CN114793248A - 基于拟态的加密通讯方法 - Google Patents

基于拟态的加密通讯方法 Download PDF

Info

Publication number
CN114793248A
CN114793248A CN202210203437.XA CN202210203437A CN114793248A CN 114793248 A CN114793248 A CN 114793248A CN 202210203437 A CN202210203437 A CN 202210203437A CN 114793248 A CN114793248 A CN 114793248A
Authority
CN
China
Prior art keywords
data
network protocol
transmitted
abnormal
network protocols
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210203437.XA
Other languages
English (en)
Other versions
CN114793248B (zh
Inventor
彭彦武
张天祥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Turing Intelligent Computing Quantum Technology Co Ltd
Original Assignee
Shanghai Turing Intelligent Computing Quantum Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Turing Intelligent Computing Quantum Technology Co Ltd filed Critical Shanghai Turing Intelligent Computing Quantum Technology Co Ltd
Priority to CN202210203437.XA priority Critical patent/CN114793248B/zh
Publication of CN114793248A publication Critical patent/CN114793248A/zh
Application granted granted Critical
Publication of CN114793248B publication Critical patent/CN114793248B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及到基于拟态的加密通讯方法。发送端通过不同的网络协议将待传的数据分别予以发送,由策略裁决模块分析和对比源自不同网络协议的数据。策略裁决模块遴选出异常的网络协议,该异常的网络协议所传输的数据与其它正常的网络协议传输的数据之间存在差异,并将异常的网络协议通知给负反馈控制器。由负反馈控制器指示发送端调整该异常的网络协议所传输的内容,将传输原待传的数据调整为传输冗余数据。策略裁决模块分析冗余数据的预设数据特性,并根据预设数据特性来判断出除了该异常的网络协议之外的其它正常网络协议的优先级。将来自安全等级最高的网络协议的数据发送给接收端。

Description

基于拟态的加密通讯方法
技术领域
本发明主要涉及到通信技术领域,更确切的说,涉及到基于拟态的加密通讯方法。
背景技术
密码算法是将明文或密文转换为密文或明文的一系列公式、法则或程序。本质上密码算法可归属于明文或密文到密文或明文的变换,而且这种变换是可逆的。密钥可以看作是密码算法中的可变参数,改变了密钥也就改变了明文和密文之间的函数关系。
根据密钥类型不同,密码体制可分为两类:第一类是对称密码体制而另一类则是非对称密码体制。在对称密码体制中,对称密码体制的基本特点是:解密算法等同就是加密算法的逆运算,加密密钥和解密密钥可以是相同。在对称密码体制中,通信双方间的密钥必须妥善保管,而且需要经常更换。非对称密码也可称公钥密码体制。非对称密码体制的基本特点是存在一个公钥或私钥对,用私钥加密的信息只能用对应的公钥解密,而用公钥加密的信息只能用对应的私钥解密。
考虑加密通信的安全性,目前通常采用一次一密的形式,即每一次通信都采用不同的密钥来进行加密。即使经常更换密钥,由于通常情况下加密算法是固定不变的,所以通信的安全性也不可能得到保证。因为攻击者通过窃取被加密的密文,通过某种手段得到相关的明文就能够得到加密算法,之后的加密密文就很容易地被解密。还有攻击者通过穷举等方法也能够得到加密的算法。另外,设计加密算法的人员或机构知道加密算法,管理或生产加密算法相关产品的人员或机构也能够知道加密算法,所以存在知道加密算法的人员或机构泄密加密算法的可能性。在目前的密码体制下安全性不能得到保证。
近年来随着互联网技术、数字化技术的快速发展,以云计算、5G网络、人工智能为代表的新一代信息技术正驱动着数字经济的飞速发展,对海量高清数据存储的需求量巨大但随着海量数据信息的产生,这些海量数据包含企业的商业机密、个人的隐私信息等重要的机密信息,若是这些海量数据信息在存储时发生泄露事件的话,对企业和个人造成不可估量的损失。针对亿级海量数据信息分布式安全存储的需求,所以如何保障海量数据信息不被非法窃取和非法篡改是行业内亟待解决的核心问题。
为满足呈爆炸式增长的海量数据的安全存储的要求,当前海量数据信息存储主要采用以下几种方式处理:第一,要求用户将海量数据信息集中存储在计算机中,实现用户海量数据的集中式存储;第二,要求用户利用数据加解密算法对存储的海量数据进行加解密操作并对加密时使用的密钥进行管理,完成海量数据信息的加密存储等操作。可见当前海量数据信息安全存储存在如下缺陷。缺陷之一,利用集中式存储方式对海量数据信息进行存储但因海量数据都集中存储在大型的主机上,一旦主机出现故障,那么整个系统中存储的数据将不再安全,海量数据信息将全部暴露;缺陷之二,无法确保存储的海量数据信息的机密和不被泄漏;缺陷之三,利用国际加密方式对海量数据进行加密操作,保证数据存储的安全性但没有考虑加密算法国产化的情况,当国际算法被破译时,利用算法加密的海量数据信息将不再安全;弊端之四,在数据存储过程中使用加密算法对海量数据信息进行加密操作,并安全存储,但是用户需要持有加密使用的密钥信息,一旦攻破持有的密钥信息存储的海量数据信息将不再安全;弊端之五,在实际使用中存在着海量数据信息泄露隐患而无法对用户海量数据信息进行有效的保护。
伴随着加密技术的发展与升级,如今多样化的各种加密技术可以说是保证数据安全的最好的保障。数据安全与生活息息相关,这方面存在的安全问题自然不能忽视,比起推出更多功能多样化的智能产品之前,应该更优先考虑数据加密的安全问题。要保障这些敏感数据的安全、防止窃取,使用更先进的数据通信方法是必然的选择。
发明内容
本申请公开了一种基于拟态的加密通讯方法,其特征在于,包括以下步骤:
a、发送端通过不同的网络协议将待传的数据分别予以发送,由策略裁决模块分析和对比源自不同网络协议的数据;
b、策略裁决模块遴选出异常的网络协议,该异常的网络协议所传输的数据与其它正常的网络协议传输的数据之间存在差异,并将异常的网络协议通知给负反馈控制器;
c、由负反馈控制器指示所述发送端调整该异常的网络协议所传输的内容,将传输原待传的数据调整为传输冗余数据;
d、策略裁决模块分析所述冗余数据的预设数据特性,并根据预设数据特性来判断出除了该异常的网络协议之外的其它正常网络协议的优先级,正常的网络协议中优先级最高的一者视为安全等级最高的网络协议;
e、策略裁决模块将来自安全等级最高的网络协议的数据发送给接收端。
上述的方法,其中:
待传的数据包括已经被密钥加密过的数据。
上述的方法,其中:
不同的网络协议共用公共的信道或者为任一网络协议单独匹配一个信道。
上述的方法,其中:
所述预设数据特性包括所述冗余数据的带宽信息,不同的带宽信息映射了各个正常的网络协议之间的优先级排序。
上述的方法,其中:
所述预设数据特性包括所述冗余数据在传输过程中的信道利用率,不同的信道利用率映射了各个正常的网络协议之间的优先级排序。
上述的方法,其中:
f、周期性的重新认定异常的网络协议;
且重新认定异常的网络协议包括以下方式:
负反馈控制器将步骤b中已经遴选出的异常的网络协议强制复位成正常的网络协议;
然后再次执行步骤a-d的步骤,以重新迭代出新的异常的网络协议。
上述的方法,其中:
该异常的网络协议上传输的所述冗余数据所占用的带宽,比其它正常的网络协议上传输的数据所占用的带宽要大;以及所述冗余数据的数据传输速率比其它正常的网络协议上传输的数据的数据传输速率要大。
上述的方法,其中:
该异常的网络协议上传输的所述冗余数据在传输过程中的信道利用率,比其它正常的网络协议上传输的数据在传输过程中的信道利用率要低;使所述冗余数据比其它正常的网络协议上传输的数据在时间轴上更离散。
上述的方法,其中:
由负反馈控制器设定异常的网络协议在传输所述冗余数据时的带宽信息。
上述的方法,其中:
由负反馈控制器设定异常的网络协议在传输所述冗余数据时的信道利用率。
上述的方法,其中:
不同的网络协议包括TCP/IP、UDP、HTTP、TLS等通用协议或者包括非通用型的自定义的私有协议。
上述的方法,其中:
待传的数据包括以一次一密的方式加密过的数据。
本申请公开了一种基于拟态的加密通讯方法,其特征在于,包括以下步骤:
a、发送端通过不同的网络协议将待传的数据分别予以发送,由策略裁决模块分析和对比源自不同网络协议的数据;
b、策略裁决模块遴选出异常的网络协议,该异常的网络协议所传输的数据与其它正常的网络协议传输的数据之间存在差异,并将异常的网络协议通知给负反馈控制器;
由负反馈控制器将异常的网络协议更新成一种备用的网络协议;
c、由负反馈控制器指示所述发送端调整该备用的网络协议所传输的内容,将传输原待传的数据调整为传输冗余数据;
d、策略裁决模块分析所述冗余数据的预设数据特性,并根据预设数据特性来判断出除了该备用的网络协议之外的其它正常网络协议的优先级,正常的网络协议中优先级最高的一者视为安全等级最高的网络协议;
e、策略裁决模块将来自安全等级最高的网络协议的数据发送给接收端。
附图说明
为使上述目的和特征及优点能够更加明显易懂,下面结合附图对具体实施方式做详细的阐释,阅读以下详细说明并参照以下附图之后,本申请的特征和优势将显而易见。
图1是发送端通过不同的网络协议将待传的数据分别予以发送的范例。
图2是异常网络协议的数据与正常的网络协议的数据之间存在着差异。
图3是由负反馈控制器将异常的网络协议更新成一种备用的网络协议。
图4是由负反馈控制器将异常的网络协议仍然保持在线可用的实施例。
图5是由负反馈控制器将异常的网络协议执行下线处理的可选实施例。
图6是异常网络协议占用的带宽比其它正常网络协议占用的带宽要大。
图7是预设数据特性包括冗余数据在传输过程中的信道利用率的范例。
具体实施方式
下面将结合各实施例,对本发明的方案进行清楚完整的阐述,所描述的实施例仅是本发明用作叙述说明所用的实施例而非全部的实施例,基于该等实施例,本领域的技术人员在没有做出创造性劳动的前提下所获得的方案属于本发明的保护范围。
参见图1,拟态防御技术有效解决内生安全问题,有效防御挖漏洞、设后门、植病毒和藏木马等基于软硬件内部漏洞后门的经典网络攻击,有力抑制或管控确定或不确定风险或已知或未知的安全威胁,着力解决系统自身的安全防护问题。经典拟态防御技术属于内生安全的范畴,是基于内生安全机理的网络空间安全技术应用。拟态防御架构又称为动态异构冗余架构(DHR),主要架构包括输入指配、异构执行体资源池、输出代理和拟态裁决以及异构体重构和策略调度、反馈控制等核心的功能部件。本申请的后文内容是基于现有技术的拟态防御技术来展开叙说说明。
参见图1,在会话描述协议SDP或实时传输协议RTP或传输层安全协议TLS等拟态加密通信中,在接收到表示密钥交换已完成的ACK消息或Finished消息也即所谓的密钥交换完成通知之后,就可利用约定的加密密钥进行通信数据的加密传输。由于密钥交换通道和通信数据的传输通道通常是一条通道,因此极易出现外部网络袭击先后截获了密钥以及通信数据,然后利用截获的密钥破解通信数据的情况,影响数据安全。同时会话描述协议和传输层安全协议等拟态加密通信中采用到的是单一、静态不变密钥,倘若外部网络袭击截获密钥,就可以利用密钥对所有通信数据进行解密,存在极大隐患。
参见图1,数据发送端10可通过不同的异构体或者不同的执行体或不同的应用场景将数据发送给策略裁决模块30从而构建基本拟态防御体系。通过不同的异构体或不同的执行体或不同的应用场景实现同一信息到多个目标间的变换,譬如发送端10通过不同的网络协议将待传的数据分别予以发送,不同的网络协议例如包括非通用型的自定义的私有协议或者通用协议如TCP/IP、UDP、HTTP、TLS等,至少需要使用两种或两种以上的协议来将待传的数据发送给策略裁决模块30。数据链路层协议或网络层协议或传输层协议或应用层协议等七层框架上的各类协议均可作为不同的网络协议的资源池,若资源池中的协议类型越多则网络协议的可选择性越丰富,安全系数相对越高。
参见图1,数据发送端10使用了网络协议20a-20e等资源池中的协议,图中未示意的数据接收端使用了网络协议21a-21e等资源池中的协议。网络协议20a和21a是相同的只不过它们分别作用于发送端和接收端以满足通信需求。网络协议20b和21b是相同的只不过它们分别作用于发送端和接收端以满足通信需求。网络协议20c和21c是相同的只不过它们分别作用于发送端和接收端以满足通信需求。网络协议20d和21d是相同的只不过它们分别作用于发送端和接收端以满足通信需求。网络协议20e和21e是相同的只不过它们分别作用于发送端和接收端以满足通信需求。前文已经交代资源池中的协议包括非通用型的自定义的私有协议或者通用协议。攻击者需要能够在拟态环境下实现多元目标的协同攻击并取得一致攻击效果,才能进行下一个攻击步骤,但此过程需要攻击者付出极大的攻击成本和攻击代价。若攻击者分别攻击不同的异构体,例如单独对每种协议来分别截取数据,这项攻击任务将是极度耗费时间和代价的。
参见图1,发送端10通过不同的网络协议(20a-20e、21a-21e)将待传数据分别予以发送给策略裁决模块30,策略裁决模块30最基本的任务是进行裁决:分析和对比源自不同网络协议(20a-20e、21a-21e)的数据。拟态裁决要求策略裁决模块30通过多选择或一致性比较或权重裁决等单一或组合方式,对异构执行体的输出信息进行判决并将相关的状态信息和裁决结果发送给反馈控制器40。本申请中裁决是基于一致性比较。
参见图2,策略裁决模块30通过网络协议(20a-21a)从发送端10收到了如图所示的数据XXXX-YYYY-KKKK,这里的XYK指代高低位的数据。
参见图2,策略裁决模块30通过网络协议(20b-20e、21b-21e)从发送端10收到了如图所示的数据XXXX-YYYY-ZZZZ,这里的XYZ指代高低位的数据。
参见图2,显而易见的是,从某个网络协议(20a-21a)或是图中未示意出的某几个网络协议收到了非常不同于余下其它的网络协议(20b-20e、21b-21e)的数据。本申请值得注意的是,不同的网络协议分别传输的数据之间的一致性要求,并非是要求这些数据是百分之百的一模一样,因为数据传输的信道是基于物理传输媒介,媒介本身就天然存在着传输损耗以及周边环境也存在着外部噪声,基于这种情况,既然具有较大随机性的误码率是不可避免的,那么要求网络协议(20b-20e、21b-21e)各自传输的数据务必完全相同也是不现实的。因此,本申请中所谓“传输的数据相同”包括了它们之间的误码率在允许的容错范围内,同样具有一致性。而所谓“传输的数据之间存在差异”则包括了它们之间的误码率已经超过了容错范围而不再具有一致性的情况。
参见图2,反馈控制器40根据策略裁决模块30的裁决结果,对处于异常状态的异构体例如网络协议进行调整,相当于对防御场景的异构度进行调整,如异构体的更替或上线下线的切换、清洗等操作,直至合乎规范要求。在可选的范例中,策略裁决模块遴选出异常的网络协议(例如20a-21a),异常的网络协议(例如20a-21a)所传输的数据与其它正常网络协议(例如20b-20e、21b-21e)传输的数据之间存在差异,策略裁决模块将异常的网络协议(例如20a-21a)通知给负反馈控制器40。负反馈控制器40在功能方面还可以从外部向它传递其它反馈输入OR,其它反馈不必是策略裁决模块30给出的反馈例如是人为的操控或任何支持拟态防御的反馈机制。拟态防御以拟态边界设防和重点区域防御为出发点,以维护拟态界内例如拟态防御覆盖区域的目标对象(网络、平台、系统和组件及软硬件模块等)的稳定性为目的,以特定资源条件下异构执行体的策略调度和多维动态重构负反馈机制提升拟态界内防御资源的可利用度为方法,以拟态裁决和后向验证机制为主要手段,以异构执行体漏洞后门的可达性与协同利用性为重点,以实现获得目标对象功能性能的鲁棒特性。因此现有的拟态防御技术的公开方案均适用于本申请。
参见图3,异常的网络协议(例如20a-21a)在可选的实施例当中被替换掉,假设它的原始的网络协议采用TCP/IP,那么可以替换成UDP,由负反馈控制器40将异常的网络协议更新成一种备用网络协议(例如20A-21A)。在图1-3的可选实施例中不同的网络协议可共用公共的信道来传输自身的数据,时分复用甚至频分复用等可重复利用信道的复用技术对于公共的信道而言是非常适合的选择。
参见图4,为任一网络协议单独匹配一个信道也是较佳的选择,虽然在成本方面比公共的信道要昂贵得多,但安全系统和应用场景方面则更具有实用性。因为数据发送端和数据接收端的距离较遥远的话,或其中一方的分布点较偏僻而不方便接入公共信道,那么使用不同的信道就具有必然性。假设网络协议20a-20e分别使用信道CH1-CH5等,前文中假设网络协议20a-20e使用公共信道CCH等,分别参见图4和图1,那么信道其实也可视为异构体的有机组成部分,譬如可以切换信道或下线信道。
参见图5,策略裁决模块30遴选出异常网络协议(例如20b、21b),该异常的网络协议所传输的数据与其它正常的网络协议传输的数据之间存在差异,并将异常的网络协议通知给负反馈控制器40。由负反馈控制器40将异常的网络协议更新成一种备用的网络协议例如从异常的HTTP替换成备用的TLS。在这期间,基于多信道传输,异常的网络协议所在的信道如CH2可以直接下线,也即剔除一条信道并使其弃而不用,余下的其他的正常网络协议所在的各信道例如CH1和CH3-CH5承担所有的传输工作。同样可实现拟态的高可靠特点:变单一功能体为多元异构功能体、分别独立完成其任务,当其中部分异构功能体出现故障不能正常工作时,不影响系统的功能运行。反馈调度机制可实时对异常异构功能体进行监测、清洗、上线,进一步保证系统的稳定可靠运行。
参见图2,由负反馈控制器40指示发送端10调整异常网络协议(20a-21a)所传输的内容例如将传输原待传的数据调整为传输冗余数据,原始的传输内容是调整前的待传数据而冗余数据则是调整后的数据。在可选的实施例中,原待传的数据是真实有效的数据而且也是客户端所需的数据,冗余数据是伪数据而且允许其没有任何实际意义。
参见图2,在可选的实施例中异常网络协议(20a-21a)传输的是冗余数据而不是原始的待传数据。策略裁决模块40分析冗余数据的预设数据特性:根据预设数据特性来判断除异常网络协议(20a-21a)外的其它正常网络协议(20b-20e、21b-21e)的优先级且优先级最高的一者视为安全等级最高的网络协议。异常网络协议之所以异常,在绝大部分情况下是受到攻击而产生非一致性的,倘若异常网络协议传递无意义的冗余数据则攻击者截取的是无规律和无用途的杂乱信息。
参见图6,关于冗余数据的预设数据特性举例:预设数据特性包括冗余数据的带宽信息例如在坐标中标注了带宽BW,利用不同的带宽信息来映射出各个正常的网络协议之间的优先级排序。例如,如果策略裁决模块40检测到异常网络协议(20a-21a)传输冗余数据的带宽信息是B0,譬如表征着各正常网络协议(20b-20e、21b-21e)之间的优先级排序为网络协议(20b、21b)最高、网络协议(20c、21c)次高、而优先级排序为倒数的则是网络协议(20e、21e)。可采用更多的协议以及协议的排序不限于此。
参见图6,关于冗余数据的预设数据特性举例:异常网络协议(20a-21a)传输冗余数据的带宽信息是B1,譬如表征着各正常网络协议(20b-20e、21b-21e)之间的优先级排序为网络协议(20c、21c)最高、网络协议(20b、21b)次高、而优先级排序为倒数的则是网络协议(20e、21e)。这是另一种带宽信息表征的优先级次序或排序。
参见图6,关于冗余数据的预设数据特性举例:异常网络协议(20a-21a)传输冗余数据的带宽信息是B2,譬如表征着各正常网络协议(20b-20e、21b-21e)之间的优先级排序为网络协议(20e、21e)最高、网络协议(20c、21c)次高、而优先级排序为倒数的则是网络协议(20b、21b)。这是其它的带宽信息表征的优先级次序或排序。
参见图6,关于如何调整冗余数据的带宽信息,可由负反馈控制器40设定异常的网络协议在传输冗余数据时的带宽信息,因为负反馈控制器40的任务之一就是根据裁决器的异常状态信息对防御场景的异构度进行调整,包括执行体的更替、上下线等操作并直至合乎规范要求。负反馈控制器40可以设定异常的网络协议在传输冗余数据时的带宽信息例如可对带宽执行阶梯式的调整。另外负反馈控制器40可以将“不同的带宽信息与各个正常的网络协议的优先级排序之间的映射关系”告知策略裁决模块30,然后策略裁决模块根据这种映射关系来确认正常的网络协议中优先级最高的一者,优先级最高的一者视为安全等级最高的网络协议。例如负反馈控制器40可以将图6中带宽B0-B2与图中展示的各个正常的网络协议(20b-20e、21b-21e)的优先级排序之间的映射关系提前告知所谓策略裁决模块30,策略裁决模块30据此来确认各个网络协议的优先级。策略裁决模块将来自安全等级最高的网络协议的数据发送给接收端。
参见图7,可选的范例中,预设数据特性包括冗余数据在传输过程中的信道利用率以及不同的信道利用率映射了各个正常的网络协议之间的优先级排序。
参见图7,关于冗余数据的预设数据特性举例:异常网络协议(20a-21a)传输冗余数据的信道利用率R0,譬如表征着各正常网络协议(20b-20e、21b-21e)之间的优先级排序为网络协议(20b、21b)最高、网络协议(20c、21c)次高、而优先级排序为倒数的则是网络协议(20e、21e)。可采用更多的协议以及协议的排序不限于此。
参见图7,关于冗余数据的预设数据特性举例:异常网络协议(20a-21a)传输冗余数据的信道利用率R1,譬如表征着各正常网络协议(20b-20e、21b-21e)之间的优先级排序为网络协议(20c、21c)最高、网络协议(20b、21b)次高、而优先级排序为倒数的则是网络协议(20e、21e)。这是另一种带宽信息表征的优先级次序或排序。
参见图7,关于冗余数据的预设数据特性举例:异常网络协议(20a-21a)传输冗余数据的信道利用率R2,譬如表征着各正常网络协议(20b-20e、21b-21e)之间的优先级排序为网络协议(20e、21e)最高、网络协议(20c、21c)次高、而优先级排序为倒数的则是网络协议(20b、21b)。这是其它的带宽信息表征的优先级次序或排序。
参见图7,关于如何调整冗余数据的信道利用率,由负反馈控制器40设定异常的网络协议在传输冗余数据时的信道利用率,因负反馈控制器40的任务之一就是根据裁决器的异常状态信息对防御场景的异构度进行调整,包括执行体的更替、上下线等操作并直至合乎规范要求。负反馈控制器40可以设定异常的网络协议在传输冗余数据时的信道利用率如可对利用率和空闲率执行调整。另外负反馈控制器40可将“不同的信道利用率与各个正常网络协议的优先级排序之间的映射关系”告知策略裁决模块30,然后策略裁决模块根据这种映射关系来确认正常的网络协议中优先级最高的一者,优先级最高的一者视为安全等级最高的网络协议。例如负反馈控制器40可以将图7利用率R0-R2与图中展示的各个正常网络协议(20b-20e、21b-21e)的优先级排序之间的映射关系提前告知所谓策略裁决模块30,策略裁决模块30据此来确认各个网络协议的优先级。策略裁决模块将来自安全等级最高的网络协议的数据发送给接收端。
参见图7,由上文内容,可知本基于拟态的加密通讯方法具有高可信度:拟态防御具有完善的裁决机制和负反馈机制,当异构功能体受到内外部威胁攻击后,拟态防御机制可以将针对个体的攻击事件转换为系统层面可量化的概率可控的安全事件。其中裁决机制的组合判决能力,具有对异构功能体迁移、清洗、上下线等重构能力。
参见图1,基于拟态的加密通讯方法,包括以下步骤a-e等。
参见图1,步骤a、发送端通过不同的网络协议将待传的数据分别予以发送,由策略裁决模块分析和对比源自不同网络协议的数据。该范例适用于图4等。
参见图1,步骤b、策略裁决模块遴选出异常的网络协议,该异常的网络协议所传输的数据与其它正常的网络协议传输的数据之间存在差异,并且还将异常的网络协议通知给负反馈控制器。该范例适用于图4等。
参见图1,步骤c、由负反馈控制器指示所述发送端调整该异常的网络协议所传输的内容,将传输原待传的数据调整为传输冗余数据。该范例适用于图4等。
参见图1,步骤d、策略裁决模块分析所述冗余数据的预设数据特性,并根据预设数据特性来判断出除了该异常的网络协议之外的其它正常网络协议的优先级,正常的网络协议中优先级最高的一者视为安全等级最高的网络协议。该范例适用于图4等。
参见图1,步骤e、最后策略裁决模块需要将来自安全等级最高的网络协议的数据发送给数据接收端。该范例适用于图4等。
参见图1,在可选范例中,基于拟态的加密通讯方法除包括步骤a-e等,还包括以下内容提及的步骤f。该范例适用于图4等。
参见图1,步骤f、周期性的重新认定异常的网络协议;且重新认定异常的网络协议包括以下方式:负反馈控制器将步骤b中已经遴选出的异常的网络协议强制复位成正常的网络协议;然后再次执行步骤a-d的步骤,以重新迭代出新的异常的网络协议。这是因为攻击者可能从信道ch2攻击改为ch1攻击,也可能从攻击ch1改为攻击ch5,如果动态迭代出新的异常的网络协议,就能很大程度的动态追踪攻击者的目标,并将受攻击的目标排除出正常的网络协议体系,提高系统的安全等级和防御能力。得到最具有鲁棒性和最可靠的数据,下线次要的信道或更换网络协议,可剔除通信噪声和信道故障带来的非攻击性数据漂移,动态式迭代出最佳的线路和数据。
参见图4,基于拟态的加密通讯方法,包括以下步骤a-e等。
参见图4,步骤a、发送端通过不同的网络协议将待传的数据分别予以发送,由策略裁决模块分析和对比源自不同网络协议的数据。该范例适用于图1等。
参见图4,步骤b、策略裁决模块遴选出异常的网络协议,该异常的网络协议所传输的数据与其它正常的网络协议传输的数据之间存在差异,并且将异常的网络协议通知给负反馈控制器,由负反馈控制器将异常的网络协议更新成一种备用的网络协议。同样的该范例适用于图1等。
参见图4,步骤c、由负反馈控制器指示所述发送端调整该备用的网络协议所传输的内容,将传输原待传的数据调整为传输冗余数据。该范例适用于图1等。
参见图4,步骤d、策略裁决模块分析所述冗余数据的预设数据特性,并根据预设数据特性来判断出除了该备用的网络协议之外的其它正常网络协议的优先级,正常的网络协议中优先级最高的一者视为安全等级最高的网络协议。该范例适用于图1等。
参见图4,步骤e、策略裁决模块需要将来自安全等级最高的网络协议的数据发送给数据接收端。该范例适用于图1等。
参见图2,在可选的实施例中,该异常的网络协议(20a-21a)上传输的冗余数据所占用的带宽,比余下其它的正常的网络协议(20b-20e、21b-21e)上传输的数据所占用的带宽要大。或者网络协议(20a-21a)处冗余数据的数据传输速率比余下的其它正常的网络协议(20b-20e、21b-21e)上传输的数据的数据传输速率要大。带宽增速或减速会给攻击者造成认知困惑。如短期信息量暴涨,因为攻击者的目标是提取信息,无用冗余信息的暴涨会给攻击者硬件部分造成物理伤害。譬如单位时间内异常网络协议上的无用内容也即是海量的冗余数据,除了使得攻击者的数据接口电路负荷暴增外,攻击者的处理信息的处理器或控制器或服务器等数据分析的核心部分会极度超负荷工作,缘由是攻击者无论怎么攻击其必然会试图分析协议特征和分析数据本身。而本申请的数据接受者根本则不用接受超量的信息即内容、只是需要知晓带宽信息即可,所以本申请的信息接受者无需担忧硬件部分造成物理伤害。相当于数据接收端只是检测冗余数据所占用的带宽,而不接受冗余数据的海量数据本身,这种海量数据冲击对攻击者可能是无法承受的。一旦攻击者发现数据极度超负荷时通常会放弃进一步的数据提取工作,因为数据接口电路或者处理器或控制器或服务器等都有过温保护,这些数据处理设备达到一定负荷会自行宕机,所以本申请这种拟态防御方式是极富成效,再者充满迷惑的冗余信息也无需担忧被窃取。
参见图2,在可选的实施例中,该异常的网络协议上(20a-21a)传输的冗余数据在传输过程中的信道利用率,比正常的网络协议(20b-20e、21b-21e)上传输的数据在传输过程中的信道利用率低。使异常的网络协议(20a-21a)上的冗余数据比其它的正常的网络协议(20b-20e、21b-21e)上传输的数据在时间轴上更离散。信道率的突变亦会给攻击者造成认知困惑。短期的信道利用率突变,因为攻击者的目标是提取信息,信道利用率的突变会给攻击者的数据分析造成错误认知。通信时间内信道突然出现数据暴增或者信道突然出现数据暴跌,等同于数据离散率加剧,离散的数据对于数据分析而言,是极度困难的和极度缺乏逻辑,因为单纯由离散数据很难提炼出数据规律或者很难说利用离散数据建立一套模型来分析数据。本申请信息接受者根本不用接受离散的数据即内容、只是计算出数据的信道利用率或空闲率即可,无需对离散冗余数据进行任何形式的分析。
参见图1,前文介绍的范例中,步骤f、周期性的重新认定异常的网络协议;且重新认定异常的网络协议包括以下方式:负反馈控制器将步骤b中已经遴选出的异常的网络协议强制复位成正常的网络协议。用途之一:让各个不同的网络协议变成异常的网络协议的过程具有动态性,以及各个不同的网络协议加载所述冗余数据也具有随机性,最终优先级最高的网络协议也是动态变化和具有随机性的。从而实现加强基于拟态的加密通讯方法的安全等级和防御能力。用途之二:排除不同网络协议遭受到的外部噪声干扰,噪声干扰是从信道处混频而叠加到数据上的,网络协议上的数据是通过信道来进行传输。倘若不排除外部的噪声干扰,如果某些信道或网络协议并非是遭受了攻击,只是信道或网络协议上被附着有噪声干扰,导致表面看起来似乎是遭受攻击,结果就是产生了误操作。特别是各个不同的网络协议在传输待传数据或所述冗余数据时,因不同的网络协议彼此之间本身就存在协议设计差异,这更加剧了冗余数据的预设数据特性的难以预料性和冗余数据的难以被检测的不可控性。攻击者无从下手,所以系统更具有鲁棒性。
参见图1,在可选的实施例当中:f、周期性的重新认定异常的网络协议;而重新认定异常的网络协议包括以下方式:负反馈控制器将步骤b中已经遴选出的异常的网络协议强制复位成正常的网络协议;然后再次执行步骤a-d的步骤,以重新迭代出新的异常的网络协议,并且每次迭代出新的异常的网络协议之时,均同步由负反馈控制器将新的异常的网络协议在传输所述冗余数据时所占用的带宽增加一次;由负反馈控制器将新的异常的网络协议在传输所述冗余数据时的数据传输速率增加一次。若按照这种迭代法,如果攻击者只针对某个网络协议进行攻击,或说攻击者只找到了某一个网络协议的弱点,那么每次迭代的对象就是受攻击的同一个网络协议,以及这个受攻击的网络协议在传输冗余数据时所占用的带宽会逐次递增(每迭代一次就增加一次),带宽资源很快耗尽。迭代仍然在继续而带宽不可能无限增长,但是冗余数据的数据传输速率却仍在逐次递增,这样受攻击的网络协议很快就濒于崩溃,正常网络却不受影响。策略裁决模块分析所述冗余数据的预设数据特性例如所述冗余数据的带宽信息,在带宽达到上限值时策略裁决模块可判断出异常的网络协议的优先级最低、异常的网络协议视为安全等级最低的网络协议。安全等级最低的网络协议这样的异构体要么需要重新设计协议方式、要么需要弃之不用,因为它是所有网络协议中能轻易攻破和轻易被发现弱点的异构体。
参见图1,在可选的实施例当中:f、周期性的重新认定异常的网络协议;而重新认定异常的网络协议包括以下方式:负反馈控制器将步骤b中已经遴选出的异常的网络协议强制复位成正常的网络协议;然后再次执行步骤a-d的步骤,以重新迭代出新的异常的网络协议,并且每次迭代出新的异常的网络协议之时,均同步由负反馈控制器将新的异常的网络协议上传输的所述冗余数据在传输过程中的信道利用率递减一次。按照信道利用率递减的迭代法,如果攻击者只针对某个网络协议进行攻击,或说攻击者只找到了某一个网络协议的弱点,那么每次迭代的对象就是受攻击的同一个网络协议,以及这个受攻击的网络协议在传输冗余数据时的信道利用率会逐次递减(每迭代一次就递减一次)。迭代仍然在继续而信道利用率却无法无限递减,这样受攻击的网络协议上的冗余数据的传输速率很快就接近于零,正常网络却不受影响。策略裁决模块分析冗余数据的预设数据特性如所述冗余数据在传输过程中的信道利用率,在信道利用率接近下限值时策略裁决模块可判断出异常的网络协议的优先级最低、异常的网络协议视为安全等级最低的网络协议。信道利用率达到下限值时的结果例如可迫使冗余数据离散到完全找不出任何分布规律。安全等级最低的网络协议这样的异构体要么需要重新设计协议方式、要么需要弃之不用,因为它是所有网络协议当中能轻易攻破和轻易被发现弱点的异构体。
以上通过说明和附图的内容,给出了具体实施方式的特定结构的典型实施例,上述申请内容提出了现有的较佳实施例,但这些内容并不作为局限。对于本领域的技术人员而言在阅读上述说明后,各种变化和修正无疑将显而易见。因此,所附的权利要求书应当看作是涵盖本发明的真实意图和范围的全部变化和修正。在权利要求书范围之内的任何和所有等价的范围与内容,都应认为仍属本发明的意图和范围内。

Claims (10)

1.一种基于拟态的加密通讯方法,其特征在于,包括以下步骤:
a、发送端通过不同的网络协议将待传的数据分别予以发送,由策略裁决模块分析和对比源自不同网络协议的数据;
b、策略裁决模块遴选出异常的网络协议,该异常的网络协议所传输的数据与其它正常的网络协议传输的数据之间存在差异,并将异常的网络协议通知给负反馈控制器;
c、由负反馈控制器指示所述发送端调整该异常的网络协议所传输的内容,将传输原待传的数据调整为传输冗余数据;
d、策略裁决模块分析所述冗余数据的预设数据特性,并根据预设数据特性来判断出除了该异常的网络协议之外的其它正常网络协议的优先级,正常的网络协议中优先级最高的一者视为安全等级最高的网络协议;
e、策略裁决模块将来自安全等级最高的网络协议的数据发送给接收端。
2.根据权利要求1所述的方法,其特征在于:
待传的数据包括已经被密钥加密过的数据。
3.根据权利要求1所述的方法,其特征在于:
所述预设数据特性包括所述冗余数据的带宽信息,不同的带宽信息映射了各个正常的网络协议之间的优先级排序。
4.根据权利要求1所述的方法,其特征在于:
所述预设数据特性包括所述冗余数据在传输过程中的信道利用率,不同的信道利用率映射了各个正常的网络协议之间的优先级排序。
5.根据权利要求1所述的方法,其特征在于,还包括以下步骤:
f、周期性的重新认定异常的网络协议;
且重新认定异常的网络协议包括以下方式:
负反馈控制器将步骤b中已经遴选出的异常的网络协议强制复位成正常的网络协议;
然后再次执行步骤a-d的步骤,以重新迭代出新的异常的网络协议。
6.根据权利要求3所述的方法,其特征在于:
该异常的网络协议上传输的所述冗余数据所占用的带宽,比其它正常的网络协议上传输的数据所占用的带宽要大;以及所述冗余数据的数据传输速率比其它正常的网络协议上传输的数据的数据传输速率要大。
7.根据权利要求4所述的方法,其特征在于:
该异常的网络协议上传输的所述冗余数据在传输过程中的信道利用率,比其它正常的网络协议上传输的数据在传输过程中的信道利用率要低;使所述冗余数据比其它正常的网络协议上传输的数据在时间轴上更离散。
8.根据权利要求3所述的方法,其特征在于:
由负反馈控制器设定异常的网络协议在传输所述冗余数据时的带宽信息。
9.根据权利要求4所述的方法,其特征在于:
由负反馈控制器设定异常的网络协议在传输所述冗余数据时的信道利用率。
10.一种基于拟态的加密通讯方法,其特征在于,包括以下步骤:
a、发送端通过不同的网络协议将待传的数据分别予以发送,由策略裁决模块分析和对比源自不同网络协议的数据;
b、策略裁决模块遴选出异常的网络协议,该异常的网络协议所传输的数据与其它正常的网络协议传输的数据之间存在差异,并将异常的网络协议通知给负反馈控制器;
由负反馈控制器将异常的网络协议更新成一种备用的网络协议;
c、由负反馈控制器指示所述发送端调整该备用的网络协议所传输的内容,将传输原待传的数据调整为传输冗余数据;
d、策略裁决模块分析所述冗余数据的预设数据特性,并根据预设数据特性来判断出除了该备用的网络协议之外的其它正常网络协议的优先级,正常的网络协议中优先级最高的一者视为安全等级最高的网络协议;
e、策略裁决模块将来自安全等级最高的网络协议的数据发送给接收端。
CN202210203437.XA 2022-03-02 2022-03-02 基于拟态的加密通讯方法 Active CN114793248B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210203437.XA CN114793248B (zh) 2022-03-02 2022-03-02 基于拟态的加密通讯方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210203437.XA CN114793248B (zh) 2022-03-02 2022-03-02 基于拟态的加密通讯方法

Publications (2)

Publication Number Publication Date
CN114793248A true CN114793248A (zh) 2022-07-26
CN114793248B CN114793248B (zh) 2024-02-23

Family

ID=82459180

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210203437.XA Active CN114793248B (zh) 2022-03-02 2022-03-02 基于拟态的加密通讯方法

Country Status (1)

Country Link
CN (1) CN114793248B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102791A (zh) * 2022-08-24 2022-09-23 南京华盾电力信息安全测评有限公司 一种基于拟态防御的密码服务监控系统及方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656834A (zh) * 2016-11-16 2017-05-10 上海红阵信息科技有限公司 Is‑is路由协议异构功能等价体并行归一化装置及方法
CN108134740A (zh) * 2017-12-08 2018-06-08 中国电子科技集团公司第三十研究所 一种基于物理异构冗余的加权裁决及随机调度方法
CN111181926A (zh) * 2019-12-13 2020-05-19 中国人民解放军战略支援部队信息工程大学 一种基于拟态防御思想的安全设备及其运行方法
CN111885021A (zh) * 2020-07-09 2020-11-03 河南信大网御科技有限公司 基于传输协议的拟态通信方法、通信架构及可读存储介质
CN111885022A (zh) * 2020-07-09 2020-11-03 河南信大网御科技有限公司 基于通信接口的拟态通信方法、通信架构及终端设备
WO2021169080A1 (zh) * 2020-02-27 2021-09-02 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和系统
WO2021248740A1 (zh) * 2020-06-10 2021-12-16 网络通信与安全紫金山实验室 一种拟态路由器执行体调度方法和拟态路由器
CN114115068A (zh) * 2021-12-03 2022-03-01 东南大学 一种内生安全交换机的异构冗余防御策略下发方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656834A (zh) * 2016-11-16 2017-05-10 上海红阵信息科技有限公司 Is‑is路由协议异构功能等价体并行归一化装置及方法
CN108134740A (zh) * 2017-12-08 2018-06-08 中国电子科技集团公司第三十研究所 一种基于物理异构冗余的加权裁决及随机调度方法
CN111181926A (zh) * 2019-12-13 2020-05-19 中国人民解放军战略支援部队信息工程大学 一种基于拟态防御思想的安全设备及其运行方法
WO2021169080A1 (zh) * 2020-02-27 2021-09-02 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和系统
WO2021248740A1 (zh) * 2020-06-10 2021-12-16 网络通信与安全紫金山实验室 一种拟态路由器执行体调度方法和拟态路由器
CN111885021A (zh) * 2020-07-09 2020-11-03 河南信大网御科技有限公司 基于传输协议的拟态通信方法、通信架构及可读存储介质
CN111885022A (zh) * 2020-07-09 2020-11-03 河南信大网御科技有限公司 基于通信接口的拟态通信方法、通信架构及终端设备
CN114115068A (zh) * 2021-12-03 2022-03-01 东南大学 一种内生安全交换机的异构冗余防御策略下发方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
郭星华,梁浩,王玲玲: "基于拟态安全的网络信息体系内生安全思考与实践∗", 《指挥信息系统与技术》, 31 December 2021 (2021-12-31) *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102791A (zh) * 2022-08-24 2022-09-23 南京华盾电力信息安全测评有限公司 一种基于拟态防御的密码服务监控系统及方法
CN115102791B (zh) * 2022-08-24 2023-01-03 南京华盾电力信息安全测评有限公司 一种基于拟态防御的密码服务监控系统及方法

Also Published As

Publication number Publication date
CN114793248B (zh) 2024-02-23

Similar Documents

Publication Publication Date Title
US20220263800A1 (en) Secure on-premise to cloud communication
US10601790B2 (en) System for providing end-to-end protection against network-based attacks
US10412067B2 (en) Filtering TLS connection requests using TLS extension and federated TLS tickets
CN109413201B (zh) Ssl通信方法、装置及存储介质
WO2018226790A1 (en) Secure network-accessible system for executing remote applications
US11362827B2 (en) IOT security mechanisms for industrial applications
AU2014332244A1 (en) System and method for encryption key management, federation and distribution
US11936778B2 (en) Systems and methods of post-quantum security management
WO2003032603A2 (en) Ip hopping for secure data transfer
CN110912929B (zh) 一种基于区域医疗的安全管控中台系统
CN111787038A (zh) 一种提供边缘服务的方法、系统及计算设备
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
CN111103856A (zh) 一种加密控制方法、装置及系统
US20190294464A1 (en) Dispersive storage area networks
CN114793248B (zh) 基于拟态的加密通讯方法
CN117478428B (zh) 一种隐身通信系统和配置方法
Ayodele et al. SDN as a defence mechanism: a comprehensive survey
US20130339727A1 (en) WAN Optimization Without Required User Configuration for WAN Secured VDI Traffic
CN113972992A (zh) 用于sdp控制器的访问方法及装置、计算机可存储介质
US9473462B2 (en) Method and system for configuring and securing a device or apparatus, a device or apparatus, and a computer program product
Singh et al. Security in 5G Network Slices: Concerns and Opportunities
CN106576050B (zh) 三层安全和计算架构
Ashraf et al. A Roadmap: Towards Security Challenges, Prevention Mechanisms for Fog Computing
US20230058198A1 (en) Dynamic cryptographic algorithm selection
WO2024073843A1 (en) Systems and methods for establishing a secure digital network environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant