CN106534070B - 一种抵御仿冒的低开销路由器标识生成方法 - Google Patents

一种抵御仿冒的低开销路由器标识生成方法 Download PDF

Info

Publication number
CN106534070B
CN106534070B CN201610881877.5A CN201610881877A CN106534070B CN 106534070 B CN106534070 B CN 106534070B CN 201610881877 A CN201610881877 A CN 201610881877A CN 106534070 B CN106534070 B CN 106534070B
Authority
CN
China
Prior art keywords
router
data packet
identifier
mark
digit capacity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610881877.5A
Other languages
English (en)
Other versions
CN106534070A (zh
Inventor
徐恪
吴波
杨帆
沈蒙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN201610881877.5A priority Critical patent/CN106534070B/zh
Publication of CN106534070A publication Critical patent/CN106534070A/zh
Application granted granted Critical
Publication of CN106534070B publication Critical patent/CN106534070B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种抵御仿冒的低开销路由器标识生成方法,网络路由器与目的端首先实现共享密钥的配送;然后路由器根据每条数据流信息创建路由器第一预设位数标识,并于目的端实现共享;当收到某条数据流的数据包时,路由器根据第一预设位数标识以及数据包信息计算属于这条数据包的路由器第二预设位数标识,并将其与IP地址共同嵌入到数据包中;目的端收到数据包后,根据路由器的第一预设位数、数据包信息重计算第二预设位数标识,并与数据包中的第二预设位数标识对比,从而达到验证功能。本发明具有如下优点:在抵御路由器标识仿冒和降低路由器计算开销的基础上,提高了网络的效率,增强了网络的安全性,具有灵活度高、可用性强等的特点。

