一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享系統(tǒng)及方法
【專利摘要】本發(fā)明涉及一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享系統(tǒng)及方法����,包括信息發(fā)布端將待發(fā)送的目標信息隱藏在掩體信息中,將掩體信息發(fā)布到特定網(wǎng)絡(luò)應(yīng)用中����,當有無辜用戶下載特定網(wǎng)絡(luò)應(yīng)用中的資源時,下載的信息流經(jīng)轉(zhuǎn)發(fā)路由器�,轉(zhuǎn)發(fā)路由器識別下載的信息是否為掩體信息,如果是則復(fù)制掩體信息�����,將原信息發(fā)送給無辜用戶���,將復(fù)制的掩體信息通過后臺服務(wù)器發(fā)送給真正的信息接收端���;上述隱蔽握手過程只需要信息的發(fā)布端和路由器參與���,不需要信息接收端參與,這種方式在提高隱蔽通信效率的同時���,也增加了敵手檢測的難度��,并且將待發(fā)送的目標信息隱藏在掩體信息中��,提高信息傳輸?shù)碾[蔽性�����。
【專利說明】—種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及隱私保護���、隱蔽通信、匿名通信領(lǐng)域����,尤其涉及一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享系統(tǒng)及方法。
【背景技術(shù)】
[0002]近年來����,Internet逐漸成為人們?nèi)粘I詈蛫蕵返闹匾ぞ?。然而���,隨著Internet的發(fā)展��,以及人們對于隱私保護的追求�����,網(wǎng)絡(luò)監(jiān)視也得到了越來越多的關(guān)注,對人們網(wǎng)絡(luò)行為的審計與分析給人們的通信安全和個人隱私帶來了極大的威脅�。
[0003]長久以來,匿名通信系統(tǒng)成為一種有效的保護用戶隱私方式�,然而,研究表明����,檢測并并發(fā)現(xiàn)傳統(tǒng)的匿名通信系統(tǒng)(例如Tor)服務(wù)節(jié)點并不困難。因為這些匿名通信系統(tǒng)往往依賴于入口節(jié)點的分發(fā)�,而這些入口節(jié)點指紋特征又極易被敵手發(fā)現(xiàn)。另外�,傳統(tǒng)的匿名通信系統(tǒng)對加密通道的使用,也會使其容易引起敵手的懷疑�,更糟糕的是,這些匿名通信系統(tǒng)往往具有特定的通信特征和流量模式�����,敵手可以以此識別匿名通信行為并進行處理。
[0004]傳統(tǒng)的隱蔽通信信道主要有兩種:基于存儲的隱蔽信道和基于計時的隱蔽信道兩種類型.存儲隱蔽信道主要是將隱蔽信息寄居于各種協(xié)議的數(shù)據(jù)包的掩體信息中����。為了實現(xiàn)隱蔽傳輸,一般將信息附加在不常用的數(shù)據(jù)段中����,包括未用的IP頭字段(T0S字段、DF和URG位)���、IP頭的擴展和填充段����、IP標識和碎片偏移等���。也有的網(wǎng)絡(luò)存儲隱蔽信道將信息隱藏在應(yīng)用層編碼中�。更好的方式是利用信息隱藏學(xué)將目標信息隱藏于某些掩體信息中����。網(wǎng)絡(luò)時間隱蔽信道則一般利用網(wǎng)絡(luò)中傳輸數(shù)據(jù)包的時間特性來表示信息,這些時間特性包括數(shù)據(jù)包的發(fā)送/到達時刻、間隔時間等����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明所要解決的技術(shù)問題是針對現(xiàn)有匿名通信技術(shù)的不足,提供一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享系統(tǒng)及方法���。
[0006]本發(fā)明解決上述技術(shù)問題的基本思路如下:在信息發(fā)布端和信息接收端之間的核心網(wǎng)絡(luò)中部署轉(zhuǎn)發(fā)路由器�,信息發(fā)布端����、轉(zhuǎn)發(fā)路由器和信息接收端通過帶外方式協(xié)商共享秘鑰,信息發(fā)布端利用共享秘鑰將目標信息加密�,冗余編碼�����,進而隱藏到掩體信息(普通的網(wǎng)絡(luò)資源��,如文本��、圖片��、視頻等)中���,信息發(fā)布端生成密標���,并封裝在特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中�����,通過特定網(wǎng)絡(luò)應(yīng)用協(xié)議將掩體信息發(fā)布到特定網(wǎng)絡(luò)應(yīng)用中�����;轉(zhuǎn)發(fā)路由器一般部署在某一個大的網(wǎng)絡(luò)社區(qū)出入口路由上�����,如某一個高校的出口路由�,一旦位于該路由器后面的普通用戶搜索并下載特定網(wǎng)絡(luò)(如P2P)網(wǎng)絡(luò)上流行的資源�,則該用戶充當一個掩體用戶,該用戶下載的資源流經(jīng)轉(zhuǎn)發(fā)路由器�,轉(zhuǎn)發(fā)路由器對其進行檢測,如果包含密標�,則做鏡像,將原數(shù)據(jù)發(fā)送給普通用戶���,將復(fù)制的數(shù)據(jù)發(fā)送給真正的信息接收端�。
[0007]具體實現(xiàn)包括如下步驟:
[0008]步驟1:在信息發(fā)布端和信息接收端之間的核心網(wǎng)絡(luò)中部署轉(zhuǎn)發(fā)路由器;
[0009]步驟2:信息發(fā)布端將待發(fā)送的目標信息進行加密�����、冗余編碼處理�,進而隱藏到一系列掩體信息中;
[0010]步驟3:信息發(fā)布端生成密標�����,并將其封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中�;
[0011]步驟4:將嵌有密標的應(yīng)用協(xié)議和掩體信息封裝成網(wǎng)絡(luò)數(shù)據(jù)包,并將該網(wǎng)絡(luò)數(shù)據(jù)包發(fā)布到特定網(wǎng)絡(luò)應(yīng)用中��;
[0012]步驟5:無辜用戶在特定網(wǎng)絡(luò)應(yīng)用中搜索并下載感興趣的信息���,所下載的網(wǎng)絡(luò)數(shù)據(jù)包要流經(jīng)核心網(wǎng)絡(luò)的轉(zhuǎn)發(fā)路由器;
[0013]步驟6:轉(zhuǎn)發(fā)路由器檢測接收的網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用協(xié)議頭中是否包含密標�,如果不包含密標,則表明該網(wǎng)絡(luò)數(shù)據(jù)包中不包含掩體信息�,執(zhí)行步驟7;如果包含密標,則表明該網(wǎng)絡(luò)數(shù)據(jù)包中包含掩體信息����,執(zhí)行步驟8 ;
[0014]步驟7:將接收的網(wǎng)絡(luò)數(shù)據(jù)包直接轉(zhuǎn)發(fā)給無辜用戶,結(jié)束����;
[0015]步驟8:復(fù)制網(wǎng)絡(luò)數(shù)據(jù)包,將原網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送給無辜用戶���,將復(fù)制的網(wǎng)絡(luò)數(shù)據(jù)包通過后臺服務(wù)器發(fā)送給真正的信息接收端���;
[0016]步驟9:信息接收端提取隱藏分片網(wǎng)絡(luò)數(shù)據(jù)包中掩體信息中的文件分片,對提取的若干文件分片進行冗余編碼處理��,獲取目標信息的密文�����,解密密文獲得目標信息�,結(jié)束。
[0017]本發(fā)明的有益效果是:信息發(fā)布端將待發(fā)送的目標信息隱藏在掩體信息中�����,將掩體信息發(fā)布到特定網(wǎng)絡(luò)應(yīng)用中���,當有無辜用戶下載特定網(wǎng)絡(luò)應(yīng)用中的資源時����,下載的信息流經(jīng)轉(zhuǎn)發(fā)路由器,轉(zhuǎn)發(fā)路由器識別下載的信息是否為帶有密標的掩體���,如果是則復(fù)制掩體信息�����,將原掩體信息發(fā)送給無辜用戶��,將復(fù)制的掩體信息通過后臺服務(wù)器發(fā)送給真正的信息接收端��;上述隱蔽握手過程只需要信息的發(fā)布端和路由器參與�,不需要信息接收端參與�����,這種方式在提高隱蔽通信效率的同時�,也增加了敵手檢測的難度,并且將待發(fā)送的目標信息隱藏在掩體信息中��,提高信息傳輸?shù)碾[蔽性�����。
[0018]在上述技術(shù)方案的基礎(chǔ)上����,本發(fā)明還可以做如下改進。
[0019]進一步��,上述技術(shù)方案還包括信息發(fā)布端�、轉(zhuǎn)發(fā)路由器和信息接收端通過帶外方式協(xié)商共享密鑰Ks,信息發(fā)布端利用共享密鑰Ks將待發(fā)送的目標信息加密�,轉(zhuǎn)發(fā)路由器利用共享秘鑰Ks檢測應(yīng)用協(xié)議頭是否包含密標,信息接收端利用共享秘鑰Ks解密掩體信息�����。
[0020]采用上述進一步方案的有益效果是:只有知道共享秘鑰的才能進行相應(yīng)的處理����,如信息發(fā)布端對目標信息加密,轉(zhuǎn)發(fā)路由器識別掩體信息�,信息接收端解密收到的掩體信息,提高了信息傳輸?shù)陌踩浴?br>
[0021]進一步����,步驟2中將加密的目標信息進行冗余編碼處理是利用閾值秘密分享算法實現(xiàn)的,具體步驟為:
[0022]步驟2.1:將加密的目標信息分割成K個分塊����;
[0023]步驟2.2:通過編碼生成N個分片���,其中K〈N,任意K個分片可重構(gòu)目標信息����。
[0024]采用上述進一步方案的有益效果是:可以防止由于某些分片丟失導(dǎo)致整個文件不可用,也可以防止從某一個節(jié)點(UGC網(wǎng)站)能夠訪問到所有的文件分片�,保證了秘密數(shù)據(jù)的完整性與安全性。
[0025]進一步,步驟2中利用outguess信息隱藏算法將各文件分片隱藏到一系列的掩體信息中�。
[0026]采用上述進一步方案的有益效果是:將文件分片利用信息隱藏算法隱藏到一系列掩體信息中,提高信息傳輸?shù)碾[蔽性�。[0027]進一步,所述步驟3信息發(fā)布端生成密標�����,并將其封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中的具體實現(xiàn)為:
[0028]步驟3.1:信息發(fā)布端與轉(zhuǎn)發(fā)路由器通過帶外方式協(xié)商一個魔法數(shù)Mv �����;
[0029]步驟3.2:信息發(fā)布端生成一個η字節(jié)的強隨機數(shù)RS (η)���,并利用共享密鑰Ks和隨機數(shù)RS (η)按照哈西算法生成魔法數(shù)秘鑰Km;
[0030]步驟3.3:根據(jù)AES加密算法�����,并利用魔法數(shù)秘鑰Km對魔法數(shù)Mv進行加密�,得到密標Em;
[0031]步驟3.4:將生成的密標Em封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中���。
[0032]采用上述進一步方案的有益效果是:信息發(fā)布端生成密標�,并封裝在特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中�����,在轉(zhuǎn)發(fā)路由器接收到數(shù)據(jù)包時����,利于分辨哪些網(wǎng)絡(luò)數(shù)據(jù)包中包含掩體信息,進而進行相應(yīng)處理����。
[0033]進一步,執(zhí)行步驟8的同時���,轉(zhuǎn)發(fā)路由器在其路由表中插入一個包含源地址IP����、目的地址IP、源地址端口和目的地址端口 4元組的IP規(guī)則�,且信息發(fā)布端與信息接收端傳遞的后續(xù)隱蔽通信數(shù)據(jù)根據(jù)上述IP規(guī)則傳遞。
[0034]采用上述進一步方案的有益效果是:該信息發(fā)布端后續(xù)發(fā)布的信息�,轉(zhuǎn)發(fā)路由器檢測出來自改信息發(fā)布端,可不比對后續(xù)的數(shù)據(jù)包識別是否包含密標���,直接根據(jù)IP規(guī)則發(fā)送給相應(yīng)的信息接收端���,大大提高傳輸效率。
[0035]進一步�,步驟5中的無辜用戶為在特定網(wǎng)絡(luò)中找到并下載感興趣數(shù)據(jù)的普通用戶。
[0036]采用上述進一步方案的有益效果是:利用普通用戶充當掩體用戶��,使通信行為更不易被發(fā)現(xiàn)���。
[0037]進一步����,步驟9中重構(gòu)目標信息所需的文件分片的數(shù)量取決于冗余編碼算法的冗余比率�����。
[0038]采用上述進一步方案的有益效果是:不必獲取所有文件分片即可重構(gòu)目標信息,防止目標信息因某些分片丟失而導(dǎo)致整個文件不可用�,提高網(wǎng)絡(luò)傳輸?shù)目煽啃院桶踩浴?br>
[0039]本發(fā)明解決上述技術(shù)問題的另一技術(shù)方案為:一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享系統(tǒng),包括信息發(fā)布端��、特定網(wǎng)絡(luò)�、防火墻�、核心網(wǎng)絡(luò)、轉(zhuǎn)發(fā)路由器��、無辜用戶�����、后臺服務(wù)器和信息接收端�����;
[0040]所述信息發(fā)布端�����,其用于將待發(fā)送的目標信息進行加密���、冗余編碼處理�����,進而隱藏到一系列掩體信息中�����;還用于生成密標���,并將其封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中�����;通過封裝有密標的應(yīng)用協(xié)議將掩體信息發(fā)布到特定網(wǎng)絡(luò)應(yīng)用中���;
[0041]所述特定網(wǎng)絡(luò),其用于將信息發(fā)布端發(fā)布的信息隱藏在該網(wǎng)絡(luò)的網(wǎng)絡(luò)資源中����;
[0042]所述防火墻,其用于網(wǎng)絡(luò)流量分析和數(shù)據(jù)包檢測�;
[0043]所述核心網(wǎng)絡(luò),利用其基礎(chǔ)設(shè)施構(gòu)建隱蔽信道��,以實現(xiàn)信息發(fā)布端與信息接收端的隱蔽匿名通信�����;
[0044]所述轉(zhuǎn)發(fā)路由器,其由網(wǎng)絡(luò)服務(wù)提供商部署��,并根據(jù)與信息發(fā)布端和信息接收端共享的秘鑰來檢測接收的網(wǎng)絡(luò)數(shù)據(jù)包中是否包含掩體信息�,并復(fù)制包含有掩體信息的網(wǎng)絡(luò)數(shù)據(jù)包,將原網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送給無辜用戶�,將復(fù)制的網(wǎng)絡(luò)數(shù)據(jù)包傳遞給后臺服務(wù)器;
[0045]所述無辜用戶�����,其為在特定網(wǎng)絡(luò)中找到并下載感興趣數(shù)據(jù)的普通用戶���;[0046]所述后臺服務(wù)器,其接收轉(zhuǎn)發(fā)路由器轉(zhuǎn)發(fā)的數(shù)據(jù)流量����,并發(fā)送給信息接收端;
[0047]所述信息接收端���,其用于提取網(wǎng)絡(luò)數(shù)據(jù)包中掩體信息中的信息分片��,對提取的若干信息分片進行冗余編碼處理�,獲取目標信息的密文,解密密文獲得目標信息���。
【專利附圖】
【附圖說明】
[0048]圖1為本發(fā)明所述一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享系統(tǒng)結(jié)構(gòu)圖��;
[0049]圖2為本發(fā)明所述一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享方法流程圖���;
[0050]圖3為本發(fā)明所述步驟3的流程圖。
[0051]附圖中�����,各標號所代表的部件列表如下:
[0052]1�����、信息發(fā)布端�,2、特定網(wǎng)絡(luò)����,3、防火墻���,4��、核心網(wǎng)絡(luò)��,4-1��、轉(zhuǎn)發(fā)路由器��,5��、無辜用戶�,6、后臺服務(wù)器�����,7����、信息接收端����。
【具體實施方式】
[0053]以下結(jié)合附圖對本發(fā)明的原理和特征進行描述,所舉實例只用于解釋本發(fā)明����,并非用于限定本發(fā)明的范圍���。
[0054]傳統(tǒng)的隱蔽通信方式都是端到端的通信方式,一般將隱蔽信道寄居于其他掩體信道之中��,與傳統(tǒng)的隱蔽通信需要雙方共同參與隱蔽握手不同��,本發(fā)明其核心思想是將端到端的隱蔽信道�����,移到端到中間(信息發(fā)布端與轉(zhuǎn)發(fā)路由器)的通信方式����,即在隱蔽握手過程中借助于核心網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)路由器,只需要信息發(fā)布端和轉(zhuǎn)發(fā)路由器參與�����,不需要信息接收端參與�,這種方式在提高隱蔽通信效率的同時,也增加了敵手檢測的難度����。
[0055]本發(fā)明需要在信息發(fā)布端和信息接收端之間的核心網(wǎng)絡(luò)路中部署轉(zhuǎn)發(fā)路由器。該轉(zhuǎn)發(fā)路由器一般部署在某一個大的網(wǎng)絡(luò)社區(qū)出口路由上���,如某一個高校的出口路由����,一旦位于該路由器后面的普通(如P2P用戶)用戶搜索并下載特定網(wǎng)絡(luò)(如P2P網(wǎng)絡(luò)或https等)上流行的資源,則該用戶充當一個無辜用戶�����,隱蔽通信的目的就是利用大量無辜的用戶來充當掩體用戶�����,并利用這些用戶將秘密資源分享到不可追蹤的目的地����。
[0056]如圖1所示,一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享系統(tǒng)����,包括信息發(fā)布端1����、特定網(wǎng)絡(luò)2、防火墻3����、核心網(wǎng)絡(luò)4�����、轉(zhuǎn)發(fā)路由器4-1����、無辜用戶5�����、后臺服務(wù)器6和信息接收端7 �;
[0057]所述信息發(fā)布端1,其用于將待發(fā)送的目標信息進行加密�、冗余編碼處理,進而隱藏到一系列掩體信息中�;還用于生成密標,并將其封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中�����;通過封裝有密標的應(yīng)用協(xié)議將掩體信息發(fā)布到特定網(wǎng)絡(luò)2中�;
[0058]所述特定網(wǎng)絡(luò)2,其用于將信息發(fā)布端發(fā)布的信息隱藏在該網(wǎng)絡(luò)的網(wǎng)絡(luò)資源中;
[0059]所述防火墻3��,其用于網(wǎng)絡(luò)流量分析和數(shù)據(jù)包檢測���;
[0060]所述核心網(wǎng)絡(luò)4����,利用其基礎(chǔ)設(shè)施構(gòu)建隱蔽信道�����,以實現(xiàn)信息發(fā)布端I與信息接收端7的隱蔽匿名通信����;
[0061]所述轉(zhuǎn)發(fā)路由器4-1,其由網(wǎng)絡(luò)服務(wù)提供商部署�����,并根據(jù)與信息發(fā)布端I和信息接收端7共享的秘鑰來檢測接收的網(wǎng)絡(luò)數(shù)據(jù)包中是否包含掩體信息�����,并復(fù)制包含有掩體信息的網(wǎng)絡(luò)數(shù)據(jù)包�,將原網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送給無辜用戶5,將復(fù)制的網(wǎng)絡(luò)數(shù)據(jù)包傳遞給后臺服務(wù)器
6�����;
[0062]所述無辜用戶5�,其為在特定網(wǎng)絡(luò)中找到并下載感興趣數(shù)據(jù)的普通用戶;[0063]所述后臺服務(wù)器6�,其接收轉(zhuǎn)發(fā)路由器4-1轉(zhuǎn)發(fā)的數(shù)據(jù)流量,并發(fā)送給信息接收端
7�;
[0064]所述信息接收端7,其用于提取網(wǎng)絡(luò)數(shù)據(jù)包中掩體信息中的信息分片���,對提取的若干信息分片進行冗余編碼處理�����,獲取目標信息的密文�,解密密文獲得目標信息��。
[0065]流量審查系統(tǒng):能夠監(jiān)視和過濾網(wǎng)絡(luò)流量���,它試圖發(fā)現(xiàn)隱蔽通信行為�,并追蹤到通信雙方�����,本發(fā)明的目的是要躲避該系統(tǒng)的審查。
[0066]如圖2所示�,一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享方法,包括如下步驟:
[0067]步驟1:在信息發(fā)布端和信息接收端之間的核心網(wǎng)絡(luò)中部署轉(zhuǎn)發(fā)路由器��;
[0068]步驟2:信息發(fā)布端將待發(fā)送的目標信息進行加密�����、冗余編碼處理��,進而隱藏到一系列掩體信息中��;
[0069]步驟3:信息發(fā)布端生成密標��,并將其封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中�����;
[0070]步驟4:將嵌有密標的應(yīng)用協(xié)議和掩體信息封裝成網(wǎng)絡(luò)數(shù)據(jù)包�����,并將該網(wǎng)絡(luò)數(shù)據(jù)包發(fā)布到特定網(wǎng)絡(luò)應(yīng)用中���;
[0071]步驟5:無辜用戶在特定網(wǎng)絡(luò)應(yīng)用中搜索并下載感興趣的信息����,所下載的網(wǎng)絡(luò)數(shù)據(jù)包要流經(jīng)核心網(wǎng)絡(luò)的轉(zhuǎn)發(fā)路由器����;
[0072]步驟6:轉(zhuǎn)發(fā)路由器檢測接收的網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用協(xié)議頭中是否包含密標,如果不包含密標����,則表明該網(wǎng)絡(luò)數(shù)據(jù)包中不包含掩體信息,執(zhí)行步驟7;如果包含密標���,則表明該網(wǎng)絡(luò)數(shù)據(jù)包中包含掩體信息�,執(zhí)行步驟8 �;
[0073]步驟7:將接收的網(wǎng)絡(luò)數(shù)據(jù)包直接轉(zhuǎn)發(fā)給無辜用戶,結(jié)束��;
[0074]步驟8:復(fù)制網(wǎng)絡(luò)數(shù)據(jù)包����,將原網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送給無辜用戶,將復(fù)制的網(wǎng)絡(luò)數(shù)據(jù)包通過后臺服務(wù)器發(fā)送給真正的信息接收端����;
[0075]步驟9:信息接收端提取隱藏分片網(wǎng)絡(luò)數(shù)據(jù)包中掩體信息中的文件分片���,對提取的若干文件分片進行冗余編碼處理,獲取目標信息的密文�����,解密密文獲得目標信息���,結(jié)束���。
[0076]上述技術(shù)方案還包括信息發(fā)布端、轉(zhuǎn)發(fā)路由器和信息接收端通過帶外方式協(xié)商共享密鑰Ks�,信息發(fā)布端利用共享密鑰Ks將待發(fā)送的目標信息加密,轉(zhuǎn)發(fā)路由器利用共享秘鑰Ks檢測應(yīng)用協(xié)議頭是否包含密標����,信息接收端利用共享秘鑰Ks解密掩體信息。因此��,只有知道共享秘鑰的才能進行相應(yīng)的處理���,如信息發(fā)布端對目標信息加密�����,轉(zhuǎn)發(fā)路由器識別掩體信息����,信息接收端解密收到的掩體信息���,提高了信息傳輸?shù)陌踩浴?br>
[0077]其中���,執(zhí)行步驟8的同時,轉(zhuǎn)發(fā)路由器在其路由表中插入一個包含源地址IP���、目的地址IP��、源地址端口和目的地址端口 4元組的IP規(guī)則����,且信息發(fā)布端與信息接收端傳遞的后續(xù)隱蔽通信數(shù)據(jù)根據(jù)上述IP規(guī)則傳遞���。因此���,該信息發(fā)布端后續(xù)發(fā)布的信息�����,轉(zhuǎn)發(fā)路由器檢測出來自改信息發(fā)布端�����,可不比對后續(xù)的數(shù)據(jù)包識別是否包含密標�����,直接根據(jù)IP規(guī)則發(fā)送給相應(yīng)的信息接收端����,大大提高傳輸效率���。
[0078]其中����,步驟2中將加密的目標信息進行冗余編碼處理是利用閾值秘密分享算法實現(xiàn)的��,具體步驟為:
[0079]步驟2.1:將加密的目標信息分割成K個分塊���;
[0080]步驟2.2:通過編碼生成N個分片�,其中K〈N,任意K個分片可重構(gòu)目標信息�。
[0081 ] 上述操作可以防止由于某些分片丟失導(dǎo)致整個文件不可用,也可以防止從某一個節(jié)點(UGC網(wǎng)站)能夠訪問到所有的文件分片�,保證了秘密數(shù)據(jù)的完整性與安全性。[0082]步驟2中利用outguess信息隱藏算法將各文件分片隱藏到一系列的掩體信息中��,可隱藏到圖片文件里面���,圖片文件格式一般有高頻部分���,這些部分可以用于隱藏目標信息的文件分片��,當然也可以用視頻和文本等作為掩體信息��,提高信息傳輸?shù)碾[蔽性����。
[0083]步驟9中通過冗余編碼算法重構(gòu)目標信息,只需要其中一部分分片文件��,所需要的分片數(shù)量取決于冗余比率��,若比率為0.5則需要大于50%的分片數(shù)量�。
[0084]如圖3所示��,所述步驟3信息發(fā)布端生成密標�����,并將其封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中的具體實現(xiàn)為:
[0085]步驟3.1:信息發(fā)布端與轉(zhuǎn)發(fā)路由器通過帶外方式協(xié)商一個魔法數(shù)Mv ��;
[0086]步驟3.2:信息發(fā)布端生成一個η字節(jié)的強隨機數(shù)RS (η)��,并利用共享密鑰Ks和隨機數(shù)RS (η)按照哈西算法MAC (Ks+RS (η))生成魔法數(shù)秘鑰Km;
[0087]步驟3.3:根據(jù)AES加密算法�����,并利用魔法數(shù)秘鑰Km對魔法數(shù)Mv進行加密���,得到密標Em;
[0088]步驟3.4:將生成的密標Em封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中。
[0089]其中�����,如信息發(fā)布端將信息發(fā)布到P2P網(wǎng)絡(luò)���,則信息發(fā)布者重構(gòu)P2P節(jié)點的ID����,使其前η字節(jié)為強隨機數(shù)RS (η),最后4個字節(jié)為密標Em,若信息發(fā)布端利用HTTPS網(wǎng)絡(luò)協(xié)議��,則信息發(fā)布端重構(gòu)HTTPS協(xié)議中TCP封包包頭的隨機域字段��,使得該字段為密標Em��。
[0090]以上所述僅為本發(fā)明的較佳實施例����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)��,所作的任何修改�����、等同替換�����、改進等��,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)���。
【權(quán)利要求】
1.一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享方法���,其特征在于,包括如下步驟: 步驟1:在信息發(fā)布端和信息接收端之間的核心網(wǎng)絡(luò)中部署轉(zhuǎn)發(fā)路由器�; 步驟2:信息發(fā)布端將待發(fā)送的目標信息進行加密、冗余編碼處理��,進而隱藏到一系列掩體信息中�����; 步驟3:信息發(fā)布端生成密標�,并將其封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中; 步驟4:將嵌有密標的應(yīng)用協(xié)議和掩體信息封裝成網(wǎng)絡(luò)數(shù)據(jù)包�,并將該網(wǎng)絡(luò)數(shù)據(jù)包發(fā)布到特定網(wǎng)絡(luò)應(yīng)用中; 步驟5:無辜用戶在特定網(wǎng)絡(luò)應(yīng)用中搜索并下載感興趣的信息�,所下載的網(wǎng)絡(luò)數(shù)據(jù)包要流經(jīng)核心網(wǎng)絡(luò)的轉(zhuǎn)發(fā)路由器; 步驟6:轉(zhuǎn)發(fā)路由器檢測接收的網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用協(xié)議頭中是否包含密標��,如果不包含密標����,則表明該網(wǎng)絡(luò)數(shù)據(jù)包中不包含掩體信息,執(zhí)行步驟7 ;如果包含密標��,則表明該網(wǎng)絡(luò)數(shù)據(jù)包中包含掩體信息,執(zhí)行步驟8 ; 步驟7:將接收的網(wǎng)絡(luò)數(shù)據(jù)包直接轉(zhuǎn)發(fā)給無辜用戶���,結(jié)束�����; 步驟8:復(fù)制網(wǎng)絡(luò)數(shù)據(jù)包��,將原網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送給無辜用戶��,將復(fù)制的網(wǎng)絡(luò)數(shù)據(jù)包通過后臺服務(wù)器發(fā)送給真正的信息接收端���; 步驟9:信息接收端提取隱藏分片網(wǎng)絡(luò)數(shù)據(jù)包中掩體信息中的文件分片,對提取的若干文件分片進行冗余編碼處理����,獲取目標信息的密文,解密密文獲得目標信息���,結(jié)束。
2.根據(jù)權(quán)利要求1所述一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享方法�����,其特征在于,上述技術(shù)方案還包括信息發(fā)布端�����、轉(zhuǎn)發(fā)路由`器和信息接收端通過帶外方式協(xié)商共享密鑰Ks����,信息發(fā)布端利用共享密鑰Ks將待發(fā)送的目標信息加密,轉(zhuǎn)發(fā)路由器利用共享秘鑰Ks檢測應(yīng)用協(xié)議頭是否包含密標��,信息接收端利用共享秘鑰Ks解密掩體信息�。
3.根據(jù)權(quán)利要求1所述一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享方法,其特征在于�����,步驟2中將加密的目標信息進行冗余編碼處理是利用閾值秘密分享算法實現(xiàn)的��,具體步驟為: 步驟2.1:將加密的目標信息分割成K個分塊��; 步驟2.2:通過編碼生成N個分片��,其中K〈N���,任意K個分片可重構(gòu)目標信息���。
4.根據(jù)權(quán)利要求1所述一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享方法�,其特征在于�,步驟2中利用outguess信息隱藏算法將各文件分片隱藏到一系列的掩體信息中。
5.根據(jù)權(quán)利要求1所述一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享方法���,其特征在于�,所述步驟3信息發(fā)布端生成密標���,并將其封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中的具體實現(xiàn)為: 步驟3.1:信息發(fā)布端與轉(zhuǎn)發(fā)路由器通過帶外方式協(xié)商一個魔法數(shù)Mv ��; 步驟3.2:信息發(fā)布端生成一個η字節(jié)的強隨機數(shù)RS (η)���,并利用共享密鑰Ks和隨機數(shù)RS(η)按照哈西算法生成魔法數(shù)秘鑰Km; 步驟3.3:根據(jù)AES加密算法,并利用魔法數(shù)秘鑰Km對魔法數(shù)Mv進行加密����,得到密標Em; 步驟3.4:將生成的密標Em封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中。
6.根據(jù)權(quán)利要求1所述一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享方法��,其特征在于���,執(zhí)行步驟8的同時��,轉(zhuǎn)發(fā)路由器在其路由表中插入一個包含源地址IP�、目的地址IP���、源地址端口和目的地址端口 4元組的IP規(guī)則�,且信息發(fā)布端與信息接收端傳遞的后續(xù)隱蔽通信數(shù)據(jù)根據(jù)上述IP規(guī)則傳遞��。
7.根據(jù)權(quán)利要求1所述一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享方法���,其特征在于���,步驟5中的無辜用戶為在特定網(wǎng)絡(luò)中找到并下載感興趣數(shù)據(jù)的普通用戶。
8.根據(jù)權(quán)利要求1所述一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享方法����,其特征在于,步驟9中重構(gòu)目標信息所需的文件分片的數(shù)量取決于冗余編碼算法的冗余比率���。
9.一種基于核心網(wǎng)絡(luò)的數(shù)據(jù)秘密共享系統(tǒng)��,其特征在于���,包括信息發(fā)布端����、特定網(wǎng)絡(luò)�����、防火墻��、核心網(wǎng)絡(luò)�、轉(zhuǎn)發(fā)路由器、無辜用戶�����、后臺服務(wù)器和信息接收端��; 所述信息發(fā)布端���,其用于將待發(fā)送的目標信息進行加密�����、冗余編碼處理�����,進而隱藏到一系列掩體信息中���;還用于生成密標,并將其封裝到特定網(wǎng)絡(luò)應(yīng)用協(xié)議的協(xié)議頭中�����;通過封裝有密標的應(yīng)用協(xié)議將掩體信息發(fā)布到特定網(wǎng)絡(luò)應(yīng)用中�; 所述特定網(wǎng)絡(luò),其用于將信息發(fā)布端發(fā)布的信息隱藏在該網(wǎng)絡(luò)的網(wǎng)絡(luò)資源中�; 所述防火墻,其用于網(wǎng)絡(luò)流量分析和數(shù)據(jù)包檢測�; 所述核心網(wǎng)絡(luò),利用其基礎(chǔ)設(shè)施構(gòu)建隱蔽信道���,以實現(xiàn)信息發(fā)布端與信息接收端的隱蔽匿名通信��; 所述轉(zhuǎn)發(fā)路由器���,其由網(wǎng)絡(luò)服務(wù)提供商部署,并根據(jù)與信息發(fā)布端和信息接收端共享的秘鑰來檢測接收的網(wǎng)絡(luò)數(shù)據(jù)包中是否包含掩體信息�����,并復(fù)制包含有掩體信息的網(wǎng)絡(luò)數(shù)據(jù)包,將原網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送給無辜用戶�,將復(fù)制的網(wǎng)絡(luò)數(shù)據(jù)包傳遞給后臺服務(wù)器; 所述無辜用戶��,其為在特定網(wǎng)絡(luò)中找到并下載感興趣數(shù)據(jù)的普通用戶����; 所述后臺服務(wù)器,其接收轉(zhuǎn)發(fā)路由器轉(zhuǎn)發(fā)的數(shù)據(jù)流量��,并發(fā)送給信息接收端����; 所述信息接收端,其用于提取網(wǎng)絡(luò)數(shù)據(jù)包中掩體信息中的信息分片�����,對提取的若干信息分片進行冗余編碼處理����, 獲取目標信息的密文,解密密文獲得目標信息���。
【文檔編號】H04L29/06GK103458046SQ201310418482
【公開日】2013年12月18日 申請日期:2013年9月13日 優(yōu)先權(quán)日:2013年9月13日
【發(fā)明者】譚慶豐, 時金橋, 劉培朋, 王嘯 申請人:中國科學(xué)院信息工程研究所