一种抵御仿冒的低开销路由器标识生成方法与流程

本发明涉及网络安全技术领域，具体涉及一种抵御仿冒的低开销路由器标识生成方法。

背景技术：

一直以来，网络系统自身的脆弱性导致网络攻击事件时有发生，为了保证网络系统的安全性，减少流重定向、路径不一致、DDoS攻击、源地址哄骗等恶意攻击造成的危害，形如源地址验证、路径认证等的工作越来越多。其中，绝大多数的研究工作主要依赖路由器对收到的数据包进行标识，以便下游路由节点或目的端对收到的数据包进行验证。

基于路由器标识的验证方法主要受到路由器标识仿冒、路由器开销较大等因素的限制使得网络效率受到很大的制约。当前主要存在两种路由器标识生成方法：(一)路由器根据每次收到的数据包中的信息(如负载电荷)计算对应的标识，并嵌入到数据包之中；(二)路由器根据每次收到的数据包的流信息计算对应的标识，并嵌入到数据包之中。这两种方法各有利弊：前者提高了网络的安全性，使得路由器标识不容易被仿冒，但增加了路由器的计算开销；后者对于一个数据流，使用相同的标识进行标记，虽然减少了路由器每次计算带来的开销，但同时使得路由器标识轻而易举地被仿冒，严重降低了网络的安全性。

技术实现要素：

本发明旨在至少解决上述技术问题之一。

为此，本发明的目的在于提出一种抵御仿冒的低开销路由器标识生成方法，解决现有网络中路由器标识易被仿冒的问题，同时降低了路由器的计算开销。

为了实现上述目的，本发明的实施例公开了一种抵御仿冒的低开销路由器标识生成方法，包括以下步骤：S1：在路由器与目的端之间完成共享密钥的配送；S2：所述路由器根据流信息和所述共享密钥每条收到的数据流计算第一预设位数的第一标识，并根据所述共享密钥实现与所述目的端之间标识的安全传输；S3：当所述路由器收到数据包时，根据所述数据包和所述共享密钥计算第一哈希值，并对所述第一哈希值根据所述第一预设位数取余，并根据取余结果生成第二标识，所述路由器将所述第二标识和自身地址嵌入所述数据包中；S4：所述目的端收到所述数据包时，根据所述数据包中的服务器地址识别所述服务器，并根据所述共享密钥和所述数据包计算第二哈希值，并对所述第二哈希值根据所述第一预设位数取余，并根据取余结果生成第三标识；S5：根据所述第二标识和所述第三标识判断所述路由器的标识是否正确；其中，所述服务器生成所述第二标识和所述目的端生成所述第三标识的算法相同。

根据本发明实施例的抵御仿冒的低开销路由器标识生成方法，路由器能够为收到的每条数据流计算第一预设位数的标识，并存储在路由器内部；路由器将共享密钥以及每条数据流的第一预设位数标识与目的端进行共享；当收到数据流的每个数据包时，路由器根据数据包的信息截取第一预设位数标识中的第二预设位数标识作为路由器标识，并连同路由器的地址嵌入到数据包之中；目的端收到数据包之后，根据数据包之中路由器的地址以及数据包信息对标识进行识别和验证；本发明的方法在抵御路由器标识仿冒和降低路由器计算开销的基础上，提高了网络的效率，增强了网络的安全性，具有灵活度高、可用性强等的特点。

另外，根据本发明上述实施例的抵御仿冒的低开销路由器标识生成方法，还可以具有如下附加的技术特征：

进一步地，步骤S3进一步包括：S301：所述路由器收到所述数据包时，根据所述数据包的前第一预设字节和所述共享密钥计算所述第一哈希值；S302：对所述第一哈希值根据所述第一预设位数取余得到第一余数位；S303：以所述第一标识的所述第一余数位作为开始位，并连续取第二预设位数作为所述路由器对所述数据包的第二标识；S304：将所述第二标识和所述路由器的地址嵌入所述数据包中。

进一步地，步骤S4进一步包括：S401：所述目的端收到所述数据包时，根据所述数据包中的服务器地址识别所述服务器；S402：根据所述数据包的所述前第一预设字节和所述共享密钥计算所述第二哈希值；S403：对所述第二哈希值根据所述第一预设位数取余得到第二余数位；S404：以所述第一标识的所述第二余数位作为开始位，并连续取所述第二预设位数作为所述路由器对所述数据包的第二标识。

进一步地，步骤S5进一步包括：比较所述第二标识和所述第三标识是否相同；如果所述第二标识和所述第三标识相同，则所述路由器的标识正确；如果所述第二标识和所述第三标识不同，则所述路由器的标识错误。

进一步地，所述第一预设位数为128位。

进一步地，所述第一预设字节为8字节。

进一步地，所述第二预设位数为32位。

本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1是本发明的抵御仿冒的低开销路由器标识生成方法的流程图；

图2是本发明一个实施例的路由器与目的端的密钥交换示意图；

图3是本发明一个实施例的数据包IP头部示意图；

图4是本发明一个实施例的路由标识生成示意图；

图5是本发明一个实施例的路由标识识别与验证示意图；

图6是本发明一个实施例的抵御仿冒的低开销路由器标识生成方法的流程图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。

在本发明的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

参照下面的描述和附图，将清楚本发明的实施例的这些和其他方面。在这些描述和附图中，具体公开了本发明的实施例中的一些特定实施方式，来表示实施本发明的实施例的原理的一些方式，但是应当理解，本发明的实施例的范围不受此限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。

以下结合附图描述本发明。

图1是本发明的抵御仿冒的低开销路由器标识生成方法的流程图，图2是本发明一个实施例的路由器与目的端的密钥交换示意图。如图1和图2所示，一种抵御仿冒的低开销路由器标识生成方法，包括以下步骤：

S1：在路由器R_i与目的端D之间完成共享密钥的配送。

具体地，路由器R_i与目的端D利用现有技术(如Diffie-Hellman密钥交换)完成128位共享密钥的配送，假设共享密钥为K_i。

S2：路由器R_i根据流信息和共享密钥每条收到的数据流计算第一预设位数的第一标识，并根据共享密钥实现与目的端之间标识的安全传输。

具体地，路由器R_i根据流信息和共享密钥K_i为每条收到的数据流根据以下公式计算128位的标识OM_i：

其中，srcAdd、destAdd、Protocol分别指IP头部中的源地址、目的地址和协议。

将标识OM_i存储于路由器内部。利用共享密钥K_i实现与目的端D之间标识OM_i的安全传输。

S3：当路由器R_i收到数据包时，根据数据包和共享密钥计算第一哈希值，并对第一哈希值根据第一预设位数取余，并根据取余结果生成第二标识，路由器将第二标识和自身地址嵌入数据包中。

进一步地，步骤S3进一步包括：

S301：路由器R_i收到数据包时，R_i读取数据包中数据部分的前8个字节Payload8,并将Payload8和K_i作为哈希算法的输入得到固定长度的哈希值H：

H＝Hash(Payload8||K_i)。

S302：路由器R_i对哈希值H进行128取余操作，得到余数r,0≤r≤127。

S303：路由器R_i以标识OM_i的第r位作为开始位，并连续取32位作为路由器R_i对该数据包的标识M_i。需要声明的一点是，在取OM_i的连续32位的标识时，路由器将OM_i视为一环形结构。

S304：路由器R_i将32位的标识M_i以及自身的地址IP_i嵌入到数据包之中。

S4：目的端D收到数据包时，根据数据包中的服务器地址识别路由器R_i，并根据共享密钥K_i和数据包计算第二哈希值，并对第二哈希值根据第一预设位数取余，并根据取余结果生成第三标识；

进一步地，步骤S4进一步包括：

S401：目的端D收到数据包时，根据其中的地址IP_i识别路由器R_i。

S402：根据路由器R_i的共享密钥K_i以及数据包信息Payload8根据以下公式重新计算固定长度的哈希值H’：

H'＝Hash(Payload8||K_i)。

S403：根据以下公式对哈希值H’取余：

r'＝H'mod128。

S404：从共享的128位的标识OM_i的第r'位开始截取32位，得到M_i'。

S5：根据第二标识和第三标识判断路由器R_i的标识是否正确。

进一步地，步骤S5进一步包括：

比较标识M_i和标识M_i'是否相同；

如果相同，则路由器R_i的标识正确；

如果不同，则路由器R_i的标识错误。

本发明的抵御仿冒的低开销路由器标识生成方法相比现有技术具有以下有益效果：

在现有技术下，多数研究都是利用路由器标识进行相关验证，如源地址验证和路径认证，这其中都没有同时兼顾到路由器的计算开销以及路由器标识仿冒问题。原因在于这些研究要么路由器针对每个数据包重新计算标识，要么根据数据流计算标识之后“自始至终”使用这个标识。前者大大增加了路由器的计算开销，后者使用的标识易被仿冒。而本发明能够很好地处理这些问题，每个路由器根据收到的数据包仅仅进行简单的哈希运算，通过截取标识的方式大大降低了路由器的计算开销；与此同时，同一个数据流的每个数据包的标识不尽相同(更确切地说攻击者无法判断出路由器的标识应该截取的位置)，使得路由器标识不能被仿冒，提高了路由器标识的安全性。

本发明解决了当前主要存在两种路由器标识生成技术带来的弊端，兼顾了路由器计算开销较大和路由器标识易被仿冒的问题，在保证可行性的同时，提高整个网络系统的安全性和可信性，对提升整个网络系统的安全具有重要意义。

为使本领域技术人员进一步理解本发明，将通过以下实施例进行进一步的说明。

图3表示数据包IP头部示意图。路由器R₁、R₂、R₃、R₄根据流信息和共享密钥K₁、K₂、K₃、K₄，由公式(1)可得到每条收到的数据流的128位标识OM₁、OM₂、OM₃、OM₄，出，将标识OM₁、OM₂、OM₃、OM₄存储于路由器内部，并利用步骤1中的共享密钥K_i实现与目的端D之间标识OM_i的安全传输。

图4表示当路由器R₁、R₂、R₃、R₄收到数据包时，会读取数据包中数据部分的前8个字节Payload8,并将Payload8和K₁、K₂、K₃、K₄作为哈希算法的输入得到固定长度的哈希值H。路由器对哈希值H进行128取余操作，得到余数r,0≤r≤127。然后，路由器R_i以标识OM_i的第r位作为开始位，并连续取32位作为路由器R_i对该数据包的标识M_i。

图5表示目的端收到数据包时，根据其中的路由器地址(IPAdd)识别路由器R_i，根据识别的路由器R_i的共享密钥K_i以及数据包信息Payload8重新计算固定长度的哈希值H’，然后利用公式(4)求得余数r'。然后从步骤2中共享的128位的标识OM_i的第r'位开始截取32位，得到M_i'。比较数据包中的M_i与计算得到的M_i'：如果两者相等，说明路由器R_i的标识正确；否则，路由器R_i标识不正确。

图6为本实施例的抵御仿冒的低开销路由器标识生成方法的流程图。从上述的具体实施方式来看，本发明的路由器标识生成方法能够避免路由器每次接受数据包之后重新计算标识的巨大计算开销，取而代之的是利用数据包的信息进行哈希并取余计算，大大减少了路由器的计算开销；在路由器针对每个数据包都计算出不同的标识，这样避免了网络中恶意节点仿冒该路由器的标识发动攻击。在目的端，32位标识的重计算保证了路由器标识的正确性，有利于开展各种安全性质的验证。综上可知，本发明解决了当前主要存在两种路由器标识生成技术带来的弊端，兼顾了路由器计算开销较大和路由器标识易被仿冒的问题，在保证可行性的同时，提高整个网络系统的安全性和可信性，对提升整个网络系统的安全具有重要意义。

另外，本发明实施例的抵御仿冒的低开销路由器标识生成方法的其它构成以及作用对于本领域的技术人员而言都是已知的，为了减少冗余，不做赘述。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同限定。