基于多重加解密算法的網(wǎng)絡(luò)鏈路安全通信方法

雷 宇，譚棕寶，歐韋宜

（廣東電網(wǎng)有限責(zé)任公司 肇慶供電局，廣東 肇慶 526000）

0 引 言

隨著網(wǎng)絡(luò)通信技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)鏈路的數(shù)據(jù)傳送量迅速增加，網(wǎng)絡(luò)信息在鏈路中呈現(xiàn)出不同的形態(tài)，而網(wǎng)絡(luò)流量的異常將導(dǎo)致通信過程出現(xiàn)安全隱患。由于網(wǎng)絡(luò)鏈路本身具有空域特性，使得信息在傳輸過程中會產(chǎn)生較大的風(fēng)險[1]。信息安全是實現(xiàn)移動電子通信的必要條件之一，而數(shù)據(jù)加解密算法在其中的應(yīng)用，屬于一種可靠性較強的通信保障行為。采用適當(dāng)?shù)募用芩惴?，可以把明文變成具有隱蔽性特點的密碼，從而避免網(wǎng)絡(luò)中未經(jīng)過身份認證或授權(quán)的用戶掌握原始數(shù)據(jù)集合，進一步保障通信過程中數(shù)據(jù)的安全性與隱蔽性，從而滿足移動通信所需要的數(shù)據(jù)完整性和身份驗證需求[2]。為解決網(wǎng)絡(luò)通信過程中的安全性問題，相關(guān)技術(shù)人員根據(jù)網(wǎng)絡(luò)鏈路安全業(yè)務(wù)需求，設(shè)計了多種網(wǎng)絡(luò)鏈路通信加密方法與多種加密和解密相結(jié)合的安全通信方案。有研究人員利用3DES加密算法對網(wǎng)絡(luò)中原始明文數(shù)據(jù)進行加密，利用非對稱RSA加密算法處理3DES的密鑰，將加密密鑰與密文共同傳輸，實現(xiàn)計算機數(shù)據(jù)的安全傳輸[3]。但在實施過程中應(yīng)用效果未能達到預(yù)期，導(dǎo)致網(wǎng)絡(luò)鏈路通信仍存在較多的安全隱患，容易受到外部入侵流量的攻擊，影響網(wǎng)絡(luò)鏈路通信的安全性。

為了解決這一問題，本文將結(jié)合網(wǎng)絡(luò)鏈路通信需求，引進多重加解密算法，設(shè)計一種網(wǎng)絡(luò)鏈路安全通信方法，通過這種方式對網(wǎng)絡(luò)鏈路通信過程進行優(yōu)化，實現(xiàn)對通信過程中數(shù)據(jù)與信息安全的全面保障，降低或避免由于外界環(huán)境異常或干擾造成的網(wǎng)絡(luò)鏈路安全隱患與通信風(fēng)險。

1 建立面向連接的網(wǎng)絡(luò)鏈路通信信道

為實現(xiàn)對網(wǎng)絡(luò)鏈路通信過程的安全保障，提高通信過程的穩(wěn)定性，應(yīng)在設(shè)計前期建立面向連接網(wǎng)絡(luò)鏈路的通信信道。

在通信區(qū)域覆蓋局域網(wǎng)，設(shè)計兩個終端節(jié)點，隨機部署通信源、信宿、密碼體制。用戶在登錄后，需要根據(jù)通信過程中的參數(shù)具體要求進行個人身份信息的認證，認證計算公式為

式中：N表示個人身份信息的認證過程；p表示通信源；q表示信宿。完成認證后，雙方之間將建立一個有效的通信連通信道[4]。此時，雙方將選擇合適的編碼流進行數(shù)據(jù)的封裝，并按照預(yù)設(shè)的信道進行一次通信。通信過程計算公式為

式中：c表示網(wǎng)絡(luò)鏈路通信信道一次通信過程；m′表示編碼流；D表示封裝數(shù)據(jù)；n表示數(shù)據(jù)流分組。通信過程中，選擇高性能核心處理器作為運行支撐，配合解碼芯片、無線通信模塊，構(gòu)成一個完整的通信信道，以此種方式，建立面向連接的網(wǎng)絡(luò)鏈路通信信道。

