CN104967610B - 一种基于时隙的水印跳变通信方法 - Google Patents

Abstract

一种基于时隙的水印跳变通信方法，其步骤为：1)在目的主机端部署水印检测器，源主机端部署水印嵌入器，为合法主机分配水印跳变密钥；2)源主机访问目的主机时，源主机正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，生成网络流水印；通过数据包发送延时调整数据包在不同时隙中的分布来将该水印信息嵌入网络流中发送给目的主机；3)目的主机接收到网络报文，水印检测器根据己方存储的水印跳变密钥、系统当前时间以及网络流的五元组生成网络流水印；从接收到的网络流中提取网络流水印，并与自己生成的水印相比较，对网络报文进行流量鉴别和控制。本发明具有实现简单、应用灵活、隐秘性好、抗干扰能力强等优点。

Description

一种基于时隙的水印跳变通信方法

技术领域

本发明主要涉及可信安全网络的基础通信领域，特指一种基于时隙的水印跳变通信方法。

背景技术

随着计算机网络的日益普及，各种新技术和设备的不断出现使得人们可以随时随地接入互联网。互联网在给人们生活、工作、学习带来极大便利的同时，也使接入互联网的用户遭受着比以往更多的网络攻击和威胁。互联网创立时本着开放、共享的思想进行设计，基本没有考虑网络的安全问题，作为互联网通信核心的TCP/IP协议族主要考虑网络互联的可靠性，尽最大能力来传输数据。通信数据流中缺乏标识信息源有效身份的网络属性，导致接收方在收到数据时无法对信息源的合法性进行认证，因此无法对恶意攻击流量进行有效控制。此外，在网络传输过程中也缺乏对数据包的完整性保护机制，攻击者可以在通信路径上截获并修改数据包内容，使得会话劫持、报文篡改、仿冒、欺骗等网络攻击具有广阔的生存空间，现有网络流量也缺少用来识别和关联非法流量的有效信息，互联网安全形势严峻。

在网络流量控制方面，现有技术主要通过身份认证系统和防火墙来对进出受保护网络的流量进行鉴别和控制，身份认证是安全系统的第一道关卡。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否具有对某种资源的访问和使用权限。然而，传统的安全系统通常只在用户登录时进行身份认证，而在实际的服务过程中并不对来自用户的流量进行鉴别，这往往会给系统带来致命的安全隐患。防火墙可以对服务过程中的通信流量实施一定的控制，但防火墙通常采用一种被动的方式，基于管理员预先设置的规则对网络流量进行控制，只能对已知类型的非法流量进行控制，其应用缺乏灵活性且本身是不完备的，无法满足日益提升的网络安全需求。

在网络流量识别和关联方面，通常以五元组{源IP地址、目的IP地址、协议号、源端口、目的端口}来标识一条网络流量，除了网络流五元组，缺乏用于标识网络流合法性的有效信息，而五元组作为一种通用标识和共有网络属性，本身也不具有私密性，无法用来识别、关联和控制非法流量。网络流量识别和关联是入侵检测、僵尸网络检测、跳板主机发现、匿名通信追踪和攻击溯源等研究领域中的关键问题，传统的流量识别和关联技术主要采用两种方式：

一类是被动的方式，通过对流量进行统计分析，提取字符频率、数据包大小分布、流量ON/OFF行为等流量特征对流量进行关联和分析，该类方法提出的前提是假设网络流量具有某种潜在的规律性，即网络流具有自相似性质，研究表明网络流量在大的时间范围内具有一定的自相似性，但某一时刻的网络流量由于受多种因素影响往往会表现出一定的随机性，因此无法基于统计规律对某一时刻的网络流量进行准确分析，因此该类方法实际实施的效果较差。

另一类是主动的方式，如通过对数据包头标志位进行置位或者对数据包载荷进行填充等方法在网络流中主动地嵌入信息，从而对网络流量进行关联，该方法进行网络流关联和分析的准确性较高，但由于要对数据包头或载荷进行修改和填充，嵌入的信息容易被攻击者检测到从而进行修改或移除，同时该方法也不适用于对加密流量进行分析。

