一種可信分組驗(yàn)證的控制方法
【專利摘要】本發(fā)明公開了一種可信分組驗(yàn)證的控制方法�����,引入路由器可信驗(yàn)證率Ii���、分組的可信度��、分組可信閾值和鏈路攻擊引入率��,建立面向?qū)嶋H網(wǎng)絡(luò)環(huán)境的傳送模型��;通過在幀結(jié)構(gòu)上添加鏈路控制字段����,使路由器具備對(duì)分組進(jìn)行識(shí)別的判斷能力和識(shí)別可選空間,實(shí)現(xiàn)細(xì)粒度的多級(jí)化分組驗(yàn)證控制策略�。本發(fā)明的積極效果是:實(shí)現(xiàn)了全網(wǎng)可信分組驗(yàn)證的靈活控制;而且本發(fā)明采用細(xì)粒度的多級(jí)化分組驗(yàn)證控制策略�����,滿足了不同用戶和不同業(yè)務(wù)類型的可信需求�,使得在滿足分組可信需求的情況下,盡可能地減少驗(yàn)證次數(shù)�,提高了可信分組的驗(yàn)證效率,有效提升了可信網(wǎng)絡(luò)的傳送性能�。
【專利說明】一種可信分組驗(yàn)證的控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種可信分組驗(yàn)證的控制方法。
【背景技術(shù)】
[0002]分組的簽名和驗(yàn)證通常用于網(wǎng)絡(luò)接入��、身份認(rèn)證等專有場(chǎng)景��,實(shí)現(xiàn)分組的完整性保護(hù)����,防止數(shù)據(jù)包被篡改���。
[0003]現(xiàn)有的分組驗(yàn)證一般采用增加固定字段的方式實(shí)現(xiàn)點(diǎn)到點(diǎn)的簽名�,這種方式屬于疊加式的設(shè)計(jì),在目的����、功能上孤立單一,缺少靈活性���,難以為整個(gè)網(wǎng)絡(luò)的可信分組驗(yàn)證提供支撐����。隨著新的攻擊方式不斷涌現(xiàn)��,這種固定字段的分組驗(yàn)證方式難以形成體系化的安全防護(hù)能力��,無法適應(yīng)高安全通信的深度防護(hù)需求����。
【發(fā)明內(nèi)容】
[0004]為了克服現(xiàn)有技術(shù)的上述缺點(diǎn),本發(fā)明提供了一種可信分組驗(yàn)證的控制方法����,首先建立面向?qū)嶋H網(wǎng)絡(luò)環(huán)境的傳送模型����,在該模型中����,引入四個(gè)數(shù)學(xué)參數(shù):路由器可信驗(yàn)證率I1:表示路由器有效識(shí)別分組的能力;分組的可信度Wt:表示分組在網(wǎng)絡(luò)傳輸過程中在t時(shí)刻的可信程度��;分組可信閾值Idef和鏈路攻擊引入率%��。路由器是否驗(yàn)證分組與分組當(dāng)前的可信度wt�����、路由器自身的可信驗(yàn)證率Ii以及分組規(guī)定的可信閾值Idrf有著密切的關(guān)系�,因此需要根據(jù)這些參數(shù)的大小進(jìn)行判斷和選擇。同時(shí)�,由于這些參數(shù)的引入,需要在幀結(jié)構(gòu)上增加相應(yīng)的字段�����。通過這些字段的添加����,路由器具備對(duì)分組進(jìn)行識(shí)別的判斷能力和識(shí)別可選空間�����。
[0005]根據(jù)可信分組傳送的實(shí)際需求���,確定可信分組驗(yàn)證的控制策略���,指導(dǎo)控制參數(shù)的選取和控制算法的實(shí)現(xiàn)���;綜合考慮分組的性能要求、可信需求以及網(wǎng)絡(luò)實(shí)際的可信環(huán)境等因素�����,建立可信分組驗(yàn)證的數(shù)據(jù)模型���,并抽取模型的關(guān)鍵參數(shù)和算法來完成可信分組驗(yàn)證的有效控制���,使得在滿足分組可信需求的情況下,盡可能地減少驗(yàn)證次數(shù)����。本發(fā)明方法解決了分組的可信傳送和精細(xì)控制���,通過細(xì)粒度的分組驗(yàn)證控制保證了網(wǎng)絡(luò)中的所有分組都是可信的,而且可以有效防止網(wǎng)絡(luò)傳輸過程中對(duì)分組的惡意破壞��,真正保障網(wǎng)絡(luò)傳輸?shù)目尚判?。本發(fā)明方法豐富了網(wǎng)絡(luò)的控制手段,增強(qiáng)了網(wǎng)絡(luò)的智能控制能力�,對(duì)于保障網(wǎng)絡(luò)業(yè)務(wù)傳送的可信具有重要的作用。
[0006]本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是:一種可信分組驗(yàn)證的控制方法����,引入路由器可信驗(yàn)證率I1、分組的可信度Wt���、分組可信閾值Idrf和鏈路攻擊引入率ai;建立面向?qū)嶋H網(wǎng)絡(luò)環(huán)境的傳送模型����;通過在幀結(jié)構(gòu)上添加鏈路控制字段�����,使路由器具備對(duì)分組進(jìn)行識(shí)別的判斷能力和識(shí)別可選空間,實(shí)現(xiàn)細(xì)粒度的多級(jí)化分組驗(yàn)證控制策略����。
[0007]與現(xiàn)有技術(shù)相比,本發(fā)明的積極效果是:分組驗(yàn)證能夠?qū)?shù)據(jù)的完整性進(jìn)行保護(hù)��,但很少有分組驗(yàn)證與可信網(wǎng)絡(luò)進(jìn)行一體化的設(shè)計(jì)�����,本發(fā)明彌補(bǔ)了這項(xiàng)空白��,實(shí)現(xiàn)了全網(wǎng)可信分組驗(yàn)證的靈活控制����。而且本發(fā)明采用細(xì)粒度的多級(jí)化分組驗(yàn)證控制策略���,滿足了不同用戶和不同業(yè)務(wù)類型的可信需求��,使得在滿足分組可信需求的情況下��,盡可能地減少驗(yàn)證次數(shù)�����,提高了可信分組的驗(yàn)證效率����,有效提升了可信網(wǎng)絡(luò)的傳送性能。
【專利附圖】
【附圖說明】
[0008]本發(fā)明將通過例子并參照附圖的方式說明����,其中:
[0009]圖1是面向網(wǎng)絡(luò)實(shí)際環(huán)境的分組傳輸數(shù)學(xué)模型;
[0010]圖2是可信網(wǎng)絡(luò)控制的數(shù)據(jù)幀格式�;
[0011]圖3是路由器i的分組識(shí)別判斷流程;
[0012]圖4是給定參數(shù)下����,分組可信閾值與驗(yàn)證次數(shù)之間的關(guān)系示意圖。
【具體實(shí)施方式】
[0013](一 )可信分組驗(yàn)證的控制策略
[0014]本方法采用細(xì)粒度的多級(jí)化分組驗(yàn)證控制策略��,以滿足不同用戶和不同業(yè)務(wù)類型的可信需求�,具體包括:
[0015]I)逐跳分組驗(yàn)證策略:適用于對(duì)安全性要求特別高的網(wǎng)絡(luò)業(yè)務(wù)。
[0016]2)點(diǎn)隔式分組驗(yàn)證策略:根據(jù)應(yīng)用需求����,優(yōu)化選擇傳輸路徑中的一些網(wǎng)絡(luò)設(shè)備不進(jìn)行簽名驗(yàn)證,直接轉(zhuǎn)發(fā)分組��,從而提高傳輸速度���。該策略適用于對(duì)網(wǎng)絡(luò)傳輸性能����、實(shí)時(shí)性要求很高,安全性可以折中考慮的網(wǎng)絡(luò)業(yè)務(wù)��,如實(shí)時(shí)話音通信等���。
[0017]3)域隔式分組驗(yàn)證策略:根據(jù)網(wǎng)絡(luò)當(dāng)前的安全態(tài)勢(shì)進(jìn)行分域����,在某些安全態(tài)勢(shì)很好或者安全性足以滿足業(yè)務(wù)可信需求的區(qū)域不進(jìn)行驗(yàn)證�,而同傳統(tǒng)通信傳輸一樣直接轉(zhuǎn)發(fā)。
[0018]4)層隔式分組驗(yàn)證策略:根據(jù)業(yè)務(wù)可信需求和網(wǎng)絡(luò)環(huán)境����,可以選擇采用端到端或者點(diǎn)對(duì)點(diǎn)的驗(yàn)證模式�。端到端模式只在接入過程進(jìn)行驗(yàn)證,點(diǎn)到點(diǎn)模式為逐跳分組驗(yàn)證策略�����。
[0019](二)可信分組驗(yàn)證的控制參數(shù)
[0020]為了實(shí)現(xiàn)細(xì)粒度的可信傳送控制策略�����,本方法首先建立面向?qū)嶋H網(wǎng)絡(luò)環(huán)境的傳送模型,具體如圖1所示���,模型包括路由節(jié)點(diǎn)��、鏈路�����、用戶終端等����。在該模型中��,引入四個(gè)數(shù)學(xué)參數(shù):
[0021]1��、路由器可信驗(yàn)證率I1:表示路由器有效識(shí)別分組的能力���。該參數(shù)具有全局意義��,是經(jīng)過長(zhǎng)時(shí)間統(tǒng)計(jì)的結(jié)果���,在某一特定時(shí)刻可以設(shè)為固定值�����。對(duì)于任意分組���,經(jīng)過路由器驗(yàn)證后,其分組的可信度立刻提升到路由器的驗(yàn)證率水平Ii����。為了區(qū)別起見,在網(wǎng)絡(luò)的出口和入口��,邊緣路由器Rer和Rec的可信驗(yàn)證率分別為Ier和Iec���。
[0022]2����、分組的可信度Wt:表示分組在網(wǎng)絡(luò)傳輸過程中在t時(shí)刻的可信程度���。由于分組進(jìn)行網(wǎng)絡(luò)前����,沒有經(jīng)過任何驗(yàn)證和識(shí)別�,因此此時(shí)分組的可信度為O。經(jīng)過路由器識(shí)別和驗(yàn)證后�����,分組的可信度會(huì)發(fā)生改變�����;在骨干網(wǎng)傳輸過程中�����,分組的可信度會(huì)受到攻擊的威脅�,從而導(dǎo)致分組可信度下降。
[0023]3���、分組可信閾值Idef:由于發(fā)送方的分組可信等級(jí)要求�����,分組在發(fā)送端需要設(shè)定分組的可信閾值Idef�����。經(jīng)過網(wǎng)絡(luò)傳輸后���,要求到達(dá)信息接收端B的分組可信度不能低于Idef���。
[0024]4、鏈路攻擊引入率%:由于網(wǎng)絡(luò)鏈路的不確定性�����,分組在鏈路傳輸過程中會(huì)存在引入攻擊的概率����,使網(wǎng)絡(luò)分組的可信度下降。%與網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)鏈路i所處的網(wǎng)絡(luò)區(qū)域有著直接的關(guān)系���。在小規(guī)模的網(wǎng)絡(luò)中��,每條鏈路的Bi可以認(rèn)為相等�,根據(jù)當(dāng)前網(wǎng)絡(luò)的安全狀況��,自適應(yīng)地調(diào)整%的值���,以反映當(dāng)前網(wǎng)絡(luò)存在的風(fēng)險(xiǎn)等級(jí)�����。在大規(guī)模的網(wǎng)絡(luò)中�����,在某些區(qū)域可能存在較大的安全風(fēng)險(xiǎn)��,而其他區(qū)域的風(fēng)險(xiǎn)較小�����,此時(shí)每條鏈路的%互不相同���。在某一特定時(shí)刻,鏈路攻擊引入率ai可以認(rèn)定為固定值�����。
[0025](三)可信分組驗(yàn)證的控制方法
[0026]可信分組驗(yàn)證是對(duì)可信網(wǎng)絡(luò)上發(fā)送的分組附上一個(gè)具有自我認(rèn)證能力的標(biāo)簽�。該標(biāo)簽?zāi)軌蛭ㄒ粯?biāo)識(shí)簽名的網(wǎng)絡(luò)組件,并且是不可篡改的(或者篡改是可以被發(fā)現(xiàn)的)��,相應(yīng)地也是不可抵賴的�����。在網(wǎng)絡(luò)分組傳輸過程中,網(wǎng)絡(luò)邊緣路由器和中間路由器需要對(duì)分組進(jìn)行身份識(shí)別和完整性校驗(yàn)����。一旦發(fā)現(xiàn)無法認(rèn)證的分組,就將該分組丟棄�����。同時(shí)��,如果發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)安全有害的分組����,也可以通過其標(biāo)簽,確定分組的發(fā)送者����,達(dá)到反向認(rèn)證的目的。因此要選取合理的幀結(jié)構(gòu)將可信參數(shù)和標(biāo)簽封裝到數(shù)據(jù)分組中�����。
[0027]根據(jù)選取的可信分組驗(yàn)證控制參數(shù)可知���,路由器是否驗(yàn)證分組與分組當(dāng)前的可信度wt���、路由器自身的可信驗(yàn)證率Ii以及分組規(guī)定的可信閾值Idrf有著密切的關(guān)系����,因此需要根據(jù)這些參數(shù)的大小進(jìn)行判斷和選擇���。同時(shí),由于這些參數(shù)的引入��,需要在幀結(jié)構(gòu)上增加相應(yīng)的字段��。為此��,我們改進(jìn)了基本的鏈路層封裝格式����,利用幀頭的填充字段增加了鏈路控制字段,如圖2所示�����。
[0028]在圖2中�����,鏈路控制字段中各部分的意義如下:
[0029]1、數(shù)字簽名:采用上一驗(yàn)證方的私鑰形成的數(shù)字簽名�����;
[0030]2����、W字段:分組當(dāng)前的可信度,初始值W=O ���;
[0031]3�����、Idef:分組可信閾值Idrf反映數(shù)據(jù)分組的機(jī)密性��、完整性等可信性要求
[0032]4�����、上一驗(yàn)證方地址:上一個(gè)驗(yàn)證分組的路由器MAC地址�����,在發(fā)送端其初始值為O��。
[0033]通過這些字段的添加�,路由器具備對(duì)分組進(jìn)行識(shí)別的判斷能力和識(shí)別可選空間。然而這種多跳分組驗(yàn)證模式也會(huì)在一定程度上增加路由器認(rèn)證的復(fù)雜性�,因此在優(yōu)化時(shí)需要考慮多方面的影響,以達(dá)到一種最佳費(fèi)效比的平衡��。判斷機(jī)制如圖3所示�����,該機(jī)制克服木桶效應(yīng)的影響�����,能夠在數(shù)據(jù)包當(dāng)前可信水平����、分組可信閾值與路由器的可信屬性之間進(jìn)行優(yōu)化決策���。具體方法如下:
[0034]步驟一��、判斷當(dāng)前時(shí)刻的分組可信度是否大于Idrf:如果是���,則進(jìn)入步驟四���;如果否,則進(jìn)入步驟二 ����;
[0035]步驟二、判斷當(dāng)前時(shí)刻的分組可信度是否大于I1:如果是���,則進(jìn)入步驟四�;如果否��,則進(jìn)入步驟三�;
[0036]步驟三、路由器對(duì)分組進(jìn)行可信識(shí)別����,將Ii賦值給下一時(shí)刻的分組可信度,然后進(jìn)入步驟五�����;
[0037]步驟四�����、將當(dāng)前時(shí)刻的分組可信度賦值給下一時(shí)刻的分組可信度,然后進(jìn)入步驟五�;
[0038]步驟五、利用當(dāng)前時(shí)刻的鏈路攻擊引入率對(duì)分組可信度進(jìn)行更新�。
[0039]此外,分組規(guī)定的可信閾值Idef反映了發(fā)送終端要求的可信等級(jí)�����,其大小不僅取決于網(wǎng)絡(luò)所能提供的最大可信度�����,而且也取決于分組的傳輸路徑����。圖4給出了給定參數(shù)下���,不同Idef需要路由器驗(yàn)證的次數(shù)����,其中路由器總個(gè)數(shù)為10個(gè)����,路徑最大可信保障能力為0.96���。由圖4可以看出,在路由選擇時(shí)需要考慮攻擊引入率�����、分組可信閾值Idrf等因素�����,以在驗(yàn)證次數(shù)���、路由器跳數(shù)等方面達(dá)到平衡�。
【權(quán)利要求】
1.一種可信分組驗(yàn)證的控制方法���,其特征在于:引入路由器可信驗(yàn)證率I1�、分組的可信度wt��、分組可信閾值Idef和鏈路攻擊引入率ai;建立面向?qū)嶋H網(wǎng)絡(luò)環(huán)境的傳送模型���;通過在幀結(jié)構(gòu)上添加鏈路控制字段�����,使路由器具備對(duì)分組進(jìn)行識(shí)別的判斷能力和識(shí)別可選空間���,實(shí)現(xiàn)細(xì)粒度的多級(jí)化分組驗(yàn)證控制策略����。
2.根據(jù)權(quán)利要求1所述的一種可信分組驗(yàn)證的控制方法��,其特征在于:路由器對(duì)分組進(jìn)行識(shí)別判斷的方法如下: 步驟一�����、判斷當(dāng)前時(shí)刻的分組可信度是否大于Idef:如果是���,則進(jìn)入步驟四�����;如果否,則進(jìn)入步驟二����; 步驟二�����、判斷當(dāng)前時(shí)刻的分組可信度是否大于I1:如果是����,則進(jìn)入步驟四�;如果否,則進(jìn)入步驟三�; 步驟三、路由器對(duì)分組進(jìn)行可信識(shí)別���,將Ii賦值給下一時(shí)刻的分組可信度���,然后進(jìn)入步驟五; 步驟四��、將當(dāng)前時(shí)刻的分組可信度賦值給下一時(shí)刻的分組可信度����,然后進(jìn)入步驟五; 步驟五�����、利用當(dāng)前時(shí)刻的鏈路攻擊引入率對(duì)分組可信度進(jìn)行更新。
3.根據(jù)權(quán)利要求1所述的一種可信分組驗(yàn)證的控制方法��,其特征在于:所述細(xì)粒度的多級(jí)化分組驗(yàn)證控制策略包括:逐跳分組驗(yàn)證策略��、點(diǎn)隔式分組驗(yàn)證策略�����、域隔式分組驗(yàn)證策略和層隔式分組驗(yàn)證策略�。
4.根據(jù)權(quán)利要求1所述的一種可信分組驗(yàn)證的控制方法,其特征在于:所述鏈路控制字段包括:數(shù)字簽名��、W字段�、Idef和上一驗(yàn)證方地址。
【文檔編號(hào)】H04L29/06GK103701597SQ201310637784
【公開日】2014年4月2日 申請(qǐng)日期:2013年11月29日 優(yōu)先權(quán)日:2013年11月29日
【發(fā)明者】郭夙昌, 王效武, 趙偉 申請(qǐng)人:中國(guó)電子科技集團(tuán)公司第三十研究所