一种防止恶意数据包的轻型许可认证协议
A Lightweight Permit Agreement for Stopping Malicious Packets
在互联网迅猛发展的今天,计算机网络安全成为威胁互联网发展的主要安全问题.各种各样的防御机制和攻击方式都应运而生.其中,网络中恶意数据流的泛滥是当今的互联网安全的关键问题之一.恶意数据流通常是由未经授权的访问和入侵、拒绝服务攻击、通过端口扫描或其他攻击产生的大量数据流现象,它由大量包含恶意攻击数据的数据包构成;其主要的攻击方式为拒绝服务攻击或分布式拒绝服务攻击.这类攻击在网络中产生了大量不必要的数据流,从而造成网络的阻塞,计算机设备的故障等,其对互联网的危害可见一斑.本文针对产生这种恶意数据流的主要攻击方式-拒绝服务攻击或分布式拒绝服务攻击下产生的恶意数据提出了一种解决方式,从而在一定程度上减少甚至阻止了恶意数据流在网络中的泛本文首先简堆介绍了拒绝服务DoS (Denial of Service)攻击和分布式拒绝服务攻击DDoS (Distributed Denial of service)的定义、原理及工作方式,分析了现今应对这类攻击的主要的安全机制及其局限性,并通过对现行的其他安全策略的分析、研究和启发,设计了该协议.该协议针对现有密钥交换协议在保护通信双方身份信息和防御DDoS攻击方面的不足,提出了基于可信任第三方的辅助认证下实现的新型密钥交换协议.文中较为详细的定义了可信任密钥交换协议要达到的安全预期目标、协议的消息格式和报文的具体内容以及交换方式等,并对可信任的密钥交换协议进行了可行性及安全性论证.本协议设计基础是要在保证互联网的开放性的同时,提高互联网信息传输的安全性,基于该思想,本协议在设计初期认为釆用一种基于IP数据包结构的认证方式更加简单、有效.所以本文利用基于IP协议的、简单的数据包结构,设计了一种安全认证模式.这种认证模式在IP数据包中插入一个协议认证包,我们命名为LPA包,该数据包包含了相应的认证许可信息.该机制通过目标主机对每个申请源的数据包颁发相应的访问许可证,并通过在接收时验证这些许可的方式来确定数据包的来源地可靠性,从而从源头减少恶意数据流产生的可能性,并能在一定程度上减少或阻止了恶意数据包在网络中的泛滥.其设计优势在于基于IP协议的设计,使其在网络中更加便于展开和应用;它支持域与域间建立的相应防御机制,从而可以在较短的时间内确定受到攻击的主机或者网络,进行相应的处理;在很大程度上减少了入侵检测系统(IDS)需要筛选的数据包,这样入侵检测系统(IDS)可以集中精力应对严重威胁下产生的负载.
- 作者:
- 张祎玮
- 学位授予单位:
- 解放军信息工程大学
- 专业名称:
- 计算机技术
- 授予学位:
- 硕士
- 学位年度:
- 2012年
- 导师姓名:
- 刘伟
- 中图分类号:
- TP393.08
- 关键词:
- 网络安全;IP欺骗;恶意数据包;报文认证
- Network Security;IP Spoong;Malicious packets;Packet authentication