综上所述，现有网络流量控制、识别和关联技术普遍存在空间开销大、识别率低，误报率高、实时性差、灵活性欠佳等问题，实用效果较差，且无法适用于对加密流量进行分析和识别。然而，在实际的网络中，网络流量通常是加密的，有效的流关联分析只能依赖于数据包大小、数目、时序等特征来进行，为了对加密流量进行分析，近期研究者基于数字水印思想提出了一种主动的流关联技术，即网络流水印技术，通过主动调制或改变发送端所产生的网络流中的数据包速率、时序等特征，使之隐蔽地携带一些特殊标记信息，即嵌入水印，在接收端对嵌入的水印进行识别，以达到关联发送者和接收者的目的。网络流水印是一种主动的网络流整形与分析技术，具有识别率高，透明性好、适用于加密流量关联等优点，且对包重组、时间扰动等干扰具有一定的鲁棒性。通过引入流水印技术，以一种主动的方式隐蔽地在网络流中嵌入水印信息，可用于对网络流量进行有效识别和关联，进而对网络流进行鉴别和访问控制，从而有效地控制非法流量，提升服务系统安全性。

目前，网络流水印技术主要被应用于进行跳板攻击检测与匿名通信关联，其应用具有一定的局限性，且嵌入的水印通常是固定不变的，使得现有网络流水印技术存在两个不足：

一是只能判断流中是否被嵌入水印，而不能确定嵌入该水印的网络流来自哪个信息源；

二是在多条流中嵌入不变的水印信息，使得嵌入的水印信息具有相同的攻击面，攻击者可以对多条流量进行分析识别并移除水印，即难以抵御多流攻击。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种实现简单、应用灵活、隐秘性好、抗干扰能力强的基于时隙的水印跳变通信方法，可以广泛适用于跳板主机发现，僵尸网络检测、匿名通信追踪、攻击溯源以及通信过程中流量合法性验证的主动流量关联和分析方法。

为解决上述技术问题，本发明采用以下技术方案：

一种基于时隙的水印跳变通信方法，其步骤为：

1)在目的主机端部署水印检测器，源主机端部署水印嵌入器，为合法主机分配水印跳变密钥；

2)源主机访问目的主机时，源主机正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，根据已方存储的对称密钥、系统当前时间生成网络流水印；然后，通过数据包发送延时调整数据包在不同时隙中的分布来将该水印信息嵌入网络流中发送给目的主机；

3)目的主机接收到网络报文，水印检测器记录数据包到达时间，提取网络流五元组信息，根据已方存储的水印跳变密钥、系统当前时间以及网络流的五元组生成网络流水印；从接收到的网络流中提取网络流水印，并与自己生成的水印相比较，对网络报文进行流量鉴别和控制。

作为本发明的进一步改进：所述水印跳变密钥包括水印生成密钥和水印编解码密钥，所述水印生成密钥和水印编解码密钥由所述水印跳变密钥的不同部分分别与网络流五元组和系统时间连接并采用哈希算法计算得到。

作为本发明的进一步改进：在水印跳变通信过程中，各通信实体的水印嵌入器和水印检测器与网络标准时间服务器维持粗粒度的时间同步。

作为本发明的进一步改进：所述步骤2)的具体步骤如下：

2.1)源主机访问目的主机时，正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，获取系统当前时间；然后，根据水印跳变密钥计算得到水印生成密钥和水印编解码密钥，转入执行步骤2.2)；

2.2)水印嵌入器中的水印生成单元根据水印生成密钥生成网络流水印，时隙划分单元按照数据包到达的先后顺序将网络流分成一系列具有固定时间长度的时隙，转入执行步骤2.3)；

2.3)水印嵌入器中的水印编码单元利用水印编解码密钥选择用于嵌入水印的时隙，进而通过数据包发送延时调整数据包在不同时隙中的分布来嵌入水印信息，然后将嵌入水印信息的网络流发送给目的主机。

作为本发明的进一步改进：所述步骤3)的具体步骤如下：

3.1)目的主机接收到网络报文，水印检测器记录数据包到达时间，提取网络流五元组信息，获取系统当前时间；然后，根据水印跳变密钥计算得到水印生成密钥和水印编解码密钥，转入执行步骤3.2)；

3.2)水印检测器中的时隙划分单元按照数据包到达的先后顺序将网络流分成一系列具有固定时间长度的时隙，转入执行步骤3.3)；

3.3)水印检测器中的水印解码单元根据水印生成密钥生成网络流水印，并利用水印编解码密钥从接收到的网络流中提取网络流水印，转入执行步骤3.4)；

3.4)水印检测器中的水印判别单元将从网络流中提取的网络流水印与水印解码单元自己生成的水印信息相比较，对网络报文进行认证并给出判别结果，转入执行步骤3.5)；

3.5)水印检测器中的访问控制单元根据步骤3.4)的反馈结果进行访问控制，判别结果若为是，允许网络流数据包以及后续报文进入目的主机应用程序；判别结果若为否，将缓存的网络流数据包丢弃并设置访问控制列表，拒绝来自该源主机的后续访问。

与现有技术相比，本发明的优点在于：

1、本发明为一种主动的服务过程中的流量鉴别和控制方法，发送数据时，主动地对网络流数据包进行延时嵌入水印，接收数据时，提取网络流水印并通过对水印信息进行鉴别来认证会话的合法性，进而对会话进行有效的访问控制，弥补当前安全系统缺乏服务过程中对用户流量进行有效鉴别和控制的缺陷，有效提升服务系统的安全性能。

2、本发明采用基于时隙的水印嵌入方法，通过对网络流数据包的发送时间进行轻微调整，从而改变数据包在不同时隙中的分布来嵌入水印，该方法隐秘性好，不需要修改数据包内容，适用于加密流量，且对数据包丢包、重传、重组、时间扰动等干扰具有一定鲁棒性。

3、本发明在网络中进行水印跳变通信时，通信双方根据已方存储的水印跳变密钥生成水印生成密钥和水印编解码密钥，密印生成过程通过引入流五元组和时间参数提供两种粒度的水印跳变频率，即低频跳变和高频跳变，低频跳变通过粗粒度的时间同步进行控制，每隔T时间跳变一次；高频跳变通过五元组进行控制，对于不同的网络流而言，网络流五元组不同，因此生成的水印信息随不同流而跳变，从而有效提升水印跳变通信的安全性。

4、本发明不需要开辟额外的通信过程中的流量鉴别通道，也不需要发送额外的数据包，减少了连接的开销；水印信息同网络流数据包一同发送和接收，且在网络流水印嵌入过程中不需要修改数据包内容，实现灵活、高效；此外，本发明方法能够兼容不具备水印检测功能的主机系统，该类型系统能正常进行网络通信，只是不能在通信过程中对接收到的流量进行鉴别和控制，部署方便且能向后兼容。

5、在非法流量控制方面，本发明的方法以一种主动的方式在网络流量中嵌入随时间动态变化的水印信息，水印信息具有隐蔽性，对攻击者而言不可见的水印信息为实施非法流量控制提供了有效的网络属性；在流量关联和识别方面，该方法通过引入网络流五元组和时间信息提供了两种水印跳变频率，使得在不同时间不同的网络流中嵌入的是不同的水印信息，从而有效提升了嵌入水印信息的动态性和多样性，接收方可以通过提取水印信息，进而对网络流量进行准确的识别和关联。

附图说明

图1是本发明在具体应用实例中的流程示意图。

图2是本发明在具体应用实例中步骤2)具体流程示意图。

图3是本发明在具体应用实例中步骤3)具体流程示意图。

图4是本发明在具体应用实例中时间量化示意图。

图5是本发明在具体应用实例中嵌入水印位原理示意图。

图6是本发明在具体应用实例中嵌入水印前后时隙中的数据包分布示意图。

具体实施方式

以下将结合说明书附图和具体实施例对本发明做进一步详细说明。

本发明的基于时隙的水印跳变通信方法，其核心思想是结合网络流水印技术，通过数据包发送延时调整数据包在不同时隙中的分布从而隐蔽地在通信流量中嵌入水印信息，水印跳变通信过程中，通过引入网络流五元组和时间参数提供两种粒度的水印跳变频率，使得在不同时间、不同的网络流中嵌入的是不同的水印信息，使用水印跳变密钥控制通信双方的水印生成和水印编解码过程，从而提供一种服务过程中的流量鉴别和控制方法，提升服务系统的安全性。

如图1所示，本发明的基于时隙的水印跳变通信方法，其步骤为：

1)：在目的主机端部署水印检测器，在源主机端部署水印嵌入器，为合法主机分配水印跳变密钥；

在步骤1)中，为网络中的合法主机分配水印跳变密钥K，水印跳变密钥K包含水印生成密钥K_w和水印编解码密钥K_e，所述水印生成密钥K_w和水印编解码密钥K_e由所述水印跳变密钥K生成。

在本实施例中，在步骤1)中，主机接入网络后需要进行认证和授权，通过认证获取水印跳变密钥K。具体应用时，可以采用水印跳变密钥K的不同部分结合网络流五元组信息、系统当前时间、并采用哈希算法计算得到水印生成密钥K_w和水印编解码密钥K_e。

在本实施例中，在水印跳变通信过程中，各通信实体的水印嵌入器和水印检测器与网络标准时间服务器维持粗粒度的时间同步。具体应用时，水印嵌入器和水印检测器可以设置为自动与网络标准时间服务器同步，如：time.nist.gov。

2)源主机访问目的主机时，源主机正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，根据已方存储的对称密钥、系统当前时间生成网络流水印；然后，通过数据包发送延时调整数据包在不同时隙中的分布来将该水印信息嵌入网络流中发送给目的主机；

即：源主机在进行数据通信时，正常封装和收发网络流数据报文，水印嵌入器提取网络流F_i的五元组信息FI_i＝{源IP地址、目的IP地址、协议号、源端口、目的端口}，获取系统当前时间time_i，根据水印跳变密钥K生成水印生成密钥K_w和水印编解码密钥K_e；然后，利用水印生成密钥生成网络流水印w_i，并利用水印编解码密钥K_e将该水印信息通过数据包发送延时调整数据包在不同时隙中的分布嵌入网络流中发送给目的主机。

如图2所示，本实施例中，步骤2)的具体步骤为：

2.1)源主机正常封装和收发网络流数据报文F_i＝<P₁，P₂，…>，其中，P_n，(n＝1，2，…)表示构成流F_i的数据包，水印嵌入器提取网络流五元组信息FI_i＝{源IP地址、目的IP地址、协议号、源端口、目的端口}，获取系统当前时间time_i，然后根据水印跳变密钥K计算得到水印生成密钥K_w和水印编解码密钥K_e；

2.2)水印嵌入器中的水印生成单元根据水印生成密钥K_w生成网络流水印w_i，时隙划分单元按照数据包到达的先后顺序将网络流分成一系列时间长度为τ的时隙；

2.3)水印嵌入器中的水印编码单元利用水印编解码密钥K_e选择用于嵌入水印的时隙，进而通过调整数据包发送延时改变数据包在不同时隙中的分布来将生成的网络流水印w_i的每个水印位嵌入嵌入网络流F_i中，然后将嵌入水印信息的网络流发送给目的主机。

本实施例中，步骤2.1)根据水印跳变密钥K计算得到水印生成密钥K_w和水印编解码密钥K_e，具体步骤如下：

2.1.1)系统时间以时间戳方式表示，获取系统当前时间戳time_i，对该时间戳按跳变周期T进行量化操作q(time_i，T)，即对时间time_i进行取整运算，我们定义

q(time_i，T)＝time_i/T (1)

如图4所示，当time_i∈(k，k+T]时，对time_i的量化结果为k，其中周期T可以根据通信安全需求进行设定，如T＝10分钟，表明在水印跳变通信过程中，水印低频跳变的时间周期为10分钟。

