一種基于主機(jī)跳變的動(dòng)態(tài)地址通信方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明具體涉及一種基于主機(jī)跳變的動(dòng)態(tài)地址通信方法���。
【背景技術(shù)】
[0002] 隨著計(jì)算機(jī)和通信技術(shù)的發(fā)展以及互聯(lián)網(wǎng)應(yīng)用的不斷擴(kuò)大�����,各種網(wǎng)絡(luò)安全問(wèn)題也 隨之出現(xiàn)了���。帶有不同目的的攻擊者針對(duì)網(wǎng)絡(luò)中的漏洞實(shí)施各種不同程度的破壞性攻擊。 近些年�,網(wǎng)絡(luò)攻擊事件愈演愈烈,在2010年1月��,由于網(wǎng)絡(luò)攻擊���,全球最大的中文搜索引擎 百度突然無(wú)法訪問(wèn)達(dá)5小時(shí)����,并跳轉(zhuǎn)到雅虎的異常頁(yè)面���;同年7月���,世界上首個(gè)直接破壞工 業(yè)基礎(chǔ)設(shè)施的蠕蟲病毒在全球爆發(fā)�,全球共有約45000個(gè)網(wǎng)站被該病毒感染�����,2012年4月�����, 匿名者組織攻擊我國(guó)��,鎖定485家網(wǎng)站��,包括一些重要的政府���、貿(mào)易、教育等網(wǎng)站��,造成了嚴(yán) 重的損失�。面對(duì)眾多的安全事件,各個(gè)國(guó)家對(duì)計(jì)算機(jī)病毒�,木馬,蠕蟲等攻擊技術(shù)進(jìn)行了大 量的研究���,取得了明顯的發(fā)展�����,使得網(wǎng)絡(luò)攻擊手段日益豐富����,種類繁多。
[0003] 然而在眾多的攻擊手段中�����,DoS(拒絕服務(wù)攻擊)是一種惡意的網(wǎng)絡(luò)攻擊手段����,其 目標(biāo)在于使連接上網(wǎng)絡(luò)的目標(biāo)電腦資源及系統(tǒng)資源耗盡,導(dǎo)致主機(jī)暫時(shí)中斷服務(wù)或停止服 務(wù)�����。DDoS (分布式拒絕服務(wù)攻擊)是指黑客利用網(wǎng)絡(luò)上已被攻陷的電腦作為僵尸����,向每一個(gè) 特定的目標(biāo)發(fā)動(dòng)密集式的"拒絕服務(wù)"式攻擊。這兩種攻擊方式對(duì)網(wǎng)絡(luò)的破壞性非常大�,而 且很難預(yù)防與控制。據(jù)2014年的調(diào)查研究顯示:2014年實(shí)施DDoS攻擊的數(shù)量比2013年增 長(zhǎng)了 22%�����,且攻擊手段越來(lái)越多樣化。然而���,當(dāng)前傳統(tǒng)的網(wǎng)絡(luò)預(yù)防技術(shù)���,如防火墻技術(shù),入侵 檢測(cè)系統(tǒng)等�,發(fā)展緩慢,且手段單一���,并不能防止拒絕服務(wù)攻擊的發(fā)生����,其根本原因在于這 些防御技術(shù)本質(zhì)上都是被動(dòng)式的�,以防守為根本目的的技術(shù)����。在這樣的需求下,主動(dòng)式防御 攻擊開(kāi)始發(fā)展��,即采取動(dòng)態(tài)的通信地址�,當(dāng)攻擊者通過(guò)分析獲得通信雙方或一方的通信地 址時(shí)�����,通信已經(jīng)進(jìn)行了轉(zhuǎn)移����,這樣便可以有效的抵抗拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊�。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明針對(duì)現(xiàn)有技術(shù)的不足,提出了一種應(yīng)用在分域管理網(wǎng)絡(luò)中的一種跳主機(jī)通 信方案��,以有效的抵抗拒絕服務(wù)攻擊����,使網(wǎng)絡(luò)之間能夠更加安全地通信。實(shí)現(xiàn)過(guò)程為:將網(wǎng) 絡(luò)進(jìn)行分域管理����,分域網(wǎng)絡(luò)是由多個(gè)不同IP地址的主機(jī)組成。在通信時(shí)����,分域網(wǎng)絡(luò)作為一 個(gè)整體來(lái)互相通信。在通信過(guò)程中��,由分域網(wǎng)絡(luò)中的協(xié)商中心按照已協(xié)商的協(xié)議選取網(wǎng)絡(luò) 中的主機(jī)來(lái)進(jìn)行通信。一個(gè)通信過(guò)程會(huì)由多臺(tái)主機(jī)來(lái)完成�,以此來(lái)實(shí)現(xiàn)動(dòng)態(tài)地址通信,防止 拒絕服務(wù)攻擊���。
