本發明公開了一種基于隱私保護的遙測數據分析系統及方法，通過對遙測數據進行加密，解決竊聽問題。同時，采用基于數據壓縮的哈希技術對加密數據進行簽名，控制平面利用簽名驗證數據的完整性，有效防止篡改攻擊。該隱私保護方案具有較低的復雜度，不影響系統處理的正確性和實時性。

技術領域

本發明涉及通信技術領域，尤其涉及一種基于隱私保護的遙測數據分析系統及方法。

背景技術

隨著網絡設施建設的快速發展以及網絡用戶越來越多樣化的需求，網絡運行環境也變得越來越復雜。因此，實時的、細粒度、端到端的流狀態信息是快速發現并定位網絡故障的必要條件。帶內網絡遙測技術(INT，In-bandNetworkTelemetry)被視為最有前景的網絡狀態采集方案，通過數據帶內傳輸的方式實時監控數據平面的狀態信息，節省網絡帶寬和保證網絡狀態實時性。同時，軟件定義網絡(SDN,Software Defined Network)將數據面和控制面分離，由集中式控制器對數據平面進行管控。將軟件定義網絡和帶內網絡遙測技術相結合，能夠實現對網絡的數據平面深度可編程，能夠快速定制和部署網絡數據的獲取類型、數量及可定制獲取方案。

在SDN架構下利用INT技術收集網絡狀態信息，如果報告明文數據，則存在很大的安全隱患，原因有多方面。首先，遙測數據提供了豐富的關于核心網絡的信息，利用遙測數據可推導出關于網絡配置和運行的敏感信息。遙測數據通常使用控制信道上報到控制平面，比如傳輸層安全(TLS，Transport Layer Security)連接或安全套接字(SSL，SecureSocket Layer)連接，但這些方式已經被證明很容易受中間人攻擊(Man-in-the-middleAttack)。因此，如果惡意方通過竊聽控制信道獲取明文遙測數據，就可以根據推導出的網絡敏感信息實施多種攻擊。例如，分析數據中的光接收功率(Power-level)和光信噪比(OSNR，Optical Signal-to-Noise-Ratio)，可以推導出光層的運行邊界，在傳輸質量保障相對較小的邊界上，惡意方可以向其光纖鏈路中注入噪聲或者干擾信號來放大其攻擊效果。

其次，在AI輔助網絡自動化模式下，除了被動的竊聽，惡意方很可能篡改遙測數據，從而誤導控制平面的數據分析(DA，Data Analytics)，擾亂系統工作。已有研究表明，基于深度學習的神經網絡面對對抗樣本非常脆弱，因此，采用神經網絡的數據分析方法在受到篡改攻擊時，其分析結果會大相徑庭。此外，由于缺乏人力/硬件/軟件資源，網絡管理方需要將數據分析模塊中深度學習模型的訓練過程外包給第三方，那么使用明文遙測數據將導致隱私泄漏。

如果在數據報告信道的兩端執行加密/解密操作，可以解決前面提到的部分問題。但是，這將帶來額外的操作復雜度和處理延時，尤其是控制平面，況且數據分析模塊仍然處理明文遙測數據，安全漏洞依然存在。由于數據平面采用分布式方式，不同于控制平面的集中式，在數據平面的每個性能監控器中，增加數據加密操作并不會造成過大的操作負擔，并且如果數據分析器能夠直接對密文進行分析，那么隱私泄露和安全問題就迎刃而解。

綜上，在SDN架構下，利用帶內網絡遙測技術采集網絡狀態信息，現有方案并沒有考慮到遙測數據的隱私和安全問題，尤其是竊聽和篡改攻擊，這將帶來巨大的安全隱患。因此，實現一種隱私保護的遙測數據分析系統及方法是十分必要的。

發明內容

本發明的目的是提供一種基于隱私保護的遙測數據分析系統及方法，對遙測數據進行加密，解決竊聽問題。同時，采用基于數據壓縮的哈希技術對加密數據進行簽名，控制平面利用簽名驗證數據的完整性，有效防止篡改攻擊。該隱私保護方案具有較低的復雜度，不影響系統處理的正確性和實時性。

本發明的目的是通過以下技術方案實現的：

一種基于隱私保護的遙測數據分析系統，包括：