一种非地面网络接入弱认证方法及装置与流程
本发明涉及信息安全技术领域,尤其涉及一种非地面网络接入弱认证方法及装置。
背景技术:
拒绝服务(denialofservice,dos)攻击是指攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源,以使得被攻击计算机或网络无法提供正常的服务,直至系统停止响应甚至崩溃的攻击方式。在通信网络中,一些计算能力受限的节点/服务器非常容易成为dos攻击的攻击目标。随着5g技术的不断完善以及6g技术的逐步探索,非地面网络的网络架构已经成为研究的重点之一,而对于卫星节点来说,其计算能力受限的特点非常容易成为dos攻击的攻击目标。
针对dos的攻击,可以通过cpp协议,在源节点发出接入申请前做一个一定难度的计算,从而减少攻击者的申请频率,现有技术中大部分都是对代价函数的函数形式、复杂程度进行优化,但是对于通信网络,尤其是非地面网络中,对正常用户的时延优化并没有过多的涉及。
因此,如何在非地面网络中对各正常用户的时延进行优化已经成为业界亟待解决的问题。
技术实现要素:
本发明实施例提供一种非地面网络接入弱认证方法及装置,用以解决上述背景技术中提出的技术问题,或至少部分解决上述背景技术中提出的技术问题。
第一方面,本发明实施例提供一种非地面网络接入弱认证方法,包括:
当接入请求信息超过当前节点负载时,获取辅助节点负载信息;
根据所述接入请求信息和所述辅助节点负载信息构建时延优化模型,以根据所述时延优化模型确定弱认证方案;
根据所述弱认证方案确定计算请求目标难度信息,将目标难度的计算请求信息发回申请终端。
更具体的,所述弱认证方案包括:最优时延信息、最优时延对应的计算请求目标难度信息、最优时延对应的目标请求分配方案。
更具体的,在所述根据所述弱认证方案确定计算请求目标难度信息,将目标难度的计算请求信息发回申请终端的步骤之后,所述方法还包括:
获取所述目标难度的计算请求信息对应的解决方案信息;
根据所述最优时延对应的目标请求分配方案将所述解决方案信息分配到各个辅助节点,以供所述各个辅助节点对所述解决方案信息进行验证;
若所述解决方案信息均验证通过,则进行强认证。
更具体的,所述根据所述接入请求信息和所述辅助节点负载信息构建时延优化模型的步骤,具体包括:
根据所述接入请求信息得到接入申请时间间隔信息,根据所述接入申请时间间隔信息确定每个节点的平均到达率信息;
根据每个节点的平均到达率信息得到每个接入请求信息在系统的平均停留时延;
根据所述每个接入请求信息在系统的平均停留时延,构建时延优化模型。
更具体的,所述根据所述时延优化模型确定弱认证方案的步骤,具体包括:
获取多个预设计算请求难度信息;
根据所述接入请求信息和所述时延优化模型,遍历所有预设难度请求信息,得到目标最优时延信息、最优时延对应的计算请求目标难度信息、最优时延对应的目标请求分配方案。
更具体的,所述时延优化模型具体为:
st.
