CN109246124B - 一种加密信息的主动防御方法 - Google Patents
一种加密信息的主动防御方法 Download PDFInfo
- Publication number
- CN109246124B CN109246124B CN201811166189.6A CN201811166189A CN109246124B CN 109246124 B CN109246124 B CN 109246124B CN 201811166189 A CN201811166189 A CN 201811166189A CN 109246124 B CN109246124 B CN 109246124B
- Authority
- CN
- China
- Prior art keywords
- information
- key
- attacker
- code
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种加密信息的主动防御方法,包括:使用强密钥对真实信息进行加密得到第一密文,使用弱密钥对虚假信息和渗透代码进行加密得到第二密文;将第一密文和第二密文拼接为一个文件,当攻击者窃取文件后,利用弱密钥对第二密文进行解密,得到虚假信息和渗透代码,当虚假信息被攻击者打开时会同步启动渗透代码,渗透代码读取攻击者的关键信息返回给被攻击者,使得被攻击者利用攻击者的关键信息进行反向追踪、调查取证。考虑到重要信息通常采用混淆存储,而攻击者在窃取了文件以后会进行解密尝试。针对该特点本发明提出了一种加密信息的主动防御方法,既可以对信息加密,又能在受到攻击时取证甚至反击攻击者的方法,实现了低成本快捷追踪。
Description
技术领域
本发明属于网络空间安全领域,更具体地,涉及一种加密信息的主动防御方法。
背景技术
随着互联网越来越普及,以及社会对互联网的依赖性日益增强,网络安全问题也越来越多。虽然人们通常把信息加密存储,但是仍有被窃取甚至破译的可能。而以往的密码技术只是被动防御,当遇到窃取、破译等行为时,受害人(被攻击者)很难实行进一步的防御措施,甚至知道了攻击者是谁,有时也苦于无法提供证据。所以需要将保密、取证、甚至反击等功能结合起来设计主动防御技术。
为了追踪攻击者的身份,人们开发了多种追踪技术,但是都存在这样或那样的问题,比如逐跳追踪技术是反向追踪的基本技术,根据攻击所产生的流量特性确定攻击所经过的链路,然而它却存在着许多问题,如只适合追踪大流量、连续且正在进行的攻击流,如果在攻击结束前没有确定攻击源,则追踪失败,如果没有在每一跳都提供协作,也将追踪失败;链路测试法在管理多个网络边界和ISP之间的通信和协作上需要巨大的开销,需要投入相当多的时间和人力;受控淹没技术本身是一类拒绝服务攻击,可能会破坏正常的网络通信;而数据包记录是一种相对有效而又简单的方法,但是也存在着需要大量处理和存储能力的缺点;此外Intemet工程任务组开发了一种基于iTrace的追踪方法,然而该方法如果想要获得较高的成功率,就需要产生非常多的追踪数据包,这将会造成带宽耗用过高的问题,而这在DDos攻击中非常明显;数据包标记法则无法与IPv6兼容,应用前景受限;此外反向扩散技术借助于DDos攻击常用IP地址欺骗的特点,因此不适用一些精巧的攻击。
现有技术存在开销大、带宽耗用过高和适应性差的技术问题。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种加密信息的主动防御方法,由此解决现有技术存在开销大、带宽耗用过高和适应性差的技术问题。
为实现上述目的,本发明提供了一种加密信息的主动防御方法,包括:
(1)使用强密钥对真实信息进行加密得到第一密文,使用弱密钥对虚假信息和渗透代码进行加密得到第二密文;
(2)将第一密文和第二密文拼接为一个文件,当攻击者窃取文件后,利用弱密钥对第二密文进行解密,得到虚假信息和渗透代码,当虚假信息被攻击者打开时会同步启动渗透代码,渗透代码读取攻击者的关键信息返回给被攻击者,使得被攻击者利用攻击者的关键信息进行反向追踪、调查取证。
进一步地,强密钥包含大小写字母、数字和符号,所述强密钥的长度大于等于8个字符。
进一步地,弱密钥只包含数字或者字母,所述弱密钥的长度小于8个字符,所述弱密钥与用户的个人信息相关。
进一步地,渗透代码具备绕过杀毒软件检测的能力。
进一步地,关键信息包括但不限于CPU ID、IP地址和MAC地址。
进一步地,步骤(2)还包括:
强密码匹配成功后,启用双因子认证进行进一步的身份检验,当双因子认证通过后,使用强密码对第一密文进行解密,得到真实信息,渗透代码不会执行。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)考虑到重要信息通常采用加密存储,而攻击者在窃取了文件以后会进行解密尝试。针对这一特点本发明提出了一种加密信息的主动防御方法,既可以对信息加密,又能在受到攻击时取证甚至反击攻击者的方法,还可以实现低成本快捷的追踪。同时本发明引入虚假信息和渗透代码,当攻击者窃取文件后,利用弱密钥解出第二密文查看,引发渗透代码的执行,进而暴露攻击者的关键信息。使得本发明方法开销小、隐蔽性高且适应性好。
(2)为了防止攻击者察觉到异常又不影响正常用户的使用,本发明使用强密钥对真实信息进行加密得到第一密文,使用弱密钥对虚假信息和渗透代码进行加密得到第二密文;当电脑受到攻击后,攻击者很有可能会窃取文件,并且在不知道强密钥的情况下在其自身的电脑上进行解密尝试,以便查看里面的内容。攻击者通常会采用猜测的方式进行试验,弱密钥有较大的几率被攻击者“猜到”,利用弱密钥解出第二密文查看,引发渗透代码的执行,进而暴露攻击者的关键信息。
