CN114844729A - 一种网络信息隐藏方法及系统 - Google Patents

Abstract

本申请公开了一种网络信息隐藏方法及系统。所述方法包括：在发送数据包前，对所述数据包进行网络信息隐藏，所述网络信息隐藏包括：利用密钥和第一随机数对所述数据包中的源IP地址、目的IP地址、源端口号和目的端口号进行加密获得密文；在所述数据包的IP包头的指定字段中填充所述密文及预定义标识位，根据所述密文及预定义标识位进行HMAC计算，获得HMAC验证码，将所述HMAC验证码的部分填充到所述指定字段中；对所述数据包中的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号用第二随机数进行替换。所述方法还提出了对应的信息隐藏解密流程。本发明增加了定向攻击难度，安全性高。

Description

一种网络信息隐藏方法及系统

技术领域

本申请涉及信息安全技术领域，更具体地，涉及一种网络信息隐藏方法及系统。

背景技术

当多个网络之间进行通信时，需要考虑数据安全问题和内部网络的信息隐藏。数据的安全性可通过一些安全协议进行保证，可对应用层的内容进行保护，防止数据泄密和非法篡改。业界常用的保护手段是采用密码算法进行加密、签名、摘要或通过安全协议（如SSL协议）等方式来解决数据安全问题。内部网络的信息隐藏，业界成熟的方案有NAT（Network Address Translation）、VPN（Virtual Private Network）隧道模式等。NAT通过对内网数据包的源IP、端口或目的IP、端口转换为外网的IP和端口以实现对内网数据包的隐藏。VPN隧道模式通过对内网数据包重新封装外网IP头实现对内网数据包的隐藏。

无论是采用密码算法亦或是采用安全协议方法，仅能对数据内容进行保护，无法对数据包的源信息和目的信息进行隐藏。而采用NAT或VPN方案可对数据包的原始信息进行隐藏，但依旧可通过数据包分析出来单条数据流，从而开展流量分析。当攻击者发起针对性攻击时，通过网络流量分析很容易找到攻击目标，实现定向攻击，造成安全隐患。

发明内容

针对现有技术的至少一个缺陷或改进需求，本发明提供了一种网络信息隐藏方法及系统，增加了定向攻击难度，安全性高。

为实现上述目的，按照本发明的第一个方面，提供了一种网络信息隐藏方法，在发送数据包前，对所述数据包进行网络信息隐藏处理，所述网络信息隐藏处理包括：

利用密钥和第一随机数对所述数据包中的源IP地址、目的IP地址、源端口号和目的端口号进行加密获得密文；

在所述数据包的IP包头的指定字段中填充所述密文及预定义标识位，根据所述密文及预定义标识位进行HMAC计算，获得HMAC验证码，将所述HMAC验证码的至少部分填充到所述指定字段中；

对所述数据包中的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号用第二随机数进行替换。

进一步地，所述进行加密包括：

解析获得所述数据包中的源IP地址、目的IP地址、源端口号和目的端口号；

将源IP地址、目的IP地址、源端口号、目的端口号和所述第一随机数拼接成明文；

基于所述密钥对所述明文进行加密。

进一步地，所述网络信息隐藏处理由信息隐藏终端系统执行，所述密钥为所述信息隐藏终端系统的初始密钥或所述信息隐藏终端系统向密钥管理系统申请获取的系统密钥，在所述信息隐藏终端系统上电后且未成功获取系统密钥前，利用初始密钥进行所述加密操作，在所述信息隐藏终端系统成功获取系统密钥后，利用系统密钥进行所述加密操作。

进一步地，采用时间同步机制进行所述密钥管理系统和所述信息隐藏终端系统的时间同步，所述信息隐藏终端系统定时向所述密钥管理系统发送密钥请求，所述密钥管理系统响应于密钥请求，将系统密钥和系统密钥更新时间发送给所述信息隐藏终端系统，当所述信息隐藏终端系统的系统时间等于密钥更新时间时，进行系统密钥更新，利用更新后的系统密钥进行后续的加密操作。

进一步地，所述密钥管理系统生成系统密钥后，将系统密钥分割成多份密钥分量分别存储在多个密钥存储系统中，响应于密钥请求，所述密钥管理系统向所述密钥存储系统获取多个密钥分量，根据多个密钥分量计算恢复系统密钥，将恢复的系统密钥和系统密钥更新时间发送给所述信息隐藏终端系统。

进一步地，所述预定义标识位包括隐藏协议类别、字段长度和密钥类别，所述隐藏协议类别用于定义所述密钥管理系统和所述信息隐藏终端系统之间的通信协议类别，所述字段长度用于定义所述指定字段的长度，所述密钥类别用于定义所述密钥为初始密钥还是系统密钥；

所述指定字段为option字段，包括40字节，其中，所述隐藏协议类别占1字节，所述字段长度占1字节，所述密钥类别占1字节，所述密文占16字节，所述HMAC验证码占21字节。

按照本发明的第二个方面，还提供了一种网络信息隐藏方法，在接收数据包后，对所述数据包进行网络信息隐藏解密处理，所述网络信息隐藏解密处理包括：

获取所述数据包中的IP包头中填充的密文、预定义标识位、第一HMAC验证码的指定位和所述数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

采用密钥对所述密文和所述预定义标识位进行HMAC计算，获取第二HMAC验证码的指定位；

若所述第二HMAC验证码的指定位与第一HMAC验证码的指定位相等，则利用所述密钥对所述密文进行解密，获取源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

采用解密获取的源IP地址、目的IP地址、源端口号、目的端口对所述数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号进行替换。

按照本发明的第三个方面，还提供了一种网络信息隐藏系统，包括信息隐藏终端系统，所述信息隐藏终端系统用于在发送数据包前，对所述数据包进行网络信息隐藏处理，所述网络信息隐藏处理包括：

利用密钥和第一随机数对所述数据包中的源IP地址、目的IP地址、源端口号和目的端口号进行加密获得密文；

在所述数据包的IP包头的指定字段中填充所述密文及预定义标识位，根据所述密文及预定义标识位进行HMAC计算，获得HMAC验证码，将所述HMAC验证码的至少部分填充到所述指定字段中；

对所述指定字段中的所述密文的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号用第二随机数进行替换。

进一步地，所述进行加密包括：

解析获得所述数据包中的源IP地址、目的IP地址、源端口号和目的端口号；

将源IP地址、目的IP地址、源端口号、目的端口号和所述第一随机数拼接成明文；

基于所述密钥对所述明文进行加密。

按照本发明的第四个方面，还提供了一种网络信息隐藏系统，包括信息隐藏终端系统，所述信息隐藏终端系统用于在接收数据包后，对所述数据包进行网络信息隐藏解密处理，所述网络信息隐藏解密处理包括：

获取所述数据包中的IP包头中填充的密文、预定义标识位、第一HMAC验证码的指定位和所述数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

采用密钥对所述密文和所述预定义标识位进行HMAC计算，获取第二HMAC验证码的指定位；

若所述第二HMAC验证码的指定位与第一HMAC验证码的指定位相等，则利用所述密钥对所述密文进行解密，获取源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

采用解密获取的源IP地址、目的IP地址、源端口号、目的端口对所述数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号进行替换

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：本发明通过对数据包中的源IP地址、目的IP地址、源端口号和目的端口号进行加密获得密文，在数据包的IP包头的指定字段中填充密文、预定义标识位和HMAC验证码，对数据包中的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号用随机数进行替换，可以实现对源IP地址、目的IP地址、源端口号和目的端口号的隐藏，增加了定向攻击难度，安全性高。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的网络信息隐藏系统的架构图；

图2为本申请实施例提供的网络信息隐藏系统中的模块组成示意图；

图3为本申请实施例提供网络信息隐藏系统的一个示例图；

图4为本申请实施例提供的信息隐藏加密流程图；

图5为本申请实施例提供的待加密明文数据结构图；

图6为本申请实施例提供的IP包头组成示意图；

图7为本申请实施例提供的option字段填充内容的结构示意图；

图8为本申请实施例提供的信息隐藏解密流程示意图；

图9为本申请实施例提供的信息隐藏终端系统密钥更新过程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块，而是可选地还包括没有列出的步骤或模块，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或模块。

如图1所示，本发明实施例的网络信息隐藏系统包括信息隐藏终端系统，主要依赖信息隐藏终端系统来执行源、目的信息的隐藏功能。进一步地，为了实现密钥管理、密钥存储和时间同步，还设计了密钥管理系统、密钥存储系统和时间服务器。信息隐藏终端系统、密钥管理系统、密钥存储系统和时间服务器共同完成隐藏密钥的生成、存储、分发，时间同步，源、目的信息的隐藏等功能。

192.168.16.0/24网段同192.168.18.0/24网段通过以下方法完成信息隐藏通信，具体如下：

1)两个网络间的路由交换通过路由器C完成；

2)两个网段各部署一套信息隐藏终端系统，主要完成信息的隐藏；

3)密钥管理系统、密钥存储系统、时间同步服务器均部署于192.168.16.0/24网段，为其他系统提供时间基准和系统密钥。

进一步地，网络信息隐藏系统中各软件模块间的关系如图2和表1所示，各个系统间通过SSL协议进行安全通信保证，通过时间同步协议进行时钟数据同步，主要流程如下：

1)信息隐藏终端系统、密钥管理系统、密钥存储系统定时向时间同步服务器请求时间，确保各系统时间的一致性；

2)信息隐藏终端系统定时向密钥管理系统请求密钥，密钥管理系统生成、拆分密钥并将密钥分量存储至密钥存储系统；

3)网络A主机发送请求数据至网络B，终端对数据进行加解密和完整性计算校验操作，完成信息隐藏。

表1

在一个实施例中，网络信息隐藏系统中包括网络信息隐藏方法、应用于该系统的身份认证及通信方法、密钥管理方法和时间同步方法，概述如下：

(1)网络信息隐藏方法：通过密码算法实现对网络间的源、目的信息的隐藏，算法使用的密钥通过密钥管理系统进行更新。

(2)密钥管理方法：负责终端密钥的生成、分发、存储及销毁流程。

(3)时间同步方法：为信息隐藏终端系统和密钥系统提供时间基准，保证密钥更新的时间同步。

(4)身份认证及通信方法：通过基于证书双向认证的SSL协议保证通信双方身份的可信和数据的安全。

1.网络信息隐藏方法

本发明实施例的网络信息隐藏方法主要通过各个网络中部署的信息隐藏终端系统实现，终端通过密钥算法完成对各自网络主机的源、目的IP地址主机位、四层协议（TCP、UDP）的源、目的端口的信息隐藏。

