專利名稱:一種用于隱藏通信信道中加密的存在的高效帶寬的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及一種用于加密數(shù)據(jù)的方法與系統(tǒng)�����,更具體地涉及一種用于隱藏通信信道中數(shù)據(jù)加密的存在�����,同時(shí)有效地分配帶寬的方法與系統(tǒng)。
背景技術(shù):
當(dāng)今��,大規(guī)模的網(wǎng)絡(luò)中的業(yè)務(wù)流(traffic flows)常常遭到考慮不當(dāng)?shù)幕谡叩臋C(jī)制的“調(diào)整”�����。通常�,這種基于政策的業(yè)務(wù)(traffic)調(diào)整對(duì)加密的業(yè)務(wù)流是不利的,甚至是對(duì)于那些因?yàn)闆]有加密而沒有被“調(diào)整的”業(yè)務(wù)流(也是有害的)����。此外,在世界上的一些地區(qū)����,加密的業(yè)務(wù)相對(duì)于未加密的業(yè)務(wù)而言,還會(huì)遭到更多帶有侵入性監(jiān)察技術(shù)的詳細(xì)檢查�。事實(shí)上,對(duì)于�,即使加密的業(yè)務(wù)是“無害的”,也會(huì)僅僅因?yàn)榧用芏齺磉^度的關(guān)注����。在現(xiàn)代的互聯(lián)網(wǎng)的許多位置處��,尤其是在靠近網(wǎng)絡(luò)邊界處���,業(yè)務(wù)調(diào)整技術(shù)已經(jīng)被設(shè)計(jì)用來自動(dòng)檢測加密的業(yè)務(wù)流,并根據(jù)本地政策區(qū)分對(duì)待這些業(yè)務(wù)流���。這類區(qū)別對(duì)待實(shí)際上可包括丟棄該業(yè)務(wù)或者將該業(yè)務(wù)放到極低優(yōu)先級(jí)的“服務(wù)質(zhì)量”隊(duì)列中���。除固定報(bào)頭信息之外,加密的業(yè)務(wù)還具有難以從同等長度的強(qiáng)偽隨機(jī)序列中區(qū)分出來的獨(dú)特的統(tǒng)計(jì)學(xué)特性���。但是���,如果該提及的加密的業(yè)務(wù)的時(shí)間跨度足夠長,非常均勻的比特(或八位組)分布就會(huì)出現(xiàn)�,這通常會(huì)使得該業(yè)務(wù)可從非加密的業(yè)務(wù)中區(qū)分出來�。正是利用這一特性,才讓業(yè)務(wù)調(diào)整硬件得以識(shí)別出加密的業(yè)務(wù)流�����,并在這些流量上應(yīng)用“政策”����。 與加密的業(yè)務(wù)流相比��,未加密的業(yè)務(wù)流具有完全不同的比特(八位組)統(tǒng)計(jì)分布�?����?蓪?duì)業(yè)務(wù)進(jìn)行一些測試來確定該業(yè)務(wù)是否具有加密的業(yè)務(wù)的統(tǒng)計(jì)學(xué)特性����。雖然通過這些測試不一定表明存在加密,但所有加密的業(yè)務(wù)都會(huì)通過這些測試�����。例如�����,被壓縮過的業(yè)務(wù)流具有難以從那些隨機(jī)或者加密的業(yè)務(wù)流中區(qū)分出來的長期統(tǒng)計(jì)學(xué)特性����。—組通用的隨機(jī)性測試通?����?梢员砻髟摌I(yè)務(wù)是否被加密。如聯(lián)邦信息處理標(biāo)準(zhǔn) (“FIPS”) 140-2中描述的那組測試�����,通常只需要4K字節(jié)的業(yè)務(wù)流��,就能可靠地將看起來隨機(jī)的業(yè)務(wù)流從看起來非隨機(jī)的業(yè)務(wù)流中區(qū)分出來���。類似地�,經(jīng)過更長時(shí)間跨度�����,試圖用眾多壓縮函數(shù)中的任意一種對(duì)業(yè)務(wù)流的內(nèi)容進(jìn)行壓縮��,這樣做可以用來將隨機(jī)型的業(yè)務(wù)流從非隨機(jī)的業(yè)務(wù)流中區(qū)分出來�����。例如�,試圖壓縮純隨機(jī)的業(yè)務(wù)流也會(huì)產(chǎn)生非壓縮的情況�,或者甚至是尺寸膨脹����,這取決于使用的壓縮算法��。非隨機(jī)的業(yè)務(wù)流會(huì)趨向于中度到高強(qiáng)度的可壓縮���。將信息隱藏術(shù)用于隱藏秘密業(yè)務(wù)已有一些歷史了�����,用這種方式��,只有發(fā)送者和預(yù)定的接收者才知道存在著隱藏的信息���。因此,很自然地會(huì)想到使用信息隱藏技術(shù)來將加密的業(yè)務(wù)流的隨機(jī)比特隱藏到一些看起來沒有進(jìn)行統(tǒng)計(jì)地加密的信息中��。建議的是�����,一些群體(some groups)將加密的信息隱藏在諸如因特網(wǎng)上數(shù)字圖像文件之類無害的對(duì)象中�����,把這些用作低帶寬通信技術(shù)。現(xiàn)存有多種工具可以通過將音頻�、視頻和圖像文件用作信息隱藏術(shù)隱藏的信息的“載體”,來有助于隱藏信息的產(chǎn)生�����。
然而�����,“傳統(tǒng)”信息隱藏技術(shù)的帶寬利用率(bandwidth efficiency)通常非常低��, 因?yàn)椤拜d體”信息占用了與信息隱藏的對(duì)象進(jìn)行通信的大部分帶寬�。在使用此技術(shù)時(shí),載體信息與隱藏信息的比例只有100 1或更糟是很常見的���。然而�����,信息隱藏技術(shù)的一個(gè)好處是����,由此產(chǎn)生的數(shù)據(jù)流具有明顯不均勻的八位組統(tǒng)計(jì)特性,這也就意味著這些數(shù)據(jù)流不大可能會(huì)被互聯(lián)網(wǎng)上的自動(dòng)檢測機(jī)制識(shí)別為是加密的業(yè)務(wù)流�。還有一種可能是對(duì)加密的比特流進(jìn)行編碼��,從而讓它們看起來像����,比如,普通的英文文本����。用英文常用字詞典來表示加密文本比特的組合的技術(shù)在歷史上已用于隱藏隱含的加密信息的存在。例如��,如果考慮四個(gè)比特的組���,那么這些組就可用作是短詞組英文(或者德文��、西班牙文���、法文等等)單詞的“索引”。用這些單詞來代替比特序列��,并且當(dāng)接收者遇到詞典中的一個(gè)元素時(shí)就可簡單地查找到相應(yīng)的比特序列����。這項(xiàng)技術(shù)在欺騙(fooling)自動(dòng)隨機(jī)性檢測時(shí)相當(dāng)有效��,尤其當(dāng)這種檢測無法檢測比特到英文的替換映射時(shí)或者當(dāng)這種映射很大時(shí)相當(dāng)有效�����。隨著隱藏加密的業(yè)務(wù)流的編碼系統(tǒng)的發(fā)展�,當(dāng)需要重點(diǎn)考慮帶寬使用效率的時(shí)候����,問題就出現(xiàn)了。例如����,上文描述的系統(tǒng)需要大量的費(fèi)用來表示4比特的“真實(shí)”信息。一般而言�,為了表示這4比特的真實(shí)信息,就需要傳輸40到50比特?cái)?shù)據(jù)�����。很多現(xiàn)存的編碼技術(shù)�����,如電子郵件的ASCII轉(zhuǎn)換等等,是用來將二進(jìn)制數(shù)據(jù)轉(zhuǎn)換成適合于強(qiáng)約束條件的信道的編碼�����。這些編碼相對(duì)來說具有較好的帶寬利用率 (bandwidth-efficient)����,會(huì)產(chǎn)生30 %的額外帶寬占用?����,F(xiàn)在互聯(lián)網(wǎng)上很多協(xié)議使用 Base64編碼的一些變種�,Base64編碼將M比特的輸入數(shù)據(jù)轉(zhuǎn)換成32比特的輸出數(shù)據(jù),該輸出數(shù)據(jù)在輸出字母表上具有強(qiáng)約束條件�����。然而���,在目前的自動(dòng)識(shí)別機(jī)制下�����,基于Base64 的編碼很容易識(shí)別�����,這就意味著編碼結(jié)果很容易被解碼����,然后對(duì)解碼所得的比特流結(jié)果執(zhí)行隨機(jī)性分析。降低加密的業(yè)務(wù)流的可檢測性的關(guān)鍵是降低加密的業(yè)務(wù)流的信息密度��。加密的數(shù)據(jù)流看起來(appears to)是強(qiáng)偽隨機(jī)序列����,這就意味著它具有最大的信息密度,或者說最小的信息冗余�����。