本發(fā)明提供了一種基于RSSP?II協(xié)議的分布式拒絕服務(wù)攻擊的防護方法，屬于鐵路運輸通信安全技術(shù)領(lǐng)域，該方法對進行對等實體身份驗證的數(shù)據(jù)包采用加密傳輸；收集整理合法車地設(shè)備的ID；每一個車地設(shè)備存儲與之通信的其他車地設(shè)備的設(shè)備編號存入CTCS?ID表；更新所述CTCS?ID表；通信方A把請求建立安全連接的通信方B的ID與CTCS?ID表進行過濾檢查，驗證其合法性；若通信方B的ID與CTCS?ID表中所有的ID均不相同，則判定通信方B的ID偽造，斷開通信連接。本發(fā)明高鐵通信時CTCS?ID作為設(shè)備的唯一標(biāo)識符，通過CTCS?ID對通信設(shè)備的數(shù)據(jù)包進行過濾，篩選出偽造的數(shù)據(jù)包，只接受合法的數(shù)據(jù)包，保證通信的正常進行。

技術(shù)領(lǐng)域

本發(fā)明涉及鐵路運輸通信安全技術(shù)領(lǐng)域，具體涉及一種基于RSSP-II協(xié)議的分布式拒絕服務(wù)攻擊的防護方法。

背景技術(shù)

拒絕服務(wù)攻擊(DoS攻擊)，是一類個人或多人利用Internet協(xié)議的一些漏洞，占用計算機有限的通信資源，導(dǎo)致拒絕其他用戶對系統(tǒng)和信息的合法訪問的攻擊。而分布式拒絕服務(wù)的特點是集中了成百上千臺的機器同時進行攻擊，致使服務(wù)器癱瘓而無法進行正常工作。

RSSP-II(Railway Signal Security Protocol-II)協(xié)議能提高RBC與其他鐵路設(shè)備之間無線通信以及地面設(shè)備之間網(wǎng)絡(luò)通信的安全性，但是也還不夠完善，仍舊存在一些安全隱患。目前CTCS-3級的高鐵采用的是基于GSM-R的鐵路無線移動通信的方式進行車地通信，在建立安全連接的會話過程中，需要進行對等實體身份的驗證，進行類似TCP/IP的三次握手通信，故而會存在SYN flooding的拒絕服務(wù)的威脅。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于實際的鐵路信號系統(tǒng)信息安全的場景，針對RSSP-II協(xié)議，在CTCS-3級列控通信過程中存在的拒絕服務(wù)攻擊的潛在威脅進行安全防護，以確保鐵路的正常通信不受影響的基于RSSP-II協(xié)議的分布式拒絕服務(wù)攻擊的防護方法，以解決上述背景技術(shù)中存在的技術(shù)問題。

為了實現(xiàn)上述目的，本發(fā)明采取了如下技術(shù)方案：

本發(fā)明提供的一種基于RSSP-II協(xié)議的分布式拒絕服務(wù)攻擊的防護方法，該方法包括如下步驟：

步驟S110：對進行對等實體身份驗證的數(shù)據(jù)包采用加密傳輸；

步驟S120：收集整理合法車地設(shè)備的ID；

步驟S130：每一個車地設(shè)備存儲與之通信的其他車地設(shè)備的設(shè)備編號存入CTCS-ID表；

步驟S140：更新所述CTCS-ID表；

步驟S150：通信方A把請求建立安全連接的通信方B的ID與CTCS-ID表進行過濾檢查，驗證其合法性；

步驟S160：若通信方B的ID與CTCS-ID表中所有的ID均不相同，則判定通信方B的ID偽造，斷開通信連接。

進一步的，所述步驟S110包括：對進行對等實體身份驗證的數(shù)據(jù)包采用3-DES對稱加密算法進行加密。

進一步的，所述步驟S130包括：

在車地通信建立安全連接會話期間，檢查通信數(shù)據(jù)包的標(biāo)志位，所述通信數(shù)據(jù)包設(shè)有標(biāo)志位0或1，用于驗證通信方向的正確性。

進一步的，所述步驟S140包括：把通信雙方的CTCS-ID與所有合法的CTCS-ID存儲集合檢查，驗證其合法性；

當(dāng)通信集群中有設(shè)備更新加入或淘汰刪除時，更新CTCS-ID表的內(nèi)容；

經(jīng)過周期T時間后定期更新CTCS-ID的內(nèi)容。