如图3所示：A、B、C三个网络可通过各自部署信息隐藏终端系统完成A、B、C网络信息隐藏，主要功能实现通过以下子方案完成。

信息隐藏终端系统的Web配置管理主要包括证书配置、保护网络配置和系统配置三部分。

1.1.数据包处理方法

在一个实施例中，信息隐藏终端系统在实现信息隐藏前需先完成数据包处理的功能，信息隐藏终端系统的数据包处理方案均通过用户态程序进行实现，而不是采用传统的Linux收发包方案，数据包处理主要通过信息隐藏终端系统绑定的两个网络接口（内网口、外网口）实现，具体的流程包括内网收包处理流程、外网收包处理流程、本地收包处理流程等，具体如下：

内网收包处理流程包括：

1)内网口收包：内网网卡接口轮询网卡驱动进行收包；

2)IP地址解析：通过对数据包的二层、三层头进行剥离和解析，获取源、目的IP地址；

3)本机IP地址判断：判断数据包的目的IP地址是否为本机的IP地址，若是则进入本地数据包处理流程，否则进入第4步；

4)判断IP地址是否匹配保护子网列表：判断数据包的目的IP地址是否匹配为保护子网列表的内容，若匹配则进入信息隐藏加密子流程，否则进入第5步；其中，保护子网列表通过Web配置管理界面进行添加，格式为IP地址/子网掩码长度；

5)判断IP地址是否匹配非保护子网列表：判断数据包的目的IP地址是否匹配为非保护子网列表的内容，若匹配则进入第6步，否则进入第7步；其中，非保护子网列表通过Web配置管理界面进行添加，格式为IP地址/子网掩码长度；

6)外网口发包：通过调用外网网卡驱动发包接口发送当前数据包，完成数据包的转发；

7)结束：释放当前数据包内存，结束内网接收数据包流程。

外网收包处理流程包括：

1)外网口收包：外网网卡接口轮询网卡驱动进行收包；

2)IP包头解析：通过对数据包的二层、三层头进行剥离和解析，获取源、目的IP地址、IP头option字段；

3)判断option字段是否合规：根据隐藏加密子流程可知，判断option的第1字节类型是否等于0x95，判断option字段第2字节长度是否等于40，若类型和长度均正确则进入信息隐藏解密子流程处理，否则进入第4步；

4)本机IP地址判断：判断数据包的目的IP地址是否为本机的IP地址，若是则进入本地数据包处理流程，否则进入第5步；

5)判断IP地址是否匹配保护子网列表：判断数据包的目的IP地址是否匹配为保护子网列表的内容，若匹配则进入信息隐藏加密子流程，否则进入第6步；其中，保护子网列表通过Web配置管理界面进行添加，格式为IP地址/子网掩码长度；

6)判断IP地址是否匹配非保护子网列表：判断数据包的目的IP地址是否匹配为非保护子网列表的内容，若匹配则进入第7步，否则进入第8步；其中，非保护子网列表通过Web配置管理界面进行添加，格式为IP地址/子网掩码长度；

7)内网口发包：通过调用内网网卡驱动发包接口发送当前数据包，完成数据包的转发；

8)结束：释放当前数据包内存，结束外网接收数据包流程。

本地数据包接收处理流程包括：

1)内核虚拟网卡收包：如内外网网卡收包处理流程中本地数据处理流程采用的是将数据包写入内核处理，通过写虚拟网卡将数据包写入内核，内核虚拟网卡轮询收包进入本地收包处理流程；

2)内核协议栈解析：解析数据包的二层、三层及协议合规性后，进入第3步；

3)数据包分类：根据数据包的三层协议判断若为ARP协议则进入第4步处理，为IP协议进入第5步处理；

4)ARP处理：若是ARP请求或回应数据，对应进行ARP回应的回复或更新本地ARP缓存表；

5)IP包处理：根据数据包的四层协议及源、目的端口对数据包进行业务分类：

Web管理数据的端口为443，四层协议为TCP协议，Web管理服务处理解析请求Web请求数据，进行Web回应数据回复，通过本地发包流程；

时间同步数据的端口为123，四层协议为UDP协议，时间同步客户端通过本地发包流程发起时间同步请求，接收时间同步回应数据；

密钥数据的协议为TCP协议，端口为密钥管理系统的服务监听端口，通过本地发包流程发起密钥请求，收到回复后进行密钥更新。

6)结束：完成本地收包处理流程后，最终释放数据包内存。

本地数据包发送处理流程包括：

1)内核处理并写虚拟网卡：时间同步请求数据、Web管理回应数据、密钥请求数据等其他数据在内核中进行路由查询，查询到待发送的虚拟网卡（内网或外网）后，进行写虚拟网卡操作；

2)用户态程序轮询虚拟网卡：用户态程序轮询内或外虚拟网卡读取数据包，并进行IP地址解析，获取源、目的IP地址；

3)判断IP地址是否匹配保护子网列表：判断数据包的目的IP地址是否匹配为保护子网列表的内容，若匹配则进入信息隐藏加密子流程，否则进入第4步；其中，保护子网列表通过Web配置管理界面进行添加，格式为IP地址/子网掩码长度；

4)判断IP地址是否匹配非保护子网列表：判断数据包的目的IP地址是否匹配为非保护子网列表的内容，若匹配则进入第6步，否则进入第7步；其中，非保护子网列表通过Web配置管理界面进行添加，格式为IP地址/子网掩码长度；

5)内/外网口发包：根据轮询的虚拟网卡对应的物理内外网口进行调用网卡驱动发包接口发送当前数据包，完成数据包的转发；

6)结束：释放当前数据包内存，结束内网接收数据包流程。

通过以上4个处理流程完成了信息隐藏终端系统的数据包处理。

1.2.网络信息隐藏方法

网络信息隐藏方法同样依赖信息隐藏终端系统完成，信息隐藏终端系统在数据包的处理主流程中根据密码算法、密钥信息、随机数等信息，对接收的数据包的源IP主机位、目的IP主机位、TCP/UDP源端口、目的端口等信息进行隐藏，在一侧终端进行加密、完整性计算、混淆操作，另一侧终端进行完整性校验、解密和去混淆操作。

在一个实施例中，网络信息隐藏方法包括：在发送数据包前，对数据包进行网络信息隐藏处理。网络信息隐藏处理包括：

1）利用密钥和第一随机数对数据包中的源IP地址、目的IP地址、源端口号和目的端口号进行加密获得密文；

2）在数据包的IP包头的指定字段中填充密文及预定义标识位，根据密文及预定义标识位进行HMAC计算，获得HMAC验证码，将HMAC验证码的至少部分填充到指定字段中，HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code)的缩写；

3）对数据包中的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号用第二随机数进行替换。

其中，将HMAC验证码的至少部分填充到指定字段中是指：将HMAC验证码的部分或全部填充到指定字段中，具体选择多少位可以由用户自定义。

进一步地，进行加密包括：

解析获得数据包中的源IP地址、目的IP地址、源端口号和目的端口号；

将源IP地址、目的IP地址、源端口号、目的端口号和第一随机数拼接成明文；

基于密钥对明文进行加密。

进一步地，预定义标识位包括隐藏协议类别、字段长度和密钥类别，隐藏协议类别用于定义密钥管理系统和终端之间的通信协议类别，字段长度用于定义指定字段的长度，密钥类别用于定义密钥为初始密钥还是系统密钥；

指定字段为option字段。TCP头部除了固定的20字节外，设置了option字段用于存储自定义的数据。option字段包括40字节，其中，隐藏协议类别占1字节，字段长度占1字节，密钥类别占1字节，密文占16字节，HMAC验证码占21字节。

在一个实施例中，网络信息隐藏方法包括：在接收数据包后，对数据包进行网络信息隐藏解密处理。网络信息隐藏解密处理包括：

1）获取数据包中的IP包头中填充的密文、预定义标识位、第一HMAC验证码的指定位和数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

2）采用密钥对密文和预定义标识位进行HMAC计算，获取第二HMAC验证码的指定位；

3）若第二HMAC验证码的指定位与第一HMAC验证码的指定位相等，则利用密钥对密文进行解密，获取源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

4）采用解密获取的源IP地址、目的IP地址、源端口号、目的端口对数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号进行替换。

下面具体说明本发明实施例的网络信息隐藏方法的优选实现方法。

本发明实施例的网络信息隐藏方法具体的依赖条件和流程如下。

(1)依赖条件：

1)密码算法：包括对称密码算法和摘要密码算法，对称算法支持SM4/IDEA算法，通过终端Web配置管理界面可进行配置；摘要算法仅支持SHA256，用于对数据包进行HMAC消息认证码计算，保证关键数据的完整性；

2)密钥：密钥包括初始密钥和系统密钥，初始密钥为系统刚刚运行时采用的密钥，也即无法连接密钥管理系统时采用的密钥；系统密钥为通过密钥管理系统申请的密钥，多个信息隐藏终端系统间需要隐藏通信时必须采用同一对密钥；

3)随机数：通过信息隐藏终端系统自身生成，用于待加密数据长度的扩充和混淆数据的填充。

(2)信息隐藏加密流程：

信息隐藏加密流程如图4所示，信息隐藏加密流程的前置流程为内网收包流程、本地发包流程，此流程的具体步骤如下：

1)解析数据包：通过对数据包进行解析IP数据报文，获得四层协议TCP、UDP、IMCP，获取数据包的源IP地址A（4字节）、目的IP地址（4字节）；

2)判断四层协议获取端口：若为TCP/UDP协议，取当前源、目的端口号C、D，否则将C、D置0；

3)拼接16字节明文：源IP地址A（4字节）+目的IP地址B（4字节）+源端口C（2字节）+目的端口D（2字节）+随机数（4字节），如图5所示。

4)计算密文：根据当前密码算法配置、密钥K对16字节明文进行加密得到16字节密文后进入IP头设置混淆发包流程；当系统已经从密钥管理系统成功获取系统密钥，则密钥K设置为系统密钥，否则为初始密钥。

(3)IP头设置混淆发包流程：

从上个加密子流程继承密文F、IP包头IPH和原始数据包P，继续进行IP头option字段填充和混淆发包，IP头设置混淆发包流程包括：具体如下：

1)新增IP包头option字段：新增IP包头option字段（40字节），对四层包头、应用数据进行偏移，如图6所示；

2)填充协议类别：协议类别占1字节，内容填充为0x95，用于隐藏协议类别的标记和区分；

3)填充option字段长度：占1字节，长度为40；

4)填充密钥类别：占1字节，若未从密钥管理系统获取成功，则使用初始密钥，类别设置为0x1，否则使用系统密钥，类别设置为0x0；

5)填充密文：占16字节；

6)计算HMAC认证码并填充：采用SHA256算法对协议类别+option长度+密文内容等共计18字节进行HMAC计算，得到32字节校验码，取其前21字节进行option尾部21字节填充，填充数据结构如图7所示；

