電子通信低時延IPSEC安全加密傳輸仿真

覃 鳳,任寶平,雷久淮

(1. 廣東理工學院電氣與電子工程學院,廣東 肇慶 526100;2. 華東交通大學信息工程學院,江西 南昌 330013;3. 廣東省科學院電子電器研究所,廣東 廣州 510400)

1 引言

在電子通信傳輸中通常選擇加密協議對傳輸層控制,并對傳輸數據進行加解密操作,但在該過程中,加解密工作往往會占用較多的網絡資源,致使網絡傳輸鏈路中存在長排隊現象,導致數據的接收反饋時間加長。為了確保電子通信能在低時延狀態下完成可靠性傳輸,很多學者進行了大量研究。

常夢磊等人[1]研究的ERDQN傳輸調度算法,在感知協議的基礎上優化網絡排隊策略,針對網絡鏈路傳輸的特征向量,實時預測網絡狀態及相關參數,自適應調整傳輸參數,緩解網絡擁塞,降低時延;豐雷等人[2]研究出一種調度方法,分析不同頻段通信資源狀態,計算電子通信終端的傳輸速率和調度時延,實現低時延傳輸;但上述方法未能深度考慮鏈路傳輸的完整性,因此在傳輸成功率方面存在一定的局限性,低時延傳輸效果也并不理想。為此本文針對IPSEC安全加密的電子通信傳輸,研究出一種高可靠性的數據低時延傳輸方法,以期實現電子通信的加密安全與低時延傳輸。

2 建立電子通信傳輸網絡和鏈路模型

為了研究出電子通信傳輸的真實狀態,首先構建出多跳網狀電子通信網絡模型,電子通信網絡的拓撲結構[3]可表示為G=(V,E),其中,V={v0,v1,…,vn}表示網絡傳輸的通信設備,E表示網絡通信鏈路,網絡數據傳輸鏈路ei,j∈E表示節點vi和vj之間能夠完成數據包傳輸的路徑,節點vi在傳輸過程中可以有多個下一跳節點作為傳輸中轉,電子通信網絡中的路由圖可由Gg=(Vg,Eg)表示。

電子通信傳輸過程中的路徑選擇,相當于網絡傳輸節點選擇鄰居節點的過程,假設任意一個節點對應的鄰居節點集合為Mi,vj1,vj2,…,vjn∈Mi。qi表示傳輸節點vi的鄰居節點vj作為下一跳轉轉發節點的通信度量值[4],該度量值的取值受到節點vj在數據傳輸過程中的成功率和能量消耗程度的影響。

為保證數據傳輸的穩定性,利用復制機制實現路由容錯,數據包在傳輸過程中只要抵達目標節點就算是傳輸成功,此時節點對數據包的傳輸成功率可表示為:

Ri=1-(1-P(i,j1)Rj1)(1-P(i,j2)Rj2)…

(1-P(i,jn)Rjn)

(1)

式中,P(i,j)表示數據傳輸鏈路ei,j成功發送數據的概率,Rjn表示傳輸途中選擇鄰居節點vjn作為下一轉發節點的傳輸成功概率。

為降低數據傳輸過程中網絡節點的能耗,利用逐跳重傳機制實現路由容錯[5],將數據節點的傳輸成功概率可表示為:

(2)

路由算法在選擇下一跳節點的過程中,主要考慮網絡傳輸鏈路度量的能耗以及傳輸成功率:

(3)

(4)

式中,ρ1,ρ2>0。針對電子通信傳輸路徑的度量方式,在選擇下一跳節點時重點考慮節點的傳輸成功率以及剩余能量,此時參數因子γ主要受傳輸鏈路能耗的影響,節點能耗越小越容易被選擇作為數據包的傳輸路徑,作為跳轉節點的鄰居節點集合為Mi,此時可以計算出選擇最大化的鏈路度量:

(5)

對式(5)進行遞歸計算,得到傳輸節點vi的鏈路度量值qi。依次選出電子通信傳輸的下一跳節點,結合考慮鏈路度量以及傳輸成功概率的影響,綜合確定下一跳傳輸節點的集合。

3 考慮通信傳輸時延的IPsec安全加密分析

本文在進行電子通信的IPsec安全加密時,主要考慮網絡吞吐量和網絡延遲這兩方面因素[8]。為了更好的研究電子通信傳輸加密和時延間的關系,以SDN控制器和交換機之間的通信為例,如圖1所示。

