專利名稱:基于適應(yīng)性隨機(jī)延遲的tcp/ip網(wǎng)絡(luò)隱蔽時(shí)間信道干擾方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種電信技術(shù)領(lǐng)域的信道干擾方法,具體地說,涉及的是一種 基于適應(yīng)性隨機(jī)延遲的TCP/IP網(wǎng)絡(luò)隱蔽時(shí)間信道干擾方法。
背景技術(shù):
在網(wǎng)絡(luò)隱蔽時(shí)間信道中,待發(fā)送的敏感信息被調(diào)制到數(shù)據(jù)包發(fā)送序列的速率 上,而非數(shù)據(jù)包本身,因此敏感信息可以被秘密地傳送。這種信道通過操控?cái)?shù)據(jù)包 發(fā)送的時(shí)間,間接隱蔽地傳送信息,因而可以繞過正常的網(wǎng)絡(luò)通信監(jiān)管機(jī)制,對(duì)信 息的私密性,信息系統(tǒng)訪問控制以及審計(jì)帶來危害。正是因?yàn)榫W(wǎng)絡(luò)隱蔽時(shí)間信道所 帶來的種種危害性,處理敏感信息的多密級(jí)信息系統(tǒng)及網(wǎng)絡(luò)需要對(duì)網(wǎng)絡(luò)隱蔽時(shí)間信 道加以干擾和控制,以進(jìn)行信息安全隔離和防止信息泄露。網(wǎng)絡(luò)隱蔽時(shí)間信道已經(jīng) 在當(dāng)前廣泛使用的因特網(wǎng)中得到實(shí)現(xiàn),對(duì)互聯(lián)網(wǎng)絡(luò)安全性帶來了極大的威脅。
由于網(wǎng)絡(luò)隱蔽時(shí)間信道寄生于正常網(wǎng)絡(luò)通信,對(duì)網(wǎng)絡(luò)隱蔽時(shí)間信道的干擾必然 對(duì)正常網(wǎng)絡(luò)通信帶來負(fù)面影響,因此對(duì)網(wǎng)絡(luò)隱蔽時(shí)間信道的干擾必須考慮這些負(fù)面 影響。對(duì)網(wǎng)絡(luò)隱蔽時(shí)間信道的干擾必須在一些實(shí)際的限制條件下迸行,把負(fù)面影響 控制在一定范圍之內(nèi)。
經(jīng)對(duì)現(xiàn)有技術(shù)的文獻(xiàn)檢索發(fā)現(xiàn),美國(guó)UIUC的學(xué)者James Giles和Bruce Hajek于 2002年3月在IEEE Transactions on Information Theory (IEEE信息論匯刊)第48巻 2455頁(yè)上發(fā)表了題為"An Information-theoretic and game-theoretic study of timing channels"(以信息論和博弈論角度對(duì)時(shí)間信道的研究)的文章。該文提出 周期性清空轉(zhuǎn)發(fā)器(periodical dumper)和周期性量化清空轉(zhuǎn)發(fā)器(quant ized periodical dumper)以解決在單一限制條件下對(duì)網(wǎng)絡(luò)隱蔽時(shí)間信道的干擾,并對(duì)各 種情況作出了干擾效果分析。該方法的不足之處在于其限制條件的單一性,單一考 慮限制條件得出的干擾方案并不具有實(shí)際可用性。在僅僅考慮最大延遲受限中,該方法假設(shè)干擾網(wǎng)關(guān)的緩沖區(qū)是無限大的,但實(shí)際任何網(wǎng)絡(luò)設(shè)備的緩沖區(qū)都是受限 的,不考慮這一點(diǎn)帶來的后果往往是網(wǎng)絡(luò)阻塞,數(shù)據(jù)包丟失。在僅僅考慮有緩沖區(qū) 限制條件時(shí),該方法給出的干擾方案又可能導(dǎo)致某些數(shù)據(jù)包永久滯留在干擾網(wǎng)關(guān) 中,導(dǎo)致最大延遲無限大,嚴(yán)重影響正常網(wǎng)絡(luò)服務(wù)。為了得到實(shí)際可用的網(wǎng)絡(luò)隱蔽 時(shí)間信道干擾方法,限制條件必須給予綜合考慮。
發(fā)明內(nèi)容
本發(fā)明針對(duì)現(xiàn)有技術(shù)的不足,提供一種基于適應(yīng)性隨機(jī)延遲的TCP/IP網(wǎng)絡(luò)隱 蔽時(shí)間信道干擾方法,在有效干擾網(wǎng)絡(luò)隱蔽時(shí)間信道,降低其信道的容量的同時(shí), 又保證了一定的網(wǎng)絡(luò)服務(wù)質(zhì)量,從而可以用于實(shí)際網(wǎng)絡(luò)系統(tǒng)中的隱蔽時(shí)間信道干 擾。
本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的,本發(fā)明將網(wǎng)絡(luò)數(shù)據(jù)包存儲(chǔ)在干擾網(wǎng)關(guān)緩沖 區(qū)內(nèi),對(duì)隊(duì)列內(nèi)的數(shù)據(jù)包依次轉(zhuǎn)發(fā),對(duì)于每一個(gè)處于隊(duì)列首位的數(shù)據(jù)包加以隨機(jī)延 遲,該隨機(jī)延遲的最大值受隊(duì)列長(zhǎng)度影響,當(dāng)隊(duì)列較長(zhǎng),網(wǎng)絡(luò)比較擁塞時(shí),隨機(jī)延 遲的最大值變小,數(shù)據(jù)包的轉(zhuǎn)發(fā)速度就加快,因此該方法對(duì)網(wǎng)絡(luò)流量具有適應(yīng)性。
本發(fā)明包括如下步驟
步驟一,根據(jù)網(wǎng)絡(luò)路徑中可能存在的隱蔽信息流,采用現(xiàn)有的技術(shù)確定干擾網(wǎng) 關(guān)的部署位置。為了方便干擾網(wǎng)關(guān)的存儲(chǔ)轉(zhuǎn)發(fā),對(duì)應(yīng)于每一個(gè)隱蔽信息流,系統(tǒng)為 其分配一個(gè)緩沖區(qū),其大小記為B(可以存儲(chǔ)的數(shù)據(jù)包個(gè)數(shù))。
步驟二,根據(jù)干擾網(wǎng)關(guān)網(wǎng)絡(luò)性能用壓力測(cè)試確定基本時(shí)間單位,記該時(shí)間單位 為T。在單位時(shí)間T內(nèi),干擾網(wǎng)關(guān)只能接收和發(fā)送一個(gè)數(shù)據(jù)包。
所述用壓力測(cè)試確定基本時(shí)間單位,即針對(duì)具體的網(wǎng)關(guān)和網(wǎng)絡(luò),在網(wǎng)關(guān)不丟包 的情況下,以最大可能的速率向網(wǎng)關(guān)發(fā)送數(shù)據(jù)包讓其轉(zhuǎn)發(fā),記錄數(shù)據(jù)包到達(dá)和離開 干擾網(wǎng)關(guān)的時(shí)間序列,這樣可以得到兩組時(shí)間間隔序列,分別描述數(shù)據(jù)包到達(dá)和離 開之間的時(shí)間間隔,選擇這兩組時(shí)間序列中的最小值作為基本時(shí)間單位,這樣使得 該基本單位滿足在任一單位時(shí)間內(nèi),網(wǎng)關(guān)所接收和轉(zhuǎn)發(fā)的數(shù)據(jù)包不超過一個(gè)。
步驟三,干擾網(wǎng)關(guān)截獲網(wǎng)絡(luò)隱蔽信息流的數(shù)據(jù)包,將這些數(shù)據(jù)包依次存入緩沖 區(qū)隊(duì)列中,以便干擾網(wǎng)關(guān)對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),擾亂原有數(shù)據(jù)包的時(shí)間特性。步驟四,對(duì)于每一個(gè)處于隊(duì)列首位的數(shù)據(jù)包i,干擾網(wǎng)關(guān)都對(duì)它延遲S個(gè)時(shí)間 單位后再發(fā)送。
所述隨機(jī)延遲變量S,的值按如下方法獲得首先獲取當(dāng)前緩沖區(qū)隊(duì)列長(zhǎng)度, 記為Z, 。 £,表示緩沖區(qū)內(nèi)隊(duì)列的長(zhǎng)度。如果隊(duì)列非空,Z,的值由第i-l個(gè)包離開 時(shí)刻的隊(duì)列長(zhǎng)度決定。如果隊(duì)列為空,則丄,的值在第i個(gè)包到達(dá)的時(shí)候設(shè)為l。因 此S》Z, 21;其次計(jì)算獲得為數(shù)據(jù)包獲得一個(gè)隨機(jī)窗口『,B-Z,+1,該隨機(jī)窗口 的意義是用來限定隨機(jī)延遲,并且窗口隨緩沖區(qū)隊(duì)列長(zhǎng)度變化,體現(xiàn)干擾方法對(duì)數(shù) 據(jù)流的適應(yīng)性。然后系統(tǒng)產(chǎn)生一個(gè)隨機(jī)整數(shù)《,滿足0〈&<『,,并且S在(o,『,)
區(qū)間按概率均勻分布。
本發(fā)明的優(yōu)點(diǎn)在于首先,本發(fā)明兼顧了網(wǎng)絡(luò)通信中防止泄密和保證通信質(zhì)量
的需要,步驟四中計(jì)算隨機(jī)窗口 w并保證等待時(shí)間不超過該值的方法體現(xiàn)了干擾策
略對(duì)網(wǎng)絡(luò)流量的適應(yīng)性。當(dāng)數(shù)據(jù)包發(fā)送較快,網(wǎng)絡(luò)比較擁堵,緩沖區(qū)內(nèi)隊(duì)列較長(zhǎng) 時(shí),相應(yīng)延遲的時(shí)間就越短,轉(zhuǎn)發(fā)也就越快。同時(shí)在延遲不超過隨機(jī)窗口的情況 下,具體延遲的時(shí)間單位數(shù)值隨機(jī)確定,這樣使轉(zhuǎn)發(fā)流量并不依賴于數(shù)據(jù)包的到達(dá) 流量的時(shí)間特性,通過對(duì)網(wǎng)絡(luò)流量時(shí)間特性的隨機(jī)化降低了隱蔽時(shí)間信道的容量。 其次,本發(fā)明可直接運(yùn)用于TCP/IP網(wǎng)絡(luò)中,對(duì)網(wǎng)絡(luò)路由器的轉(zhuǎn)發(fā)模塊略加修改即 可增加對(duì)隱蔽時(shí)間信道的干擾功能。
圖l:網(wǎng)絡(luò)隱蔽信道干擾模型示意圖
圖2: —個(gè)基于Lirmx系統(tǒng)實(shí)現(xiàn)的干擾網(wǎng)關(guān)中的系統(tǒng)數(shù)據(jù)流圖
圖3:數(shù)據(jù)包調(diào)度流程圖
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明的實(shí)施例作詳細(xì)說明本實(shí)施例在以本發(fā)明技術(shù)方案為 前提下進(jìn)行實(shí)施,給出了詳細(xì)的實(shí)施方式和具體的操作過程,但本發(fā)明的保護(hù)范圍 不限于下述的實(shí)施例。
首先描述進(jìn)行干擾的環(huán)境和限制條件,在如圖l所示的一個(gè)網(wǎng)絡(luò)隱蔽時(shí)間信道 通信模型中,高密級(jí)主體(High)將敏感信息調(diào)制在數(shù)據(jù)包發(fā)出的時(shí)間序列上,這個(gè)
6序列可以用數(shù)據(jù)包到達(dá)流表示,到達(dá)流是相對(duì)于隱蔽通信信道中經(jīng)過的干擾網(wǎng)關(guān) (Mitigation Gateway)而言。通過解碼經(jīng)過干擾網(wǎng)關(guān)后的數(shù)據(jù)包離開流的時(shí)間特 性,低密級(jí)主體(Low)就可以獲知該敏感信息。本發(fā)明給出的網(wǎng)絡(luò)隱蔽時(shí)間信道的 干擾方法可以有效降低網(wǎng)絡(luò)隱蔽時(shí)間信道容量,并同時(shí)滿足多個(gè)基于網(wǎng)絡(luò)服務(wù)質(zhì)量 的限制條件。這些限制條件包括
1) 干擾策略不能丟棄數(shù)據(jù)包,也不能自身生成數(shù)據(jù)包。
2) 干擾策略不能擾亂原有數(shù)據(jù)包的順序。
3) 在任何一個(gè)時(shí)刻,干擾網(wǎng)絡(luò)中滯留的數(shù)據(jù)包數(shù)量不能超過其緩沖區(qū)最大長(zhǎng)度。
4) 對(duì)任意一個(gè)數(shù)據(jù)包而言,由干擾網(wǎng)關(guān)造成的延遲不能超過某個(gè)最大限制。 下面的內(nèi)容以一個(gè)己經(jīng)實(shí)現(xiàn)的基于Linux系統(tǒng)的干擾網(wǎng)關(guān)為基礎(chǔ),結(jié)合發(fā)明步
驟說明具體實(shí)施例。干擾網(wǎng)關(guān)的核心程序是 Jammer IP1 IP2 Buffer Interval
該程序有四個(gè)參數(shù),其中參數(shù)IP1和IP2標(biāo)志一個(gè)潛在的隱蔽信息流,也就是 擬干擾對(duì)象,第三個(gè)參數(shù)Buffer表示為此干擾分配的緩沖區(qū)長(zhǎng)度,長(zhǎng)度越大,可 能形成的隱蔽信道容量就越低,但是帶給數(shù)據(jù)包的延遲,對(duì)吞吐量的影響就越大。 而最后一個(gè)參數(shù)Interval就指明了進(jìn)行轉(zhuǎn)發(fā)的最小時(shí)間單位。
首先分析網(wǎng)絡(luò)中保密的需求,找出可能存在的隱蔽時(shí)間信息流并將這些信息流 作為干擾對(duì)象。通常在多密級(jí)網(wǎng)絡(luò)系統(tǒng)中,不同密級(jí)的主機(jī)處于不同于網(wǎng)絡(luò)中,而 干擾網(wǎng)關(guān)則可以部署在不同的網(wǎng)段之間。需要進(jìn)行防泄密保護(hù)的對(duì)象通常是存儲(chǔ)私 密信息的服務(wù)器,在了解這些服務(wù)器的合法用戶及其相應(yīng)密級(jí)之后,就可以識(shí)別可 能攜帶隱蔽信息的信息流。在本實(shí)例中,信息流用IP地址對(duì)來標(biāo)志,請(qǐng)注意IP地 址可以是具體主機(jī)的IP地址,也可以是子網(wǎng)的網(wǎng)絡(luò)地址。與此同時(shí),對(duì)于具體的
信息流,根據(jù)其應(yīng)用特點(diǎn)和所保護(hù)信息的私密度,確定緩沖區(qū)大小B,給予一個(gè)具 體值。在調(diào)用干擾程序Jammer時(shí),需要將這三個(gè)參數(shù)傳入。
步驟二要確立基本時(shí)間單位,在一個(gè)基本時(shí)間單位內(nèi),最多只能有一個(gè)數(shù)據(jù)包 被接收,最多也只能有一個(gè)數(shù)據(jù)包被發(fā)送。本實(shí)例中隱蔽通信雙方的網(wǎng)卡及驅(qū)動(dòng)都 具備lOOMbps的傳送能力,網(wǎng)絡(luò)鏈路為100B-TX雙絞線,干擾網(wǎng)關(guān)的配置為CPUIntel Pentium 1.6GHZ,內(nèi)存1G,網(wǎng)卡100Mbps,操作系統(tǒng)是Fedora 2,版本 為2.6.5。在這種環(huán)境下使用壓力測(cè)試,測(cè)得的最小時(shí)間單位為100微秒。同時(shí), 在調(diào)用程序時(shí),最小時(shí)間單位也需要作為最后一個(gè)參數(shù)傳入。
步驟三中要求干擾網(wǎng)關(guān)截獲隱蔽數(shù)據(jù)流,進(jìn)行存儲(chǔ)轉(zhuǎn)發(fā)。圖2說明了一個(gè)在基 于Linux系統(tǒng)的路由器中實(shí)現(xiàn)了本發(fā)明的干擾網(wǎng)關(guān)的數(shù)據(jù)流圖。該數(shù)據(jù)流圖展示了 在Limix系統(tǒng)中實(shí)現(xiàn)截獲數(shù)據(jù)流并進(jìn)行存儲(chǔ)轉(zhuǎn)發(fā)的方法。數(shù)據(jù)包經(jīng)由MAC (媒體接 入控制)層被網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)獲取之后,被內(nèi)核中的ip一rev函數(shù)接收到IP層,之后 在干擾網(wǎng)關(guān)IP層內(nèi)可以使用netf ilter機(jī)制在PREROUTING處理環(huán)節(jié)將數(shù)據(jù)包重定 向,以期這些數(shù)據(jù)包能到達(dá)用戶態(tài)空間。重定向環(huán)節(jié)修改相關(guān)地址信息后,數(shù)據(jù)包 經(jīng)過內(nèi)核函數(shù)ip—rev—finish, dst—i叩ut, ip—local—deliver的處理,通過鉤子 函數(shù)的掛載點(diǎn)LOCAL—IN后被ip—local—deliver—finish函數(shù)送往數(shù)據(jù)報(bào)接收模 塊。數(shù)據(jù)包接收模塊通過網(wǎng)絡(luò)編程接口接收數(shù)據(jù)包后,把數(shù)據(jù)包送入緩沖區(qū)隊(duì)列, 經(jīng)過調(diào)度模塊的調(diào)度后通過數(shù)據(jù)包發(fā)送模塊發(fā)出。在數(shù)據(jù)包發(fā)送模塊處理后,數(shù)據(jù) 包被 一 系歹U IP 層內(nèi)核函數(shù)(dst—output, ip一output, ip一fragment, ip一output一finish , dev—queen—xmit, hard—start—xmit) 及相關(guān)模塊 (POST—ROUTING, Neighboring System, Traffic Control System)處理,最后經(jīng)由 網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)發(fā)出。
步驟四要求對(duì)數(shù)據(jù)包進(jìn)行隨機(jī)延遲后轉(zhuǎn)發(fā),并且轉(zhuǎn)發(fā)的速度還要體現(xiàn)對(duì)網(wǎng)絡(luò)數(shù) 據(jù)流的適應(yīng)性。該延遲的獲得也可以通過簡(jiǎn)單的編程實(shí)現(xiàn),首先通過緩沖區(qū)隊(duì)列獲 得該隊(duì)列長(zhǎng)度,接著與緩沖區(qū)大小B相減后加1得到一個(gè)整數(shù),即隨機(jī)窗口W。通 過編程得到[l, 2, 3,, B-l, B]的最小公倍數(shù)LCM,然后調(diào)用隨機(jī)函數(shù)得到一 個(gè)隨機(jī)整數(shù)N,使得該整數(shù)在[l, LCM]內(nèi)平均分布,然后用該整數(shù)N對(duì)隨機(jī)窗口 W 取模即可得到一個(gè)隨機(jī)延遲,而該延遲在(0, W)內(nèi)均勻分布,既有一定隨機(jī)性, 也可以對(duì)網(wǎng)絡(luò)流量體現(xiàn)出一定的適應(yīng)性。
此外對(duì)數(shù)據(jù)包的調(diào)度要協(xié)調(diào)好數(shù)據(jù)包的接收與發(fā)送之間的關(guān)系。圖3展示了數(shù) 據(jù)包調(diào)度流程,它是實(shí)現(xiàn)干擾的核心,控制了整個(gè)數(shù)據(jù)流的接收及發(fā)送過程的協(xié) 調(diào),給數(shù)據(jù)包發(fā)送增加了隨機(jī)延遲以達(dá)到擾亂隱蔽信道的目的。 一方面在獲取數(shù)據(jù) 包時(shí),系統(tǒng)先要獲取隊(duì)尾地址,作為數(shù)據(jù)包的存儲(chǔ)空間,完成數(shù)據(jù)包的接收之后,要相應(yīng)地調(diào)整隊(duì)列長(zhǎng)度。另一方面,系統(tǒng)要查找隊(duì)列首地址,獲取待發(fā)送數(shù)據(jù)包的 地址,獲取緩沖區(qū)隊(duì)列長(zhǎng)度以計(jì)算隨機(jī)窗口,產(chǎn)生隨機(jī)數(shù)以計(jì)算該數(shù)據(jù)包延遲時(shí) 間。之后進(jìn)程阻塞相應(yīng)的時(shí)間后數(shù)據(jù)包被發(fā)送,這樣數(shù)據(jù)包就得到了相應(yīng)的延遲。 同樣地,數(shù)據(jù)包發(fā)送之后也要相應(yīng)地調(diào)整隊(duì)列長(zhǎng)度。兩個(gè)動(dòng)作序列各由一個(gè)線程完 成,線程之間的協(xié)調(diào)通過緩沖區(qū)隊(duì)列的信號(hào)量實(shí)現(xiàn)。 有效性說明
可以論證,上述基于適應(yīng)性隨機(jī)延遲的網(wǎng)絡(luò)隱蔽時(shí)間信道干擾方法滿足所列舉 出的限制條件。首先,該干擾策略顯然滿足限制條件l和限制條件2。對(duì)于每個(gè)位 于隊(duì)首的數(shù)據(jù)包,延遲時(shí)間不會(huì)超過S + 1-Z,。而在這段時(shí)間里,最多也只有 J5 + 1-Z,個(gè)數(shù)據(jù)包會(huì)加入到隊(duì)列中。因此在任意時(shí)刻,數(shù)據(jù)包隊(duì)列的長(zhǎng)度都不會(huì)超 過B+l,這樣限制條件3就被滿足??紤]以下極端情況,某個(gè)最不幸運(yùn)的數(shù)據(jù)包位 于隊(duì)列末尾,而此時(shí)隊(duì)列長(zhǎng)度達(dá)到了最大值B+l,并且該數(shù)據(jù)包是該數(shù)據(jù)流最后一 個(gè)包,沒有其他后續(xù)數(shù)據(jù)包進(jìn)入干擾網(wǎng)關(guān)。極端情況下,對(duì)于該數(shù)據(jù)包之前的B個(gè) 數(shù)據(jù)包,每次用隨機(jī)函數(shù)確定延遲時(shí)間時(shí)都取到了最大的可能值。這樣,這個(gè)最不
幸運(yùn)的數(shù)據(jù)包就要一共被延遲^/-B = 5(5-1)/2個(gè)時(shí)間片。由于本方法考慮
,=0
的是最差情況,沒有數(shù)據(jù)包會(huì)被延遲超過S^-l)/2個(gè)時(shí)間片。因此,限制條件4 也被滿足。
整個(gè)干擾方案己經(jīng)在Linux系統(tǒng)中得到實(shí)現(xiàn),并在百兆網(wǎng)絡(luò)中測(cè)試。測(cè)試結(jié)果 表明,對(duì)于基本時(shí)間單位已知的0N/0FF型網(wǎng)絡(luò)隱蔽時(shí)間信道,干擾網(wǎng)關(guān)的作用能 使該信道的誤碼率達(dá)到100%。
權(quán)利要求
1、一種基于適應(yīng)性隨機(jī)延遲的TCP/IP網(wǎng)絡(luò)隱蔽時(shí)間信道干擾方法,其特征在于包括如下步驟步驟一,根據(jù)網(wǎng)絡(luò)路徑中可能存在的隱蔽信息流,確定干擾網(wǎng)關(guān)的部署位置,對(duì)應(yīng)于每一個(gè)隱蔽信息流,系統(tǒng)為其分配一個(gè)緩沖區(qū),其大小記為B,表示能存儲(chǔ)的數(shù)據(jù)包個(gè)數(shù);步驟二,根據(jù)干擾網(wǎng)關(guān)網(wǎng)絡(luò)性能用壓力測(cè)試確定基本時(shí)間單位,記該時(shí)間單位為T,在單位時(shí)間T內(nèi),干擾網(wǎng)關(guān)只能接收和發(fā)送一個(gè)數(shù)據(jù)包;步驟三,干擾網(wǎng)關(guān)截獲網(wǎng)絡(luò)隱蔽信息流的數(shù)據(jù)包,將這些數(shù)據(jù)包依次存入緩沖區(qū)隊(duì)列中;步驟四,對(duì)于每一個(gè)處于隊(duì)列首位的數(shù)據(jù)包i,干擾網(wǎng)關(guān)都對(duì)它延遲Si個(gè)時(shí)間單位后再發(fā)送;所述隨機(jī)延遲變量Si的值按如下方法獲得首先獲取當(dāng)前緩沖區(qū)隊(duì)列長(zhǎng)度,記為L(zhǎng)i,Li表示緩沖區(qū)內(nèi)隊(duì)列的長(zhǎng)度,如果隊(duì)列非空,Li的值由第i-1個(gè)包離開時(shí)刻的隊(duì)列長(zhǎng)度決定;如果隊(duì)列為空,則Li的值在第i個(gè)包到達(dá)的時(shí)候設(shè)為1,因此B≥Li≥1;其次計(jì)算獲得為數(shù)據(jù)包獲得一個(gè)隨機(jī)窗口Wi=B-Li+1,該隨機(jī)窗口是用來限定隨機(jī)延遲,并且窗口隨緩沖區(qū)隊(duì)列長(zhǎng)度變化,然后系統(tǒng)產(chǎn)生一個(gè)隨機(jī)整數(shù)Si,滿足0<Si<Wi,并且Si在(0,Wi)區(qū)間按概率均勻分布。
2、 根據(jù)權(quán)利要求1所述的基于適應(yīng)性隨機(jī)延遲的TCP/IP網(wǎng)絡(luò)隱蔽時(shí)間信道干 擾方法,其特征是,所述根據(jù)干擾網(wǎng)關(guān)網(wǎng)絡(luò)性能用壓力測(cè)試確定基本時(shí)間單位,是 指針對(duì)具體的網(wǎng)關(guān)和網(wǎng)絡(luò)。
3、 根據(jù)權(quán)利要求2所述的基于適應(yīng)性隨機(jī)延遲的TCP/IP網(wǎng)絡(luò)隱蔽時(shí)間信道干 擾方法,其特征是,所述的網(wǎng)關(guān),在網(wǎng)關(guān)不丟包的情況下,以最大可能的速率向網(wǎng) 關(guān)發(fā)送數(shù)據(jù)包讓其轉(zhuǎn)發(fā),記錄數(shù)據(jù)包到達(dá)和離開干擾網(wǎng)關(guān)的時(shí)間序列,這樣得到兩 組時(shí)間間隔序列,分別描述數(shù)據(jù)包到達(dá)和離開之間的時(shí)間間隔,選擇這兩組時(shí)間序列中的最小值作為基本時(shí)間單位,這樣使得該基本單位滿足在任一單位時(shí)間內(nèi),網(wǎng) 關(guān)所接收和轉(zhuǎn)發(fā)的數(shù)據(jù)包不超過一個(gè)。
全文摘要
本發(fā)明涉及的是一種網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的基于適應(yīng)性隨機(jī)延遲的TCP/IP網(wǎng)絡(luò)隱蔽時(shí)間信道干擾方法。本發(fā)明將網(wǎng)絡(luò)數(shù)據(jù)包存儲(chǔ)在干擾網(wǎng)關(guān)緩沖區(qū)內(nèi),對(duì)隊(duì)列內(nèi)的數(shù)據(jù)包依次轉(zhuǎn)發(fā),對(duì)于每一個(gè)處于隊(duì)列首位的數(shù)據(jù)包加以隨機(jī)延遲,該隨機(jī)延遲的最大值受隊(duì)列長(zhǎng)度影響,當(dāng)隊(duì)列較長(zhǎng),網(wǎng)絡(luò)比較擁塞時(shí),隨機(jī)延遲的最大值變小,數(shù)據(jù)包的轉(zhuǎn)發(fā)速度就加快,因此該方法對(duì)網(wǎng)絡(luò)流量具有適應(yīng)性。該發(fā)明在有效干擾網(wǎng)絡(luò)隱蔽時(shí)間信道,降低其信道的容量的同時(shí),又保證了一定的網(wǎng)絡(luò)服務(wù)質(zhì)量,從而可以用于實(shí)際網(wǎng)絡(luò)系統(tǒng)中的隱蔽時(shí)間信道干擾。
文檔編號(hào)H04L29/06GK101527679SQ20091004746
公開日2009年9月9日 申請(qǐng)日期2009年3月12日 優(yōu)先權(quán)日2009年3月12日
發(fā)明者姚立紅, 理 潘, 訾小超, 黃霄鵬 申請(qǐng)人:上海交通大學(xué)