2.1.2)利用水印跳变密钥K，将源主机缓存的水印跳变密钥K的左半部分K_L和右半部分K_R分别与所提取的网络流五元组信息FI_i和系统时间time_i的量化结果q(time_i，T)进行连接，采用哈希算法(如SHA1算法)计算得到对称水印生成密钥K_w、水印编解码密钥K_e，计算公式如下所示：

K_w＝SHA1(K_L||：FI_i||：q(time_i，T)) (2)

K_e＝SHA1(K_R||：FI_i||：q(time_i，T)) (3)

其中||：表示字符串连接操作，本实施例中哈希算法采用SHA1算法，在其他实施例中还可以采用其他哈希算法。

本实施例中，步骤2.2)中具体步骤如下：

2.2.1)水印生成单元采用伪随机数生成函数PRF计算得到网络流水印w_i，具体方法如下：

利用伪随机数生成函数PRF，以水印生成密钥K_w作为伪随机数生成函数的种子，生成网络流水印w_i，计算公式如下所示：

w_i＝PRF(K_w，l) (4)

其中，l表示生成的网络流水印的长度为l位，即w_i＝<w_i1，w_i2，…，w_il>，其中w_ik(1≤k≤l)表示网络流水印w_i中的第k个水印位。

2.2.2)对于网络流F_i＝<P₁，P₂，…，P_n>，其中数据包P₁，P₂，…，P_n到达水印嵌入器的时间为分别为t₁，t₂，…，t_n，时隙划分单元按照数据包达到的先后顺序将其划分为时间长度为τ的时隙，用I_j(1≤j≤t_n/τ)表示划分得到的第j个时隙。

本实施例中，步骤2.3)通过数据包发送延时调整数据包在各时隙中的分布将步骤2.2)生成的网络流水印w_i嵌入网络流F_i中，具体步骤如下：

2.3.1)用X_j表示步骤2)划分得到的时隙I_j中的数据包数目，则X₁，X₂，…服从同一种分布。嵌入网络流水印w_i中的每1位水印位时，水印编码单元独立且随机地从流F_i中选取r对由连续两个时隙构成的时隙对，其中r表示嵌入1位水印位时采用的冗余编码个数，选取过程如下：(1)顺序地依次查看流F_i的每个时隙；(2)以相互独立且相同的概率决定每个时隙是否被选取，利用水印编解码密钥K_e作为伪随机数生成函数的种子，控制时隙的随机选取过程，使得每个时隙被选取的概率为

2.3.2)嵌入1位水印位时由步骤2.3.1)选取得到r对时隙对，在每个时隙对中，定义前一个为I_1，k，后一个为I_2，k，即：

<I_1，k，I_2，k>(k＝1，2，…，r)

用X_1，k表示时隙I_1，k中的数据包个数，用X_2，k表示时隙I_2，k中的数据包个数，由于所有时隙的选取是相互独立且随机的，因此X_1，k和X_2，k独立且同分布，因此则X_1，k和X_2，k具有相等的数学期望和方差，即E(X_1，k)＝E(X_2，k)，D(X_1，k)＝D(X_2，k)。

2.3.3)定义

由于X_1，k和X_2，k(k＝1，2，…，r)的数学期望相等，所以Y_k的数学期望E(Y_k)＝0，表明Y_k的分布对称于0轴，我们将r个Y_k的均值表示为

因为E(Y_k)＝0(k＝1，2，…，r)，所以即的分布也对称于0轴。

2.3.4)定义两种操作：1)加载操作，即对前一个时隙中的所有数据包施加延时操作，使得它们都延时进入当前时隙中；2)清除操作，即对当前时隙中的所有数据包施加延时操作，使得它们都延时进入下一个时隙中。

