一種基于數(shù)據(jù)包間隔的水印跳變通信方法
【技術領域】
[0001] 本發(fā)明主要涉及可信安全網絡的基礎通信領域,特指一種基于數(shù)據(jù)包間隔的水印 跳變通信方法�����。
【背景技術】
[0002] 隨著計算機網絡的日益普及��,各種新技術和設備的不斷出現(xiàn)使得人們可以隨時隨 地接入互聯(lián)網����?���;ヂ?lián)網在給人們生活��、工作��、學習帶來極大便利的同時����,也使接入互聯(lián)網的 用戶遭受著比以往更多的網絡攻擊和威脅?���;ヂ?lián)網創(chuàng)立時本著開放�����、共享的思想進行設計�����, 基本沒有考慮網絡的安全問題��,作為互聯(lián)網通信核心的TCP/IP協(xié)議族主要考慮網絡互聯(lián) 的可靠性,盡最大能力來傳輸數(shù)據(jù)��。通信數(shù)據(jù)流中缺乏標識信息源有效身份的網絡屬性��,導 致接收方在收到數(shù)據(jù)時無法對信息源的合法性進行認證����,因此無法對惡意攻擊流量進行有 效控制。此外�,在網絡傳輸過程中也缺乏對數(shù)據(jù)包的完整性保護機制,攻擊者可以在通信路 徑上截獲并修改數(shù)據(jù)包內容�����,使得會話劫持���、報文篡改�����、仿冒�����、欺騙等網絡攻擊具有廣闊的 生存空間���,現(xiàn)有網絡流量也缺少用來識別和關聯(lián)非法流量的有效信息��,互聯(lián)網安全形勢嚴 峻�。
[0003] 在網絡流量控制方面�,現(xiàn)有技術主要通過身份認證系統(tǒng)和防火墻來對進出受保護 網絡的流量進行鑒別和控制,身份認證是安全系統(tǒng)的第一道關卡����。用戶在訪問安全系統(tǒng)之 前,首先經過身份認證系統(tǒng)識別身份��,然后訪問監(jiān)控器根據(jù)用戶的身份和授權數(shù)據(jù)庫決定 用戶是否具有對某種資源的訪問和使用權限�����。然而��,傳統(tǒng)的安全系統(tǒng)通常只在用戶登錄時 進行身份認證��,而在實際的服務過程中并不對來自用戶的流量進行鑒別��,這往往會給系統(tǒng) 帶來致命的安全隱患�。防火墻可以對服務過程中的通信流量實施一定的控制�����,但防火墻通 常采用一種被動的方式,基于管理員預先設置的規(guī)則對網絡流量進行控制��,只能對已知類 型的非法流量進行控制��,其應用缺乏靈活性且本身是不完備的�����,無法滿足日益提升的網絡 安全需求��。
[0004] 在網絡流量識別和關聯(lián)方面���,通常以五元組{:源IP地址�、目的IP地址��、協(xié)議號����、源 端口、目的端口}來標識一條網絡流量�,除了網絡流五元組,缺乏用于標識網絡流合法性的 有效信息,而五元組作為一種通用標識和共有網絡屬性�,本身也不具有私密性,無法用來識 另IJ��、關聯(lián)和控制非法流量��。網絡流量識別和關聯(lián)是入侵檢測�、僵尸網絡檢測、跳板主機發(fā)現(xiàn)���、 匿名通信追蹤和攻擊溯源等研宄領域中的關鍵問題�����,傳統(tǒng)的流量識別和關聯(lián)技術主要采用 兩種方式:
[0005] 一類是被動的方式�,通過對流量進行統(tǒng)計分析���,提取字符頻率�、數(shù)據(jù)包大小分布�、 流量ON/OFF行為等流量特征對流量進行關聯(lián)和分析,該類方法提出的前提是假設網絡流 量具有某種潛在的規(guī)律性�����,即網絡流具有自相似性質���,研宄表明網絡流量在大的時間范圍 內具有一定的自相似性�,但某一時刻的網絡流量由于受多種因素影響往往會表現(xiàn)出一定的 隨機性�����,因此無法基于統(tǒng)計規(guī)律對某一時刻的網絡流量進行準確分析����,因此該類方法實際 實施的效果較差。
[0006] 另一類是主動的方式��,如通過對數(shù)據(jù)包頭標志位進行置位或者對數(shù)據(jù)包載荷進行 填充等方法在網絡流中主動地嵌入信息���,從而對網絡流量進行關聯(lián)����,該方法進行網絡流關 聯(lián)和分析的準確性較高����,但由于要對數(shù)據(jù)包頭或載荷進行修改和填充,嵌入的信息容易被 攻擊者檢測到從而進行修改或移除�,同時該方法也不適用于對加密流量進行分析。
[0007] 綜上所述,現(xiàn)有網絡流量控制����、識別和關聯(lián)技術普遍存在空間開銷大、識別率低���, 誤報率高��、實時性差���、靈活性欠佳等問題,實用效果較差�,且無法適用于對加密流量進行分 析和識別。然而���,在實際的網絡中�����,網絡流量通常是加密的���,有效的流關聯(lián)分析只能依賴于 數(shù)據(jù)包大小、數(shù)目�����、時序等特征來進行,為了對加密流量進行分析�,近期研宄者基于數(shù)字水 印思想提出了一種主動的流關聯(lián)技術�����,即網絡流水印技術����,通過主動調制或改變發(fā)送端所 產生的網絡流中的數(shù)據(jù)包速率、時序等特征�,使之隱蔽地攜帶一些特殊標記信息,即嵌入水 印���,在接收端對嵌入的水印進行識別���,以達到關聯(lián)發(fā)送者和接收者的目的。網絡流水印是一 種主動的網絡流整形與分析技術����,具有識別率高,透明性好�、適用于加密流量關聯(lián)等優(yōu)點����, 且對包重組�����、時間擾動等干擾具有一定的魯棒性���。通過引入流水印技術��,以一種主動的方式 隱蔽地在網絡流中嵌入水印信息��,可用于對網絡流量進行有效識別和關聯(lián)�,進而對網絡流 進行鑒別和訪問控制�����,從而有效地控制非法流量�,提升服務系統(tǒng)安全性。
[0008] 目前����,網絡流水印技術主要被應用于進行跳板攻擊檢測與匿名通信關聯(lián),其應用 具有一定的局限性���,且嵌入的水印通常是固定不變的�,使得現(xiàn)有網絡流水印技術存在兩個 不足:
[0009] 一是只能判斷流中是否被嵌入水印,而不能確定嵌入該水印的網絡流來自哪個信 息源��;
[0010] 二是在多條流中嵌入不變的水印信息�,使得嵌入的水印信息具有相同的攻擊面, 攻擊者可以對多條流量進行分析識別并移除水印���,即難以抵御多流攻擊。
【發(fā)明內容】
[0011] 本發(fā)明要解決的技術問題就在于:針對現(xiàn)有技術存在的技術問題����,本發(fā)明提供一 種實現(xiàn)簡單、應用靈活��、隱秘性好��、抗干擾能力強的基于數(shù)據(jù)包間隔的水印跳變通信方法����, 可廣泛適用于跳板主機發(fā)現(xiàn),僵尸網絡檢測�����、匿名通信追蹤、攻擊溯源以及通信過程中流量 合法性驗證的主動流量關聯(lián)和分析方法
[0012] 為解決上述技術問題���,本發(fā)明采用以下技術方案:
[0013] 一種基于數(shù)據(jù)包間隔的水印跳變通信方法�,其步驟為:
[0014] 1)在目的主機端部署水印檢測器�,源主機端部署水印嵌入器,為合法主機分配水 印跳變密鑰�����;
[0015] 2)源主機訪問目的主機時�����,源主機正常封裝和收發(fā)網絡流數(shù)據(jù)報文���,水印嵌入器 提取網絡流五元組信息���,根據(jù)己方存儲的對稱密鑰、系統(tǒng)當前時間生成網絡流水?�?����;然后, 通過數(shù)據(jù)包發(fā)送延時調整數(shù)據(jù)包間隔分布將該水印信息嵌入網絡流中發(fā)送給目的主機��;
[0016] 3)目的主機接收到網絡報文�,水印檢測器記錄數(shù)據(jù)包到達時間,提取網絡流五元 組信息���,根據(jù)己方存儲的水印跳變密鑰����、系統(tǒng)當前時間以及網絡流的五元組生成網絡流水 印����,進而從接收到的網絡流中提取網絡流水印�,并與自己生成的水印相比較,對網絡報文進 行流量鑒別和控制����。
[0017] 作為本發(fā)明的進一步改進:所述水印跳變密鑰包括水印生成密鑰和水印編解碼密 鑰,所述水印生成密鑰和水印編解碼密鑰由所述水印跳變密鑰的不同部分分別與網絡流五 元組和系統(tǒng)時間連接并采用哈希算法計算得到����。
[0018] 作為本發(fā)明的進一步改進:在水印跳變通信過程中,各通信實體的水印嵌入器和 水印檢測器與網絡標準時間服務器維持粗粒度的時間同步�。
[0019] 作為本發(fā)明的進一步改進:所述步驟2)的步驟如下:
[0020] 2. 1)源主機訪問目的主機時����,正常封裝和收發(fā)網絡流數(shù)據(jù)報文��,水印嵌入器提取 網絡流五元組信息��,獲取系統(tǒng)當前時間��,然后根據(jù)水印跳變密鑰計算得到水印生成密鑰和 水印編解碼密鑰��,轉入執(zhí)行步驟2.2);
[0021] 2. 2)水印嵌入器中的水印生成單元根據(jù)水印生成密鑰生成網絡流水印�����,轉入執(zhí)行 步驟2. 3);
[0022] 2. 3)水印嵌入器中的水印編碼單元利用水印編解碼密鑰將生成的網絡流水印通 過數(shù)據(jù)包發(fā)送延時調整數(shù)據(jù)包間隔分布嵌入網絡流中發(fā)送給目的主機���。
[0023] 作為本發(fā)明的進一步改進:所述步驟3)的具體步驟如下:
[0024] 3. 1)目的主機接收到網絡報文����,水印檢測器記錄數(shù)據(jù)包到達時間�����,提取網絡流五 元組信息,獲取系統(tǒng)當前時間���,然后根據(jù)水印跳變密鑰計算得到水印生成密鑰和水印編解 碼密鑰���,轉入執(zhí)行步驟3.2);
[0025] 3. 2)水印檢測器中的水印解碼單元根據(jù)水印生成密鑰生成網絡流水印,并利用水 印編解碼密鑰從接收到的網絡流中提取網絡流水印���,轉入執(zhí)行步驟3. 3);
[0026] 3.3)水印檢測器中的水印判別單元將從網絡流中提取的網絡流水印與水印解 碼單元自己生成的水印信息相比較�,對網絡報文進行認證并給出判別結果�,轉入執(zhí)行步驟 3.4);
[0027] 3. 4)水印檢測器中的訪問控制單元根據(jù)步驟3. 3)的反饋結果進行訪問控制����,判 別結果若為是,允許網絡流數(shù)據(jù)包以及后續(xù)報文進入目的主機應用程序����;判別結果若為否�, 將緩存的網絡流數(shù)據(jù)包丟棄并設置訪問控制列表,拒絕來自該源主機的后續(xù)訪問�����。
[0028] 與現(xiàn)有技術相比,本發(fā)明的優(yōu)點在于:
[0029] 1�、本發(fā)明為一種主動的服務過程中的認證和訪問控制方法,發(fā)送數(shù)據(jù)時��,主動地 對網絡流數(shù)據(jù)包進行延時嵌入水印���,接收數(shù)據(jù)時����,提取網絡流水印并通過對水印信息進行 鑒別來認證會話的合法性�,進而對會話進行有效的訪問控制,彌補當前安全系統(tǒng)缺乏服務 過程中對用戶身份進行鑒別的缺陷�,有效提升服務系統(tǒng)的安全性能。
[0030] 2�����、本發(fā)明采用基于數(shù)據(jù)包間隔延時IPDdnter-PacketDelay)的水印嵌入方法���, 通過對網絡流數(shù)據(jù)包的發(fā)送時間進行輕微調整����,從而對數(shù)據(jù)包間隔延時進行調制來嵌入水 印����,水印嵌入過程中對每個數(shù)據(jù)包的延時操作僅引入幾個毫秒的延時�,該方法隱秘性好����,不 需要修改數(shù)據(jù)包內容,適用于加密流量���,且對數(shù)據(jù)包丟包�����、時間擾動等干擾具有一定魯棒 性�����。
[0031] 3���、本發(fā)明在網絡中進行水印跳變通信時,通信雙方根據(jù)己方存儲的水印跳變密鑰 生成水印生成密鑰和水印編解碼密鑰����,水印生成過程通過引入流五元組和時間參數(shù)提供兩 種粒度的水印跳變頻率��,即低頻跳變和高頻跳變,低頻跳變通過粗粒度的時間同步進行控 制����,每隔T時間跳變一次;高頻跳變通過五元組進行控制����,對于不同的網絡流而言,網絡流 五元組不同�����,因此生成的水印信息隨不同流而跳變���,從而有效提升水印跳變通信的安全性��。
[0032] 4��、本發(fā)明不需要開辟額外的通信過程中的流量鑒別通道��,也不需要發(fā)送額外的數(shù) 據(jù)包�,減少了連接的開銷����;水印信息同網絡流數(shù)據(jù)包一同發(fā)送和接收�,且在網絡流水印嵌入 過程中不需要修改數(shù)據(jù)包內容��,實現(xiàn)靈活�、高效;此外��,本發(fā)明方法能夠兼容不具備水印檢 測功能的主機系統(tǒng)����,該類型系統(tǒng)能正常進行網絡通信,只是不能在通信過程中對接收到的 流量進行鑒別和控制�,部署方便且能向后兼容。
[0033] 5�、在非法流量控制方面,本發(fā)明的方法以一種主動的方式在網絡流量中嵌入隨時 間動態(tài)變化的水印信息����,水印信息具有隱蔽性,對攻擊者而言不可見的水印信息為實施非 法流量控制提供了有效的網絡屬性�;在流量關聯(lián)和識別方面,該方法通過引入網絡流五元 組和時間信息提供了兩種水印跳變頻率���,使得在不同時間不同的網絡流中嵌入的是不同的 水印信息���,從而有效提升了嵌入水印信息的動態(tài)性和多樣性,接收方可以通過提取水印信 息�,進而對網絡流量進行準確的識別和關聯(lián)。
【附圖