报警信息；

当PGW收到携带该数据包中的SID的异常报警信息时，判断异常SID信誉管理表中是否存在该数据包中的SID，若是则提高异常SID信誉管理表中存储的该SID对应的校验概率，若否则将该SID加入到异常SID信誉管理表中并提高异常SID信誉管理表中存储的该SID对应的校验概率。

优选地，所述在GSR返回的数据包中增设的与SID对应的校验概率的初始值相同。

优选地，所述数据包还包括数字签名和所提供的服务内容。

本发明的有益效果如下：

本发明所述技术方案在保持原有***认证、接入、通信功能的同时，对基于SID请求的网络环境中可能出现的攻击者控制节点路由器进行内容篡改攻击，导致eNodeB存储大量错误缓存，降低用户请求正确内容的效率的行为，在专网内进行分析，在PGW及eNodeB上加入协同防御机制从移动网络核心网边缘限制SID的恶意篡改行为，有效的保护了移动网络内基站的内容安全与用户的服务获取质量。

附图说明

下面结合附图对本发明的具体实施方式作进一步详细的说明；

图1示出现有技术中LTE网络与智慧标识网络融合网络的网络环境拓扑图。

图2示出现有技术中在LTE网络与智慧标识网络融合网络的网络环境中，用户终端接入LTE网络并向专网发送SID请求的基本通信流程图。

图3示出融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法的具体信令流程图。

具体实施方式

为了更清楚地说明本发明，下面结合优选实施例和附图对本发明做进一步的说明。附图中相似的部件以相同的附图标记进行表示。本领域技术人员应当理解，下面所具体描述的内容是说明性的而非限制性的，不应以此限制本发明的保护范围。

本发明公开的融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法包括如下步骤：

在PGW上维持异常SID信誉管理表，并在GSR根据UE发送的SID请求返回的数据包中增设与数据包中的SID对应的校验概率，网络中各数据包中增设的与SID对应的校验概率的初始值相同；

当PGW接收到GSR返回的数据包时，判断异常SID信誉管理表中是否存在该数据包中的SID，若是则将该数据包中的校验概率设置为异常SID信誉管理表中存储的该SID对应的校验概率，若否则保持该数据包中的校验概率；

因为PGW所承载的数据传输量是巨大的，因此PGW本身并不进行签名认证，而是将通过该PGW接入到专网的eNodeB作为认证单元来共同组成协同防御机制；所以，当eNodeB接收到PGW返回的数据包时，根据数据包中的校验概率决定是否对该数据包进行签名认证，若进行签名认证且认证成功则直接缓存该数据包并将该数据包发送到下一跳eNodeB或者用户终端，若进行签名认证且认证失败则丢弃该数据包并向PGW发送携带该数据包中的SID的异常报警信息；

当PGW收到携带该数据包中的SID的异常报警信息时，意味着该SID对应的数据包内容存在已被篡改的可能，则判断异常SID信誉管理表中是否存在该SID，若是则对该SID的信誉等级进行降级，提高异常SID信誉管理表中已经存储的该SID对应的校验概率；若否则将SID加入到异常SID信誉管理表中，并对该SID的信誉等级进行降级，提高异常SID信誉管理表中存储的该SID对应的校验概率。其中，若PGW判断的结果是异常SID信誉管理表中不存在该SID，则说明该SID对应的校验概率从来没有被PGW提高过，该SID对应的校验概率还是在GSR返回的数据包中增设与SID对应的校验概率时的校验概率初始值，则PGW在初始值的基础上提高异常SID信誉管理表中存储的该SID对应的校验概率。

当PGW再次接收到GSR返回的含有相同SID的数据包时，该数据包的校验概率将会被PGW提高，从而提高被篡改的数据包被eNodeB检测出的概率，进而提高节点缓存正确的数据包内容的概率。

如图3所示，本发明公开的融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法的具体信令流程的举例如下：

首先，在融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法开始执行前，用户终端首先要接入LTE网络并向专网发送SID请求，该接入LTE网络和发送SID请求的流程为现有技术中常用的接入请求流程，简要说明如下：SGW向PGW发起PDP上下文请求；PGW向SGW发送PDP上下文应答；用户使用用户终端打开网页，开启WEB认证过程,用户登陆认证页面输入用户名密码；认证服务查询用户用户名密码，返回认证结果，如认证通过，则重定向到ASR认证管理地址，ASR模块允许其入网，并为其分配内网标识，加入映射表。用户发送数据包，PGW/ASR给改用户的接入标识分配对应的内网标识；之后，用户终端在接入LTE网络并开始正常通信后，向专网发送SID请求；