任何能降低每個(gè)被傳輸?shù)谋忍厮休d的信息量的技術(shù)也就能降低由此產(chǎn)生的業(yè)務(wù)流被檢測為強(qiáng)偽隨機(jī)序列的可能性�,從而減少其被檢測為加密的業(yè)務(wù)流的可能性。如Base64這樣的標(biāo)準(zhǔn)編碼減少了每個(gè)被傳輸?shù)谋忍厮休d的信息���。但由于 Base64太容易被識(shí)別����,所以它能夠被解碼�����,然后對(duì)由此產(chǎn)生的比特序列執(zhí)行隨機(jī)性分析。所以需要這樣一種編碼的系統(tǒng)和方法��,它在降低業(yè)務(wù)流的信息密度的同時(shí)�����,還能降低檢測該編碼方案的可能性�,從而該業(yè)務(wù)不被檢測為是加密的,并且也通過編碼方案的檢測來對(duì)該業(yè)務(wù)進(jìn)行分析�。
發(fā)明內(nèi)容
本發(fā)明有利地提供了一種方法及系統(tǒng)�����,該方法及系統(tǒng)用于隱藏通信網(wǎng)絡(luò)中數(shù)據(jù)被加密的業(yè)務(wù)的存在����,從而使該業(yè)務(wù)不被識(shí)別為是加密的,并且也不基于編碼方案的檢測來對(duì)該業(yè)務(wù)進(jìn)行分析�����。一般說來�����,進(jìn)一步根據(jù)Base64編碼方案對(duì)加密的數(shù)據(jù)進(jìn)行編碼,該編碼方案用到的字母組是根據(jù)一組加密密鑰偽隨機(jī)生成的��。有利地���,編碼用的字母表實(shí)際上是未知的����。根據(jù)本發(fā)明的一個(gè)方面���,提出一種隱藏通信網(wǎng)絡(luò)中數(shù)據(jù)加密的存在的方法��。通過將一組加密密鑰用作偽隨機(jī)序列函數(shù)的輸入來生成一組字符���。每個(gè)字符與索引值對(duì)應(yīng)。加密的數(shù)據(jù)被分成多個(gè)部分�����。每部分又被劃分為多個(gè)組�����,且通過根據(jù)對(duì)應(yīng)的索引值將每組數(shù)據(jù)映射到上述字符組中的字符的方式來被編碼。被映射的字符通過通信網(wǎng)絡(luò)來進(jìn)行傳輸��。根據(jù)本發(fā)明的另一方面�,一種用于隱藏?cái)?shù)據(jù)加密的存在的網(wǎng)絡(luò)接口,包括控制器和通信接口�。通信接口被通信地連接到控制器。通過將一組加密密鑰用為偽隨機(jī)序列函數(shù)的輸入�����,控制器可操作來生成一組字符����,每個(gè)字符與索引值對(duì)應(yīng)?�?刂破鬟M(jìn)一步可操作來將加密的數(shù)據(jù)分成多個(gè)部分��,并將每部分分成多個(gè)組�����,并且通過根據(jù)對(duì)應(yīng)的索引值將多個(gè)組中的每個(gè)組映射到上述字符組中的字符的方式�����,對(duì)每部分進(jìn)行編碼���。通信接口還可操作來通過通信網(wǎng)絡(luò)來傳輸映射的字符�。還根據(jù)本發(fā)明的另一方面���,隱藏通信網(wǎng)中數(shù)據(jù)加密的存在的系統(tǒng)�,包括第一網(wǎng)絡(luò)接口和第二網(wǎng)絡(luò)接口����。通過將一組加密密鑰用作偽隨機(jī)序列函數(shù)的輸入,第一網(wǎng)絡(luò)接口可操作來生成一組字母表字符����,每個(gè)字符元素與索引值對(duì)應(yīng)。第一個(gè)網(wǎng)絡(luò)接口進(jìn)一步可操作來將加密數(shù)據(jù)分成多個(gè)部分�����,并將每部分分成多組�,并且通過根據(jù)對(duì)應(yīng)的索引值將多個(gè)組中的每個(gè)組映射到上述字符組中的字符的方式來被編碼。第一網(wǎng)絡(luò)接口通過通信網(wǎng)絡(luò)來傳輸映射的字符�����。第二網(wǎng)絡(luò)接口可操作來接收加密的數(shù)據(jù)信息。加密的數(shù)據(jù)信息包括映射的字符�����。第二網(wǎng)絡(luò)接口可操作來將加密的數(shù)據(jù)信息分成多組字符���,將每個(gè)字符映射成其對(duì)應(yīng)的索引值來再現(xiàn)所述多個(gè)部分���,并且對(duì)多個(gè)部分的每部分進(jìn)行解密。
參照以下的詳細(xì)描述和附件中的圖表����,更容易完全理解本發(fā)明,從而更完全理解其優(yōu)勢特點(diǎn)����。圖1是根據(jù)本發(fā)明原理構(gòu)造的典型數(shù)據(jù)加密隱藏系統(tǒng)的方框圖。圖2是根據(jù)本發(fā)明原理構(gòu)造的典型數(shù)據(jù)編碼器的方框圖���。圖3是根據(jù)本發(fā)明原理的典型數(shù)據(jù)加密隱藏處理的流程圖。圖4是根據(jù)本發(fā)明原理的數(shù)據(jù)加密隱藏中存在的典型譯碼處理的流程圖����。
具體實(shí)施例方式在詳細(xì)描述根據(jù)本發(fā)明的典型實(shí)施例之前�����,需要注意的是���,本發(fā)明實(shí)施例主要涉及設(shè)備組件及處理步驟的結(jié)合,其中處理步驟與一種用于實(shí)現(xiàn)弱化通信信道中數(shù)據(jù)加密特性且同時(shí)高效利用信道帶寬的系統(tǒng)及方法有關(guān)����。相應(yīng)地,該系統(tǒng)及方法組件在適當(dāng)?shù)奈恢猛ㄟ^附圖中的常規(guī)符號(hào)表示����。為了使對(duì)本領(lǐng)域的普通技術(shù)人員來說明顯具有在本文中描述的益處的細(xì)節(jié)公開清楚,只顯示了那些對(duì)恰當(dāng)理解本發(fā)明的實(shí)施例有關(guān)的具體細(xì)節(jié)��。在這里����,諸如“第一”、“第二”���,“頂部”�����、“底部”之類的相關(guān)術(shù)語�,僅僅是用來將一個(gè)實(shí)體或者元件與另一個(gè)實(shí)體或者元件區(qū)別開來,而不一定要求或暗指這些實(shí)體或者元件之間任何物理或邏輯關(guān)系或者順序����。相應(yīng)地,如這里及所附權(quán)利要求中使用的��,術(shù)語 “Zigbee”���,指的是一組由IEEE 802. 15. 4標(biāo)準(zhǔn)定義的無線通信上層協(xié)議����。還有��,“Wi-Fi”指的是由IEEE802. 11標(biāo)準(zhǔn)�����。術(shù)語"WiMAXlgfi IEEE802. 16標(biāo)準(zhǔn)定義的通信協(xié)議���。“BLUETOOTH” 指由藍(lán)牙技術(shù)聯(lián)盟開發(fā)的,用于無線個(gè)人區(qū)域網(wǎng)(“PAN”)通信的工業(yè)規(guī)范����。本發(fā)明的一個(gè)實(shí)施例有利地提供了一種系統(tǒng)和方法,該系統(tǒng)和方法用于對(duì)加密的數(shù)據(jù)流進(jìn)行編碼這樣的方式來避免包括FIPS 140-2隨機(jī)檢測的各種類型隨機(jī)檢測的自動(dòng)識(shí)別����。另一個(gè)實(shí)施例在于針對(duì)一些已知的攻擊方法對(duì)編碼方式進(jìn)行了強(qiáng)化,這包括使用變量模糊編碼機(jī)制?�,F(xiàn)在參看附圖�����,附圖中相同的引用指示符表示相同的元件����。圖1中所示的是典型數(shù)據(jù)加密隱藏系統(tǒng)10。系統(tǒng)10包括通過廣域網(wǎng)(“WAN”) 16與第二客戶端計(jì)算機(jī)14通信的第一客戶端計(jì)算機(jī)12����。廣域網(wǎng)16可以包括因特網(wǎng)、局域網(wǎng)或者其他通信網(wǎng)絡(luò)�����。客戶端計(jì)算機(jī)12����,14可以包括個(gè)人計(jì)算機(jī)、筆記本�����、個(gè)人數(shù)字助理(“PDA”)���、服務(wù)器�����、手機(jī)等等�。每個(gè)客戶端計(jì)算機(jī)12���,14通過WAN接口 18a���,18b (這兩個(gè)接口總稱為WAN接口 18)在WAN16 上傳輸數(shù)據(jù)。盡管圖1中的通信網(wǎng)絡(luò)被標(biāo)為WAN��,但是本發(fā)明的原理還可以應(yīng)用于其他形式的通信網(wǎng)絡(luò)�����,如個(gè)人區(qū)域網(wǎng)(“PAN”),本地局域網(wǎng)(“LAN”)�����,校園網(wǎng)(“CAN”)��,市域網(wǎng) (“MAN’)等等����。此外��,盡管圖1中只示出兩個(gè)客戶端計(jì)算機(jī)��,但這種設(shè)置僅僅是為了示范���。 比如����,系統(tǒng)10可以包括多個(gè)WAN接口 18��。WAN接口 18能與各種類型的客戶端設(shè)置通信�,比如路由器���,交換機(jī)等等。再有���,WAN接口 18可以是一個(gè)單獨(dú)的設(shè)備��,也可以被嵌入來作為其他資源設(shè)備中的一部分�����,比如客戶端計(jì)算機(jī)12�,14����。每個(gè)WAN接口 18根據(jù)一個(gè)或者多個(gè)已知的加密方式對(duì)來自客戶端計(jì)算機(jī)12,14 的數(shù)據(jù)進(jìn)行加密���。WAN接口 18包括下面討論的加密隱藏器����,該加密隱藏器的作用是通過使用具有隨機(jī)生成字母表的Base64編碼方案�,而不是通過使用通常涉及單個(gè)已知字母表的使用的標(biāo)準(zhǔn)Base64編碼來對(duì)加密的數(shù)據(jù)進(jìn)行編碼,從而隱藏?cái)?shù)據(jù)已被加密的事實(shí)(fact)。 每一個(gè)WAN接口 18同時(shí)也具有反向功能����,憑借該反向功能,WAN接口 18可通過WAN16來接收Base64編碼的和加密的數(shù)據(jù)幀�����,然后用隨機(jī)生成的字母表對(duì)這些數(shù)據(jù)幀進(jìn)行解碼和解密�����,從而匹配最初從客戶端計(jì)算機(jī)12����,14發(fā)出的數(shù)據(jù)�。盡管圖1中的每個(gè)WAN接口 18都被示出連結(jié)到一臺(tái)客戶端計(jì)算機(jī)12,14�����,但是根據(jù)本發(fā)明原理構(gòu)建的典型WAN接口 18可以支持多臺(tái)客戶端計(jì)算機(jī)12�����,14,這種實(shí)現(xiàn)方式并不超出本發(fā)明的范圍?�,F(xiàn)在參考圖2���,典型的WAN接口 18包括通信地連接到控制器22的通信接口 20��。通信接口 20可以是有線的�、無線的或者它們的任何組合�����。通信接口 20在WAN接口 18與其它廣域網(wǎng)16資源之間使用已知的通信協(xié)議��,如以太網(wǎng)����,Wi-Fi,WiMAX��,BLUET00TH等�,來傳輸數(shù)據(jù)包。通信接口可以包括任何數(shù)量的通信端口���?�?刂破?2控制信息處理和WAN接口 18的操作來實(shí)現(xiàn)這里描述的功能����。控制器22 還與非易失性存儲(chǔ)器M連接�����。非易失性存儲(chǔ)器M包括數(shù)據(jù)存儲(chǔ)器沈和程序存儲(chǔ)器觀�。 程序存儲(chǔ)器觀包含加密隱藏器30,用來隱藏?cái)?shù)據(jù)已被加密的事實(shí)�,以免被連接到WAN16上的其他實(shí)體自動(dòng)檢測出來,該操作會(huì)在下面詳細(xì)討論�����。加密隱藏器30包括字母表生成器32 和Base64編碼器34����,字母表生成器32能從標(biāo)準(zhǔn)的256個(gè)合適ASCII字符中隨機(jī)生成64個(gè)字符的Base64字母表組����,Base64編碼器34根據(jù)使用生成的Base64字母表的Base64編碼方案來對(duì)加密的數(shù)據(jù)進(jìn)行編碼。數(shù)據(jù)存儲(chǔ)器26存儲(chǔ)數(shù)據(jù)文件����,比如查詢表36和一組加密密鑰38����,查詢表36可使得Base64字母表組與對(duì)應(yīng)的ASCII字符集相互關(guān)聯(lián)��,加密密鑰38 會(huì)在傳輸任何用戶數(shù)據(jù)之前��,在WAN接口 18與諸如客戶端計(jì)算機(jī)14之類的目標(biāo)資源之間傳遞��。除上述應(yīng)該注意到的結(jié)構(gòu)外�����,每個(gè)WAN接口 18還可能包括需要實(shí)現(xiàn)WAN接口 18 的其它功能的額外的���、可選的結(jié)構(gòu)(未在圖上顯示)���。
在使用Base64編碼方式時(shí),通常使用單個(gè)標(biāo)準(zhǔn)的字母表來將輸入的三段八位組轉(zhuǎn)換成輸出的四段八位組��,這樣做的一個(gè)偶然的副作用就是有效地降低了信息密度����。這些編碼就被設(shè)計(jì)通過不能傳輸上述數(shù)據(jù)的“信道”來獲得任意二進(jìn)制數(shù)據(jù)����。RFC-822電郵就是這種信道的一個(gè)例子�。在Base64方案中,需要從所有合適的ASCII字符集中選擇一個(gè)含有64個(gè)可打印字符的集合來作為“編碼字母表”���。編碼字母表有一些變種����,但其中只有一到兩種比較常用���。 對(duì)編碼二進(jìn)制數(shù)據(jù)(或者加密數(shù)據(jù)��、隨機(jī)數(shù)據(jù))來說����,重要的是考慮與選擇合適的字母表相關(guān)的組合數(shù)學(xué)(combinatorics)�。等式(1)給出了從一個(gè)由256個(gè)字符(8比特的ASCII或 UTF-8)組成的域中選出64個(gè)字符的字母表可能的總數(shù)P = K �����! /n �����! (K ! -η �����! )��,(1)其中K是備選八位組的總數(shù)��,例如256����,η是選出的字符集包含的元素個(gè)數(shù),例如 64��。如果已知上述參數(shù)�����,那么從256個(gè)合適的字節(jié)值組成的域中選出64個(gè)字符組成字母表�����,共有大約IO61種選法��。如果從信息論的視角考慮編碼方案,由此產(chǎn)生的編碼是否能產(chǎn)生純可打印的ASCII字符完全不重要�����。重要的是由此產(chǎn)生的編碼降低了由此產(chǎn)生的業(yè)務(wù)流中的信息密度���。任何一種將M比特三段數(shù)據(jù)擴(kuò)展成32比特四段的編碼����,對(duì)于降低由此產(chǎn)生的流中的信息密度來說都足夠了��。在實(shí)施本發(fā)明的時(shí)候����,讓人迷惑的是創(chuàng)建小數(shù)量的字母表,可能小到只有一個(gè)非 Base64字母表元素的成員����,然后用這樣的字母表對(duì)加密的業(yè)務(wù)流進(jìn)行編碼。但任何這樣的方案的問題立刻就會(huì)突顯出來單個(gè)的����,固定的字母表和Base64編碼方案一樣容易被“對(duì)手”解碼��。必須假定“對(duì)手”知道這種編碼方案所用的字母表,并進(jìn)而如上所述像處理Base64 編碼的方式那樣對(duì)它們進(jìn)行處理����。因此,本發(fā)明的實(shí)施例字母表34是動(dòng)態(tài)選擇的��,例如�����,在生成一個(gè)長加密的業(yè)務(wù)流期間����,使用靜態(tài)字母表的流會(huì)有更高的可檢測性。此外���,大多數(shù)加密通信會(huì)話在創(chuàng)建之初就會(huì)建立密鑰材料����,如密鑰38�����,以便為下面的加密“封包”過程提供共享的加密和完整密鑰���。 因?yàn)榧用艿男诺酪坏┙?��,密鑰38會(huì)被通信雙方共享�,所以一些密鑰材料會(huì)被用來幫助選擇動(dòng)態(tài)編碼字母表�����;34?����,F(xiàn)在參考圖3�,圖中展示了一個(gè)操作流程圖示例,該操作流程圖描述了加密隱藏器 30隱藏?cái)?shù)據(jù)加密的存在而執(zhí)行的示范步驟��。該流程始于WAN接口 18判定加密的數(shù)據(jù)可以傳輸時(shí)(步驟S102)�。加密的數(shù)據(jù)可以加密或未經(jīng)加密的形式來從客戶端計(jì)算機(jī)12處接收。在接下來的例子中����,WAN接口 18可根據(jù)已知的加密方法對(duì)數(shù)據(jù)進(jìn)行加密。WAN接口 18通過通信接口 20初始化與目標(biāo)設(shè)備進(jìn)行安全通信會(huì)話(步驟S104)�����。 作為安全通信會(huì)話初始化的一部分��,WAN接口 18要與目標(biāo)設(shè)備交換密鑰材料(步驟S106)�����, 例如�����,加密密鑰38��。加密密鑰38被用來產(chǎn)生從更寬泛的�、256個(gè)元素的域中,比如ASCII字符的全集中�,挑選出來的64個(gè)元素的單個(gè)偽隨機(jī)選取的字母表(步驟S108)。任何強(qiáng)大的隨機(jī)數(shù)生成器都能被用來生成共享的編碼字母表����,但為了提高通用性,就是使用標(biāo)準(zhǔn)的�、強(qiáng)加密的偽隨機(jī)函數(shù),以便通信雙方獲得相同的加密字母表�。標(biāo)準(zhǔn)請(qǐng)求注解(“RFC”)4615中描述了一種合適的算法,在該算法中,偽隨機(jī)函數(shù)(“PRF”)的輸出是PRF下一次調(diào)用(next call)的鏈?zhǔn)阶兞?����,并且需要的密鑰K是從會(huì)話初始化時(shí)的共享密鑰材料中取得的��。表1中給出了偽代碼的例子�����。
char alphabet[64]
權(quán)利要求
1.一種隱藏通信網(wǎng)絡(luò)中數(shù)據(jù)加密的存在的方法�,所述方法包括通過將一組加密密鑰用作偽隨機(jī)函數(shù)的輸入的方式來生成一組字符,每個(gè)所述字符與索引值對(duì)應(yīng)���;將加密的數(shù)據(jù)劃分成多個(gè)部分�; 將每部分劃分成多個(gè)組���;通過根據(jù)對(duì)應(yīng)的索引值將每個(gè)組映射為所述字符組中的字符的方式��,對(duì)每部分進(jìn)行編碼��;并且通過通信網(wǎng)絡(luò)來傳送映射的字符�����。
2.根據(jù)權(quán)利要求1所述的方法����,其中所述字符組包括64個(gè)字符。
3.根據(jù)權(quán)利要求2所述的方法��,其中所述64個(gè)字符是偽隨機(jī)地從256個(gè)ASCII字符全集中選出�����。
4.根據(jù)權(quán)利要求1所述的方法���,還包括偏倚生成所述字符組,使得將ASCII控制字符選為字符組元素的可能性降低��。
5.根據(jù)權(quán)利要求1所述的方法�����,還包括偏倚生成所述字符組�,使得將一組字符選為字符組元素的可能性提高。
6.根據(jù)權(quán)利要求1所述的方法���,其中部分指三段8位組���,每組具有6比特�。
7.根據(jù)權(quán)利要求1所述的方法�����,還包括 生成多個(gè)字符組�����;并且用不同的字符組來對(duì)連續(xù)的部分進(jìn)行編碼�����。
8.根據(jù)權(quán)利要求7所述的方法��,其中字符組到部分的分配是偽隨機(jī)選取的��。
9.根據(jù)權(quán)利要求8所述的方法���,其中偽隨機(jī)函數(shù)來選擇字符組到部分的分配�,所述偽隨機(jī)函數(shù)用來生成字符組����。
10.根據(jù)權(quán)利要求1所述的方法����,還包括接收編碼的數(shù)據(jù)信息��,所述編碼的數(shù)據(jù)信息包括所述字符組中的字符�; 將所述編碼的數(shù)據(jù)信息分成多組字符; 將每個(gè)字符映射成它對(duì)應(yīng)的索引值�,以再現(xiàn)多個(gè)部分;并且對(duì)所述部分的每部分進(jìn)行解密�����。
11.一種隱藏?cái)?shù)據(jù)加密的存在的網(wǎng)絡(luò)接口�,所述網(wǎng)絡(luò)接口包括 控制器��,可操作來通過將一組加密密鑰用作偽隨機(jī)函數(shù)的輸入的方式生成一組字符���,每個(gè)字符與索引值對(duì)應(yīng)���;將加密的數(shù)據(jù)分成多個(gè)部分; 將多個(gè)部分的每個(gè)部分劃分成多個(gè)組��;并且通過根據(jù)對(duì)應(yīng)的索引值將多個(gè)組中的每個(gè)組映射成字符組中的字符的方式��,對(duì)每部分進(jìn)行編碼;并且通信地連接到控制器的通信接口����,所述通信接口可操作來通過通信網(wǎng)絡(luò)傳輸映射的字符。
12.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)接口���,其中部分指的是三段八位組���,每個(gè)組含有六個(gè)比特。
13.根據(jù)權(quán)利要求12所述的網(wǎng)絡(luò)接口���,其中所述64個(gè)字符的是從256個(gè)ASCII字符全集中偽隨機(jī)選取的���。
14.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)接口,其中控制器還可操作來偏倚生成字符組����,使得 ASCII控制字符被選為所述字符組元素的可能性降低。
15.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)接口�,其中控制器還可操作來偏倚生成字符組,使得一組字符被選為所述字符組元素的可能性提高����。
16.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)接口�,其中控制器還可操作來 生成多個(gè)字符組��;并且用不同的字符組對(duì)連續(xù)的部分進(jìn)行編碼�。
17.根據(jù)權(quán)利要求16所述的網(wǎng)絡(luò)接口,其中字符組到部分的分配是固定的�。
18.根據(jù)權(quán)利要求16所述的網(wǎng)絡(luò)接口,其中字符組到部分的分配是偽隨機(jī)地選取的��。
19.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)接口�,其中通信接口還可操作來接收編碼的數(shù)據(jù)信息,所述編碼的數(shù)據(jù)信息包括所述字符組中的字符����;并且其中控制器還可操作來 將編碼的數(shù)據(jù)信息分成多組字符�����; 將每個(gè)字符映射成它對(duì)應(yīng)的索引值�����,以再現(xiàn)多個(gè)部分����;并且對(duì)所述多個(gè)部分的每個(gè)部分進(jìn)行解密�。
20.一種用于隱藏通信網(wǎng)絡(luò)中數(shù)據(jù)加密的存在的系統(tǒng)�,所述系統(tǒng)包括 第一網(wǎng)絡(luò)接口可操作來通過將一組加密密鑰用作偽隨機(jī)函數(shù)的輸入的方式生成一組字母表字符,每個(gè)字符與索引值對(duì)應(yīng)�;將加密的數(shù)據(jù)劃分為多個(gè)部分; 將每部分劃分成多個(gè)組�����;通過根據(jù)對(duì)應(yīng)的索引值將多個(gè)組中的每組映射成字符組中的字符的方式��,對(duì)每部分進(jìn)行編碼�����;并且通過網(wǎng)絡(luò)傳輸映射的字符����;并且第二個(gè)網(wǎng)絡(luò)接口可操作來接收編碼的數(shù)據(jù)信息,該編碼的數(shù)據(jù)信息包括映射的字符�; 將編碼的數(shù)據(jù)信息分成多組字符;將每個(gè)字符映射成其對(duì)應(yīng)的索引值����,從而再現(xiàn)多個(gè)部分;并且對(duì)多個(gè)部分的每部分進(jìn)行解密���。
全文摘要
本發(fā)明提出了一種隱藏通信網(wǎng)絡(luò)中數(shù)據(jù)加密的存在的系統(tǒng)��、方法和網(wǎng)絡(luò)接口�����。通過將一組密鑰用為偽隨機(jī)函數(shù)的輸入來生成一組字符�。每個(gè)字符與索引值對(duì)應(yīng)。加密的數(shù)據(jù)被分成多個(gè)部分�����。每部分又被分成多個(gè)組��。通過根據(jù)對(duì)應(yīng)的索引值來將所述組映射成所述字符組中的字符的方式�,對(duì)所述多個(gè)組中的每個(gè)組進(jìn)行編碼。映射后的字符通過通信網(wǎng)絡(luò)來傳輸����。
文檔編號(hào)H04L9/28GK102282798SQ200980154699
公開日2011年12月14日 申請(qǐng)日期2009年12月3日 優(yōu)先權(quán)日2008年12月29日
發(fā)明者馬庫斯·D·里奇 申請(qǐng)人:北電網(wǎng)絡(luò)有限公司