專利名稱:一種基于路徑信息彈性分片的跨域溯源方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及IP網(wǎng)絡(luò)的追蹤技術(shù)���,尤其涉及一種針對(duì)分布式拒絕服務(wù)攻擊(DDoS, Distributed Denial of Service)的跨域溯源方法。
背景技術(shù):
近幾年�,隨著計(jì)算機(jī)設(shè)備價(jià)格的下降�、網(wǎng)絡(luò)速度的大幅改善以及Web應(yīng)用的蓬勃 發(fā)展,越來(lái)越多的個(gè)人電腦����、智能終端����、企業(yè)信息基礎(chǔ)設(shè)施連接到互聯(lián)網(wǎng)中,使互聯(lián)網(wǎng)在社 會(huì)經(jīng)濟(jì)生活中的地位日趨重要����。但是,隨著互聯(lián)網(wǎng)的飛速發(fā)展��,各種針對(duì)互聯(lián)網(wǎng)的威脅技術(shù) 也日益增多。雖然政府部門(mén)針對(duì)網(wǎng)絡(luò)犯罪進(jìn)行了立法��,對(duì)網(wǎng)絡(luò)入侵者予以懲處���,但是網(wǎng)絡(luò)受 破壞的案例仍然呈快速增長(zhǎng)趨勢(shì)�。這主要?dú)w因于IP網(wǎng)絡(luò)的無(wú)認(rèn)證和無(wú)狀態(tài)特征如果入侵 者偽造IP地址,受害者或執(zhí)法機(jī)關(guān)將難以找到線索定位入侵者,無(wú)法對(duì)其進(jìn)行懲戒��,致使 入侵者繼續(xù)無(wú)所顧忌地對(duì)網(wǎng)絡(luò)進(jìn)行破壞。
在當(dāng)前發(fā)生的網(wǎng)絡(luò)威脅中����,DDoS是最具威脅、最常見(jiàn)的網(wǎng)絡(luò)威脅之一��。2007年4 月底�,愛(ài)沙尼亞遭受持續(xù)半個(gè)月的DDoS威脅,多個(gè)政府網(wǎng)站被迫停站�;2009年7月初,韓國(guó) 受到多次DDoS威脅��,導(dǎo)致一些企業(yè)���、政府部門(mén)網(wǎng)站無(wú)法正常登錄����。這兩次事件影響范圍廣 泛,損失也十分嚴(yán)重��,但事后卻無(wú)法找到肇事者�。一方面說(shuō)明了 IP溯源技術(shù)在網(wǎng)絡(luò)安全中 有著重要作用�,另一方面也說(shuō)明了已有的IP溯源技術(shù)在實(shí)用方面仍存在著缺陷。
當(dāng)前���,研究人員針對(duì)DDoS的溯源問(wèn)題提出了多種解決方案���,主要有包標(biāo)記法、路 由器日志記錄法���、鏈路測(cè)試法����、Internet控制報(bào)文協(xié)議(ICMP��,Internet Control Message Protocol)追蹤法等��。其中包標(biāo)記法是研究人員最為關(guān)注的一種溯源方法��,也是目前DDoS 的溯源中所采用的主流方法。圍繞包標(biāo)記法���,研究人員進(jìn)行了各方面的研究�。根據(jù)對(duì)IP 數(shù)據(jù)包標(biāo)記的概率劃分���,包標(biāo)記法可分為概率性包標(biāo)記法(PPM���,Probabilistic Packet Marking)和確定性包標(biāo)記法(DPM,Deterministic Packet Marking)。PPM由于在重構(gòu)路徑 時(shí)需要大量的IP數(shù)據(jù)包����,因而主要適用于對(duì)拒絕服務(wù)攻擊(DoS,Denial of Service)進(jìn)行 溯源���;DDoS中每個(gè)入侵主機(jī)所發(fā)出的IP數(shù)據(jù)包數(shù)量較少���,PPM無(wú)法保證受害者收到足夠IP 數(shù)據(jù)包以重構(gòu)路徑。DPM適用范圍較廣����,但面臨的問(wèn)題是IP數(shù)據(jù)包包頭沒(méi)有足夠空間供路 徑上所有路由器對(duì)IP數(shù)據(jù)包進(jìn)行標(biāo)記,并且���,目前已有的DPM方法缺陷較多��,比如僅能追蹤 到受害者所在的自治系統(tǒng)(AS��,Autonomous System)的入口處��,或標(biāo)記信息占用空間過(guò)大��, IP數(shù)據(jù)包包頭根本不可能提供所需要的空間����。