2 基于多重加解密算法的鏈路通信密鑰生成

為保障通信過程的安全性，本節(jié)引進多重加解密算法，對鏈路通信密鑰的生成過程進行設(shè)計[5]。假設(shè)在通信過程中鏈路帶寬的利用率為100%，此時對端通信消耗的密鑰量計算公式為

式中：K表示密鑰消耗量；φ表示通信過程中鏈路帶寬的利用率，此次計算取φ的值為100%；t表示編碼流有效傳輸時間；j表示傳輸路徑；k表示濾波參數(shù)；α表示通信時間序列；ψ表示傳輸時延。在此基礎(chǔ)上，利用多重加解密算法中的3層密鑰模型，建立網(wǎng)絡(luò)鏈路通信過程中的授權(quán)安全管理機制[6]。其中3層密鑰分別為AES密鑰、RAS密鑰與CPRS密鑰，3種密鑰集成在通信鏈路中的功能是不同的。首層密鑰主要負責(zé)通信過程中的編碼流加密[7]。在AES保護層中，可以通過對端身份認證的索引，進行通信信息安全性的識別與辨認，當(dāng)信息辨認為“正?！睍r，首層保護機制將進行流通信息的主動加密[8]。此過程計算公式為

式中：μ表示首層保護機制對流通信息的主動加密過程；R表示AES算法；χ表示索引機制；S表示通信信息安全性的識別過程；f表示窗口函數(shù)；c表示窗口序列。完成首層加密后，數(shù)據(jù)流流入RAS保護層，RAS需要將通過對通信信道的協(xié)商，生成對應(yīng)的密文，進行數(shù)據(jù)信息的進一步加密。其計算公式為

式中：h表示RAS保護層的數(shù)據(jù)加密；a表示RAS算法；τ表示通信信道協(xié)商處理過程。與此同時，數(shù)據(jù)流通到CPRS保護層，在此層中編碼流與信息將進行混沌加解密，并持續(xù)進行解密信息在對端的傳輸?？蓪⒋诉^程作為鏈路通信密鑰生成的過程，此過程計算公式為

式中：W表示混沌加解密處理過程；β表示CPRS算法；v表示通信過程中的隱蔽流量。按照上述方式，實現(xiàn)在鏈路通信過程中對密鑰的生成，完成基于多種加解密算法的通信保護。

3 通信節(jié)點與通信對端加密

在上述設(shè)計內(nèi)容的基礎(chǔ)上，對鏈路通信節(jié)點進行加密，可以將此種加密作為鏈路通信加密的補充形式，旨在解決在中間節(jié)點上鏈路加密容易被非法訪問的問題。節(jié)點加密一般發(fā)生在協(xié)議傳送層，以保護源和目的節(jié)點間的數(shù)據(jù)。節(jié)點加密處理過程計算公式為

式中：U表示節(jié)點加密處理過程；u表示中間節(jié)點；V表示非法訪問路徑；L表示協(xié)議傳送信道長度；G表示目的節(jié)點。完成節(jié)點加密后，設(shè)計端對端加密，將對端加密設(shè)置在傳輸層和應(yīng)用層中。

在對一個應(yīng)用程序進行加密時，可以采用序列密碼體制、分組密碼體制、公開密碼體制等，此過程計算公式為

式中：A表示對端加密處理過程；Q表示單播鏈路的重傳效率；T表示緩存流量所需時長；δ表示密鑰拓展倍數(shù)；H表示全局信道帶寬；i表示子網(wǎng)有效連通信道。按照上述方式，完成通信節(jié)點與通信對端加密，實現(xiàn)基于多重加解密算法的網(wǎng)絡(luò)鏈路安全通信方法設(shè)計。

4 對比實驗

4.1 實驗準(zhǔn)備

上文完成了基于多重加解密算法的網(wǎng)絡(luò)鏈路安全通信方法設(shè)計，為檢驗本文設(shè)計方法的有效性，搭建可視化鏈路通信平臺，在平臺中設(shè)計對比實驗。

為避免實驗結(jié)果具有偶然性，在開展對比實驗前，使用NS2網(wǎng)絡(luò)通信器搭建對端網(wǎng)絡(luò)鏈路通信環(huán)境，環(huán)境參數(shù)如表1所示。

表1 網(wǎng)絡(luò)鏈路通信環(huán)境技術(shù)參數(shù)

按照上述表1，完成對測試環(huán)境的設(shè)計，在測試過程中，可根據(jù)相關(guān)工作的具體需求，進行可視化操作平臺中參數(shù)的自適應(yīng)調(diào)試。

4.2 實驗過程

完成上述設(shè)計后，使用本文設(shè)計的方法，進行網(wǎng)絡(luò)鏈路安全通信的規(guī)劃。在此過程中，需要根據(jù)網(wǎng)絡(luò)通信的實際需求，建立面向連接的網(wǎng)絡(luò)鏈路通信信道。同時，引進多重加解密算法，生成鏈路通信過程中的密鑰，為進一步保障鏈路通信中的安全性與可靠性，有效防御外部環(huán)境中危險因子對通信過程的攻擊，還需要在現(xiàn)有工作的基礎(chǔ)上，進行通信節(jié)點與通信對端的加密處理。

引進基于數(shù)據(jù)加密算法的計算機通信方法，將此方法作為實驗中的對比方法，在使用傳統(tǒng)方法進行通信鏈路安全處理時，需要使用標(biāo)識密碼，對通信節(jié)點進行加密處理，同時，設(shè)計通信協(xié)同協(xié)議，對通信過程進行優(yōu)化。

設(shè)計測試環(huán)境中2個通信終端表示為“1”與“2”，數(shù)據(jù)的流通與傳輸方向為“1→2”。使用兩種方法，進行網(wǎng)絡(luò)鏈路通信的安全設(shè)計。

4.3 實驗結(jié)果與結(jié)論

根據(jù)網(wǎng)絡(luò)運營需求，通信信道在無異常狀態(tài)下的流量為60～120 kB。在“1→2”通信過程中，隨機插入4種網(wǎng)絡(luò)鏈路入侵方式，如表2所示。

表2 隨機插入網(wǎng)絡(luò)入侵方式

對插入隨機入侵方式后的網(wǎng)絡(luò)鏈路通信狀態(tài)進行描述，如圖1所示。

圖1 插入隨機入侵方式后的網(wǎng)絡(luò)鏈路通信流量

從圖1中可以看出，A點、D點、C點插入了DOS入侵、U2R入侵、Probe入侵，瞬時流量呈現(xiàn)顯著提升趨勢；B點插入了U2L入侵，瞬時流量呈現(xiàn)顯著下降趨勢。

使用本文設(shè)計方法與傳統(tǒng)方法共同對網(wǎng)絡(luò)通信鏈路進行安全加密，統(tǒng)計在攻擊狀態(tài)下2種不同安全通信方法在鏈路通信過程中的流量變化情況，將其作為設(shè)計方法可靠性的依據(jù)，如圖2與圖3所示。

圖2 本文方法安全通信過程中的流量變化

圖3 傳統(tǒng)方法安全通信過程中的流量變化

從圖2與圖3所示的實驗結(jié)果可以看出，本文方法在通信過程中，可以有效避免外部攻擊對網(wǎng)絡(luò)鏈路通信過程的影響，保證通信鏈路流量穩(wěn)定在60 ～120 kB。而傳統(tǒng)方法只能避免部分攻擊，無法有效抵御所有外部入侵行為對網(wǎng)絡(luò)鏈路通信過程中流量變化造成的影響。

綜上所述，得出本次對比實驗的最終結(jié)論：相比傳統(tǒng)方法，本文設(shè)計的基于多重加解密算法的網(wǎng)絡(luò)鏈路安全通信方法，在實際應(yīng)用中的效果更好，可以有效抵御外部環(huán)境對通信過程的攻擊，保證網(wǎng)絡(luò)鏈路通信流量的穩(wěn)定性。

5 結(jié) 論

本文從建立面向連接的網(wǎng)絡(luò)鏈路通信信道、鏈路通信密鑰生成、通信節(jié)點與通信對端加密3個方面，開展了基于多重加解密算法的網(wǎng)絡(luò)鏈路安全通信方法設(shè)計。該方法在經(jīng)過檢驗后，證明了可以在應(yīng)用中有效抵御外部環(huán)境對通信過程的攻擊，確保流通在通信信道中的網(wǎng)絡(luò)數(shù)據(jù)與信息具有較高的安全性與隱私性。