《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 一種多機(jī)制融合的可信網(wǎng)絡(luò)探測認(rèn)證技術(shù)
一種多機(jī)制融合的可信網(wǎng)絡(luò)探測認(rèn)證技術(shù)
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
王斌,李琪,張宇,史建燾,朱國普
哈爾濱工業(yè)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院
摘要: 為了在確保網(wǎng)絡(luò)拓?fù)湫畔踩耐瑫r(shí),保留網(wǎng)絡(luò)的靈活性和可調(diào)性,提出了一種多機(jī)制融合的可信探測認(rèn)證技術(shù),旨在對類Traceroute的拓?fù)涮綔y流量進(jìn)行認(rèn)證。該技術(shù)通過基于IP地址的可信認(rèn)證、基于令牌的可信認(rèn)證以及基于哈希鏈的可信認(rèn)證三種機(jī)制融合,實(shí)現(xiàn)了效率與安全的平衡。通過這種方法,網(wǎng)絡(luò)管理員可以在不阻斷合法拓?fù)涮綔y的前提下,保護(hù)網(wǎng)絡(luò)拓?fù)湫畔?。開發(fā)了一種支持該技術(shù)的拓?fù)涮綔y工具,并利用Netfilter技術(shù)在Linux主機(jī)上實(shí)現(xiàn)了該技術(shù)。實(shí)驗(yàn)結(jié)果表明,該技術(shù)能夠有效識(shí)別可信探測,其延遲相比傳統(tǒng)Traceroute略有提升。
中圖分類號:TP309文獻(xiàn)標(biāo)識(shí)碼:ADOI:10.19358/j.issn.2097-1788.2024.06.004
引用格式:王斌,李琪,張宇,等.一種多機(jī)制融合的可信網(wǎng)絡(luò)探測認(rèn)證技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(6):23-32.
An authentication scheme for trusted network probing based on multiple mechanisms integrating
Wang Bin,Li Qi,Zhang Yu,Shi Jiantao,Zhu Guopu
School of Cyberspace Science, Harbin Institute of Technology
Abstract: To ensure the security of network topology information while maintaining the network′s flexibility and tunability, this paper introduced an authentication technology for trusted network probing that integrates multiple mechanisms. This technology combines trusted authentication based on IP addresses, token-based authentication, and hash chain-based authentication, balancing efficiency and security. Through this method, network administrators can protect network topology information without blocking legitimate topology probing. A topology probing tool supporting this technology was developed, and the technique was implemented on Linux hosts using Netfilter technology. Experimental results demonstrated that this technology can effectively identify trusted probes, with a slight increase in latency compared to traditional Traceroute.
Key words : trusted probe authentication; hash chain; network topology; Traceroute

引言

在現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)中,網(wǎng)絡(luò)拓?fù)?/a>結(jié)構(gòu)描述了設(shè)備間的邏輯和物理連接,是網(wǎng)絡(luò)的關(guān)鍵資產(chǎn)之一。泄露的網(wǎng)絡(luò)拓?fù)湫畔⒖赡鼙还粽呃?,以發(fā)起更為精準(zhǔn)的APT(Advanced Persistent Threat)攻擊。為了防止網(wǎng)絡(luò)拓?fù)湫畔⑿孤?,網(wǎng)絡(luò)管理員通常會(huì)采取一些預(yù)防措施,如丟棄具有較小TTL(Time to Live)值的數(shù)據(jù)包或禁用ICMP(Internet Control Message Protocol)數(shù)據(jù)包。這些措施雖然在提升網(wǎng)絡(luò)安全性方面起到了積極作用,但同時(shí)也可能帶來一些負(fù)面影響,比如降低網(wǎng)絡(luò)的靈活性和妨礙與合作伙伴或其他組織的通信,從而影響網(wǎng)絡(luò)的可調(diào)性和可用性。

目前,已有多種基于IP地址[1-4]、令牌[5-11]以及哈希鏈[12-22]的可信認(rèn)證技術(shù)被提出,用于增強(qiáng)網(wǎng)絡(luò)安全。然而,針對類Traceroute網(wǎng)絡(luò)拓?fù)涮綔y流量可信認(rèn)證的研究尚處于起步階段。

為了在確保網(wǎng)絡(luò)拓?fù)湫畔踩耐瑫r(shí),最大限度地保持網(wǎng)絡(luò)的靈活性和可調(diào)性,本文提出了一種多機(jī)制融合的可信探測認(rèn)證技術(shù),旨在對類Traceroute的拓?fù)涮綔y流量進(jìn)行認(rèn)證。該技術(shù)通過基于IP地址的可信認(rèn)證、基于令牌的可信認(rèn)證以及基于哈希鏈的可信認(rèn)證三種機(jī)制融合,實(shí)現(xiàn)了效率與安全的平衡。通過這種方法,網(wǎng)絡(luò)管理員可以在不阻斷合法拓?fù)涮綔y的前提下,保護(hù)網(wǎng)絡(luò)拓?fù)湫畔ⅲ⒈A艟W(wǎng)絡(luò)可調(diào)性。

本文基于Traceroute工具的原理,開發(fā)了一種支持該可信探測認(rèn)證技術(shù)的拓?fù)涮綔y工具,并利用Netfilter技術(shù)在Linux主機(jī)上以防火墻的形式實(shí)現(xiàn)了這一技術(shù)。此外,本文對該技術(shù)的功能和性能進(jìn)行了驗(yàn)證,實(shí)驗(yàn)結(jié)果表明,該技術(shù)可有效識(shí)別可信探測,與傳統(tǒng)的Traceroute工具相比,延遲略有提升。


本文詳細(xì)內(nèi)容請下載:

http://ihrv.cn/resource/share/2000006044


作者信息:

王斌,李琪,張宇,史建燾,朱國普

(哈爾濱工業(yè)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院,黑龍江哈爾濱150001)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。