一种高隐秘且抗溯源的通信方法技术

本发明专利技术公开了一种高隐秘且抗溯源的通信方法。本方法为：1)通信源端和目的端分别从一个预先指定的随机数发生源获得一相同的随机数，然后分别根据该随机数计算生成一中转地址，通信源端和目的端分别生成或保存一相同的密钥；2)通信源端将利用该密钥对待发送信息加密后的密文上传到一网站，并将该密文在该网站的访问地址指定为该中转地址；3)通信目的端从该网站的该访问地址获取该密文，并利用该密钥对其解密。本发明专利技术极大地保护了通信双方身份，提高了通信安全性。

High secret and anti tracing communication method

The invention discloses a communication method with high secrecy and anti traceability. The method is as follows: 1) communication source and destination respectively obtain a random number is the same as the random number generator of a pre specified, then according to the random number to calculate the transit communication address, source and destination respectively generate or save the same key; 2) through the source end will use the key to send encrypted ciphertext information uploaded to a website, and the ciphertext in the website access address specified for the transfer destination communication address; 3) to obtain the ciphertext from the site of the access address, and uses the key to decrypt it. The invention greatly protects the identity of both sides of the communication and improves the security of the communication.

【技术实现步骤摘要】
一种高隐秘且抗溯源的通信方法
本专利技术属于通信
，涉及一种通信方法，尤其涉及一种高隐秘且抗溯源的通信方法。
技术介绍
伴随互联网在生产生活中的广泛使用，网络窃密活动也愈发猖獗，给政治、军事、经济、科研等领域的活动带来严重威胁。特别是涉及国家利益的政治、经济、军事、科研活动，不仅需要防范来自网络黑客的恶意攻击和窃密，更需要防范来自其他国家或机构的有计划有组织的攻击与窃密活动。因此，有必要在现有网络架构和通信协议的基础上，提高网络通信的隐秘性，给网络通信各方带来相对安全隐私、不易被第三方察觉的通信环境。这就是隐秘通信技术，该技术基于信息隐藏技术，将机密信息嵌入到普通载体信息中，并通过公开信道，特别是互联网进行传递。隐秘通信不仅要求通信行为的隐蔽性和鲁棒性，还要求具备较强的抗溯源性，能保证通信信道和通信主体都不会被攻击者追踪和发现。20世纪90年代中期以来，人们对隐秘通信技术进行了大量研究，不仅发表了大量论文，还出现了一批商业软件。随着隐秘通信技术的蓬勃发展，国内外知名的安全公司，如Fireeye、Mandiant、瀚海源、安天等纷纷提出了自己的防御与检测隐秘通信的方案。综合分析这些解决方案可以发现，虽然现有的隐秘通信技术难于检测，但与其相关的命令与控制网络流量在时间维度上却相对容易在网络层被发现，深入的日志分析和比对有助于检测隐秘通信行为。尽管要从正常流量中分离出异常流量有一定难度，但各个安全公司已经提出自己的流量分析与日志比对解决方案，自动化的发现异常流量，并交给安全专家进行分析。因此，有必要研究新型隐秘通信协议，该协议不但具有较高的隐秘性，能抵御现代基于大数据流量分析和日志分析的异常检测系统；还能具备抗溯源性，最大程度保护通信双方的身份安全，即需要做到即使通信源端和通信链路被控制，也能确保目的端的身份安全，反之亦然。目前针对隐秘通信协议的技术在僵尸网络领域应用较多。控制命令服务器(英语：ControlandCommandServer，简称：C&C服务器)，一般是指挥控制僵尸网络(简称botnet)的主控服务器，用来和僵尸网络的每个感染了恶意软件(简称malware)的宿主机进行通讯并指挥它们的攻击行为。C&C控制服务的攻防要点在于，僵尸网络所有者能否欺骗检测者并成功隐藏C&C服务：如果检测者侦测到了隐藏的C&C服务，通过一些技术(封禁域名和IP等)或者非技术手段(汇报给安全应急中心等)切断malware和C&C之间的联系，就可以有效的摧毁botnet。C&C服务器需要谨慎的选择通信方法，现有的C&C通信方法总结如下：(1)硬编码IP。容易被逆向和检测，而且不能有效隐藏所有者身份和C&C服务(2)单一C&C域名。同样容易被逆向发现，而且新的C&C域名会在DNS数据的异常检测里面形成一些特定的模式，通过数据做威胁感知的厂商很容易侦测到这些新出现的奇怪域名，并且通过IP和其他网络特征判定这是可疑C&C域名。(3)Fastflux、Doubleflux和Tripleflux技术。能有效对抗逆向，但是由于域名对IP的记录转换太快，导致域名TTL等网络特征可以很容易被机器学习算法利用来判别此类僵尸网络。(4)随机DGA算法。这是现在高级C&C方法的主流，它的基本设计思想是，绝不把域名字符串放到malware代码里，而是写入一个确定随机算法计算出来按照一个约定的随机数种子计算出一系列候选域名。攻击者通过同样的算法和约定的种子算出来同样列表，并注册其中的一个到多个域名。这样malware并不需要在代码里写入任何字符串，而只是要遵守这个约定就好。这个方法厉害在于，这个随机数种子的约定可以不通过通讯完成，比如当天的日期，比如当天twitter头条等。这种方法在密码学里称之为puzzlechallenge，也就是控制端和被控端提前约定好一个数学问题，该问题有很多答案，控制端选一个，被控端都给算出来，只要有一个答案正确就算回答成功。该方案能有效地对抗逆向技术，但是安全研究人员可以正好利用DGA算法生成的域名的随机性，通过机器学习算法来对其进行检测，检测方法和第三类类似。(5)高级变形DGA：如果DGA看起来不随机基于DGA侦测的多数办法利用DGA的随机性，所以现在高级的DGA一般都用字典组合，比如ObamaPresident123.info等等看起来远不如cqaqofiwtfrbjegt.info可疑，攻击者利用这种方法对付威胁感知和机器学习方法的侦测。最近的一个例子出现在Cisco的一篇blog，里面提到的DGA就是一个很小的硬编码在代码里字典文件，通过单词的组合生成C&C域名。这些字典组合的DGA看起来并不随机，多数论文和blog里针对随机DGA机器学习的办法就不管用了。对于这种DGA暂时并没有成熟有效的侦测方法，因为字典是未知的，可以是英语词汇，可以是人名，可以是任何语言里的单词。常用的方法还是基于随机DGA里面用到过的n-gram方法，比如用已知的DGA的n-gram分布判断未知DGA，同时结合其它的特征比如解析的IP等等，或者利用DGA频繁查询的特性用n-gram特征作聚类。相关论文关键词为“AlgorithmicallyGeneratedDomains”。(7)利用Twitter、Reddit等论坛：难度低，被抓看运气这种方案本质是将私设的C&C服务器迁移到了公开的大型网站。比如在Twitter发一条在特定冷门话题下的包含C&C指令的tweet，或者Reddit上面找个十分冷门的subreddit发个包含控制指令的贴，这样即使被运营商或者安全研究小组发现了，也无法查封Twitter和Reddit。2015年被捕获的名为Mac.BackDoor.iWorm的恶意软件就是利用Reddit做C&C控制服务器。该恶意软件会通过Reddit网站搜索一个特定字符串，该字符串是当天日期MD5值的前八个字节的十六进制值。返回结果都是恶意软件所有者通过某特定账号vtnhiaovyd上传的真实C&C服务器列表，恶意软件下载这些列表凭随机选取一个读取控制指令。综上所述，现有隐秘通信协议大都存在一些缺点，总结如下：(1)现有隐秘通信协议大都需要自建服务器中转或者源端和目的端直接通信，这导致一旦该服务器被控制，不但通信过程会被阻断，还会造成通信源端和目的端被溯源。需要研究并提出具有高抗溯源性的通信协议。(2)现有隐秘通信协议即使有加密，其加密密钥也只能通过硬编码的方式写在代码中。即使采用通信前的密钥交换协议，交换的过程本身就可能导致新的安全问题。这样的设计导致攻击者通过逆向就能提取其加密密钥，即使是RSA等非对称加密算法，在长时间的已知密文攻击或者已知明文攻击中也会不安全。因此，需要研究“一次一密”级的安全通信协议。(3)现有隐秘通信协议大都需要通信源端和目的端同时上线，发送延迟很短，这导致攻击者通过监控通信链路日志挖掘流量的时空相关性，容易发现某些IP之间总会在固定时间通信。有必要研究异步通信的隐秘通信协议，切断时空相关性，增强抗检测能力。
技术实现思路
针对现有技术中存在的技术问题，本发本文档来自技高网...

【技术保护点】
一种高隐秘且抗溯源的通信方法，其步骤为：1)通信源端和目的端分别从一个预先指定的随机数发生源获得一相同的随机数，然后分别根据该随机数计算生成一中转地址，通信源端和目的端分别生成或保存一相同的密钥；2)通信源端将利用该密钥对待发送信息加密后的密文上传到一网站，并将该密文在该网站的访问地址指定为该中转地址；3)通信目的端从该网站的该访问地址获取该密文，并利用该密钥对其解密。

【技术特征摘要】
1.一种高隐秘且抗溯源的通信方法，其步骤为：1)通信源端和目的端分别从一个预先指定的随机数发生源获得一相同的随机数，然后分别根据该随机数计算生成一中转地址，通信源端和目的端分别生成或保存一相同的密钥；2)通信源端将利用该密钥对待发送信息加密后的密文上传到一网站，并将该密文在该网站的访问地址指定为该中转地址；3)通信目的端从该网站的该访问地址获取该密文，并利用该密钥对其解密。2.如权利要求1所述的方法，其特征在于，生成该中转地址的方法为：将该随机数和一设定字符串拼接起来送入单向摘要函数，生成该中转地址。3.如权利要求1或2所述的方法，其特征在于，通信源端和目的端分别根据该中转地址生成该密钥。4.如权利要求3所述的方法，其特征在于，该密钥为对该中转地址...

【专利技术属性】
技术研发人员：方喆君，寇鹏，何跃鹰，卓子寒，刘中金，董建武，摆亮，张晓明，王进，张宏稷，
申请(专利权)人：国家计算机网络与信息安全管理中心，上海通用识别技术研究所，
类型：发明
国别省市：北京,11