[发明专利]端到端自动同步的防止IP源地址伪造的方法

摘要

端到端自动同步的防止IP源地址伪造的方法属于互联网技术领域，尤其涉及网络安全方面的技术。本发明的特征在于：通过设计了一种高效、安全、易管理的签名生成器，用以在域间与域内采用自动同步、自动更新签名认证的方式，防止源地址的伪造，做到了降低运行与管理开销，完美地防止重放攻击，支持增量部署，对拒绝服务攻击/分布式拒绝服务攻击有很强的鲁棒性，并且在域间与域内可独立部署。

主权项

1.端到端自动同步的防止IP源地址伪造方法，其特征在于依次含有以下步骤：步骤(1).初始化在每个域的域边界路由器入口和部署一个安全认证网关，以便用莱迪斯Radius等认证机制进行主机接入认证；在所述的安全认证网关之内，分别设有域间签名生成器和备用域间签名生成器，以及域内签名生成器和备用签名生成器，所述的域是指有统一管理和路由策略的网络，域内是指安全认证网关和各主机之间；所述签名生成器是一个由伪随机数列组成的状态机，该签名生成器选用包括克斯KISS在内的伪随机数生成器，在预先给定的两个种子后，用其生成的数字作为状态机的状态，将两个数字异或后得到的结果作为签名；状态迁移代表了签名的变化；在域内，主机每发送一个签名，状态机状态都发生迁移，签名也随之更新；在域间，每隔规定的时间，状态机发生状态迁移，签名发生变化；当域间发现标有对方地址的报文连续出错达到设定的数值时，启用备和签名生成器为认证工具，双方再通过会话达到重新同步；在域内，当安全认证网关发现某主机签名连续出错达到设定的数值时，使用与主机之间的备用签名生成器作为验证工具，会话以达到重新同步；在安全网关内，以对方域的签名生成器作为域间的验证器，以主机的签名生成器作为主机报文内签名的域内验证器；步骤(2).域间安全认证网关之间，或者域内安全认证网关与主机之间，均使用非对称加密技术RSA交换签名生成器与备用签名生成器；步骤(3).主机在接入网络时，采用莱迪斯radius身份认证机制进行接入认证，安全认证网关把一个与主机IP绑定的域内签名生成器以及一个备用签名生成器，以密文形式发送给所述主机，域内签名生成器在主机端与网关处都设有一个签名计数器，用以同步；在发送报文时，签名生成器计算生成一个4字节或更长的签名并加入到报文头中，同时记录着签名的序号。序号是一个4字节的从零递增的数字，它与备用签名生成器一起可用于签名不同步时的恢复；步骤(4).主机在发送报文时，域内签名生成器计算生成一个等于或大于4字节的签名并加入到报文头中，同时用一个4字节的从0递增的数字作为签名的序号，该序号与备用签名生成器一起用于签名不同步时的同步恢复；步骤(5).报文到达安全认证网关后，该网关的域内验证器首先通过报文的源地址，找出与之对应的签名，判断步骤(4)中主机所发送报文的源地址与域内验证器的签名是否符合映射关系，如符合，则域内验证器调用域内签名生成器计算出下一个签名，如不符合，则将报文丢弃；步骤(6).报文通过域内生成器后，由域内验证器送于域间验证器，根据步骤(4)中主机所发送报文的目的地址找出域间验证器内设定的域间签名，并将原来的域内签名替换成域间签名，向目的域的安全认证网关发送步(4)中主机所发送的报文；步骤(7).目的域安全认证网关在收到步骤(6)中发送的报文后，检察与其地址的前缀，并找出与之对应的域间签名，若正确，则转发，否则，认定为伪造，丢弃此报文。