Description

一种抵御仿冒的低开销路由器标识生成方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种抵御仿冒的低开销路由器标识生成方法。
背景技术
一直以来,网络***自身的脆弱性导致网络攻击事件时有发生,为了保证网络***的安全性,减少流重定向、路径不一致、DDoS攻击、源地址哄骗等恶意攻击造成的危害,形如源地址验证、路径认证等的工作越来越多。其中,绝大多数的研究工作主要依赖路由器对收到的数据包进行标识,以便下游路由节点或目的端对收到的数据包进行验证。
基于路由器标识的验证方法主要受到路由器标识仿冒、路由器开销较大等因素的限制使得网络效率受到很大的制约。当前主要存在两种路由器标识生成方法:(一)路由器根据每次收到的数据包中的信息(如负载电荷)计算对应的标识,并嵌入到数据包之中;(二)路由器根据每次收到的数据包的流信息计算对应的标识,并嵌入到数据包之中。这两种方法各有利弊:前者提高了网络的安全性,使得路由器标识不容易被仿冒,但增加了路由器的计算开销;后者对于一个数据流,使用相同的标识进行标记,虽然减少了路由器每次计算带来的开销,但同时使得路由器标识轻而易举地被仿冒,严重降低了网络的安全性。
发明内容
本发明旨在至少解决上述技术问题之一。
为此,本发明的目的在于提出一种抵御仿冒的低开销路由器标识生成方法,解决现有网络中路由器标识易被仿冒的问题,同时降低了路由器的计算开销。
为了实现上述目的,本发明的实施例公开了一种抵御仿冒的低开销路由器标识生成方法,包括以下步骤:S1:在路由器与目的端之间完成共享密钥的配送;S2:所述路由器根据流信息和所述共享密钥每条收到的数据流计算第一预设位数的第一标识,并根据所述共享密钥实现与所述目的端之间标识的安全传输;S3:当所述路由器收到数据包时,根据所述数据包和所述共享密钥计算第一哈希值,并对所述第一哈希值根据所述第一预设位数取余,并根据取余结果生成第二标识,所述路由器将所述第二标识和自身地址嵌入所述数据包中;S4:所述目的端收到所述数据包时,根据所述数据包中的服务器地址识别所述服务器,并根据所述共享密钥和所述数据包计算第二哈希值,并对所述第二哈希值根据所述第一预设位数取余,并根据取余结果生成第三标识;S5:根据所述第二标识和所述第三标识判断所述路由器的标识是否正确;其中,所述服务器生成所述第二标识和所述目的端生成所述第三标识的算法相同。
根据本发明实施例的抵御仿冒的低开销路由器标识生成方法,路由器能够为收到的每条数据流计算第一预设位数的标识,并存储在路由器内部;路由器将共享密钥以及每条数据流的第一预设位数标识与目的端进行共享;当收到数据流的每个数据包时,路由器根据数据包的信息截取第一预设位数标识中的第二预设位数标识作为路由器标识,并连同路由器的地址嵌入到数据包之中;目的端收到数据包之后,根据数据包之中路由器的地址以及数据包信息对标识进行识别和验证;本发明的方法在抵御路由器标识仿冒和降低路由器计算开销的基础上,提高了网络的效率,增强了网络的安全性,具有灵活度高、可用性强等的特点。
另外,根据本发明上述实施例的抵御仿冒的低开销路由器标识生成方法,还可以具有如下附加的技术特征:
进一步地,步骤S3进一步包括:S301:所述路由器收到所述数据包时,根据所述数据包的前第一预设字节和所述共享密钥计算所述第一哈希值;S302:对所述第一哈希值根据所述第一预设位数取余得到第一余数位;S303:以所述第一标识的所述第一余数位作为开始位,并连续取第二预设位数作为所述路由器对所述数据包的第二标识;S304:将所述第二标识和所述路由器的地址嵌入所述数据包中。
进一步地,步骤S4进一步包括:S401:所述目的端收到所述数据包时,根据所述数据包中的服务器地址识别所述服务器;S402:根据所述数据包的所述前第一预设字节和所述共享密钥计算所述第二哈希值;S403:对所述第二哈希值根据所述第一预设位数取余得到第二余数位;S404:以所述第一标识的所述第二余数位作为开始位,并连续取所述第二预设位数作为所述路由器对所述数据包的第二标识。
进一步地,步骤S5进一步包括:比较所述第二标识和所述第三标识是否相同;如果所述第二标识和所述第三标识相同,则所述路由器的标识正确;如果所述第二标识和所述第三标识不同,则所述路由器的标识错误。
进一步地,所述第一预设位数为128位。
进一步地,所述第一预设字节为8字节。
进一步地,所述第二预设位数为32位。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明的抵御仿冒的低开销路由器标识生成方法的流程图;
图2是本发明一个实施例的路由器与目的端的密钥交换示意图;
图3是本发明一个实施例的数据包IP头部示意图;
图4是本发明一个实施例的路由标识生成示意图;
图5是本发明一个实施例的路由标识识别与验证示意图;
图6是本发明一个实施例的抵御仿冒的低开销路由器标识生成方法的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。
参照下面的描述和附图,将清楚本发明的实施例的这些和其他方面。在这些描述和附图中,具体公开了本发明的实施例中的一些特定实施方式,来表示实施本发明的实施例的原理的一些方式,但是应当理解,本发明的实施例的范围不受此限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
以下结合附图描述本发明。
图1是本发明的抵御仿冒的低开销路由器标识生成方法的流程图,图2是本发明一个实施例的路由器与目的端的密钥交换示意图。如图1和图2所示,一种抵御仿冒的低开销路由器标识生成方法,包括以下步骤:
S1:在路由器Ri与目的端D之间完成共享密钥的配送。
