[发明专利]基于标识分离映射网络的映射缓存DoS攻击防御方法

说明书

技术领域

本发明涉及一种基于标识分离映射网络的映射缓存DoS攻击防御方法。DoS(Denial-of-Service)攻击属于主机资源耗尽型攻击。

背景技术

标识分离映射网络是一种新型的网络架构，虽然身份信息与位置信息分离的思想解决了传统网络中的不合理性和安全隐患，但是这种分离映射的思想也可能带来一些新的安全问题。

标识分离映射网络中可能存在接入交换路由器映射缓存DoS攻击，因此需要有效的防御方法。

在传统互联网中，路由器端一般采用速率限制Rate Limiting方法来控制通信发送或在一个网络接口接收的功能，从而防止DoS攻击。速率限制攻击的主要原理是控制网络通信的流量速率，当网络流量速率小于或等于某一个指定的限定值时，路由器正常工作；当网络流量速率大于某一个指定的限定值时，路由器通过策略或拥塞控制机制来丢弃或延迟额外的数据包。

然而，速率限制方法不仅降低了攻击者的攻击速度，同时也降低了合法用户正常通信的速率；速率限制方法不能识别映射缓存中恶意的映射条目，即恶意的映射条目一直存在于接入路由器的映射缓存中；速率限制方法与标识分离映射网络的结合性差，不适应接入路由器新引入的映射缓存机制。

发明内容

本发明的目的是提供一种基于标识分离映射网络的映射缓存DoS攻击防御方法，其可防止接入交换路由器映射缓存的溢出，保障合法用户通信的不间断性，识别和过滤接入交换路由器映射缓存中的恶意映射信息，保障标识分离映射网络中接入交换路由器的可用性，确保接入交换路由器映射缓存中映射信息条目的真实性，从而提高了标识分离映射网络的安全性。

为此，本发明提供了一种基于标识分离映射网络的映射缓存DoS攻击防御方法，其特征在于，包括下列步骤：

1)当接入交换路由器收到用户终端发送来的数据包后，若其映射缓存中没有数据包目的地址的映射信息时，接入交换路由器向映射服务器查询相应的映射信息，同时将映射信息存储至映射缓存中，并设定计时器；

2)当映射缓存中的映射信息条目数增加至门限1后，接入交换路由器触发迷题机制，针对用户终端发送的映射缓存中不存在其映射信息的每个新数据包，接入交换路由器利用迷题算法构造唯一的迷题，将迷题发送给此用户终端；

3)用户终端收到接入交换路由器发送的迷题后，利用适当的CPU时间查找迷题的答案，并将迷题的答案发送给接入交换路由器；

4)接入交换路由器收到用户终端发送的答案后，验证答案的正确性，若正确，则接入交换路由器查询之前数据包目的地址的映射信息；若不正确，则接入交换路由器简单丢弃之前的数据包；

5)当映射缓存中的映射信息条目增加至大于门限1的门限2之后，接入交换路由器计算属于同一用户终端的映射信息的可信度值，若映射信息的可信度值小于设定的限制值，则接入交换路由器删除掉映射缓存中此用户终端的所有映射信息条目，并过滤掉此用户终端之后所有的数据包。

优选地，所述过滤为立即清除映射缓存中的恶意映射条目，或利用合法的映射条目覆盖掉恶意的映射条目。

优选地，用户终端必须首先进行质因数分解计算，然后进行模指数迭代运算得出迷题的答案。

优选地，每个迷题之间是不相关的。

优选地，接入交换路由器从质因数分解的大数K、迭代次数n、查找范围非负整数l和模数q四个方面调节迷题机制的难度。

根据本发明，在映射缓存中设置两个门限，当映射缓存中映射信息条目数达到门限1时，接入交换路由器触发迷题机制减缓映射缓存中映射信息条目的增加速率；当映射缓存中映射信息条目数达到门限2时，接入交换路由器计算映射信息的可信度判别和过滤恶意的映射信息。

本发明防止了映射缓存溢出，保障了合法用户通信的不间断性。

同时，针对恶意攻击者的映射缓存DoS攻击，本发明能够识别和过滤映射缓存中恶意的映射信息，从而保障了接入交换路由器的可用性。

本发明针对标识分离映射网络中接如交换路由器的设计特点，利用迷题机制和映射信息的可信度算法，抵御了可能存在的映射缓存DoS攻击，提高了标识分离映射网络的安全可靠性。

附图说明

图1是基于标识分离映射网络的映射缓存DoS攻击防御方法概要图。

图2是图1所示方法的工作流程示意图。

图3是迷题机制交互过程示意图。

具体实施方式