基于多重加解密算法的網絡鏈路安全通信方法

雷 宇，譚棕寶，歐韋宜

（廣東電網有限責任公司 肇慶供電局，廣東 肇慶 526000）

0 引 言

隨著網絡通信技術的迅速發展，網絡鏈路的數據傳送量迅速增加，網絡信息在鏈路中呈現出不同的形態，而網絡流量的異常將導致通信過程出現安全隱患。由于網絡鏈路本身具有空域特性，使得信息在傳輸過程中會產生較大的風險[1]。信息安全是實現移動電子通信的必要條件之一，而數據加解密算法在其中的應用，屬于一種可靠性較強的通信保障行為。采用適當的加密算法，可以把明文變成具有隱蔽性特點的密碼，從而避免網絡中未經過身份認證或授權的用戶掌握原始數據集合，進一步保障通信過程中數據的安全性與隱蔽性，從而滿足移動通信所需要的數據完整性和身份驗證需求[2]。為解決網絡通信過程中的安全性問題，相關技術人員根據網絡鏈路安全業務需求，設計了多種網絡鏈路通信加密方法與多種加密和解密相結合的安全通信方案。有研究人員利用3DES加密算法對網絡中原始明文數據進行加密，利用非對稱RSA加密算法處理3DES的密鑰，將加密密鑰與密文共同傳輸，實現計算機數據的安全傳輸[3]。但在實施過程中應用效果未能達到預期，導致網絡鏈路通信仍存在較多的安全隱患，容易受到外部入侵流量的攻擊，影響網絡鏈路通信的安全性。

為了解決這一問題，本文將結合網絡鏈路通信需求，引進多重加解密算法，設計一種網絡鏈路安全通信方法，通過這種方式對網絡鏈路通信過程進行優化，實現對通信過程中數據與信息安全的全面保障，降低或避免由于外界環境異常或干擾造成的網絡鏈路安全隱患與通信風險。

1 建立面向連接的網絡鏈路通信信道

為實現對網絡鏈路通信過程的安全保障，提高通信過程的穩定性，應在設計前期建立面向連接網絡鏈路的通信信道。

在通信區域覆蓋局域網，設計兩個終端節點，隨機部署通信源、信宿、密碼體制。用戶在登錄后，需要根據通信過程中的參數具體要求進行個人身份信息的認證，認證計算公式為

式中：N表示個人身份信息的認證過程；p表示通信源；q表示信宿。完成認證后，雙方之間將建立一個有效的通信連通信道[4]。此時，雙方將選擇合適的編碼流進行數據的封裝，并按照預設的信道進行一次通信。通信過程計算公式為

式中：c表示網絡鏈路通信信道一次通信過程；m′表示編碼流；D表示封裝數據；n表示數據流分組。通信過程中，選擇高性能核心處理器作為運行支撐，配合解碼芯片、無線通信模塊，構成一個完整的通信信道，以此種方式，建立面向連接的網絡鏈路通信信道。

2 基于多重加解密算法的鏈路通信密鑰生成

為保障通信過程的安全性，本節引進多重加解密算法，對鏈路通信密鑰的生成過程進行設計[5]。假設在通信過程中鏈路帶寬的利用率為100%，此時對端通信消耗的密鑰量計算公式為

式中：K表示密鑰消耗量；φ表示通信過程中鏈路帶寬的利用率，此次計算取φ的值為100%；t表示編碼流有效傳輸時間；j表示傳輸路徑；k表示濾波參數；α表示通信時間序列；ψ表示傳輸時延。在此基礎上，利用多重加解密算法中的3層密鑰模型，建立網絡鏈路通信過程中的授權安全管理機制[6]。其中3層密鑰分別為AES密鑰、RAS密鑰與CPRS密鑰，3種密鑰集成在通信鏈路中的功能是不同的。首層密鑰主要負責通信過程中的編碼流加密[7]。在AES保護層中，可以通過對端身份認證的索引，進行通信信息安全性的識別與辨認，當信息辨認為“正常”時，首層保護機制將進行流通信息的主動加密[8]。此過程計算公式為

式中：μ表示首層保護機制對流通信息的主動加密過程；R表示AES算法；χ表示索引機制；S表示通信信息安全性的識別過程；f表示窗口函數；c表示窗口序列。完成首層加密后，數據流流入RAS保護層，RAS需要將通過對通信信道的協商，生成對應的密文，進行數據信息的進一步加密。其計算公式為

式中：h表示RAS保護層的數據加密；a表示RAS算法；τ表示通信信道協商處理過程。與此同時，數據流通到CPRS保護層，在此層中編碼流與信息將進行混沌加解密，并持續進行解密信息在對端的傳輸。可將此過程作為鏈路通信密鑰生成的過程，此過程計算公式為

式中：W表示混沌加解密處理過程；β表示CPRS算法；v表示通信過程中的隱蔽流量。按照上述方式，實現在鏈路通信過程中對密鑰的生成，完成基于多種加解密算法的通信保護。

3 通信節點與通信對端加密

在上述設計內容的基礎上，對鏈路通信節點進行加密，可以將此種加密作為鏈路通信加密的補充形式，旨在解決在中間節點上鏈路加密容易被非法訪問的問題。節點加密一般發生在協議傳送層，以保護源和目的節點間的數據。節點加密處理過程計算公式為

式中：U表示節點加密處理過程；u表示中間節點；V表示非法訪問路徑；L表示協議傳送信道長度；G表示目的節點。完成節點加密后，設計端對端加密，將對端加密設置在傳輸層和應用層中。

在對一個應用程序進行加密時，可以采用序列密碼體制、分組密碼體制、公開密碼體制等，此過程計算公式為

式中：A表示對端加密處理過程；Q表示單播鏈路的重傳效率；T表示緩存流量所需時長；δ表示密鑰拓展倍數；H表示全局信道帶寬；i表示子網有效連通信道。按照上述方式，完成通信節點與通信對端加密，實現基于多重加解密算法的網絡鏈路安全通信方法設計。

4 對比實驗

4.1 實驗準備

上文完成了基于多重加解密算法的網絡鏈路安全通信方法設計，為檢驗本文設計方法的有效性，搭建可視化鏈路通信平臺，在平臺中設計對比實驗。

為避免實驗結果具有偶然性，在開展對比實驗前，使用NS2網絡通信器搭建對端網絡鏈路通信環境，環境參數如表1所示。

表1 網絡鏈路通信環境技術參數

按照上述表1，完成對測試環境的設計，在測試過程中，可根據相關工作的具體需求，進行可視化操作平臺中參數的自適應調試。

4.2 實驗過程

完成上述設計后，使用本文設計的方法，進行網絡鏈路安全通信的規劃。在此過程中，需要根據網絡通信的實際需求，建立面向連接的網絡鏈路通信信道。同時，引進多重加解密算法，生成鏈路通信過程中的密鑰，為進一步保障鏈路通信中的安全性與可靠性，有效防御外部環境中危險因子對通信過程的攻擊，還需要在現有工作的基礎上，進行通信節點與通信對端的加密處理。

引進基于數據加密算法的計算機通信方法，將此方法作為實驗中的對比方法，在使用傳統方法進行通信鏈路安全處理時，需要使用標識密碼，對通信節點進行加密處理，同時，設計通信協同協議，對通信過程進行優化。

設計測試環境中2個通信終端表示為“1”與“2”，數據的流通與傳輸方向為“1→2”。使用兩種方法，進行網絡鏈路通信的安全設計。

4.3 實驗結果與結論

根據網絡運營需求，通信信道在無異常狀態下的流量為60～120 kB。在“1→2”通信過程中，隨機插入4種網絡鏈路入侵方式，如表2所示。

表2 隨機插入網絡入侵方式

對插入隨機入侵方式后的網絡鏈路通信狀態進行描述，如圖1所示。

圖1 插入隨機入侵方式后的網絡鏈路通信流量

從圖1中可以看出，A點、D點、C點插入了DOS入侵、U2R入侵、Probe入侵，瞬時流量呈現顯著提升趨勢；B點插入了U2L入侵，瞬時流量呈現顯著下降趨勢。

使用本文設計方法與傳統方法共同對網絡通信鏈路進行安全加密，統計在攻擊狀態下2種不同安全通信方法在鏈路通信過程中的流量變化情況，將其作為設計方法可靠性的依據，如圖2與圖3所示。

圖2 本文方法安全通信過程中的流量變化

圖3 傳統方法安全通信過程中的流量變化

從圖2與圖3所示的實驗結果可以看出，本文方法在通信過程中，可以有效避免外部攻擊對網絡鏈路通信過程的影響，保證通信鏈路流量穩定在60 ～120 kB。而傳統方法只能避免部分攻擊，無法有效抵御所有外部入侵行為對網絡鏈路通信過程中流量變化造成的影響。

綜上所述，得出本次對比實驗的最終結論：相比傳統方法，本文設計的基于多重加解密算法的網絡鏈路安全通信方法，在實際應用中的效果更好，可以有效抵御外部環境對通信過程的攻擊，保證網絡鏈路通信流量的穩定性。

5 結 論

本文從建立面向連接的網絡鏈路通信信道、鏈路通信密鑰生成、通信節點與通信對端加密3個方面，開展了基于多重加解密算法的網絡鏈路安全通信方法設計。該方法在經過檢驗后，證明了可以在應用中有效抵御外部環境對通信過程的攻擊，確保流通在通信信道中的網絡數據與信息具有較高的安全性與隱私性。