基于拟态防御的VPN流量劫持防御技术

作     者：高振 陈福才 王亚文 何威振 GAO Zhen;CHEN Fucai;WANG Yawen;HE Weizhen

作者机构：解放军战略支援部队信息工程大学郑州450001 

基　　金：国家重点研发计划(2021YFB1006200,2021YFB1006201) 国家自然科学基金(62072467,62002383) 

出 版 物：《计算机科学》 (Computer Science)

年 卷 期：2023年第50卷第11期

页      码：340-347页

摘      要：VPN技术能够有效保障通信流量的保密性和完整性,但是近年来出现的名为blind in/on-path的流量劫持攻击利用VPN协议规则,通过将伪造报文注入加密隧道的方式来实施攻击,严重威胁了VPN技术的安全性。针对此类威胁,提出了基于拟态防御的VPN流量劫持防御技术,并设计了拟态VPN架构(Mimic VPN,M-VPN)。该架构由选调器和包含多个异构的VPN加解密节点的节点池组成。首先选调器根据节点的可信度动态地选取若干加解密节点,来并行处理加密流量;然后对各加解密节点的处理结果进行综合裁决;最后将裁决结果作为响应报文以及更新可信度的依据。通过对来自不同节点的同一响应进行裁决,有效阻止了攻击者注入伪造报文。实验仿真结果表明,相比传统的VPN架构,M-VPN可以降低blind in/on-path攻击成功率约12个数量级。

主 题 词：VPN 流量劫持攻击 blind in/on-path攻击 拟态防御 M-VPN 

学科分类：08[工学] 0839[0839] 081201[081201] 0812[工学-测绘类] 

D　O　I：10.11896/jsjkx.221000091

馆 藏 号：203124235...