之后，融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法的具体信令流程的举例为：

在PGW上维持异常SID信誉管理表，并在GSR根据UE发送的SID请求返回的数据包中增设与数据包中的SID对应的校验概率，其中，在GSR返回的数据包中增设与数据包中的SID对应的校验概率的初始值相同；

UE1向专网发送的SID请求到达了被攻击者控制的GSR上，攻击者篡改了缓存在该GSR上的含有相同SID的数据包内容，将被篡改后的数据包返回，同时沿途的GSR同样也缓存了被篡改后的数据包；

被攻击者控制的GSR返回的数据包到达PGW时，PGW判断异常SID信誉管理表中是否存在该数据包中的SID，若PGW中的异常SID信誉管理表中没有该数据包中的SID，则保持该数据包中的校验概率P1，当该数据包到达基站eNodeB1时，eNodeB1将根据该校验概率P1来决定是否对该数据包进行签名认证；

若eNodeB1进行签名认证且发现认证失败，说明该数据包已经被篡改了，eNodeB1直接丢弃该数据包，同时将携带该数据包中的SID的异常报警信息反馈到PGW；

PGW收到异常报警信息时，将SID加入到异常SID信誉管理表中，并对该SID的信誉等级进行降级，提高异常SID信誉管理表中存储的该SID对应的校验概率，将异常SID信誉管理表中存储的该SID对应的校验概率P1提高至P2。

之后，另一个基站eNodeB2范围内的UE2向专网发送了SID请求，该SID请求的SID与之前UE1发送的SID请求的SID相同，即UE22发起了对相同SID的SID请求，同样在专网内获得了被篡改的数据包并返回；

被篡改的数据包到达PGW时，因为该数据包中的SID在PGW中的异常SID信誉管理表有记录，因此该数据包中的校验概率被置为P2，当该数据包到达基站eNodeB2时，eNodeB2将基于新的概率P2(P2>P1)来判断是否对该数据包进行签名认证，从而，检测出该数据包被篡改的概率更大。

本方案中，LTE网络与智慧标识网络融合网络中定义了数据的信令格式，具体定义如下：

1)GSR所提供或返回的满足SID请求(可称为兴趣包)的数据包的格式如下表：

SID

CheckProbability

Signature

Content

其中：

SID：服务标识；

CheckProbability：校验概率；

Signature:数字签名；

Content：所提供的服务内容。

2)异常SID信誉管理表存储格式如下表：

其中：

SID`：异常服务标识；

Level：该服务标识当前的信誉等级；

CheckProbability：根据信誉等级所评定的该服务标识的校验概率。

3)eNodeB向PGW反馈异常SID信息的消息格式如下表：

SID`

CheckProbability

Option

其中：

SID`：异常服务标识；

CheckProbability：根据信誉等级所评定的该服务标识的校验概率；

Option：可选项。

本发明公开的融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法具有如下特点：

(1)PGW上建立异常SID信誉管理表，能实时的根据SID信誉等级决定其被校验的概率；

(2)eNodeB一旦对数据包进行签名认证失败，则立刻反馈该数据包的SID信息至PGW，对下一个通过其他eNodeB请求相同SID的用户的数据获取产生增益影响，实现eNodeB及PGW共同构成的协同防御机制；

(3)确定校验概率的方法——包括由SID信誉等级的变化以及根据当前域内各个eNodeB的负载均衡情况构建函数关系确定具体的异常SID的校验概率。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定，对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动，这里无法对所有的实施方式予以穷举，凡是属于本发明的技术方案所引伸出的显而易见的变化或变动仍处于本发明的保护范围之列。

Claims

1.一种融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法，其特征在于，该方法包括如下步骤：

2.根据权利要求1所述的融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法，其特征在于，所述在GSR返回的数据包中增设的与SID对应的校验概率的初始值相同。

3.根据权利要求1所述的融合LTE的智慧标识网络中对服务篡改DoS攻击的协同防御方法，其特征在于，所述数据包还包括数字签名和所提供的服务内容。