CN113452694B - 基于公共通道对终端应用实现网络控制的隐蔽通信方法 - Google Patents

Abstract

本发明公开了一种基于公共通道对终端应用实现网络控制的隐蔽通信方法，目的是解决单点失效、信息泄露、信息溯源、服务方窥探和跨平台支持问题。技术方案是：构建一个对终端应用实现网络控制的隐蔽通信系统，使用公共通信服务商提供的通信服务，采用端到端非对称加密方式对控制信息进行加密和签名，使用信息隐藏技术将加密控制信息隐藏到多媒体信息当中，并利用公共通信通道进行传输，发送方和接收方内嵌有消息中间件作为消息代理，使用消息中间件作为消息代理来进行消息的收发，实现多终端多应用间的高效可靠传输。采用本发明可有效规避控制通信过程中单点失效、信息溯源、信息泄露问题，实现更加安全、稳定和隐秘的网络控制。

Description

基于公共通道对终端应用实现网络控制的隐蔽通信方法

技术领域

本发明涉及数据安全及通信技术领域，尤其涉及一种基于公共通道对终端应用实现网络控制的隐蔽通信方法。

背景技术

网络控制技术分成集中式网络控制技术和分布式网络控制技术。集中式网络控制技术使用专门的网络控制节点，控制软件和控制功能主要集中在网络控制节点上，该技术便于对被管理节点的集中控制。分布式网络控制技术使用中心网络控制节点和分布网络控制节点，两者交互作用，共同实现网络控制功能，该技术灵活性高，可伸缩性好。

终端应用的网络控制使用集中式网络控制技术时，方便集中控制，但是控制信息汇总到控制节点上，会造成控制信息流拥塞，或者由于各种不可抗力因素而造成单点失效。使用分布式网络控制技术可以规避单点失效，但是不利于被管理节点的集中控制，且建网与维护费用消耗大，同时安全性保证缺乏可能导致控制节点遭受攻击，造成信息泄露，面临用户及组织关系网完全暴露等致命性威胁。

使用公共服务商提供的分布式控制技术和服务，可以降低自建网络的费用与维护费用，其安全性和稳定性对比自建网络更有保证。但是非传统终端应用，如恶意终端应用、敏感终端应用，其网络控制不仅要求安全性高和稳定性好，也需要隐私性强。采用公共服务商提供的服务，虽然能保证安全性高和稳定性好，但是在当前的架构下需要使用公共服务提供商的外网服务器(群)作为中间转发节点，控制功能需要通过公共服务提供商转发实现，在现今互联网处于非可信任的条件下其体现出天然的短板：用户面临公共服务提供方窥探造成信息泄露的风险。

网络控制技术通信过程中可以使用端到端加密技术，保证数据在源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密)，能够使得消息在被传输时及到达终点之前不进行解密，整个过程均受到保护，可以减少消息泄露。但是对于基于加密的通信，内容虽然不可见，但是不能保证用户的匿名性，此外其加密连接的通信行为会引起审查者的怀疑，甚至有些组织会对所有的加密连接进行过滤。隐蔽通信技术分为密码技术和信息隐藏技术。两者均在隐蔽通信中占有一席之地。从数据角度而言，密码技术是将数据进行加密处理的技术，采用密码技术可以将明文转化为必须通过密钥进行解密的密文，密文往往是不可识别的乱码。该方法很容易被捕捉并识别为密文，被非授权者获取到并进行破译。信息隐藏技术，则是将信息隐写到普通公开信息的载体当中，有了公开信息的掩护，可以降低被识别为密文的风险。因此，采取信息隐藏技术能够更加安全有效的实现隐蔽通信，满足非传统终端应用需要尽可能隐蔽通信数据和行为的需求。ZacharyWeinberg在2012年ACM计算机与通信安全会议提出《StegoTorus：基于Tor匿名性的匿名代理系统》，由于Tor网络采用自定义协议，协议本身易被识别造成该系统的通信行为易被发现和阻止，谭庆丰等在2014年《计算机研究与发展》第08期中提出《StegoP2P:一种基于P2P网络的隐蔽通信方法》，由于P2P网络的不稳定性造成该方法所采用的系统中的匿名通信路径较不稳定，同时P2P网络开放性导致系统中容易接入恶意节点。

终端应用存在跨平台问题。消息中间件(简称“MOM”)是中间件的一种，常被用于分布式系统，它是一种用于通信的独立的软件。作为消息中介，它提供了一种高层次松耦合的企业级消息应用。消息中间件，不仅可被用于应用程序之间的通信，还可被用于应用程序和主框架之间的通信。它可以在分布式应用程序之间实现可靠的、异步的、松耦合的、语言无关消息传递服务。为了屏蔽底层实现，它只为消息客户提供相应的访问接口，消息客户通过接口可直接实现异构平台下的消息传输。消息中间件作为实现了平台无关的消息传递机制，拥有着数据的可靠传输、事务性消息和并发缓冲等特点。因此，使用消息中间件可以解决多终端和多应用消息间的高效可靠传输。

因此，面对终端应用网络控制的稳定性好、安全性高、隐私性强的需求，如何有效解决在对网络设备终端上的应用实现控制时所面临的单点失效、信息泄露、信息溯源、服务方窥探和跨平台支持问题是本领域技术人员极为关注的技术问题。

发明内容

本发明要解决的技术问题是针对在对网络设备终端上的应用实现控制时所面临的单点失效、信息泄露、信息溯源、服务方窥探和跨平台支持问题，提出一种基于公共通道对终端应用实现网络控制的隐蔽通信方法。

本发明的技术方案是：构建一个对终端应用实现网络控制的隐蔽通信系统，使用公共通信服务商提供的通信服务，在公共通信通道的基础上，采用端到端非对称加密方式对控制信息进行加密和签名，使用信息隐藏技术将加密控制信息隐藏到多媒体信息当中，并利用公共通信通道进行传输，发送方和接收方内嵌有消息中间件作为消息代理，使用消息中间件作为消息代理来进行消息的收发，能够更好的实现多终端多应用间的高效可靠传输，从而实现稳定、安全和隐蔽的控制通信。

本发明包括以下步骤：

第一步，构建隐蔽通信系统，实现对终端应用进行网络控制。

隐蔽通信系统由控制中心服务器、M个公共通信服务商和N个终端设备组成，M和N均为正整数。控制中心服务器和M个公共通信服务商通过网络相连，N个终端设备和M个公共通信服务商通过网络相连。控制中心服务器采用安装有64位Ubuntu 18.04操作系统的服务器，其上部署有服务端软件和第一消息中间件Redis。终端设备可以是移动手机终端、网络设备终端或者传统电脑终端，其上部署有客户端软件和第二消息中间件Redis。服务端软件负责发送控制信息，客户端软件返回控制响应信息。公共通信服务商指提供公共通信通道的服务器。

服务端软件由身份认证模块、控制管理模块和第一消息代理模块组成。身份认证模块与控制管理模块、第一消息代理模块相连，从键盘接收身份认证信息，对登录的管理用户进行身份认证，当管理用户通过认证后启动控制管理模块和第一消息代理模块；控制管理模块与身份认证模块、第一消息中间件Redis相连，在管理用户通过认证后由身份认证模块启动，用于提供图形化操作界面，从键盘接收对终端应用进行远程操作的控制信息，通过第一消息中间件Redis将控制信息转发到第一消息代理模块，并接收第一消息代理模块通过第一消息中间件Redis转发回的控制响应信息，将控制响应信息呈现给管理用户。第一消息代理模块与身份认证模块、第一消息中间件Redis相连，在管理用户通过认证后由身份认证模块启动；接收控制管理模块通过第一消息中间件Redis转发的控制信息，对控制信息进行端到端非对称加密，计算密文哈希值并签名哈希值，得到加密签名的控制信息并隐写到图片载体当中，将图片载体(内嵌加密签名的控制信息)通过公共通信服务商分发到不同终端设备；同时接收公共通信服务商返回的图片载体(内嵌加密签名的控制响应信息)，负责从图片载体(内嵌加密签名的控制响应信息)中提取得到加密签名的控制响应信息，验签得到加密的控制响应信息，并对加密的控制响应信息进行非对称解密得到控制响应信息，将控制响应信息通过第一消息中间件Redis转发到控制管理模块。

第一消息中间件Redis采用Redis服务(全称Remote Dictionary Service，官网是https://redis.io，软件版本为5.0或以上)，第一消息中间件Redis与控制管理模块、第一消息代理模块相连，从控制管理模块接收控制信息，将控制信息转发到第一消息代理模块；从第一消息代理模块接收控制响应信息，将控制响应信息转发到控制管理模块。

客户端软件由控制响应模块、第二消息代理模块组成。控制响应模块与第二消息中间件Redis相连，接收第二消息代理模块通过第二消息中间件Redis转发过来的控制信息，根据控制信息调用终端设备上的应用，并得到返回值，根据返回值生成控制响应信息，通过第二消息中间件Redis将控制响应信息转发给第二消息代理模块。第二消息代理模块与第二消息中间件Redis、公共通信服务商相连，从公共通信服务商接收图片载体(内嵌加密签名的控制信息)，从图片载体中提取得到加密签名的控制信息，验证签名得到加密的控制信息，并解密得到控制信息，将控制信息通过第二消息中间件Redis转发给控制响应模块；同时接收控制响应模块通过第二消息中间件Redis转发的控制响应信息，对控制响应信息进行非对称加密得到加密的控制响应信息，计算密文哈希值并签名哈希值，得到加密签名的控制响应信息并隐写到图片载体当中，将图片载体(内嵌加密签名的控制响应信息)通过公共通信服务商返回给服务端软件。

第二消息中间件Redis要求与第一消息中间件Redis版本相同，第二消息中间件Redis与控制响应模块、第二消息代理模块相连，从控制响应模块接收控制响应信息，将控制响应信息转发到第二消息代理模块；从第二消息代理模块接收控制信息，将控制信息转发到控制响应模块。

第二步，控制中心服务器按步骤2.1进行初始化，读取相关配置文件信息；同时，终端设备按步骤2.2进行初始化，读取相关配置文件信息。

2.1控制中心服务器初始化。具体步骤为：

2.1.1身份认证模块初始化，从控制中心服务器配置文件中读取管理用户信息。控制中心服务器配置文件是由管理用户编写的关于服务端软件运行配置信息的文件，采用JSON(JavaScript Object Notation)格式，该格式一般采用国际标准文档RFC4627描述，控制中心服务器配置文件包含管理用户信息、历史控制信息、终端应用信息和服务端应用通道信息。管理用户信息由用户名、登录口令哈希值(是一个32位的字符串)、登录口令盐值(也是一个32位的字符串)组成。终端应用信息由终端应用标识符(是一个32位的字符串，是终端应用的唯一标识)、终端应用名称、第一支持控制操作码(是一个整数值，0表示关闭应用操作，1表示开启应用操作)组成。历史控制信息由控制信息、控制响应信息组成；控制信息由控制中心服务器时间戳(是一个整数值)、控制信息标识符(是一个32位的字符串，是控制信息的唯一标识)、终端应用标识符、终端应用名称、第二支持控制操作码(是一个整数值，0表示不支持应用操作，1表示支持关闭应用操作，2表示支持开启应用操作，3表示即支持关闭应用操作，又支持开启应用操作)组成；控制响应信息由时间戳、控制响应信息标识符(是一个32位字符串，是控制响应信息的唯一标识)、控制信息标识符、控制响应码(是一个整数值，0表示操作失败，1表示操作成功)组成。服务端应用通道信息由终端应用标识符、终端应用名称、服务端私钥(是一个2048位字符串，表示服务端RSA私钥)、客户端公钥(是一个2048位字符串，表示客户端RSA公钥)、服务端应用通道账号信息组成；服务端应用通道账号信息由应用通道服务商名称、服务端用户名、服务端口令、客户端用户名组成。

2.1.2控制管理模块初始化，从控制中心服务器配置文件中读取终端应用信息和历史控制信息。

2.1.3第一消息代理模块初始化，从控制中心服务器配置文件中读取服务端应用通道信息。

2.2终端设备初始化。具体步骤为：

2.2.1第二消息代理模块初始化，从终端设备配置文件中读取客户端应用通道信息。终端设备配置文件由管理用户进行编写，采用JSON格式，内容包括客户端应用通道信息和客户端应用信息。客户端应用通道信息由终端应用标识符，终端应用名称，服务端公钥(是一个2048位的字符串，表示服务端RSA公钥)、客户端私钥(是一个2048位的字符串，表示客户端RSA私钥)、客户端应用通道账号信息组成；客户端应用通道账号信息由公共通信服务商名称、客户端用户名、客户端口令、服务端用户名组成。客户端应用信息由终端应用标识符、终端应用名称、终端应用程序路径(是一个字符串)组成。

2.2.2控制响应模块初始化，从终端设备配置文件中读取客户端应用信息。

第三步，身份认证模块从键盘接收身份认证信息，对登录的管理用户进行身份认证：

3.1从键盘接收身份认证信息，身份认证信息由用户名、登录口令组成；

3.2根据身份认证信息的用户名匹配管理用户信息，若失败，转3.1，若成功，转3.3；

3.3通过管理用户信息得到登录口令哈希值和登录口令盐值，拼接登录口令和登录口令盐值，得到拼接字符串。

3.4使用SHA-256算法(该算法由国际标准文档RFC4634描述)，计算拼接字符串，得到拼接字符串的SHA-256哈希值；

3.5对比计算得到的拼接字符串的SHA-256哈希值和登录口令哈希值，若相同，启动控制管理模块和第一消息代理模块，转第四步；若不相同，转3.1。

第四步，控制管理模块从键盘接收控制信息，通过第一消息中间件Redis将控制信息转发到第一消息代理模块：

4.1控制管理模块从键盘接收到一条控制信息；

4.2控制管理模块根据控制信息生成对应历史控制信息，即历史控制信息中的控制信息保持与控制信息相同，控制响应信息置空。历史控制信息用于记录历史控制情况和控制响应状态；

4.3控制管理模块将生成的历史控制信息存储到中心服务器配置文件中；

4.4控制管理模块通过第一消息中间件Redis将控制信息转发到第一消息代理模块；

第五步，第一消息代理模块接收控制管理模块通过第一消息中间件Redis转发的控制信息，处理控制信息，并通过公共通信服务商转发给终端设备：

5.1从第一消息中间件Redis接收控制信息；5.2第一消息代理模块对控制信息进行加密、签名和隐写，得到图片载体；具体步骤为：

5.2.1使用客户端公钥对控制信息加密，得到密文，加密方法使用标准2048位RSA非对称算法，该算法由国际标准文档RFC3447描述；

5.2.2使用SHA-256算法处理密文，得到密文哈希值；

5.2.3使用服务端私钥对密文哈希签名，得到哈希值的签名，签名方法也使用标准2048位RSA非对称算法；

5.2.4将密文和签名拼接，得到加密签名的信息；

5.2.5使用数字图像隐写术中的F5算法将加密签名信息隐写到JPG图片中，得到载体图片；F5算法是2000年由Westfeld在国际信息安全会议上提出。

5.3通过控制信息中的终端应用标识符检索服务端应用通道信息，若控制信息中的终端应用标识符和服务端应用通道信息中的终端应用标识符相同，表示检索成功，转5.4；若失败，转5.1；

5.4根据服务端应用通道信息中服务端应用通道账号信息，通过公共通信服务商访问接口将图片载体发送到公共通信服务商，通过公共通信服务商转发到终端设备；

第六步，终端设备的第二消息代理模块从公共通信服务商接收控制中心服务器的服务端软件发送过来的图片载体(内嵌加密签名的控制信息)，从图片载体中提取加密签名的控制信息，验签和解密得到控制信息，将控制信息通过第二消息中间件Redis转发给控制响应模块，具体步骤为：

6.1从公共通信服务商接收服务端软件发送过来的带有加密控制信息的图片载体；

6.2第二消息代理模块处理图片载体(内嵌加密签名的控制信息)，从图片载体提取、验签和解密得到控制信息；具体步骤为：

6.2.1使用数字图像隐写术中的F5算法处理JPG图片载体，得到加密签名的控制信息；

6.2.2将加密签名的控制信息拆分成密文和签名；

6.2.3使用SHA-256处理密文，得到密文哈希值；

6.2.4使用服务端公钥验证密文哈希值和签名,验证签名方法使用标准2048位RSA非对称算法；

6.2.5使用客户端私钥解密密文，得到控制信息，解密方法也使用标准2048位RSA非对称算法；

6.3将控制信息通过第二消息中间件Redis转发给控制响应模块；

第七步，控制响应模块接收第二消息代理模块通过第二消息中间件Redis转发的控制信息，根据控制信息调用终端设备上的应用，得到返回值，根据返回值生成控制响应信息，通过第二消息中间件Redis发送给第二消息代理模块。具体步骤为：

7.1接收第二消息代理模块通过第二消息中间件Redis转发的控制信息；

7.2根据控制信息中的终端应用标识符检索客户端应用信息，若检索成功，转7.3，若失败，转7.1；

7.3根据客户端应用信息中的终端应用程序路径，调用终端应用执行控制操作码，得到返回值；

7.4根据返回值产生一条与控制信息对应的要反馈给服务端的控制响应信息；

7.5将控制响应信息通过第二消息中间件Redis转发给第二消息代理模块；

第八步，第二消息代理模块接收控制响应模块通过第二消息中间件Redis转发的控制响应信息，处理控制响应信息，并通过公共通信服务商返回给服务端软件，具体步骤为：

8.1接收控制响应模块通过第二消息中间件Redis转发的控制响应信息；

8.2第二消息代理模块对控制响应信息进行加密、签名和隐写，得到图片载体；具体步骤为：

8.2.1使用服务端公钥对控制响应信息加密，得到密文，加密方法使用标准2048位RSA非对称算法；

8.2.2使用SHA-256算法处理密文，得到密文哈希值；

8.2.3使用客户端私钥对密文哈希值签名，得到哈希值的签名，签名方法也使用标准2048位RSA非对称算法；

8.2.4将密文和签名拼接，得到加密签名的控制响应信息；

8.2.5使用数字图像隐写术中的F5算法将加密签名的控制响应信息隐写到JPG图片中，得到图片载体；

8.3根据客户端应用通道信息中客户端应用通道账号信息，利用公共通信服务商访问接口发送图片载体，通过公共通信服务商将图片载体(内嵌加密签名的控制响应信息)发送给服务端软件；

第九步，第一消息代理模块从公共通信服务商接收返回的带有加密签名的控制响应信息的图片载体，处理图片得到控制响应信息，将控制响应信息通过第一消息中间件Redis转发给控制管理模块：

9.1从公共通信服务商的服务器接收到返回的图片载体(内嵌加密签名的控制响应信息)；

9.2第一消息代理模块对图片载体提取、验签和解密，得到控制响应信息。

具体步骤为：

9.2.1使用数字图像隐写术中的F5算法处理JPG图片载体，得到加密信息；

9.2.2将加密信息拆分成密文和签名；

9.2.3使用SHA-256处理密文，得到密文哈希值；

9.2.4使用客户端公钥验证密文哈希值和签名，验证签名方法使用标准2048位RSA非对称算法；

9.2.5使用服务端私钥解密密文，得到控制响应信息，解密方法也使用标准2048位RSA非对称算法；

9.3将控制响应信息通过第一消息中间件Redis转发给控制管理模块；

第十步，控制管理模块接收第一消息代理模块通过第一消息中间件Radis转发的控制响应信息，更新历史控制信息并显示。具体步骤为：

10.1第一消息代理模块通过第一消息中间件Radis转发的控制响应信息；

10.2通过控制响应信息中控制信息标识符检索历史控制信息，若成功，得到历史控制信息，转10.3，若失败，转10.1；

10.3将历史控制信息中的控制响应信息更新为接收到的控制响应信息，将更新后的历史控制信息保存到控制中心服务器配置文件。

第十一步，若服务端软件从键盘接收到停命令，结束。否则，转第四步。

采用本发明可以达到以下技术效果：

1.本发明第一步在控制中心服务器上部署服务端软件，在不同终端设备上部署客户端软件，并利用公共服务商提供的公共通信通道，构建了网络控制信息传输的隐蔽通信系统。该系统利用公共通信服务商提供的公共通信通道进行控制信息传输，依托于公共服务商提供的安全分布式网络和稳定服务，降低自建网络的费用与维护费用，保证整个控制网络的安全性和稳定性，可以有效的规避控制通信过程中单点失效的问题。

2.网络控制信息传输的隐蔽通信系统将控制通信信息经由公共通信服务商转发传输，能够将整个控制通信系统网络的传输信息置于第三方的通信服务商的巨大公众流量之中，达到伪装正常流量、隐蔽流量特征的效果，同时，采用加密签名隐写技术保护通信过程中信息的真实性、可靠性和完整性以及隐蔽性，实现整个通信网络的双重掩护，有效规避了通信过程中可能会出现的信息溯源问题。

3.本发明第五至第九步采用加密签名隐写技术保护通信过程中信息的真实性、可靠性和完整性以及隐蔽性，可有效规避通信过程中可能会出现的信息泄露问题，也阻止服务方窥探问题，实现对整个通信系统中终端应用更加安全、稳定和隐秘的网络控制。

4.本发明采用消息中间件Redis来实现服务端第一消息代理模块与控制管理模块之间的消息传递、客户端第二消息代理模块与控制响应模块的消息传递，保证数据的可靠传输和消息并发缓冲，能够有效解决服务端和客户端跨平台时模块间消息的高效可靠传输问题，从而实现与平台无关的模块间消息传递。

附图说明

图1是本发明第一步构建的隐蔽通信系统逻辑结构图；

图2是本发明第一步构建的隐蔽通信系统中服务端软件和客户端软件逻辑结构示意图；

图3是本发明总体流程图。

具体实施方式

如图3所示，本发明包括以下步骤：

第一步，构建隐蔽通信系统，实现对终端应用进行网络控制。

隐蔽通信系统如图1所示，由控制中心服务器、M个公共通信服务商和N个终端设备组成，M和N均为正整数。控制中心服务器和M个公共通信服务商通过网络相连，N个终端设备和M个公共通信服务商通过网络相连。如图2所示，控制中心服务器采用安装有64位Ubuntu18.04操作系统的服务器，其上部署有服务端软件和第一消息中间件Redis。终端设备可以是移动手机终端、网络设备终端或者传统电脑终端，其上部署有客户端软件和第二消息中间件Redis。服务端软件负责发送控制信息，客户端软件返回控制响应信息。公共通信服务商指提供公共通信通道的服务器。

如图2所示，服务端软件由身份认证模块、控制管理模块和第一消息代理模块组成。身份认证模块与控制管理模块、第一消息代理模块相连，从键盘接收身份认证信息，对登录的管理用户进行身份认证，当管理用户通过认证后启动控制管理模块和第一消息代理模块；控制管理模块与身份认证模块、第一消息中间件Redis相连，在管理用户通过认证后由身份认证模块启动，用于提供图形化操作界面，从键盘接收对终端应用进行远程操作的控制信息，通过第一消息中间件Redis将控制信息转发到第一消息代理模块，并接收第一消息代理模块通过第一消息中间件Redis转发回的控制响应信息，将控制响应信息呈现给管理用户。第一消息代理模块与身份认证模块、第一消息中间件Redis相连，在管理用户通过认证后由身份认证模块启动；接收控制管理模块通过第一消息中间件Redis转发的控制信息，对控制信息进行端到端非对称加密，计算密文哈希值并签名哈希值，得到加密签名的控制信息并隐写到图片载体当中，将图片载体(内嵌加密签名的控制信息)通过公共通信服务商分发到不同终端设备；同时接收公共通信服务商返回的图片载体(内嵌加密签名的控制响应信息)，负责从图片载体(内嵌加密签名的控制响应信息)中提取得到加密签名的控制响应信息，验签得到加密的控制响应信息，并对加密的控制响应信息进行非对称解密得到控制响应信息，将控制响应信息通过第一消息中间件Redis转发到控制管理模块。

第一消息中间件Redis采用Redis服务(版本为5.0或以上)，第一消息中间件Redis与控制管理模块、第一消息代理模块相连，从控制管理模块接收控制信息，将控制信息转发到第一消息代理模块；从第一消息代理模块接收控制响应信息，将控制响应信息转发到控制管理模块。

客户端软件由控制响应模块、第二消息代理模块组成。控制响应模块与第二消息中间件Redis相连，接收第二消息代理模块通过第二消息中间件Redis转发过来的控制信息，根据控制信息调用终端设备上的应用，并得到返回值，根据返回值生成控制响应信息，通过第二消息中间件Redis将控制响应信息转发给第二消息代理模块。第二消息代理模块与第二消息中间件Redis、公共通信服务商相连，从公共通信服务商接收图片载体(内嵌加密签名的控制信息)，从图片载体中提取得到加密签名的控制信息，验证签名得到加密的控制信息，并解密得到控制信息，将控制信息通过第二消息中间件Redis转发给控制响应模块；同时接收控制响应模块通过第二消息中间件Redis转发的控制响应信息，对控制响应信息进行非对称加密得到加密的控制响应信息，计算密文哈希值并签名哈希值，得到加密签名的控制响应信息并隐写到图片载体当中，将图片载体(内嵌加密签名的控制响应信息)通过公共通信服务商返回给服务端软件。

第二消息中间件Redis要求与第一消息中间件Redis版本相同，第二消息中间件Redis与控制响应模块、第二消息代理模块相连，从控制响应模块接收控制响应信息，将控制响应信息转发到第二消息代理模块；从第二消息代理模块接收控制信息，将控制信息转发到控制响应模块。

第二步，控制中心服务器按步骤2.1进行初始化，读取相关配置文件信息；同时，终端设备按步骤2.2进行初始化，读取相关配置文件信息。

2.1控制中心服务器初始化。具体步骤为：

2.1.1身份认证模块初始化，从控制中心服务器配置文件中读取管理用户信息。控制中心服务器配置文件是由管理用户编写的关于服务端软件运行配置信息的文件，采用JSON格式，控制中心服务器配置文件包含管理用户信息、历史控制信息、终端应用信息和服务端应用通道信息。管理用户信息由用户名、登录口令哈希值(是一个32位的字符串)、登录口令盐值(也是一个32位的字符串)组成。终端应用信息由终端应用标识符(是一个32位的字符串，是终端应用的唯一标识)、终端应用名称、第一支持控制操作码(是一个整数值，0表示关闭应用操作，1表示开启应用操作)组成。历史控制信息由控制信息、控制响应信息组成；控制信息由控制中心服务器时间戳(是一个整数值)、控制信息标识符(是一个32位的字符串，是控制信息的唯一标识)、终端应用标识符、终端应用名称、第二支持控制操作码(是一个整数值，0表示不支持应用操作，1表示支持关闭应用操作，2表示支持开启应用操作，3表示即支持关闭应用操作，又支持开启应用操作)组成；控制响应信息由时间戳、控制响应信息标识符(是一个32位字符串，是控制响应信息的唯一标识)、控制信息标识符、控制响应码(是一个整数值，0表示操作失败，1表示操作成功)组成。服务端应用通道信息由终端应用标识符、终端应用名称、服务端私钥(是一个2048位字符串，表示服务端RSA私钥)、客户端公钥(是一个2048位字符串，表示客户端RSA公钥)、服务端应用通道账号信息组成；服务端应用通道账号信息由应用通道服务商名称、服务端用户名、服务端口令、客户端用户名组成。

2.1.2控制管理模块初始化，从控制中心服务器配置文件中读取终端应用信息和历史控制信息。

2.1.3第一消息代理模块初始化，从控制中心服务器配置文件中读取服务端应用通道信息。

2.2终端设备初始化。具体步骤为：

2.2.1第二消息代理模块初始化，从终端设备配置文件中读取客户端应用通道信息。终端设备配置文件由管理用户进行编写，采用JSON格式，内容包括客户端应用通道信息和客户端应用信息。客户端应用通道信息由终端应用标识符，终端应用名称，服务端公钥(是一个2048位的字符串，表示服务端RSA公钥)、客户端私钥(是一个2048位的字符串，表示客户端RSA私钥)、客户端应用通道账号信息组成；客户端应用通道账号信息由公共通信服务商名称、客户端用户名、客户端口令、服务端用户名组成。客户端应用信息由终端应用标识符、终端应用名称、终端应用程序路径(是一个字符串)组成。

2.2.2控制响应模块初始化，从终端设备配置文件中读取客户端应用信息。第三步，身份认证模块从键盘接收身份认证信息，对登录的管理用户进行身份认证：

3.1从键盘接收身份认证信息，身份认证信息由用户名、登录口令组成；

3.2根据身份认证信息的用户名匹配管理用户信息，若失败，转3.1，若成功，转3.3；

3.3通过管理用户信息得到登录口令哈希值和登录口令盐值，拼接登录口令和登录口令盐值，得到拼接字符串。

3.4使用SHA-256算法，计算拼接字符串，得到拼接字符串的SHA-256哈希值；

3.5对比计算得到的拼接字符串的SHA-256哈希值和登录口令哈希值，若相同，启动控制管理模块和第一消息代理模块，转第四步；若不相同，转3.1。

第四步，控制管理模块从键盘接收控制信息，通过第一消息中间件Redis将控制信息转发到第一消息代理模块：

4.1控制管理模块从键盘接收到一条控制信息；

4.2控制管理模块根据控制信息生成对应历史控制信息，即历史控制信息中的控制信息保持与控制信息相同，控制响应信息置空。历史控制信息用于记录历史控制情况和控制响应状态；

4.3控制管理模块将生成的历史控制信息存储到中心服务器配置文件中；

4.4控制管理模块通过第一消息中间件Redis将控制信息转发到第一消息代理模块；

第五步，第一消息代理模块接收控制管理模块通过第一消息中间件Redis转发的控制信息，处理控制信息，并通过公共通信服务商转发给终端设备：

5.1从第一消息中间件Redis接收控制信息；5.2第一消息代理模块对控制信息进行加密、签名和隐写，得到图片载体；具体步骤为：

5.2.1使用客户端公钥对控制信息加密，得到密文，加密方法使用标准2048位RSA非对称算法；

5.2.2使用SHA-256算法处理密文，得到密文哈希值；

5.2.3使用服务端私钥对密文哈希签名，得到哈希值的签名，签名方法也使用标准2048位RSA非对称算法；

5.2.4将密文和签名拼接，得到加密签名的信息；

5.2.5使用数字图像隐写术中的F5算法将加密签名信息隐写到JPG图片中，得到载体图片；F5算法是2000年由Westfeld在国际信息安全会议上提出。

5.3通过控制信息中的终端应用标识符检索服务端应用通道信息，若控制信息中的终端应用标识符和服务端应用通道信息中的终端应用标识符相同，表示检索成功，转5.4；若失败，转5.1；

5.4根据服务端应用通道信息中服务端应用通道账号信息，通过公共通信服务商访问接口将图片载体发送到公共通信服务商，通过公共通信服务商转发到终端设备；

第六步，终端设备的第二消息代理模块从公共通信服务商接收控制中心服务器的服务端软件发送过来的图片载体(内嵌加密签名的控制信息)，从图片载体中提取加密签名的控制信息，验签和解密得到控制信息，将控制信息通过第二消息中间件Redis转发给控制响应模块，具体步骤为：

