本发明专利技术公开了一种密钥真随机变化的复合型高安全IP保密通信方法,包括IP加密处理装置和IP解密处理装置,IP加密处理装置包括依次连接的量子真随机数发生器模块、哈希运算模块、全IP格式隐藏加密模块和隧道传输奇偶分割模块,隧道传输奇偶分割模块分别与两个分组加密隧道封装模块连接;所述IP解密处理装置包括两个隧道解封分组解密模块、隧道接收奇偶合路模块、全IP格式隐藏解密模块和哈希运算模块。本发明专利技术能够在公共互联网上以低成本代价建立高安全的保密通信IP网络,能够抵御现有的各种密码分析破译技术的攻击威胁,并且能够非常有效地对抗具有强大运算能力的高性能计算机的破译分析攻击,可用于各种具有高安全需求的保密通信。
A Composite High Security IP Secure Communication Method with Truly Random Key Change
【技术实现步骤摘要】
密钥真随机变化的复合型高安全IP保密通信方法
本专利技术涉及一种密钥真随机变化的复合型高安全IP保密通信方法。
技术介绍
目前,量子计算、神经网络计算等高性能计算技术发展迅速,将为密码分析破译技术提供加速运算的途径。高性能计算与密码分析技术的结合使用将对现有保密通信系统形成严重的安全挑战。在现有的公共互联网中,各种网络设备总是存在一些安全漏洞,容易被敌手通过网络攻击手段植入监听木马,很容易获取IP子网之间的通信数据。而且即使IP子网之间基于专用的光缆直接连接,光纤中传输的光信号也容易被监听,通过信号解码恢复出IP报文数据。在现有的IP保密通信网络中,IP加密采用人工预置的或由密钥分发协议动态分配的密钥,在下一次密钥更换之前使用的是同一个固定不变的密钥,高速保密通信系统在此期间将产生大量的相同密钥的明-密文对,并且在一次加密运算过程中加密算法的输入数据也是固定不变的,在密钥和输入的明文数据都相同的情况下,加密所产生的密文是固定相同的,从而给予敌手利用明-密文对照的密码分析技术实施破译的机会。
技术实现思路
为了克服现有技术的上述缺点,本专利技术提出了一种密钥真随机变化的复合型高安全IP保密通信方法,将密钥真随机变化机制嵌入到IP报文的加密过程中,使保密通信系统的链路传输加密的输入随机化,并且使其加密输出的密文流也呈现出更高的随机特性,将极大地提升现有保密通信系统的安全性,能够非常有效地对抗基于高性能计算机强大算力的密码分析破译攻击。本专利技术解决其技术问题所采用的技术方案是:一种密钥真随机变化的复合型高安全IP保密通信方法,包括IP加密处理装置和IP解密处理装置,其中:所述IP加密处理装置包括依次连接的量子真随机数发生器模块、哈希运算模块、全IP格式隐藏加密模块和隧道传输奇偶分割模块,所述隧道传输奇偶分割模块分别与两个分组加密隧道封装模块连接;所述IP解密处理装置包括两个隧道解封分组解密模块、隧道接收奇偶合路模块、全IP格式隐藏解密模块和哈希运算模块,其中两个隧道解封分组解密模块均与隧道接收奇偶合路模块连接,所述隧道接收奇偶合路模块和哈希运算模块分别与全IP格式隐藏解密模块连接。与现有技术相比,本专利技术的积极效果是:在现有的公共互联网中,各种网络设备总是存在一些安全漏洞,容易被敌手通过网络攻击手段植入监听木马,很容易获取IP子网之间的通信数据。本专利技术设计的密钥真随机变化的复合型高安全IP保密通信方法,采取密钥真随机变化的全IP格式隐藏加密、加密隧道传输载荷奇偶分割以及链路传输分组加密三种通信保护机制,即使IP加密处理装置的输入为连续相同的明文IP报文,其输出的IP密态报文的载荷也会呈现出随机变化的特性,使得敌手很难通过监听通信数据内容分析破译获得IP明文内容。本专利技术设计的密钥真随机变化的复合型高安全IP保密通信方法,能够在公共互联网上以低成本代价建立高安全的保密通信IP网络,能够抵御现有的各种密码分析破译技术的攻击威胁,并且能够非常有效地对抗具有强大运算能力的高性能计算机的破译分析攻击,既可用于具有极高安全需求的机密通信,也可用于具有较高安全需求的商用保密通信。附图说明本专利技术将通过例子并参照附图的方式说明,其中:图1为本专利技术方法的实现架构。图2为IP加密隧道传输报文格式。具体实施方式本专利技术提出的这种密钥真随机变化的复合型高安全IP保密通信方法中,IP加密机针对要传输的每个明文IP分组,首先以实时产生的量子真随机数据与密钥分发协议动态分发的密钥串接并执行哈希运算形成格式隐藏加密密钥,对包括IP头在内的整个报文采用全IP格式隐藏加密形成一个格式隐藏的数据块;然后将格式隐藏数据块与量子真随机数据串接在一起形成一个IP加密隧道载荷数据块,再以字节奇偶分割的方式分别形成两个随机化数据块;最后,这两个随机化数据块经过链路传输分组加密算法加密后,分别将这两个分组加密数据块重新封装为标准的IPSec报文(即IP密态报文),经由公共互联网传输到目的IP密码设备。由于在本专利技术提出的这种密钥真随机变化的复合型高安全IP保密通信方法中,即使连续传输完全相同的明文IP报文,由于其隐藏格式的加密密钥具有真随机变化的特性,经过隐藏格式加密后,则其传输链路的分组加密的输入将具有随机变化的特性,并且链路传输加密输出的密文流也将呈现出更强的随机化特性,将使得已有的基于明-密文对照的所有密码分析攻击方法都无法奏效。敌手若要分析破译这种复合型的保密通信系统,必须在三重密钥空间实施穷举搜索的分组解密运算,无论是在计算量还是需要的存储空间量,在工程实现上都是不可行的。本专利技术提出的方法具有对抗敌手运用网络监听和高性能计算实施破译分析攻击的能力。因而采取本专利技术提供的技术,能够基于公共互联网建立高安全的保密通信网络。以下将结合附图对本专利技术方法详细说明如下:(一)密钥真随机变化的复合型高安全IP保密通信方法的技术框架本专利技术提出密钥真随机变化的复合型高安全IP保密通信方法,其设计理念是以密钥真随机变化的IP格式隐藏加密机制为核心,并以奇偶分割链路传输分组加密来增强其安全完备性。对于每个明文IP报文,分别实施了密钥真随机变化的全IP格式隐藏加密、加密隧道传输载荷的奇偶分割、链路传输分组加密三种传输保护机制。本专利技术不涉及IP加密机之间的动态密钥协商、IP密码机之间的IPSec报文封装以及分组加密的具体实现。链路传输加密使用的分组加密密钥(k1、k2)、全IP格式隐藏加密使用的动态密钥(k3)、量子真随机数掩盖密钥k4由动态密钥分发协议协商产生,这4个密钥彼此不相关,要求不能通过彼此派生推算获得。1、密钥真随机变化的复合型高安全IP保密通信方法的实现架构设计本专利技术提出的密钥真随机变化的复合型高安全IP保密通信方法中,其保密通信实现架构设计如图1所示。IP加密处理功能主要由量子真随机数发生器模块、哈希运算模块、全IP格式隐藏加密模块、隧道传输奇偶分割模块、两个分组加密隧道封装模块共6个模块组成。IP解密处理主要由两个隧道解封分组解密模块、隧道接收奇偶合路模块、全IP格式隐藏解密模块、哈希运算模块共5个模块组成。在本专利技术提出的密钥真随机变化的复合型高安全IP保密通信方法中,将要经过公共互联网传输的IP报文,首先从量子真随机数发生器实时获取与加密密钥相同长度的真随机数据,与动态协商的密钥串接并执行哈希运算,形成真随机变化的格式隐藏加密密钥;然后,基于格式隐藏加密密钥对整个IP报文实施格式隐藏加密,并将加密结果与经过异或掩盖加密的真随机数据串接在一起,形成IP加密隧道载荷数据块;最后,针对IP加密隧道载荷数据块逐字节进行奇偶分割运算,获得两个内容随机化数据块,分别经过分组算法加密后,重新封装为一个IP密态报文。这两个IP密态报文的ID序号分别以奇偶递增的方式产生,且差值为1。2、格式隐藏加密密钥真随机变化与分组加密结合极大地提高了抗密码分析破译的能力本专利技术提出的密钥真随机变化的复合型高安全IP保密通信方法,其核心思想是将实时产生的量子真随机数作为IP格式隐藏加密的密钥变化因素,使格式隐藏算法的加密密钥真随机化,使链路传输分组加密的输入数据流也具有随机变化的特性,使链路传输分组加密的输出密文流具有更强的随机性。由于链路传输分组加密算法的输入与输出都是随机化的密态数据流,其输入本文档来自技高网...
【技术保护点】
1.一种密钥真随机变化的复合型高安全IP保密通信方法,其特征在于:包括IP加密处理装置和IP解密处理装置,其中:所述IP加密处理装置包括依次连接的量子真随机数发生器模块、哈希运算模块、全IP格式隐藏加密模块和隧道传输奇偶分割模块,所述隧道传输奇偶分割模块分别与两个分组加密隧道封装模块连接;所述IP解密处理装置包括两个隧道解封分组解密模块、隧道接收奇偶合路模块、全IP格式隐藏解密模块和哈希运算模块,其中两个隧道解封分组解密模块均与隧道接收奇偶合路模块连接,所述隧道接收奇偶合路模块和哈希运算模块分别与全IP格式隐藏解密模块连接。
【技术特征摘要】
1.一种密钥真随机变化的复合型高安全IP保密通信方法,其特征在于:包括IP加密处理装置和IP解密处理装置,其中:所述IP加密处理装置包括依次连接的量子真随机数发生器模块、哈希运算模块、全IP格式隐藏加密模块和隧道传输奇偶分割模块,所述隧道传输奇偶分割模块分别与两个分组加密隧道封装模块连接;所述IP解密处理装置包括两个隧道解封分组解密模块、隧道接收奇偶合路模块、全IP格式隐藏解密模块和哈希运算模块,其中两个隧道解封分组解密模块均与隧道接收奇偶合路模块连接,所述隧道接收奇偶合路模块和哈希运算模块分别与全IP格式隐藏解密模块连接。2.根据权利要求1所述的密钥真随机变化的复合型高安全IP保密通信方法,其特征在于:将实时获取的量子真随机数据块与动态加密密钥k3串接并执行哈希运算,形成真随机变化的格式隐藏加密密钥,用于全IP格式隐藏加密;以掩盖密钥k4对实时获取的量子真随机数据块进行异或加密运算,隐藏掩盖链路传输的量子真随机数据块;基于格式隐藏加密密钥对整个IP报文实施格式隐藏加密,并将加密结果与经过异或掩盖加密的真随机数据块串接在一起,形成IP加密隧道载荷数据块;针对IP加密隧道载荷数据块逐字节进行奇偶分割运算,获得两个随机数据块,分别以密钥k1和k2经分组算法加密后,各自重新封装为两个IP密态报文。3.根据权利要求1所述的密钥真随机变化的复合型高安全IP保密通信方法,其特征在于:所述IP加密处理装置对一个明文IP报文执行IP加密时,采取以下处理步骤:第一步、将从量子真随机数发生器实时获取的与动态加密密钥k3长度相同的量子真随机数据块与k3串接并进行哈希运算,形成格式隐藏加密密钥;第二步、基于格式隐藏加密密钥,对包括IP头在内的整个明文IP报文进行格式隐藏的分组加密,形成一个与明文IP报文长度相同的全IP分组加密发送数据块;第三步、将由掩盖密钥k4异或加密运算后的量子真随机数据块串接在...
【专利技术属性】
技术研发人员:李大双,徐兵杰,樊矾,田波,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。