[发明专利]一种面向网络层的安全通信链路建立方法

说明书

本发明提供一种面向网络层的安全通信链路建立方法，属于通信领域，包括如下步骤:步骤1，请求方向被请求方发送连接请求数据报；步骤2，被请求方对请求方发送来的连接请求数据报进行验证；步骤3，被请求方生成带重构因子的连接请求数据报；步骤4，请求方解析收到的带重构因子的数据报并生成带反重构因子的响应数据报；步骤5，被请求方解析收到的带反重构因子的响应数据报并进行验证；步骤6，被请求方向请求方发送允许建立连接的应答数据报，实现安全通信链路的建立。本发明方法可实现被请求方对安全通信链路的控制，能防止非法设备连接，有效抵御泛洪攻击，提升通信的安全性，防止第三方进行窃听，响应速度快，占用计算机资源少。

技术领域

本发明属于通信技术领域，尤其涉及一种面向网络层的安全通信链路建立方法。

背景技术

在通常状态下，一台客户端和服务器在进行网络通信时，都是基于传输控制协议(TCP),建立连接。该协议采用三次握手机制建立一个连接。

由于在三次握手中，服务器必须等待客户端的确认包，因此出现了SYN洪泛攻击，此种攻击是一种很常见的网络攻击。其原理是通过发送大量伪造源地址和源端口的数据包给服务器，而当服务器返回请求响应数据包时，客户端不对其进行确认，服务器因收不到确认包，而一直等待，白白浪费了资源。另一方面，服务器因收不到来自客户端的确认包，会以为请求响应数据包丢失，于是服务器便会重发该数据包，这样更加会浪费服务器的资源。洪泛攻击出现时,攻击者通常会发送非常大量的连接,由于每一个连接都没法完成三次握手,因此大量挂起状态的连接会严重消耗服务器的和内存,导致服务器无法及时响应其他正常客户端的连接请求,还有可能造成服务器死机等严重后果。

现有的防御SYN洪泛攻击的方法，主要是基于Daniel J.Bernstein提出的SYNCookie，其原理是，服务器收到客户端发来的SYN包时，返回SYN+ACK包，并根据这个SYN包计算出一个cookie值返给客户端。当再收到该客户端的ACK包时，该设备根据已计算出的cookie值检查这个包的合法性。如果合法，则允许建立连接。这种方法可以避免攻击者伪造地址的可能性，但其本身也存在以下一些问题:

1.性能差。服务器对于每一个发来的SYN包，都要计算其相应的cookie,而计算cookie会消耗一定的服务器计算资源。对于攻击者来说伪造地址和端口的SYN欺骗包的成本极其小，攻击者很容易就可以伪造出大量SYN欺骗包进行攻击。当攻击者发起攻击时，网络中会存在大量攻击者发来的SYN欺骗包，而服务器由于不知道这些数据包的合法性，会一直忙于计算SYN包的cookie，消耗服务器大量的计算资源，而无法对正常的请求做出响应。

2.无法有效的抵御SYN洪泛攻击。服务器必须对每一个地址或端口不同的SYN数据包，都要向客户端发送一个相应的带有cookie的ACK包。当攻击者向服务器不断发送伪造的SYN数据包时，服务器就要对每一个伪造的数据包，返回一个相应的带有cookie的ACK包。这会导致网络中充斥着大量的无用数据包，而干扰正常的连接请求。从而会使拒绝服务攻击生效。

其次由于在三次握手过程中，客户端和服务端之间进行交互，都是通过IP地址和Mac地址，来识别。而IP地址和Mac地址，都是可以伪造的。因此在三次握手过程中，服务端和客户端就无法确认彼此的身份。第三方窃听者通过截取数据包或着伪造IP或MAC地址，伪装成合法的设备与服务器建立连接，从而达到窃听的目的。

为了确认通信双方彼此的身份，通常的做法是使用口令来进行认证。即客户端在与服务端在建立连接的过程中必须要进行口令认证。只有口令正确，才能进行连接。例如在PPPOE协议的验证过程就是使用的此种方法。其过程是:客户端向服务端发送连接请求，服务端向客户端发送一个随机数，客户端收到随机数后与自己的口令密码一起通过单向函数生成hash值，发送给服务端，服务端收到此hash值后，自己也通过发送的随机数和自己记录的口令一起通过单向函数生成hash值，并与客户端发送来的进行比较，若一致，则认证通过。