本发明专利技术提供了一种基于RSSP‑II协议的分布式拒绝服务攻击的防护方法,属于铁路运输通信安全技术领域,该方法对进行对等实体身份验证的数据包采用加密传输;收集整理合法车地设备的ID;每一个车地设备存储与之通信的其他车地设备的设备编号存入CTCS‑ID表;更新所述CTCS‑ID表;通信方A把请求建立安全连接的通信方B的ID与CTCS‑ID表进行过滤检查,验证其合法性;若通信方B的ID与CTCS‑ID表中所有的ID均不相同,则判定通信方B的ID伪造,断开通信连接。本发明专利技术高铁通信时CTCS‑ID作为设备的唯一标识符,通过CTCS‑ID对通信设备的数据包进行过滤,筛选出伪造的数据包,只接受合法的数据包,保证通信的正常进行。
【技术实现步骤摘要】
基于RSSP-II协议的分布式拒绝服务攻击的防护方法
本专利技术涉及铁路运输通信安全
,具体涉及一种基于RSSP-II协议的分布式拒绝服务攻击的防护方法。
技术介绍
拒绝服务攻击(DoS攻击),是一类个人或多人利用Internet协议的一些漏洞,占用计算机有限的通信资源,导致拒绝其他用户对系统和信息的合法访问的攻击。而分布式拒绝服务的特点是集中了成百上千台的机器同时进行攻击,致使服务器瘫痪而无法进行正常工作。RSSP-II(RailwaySignalSecurityProtocol-II)协议能提高RBC与其他铁路设备之间无线通信以及地面设备之间网络通信的安全性,但是也还不够完善,仍旧存在一些安全隐患。目前CTCS-3级的高铁采用的是基于GSM-R的铁路无线移动通信的方式进行车地通信,在建立安全连接的会话过程中,需要进行对等实体身份的验证,进行类似TCP/IP的三次握手通信,故而会存在SYNflooding的拒绝服务的威胁。
技术实现思路
本专利技术的目的在于提供一种基于实际的铁路信号系统信息安全的场景,针对RSSP-II协议,在CTCS-3级列控通信过程中存在的拒绝服务攻击的潜在威胁进行安全防护,以确保铁路的正常通信不受影响的基于RSSP-II协议的分布式拒绝服务攻击的防护方法,以解决上述
技术介绍
中存在的技术问题。为了实现上述目的,本专利技术采取了如下技术方案:本专利技术提供的一种基于RSSP-II协议的分布式拒绝服务攻击的防护方法,该方法包括如下步骤:步骤S110:对进行对等实体身份验证的数据包采用加密传输;步骤S120:收集整理合法车地设备的ID;步骤S130:每一个车地设备存储与之通信的其他车地设备的设备编号存入CTCS-ID表;步骤S140:更新所述CTCS-ID表;步骤S150:通信方A把请求建立安全连接的通信方B的ID与CTCS-ID表进行过滤检查,验证其合法性;步骤S160:若通信方B的ID与CTCS-ID表中所有的ID均不相同,则判定通信方B的ID伪造,断开通信连接。进一步的,所述步骤S110包括:对进行对等实体身份验证的数据包采用3-DES对称加密算法进行加密。进一步的,所述步骤S130包括:在车地通信建立安全连接会话期间,检查通信数据包的标志位,所述通信数据包设有标志位0或1,用于验证通信方向的正确性。进一步的,所述步骤S140包括:把通信双方的CTCS-ID与所有合法的CTCS-ID存储集合检查,验证其合法性;当通信集群中有设备更新加入或淘汰删除时,更新CTCS-ID表的内容;经过周期T时间后定期更新CTCS-ID的内容。本专利技术有益效果:高铁通信时,将CTCS-ID作为通信设备的唯一标识符进行智能过滤,对基于GSM-R无线通信的分布式拒绝服务攻击进行有效防护。本专利技术附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本专利技术的实践了解到。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例所述的RSSP-II协议的架构图。图2为本专利技术实施例所述的车地设备通信时数据加密过程示意图。图3为本专利技术实施例所述的对等实体身份验证会话通信过程示意图。图4为本专利技术实施例所述的基于RSSP-II协议的分布式拒绝服务攻击的防护方法流程示意图。图5为本专利技术实施例所述的3-DES加密算法流程图。具体实施方式下面详细描述本专利技术的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的模块。下面通过参考附图描述的实施方式是示例性的,仅用于解释本专利技术,而不能解释为对本专利技术的限制。本
技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本专利技术的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或模块,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、模块和/或它们的组。本
技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本专利技术所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。为便于对本专利技术实施例的理解,下面将结合附图以具体实施例为例做进一步的解释说明,且实施例并不构成对本专利技术实施例的限定。本领域普通技术人员应当理解的是,附图只是一个实施例的示意图,附图中的部件或装置并不一定是实施本专利技术所必须的。实施例如图4所示,本专利技术提供的一种基于RSSP-II协议的分布式拒绝服务攻击的防护方法,该方法主要包括以下步骤:步骤S110:对进行对等实体身份验证的数据包采用加密传输;步骤S120:收集整理合法车地设备的ID;步骤S130:每一个车地设备存储与之通信的其他车地设备的设备编号存入CTCS-ID表;步骤S140:更新所述CTCS-ID表;步骤S150:通信方A把请求建立安全连接的通信方B的ID与CTCS-ID表进行过滤检查,验证其合法性;步骤S160:若通信方B的ID与CTCS-ID表中所有的ID均不相同,则判定通信方B的ID伪造,断开通信连接。本专利技术实施例提供的防护方法,首先验证在RSSP-II协议消息鉴别安全层,检验其数据包标志位的值,判断通信是否异常。其中0代表通信发起方,1代表通信应答方。通过验证标志位可以大致筛选通信数据包,进行一次简单的过滤。如图3、图5所示,在对等实体身份验证时,对通信的明文进行3-DES加密,以密文的方式传输。在通信设备中存储与之合法通信的车地设备的CTCS-ID。在通信会话期间,对于接受到的CTCS-ID对比存储的合法设备编号集合,验证此次身份验证会话是否正常。若检查CTCS-ID正常,则通信正常进行。若检查CTCS-ID伪造,则立刻断开通话连接。在铁路信号系统领域,为了保障铁路通信的网络安全,我国制定了本国的铁路通信协议,针对开放环境下的通信协议RSSP进行研究,如图1所示,为安全通信系统(即RSSP-II协议)的结构。为了保证铁路信号的安全,我们在正常的协议中增加安全模块,保障铁路通信安全。在本专利技术的具体实施例中,车地通信时,必须建立安全连接,在建立安全连接之前,首先需要对等实体之间进行身份验证,如图2所示。在验证身份的会话中,可能会出现类似SYNflooding的分布式拒绝服务的攻击。如图2所示,为通信发起方A、应答方B和密钥中心的关系。A向B发起通信请求,如图2中①过程,数据包的内容为随机数Ra和Text,Text包括DF:方向标识、SA:主叫CTCSID。被叫方B将随机数Ra和主叫方CTCS-ID,自己生成随机数Rb和被叫CTCS-ID发给密钥中心S,验证A、B的身份,即过程②。身份验证同时,若身份合法,密钥中心给A、B分配验证密钥KMAC。A、B根据共享的验证密钥KMAC和随机数Ra,Rb,本文档来自技高网...
【技术保护点】
1.一种基于RSSP‑II协议的分布式拒绝服务攻击的防护方法,其特征在于,该方法包括如下步骤:步骤S110:对进行对等实体身份验证的数据包采用加密传输;步骤S120:收集整理合法车地设备的ID;步骤S130:每一个车地设备存储与之通信的其他车地设备的设备编号存入CTCS‑ID表;步骤S140:更新所述CTCS‑ID表;步骤S150:通信方A把请求建立安全连接的通信方B的ID与CTCS‑ID表进行过滤检查,验证其合法性;步骤S160:若通信方B的ID与CTCS‑ID表中所有的ID均不相同,则判定通信方B的ID伪造,断开通信连接。
【技术特征摘要】
1.一种基于RSSP-II协议的分布式拒绝服务攻击的防护方法,其特征在于,该方法包括如下步骤:步骤S110:对进行对等实体身份验证的数据包采用加密传输;步骤S120:收集整理合法车地设备的ID;步骤S130:每一个车地设备存储与之通信的其他车地设备的设备编号存入CTCS-ID表;步骤S140:更新所述CTCS-ID表;步骤S150:通信方A把请求建立安全连接的通信方B的ID与CTCS-ID表进行过滤检查,验证其合法性;步骤S160:若通信方B的ID与CTCS-ID表中所有的ID均不相同,则判定通信方B的ID伪造,断开通信连接。2.根据权利要求1所述的基于RSSP-II协议的分布式拒绝服务攻击的防护方法,其特征在于...
【专利技术属性】
技术研发人员:王剑,蔡伯根,董宁,田开元,廖元媛,罗珍珍,王锋,
申请(专利权)人:中国铁路总公司,北京交通大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。