[发明专利]基于混沌加密算法解决IMS网络DNS欺骗攻击的方法

说明书

技术领域

本发明属于信息安全技术领域，尤其涉及一种基于混沌加密算法解决 IMS网络DNS欺骗攻击的方法。

背景技术

3GPP(The 3rd Generation Partnership Project，第三代移动通信伙伴计划) Release 5版本开始定义的IMS(IP Multimedia Subsystem，IP多媒体子系统)， 是将IP技术与移动通信深度融合的产物。IMS充分利用了IP网络的低成本、 高宽带利用率和快速提供服务的特性，以及移动通信网络灵活接入和安全架 构的优势，并吸取了目前基于软交换的NGN(Next Generation Network，下 一代网络)在业务开展中的问题，已经成为下一代通信网络领域对于FMC (Fixed Mobile Convergence，固定移动融合)技术的共识。

DNS(Domain Name System，域名系统)是IP网络中的重要基础设施， 被设计为一个联机分布式数据库系统，其主要作用是将易于记忆的主机名称 映射为枯燥难记的IP地址。例如，用户在浏览器地址栏输入www.google.com， DNS会将其转换成为机器可以识别的IP地址64.233.189.99。许多应用层软 件都需要直接使用DNS解析系统。它是网页浏览、电子邮件、Telnet等各种 网络应用正常运行的前提和保障。

IMS网络的安全机制AKA(Authentication and Key Agreement，认证和 密钥协商)协议沿用了3G无线网络鉴权机制的原理和核心算法，用于用户 认证和会话密钥的分发，使用“挑战/应答”模式完成用户和网络之间的双 向认证。它的实现基于一个长期共享密钥和一个随机序列号，它们仅在 HSS(Home Subscriber Server，归属用户服务器)的认证中心模块和UE(User Equipment，用户设备)的ISIM(IP Multimedia Services Identity Module，IMS 用户身份模块)中可见。

然而，由于IP协议存在着固有的缺陷和安全漏洞，使移动通信网络引入 IMS架构后，面临着与现有互联网同样的安全威胁，如DNS欺骗、DOS(Denial of Service，拒绝服务)攻击等。

DNS作为Internet的早期协议，从一开始就被认为是一个完全开放的协 作体系，其中存在的各类数据从未进行加密，没有提供适当的信息保护和认 证机制，同时基础设施、骨干设备的安全性也没有得到足够的重视，只使用 一个明文序列号来匹配DNS查询-应答数据包和进行有效性鉴别，这使得其 它DNS服务器或客户端上的攻击者可以很容易地监听到查询请求，并伪造 DNS应答包将合法用户的域名解析请求重定向到恶意的IP地址上，从而实 现DNS欺骗攻击。

发明内容

本发明的目的在于，提出一种基于混沌加密算法解决IMS网络DNS欺骗 攻击的方法，用于解决DNS易于遭受欺骗攻击的问题。

本发明的技术方案是，一种基于混沌加密算法防御DNS欺骗攻击的方法， 其特征在于，所述方法包括下列步骤：

步骤1：当DNS查询方发起DNS查询请求时，所述DNS查询方选择混沌 系统模型，并通过ISIM模块的共享密钥K或者IMS网络域分配的密钥对计算 混沌参数，构造第一混沌系统；

步骤2：再利用所述第一混沌系统对查询数据包的序列号进行加密，将得 到的加密序列号与查询数据包的内容合并后发送；

步骤3：DNS查询方在等待DNS应答方发送的DNS应答数据包的同时， 迭代计算所述加密序列号，得到第一混沌系统迭代加密序列号；

步骤4：DNS应答方接收到查询数据包后，由所述DNS查询方接入认证 时使用的共享密钥K及步骤1所述的混沌系统模型，构造参数相同的第二混沌 系统，并对所述加密序列号进行迭代计算，得到第二混沌系统迭代加密序列号， 与查询结果合并，组成DNS应答数据包后返回DNS查询方；

步骤5：DNS查询方对DNS应答数据包进行判断，如果第一混沌系统迭 代加密序列号与第二混沌系统迭代加密序列号相等，则DNS应答数据包为合 法应答数据包，DNS查询方对DNS应答数据包进行正常操作；否则DNS应答 数据包为欺骗应答数据包，DNS查询方将所述欺骗应答数据包丢弃。

所述的混沌系统模型具体选用Henon二维离散混沌映射。