(3)为了使渗透代码在攻击者电脑上运行且不被对方察觉,本发明的渗透代码具备绕过杀毒软件检测的能力,包含两个意思,一是加密本身使得渗透代码具备混淆与扩散变换的性质,可以帮助其以密文的状态躲过杀毒软件的检测;然而密文状态的渗透代码不具备可执行性,要想渗透代码可执行就必须对其解密;二是如果渗透代码在明文态的情况下不进行代码混淆等技术处理,那么在其被解密出来形成明文后仍然会被杀毒软件发现,所以必须对渗透代码本身(在明文的情况下)予以包括但不限于代码混淆等技术处理,这样才能达成“绕过杀毒软件”的目标。
(4)本发明中强密码匹配成功后,启用双因子认证进行进一步的身份检验,当双因子认证通过后,使用强密码解出第一密文,得到真实信息,而渗透代码未获得正确的密钥解密,故不会产生可执行的明文。如此设置可以防止攻击者恰好猜到了强密钥,是进一步的防御措施,提供了本发明方法的安全系数。
附图说明
图1是本发明实施例提供的一种加密信息的主动防御方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
如图1所示,一种加密信息的主动防御方法,包括:
(1)使用强密钥对真实信息进行加密得到第一密文,使用弱密钥对虚假信息和渗透代码进行加密得到第二密文;
(2)将第一密文和第二密文拼接为一个文件,当攻击者窃取文件后,利用弱密钥对第二密文进行解密,得到虚假信息和渗透代码,当虚假信息被攻击者打开时会同步启动渗透代码,渗透代码读取攻击者的关键信息返回给被攻击者,使得被攻击者利用攻击者的关键信息进行反向追踪、调查取证。
进一步地,强密钥包含大小写字母、数字和符号,所述强密钥的长度大于等于8个字符。
进一步地,弱密钥只包含数字或者字母,所述弱密钥的长度小于8个字符,所述弱密钥与用户的个人信息相关。
进一步地,步骤(1)还包括:
对渗透代码进行免杀处理,使得渗透代码具备绕过杀毒软件检测的能力。
进一步地,步骤(2)还包括:
强密码匹配成功后,启用双因子认证进行进一步的身份检验,当双因子认证通过后,使用强密码对第一密文进行解密,得到真实信息,渗透代码不会执行。
考虑到重要信息通常采用混淆存储,而攻击者在窃取了文件以后会进行解密尝试,具体地,定义函数Y=f(key,X)是一种混淆与扩散变换,X’=g(key’,Y)是一种与f对应的变换,且当key′=key时,可以保证X′=X,其中参数key是保密的,X是可以二进制存储的信息,Y是变换后的信息。设计真实信息X1,虚假信息X2和渗透代码X3三部分内容,做如下变换:Y1=f(keyl,X1),Y2=f(key2,X2);Y3=f(key2,X3),其中key1是强密钥,key2是有别于key1的非唯一弱密钥。再把Y1作为第一密文、Y2和Y3作为第二密文拼接到一起,形成一个文件Y。当电脑受到攻击后,攻击者很有可能会窃取文件Y,并且在不知道参数key的情况下在其自身的电脑上进行变换尝试,以便查看里面的内容。对于参数key,攻击者通常会采用猜测的方式进行试验几次,当key=key2时,会解出虚假信息X2和渗透代码X3,引发渗透代码的执行,进而暴露攻击者的关键信息(如CPU ID、IP地址和MAC地址等),这些信息可以用来作为证据。如果是合法用户,利用参数key1对Y进行变换,则只会得到X1,渗透代码不会执行,这样就不影响合法用户的使用。此外为了防止攻击者恰好猜到了key1,当输入的key恰好等于key1后,进一步利用双因子认证等方式,验证用户名和密码,只有两次认证都通过才会进行X1=g(key1,Y)变换,解出真实信息。
为了使渗透代码在攻击者电脑上运行且不被对方察觉,本发明的渗透代码具备绕过杀毒软件检测的能力。本发明使用强密钥对真实信息进行加密得到第一密文,使用弱密钥对虚假信息和渗透代码进行加密得到第二密文;将第一密文和第二密文拼接为一个文件,文件对于恶意代码起到混淆与扩散变换的作用以避免杀毒软件的直接检测;此外混淆与扩散技术还起到区分是否是合法用户的作用,加密是一种非常有效的混淆与扩散手段。
本发明中强密码匹配成功后,启用双因子认证进行进一步的身份检验,当双因子认证通过后,使用强密码解出第一密文,得到真实信息,渗透代码不会执行。如此设置可以防止攻击者恰好猜到了强密钥,是进一步的防御措施,提供了本发明方法的安全系数。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种加密信息的主动防御方法,其特征在于,包括:
(1)使用强密钥对真实信息进行加密得到第一密文,使用弱密钥对虚假信息和渗透代码进行加密得到第二密文;
(2)将第一密文和第二密文拼接为一个文件,当攻击者窃取文件后,利用弱密钥对第二密文进行解密,得到虚假信息和渗透代码,当虚假信息被攻击者打开时会同步启动渗透代码,渗透代码读取攻击者的关键信息返回给被攻击者,使得被攻击者利用攻击者的关键信息进行反向追踪、调查取证。
2.如权利要求1所述的一种加密信息的主动防御方法,其特征在于,所述强密钥包含大小写字母、数字和符号,所述强密钥的长度大于等于8个字符。
3.如权利要求1或2所述的一种加密信息的主动防御方法,其特征在于,所述弱密钥只包含数字或者字母,所述弱密钥的长度小于8个字符,所述弱密钥与用户的个人信息相关。
4.如权利要求1或2所述的一种加密信息的主动防御方法,其特征在于,所述渗透代码具备绕过杀毒软件检测的能力。
