CN112235112A - 基于零语义化与一次一密的ip加密方法、系统及存储介质 - Google Patents
基于零语义化与一次一密的ip加密方法、系统及存储介质 Download PDFInfo
- Publication number
- CN112235112A CN112235112A CN202010914966.1A CN202010914966A CN112235112A CN 112235112 A CN112235112 A CN 112235112A CN 202010914966 A CN202010914966 A CN 202010914966A CN 112235112 A CN112235112 A CN 112235112A
- Authority
- CN
- China
- Prior art keywords
- encryption
- time pad
- key
- randomized
- true random
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
- H04L9/16—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据保密通信领域,本发明公开了一种基于零语义化与一次一密的IP加密方法、系统及存储介质,其中IP加密方法包括:对整个需加密传输的IP报文实施随机化的分组加密运算,形成一个无格式的随机化数据块;对无格式的随机化数据块按奇偶字节分割分别形成两个无语义的随机化数据块;分别基于本端的量子真随机数矩阵产生随机密钥流,对两个无语义的随机化数据块实施一次一密的异或加密运算并搭载量子真随机数矩阵的同步信息,经链路传输分组加密后,将这两个分组加密数据块重新封装为标准的IPSec报文;IPSec报文经由公共互联网传输到目的IP密码设备,解密后恢复出加密传输的IP明文报文。本发明能够基于公共互联网建立高安全的IP保密通信网络。
Description
技术领域
本发明涉及数据保密通信技术领域,尤其涉及一种基于零语义化与一次一密的IP加密方法、系统及存储介质。
背景技术
目前,量子计算、神经网络计算等高性能计算技术发展迅速,将极大地提升密码分析破译技术的运算能力。高性能计算与密码分析技术的融合将对目前采用的保密通信方法形成严重的安全挑战。
在现有的IP保密通信网络中,IP加密采用人工预置的或由密钥分发协议动态分配的密钥,在下一次密钥更换之前使用的是同一个固定不变的密钥,高速保密通信系统在此期间将产生大量的相同密钥的明-密文对,从而给予敌手利用明-密文对照的密码分析技术实施破译的机会。此外,即使采取一包一密钥的分组加密方法,由于明文-密文与密钥三者之间存在固定的对应关系,也同样存在基于明-密对照分析破译的可利用条件,难以抵御量子计算的穷举攻击、深度神经网络的特征学习攻击以及唯密文分析攻击。
发明内容
为了解决上述问题,本发明提出一种基于零语义化与一次一密的IP加密方法、系统及存储介质,本发明基于随机化加密和奇偶分割两种机制实现无语义化的加密输入,再以量子真随机数矩阵提供与加密输入数据等长的密钥bit来实现香农一次一密的加密机制,以分组加密封装传输矩阵地址同步信息来实现一次一密密钥流的同步。这种零语义化与一次一密的结合使得密码系统的输入与输出之间不再存在固定的函数对应关系。基于这种构造原理实现的密码系统,将能够对抗量子计算、神经网络计算、明-密对比分析以及唯密文分析的破译攻击。
本发明的一种基于零语义化与一次一密的IP加密方法,包括以下步骤:
对整个需加密传输的IP报文实施随机化的分组加密运算,形成一个无格式的随机化数据块;
对所述无格式的随机化数据块按奇偶字节分割分别形成两个无语义的随机化数据块;
分别基于本端的量子真随机数矩阵产生随机密钥流,对所述两个无语义的随机化数据块实施一次一密的异或加密运算并搭载量子真随机数矩阵的同步信息,经链路传输分组加密后,将这两个分组加密数据块重新封装为标准的IPSec报文;
所述IPSec报文经由公共互联网传输到目的IP密码设备,由其解密处理装置实施解密,恢复出加密传输的IP明文报文。
进一步的,所述一次一密的异或加密运算包括:
通过大容量行、列量子真随机数矩阵输出的变换运算,产生真随机的、非重复的密钥流,基于矩阵行、列地址信息的加密传输实现一次一密密钥流的加密-解密同步。
进一步的,所述随机化的分组加密运算、所述一次一密的异或加密运算和所述链路传输分组加密的密钥,均由动态密钥分发协议协商产生,且三者彼此独立、互不相关。
本发明的一种基于零语义化与一次一密的IP加密系统,包括IP加密处理装置,所述IP加密处理装置包括:
随机化加密模块,用于以分组密码算法执行随机化加密处理;
奇偶分割模块,用于完成随机化加密输出数据的奇偶分割;
两个一次一密同步封装模块,基于本端的量子真随机数矩阵产生随机的密钥流,并实现一次一密异或加密运算与矩阵地址同步信息封装;
以及两个分组加密隧道封装模块,用于分组加密隧道封装,实现链路传输分组加密与IPSec封装传输。
进一步的,还包括IP解密处理装置,所述IP解密处理装置包括:
两个隧道解封分组解密模块,用于实现IPSec格式解封与分组解密运算;
