基于组合公钥数字签名技术的边缘概率包标记方法技术

本发明专利技术公开了基于组合公钥数字签名技术的边缘概率包标记方法，它涉及通信网络安全领域中通过在数据包中加入标记实现对攻击源进行定位的技术。它对从局域网来的数据包以设定概率进行采样，用边缘路由器ＩＤ信息对采样数据包进行标记，并对标记进行基于组合公钥的数字签名保证标记的可信性。通过从具有可信标记的攻击数据包提取边缘路由器ＩＤ信息，实现对边缘路由器的定位。本发明专利技术具有实现简单、与现有协议兼容、追踪速度快、允许事后分析、不增加额外网络负载、适用于ＤＤｏＳ攻击定位、安全性高等优点，特别适用于低速或高速网络遭受洪泛类攻击时对各个攻击源进行实时或非实时的追踪定位。

【技术实现步骤摘要】

【技术保护点】
一种基于组合公钥数字签名技术的边缘概率包标记方法，其特征在于包括步骤：　①当用户终端发出的数据包进入边缘路由器时，边缘路由器对数据包的标记字段进行过滤，如果发现伪造标记字段，则将标记字段修正为初始全‘０’默认值，否则不进行清‘０’处理；　②由边缘路由器对过滤后的数据包以设定概率进行采样，没被设定概率采样到的数据包进行正常的数据转发；被设定概率采样到的数据包，边缘路由器将其ＩＤ信息标记进采样到的数据包的标记字段中；　③边缘路由器采用其基于ＩＤ信息的私钥对标记数据包进行数字签名，数字签名的信息内容为边缘路由器的ＩＤ信息、时间Ｔ及一个随机数ｒ；　④接收端的入侵检测系统检测到网络攻击时，检查数据包中的每个攻击数据包的标记字段是否被标记，抽取出标记字段不同的攻击数据包；　⑤依据攻击数据包中标记的边缘路由器ＩＤ信息得到对应的边缘路由器公钥，利用边缘路由器公钥对攻击数据包的数字签名进行验证其标记信息可信与否；　⑥将标记信息不可信的攻击数据包丢弃；根据具有可信标记信息的攻击数据包中标记的边缘路由器ＩＤ信息一步定位到攻击端的边缘路由器，实现基于组合公钥数字签名技术的边缘概率包标记方法的信源定位。

【技术特征摘要】

【专利技术属性】
技术研发人员：刘存才，吴巍，赵丽霞，王俊芳，杨国瑞，妥艳君，邓炜，李丹镝，李艳，
申请(专利权)人：中国电子科技集团公司第五十四研究所，
类型：发明
国别省市：13[中国|河北]