說明】
[0034] 圖1是本發(fā)明在具體應(yīng)用實(shí)施中的流程示意圖��。
[0035] 圖2是本發(fā)明在具體應(yīng)用實(shí)施中步驟2)具體流程示意圖���。
[0036] 圖3是本發(fā)明在具體應(yīng)用實(shí)施中步驟3)具體流程示意圖。
[0037] 圖4是本發(fā)明在具體應(yīng)用實(shí)施中時(shí)間量化示意圖����。
[0038] 圖5是本發(fā)明在具體應(yīng)用實(shí)施中嵌入水印前后數(shù)據(jù)包間隔延時(shí)分布示意圖。
【具體實(shí)施方式】
[0039] 以下將結(jié)合說明書附圖和具體實(shí)施例對本發(fā)明做進(jìn)一步詳細(xì)說明���。
[0040] 本發(fā)明的基于數(shù)據(jù)包間隔的水印跳變通信方法��,其核心思想是結(jié)合網(wǎng)絡(luò)流水印技 術(shù)��,通過數(shù)據(jù)包發(fā)送延時(shí)調(diào)整數(shù)據(jù)包間隔分布從而隱蔽地在通信流量中嵌入水印信息��,水 印跳變通信過程中���,通過引入網(wǎng)絡(luò)流五元組和時(shí)間參數(shù)提供兩種粒度的水印跳變頻率�,使 得在不同時(shí)間�����、不同的網(wǎng)絡(luò)流中嵌入的是不同的水印信息����,使用水印跳變密鑰控制通信雙 方的水印生成和水印編解碼過程,從而提供一種服務(wù)過程中的流量鑒別和控制方法����,提升 服務(wù)系統(tǒng)的安全性。
[0041] 如圖1所示����,本發(fā)明的基于數(shù)據(jù)包間隔的水印跳變通信方法,具體步驟為:
[0042] 1)在目的主機(jī)端部署水印檢測器�,源主機(jī)端部署水印嵌入器,為合法主機(jī)分配水 印跳變密鑰��;
[0043] 2)源主機(jī)訪問目的主機(jī)時(shí)�����,源主機(jī)正常封裝和收發(fā)網(wǎng)絡(luò)流數(shù)據(jù)報(bào)文,水印嵌入器 提取網(wǎng)絡(luò)流五元組信息����,根據(jù)己方存儲的對稱密鑰,系統(tǒng)當(dāng)前時(shí)間生成網(wǎng)絡(luò)流水印�,然后通 過數(shù)據(jù)包發(fā)送延時(shí)調(diào)整數(shù)據(jù)包間隔分布將該水印信息嵌入網(wǎng)絡(luò)流中發(fā)送給目的主機(jī);
[0044] 3)目的主機(jī)接收到網(wǎng)絡(luò)報(bào)文�����,水印檢測器記錄數(shù)據(jù)包到達(dá)時(shí)間�,提取網(wǎng)絡(luò)流五元 組信息,根據(jù)己方存儲的水印跳變密鑰����,系統(tǒng)當(dāng)前時(shí)間以及網(wǎng)絡(luò)流的五元組生成網(wǎng)絡(luò)流水 印�����,進(jìn)而從接收到的網(wǎng)絡(luò)流中提取網(wǎng)絡(luò)流水印���,并與自己生成的水印相比較��,對網(wǎng)絡(luò)報(bào)文進(jìn) 行流量鑒別和控制���。
[0045] 在上述步驟1)中�,為網(wǎng)絡(luò)中的合法主機(jī)分配水印跳變密鑰K�,水印跳變密鑰包含 水印生成密鑰Kw和水印編解碼密鑰K所述水印生成密鑰Kw和水印編解碼密鑰Ke由所述 水印跳變密鑰K生成。具體應(yīng)用時(shí)�,主機(jī)接入網(wǎng)絡(luò)后需要進(jìn)行認(rèn)證和授權(quán),通過認(rèn)證獲取水 印跳變密鑰K��,本實(shí)施例中�����,主機(jī)采用水印跳變密鑰K的不同部分結(jié)合網(wǎng)絡(luò)流五元組信息�、 系統(tǒng)當(dāng)前時(shí)間并采用哈希算法計(jì)算得到水印生成密鑰Kw和水印編解碼密鑰K
[0046] 具體應(yīng)用時(shí),上述水印生成密鑰和水印編解碼密鑰由所述水印跳變密鑰的不同部 分分別與網(wǎng)絡(luò)流五元組和系統(tǒng)時(shí)間連接并采用哈希算法計(jì)算得到����。
[0047] 在水印跳變通信過程中,水印嵌入器和水印檢測器與網(wǎng)絡(luò)標(biāo)準(zhǔn)時(shí)間服務(wù)器維持粗 粒度的時(shí)間同步�。具體應(yīng)用時(shí),可以將水印嵌入器和水印檢測器設(shè)置為自動與網(wǎng)絡(luò)標(biāo)準(zhǔn)時(shí) 間服務(wù)器同步�,如:time.nist.gov。
[0048] 如圖2所示,在上述步驟2)中���,具體步驟如下:
[0049] 2. 1)源主機(jī)正常封裝和收發(fā)網(wǎng)絡(luò)流數(shù)據(jù)報(bào)文Fi=〈Pi�����,P2����,…〉���,其中����,Pn�����,(n= 1��, 2,…)表示構(gòu)成流匕的數(shù)據(jù)包���,水印嵌入器提取網(wǎng)絡(luò)流五元組信息FIi= {:源IP地址、目 的IP地址、協(xié)議號���、源端口���、目的端口 },獲取系統(tǒng)當(dāng)前時(shí)間Umei�����,然后根據(jù)水印跳變密鑰K 計(jì)算得到水印生成密鑰Kw和水印編解碼密鑰K
[0050] 2. 2)水印嵌入器中的水印生成單元根據(jù)水印生成密鑰1生成網(wǎng)絡(luò)流水印wi;
[0051] 2. 3)水印嵌入器中的水印編碼單元利用水印編解碼密鑰生成的網(wǎng)絡(luò)流水印 ?^勺每個(gè)水印位通過調(diào)整數(shù)據(jù)包發(fā)送延時(shí)嵌入網(wǎng)絡(luò)流F �,然后將嵌入水印信息的網(wǎng)絡(luò)流 Pwi發(fā)送給目的主機(jī)。
[0052] 本實(shí)施例中��,步驟2. 1)根據(jù)水印跳變密鑰K計(jì)算得到水印生成密鑰&和水印編 解碼密鑰&����,具體步驟如下:
[0053] 2.I. 1)系統(tǒng)時(shí)間以時(shí)間戳方式表示,獲取系統(tǒng)當(dāng)前時(shí)間戳Umei,對該時(shí)間戳按跳 變周期T進(jìn)行量化操作q(timei����,T),即對時(shí)間Umei進(jìn)行取整運(yùn)算�,定義
[0054] q(timej,T) =timej/T(I)
[0055] 如圖4所示,當(dāng)C(WITl時(shí)��,對timei的量化結(jié)果為k,其中周期T可以根 據(jù)通信安全需求進(jìn)行設(shè)定��,如T= 60,表明在水印跳變通信過程中���,水印低頻跳變的時(shí)間周 期為60秒��。
[0056] 2. 1. 2)利用水印跳變密鑰K����,將水印跳變密鑰K的左半部分&和右半部分KK分別 與所提取的網(wǎng)絡(luò)流五元組信息FIi和系統(tǒng)時(shí)間timei的量化結(jié)果q(timei���,T)進(jìn)行連接����,采 用哈希算法(如SHAl算法)計(jì)算得到對稱水印生成密鑰Kw����、水印編解碼密鑰Ke,計(jì)算公式 如下所示:
[0057] Kw=SHAKKj| !FIiI| :qUimei,T)) (2)
[0058] Ke=SHAKKj| !FIiI|:qUimei,T)) (3)
[0059] 其中II:表示字符串連接操作����,本實(shí)施例中哈希算法采用SHAl算法,在其他實(shí)施 例中還可以采用其他哈希算法�。
[0060] 本實(shí)施例中���,步驟2. 2)中網(wǎng)絡(luò)流水印^采用偽隨機(jī)數(shù)生成函數(shù)PRF計(jì)算得到�,具 體方法如下:
[0061] 利用偽隨機(jī)數(shù)生成函數(shù)PRF,以水印生成密鑰1作為偽隨機(jī)數(shù)生成函數(shù)的種子��,生 成網(wǎng)絡(luò)流水印Wi����,計(jì)算公式如下所示:
[0062]Wi=PRF(Kw, 1) (4)
[0063] 其中,1表示生成的網(wǎng)絡(luò)流水印的長度為1位��,即Wi=<wn����,wi2,…��,wn>��,其中 wik(l<k< 1)表示網(wǎng)絡(luò)流水印Wi中的第k個(gè)水印位�����。
[0064] 本實(shí)施例中���,步驟2. 3)通過調(diào)整數(shù)據(jù)包發(fā)送延時(shí)將步驟2. 2)生成的網(wǎng)絡(luò)流水印 Wi嵌入網(wǎng)絡(luò)流F ��,具體步驟如下:
[0065] 2.3. 1)對于網(wǎng)絡(luò)流Fi=〈PpP2���,…���,Pn>,其中數(shù)據(jù)包P1,P2��,…�,Pn到達(dá)水印嵌入 器的時(shí)間為h,t2���,…���,tn,嵌入1位水印位時(shí)��,獨(dú)立且隨機(jī)地從流Fi中選取2i個(gè)數(shù)據(jù)包��,其 中0 <r<< |��,r表示嵌入1位水印位時(shí)采用的冗余編碼個(gè)數(shù)�,選取過程如下:(1)順序地 依次查看流Fi的前n-d個(gè)數(shù)據(jù)包����,其中d為計(jì)算Iro時(shí)的數(shù)據(jù)包間隔個(gè)數(shù)�����;(2)以相互獨(dú)立 且相同的概率決定每個(gè)數(shù)據(jù)包是否被選取�����,利用水印編解碼密鑰&作為偽隨機(jī)數(shù)生成函數(shù) 的種子��,控制數(shù)據(jù)包的隨機(jī)選取過程��,使得每個(gè)數(shù)據(jù)包被選取的概率為
【主權(quán)項(xiàng)】
1. 一種基于數(shù)據(jù)包間隔的水印跳變通信方法����,其特征在于���,步驟為: 1) 在目的主機(jī)端部署水印檢測器�,源主機(jī)端部署水印嵌入器�����,為合法主機(jī)分配水印跳 變密鑰; 2) 源主機(jī)訪問目的主機(jī)時(shí)����,源主機(jī)正常封裝和收發(fā)網(wǎng)絡(luò)流數(shù)據(jù)報(bào)文,水印嵌入器提取 網(wǎng)絡(luò)流五元組信息�,根據(jù)己方存儲的對稱密鑰、系統(tǒng)當(dāng)前時(shí)間生成網(wǎng)絡(luò)流水?���。蝗缓?�,通過 數(shù)據(jù)包發(fā)送延時(shí)調(diào)整數(shù)據(jù)包間隔分布將該水印信息嵌入網(wǎng)絡(luò)流中發(fā)送給目的主機(jī)���; 3) 目的主機(jī)接收到網(wǎng)絡(luò)報(bào)文��,水印檢測器記錄數(shù)據(jù)包到達(dá)時(shí)間���,提取網(wǎng)絡(luò)流五元組信 息,根據(jù)己方存儲的水印跳變密鑰�����、系統(tǒng)當(dāng)前時(shí)間以及網(wǎng)絡(luò)流的五元組生成網(wǎng)絡(luò)流水印,進(jìn) 而從接收到的網(wǎng)絡(luò)流中提取網(wǎng)絡(luò)流水印���,并與自己生成的水印相比較��,對網(wǎng)絡(luò)報(bào)文進(jìn)行流 量鑒別和控制��。
2.根據(jù)權(quán)利要求1所述的基于數(shù)據(jù)包間隔的水印跳變通信方法���,其特征在于,所述水 印跳變密鑰包括水印生成密鑰和水印編解碼密鑰��,所述水印生成密鑰和水印編解碼密鑰由 所述水印跳變密鑰的不同部分分別與網(wǎng)絡(luò)流五元組和系統(tǒng)時(shí)間連接并采用哈希算法計(jì)算 得到��。
3. 根據(jù)權(quán)利要求1所述的基于數(shù)據(jù)包間隔的水印跳變通信方法�,其特征在于��,在水印 跳變通信過程中�,各通信實(shí)體的水印嵌入器和水印檢測器與網(wǎng)絡(luò)標(biāo)準(zhǔn)時(shí)間服務(wù)器維持粗粒 度的時(shí)間同步。
4. 根據(jù)權(quán)利要求1或2或3所述的基于數(shù)據(jù)包間隔的水印跳變通信方法��,其特征在于���, 所述步驟2)的步驟如下: 2.1)源主機(jī)訪問目的主機(jī)時(shí)�,正常封裝和收發(fā)網(wǎng)絡(luò)流數(shù)據(jù)報(bào)文���,水印嵌入器提取網(wǎng)絡(luò) 流五元組信息���,獲取系統(tǒng)當(dāng)前時(shí)間�,然后根據(jù)水印跳變密鑰計(jì)算得到水印生成密鑰和水印 編解碼密鑰����,轉(zhuǎn)入執(zhí)行步驟2.2); 2. 2)水印嵌入器中的水印生成單元根據(jù)水印生成密鑰生成網(wǎng)絡(luò)流水印,轉(zhuǎn)入執(zhí)行步驟 2.3)�; 2. 3)水印嵌入器中的水印編碼單元利用水印編解碼密鑰將生成的網(wǎng)絡(luò)流水印通過數(shù) 據(jù)包發(fā)送延時(shí)調(diào)整數(shù)據(jù)包間隔分布嵌入網(wǎng)絡(luò)流中發(fā)送給目的主機(jī)。
5. 根據(jù)權(quán)利要求1或2或3所述的基于數(shù)據(jù)包間隔的水印跳變通信方法����,其特征在于, 所述步驟3)的具體步驟如下: 3. 1)目的主機(jī)接收到網(wǎng)絡(luò)報(bào)文�,水印檢測器記錄數(shù)據(jù)包到達(dá)時(shí)間,提取網(wǎng)絡(luò)流五元組 信息�����,獲取系統(tǒng)當(dāng)前時(shí)間���,然后根據(jù)水印跳變密鑰計(jì)算得到水印生成密鑰和水印編解碼密 鑰���,轉(zhuǎn)入執(zhí)行步驟3.2); 3. 2)水印檢測器中的水印解碼單元根據(jù)水印生成密鑰生成網(wǎng)絡(luò)流水印�����,并利用水印編 解碼密鑰從接收到的網(wǎng)絡(luò)流中提取網(wǎng)絡(luò)流水印����,轉(zhuǎn)入執(zhí)行步驟3. 3); 3. 3)水印檢測器中的水印判別單元將從網(wǎng)絡(luò)流中提取的網(wǎng)絡(luò)流水印與水印解碼單元 自己生成的水印信息相比較�,對網(wǎng)絡(luò)報(bào)文進(jìn)行認(rèn)證并給出判別結(jié)果,轉(zhuǎn)入執(zhí)行步驟3. 4); 3.4)水印檢測器中的訪問控制單元根據(jù)步驟3. 3)的反饋結(jié)果進(jìn)行訪問控制�����,判別結(jié) 果若為是����,允許網(wǎng)絡(luò)流數(shù)據(jù)包以及后續(xù)報(bào)文進(jìn)入目的主機(jī)應(yīng)用程序���;判別結(jié)果若為否��,將緩 存的網(wǎng)絡(luò)流數(shù)據(jù)包丟棄并設(shè)置訪問控制列表���,拒絕來自該源主機(jī)的后續(xù)訪問。
【專利摘要】一種基于數(shù)據(jù)包間隔的水印跳變通信方法,其步驟為:1)在目的主機(jī)端部署水印檢測器��,源主機(jī)端部署水印嵌入器����,為合法主機(jī)分配水印跳變密鑰;2)源主機(jī)訪問目的主機(jī)時(shí)���,水印嵌入器提取網(wǎng)絡(luò)流五元組信息�����,根據(jù)己方存儲的對稱密鑰����、系統(tǒng)當(dāng)前時(shí)間生成網(wǎng)絡(luò)流水?��?�;通過數(shù)據(jù)包發(fā)送延時(shí)調(diào)整數(shù)據(jù)包間隔分布將該水印信息嵌入網(wǎng)絡(luò)流中發(fā)送給目的主機(jī)���;3)目的主機(jī)接收到網(wǎng)絡(luò)報(bào)文,根據(jù)己方存儲的水印跳變密鑰��、系統(tǒng)當(dāng)前時(shí)間以及網(wǎng)絡(luò)流的五元組生成網(wǎng)絡(luò)流水印,從接收到的網(wǎng)絡(luò)流中提取網(wǎng)絡(luò)流水印�,并與自己生成的水印相比較,對網(wǎng)絡(luò)報(bào)文進(jìn)行流量鑒別和控制��。本發(fā)明具有實(shí)現(xiàn)簡單�、應(yīng)用靈活、隱秘性好���、抗干擾能力強(qiáng)等優(yōu)點(diǎn)�����。
【IPC分類】H04L9-00, H04L29-06
【公開號】CN104852914
【申請?zhí)枴緾N201510217290
【發(fā)明人】王寶生, 王小峰, 羅躍斌, 胡曉峰, 吳純青, 陶靜, 趙鋒, 蔡桂林, 白磊
【申請人】中國人民解放軍國防科學(xué)技術(shù)大學(xué)
【公開日】2015年8月19日
【申請日】2015年4月30日