5.如权利要求1或2所述的一种加密信息的主动防御方法,其特征在于,所述步骤(2)还包括:
强密钥匹配成功后,启用双因子认证进行进一步的身份检验,当双因子认证通过后,使用强密钥对第一密文进行解密,得到真实信息,渗透代码不会执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811166189.6A CN109246124B (zh) | 2018-09-30 | 2018-09-30 | 一种加密信息的主动防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811166189.6A CN109246124B (zh) | 2018-09-30 | 2018-09-30 | 一种加密信息的主动防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109246124A CN109246124A (zh) | 2019-01-18 |
| CN109246124B true CN109246124B (zh) | 2020-05-19 |
Family
ID=65055720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811166189.6A Expired - Fee Related CN109246124B (zh) | 2018-09-30 | 2018-09-30 | 一种加密信息的主动防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109246124B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111343176B (zh) * | 2020-01-16 | 2022-05-27 | 郑州昂视信息科技有限公司 | 一种网络攻击的反制装置、方法、存储介质及计算机设备 |
| CN116800534B (zh) * | 2023-07-28 | 2024-03-22 | 微启星(江苏)科技发展有限公司 | 一种互联网数据信息安全传输系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457931A (zh) * | 2013-08-15 | 2013-12-18 | 华中科技大学 | 一种网络诱骗与反攻击的主动防御方法 |
| CN103795548A (zh) * | 2014-02-28 | 2014-05-14 | Tcl集团股份有限公司 | 一种基于群签名算法的分布式数据库系统及其实现方法 |
| CN103987034A (zh) * | 2014-04-30 | 2014-08-13 | 南京邮电大学 | 一种野战环境中士兵信息的隐私保护方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101196973B (zh) * | 2006-12-04 | 2011-01-05 | 华为技术有限公司 | 一种数字版权保护方法及其系统 |
| CN101447916B (zh) * | 2008-12-25 | 2010-12-01 | 中国电子科技集团公司第五十四研究所 | 多协议标记交换网络的双向复合信源定位方法 |
| US8819428B2 (en) * | 2011-10-21 | 2014-08-26 | Ebay Inc. | Point of sale (POS) personal identification number (PIN) security |
| CN102497362B (zh) * | 2011-12-07 | 2018-01-05 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
| CN103294950B (zh) * | 2012-11-29 | 2016-07-06 | 北京安天电子设备有限公司 | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 |
| CN103442253B (zh) * | 2013-07-17 | 2016-08-10 | 宁波工程学院 | 一种加密域h.264/avc视频数据隐藏方法 |
| CN105357187A (zh) * | 2015-10-12 | 2016-02-24 | 成都玩者天下网络技术有限公司 | 一种电子商务交易平台防御系统 |
| CN108076050B (zh) * | 2017-11-15 | 2020-06-30 | 广州鑫燕网络科技有限公司 | 一种密文封箱式保护JavaScript源码的方法及系统 |
-
2018
- 2018-09-30 CN CN201811166189.6A patent/CN109246124B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457931A (zh) * | 2013-08-15 | 2013-12-18 | 华中科技大学 | 一种网络诱骗与反攻击的主动防御方法 |
| CN103795548A (zh) * | 2014-02-28 | 2014-05-14 | Tcl集团股份有限公司 | 一种基于群签名算法的分布式数据库系统及其实现方法 |
| CN103987034A (zh) * | 2014-04-30 | 2014-08-13 | 南京邮电大学 | 一种野战环境中士兵信息的隐私保护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109246124A (zh) | 2019-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108471432B (zh) | 防止网络应用程序接口被恶意攻击的方法 | |
| US8307208B2 (en) | Confidential communication method | |
| US10594479B2 (en) | Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device | |
| US20130227286A1 (en) | Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud | |
| Jose et al. | Implementation of data security in cloud computing | |
| Sari et al. | Comparative analysis of wireless security protocols: WEP vs WPA | |
| US11438316B2 (en) | Sharing encrypted items with participants verification | |
| KR100860573B1 (ko) | 사용자 인증 방법 | |
| Alblwi et al. | A survey on wireless security protocol WPA2 | |
| Thakur et al. | A Comprehensive Review of Wireless Security Protocols and Encryption Applications | |
| CN109246124B (zh) | 一种加密信息的主动防御方法 | |
| Rana et al. | Common security protocols for wireless networks: A comparative analysis | |
| Sharma et al. | A review on wireless network security | |
| Manivannan et al. | A prevention model for session hijack attacks in wireless networks using strong and encrypted session ID | |
| Prakash et al. | Data security in wired and wireless systems | |
| Geetha et al. | Introduction To Cryptography And Network Security | |
| Shahbazov | NAVIGATING THE 5G SECURITY LANDSCAPE: REGULATIONS, TECHNOLOGIES, AND FUTURE CHALLENGES | |
| Caytiles et al. | ECC based authentication scheme for securing data contents over open wireless network systems | |
| Varshney et al. | Cyber crime awareness and corresponding countermeasures | |
| Maple et al. | Choosing the right wireless LAN security protocol for the home and business user | |
| Hartl et al. | Subverting Counter Mode Encryption for Hidden Communication in High-Security Infrastructures | |
| Palit | E-Commerce Authentication | |
| Chandurkar et al. | Case Study on Cryptography | |
| TEKDOĞAN et al. | Prevention Techniques for SSL Hacking Threats to E-Government Services. | |
| Singh et al. | Enhancing the Security of JSON Web Token Using Signal Protocol and Ratchet System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200519 Termination date: 20200930 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |