CN106911705B - 基于ip分片机制的隐蔽信息通信方法 - Google Patents
基于ip分片机制的隐蔽信息通信方法 Download PDFInfo
- Publication number
- CN106911705B CN106911705B CN201710146706.2A CN201710146706A CN106911705B CN 106911705 B CN106911705 B CN 106911705B CN 201710146706 A CN201710146706 A CN 201710146706A CN 106911705 B CN106911705 B CN 106911705B
- Authority
- CN
- China
- Prior art keywords
- communication
- packet
- packets
- fragment
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/166—IP fragmentation; TCP segmentation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信技术领域,公开了一种基于IP分片机制的隐蔽信息通信方法。具体包括以下过程,步骤1、在受控IP终端和控制中心之间建立链路;步骤2、将IP包分割为具有固定顺序的m个分片的分片包,所述m个分片的包长不同;步骤3、所述分片包通过链路从第一受控IP终端传递到控制中心进行通信;步骤4、所述控制中心将分片包以原有的固定顺序通过链路传递到第二受控IP终端进行通信。通过利用分片机制,以及利用包长差值传递信息,相当于利用二阶数据传递通信信息,对数据的传递更具有隐蔽性;可以实现将加密封闭网络中的信息向外传递,在网络对抗中可以利用该机制对加密网络中的攻击发起执行命令和执行信息,突破加密信息壁垒。
Description
技术领域
本发明涉及通信技术领域,特别是一种基于IP分片机制的隐蔽信息通信方法。
背景技术
随着网络安全越来越受到重视,加密技术被广泛应用到数据通信中。尤其在IP网络,IP密码机的引入,不仅有效防范通信内容被窃取,也有效防止数据包被篡改的可能。在网络对抗中,通过引入加密技术,使得后门、木马等工具无法与外界控制中心取得联系,从而难以达成网络攻击或信息窃取的目的。为了突破上述问题,使得在加密信道下实现网络攻击工具与指挥中心的通信,提出一种基于IP分片机制的隐蔽信息通信方法。
现有的发明专利与利用IP分片机制传递隐蔽信息相关的方法有:发明专利“基于IP分片伪装技术的隐蔽信息通信方法”(申请号:201310334188.9,申请日期2013年8月2日),该技术通过对IP进行分片,通过在分片包中插入通信数据。当数据包转发过程中,由于篡改了网络数据包,当转发网络对数据包进行完整性校验时,能发现信息传递行为,信息传递的隐蔽性不高。此外,由于对数据包进行了篡改,必须在接收端对包进行还原,即要求接收端必须串接在承载IP的通信路径中,大大增加了攻击难度和被发现的概率。发明专利“基于IP地址的包长度反馈网络隐蔽通信方法”(申请号:201510055266.0,申请日期2015年2月3日),通过利用IP包地址长度信息映射数据信息,从而构建信息传递的隐蔽通道。方案主要利用发送端构建包相应的信息传递隐蔽包,并在接收端进行解码,其在信息隐蔽方法是可行的;但是,在网络攻防中主动构造数据包并向外发送的行为易被发现。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供了一种基于IP分片机制的隐蔽信息通信方法。
本发明采用的技术方案如下:一种基于IP分片机制的隐蔽信息通信方法,具体包括以下过程,步骤1、在受控IP终端和控制中心之间建立链路;步骤2、将IP包分割为具有固定顺序的m个分片的分片包,所述m个分片的包长不同;步骤3、所述分片包通过加密链路从受控IP终端传递到控制中心进行通信;步骤4、所述控制中心将分片包以原有的固定顺序通过加密链路传递到第二IP终端进行通信。
进一步的,上述进行通信的发起过程为:步骤31、所述分片包的每个分片包长用lm表示,则用L表示由分片包长组成的向量,有L=(l1,l2,...lm),对L中的向量计算差值,令dk=lk-lk+1,其中k<m,所述分片包具有m-1个差值,记为向量D=(d1,d2,...dm-1);步骤32、对于n组不同的分片包,则组合成集合C=(D1,D2,...Dn),其中n为大于等于3的自然数;步骤33、利用集合C中的向量传递序列,实现数据通信。
进一步的,步骤33的具体过程为:步骤331、通信发起端利用n个分片包发起分片序列D1,D2,...Dn,其中每一个分片包序列为Dn=(0,0,...,x,1),所述每一个分片包中前面m-2个分片的包长不变,最后两个分片的包长变化使最后两个分片的包长差值为1,所述x由倒数第三个分片的包长和倒数第二个分片的包长确定的变量;步骤332、应答接受端收到第一个分片包序列D1后开始计数和计时,如果应答端连续收到n个分片包满足序列D=(0,0,...,x,1),或者收到分片包序列D1后T时长内收到分片序列D1,D2,...Dn,则通讯开始信号发起成功;步骤333、通讯应答端发起序列D1′,D2′,...Dn′,其中Dn′=(0,0,...,1,x′),最后两个分片的包长变化使倒数第三个分片的包长和倒数第二个分片的包长差值为1,所述x′为最后两个分片的包长确定的变量,如果发起端连续收到n个分片包满足序列D′=(0,0,...,1,x′),或者收到分片包序列D1′后T时长内收到分片序列D1′,D2′,...Dn′,则应答信号发起成功;步骤334、发起端接受到应答信号后通讯开始,通讯过程中,通讯双方数据以D″为(1,A,x″)表示,A表示通讯数据,x″为变量;步骤335、通讯结束时,结束方发送D″′为(2,0,...,0,x″′)表示通讯结束,x″′为变量。
进一步的,所述T时长为2小时。
进一步的,在通信建立后,所述T时长由控制中心协商重设。
与现有技术相比,采用上述技术方案的有益效果为:利用IP包长和分片信息无法被加密的特点,突破了IP加密链路中网络对抗工具与控制中心无法通信的问题;通过利用分片机制,无需对IP数据内容进行任何修改,利用包长差值传递信息,相当于利用二阶数据传递通信信息,对数据的传递更具有隐蔽性;同时只要两个包长的差值固定,对包长的任意改变都不影响信息传递;利用二阶数据传递通信信息可以实现将加密封闭网络中的信息向外传递,在网络对抗中可以利用该机制对加密网络中的攻击发起执行命令和执行信息,突破加密信息壁垒。
附图说明
图1是本发明基于IP分片机制的隐蔽信息通信原理框架图。
图2是本发明本发明通信发起原理图。
具体实施方式
下面结合附图对本发明做进一步描述。
如图1所示为控制中心和受控IP终端以及IP终端2之间加密链路的通信过程,步骤1、在受控IP终端和控制中心之间、IP终端2和控制中心之间建立加密链路;步骤2、将IP包分割为具有固定顺序的2个分片的分片包,即依次为分片2和分片1,所述分片2和分片1的包长不同,分别为包长a和包长b;步骤3、所述分片包通过加密链路从受控IP终端传递到控制中心进行通信;步骤4、所述控制中心将分片包以原有的固定顺序即依次为分片2和分片1的顺序通过加密链路传递到IP终端2进行通信。由于IP链路采用加密链路,因此任何IP包都被加密,IP终端的任务执行程序无法通过常规IP柜与控制中心进行通信,本实施例中利用IP包的分片机制,对输出的IP包进行分配,分割为包长不同的分片2和分片1进行传递;由于IP协议中,分片包在接收端需要被重组,本方案分片包的分片具有固定顺序,解决了分片包乱序的问题。
本实施例中利用分片包中分片包长的差值传递信息,相当于利用二阶数据进行通信。步骤31、所述分片包的每个分片包长用lm表示,则用L表示由分片包长组成的向量,有L=(l1,l2,...lm),对L中的向量计算差值,令dk=lk-lk+1,其中k<m,所述分片包具有m-1个差值,记为向量D=(d1,d2,...dm-1);步骤32、对于n组不同的分片包,则组合成集合C=(D1,D2,...Dn),其中n为大于等于3的自然数;步骤33、利用集合C中的向量传递序列,实现数据通信。利用分片机制,无需对数据包数据进行改动,因此行为更具有隐蔽性;利用分片包长的差值传递信息,相当于利用二阶数据进行通信,比如将信息从IP终端1传递到控制中心或者将信息从控制中心传递到IP终端2,使信息传递过程的隐蔽性更强。
如图2所示为具有3组不同的分片包的实施例,即n取3,步骤33的具体过程为:步骤331、通信发起端利用3个分片包发起分片序列D1,D2,D3,当受控IP终端向控制中心发送信息时受控IP终端是发起端,当控制中心向受控IP终端发送信息时控制中心是发起端,其中每一个分片包D1、D2和D3序列格式均为D=(0,0,...,x,1),所述每一个分片包中前面m-2个分片的包长不变,最后两个分片的包长变化使最后两个分片的包长差值为1,所述x由倒数第三个分片的包长和倒数第二个分片的包长确定的变量,例如一个分片包的前面m-2个分片的包长均为1500字节,要使最后两个分片的包长差值为1,在满足总字节的基础上将最后两个分片的包长依次设置为1000和999,则x的值的确定方法为:1500减1000等于500字节;步骤332、当受控IP终端向控制中心发送信息时控制中心是应答端,当控制中心向受控IP终端发送信息时受控IP终端是应答端,应答接受端收到第一个分片包序列D1后开始计数和计时,如果应答端连续收到3个分片包满足序列D=(0,0,...,x,1),或者收到分片包序列D1后T时长内收到分片序列D1,D2,D3,则通讯开始信号发起成功;步骤333、通讯应答端发起序列D1′,D2′,D3′,其中D1′、D2′和D3′的序列格式为D′=(0,0,...,1,x′),最后两个分片的包长变化使倒数第二个分片的包长和倒数第三个分片的包长差值为1,例如前面m-2个分片的包长均为1500字节,最后两个分片的包长分别为1499和500,使倒数第三个分片的包长和倒数第二个分片的包长差值为1,倒数第二个分片的包长和倒数第一个分片的包长的差值为999,如果发起端连续收到,3个分片包满足序列D′=(0,0,...,1,x′),或者收到分片包序列D1′后T时长内收到分片序列D1′,D2′,D3′,则应答信号发起成功;步骤334、发起端接受到应答信号后通讯开始,通讯过程中,通讯双方数据以D″为(1,A,x″)表示,A表示通讯数据;步骤335、通讯接受是,结束方发送D″′为(2,0,...,0,x″′)表示通讯结束。
所述T时长为2小时。在通信建立后,所述T时长由控制中心协商重设。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员,在不脱离本发明的精神所做的非实质性改变或改进,都应该属于本发明权利要求保护的范围。
Claims (4)
1.一种基于IP分片机制的隐蔽信息通信方法,其特征在于,包括以下过程:
步骤1、在受控IP终端和控制中心之间建立链路;
步骤2、将IP包分割为具有固定顺序的m个分片的分片包,所述m个分片的包长不同;
步骤3、所述分片包通过加密链路从受控IP终端传递到控制中心进行通信;
步骤4、所述控制中心将分片包以原有的固定顺序通过加密链路传递到第二IP终端进行通信;
所述进行通信的发起过程为:
步骤31、所述分片包的每个分片包长用lm表示,则用L表示由分片包长组成的向量,有L=(l1,l2,...lm),对L中的向量计算差值,令dk=lk-lk+1,其中k<m,所述分片包具有m-1个差值,记为向量D=(d1,d2,…dm-1);
步骤32、对于n组不同的分片包,则组合成集合C=(D1,D2,...Dn),其中n为大于等于3的自然数;
步骤33、利用集合C中的向量序列,实现数据通信。
2.如权利要求1所述的基于IP分片机制的隐蔽信息通信方法,其特征在于,步骤33的具体过程为:
步骤331、通信发起端利用n个分片包发起分片序列D1,D2,...Dn,其中每一个分片包序列为Dn=(0,0,...,x,1),所述每一个分片包中前面m-2个分片的包长不变,最后两个分片的包长变化使最后两个分片的包长差值为1,所述x为由倒数第三个分片的包长和倒数第二个分片的包长确定的变量;
步骤332、应答接收端收到第一个分片包序列D1后开始计数和计时,如果应答端连续收到n个分片包满足分片包序列D=(0,0,…,x,1),或者收到分片包序列D1后T时长内收到分片序列D1,D2,…Dn,则通讯开始信号发起成功;
步骤333、通讯应答端发起序列D1′,D2′,…Dn′,其中Dn′=(0,0,…,1,x′),最后两个分片的包长变化使倒数第三个分片的包长和倒数第二个分片的包长差值为1,所述x′为最后两个分片的包长确定的变量,如果发起端连续收到n个分片包满足分片包序列D′=(0,0,...,1,x′),或者收到分片包序列D1′后T时长内收到分片序列D1′,D2′,...Dn′,则应答信号发起成功;
步骤334、发起端接收到应答信号后通讯开始,通讯过程中,通讯双方数据以D″为(1,A,x″)表示,A表示通讯数据,x″为变量;
步骤335、通讯结束时,结束方发送D″′为(2,0,...,0,x″′)表示通讯结束,x″′为变量。
3.如权利要求2所述的基于IP分片机制的隐蔽信息通信方法,其特征在于,所述T时长为2小时。
4.如权利要求3所述的基于IP分片机制的隐蔽信息通信方法,其特征在于,在通信建立后,所述T时长由控制中心协商重设。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611155397 | 2016-12-14 | ||
CN2016111553977 | 2016-12-14 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106911705A CN106911705A (zh) | 2017-06-30 |
CN106911705B true CN106911705B (zh) | 2020-03-03 |
Family
ID=59187544
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710146706.2A Active CN106911705B (zh) | 2016-12-14 | 2017-03-13 | 基于ip分片机制的隐蔽信息通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106911705B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103118139A (zh) * | 2013-03-05 | 2013-05-22 | 中国科学技术大学苏州研究院 | 分布式信息隐藏传输系统及其传输方法 |
CN103841118A (zh) * | 2014-03-25 | 2014-06-04 | 中国科学技术大学苏州研究院 | 基于tcp有效载荷的双向可靠隐蔽信道 |
CN104079578A (zh) * | 2014-07-08 | 2014-10-01 | 北京锐安科技有限公司 | 取证数据隐蔽传输的方法及系统 |
CN104408377A (zh) * | 2014-10-29 | 2015-03-11 | 北京锐安科技有限公司 | 一种取证数据隐蔽存储的方法和装置 |
CN104702596A (zh) * | 2015-02-05 | 2015-06-10 | 西安电子科技大学 | 一种基于数据包长度的信息隐藏与传输的方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7921285B2 (en) * | 2002-12-27 | 2011-04-05 | Verizon Corporate Services Group Inc. | Means of mitigating denial of service attacks on IP fragmentation in high performance IPsec gateways |
US7725595B1 (en) * | 2005-05-24 | 2010-05-25 | The United States Of America As Represented By The Secretary Of The Navy | Embedded communications system and method |
US9973516B2 (en) * | 2015-02-13 | 2018-05-15 | International Business Machines Corporation | Traffic shape obfuscation when using an encrypted network connection |
-
2017
- 2017-03-13 CN CN201710146706.2A patent/CN106911705B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103118139A (zh) * | 2013-03-05 | 2013-05-22 | 中国科学技术大学苏州研究院 | 分布式信息隐藏传输系统及其传输方法 |
CN103841118A (zh) * | 2014-03-25 | 2014-06-04 | 中国科学技术大学苏州研究院 | 基于tcp有效载荷的双向可靠隐蔽信道 |