[0005] 本發(fā)明提供一種基于主機(jī)跳變的動(dòng)態(tài)地址通信方法�����,所述方法包括如下步驟:
[0006] 步驟(1)�,主機(jī)的管理和域管理及設(shè)置內(nèi)部主機(jī)通信方式����;
[0007] 步驟(2),預(yù)設(shè)初始化主機(jī)Ai向預(yù)設(shè)初始化主機(jī)Bi發(fā)起多個(gè)預(yù)設(shè)協(xié)議����,預(yù)設(shè)端口 的冗余信息,完成會(huì)話密鑰����、會(huì)話密鑰的生存期、預(yù)設(shè)通信協(xié)議����、主機(jī)跳變時(shí)間、跳變規(guī)則的 協(xié)商���;
[0008] 步驟(3)��,主機(jī)Ai和主機(jī)Bi將預(yù)用N個(gè)協(xié)議�、跳變間隔T1�����、會(huì)話秘鑰生存期T2,跳 變協(xié)議�����,通信對(duì)方的主機(jī)信息表發(fā)送給各自的協(xié)商中心�;
[0009] 步驟(4)��,協(xié)商中心根據(jù)跳變規(guī)則選擇本次的通信主機(jī)和使用的通道�;
[0010] 步驟(5),雙方網(wǎng)絡(luò)的選定主機(jī)使用選定通道進(jìn)行預(yù)連接����;
[0011] 步驟(6),連接成功后���,約定在τ時(shí)間后進(jìn)行通信轉(zhuǎn)移�;
[0012] 步驟(7),協(xié)商中心判斷會(huì)話密鑰是否過(guò)期�����,如果是���,進(jìn)行下一步���,反之轉(zhuǎn)至步驟 (9);
[0013] 步驟(8)�,協(xié)商中心依據(jù)步驟(4)選擇新的主機(jī),并根據(jù)步驟(2)協(xié)商新的會(huì)話密 鑰��,協(xié)商完成后將新的會(huì)話密鑰發(fā)送給協(xié)商中心�����,協(xié)商中心通知正在通信的主機(jī)更新會(huì)話 密鑰���;
[0014] 步驟(9)�,到達(dá)跳變時(shí)間的3/4時(shí)����,轉(zhuǎn)至步驟⑷;
[0015] 在通信沒(méi)有結(jié)束之前重復(fù)進(jìn)行以上相應(yīng)的步驟����,直到成功完成本次的通信任務(wù)。
[0016] 本發(fā)明技術(shù)方案帶來(lái)的有益效果:
[0017] 1����、不依賴于嚴(yán)格的時(shí)間同步。在本發(fā)明中到達(dá)跳變間隔的3/4時(shí)就進(jìn)行預(yù)連接����, 連接成功后在協(xié)商的間隔后同時(shí)進(jìn)行通信轉(zhuǎn)移,即使雙方的時(shí)間不同步也不會(huì)影響通信的 轉(zhuǎn)移����;
[0018] 2、有更好的安全性�。在本系統(tǒng)中通信雙方的地址都在進(jìn)行跳變,安全性依賴于跳 變協(xié)議的保密性和網(wǎng)絡(luò)中主機(jī)地址信息表的保密性��。因?yàn)樵趨f(xié)商跳變協(xié)議時(shí)����,有會(huì)話密鑰 對(duì)傳輸信息進(jìn)行加密�����,能夠保證協(xié)議和地址信息表的秘密性�。并且分域網(wǎng)絡(luò)內(nèi)部通信時(shí)是 以內(nèi)部網(wǎng)絡(luò)的方式進(jìn)行的����,所以也保證了內(nèi)部通信不受DoS攻擊;
[0019] 3��、能有效的抵抗網(wǎng)段攻擊��。同屬于一個(gè)域網(wǎng)絡(luò)中的主機(jī)位于不同的地點(diǎn)����,不屬于 同一網(wǎng)段,可以有效地防止網(wǎng)段攻擊�。
[0020] 4、易于實(shí)現(xiàn)�。在整個(gè)通信的過(guò)程中由中心服務(wù)器充當(dāng)?shù)膮f(xié)商中心是一個(gè)內(nèi)部服務(wù) 器,只負(fù)責(zé)本域網(wǎng)絡(luò)主機(jī)之間的協(xié)調(diào)工作�,不與外部網(wǎng)絡(luò)進(jìn)行通信,所以降低了域內(nèi)的不安 全因素��。因此只要保證域間通信的安全便可以實(shí)現(xiàn)整個(gè)過(guò)程的安全�。
【附圖說(shuō)明】
[0021] 圖1為本發(fā)明基于主機(jī)跳變的動(dòng)態(tài)地址通信方法的整體流程圖�。
[0022] 圖2為本發(fā)明中通信地址映射的具體步驟����。
[0023] 圖3為選定主機(jī)進(jìn)行預(yù)連接的子流程圖。
【具體實(shí)施方式】
[0024] 下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)的描述�。
[0025] 參照?qǐng)D1�,本發(fā)明的實(shí)施流程如下:
[0026] 步驟1,主機(jī)的管理和域管理及內(nèi)部主機(jī)通信方式的設(shè)置
[0027] (la)各個(gè)管理域的協(xié)商中心對(duì)本域內(nèi)的主機(jī)進(jìn)行編號(hào)��,將主機(jī)編號(hào)和相應(yīng)的IP 地址保存在一張信息表中����;
[0028] (lb)有新主機(jī)加入域時(shí),協(xié)商中心分配一張內(nèi)部網(wǎng)卡�����,域內(nèi)的主機(jī)之間進(jìn)行通信 時(shí)通過(guò)撥號(hào)上網(wǎng)進(jìn)行��;
[0029] (lc)每個(gè)域管理中心設(shè)置一個(gè)本網(wǎng)絡(luò)中的初始化主機(jī)��;
[0030] 步驟2,預(yù)設(shè)初始化主機(jī)Ai向預(yù)設(shè)初始化主機(jī)Bi發(fā)起多個(gè)預(yù)設(shè)協(xié)議����,預(yù)設(shè)端口的 冗余信息�,完成會(huì)話密鑰�����、會(huì)話密鑰的生存期����、預(yù)設(shè)通信協(xié)議、主機(jī)跳變時(shí)間�、跳變規(guī)則的協(xié) 商;
[0031] (2a) Ai和Bi使用STS (Station to Station�����,站對(duì)站)密鑰交換協(xié)議產(chǎn)生臨時(shí)會(huì) 話密鑰TSK ;
[0032] (2al) Ai產(chǎn)生一個(gè)隨機(jī)數(shù)rA并計(jì)算#發(fā)送給Bi ;
[0033] (2a2)Bi接收后����,產(chǎn)生一個(gè)隨機(jī)數(shù)rB計(jì)算,����,并根據(jù)Ai發(fā)送的十算出& = , 用自己的私鑰簽名并用k加密計(jì)算出
一起發(fā)送給 Ai ;其中Ek()表示用k加密括號(hào)內(nèi)的信息���,SB()標(biāo)識(shí)用Bi的私鑰簽名括號(hào)內(nèi)的信息�����;
[0034] (2a3) Ai根據(jù)Bi發(fā)送過(guò)來(lái)的信息計(jì)算k��,并用k和Bi的公鑰解密
比較解出來(lái)的#�,f是否一致,如果一致則計(jì)算
> 發(fā)送給Bi;
[0035] (2a4)Bi接收后比較加密的信息是否和已知的信息相符�,如果相符即完成會(huì)話秘 鑰k的協(xié)商,令TSK = k�,否則返回步驟(2a)重新協(xié)商會(huì)話秘鑰�;
[0036] (2b)Ai根據(jù)消息傳輸?shù)臅r(shí)間間隔計(jì)算主機(jī)的跳變間隔和會(huì)話秘鑰的生存期;
[0037] (2bl)消息傳輸?shù)臅r(shí)間間隔為τ = τ 2- τ 1 ;
[0038] (2b2)跳變間隔為ΤΙ = 2 τ�����,會(huì)話密鑰的生存期為Τ2 = 6 τ ;
[0039] (2c)Ai發(fā)送ETSK (預(yù)用Ν個(gè)協(xié)議����,Τ1,Τ2,跳變規(guī)則��,本域網(wǎng)絡(luò)中的主機(jī)信息表)�����,即 發(fā)送使用會(huì)話秘鑰TSK加密的預(yù)用N個(gè)協(xié)議,跳變間隔T1�����,秘鑰生存期T2,跳變規(guī)則�����,本域 網(wǎng)絡(luò)中的主機(jī)信息表給Bi ;
[0040] (2d) Bi發(fā)送ETSK (本域網(wǎng)絡(luò)中的主機(jī)信息表)���,即發(fā)送使用會(huì)話秘鑰加密的本域網(wǎng) 絡(luò)中的主機(jī)信息表給Ai ;
[0041] 步驟3,主機(jī)Ai和主機(jī)Bi將預(yù)用N個(gè)協(xié)議�����、Tl�、T2,跳變協(xié)議�����,通信對(duì)方的主機(jī)信 息表發(fā)送給各自的協(xié)商中心��;
[0042] 步驟4,協(xié)商中心根據(jù)跳變規(guī)則選擇本次的通信主機(jī)和使用的通道�;
[0043] (4a)判斷是否是第一次使用該會(huì)話密鑰進(jìn)行映射,是進(jìn)行下步,反之轉(zhuǎn)至(4c);
[0044] (4a)協(xié)商中