防火墻的簽名認證方法及基于防火墻的抗網絡拓撲發現系統，屬于計算機網絡安全技術領域。本發明為了解決現有的針對防火墻的簽名認證方法存在網絡層數據的丟失和亂序問題和簽名認證開銷大的問題。本發明的方法從簽名認證基本流程和哈希鏈構建與驗證方案兩個角度，說明基于報文哈希鏈的防火墻簽名認證方案的實現過程。此過程中將分別探討防火墻面臨的三大問題：網絡層數據包丟失和亂序問題、雙向認證問題以及防火墻哈希鏈簽名認證信息組織問題。并基于防火墻的簽名認證方法設計了抗網絡拓撲發現系統，其利用可信探測過濾模塊設計了基于源IP地址、令牌及哈希鏈簽名認證的三種可信探測過濾的方案，以提高基于防火墻的抗網絡拓撲發現過程中的防護力。

技術領域

本發明屬于計算機網絡安全技術領域，具體涉及一種針對防火墻的簽名認證方法以及基于防火墻的抗網絡拓撲發現系統。

背景技術

隨著互聯網的普及和發展，人們的日常生活和工作方式發生了巨大的變化，已經無法離開互聯網的幫助。然而，互聯網的出現也帶來了一系列的網絡安全問題，黑客等網絡攻擊者經常利用現有軟件和網絡協議的漏洞，進行非法活動，從而獲取不正當利益。分布式拒絕服務攻擊(DDoS，Distributed?Denial?of?Service)是當前互聯網面臨的主要威脅之一，攻擊者通過控制大量僵尸主機向目標節點發送海量數據包，以消耗目標節點的資源，從而影響其正常工作。根據國家互聯網應急中心的數據，2020年，我國共遭受DDoS攻擊15.2萬余次。

研究表明，網絡攻擊行為往往伴隨著對網絡拓撲結構的探測和發現。例如，在分布式拒絕服務攻擊中的鏈路泛洪攻擊(LFA，Link?Flooding?Attack)中，攻擊者通常會在進行LFA攻擊之前，利用網絡拓撲探測獲取目標網絡中的關鍵節點和鏈路，然后逐一攻擊這些關鍵節點和鏈路，以高效地癱瘓目標網絡。

因此，在當前時代抵抗網絡拓撲發現行為和網絡攻擊已成為一個重要的研究課題。作為內外網之間通信的唯一“閘門”，防火墻可以審查進出內部網絡的所有網絡流量，從而保護內網安全，并防范網絡攻擊。防火墻是網絡安全防護最常用的技術之一。通過部署一些有效的技術手段，防火墻可以成為抗網絡拓撲發現的有力工具，從而保障內部網絡安全和信息安全。在當前幾乎所有的網絡攻擊都涉及網絡拓撲的探測和發現的背景下，研究抗網絡拓撲發現的防火墻關鍵技術對于提高內部網絡的安全性具有重要的意義。

網絡拓撲發現手段分為內部協作拓撲探測和外部端到端拓撲探測。內部協作拓撲探測主要依賴于Traceroute等工具，其主要特點是需要內部網絡節點的協作配合。而外部端到端拓撲探測則主要依賴于斷層掃描等工具，其主要特點是不需要內部網絡節點的協作。了解這些常見的網絡拓撲發現手段及其研究現狀，對于進行抗網絡拓撲發現的相關研究是必要的。

Traceroute是一種由Jacobson?V在1989年提出的網絡探測工具，它的工作原理是通過向目標節點發送TTL值遞增的報文，途經的網絡節點會返回ICMP超時報文，目標節點會返回ICMP端口不可達報文，從而推斷出目標網絡的拓撲結構。通過多源到多目標的探測，Traceroute可以揭示目標網絡的路徑和節點信息，進而推測目標網絡拓撲結構。作為一種最早的網絡探測工具，Traceroute目前已被廣泛應用于網絡性能測量、網絡故障排除和安全審計等領域。

斷層掃描的工作原理是將網絡結構視為一個黑盒，通過測量端到端路徑的度量，如鏈路損失率和鏈路延遲，以及計算相關性度量，如延遲變化和延遲方差，來推斷目標網絡的拓撲結構。與Traceroute不同，斷層掃描不需要途經網絡節點的協作，也不需要對目標節點進行特殊的探測。相比Traceroute，斷層掃描具有更強的魯棒性和可擴展性，尤其適用于大規模網絡的拓撲發現。因此，斷層掃描已經成為當前廣泛應用的網絡拓撲發現工具之一。

為了抵御惡意探測的攻擊，防火墻作為一種可以審查進出內網的所有網絡流量的工具，已經成為網絡安全防護中最常用的技術之一。防火墻可以有效地監測和阻斷惡意探測流量，從而提高網絡的安全性。