具体地,路由器Ri与目的端D利用现有技术(如Diffie-Hellman密钥交换)完成128位共享密钥的配送,假设共享密钥为Ki
S2:路由器Ri根据流信息和共享密钥每条收到的数据流计算第一预设位数的第一标识,并根据共享密钥实现与目的端之间标识的安全传输。
具体地,路由器Ri根据流信息和共享密钥Ki为每条收到的数据流根据以下公式计算128位的标识OMi
其中,srcAdd、destAdd、Protocol分别指IP头部中的源地址、目的地址和协议。
将标识OMi存储于路由器内部。利用共享密钥Ki实现与目的端D之间标识OMi的安全传输。
S3:当路由器Ri收到数据包时,根据数据包和共享密钥计算第一哈希值,并对第一哈希值根据第一预设位数取余,并根据取余结果生成第二标识,路由器将第二标识和自身地址嵌入数据包中。
进一步地,步骤S3进一步包括:
S301:路由器Ri收到数据包时,Ri读取数据包中数据部分的前8个字节Payload8,并将Payload8和Ki作为哈希算法的输入得到固定长度的哈希值H:
H=Hash(Payload8||Ki)。
S302:路由器Ri对哈希值H进行128取余操作,得到余数r,0≤r≤127。
S303:路由器Ri以标识OMi的第r位作为开始位,并连续取32位作为路由器Ri对该数据包的标识Mi。需要声明的一点是,在取OMi的连续32位的标识时,路由器将OMi视为一环形结构。
S304:路由器Ri将32位的标识Mi以及自身的地址IPi嵌入到数据包之中。
S4:目的端D收到数据包时,根据数据包中的服务器地址识别路由器Ri,并根据共享密钥Ki和数据包计算第二哈希值,并对第二哈希值根据第一预设位数取余,并根据取余结果生成第三标识;
进一步地,步骤S4进一步包括:
S401:目的端D收到数据包时,根据其中的地址IPi识别路由器Ri
S402:根据路由器Ri的共享密钥Ki以及数据包信息Payload8根据以下公式重新计算固定长度的哈希值H’:
H'=Hash(Payload8||Ki)。
S403:根据以下公式对哈希值H’取余:
r'=H'mod128。
S404:从共享的128位的标识OMi的第r'位开始截取32位,得到Mi'。
S5:根据第二标识和第三标识判断路由器Ri的标识是否正确。
进一步地,步骤S5进一步包括:
比较标识Mi和标识Mi'是否相同;
如果相同,则路由器Ri的标识正确;
如果不同,则路由器Ri的标识错误。
本发明的抵御仿冒的低开销路由器标识生成方法相比现有技术具有以下有益效果:
在现有技术下,多数研究都是利用路由器标识进行相关验证,如源地址验证和路径认证,这其中都没有同时兼顾到路由器的计算开销以及路由器标识仿冒问题。原因在于这些研究要么路由器针对每个数据包重新计算标识,要么根据数据流计算标识之后“自始至终”使用这个标识。前者大大增加了路由器的计算开销,后者使用的标识易被仿冒。而本发明能够很好地处理这些问题,每个路由器根据收到的数据包仅仅进行简单的哈希运算,通过截取标识的方式大大降低了路由器的计算开销;与此同时,同一个数据流的每个数据包的标识不尽相同(更确切地说攻击者无法判断出路由器的标识应该截取的位置),使得路由器标识不能被仿冒,提高了路由器标识的安全性。
本发明解决了当前主要存在两种路由器标识生成技术带来的弊端,兼顾了路由器计算开销较大和路由器标识易被仿冒的问题,在保证可行性的同时,提高整个网络***的安全性和可信性,对提升整个网络***的安全具有重要意义。
为使本领域技术人员进一步理解本发明,将通过以下实施例进行进一步的说明。
图3表示数据包IP头部示意图。路由器R1、R2、R3、R4根据流信息和共享密钥K1、K2、K3、K4,由公式(1)可得到每条收到的数据流的128位标识OM1、OM2、OM3、OM4,出,将标识OM1、OM2、OM3、OM4存储于路由器内部,并利用步骤1中的共享密钥Ki实现与目的端D之间标识OMi的安全传输。
图4表示当路由器R1、R2、R3、R4收到数据包时,会读取数据包中数据部分的前8个字节Payload8,并将Payload8和K1、K2、K3、K4作为哈希算法的输入得到固定长度的哈希值H。路由器对哈希值H进行128取余操作,得到余数r,0≤r≤127。然后,路由器Ri以标识OMi的第r位作为开始位,并连续取32位作为路由器Ri对该数据包的标识Mi
图5表示目的端收到数据包时,根据其中的路由器地址(IPAdd)识别路由器Ri,根据识别的路由器Ri的共享密钥Ki以及数据包信息Payload8重新计算固定长度的哈希值H’,然后利用公式(4)求得余数r'。然后从步骤2中共享的128位的标识OMi的第r'位开始截取32位,得到Mi'。比较数据包中的Mi与计算得到的Mi':如果两者相等,说明路由器Ri的标识正确;否则,路由器Ri标识不正确。
图6为本实施例的抵御仿冒的低开销路由器标识生成方法的流程图。从上述的具体实施方式来看,本发明的路由器标识生成方法能够避免路由器每次接受数据包之后重新计算标识的巨大计算开销,取而代之的是利用数据包的信息进行哈希并取余计算,大大减少了路由器的计算开销;在路由器针对每个数据包都计算出不同的标识,这样避免了网络中恶意节点仿冒该路由器的标识发动攻击。在目的端,32位标识的重计算保证了路由器标识的正确性,有利于开展各种安全性质的验证。综上可知,本发明解决了当前主要存在两种路由器标识生成技术带来的弊端,兼顾了路由器计算开销较大和路由器标识易被仿冒的问题,在保证可行性的同时,提高整个网络***的安全性和可信性,对提升整个网络***的安全具有重要意义。
另外,本发明实施例的抵御仿冒的低开销路由器标识生成方法的其它构成以及作用对于本领域的技术人员而言都是已知的,为了减少冗余,不做赘述。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同限定。

Claims (7)

1.一种抵御仿冒的低开销路由器标识生成方法,其特征在于,包括以下步骤:
S1:在路由器与目的端之间完成共享密钥的配送;
S2:所述路由器根据流信息和所述共享密钥对每条收到的数据流计算第一预设位数的第一标识,并根据所述共享密钥实现与所述目的端之间标识的安全传输;
S3:当所述路由器收到数据包时,根据所述数据包和所述共享密钥计算第一哈希值,并对所述第一哈希值根据所述第一预设位数取余,并根据取余结果生成第二标识,所述路由器将所述第二标识和自身地址嵌入所述数据包中;
S4:所述目的端收到所述数据包时,根据所述数据包中的服务器地址识别所述服务器,并根据所述共享密钥和所述数据包计算第二哈希值,并对所述第二哈希值根据所述第一预设位数取余,并根据取余结果生成第三标识;
S5:根据所述第二标识和所述第三标识判断所述路由器的标识是否正确;
其中,所述路由器生成所述第二标识和所述目的端生成所述第三标识的算法相同。
2.根据权利要求1所述的抵御仿冒的低开销路由器标识生成方法,其特征在于,步骤S3进一步包括:
S301:所述路由器收到所述数据包时,根据所述数据包的前第一预设字节和所述共享密钥计算所述第一哈希值;
S302:对所述第一哈希值根据所述第一预设位数取余得到第一余数位;
S303:以所述第一标识的所述第一余数位作为开始位,并连续取第二预设位数作为所述路由器对所述数据包的第二标识;
S304:将所述第二标识和所述路由器的地址嵌入所述数据包中。
3.根据权利要求2所述的抵御仿冒的低开销路由器标识生成方法,其特征在于,步骤S4进一步包括:
S401:所述目的端收到所述数据包时,根据所述数据包中的服务器地址识别所述服务器;
S402:根据所述数据包的所述前第一预设字节和所述共享密钥计算所述第二哈希值;
S403:对所述第二哈希值根据所述第一预设位数取余得到第二余数位;
S404:以所述第一标识的所述第二余数位作为开始位,并连续取所述第二预设位数作为所述路由器对所述数据包的第二标识。
4.根据权利要求1所述的抵御仿冒的低开销路由器标识生成方法,其特征在于,步骤S5进一步包括:
比较所述第二标识和所述第三标识是否相同;
如果所述第二标识和所述第三标识相同,则所述路由器的标识正确;
如果所述第二标识和所述第三标识不同,则所述路由器的标识错误。
5.根据权利要求1-4任一项所述的抵御仿冒的低开销路由器标识生成方法,其特征在于,所述第一预设位数为128位。
6.根据权利要求2或3所述的抵御仿冒的低开销路由器标识生成方法,其特征在于,所述第一预设字节为8字节。
7.根据权利要求2或3所述的抵御仿冒的低开销路由器标识生成方法,其特征在于,所述第二预设位数为32位。
CN201610881877.5A 2016-10-09 2016-10-09 一种抵御仿冒的低开销路由器标识生成方法 Active CN106534070B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610881877.5A CN106534070B (zh) 2016-10-09 2016-10-09 一种抵御仿冒的低开销路由器标识生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610881877.5A CN106534070B (zh) 2016-10-09 2016-10-09 一种抵御仿冒的低开销路由器标识生成方法

