CN102282798A - 一种用于隐藏通信信道中加密的存在的高效带宽的方法和系统 - Google Patents
一种用于隐藏通信信道中加密的存在的高效带宽的方法和系统 Download PDFInfo
- Publication number
- CN102282798A CN102282798A CN2009801546994A CN200980154699A CN102282798A CN 102282798 A CN102282798 A CN 102282798A CN 2009801546994 A CN2009801546994 A CN 2009801546994A CN 200980154699 A CN200980154699 A CN 200980154699A CN 102282798 A CN102282798 A CN 102282798A
- Authority
- CN
- China
- Prior art keywords
- character
- group
- network interface
- data
- index value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/30—Compression, e.g. Merkle-Damgard construction
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
- Facsimile Transmission Control (AREA)
Abstract
本发明提出了一种隐藏通信网络中数据加密的存在的系统、方法和网络接口。通过将一组密钥用为伪随机函数的输入来生成一组字符。每个字符与索引值对应。加密的数据被分成多个部分。每部分又被分成多个组。通过根据对应的索引值来将所述组映射成所述字符组中的字符的方式,对所述多个组中的每个组进行编码。映射后的字符通过通信网络来传输。
Description
技术领域
本发明通常涉及一种用于加密数据的方法与系统,更具体地涉及一种用于隐藏通信信道中数据加密的存在,同时有效地分配带宽的方法与系统。
背景技术
当今,大规模的网络中的业务流(traffic flows)常常遭到考虑不当的基于政策的机制的“调整”。通常,这种基于政策的业务(traffic)调整对加密的业务流是不利的,甚至是对于那些因为没有加密而没有被“调整的”业务流(也是有害的)。
此外,在世界上的一些地区,加密的业务相对于未加密的业务而言,还会遭到更多带有侵入性监察技术的详细检查。事实上,对于,即使加密的业务是“无害的”,也会仅仅因为加密而引来过度的关注。
在现代的互联网的许多位置处,尤其是在靠近网络边界处,业务调整技术已经被设计用来自动检测加密的业务流,并根据本地政策区分对待这些业务流。这类区别对待实际上可包括丢弃该业务或者将该业务放到极低优先级的“服务质量”队列中。
除固定报头信息之外,加密的业务还具有难以从同等长度的强伪随机序列中区分出来的独特的统计学特性。但是,如果该提及的加密的业务的时间跨度足够长,非常均匀的比特(或八位组)分布就会出现,这通常会使得该业务可从非加密的业务中区分出来。正是利用这一特性,才让业务调整硬件得以识别出加密的业务流,并在这些流量上应用“政策”。与加密的业务流相比,未加密的业务流具有完全不同的比特(八位组)统计分布。
可对业务进行一些测试来确定该业务是否具有加密的业务的统计学特性。虽然通过这些测试不一定表明存在加密,但所有加密的业务都会通过这些测试。例如,被压缩过的业务流具有难以从那些随机或者加密的业务流中区分出来的长期统计学特性。
一组通用的随机性测试通常可以表明该业务是否被加密。如联邦信息处理标准(“FIPS”)140-2中描述的那组测试,通常只需要4K字节的业务流,就能可靠地将看起来随机的业务流从看起来非随机的业务流中区分出来。
类似地,经过更长时间跨度,试图用众多压缩函数中的任意一种对业务流的内容进行压缩,这样做可以用来将随机型的业务流从非随机的业务流中区分出来。例如,试图压缩纯随机的业务流也会产生非压缩的情况,或者甚至是尺寸膨胀,这取决于使用的压缩算法。非随机的业务流会趋向于中度到高强度的可压缩。
将信息隐藏术用于隐藏秘密业务已有一些历史了,用这种方式,只有发送者和预定的接收者才知道存在着隐藏的信息。因此,很自然地会想到使用信息隐藏技术来将加密的业务流的随机比特隐藏到一些看起来没有进行统计地加密的信息中。
建议的是,一些群体(some groups)将加密的信息隐藏在诸如因特网上数字图像文件之类无害的对象中,把这些用作低带宽通信技术。现存有多种工具可以通过将音频、视频和图像文件用作信息隐藏术隐藏的信息的“载体”,来有助于隐藏信息的产生。
然而,“传统”信息隐藏技术的带宽利用率(bandwidth efficiency)通常非常低,因为“载体”信息占用了与信息隐藏的对象进行通信的大部分带宽。在使用此技术时,载体信息与隐藏信息的比例只有100∶1或更糟是很常见的。然而,信息隐藏技术的一个好处是,由此产生的数据流具有明显不均匀的八位组统计特性,这也就意味着这些数据流不大可能会被互联网上的自动检测机制识别为是加密的业务流。
还有一种可能是对加密的比特流进行编码,从而让它们看起来像,比如,普通的英文文本。用英文常用字词典来表示加密文本比特的组合的技术在历史上已用于隐藏隐含的加密信息的存在。例如,如果考虑四个比特的组,那么这些组就可用作是短词组英文(或者德文、西班牙文、法文等等)单词的“索引”。用这些单词来代替比特序列,并且当接收者遇到词典中的一个元素时就可简单地查找到相应的比特序列。这项技术在欺骗(fooling)自动随机性检测时相当有效,尤其当这种检测无法检测比特到英文的替换映射时或者当这种映射很大时相当有效。
随着隐藏加密的业务流的编码系统的发展,当需要重点考虑带宽使用效率的时候,问题就出现了。例如,上文描述的系统需要大量的费用来表示4比特的“真实”信息。一般而言,为了表示这4比特的真实信息,就需要传输40到50比特数据。
很多现存的编码技术,如电子邮件的ASCII转换等等,是用来将二进制数据转换成适合于强约束条件的信道的编码。这些编码相对来说具有较好的带宽利用率(bandwidth-efficient),会产生30%的额外带宽占用。现在互联网上很多协议使用Base64编码的一些变种,Base64编码将24比特的输入数据转换成32比特的输出数据,该输出数据在输出字母表上具有强约束条件。然而,在目前的自动识别机制下,基于Base64的编码很容易识别,这就意味着编码结果很容易被解码,然后对解码所得的比特流结果执行随机性分析。
降低加密的业务流的可检测性的关键是降低加密的业务流的信息密度。加密的数据流看起来(appears to)是强伪随机序列,这就意味着它具有最大的信息密度,或者说最小的信息冗余。任何能降低每个被传输的比特所承载的信息量的技术也就能降低由此产生的业务流被检测为强伪随机序列的可能性,从而减少其被检测为加密的业务流的可能性。
