1、兴趣包洪泛攻击包括三个阶段:
(1)攻击检测阶段:边缘路由器检测异常用户行为,并识别用户为可疑用户或者攻击者。
(2)速率减少并阻塞阶段:边缘路由器减少可疑用户的数据速率并阻塞攻击者。
(3)攻击消息通知阶段:边缘路由器通知其他边缘路由器该检测到的攻击。
2、攻击检测阶段:
(1)用户全集:U,每个用户:u∈U;
(2)单位时间内过期的PIT条目的数量:Nexp(u);
(3)单位时间内过期的PIT条目数量的上限:Thigh;
(4)单位时间内过期的PIT条目数量的下限:Tlow;
(5)如果Nexp(u)<Tlow,用户被检测为合法用户;
(6)如果Tlow<Nexp(u)<Thigh,用户被检测为可疑用户;
(7)如果Nexp(u)>Thigh,用户被检测为恶意用户。
3、速率减少和阻塞阶段:
(1)恶意用户将被阻塞,数据速率为0;
(2)可疑用户数据速率减少;
(3)合法用户数据速率不变;
(4)公式如下:
其中,a为优化参数,a+Tlow<Thigh。
4、攻击消息通知阶段:
(1)当边缘路由器检测到正在进行的攻击时,将攻击者阻塞,并通过发送攻击消息通知包通知其他路由器该恶意用户的身份。
(2)该阶段用来防止移动兴趣包洪泛攻击(MIFA),恶意移动用户周期性地访问不同的路由器并向这些路由器洪泛兴趣包。
5、路由器认证方法:
假设:存在至少一个可信的网络实体可以担当身份认证机构(Certificate Authority, CA)。
存在两种路由器身份认证情形:
(1)直接认证:
<1>路由器发送 authentication request 消息到CA,该消息使用CA的公钥(PK-CA)加密,该消息包括:
a) 路由器的标识ID-R;
b) 时间戳TS;
c) 路由器的对称密钥SK-R;
<2>CA向路由器响应authentication response 消息,该消息使用接收到的SK-R加密,该消息包括:
a) CA的标识ID-CA;
b) 时间戳TS;
<3>路由器向CA发送确认acknowledgement消息,该消息使用SK-R加密,该消息包括:
a) 路由器的序列号SN-R;
b) 时间戳TS;
<4>CA验证路由器发送的SN-R,如果与自己所存储的SN-R之一相同,向路由器响应authentication confirmation消息,该消息使用SK-R加密,该消息包括:
a) CA的标识ID-CA;
b) 时间戳TS;
c) 路由器的序列号SN-R。
(2)间接认证:
<1>路由器向中间路由器发送authentication request消息,该消息使用中间路由器的公钥(PK-M)加密,该消息包括:
a) 路由器的身份标识ID-R;
b) 时间戳TS;
c) 路由器的对称密钥SK-R;
<2>中间路由器使用自己的私钥解密上述消息,并使用CA的公钥(PK-CA)加密该消息,并将其发送给CA;
<3>CA使用authentication response消息响应中间路由器,该消息使用中间路由器的公钥(PK-M)加密,该消息包括:
a) CA的身份表示ID-CA;
b) 时间戳TS;
c) 路由器的序列号SN-R;
<4>中间路由器使用自己的私钥解密上述消息,从消息中移除SN-R并存储起来,然后使用之前接收到的SK-R重新加密该消息,并将其发送给路由器。
<5>路由器向中间路由器发送确认acknowledgement消息,该消息使用SK-R加密,该消息包括:
a) 路由器的序列号SN-R;
b) 时间戳TS;
<6>中间路由器对比从CA和路由器分别发来的SN-R,如果相同,则认证成功,中间路由器分别向路由器和CA发送authentication confirmation消息,发往路由器的消息使用SK-R加密,发往CA的消息使用PK-CA加密,该消息包括:
a) CA的标识ID-CA;
b) 时间戳TS;
c) 路由器的序列号SN-R。
以上两种情形图示如下:
4187