两个一次一密同步解封模块,用于根据接收的矩阵地址同步信息,基于本端的量子真随机数矩阵产生随机密钥流,并实现一次一密异或解密运算与矩阵地址同步信息解封;
奇偶合路运算模块,用于将所述一次一密同步解封模块输出的无语义的奇、偶分割随机数据块,按奇、偶字节位置交替插入合并为一个随机数据块;
以及随机化解密模块,基于分组密码算法执行去随机化的解密运算。
进一步的,所述一次一密异或加密运算包括:
通过大容量行、列量子真随机数矩阵输出的变换运算,产生真随机的、非重复的密钥流,基于矩阵行、列地址信息的加密传输实现一次一密密钥流的加密-解密同步。
进一步的,所述分组密码运算、所述一次一密异或加密运算和所述链路传输分组加密的密钥,均由动态密钥分发协议协商产生,且三者彼此独立、互不相关。
本发明的一种存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述基于零语义化与一次一密的IP加密方法的步骤。
本发明的有益效果在于:
本发明融合了随机化加密与奇偶分割的零语义化、真随机密钥bit流的一次一密异或加密以及链路传输分组加密三种通信保护机制,能够在公共互联网上以低成本代价建立高安全的保密通信IP网络,既能够抵御现有的各种密码分析破译技术的攻击威胁,并且能够非常有效地对抗具有强大运算能力的高性能计算机的破译分析攻击,也能够有效地对抗基于神经网络特征学习的分析攻击,既可用于具有极高安全需求的党政军机密通信,也可用于具有高安全需求的商用保密通信。
本发明提出通过分组加密使链路传输加密的输入为随机化数据,在奇偶分割后将呈现零语义化的特征,使链路传输加密的输入与输出之间不存在固定的函数对应关系,能够对抗明-密分析攻击。再基于量子真随机数矩阵提供与输入数据等长的密钥bit以实现一次一密异或加密,其加密输出的密文流将呈现出真随机特性,能够对抗唯密文分析攻击、基于量子计算和神经网络计算的分析攻击。这样构造的密码系统,将极大地提升现有保密通信系统的安全性,能够同时对抗量子计算、神经网络计算、明-密对比分析以及唯密文分析的破译攻击。本发明具有对抗敌手运用网络监听和高性能计算实施破译分析攻击的能力,能够基于公共互联网建立高安全的IP保密通信网络。具体来说:
基于随机化加密与奇偶分割实现的零语义化机制:本发明采用了随机化加密与奇偶分割两种机制,通过随机化加密机制使链路传输加密的输入数据流呈现很好的随机化特性,使获得的随机化数据中1和0比特出现的统计概率相等。将奇偶分割数据块独自作为链路传输加密的输入,使得链路传输加密的输出与IP明文报文之间不再具有密码函数映射关系,从而使链路传输的加密输入不再含有明文的任何语义。
基于大容量矩阵提供非重复的且动态变换的密钥流:本发明通过大容量行、列量子真随机数矩阵输出的变换运算,产生真随机的、非重复的密钥bit流,基于矩阵行、列地址信息的加密传输可实现一次一密密钥bit流的加-解密精确同步。
零语义化与一次一密机制融合能够对抗所有的密码攻击技术:本发明在链路传输加密之前,采用了随机化加密与奇偶分割两种机制,使链路传输加密的输入数据流呈现很强的随机化特性,不仅使链路传输加密的输入不再含有明文的任何语义,而且使链路传输加密的输出与IP明文报文之间都不再具有确定的加密函数映射关系,因此能够对抗基于明-密对比的密码分析攻击。
此外,链路传输加密是由一次一密和分组加密两种机制实现的。首先,由大容量矩阵通过动态变换输出的量子真随机数作为一次一密异或运算的密钥bit流,因为一次一密加密机制不包含任何密码算法逻辑,所以能够对抗唯密文分析攻击。其次,一次一密加密的输出密文流中不存在任何可以通过大数据统计分析获取的数据特征,所以这种加密方法能够对抗基于神经网络深度学习特征分析的密码分析破译方法。最后,基于密钥bit流异或的一次一密加密机制,不仅其密钥空间极其巨大,而且每次加密运算的密钥bit流都具有非重复的、真随机变化的特性,因此即使敌手具有量子计算机的强大算力,也必须在多重密钥空间内实施联合穷举运算的分析攻击,所需的运算时间和存储空间在工程实际上都是不可能实现的。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明的架构示意图;
图2为一次一密实现原理示意图;
图3为奇偶分割零语义运算域格式示意图;
图4为链路传输加密报文封装格式示意图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明涉及以下专用术语:
一次一密:指香农定义的随机密钥bit长度不小于数据bit长度的异或运算加密机制。
矩阵行随机数存储器:容量为512GB,存储预先离线产生的量子真随机数的大容量非易失数据存储器,其量子真随机数据内容固定不变,作为产生一次一密密钥的矩阵行真随机数据初值。链路两端预置的矩阵行随机数存储器的数据内容完全一致。
矩阵列随机数存储器:容量为512GB,存储预先离线产生的量子真随机数的大容量非易失数据存储器,其量子真随机数据内容固定不变,作为产生一次一密密钥的矩阵列真随机数据初值。链路两端预置的矩阵列随机数存储器的数据内容完全一致。
量子真随机数矩阵:容量为512GB×512GB,为虚拟存在的真随机数矩阵,该矩阵中的每个元素为由两个长度为800B的真随机数据块构成的一个二元组,二元组的第1个真随机数据块初值取自于矩阵行随机数存储器,二元组的第2个真随机数据块初值取自于矩阵列随机数存储器。二元组的两个初值通过动态变换运算(即动态密钥的异或运算)产生一次一密密钥生成运算的两个输入。
量子真随机数矩阵地址:包括A1(长度为4B)和A2(长度为4B),A1为矩阵行随机数存储器中一个连续的800B数据块的首地址,其取值范围为
A2为矩阵列随机数存储器中一个连续的800B数据块的首地址,其取值范围为
A1和A2的初值都为零。每进行一次一次一密密钥运算,A1的值增量1。当A1的值完成一次遍历循环并复位为0值时,A2的值才增量1,当A2的值完成一次遍历循环时复位为0值。A1和A2的初值都为0。该矩阵地址增量1对应于存储器地址增量了800B。
矩阵行真随机数变换密钥(k4):为一个长度为800B的真随机数,用于对矩阵行真随机数存储器内指定真随机数据块的异或变换运算,收/发两端的k4值必须保持一致。其初值由人工注入产生,密钥协商过程将动态更新k4的值。
矩阵列真随机数变换密钥(k5):为一个长度为800B的真随机数,用于对矩阵列真随机数存储器内的指定真随机数据块的异或变换运算,收/发两端的k5值必须保持一致。其初值由人工注入产生,密钥协商过程将动态更新k5的值。
变换运算:针对矩阵行/列真随机数存储器中由A1/A2确定的一个量子真随机数据块,在真随机数变换密钥k4/k5的控制下,通过异或运算形成一个产生了动态变化的800B长的量子真随机数据块,作为密钥生成运算输入的真随机数据块。
密钥生成运算:针对变换运算获得的两个量子真随机数据块,通过异或运算,产生一个长度为800B的一次一密运算密钥。
一次一密运算:基于量子真随机数矩阵变换产生不小于加密输入数据块长度的真随机密钥数据,按照加密输入数据块的实际长度进行逐字节的异或操作。
随机化加/解密运算:随机化加密运算为基于分组密钥k3对IP明文报文实施分组加密运算,使传输链路的加密输入随机化。随机化解密运算为基于k3的分组解密运算。
零语义化:通过随机化加密运算和奇偶分割机制,使链路传输加密的输入数据不再含有任何明文语义。
分组加/解密密钥(k1/k2):用于对经过一次一密加密后的密态数据和矩阵同步控制参数实施保护的分组加/解密运算的密钥,长度为32字节,收/发两端的k1/k2值必须保持一致。其初值由人工注入产生,通过密钥协商过程动态协商改变。
随机化加/解密密钥(k3):用于对IP明文报文实施分组加密的分组密钥,长度为32字节,收/发两端的k3值必须保持一致。其初值由人工注入产生,通过密钥协商过程动态协商改变。
本发明提供了一种基于零语义化与一次一密的IP加密方法,基于分组加密机制使密码系统输入的IP明文报文数据转化为随机化数据,并结合奇偶分割机制去除链路传输加密输入数据的语义特性;基于矩阵变换变换机制为一次一密运算提供海量不重复的量子真随机数密钥比特流,基于分组加密为一次一密密钥流产生矩阵的行、列地址同步信息提供传输安全保护。
如图1所示,该IP加密方法包括以下步骤:
对整个需加密传输的IP报文实施随机化的分组加密运算,形成一个无格式的随机化数据块;
对无格式的随机化数据块按奇偶字节分割分别形成两个无语义的随机化数据块;
分别基于本端的量子真随机数矩阵产生随机密钥流,对两个无语义的随机化数据块实施一次一密的异或加密运算,并搭载量子真随机数矩阵的同步信息,经链路传输分组加密后,将这两个分组加密数据块重新封装为标准的IPSec报文;
IPSec报文经由公共互联网传输到目的IP密码设备,由其解密处理装置实施解密,恢复出加密传输的IP明文报文。
本发明不涉及IP加密设备之间的动态密钥协商、IP加密设备之间的IPSec报文封装的具体实现。其中,随机化的分组加密运算的密钥(k3)、一次一密的异或加密运算的密钥(k4、k5)和链路传输分组加密的密钥(k1、k2),均由动态密钥分发协议协商产生,且三者彼此独立、互不相关。
本发明提出的基于零语义化与一次一密的IP加密方法中,将要经过公共互联网传输的IP明文报文,首先对整个IP明文报文执行哈希运算,将其哈希值填充在末尾;然后,基于分组加密算法对这两个值域一起实施随机化分组加密运算,将获得的随机化数据按奇偶字节分割形成两个零语义化的随机化数据块,分别基于量子真随机数矩阵输出的长度相同的一次一密密钥的异或加密处理,附加上实现矩阵同步的、递增的行、列地址信息,形成IP加密隧道载荷数据块;最后,针对IP加密隧道载荷数据块,分别执行分组算法加密,重新封装为两个IP密态报文通过互联网向目的地传输。这两个IP密态报文的ID序号分别以奇偶递增的方式产生,且差值为1。
具体的,本发明提出的基于零语义化与一次一密的高安全IP加密方法中,一次一密密钥流的产生原理如图2所示,通过大容量(可选512GB)行、列量子真随机数矩阵输出的变换运算,产生真随机的、非重复的密钥流,基于矩阵行、列地址信息的加密传输实现一次一密密钥流的加密-解密同步。
本发明还提供了一种基于零语义化与一次一密的IP加密系统,如图1所示,包括IP加密处理装置,以及IP解密处理装置,其中IP加密处理装置包括:
随机化加密模块,用于以分组密码算法执行随机化加密处理;
奇偶分割模块,用于完成随机化加密输出数据的奇偶分割;
两个一次一密同步封装模块,基于本端的量子真随机数矩阵产生随机的密钥流,并实现一次一密异或加密运算与矩阵地址同步信息封装;
以及两个分组加密隧道封装模块,用于分组加密隧道封装,实现链路传输分组加密与IPSec封装传输。
IP解密处理装置包括:
两个隧道解封分组解密模块,用于实现IPSec格式解封与分组解密运算;
两个一次一密同步封装模块,用于根据接收的矩阵地址同步信息,基于本端的量子真随机数矩阵产生随机密钥流,并实现一次一密异或解密运算与矩阵地址同步信息解封;
奇偶合路运算模块,用于将一次一密同步解封模块输出的奇、偶分割随机数据块,按奇、偶字节位置交替插入合并为一个随机数据块;
以及随机化解密模块,基于分组密码算法执行去随机化的解密运算。
本发明还提供了一种存储介质,存储有计算机程序,计算机程序被处理器执行时能够实现上述基于零语义化与一次一密的IP加密方法的步骤。
在本发明的一个优选实施例中,IP加密处理工作流程如下:
当IP加密处理装置对一个IP明文报文执行IP加密时,采取以下处理步骤:
第一步基于哈希算法对IP明文报文执行哈希运算,将获得的32字节哈希值,串接在IP明文报文的末尾,如图3所示,形成随机化加密输入载荷。
第二步基于分组密钥k3,对随机化加密输入载荷执行分组加密,形成一个加密随机化数据块。
第三步对加密随机化数据块进行奇偶字节分割,奇字节按先后顺序合并构成为一个零语义化数据块,偶字节也按先后顺序合并构成为另一个零语义化数据块。
第四步分别针对每个零语义化数据块,首先基于A1地址从量子真随机数矩阵行存储器中读取一个与零语义化数据块等长的真随机数据块,以真随机数变换密钥k4,按照零语义化数据块的实际长度,对其进行逐字节的bit异或变换运算,获得与零语义化数据块等长的矩阵行真随机变换数据块。然后基于A2地址从量子真随机数矩阵列存储器中读取一个与零语义化数据块等长的真随机数据块,以真随机数变换密钥k5,按照零语义化数据块的实际长度,对其进行逐字节的bit异或变换运算,获得与零语义化数据块等长的矩阵列真随机变换数据块。
第五步针对矩阵行真随机变换数据块与矩阵列真随机变换数据块,按照零语义化数据块的实际长度,通过逐字节的bit异或运算,获得与零语义化数据块等长的一次一密运算密钥。
第六步以一次一密运算密钥,按照零语义化数据块的实际长度对零语义化数据块进行逐字节的bit异或运算,获得一次一密密态数据块。
第七步将4字节的A1地址和4字节的A2地址作为一次一密密钥流产生的同步信息串接到一次一密密态数据块的末尾,共同形成一次一密封装载荷。
第八步分别基于分组加密密钥k1、k2,对一次一密封装载荷实施分组加密,重新加封标准的IP协议头,如图4所示,形成两个IP密态报文。其中,将使用k1加密形成的IP密态报文序号值域设置为递增的奇序号值,将使用k2加密形成的IP密态报文序号值域设置为递增的偶序号值,并且这两个IP密态报文序号的差值为1。然后,将这两个IP密态报文发送到公共互联网中,通过路由中继转发传输到目的地IP密码机。
第九步将A1的值增量1,若A1的值达到行矩阵数据块的最大地址时,将A1值归0,同时将A2的值增量1,若A2的值达到列矩阵数据块时,将A2值归0。
至此,IP加密处理装置就完成了对IP明文报文的加密处理流程。
在本发明的一个优选实施例中,IP解密处理工作流程如下:
当IP解密处理装置接收到IP密态报文时,采取以下步骤:
第一步剥离掉IP加密隧道传输封装的IP头。
第二步对于奇序号对应的IP密态报文,基于密钥k1对其密态载荷实施分组解密运算,获得一个一次一密封装载荷。对于偶序号对应的IP密态报文,基于密钥k2对其密态载荷实施分组解密运算,获得另一个一次一密封装载荷。
第三步根据每个一次一密封装载荷内包含的一次一密密态数据块和矩阵同步地址A1′和A2′,首先基于A1′地址从量子真随机数矩阵行存储器中读取一个与一次一密密态数据块等长的真随机数据块,以真随机数变换密钥k4,按照一次一密密态数据块的实际长度,对其进行逐字节的bit异或变换运算,获得与一次一密密态数据块等长的矩阵行真随机变换数据块。然后基于A2′地址从量子真随机数矩阵列存储器中读取一个与一次一密密态数据块等长的真随机数据块,以真随机数变换密钥k5,按照一次一密密态数据块的实际长度,对其进行逐字节的bit异或变换运算,获得与一次一密密态数据块等长的矩阵列真随机变换数据块。
第四步针对矩阵行真随机变换数据块与矩阵列真随机变换数据块,按照一次一密密态数据块的实际长度,通过逐字节的bit异或运算,获得与一次一密密态数据块等长的一次一密运算密钥。
第五步应用一次一密运算密钥,按照一次一密密态数据块的实际长度对一次一密密态数据块进行逐字节的bit异或运算,恢复出仅由奇/偶字节构成的零语义化数据块。
第六步基于两个奇偶序号已收齐(即序号关联且差值为1)的零语义化数据块,执行逐字节的奇偶位置交错插入的合并运算,恢复出加密随机化数据块。
第七步基于密钥k3对加密随机化数据块实施分组解密运算,恢复出随机化加密输入载荷。
第八步根据随机化加密输入载荷末尾的32字节哈希验证值,对其前面的数据内容进行哈希运算与验证。
第九步剥离掉随机化加密输入载荷封装的哈希值域,恢复出IP明文报文。
至此,IP解密处理装置就完成了对IP密态报文的解密处理流程。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (8)
1.一种基于零语义化与一次一密的IP加密方法,其特征在于,包括以下步骤:
对整个需加密传输的IP报文实施随机化的分组加密运算,形成一个无格式的随机化数据块;
对所述无格式的随机化数据块按奇偶字节分割分别形成两个无语义的随机化数据块;
分别基于本端的量子真随机数矩阵产生随机密钥流,对所述两个无语义的随机化数据块实施一次一密的异或加密运算,并搭载量子真随机数矩阵的同步信息,经链路传输分组加密后,将这两个分组加密数据块重新封装为标准的IPSec报文;
所述IPSec报文经由公共互联网传输到目的IP密码设备,由其解密处理装置实施解密,恢复出加密传输的IP明文报文。
2.根据权利要求1所述的一种基于零语义化与一次一密的IP加密方法,其特征在于,所述一次一密的异或加密运算包括:
通过大容量行、列量子真随机数矩阵输出的变换运算,产生真随机的、非重复的密钥流,基于矩阵行、列地址信息的加密传输实现一次一密密钥流的加密-解密同步。
3.根据权利要求1所述的一种基于零语义化与一次一密的IP加密方法,其特征在于,所述随机化的分组加密运算、所述一次一密的异或加密运算和所述链路传输分组加密的密钥,均由动态密钥分发协议协商产生,且三者彼此独立、互不相关。
4.一种基于零语义化与一次一密的IP加密系统,包括IP加密处理装置,所述IP加密处理装置包括:
随机化加密模块,用于以分组密码算法执行随机化加密处理;
奇偶分割模块,用于完成随机化加密输出数据的奇偶分割;
两个一次一密同步封装模块,基于本端的量子真随机数矩阵产生随机的密钥流,并实现一次一密异或加密运算与矩阵地址同步信息封装;
以及两个分组加密隧道封装模块,用于分组加密隧道封装,实现链路传输分组加密与IPSec封装传输。
5.根据权利要求4所述的一种基于零语义化与一次一密的IP加密系统,其特征在于,还包括IP解密处理装置,所述IP解密处理装置包括:
两个隧道解封分组解密模块,用于实现IPSec格式解封与分组解密运算;
两个一次一密同步解封模块,用于根据接收的矩阵地址同步信息,基于本端的量子真随机数矩阵产生随机密钥流,并实现一次一密异或解密运算与矩阵地址同步信息解封;
奇偶合路运算模块,用于将所述一次一密同步解封模块输出的无语义的随机数据块,按奇、偶字节位置交替插入合并为一个随机数据块;
以及随机化解密模块,基于分组密码算法执行去随机化的解密运算。
6.根据权利要求4或5所述的一种基于零语义化与一次一密的IP加密系统,其特征在于,所述一次一密异或加密运算包括:
通过大容量行、列量子真随机数矩阵输出的变换运算,产生真随机的、非重复的密钥流,基于矩阵行、列地址信息的加密传输实现一次一密密钥流的加密-解密同步。
7.根据权利要求4或5所述的一种基于零语义化与一次一密的IP加密系统,其特征在于,所述分组密码运算、所述一次一密异或加密运算和所述链路传输分组加密的密钥,均由动态密钥分发协议协商产生,且三者彼此独立、互不相关。
8.一种存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-3任一项所述的一种基于零语义化与一次一密的IP加密方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010914966.1A CN112235112B (zh) | 2020-09-03 | 2020-09-03 | 基于零语义化与一次一密的ip加密方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010914966.1A CN112235112B (zh) | 2020-09-03 | 2020-09-03 | 基于零语义化与一次一密的ip加密方法、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112235112A true CN112235112A (zh) | 2021-01-15 |
| CN112235112B CN112235112B (zh) | 2022-03-18 |
Family
ID=74115852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010914966.1A Active CN112235112B (zh) | 2020-09-03 | 2020-09-03 | 基于零语义化与一次一密的ip加密方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112235112B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114710324A (zh) * | 2022-03-16 | 2022-07-05 | 深圳市风云实业有限公司 | 一种基于密码本置换加解密的跨网隧道报文传输方法 |
| US11449799B1 (en) * | 2020-01-30 | 2022-09-20 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11477016B1 (en) | 2019-09-10 | 2022-10-18 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11533175B1 (en) | 2020-01-30 | 2022-12-20 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography on a smartcard |
| US11626983B1 (en) | 2019-09-10 | 2023-04-11 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11727829B1 (en) | 2020-01-30 | 2023-08-15 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11736281B1 (en) | 2019-09-10 | 2023-08-22 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11838410B1 (en) | 2020-01-30 | 2023-12-05 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2001253034A1 (en) * | 2000-03-29 | 2001-10-08 | Vadium Technology, Inc. | One-time-pad encryption with central key service and keyable characters |
| CN101969376A (zh) * | 2010-09-23 | 2011-02-09 | 北京航空航天大学 | 一种具有语义安全的自适应加密系统及方法 |
| BG110437A (bg) * | 2009-08-06 | 2011-02-28 | Специализирано Висше Училище По Библиотекознание И Информационни Технологии | Метод на еднократния бележник (one time pad) за шифриране чрез пространствено заместване и разместване |
| CN102170350A (zh) * | 2011-04-11 | 2011-08-31 | 桂林电子科技大学 | 具有误导功能的多重不确定加密系统 |
| CN102412963A (zh) * | 2011-12-30 | 2012-04-11 | 桂林电子科技大学 | 基于随机序列的具有误导功能的加密方法 |
| US20120255035A1 (en) * | 2004-10-25 | 2012-10-04 | Security First Corp. | Secure data parser method and system |
| WO2012172080A1 (en) * | 2011-06-17 | 2012-12-20 | Universite Libre De Bruxelles | Generation of cryptographic keys |
| CN104468097A (zh) * | 2015-01-13 | 2015-03-25 | 中国人民解放军理工大学 | 一种基于量子密钥分发的安全数据通信实现方法 |
| CN105337737A (zh) * | 2014-07-03 | 2016-02-17 | 华为技术有限公司 | 公钥加密通信方法和装置 |
| CN107786327A (zh) * | 2016-08-31 | 2018-03-09 | 电子科技大学 | 一种基于ldpc码的安全可靠传输方法 |
| CN110798311A (zh) * | 2019-10-15 | 2020-02-14 | 中国电子科技集团公司第三十研究所 | 基于量子真随机数矩阵实现一次一密的ip加密方法 |
-
2020
- 2020-09-03 CN CN202010914966.1A patent/CN112235112B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2001253034A1 (en) * | 2000-03-29 | 2001-10-08 | Vadium Technology, Inc. | One-time-pad encryption with central key service and keyable characters |
| US20120255035A1 (en) * | 2004-10-25 | 2012-10-04 | Security First Corp. | Secure data parser method and system |
| BG110437A (bg) * | 2009-08-06 | 2011-02-28 | Специализирано Висше Училище По Библиотекознание И Информационни Технологии | Метод на еднократния бележник (one time pad) за шифриране чрез пространствено заместване и разместване |
| CN101969376A (zh) * | 2010-09-23 | 2011-02-09 | 北京航空航天大学 | 一种具有语义安全的自适应加密系统及方法 |
| CN102170350A (zh) * | 2011-04-11 | 2011-08-31 | 桂林电子科技大学 | 具有误导功能的多重不确定加密系统 |
| WO2012172080A1 (en) * | 2011-06-17 | 2012-12-20 | Universite Libre De Bruxelles | Generation of cryptographic keys |
| CN102412963A (zh) * | 2011-12-30 | 2012-04-11 | 桂林电子科技大学 | 基于随机序列的具有误导功能的加密方法 |
| CN105337737A (zh) * | 2014-07-03 | 2016-02-17 | 华为技术有限公司 | 公钥加密通信方法和装置 |
| CN104468097A (zh) * | 2015-01-13 | 2015-03-25 | 中国人民解放军理工大学 | 一种基于量子密钥分发的安全数据通信实现方法 |
| CN107786327A (zh) * | 2016-08-31 | 2018-03-09 | 电子科技大学 | 一种基于ldpc码的安全可靠传输方法 |
| CN110798311A (zh) * | 2019-10-15 | 2020-02-14 | 中国电子科技集团公司第三十研究所 | 基于量子真随机数矩阵实现一次一密的ip加密方法 |
Non-Patent Citations (1)
| Title |
|---|
| SONGSHENG TANG, FUQIANG LIU: ""A one-time pad encryption algorithm based on oneway hash and conventional block cipher"", 《2012 2ND INTERNATIONAL CONFERENCE ELECTRONICS,COMMUNICATIONS AND NETWORKS》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11477016B1 (en) | 2019-09-10 | 2022-10-18 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11626983B1 (en) | 2019-09-10 | 2023-04-11 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11736281B1 (en) | 2019-09-10 | 2023-08-22 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11750378B1 (en) | 2019-09-10 | 2023-09-05 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11902431B1 (en) | 2019-09-10 | 2024-02-13 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11449799B1 (en) * | 2020-01-30 | 2022-09-20 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11533175B1 (en) | 2020-01-30 | 2022-12-20 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography on a smartcard |
| US11727310B1 (en) | 2020-01-30 | 2023-08-15 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11727829B1 (en) | 2020-01-30 | 2023-08-15 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11838410B1 (en) | 2020-01-30 | 2023-12-05 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| CN114710324A (zh) * | 2022-03-16 | 2022-07-05 | 深圳市风云实业有限公司 | 一种基于密码本置换加解密的跨网隧道报文传输方法 |
| CN114710324B (zh) * | 2022-03-16 | 2024-02-13 | 深圳市风云实业有限公司 | 一种基于密码本置换加解密的跨网隧道报文传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112235112B (zh) | 2022-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112235112B (zh) | 基于零语义化与一次一密的ip加密方法、系统及存储介质 | |
| US8687800B2 (en) | Encryption method for message authentication | |
| EP1107504B1 (en) | Method of updating encryption keys in a data communication system | |
| US6351539B1 (en) | Cipher mixer with random number generator | |
| CN110519050B (zh) | 基于量子真随机数交换与黑盒映射的密钥协商方法 | |
| US6490354B2 (en) | Lightweight word-oriented technique for generating a pseudo-random sequence for use in a keystream of a stream cipher | |
| CN110798311B (zh) | 基于量子真随机数矩阵实现一次一密的ip加密方法 | |
| US11082210B2 (en) | Method for sequentially encrypting and decrypting singly linked lists based on double key stream ciphers | |
| WO2014159189A1 (en) | System and method for counter mode encrypted communication with reduced bandwidth | |
| WO2007107801A1 (en) | Symmetric key cryptographic method and apparatus for information encryption and decryption | |
| CN106850191A (zh) | 分布式存储系统通信协议的加密、解密方法及装置 | |
| CN111224974A (zh) | 用于网络通信内容加密的方法、系统、电子设备及存储介质 | |
| CN111555859A (zh) | Sm4-gcm算法及在网络安全协议中的应用 | |
| CN110011786A (zh) | 一种高安全的ip保密通信方法 | |
| Biryukov et al. | Cryptanalysis of the “kindle” cipher | |
| US7203834B1 (en) | Method of updating encryption keys in a data communication system | |
| CN107147626A (zh) | 一种AES算法与ElGamal算法相结合的加密文件传输方法 | |
| Forhad et al. | An improvement of advanced encryption standard | |
| US11184154B2 (en) | Method for sequentially encrypting and decrypting doubly linked lists based on double key stream ciphers | |
| Xiao et al. | Data transmission scheme based on AES and polar codes | |
| Young et al. | Backdoor attacks on black-box ciphers exploiting low-entropy plaintexts | |
| Ahmad et al. | Energy efficient sensor network security using Stream cipher mode of operation | |
| CN113099447B (zh) | 无人机群的安全认证方法及无人机群 | |
| CN117915317B (zh) | 一种用于智能穿戴设备的数据传输方法及系统 | |
| CN113923029B (zh) | 基于ecc混合算法的物联网信息加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |