《电子技术应用》
您所在的位置:首页 > 通信与网络 > 设计应用 > 一种多机制融合的可信网络探测认证技术
一种多机制融合的可信网络探测认证技术
网络安全与数据治理
王斌,李琪,张宇,史建焘,朱国普
哈尔滨工业大学网络空间安全学院
摘要: 为了在确保网络拓扑信息安全的同时,保留网络的灵活性和可调性,提出了一种多机制融合的可信探测认证技术,旨在对类Traceroute的拓扑探测流量进行认证。该技术通过基于IP地址的可信认证、基于令牌的可信认证以及基于哈希链的可信认证三种机制融合,实现了效率与安全的平衡。通过这种方法,网络管理员可以在不阻断合法拓扑探测的前提下,保护网络拓扑信息。开发了一种支持该技术的拓扑探测工具,并利用Netfilter技术在Linux主机上实现了该技术。实验结果表明,该技术能够有效识别可信探测,其延迟相比传统Traceroute略有提升。
中图分类号:TP309文献标识码:ADOI:10.19358/j.issn.2097-1788.2024.06.004
引用格式:王斌,李琪,张宇,等.一种多机制融合的可信网络探测认证技术[J].网络安全与数据治理,2024,43(6):23-32.
An authentication scheme for trusted network probing based on multiple mechanisms integrating
Wang Bin,Li Qi,Zhang Yu,Shi Jiantao,Zhu Guopu
School of Cyberspace Science, Harbin Institute of Technology
Abstract: To ensure the security of network topology information while maintaining the network′s flexibility and tunability, this paper introduced an authentication technology for trusted network probing that integrates multiple mechanisms. This technology combines trusted authentication based on IP addresses, token-based authentication, and hash chain-based authentication, balancing efficiency and security. Through this method, network administrators can protect network topology information without blocking legitimate topology probing. A topology probing tool supporting this technology was developed, and the technique was implemented on Linux hosts using Netfilter technology. Experimental results demonstrated that this technology can effectively identify trusted probes, with a slight increase in latency compared to traditional Traceroute.
Key words : trusted probe authentication; hash chain; network topology; Traceroute

引言

在现代计算机网络中,网络拓扑结构描述了设备间的逻辑和物理连接,是网络的关键资产之一。泄露的网络拓扑信息可能被攻击者利用,以发起更为精准的APT(Advanced Persistent Threat)攻击。为了防止网络拓扑信息泄露,网络管理员通常会采取一些预防措施,如丢弃具有较小TTL(Time to Live)值的数据包或禁用ICMP(Internet Control Message Protocol)数据包。这些措施虽然在提升网络安全性方面起到了积极作用,但同时也可能带来一些负面影响,比如降低网络的灵活性和妨碍与合作伙伴或其他组织的通信,从而影响网络的可调性和可用性。

目前,已有多种基于IP地址[1-4]、令牌[5-11]以及哈希链[12-22]的可信认证技术被提出,用于增强网络安全。然而,针对类Traceroute网络拓扑探测流量可信认证的研究尚处于起步阶段。

为了在确保网络拓扑信息安全的同时,最大限度地保持网络的灵活性和可调性,本文提出了一种多机制融合的可信探测认证技术,旨在对类Traceroute的拓扑探测流量进行认证。该技术通过基于IP地址的可信认证、基于令牌的可信认证以及基于哈希链的可信认证三种机制融合,实现了效率与安全的平衡。通过这种方法,网络管理员可以在不阻断合法拓扑探测的前提下,保护网络拓扑信息,并保留网络可调性。

本文基于Traceroute工具的原理,开发了一种支持该可信探测认证技术的拓扑探测工具,并利用Netfilter技术在Linux主机上以防火墙的形式实现了这一技术。此外,本文对该技术的功能和性能进行了验证,实验结果表明,该技术可有效识别可信探测,与传统的Traceroute工具相比,延迟略有提升。


本文详细内容请下载:

http://www.chinaaet.com/resource/share/2000006044


作者信息:

王斌,李琪,张宇,史建焘,朱国普

(哈尔滨工业大学网络空间安全学院,黑龙江哈尔滨150001)


Magazine.Subscription.jpg

此内容为AET网站原创,未经授权禁止转载。