針對(duì)這些問(wèn)題���,研究者提出了在AS層面對(duì)IP數(shù)據(jù)包進(jìn)行標(biāo)記的跨域溯源方法�����?����;?于AS層面的跨域溯源方法存在以下優(yōu)點(diǎn)
1)超過(guò)99. 5 %的IP數(shù)據(jù)包到達(dá)目的地所經(jīng)過(guò)的AS不超過(guò)6個(gè)���,從而所需記錄的 路徑信息較少���;
2) AS管理者一般不喜歡泄露內(nèi)部拓?fù)洌贏S層面的溯源方法會(huì)更容易被互聯(lián) 網(wǎng)服務(wù)提供商(ISP�����,Internet Service Provider)接受�;
3)自治系統(tǒng)號(hào)(ASN,Autonomous System Number)只有 16 位����,與 32 位 IP 地址相比,ASN占用IP數(shù)據(jù)包包頭的空間較小��,重構(gòu)路徑時(shí)所需的IP數(shù)據(jù)包數(shù)量也較小����。
因而,目前認(rèn)為跨域溯源方法具備更廣闊的應(yīng)用前景����。目前提出了稱為FAST的跨 域溯源方法。FAST使用IP數(shù)據(jù)包包頭的25位空間(分別為服務(wù)類型(TOS��,the Type of Service)域,標(biāo)識(shí)(Identification)域和保留標(biāo)志(Reserved Flag)域)作為標(biāo)記空間�����, 并將這25位標(biāo)記空間分為三個(gè)域��,分別是
NodeAppend域(20位)用于存儲(chǔ)路徑上各ASN的哈希值���;
Hop域(3位)用于指示IP數(shù)據(jù)包已經(jīng)經(jīng)過(guò)幾個(gè)AS;
Hid域0位)用于指示使用了哪個(gè)哈希函數(shù)對(duì)ASN進(jìn)行壓縮計(jì)算�����。
在FAST的跨域溯源方法中����,邊界路由器將相應(yīng)的ASN用哈希函數(shù)壓縮為4位�����,并 標(biāo)記到NodeAppend域����。受害者收到一定數(shù)量帶有標(biāo)記信息的IP數(shù)據(jù)包后���,依據(jù)網(wǎng)絡(luò)拓?fù)?找出可疑路徑���,并使用不同的哈希函數(shù)對(duì)這些可疑路徑進(jìn)行計(jì)算����。如果某條路徑的數(shù)個(gè)哈 希值���,在所收到的標(biāo)記信息中均能找到相應(yīng)值�����,則該路徑是入侵路徑��。FAST跨域溯源方法可 以較快地重構(gòu)AS層次的入侵路徑����,但是�,F(xiàn)AST跨域溯源方法存在以下問(wèn)題
1)邊界路由器不管IP數(shù)據(jù)包到達(dá)目的地所經(jīng)過(guò)的AS跳數(shù),一律將ASN壓縮為4 位����,導(dǎo)致當(dāng)IP數(shù)據(jù)包從源AS到達(dá)目的AS的距離只有1跳或2跳時(shí),仍然需要收到較多的 帶標(biāo)記信息的IP數(shù)據(jù)包�����,才可重構(gòu)路徑;
2)FAST跨域溯源方法不考慮攻擊者和受害者處于同一 AS域的情況�����,導(dǎo)致當(dāng)攻擊 者和受害者處于同一 AS域時(shí)����,無(wú)法判斷攻擊者是來(lái)自域內(nèi)還是域外;
3)無(wú)法識(shí)別偽造的標(biāo)記信息���;
4)受害者需要具備精確的AS層次網(wǎng)絡(luò)拓?fù)鋱D和路由信息��,才能重構(gòu)路徑�����,否則將 無(wú)法重構(gòu)路徑。發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的主要目的在于提供一種基于路徑信息彈性分片的跨域溯源方 法及系統(tǒng)���,能在受到網(wǎng)絡(luò)攻擊時(shí)�,準(zhǔn)確地確定出攻擊IP數(shù)據(jù)包的路徑,進(jìn)行攻擊點(diǎn)的準(zhǔn)確 溯源���。
為達(dá)到上述目的�����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的
一種基于路徑信息彈性分片的跨域溯源方法�����,將IP數(shù)據(jù)包頭部中的部分?jǐn)?shù)據(jù)域 (IP數(shù)據(jù)包頭部中較少使用的三個(gè)域�����,即TOS域����,Identification域和Reserved Flag域����, 共25比特)分為四個(gè)域,分別為距離Distance域�、標(biāo)識(shí)Identity域、標(biāo)志號(hào)Flag_Num域 和路徑信息PathJnfor域���,其中���,Distance域用于承載對(duì)所述IP數(shù)據(jù)包進(jìn)行標(biāo)記的首個(gè) 標(biāo)記邊界網(wǎng)關(guān)MBG所在自治系統(tǒng)AS到所述IP數(shù)據(jù)包目的AS的距離信息��,Identity域用 于承載對(duì)所述IP數(shù)據(jù)包進(jìn)行標(biāo)記的第一個(gè)MBG所對(duì)應(yīng)的ASN的哈希摘要值ID信息���,F(xiàn)lag_ Num域用于承載指示所述IP數(shù)據(jù)包所經(jīng)過(guò)的MBG對(duì)應(yīng)ASN分片信息中的第幾片標(biāo)記到所述 PathJnfor域中,PathJnfor域用于承載所述IP數(shù)據(jù)包所經(jīng)過(guò)的各MBG所標(biāo)記的ASN分 片信息以及驗(yàn)證碼��;所述方法還包括
MBG接收到IP數(shù)據(jù)包后��,確認(rèn)所述IP數(shù)據(jù)包頭部的四個(gè)域是否承載有信息���,未承 載時(shí)確定出四個(gè)域的承載信息�,并分別標(biāo)記到所述IP數(shù)據(jù)包頭部的所述四個(gè)域中����;承載有 信息時(shí)對(duì)所述四個(gè)域中的承載信息進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)后���,將所述MBG所在AS信息標(biāo)記到所述四個(gè)域中的對(duì)應(yīng)域并轉(zhuǎn)發(fā)所述IP數(shù)據(jù)包,驗(yàn)證未通過(guò)則確定所述IP數(shù)據(jù)包頭部的所 述四個(gè)域中的承載信息為偽造信息���;
需對(duì)IP數(shù)據(jù)包溯源時(shí)�,根據(jù)接收到的IP數(shù)據(jù)包頭部的所述四個(gè)域中的承載信息, 重構(gòu)IP數(shù)據(jù)包所經(jīng)過(guò)的路徑�。
優(yōu)選地,對(duì)所述四個(gè)域中承載信息進(jìn)行驗(yàn)證��,驗(yàn)證通過(guò)后�����,將所述MBG所在AS信息 標(biāo)記到所述四個(gè)域中的對(duì)應(yīng)域并轉(zhuǎn)發(fā)所述IP數(shù)據(jù)包具體為
獲取IP數(shù)據(jù)包頭部所述四個(gè)域的承載信息�����,并根據(jù)所獲取的承載信息計(jì)算驗(yàn)證 碼��;
根據(jù)邊界網(wǎng)關(guān)協(xié)議BGP的AS路徑屬性�,獲得當(dāng)前MBG所在AS與IP數(shù)據(jù)包目的AS 的距離;
將驗(yàn)證碼與所述四個(gè)域中的所承載的驗(yàn)證碼進(jìn)行對(duì)比��,若相等���,且所述Distance 域承載的距離小于等于5�,當(dāng)前MBG所在自治系統(tǒng)AS到所述IP數(shù)據(jù)包目的AS的距離小于 所述Distance域承載的距離���,則所述四個(gè)域中承載信息驗(yàn)證通過(guò)�����,根據(jù)所述四個(gè)域中承載 信息對(duì)當(dāng)前MBG所在的AS的ASN進(jìn)行分片����,并將指定分片標(biāo)記到所述PathJnfor域中;若 所述四個(gè)域中承載信息驗(yàn)證未通過(guò)則所述IP數(shù)據(jù)包頭部的所述四個(gè)域中承載信息是偽造 的��。
優(yōu)選地��,根據(jù)所獲取的承載信息計(jì)算驗(yàn)證碼具體為
根據(jù)所述Distance域承載的距離d�,通過(guò)
權(quán)利要求
1.一種基于路徑信息彈性分片的跨域溯源方法,其特征在于�,將IP數(shù)據(jù)包頭部中的部 分?jǐn)?shù)據(jù)域分為四個(gè)域,分別為距離Distance域����、標(biāo)識(shí)Identity域、標(biāo)志號(hào)Flag_Num域和路 徑信息I^thJnfor域�����,其中,Distance域用于承載對(duì)所述IP數(shù)據(jù)包進(jìn)行標(biāo)記的首個(gè)標(biāo)記邊 界網(wǎng)關(guān)MBG所在自治系統(tǒng)AS到所述IP數(shù)據(jù)包目的AS的距離信息�����,Identity域用于承載 對(duì)所述IP數(shù)據(jù)包進(jìn)行標(biāo)記的第一個(gè)MBG所對(duì)應(yīng)的ASN的哈希摘要值ID信息�,F(xiàn)lag_Num域 用于承載指示所述IP數(shù)據(jù)包所經(jīng)過(guò)的MBG對(duì)應(yīng)ASN分片信息中的第幾片標(biāo)記到所述Path_ Infor域中����,PathJnfor域用于承載所述IP數(shù)據(jù)包所經(jīng)過(guò)的各MBG所標(biāo)記的ASN分片信息 以及驗(yàn)證碼;所述方法還包括MBG接收到IP數(shù)據(jù)包后����,確認(rèn)所述IP數(shù)據(jù)包頭部的四個(gè)域是否承載有信息,未承載時(shí) 確定出四個(gè)域的承載信息��,并分別標(biāo)記到所述IP數(shù)據(jù)包頭部的所述四個(gè)域中�����;承載有信息 時(shí)對(duì)所述四個(gè)域中的承載信息進(jìn)行驗(yàn)證���,驗(yàn)證通過(guò)后���,將所述MBG所在AS信息標(biāo)記到所述 四個(gè)域中的對(duì)應(yīng)域并轉(zhuǎn)發(fā)所述IP數(shù)據(jù)包,驗(yàn)證未通過(guò)則確定所述IP數(shù)據(jù)包頭部的所述四 個(gè)域中的承載信息為偽造信息�;需對(duì)IP數(shù)據(jù)包溯源時(shí)�,根據(jù)接收到的IP數(shù)據(jù)包頭部的所述四個(gè)域中的承載信息��,重構(gòu) IP數(shù)據(jù)包所經(jīng)過(guò)的路徑�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,對(duì)所述四個(gè)域中承載信息進(jìn)行驗(yàn)證��,驗(yàn)證 通過(guò)后�����,將所述MBG所在AS信息標(biāo)記到所述四個(gè)域中的對(duì)應(yīng)域并轉(zhuǎn)發(fā)所述IP數(shù)據(jù)包具體 為獲取IP數(shù)據(jù)包頭部所述四個(gè)域的承載信息����,并根據(jù)所獲取的承載信息計(jì)算驗(yàn)證碼;根據(jù)邊界網(wǎng)關(guān)協(xié)議BGP的AS路徑屬性�����,獲得當(dāng)前MBG所在AS與IP數(shù)據(jù)包目的AS的 距離�����;將驗(yàn)證碼與所述四個(gè)域中的所承載的驗(yàn)證碼進(jìn)行對(duì)比,若相等��,且所述Distance域承 載的距離小于等于5����,當(dāng)前MBG所在自治系統(tǒng)AS到所述IP數(shù)據(jù)包目的AS的距離小于所述 Distance域承載的距離��,則所述四個(gè)域中承載信息驗(yàn)證通過(guò)�,根據(jù)所述四個(gè)域中承載信息 對(duì)當(dāng)前MBG所在的AS的ASN進(jìn)行分片,并將指定分片標(biāo)記到所述I^thJnfor域中����;若所述 四個(gè)域中承載信息驗(yàn)證未通過(guò)則所述IP數(shù)據(jù)包頭部的所述四個(gè)域中承載信息是偽造的。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,根據(jù)所獲取的承載信息計(jì)算驗(yàn)證碼具體為根據(jù)所述Distance域承載的距離d�,通過(guò)g = h2/(JH)計(jì)算出g,其中���,丨_為向下取整運(yùn) 算符��,g表示所述PathJnfor域分配給當(dāng)前ASN分片的空間大?。桓鶕?jù)BGP的AS路徑屬性����,獲得當(dāng)前MBG所在的AS與所述IP數(shù)據(jù)包目的AS的距離d’���, 進(jìn)一步確定驗(yàn)證碼在所述I^athJnfor域中的偏移位置0ffsetMC = (d_d’)Xg �;計(jì)算所述PathJnfor域中承載ASN分片信息后剩余的空間len = 12-0ffsetmc �;根據(jù)Offsetme從所述IP數(shù)據(jù)包頭部的PathJnfor域中提取所述PathJnfor域承載 的驗(yàn)證碼����,所述PathJnfor域中剩余的為ASN的分片信息PATH ��;計(jì)算驗(yàn)證碼MAC’ = fx(PATH, len)���;其中���,f為能產(chǎn)生散列消息鑒別碼HMAC的函數(shù),χ 表示共享的密鑰�����,MAC’的位數(shù)長(zhǎng)度由Ien指定�。
4.根據(jù)權(quán)利要求2所述的方法�����,其特征在于�����,根據(jù)所述四個(gè)域中承載信息對(duì)當(dāng)前MBG所 在的AS的ASN進(jìn)行分片����,并將指定分片標(biāo)記到所述PathJnfor域中具體為根據(jù)所述Distance域中承載的d,將當(dāng)前MBG所在AS的ASN分為k片�����,其中�,A = |l6/g,Γ為向上取整運(yùn)算符�����;根據(jù)所述Flag_Num域承載的ρ值����,將ASN分片中的第ρ片ASN[p]標(biāo)記到所述Path_ Infor 域�����;依據(jù)路由表判斷當(dāng)前MBG是否位于IP數(shù)據(jù)包的目的AS,不是時(shí)計(jì)算承載ASN分片信息 后剩余的空間len-g�����,計(jì)算當(dāng)前驗(yàn)證碼為fx (PATH, len)�,并將所計(jì)算的驗(yàn)證碼標(biāo)記到Path_ Infor域中���。
5.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,確定所述四個(gè)域中的承載信息為偽造信 息后,所述方法還包括清空所述四個(gè)域中的承載信息�����,重新確定出四個(gè)域的承載信息�,并分別標(biāo)記到所述IP 數(shù)據(jù)包頭部的所述四個(gè)域中����。
6.根據(jù)權(quán)利要求5所述的方法���,其特征在于����,確定出四個(gè)域的承載信息��,并分別標(biāo)記到 所述IP數(shù)據(jù)包頭部的所述四個(gè)域中具體為根據(jù)BGP的AS路徑屬性�����,獲得當(dāng)前MBG所在AS與IP數(shù)據(jù)包目的AS的距離d�,計(jì)算當(dāng) 前MBG所在AS的ASN的分片數(shù)目
7.根據(jù)權(quán)利要求1所述的方法��,其特征在于,所述重構(gòu)IP數(shù)據(jù)包所經(jīng)過(guò)的路徑具體為根據(jù)所述IP數(shù)據(jù)包頭部的Distance域����、Identity域和Flag_Num域的值對(duì)所述IP數(shù) 據(jù)包進(jìn)行排序���;依序獲取各IP數(shù)據(jù)包頭部四個(gè)域的承載信息�����,并重組路徑;用哈希函數(shù)h計(jì)算所重 組路徑中首個(gè)MBG所在AS的ASN哈希值摘要ID’�����,并在所述ID’與所述IP數(shù)據(jù)包頭部的 Identity域中的哈希摘要ID相同時(shí)�����,輸出所述IP數(shù)據(jù)包的重組路徑,為入侵路徑�。
8.一種基于路徑信息彈性分片的跨域溯源系統(tǒng),其特征在于�,所述系統(tǒng)包括劃分單元、 確認(rèn)單元�����、確定單元��、標(biāo)記單元���、驗(yàn)證單元和路徑重構(gòu)單元��,其中��,劃分單元,用于將IP數(shù)據(jù)包頭部中的部分?jǐn)?shù)據(jù)域分為四個(gè)域,分別為距離Distance 域����、標(biāo)識(shí)Identity域、標(biāo)志號(hào)Flag_Num域和路徑信息PathJnfor域,其中,Distance域用 于承載對(duì)所述IP數(shù)據(jù)包進(jìn)行標(biāo)記的首個(gè)標(biāo)記邊界網(wǎng)關(guān)MBG所在自治系統(tǒng)AS到所述IP數(shù) 據(jù)包目的AS的距離信息����,Identity域用于承載對(duì)所述IP數(shù)據(jù)包進(jìn)行標(biāo)記的第一個(gè)MBG所 對(duì)應(yīng)的ASN的哈希摘要值ID信息,F(xiàn)lag_Num域用于承載指示所述IP數(shù)據(jù)包所經(jīng)過(guò)的MBG 對(duì)應(yīng)ASN分片信息中的第幾片標(biāo)記到所述PathJnfor域中,PathJnfor域用于承載所述 IP數(shù)據(jù)包所經(jīng)過(guò)的各MBG所標(biāo)記的ASN分片信息以及驗(yàn)證碼;確認(rèn)單元��,用于確認(rèn)MBG接收到的IP數(shù)據(jù)包頭部的四個(gè)域是否承載有信息�����,未承載時(shí) 觸發(fā)確定單元,承載有信息時(shí)觸發(fā)驗(yàn)證單元����;確定單元,用于確定出四個(gè)域的承載信息�����;標(biāo)記單元�,用于將所述確定單元確定的承載信息分別標(biāo)記到所述IP數(shù)據(jù)包頭部的所 述四個(gè)域中����;以及���,在在所述四個(gè)域中的承載信息驗(yàn)證通過(guò)后�,將當(dāng)前MBG所在AS信息標(biāo)記 到所述四個(gè)域中的對(duì)應(yīng)域;驗(yàn)證單元�����,用于對(duì)所述四個(gè)域中的承載信息進(jìn)行驗(yàn)證��,驗(yàn)證通過(guò)后�,觸發(fā)標(biāo)記單元;驗(yàn) 證未通過(guò)則確定所述IP數(shù)據(jù)包頭部的所述四個(gè)域中的承載信息為偽造信息��;路徑重構(gòu)單元����,用于根據(jù)接收到的IP數(shù)據(jù)包頭部的所述四個(gè)域中的承載信息����,重構(gòu)IP 數(shù)據(jù)包所經(jīng)過(guò)的路徑。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)�����,其特征在于��,所述驗(yàn)證單元進(jìn)一步獲取IP數(shù)據(jù)包頭部 所述四個(gè)域的承載信息���,并根據(jù)所獲取的承載信息計(jì)算驗(yàn)證碼�����;根據(jù)邊界網(wǎng)關(guān)協(xié)議BGP的 AS路徑屬性�����,獲得當(dāng)前MBG所在AS與IP數(shù)據(jù)包目的AS的距離����;將驗(yàn)證碼與所述四個(gè)域中 的所承載的驗(yàn)證碼進(jìn)行對(duì)比�����,若相等����,且所述Distance域承載的距離小于等于5,當(dāng)前MBG 所在AS到所述IP數(shù)據(jù)包目的AS的距離小于所述Distance域承載的距離��,則所述四個(gè)域中 承載信息驗(yàn)證通過(guò)�;以及,所述標(biāo)記單元進(jìn)一步根據(jù)所述四個(gè)域中承載信息對(duì)當(dāng)前MBG所 在的AS的ASN進(jìn)行分片�����,并將指定分片標(biāo)記到所述I^thJnfor域中;若所述四個(gè)域中承載 信息驗(yàn)證未通過(guò)則所述IP數(shù)據(jù)包頭部的所述四個(gè)域中承載信息是偽造的����。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于�����,所述驗(yàn)證單元根據(jù)所獲取的承載信息計(jì) 算驗(yàn)證碼具體為根據(jù)所述Distance域承載的距離d����,通過(guò)
全文摘要
本發(fā)明公開(kāi)了一種基于路徑信息彈性分片的跨域溯源方法�����,將IP數(shù)據(jù)包頭部中部分?jǐn)?shù)據(jù)域分為四個(gè)域Distance域�����、Identity域����、Flag_Num域和Path_Infor域��,所述方法包括MBG接收到IP數(shù)據(jù)包后��,確認(rèn)IP數(shù)據(jù)包頭部的四個(gè)域是否承載有信息�,未承載時(shí)確定出四個(gè)域的承載信息����,并分別標(biāo)記到IP數(shù)據(jù)包頭部的四個(gè)域中;承載有信息時(shí)對(duì)四個(gè)域中的承載信息進(jìn)行驗(yàn)證�,驗(yàn)證通過(guò)后���,將MBG所在AS信息標(biāo)記到四個(gè)域中的對(duì)應(yīng)域并轉(zhuǎn)發(fā)IP數(shù)據(jù)包,驗(yàn)證未通過(guò)則確定IP數(shù)據(jù)包頭部的四個(gè)域中的承載信息為偽造信息�����;需對(duì)IP數(shù)據(jù)包溯源時(shí)��,根據(jù)接收到的IP數(shù)據(jù)包頭部的四個(gè)域中的承載信息,重構(gòu)IP數(shù)據(jù)包所經(jīng)過(guò)的路徑。本發(fā)明公開(kāi)了一種實(shí)現(xiàn)上述方法的系統(tǒng)�。本發(fā)明能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊者的準(zhǔn)確溯源。
文檔編號(hào)H04L12/56GK102045344SQ20101054571
公開(kāi)日2011年5月4日 申請(qǐng)日期2010年11月16日 優(yōu)先權(quán)日2010年11月16日
發(fā)明者李勇輝, 楊放春, 王玉龍, 蘇森 申請(qǐng)人:北京郵電大學(xué)