Publications (2)

Publication Number Publication Date
CN106534070A CN106534070A (zh) 2017-03-22
CN106534070B true CN106534070B (zh) 2019-06-28

Family

ID=58331473

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610881877.5A Active CN106534070B (zh) 2016-10-09 2016-10-09 一种抵御仿冒的低开销路由器标识生成方法

Country Status (1)

Country Link
CN (1) CN106534070B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109889449B (zh) * 2019-02-03 2020-06-19 清华大学 低存储开销的分组转发方法及***
CN112398800A (zh) * 2019-08-19 2021-02-23 华为技术有限公司 一种数据处理方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101808142A (zh) * 2010-03-10 2010-08-18 上海十进制网络信息技术有限公司 通过路由器或交换机实现可信网络连接的方法和装置
CN102447694A (zh) * 2011-11-03 2012-05-09 富春通信股份有限公司 一种IPv6网络虚假源地址数据包追溯方法和装置
CN105471839A (zh) * 2015-11-11 2016-04-06 中国人民解放军信息工程大学 一种判断路由器数据是否被窜改的方法
CN105847034A (zh) * 2016-03-16 2016-08-10 清华大学 源验证和路径认证方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030026246A1 (en) * 2001-06-06 2003-02-06 Zarlink Semiconductor V.N. Inc. Cached IP routing tree for longest prefix search
JP4919608B2 (ja) * 2005-03-02 2012-04-18 株式会社日立製作所 パケット転送装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101808142A (zh) * 2010-03-10 2010-08-18 上海十进制网络信息技术有限公司 通过路由器或交换机实现可信网络连接的方法和装置
CN102447694A (zh) * 2011-11-03 2012-05-09 富春通信股份有限公司 一种IPv6网络虚假源地址数据包追溯方法和装置
CN105471839A (zh) * 2015-11-11 2016-04-06 中国人民解放军信息工程大学 一种判断路由器数据是否被窜改的方法
CN105847034A (zh) * 2016-03-16 2016-08-10 清华大学 源验证和路径认证方法及装置

Also Published As

Publication number Publication date
CN106534070A (zh) 2017-03-22

Similar Documents

Publication Publication Date Title
CN105049401B (zh) 一种基于智能车的安全通信方法
CN102036242B (zh) 一种移动通讯网络中的接入认证方法和***
CN103929422B (zh) 基于sdn的可信域间安全认证协议
CN106506168A (zh) 一种安全的基于生物特征远程身份认证的方法
WO2008119672A3 (en) Method and system for resilient packet traceback in wireless mesh and sensor networks
CN105847034A (zh) 源验证和路径认证方法及装置
WO2010135892A1 (zh) 基于哈希函数的双向认证方法及***
WO2010135890A1 (zh) 基于对称加密算法的双向认证方法及***
Duan et al. An efficient location-based compromise-tolerant key management scheme for sensor networks
CN106534070B (zh) 一种抵御仿冒的低开销路由器标识生成方法
CZ2013373A3 (cs) Způsob autentizace bezpečného datového kanálu
CN112383393A (zh) 软件定义传感网络可信通信***及方法
CN105959308A (zh) 一种内网ip数据包管理方法、装置及***
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN102668450A (zh) 基于身份的网络策略实现
CN105472619B (zh) 面向无线自组织网中路由器可信验证方法
US20210314366A1 (en) Network Security System Using Statistical Object Identification
CN109067774A (zh) 一种基于信任令牌的安全接入***及其安全接入方法
Ghosh et al. Identity based secure aodv and tcp for mobile ad hoc networks
CN106209756A (zh) 口令更新方法、用户设备、用户位置服务器及域路由器
Meadows A procedure for verifying security against type confusion attacks
CN106792665A (zh) 基于短小公钥密码体制的无线传感器网络安全小数据分发方法
Kolesnikov et al. MAC aggregation resilient to DoS attacks
RU2749810C2 (ru) Передающее устройство для испускания сигналов и приемное устройство для приема сигналов
CN103686715B (zh) 轻量级机密的无线体域网安全数据发现与分发方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant