CN112751879A - 一种拟态dns防御系统通信加密和解密方法 - Google Patents

一种拟态dns防御系统通信加密和解密方法 Download PDF

Info

Publication number
CN112751879A
CN112751879A CN202110022408.9A CN202110022408A CN112751879A CN 112751879 A CN112751879 A CN 112751879A CN 202110022408 A CN202110022408 A CN 202110022408A CN 112751879 A CN112751879 A CN 112751879A
Authority
CN
China
Prior art keywords
dns
heterogeneous
key
message
mimicry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110022408.9A
Other languages
English (en)
Other versions
CN112751879B (zh
Inventor
张若鸿
孙萍
贺磊
张伟丽
宋强
王大深
李子田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Runstone Technology Inc
Original Assignee
Beijing Runstone Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Runstone Technology Inc filed Critical Beijing Runstone Technology Inc
Priority to CN202110022408.9A priority Critical patent/CN112751879B/zh
Publication of CN112751879A publication Critical patent/CN112751879A/zh
Application granted granted Critical
Publication of CN112751879B publication Critical patent/CN112751879B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种拟态DNS防御系统通信加密和解密方法,加密方法包括:步骤1)依次获取所有异构件统计的DNS解析运行状态,DNS解析运行状态包含已处理DNS请求数量和统计时间;步骤2)根据每个异构件记录的处理DNS请求数量和当前时间与统计时间的差值,生成异构件的身份ID;步骤3)根据异构件的身份ID生成密钥;步骤4)将密钥告知异构件后,使用密钥加密消息后发送到异构件。

Description

一种拟态DNS防御系统通信加密和解密方法
技术领域
本发明属于一种拟态DNS防御系统通信加密和解密方法。
背景技术
DNS是网络信息交互的“大脑”,是访问互联网门户的重要条件,发展历程和方向是互联网发展的缩影,同时也是网络空间攻防对抗的关键点和制高点。作为提供开放DNS解析服务的设备,庞大的域名数据库信息在复杂的网络环境中,容易成为恶意攻击者的目标。一旦攻击者控制了DNS设备,进行数据窃篡改,可实现对网络的大规模致瘫,严重破环互联网安全。
拟态DNS防御系统在其架构中引入多个异构冗余的执行体,通过对各个执行体维护的域名数据库信息进行共识裁决,进行优选;通过对执行体的策略调度,可以实现拟态DNS防御系统对外呈现特征的不确定变化。在满足一定差异化设计的前提下,不同的执行体存在完全相同漏洞或后门的概率极低,攻击者即使控制了部分执行体,其恶意行为也很容易被拟态裁决机制所阻断,从而极大地提高DNS设备应对网络攻击的能力。
现有技术中,拟态DNS防御系统中的管理模块直接与异构体进行通信以完成对异构体的管理操作,以管理模块强制异构体返回域名指定资源记录值为例:管理模块首先读取将要下发到异构件的DNS ZONE配置文件,然后携带与异构件预先定义好的认证账户与密码同配置文件数据流组成消息一同发送到异构件,并以目录映射的方式灵活传输到异构件的指定位置;
异构件收到消息后校验账户与密码,匹配则接收,不匹配则拒绝。
当管理模块与异构件进行通信时,采用明文通信的方式,可能会被‘精心伪装’的攻击设备在网络链路上截获通信消息,通过提取通信消息的关键字段,伪装成管理模块与异构件进行通信,影响拟态DNS防御系统的安全。
发明内容
本发明所要解决的技术问题是提供一种拟态DNS防御系统通信加密和解密方法。
本发明解决上述技术问题所采取的技术方案如下:
一种拟态DNS防御系统通信加密方法,包括:
步骤1)依次获取所有异构件统计的DNS解析运行状态,DNS解析运行状态包含已处理DNS请求数量和统计时间;
步骤2)根据每个异构件记录的处理DNS请求数量和前时间与统计时间的差值,生成异构件的身份ID;
步骤3)根据异构件的身份ID生成密钥;
步骤4)将密钥告知异构件后,使用密钥加密消息后发送到异构件。
优选的是,步骤2)中,具体包括:
根据每个异构件记录的处理DNS请求数量Q,取中位数I,结合当前时间与统计时间的差值T,生成异构件的身份ID:M:
M=(Q-I+2^40)*T。
优选的是,步骤3)中,包括:
根据异构件n的身份ID生成密钥Yn,如下:
Figure BSA0000230083630000021
f:十六进制数,表示10进制数:15;0xffff:十六进制数,表示10进制数:65535。
优选的是,步骤4)中,包括:
遍历消息,以二进制48位为一组,使用密钥Yn对每一组消息D进行加密,生成加密消息组SD,如下:
S=0xffffffffffffffffffffffff,s1=0xffffffffffff
Figure BSA0000230083630000022
D:表示未加密前的通信消息单位,以48位为一组;
oxfffff:十六进制数,表示十进制65535;Yn表示异构体n的密钥串。
一种拟态DNS防御系统通信解密方法,包括:
步骤1)依次获取所有异构件统计的DNS解析运行状态,DNS解析运行状态包含已处理DNS请求数量和统计时间;
步骤2)根据每个异构件记录的处理DNS请求数量和前时间与统计时间的差值,生成异构件的身份ID;
步骤3)根据异构件的身份ID生成密钥;
步骤4)将密钥告知异构件后,使用密钥加密消息后发送到异构件;
步骤5)异构件使用密钥解密上述加密消息。
步骤2)中,具体包括:
根据每个异构件记录的处理DNS请求数量Q,取中位数I,结合当前时间与统计时间的差值T,生成异构件的身份ID:M:
M=(Q-I+2^40)*T。
步骤3)中,包括:
根据异构件n的身份ID生成密钥Yn,如下:
Figure BSA0000230083630000031
步骤4)中,包括:
遍历消息,以二进制48位为一组,使用密钥Yn对每一组消息D进行加密,生成加密消息组SD,如下:
S=0xffffffffffffffffffffffff,s1=0xffffffffffff
Figure BSA0000230083630000032
步骤5)中,具体包括:
5)异构件n使用密钥Yn解密上述加密消息SD,异构件n会遍历加密消息,以二进制96位为一组使用密钥Yn解密消息并还原消息D,如下:
Figure BSA0000230083630000033
本发明旨在利用拟态系统独有的特性作为加密解密的密钥种子,极大地增加了管理模块与异构体模块通信的安全性和动态性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
下面结合附图对本发明进行详细的描述,以使得本发明的上述优点更加明确。其中,
图1是本发明拟态DNS防御系统通信加密方法的流程示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明提供了一种拟态DNS防御系统通信加密和与其对应的解密方法,具体来说,如图1所示:
一种拟态DNS防御系统通信加密方法,包括:
步骤1)依次获取所有异构件统计的DNS解析运行状态,DNS解析运行状态包含已处理DNS请求数量和统计时间;
步骤2)根据每个异构件记录的处理DNS请求数量和前时间与统计时间的差值,生成异构件的身份ID;
步骤3)根据异构件的身份ID生成密钥;
步骤4)将密钥告知异构件后,使用密钥加密消息后发送到异构件。
优选的是,步骤2)中,具体包括:
根据每个异构件记录的处理DNS请求数量Q,取中位数I,结合当前时间与统计时间的差值T,生成异构件的身份ID:M:
M=(Q-I+2^40)*T。
优选的是,步骤3)中,包括:
根据异构件n的身份ID生成密钥Yn,如下:
Figure BSA0000230083630000041
优选的是,步骤4)中,包括:
遍历消息,以二进制48位为一组,使用密钥Yn对每一组消息D进行加密,生成加密消息组SD,如下:
S=0xffffffffffffffffffffffff,s1=0xffffffffffff
Figure BSA0000230083630000042
D:表示未加密前的通信消息单位,以48位为一组;
oxfffff:十六进制数,表示十进制65535;Yn表示异构体n的密钥串。本发明旨在利用拟态系统独有的特性作为加密解密的密钥种子,极大地增加了管理模块与异构体模块通信的安全性和动态性。
此外,与上述加密方法相对应,还公开了一种解密方法,具体来说,包括:
步骤1)依次获取所有异构件统计的DNS解析运行状态,DNS解析运行状态包含已处理DNS请求数量和统计时间;
步骤2)根据每个异构件记录的处理DNS请求数量和前时间与统计时间的差值,生成异构件的身份ID;
步骤3)根据异构件的身份ID生成密钥;
步骤4)将密钥告知异构件后,使用密钥加密消息后发送到异构件;
步骤5)异构件使用密钥解密上述加密消息。
其中,步骤5)中,包括:
异构件n使用密钥Yn解密上述加密消息SD,异构件n会遍历加密消息,以二进制96位为一组使用密钥Yn解密消息并还原消息D,如下:
Figure BSA0000230083630000051
在一个具体实施例中,其主要包括下列的步骤:
1)首先管理模块依次获取所有异构件统计的DNS解析运行状态,DNS解析运行状态包含已处理DNS请求数量和统计时间,根据每个异构件记录的“处理DNS请求数量”:Q,取中位数I,结合当前时间与统计时间的差值:T,生成异构件的身份ID:M,生成原理如下
M=(Q-I+2^40)*T
2)以异构件n为例,管理模块根据异构件n的身份ID生成密钥Yn,生成原理如下:
Figure BSA0000230083630000052
3)管理模块将密钥Yn告知异构件n后,使用密钥Yn加密消息后发送到异构件n,管理模块会遍历消息,以二进制48位为一组,使用密钥Yn对每一组消息D进行加密,生成加密消息组SD,原理如下:
S=0xffffffffffffffffffffffff,s1=0xffffffffffff
Figure BSA0000230083630000053
6)异构件n使用密钥Yn解密来自管理模块的加密消息SD,异构件n会遍历加密消息,以二进制96位为一组使用密钥Yn解密消息并还原消息D,原理如下:
Figure BSA0000230083630000054
其中,根据本管理模块与异构体模块通信加密方法,当有设备试图在网络环境截获管理模块与异构体模块通信消息时,由于没有密钥所以无法获取加密消息的原始内容,可以有效防范来自非法设备的攻击,提高拟态DNS防御系统的安全性。
需要说明的是,对于上述方法实施例而言,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种拟态DNS防御系统通信加密方法,其特征在于,包括:
步骤1)依次获取所有异构件统计的DNS解析运行状态,DNS解析运行状态包含已处理DNS请求数量和统计时间;
步骤2)根据每个异构件记录的处理DNS请求数量和当前时间与统计时间的差值,生成异构件的身份ID;
步骤3)根据异构件的身份ID生成密钥;
步骤4)将密钥告知异构件后,使用密钥加密消息后发送到异构件。
2.根据权利要求1所述的拟态DNS防御系统通信加密方法,其特征在于,步骤2)中,具体包括:
根据每个异构件记录的处理DNS请求数量Q,取中位数I,结合当前时间与统计时间的差值T,生成异构件的身份ID:M:
M=(Q-I+2^40)*T。
3.根据权利要求2所述的拟态DNS防御系统通信加密方法,其特征在于,步骤3)中,包括:
根据异构件n的身份ID生成密钥Yn,如下:
Figure FSA0000230083620000011
f:十六进制数,表示10进制数:15;0xffff:十六进制数,表示10进制数:65535。
4.根据权利要求3所述的拟态DNS防御系统通信加密方法,其特征在于,步骤4)中,包括:
遍历消息,以二进制48位为一组,使用密钥Yn对每一组消息D进行加密,生成加密消息组SD,如下:
S=0xffffffffffffffffffffffff,s1=0xffffffffffff
Figure FSA0000230083620000012
D:表示未加密前的通信消息单位,以48位为一组;oxfffff:十六进制数,表示十进制65535;Yn表示异构体n的密钥串。
5.一种拟态DNS防御系统通信解密方法,其特征在于,包括:
步骤1)依次获取所有异构件统计的DNS解析运行状态,DNS解析运行状态包含已处理DNS请求数量和统计时间;
步骤2)根据每个异构件记录的处理DNS请求数量和前时间与统计时间的差值,生成异构件的身份ID;
步骤3)根据异构件的身份ID生成密钥;
步骤4)将密钥告知异构件后,使用密钥加密消息后发送到异构件;
步骤5)异构件使用密钥解密上述加密消息。
6.根据权利要求5所述的拟态DNS防御系统通信解密方法,其特征在于,步骤2)中,具体包括:
根据每个异构件记录的处理DNS请求数量Q,取中位数I,结合当前时间与统计时间的差值T,生成异构件的身份ID:M:
M=(Q-I+2^40)*T。
7.根据权利要求6所述的拟态DNS防御系统通信解密方法,其特征在于,步骤3)中,包括:
根据异构件n的身份ID生成密钥Yn,如下:
Figure FSA0000230083620000021
f:十六进制数,表示10进制数:15;0xffff:十六进制数,表示10进制数:65535。
8.根据权利要求7所述的拟态DNS防御系统通信解密方法,其特征在于,步骤4)中,包括:
遍历消息,以二进制48位为一组,使用密钥Yn对每一组消息D进行加密,生成加密消息组SD,如下:
S=0xffffffffffffffffffffffff,s1=0xffffffffffff
Figure FSA0000230083620000022
D:表示未加密前的通信消息单位,以48位为一组;oxfffff:十六进制数,表示十进制65535;Yn表示异构体n的密钥串。
9.根据权利要求5所述的拟态DNS防御系统通信解密方法,其特征在于,步骤5)中,具体包括:
4)异构件n使用密钥Yn解密上述加密消息SD,异构件n会遍历加密消息,以二进制96位为一组使用密钥Yn解密消息并还原消息D,如下:
Figure FSA0000230083620000023
CN202110022408.9A 2021-01-08 2021-01-08 一种拟态dns防御系统通信加密和解密方法 Active CN112751879B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110022408.9A CN112751879B (zh) 2021-01-08 2021-01-08 一种拟态dns防御系统通信加密和解密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110022408.9A CN112751879B (zh) 2021-01-08 2021-01-08 一种拟态dns防御系统通信加密和解密方法

Publications (2)

Publication Number Publication Date
CN112751879A true CN112751879A (zh) 2021-05-04
CN112751879B CN112751879B (zh) 2023-06-27

Family

ID=75650322

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110022408.9A Active CN112751879B (zh) 2021-01-08 2021-01-08 一种拟态dns防御系统通信加密和解密方法

Country Status (1)

Country Link
CN (1) CN112751879B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904934A (zh) * 2021-12-09 2022-01-07 之江实验室 一种基于异构校验的高安全设备配置方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160373252A1 (en) * 2015-02-14 2016-12-22 Valimail Inc. Secure and delegated distribution of private keys via domain name service
CN111444499A (zh) * 2020-03-31 2020-07-24 中国人民解放军海军潜艇学院 用户身份认证方法及系统
CN111800467A (zh) * 2020-06-04 2020-10-20 河南信大网御科技有限公司 远程同步通信方法、数据交互方法、设备及可读存储介质
CN111818196A (zh) * 2020-07-22 2020-10-23 深圳市有方科技股份有限公司 域名解析方法、装置、计算机设备和存储介质
CN111970109A (zh) * 2020-08-13 2020-11-20 山东英信计算机技术有限公司 一种数据传输方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160373252A1 (en) * 2015-02-14 2016-12-22 Valimail Inc. Secure and delegated distribution of private keys via domain name service
CN111444499A (zh) * 2020-03-31 2020-07-24 中国人民解放军海军潜艇学院 用户身份认证方法及系统
CN111800467A (zh) * 2020-06-04 2020-10-20 河南信大网御科技有限公司 远程同步通信方法、数据交互方法、设备及可读存储介质
CN111818196A (zh) * 2020-07-22 2020-10-23 深圳市有方科技股份有限公司 域名解析方法、装置、计算机设备和存储介质
CN111970109A (zh) * 2020-08-13 2020-11-20 山东英信计算机技术有限公司 一种数据传输方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王禛鹏等: "一种基于拟态安全防御的DNS框架设计", 《电子学报》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904934A (zh) * 2021-12-09 2022-01-07 之江实验室 一种基于异构校验的高安全设备配置方法和装置
CN113904934B (zh) * 2021-12-09 2022-04-08 之江实验室 一种基于异构校验的高安全设备配置方法和装置

Also Published As

Publication number Publication date
CN112751879B (zh) 2023-06-27

Similar Documents

Publication Publication Date Title
CN110324143B (zh) 数据传输方法、电子设备及存储介质
CN109361668B (zh) 一种数据可信传输方法
US7587608B2 (en) Method and apparatus for storing data on the application layer in mobile devices
US9852300B2 (en) Secure audit logging
CN110430161B (zh) 一种基于区块链的可监管数据匿名分享方法及系统
CN105656864B (zh) 基于tcm的密钥管理系统及管理方法
EP2251810B1 (en) Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method
CN109921902B (zh) 一种密钥管理方法、安全芯片、业务服务器及信息系统
Muthurajkumar et al. Secured temporal log management techniques for cloud
CN110430051B (zh) 一种密钥存储方法、装置及服务器
CN111274599A (zh) 一种基于区块链的数据共享方法及相关装置
US11626976B2 (en) Information processing system, information processing device, information processing method and information processing program
CN112565265A (zh) 物联网终端设备间的认证方法、认证系统及通讯方法
US11288381B2 (en) Calculation device, calculation method, calculation program and calculation system
CN112685786A (zh) 一种金融数据加密、解密方法、系统、设备及存储介质
CN112182616A (zh) 核心表数据的密码技术安全控制方法及系统
CN114221927A (zh) 基于国密算法的邮件加密服务系统及方法
CN112751879B (zh) 一种拟态dns防御系统通信加密和解密方法
CN113722741A (zh) 数据加密方法及装置、数据解密方法及装置
CN103379103A (zh) 线性与加密解密的硬件实现方法
CN117439799A (zh) 一种http请求数据防篡改的方法
CN103577771A (zh) 一种基于磁盘加密的虚拟桌面数据防泄漏保护技术
CN116743470A (zh) 业务数据加密处理方法及装置
Said et al. A multi-factor authentication-based framework for identity management in cloud applications
CN116432193A (zh) 一种金融数据库数据保护改造方法及其金融数据保护系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant