一種基于數(shù)據(jù)包間隔的水印跳變通信方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明主要涉及可信安全網(wǎng)絡(luò)的基礎(chǔ)通信領(lǐng)域,特指一種基于數(shù)據(jù)包間隔的水印 跳變通信方法����。
【背景技術(shù)】
[0002] 隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及,各種新技術(shù)和設(shè)備的不斷出現(xiàn)使得人們可以隨時(shí)隨 地接入互聯(lián)網(wǎng)�。互聯(lián)網(wǎng)在給人們生活�、工作、學(xué)習(xí)帶來(lái)極大便利的同時(shí)�,也使接入互聯(lián)網(wǎng)的 用戶遭受著比以往更多的網(wǎng)絡(luò)攻擊和威脅?��;ヂ?lián)網(wǎng)創(chuàng)立時(shí)本著開(kāi)放��、共享的思想進(jìn)行設(shè)計(jì)��, 基本沒(méi)有考慮網(wǎng)絡(luò)的安全問(wèn)題��,作為互聯(lián)網(wǎng)通信核心的TCP/IP協(xié)議族主要考慮網(wǎng)絡(luò)互聯(lián) 的可靠性����,盡最大能力來(lái)傳輸數(shù)據(jù)��。通信數(shù)據(jù)流中缺乏標(biāo)識(shí)信息源有效身份的網(wǎng)絡(luò)屬性����,導(dǎo) 致接收方在收到數(shù)據(jù)時(shí)無(wú)法對(duì)信息源的合法性進(jìn)行認(rèn)證,因此無(wú)法對(duì)惡意攻擊流量進(jìn)行有 效控制���。此外����,在網(wǎng)絡(luò)傳輸過(guò)程中也缺乏對(duì)數(shù)據(jù)包的完整性保護(hù)機(jī)制��,攻擊者可以在通信路 徑上截獲并修改數(shù)據(jù)包內(nèi)容�,使得會(huì)話劫持、報(bào)文篡改����、仿冒、欺騙等網(wǎng)絡(luò)攻擊具有廣闊的 生存空間���,現(xiàn)有網(wǎng)絡(luò)流量也缺少用來(lái)識(shí)別和關(guān)聯(lián)非法流量的有效信息�����,互聯(lián)網(wǎng)安全形勢(shì)嚴(yán) 峻��。
[0003] 在網(wǎng)絡(luò)流量控制方面��,現(xiàn)有技術(shù)主要通過(guò)身份認(rèn)證系統(tǒng)和防火墻來(lái)對(duì)進(jìn)出受保護(hù) 網(wǎng)絡(luò)的流量進(jìn)行鑒別和控制����,身份認(rèn)證是安全系統(tǒng)的第一道關(guān)卡。用戶在訪問(wèn)安全系統(tǒng)之 前���,首先經(jīng)過(guò)身份認(rèn)證系統(tǒng)識(shí)別身份�,然后訪問(wèn)監(jiān)控器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫(kù)決定 用戶是否具有對(duì)某種資源的訪問(wèn)和使用權(quán)限��。然而�����,傳統(tǒng)的安全系統(tǒng)通常只在用戶登錄時(shí) 進(jìn)行身份認(rèn)證�,而在實(shí)際的服務(wù)過(guò)程中并不對(duì)來(lái)自用戶的流量進(jìn)行鑒別,這往往會(huì)給系統(tǒng) 帶來(lái)致命的安全隱患。防火墻可以對(duì)服務(wù)過(guò)程中的通信流量實(shí)施一定的控制����,但防火墻通 常采用一種被動(dòng)的方式,基于管理員預(yù)先設(shè)置的規(guī)則對(duì)網(wǎng)絡(luò)流量進(jìn)行控制�,只能對(duì)已知類 型的非法流量進(jìn)行控制��,其應(yīng)用缺乏靈活性且本身是不完備的���,無(wú)法滿足日益提升的網(wǎng)絡(luò) 安全需求��。
[0004] 在網(wǎng)絡(luò)流量識(shí)別和關(guān)聯(lián)方面�,通常以五元組{:源IP地址��、目的IP地址����、協(xié)議號(hào)、源 端口�����、目的端口}來(lái)標(biāo)識(shí)一條網(wǎng)絡(luò)流量�,除了網(wǎng)絡(luò)流五元組,缺乏用于標(biāo)識(shí)網(wǎng)絡(luò)流合法性的 有效信息,而五元組作為一種通用標(biāo)識(shí)和共有網(wǎng)絡(luò)屬性�����,本身也不具有私密性����,無(wú)法用來(lái)識(shí) 另IJ、關(guān)聯(lián)和控制非法流量�����。網(wǎng)絡(luò)流量識(shí)別和關(guān)聯(lián)是入侵檢測(cè)�����、僵尸網(wǎng)絡(luò)檢測(cè)��、跳板主機(jī)發(fā)現(xiàn)�����、 匿名通信追蹤和攻擊溯源等研宄領(lǐng)域中的關(guān)鍵問(wèn)題��,傳統(tǒng)的流量識(shí)別和關(guān)聯(lián)技術(shù)主要采用 兩種方式:
[0005] 一類是被動(dòng)的方式�,通過(guò)對(duì)流量進(jìn)行統(tǒng)計(jì)分析,提取字符頻率、數(shù)據(jù)包大小分布�����、 流量ON/OFF行為等流量特征對(duì)流量進(jìn)行關(guān)聯(lián)和分析����,該類方法提出的前提是假設(shè)網(wǎng)絡(luò)流 量具有某種潛在的規(guī)律性,即網(wǎng)絡(luò)流具有自相似性質(zhì)����,研宄表明網(wǎng)絡(luò)流量在大的時(shí)間范圍 內(nèi)具有一定的自相似性�,但某一時(shí)刻的網(wǎng)絡(luò)流量由于受多種因素影響往往會(huì)表現(xiàn)出一定的 隨機(jī)性,因此無(wú)法基于統(tǒng)計(jì)規(guī)律對(duì)某一時(shí)刻的網(wǎng)絡(luò)流量進(jìn)行準(zhǔn)確分析����,因此該類方法實(shí)際 實(shí)施的效果較差。
[0006] 另一類是主動(dòng)的方式����,如通過(guò)對(duì)數(shù)據(jù)包頭標(biāo)志位進(jìn)行置位或者對(duì)數(shù)據(jù)包載荷進(jìn)行 填充等方法在網(wǎng)絡(luò)流中主動(dòng)地嵌入信息,從而對(duì)網(wǎng)絡(luò)流量進(jìn)行關(guān)聯(lián)�,該方法進(jìn)行網(wǎng)絡(luò)流關(guān) 聯(lián)和分析的準(zhǔn)確性較高,但由于要對(duì)數(shù)據(jù)包頭或載荷進(jìn)行修改和填充��,嵌入的信息容易被 攻擊者檢測(cè)到從而進(jìn)行修改或移除,同時(shí)該方法也不適用于對(duì)加密流量進(jìn)行分析�����。
[0007] 綜上所述�,現(xiàn)有網(wǎng)絡(luò)流量控制、識(shí)別和關(guān)聯(lián)技術(shù)普遍存在空間開(kāi)銷大���、識(shí)別率低���, 誤報(bào)率高、實(shí)時(shí)性差��、靈活性欠佳等問(wèn)題�����,實(shí)用效果較差��,且無(wú)法適用于對(duì)加密流量進(jìn)行分 析和識(shí)別����。然而,在實(shí)際的網(wǎng)絡(luò)中���,網(wǎng)絡(luò)流量通常是加密的��,有效的流關(guān)聯(lián)分析只能依賴于 數(shù)據(jù)包大小���、數(shù)目���、時(shí)序等特征來(lái)進(jìn)行,為了對(duì)加密流量進(jìn)行分析�,近期研宄者基于數(shù)字水 印思想提出了一種主動(dòng)的流關(guān)聯(lián)技術(shù),即網(wǎng)絡(luò)流水印技術(shù)�,通過(guò)主動(dòng)調(diào)制或改變發(fā)送端所 產(chǎn)生的網(wǎng)絡(luò)流中的數(shù)據(jù)包速率、時(shí)序等特征�����,使之隱蔽地?cái)y帶一些特殊標(biāo)記信息�,即嵌入水 印���,在接收端對(duì)嵌入的水印進(jìn)行識(shí)別���,以達(dá)到關(guān)聯(lián)發(fā)送者和接收者的目的。網(wǎng)絡(luò)流水印是一 種主動(dòng)的網(wǎng)絡(luò)流整形與分析技術(shù)�����,具有識(shí)別率高,透明性好����、適用于加密流量關(guān)聯(lián)等優(yōu)點(diǎn), 且對(duì)包重組��、時(shí)間擾動(dòng)等干擾具有一定的魯棒性����。通過(guò)引入流水印技術(shù),以一種主動(dòng)的方式 隱蔽地在網(wǎng)絡(luò)流中嵌入水印信息���,可用于對(duì)網(wǎng)絡(luò)流量進(jìn)行有效識(shí)別和關(guān)聯(lián)����,進(jìn)而對(duì)網(wǎng)絡(luò)流 進(jìn)行鑒別和訪問(wèn)控制����,從而有效地控制非法流量,提升服務(wù)系統(tǒng)安全性���。
[0008] 目前�,網(wǎng)絡(luò)流水印技術(shù)主要被應(yīng)用于進(jìn)行跳板攻擊檢測(cè)與匿名通信關(guān)聯(lián),其應(yīng)用 具有一定的局限性�����,且嵌入的水印通常是固定不變的����,使得現(xiàn)有網(wǎng)絡(luò)流水印技術(shù)存在兩個(gè) 不足:
[0009] 一是只能判斷流中是否被嵌入水印,而不能確定嵌入該水印的網(wǎng)絡(luò)流來(lái)自哪個(gè)信 息源����;
[0010] 二是在多條流中嵌入不變的水印信息,使得嵌入的水印信息具有相同的攻擊面����, 攻擊者可以對(duì)多條流量進(jìn)行分析識(shí)別并移除水印,即難以抵御多流攻擊�。
【發(fā)明內(nèi)容】
[0011] 本發(fā)明要解決的技術(shù)問(wèn)題就在于:針對(duì)現(xiàn)有技術(shù)存在的技術(shù)問(wèn)題,本發(fā)明提供一 種實(shí)現(xiàn)簡(jiǎn)單�����、應(yīng)用靈活�����、隱秘性好��、抗干擾能力強(qiáng)的基于數(shù)據(jù)包間隔的水印跳變通信方法�, 可廣泛適用于跳板主機(jī)發(fā)現(xiàn),僵尸網(wǎng)絡(luò)檢測(cè)�����、匿名通信追蹤�、攻擊溯源以及通信過(guò)程中流量 合法性驗(yàn)證的主動(dòng)流量關(guān)聯(lián)和分析方法
[0012] 為解決上述技術(shù)問(wèn)題,本發(fā)明采用以下技術(shù)方案:
[0013] 一種基于數(shù)據(jù)包間隔的水印跳變通信方法���,其步驟為:
[0014] 1)在目的主機(jī)端部署水印檢測(cè)器���,源主機(jī)端部署水印嵌入器,為合法主機(jī)分配水 印跳變密鑰��;
[0015] 2)源主機(jī)訪問(wèn)目的主機(jī)時(shí)����,源主機(jī)正常封裝和收發(fā)網(wǎng)絡(luò)流數(shù)據(jù)報(bào)文,水印嵌入器 提取網(wǎng)絡(luò)流五元組信息�����,根據(jù)己方存儲(chǔ)的對(duì)稱密鑰、系統(tǒng)當(dāng)前時(shí)間生成網(wǎng)絡(luò)流水?����?��;然后�, 通過(guò)數(shù)據(jù)包發(fā)送延時(shí)調(diào)整數(shù)據(jù)包間隔分布將該水印信息嵌入網(wǎng)絡(luò)流中發(fā)送給目的主機(jī)���;
[0016] 3)目的主機(jī)接收到網(wǎng)絡(luò)報(bào)文�,水印檢測(cè)器記錄數(shù)據(jù)包到達(dá)時(shí)間�����,提取網(wǎng)絡(luò)流五元 組信息��,根據(jù)己方存儲(chǔ)的水印跳變密鑰�����、系統(tǒng)當(dāng)前時(shí)間以及網(wǎng)絡(luò)流的五元組生成網(wǎng)絡(luò)流水 印���,進(jìn)而從接收到的網(wǎng)絡(luò)流中提取網(wǎng)絡(luò)流水印��,并與自己生成的水印相比較��,對(duì)網(wǎng)絡(luò)報(bào)文進(jìn) 行流量鑒別和控制����。