如Base64这样的标准编码减少了每个被传输的比特所承载的信息。但由于Base64太容易被识别,所以它能够被解码,然后对由此产生的比特序列执行随机性分析。所以需要这样一种编码的系统和方法,它在降低业务流的信息密度的同时,还能降低检测该编码方案的可能性,从而该业务不被检测为是加密的,并且也通过编码方案的检测来对该业务进行分析。
发明内容
本发明有利地提供了一种方法及系统,该方法及系统用于隐藏通信网络中数据被加密的业务的存在,从而使该业务不被识别为是加密的,并且也不基于编码方案的检测来对该业务进行分析。一般说来,进一步根据Base64编码方案对加密的数据进行编码,该编码方案用到的字母组是根据一组加密密钥伪随机生成的。有利地,编码用的字母表实际上是未知的。
根据本发明的一个方面,提出一种隐藏通信网络中数据加密的存在的方法。通过将一组加密密钥用作伪随机序列函数的输入来生成一组字符。每个字符与索引值对应。加密的数据被分成多个部分。每部分又被划分为多个组,且通过根据对应的索引值将每组数据映射到上述字符组中的字符的方式来被编码。被映射的字符通过通信网络来进行传输。
根据本发明的另一方面,一种用于隐藏数据加密的存在的网络接口,包括控制器和通信接口。通信接口被通信地连接到控制器。通过将一组加密密钥用为伪随机序列函数的输入,控制器可操作来生成一组字符,每个字符与索引值对应。控制器进一步可操作来将加密的数据分成多个部分,并将每部分分成多个组,并且通过根据对应的索引值将多个组中的每个组映射到上述字符组中的字符的方式,对每部分进行编码。通信接口还可操作来通过通信网络来传输映射的字符。
还根据本发明的另一方面,隐藏通信网中数据加密的存在的系统,包括第一网络接口和第二网络接口。通过将一组加密密钥用作伪随机序列函数的输入,第一网络接口可操作来生成一组字母表字符,每个字符元素与索引值对应。第一个网络接口进一步可操作来将加密数据分成多个部分,并将每部分分成多组,并且通过根据对应的索引值将多个组中的每个组映射到上述字符组中的字符的方式来被编码。第一网络接口通过通信网络来传输映射的字符。第二网络接口可操作来接收加密的数据信息。加密的数据信息包括映射的字符。第二网络接口可操作来将加密的数据信息分成多组字符,将每个字符映射成其对应的索引值来再现所述多个部分,并且对多个部分的每部分进行解密。
附图说明
参照以下的详细描述和附件中的图表,更容易完全理解本发明,从而更完全理解其优势特点。
图1是根据本发明原理构造的典型数据加密隐藏系统的方框图。
图2是根据本发明原理构造的典型数据编码器的方框图。
图3是根据本发明原理的典型数据加密隐藏处理的流程图。
图4是根据本发明原理的数据加密隐藏中存在的典型译码处理的流程图。
具体实施方式
在详细描述根据本发明的典型实施例之前,需要注意的是,本发明实施例主要涉及设备组件及处理步骤的结合,其中处理步骤与一种用于实现弱化通信信道中数据加密特性且同时高效利用信道带宽的系统及方法有关。相应地,该系统及方法组件在适当的位置通过附图中的常规符号表示。为了使对本领域的普通技术人员来说明显具有在本文中描述的益处的细节公开清楚,只显示了那些对恰当理解本发明的实施例有关的具体细节。
在这里,诸如“第一”、“第二”,“顶部”、“底部”之类的相关术语,仅仅是用来将一个实体或者元件与另一个实体或者元件区别开来,而不一定要求或暗指这些实体或者元件之间任何物理或逻辑关系或者顺序。相应地,如这里及所附权利要求中使用的,术语“Zigbee”,指的是一组由IEEE802.15.4标准定义的无线通信上层协议。还有,“Wi-Fi”指的是由IEEE802.11标准。术语“WiMAX”指由IEEE802.16标准定义的通信协议。“BLUETOOTH”指由蓝牙技术联盟开发的,用于无线个人区域网(“PAN”)通信的工业规范。
本发明的一个实施例有利地提供了一种系统和方法,该系统和方法用于对加密的数据流进行编码这样的方式来避免包括FIPS 140-2随机检测的各种类型随机检测的自动识别。另一个实施例在于针对一些已知的攻击方法对编码方式进行了强化,这包括使用变量模糊编码机制。
现在参看附图,附图中相同的引用指示符表示相同的元件。图1中所示的是典型数据加密隐藏系统10。系统10包括通过广域网(“WAN”)16与第二客户端计算机14通信的第一客户端计算机12。广域网16可以包括因特网、局域网或者其他通信网络。客户端计算机12,14可以包括个人计算机、笔记本、个人数字助理(“PDA”)、服务器、手机等等。每个客户端计算机12,14通过WAN接口18a,18b(这两个接口总称为WAN接口18)在WAN16上传输数据。尽管图1中的通信网络被标为WAN,但是本发明的原理还可以应用于其他形式的通信网络,如个人区域网(“PAN”),本地局域网(“LAN”),校园网(“CAN”),市域网(“MAN’)等等。此外,尽管图1中只示出两个客户端计算机,但这种设置仅仅是为了示范。比如,系统10可以包括多个WAN接口18。WAN接口18能与各种类型的客户端设置通信,比如路由器,交换机等等。再有,WAN接口18可以是一个单独的设备,也可以被嵌入来作为其他资源设备中的一部分,比如客户端计算机12,14。
每个WAN接口18根据一个或者多个已知的加密方式对来自客户端计算机12,14的数据进行加密。WAN接口18包括下面讨论的加密隐藏器,该加密隐藏器的作用是通过使用具有随机生成字母表的Base64编码方案,而不是通过使用通常涉及单个已知字母表的使用的标准Base64编码来对加密的数据进行编码,从而隐藏数据已被加密的事实(fact)。每一个WAN接口18同时也具有反向功能,凭借该反向功能,WAN接口18可通过WAN16来接收Base64编码的和加密的数据帧,然后用随机生成的字母表对这些数据帧进行解码和解密,从而匹配最初从客户端计算机12,14发出的数据。尽管图1中的每个WAN接口18都被示出连结到一台客户端计算机12,14,但是根据本发明原理构建的典型WAN接口18可以支持多台客户端计算机12,14,这种实现方式并不超出本发明的范围。
现在参考图2,典型的WAN接口18包括通信地连接到控制器22的通信接口20。通信接口20可以是有线的、无线的或者它们的任何组合。通信接口20在WAN接口18与其它广域网16资源之间使用已知的通信协议,如以太网,Wi-Fi,WiMAX,BLUETOOTH等,来传输数据包。通信接口可以包括任何数量的通信端口。
控制器22控制信息处理和WAN接口18的操作来实现这里描述的功能。控制器22还与非易失性存储器24连接。非易失性存储器24包括数据存储器26和程序存储器28。程序存储器28包含加密隐藏器30,用来隐藏数据已被加密的事实,以免被连接到WAN16上的其他实体自动检测出来,该操作会在下面详细讨论。加密隐藏器30包括字母表生成器32和Base64编码器34,字母表生成器32能从标准的256个合适ASCII字符中随机生成64个字符的Base64字母表组,Base64编码器34根据使用生成的Base64字母表的Base64编码方案来对加密的数据进行编码。数据存储器26存储数据文件,比如查询表36和一组加密密钥38,查询表36可使得Base64字母表组与对应的ASCII字符集相互关联,加密密钥38会在传输任何用户数据之前,在WAN接口18与诸如客户端计算机14之类的目标资源之间传递。