6.1从公共通信服务商接收服务端软件发送过来的带有加密控制信息的图片载体；

6.2第二消息代理模块处理图片载体(内嵌加密签名的控制信息)，从图片载体提取、验签和解密得到控制信息；具体步骤为：

6.2.1使用数字图像隐写术中的F5算法处理JPG图片载体，得到加密签名的控制信息；

6.2.2将加密签名的控制信息拆分成密文和签名；

6.2.3使用SHA-256处理密文，得到密文哈希值；

6.2.4使用服务端公钥验证密文哈希值和签名，验证签名方法使用标准2048位RSA非对称算法；

6.2.5使用客户端私钥解密密文，得到控制信息,解密方法使用标准2048位RSA非对称算法；

6.3将控制信息通过第二消息中间件Redis转发给控制响应模块；

第七步，控制响应模块接收第二消息代理模块通过第二消息中间件Redis转发的控制信息，根据控制信息调用终端设备上的应用，得到返回值，根据返回值生成控制响应信息，通过第二消息中间件Redis发送给第二消息代理模块。具体步骤为：

7.1接收第二消息代理模块通过第二消息中间件Redis转发的控制信息；

7.2根据控制信息中的终端应用标识符检索客户端应用信息，若检索成功，转7.3，若失败，转7.1；

7.3根据客户端应用信息中的终端应用程序路径，调用终端应用执行控制操作码，得到返回值；

7.4根据返回值产生一条与控制信息对应的要反馈给服务端的控制响应信息；

7.5将控制响应信息通过第二消息中间件Redis转发给第二消息代理模块；

第八步，第二消息代理模块接收控制响应模块通过第二消息中间件Redis转发的控制响应信息，处理控制响应信息，并通过公共通信服务商返回给服务端软件，具体步骤为：

8.1接收控制响应模块通过第二消息中间件Redis转发的控制响应信息；

8.2第二消息代理模块对控制响应信息进行加密、签名和隐写，得到图片载体；具体步骤为：

8.2.1使用服务端公钥对控制响应信息加密，得到密文，加密方法使用标准2048位RSA非对称算法；

8.2.2使用SHA-256算法处理密文，得到密文哈希值；

8.2.3使用客户端私钥对密文哈希值签名，得到哈希值的签名，签名方法也使用标准2048位RSA非对称算法；

8.2.4将密文和签名拼接，得到加密签名的控制响应信息；

8.2.5使用数字图像隐写术中的F5算法将加密签名的控制响应信息隐写到JPG图片中，得到图片载体；

8.3根据客户端应用通道信息中客户端应用通道账号信息，利用公共通信服务商访问接口发送图片载体，通过公共通信服务商将图片载体(内嵌加密签名的控制响应信息)发送给服务端软件；

第九步，第一消息代理模块从公共通信服务商接收返回的带有加密签名的控制响应信息的图片载体，处理图片得到控制响应信息，将控制响应信息通过第一消息中间件Redis转发给控制管理模块：

9.1从公共通信服务商接收到返回的图片载体(内嵌加密签名的控制响应信息)；

9.2第一消息代理模块对图片载体提取、验签和解密，得到控制响应信息。

具体步骤为：

9.2.1使用数字图像隐写术中的F5算法处理JPG图片载体，得到加密信息；

9.2.2将加密信息拆分成密文和签名；

9.2.3使用SHA-256处理密文，得到密文哈希值；

9.2.4使用客户端公钥验证密文哈希值和签名,验证签名方法使用标准2048位RSA非对称算法；

9.2.5使用服务端私钥解密密文，得到控制响应信息，解密方法使用标准2048位RSA非对称算法；

9.3将控制响应信息通过第一消息中间件Redis转发给控制管理模块；

第十步，控制管理模块接收第一消息代理模块通过第一消息中间件Radis转发的控制响应信息，更新历史控制信息并显示。具体步骤为：

10.1第一消息代理模块通过第一消息中间件Radis转发的控制响应信息；

10.2通过控制响应信息中控制信息标识符检索历史控制信息，若成功，得到历史控制信息，转10.3，若失败，转10.1；

10.3将历史控制信息中的控制响应信息更新为接收到的控制响应信息，将更新后的历史控制信息保存到控制中心服务器配置文件。

第十一步，若服务端软件从键盘接收到停命令，结束。否则，转第四步。

Claims (8)

1.一种基于公共通道对终端应用实现网络控制的隐蔽通信方法，其特征在于包括以下步骤：

第一步，构建隐蔽通信系统，方法是：

隐蔽通信系统由控制中心服务器、M个公共通信服务商和N个终端设备组成，M和N均为正整数；控制中心服务器和M个公共通信服务商通过网络相连，N个终端设备和M个公共通信服务商通过网络相连；控制中心服务器上部署有服务端软件和第一消息中间件Redis；终端设备上部署有客户端软件和第二消息中间件Redis；服务端软件负责发送控制信息，客户端软件返回控制响应信息；公共通信服务商指提供公共通信通道的服务器；

服务端软件由身份认证模块、控制管理模块和第一消息代理模块组成；身份认证模块与控制管理模块、第一消息代理模块相连，从键盘接收身份认证信息，对登录的管理用户进行身份认证，当管理用户通过认证后启动控制管理模块和第一消息代理模块；控制管理模块与身份认证模块、第一消息中间件Redis相连，在管理用户通过认证后由身份认证模块启动，用于提供图形化操作界面，从键盘接收对终端应用进行远程操作的控制信息，通过第一消息中间件Redis将控制信息转发到第一消息代理模块，并接收第一消息代理模块通过第一消息中间件Redis转发回的控制响应信息，将控制响应信息呈现给管理用户；第一消息代理模块与身份认证模块、第一消息中间件Redis相连，在管理用户通过认证后由身份认证模块启动；接收控制管理模块通过第一消息中间件Redis转发的控制信息，对控制信息进行端到端非对称加密，计算密文哈希值并签名哈希值，得到加密签名的控制信息并隐写到图片载体当中，将内嵌加密签名的控制信息的图片载体通过公共通信服务商分发到不同终端设备；同时接收公共通信服务商返回的内嵌加密签名的控制响应信息的图片载体，负责从内嵌加密签名的控制响应信息的图片载体中提取得到加密签名的控制响应信息，验签得到加密的控制响应信息，并对加密的控制响应信息进行非对称解密得到控制响应信息，将控制响应信息通过第一消息中间件Redis转发到控制管理模块；

第一消息中间件Redis采用Redis服务，第一消息中间件Redis与控制管理模块、第一消息代理模块相连，从控制管理模块接收控制信息，将控制信息转发到第一消息代理模块；从第一消息代理模块接收控制响应信息，将控制响应信息转发到控制管理模块；

客户端软件由控制响应模块、第二消息代理模块组成；控制响应模块与第二消息中间件Redis相连，接收第二消息代理模块通过第二消息中间件Redis转发过来的控制信息，根据控制信息调用终端设备上的应用，并得到返回值，根据返回值生成控制响应信息，通过第二消息中间件Redis将控制响应信息转发给第二消息代理模块；第二消息代理模块与第二消息中间件Redis、公共通信服务商相连，从公共通信服务商接收内嵌加密签名的控制信息的图片载体，从内嵌加密签名的图片载体中提取得到加密签名的控制信息，验证签名得到加密的控制信息，并解密得到控制信息，将控制信息通过第二消息中间件Redis转发给控制响应模块；同时接收控制响应模块通过第二消息中间件Redis转发的控制响应信息，对控制响应信息进行非对称加密得到加密的控制响应信息，计算密文哈希值并签名哈希值，得到加密签名的控制响应信息并隐写到图片载体当中，将内嵌加密签名的控制响应信息的图片载体通过公共通信服务商返回给服务端软件；

第二消息中间件Redis与第一消息中间件Redis版本相同，第二消息中间件Redis与控制响应模块、第二消息代理模块相连，从控制响应模块接收控制响应信息，将控制响应信息转发到第二消息代理模块；从第二消息代理模块接收控制信息，将控制信息转发到控制响应模块；

第二步，控制中心服务器按步骤2.1进行初始化，读取相关配置文件信息；同时，终端设备按步骤2.2进行初始化，读取相关配置文件信息：

2.1控制中心服务器初始化，方法为：

2.1.1身份认证模块初始化，从控制中心服务器配置文件中读取管理用户信息；控制中心服务器配置文件内容包含管理用户信息、历史控制信息、终端应用信息和服务端应用通道信息；管理用户信息由用户名、登录口令哈希值、登录口令盐值组成；终端应用信息由终端应用标识符、终端应用名称、第一支持控制操作码组成；历史控制信息由控制信息、控制响应信息组成；控制信息由控制中心服务器时间戳、控制信息标识符、终端应用标识符、终端应用名称、第二支持控制操作码组成；控制响应信息由时间戳、控制响应信息标识符、控制信息标识符、控制响应码组成；服务端应用通道信息由终端应用标识符、终端应用名称、服务端私钥、客户端公钥、服务端应用通道账号信息组成；服务端应用通道账号信息由应用通道服务商名称、服务端用户名、服务端口令、客户端用户名组成；

2.1.2控制管理模块初始化，从控制中心服务器配置文件中读取终端应用信息和历史控制信息，方法是：

2.1.3第一消息代理模块初始化，从控制中心服务器配置文件中读取服务端应用通道信息；

2.2终端设备初始化，方法为：

2.2.1第二消息代理模块初始化，从终端设备配置文件中读取客户端应用通道信息；终端设备配置文件内容包括客户端应用通道信息和客户端应用信息；客户端应用通道信息由终端应用标识符，终端应用名称，服务端公钥、客户端私钥、客户端应用通道账号信息组成；客户端应用通道账号信息由公共通信服务商名称、客户端用户名、客户端口令、服务端用户名组成；客户端应用信息由终端应用标识符、终端应用名称、终端应用程序路径组成；

2.2.2控制响应模块初始化，从终端设备配置文件中读取客户端应用信息；

第三步，身份认证模块从键盘接收身份认证信息，对登录的管理用户进行身份认证：

3.1从键盘接收身份认证信息，身份认证信息由用户名、登录口令组成；

3.2根据身份认证信息的用户名匹配管理用户信息，若失败，转3.1，若成功，转3.3；

3.3通过管理用户信息得到登录口令哈希值和登录口令盐值，拼接登录口令和登录口令盐值，得到拼接字符串；

3.4使用SHA-256算法计算拼接字符串，得到拼接字符串的SHA-256哈希值；

3.5对比计算得到的拼接字符串的SHA-256哈希值和登录口令哈希值，若相同，启动控制管理模块和第一消息代理模块，转第四步；若不相同，转3.1；

第四步，控制管理模块从键盘接收控制信息，通过第一消息中间件Redis将控制信息转发到第一消息代理模块：

4.1控制管理模块从键盘接收控制信息；

4.2控制管理模块根据控制信息生成对应历史控制信息，即历史控制信息中的控制信息保持与控制信息相同，控制响应信息置空；

4.3控制管理模块将生成的历史控制信息存储到中心服务器配置文件中；

4.4控制管理模块通过第一消息中间件Redis将控制信息转发到第一消息代理模块；

第五步，第一消息代理模块接收控制管理模块通过第一消息中间件Redis转发的控制信息，处理控制信息，并通过公共通信服务商转发给终端设备：

5.1从第一消息中间件Redis接收控制信息；

5.2第一消息代理模块对控制信息进行加密、签名和隐写，得到图片载体；具体步骤为：

5.2.1使用客户端公钥对控制信息加密，得到密文；

5.2.2使用SHA-256算法处理密文，得到密文哈希值；

5.2.3使用服务端私钥对密文哈希签名，得到哈希值的签名；

5.2.4将密文和签名拼接，得到加密签名的信息；

5.2.5使用数字图像隐写术将加密签名信息隐写到JPG图片中，得到载体图片；

5.3通过控制信息中的终端应用标识符检索服务端应用通道信息，若控制信息中的终端应用标识符和服务端应用通道信息中的终端应用标识符相同，表示检索成功，转5.4；若失败，转5.1；

5.4根据服务端应用通道信息中服务端应用通道账号信息，通过公共通信服务商访问接口将图片载体发送到公共通信服务商，通过公共通信服务商转发到终端设备；

第六步，终端设备的第二消息代理模块从公共通信服务商接收控制中心服务器的服务端软件发送过来的内嵌加密签名的控制信息的图片载体，从图片载体中提取加密签名的控制信息，验签和解密得到控制信息，将控制信息通过第二消息中间件Redis转发给控制响应模块，具体步骤为：

6.1从公共通信服务商接收服务端软件发送过来的带有加密控制信息的图片载体；

6.2第二消息代理模块处理内嵌加密签名的控制信息的图片载体，从图片载体提取、验签和解密得到控制信息；具体步骤为：

6.2.1使用数字图像隐写术处理JPG图片载体，得到加密签名的控制信息；

6.2.2将加密签名的控制信息拆分成密文和签名；

6.2.3使用SHA-256处理密文，得到密文哈希值；

6.2.4使用服务端公钥验证密文哈希值和签名；

6.2.5使用客户端私钥解密密文，得到控制信息；

6.3将控制信息通过第二消息中间件Redis转发给控制响应模块；

第七步，控制响应模块接收第二消息代理模块通过第二消息中间件Redis转发的控制信息，根据控制信息调用终端设备上的应用，得到返回值，根据返回值生成控制响应信息，通过第二消息中间件Redis发送给第二消息代理模块，具体步骤为：

7.1接收第二消息代理模块通过第二消息中间件Redis转发的控制信息；

7.2根据控制信息中的终端应用标识符检索客户端应用信息，若检索成功，转7.3，若失败，转7.1；

7.3根据客户端应用信息中的终端应用程序路径，调用终端应用执行控制操作码，得到返回值；

7.4根据返回值产生一条与控制信息对应的要反馈给服务端的控制响应信息；

7.5将控制响应信息通过第二消息中间件Redis转发给第二消息代理模块；

第八步，第二消息代理模块接收控制响应模块通过第二消息中间件Redis转发的控制响应信息，处理控制响应信息，并通过公共通信服务商返回给服务端软件，具体步骤为：

8.1接收控制响应模块通过第二消息中间件Redis转发的控制响应信息；

8.2第二消息代理模块对控制响应信息进行加密、签名和隐写，得到图片载体；具体步骤为：

8.2.1使用服务端公钥对控制响应信息加密，得到密文；

8.2.2使用SHA-256算法处理密文，得到密文哈希值；

8.2.3使用客户端私钥对密文哈希值签名，得到哈希值的签名；

8.2.4将密文和签名拼接，得到加密签名的控制响应信息；

8.2.5使用数字图像隐写术将加密签名的控制响应信息隐写到JPG图片中，得到图片载体；

8.3根据客户端应用通道信息中客户端应用通道账号信息，利用公共通信服务商访问接口发送图片载体，通过公共通信服务商将内嵌加密签名的控制响应信息的图片载体发送给服务端软件；

第九步，第一消息代理模块从公共通信服务商接收返回的带有加密签名的控制响应信息的图片载体，处理图片得到控制响应信息，将控制响应信息通过第一消息中间件Redis转发给控制管理模块：

9.1从公共通信服务商接收到返回的内嵌加密签名的控制响应信息的图片载体；

9.2第一消息代理模块对图片载体提取、验签和解密，得到控制响应信息，具体步骤为：

9.2.1使用数字图像隐写术处理JPG图片载体，得到加密信息；

9.2.2将加密信息拆分成密文和签名；

9.2.3使用SHA-256处理密文，得到密文哈希值；

9.2.4使用客户端公钥验证密文哈希值和签名；

9.2.5使用服务端私钥解密密文，得到控制响应信息；

9.3将控制响应信息通过第一消息中间件Redis转发给控制管理模块；

第十步，控制管理模块接收第一消息代理模块通过第一消息中间件Radis转发的控制响应信息，更新历史控制信息并显示，具体步骤为：

10.1第一消息代理模块通过第一消息中间件Radis转发的控制响应信息；

10.2通过控制响应信息中控制信息标识符检索历史控制信息，若成功，得到历史控制信息，转10.3，若失败，转10.1；

10.3将历史控制信息中的控制响应信息更新为接收到的控制响应信息，将更新后的历史控制信息保存到控制中心服务器配置文件；

第十一步，若服务端软件从键盘接收到停命令，结束，否则，转第四步。

2.如权利要求1所述的基于公共通道对终端应用实现网络控制的隐蔽通信方法，其特征在于所述控制中心服务器采用安装有64位Ubuntu18.04操作系统的服务器，终端设备指移动手机终端、网络设备终端或者电脑终端。

3.如权利要求1所述的基于公共通道对终端应用实现网络控制的隐蔽通信方法，其特征在于所述第一消息中间件Redis和第二消息中间件Redis采用的Redis服务的为5.0或以上版本。

4.如权利要求1所述的基于公共通道对终端应用实现网络控制的隐蔽通信方法，其特征在于所述控制中心服务器配置文件和终端设备配置文件均采用JSON格式。

5.如权利要求1所述的基于公共通道对终端应用实现网络控制的隐蔽通信方法，其特征在于所述控制中心服务器配置文件中，第一支持控制操作码是一个整数值，0表示关闭应用操作，1表示开启应用操作；第二支持控制操作码是一个整数值，0表示不支持应用操作，1表示支持关闭应用操作，2表示支持开启应用操作，3表示即支持关闭应用操作，又支持开启应用操作；控制响应码是一个整数值，0表示操作失败，1表示操作成功；客户端公钥是一个2048位字符串，表示客户端RSA公钥；服务端私钥是一个2048位字符串，表示服务端RSA私钥。

6.如权利要求1所述的基于公共通道对终端应用实现网络控制的隐蔽通信方法，其特征在于所述终端设备配置文件中，服务端公钥是一个2048位的字符串，表示服务端RSA公钥，客户端私钥是一个2048位的字符串，表示客户端RSA私钥。

7.如权利要求1所述的基于公共通道对终端应用实现网络控制的隐蔽通信方法，其特征在于5.2步中所述使用客户端公钥对控制信息加密和使用服务端私钥对密文哈希值签名的方法、6.2步中所述使用服务端公钥对密文哈希值验证签名和使用客户端私钥对信息解密的方法、8.2步中所述使用服务端公钥对控制响应信息加密和使用客户端私钥对密文哈希值签名的方法、9.2步中所述使用客户端公钥对密文哈希值验证签名和使用服务端私钥对信息解密的方法采用2048位RSA非对称算法。

8.如权利要求1所述的基于公共通道对终端应用实现网络控制的隐蔽通信方法，其特征在于5.2步、6.2步、8.2步、9.2步中所述数字图像隐写术采用F5算法。

Images