[0017] 作為本發(fā)明的進(jìn)一步改進(jìn):所述水印跳變密鑰包括水印生成密鑰和水印編解碼密 鑰�,所述水印生成密鑰和水印編解碼密鑰由所述水印跳變密鑰的不同部分分別與網(wǎng)絡(luò)流五 元組和系統(tǒng)時(shí)間連接并采用哈希算法計(jì)算得到。
[0018] 作為本發(fā)明的進(jìn)一步改進(jìn):在水印跳變通信過(guò)程中���,各通信實(shí)體的水印嵌入器和 水印檢測(cè)器與網(wǎng)絡(luò)標(biāo)準(zhǔn)時(shí)間服務(wù)器維持粗粒度的時(shí)間同步�。
[0019] 作為本發(fā)明的進(jìn)一步改進(jìn):所述步驟2)的步驟如下:
[0020] 2. 1)源主機(jī)訪問(wèn)目的主機(jī)時(shí)�,正常封裝和收發(fā)網(wǎng)絡(luò)流數(shù)據(jù)報(bào)文,水印嵌入器提取 網(wǎng)絡(luò)流五元組信息����,獲取系統(tǒng)當(dāng)前時(shí)間,然后根據(jù)水印跳變密鑰計(jì)算得到水印生成密鑰和 水印編解碼密鑰����,轉(zhuǎn)入執(zhí)行步驟2.2);
[0021] 2. 2)水印嵌入器中的水印生成單元根據(jù)水印生成密鑰生成網(wǎng)絡(luò)流水印,轉(zhuǎn)入執(zhí)行 步驟2. 3);
[0022] 2. 3)水印嵌入器中的水印編碼單元利用水印編解碼密鑰將生成的網(wǎng)絡(luò)流水印通 過(guò)數(shù)據(jù)包發(fā)送延時(shí)調(diào)整數(shù)據(jù)包間隔分布嵌入網(wǎng)絡(luò)流中發(fā)送給目的主機(jī)�����。
[0023] 作為本發(fā)明的進(jìn)一步改進(jìn):所述步驟3)的具體步驟如下:
[0024] 3. 1)目的主機(jī)接收到網(wǎng)絡(luò)報(bào)文,水印檢測(cè)器記錄數(shù)據(jù)包到達(dá)時(shí)間���,提取網(wǎng)絡(luò)流五 元組信息�,獲取系統(tǒng)當(dāng)前時(shí)間���,然后根據(jù)水印跳變密鑰計(jì)算得到水印生成密鑰和水印編解 碼密鑰���,轉(zhuǎn)入執(zhí)行步驟3.2);
[0025] 3. 2)水印檢測(cè)器中的水印解碼單元根據(jù)水印生成密鑰生成網(wǎng)絡(luò)流水印,并利用水 印編解碼密鑰從接收到的網(wǎng)絡(luò)流中提取網(wǎng)絡(luò)流水印�,轉(zhuǎn)入執(zhí)行步驟3. 3);
[0026] 3.3)水印檢測(cè)器中的水印判別單元將從網(wǎng)絡(luò)流中提取的網(wǎng)絡(luò)流水印與水印解 碼單元自己生成的水印信息相比較,對(duì)網(wǎng)絡(luò)報(bào)文進(jìn)行認(rèn)證并給出判別結(jié)果����,轉(zhuǎn)入執(zhí)行步驟 3.4);
[0027] 3. 4)水印檢測(cè)器中的訪問(wèn)控制單元根據(jù)步驟3. 3)的反饋結(jié)果進(jìn)行訪問(wèn)控制�,判 別結(jié)果若為是,允許網(wǎng)絡(luò)流數(shù)據(jù)包以及后續(xù)報(bào)文進(jìn)入目的主機(jī)應(yīng)用程序�;判別結(jié)果若為否, 將緩存的網(wǎng)絡(luò)流數(shù)據(jù)包丟棄并設(shè)置訪問(wèn)控制列表�,拒絕來(lái)自該源主機(jī)的后續(xù)訪問(wèn)。
[0028] 與現(xiàn)有技術(shù)相比�,本發(fā)明的優(yōu)點(diǎn)在于:
[0029] 1�����、本發(fā)明為一種主動(dòng)的服務(wù)過(guò)程中的認(rèn)證和訪問(wèn)控制方法,發(fā)送數(shù)據(jù)時(shí)���,主動(dòng)地 對(duì)網(wǎng)絡(luò)流數(shù)據(jù)包進(jìn)行延時(shí)嵌入水印���,接收數(shù)據(jù)時(shí),提取網(wǎng)絡(luò)流水印并通過(guò)對(duì)水印信息進(jìn)行 鑒別來(lái)認(rèn)證會(huì)話的合法性�����,進(jìn)而對(duì)會(huì)話進(jìn)行有效的訪問(wèn)控制��,彌補(bǔ)當(dāng)前安全系統(tǒng)缺乏服務(wù) 過(guò)程中對(duì)用戶身份進(jìn)行鑒別的缺陷�,有效提升服務(wù)系統(tǒng)的安全性能。
[0030] 2���、本發(fā)明采用基于數(shù)據(jù)包間隔延時(shí)IPDdnter-PacketDelay)的水印嵌入方法��, 通過(guò)對(duì)網(wǎng)絡(luò)流數(shù)據(jù)包的發(fā)送時(shí)間進(jìn)行輕微調(diào)整��,從而對(duì)數(shù)據(jù)包間隔延時(shí)進(jìn)行調(diào)制來(lái)嵌入水 印���,水印嵌入過(guò)程中對(duì)每個(gè)數(shù)據(jù)包的延時(shí)操作僅引入幾個(gè)毫秒的延時(shí)����,該方法隱秘性好�,不 需要修改數(shù)據(jù)包內(nèi)容,適用于加密流量�,且對(duì)數(shù)據(jù)包丟包、時(shí)間擾動(dòng)等干擾具有一定魯棒 性�。
[0031] 3、本發(fā)明在網(wǎng)絡(luò)中進(jìn)行水印跳變通信時(shí)���,通信雙方根據(jù)己方存儲(chǔ)的水印跳變密鑰 生成水印生成密鑰和水印編解碼密鑰����,水印生成過(guò)程通過(guò)引入流五元組和時(shí)間參數(shù)提供兩 種粒度的水印跳變頻率��,即低頻跳變和高頻跳變��,低頻跳變通過(guò)粗粒度的時(shí)間同步進(jìn)行控 制���,每隔T時(shí)間跳變一次����;高頻跳變通過(guò)五元組進(jìn)行控制,對(duì)于不同的網(wǎng)絡(luò)流而言�����,網(wǎng)絡(luò)流 五元組不同�,因此生成的水印信息隨不同流而跳變,從而有效提升水印跳變通信的安全性���。
[0032] 4、本發(fā)明不需要開(kāi)辟額外的通信過(guò)程中的流量鑒別通道���,也不需要發(fā)送額外的數(shù) 據(jù)包��,減少了連接的開(kāi)銷��;水印信息同網(wǎng)絡(luò)流數(shù)據(jù)包一同發(fā)送和接收��,且在網(wǎng)絡(luò)流水印嵌入 過(guò)程中不需要修改數(shù)據(jù)包內(nèi)容����,實(shí)現(xiàn)靈活����、高效��;此外��,本發(fā)明方法能夠兼容不具備水印檢 測(cè)功能的主機(jī)系統(tǒng)���,該類型系統(tǒng)能正常進(jìn)行網(wǎng)絡(luò)通信,只是不能在通信過(guò)程中對(duì)接收到的 流量進(jìn)行鑒別和控制�����,部署方便且能向后兼容�。
[0033] 5、在非法流量控制方面��,本發(fā)明的方法以一種主動(dòng)的方式在網(wǎng)絡(luò)流量中嵌入隨時(shí) 間動(dòng)態(tài)變化的水印信息�����,水印信息具有隱蔽性���,對(duì)攻擊者而言不可見(jiàn)的水印信息為實(shí)施非 法流量控制提供了有效的網(wǎng)絡(luò)屬性��;在流量關(guān)聯(lián)和識(shí)別方面�����,該方法通過(guò)引入網(wǎng)絡(luò)流五元 組和時(shí)間信息提供了兩種水印跳變頻率�����,使得在不同時(shí)間不同的網(wǎng)絡(luò)流中嵌入的是不同的 水印信息�,從而有效提升了嵌入水印信息的動(dòng)態(tài)性和多樣性,接收方可以通過(guò)提取水印信 息�,進(jìn)而對(duì)網(wǎng)絡(luò)流量進(jìn)行準(zhǔn)確的識(shí)別和關(guān)聯(lián)。
【附圖