一種基于主機跳變的動態(tài)地址通信方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明具體涉及一種基于主機跳變的動態(tài)地址通信方法��。
【背景技術(shù)】
[0002] 隨著計算機和通信技術(shù)的發(fā)展以及互聯(lián)網(wǎng)應(yīng)用的不斷擴大����,各種網(wǎng)絡(luò)安全問題也 隨之出現(xiàn)了。帶有不同目的的攻擊者針對網(wǎng)絡(luò)中的漏洞實施各種不同程度的破壞性攻擊�����。 近些年����,網(wǎng)絡(luò)攻擊事件愈演愈烈�,在2010年1月,由于網(wǎng)絡(luò)攻擊����,全球最大的中文搜索引擎 百度突然無法訪問達5小時��,并跳轉(zhuǎn)到雅虎的異常頁面��;同年7月���,世界上首個直接破壞工 業(yè)基礎(chǔ)設(shè)施的蠕蟲病毒在全球爆發(fā),全球共有約45000個網(wǎng)站被該病毒感染�,2012年4月, 匿名者組織攻擊我國�����,鎖定485家網(wǎng)站���,包括一些重要的政府����、貿(mào)易���、教育等網(wǎng)站�,造成了嚴 重的損失���。面對眾多的安全事件����,各個國家對計算機病毒,木馬�����,蠕蟲等攻擊技術(shù)進行了大 量的研究���,取得了明顯的發(fā)展��,使得網(wǎng)絡(luò)攻擊手段日益豐富�����,種類繁多���。
[0003] 然而在眾多的攻擊手段中,DoS(拒絕服務(wù)攻擊)是一種惡意的網(wǎng)絡(luò)攻擊手段���,其 目標(biāo)在于使連接上網(wǎng)絡(luò)的目標(biāo)電腦資源及系統(tǒng)資源耗盡�,導(dǎo)致主機暫時中斷服務(wù)或停止服 務(wù)�。DDoS (分布式拒絕服務(wù)攻擊)是指黑客利用網(wǎng)絡(luò)上已被攻陷的電腦作為僵尸,向每一個 特定的目標(biāo)發(fā)動密集式的"拒絕服務(wù)"式攻擊���。這兩種攻擊方式對網(wǎng)絡(luò)的破壞性非常大����,而 且很難預(yù)防與控制���。據(jù)2014年的調(diào)查研究顯示:2014年實施DDoS攻擊的數(shù)量比2013年增 長了 22%����,且攻擊手段越來越多樣化�。然而,當(dāng)前傳統(tǒng)的網(wǎng)絡(luò)預(yù)防技術(shù)�����,如防火墻技術(shù)���,入侵 檢測系統(tǒng)等�,發(fā)展緩慢����,且手段單一�,并不能防止拒絕服務(wù)攻擊的發(fā)生��,其根本原因在于這 些防御技術(shù)本質(zhì)上都是被動式的����,以防守為根本目的的技術(shù)。在這樣的需求下��,主動式防御 攻擊開始發(fā)展��,即采取動態(tài)的通信地址�,當(dāng)攻擊者通過分析獲得通信雙方或一方的通信地 址時,通信已經(jīng)進行了轉(zhuǎn)移���,這樣便可以有效的抵抗拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊����。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明針對現(xiàn)有技術(shù)的不足�,提出了一種應(yīng)用在分域管理網(wǎng)絡(luò)中的一種跳主機通 信方案,以有效的抵抗拒絕服務(wù)攻擊��,使網(wǎng)絡(luò)之間能夠更加安全地通信�����。實現(xiàn)過程為:將網(wǎng) 絡(luò)進行分域管理,分域網(wǎng)絡(luò)是由多個不同IP地址的主機組成�����。在通信時�����,分域網(wǎng)絡(luò)作為一 個整體來互相通信���。在通信過程中,由分域網(wǎng)絡(luò)中的協(xié)商中心按照已協(xié)商的協(xié)議選取網(wǎng)絡(luò) 中的主機來進行通信����。一個通信過程會由多臺主機來完成,以此來實現(xiàn)動態(tài)地址通信�,防止 拒絕服務(wù)攻擊。
[0005] 本發(fā)明提供一種基于主機跳變的動態(tài)地址通信方法���,所述方法包括如下步驟:
[0006] 步驟(1)���,主機的管理和域管理及設(shè)置內(nèi)部主機通信方式�;
[0007] 步驟(2)����,預(yù)設(shè)初始化主機Ai向預(yù)設(shè)初始化主機Bi發(fā)起多個預(yù)設(shè)協(xié)議,預(yù)設(shè)端口 的冗余信息��,完成會話密鑰����、會話密鑰的生存期、預(yù)設(shè)通信協(xié)議����、主機跳變時間、跳變規(guī)則的 協(xié)商���;
[0008] 步驟(3)���,主機Ai和主機Bi將預(yù)用N個協(xié)議、跳變間隔T1�����、會話秘鑰生存期T2,跳 變協(xié)議�����,通信對方的主機信息表發(fā)送給各自的協(xié)商中心;
[0009] 步驟(4)�����,協(xié)商中心根據(jù)跳變規(guī)則選擇本次的通信主機和使用的通道�;
[0010] 步驟(5)�����,雙方網(wǎng)絡(luò)的選定主機使用選定通道進行預(yù)連接���;
[0011] 步驟(6)�����,連接成功后���,約定在τ時間后進行通信轉(zhuǎn)移;
[0012] 步驟(7)���,協(xié)商中心判斷會話密鑰是否過期��,如果是�,進行下一步,反之轉(zhuǎn)至步驟 (9)�����;
[0013] 步驟(8)��,協(xié)商中心依據(jù)步驟(4)選擇新的主機�����,并根據(jù)步驟(2)協(xié)商新的會話密 鑰����,協(xié)商完成后將新的會話密鑰發(fā)送給協(xié)商中心,協(xié)商中心通知正在通信的主機更新會話 密鑰���;
[0014] 步驟(9)��,到達跳變時間的3/4時�����,轉(zhuǎn)至步驟⑷���;
[0015] 在通信沒有結(jié)束之前重復(fù)進行以上相應(yīng)的步驟����,直到成功完成本次的通信任務(wù)��。
[0016] 本發(fā)明技術(shù)方案帶來的有益效果:
[0017] 1��、不依賴于嚴格的時間同步�。在本發(fā)明中到達跳變間隔的3/4時就進行預(yù)連接, 連接成功后在協(xié)商的間隔后同時進行通信轉(zhuǎn)移�,即使雙方的時間不同步也不會影響通信的 轉(zhuǎn)移����;
[0018] 2、有更好的安全性��。在本系統(tǒng)中通信雙方的地址都在進行跳變��,安全性依賴于跳 變協(xié)議的保密性和網(wǎng)絡(luò)中主機地址信息表的保密性���。因為在協(xié)商跳變協(xié)議時����,有會話密鑰 對傳輸信息進行加密,能夠保證協(xié)議和地址信息表的秘密性�����。并且分域網(wǎng)絡(luò)內(nèi)部通信時是 以內(nèi)部網(wǎng)絡(luò)的方式進行的���,所以也保證了內(nèi)部通信不受DoS攻擊�;
[0019] 3�、能有效的抵抗網(wǎng)段攻擊。同屬于一個域網(wǎng)絡(luò)中的主機位于不同的地點��,不屬于 同一網(wǎng)段��,可以有效地防止網(wǎng)段攻擊��。
[0020] 4�、易于實現(xiàn)。在整個通信的過程中由中心服務(wù)器充當(dāng)?shù)膮f(xié)商中心是一個內(nèi)部服務(wù) 器���,只負責(zé)本域網(wǎng)絡(luò)主機之間的協(xié)調(diào)工作�,不與外部網(wǎng)絡(luò)進行通信����,所以降低了域內(nèi)的不安 全因素����。因此只要保證域間通信的安全便可以實現(xiàn)整個過程的安全��。
【附圖說明】
[0021] 圖1為本發(fā)明基于主機跳變的動態(tài)地址通信方法的整體流程圖�。