除上述应该注意到的结构外,每个WAN接口18还可能包括需要实现WAN接口18的其它功能的额外的、可选的结构(未在图上显示)。
在使用Base64编码方式时,通常使用单个标准的字母表来将输入的三段八位组转换成输出的四段八位组,这样做的一个偶然的副作用就是有效地降低了信息密度。这些编码就被设计通过不能传输上述数据的“信道”来获得任意二进制数据。RFC-822电邮就是这种信道的一个例子。
在Base64方案中,需要从所有合适的ASCII字符集中选择一个含有64个可打印字符的集合来作为“编码字母表”。编码字母表有一些变种,但其中只有一到两种比较常用。对编码二进制数据(或者加密数据、随机数据)来说,重要的是考虑与选择合适的字母表相关的组合数学(combinatorics)。等式(1)给出了从一个由256个字符(8比特的ASCII或UTF-8)组成的域中选出64个字符的字母表可能的总数:
P=K!/n!(K!-n!), (1)
其中K是备选八位组的总数,例如256,n是选出的字符集包含的元素个数,例如64。
如果已知上述参数,那么从256个合适的字节值组成的域中选出64个字符组成字母表,共有大约1061种选法。如果从信息论的视角考虑编码方案,由此产生的编码是否能产生纯可打印的ASCII字符完全不重要。重要的是由此产生的编码降低了由此产生的业务流中的信息密度。任何一种将24比特三段数据扩展成32比特四段的编码,对于降低由此产生的流中的信息密度来说都足够了。
在实施本发明的时候,让人迷惑的是创建小数量的字母表,可能小到只有一个非Base64字母表元素的成员,然后用这样的字母表对加密的业务流进行编码。但任何这样的方案的问题立刻就会突显出来:单个的,固定的字母表和Base64编码方案一样容易被“对手”解码。必须假定“对手”知道这种编码方案所用的字母表,并进而如上所述像处理Base64编码的方式那样对它们进行处理。
因此,本发明的实施例字母表34是动态选择的,例如,在生成一个长加密的业务流期间,使用静态字母表的流会有更高的可检测性。此外,大多数加密通信会话在创建之初就会建立密钥材料,如密钥38,以便为下面的加密“封包”过程提供共享的加密和完整密钥。因为加密的信道一旦建立,密钥38会被通信双方共享,所以一些密钥材料会被用来帮助选择动态编码字母表34。
现在参考图3,图中展示了一个操作流程图示例,该操作流程图描述了加密隐藏器30隐藏数据加密的存在而执行的示范步骤。该流程始于WAN接口18判定加密的数据可以传输时(步骤S102)。加密的数据可以加密或未经加密的形式来从客户端计算机12处接收。在接下来的例子中,WAN接口18可根据已知的加密方法对数据进行加密。
WAN接口18通过通信接口20初始化与目标设备进行安全通信会话(步骤S104)。作为安全通信会话初始化的一部分,WAN接口18要与目标设备交换密钥材料(步骤S106),例如,加密密钥38。加密密钥38被用来产生从更宽泛的、256个元素的域中,比如ASCII字符的全集中,挑选出来的64个元素的单个伪随机选取的字母表(步骤S108)。
任何强大的随机数生成器都能被用来生成共享的编码字母表,但为了提高通用性,就是使用标准的、强加密的伪随机函数,以便通信双方获得相同的加密字母表。标准请求注解(“RFC”)4615中描述了一种合适的算法,在该算法中,伪随机函数(“PRF”)的输出是PRF下一次调用(nextcall)的链式变量,并且需要的密钥K是从会话初始化时的共享密钥材料中取得的。表1中给出了伪代码的例子。
表1
根据本发明,为了开始编码,加密数据被分成多个部分,比如以三段八位,即三个8比特为一部分(步骤S110)。输入的三段八位数据被分解成每6比特一组的数据(步骤S112),这些6比特数据被用作选出的64个字母元素的表36中的索引(步骤S114)。对数据的编码是通过将每组的6比特数据作为上述字母表36的索引,将每组的6比特数据映射成对应的字母表中的字符(步骤S116)。经过编码的数据(即,将原来的三段八位数据变成了4个字母表字符)再通过WAN16传输给目标设备(步骤S118)。
图4提供了典型操作流程图,该流程图描述了诸如接收端WAN接口18或者客户端计算机14这些目标设备在接收到根据本发明原理进行过加密隐藏的数据信息时所执行的步骤。图4描述的处理过程很大一部分是图3中的反向操作。如上所述,目标设备与源设备建立起安全通信会话(步骤S118)并交换加密密钥38(步骤S120)。加密密钥38被用来伪随机地生成用于对加密的数据进行编码的Base64字母表组(步骤S122)。所谓的“反向”表就可使用如表2中显示的伪代码来计算。
表2
目标设备接收经过编码的数据(步骤S124),这些数据是由包含在上述伪随机生成的Base64字母表组中的一系列字母表字符组成(步骤S124)。解码时,字母表字符被用作反向表的索引,检索得到6比特的结果(步骤S126)。这一系列6比特的结果被排列为四组,从而再现最初的加密的三段八位数据(步骤S128)。使用已知的加密方案,通过对三段八位数据进行解密来得到原始数据(步骤S130)。
上述技术的效果之一是,在输入的数据可通过(秘密的)字母表给定的单字符替换密码来进行高效地加密,从而使得多加密了一层。这项技术可靠地提供了的编码方案,该方案可提供常常能躲过FIPS 140-2随机性检测的数据。
通过在生成的字母表中加入一些细微偏倚(bias),可进一步增强冗余性。例如,可以作一些布置,使ASCII码控制字符被选为字母表元素的可能性较低,并且使ASCII码组“ETAOINS”和“etaoins”被选为字母表元素的可能性略有提高。这样在稍微减少合适的字母数量的同时,又能降低信息密度。
进一步提高针对这种编码方案的“攻击”的组合复杂性可通过为输出的四段八位数据并入多个随机选择的字母表。生成三个不同的字母表,并对输出的四段八位数据应用不同的字母表,能阻扰(frustrate)任何用于可靠地识别该方案编码的业务(traffic)的机制。给四段输出数据分配字母表可以是固定的,比如1-2-3-1,也可以是用生成字母表时使用的同一PRF来伪随机地选择。虽然,从信息论的角度而言,这样做并不能对系统有什么改进,但它能增加那些针对本系统的“攻击”的组合复杂性。
如果第三方能够可靠地识别该编码方案编码的加密业务,那么就认为针对该编码方案的攻击是成功的。只考虑那些高效自动化的攻击才有用,因为该编码方案就是设计来防御这些“攻击”的。考虑一个Base64编码方案的例子,“攻击者”需要用足够的深度来对业务流进行测试,从而确保该业务流中只使用了Base64编码的字符,然后对由此产生的业务流进行解码,再对由此产生的比特流进行随机性测试。注意,由于Base64被用来保护多种不同类型的数据,而不仅仅是加密的数据,所以自动化攻击者会将许多Base64解码测试都判定为“非随机”。
一种假设的“攻击”场景是,对手拥有数量庞大的基于该编码方案的所有合适的编码字母表。该“攻击者”需要用他拥有的所有的字母表对业务流作足够深度的测试,才能得出结论说该业务流确实是用其中一个字母表编码的。有利的是,由于该攻击者不能提前断定哪一个字母表会被用来编码某个业务流,所以在典型的因特网场景中,要可靠的区分基于该编码方案编码的业务和其它没有加密的业务仍然非常困难。
所有合适的字母表的数量如之前所述,大约可以达到1061。推荐的PRF产生大约1038种结构后才会出现重复。所以基于该方案产生的合适的字母表数量的上限大约为1038。又由于每个字母表的长度为64字节,存储1038个字母表需要的存储空间过大,在实际中很难具备。
一种更有力的攻击是,如果有人能可靠地检测出用该编码方案编码的业务,但不能可靠地推断出加密数据的存在。如果攻击者首先假设被检数据是用该编码方案编码过的,那么他们就能为输出的四段中的每个八位组提供频率表,并且在对适量的数据进行检测后,对输出的八位组的所有4段查找频率表,在该表中,只有64个对象具有非零计数。为每个业务流提供这样的频率表是有必要的,因为字母表是在业务流开始时生成的。但从攻击者的角度而言有一个问题,那就是Base64及其它24到42比特编码方案也会将必定的错误(necessarily-false)判定为积极的(positive)。由于攻击者只有现在的频率表,而没有映射回6比特的频率表,因此就不能明确地断定该业务被加密了,因为该业务无法被解码。攻击者只能知道每个八位组只有64个值,这显然不是“确凿的证据”,而只是适度的暗示,那就是基于本编码方案编码的隐含数据有可能是加密的数据。
即使存在随机字母表选择,上面讨论的“攻击”也能可靠地检测类Base64编码方案,但使用“模糊”编码方案,将一些输入6比特序列表示成多于1个的输出八位组就能绕开这些攻击。在一种这样的方案中,可在开始通信时随机地选择“模糊”编码的程度,就像在开始通信时随机选定字母表映射一样。对3个字母表中的每个及其对应的逆映射,在字母表中额外增加一定数量的编码点,比如说高达23个,则对应于字母表中高达23个的元素。这样一来,字母表的元素个数就可能是64到87的任何一种。编码时,对6比特采用两种合适的编码中的哪一种进行编码可以随机决定。这个决定的随机性可以任意,但在一个实例中采用了50%的概率。
字母表哪些元素具有“模糊”编码的决定,可以使用随机序列生成器在基本字母表内选择一个偏移量的方式,动态地被设置。使用大约30%的6比特序列被模糊编码的模糊编码方案,可以增强由此产生的加密的业务流对之前描述的使用频率表分析法的检测的抵抗力。
本发明可以用硬件、软件或软件硬件结合的方式来实现。适于执行此处所描述方法的任何类型的计算机系统或其它的设备,都适于执行此处描述的功能。
硬件与软件的典型组合可以是具有一个或多个处理部件和存储在存储器媒介中的计算机程序的计算机系统,该存储器媒介当被下载和执行时可以控制计算机系统以致可以执行这里描述的方法。本发明也可以嵌入在计算机程序产品中,这样的计算机软件产品包括了所有能够实现这里描述的方法的特点,并能在加载进计算机系统后该计算机程序产品能够执行这些方法。存储介质可以是易失性存储器也可以是非易失性存储器。
本申请中提到的计算机程序或应用是指,旨在使具有信息处理能力的系统直接或在进行以下任何一种或两种处理后完成特定功能的,以任何一种语言、代码或符号编写的一组指令的任何表达形式:a)转换成另一种语言、代码或符号;b)以不同材料形式再现。
另外,需要注意的是,除非上面提到过相反的情况,否则所有的附图都不是按照比例的。重要的是,本发明可以被嵌入到其它特定的形式中去,而不偏移本发明的精神和本质属性,因此,相对于前面的说明书而言,需要参考下面的权利要求来表明本发明的范围。
Claims (20)
1.一种隐藏通信网络中数据加密的存在的方法,所述方法包括:
通过将一组加密密钥用作伪随机函数的输入的方式来生成一组字符,每个所述字符与索引值对应;
将加密的数据划分成多个部分;
将每部分划分成多个组;
通过根据对应的索引值将每个组映射为所述字符组中的字符的方式,对每部分进行编码;并且
通过通信网络来传送映射的字符。
2.根据权利要求1所述的方法,其中所述字符组包括64个字符。
3.根据权利要求2所述的方法,其中所述64个字符是伪随机地从256个ASCII字符全集中选出。
4.根据权利要求1所述的方法,还包括偏倚生成所述字符组,使得将ASCII控制字符选为字符组元素的可能性降低。
5.根据权利要求1所述的方法,还包括偏倚生成所述字符组,使得将一组字符选为字符组元素的可能性提高。
6.根据权利要求1所述的方法,其中部分指三段8位组,每组具有6比特。
7.根据权利要求1所述的方法,还包括:
生成多个字符组;并且
用不同的字符组来对连续的部分进行编码。
8.根据权利要求7所述的方法,其中字符组到部分的分配是伪随机选取的。
9.根据权利要求8所述的方法,其中伪随机函数来选择字符组到部分的分配,所述伪随机函数用来生成字符组。
10.根据权利要求1所述的方法,还包括:
接收编码的数据信息,所述编码的数据信息包括所述字符组中的字符;
将所述编码的数据信息分成多组字符;
将每个字符映射成它对应的索引值,以再现多个部分;并且
对所述部分的每部分进行解密。
11.一种隐藏数据加密的存在的网络接口,所述网络接口包括:
控制器,可操作来:
通过将一组加密密钥用作伪随机函数的输入的方式生成一组字符,每个字符与索引值对应;
将加密的数据分成多个部分;
将多个部分的每个部分划分成多个组;并且
通过根据对应的索引值将多个组中的每个组映射成字符组中的字符的方式,对每部分进行编码;并且
通信地连接到控制器的通信接口,所述通信接口可操作来通过通信网络传输映射的字符。
12.根据权利要求11所述的网络接口,其中部分指的是三段八位组,每个组含有六个比特。
13.根据权利要求12所述的网络接口,其中所述64个字符的是从256个ASCII字符全集中伪随机选取的。
14.根据权利要求11所述的网络接口,其中控制器还可操作来偏倚生成字符组,使得ASCII控制字符被选为所述字符组元素的可能性降低。
15.根据权利要求11所述的网络接口,其中控制器还可操作来偏倚生成字符组,使得一组字符被选为所述字符组元素的可能性提高。
16.根据权利要求11所述的网络接口,其中控制器还可操作来:
生成多个字符组;并且
用不同的字符组对连续的部分进行编码。
17.根据权利要求16所述的网络接口,其中字符组到部分的分配是固定的。
18.根据权利要求16所述的网络接口,其中字符组到部分的分配是伪随机地选取的。
19.根据权利要求11所述的网络接口,其中通信接口还可操作来接收编码的数据信息,所述编码的数据信息包括所述字符组中的字符;并且
其中控制器还可操作来:
将编码的数据信息分成多组字符;
将每个字符映射成它对应的索引值,以再现多个部分;并且
对所述多个部分的每个部分进行解密。
20.一种用于隐藏通信网络中数据加密的存在的系统,所述系统包括:
第一网络接口可操作来:
通过将一组加密密钥用作伪随机函数的输入的方式生成一组字母表字符,每个字符与索引值对应;
将加密的数据划分为多个部分;
将每部分划分成多个组;
通过根据对应的索引值将多个组中的每组映射成字符组中的字符的方式,对每部分进行编码;并且
通过网络传输映射的字符;并且
第二个网络接口可操作来:
接收编码的数据信息,该编码的数据信息包括映射的字符;
将编码的数据信息分成多组字符;