0≤j≤n
λ′0i(j)<μi
其中,tpuzzle-n(j)为正常用户的计算能力,wsi(j)为每个接入请求在系统的平均停留时延,j为预设计算请求难度信息,λ′0i(j)为每个节点的平均到达率信息,ai为每个节点的处理请求数的比例。
第二方面,本发明实施例提供一种非地面网络接入弱认证装置,包括:
获取模块,用于当接入请求信息超过当前节点负载时,获取辅助节点负载信息;
处理模块,用于根据所述接入请求信息和所述辅助节点负载信息构建时延优化模型,以根据所述时延优化模型确定弱认证方案;
认证模块,用于根据所述弱认证方案确定计算请求目标难度信息,将目标难度的计算请求信息发回申请终端。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述非地面网络接入弱认证方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述非地面网络接入弱认证方法的步骤。
本发明实施例提供的一种非地面网络接入弱认证方法及装置,通过在接入请求信息超过源节点负载时,根据接入请求信息和辅助节点负载信息来确定实时变化的计算请求目标难度信息,从而极大减轻在低攻击强度下的接入时延,在相同计算能力的前提下,有效降低时延,改善正常用户接入时完成弱认证所需时延。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例所描述的弱认证流程框架图;
图2为本发明一实施例中所描述的非地面网络接入弱认证方法流程示意图;
图3为本发明一实施例中所描述的正常用户到达率原理示意图;
图4为本发明一实施例中所描述的固定难度和本发明实施例方案在不同攻击强度下的时延对比仿真图;
图5为本发明一实施例所描述的非地面网络接入弱认证装置结构示意图;
图6为本发明一实施例所描述的电子设备结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一实施例所描述的弱认证流程框架图,如图1所示,dos攻击者控制若干台傀儡主机,向受攻击节点发送大量无效请求,企图通过占用节点的计算资源和存储资源来使得节点无法处理来自正常用户的接入申请,从而实现节点瘫痪的目的。
图2为本发明一实施例中所描述的非地面网络接入弱认证方法流程示意图,如图2所示,包括:
步骤s1,当接入请求信息超过当前源节点负载时,获取辅助节点负载信息;
步骤s2,根据所述接入请求信息和所述辅助节点负载信息构建时延优化模型,以根据所述时延优化模型确定弱认证方案;
步骤s3,根据所述弱认证方案确定计算请求目标难度信息,将目标难度的计算请求信息发回申请终端。
具体的,本发明实施例中所描述的源节点是指受到攻击的卫星节点,本发明实施例中所描述的辅助节点是指收到攻击节点附近的其它卫星节点或地面辅助节点,受攻击节点获取周围卫星节点的信息,通过周围卫星到当前受攻击节点的传输时延以及该卫星的剩余计算资源,判断该卫星节点是否可以作为辅助节点。在判断结束之后,根据判断情况建立合适的含有辅助节点的网络拓扑结构。
本发明实施例中的源节点负载是指源节点能够处理的接入请求极限,辅助节点负载信息是指各个辅助节点当前的负载情况,确定可以用于辅助源节点的负载信息。
本发明实施例中所描述的最优时延即为最小平均时延。
本发明实施例中所描述的时延优化模型用于在当前接入请求信息和辅助节点负载信息的情况下,确定每个请求在整个系统中的最小平均时延,并确定该最小平均时延所对应的计算请求目标难度信息和最小平均时延所对应的目标请求分配方案。
本发明实施例中所描述的计算请求目标难度信息并不是固定的,其可以根据实际的接入请求和辅助节点负载信息的变化而实时变化。
本发明实施例中所描述的时延优化模型具体是指根据接入请求信息得到接入申请时间间隔信息,根据接入申请时间间隔信息确定每个节点的平均到达率信息;根据每个节点的平均到达率信息得到每个接入请求信息在系统的平均停留时延;根据每个接入请求信息在系统的平均停留时延,构建时延优化模型。
根据时延优化模型确定弱认证方案具体是指,根据接入请求信息和辅助节点负载信息确定攻击强度,遍历所有预设计算请求难度信息j,求解出最小时延以及对应的目标请求分配方案a0:a1:…:am-1,最后比较得出所有难度下的最小时延的最小值。
在确定最小时延对应的计算请求目标难度信息后,以最小时延对应的计算请求目标难度信息构建计算请求信息,即代价函数puzzle,然后其发回到申请终端,等待申请终端进行对计算请求信息进行求解,得到解决方案信息,再将解决方案信息发挥到源节点,由源节点转发到辅助节点进行验证,若验证均通过,则进行下一步强认证环节。
本发明实施例通过在接入请求信息超过源节点负载时,根据接入请求信息和辅助节点负载信息来确定实时变化的计算请求目标难度信息,从而极大减轻在低攻击强度下的接入时延,在相同计算能力的前提下,有效降低时延,改善正常用户接入时完成弱认证所需时延。
