《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 一种多机制融合的可信网络探测认证技术
一种多机制融合的可信网络探测认证技术
网络安全与数据治理
王斌,李琪,张宇,史建焘,朱国普
哈尔滨工业大学网络空间安全学院
摘要: 为了在确保网络拓扑信息安全的同时,保留网络的灵活性和可调性,提出了一种多机制融合的可信探测认证技术,旨在对类Traceroute的拓扑探测流量进行认证。该技术通过基于IP地址的可信认证、基于令牌的可信认证以及基于哈希链的可信认证三种机制融合,实现了效率与安全的平衡。通过这种方法,网络管理员可以在不阻断合法拓扑探测的前提下,保护网络拓扑信息。开发了一种支持该技术的拓扑探测工具,并利用Netfilter技术在Linux主机上实现了该技术。实验结果表明,该技术能够有效识别可信探测,其延迟相比传统Traceroute略有提升。
中圖分類號:TP309文獻標(biāo)識碼:ADOI:10.19358/j.issn.2097-1788.2024.06.004
引用格式:王斌,李琪,張宇,等.一種多機制融合的可信網(wǎng)絡(luò)探測認(rèn)證技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(6):23-32.
An authentication scheme for trusted network probing based on multiple mechanisms integrating
Wang Bin,Li Qi,Zhang Yu,Shi Jiantao,Zhu Guopu
School of Cyberspace Science, Harbin Institute of Technology
Abstract: To ensure the security of network topology information while maintaining the network′s flexibility and tunability, this paper introduced an authentication technology for trusted network probing that integrates multiple mechanisms. This technology combines trusted authentication based on IP addresses, token-based authentication, and hash chain-based authentication, balancing efficiency and security. Through this method, network administrators can protect network topology information without blocking legitimate topology probing. A topology probing tool supporting this technology was developed, and the technique was implemented on Linux hosts using Netfilter technology. Experimental results demonstrated that this technology can effectively identify trusted probes, with a slight increase in latency compared to traditional Traceroute.
Key words : trusted probe authentication; hash chain; network topology; Traceroute

引言

在現(xiàn)代計算機網(wǎng)絡(luò)中,網(wǎng)絡(luò)拓?fù)?/a>結(jié)構(gòu)描述了設(shè)備間的邏輯和物理連接,是網(wǎng)絡(luò)的關(guān)鍵資產(chǎn)之一。泄露的網(wǎng)絡(luò)拓?fù)湫畔⒖赡鼙还粽呃?,以發(fā)起更為精準(zhǔn)的APT(Advanced Persistent Threat)攻擊。為了防止網(wǎng)絡(luò)拓?fù)湫畔⑿孤?,網(wǎng)絡(luò)管理員通常會采取一些預(yù)防措施,如丟棄具有較小TTL(Time to Live)值的數(shù)據(jù)包或禁用ICMP(Internet Control Message Protocol)數(shù)據(jù)包。這些措施雖然在提升網(wǎng)絡(luò)安全性方面起到了積極作用,但同時也可能帶來一些負(fù)面影響,比如降低網(wǎng)絡(luò)的靈活性和妨礙與合作伙伴或其他組織的通信,從而影響網(wǎng)絡(luò)的可調(diào)性和可用性。

目前,已有多種基于IP地址[1-4]、令牌[5-11]以及哈希鏈[12-22]的可信認(rèn)證技術(shù)被提出,用于增強網(wǎng)絡(luò)安全。然而,針對類Traceroute網(wǎng)絡(luò)拓?fù)涮綔y流量可信認(rèn)證的研究尚處于起步階段。

為了在確保網(wǎng)絡(luò)拓?fù)湫畔踩耐瑫r,最大限度地保持網(wǎng)絡(luò)的靈活性和可調(diào)性,本文提出了一種多機制融合的可信探測認(rèn)證技術(shù),旨在對類Traceroute的拓?fù)涮綔y流量進行認(rèn)證。該技術(shù)通過基于IP地址的可信認(rèn)證、基于令牌的可信認(rèn)證以及基于哈希鏈的可信認(rèn)證三種機制融合,實現(xiàn)了效率與安全的平衡。通過這種方法,網(wǎng)絡(luò)管理員可以在不阻斷合法拓?fù)涮綔y的前提下,保護網(wǎng)絡(luò)拓?fù)湫畔?,并保留網(wǎng)絡(luò)可調(diào)性。

本文基于Traceroute工具的原理,開發(fā)了一種支持該可信探測認(rèn)證技術(shù)的拓?fù)涮綔y工具,并利用Netfilter技術(shù)在Linux主機上以防火墻的形式實現(xiàn)了這一技術(shù)。此外,本文對該技術(shù)的功能和性能進行了驗證,實驗結(jié)果表明,該技術(shù)可有效識別可信探測,與傳統(tǒng)的Traceroute工具相比,延遲略有提升。


本文詳細(xì)內(nèi)容請下載:

http://m.ihrv.cn/resource/share/2000006044


作者信息:

王斌,李琪,張宇,史建燾,朱國普

(哈爾濱工業(yè)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院,黑龍江哈爾濱150001)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容