[发明专利]一种基于时隙的水印跳变通信方法

说明书

一种基于时隙的水印跳变通信方法，其步骤为：1)在目的主机端部署水印检测器，源主机端部署水印嵌入器，为合法主机分配水印跳变密钥；2)源主机访问目的主机时，源主机正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，生成网络流水印；通过数据包发送延时调整数据包在不同时隙中的分布来将该水印信息嵌入网络流中发送给目的主机；3)目的主机接收到网络报文，水印检测器根据己方存储的水印跳变密钥、系统当前时间以及网络流的五元组生成网络流水印；从接收到的网络流中提取网络流水印，并与自己生成的水印相比较，对网络报文进行流量鉴别和控制。本发明具有实现简单、应用灵活、隐秘性好、抗干扰能力强等优点。

技术领域

本发明主要涉及可信安全网络的基础通信领域，特指一种基于时隙的水印跳变通信方法。

背景技术

随着计算机网络的日益普及，各种新技术和设备的不断出现使得人们可以随时随地接入互联网。互联网在给人们生活、工作、学习带来极大便利的同时，也使接入互联网的用户遭受着比以往更多的网络攻击和威胁。互联网创立时本着开放、共享的思想进行设计，基本没有考虑网络的安全问题，作为互联网通信核心的TCP/IP协议族主要考虑网络互联的可靠性，尽最大能力来传输数据。通信数据流中缺乏标识信息源有效身份的网络属性，导致接收方在收到数据时无法对信息源的合法性进行认证，因此无法对恶意攻击流量进行有效控制。此外，在网络传输过程中也缺乏对数据包的完整性保护机制，攻击者可以在通信路径上截获并修改数据包内容，使得会话劫持、报文篡改、仿冒、欺骗等网络攻击具有广阔的生存空间，现有网络流量也缺少用来识别和关联非法流量的有效信息，互联网安全形势严峻。

在网络流量控制方面，现有技术主要通过身份认证系统和防火墙来对进出受保护网络的流量进行鉴别和控制，身份认证是安全系统的第一道关卡。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否具有对某种资源的访问和使用权限。然而，传统的安全系统通常只在用户登录时进行身份认证，而在实际的服务过程中并不对来自用户的流量进行鉴别，这往往会给系统带来致命的安全隐患。防火墙可以对服务过程中的通信流量实施一定的控制，但防火墙通常采用一种被动的方式，基于管理员预先设置的规则对网络流量进行控制，只能对已知类型的非法流量进行控制，其应用缺乏灵活性且本身是不完备的，无法满足日益提升的网络安全需求。

在网络流量识别和关联方面，通常以五元组{源IP地址、目的IP地址、协议号、源端口、目的端口}来标识一条网络流量，除了网络流五元组，缺乏用于标识网络流合法性的有效信息，而五元组作为一种通用标识和共有网络属性，本身也不具有私密性，无法用来识别、关联和控制非法流量。网络流量识别和关联是入侵检测、僵尸网络检测、跳板主机发现、匿名通信追踪和攻击溯源等研究领域中的关键问题，传统的流量识别和关联技术主要采用两种方式：

一类是被动的方式，通过对流量进行统计分析，提取字符频率、数据包大小分布、流量ON/OFF行为等流量特征对流量进行关联和分析，该类方法提出的前提是假设网络流量具有某种潜在的规律性，即网络流具有自相似性质，研究表明网络流量在大的时间范围内具有一定的自相似性，但某一时刻的网络流量由于受多种因素影响往往会表现出一定的随机性，因此无法基于统计规律对某一时刻的网络流量进行准确分析，因此该类方法实际实施的效果较差。

另一类是主动的方式，如通过对数据包头标志位进行置位或者对数据包载荷进行填充等方法在网络流中主动地嵌入信息，从而对网络流量进行关联，该方法进行网络流关联和分析的准确性较高，但由于要对数据包头或载荷进行修改和填充，嵌入的信息容易被攻击者检测到从而进行修改或移除，同时该方法也不适用于对加密流量进行分析。