本发明涉及无线通信技术领域,具体涉及一种网络隐蔽信道的干扰方法及系统。
背景技术:
隐秘信道严重危害着网络安全的入侵,违背了系统设计者原本意图,网络隐蔽信道通常被黑客用来窃取未被授权的数据,造成严重的信息泄露事故,同时,它也是恐怖分子逃避监控,进行隐蔽通信的重要手段。对时间信道干扰技术的研究,起源于对多安全级别的系统中间信道的干扰,其中,典型的工作如hu等人提出的模糊系统时间法,该方法很好地消除了主机系统内存在的隐蔽信道,但无法消除在网络中的时间信道。随后科研工作人员又提出了网络泵的思想,但网络泵仍可能会泄露信息,因而提出了时间受限环境下量化时间间隔的隐蔽信道消除方法,由于这种方法是使每个时间间隔固定发送一个网络包,无法阻止大时间间隔的时间信道,另外这种方法是在假设内存为无限大情况下工作的,相继又提出了内存受限环境中自适应的干扰策略,但该方法的会使得网络的吞吐量较低,随着对时间信道中调制技术的深入研究,很难准确地检测到时间信道。
技术实现要素:
因此,本发明提供一种网络隐蔽信道的干扰方法及系统,解决了传统干扰法对内存的依赖以及网络吞吐量较低及无法干扰基于大时间间隔编码的隐蔽信道问题。
第一方面,本发明实施例提供一种网络隐蔽信道的干扰方法,包括:根据用户设定参数c及最大包延迟生成时间片的长度s;获取各服务器在队列中的网络包等待的时间信息及网络包进入队列后等待的时间片个数;获取服务器发送的时间信息,当用户设定的时间片个数c-1小于网络包进入队列后等待的时间片个数di时,获取各服务器发送的报告队列中网络包是否等于(c-1)×s个时间片,如果等于时,则立即转发网络包,其中,i表示第i个服务器;如果不等于时,则继续获取各服务器在队列中的网络包等待的时间信息及网络包从进入队列后等待的时间片个数;当用户设定的时间片个数c-1不小于网络包从进入队列后等待的时间片个数时,将网络包延迟k个时间片再发送到发送队列。
在一实施例中,所述时间片的长度s通过以下公式计算:
s=d/c,
其中,c为用户设定参数,d为最大包延迟,这样便将最大包延迟为d划分成相等的c个时间段。
在一实施例中,所述k的值利用伪随机函数生成,通过以下公式计算:
k=r(c-di-1),
其中,r是伪随机函数,0<k<c-di-1,且k取到每一个值的概率均等。
在一实施例中,k取到每一个值的概率通过以下公式计算:
p(r(u)=j)=1/u,1≤j≤u,
其中,u=c-di-1,p是k取到时间片j的概率。
第二方面,本发明实施例提供一种网络隐蔽信道的分布式干扰系统,包括:干扰网关装置、发送器、接收器,接收缓冲区、发送缓冲区、管理机,其中,所述干扰网关装置在发送器与接收器之间的中间节点上,将请求转发的网络包暂存在服务器的闲置空间;接收器用于收到网络包,对网络包的发送者给出应答,并将该网络包传输到合适的接收缓冲区,若存放成功则给发送器返回确认字符,否则等待,直到发送缓冲区中有可用空间才可以转发;发送器用于从发送缓冲区将网络包取出进行发送,若收到响应信息,则可判断发送成功;网络隐蔽时间信道利用网络包的发送时延作为载体传输隐蔽信息;管理机采用本发明第一方面网络隐蔽信道的干扰方法,进行动态地迁移网络包。
在一实施例中,所述干扰网关设置为一个工作组,所述工作组的计算机都具有一个队列,均可临时贡献存储区,使得网络包可以迁移到工作组的任何机器上;将各个服务器上队列中网络包的个数定义成负载,当网络包的数量超过预设的限制是将这些网络迁移到别的计算机上;管理机根据负载的情况迁移网络包,各工作组的计算机动态地报告本机队列的长度,管理机根据各负载情况进行动态地迁移网络包,将接收到的网络包存放到发送队列长度最短的计算机上。
在一实施例中,所述发送缓冲区与接收缓冲区之间设置有物理隔离。
第三方面,本发明实施例提供一种终端,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行本发明实施例第一方面所述的网络隐蔽信道的干扰方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行本发明实施例第一方面所述的网络隐蔽信道的干扰方法。
本发明技术方案,具有如下优点:
1、本发明提供的网络隐蔽信道的干扰方法,根据用户设定参数c及最大包延迟生成时间片的长度s;获取各服务器在队列中的网络包等待的时间信息及网络包进入队列后等待的时间片个数di;获取服务器发送的时间信息,当用户设定的时间片个数c-1小于di时,获取各服务器发送的报告队列中网络包是否等于(c-1)×s个时间片,如果等于时,则立即转发网络包;否则,则继续获取各服务器在队列中的网络包等待的时间信息及网络包从进入队列后等待的时间片个数;当用户设定的时间片个数c-1不小于网络包从进入队列后等待的时间片个数时,将网络包延迟k个时间片再发送到发送队列,本发明提供的网络隐蔽信道的干扰方法,可有效降低网络隐蔽时间信道的可用性。
2、本发明提供的网络隐蔽信道的干扰系统,将干扰网关装置在发送器与接收器之间的中间节点上,将请求转发的网络包暂存在服务器的闲置空间;接收器用于收到网络包,对网络包的发送者给出应答,并将该网络包传输到合适的接收缓冲区,若存放成功则给发送器返回确认字符,否则等待,直到发送缓冲区中有可用空间才可以转发;发送器用于从发送缓冲区将网络包取出进行发送,若收到响应信息,则可判断发送成功;网络隐蔽时间信道利用网络包的发送时延作为载体传输隐蔽信息;管理机采用网络隐蔽信道的干扰方法,进行动态地迁移网络包,本发明提供的网络隐蔽信道的干扰系统,克服了传统干扰系统存储容量的不足的问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络隐蔽时间信道的干扰方法的一个示例流程图;
图2为本发明实施例提供的网络隐蔽时间信道的干扰系统的组成图;
图3为本发明实施例提供的网络隐蔽时间信道干扰系统的实验环境的组成图;
图4为本发明实施例提供的网络隐蔽时间信道干扰系统stc在被干扰前后的传输率曲线;
图5为本发明实施例提供的网络隐蔽时间信道干扰系统rctc在被干扰前后的传输率曲线;
图6为本发明实施例提供的网络隐蔽时间信道干扰系统干扰后时间信道的错误率曲线;
图7为本发明实施例提供的网络隐蔽时间信道干扰系统的网络系统的吞吐量随最大延迟时间变化的曲线;
图8为本发明实施例提供的终端的模块组成图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
实施例1
本发明实施例提供一种网络隐蔽信道的干扰方法,可有效降低网络隐蔽时间信道的可用性。如图1所示,该网络隐蔽信道的干扰方法包括:
步骤s1:根据用户设定参数c及最大包延迟生成时间片的长度s;
本实施例中,管理机产生时间片s,将最大包延迟d划分成相等的c个时间段。时间片的长度s通过以下公式计算:
s=d/c,
其中,c为用户设定参数,d为最大包延迟,这样便将最大包延迟d划分成相等的c个时间段。
步骤s2:获取服务器发送的时间信息,当用户设定的时间片个数c-1小于网络包进入队列后等待的时间片个数di时,获取各服务器发送的报告队列中网络包。
步骤s3:判断各服务器发送的报告队列中网络包是否等于(c-1)×s个时间片。
步骤s4:如果等于时,则立即转发网络包。
步骤s5:如果不等于时,则继续获取各服务器在队列中的网络包等待的时间信息及网络包从进入队列后等待的时间片个数。
步骤s6:当用户设定的时间片个数c-1不小于网络包从进入队列后等待的时间片个数时,将网络包延迟k个时间片再发送到发送队列。
在本发明实施例中,k值利用伪随机函数生成,通过以下公式计算:
k=r(c-di-1),
其中,r是伪随机函数,0<k<c-di-1,且k取到每一个值的概率均等。
在本发明实施例中,k取到每一个值的概率通过以下公式计算:
p(r(u)=j)=1/u,1≤j≤u,
其中,u=c-di-1,p是k取到时间片j的概率。
本发明实施例中,干扰方法对网络隐蔽时间信道的影响是统计延迟时间的目的,通过延迟时间的目的去传递信息,从而可有效降低网络隐蔽时间信道的可用性。
实施例2
本发明实施例提供一种网络隐蔽时间信道干扰系统,如图2所示,该系统包括:干扰网关装置、发送器、接收器,接收缓冲区、发送缓冲区、管理机,其中,干扰网关装置为干扰器,设置在发送器与接收器之间的中间节点上,在内部网络与外部网络之间加入一个dmz区(中间网络),当干扰器本身的存储空间较少时可以将请求转发的网络包暂存在其他服务器的闲置空间中,由于无法确定网络中的哪个节点是隐蔽通信的参与者,因此需要处理大量的存储空间存储网络包;接收器用于收到网络包,若存放成功便给发送者返回一个返回确认字符ack,对网络包的发送者给出应答,并将该网络包传输到合适的接收缓冲区,若存放成功则给发送器返回确认字符req,否则等待,直到发送缓冲区中有可用空间才可以转发;发送器用于从发送缓冲区将网络包取出进行发送,若收到响应信息,则可判断发送成功;网络隐蔽时间信道利用网络包的发送时延作为载体传输隐蔽信息;管理机采用实施例1中的网络隐蔽信道的干扰方法,进行动态地迁移网络包。
本发明实施例中,干扰网关设置为一个工作组,工作组的计算机都具有一个队列,均可临时贡献存储区,使得网络包可以迁移到工作组的任何机器上;将各个服务器上队列中网络包的个数定义成负载,当网络包的数量超过预设的限制是将这些网络迁移到别的计算机上;在该干扰器中形成了一个工作组,该工作组中的每台机器上都具有一个队列;管理机根据负载的情况迁移网络包,而每个主机上的负载是各个队列中的网络包的个数;在工作过程中,各工作组的计算机动态地报告本机队列的长度,管理机根据各负载情况进行动态地迁移网络包,将接收到的网络包存放到发送队列长度最短的计算机上。
本发明实施例中,发送缓冲区与接收缓冲区之间设置有物理隔离,使得隐蔽信息无法直接被发送出去。
本发明实施例中,时间信道的干扰实验在局域网环境下进行,这是因为在广域网上有许多干扰存在,这使得干扰器并非处于最佳工作环境中。某一个主机往往无法同时容纳整个网络所需转发的网络包,因此,采用多台机器来模拟图2中的多个服务器,并建立网络隐蔽时间信道干扰系统的实验环境如图3。
图3中,地址为172.16.2.1的主机是一个代理服务器,它负责转发网络包,当该主机上的存储空间不足时,可以将待转发的网络包转发到其它主机上。
时间信道的传输性能主要是指时间信道传输隐蔽信息的速率,以及在传输过程中的出错率,即传输率与误码率。为了获取图3所示的干扰系统对时间信道干扰后的传输率,本发明实施例设计了传输效率实验,实验步骤如下:(1)分别选择典型隐蔽时间信道stc以及时间信道rctc发送数据;(2)在发送端选取一个大小为50kb的文件作为需要发送的隐蔽信息,时间信道的发送端每次发送一个大小为1024字节的载体网络包,并由该网络包携带隐蔽数据,持续发送45分钟。(3)在干扰系统中采用实施例1中的网络隐蔽信道的干扰方法分别对这两种时间信道进行干扰,并设定最大延迟时间d=200ms,用户设定最大时间片个数c=50。通过图4和图5可知在两种信道的被干扰系统干扰后,它们的传输率都趋于0。stc在45分钟内,接收端无法正确地提取0.2kb的隐蔽信息,通过图4和图5可知rctc在干扰后传输率比stc在被干扰后的效率要略好一些,45分钟内传输的信息量约为0.4kb,这是由于rctc进行了错误重传的传输策略所引起的。由这两个干扰实验可知,在到达率到达一定程度时,被干扰器干扰后的时间信道的容量为0,这与仿真出的结果相符。同时,这个实验同时也说明即使时间信道受到非常强干扰,致使其容量为0时,也可能存在信息泄露情况。
为了得到隐蔽信息通过受干扰后的时间信道的情况,定义指标错误率来衡量干扰器的性能:
为了获取实施例1中的网络隐蔽信道的干扰方法的错误率,本发明实施例设计了如下实验:分别使用大小为50kb、100kb、150kb、200kb、250kb、300kb和350kb的文件,分别使用stc与rctc将它们作为隐蔽信息发送到接收端,分别使用传统的量化干扰法,与分布式随机干扰法进行干扰。
从图6可知,stc的传输错误率接近95%,在这种误码率条件下,隐蔽信道是无法正常工作的。而能够较好地抵抗隐蔽信道攻击的rctc的传输率错误约83%。由此可知,时间信道被干扰系统干扰后只有极少量的信息被泄露,其可用性非常差。而分布式随机干扰法的干扰性能明显好于量化干扰法,这是因为量化干扰法无法干扰大时间片的编码。
干扰系统通过对网络包采取延迟转发达到了降低时间信道效率以及增加其传输时误码率的目的。然而,干扰器的引入也会对网络系统的可用性变差,即用户使用正常网络的收发数据的速度变慢。这反映在网络的吞吐量变小了。因此,实施干扰方案时网络吞吐量是需要重点考虑的指标,被干扰系统作用后的网络收发数据的速度需能被用户所接受。为了验证干扰系统对网络吞吐量的影响,而对吞吐量影响最大的参数便是网络包的最大延迟时间d,因此本发明实施例设计验证d与吞吐量关系的实验:(1)在发送端以800packets/sec的速率发送网络包;(2)在干扰系统中使用实施例1中的网络隐蔽信道的干扰方法进行干扰,并且选择不同大小的d。吞吐量随着d变化的曲线如图7所示。
本发明实施例提供的网络隐蔽时间信道干扰系统,通过对网络包采取延迟转发,达到了降低时间信道效率以及增加其传输时误码率的目的。
实施例3
本发明实施例提供一种终端,如图8所示,包括:至少一个处理器401,例如cpu(centralprocessingunit,中央处理器),至少一个通信接口403,存储器404,至少一个通信总线402。其中,通信总线402用于实现这些组件之间的连接通信。其中,通信接口403可以包括显示屏(display)、键盘(keyboard),可选通信接口403还可以包括标准的有线接口、无线接口。存储器404可以是高速ram存储器(ramdomaccessmemory,易挥发性随机存取存储器),也可以是非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。存储器404可选的还可以是至少一个位于远离前述处理器401的存储装置。其中处理器401可以执行实施例1中的网络隐蔽时间信道的干扰方法。存储器404中存储一组程序代码,且处理器401调用存储器404中存储的程序代码,以用于执行实施例1中的网络隐蔽时间信道干扰方法。其中,通信总线402可以是外设部件互连标准(peripheralcomponentinterconnect,简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,简称eisa)总线等。通信总线402可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条线表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器404可以包括易失性存储器(英文:volatilememory),例如随机存取存储器(英文:random-accessmemory,缩写:ram);存储器也可以包括非易失性存储器(英文:non-volatilememory),例如快闪存储器(英文:flashmemory),硬盘(英文:harddiskdrive,缩写:hdd)或固降硬盘(英文:solid-statedrive,缩写:ssd);存储器404还可以包括上述种类的存储器的组合。
其中,处理器401可以是中央处理器(英文:centralprocessingunit,缩写:cpu),网络处理器(英文:networkprocessor,缩写:np)或者cpu和np的组合。
其中,处理器401还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specificintegratedcircuit,缩写:asic),可编程逻辑器件(英文:programmablelogicdevice,缩写:pld)或其组合。上述pld可以是复杂可编程逻辑器件(英文:complexprogrammablelogicdevice,缩写:cpld),现场可编程逻辑门阵列(英文:field-programmablegatearray,缩写:fpga),通用阵列逻辑(英文:genericarraylogic,缩写:gal)或其任意组合。
可选地,存储器404还用于存储程序指令。处理器401可以调用程序指令,实现如本申请执行实施例1中的网络隐蔽信道的干扰方法。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机可执行指令,该计算机可执行指令可执行实施例1中的网络隐蔽信道的干扰方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)、随机存储记忆体(randomaccessmemory,ram)、快闪存储器(flashmemory)、硬盘(harddiskdrive,缩写:hdd)或固降硬盘(solid-statedrive,ssd)等;所述存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
1.一种网络隐蔽信道的干扰方法,其特征在于,包括:
根据用户设定参数c及最大包延迟生成时间片的长度s;
获取各服务器在队列中的网络包等待的时间信息及网络包进入队列后等待的时间片个数;
获取服务器发送的时间信息,当用户设定的时间片个数c-1小于网络包进入队列后等待的时间片个数di时,获取各服务器发送的报告队列中网络包是否等于(c-1)×s个时间片,如果等于时,则立即转发网络包;如果不等于时,则继续获取各服务器在队列中的网络包等待的时间信息及网络包从进入队列后等待的时间片个数;
当用户设定的时间片个数c-1不小于网络包从进入队列后等待的时间片个数时,将网络包延迟k个时间片再发送到发送队列。
2.根据权利要求1所述的网络隐蔽信道的干扰方法,其特征在于,所述时间片的长度s通过以下公式计算:
s=d/c,
其中,c为用户设定参数,d为最大包延迟。
3.根据权利要求1所述的网络隐蔽信道的干扰方法,其特征在于,所述k的值利用伪随机函数生成,通过以下公式计算:
k=r(c-di-1),
其中,r是伪随机函数,0<k<c-di-1,且k取到每一个值的概率均等。
4.根据权利要求3所述的网络隐蔽信道的干扰方法,其特征在于,k取到每一个值的概率通过以下公式计算:
p(r(u)=j)=1/u,1≤j≤u,
其中,u=c-di-1,p是k取到时间片j的概率。
5.一种网络隐蔽信道的分布式干扰系统,其特征在于,包括:干扰网关装置、发送器、接收器,接收缓冲区、发送缓冲区、管理机,其中,
所述干扰网关装置在发送器与接收器之间的中间节点上,将请求转发的网络包暂存在服务器的闲置空间;
接收器用于收到网络包,对网络包的发送者给出应答,并将该网络包传输到合适的接收缓冲区,若存放成功则给发送器返回确认字符,否则等待,直到发送缓冲区中有可用空间才可以转发;
发送器用于从发送缓冲区将网络包取出进行发送,若收到响应信息,则可判断发送成功;
网络隐蔽时间信道利用网络包的发送时延作为载体传输隐蔽信息;
管理机采用如权利要1-4任一所述的网络隐蔽信道的干扰方法,进行动态地迁移网络包。
6.根据权利要求5所述的网络隐蔽信道的分布式干扰系统,其特征在于,所述干扰网关设置为一个工作组,所述工作组的计算机都具有一个队列,均可临时贡献存储区,使得网络包可以迁移到工作组的任何机器上;
将各个服务器上队列中网络包的个数定义成负载,当网络包的数量超过预设的限制是将这些网络迁移到别的计算机上;
管理机根据负载的情况迁移网络包,各工作组的计算机动态地报告本机队列的长度,管理机根据各负载情况进行动态地迁移网络包,将接收到的网络包存放到发送队列长度最短的计算机上。
7.根据权利要求5所述的网络隐蔽信道的分布式干扰系统,其特征在于,所述发送缓冲区与接收缓冲区之间设置有物理隔离。
8.一种终端,其特征在于,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行权利要求1-4中任一所述的网络隐蔽信道的干扰方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1-4中任一所述的网络隐蔽信道的干扰方法。
技术总结