[0022] 圖2為本發(fā)明中通信地址映射的具體步驟。
[0023] 圖3為選定主機進行預(yù)連接的子流程圖�。
【具體實施方式】
[0024] 下面結(jié)合附圖和實施例對本發(fā)明進行詳細的描述。
[0025] 參照圖1���,本發(fā)明的實施流程如下:
[0026] 步驟1�����,主機的管理和域管理及內(nèi)部主機通信方式的設(shè)置
[0027] (la)各個管理域的協(xié)商中心對本域內(nèi)的主機進行編號�,將主機編號和相應(yīng)的IP 地址保存在一張信息表中���;
[0028] (lb)有新主機加入域時,協(xié)商中心分配一張內(nèi)部網(wǎng)卡�,域內(nèi)的主機之間進行通信 時通過撥號上網(wǎng)進行;
[0029] (lc)每個域管理中心設(shè)置一個本網(wǎng)絡(luò)中的初始化主機���;
[0030] 步驟2,預(yù)設(shè)初始化主機Ai向預(yù)設(shè)初始化主機Bi發(fā)起多個預(yù)設(shè)協(xié)議�����,預(yù)設(shè)端口的 冗余信息�,完成會話密鑰、會話密鑰的生存期�、預(yù)設(shè)通信協(xié)議、主機跳變時間���、跳變規(guī)則的協(xié) 商���;
[0031] (2a) Ai和Bi使用STS (Station to Station,站對站)密鑰交換協(xié)議產(chǎn)生臨時會 話密鑰TSK ;
[0032] (2al) Ai產(chǎn)生一個隨機數(shù)rA并計算#發(fā)送給Bi ;
[0033] (2a2)Bi接收后���,產(chǎn)生一個隨機數(shù)rB計算��,�����,并根據(jù)Ai發(fā)送的十算出& = �����, 用自己的私鑰簽名并用k加密計算出
一起發(fā)送給 Ai ;其中Ek()表示用k加密括號內(nèi)的信息��,SB()標(biāo)識用Bi的私鑰簽名括號內(nèi)的信息�;
[0034] (2a3) Ai根據(jù)Bi發(fā)送過來的信息計算k,并用k和Bi的公鑰解密
比較解出來的#����,f是否一致,如果一致則計算
> 發(fā)送給Bi;
[0035] (2a4)Bi接收后比較加密的信息是否和已知的信息相符��,如果相符即完成會話秘 鑰k的協(xié)商�,令TSK = k,否則返回步驟(2a)重新協(xié)商會話秘鑰����;
[0036] (2b)Ai根據(jù)消息傳輸?shù)臅r間間隔計算主機的跳變間隔和會話秘鑰的生存期;
[0037] (2bl)消息傳輸?shù)臅r間間隔為τ = τ 2- τ 1 ;
[0038] (2b2)跳變間隔為ΤΙ = 2 τ����,會話密鑰的生存期為Τ2 = 6 τ ;
[0039] (2c)Ai發(fā)送ETSK (預(yù)用Ν個協(xié)議,Τ1�,Τ2,跳變規(guī)則,本域網(wǎng)絡(luò)中的主機信息表)����,即 發(fā)送使用會話秘鑰TSK加密的預(yù)用N個協(xié)議,跳變間隔T1����,秘鑰生存期T2,跳變規(guī)則,本域 網(wǎng)絡(luò)中的主機信息表給Bi ;
[0040] (2d) Bi發(fā)送ETSK (本域網(wǎng)絡(luò)中的主機信息表)�,即發(fā)送使用會話秘鑰加密的本域網(wǎng) 絡(luò)中的主機信息表給Ai ;
[0041] 步驟3,主機Ai和主機Bi將預(yù)用N個協(xié)議、Tl�����、T2,跳變協(xié)議��,通信對方的主機信 息表發(fā)送給各自的協(xié)商中心�����;
[0042] 步驟4,協(xié)商中心根據(jù)跳變規(guī)則選擇本次的通信主機和使用的通道�����;
[0043] (4a)判斷是否是第一次使用該會話密鑰進行映射��,是進行下步�,反之轉(zhuǎn)至(4c);
[0044] (4a)協(xié)商中