在上述实施例的基础上,所述弱认证方案包括:最优时延信息、最优时延对应的计算请求目标难度信息、最优时延对应的目标请求分配方案。
在所述根据所述弱认证方案确定计算请求目标难度信息,将目标难度的计算请求信息发回申请终端的步骤之后,所述方法还包括:
获取所述目标难度的计算请求信息对应的解决方案信息;
根据所述最优时延对应的目标请求分配方案将所述解决方案信息分配到各个辅助节点,以供所述各个辅助节点对所述解决方案信息进行验证;
若所述解决方案信息均验证通过,则进行强认证。
具体的,本发明实施例中所描述的最优时延信息是指所有预设计算请求难度信息下的最小时延的最小值。
源节点获取所述目标难度的计算请求信息对应的解决方案信息,其具体是指申请终端,针对于源节点发回的预设计算请求难度信息耗费计算资源进行求解后得到的结果。
本发明实施例中所描述的目标分配方案信息是指将接入请求信息分配到源节点和各个辅助节点的分配方案,在申请终端返回的解决方案信息后,按照目标分配方案信息将其分发到各个辅助节点,使得辅助节点帮助源节点进行验证,减轻源节点计算压力。
若所述解决方案信息均验证通过,则进行强认证,若解决方案信息验证未通过,则拒绝该解决方案信息对应的接入请求。
在上述实施例的基础上,所述根据所述接入请求信息和所述辅助节点负载信息构建时延优化模型的步骤,具体包括:
根据所述接入请求信息得到接入申请时间间隔信息,根据所述接入申请时间间隔信息确定每个节点的平均到达率信息;
根据每个节点的平均到达率信息得到每个接入请求信息在系统的平均停留时延;
根据所述每个接入请求信息在系统的平均停留时延,构建时延优化模型。
具体的,当用户终端请求首先到达源节点n0,到达时间服从指数分布,平均达到率为λ0=λu+λa,当用户终端对计算请求目标难度信息进行处理后,平均到达率发生改变,记为λ′0(j)。同时分配给每个节点的平均到达率为λ′0i(j)=ai*λ′0(j),i∈,[0,n],ai为每个节点的处理请求数占总数的比例。
图3为本发明一实施例中所描述的正常用户到达率原理示意图,如图3所示,对于正常申请终端来说,提出接入申请的频率很低,puzzle的计算也不会将用户的计算资源消耗太多,即计算puzzle消耗的时间远小于发送接入申请的时间间隔,所以可以粗略认为puzzle的加入以及puzzle难度的改变不会影响正常申请终端的接入频率。而对于攻击申请终端来说,一台计算机需要发送大量的接入申请,而计算资源有限,能够计算出puzzle的数量会减小,从而使得攻击者发送的申请数量减小。
对于正常申请终端的接入申请,计算puzzle并不会改变其到达率即λ′u=λu,而对于攻击申请终端,受到计算能力的限制,计算puzzle会造成到达率的降低,并且请求的时间间隔可以近似为tpuzzle-a(j),所以
处理puzzle所用时间与puzzle难度j有关,并且受限于每个攻击主机的计算能力cai(bit/s),假设解答难度为j的puzzle需要消耗的计算资源为f(j)(bit),则攻击者处理puzzle需要的时间可以表示为:
其中,
假设每个节点服务器的平均服务率为μi(为常数)。并且puzzle难度相同,对于每个节点,可以用m/m/1队列模型来分析,m/m/1队列模型具体是指,第1个m代表指数分布的到达间隔,第2个m代表指数分布的服务时间,1表示只有一个处理资源。同时考虑到传输时延,接入请求在信道中的传输过程也可以使用m/m/1模型进行模拟设消息从节点n0到节点ni传输的平均服务率为μ′i。
从源节点到协助节点的过程可以使用两个m/m/1模型串联来进行建模,同时考虑到传输时延,由于卫星间的传输时延和星地间的传输时延相差较多,所以可以忽略星间传输的时延,只考虑星地间的传输时延,所以每个请求在整个系统的平均停留时延为:
由此得到每个请求在整个系统中的平均时延为:
其中,
构建时延优化模型具体为:
其中,tpuzzle-n(j)为正常用户的计算能力,wsi(j)为每个接入请求在系统的平均停留时延,j为预设计算请求难度信息,λ′0i(j)为每个节点的平均到达率信息,ai为每个节点的处理请求数的比例。
在上述实施例的基础上,所述根据所述时延优化模型确定弱认证方案的步骤,具体包括:
获取多个预设计算请求难度信息;
根据所述接入请求信息和所述时延优化模型,遍历所有预设难度请求信息,得到目标最优时延信息、最优时延对应的计算请求目标难度信息、最优时延对应的目标请求分配方案。
本发明实施例中所描述的预设计算请求难度信息是指预先设定的可以设定的所有请求难度信息。
若协助节点有m-1个,n1,n2,…,nm-1,并且经过分配流量后所有m个节点的流量比值为a0:a1:…:am-1,即n0流量到达率为a*λ′0(j)。
时延优化模型具体为:
st.
