用于無線安全通訊的多元隨機變碼加密算法
【專利摘要】從無線通訊出現(xiàn)以來���,數(shù)據(jù)傳輸安全就成了一個永恒的話題����,特別是從WiFi大規(guī)模應(yīng)用開始���,WEP�����、WAP�����、WAP2等安全協(xié)議已經(jīng)漸漸力不從心���,人們開始需要更加安全的算法。通過對目前主流的無線安全協(xié)議的研究���,提出了更加安全的多元隨機變碼加密算法�����,該算法中多元部分通過最少三個具有唯一屬性的元素和認證密鑰來減少認證過程中數(shù)據(jù)包被截取導(dǎo)致的密鑰泄露的可能����;隨機變碼部分通過密碼本,以編碼理論為基礎(chǔ)��,對要傳輸?shù)臄?shù)據(jù)做一系列的變換�,生成不完整信息的數(shù)據(jù)包,然后將這不完整的數(shù)據(jù)包傳送給客戶端�,客戶端通過數(shù)據(jù)包中蘊含的信息對照密碼本進行解密,完成數(shù)據(jù)的安全傳送��;通道技術(shù)保證了即使遭到惡意的流量類攻擊也能保證其他客戶端的正常數(shù)據(jù)交換���。
【專利說明】用于無線安全通訊的多元隨機變碼加密算法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種網(wǎng)絡(luò)通訊中數(shù)據(jù)安全的加密算法��,尤其是適用于無線安全通訊�?!颈尘凹夹g(shù)】
[0002]目前�,對于無線通訊中的加密算法而言,特別是Wi F i中的加密算法而言����,W EP已經(jīng)被證實不安全����,WA P�、W A P 2也即將變得不安全,因為隨著硬件技術(shù)的發(fā)展以及人們對這些安全協(xié)議的研究���,密鑰被解開的時間將變得越來越短��,也就是說使用這些安全協(xié)議的無線網(wǎng)絡(luò)將存在泄密的可能�。
[0003]目前��,WA P等安全協(xié)議對密鑰的驗證是單一的�,即同一個密鑰在任何地方產(chǎn)生的驗證數(shù)據(jù)都是一樣的,這樣的結(jié)果就是我們可以構(gòu)建一個表����,用來保存所有密鑰產(chǎn)生的驗證文件的結(jié)果,然后通過哈希排除�����、并行計算等一系列手段將解開密鑰的時間變成只有幾小時甚至只有幾分鐘�����。
[0004]為解決目前使用的WAP、WAP2等協(xié)議存在的密鑰驗證數(shù)據(jù)單一等問題�����,通過對認證時元素的多元化�,提供包括密鑰在內(nèi)的至少四元的認證數(shù)據(jù)加密算法,同時����,保證所有元中,除密鑰外�����,所有的元都具有唯一屬性且部分元只一次有效��,減少認證過程的數(shù)據(jù)被截獲而破解密鑰的可能��,同時��,在通訊過程中�����,除了本身提供的加密外���,還提供基于編碼理論的隨機變碼二次加密�����,保障通訊過程中的數(shù)據(jù)安全�。
【發(fā)明內(nèi)容】
[0005]無線通訊�,特別是無線安全通訊,其核心基本點一是安全認證���,二是安全傳輸�,因為無線通訊的特殊性����,注定整個通訊過程都可能暴露在惡意監(jiān)聽中,也就是說無論如何�����,所有的通訊信息都是可以被完整的竊聽���,所以說無線通訊的安全在數(shù)據(jù)完整性上是沒有任何辦法的��,除非你通過無線傳輸?shù)臄?shù)據(jù)本身就是不完整的�����。整個無線通訊���,我將其分為兩部分�����,一部分為認證環(huán)節(jié)�����,即授權(quán)某客戶端訪問某網(wǎng)絡(luò)的權(quán)限���,該環(huán)節(jié)由多元隨機變碼加密算法中的多元部分負責(zé);二為通訊環(huán)節(jié)�,這一環(huán)節(jié)是重中之重,可以說數(shù)據(jù)安全的9 O %都在這一環(huán)節(jié)�����,故該部分由多元隨機變碼加密算法中的隨機變碼加密部分完成�。下面���,就這兩個環(huán)節(jié)解釋多元隨機變碼加密算法是如何保證數(shù)據(jù)安全的����。
[0006]一:安全認證環(huán)節(jié)
對于本多元隨機變碼加密算法而言,多元部分負責(zé)的認證環(huán)節(jié)所使用的認證元素是有多個的�����,下面��,就以最基礎(chǔ)的四元加密作為本多元隨機變碼加密算法中多元部分的演示�,同時,四元也是本多元隨機加密算法中多元部分的最低要求��。
[0007]認證���,我們有一道繞不過的關(guān)卡����,那就是密鑰的傳送����,這也是所有的無線安全算法的通病�,所以基本上目前所有的破解密鑰的算法均是針對這一過程�,一般而言,我們認證時要做的就是發(fā)送認證請求�����,然后等待認證點響應(yīng)后傳輸密鑰�����,于是���,一個包含有密鑰的封包就生成了并且被傳輸����,而我們知道無線傳輸?shù)乃袛?shù)據(jù)均是可以被截獲的�,于是,這個封包被截獲了�,于是,我們通過一定的手段��,就可以解開這個封包����,獲得密鑰��。但是�,如果我們改變這一過程���,然后在包含密鑰的封包中加入其他東西甚至我們傳送的數(shù)據(jù)包根本就不含有密鑰呢���,自然無論如何破解都無法得到密鑰�����。下面就來解說如何實現(xiàn)不包含密鑰認證數(shù)據(jù)包的認證�����。
[0008]在認證時��,我們要做的第一件事是建立聯(lián)系�����,也就是客戶端向認證端發(fā)送建立連接的請求����,然后認證端開始生成一段長度為512個字節(jié)的字符串S傳送給客戶端�����,而客戶端接收到S并且校驗無誤后開始以S和自己客戶端的唯一識別碼J作為參數(shù)���,運算得出一個長度為256個字節(jié)的字符串H,這個字符串H將被傳送到認證端�����,然后認證端利用客戶端傳送過來的的字符串H運算��,得出客戶端的唯一識別碼���,同時用之前生成的字符串S和唯一識別碼J還有密鑰和隨機生成的一段參考字符作為參數(shù)運算生成授權(quán)密鑰����,在這里�����,生成的參考字符在生成后會被傳送給客戶端�����,也是通過字符串S完成加密后傳送;客戶端接收到參考字符后就開始同服務(wù)端一樣開始以字符串S����、客戶端唯一識別碼J、密鑰作為參數(shù)計算出認證密鑰(認證端稱為授權(quán)密鑰)然后再次利用之前的字符串S對這份認證密鑰進行加密�����,然后傳送給認證端�����,認證端接收后解密得到認證密鑰��,然后對比授權(quán)密鑰��,如果一樣����,就是認證通過��,如果不一樣�����,那么認證失敗。
[0009]因為這里演示的四元的認證過程���,所以不論是客戶端還是服務(wù)端計算出認證/授權(quán)密鑰時用到了四個參數(shù):隨機生成的長度為512字節(jié)的字符串S���、客戶端唯一識別碼J、密鑰�����、參考字符����,而且整個認證過程密鑰并沒有被傳送,傳送的是以上面四個元素做參數(shù)生成的認證密鑰��,而且在設(shè)計上這四個元素中S和J是隨機生成的����,而J是唯一的,也就是說四個元素中有三個具有唯一性����,這樣就保證了無法構(gòu)建類似哈希表����、彩虹表之類的快速查詢密鑰的表�,只能通過窮舉法來解密,而且要使用窮舉法的前提是完整的獲取到除密鑰外的其他三個元素���。而在這三個元素的傳送過程中����,只有字符串S是以明文或者只進過基類加密算法加密后傳送的�����,其他數(shù)據(jù)都是通過隨機變碼算法加密的�,這就使的完整的獲得這些信息的可能性比較小,同時���,因為中間有兩個元素是隨機生成的,所以導(dǎo)致一個密鑰有無數(shù)種可能的認證密鑰�����,不同的認證過程的認證密鑰沒有對比價值���。
[0010]到了這里可以看出�����,整個過程卻是是比較難得解開�����,但相應(yīng)的加大了計算量��,如果同一時間認證的客戶端比較多或者干脆被人無休止的認證���,那么有可能導(dǎo)致認證端計算能力不足而影響正常認證的用戶和已經(jīng)認證的用戶�,所以將會使用下文的通道技術(shù)完美的解決這個問題�。
[0011]在完成第一次認證的基礎(chǔ)上,再次認證時我們就不需要這么復(fù)雜的過程了���,因為第一次認證需要認證密鑰�����,所以認證過程復(fù)雜無比����,但是如果已經(jīng)認證成功一次了,再次認證時就沒必要這么復(fù)雜了�����,而且如果重復(fù)第一次認證的過程就意味著要再一次生成認證密鑰����,雖然認證密鑰被解開的可能性很小,但我們完全可以做得更加安全����。于是我們可以在第一次認證成功后由認證端生成一段隨機字符串,發(fā)送給客戶端���,等到再次認證時�,使用這一段隨機字符串和客戶端的唯一識別碼作為參數(shù)生成再次認證密鑰發(fā)送給認證端���,而認證端之前已經(jīng)保存過該客戶端的識別碼����,所以也可以直接用識別碼和這段隨機字符串做參數(shù)來生成再次授權(quán)密鑰�����,等到客戶端傳送過來再次認證密鑰后直接對比��,就可以完成認證了��,完成認證后不管成功還是失敗�,均再次生成并傳送下一次的隨機字符串,這樣就能保證授權(quán)的唯一性�����,至于唯一性的問題���,因為再次授權(quán)的過程中并沒有傳送唯一識別碼��,也沒有密鑰的參與�,故別的客戶端不可能生成正確的再次認證密鑰���,如果是正確的���,則說明該客戶端所在的物理機已經(jīng)不在授權(quán)人手上了,成不成功已經(jīng)沒有意義了�。
[0012]另關(guān)于文中的密鑰和基類加密算法,文中密鑰時泛指�����,但凡所有的作為認證憑據(jù)的不管是密碼也好,還是證書或者文件����,在本文中均稱之為密鑰。至于基類加密算法���,在本文中是指在沒有經(jīng)過多元隨機變碼加密算法加密前���,對原始的要傳送的信息做加密處理的算法,如AES����。如無特別指出,本文中基類加密算法均為泛指��。
[0013]二:安全傳輸環(huán)節(jié)
我們知道�,由于無線通訊特殊性,所有的數(shù)據(jù)包是可以被完整的竊聽的����,所以嚴格的來講,無線傳輸?shù)臄?shù)據(jù)都是可以被解密的�,如果舍得投入計算能力的話任何通過無線傳輸?shù)臄?shù)據(jù)都可以被解密,也就導(dǎo)致的結(jié)果就是不論你的加密算法如何強大如何難以破解�,只要舍得本錢,都是可以被解開的��,當(dāng)然��,解開后你無線傳輸?shù)臄?shù)據(jù)自然也就被別人獲取了���。
[0014]但是如果無線傳輸?shù)男畔⒈旧砭筒煌暾?����?這樣就意味著那怕你花費巨大的代價解開的截獲的信息��,獲得的也是不完整的信息�。這樣又產(chǎn)生了另一個問題�,那就是如何讓不完整的數(shù)據(jù)變得完整,完成整個傳送過程��。對于這個問題����,使用密碼本就可以解決了,當(dāng)然���,此密碼本非傳統(tǒng)意義上的密碼本�����,這里的密碼本不起翻譯的作用���。嚴格的來講����,這段被稱作密碼本的字符是本身要傳送的信息的一部分�����!為什么這么說呢��,在回答這個問題之前要先講另一個問題��,那就是二進制與編碼�����!
我們知道���,計算機甚至是電子設(shè)備����,只要有計算能力的,無一不是二進制�����,也就是說計算機其實是只認識二進制的����,對于計算機而言�,無所謂字符串亦無所謂數(shù)字,所有的東西對計算機而言通通都是O和1�����,這也就產(chǎn)生一個問題��,那就是人并不認識二進制或者說人不習(xí)慣二進制��,于是�,就有了編碼出現(xiàn),編碼唯一的作用就是將人不熟悉的二進制O和I串轉(zhuǎn)換成人熟悉的東西�,比如文字、圖像、聲音等����,但無論編碼怎么編,歸根結(jié)底他還是O和I的串�����,也就是說編碼其實是一個O和I的串的特定表示形態(tài)��。那么我們可不可以對我們要傳輸?shù)男畔⒆鲆幌滦薷?�,比如加或減去一個固定的數(shù)���,等到接收端收到再加上或減去那個固定的數(shù)以后再變回來�����?答案是可以的����,對于編碼而言���,只要最終表示的時候O和I的串是原來的那個串����,那么他的表現(xiàn)形式就會是完全一樣的,也就是說���,我們完全可以對我們需要傳輸?shù)臄?shù)據(jù)做一個變換�����,使得要傳輸?shù)男畔⑷笔б徊糠郑缓髮⑷笔Я艘徊糠值男畔魉偷浇邮斩?,接收端再將缺失的這一部分給補回來,這樣的話哪怕信息在中途被攔截破解�����,也不可能得到完整的信息�,從而保證了信息的保密性。
[0015]整個算法全稱為多元隨機變碼加密算法�,多元部分在前文已經(jīng)解釋清楚了,那么�����,什么是隨機變碼呢�?隨機是指不固定的而且無法預(yù)測的��,變碼則是前文講述的對O和I的串做變換�,加起來就是不固定的且無法預(yù)測的對要傳送的信息做原始O和I串上的變換���。當(dāng)然����,變換容易��,還原難����,而信息傳送是需要解碼的,也就是說我們不可能真正的去做隨機變換�,不然即使接收到了無法解碼那么加密算法就變得毫無意義!所以我們需要讓信息的發(fā)送端與接收端都知道這部分信息是怎么變換的���,所以我們就要用到了前文提到的密碼本了�。在本質(zhì)上來講���,密碼本是一段固定長度的字符串��,大小為10K��,里面是一段ASII字符�����。因為ASII字符每個字符占用一個字節(jié)�,其十進制區(qū)間為0-128,故密碼本內(nèi)保存的是10*1024個0-128的數(shù)字(之所以使用ASII字符而不是使用數(shù)字�,是為了節(jié)省空間)當(dāng)然,在生成密碼本是這10240個數(shù)字是隨機的�����,這樣的結(jié)果就是密碼本的構(gòu)成無法預(yù)測��!因為他生成是沒有算法的��,混亂����,無序�����,無法預(yù)測���,這就是密碼本的特點�����。(不能使用有序的算法����,否則算法被破解那么密碼本相應(yīng)的也就被破解,信息加密將是一個笑話)���。
[0016]我們得到了一個無序的密碼本�,隨機變碼的基礎(chǔ)也就有了�����,接下來要干什么呢��?當(dāng)然是隨機變碼了�!如何一個隨機法呢?我是這樣做的:
給定一段信息����,長度不固定,但不能超過10K�����,稱之為A (其實這個長度限定沒有多大意義,因為我還沒有見過一個TCP或UTP數(shù)據(jù)包大小超過IOK的)我們對他進行一次基類加密算法加密�����,得到另外一段信息�����,我們將它稱之為B���,這時候這段信息還是有編碼的可以被解密還原�����;所以接下來我們要做的就是講加密后的這段信息變成O和I的串,也就是無視掉編碼的問題(注在整個過程中編碼其實還是存在�����,只是被無視掉了�,如果不理解,請參考前文的二進制與編碼的問題)然后我們要統(tǒng)計B的長度L��,得到L后我們就需要生成另外一個ASII的字符串X,長度為4L���,這段字符是信息的載體�����,除了做載體外沒有其他意義也沒有其他用途�,所以是隨機生成的���,而且隨機生成的好處就是亂��,自然也就加大了破解難度��。得到X后����,我們還需要一個隨機數(shù)K���,一個小于10240的隨機數(shù)����,這個隨機數(shù)K是我們隨機變碼的起點,得到這個K后我們開始在密碼本內(nèi)查找���,從第一個開始數(shù)到K�����,得到K所對應(yīng)的ASII字符��,這時我們就得到了一個O到128的數(shù)P (也就是ASII字符所對應(yīng)的那個十進制數(shù)字)假如我們的K對應(yīng)的ASII字符的十進制數(shù)是68�,第一步:對68進行除以2取余����,這里得到的是0,代表第二步做減法(如果是I代表第二步做的是加法)��;接下來第二步:我們在B中取出第一個字節(jié)(8個位)減掉這個68 (這里的減法是純粹的為運算����,沒有符號,由此產(chǎn)生的溢出等問題后文給出解決辦法)得到了結(jié)果S ;到了第三步:前面我們提到了一個長度為4L的信息載體X�,現(xiàn)在我們要用到它,對于68���,我們除以32取余(為什么除以32,那是因為我們給出的信息載體長度是4L�����,也就是說我們把原本的信息擴充了 4倍,基礎(chǔ)是8個位��,4倍就是32) 68除以32取余是4�����,那么我們在載體X的第一到第四字節(jié)(共32個位)上從第I位開始數(shù)到第4位����,將S從X的第5位開始復(fù)制,不足的地方也就是從第13位開始不變(指X不變)�。這樣就完成了 B的第一個字節(jié)的隨機變碼,接下來依次變換����,參數(shù)K變成了 K+1也就是密碼本中第K+1個字符,重復(fù)進行�����,一直到變換完成��。
[0017]從上面的過程可以看出,整個過程中�,我們對信息進行了擴充,變大了 4倍�,然后將真實的信息變換后隱藏起來,以大量的虛假信息進行掩護���,而且依靠密碼本提供的參數(shù)����,直接將真實信息進行了變碼���、移位�,這樣的結(jié)果就是沒有密碼本��,基本無法解開我們的數(shù)據(jù)包獲得真實的信息��。
[0018]當(dāng)然��,這里面有幾個問題����,一是密碼本的使用壽命的問題,要知道�,盡管密碼本是隨機生成的�,但是用的次數(shù)多了���,也就能被找出規(guī)律來,所以密碼本的使用壽命是由限制的����,不可能永遠使用一個密碼本,所以我們需要設(shè)定一個閾值�����,密碼本的使用次數(shù)達到了閾值后就更換�����!考慮到服務(wù)端的計算能力�,這個閾值由服務(wù)端設(shè)定,由客戶端統(tǒng)計并發(fā)出提醒���,初始值是加密的信息長度為密碼本的1024倍后達到閾值����。另外一個就是對加密后的原始信息做加減法運算時會發(fā)生溢出的問題��,因為對原始信息的運算時不涉及編碼的,也就是說所有的位都是信息�����,不可能再設(shè)置一個位作為溢出標(biāo)記�����,故將溢出標(biāo)記分離出來�,用另外的數(shù)據(jù)標(biāo)記,因此我們需要一個溢出標(biāo)記Z�,Z的長度是B的八分之一,即Z的一個位對應(yīng)B的一個字節(jié)�����。對于Z而言��,每一個位對應(yīng)B的一個字節(jié)�,而這個位為一時代表溢出了,為O時代表沒有溢出�。然后將Z—起放在數(shù)據(jù)包中傳送。還有一個問題就是我們在取余的時候��,如果余數(shù)過大����,導(dǎo)致剩下的位不足8個��,這時我們需要的就是回環(huán)����,第I位同時也是第33位�,這樣就解決了位不足的問題���。
[0019]對于多元隨機變碼加密算法中的隨機變碼部分����,已經(jīng)解說完成了����,至于整個過程中對于各種數(shù)據(jù)包的構(gòu)造,格式����,設(shè)計起來毫無難度,所以就不介紹了����,對于文中關(guān)鍵點的密碼本的更換問題���,我想,有兩種解決辦法��,一種是由服務(wù)端生成���,然后傳遞給客戶端�����,這樣做的好處就是每個密碼本都是獨立的不會因為前面的密碼本泄露而導(dǎo)致全盤泄露的問題��,但有可能因為信息被攔截和破解導(dǎo)致密碼本泄露��;另一種方法是傳遞參數(shù)����,使用前面提到過的方案��,傳遞參數(shù)���,在原來的密碼本的基礎(chǔ)上生成新的密碼本�,這樣好處就是不可能攔截到密碼本��,但壞處就是一旦初始密碼本被泄露,那么接下來所有的密碼本都有可能被泄露�����。不過��,因為一個客戶端對應(yīng)一個密碼本�,所以這里就算密碼本泄露了也只會影響到一個客戶端,其他的不會受到影響�。所以��,密碼本的更換問題可以視情況而定����,默認情況下選擇第一種。另:本文給出的密碼本大小為IOK不代表限制大小為10K����,只是作為一個默認值提供,大小沒有限制�,但不能小于10K,具體密碼本長度設(shè)定需考慮服務(wù)端硬件承受能力�。
[0020]三:通道技術(shù)、通道復(fù)用����、通道橋接與隱藏通道
何謂通道技術(shù)�����,用來干嘛的�����?對于這個問題����,前文我們提到過���,由于認證過程的計算量比較大�����,如果有客戶端不停的認證那么有可能導(dǎo)致整個認證端的資源全部轉(zhuǎn)向驗證認證影響正常服務(wù)����,這是有可能的�����,因為認證驗證的優(yōu)先級是高于正常服務(wù)的。而且�,我們也不能保證連接成功的客戶端是不是惡意的,如果是惡意的����,一旦發(fā)起流量類攻擊,那么整個網(wǎng)絡(luò)都將無法正常工作�;為了解決這個問題,我設(shè)計了通道技術(shù)��,通道這個名詞已經(jīng)不陌生了��,但在這里�����,通道被重新定義了�。
[0021]通道是指在整個無線通訊過程中����,客戶端與服務(wù)端交換信息的線路,這就是通道的定義�,并且,整個會話過程中,客戶端只能使用這一個通道��,而且服務(wù)端的這個通道也只接收由對應(yīng)的客戶端發(fā)送的數(shù)據(jù)���。至于原理����,其實是虛擬化技術(shù)的一個應(yīng)用����,我們知道,物理資源是有限的���,但我們可以通過虛擬化技術(shù)將物理資源進行劃分��,變成多個彼此獨立的虛擬資源�,這就是通道技術(shù)的基礎(chǔ)�。使用通道技術(shù)后,我們可以對所有通道進行資源劃分����,每個通道占用多少資源都是可以確定的,這樣做的后果就是無論客戶端發(fā)起多么強大的攻擊�����,最多只能消耗我們規(guī)定好的資源,因為一個客戶端對應(yīng)一個通道�,無論怎么樣,客戶端最多只能消耗掉這個通道對應(yīng)的資源��,而通道間是彼此獨立的���,也就是說哪怕這個通道使用率為100%����,其他通道的使用率有可能只有1%甚至還不到����。
[0022]通道復(fù)用,是為了在通道數(shù)量不足但客戶端又比較多的情況下出現(xiàn)的���,很多時候����,客戶端都是正常的使用的�,但是某些情況下因為通道劃分的限制���,導(dǎo)致出現(xiàn)通道已經(jīng)滿了但還有客戶端請求連接的情況����,但一個客戶端占用且只占用一個通道這是不可改變的,在某些應(yīng)用場合特別是重要場合下�����,我們不可能拒絕客戶端的正常連接請求����,于是,出現(xiàn)了通道復(fù)用技術(shù)�����。
[0023]通道復(fù)用技術(shù)其實是把一個通道虛擬成多個通道供客戶端使用����,這些虛擬通道之間共享實體通道的資源。(注意:通道技術(shù)是每個通道獨享資源����,而通道復(fù)用是所有的當(dāng)前通道下的虛擬通道共享該通道的資源)這樣,就解決了通道數(shù)量不足的問題��。
[0024]至于通道橋接,出現(xiàn)的原因很簡單�。當(dāng)一個客戶端正常但負責(zé)該客戶端的通道資源卻不足時,為了滿足客戶端的需求���,可以暫時將其他通道的閑置資源劃分給該通道����,這樣就可以在不影響其他通道的情況下提高該通道的負載能力��。[0025]一個客戶端占用一個且只占用一個通道這個原則是不會變的�,不管是通道復(fù)用也好還是通道橋接也好,都不能違背這個原則���。
[0026]至于隱藏通道�,這一設(shè)計的出現(xiàn)是為了滿足一些特殊要求場合���,比如要求無線電靜默但是需要隨時接收信息時��、設(shè)備電量不足但要求盡可能的延長通信時間時等特殊場合�����。對于通道技術(shù)����,為了保障通道在會話結(jié)束后盡快的被釋放�,客戶端與服務(wù)端之間存在一種名為心跳包的數(shù)據(jù)包,客戶端通過發(fā)送心跳包來告訴服務(wù)端目前客戶端仍然在線�����,當(dāng)服務(wù)端接收不到心跳包后����,就表示該通道的客戶端已經(jīng)離線,這時就要釋放該通道來等待下一個客戶端的連接�,然而,前文提到的特殊場合客戶端無法發(fā)送心跳包�,而又需要保持這個會話,這時就需要表明該次會話是隱藏通道的會話���,這樣服務(wù)端就不會對該通道執(zhí)行回收的動作�,除非客戶端明確發(fā)出會話結(jié)束的數(shù)據(jù)包和到達通道最長有效期����。
[0027]通道技術(shù)不是多元隨機變碼加密算法的一部分,只是作為該算法的一個安全補充方案��,專門解決本算法因為計算量過大而導(dǎo)致的抗流量類攻擊能力較弱的問題,另外����,嚴格的來講,多元隨機變碼加密算法既可以合起來使用����,也可以分開使用,且每一部分都能很好的保證安全性�,不管是有線通訊還是無線通訊。
【權(quán)利要求】
1.用于無線安全通訊的多元隨機變碼加密算法由多元隨機變碼加密算法和通道技術(shù)組成��,其特征為多元隨機變碼加密算法其算法組成為(a)多元部分通過最少為四個元素計算出認證密鑰�,保證認證過程的安全;(b)隨機變碼部分通過基于編碼理論��,以密碼本為藍本��,對要傳送的數(shù)據(jù)做隨機變碼�;(c)通道技術(shù)保證在整個無線網(wǎng)絡(luò)遭到流量類或資源消耗類攻擊時保證其他客戶端的通訊安全和通訊暢通。
2.根據(jù)權(quán)利要求1所述的(a)��,其算法過程為(I)認證端生成一段固定長度的字符串S明文或僅以基類加密算法加密后傳送給客戶端��,(2)客戶端接收到字符串S并確認后以S為密碼本����,使用隨機變碼加密算法對客戶端唯一識別碼J進行加密,生成一段固定長度的字符串H后傳送給認證端��,��;(3)客戶端接收到H后解密得到客戶端唯一識別碼J��,然后生成一個參考字符串并用S作為密碼本通過隨機變碼加密后傳送給客戶端���,如果還存在其他元素�����,回到(2)繼續(xù)傳送其他元素���;(4)服務(wù)端以S、J��、參考字符串��、密鑰為參數(shù)生成授權(quán)密鑰��,如果還有其他元素�,其他元素也作為參數(shù)��;(5)客戶端接收到并解密出參考字符串后以S����、J����、參考字符串、密鑰為參數(shù)生成認證密鑰,如果還有其他元素,其他元素也作為參數(shù)�����;(6)客戶端傳送認證密鑰到服務(wù)端�����,服務(wù)端對比認證密鑰與授權(quán)密鑰����,完成認證。
3.根據(jù)權(quán)利要求1所述(b)��,其算法過程為(I)交換或預(yù)設(shè)密碼本�����;(2)對要傳送的信息做基類加密算法加密得到B ; (3)讀取B的長度L,使用隨機函數(shù)生成一段長度為4L的字符串X�����,同時生成隨機數(shù)K ; (4)對密碼本查找第K個字節(jié)��,讀取內(nèi)容���,并轉(zhuǎn)換成ASII碼對應(yīng)的十進制數(shù)P,然后對P進行除以2取余����,決定(5)是做減法還是做加法;(5)生成Z��,長度為1/2L��,對B的第一個字節(jié)按照(4)的結(jié)果進行加減操作得到結(jié)果Q�����,同時記錄到Z是否有溢出����;(6)對P進行除以32取余操作����,得到結(jié)果T�����,取X的第一到第四字節(jié)���,數(shù)到第T位����,然后將Q從第T位開始復(fù)制�����;(7)判斷是否變碼完成�����,如果完成則結(jié)束�,沒有完成則K變成K+1回到第(4)步。
4.根據(jù)權(quán)利要求1所述的(c)其特征為基于虛擬化技術(shù)的通道技術(shù)����、用于客戶端擴展的通道復(fù)用技術(shù)�、用于臨時資源分配的通道橋接技術(shù)用于特殊場合的隱藏通道技術(shù)�����。
【文檔編號】H04W12/02GK104010301SQ201410263419
【公開日】2014年8月27日 申請日期:2014年6月13日 優(yōu)先權(quán)日:2014年6月13日
【發(fā)明者】曾憲釗 申請人:曾憲釗