将每个字符映射成其对应的索引值,从而再现多个部分;并且
对多个部分的每部分进行解密。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/345,186 US8050404B2 (en) | 2008-12-29 | 2008-12-29 | Bandwidth efficient method and system for obscuring the existence of encryption in a communications channel |
| US12/345,186 | 2008-12-29 | ||
| PCT/CA2009/001763 WO2010075626A1 (en) | 2008-12-29 | 2009-12-03 | Bandwidth efficient method and system for obscuring the existence of encryption in a communications channel |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410226510.0A Division CN104052594A (zh) | 2008-12-29 | 2009-12-03 | 一种用于隐藏通信信道中加密的存在的高效带宽的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102282798A true CN102282798A (zh) | 2011-12-14 |
| CN102282798B CN102282798B (zh) | 2014-07-02 |
Family
ID=42285001
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410226510.0A Pending CN104052594A (zh) | 2008-12-29 | 2009-12-03 | 一种用于隐藏通信信道中加密的存在的高效带宽的方法和系统 |
| CN200980154699.4A Expired - Fee Related CN102282798B (zh) | 2008-12-29 | 2009-12-03 | 一种用于隐藏通信信道中加密的存在的高效带宽的方法和系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410226510.0A Pending CN104052594A (zh) | 2008-12-29 | 2009-12-03 | 一种用于隐藏通信信道中加密的存在的高效带宽的方法和系统 |
Country Status (9)
| Country | Link |
|---|---|
| US (3) | US8050404B2 (zh) |
| EP (1) | EP2382733A4 (zh) |
| JP (2) | JP5630913B2 (zh) |
| KR (1) | KR101255023B1 (zh) |
| CN (2) | CN104052594A (zh) |
| BR (1) | BRPI0923460A2 (zh) |
| CA (1) | CA2745516A1 (zh) |
| RU (1) | RU2497289C2 (zh) |
| WO (1) | WO2010075626A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132079A (zh) * | 2022-08-09 | 2023-05-16 | 马上消费金融股份有限公司 | 数据处理方法及装置 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8345876B1 (en) | 2012-03-06 | 2013-01-01 | Robert Samuel Sinn | Encryption/decryption system and method |
| US20130251147A1 (en) * | 2012-03-24 | 2013-09-26 | Rick Peter Bonatto | Lexicon Cryptogram Generation System For Electronic Messaging |
| US8744078B2 (en) * | 2012-06-05 | 2014-06-03 | Secure Channels Sa | System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths |
| US20140270165A1 (en) * | 2013-03-15 | 2014-09-18 | Alexandre Andre DURAND | Cryptographic system based on reproducible random sequences |
| KR101584220B1 (ko) * | 2014-05-30 | 2016-01-11 | 이니텍(주) | 암호화 데이터 정렬 유지를 위한 인코딩 방법 |
| US9537833B2 (en) * | 2014-12-31 | 2017-01-03 | Google Inc. | Secure host communications |
| CN104699661B (zh) * | 2015-01-29 | 2018-04-10 | 中国科学院信息工程研究所 | 面向Unicode编码文档的隐私码字选择方法及系统 |
| CN104917747B (zh) * | 2015-03-27 | 2018-07-10 | 中国科学技术大学苏州研究院 | 一种隐秘通信方法 |
| RU2643502C2 (ru) * | 2015-12-08 | 2018-02-01 | Вадим Львович Стефанюк | Способ шифрования методом расщепления |
| TWI578187B (zh) * | 2016-03-30 | 2017-04-11 | 新唐科技股份有限公司 | 資料保護方法 |
| JP7143973B2 (ja) * | 2017-08-15 | 2022-09-29 | 公立大学法人会津大学 | 秘密データの隠蔽方法、これを実施するプログラム、及び秘密データ通信システム |
| CN109714743A (zh) * | 2019-02-21 | 2019-05-03 | 广州技象科技有限公司 | 一种蓝牙加密通信方法及蓝牙加密通信系统 |
| CN110933063B (zh) * | 2019-11-25 | 2022-02-18 | 中国联合网络通信集团有限公司 | 数据加密方法、数据解密方法及设备 |
| CN113343269B (zh) * | 2021-06-28 | 2022-09-13 | 迈普通信技术股份有限公司 | 一种加密方法及装置 |
| CZ202220A3 (cs) * | 2022-01-17 | 2023-07-26 | Miroslav Tyrpa | Způsob kódování a dekódování textových a multimediálních zpráv a zařízení k uskutečnění tohoto způsobu |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6445797B1 (en) * | 1998-12-16 | 2002-09-03 | Secure Choice Llc | Method and system for performing secure electronic digital streaming |
| CN1599405A (zh) * | 2004-07-26 | 2005-03-23 | 刘�东 | 以符号的冗余编码携带隐藏信息的文本数字水印技术 |
| US20070064946A1 (en) * | 2005-08-31 | 2007-03-22 | Fujitsu Broad Solution & Consulting Inc. | Computer-readable recording medium recording a character code encryption program, and a character code encryption method |
| US20070150543A1 (en) * | 2002-05-13 | 2007-06-28 | Avery Fong | Verification scheme used for email message containing information about remotely monitored devices |
| CN101009548A (zh) * | 2006-01-24 | 2007-08-01 | 马恒利 | 应用密文图技术对数据进行加密的方法 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4979832A (en) * | 1989-11-01 | 1990-12-25 | Ritter Terry F | Dynamic substitution combiner and extractor |
| US6192129B1 (en) * | 1998-02-04 | 2001-02-20 | International Business Machines Corporation | Method and apparatus for advanced byte-oriented symmetric key block cipher with variable length key and block |
| JP3622046B2 (ja) * | 1998-02-20 | 2005-02-23 | 村田機械株式会社 | 通信端末装置及びプログラム記録媒体 |
| JP2000068999A (ja) * | 1998-08-19 | 2000-03-03 | Toppan Printing Co Ltd | 機密データ配信システム及び方法 |
| JP4595170B2 (ja) * | 2000-07-03 | 2010-12-08 | 沖電気工業株式会社 | データ暗号化方法,画像伝送装置,及び,画像受信装置 |
| JP4470135B2 (ja) * | 2001-01-17 | 2010-06-02 | ネッツエスアイ東洋株式会社 | 擬似乱数生成システム |
| US20020095604A1 (en) * | 2001-01-18 | 2002-07-18 | Hausler Jean-Philippe D. | Encryption system and method |
| US7657487B2 (en) * | 2002-04-05 | 2010-02-02 | Hewlett-Packard Development Company, L.P. | Apparatus and method for providing data storage device security |
| JP2004038385A (ja) * | 2002-07-01 | 2004-02-05 | Ricoh Co Ltd | 情報処理装置、情報処理方法、情報処理プログラム、及び、プリンタ |
| JP2004260556A (ja) * | 2003-02-26 | 2004-09-16 | Mitsubishi Electric Corp | 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法 |
| AU2004300912B2 (en) * | 2003-07-08 | 2010-07-22 | Qualcomm, Incorporated | Method and apparatus for security in a data processing system |
| KR100440037B1 (ko) * | 2003-08-08 | 2004-07-14 | 주식회사 마크애니 | 문서보안 시스템 |
| JP2005141282A (ja) * | 2003-11-04 | 2005-06-02 | Fujitsu Ltd | 文字データの暗号化プログラム |
| US20060072464A1 (en) * | 2004-09-17 | 2006-04-06 | Aaron Jeffrey A | Detection of encrypted packet streams |
| JP4774509B2 (ja) * | 2005-05-13 | 2011-09-14 | 国立大学法人お茶の水女子大学 | 擬似乱数発生システム |
| SG128507A1 (en) * | 2005-06-25 | 2007-01-30 | Krypt Technologies | Encryption system for confidential data transmission |
| JP4546339B2 (ja) * | 2005-06-29 | 2010-09-15 | キヤノン株式会社 | 乱数生成装置及び乱数生成方法 |
| GB0521333D0 (en) * | 2005-10-20 | 2005-11-30 | Mitchell Alan J | Method and apparatus for encrypting, obfuscating and reconstructing datasets or objects |
| US8589688B2 (en) * | 2005-11-04 | 2013-11-19 | Nec Corporation | Message authentication device, message authentication method, message authentication program and storage medium therefor |
| JP2009258141A (ja) * | 2006-06-30 | 2009-11-05 | Kiyoto Yui | 無限乱数発生装置を用いた無限暗号化・復号装置及び無限暗号化装置 |
| JP4453688B2 (ja) * | 2006-08-21 | 2010-04-21 | 村田機械株式会社 | 復号・検証装置、インターネットファクシミリ装置、およびネットワークシステム |
| JP5060119B2 (ja) * | 2006-12-19 | 2012-10-31 | 株式会社富士通ビー・エス・シー | 暗号処理プログラム、暗号処理方法および暗号処理装置 |
| JP4997982B2 (ja) * | 2007-01-16 | 2012-08-15 | ソニー株式会社 | データ処理装置、およびデータ処理方法、並びにコンピュータ・プログラム |
| JP4875526B2 (ja) * | 2007-03-28 | 2012-02-15 | 株式会社ディ・アイ・システム | セキュリティプログラムおよびサーバ |
| TW200943794A (en) * | 2008-04-04 | 2009-10-16 | Nxp Bv | Method for efficient packet framing in a communication network |
| US8077868B2 (en) * | 2008-05-30 | 2011-12-13 | Red Hat, Inc. | Mechanism for transport-safe codings for cryptographic use |
| EP2189925A3 (en) * | 2008-11-25 | 2015-10-14 | SafeNet, Inc. | Database obfuscation system and method |
-
2008
- 2008-12-29 US US12/345,186 patent/US8050404B2/en not_active Expired - Fee Related
-
2009
- 2009-12-03 CA CA2745516A patent/CA2745516A1/en not_active Abandoned
- 2009-12-03 CN CN201410226510.0A patent/CN104052594A/zh active Pending
- 2009-12-03 EP EP09835930.0A patent/EP2382733A4/en not_active Withdrawn
- 2009-12-03 KR KR1020117014949A patent/KR101255023B1/ko not_active IP Right Cessation
- 2009-12-03 JP JP2011542636A patent/JP5630913B2/ja not_active Expired - Fee Related
- 2009-12-03 RU RU2011122728/08A patent/RU2497289C2/ru not_active IP Right Cessation
- 2009-12-03 BR BRPI0923460A patent/BRPI0923460A2/pt not_active IP Right Cessation
- 2009-12-03 CN CN200980154699.4A patent/CN102282798B/zh not_active Expired - Fee Related
- 2009-12-03 WO PCT/CA2009/001763 patent/WO2010075626A1/en active Application Filing
-
2011
- 2011-10-10 US US13/269,674 patent/US8462943B2/en not_active Expired - Fee Related
-
2013
- 2013-05-20 US US13/897,812 patent/US20130251148A1/en not_active Abandoned
-
2014
- 2014-07-03 JP JP2014137785A patent/JP2014209263A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6445797B1 (en) * | 1998-12-16 | 2002-09-03 | Secure Choice Llc | Method and system for performing secure electronic digital streaming |
| US20070150543A1 (en) * | 2002-05-13 | 2007-06-28 | Avery Fong | Verification scheme used for email message containing information about remotely monitored devices |
| CN1599405A (zh) * | 2004-07-26 | 2005-03-23 | 刘�东 | 以符号的冗余编码携带隐藏信息的文本数字水印技术 |
| US20070064946A1 (en) * | 2005-08-31 | 2007-03-22 | Fujitsu Broad Solution & Consulting Inc. | Computer-readable recording medium recording a character code encryption program, and a character code encryption method |
| CN101009548A (zh) * | 2006-01-24 | 2007-08-01 | 马恒利 | 应用密文图技术对数据进行加密的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132079A (zh) * | 2022-08-09 | 2023-05-16 | 马上消费金融股份有限公司 | 数据处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20100166181A1 (en) | 2010-07-01 |
| JP2014209263A (ja) | 2014-11-06 |
| WO2010075626A1 (en) | 2010-07-08 |
| US20130251148A1 (en) | 2013-09-26 |
| US8050404B2 (en) | 2011-11-01 |
| RU2011122728A (ru) | 2013-02-10 |
| US8462943B2 (en) | 2013-06-11 |
| JP5630913B2 (ja) | 2014-11-26 |
| US20120027204A1 (en) | 2012-02-02 |
| CN102282798B (zh) | 2014-07-02 |
| KR101255023B1 (ko) | 2013-04-16 |
| KR20110102892A (ko) | 2011-09-19 |
| RU2497289C2 (ru) | 2013-10-27 |
| CA2745516A1 (en) | 2010-07-08 |
| JP2012514353A (ja) | 2012-06-21 |
| EP2382733A1 (en) | 2011-11-02 |
| EP2382733A4 (en) | 2015-08-05 |
| CN104052594A (zh) | 2014-09-17 |
| BRPI0923460A2 (pt) | 2016-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102282798B (zh) | 一种用于隐藏通信信道中加密的存在的高效带宽的方法和系统 | |
| CN102684877B (zh) | 一种进行用户信息处理的方法及装置 | |
| Abdulzahra et al. | Combining cryptography and steganography for data hiding in images | |
| CN101411114A (zh) | 用于最高安全性应用的加密方法 | |
| Joshy et al. | Text to image encryption technique using RGB substitution and AES | |
| Ahmad | Steganography for inserting message on digital image using least significant bit and AES cryptographic algorithm | |
| Shirole et al. | Review paper on data security in cloud computing environment | |
| Suresh et al. | Separable reversible data hiding using Rc4 algorithm | |
| Chen et al. | A rotation session key-based transposition cryptosystem scheme applied to mobile text chatting | |
| Ooi et al. | Cryptanalysis of s-des | |
| Kaushik et al. | Block encryption standard for transfer of data | |
| Dubey et al. | An innovative data security techniques using cryptography and steganographic techniques | |
| Negi et al. | Hybrid approach for Data Security using Coverless Image Steganography with AES | |
| Kumar et al. | Invo-substitute: Three layer encryption for enhanced e-commerce website security using substitution cipher and involution function | |
| CN112637442A (zh) | 云服务器和本地端进行循环图像加密的方法及装置 | |
| Suryavanshi et al. | An improved cryptographic algorithm using UNICODE and universal colors | |
| Handoko et al. | A File Encoding Using A Combination of Advanced Encryption Standard, Cipher Block Chaining and Stream Cipher In Telkom Region 4 Semarang | |
| Sharma et al. | Comparative analysis of block key encryption algorithms | |
| Krishna et al. | Comparison of Encryption Techniques In Internet Of Things | |
| Jeyabalu et al. | Hybridization of ICBC and genetic algorithm for optimizing encryption process in cloud computing application service | |
| Al-Halboosi | Agile Encryption Scheme for Multimedia Files Using Random Data | |
| Sarin et al. | Implementation of New Approach to Secure IoT Networks with Encryption and Decryption Techniques | |
| Kesavulu et al. | Enhanced packet delivery techniques using crypto-logic riddle on jamming attacks for wireless communication medium | |
| Prakash et al. | I/O Steganography for Audio and Images in Secure Data Transmission | |
| Chamoli et al. | Analysis on optimal ways to secure image encryption and decryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140702 Termination date: 20151203 |
|
| EXPY | Termination of patent right or utility model |