0≤j≤n
λ′0i(j)<μi
遍历所有难度j,求解出最小时延以及对应的流量分配比值a0:a1:…:am-1,最后比较得出所有难度下的最小时延的最小值。
本发明实施例通过在接入请求信息超过源节点负载时,根据接入请求信息和辅助节点负载信息来确定实时变化的计算请求目标难度信息,从而极大减轻在低攻击强度下的接入时延,在相同计算能力的前提下,有效降低时延,改善正常用户接入时完成弱认证所需时延。
在本发明另一实施例中,图4为本发明一实施例中所描述的固定难度和本发明实施例方案在不同攻击强度下的时延对比仿真图,如图4所示,本发明实施例方案中的用户接入时延是一直要小于固定难度的接入时延,而且可以从仿真结果图中看到,固定难度后,如果攻击强度较大,则用户接入时延会呈指数级增长。说明本发明能够在保证安全的基础上,有效的对正常用户的接入时延进行优化。
图5为本发明一实施例所描述的非地面网络接入弱认证装置结构示意图,如图5所示,包括获取模块510、处理模块520和认证模块530;其中,获取模块510,用于当接入请求信息超过当前节点负载时,获取辅助节点负载信息;其中,处理模块520用于根据所述接入请求信息和所述辅助节点负载信息构建时延优化模型,以根据所述时延优化模型确定弱认证方案;其中,认证模块530用于根据所述弱认证方案确定计算请求目标难度信息,将目标难度的计算请求信息发回申请终端。
本发明实施例提供的装置是用于执行上述各方法实施例的,具体流程和详细内容请参照上述实施例,此处不再赘述。
本发明实施例通过在接入请求信息超过源节点负载时,根据接入请求信息和辅助节点负载信息来确定实时变化的计算请求目标难度信息,从而极大减轻在低攻击强度下的接入时延,在相同计算能力的前提下,有效降低时延,改善正常用户接入时完成弱认证所需时延。
图6为本发明一实施例所描述的电子设备结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(communicationsinterface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行如下方法:当接入请求信息超过当前源节点负载时,获取辅助节点负载信息;根据所述接入请求信息和所述辅助节点负载信息构建时延优化模型,以根据所述时延优化模型确定弱认证方案;根据所述弱认证方案确定计算请求目标难度信息,将目标难度的计算请求信息发回申请终端。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:当接入请求信息超过当前源节点负载时,获取辅助节点负载信息;根据所述接入请求信息和所述辅助节点负载信息构建时延优化模型,以根据所述时延优化模型确定弱认证方案;根据所述弱认证方案确定计算请求目标难度信息,将目标难度的计算请求信息发回申请终端。
本发明实施例提供一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储服务器指令,该计算机指令使计算机执行上述各实施例提供的方法,例如包括:当接入请求信息超过当前源节点负载时,获取辅助节点负载信息;根据所述接入请求信息和所述辅助节点负载信息构建时延优化模型,以根据所述时延优化模型确定弱认证方案;根据所述弱认证方案确定计算请求目标难度信息,将目标难度的计算请求信息发回申请终端。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
- 还没有人留言评论。精彩留言会获得点赞!