技術領域

本發明涉及一種基于標識分離映射網絡的映射緩存DoS攻擊防御方法。DoS(Denial-of-Service)攻擊屬于主機資源耗盡型攻擊。

背景技術

標識分離映射網絡是一種新型的網絡架構，雖然身份信息與位置信息分離的思想解決了傳統網絡中的不合理性和安全隱患，但是這種分離映射的思想也可能帶來一些新的安全問題。

標識分離映射網絡中可能存在接入交換路由器映射緩存DoS攻擊，因此需要有效的防御方法。

在傳統互聯網中，路由器端一般采用速率限制Rate?Limiting方法來控制通信發送或在一個網絡接口接收的功能，從而防止DoS攻擊。速率限制攻擊的主要原理是控制網絡通信的流量速率，當網絡流量速率小于或等于某一個指定的限定值時，路由器正常工作；當網絡流量速率大于某一個指定的限定值時，路由器通過策略或擁塞控制機制來丟棄或延遲額外的數據包。

然而，速率限制方法不僅降低了攻擊者的攻擊速度，同時也降低了合法用戶正常通信的速率；速率限制方法不能識別映射緩存中惡意的映射條目，即惡意的映射條目一直存在于接入路由器的映射緩存中；速率限制方法與標識分離映射網絡的結合性差，不適應接入路由器新引入的映射緩存機制。

發明內容

本發明的目的是提供一種基于標識分離映射網絡的映射緩存DoS攻擊防御方法，其可防止接入交換路由器映射緩存的溢出，保障合法用戶通信的不間斷性，識別和過濾接入交換路由器映射緩存中的惡意映射信息，保障標識分離映射網絡中接入交換路由器的可用性，確保接入交換路由器映射緩存中映射信息條目的真實性，從而提高了標識分離映射網絡的安全性。

為此，本發明提供了一種基于標識分離映射網絡的映射緩存DoS攻擊防御方法，其特征在于，包括下列步驟：

1)當接入交換路由器收到用戶終端發送來的數據包后，若其映射緩存中沒有數據包目的地址的映射信息時，接入交換路由器向映射服務器查詢相應的映射信息，同時將映射信息存儲至映射緩存中，并設定計時器；

2)當映射緩存中的映射信息條目數增加至門限1后，接入交換路由器觸發迷題機制，針對用戶終端發送的映射緩存中不存在其映射信息的每個新數據包，接入交換路由器利用迷題算法構造唯一的迷題，將迷題發送給此用戶終端；

3)用戶終端收到接入交換路由器發送的迷題后，利用適當的CPU時間查找迷題的答案，并將迷題的答案發送給接入交換路由器；

4)接入交換路由器收到用戶終端發送的答案后，驗證答案的正確性，若正確，則接入交換路由器查詢之前數據包目的地址的映射信息；若不正確，則接入交換路由器簡單丟棄之前的數據包；

5)當映射緩存中的映射信息條目增加至大于門限1的門限2之后，接入交換路由器計算屬于同一用戶終端的映射信息的可信度值，若映射信息的可信度值小于設定的限制值，則接入交換路由器刪除掉映射緩存中此用戶終端的所有映射信息條目，并過濾掉此用戶終端之后所有的數據包。

優選地，所述過濾為立即清除映射緩存中的惡意映射條目，或利用合法的映射條目覆蓋掉惡意的映射條目。

優選地，用戶終端必須首先進行質因數分解計算，然后進行模指數迭代運算得出迷題的答案。

優選地，每個迷題之間是不相關的。

優選地，接入交換路由器從質因數分解的大數K、迭代次數n、查找范圍非負整數l和模數q四個方面調節迷題機制的難度。

根據本發明，在映射緩存中設置兩個門限，當映射緩存中映射信息條目數達到門限1時，接入交換路由器觸發迷題機制減緩映射緩存中映射信息條目的增加速率；當映射緩存中映射信息條目數達到門限2時，接入交換路由器計算映射信息的可信度判別和過濾惡意的映射信息。

本發明防止了映射緩存溢出，保障了合法用戶通信的不間斷性。

同時，針對惡意攻擊者的映射緩存DoS攻擊，本發明能夠識別和過濾映射緩存中惡意的映射信息，從而保障了接入交換路由器的可用性。

本發明針對標識分離映射網絡中接如交換路由器的設計特點，利用迷題機制和映射信息的可信度算法，抵御了可能存在的映射緩存DoS攻擊，提高了標識分離映射網絡的安全可靠性。

附圖說明

圖1是基于標識分離映射網絡的映射緩存DoS攻擊防御方法概要圖。

圖2是圖1所示方法的工作流程示意圖。

圖3是迷題機制交互過程示意圖。

具體實施方式