如图5所示，本实施例通过调整数据包发送延时改变数据包在不同时隙中的分布来嵌入水印信息，具体操作如下：

嵌入水印位‘1’时，我们通过调整数据包延时，对<I_1，k，I_2，k>(k＝1，2，…，r)中的时隙I_1，k施加加载操作，对时隙I_2，k施加清除操作，这样使得数据包到达目的主机时，统计得到两个时隙中的数据包数目X_1，k>X_2，k，从而使得计算得到的概率大于0.5；

嵌入水印位‘0’时，我们通过调整数据包延时，对<I_1，k，I_2，k>(k＝1，2，…，r)中的时隙I_1，k施加清除操作，对时隙I_2，k施加加载操作，这样使得数据包到达目的主机时，统计得到两个时隙中的数据包数目X_1，k＜X_2，k，从而使得计算得到的概率大于0.5。

如图6所示，原始网络流中的分布对称于0轴，嵌入水印位‘0’后，的分布向左偏移α，对称于-α轴，的概率大于0.5；嵌入水印位‘1’后，的分布向右偏移α，对称于+α轴，的概率大于0.5。其中，α表示水印嵌入强度，α的大小与时隙长度τ和流F_i中的数据包分布密度有关，α越大，水印嵌入成功率越高，但是，α的增加不可避免的会使得水印嵌入的隐秘性减弱，一般地，对于任意小的α，可以通过调整冗余编码数r的大小来达到几乎100％的嵌入成功率。

2.3.5)重复步骤2.3.1)到步骤2.3.4)的过程，直至w_i的l位水印位全部嵌入完成，得到嵌入水印w_i的流然后将发送给目的主机。

3)目的主机接收到网络报文，水印检测器记录数据包到达时间，提取网络流五元组信息，结合系统当前时间和水印跳变密钥生成水印生成密钥和水印编解码密钥，根据水印生成密钥生成网络流水印，进而根据水印编解码密钥从接收到的网络流中提取网络流水印，并与自己生成的水印相比较，对网络报文进行流量鉴别和控制。

如图3所示，本实施例中，步骤3)的具体步骤为：

3.1)网络流的数据报文到达目的主机，水印检测器记录数据包到达时间，提取网络流五元组信息FI_i，获取系统当前时间time_i，然后根据水印跳变密钥K计算得到水印生成密钥K_w和水印编解码密钥K_e；

本实施例中，步骤3.1)根据水印跳变密钥K计算得到水印生成密钥K_w和水印编解码密钥K_e，具体步骤同步骤2.1.1)到步骤2.1.2)一致。

3.2)水印检测器中的时隙划分单元根据数据包到达的先后顺序将网络流分成一系列具有固定时间长度的时隙；

本实施例中，步骤3.2)中时隙划分单元根据网络流F_i＝<P₁，P₂，…，P_n>中数据包P₁，P₂，…，P_n到达水印检测器的时间将其划分为一系列时间长度为τ的时隙，具体方法同步骤2.2.2)一致。

3.3)水印检测器中的水印解码单元根据水印生成密钥K_w生成网络流水印w_i，并利用水印编解码密钥K_e从接收到的网络流中提取得到网络流水印

本实施例中，步骤3.3)中网络流水印w_i采用伪随机数生成算法计算得到，具体方法同步骤2.2)一致。步骤3.3)中利用水印编解码密钥K_e从接收到的网络流中提取得到网络流水印具体步骤如下：

3.2.1)提取1位水印位时，利用水印编解码密钥K_e作为伪随机数生成函数的种子，控制时隙的随机选取过程，独立且随机地从流中选取r对由连续两个时隙构成的时隙对<I_1，k，I_2，k>(k＝1，2，…，r)，统计得出每个时隙中的数据包个数。

3.2.2)由式(6)计算得到Y_k，进而由式(7)计算得到定义μ为水印位检测阈值，如果则该水印位的值为1，如果则该水印位的值为0；

3.2.3)重复步骤3.2.1)到步骤3.2.2)的过程直到所有的l位水印位全部提取完成。

3.3)水印检测器中的水印判别单元将从网络流中提取的网络流水印与水印解码单元自已生成的水印信息w_i相比较，对网络流量的合法性进行鉴别并给出判别结果；

步骤3.3)中，定义η水印检测阈值(1≤η≤l)，将从网络流中提取的网络流水印与水印解码单元自己生成的水印信息w_i相比较，如果与w_i相同的位数大于η，则认为水印判别单元输出判别结果为是，否则，认为水印判别单元输出判定结果为否。

3.4)水印检测器中的访问控制单元根据步骤3.3)的反馈结果进行流量控制，判别结果若为是，允许网络流数据包以及后续报文进入目的主机应用程序；判别结果若为否，将缓存的网络流数据包丢弃并设置访问控制列表，拒绝来自该源主机的后续访问。

以上仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，应视为本发明的保护范围。

Claims (4)

1.一种基于时隙的水印跳变通信方法，其特征在于，步骤为：

1)在目的主机端部署水印检测器，源主机端部署水印嵌入器，为合法主机分配水印跳变密钥；

2)源主机访问目的主机时，源主机正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，根据己方存储的对称密钥、系统当前时间生成网络流水印；然后，通过数据包发送延时调整数据包在不同时隙中的分布来将该水印信息嵌入网络流中发送给目的主机；

3)目的主机接收到网络报文，水印检测器记录数据包到达时间，提取网络流五元组信息，根据己方存储的水印跳变密钥、系统当前时间以及网络流的五元组生成网络流水印；从接收到的网络流中提取网络流水印，并与自己生成的水印相比较，对网络报文进行流量鉴别和控制；

所述步骤2)的具体步骤如下：

2.1)源主机访问目的主机时，正常封装和收发网络流数据报文，水印嵌入器提取网络流五元组信息，获取系统当前时间；然后，根据水印跳变密钥计算得到水印生成密钥和水印编解码密钥，转入执行步骤2.2)；

2.2)水印嵌入器中的水印生成单元根据水印生成密钥生成网络流水印，时隙划分单元按照数据包到达的先后顺序将网络流分成一系列具有固定时间长度的时隙，转入执行步骤2.3)；

2.3)水印嵌入器中的水印编码单元利用水印编解码密钥选择用于嵌入水印的时隙，进而通过数据包发送延时调整数据包在不同时隙中的分布来嵌入水印信息，然后将嵌入水印信息的网络流发送给目的主机。

2.根据权利要求1所述的基于时隙的水印跳变通信方法，其特征在于，所述水印跳变密钥包括水印生成密钥和水印编解码密钥，所述水印生成密钥和水印编解码密钥由所述水印跳变密钥的不同部分分别与网络流五元组和系统时间连接并采用哈希算法计算得到。

3.根据权利要求1所述的基于时隙的水印跳变通信方法，其特征在于，在水印跳变通信过程中，各通信实体的水印嵌入器和水印检测器与网络标准时间服务器维持粗粒度的时间同步。

4.根据权利要求1或2或3所述的基于时隙的水印跳变通信方法，其特征在于，所述步骤3)的具体步骤如下：

3.1)目的主机接收到网络报文，水印检测器记录数据包到达时间，提取网络流五元组信息，获取系统当前时间；然后，根据水印跳变密钥计算得到水印生成密钥和水印编解码密钥，转入执行步骤3.2)；

3.2)水印检测器中的时隙划分单元按照数据包到达的先后顺序将网络流分成一系列具有固定时间长度的时隙，转入执行步骤3.3)；

3.3)水印检测器中的水印解码单元根据水印生成密钥生成网络流水印，并利用水印编解码密钥从接收到的网络流中提取网络流水印，转入执行步骤3.4)；

3.4)水印检测器中的水印判别单元将从网络流中提取的网络流水印与水印解码单元自己生成的水印信息相比较，对网络报文进行认证并给出判别结果，转入执行步骤3.5)；

3.5)水印检测器中的访问控制单元根据步骤3.4)的反馈结果进行访问控制，判别结果若为是，允许网络流数据包以及后续报文进入目的主机应用程序；判别结果若为否，将缓存的网络流数据包丢弃并设置访问控制列表，拒绝来自该源主机的后续访问。