CN105187265A - 一种面向流量测试的网络流水印标记和溯源方法 - Google Patents

Abstract

本发明涉及一种面向流量测试的网络流水印标记和溯源方法。该方法的步骤包括：1)在生成测试流量时，将水印内容转换成0-1比特序列，然后将0-1比特序列转换成数据流中数据包发送的时间间隔，从而实现对测试流量的标记；2)在接收测试流量时，将数据流中数据包的时间间隔转换成0-1比特序列，进而根据0-1比特序列获取对应的水印内容，从而实现对测试流量的溯源。本发明首次将流水印技术应用到流量测试领域当中，将0-1比特信息与基于时间间隔的流水印结合起来，能够达到标记任意信息的目的；将时间戳与哈希置换结合起来，能够大大提高的流水印的安全性和隐私性。

Description

一种面向流量测试的网络流水印标记和溯源方法

技术领域

本发明涉及一种面向流量测试的网络流水印标记和溯源方法，属于网络安全技术领域。

背景技术

在大型网络系统正式发布之前，通常使用网络测试床对其性能进行全方位的评估。随着云计算的出现，网络测试床需要支持大规模用户进行在线测试，这给网络测试床的性能和功能提出了更多的要求。首先，用户希望实现测试流量的溯源功能，因为在很多测试用例中，测试流量与用户没有建立关联会导致测试床无法获知测试流量的发起者。其次，用户想要将某些信息附着在测试流量中。

然而，传统的网络测试床在设计和实现的时候，重点都放在真实的流量模拟和网络环境控制等方面，很少考虑对测试流量进行标记和溯源以实现上述功能。传统的方法，例如在数据包中加入这些信息会带来额外开销，不仅如此，若直接将这些信息放在数据包中，一方面在公共网络测试环境下缺乏安全性，另一方面，数据包的空间有限导致可容纳的信息有限。

在实际的网络流量测试中，测试流量的来源是各种各样的，它们的源信息和其他一些测试信息对于整体的测试过程是十分关键的，因此需要一种有效的对测试流量进行标记和溯源的方法来进行高效的效果验证。

发明内容

针对现有技术中存在的无法有效解决对测试流量进行标记和溯源的问题，本发明提出了一种面向流量测试的网络流水印标记和溯源的方法。

本发明在生成测试流量时，首先把水印内容转换成0-1比特序列，然后将0-1比特序列转换成流中数据包发送的时间间隔从而实现对流量的标记。当接收测试流量时，该方法通过将流中数据包的时间间隔转换成0-1比特序列，进而获取对应的水印内容，从而实现有效的对测试流量的溯源。

本发明涉及的一些具体概念如下：

非盲参数：接受、发送两方事先协商好并知道其具体数值的参数。

数据流中一组自然时间段：I_i＝[o+iT,o+(i+1)T],i＝0,1,…,N，其中T表示时间段长度，o是数据流的起始时间。

包模式其中P_i为I_i内对应的数据包时间分布，CS_i表示数据包的个数。

map(·)：私有映射，可以将任意字符串转化为0-1比特序列。

S^bit：S^bit＝map(S)＝{b|b＝0,1}，字符串S的0-1比特序列的形式。

map(·)的逆：map^-1(S^bit)＝S

L_S：字符串长度。

L_H：固定的头部长度，限制了字符串长度的最大值。

字符串长度信息：H＝{b₁,b₂,…,b_LH}，字符串长度L_S的二进制表示，也是一个比特序列。

伪时间戳：其中L_PTS为固定长度，ω是标记方当前时间，Hash()是哈希函数。

水印内容：DS^raw＝PTS||H||S^bit，其中||表示连接算符。

头部信息长度：L_head＝L_PTS+L_H

字符串长度信息置换函数：其中h表示原字符串长度比特位置，表示H中比特1的数量，K_t是安全密钥，Hash(·)是一个安全哈希函数。

字符串比特序列置换函数：其中j表示原字符串比特序列位置，表示S^bit中比特1的数量，K_t是安全密钥，Hash(·)是一个安全哈希函数。

经过置换函数变换之后的字符串比特序列：S^π

尖角符号(图5右边字母上方的尖角符号)：代表接收方还原的信息，可能与发送方发出时的信息不同。

最终被标记的水印内容：DS^w＝PST||H^π||S^π，其中||表示连接算符。

区块：将时间段I_i分成R个子段r＝1,…,R，每个子段称作一个区块，其中R是区块数量。

区块号：给定时间显然可以得到该时间所处的区块号：

区块位图：将每个区块按照一定规则赋予一个属性值0或1，一个记录每个子段属性值的字典称为区块位图，记为M，其中所有属性值为0的区块集合记为M₀，相应的，属性值为1的集合记为M₁。

p₀和p₁：时间段I_i中，存在包模式则有：

$P_i=\left\{\begin{array}{c}{p}_0,\underset{k=1}{\overset{{\mathrm{CS}}_i}{\&Sigma;}}I(t_k^i\&Element;M_0)\&GreaterEqual;\underset{k=1}{\overset{{\mathrm{CS}}_i}{\&Sigma;}}I(t_k^i\&Element;M_1)\\ p_1,\underset{k=1}{\overset{{\mathrm{CS}}_i}{\&Sigma;}}I(t_k^j\&Element;M_0)<\underset{k=1}{\overset{{\mathrm{CS}}_i}{\&Sigma;}}I(t_k^i\&Element;M_1)\end{array}\right.$

其中I(·)是二值化符号，如果括号内条件为真，其值为1，为假则为0。

包模式到比特的转换函数： $bit\left(P_i\right)=\left\{\begin{array}{cc}0& ,P_i=p_0\\ 1& ,P_i=p_1\end{array}\right.,$ 小写的p₀、p₁分别表示比特0和1对应的包模式。

比特到包模式的转换函数： $P_i=\left\{\begin{array}{cc}{p}_0& ,{\mathrm{DS}}^w\left(i\right)=0\\ p_1& ,{\mathrm{DS}}^w\left(i\right)=1\end{array}\right.$

区块选择函数： $I_r^i=\{\begin{array}{c}rand\left(M_0\right),if{P}_i\&DoubleRightArrow;0\\ rand\left(M_1\right),if{P}_i\&DoubleRightArrow;1\end{array},$ rand(·)表示从对应区块集合中随机选择一个区块。

α：时间刻度参数。

单个数据包时间：其中rand(·]表示从左开右闭区间中随机选择一个数值。

水印时间序列：即所有时间段内的包模式

$Seq.=\left\{P_i\right|P_i=\{t_1^i,t_2^i,...,t_{{\mathrm{CS}}_i}^i\},i\&le;L_{head}+L_S\}=\{t_1^1,...,t_{{\mathrm{CS}}_{L_{head}+L_S}\&times;(L_{head}+L_S)}^{L_{head}+L_S}\}$

PS^w：满足条件的标记方按照Seq.中的时间序列发送的数据流PS＝{pt₀,pt₁,…,pt_N}。

数据包时间选择函数： $Time\left({\mathrm{pt}}_l\right)=\left\{\begin{array}{c}nowtime,ifl=0\\ Seq.\left(l\right),ifl>0\end{array}\right.,$ 其中nowtime表示当前时间。

本发明提供的一种面向流量测试的网络流水印标记和溯源方法，该方法的处理步骤如下

标记过程：其流程如图3所示。

步骤1：将被标记的信息S通过私有映射map()转化为0-1比特序列，并得到长度为L_S的字符串比特序列S^bit；

步骤2：将字符串比特序列长度的值L_S转化为L_H位的二进制比特序列H；

步骤3：得到系统当前时间的安全哈希值PTS；

步骤4：得到字符串比特序列S^bit和二进制比特序列H中比特1的个数和

步骤5：对S^bit和H使用置换函数π(h)和π(j)得到位置变换后的比特序列S^π和H^π；

步骤6：合成待标记的水印比特序列DS^w＝PTS||H^π||S^π；

步骤7：对于待标记的水印比特序列DS^w中的每一位比特b_i，生成其对应的包模式P_i，其包模式内的CS_i个时间值位于从该比特b_i对应的区块集合中随机选择的区块，其具体数值为被选中区块范围内的随机值的二分之一；最终得到一组时间序列Seq.；

图2(a)、2(b)、2(c)为包模式的表示与识别示意图，其中图2(a)为I_i内时间分布表示P_i＝p₀；图2(b)为I_i内时间分布表示P_i＝p₁；图2(c)为相邻的两个时间段I_i和I_i+1代表P_i＝p₁和P_i+1＝p₀；

步骤8：判断此时需要被标记的数据流PS中数据包的个数，如果小于时间序列Seq.的长度，则返回错误，否则继续下面的步骤；

步骤9：对于数据流PS中的第一个数据包，将其发送时间设置为标记方当前的时间，剩余数据包的发送时间按照时间序列Seq.进行设置，最终得到含有水印的数据流PS^w；

步骤10：标记方将被标记好的数据流PS^w发送，完成整个标记过程。

溯源过程：其流程如图4所示。

步骤1：溯源方记录下捕获的数据流中第一个数据包的到达时间o，以及之后的数据包到达时间；

步骤2：将之后数据包的到达时间转化为与o的相对时间，从而达到与标识方的相对同步，如图1所示；之后溯源方得到相对时间序列Seq.；

步骤3：在前L_head个时间段中，每个时间段内数据包落入哪个区块集合的数量占优，那么这个区块集合的属性值就是该时间段内包模式所表示的比特值，依次计算每个时间段内的包模式对应的比特值，得到头部信息的比特流；

步骤4：提取头部信息比特流中的前L_PTS个字节得到伪时间戳PTS，剩余的L_H比特为经过置换的乱序字符串长度信息H^π；

步骤5：根据置换函数π(h)将H^π还原为正序的字符串长度信息H，将其转化为十进制数，从而计算出字符串长度L_S；

步骤6：在前L_head个时间段之后L_S个时间段中，重复步骤2，得到经过置换的乱序的字符串比特序列S^π；

步骤7：根据置换函数π(l)将S^π还原为正序的字符串比特序列S^bit；

步骤8：根据据私有映射map()的逆map^-1()将字符串比特序列S^bit还原为字符串信息S,完成整个溯源过程。

与现有技术相比，本发明的有益效果如下：

1.首次将流水印技术应用到流量测试领域当中；

2.将0-1比特信息与基于时间间隔的流水印结合起来，可以达到标记任意信息的目的；

3.将时间戳与哈希置换结合起来，大大提高的流水印的安全性和隐私性。

附图说明

图1为标记方和溯源方的相对同步示意图。

图2(a)、图2(b)、图2(c)为包模式的表示与识别示意图。

图3为标记过程流程图。

图4为溯源过程流程图。

图5为对测试流量进行标记和溯源的整体架构图。

图6(a)、图6(b)、图6(c)为两组实验在不同参数组合下的溯源正确率对比图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

如图5所示，本发明具体实施上述的面向流量测试的网络流水印标记和溯源的方法，具体包括以下步骤：

标记过程：

步骤1：假设此时标记方想要将信息‘A’标记到数据流PS中，首先标记方使用私有映射map()将‘A’转化为比特序列，得到字符串比特S^bit‘0001’，则有字符串比特序列长度L_S＝4，其L_H＝4位二进制表示的比特序列H＝‘0100’。

步骤2：若当前时间的哈希值PTS＝‘0110’，其长度的固定的L_PST＝4，我们首先对H进行位置变化，得到H^π＝‘0010’，然后对S^bit进行比特置换得到S^π＝‘1000’，加上不做位置变化的PTS，得到带被标记的比特序列DS^w＝‘011000101000’。

步骤3：此时双方约定的区块位图为{1,0}，T＝0.1s，CS_i都为2，则我们可以随机的生成DS^w＝‘011000101000’对应的包模式，即一组数据包的时间序列，我们假设当前系统时间为0,有Seq.＝{0,0.011,0.012,0.155,0.177,0.255,0.277,0.311,0.312,0.411,0.412,0.511,0.513,0.655,0.677,0.712,0.732,0.855,0.876,0.912,0.924,1.012,1.026,1.123,1.135}

步骤4：将数据流PS中的数据包按照Seq.中的时间发送到测试网络中，完成整个标记过程。

追溯过程：

步骤1：追溯方首先收到数据流PS并有到达时间{1,1.011,1.012,1.155,1.177,1.255,1.277,1.311,1.312,1.411,1.412,1.511,1.513,1.655,1.677,1.712,1.732,1.855,1.876,1.912,1.924,2.012,2.026,2.123,2.135}，则计算与第一个数据包到达时间o的相对时间序列Seq.＝{0,0.011,0.012,0.155,0.177,0.255,0.277,0.311,0.312,0.411,0.412,0.511,0.513,0.655,0.677,0.712,0.732,0.855,0.876,0.912,0.924,1.012,1.026,1.123,1.135}

步骤2：计算每个时间段T＝0.1s内的包模式，分别为{p₀,p₁,p₁,p₁,p₁,p₀,p₁,p₀,p₁,p₀,p₀,p₀}，其对应的比特流为{0,1,1,0,0,0,1,0,1,0,0,0}。

步骤3：首先获得没有进行位置变换的PTS＝‘0110’，之后利用置换函数将H还原为H＝‘0110’，接着利用置换函数π(j)将正序的字符串比特序列还原为‘0001’。

步骤4：利用私有映射函数的逆map^-1(0001)＝A，最终将字符串信息还原出来，完成整个追溯过程。

图6(a)、图6(b)、图6(c)为两组实验在不同参数组合下的溯源正确率，其中：图6(a)为实验T1使用区块位图M’的正确率；图6(b)为实验T2使用区块位图M”的正确率；图6(c)为关于时间刻度参数α＝0.001的对照实验组。区块位图M’和M”为两种不同的区块位图，M'和M”具有相同时间段长度T，其中|M'|＝30，|M”|＝60表示区块的数量。可以看出，两组实验的溯源正确率都达到了89％以上，而且CS大于3的时候，正确率就可以达到100％。图6(a)中的实验结果相对图6(b)更加稳定，这是因为|M'|较小，每个区块的长度较大，减缓了数据包延迟带来的区块偏移。图6(c)中α小于图6(a)、图6(b)一个数量级，其结果很差，因为较小的时间刻度这会将传输过程中的扰动放大。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims (4)

1.一种面向流量测试的网络流水印标记和溯源方法，其步骤包括：

1)在生成测试流量时，将水印内容转换成0-1比特序列，然后将0-1比特序列转换成数据流中数据包发送的时间间隔，从而实现对测试流量的标记；

2)在接收测试流量时，将数据流中数据包的时间间隔转换成0-1比特序列，进而根据0-1比特序列获取对应的水印内容，从而实现对测试流量的溯源。

2.如权利要求1所述的方法，其特征在于，步骤1)的标记过程具体包括如下子步骤：

1-1)将被标记的信息S通过私有映射map()转化为0-1比特序列，并得到长度为L_S的字符串比特序列S^bit；

1-2)将字符串比特序列S^bit的长度值L_S转化为L_H位的二进制比特序列H；

1-3)得到系统当前时间的安全哈希值PTS；

1-4)得到字符串比特序列S^bit和二进制比特序列H中比特1的个数和

1-5)对S^bit和H使用字符串长度信息置换函数π(h)和字符串比特序列置换函数π(j)得到位置变换后的比特序列S^π和H^π；其中：

其中h表示原字符串长度比特位置，表示H中比特1的数量，K_t是安全密钥，Hash(·)是一个安全哈希函数；

其中j表示原字符串比特序列位置，表示S^bit中比特1的数量，K_t是安全密钥，Hash(·)是一个安全哈希函数；

1-6)合成待标记的水印比特序列DS^w＝PTS||H^π||S^π；

1-7)对于待标记的水印比特序列DS^w中的每一位比特b_i，生成其对应的包模式P_i，其包模式内的CS_i个时间值位于从该比特b_i对应的区块集合中随机选择的区块，其具体数值为被选中区块范围内的随机值的二分之一；最终得到一组时间序列Seq.；

1-8)判断此时需要被标记的数据流PS中数据包的个数，如果小于时间序列Seq.的长度，则返回错误，否则继续下面的步骤；

1-9)对于数据流PS中的第一个数据包，将其发送时间设置为标记方当前的时间，剩余数据包的发送时间按照时间序列Seq.进行设置，最终得到含有水印的数据流PS^w；

1-10)标记方将被标记好的数据流PS^w发送，完成整个标记过程。

3.如权利要求2所述的方法，其特征在于，步骤2)的溯源过程具体包括如下子步骤：

2-1)溯源方记录下捕获的数据流中第一个数据包的到达时间o，以及之后的数据包到达时间；

2-2)将之后数据包的到达时间转化为与o的相对时间，从而达到与标识方的相对同步；之后溯源方得到相对时间序列Seq.；

2-3)在前L_head个时间段中，每个时间段内数据包落入哪个区块集合的数量占优，那么这个区块集合的属性值就是该时间段内包模式所表示的比特值，依次计算每个时间段内的包模式对应的比特值，得到头部信息的比特流；

2-4)提取头部信息比特流中的前L_PTS个字节得到伪时间戳PTS，剩余的L_H比特为经过置换的乱序字符串长度信息H^π；

2-5)根据置换函数π(h)将H^π还原为正序的字符串长度信息H，将其转化为十进制数，从而计算出字符串长度L_S；

2-6)在前L_head个时间段之后L_S个时间段中，重复步骤2-2)，得到经过置换的乱序的字符串比特序列S^π；

2-7)根据置换函数π(l)将S^π还原为正序的字符串比特序列S^bit；

2-8)根据据私有映射map()的逆map^-1()将字符串比特序列S^bit还原为字符串信息S,完成整个溯源过程。

4.如权利要求2或3所述的方法，其特征在于，所述时间序列Seq.是所有时间段内的包模式：

$Seq.=\left\{P_i\right|P_i=\left\{t_1^i,t_2^i,...,t_{{\mathrm{CS}}_i}^i\right\},i\&le;L_{head}+L_S\}=\{t_1^1,...,t_{{\mathrm{CS}}_{L_{head}+L_S}\&times;(L_{head}+L_S)}^{L_{head}+L_S}\},$

其中，P_i为时间段I_i内对应的数据包时间分布；CS_i表示数据包的个数。