7)对源、目的IP地址主机位，源、目的端口进行混淆：源IP地址主机位长度可通过终端本机子网掩码长度计算可得，目的IP地址主机位长度根据匹配的保护子网列表中配置的子网长度计算可得；

8)计算IP、TCP/UDP校验和：先计算TCP、UDP、IMCP四层校验和，再计算IP头三次校验和；

9)外网口发包：通过调用外网网卡驱动发包接口发送当前数据包，完成数据包的发送，释放当前数据包内存，结束混淆发包流程。

(4)信息隐藏解密流程：

如图8所示，信息隐藏解密流程包括：

1)外网接收待解密数据包：获取IP包头option字段、原始数据包；

2)计算HMAC值并校验：采用密钥K对option字段的前19个字节计算HMAC验证码，获取验证码的前21字节后同option字段的后21字节进行比较，若相等则进入第3步，否则丢弃数据包；

3)获取密文并解密：采用密钥K对option字段头偏移3字节后的16字节进行解密后，得出16字节明文，依次是源IP地址（4字节）+目的IP地址（4字节）+源端口（2字节）+目的端口（2字节）+随机数（4字节），4字节随机数可丢弃；

4)替换源、目的IP和源、目的端口：采用步骤3解密的源IP、目的IP、源端口、目的端口对当前数据包对应的内容进行替换；

5)计算IP、TCP/UDP校验和：先计算TCP、UDP、ICMP四层校验和，再计算IP头三次校验和；

6)内网口发包：通过调用内网卡驱动发包接口发送当前数据包，完成数据包的发送，释放当前数据包内存，结束解密流程。

2.密钥管理方法

整个系统的密钥管理方法主要涉及信息隐藏终端系统和密钥管理系统两部分。

进一步地，网络信息隐藏由信息隐藏终端系统执行，生成密文所用的密钥为信息隐藏终端系统的初始密钥或信息隐藏终端系统向密钥管理系统申请获取的系统密钥，在信息隐藏终端系统上电后且未成功获取系统密钥前，利用初始密钥进行加密操作，在信息隐藏终端系统成功获取系统密钥后，利用系统密钥进行加密操作。

密钥管理方法的优选实现如下。

(1)依赖条件：

初始密钥：信息隐藏终端系统上线后的初始密钥，用于系统密钥申请成功前的通信。

系统密钥：从密钥管理系统申请到的系统密钥，充当信息隐藏终端系统的最终密钥。

密钥更新时间：当从密钥管理系统申请系统密钥时，密钥管理系统同时会下发密钥的更新时间，信息隐藏终端系统根据更新时间进行密钥更新，此处需要保证各个信息隐藏终端系统时钟同步。

系统通信服务：服务分为信息隐藏终端系统和密钥管理两部分，信息隐藏终端系统充当客户端，密钥管理充当服务端，通过信息隐藏终端系统定时向密钥管理请求服务完成系统间的通信过程。

(2)流程：

如图9所示，信息隐藏终端系统通过定时向密钥管理系统发起密钥请求，密钥管理系统查询或生成密钥、添加密钥更新时间后发送至信息隐藏终端系统，信息隐藏终端系统最终判断更新时间到达时执行密钥更新动作，具体流程如下：

1)系统上电后通信：系统上电后默认采用初始密钥作为通信密钥，保证各个信息隐藏终端系统间的隐藏通信；

2)定时进行密钥请求：每5s向密钥管理系统进行一次密钥请求，密钥请求通信模式采用RPC，通信过程受双向SSL协议保护；

3)密钥管理系统回复密钥：密钥管理系统通过生成或向密钥存储系统请求密钥分量进行密钥恢复后得到密钥，同时计算或者获取当前密钥的更新时间，最终通过RPC回应回复至信息隐藏终端系统；密钥更新时间为生成时间的时间戳+60秒；

4)信息隐藏终端系统轮询并更新密钥：信息隐藏终端系统轮询系统当前时间，当系统时间等于密钥更新时间时立即进行系统密钥更新；多个信息隐藏终端系统的系统时间基准通过时间同步服务器进行保证；

5)信息隐藏终端系统采用最新的密钥进行隐藏通信，由于时间同步协议和服务器保证，多个信息隐藏终端系统间由于密钥更新产生的误差不超过1ms。

进一步地，密钥管理系统生成系统密钥后，将系统密钥分割成多份密钥分量分别存储在多个密钥存储系统中，响应于密钥请求，密钥管理系统向密钥存储系统获取多个密钥分量，根据多个密钥分量计算恢复系统密钥，将恢复的系统密钥和系统密钥更新时间发送给信息隐藏终端系统。

在一个优选实施例中，应用于信息隐藏系统中的密钥管理方法主要为信息隐藏终端系统提供密钥，涉及密钥的生成、存储和同步流程，涉及的主体如下：

1)信息隐藏终端系统*N：

密钥的使用主体，通过密钥和密码算法完成网络信息的隐藏；

2)密钥管理系统*1：

密钥的生成主体，生成密钥后使用门限分割算法分割后发送至密钥存储系统；

密钥的提供主体，为信息隐藏终端系统提供密钥请求接口。

3)密钥存储系统*3：

密钥分量的存储主体，存储密钥分量，为密钥管理系统提供分量获取存储和获取接口。

密钥管理系统的Web配置管理包括证书配置、密钥管理配置、终端管理和系统配置四部分。

2.1.密钥生成流程

密钥生成主要由密钥管理系统自身完成，密钥生成的方式包括周期性生成和手动触发生成两种方式，密钥管理系统配备硬件PCI-E密码卡，密钥服务通过调用PCI-E密码卡提供的SDK完成真随机数的生成，充当最终的密钥。

密钥管理系统通过SDK接口库完成对PCI-E卡的最终调用，通过调用PCI-E的真随机噪声源完成密钥随机数数据的获取，具体如下：

1)初始化SDK库：PCI-E卡提供SDK库接口，密码卡在使用前必调用初始化接口完成SDK库的初始化；

2)调用随机数生成接口：密钥管理服务程序调用PCI-E提供SDK库的随机数生成接口，SDK库解析后调用PCI-E的硬件噪声源芯片进行随机数的生成，最终返回给密钥管理服务；单次调用生成16字节长度的随机数；

3)密钥管理服务生成系统密钥：根据返回的16字节随机数信息作为系统密钥；

4)拆分密钥及存储：通过对密钥进行拆分为3份，并通过RPC接口发送至3个密钥存储服务器。

2.2.密钥分割存储流程

密钥生成完成后，密钥管理服务对密钥进行分割后发送密钥存储系统，密钥存储系统收到密钥分量后对密钥分量进行存储。

(1)方案介绍：

(k,n)门限密钥共享表示把密钥信息分成n份无意义的子密钥，只有拥有至少k份子密钥才能恢复密钥信息。具体而言，密钥分享是指一种安全地在多个参与者之间分享密钥的方式，其满足以下特性：

每个参与者都独立持有一部分关于密钥S的分片，只有将足够数目的分片组合起来，才能够重新恢复出密钥S；

当获得的分片数量不足时，无论采用何种组合策略，不会泄露关于密钥S的任何信息。

密钥共享提供了一种技术手段，将原本单一的密钥，以密钥分片的形式，安全地、平等地分配到多个参与者手中，除此之外，还实现了容错高可用、抗侧信道攻击的安全特性。

容错高可用：不会因为少量密钥分片损坏和丢失，而导致密钥不可用；

抗侧信道攻击：原本固定的密钥，在密码学算法工程实现的执行过程中，可能会泄露一部分密钥的信息，但进行分片之后，成功实施此类攻击的难度将指数上升。

(2)实现流程如下：

流程包括步骤：

1)请求密钥：每5s向密钥管理系统进行一次密钥请求，密钥请求通信模式采用RPC，通信过程受双向SSL协议保护；

2)生成密钥：信息隐藏终端系统调用PCI-E卡的随机数生成接口生成密钥；

3)拆分密钥及存储：通过门限密钥算法对密钥进行拆分为3份，并通过RPC接口发送至3个密钥存储服务器。密钥存储服务器的IP地址及端口均通过Web配置管理界面进行配置。

2.3.密钥同步流程

密钥同步流程主要指密钥管理系统生成密钥后如何同步到信息隐藏终端系统使用，具体同步流程如下：

1)定时进行密钥请求：每5s向密钥管理系统进行一次密钥请求，密钥请求通信模式采用RPC，通信过程受双向SSL协议保护；

2)密钥管理系统生成密钥：密钥管理系统通过定时或者手动进行密钥生成且分割存储至各个密钥存储系统中，同时记录当前密钥hash值，hash算法采用SHA256；当密钥请求到来时，查询当前密钥的摘要信息，若无则再次生成密钥，否则进入第3步；

3)请求密钥分量并恢复密钥：向密钥存储系统（大于2个）请求密钥分量，同时根据门限密码算法对密钥分量（>=2个）进行密钥恢复；

4)回复密钥及更新时间：根据密钥摘要值查询密钥生成时间，生成密钥更新时间，并拼装RPC回应回复信息隐藏终端系统；密钥更新时间为生成时间的时间戳+60秒；

5)信息隐藏终端系统轮询并更新密钥：信息隐藏终端系统轮询系统当前时间，当系统时间等于密钥更新时间时立即进行系统密钥更新。多个终端的系统时间基准通过时间同步服务器进行保证。

3.时间同步方法

时间同步主要为了保证多个信息隐藏终端系统的系统密钥更新，若时钟不同步则导致信息隐藏终端系统在某些时刻的密钥不一致，导致整个通信链路的阻塞。

进一步地，采用时间同步机制进行密钥管理系统和信息隐藏终端系统的时间同步，信息隐藏终端系统定时向密钥管理系统发送密钥请求，密钥管理系统响应于密钥请求，将系统密钥和系统密钥更新时间发送给信息隐藏终端系统，当信息隐藏终端系统的系统时间等于密钥更新时间时，进行系统密钥更新，利用更新后的系统密钥进行后续的加密操作。

时间同步方法的优选实现如下。

1)依赖条件：

时间同步服务器：为整个隐藏系统提供时钟基准数据，可采用NTP协议；

系统密钥：从密钥管理系统申请到的系统密钥，充当信息隐藏终端系统的最终密钥；

密钥更新时间：当从密钥管理系统申请系统密钥时，密钥管理系统同时会下发密钥的更新时间，信息隐藏终端系统根据更新时间进行密钥更新，此处需要保证各个信息隐藏终端系统时钟同步；

系统通信服务：服务分为信息隐藏终端系统和密钥管理两部分，信息隐藏终端系统充当客户端，密钥管理充当服务端，通过信息隐藏终端系统定时向密钥管理请求服务完成系统间的通信过程。

2）流程：

信息隐藏终端系统以网络处理主模块和时间同步客户端两个为主，对时间同步过程进行描述，如下：

1)时间同步客户端定时同步系统时钟：时间同步客户端采用NTP协议每15分钟向时间同步服务器请求一次时钟数据；

2)时间服务器回复时钟数据：时钟服务器回复时钟数据，信息隐藏终端系统对系统时钟源进行更新；

3)网络处理主模块主循环轮询系统时钟：网络处理主循环主要包含获取时钟源、轮询收数据包、隐藏处理流程、发包流程等，获取系统时钟数据，精确到微秒，若系统时钟数据等于密钥更新时间，则立即进行系统密钥更换，用于后续网络隐藏通信过程。

4.身份认证及通信方案

4.1.RPC通信过程

本系统的主要通信机制采用RPC方案实现，各个系统在通信前需要完成SSL双向身份认证，主要涉及的通信主体如下：

(1)信息隐藏终端系统：

充当RPC客户端，调用RPC服务接口请求密钥；

(2)密钥管理系统：

充当RPC服务端，提供密钥请求接口；

充当RPC客户端，调用RPC服务接口请求密钥分量；

(3)密钥存储系统：

充当RPC服务端，提供密钥分量请求接口；

充当RPC服务端，提供密钥分量存储接口。

RPC客户端和服务端首先完成SSL身份认证及密钥协商，进而发起RPC请求和回复，客户端的调用步骤如下，服务端不再进行赘述。

RPC客户端通过初始化、SSL协商、发起RPC远程接口调用、获取RPC结果，解析并处理RPC回应，具体如下：

1)初始化：加载RPC客户端需要使用的CA证书、用户证书、私钥以及服务端的IP地址、端口，以上信息均可通过Web配置管理界面进行配置；

2)发起SSL协商：RPC请求需要先完成SSL协议，具体详见5.2.2章节；

3)发起RPC远程调用：根据密钥请求RPC、密钥存储RPC请求或其他RPC协议内容拼装协议格式发起RPC远程调用；

4)发起RPC远程调用：根据密钥请求RPC、密钥存储RPC请求或其他RPC协议内容拼装协议格式发起RPC远程调用；

5)处理RPC调用：服务端收到RPC请求后，查询本地RPC接口，进行回复；

6)处理RPC回应内容：根据RPC回应内容进行各自的业务处理，如密钥更新、密钥存储等业务。

多系统间通信的主要交互流程如下：

RPC通信接口为信息隐藏终端系统与密钥管理系统、密钥管理系统与密钥存储系统间提供通信服务，同时整个通信过程的身份认证、数据加密均通过SSL协议的保证，避免数据的篡改和泄露，具体如下：

1)定时进行密钥请求：信息隐藏终端系统每5s向密钥管理系统进行一次密钥请求，密钥请求通信模式采用RPC，通信过程受双向SSL协议保护；

2)密钥管理系统获取密钥：密钥管理系统查询当前系统生效的密钥摘要信息，若无则生成密钥，否则进入第3步；

3)请求密钥分量：密钥管理系统根据密钥摘要信息向3台密钥存储系统查询密钥分量，密钥存储系统回复密钥分量；

4)恢复密钥：根据门限密码算法对密钥分量（>=2个）进行密钥恢复；

5)回复密钥及更新时间：根据密钥摘要值查询密钥生成时间，生成密钥更新时间，并拼装RPC回应回复信息隐藏终端系统；密钥更新时间为生成时间的时间戳+60秒；

6)信息隐藏终端系统轮询并更新密钥：信息隐藏终端系统轮询系统当前时间，当系统时间等于密钥更新时间时立即进行系统密钥更新；（多个终端的系统时间基准通过时间同步服务器进行保证）。

4.2.SSL协议工作过程

SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。

SSL协议分为单向身份认证和双向身份认证两种方式，常规的https采用单向身份认证，即客户端验证服务端身份，服务端不验证客户端身份；本系统采用双向身份认证，服务端和客户端相互进行验证，保证双方身份的可信。

本发明实施例的一种网络信息隐藏系统，包括信息隐藏终端系统，信息隐藏终端系统用于在发送数据包前，对数据包进行网络信息隐藏处理，网络信息隐藏处理包括：

利用密钥和第一随机数对数据包中的源IP地址、目的IP地址、源端口号和目的端口号进行加密获得密文；

在数据包的IP包头的指定字段中填充密文及预定义标识位，根据密文及预定义标识位进行HMAC计算，获得HMAC验证码，将HMAC验证码的至少部分填充到指定字段中；

对指定字段中的密文的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号用第二随机数进行替换。

本发明实施例的一种网络信息隐藏系统，包括信息隐藏终端系统，信息隐藏终端系统用于在接收数据包后，对数据包进行网络信息隐藏解密处理，网络信息隐藏解密处理包括：

获取数据包中的IP包头中填充的密文、预定义标识位、第一HMAC验证码的指定位和数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

采用密钥对密文和预定义标识位进行HMAC计算，获取第二HMAC验证码的指定位；

若第二HMAC验证码的指定位与第一HMAC验证码的指定位相等，则利用密钥对密文进行解密，获取源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

采用解密获取的源IP地址、目的IP地址、源端口号、目的端口对数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号进行替换。

网络隐藏系统的工作原理、技术效果和上述网络隐藏方法，此处不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，可通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些服务接口，系统或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络信息隐藏方法，其特征在于，在发送数据包前，对所述数据包进行网络信息隐藏处理，所述网络信息隐藏处理包括：

利用密钥和第一随机数对所述数据包中的源IP地址、目的IP地址、源端口号和目的端口号进行加密获得密文；

在所述数据包的IP包头的指定字段中填充所述密文及预定义标识位，根据所述密文及预定义标识位进行HMAC计算，获得HMAC验证码，将所述HMAC验证码的至少部分填充到所述指定字段中；

对所述数据包中的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号用第二随机数进行替换。

2.如权利要求1所述的网络信息隐藏方法，其特征在于，所述进行加密包括：

解析获得所述数据包中的源IP地址、目的IP地址、源端口号和目的端口号；

将源IP地址、目的IP地址、源端口号、目的端口号和所述第一随机数拼接成明文；

基于所述密钥对所述明文进行加密。

3.如权利要求1所述的网络信息隐藏方法，其特征在于，所述网络信息隐藏处理由信息隐藏终端系统执行，所述密钥为所述信息隐藏终端系统的初始密钥或所述信息隐藏终端系统向密钥管理系统申请获取的系统密钥，在所述信息隐藏终端系统上电后且未成功获取系统密钥前，利用初始密钥进行所述加密操作，在所述信息隐藏终端系统成功获取系统密钥后，利用系统密钥进行所述加密操作。

4.如权利要求3所述的网络信息隐藏方法，其特征在于，采用时间同步机制进行所述密钥管理系统和所述信息隐藏终端系统的时间同步，所述信息隐藏终端系统定时向所述密钥管理系统发送密钥请求，所述密钥管理系统响应于密钥请求，将系统密钥和系统密钥更新时间发送给所述信息隐藏终端系统，当所述信息隐藏终端系统的系统时间等于密钥更新时间时，进行系统密钥更新，利用更新后的系统密钥进行后续的加密操作。

5.如权利要求4所述的网络信息隐藏方法，其特征在于，所述密钥管理系统生成系统密钥后，将系统密钥分割成多份密钥分量分别存储在多个密钥存储系统中，响应于密钥请求，所述密钥管理系统向所述密钥存储系统获取多个密钥分量，根据多个密钥分量计算恢复系统密钥，将恢复的系统密钥和系统密钥更新时间发送给所述信息隐藏终端系统。

6.如权利要求3所述的网络信息隐藏方法，其特征在于，所述预定义标识位包括隐藏协议类别、字段长度和密钥类别，所述隐藏协议类别用于定义所述密钥管理系统和所述信息隐藏终端系统之间的通信协议类别，所述字段长度用于定义所述指定字段的长度，所述密钥类别用于定义所述密钥为初始密钥还是系统密钥；

所述指定字段为option字段，包括40字节，其中，所述隐藏协议类别占1字节，所述字段长度占1字节，所述密钥类别占1字节，所述密文占16字节，所述HMAC验证码占21字节。

7.一种网络信息隐藏方法，其特征在于，在接收数据包后，对所述数据包进行网络信息隐藏解密处理，所述网络信息隐藏解密处理包括：

获取所述数据包中的IP包头中填充的密文、预定义标识位、第一HMAC验证码的指定位和所述数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

采用密钥对所述密文和所述预定义标识位进行HMAC计算，获取第二HMAC验证码的指定位；

若所述第二HMAC验证码的指定位与第一HMAC验证码的指定位相等，则利用所述密钥对所述密文进行解密，获取源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

采用解密获取的源IP地址、目的IP地址、源端口号、目的端口对所述数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号进行替换。

8.一种网络信息隐藏系统，其特征在于，包括信息隐藏终端系统，所述信息隐藏终端系统用于在发送数据包前，对所述数据包进行网络信息隐藏处理，所述网络信息隐藏处理包括：

利用密钥和第一随机数对所述数据包中的源IP地址、目的IP地址、源端口号和目的端口号进行加密获得密文；

在所述数据包的IP包头的指定字段中填充所述密文及预定义标识位，根据所述密文及预定义标识位进行HMAC计算，获得HMAC验证码，将所述HMAC验证码的至少部分填充到所述指定字段中；

对所述指定字段中的所述密文的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号用第二随机数进行替换。

9.如权利要求8所述的一种网络信息隐藏系统，其特征在于，所述进行加密包括：

解析获得所述数据包中的源IP地址、目的IP地址、源端口号和目的端口号；

将源IP地址、目的IP地址、源端口号、目的端口号和所述第一随机数拼接成明文；

基于所述密钥对所述明文进行加密。

10.一种网络信息隐藏系统，其特征在于，包括信息隐藏终端系统，所述信息隐藏终端系统用于在接收数据包后，对所述数据包进行网络信息隐藏解密处理，所述网络信息隐藏解密处理包括：

获取所述数据包中的IP包头中填充的密文、预定义标识位、第一HMAC验证码的指定位和所述数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

采用密钥对所述密文和所述预定义标识位进行HMAC计算，获取第二HMAC验证码的指定位；

若所述第二HMAC验证码的指定位与第一HMAC验证码的指定位相等，则利用所述密钥对所述密文进行解密，获取源IP地址主机位、目的IP地址主机位、源端口号、目的端口号；

采用解密获取的源IP地址、目的IP地址、源端口号、目的端口对所述数据包中的已用随机数替换的源IP地址主机位、目的IP地址主机位、源端口号、目的端口号进行替换。

Images