CN104079578A (zh) * | 2014-07-08 | 2014-10-01 | 北京锐安科技有限公司 | 取证数据隐蔽传输的方法及系统 |
CN104408377A (zh) * | 2014-10-29 | 2015-03-11 | 北京锐安科技有限公司 | 一种取证数据隐蔽存储的方法和装置 |
CN104702596A (zh) * | 2015-02-05 | 2015-06-10 | 西安电子科技大学 | 一种基于数据包长度的信息隐藏与传输的方法及系统 |
Non-Patent Citations (1)
Title |
---|
"StegoP2P:一种基于P2P网络的隐蔽通信方法";谭庆丰 等;《计算机研究与发展》;20140815;第51卷(第8期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN106911705A (zh) | 2017-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
USRE49053E1 (en) | System and method for an adaptive TCP SYN cookie with time validation | |
Al Fardan et al. | Lucky thirteen: Breaking the TLS and DTLS record protocols | |
RU2769216C2 (ru) | Динамическая защищенная коммуникационная сеть и протокол | |
Weinberg et al. | Stegotorus: a camouflage proxy for the tor anonymity system | |
Hayes et al. | Securing modbus transactions using hash-based message authentication codes and stream transmission control protocol | |
US9300762B2 (en) | Virtual desktop accelerator with support for multiple cryptographic contexts | |
US8688979B2 (en) | Means of mitigating denial of service attacks on IP fragmentation in high performance IPSEC gateways | |
US20110321145A1 (en) | Method for Ensuring Security of Computers Connected to a Network | |
Thornburgh | Adobe's Secure Real-Time Media Flow Protocol | |
CA2616153C (en) | Methods for secure and bandwidth efficient cryptographic synchronization | |
US10111192B2 (en) | Method for effective PMTU discovery in VPN environment | |
WO2017031984A1 (zh) | 一种bmp报文认证的方法及装置 | |
CN110995662B (zh) | 一种基于多路网络媒介的数据传输方法和系统 | |
CN103368731A (zh) | 基于哈希树的无线传感器网络安全数据发现和传播方法 | |
CN111988301A (zh) | 一种客户端防黑客暴力攻击的安全通讯方法 | |
CN116319093A (zh) | 一种基于FPGA的IPsec抗重放方法 | |
CN106911705B (zh) | 基于ip分片机制的隐蔽信息通信方法 | |
CN108429700B (zh) | 一种发送报文的方法及装置 | |
WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
JP2010011122A (ja) | 暗号化パケット処理システム | |
WO2016067565A1 (ja) | 情報処理システム、情報処理装置、情報処理方法、及び、記録媒体 | |
EP2847933B1 (en) | Methods, systems, and computer readable media for combining ip fragmentation evasion techniques | |
CN107343001B (zh) | 数据处理方法及装置 | |
Zheng et al. | Application-based TCP hijacking | |
CN115225313B (zh) | 一种高可靠的云网络虚拟专用网络通信方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CB03 | Change of inventor or designer information | ||
CB03 | Change of inventor or designer information |
Inventor after: Li Chunlin Inventor after: Rao Zhihong Inventor after: Zeng Xi Inventor after: Bai Xiang Inventor before: Li Chunlin Inventor before: Bai Xiang |