文件,重新开始接 收发方的文件。判断丢包还有一个方式是设定一个时钟,时间到了以后还没有得到预期的 包,就判断为缺包。
[0086] (七)继续映射跳变信息,建立新通信,传递信息阶段
[0087] 在需要继续跳变的时候,发送方产生一个随机数,发送给接收方,将原来的TSK加 上这个随机数得到新的TSK,再映射为一组新的数据M,利用哈希函数将继续映射得到随后 多通道跳变通信所用到的多个通道信息,继续建立新的多通道连接,继续在新通道上传递 XML格式的数据。重复上述步骤,直到通信结束。
[0088] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其同等技术的范 围之内,则本发明也意图包含这些改动和变型在内。
【主权项】
1. 一种基于跳通道模式的抵御DDOS攻击的方法,其特征在于: 所述方法包括如下步骤: (一) 、初始化通信步骤:预定面向连接的TCP通道,面向无连接的UDP,IP,ICMP等通 道发送密钥; (二)、密钥协商步骤:利用STS算法,通过预定的多通道进行密钥协商,产生共享密钥 TSK; (三) 、映射跳变信息步骤; (四) 、建立新通信步骤:将通道类型和端口号的列表发送给接收方,接收方发送同意 通信的通道类型和端口号的列表,进行确认; (五) 、XML格式定义数据包步骤:设计一种XML的消息数据格式,携带有数据包的唯一 性标识,携带有片段编号用于标识分块数据的顺序并用于删除重复的数据包,同时也加入 加密和签名; (六) 、传递信息步骤:设计数据的接收队列和发送队列; (七) 、继续映射跳变信息,建立新通信,传递信息步骤; 重复上述步骤,直到通信结束。2. 如权利要求1所述的基于跳通道模式的抵御DD0S攻击的方法,其特征在于: 步骤(一)中,TCP通道的端口号为1026,UDP通道的端口号为2048,ICMP通道初始化 类型为Echorequest-回显请求。3. 如权利要求1所述的基于跳通道模式的抵御DD0S攻击的方法,其特征在于: 步骤(三)具体包括如下分步骤: (a) 使用哈希函数将临时密钥TSK映射成128比特长度的数据Μ; (b) 通道类型有TCP、UDP、IP、ICMP, 将通道类型编号,如下表1:ICMP的类型表,如下表2 :(C)取出Μ前8K狩,对兵进仃悮b昇,结朱73P,P73U到4 ;议通道类型一共4种, 则得到的通道数N= 4+P,N为4到8,则通道数最大为8 ; 通道类型直接按类型表顺序分配,总共所需要的通道数为N,则第一次先选TCP通道, 选Μ前16比特,得到数之后判断其大小,若小于1024,将该数加上1024为端口号,若大于等 于1024,则此数值为端口号,为TCP通道分配该端口号,检查该端口号是否被占用,若被占 用,则端口号加1,再检查,直到确定了端口号;再选UDP通道,取Μ下一 16比特,重复上述 确定端口号的过程,然后选IP通道,再然后选ICMP通道,取Μ下一 16比特,对Μ进行模10 运算,结果是几,就在ICMP类型表中选择对应的类型,若已被选择,则类型号加1,再检查, 直到确定了ICMP通道的类型;若此时还需要几个通道,继续按照类型表循环选择,选TCP通 道,取Μ下一 16比特,按上述过程确定端口号,再选UDP通道,取Μ下一 16比特,按上述过 程确定端口号,再选IP通道,如果被占用,则跳过,则再选ICMP通道,按上述过程确定其通 道类型,然后按照上述过程按照类型表循环选择,直到选够所需要的通道数N并为所有通 道分配了端口号。4.如权利要求1所述的基于跳通道模式的抵御DDOS攻击的方法,其特征在于: 步骤(五)中,数据包格式如下:XML文档包括元素: A. 特殊标识:用于标记本次所有通信的数据包,对不带本标识ID的数据包进行排除和 丢弃; B. 唯一会话标识:用于对来自同一个会话的数据进行重组,可在发送数据包之前,产 生一个随机数当作第一个数据包的唯一性标识,此项必须出现且只出现一次; C. 片段编号:用于标识分块数据的顺序,同时用于删除重复的数据包,对于唯一性会 话标识相同,片段编号也相同的XML文档,进行删除; D. 标志位:类似于IP头中的flag标志,对同一个文件的分包,只有最后一个分包标志 位为〇,其他都为1,接收方直到收到标志号位1的数据包才开始进行还原; E. 加密算法标识; F. 签名算法标识; G. 传输编码标识; H. 消息域:分块后的数据,可能是加密并编码过的; I. 签名域:可以对每个封装好的数据包进行签名,进行认证和使得接收方对数据可靠 性进行校验,若签名算法标识域为空,则此项为空;若签名算法标识域为RSA,则为产生的 签名。5. 如权利要求1所述的基于跳通道模式的抵御DDOS攻击的方法,其特征在于: 所述步骤(六)具体包括以下分步骤: (a) 发送步骤: 先得到即将发送的数据或文件,进行分块,每块大小为1400字节,每块大小=1400 -IP头开销一传输层协议头开销一xml文件中非消息域的开销,将文件按xml文件格式进行 封装,并依次放入一个循环队列; 取一个滑窗大小n,通过已有的通道类型和端口号,发送数据包,收端有反馈机制,当 反馈没有超时,继续按照滑窗方式工作,并清除发送过的η个包同时填入新的包,若反馈超 时,则从超时的包开始重发,收到缺包反馈时,从缺失的包开始重发;同一组发送通道遇到 同时有多个文件发送时,将待发送文件建立优先级,并排队,再依次发送; (b) 接收步骤: 从接收队列收到数据包,记下接收的数据包的序号,先检查其是否符合xml文档格式, 若不符合,丢弃之,再查看其片段编号,假如解析出的文档片段编号小于接收序号,也丢弃 之,若大于接收序号,将其放入一个临时队列,等于该序号的,直接放入收方磁盘,放入的内 容是去除了xml其他部分的解密后的消息域部分;将接收序号加1,检查临时队列,是否有 等于该序号的,若有,放入磁盘,并把相同序号的都从临时队列删去,将接收序号加1,继续 检查临时队列,若无,解析接收队列中xml文件,依此循环,将临时队列的大小设置为合适 的值,若临时队列满了,仍然没有收到希望收到的序号的文件,则判断为丢包,向发方反馈 丢包信息;同时清空临时队列和公共接收通道以及各个通道已经保存的文件,重新开始接 收发方的文件;判断丢包还有一个方式是设定一个时钟,时间到了以后还没有得到预期的 包,就判断为缺包。6. 如权利要求1所述的基于跳通道模式的抵御DDOS攻击的方法,其特征在于: 所述步骤(七)具体为:在需要继续跳变的时候,发送方产生一个随机数,发送给接收 方,将原来的TSK加上这个随机数得到新的TSK,再映射为一组新的数据M,利用哈希函数将 继续映射得到随后多通道跳变通信所用到的多个通道信息,继续建立新的多通道连接,继 续在新通道上传递XML格式的数据。
【专利摘要】本发明涉及一种基于跳通道模式的抵御DDOS攻击的方法。本发明让通信双方临时协商多条不同的通信通道,让攻击者不能确定攻击目标,只要多条通道中任意时刻有一条通道能正常传送数据,通信双方就能维持一条安全的数据通道;将临时密钥映射为端口号,端口号随机产生,使敌方难以攻击到,XML格式定义数据包,收到数据包后检查标志位,便于去重并防止丢包,提高了通信的安全性和可靠性,能有效的抵御DDOS攻击。
【IPC分类】H04L29/06
【公开号】CN105262737
【申请号】CN201510617210
【发明人】赵兴文, 李晖, 朱辉, 林佳萍, 毛小乐, 赵高飞
【申请人】西安电子科技大学
【公开日】2016年1月20日
【申请日】2015年9月24日