本發(fā)明提供一種面向網(wǎng)絡(luò)層的安全通信鏈路建立方法，屬于通信領(lǐng)域，包括如下步驟:步驟1，請求方向被請求方發(fā)送連接請求數(shù)據(jù)報(bào)；步驟2，被請求方對請求方發(fā)送來的連接請求數(shù)據(jù)報(bào)進(jìn)行驗(yàn)證；步驟3，被請求方生成帶重構(gòu)因子的連接請求數(shù)據(jù)報(bào)；步驟4，請求方解析收到的帶重構(gòu)因子的數(shù)據(jù)報(bào)并生成帶反重構(gòu)因子的響應(yīng)數(shù)據(jù)報(bào)；步驟5，被請求方解析收到的帶反重構(gòu)因子的響應(yīng)數(shù)據(jù)報(bào)并進(jìn)行驗(yàn)證；步驟6，被請求方向請求方發(fā)送允許建立連接的應(yīng)答數(shù)據(jù)報(bào)，實(shí)現(xiàn)安全通信鏈路的建立。本發(fā)明方法可實(shí)現(xiàn)被請求方對安全通信鏈路的控制，能防止非法設(shè)備連接，有效抵御泛洪攻擊，提升通信的安全性，防止第三方進(jìn)行竊聽，響應(yīng)速度快，占用計(jì)算機(jī)資源少。

技術(shù)領(lǐng)域

本發(fā)明屬于通信技術(shù)領(lǐng)域，尤其涉及一種面向網(wǎng)絡(luò)層的安全通信鏈路建立方法。

背景技術(shù)

在通常狀態(tài)下，一臺客戶端和服務(wù)器在進(jìn)行網(wǎng)絡(luò)通信時，都是基于傳輸控制協(xié)議(TCP),建立連接。該協(xié)議采用三次握手機(jī)制建立一個連接。

由于在三次握手中，服務(wù)器必須等待客戶端的確認(rèn)包，因此出現(xiàn)了SYN洪泛攻擊，此種攻擊是一種很常見的網(wǎng)絡(luò)攻擊。其原理是通過發(fā)送大量偽造源地址和源端口的數(shù)據(jù)包給服務(wù)器，而當(dāng)服務(wù)器返回請求響應(yīng)數(shù)據(jù)包時，客戶端不對其進(jìn)行確認(rèn)，服務(wù)器因收不到確認(rèn)包，而一直等待，白白浪費(fèi)了資源。另一方面，服務(wù)器因收不到來自客戶端的確認(rèn)包，會以為請求響應(yīng)數(shù)據(jù)包丟失，于是服務(wù)器便會重發(fā)該數(shù)據(jù)包，這樣更加會浪費(fèi)服務(wù)器的資源。洪泛攻擊出現(xiàn)時,攻擊者通常會發(fā)送非常大量的連接,由于每一個連接都沒法完成三次握手,因此大量掛起狀態(tài)的連接會嚴(yán)重消耗服務(wù)器的和內(nèi)存,導(dǎo)致服務(wù)器無法及時響應(yīng)其他正?？蛻舳说倪B接請求,還有可能造成服務(wù)器死機(jī)等嚴(yán)重后果。

現(xiàn)有的防御SYN洪泛攻擊的方法，主要是基于Daniel J.Bernstein提出的SYNCookie，其原理是，服務(wù)器收到客戶端發(fā)來的SYN包時，返回SYN+ACK包，并根據(jù)這個SYN包計(jì)算出一個cookie值返給客戶端。當(dāng)再收到該客戶端的ACK包時，該設(shè)備根據(jù)已計(jì)算出的cookie值檢查這個包的合法性。如果合法，則允許建立連接。這種方法可以避免攻擊者偽造地址的可能性，但其本身也存在以下一些問題:

1.性能差。服務(wù)器對于每一個發(fā)來的SYN包，都要計(jì)算其相應(yīng)的cookie,而計(jì)算cookie會消耗一定的服務(wù)器計(jì)算資源。對于攻擊者來說偽造地址和端口的SYN欺騙包的成本極其小，攻擊者很容易就可以偽造出大量SYN欺騙包進(jìn)行攻擊。當(dāng)攻擊者發(fā)起攻擊時，網(wǎng)絡(luò)中會存在大量攻擊者發(fā)來的SYN欺騙包，而服務(wù)器由于不知道這些數(shù)據(jù)包的合法性，會一直忙于計(jì)算SYN包的cookie，消耗服務(wù)器大量的計(jì)算資源，而無法對正常的請求做出響應(yīng)。

2.無法有效的抵御SYN洪泛攻擊。服務(wù)器必須對每一個地址或端口不同的SYN數(shù)據(jù)包，都要向客戶端發(fā)送一個相應(yīng)的帶有cookie的ACK包。當(dāng)攻擊者向服務(wù)器不斷發(fā)送偽造的SYN數(shù)據(jù)包時，服務(wù)器就要對每一個偽造的數(shù)據(jù)包，返回一個相應(yīng)的帶有cookie的ACK包。這會導(dǎo)致網(wǎng)絡(luò)中充斥著大量的無用數(shù)據(jù)包，而干擾正常的連接請求。從而會使拒絕服務(wù)攻擊生效。

其次由于在三次握手過程中，客戶端和服務(wù)端之間進(jìn)行交互，都是通過IP地址和Mac地址，來識別。而IP地址和Mac地址，都是可以偽造的。因此在三次握手過程中，服務(wù)端和客戶端就無法確認(rèn)彼此的身份。第三方竊聽者通過截取數(shù)據(jù)包或著偽造IP或MAC地址，偽裝成合法的設(shè)備與服務(wù)器建立連接，從而達(dá)到竊聽的目的。

為了確認(rèn)通信雙方彼此的身份，通常的做法是使用口令來進(jìn)行認(rèn)證。即客戶端在與服務(wù)端在建立連接的過程中必須要進(jìn)行口令認(rèn)證。只有口令正確，才能進(jìn)行連接。例如在PPPOE協(xié)議的驗(yàn)證過程就是使用的此種方法。其過程是:客戶端向服務(wù)端發(fā)送連接請求，服務(wù)端向客戶端發(fā)送一個隨機(jī)數(shù)，客戶端收到隨機(jī)數(shù)后與自己的口令密碼一起通過單向函數(shù)生成hash值，發(fā)送給服務(wù)端，服務(wù)端收到此hash值后，自己也通過發(fā)送的隨機(jī)數(shù)和自己記錄的口令一起通過單向函數(shù)生成hash值，并與客戶端發(fā)送來的進(jìn)行比較，若一致，則認(rèn)證通過。