本發(fā)明涉及隨機(jī)跳變技術(shù)領(lǐng)域，特別是一種網(wǎng)絡(luò)屬性隨機(jī)跳變的控制方法。

背景技術(shù)：

網(wǎng)絡(luò)屬性隨機(jī)跳變技術(shù)的最初思想是來(lái)源于跳頻通信技術(shù)，是指在網(wǎng)絡(luò)通信中，通信一方或雙方按照協(xié)定的策略隨機(jī)地改變通信時(shí)的地址和端口信息，從而防止被攻擊者發(fā)現(xiàn)，破壞攻擊者的攻擊和干擾，主動(dòng)防護(hù)網(wǎng)絡(luò)通信過(guò)程中的安全。

國(guó)外對(duì)網(wǎng)絡(luò)屬性隨機(jī)跳變技術(shù)的研究起步較早，已經(jīng)取得了一定的成果。在2000年，基于端口地址跳變的防御策略第一次由美國(guó)國(guó)防部高級(jí)研究計(jì)劃署(DARPA)在其主導(dǎo)的APOD項(xiàng)目中提出。隨后，國(guó)內(nèi)研究者對(duì)于網(wǎng)絡(luò)屬性隨機(jī)跳變技術(shù)也開(kāi)展了不少研究工作。目前，國(guó)內(nèi)外研究者已經(jīng)提出了一些支持網(wǎng)絡(luò)屬性隨機(jī)跳變的通信方案，通過(guò)不斷改變通信地址、端口的方式來(lái)抵抗攻擊。文獻(xiàn)【Port Hopping for Resilient Networks】等提出的方案采用嚴(yán)格的時(shí)間同步策略，客戶端通過(guò)與服務(wù)器保持在時(shí)間上的嚴(yán)格同步，根據(jù)共享的算法同樣可以得知當(dāng)前服務(wù)器提供服務(wù)的端口號(hào)，從而完成通信；但這一類方案有一個(gè)缺點(diǎn)，就是在網(wǎng)絡(luò)通信中，由于網(wǎng)絡(luò)延遲和擁塞的存在，無(wú)法真正意義上到達(dá)時(shí)間同步。文獻(xiàn)【Keeping Denial of Service Attackers in the Dark】提出的方案采用發(fā)送ACK報(bào)文的方式來(lái)保持同步，不要求嚴(yán)格意義上的時(shí)間同步；但這一類方案的缺點(diǎn)是ACK報(bào)文容易被攻擊者截獲，從而分析出相應(yīng)的跳變信息。文獻(xiàn)【OpenFlow Random Host Mutation:Transparent MovingTarget Defense using Software Defined Networking】提出的方案采用了基于Openflow技術(shù)的跳變控制方法；但是由于是集中式的控制，這一類方案在可靠性、擴(kuò)展性方面還需要進(jìn)行加強(qiáng)。

綜上所述，目前業(yè)界還缺少不依賴于嚴(yán)格的時(shí)間同步、不易被截獲、采用分布式控制方式的網(wǎng)絡(luò)屬性隨機(jī)跳變控制方法，在實(shí)用性、安全性、可靠性、可擴(kuò)展性方面都具有良好的表現(xiàn)。

網(wǎng)絡(luò)屬性隨機(jī)跳變是指在通信網(wǎng)絡(luò)中，通信一方或雙方按照協(xié)定的策略隨機(jī)地改變通信時(shí)的地址、端口等網(wǎng)絡(luò)屬性，或者按照協(xié)定的策略隨機(jī)地改變網(wǎng)絡(luò)報(bào)文中攜帶的地址、端口等網(wǎng)絡(luò)屬性，從而防止被攻擊者發(fā)現(xiàn)，阻礙攻擊者進(jìn)行攻擊和干擾，主動(dòng)防護(hù)網(wǎng)絡(luò)通信過(guò)程中的安全性。為了保證網(wǎng)絡(luò)屬性跳變過(guò)程的安全性，防止被攻擊者預(yù)測(cè)到，網(wǎng)絡(luò)屬性跳變往往是隨機(jī)的、無(wú)規(guī)律的。但這種隨機(jī)跳變會(huì)給正常的網(wǎng)絡(luò)通信形成干擾。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問(wèn)題是：針對(duì)上述存在的問(wèn)題，提供了一種網(wǎng)絡(luò)屬性隨機(jī)跳變的控制方法。

本發(fā)明采用的技術(shù)方案如下：一種網(wǎng)絡(luò)屬性隨機(jī)跳變的控制方法,具體包括以下過(guò)程：

步驟1、將進(jìn)行隨機(jī)跳變的網(wǎng)絡(luò)節(jié)點(diǎn)組成同步組；

步驟2、同步組中所有節(jié)點(diǎn)內(nèi)置相同的二進(jìn)制偽隨機(jī)序列發(fā)生器、固定的驗(yàn)證碼V和兩組計(jì)算R(A，B)與R′(A，B)、T(A，B)與T′(A，B)，其中，R′(R(A，B)，B)＝A，T′(T(A，B)，B)＝A；

步驟3、同步組中所有節(jié)點(diǎn)進(jìn)行時(shí)鐘同步；

步驟4、同步組中每個(gè)節(jié)點(diǎn)以與當(dāng)前時(shí)刻小時(shí)數(shù)H有關(guān)的函數(shù)F(H)為種子，生成二進(jìn)制偽隨機(jī)序列；

步驟5、同步組中每個(gè)節(jié)點(diǎn)以當(dāng)前時(shí)刻小時(shí)數(shù)H有關(guān)的函數(shù)G(H)為起點(diǎn)，從二進(jìn)制偽隨機(jī)序列中截取長(zhǎng)度為L(zhǎng)的一段S_n，作為當(dāng)前周期的跳變碼；

步驟6、同步組中每個(gè)節(jié)點(diǎn)與鄰居節(jié)點(diǎn)進(jìn)行跳變碼的同步設(shè)置；

步驟7、同步組中每個(gè)節(jié)點(diǎn)與達(dá)成跳變碼同步后，恢復(fù)原始的網(wǎng)絡(luò)屬性值；

步驟8、設(shè)置跳變的更新周期，經(jīng)過(guò)更新周期后，每個(gè)節(jié)點(diǎn)從二進(jìn)制偽隨機(jī)序列中截取下一段長(zhǎng)度為L(zhǎng)的部分S_n+1作為新的跳變碼，重復(fù)步驟6-7。

進(jìn)一步的，步驟6的具體過(guò)程為：

(1)同步組中每個(gè)節(jié)點(diǎn)根據(jù)自己的當(dāng)前周期的跳變碼S_n生成同步碼H_n＝H(S_n)，并發(fā)送給鄰居節(jié)點(diǎn)；

(2)同步組中每個(gè)節(jié)點(diǎn)將收到的來(lái)自鄰居節(jié)點(diǎn)的同步碼H′_n與自己當(dāng)前周期的同步碼H_n、自己下一個(gè)周期的同步碼H_n+1進(jìn)行比較：如果H′_n＝H_n或者不能做出比較，則自己當(dāng)前周期的跳變碼不變，進(jìn)行下一步操作；如果H′_n＝H_n+1，則把自己當(dāng)前周期的跳變碼更新為S_n+1，跳轉(zhuǎn)到第(2)步；

(3)同步組中每個(gè)節(jié)點(diǎn)根據(jù)驗(yàn)證碼V和自己當(dāng)前周期的跳變碼S_n生成同步驗(yàn)證碼R_v＝R(V，S_n)，并發(fā)送給鄰居節(jié)點(diǎn)；

(4)同步組中每個(gè)節(jié)點(diǎn)對(duì)收到的來(lái)自鄰居節(jié)點(diǎn)的同步驗(yàn)證碼R′_v進(jìn)行逆向計(jì)算R′(R′_v，S_n)，并與自己的同步驗(yàn)證碼Rv進(jìn)行比較，如果R′(R′_v，S_n)不等于R_v，則持續(xù)等待鄰居節(jié)點(diǎn)的下一個(gè)同步驗(yàn)證碼，如果R′(R′_v，S_n)＝R_v，則鄰居節(jié)點(diǎn)與當(dāng)前節(jié)點(diǎn)已經(jīng)達(dá)成了跳變碼同步。

進(jìn)一步的，所述步驟7的具體過(guò)程為：

(1)當(dāng)鄰居節(jié)點(diǎn)與當(dāng)前節(jié)點(diǎn)達(dá)成跳變碼同步后，網(wǎng)絡(luò)節(jié)點(diǎn)使用當(dāng)前的跳變碼，對(duì)需要進(jìn)行隨機(jī)跳變的網(wǎng)絡(luò)屬性P進(jìn)行變換計(jì)算，得到T_p＝T(P，S_n)，并用T_p改寫(xiě)網(wǎng)絡(luò)報(bào)文中攜帶的網(wǎng)絡(luò)屬性P，再發(fā)送給鄰居節(jié)點(diǎn)；

(2)網(wǎng)絡(luò)節(jié)點(diǎn)首先對(duì)來(lái)自鄰居節(jié)點(diǎn)的網(wǎng)絡(luò)報(bào)文中攜帶的屬性T_p進(jìn)行逆計(jì)算，得到P＝T′(T_p，S_n)，并用P改寫(xiě)網(wǎng)絡(luò)報(bào)文中攜帶的屬性T_p。

進(jìn)一步的，所述函數(shù)F(H)采用以H為種子的隨機(jī)數(shù)生成算法。

進(jìn)一步的，所述函數(shù)G(H)采用以H為種子的隨機(jī)數(shù)生成算法。

進(jìn)一步的，所述函數(shù)H(S_n)采用難以逆向計(jì)算的Hash算法。

進(jìn)一步的，每個(gè)節(jié)點(diǎn)將同步碼H_n發(fā)送給鄰居節(jié)點(diǎn)采用的報(bào)文格式依次為鏈路層頭部、IP頭部、同步碼H_n和標(biāo)志位；

進(jìn)一步的，每個(gè)節(jié)點(diǎn)將驗(yàn)證碼Rv發(fā)送給鄰居節(jié)點(diǎn)的報(bào)文格式依次為鏈路層頭部、IP頭部、傳輸層頭部、同步驗(yàn)證碼和應(yīng)用層凈荷。

與現(xiàn)有技術(shù)相比，采用上述技術(shù)方案的有益效果為：本發(fā)明提出的網(wǎng)絡(luò)屬性隨機(jī)跳變控制方法能夠支持網(wǎng)絡(luò)通信的雙方按照協(xié)定的策略對(duì)網(wǎng)絡(luò)報(bào)文中攜帶的地址、端口等網(wǎng)絡(luò)屬性進(jìn)行隨機(jī)跳變，同時(shí)能夠確保參與跳變的網(wǎng)絡(luò)節(jié)點(diǎn)之間共享一致的控制參數(shù)，使得報(bào)文傳輸路徑沿途各節(jié)點(diǎn)能夠正確的理解跳變后的網(wǎng)絡(luò)屬性，并恢復(fù)出原始的網(wǎng)絡(luò)屬性值，從而確保正常的網(wǎng)絡(luò)通信得以開(kāi)展。本發(fā)明有利于防止真實(shí)的網(wǎng)絡(luò)通信地址、端口信息被攻擊者以嗅探、監(jiān)聽(tīng)等方式獲取，阻礙攻擊者進(jìn)行分析、攻擊和干擾，從而提升網(wǎng)絡(luò)通信的安全性。

本發(fā)明提出的網(wǎng)絡(luò)屬性隨機(jī)跳變控制方法不依賴于嚴(yán)格的時(shí)間同步，采用分布式控制方式，并且采用密碼技術(shù)防止被截獲，因此具有良好的實(shí)用性、可靠性、可擴(kuò)展性與安全性。

附圖說(shuō)明

圖1是本發(fā)明發(fā)送同步碼采用的報(bào)文格式示意圖。

圖2是本發(fā)明插入同步驗(yàn)證碼的報(bào)文格式示意圖。

圖3是本發(fā)明節(jié)點(diǎn)與鄰居節(jié)點(diǎn)同步流程示意圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步描述。

一種網(wǎng)絡(luò)屬性隨機(jī)跳變的控制方法,具體包括以下過(guò)程：

步驟1、將進(jìn)行隨機(jī)跳變的網(wǎng)絡(luò)節(jié)點(diǎn)組成同步組，同步組是根據(jù)具有相互通信需求，并且網(wǎng)絡(luò)地址、端口等屬性進(jìn)行隨機(jī)跳變的網(wǎng)絡(luò)節(jié)點(diǎn)組成的；

步驟2、同步組中所有節(jié)點(diǎn)內(nèi)置相同的二進(jìn)制偽隨機(jī)序列發(fā)生器、固定的驗(yàn)證碼V和兩組計(jì)算R(A，B)與R′(A，B)、T(A，B)與T′(A，B)，R(A，B)與R′(A，B)采用以B為密鑰的一組對(duì)稱加解密算法，R(A，B)為加密計(jì)算、R′(A，B)為解密計(jì)算，T(A，B)與T′(A，B)采用以B為密鑰的一組對(duì)稱加解密算法，T(A，B)為加密計(jì)算、T′(A，B)為解密計(jì)算，其中，R′(R(A，B)，B)＝A，T′(T(A，B)，B)＝A；

步驟3、同步組中所有節(jié)點(diǎn)進(jìn)行時(shí)鐘同步；

步驟4，每個(gè)節(jié)點(diǎn)以與當(dāng)前時(shí)刻小時(shí)數(shù)H有關(guān)的函數(shù)F(H)為種子，生成二進(jìn)制偽隨機(jī)序列，函數(shù)F(H)可采用以H為種子的隨機(jī)數(shù)生成算法；

步驟5、同步組中每個(gè)節(jié)點(diǎn)以當(dāng)前時(shí)刻小時(shí)數(shù)H有關(guān)的函數(shù)G(H)為起點(diǎn)，函數(shù)G(H)可采用以H為種子的隨機(jī)數(shù)生成算法，從二進(jìn)制偽隨機(jī)序列中截取長(zhǎng)度為L(zhǎng)的一段S_n，作為當(dāng)前周期的跳變碼；

步驟6，同步組中每個(gè)節(jié)點(diǎn)與鄰居節(jié)點(diǎn)進(jìn)行跳變碼的同步設(shè)置；

步驟7、同步組中每個(gè)節(jié)點(diǎn)與達(dá)成跳變碼同步后，恢復(fù)原始的網(wǎng)絡(luò)屬性值；

步驟8、設(shè)置跳變的更新周期，經(jīng)過(guò)更新周期后，每個(gè)節(jié)點(diǎn)從二進(jìn)制偽隨機(jī)序列中截取下一段長(zhǎng)度為L(zhǎng)的部分S_n+1作為新的跳變碼，重復(fù)步驟6-7。

如圖3所述，步驟6中，同步組中每個(gè)節(jié)點(diǎn)與鄰居節(jié)點(diǎn)進(jìn)行跳變碼的同步設(shè)置的具體過(guò)程為：

(1)同步組中節(jié)點(diǎn)A根據(jù)自己的當(dāng)前周期的跳變碼S_n(A)生成同步碼H_n(A)，H_n(A)可采用難以逆向計(jì)算的Hash算法得到，并發(fā)送給鄰居節(jié)點(diǎn)B，節(jié)點(diǎn)A將同步碼H_n(A)發(fā)送給鄰居節(jié)點(diǎn)B采用的報(bào)文格式如圖1所示，依次為鏈路層頭部、IP頭部、同步碼H_n和標(biāo)志位；其中，同步碼H_n(A)：長(zhǎng)度為128位，填寫(xiě)節(jié)點(diǎn)A根據(jù)自己當(dāng)前周期的跳變碼S_n(A)生成的同步碼H_n(A)；標(biāo)志位：長(zhǎng)度為2位，節(jié)點(diǎn)B根據(jù)自己收到的來(lái)自鄰居節(jié)點(diǎn)A的同步碼H_n(A)與自己當(dāng)前周期的同步碼H_n(B)、自己下一個(gè)周期的同步碼H_n+1(B)的比較結(jié)果來(lái)填寫(xiě)：如果H_n(A)＝H_n(B)，則標(biāo)志位填寫(xiě)01；如果H_n(A)＝H_n+1(B)，則標(biāo)志位填寫(xiě)11；如果未比較或不能做出比較，則標(biāo)志位填寫(xiě)00。

(2)同步組中節(jié)點(diǎn)B將收到的來(lái)自鄰居節(jié)點(diǎn)的同步碼H_n(A)與自己當(dāng)前周期的同步碼H_n(B)、自己下一個(gè)周期的同步碼H_n+1(B)進(jìn)行比較：如果H_n(A)＝H_n(B)或者不能做出比較，則自己當(dāng)前周期的跳變碼不變，標(biāo)志位填寫(xiě)01或者00，進(jìn)入下一步；如果H_n(A)＝H_n+1(B)，則把自己當(dāng)前周期的跳變碼更新為S_n+1，標(biāo)志位填寫(xiě)11，并重復(fù)第(2)步；同步組中每一個(gè)節(jié)點(diǎn)通過(guò)步驟(1)－(2)的過(guò)程與鄰居節(jié)點(diǎn)進(jìn)行比較。

(3)同步組中每個(gè)節(jié)點(diǎn)根據(jù)驗(yàn)證碼V和自己當(dāng)前周期的跳變碼S_n生成同步驗(yàn)證碼R_v＝R(V，S_n)，每個(gè)節(jié)點(diǎn)可以在常規(guī)IP報(bào)文凈荷的開(kāi)始位置插入同步驗(yàn)證碼Rv，并發(fā)送給鄰居節(jié)點(diǎn)；將驗(yàn)證碼Rv發(fā)送給鄰居節(jié)點(diǎn)的報(bào)文格式如圖2所示，依次為鏈路層頭部、IP頭部、傳輸層頭部、同步驗(yàn)證碼Rv和應(yīng)用層凈荷，同步驗(yàn)證碼Rv長(zhǎng)度為128位；

(4)同步組中每個(gè)節(jié)點(diǎn)對(duì)收到的來(lái)自鄰居節(jié)點(diǎn)的同步驗(yàn)證碼R′_v進(jìn)行逆向計(jì)算R′(R′_v，S_n)，并與自己的同步驗(yàn)證碼R_v進(jìn)行比較，如果R′(R′_v，S_n)不等于R_v，則持續(xù)等待鄰居節(jié)點(diǎn)的下一個(gè)同步驗(yàn)證碼，如果R′(R′_v，S_n)＝R_v，則鄰居節(jié)點(diǎn)與當(dāng)前節(jié)點(diǎn)已經(jīng)達(dá)成了跳變碼同步。

進(jìn)一步的，所述步驟7的具體過(guò)程為：

(1)當(dāng)鄰居節(jié)點(diǎn)與當(dāng)前節(jié)點(diǎn)達(dá)成跳變碼同步后，網(wǎng)絡(luò)節(jié)點(diǎn)使用當(dāng)前的跳變碼，對(duì)需要進(jìn)行隨機(jī)跳變的網(wǎng)絡(luò)屬性P進(jìn)行變換計(jì)算，得到T_p＝T(P，S_n)，并用T_p改寫(xiě)網(wǎng)絡(luò)報(bào)文中攜帶的網(wǎng)絡(luò)屬性P，再發(fā)送給鄰居節(jié)點(diǎn)；

(2)網(wǎng)絡(luò)節(jié)點(diǎn)首先對(duì)來(lái)自鄰居節(jié)點(diǎn)的網(wǎng)絡(luò)報(bào)文中攜帶的屬性T_p進(jìn)行逆計(jì)算，得到P＝T′(T_p，S_n)，并用P改寫(xiě)網(wǎng)絡(luò)報(bào)文中攜帶的屬性T_p。

本發(fā)明并不局限于前述的具體實(shí)施方式。本發(fā)明擴(kuò)展到任何在本說(shuō)明書(shū)中披露的新特征或任何新的組合，以及披露的任一新的方法或過(guò)程的步驟或任何新的組合。如果本領(lǐng)域技術(shù)人員，在不脫離本發(fā)明的精神所做的非實(shí)質(zhì)性改變或改進(jìn)，都應(yīng)該屬于本發(fā)明權(quán)利要求保護(hù)的范圍。