圖1 具備IPsec安全加密的電子通信鏈路

傳輸鏈路的網絡延時主要分成三個階段,物理鏈路上的節點傳輸延遲情況Dt,傳輸節點所在位置的排隊延遲Dq,網絡傳輸節點對傳輸數據的處理延遲Dp,這三者共同形成加密數據的傳輸時延:

D=Dt+Dq+Dp

(6)

電子通信中經過IPsec安全加密的傳輸鏈路中,節點處理數據的延遲Dp分別由轉發節點和加解密節點各自對數據的處理延遲時間構成,關系如下所示:

Dp=Df+De

(7)

式中,Df表示轉發節點對數據的轉發處理延遲,De表示加解密節點對數據的加解密處理延遲[9]。

傳輸節點的轉發處理延遲Df相對穩定,所以將其視為常量,但加解密處理延遲通常會受到IPsec安全加密協議的影響,而IPsec安全加密協議在對電子通信進行加密傳輸的過程中,其中包含的ESP封包和拆包這兩個步驟相對固定,因此不需要著重考慮這二者的變化情況,在計算過程中將其歸于待轉發處理延遲中[10]。

Dt的變化情況與電子通信所處的物理環境、基礎硬件設備的性能條件等有關,為了方便研究IPsec安全加密對傳輸時延的影響,這里將Dt看作常量,不考慮其具體的變化,數據包的排隊延時主要取決于每個傳輸節點的處理能力,還會受到待處理數據量以及數據包大小的影響:

(8)

單個轉發節點vi對數據的轉發和處理性能相對固定,此時排隊延遲受到影響最大的因素是數據量,且與之成正相關,IPsec安全加密協議中的具體算法會對加解密節點的處理能力產生影響,從而間接影響數據的排隊延遲,假設傳輸節點處排隊等待轉發的數據量為0時,此時節點處的排隊延遲同樣為0,而數據在該節點處完成傳輸的時間主要為轉發節點的處理延遲Df。

根據上述分析可知,在IPsec安全加密的傳輸鏈路中,網絡傳輸延遲D與Dq和De密切相關,其它的網絡傳輸延遲相對固定可粗略視為常數,此時網絡延遲的計算公式為:

D=Dq+De+c0

(9)

在傳輸過程中,一旦數據流量變大,相對應地會出現排隊加重以及排隊延遲增加的情況,致使網絡傳輸延遲增加,在整個加密傳輸的過程中,加解密節點需要完成對IPsec安全加密協議的ESP封包和拆包動作,并實現加解密運算,這一系列操作對電子通信系統的資源消耗較大,此時加解密節點的排隊延時會相對較高,間接降低網絡傳輸鏈路的吞吐量,影響電子通信的傳輸性能[11]。

接下來分析IPsec安全加密下的電子通信傳輸吞吐量,傳輸鏈路的吞吐量可表示為:

(10)

從式(10)可以看出,在傳輸數據總量W不變的情況下,電子通信傳輸網絡的延遲D越大,傳輸鏈路的吞吐量T越小,當傳輸數據流量發生變化時,龐大的數據傳輸量很可能會使傳輸鏈路和各節點的排隊延遲增加,導致通信延遲。

電子通信過程中,在IP層中上層傳輸數據被封包后,經過鏈路的數據總量Q為:

(11)

當數據總量不發生變化的情況下,數據包在傳輸過程中會向小數據包方向進行偏移,此時的數據包經過封裝后,能夠傳輸的有效數據降低,減少了鏈路傳輸的吞吐量。

4 電子通信低時延傳輸方法實現

為了能夠有效地控制并降低電子通信的傳輸時延,本文考慮了兩個跳轉節點之間的有損鏈路,如圖2所示,圖中的s作為轉發節點將數據發送給節點d,節點s和d之間不存在直達路徑,需要經過中轉節點r才能完成中繼轉發,而s-r和r-d這兩條路徑均為有損鏈路,傳輸中出現物理幀錯誤的概率分為別ε1和ε2,在該鏈路模型中,為了方便研究建立的兩跳鏈路包含了有損、多跳和再編碼等相關應用場景,因此同樣適用于多跳多損的鏈路中[12]。

圖2 兩跳有損鏈路

利用電子通信進行數據傳輸時,節點s將傳輸數據有序的劃分成F個數據分組s0,s1,…,sF-1,每個數據分組中包含K=F′/Fbits,并假設F′為F的整數倍,此時針對鏈路s-r上的第j=0,1,…次數據傳輸機會而言,節點s可以隨機生成一個對應的傳輸編碼分組:

(12)

式中,gj,i表示從有限域A中隨機但保持均勻的選擇出對應的編碼系數,有限域的大小為a,其中,[gj,0,gj,1,…,gj,F-1]表示傳輸編碼中rj組對應的編碼向量,將其作為分組頭部和整體的編碼一同傳輸,此時鏈路s-r上完成的每一次數據傳輸都對應一個包含(Flog2q+K)bits的分組。

使用無連接傳輸協議進行傳輸的情況下,節點s產生的每個已編碼數據分組在相應的傳輸協議、IP以及鏈路層等完成封裝后,經過s-r路徑并達到目標節點r的概率為1-ε1,當節點r接收到傳輸協議報文的時候,將會逐步剔除各個層級的編碼分組和頭部編碼存儲在一個節點上。

針對有損路徑r-d上的每一次傳輸,節點r將從已經緩存的部分中生成一個有序的再編碼完成發送任務,假設節點r已緩存分組數滿足k≤m,并將分組數據表示為b0,…,bk-1,此時數據的編碼分組為:

(13)

5 仿真研究

為驗證本文提出的基于IPSEC安全加密的電子通信低時延傳輸方法的實際性能,利用機會網絡模擬軟件建立模擬平臺,比較ERDQN傳輸調度算法、高可靠低時延調度方法和本文方法的性能優劣。具體的實驗參數如表1所示。

表1 仿真參數

5.1 報文發送的成功率

在上述實驗條件下,驗證三種方法的可行性。首先對三種不同方法下電子通信的報文發送成功率進行對比,結果如圖3所示。

圖3 不同方法下報文發送成功率

根據圖3可以看出,隨著報文壽命周期的增加,三種方法的發送成功率都在增加,高可靠低時延調度方法在報文發送成功率上優于ERDQN傳輸調度算法,但比本文方法的成功率低,本文方法建立全面的電子通信傳輸鏈路模型,充分考慮加密傳輸可能產生的傳輸時延因素,計算和預測節點之間的相遇概率,有效地提高報文傳輸的成功率。

5.2 平均傳輸時延

對不同方法下的數據傳輸平均時延進行實驗和對比,結果如圖4所示。

圖4 不同方法下平均傳輸時延

從圖4中可以看出,在不同報文生命周期的情況下,隨著報文壽命的不斷增加,三種方法的報文平均傳輸時延隨之增加,但從整體來看高可靠低時延調度方法和ERDQN傳輸調度算法的平均傳輸時延高于本文方法。從整體來看,本文所提方法的平均傳輸時延最小,且時延變化相對穩定,性能較好。

5.3 消息平均傳輸跳數

針對不同報文壽命下三種方法的平均傳輸跳數進行實驗數據比對,結果如圖5所示。

圖5 不同方法下報文平均傳輸跳數

根據圖5可知,本文方法的平均跳數最低,因為該方法為了能夠精準預測節點傳輸狀態,加入考慮偶遇條件的最大概率機制,在此基礎上,增加了傳輸節點的相遇機會,從而有效的降低電子通信加密傳輸的平均時延,一定程度上減少了平均跳數,有效地降低電子通信的節點能耗。

5.4 消息平均重傳次數

根據不同方法隨著報文壽命變化下的消息平均重傳次數,可以有效地判斷方法對安全加密通信的傳輸能力,重傳次數越高的情況下,證明方法的傳輸效率越低,接下來針對這一指標進行實驗測試,并將三種方法的實驗結果進行對比。

根據圖6可知,文本方法的報文平均重傳次數最低,本文方法不僅針對正常鏈路下的數據傳輸排隊進行分析,還考慮了有損鏈路中信息的路徑選擇和傳輸,有效地解決信息傳輸中排隊和路徑選擇困難問題,減少受到有損鏈路影響而使信息重新傳輸的概率,提高電子通信消息的傳輸成功率,強化節點相遇概率。

圖6 不同方法下報文平均重傳次數

6 結論

本文針對經過IPSEC安全加密后的電子通信中,受到加密影響而存在的網絡傳輸時延高的問題進行研究,在建立全面的網路及鏈路模型的基礎上,考慮IPSEC安全加密造成的通信時延影響,針對性地完成鏈路調度和節點優化,經過實驗證明所提方法有效地降低了電子通信傳輸過程中的時延問題,傳輸速度快,傳輸跳數優秀,重傳次數少,平均的傳輸成功率高,具備良好的可適用性。