CN115150067A - 一种基于网络隐蔽通道的tls协议构建方法及系统 - Google Patents
一种基于网络隐蔽通道的tls协议构建方法及系统 Download PDFInfo
- Publication number
- CN115150067A CN115150067A CN202210508029.5A CN202210508029A CN115150067A CN 115150067 A CN115150067 A CN 115150067A CN 202210508029 A CN202210508029 A CN 202210508029A CN 115150067 A CN115150067 A CN 115150067A
- Authority
- CN
- China
- Prior art keywords
- key exchange
- data packet
- server
- information
- tls
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000010276 construction Methods 0.000 title claims abstract description 20
- 238000000034 method Methods 0.000 claims abstract description 36
- 230000007246 mechanism Effects 0.000 claims description 8
- 230000004048 modification Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 20
- 230000006854 communication Effects 0.000 abstract description 10
- 230000008569 process Effects 0.000 abstract description 5
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于网络隐蔽通道的TLS协议构建方法及系统,其构建方法包括:调制TLS协议握手过程中的加密套件以及密钥交换参数为隐蔽信息,配合TLS协议完成整个握手过程。本发明利用隐蔽通道完成TLS协议中密钥交换,保障了TLS协议中关键信息的隐蔽性传输,同时在不影响TLS协议握手时间的情况下,有效地提升了TLS通信过程的安全性。
Description
技术领域
本发明涉及网络安全、信息传输、安全通信领域,特别是涉及一种基于网络隐蔽通道的TLS协议构建方法及系统。
背景技术
网络隐蔽通道作为一种应用在网络流量中的正常信道外的隐藏非常规信道,旨在隐藏通信过程本身的存在,具有良好的隐蔽性,已成为在不受信任的网络中传输保密信息的一种安全有效方法,但该方法存在信息传输速率较低的问题,无法应用于大规模数据传输。而信息安全传输的另一种方法TLS协议通过密钥交换协商出对称密钥,再用对称密钥加密数据,能够支持高速率的数据传输。
隐蔽通道主要可分为存储型隐蔽通道和时间型隐蔽通道,其中存储型隐蔽通道的一个典型的应用是利用TCP数据包中时间戳的最低有效位来隐藏数据,其中隐蔽数据的嵌入不会改变正常流量的行为或统计特性,但每个数据包只能携带一比特的隐蔽数据,造成隐蔽信息传输速率低下。
本发明将TLS协议加密通信与网络隐蔽通道结合,在隐蔽通道传输完密钥后,再传输密钥加密的数据,其中隐蔽通道传输只少量密钥数据,从整体上解决了隐蔽通道无法支持大量数据量传输的问题;同时利用隐蔽通道隐藏部分TLS协议的通信过程,增强了TLS协议通信的安全性。
发明内容
本发明的目的是提供一种基于网络隐蔽通道的TLS协议构建方法及系统,利用隐蔽通道实现TLS协议的密钥交换,提高数据传输安全性、增强信息传输高效性。
为实现上述目的,本发明提供了如下方案:
一种基于网络隐蔽通道的TLS协议构建方法,所述方法包含以下步骤:
1)隐蔽通道服务器端与隐蔽通道客户端转发TLS客户端发送的Client Hello数据包;
2)隐蔽通道服务器端获取来自TLS服务器端发送的Server Hello数据包,调制Server Hello数据包中加密套件信息为隐蔽信息,修改Server Hello数据包中加密套件字段为构造的加密套件信息,所述构造的加密套件根据Server Hello数据包中加密套件信息生成,利用隐蔽通道发送经过修改的Server Hello数据包;
3)隐蔽通道客户端获取来自隐蔽通道服务器端发送的Server Hello数据包,解调Server Hello数据包中隐蔽信息为加密套件信息,修改Server Hello数据包中加密套件字段为解调的加密套件信息,发送经过修改的Server Hello数据包至TLS客户端;
4)隐蔽通道服务器端与隐蔽通道客户端转发TLS服务器端发送的Certificate数据包;
5)隐蔽通道服务器端判断TLS服务器端发送的数据包类型,若是Server KeyExchange消息,获取TLS 服务器端发送的Server Key Exchange数据包,调制Server KeyExchange数据中密钥交换参数为隐蔽信息,修改Server Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数,其中所述构造的密钥交换参数根据所述构造的加密套件生成,利用隐蔽通道发送经过修改的Server Key Exchange数据包,若是Server HelloDone消息,隐蔽通道服务器端与隐蔽通道客户端转发Server Hello Done数据包;
6)隐蔽通道客户端获取来自隐蔽通道服务器端发送的Server Key Exchange数据包,解调Server Key Exchange数据包中隐蔽信息为密钥交换参数,修改Server KeyExchange数据包中密钥交换参数字段为解调的密钥交换参数,发送经过修改的Server KeyExchange数据包至TLS客户端;
7)隐蔽通道客户端获取来自TLS客户端发送的Client Key Exchange数据包,调制Client Key Exchange 数据中密钥交换参数为隐蔽信息,修改Client Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数,其中所述构造的密钥交换参数根据所述构造的加密套件生成,利用隐蔽通道发送经过修改的Client Key Exchange数据包给TLS隐蔽通道服务器端;
8)隐蔽通道服务器端获取来自隐蔽通道客户端发送的Client Key Exchange数据包,解调Client Key Exchange数据包中隐蔽信息为密钥交换参数,修改Client KeyExchange数据包中密钥交换参数字段为解调的密钥交换参数,发送经过修改的Client KeyExchange数据包至TLS服务器端;
9)隐蔽通道服务器端与隐蔽通道客户端转发TLS客户端与服务器端发送的剩余握手消息数据包;
可选的,步骤2)中所述调制Server Hello数据包中加密套件信息为隐蔽信息、步骤5)所述调制Server Key Exchange数据中密钥交换参数为隐蔽信息、步骤7)所述调制Client Key Exchange数据中密钥交换参数为隐蔽信息,其具体调制与解调方法由隐蔽通道服务器端和隐蔽通道客户端在建立TLS握手机制之前商定。
可选的,步骤2)所述修改Server Hello数据包中加密套件字段为构造的加密套件信息,构造的加密套件具体包括:
构造的加密套件中的签名算法与Server Hello数据包的加密套件中的签名算法一致,并且构造的加密套件从TLS客户端支持的加密套件中选取。
若Server Hello数据包的加密套件中选取的密钥交换算法需要TLS服务器端发送Server Key Exchange 消息,则构造的加密套件中也选取需要TLS服务器端发送ServerKey Exchange消息的密钥交换算法。
若Server Hello数据包的加密套件中选取的密钥交换算法不需要TLS服务器端发送Server Key Exchange消息,则构造的加密套件中也选取不需要TLS服务器端发送ServerKey Exchange消息的密钥交换算法。
可选的,步骤5)所述修改Server Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数、步骤7)所述修改Client Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数,其构造的密钥交换参数生成方法由所述构造的加密套件中选取的密钥交换算法确定。
本发明还用于提供一种基于网络隐蔽通道的TLS协议构建系统,所述系统包括:
1)数据包信息获取模块,用于获取TLS客户端及TLS服务器端发送的握手数据包,判断获取的数据包类型以及数据包的来源,若数据包来源为同端,则发送给其他模块处理;若数据包来源为对端,则根据数据包类型提取数据包对应字段信息后,再发送给其他模块处理;
2)加密套件信息生成模块,用于生成加密套件信息,所述加密套件信息用于修改Server Hello数据包中加密套件字段;
3)密钥交换参数生成模块,用于生成密钥交换参数,所述密钥交换参数用于修改Server Key Exchange 数据包以及Client Key Exchange数据包中密钥交换参数字段;
4)隐蔽信息调制模块,用于调制数据包信息获取模块中提取的信息为隐蔽信息;
5)隐蔽信息解调模块,用于解调数据包中嵌入的隐蔽信息;
6)数据包修改发送模块,用于根据其他模块接收到信息修改数据包对应字段,并发送修改后的数据包。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
(1)安全性强,本发明基于网络隐蔽通道实现了TLS协议的加密认证传输,将隐蔽通道与加密传输相结合,通过隐藏协议通信的部分信息,增强了TLS协议传输过程的安全性。
(2)传输速率快,本发明所使用方法不直接利用隐蔽通道传输大量的隐蔽信息,只传输TLS协议握手过程中关键的信息。因此,隐蔽通道传输信息而增加的TLS协议的握手时间可忽略不计。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一所提供的基于网络隐蔽通道的TLS协议构建方法的原理步骤图;
图2为本发明实施例一所提供的基于网络隐蔽通道的TLS协议构建方法的流程图;
图3为本发明实施例二所提供的基于网络隐蔽通道的TLS协议构建系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于网络隐蔽通道的TLS协议构建方法及系统,通过将隐蔽通道与TLS协议结合传输密钥进而提高数据安全传输速率和安全性。
目前,网络攻击越来越频繁,对互联网用户数据和隐私的威胁越来越大。网络隐蔽通道作为一种隐蔽传输数据的技术,能够安全有效地保障用户数据以及隐私安全。但传统的隐蔽通道受限于传输速度,不能够进行大规模数据传输,而加密通信能够实现数据的高速传输,弥补隐蔽通道信息传输速度低的缺陷。
本发明提出的基于网络隐蔽通道的TLS协议构建方法及系统,将协商密钥所需的加密套件、密钥交换参数调制为隐蔽信息,通过隐蔽通道实现密钥交换过程。传输的隐蔽信息数据量少,能够降低传输过程中隐蔽信息对TLS协议握手时间的影响。同时,利用隐蔽通道的高隐蔽性能够保障TLS协议中关键信息的安全,有效提升了TLS通信过程的安全性。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例一:
本实施例用于提供一种基于网络隐蔽通道的TLS协议构建方法,如图1所示,所述方法包括如下步骤:
1)隐蔽通道服务器端与隐蔽通道客户端转发TLS客户端发送的Client Hello数据包;
2)隐蔽通道服务器端获取来自TLS服务器端发送的Server Hello数据包,调制Server Hello数据包中加密套件信息为隐蔽信息,修改Server Hello数据包中加密套件字段为构造的加密套件信息,所述构造的加密套件根据Server Hello数据包中加密套件信息生成,利用隐蔽通道发送经过修改的Server Hello数据包;
其中,步骤2)中所述调制Server Hello数据包中加密套件信息为隐蔽信息、步骤5)所述调制Server Key Exchange数据中密钥交换参数为隐蔽信息,其具体调制与解调方法由隐蔽通道服务器端和隐蔽通道客户端在建立TLS握手机制之前商定。
例如,调制加密套件为隐蔽信息可以将加密套件用m位掩码表示,所述m为加密套件的种类数,m 位掩码中一位比特位表示一种加密套件,当表示选择或者支持某一对称加密算法时,对应的比特位置为“1”,否则置为“0”,然后将表示加密套件的m位掩码嵌入到Server Hello数据包中的Random字段的后 m个比特位,解调时只需要提取对应字段的后m个比特位,再将m位掩码转换位加密套件即可。该调制与解调方法由隐蔽通道服务器端和隐蔽通道客户端在建立握手机制之前商定。
具体的,步骤2)所述修改Server Hello数据包中加密套件字段为构造的加密套件信息,构造的加密套件具体包括:
构造的加密套件中的签名算法与Server Hello数据包的加密套件中的签名算法一致,并且构造的加密套件从TLS客户端支持的加密套件中选取。
若Server Hello数据包的加密套件中选取的密钥交换算法需要TLS服务器端发送Server Key Exchange 消息,则构造的加密套件中也选取需要TLS服务器端发送ServerKey Exchange消息的密钥交换算法。
若Server Hello数据包的加密套件中选取的密钥交换算法不需要TLS服务器端发送Server Key Exchange消息,则构造的加密套件中也选取不需要TLS服务器端发送ServerKey Exchange消息的密钥交换算法。
例如,若Server Hello数据包的加密套件为TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,则构造的加密套件可以为TLS_DHE_RSA_WITH_AES_128_GCM_SHA256。
3)隐蔽通道客户端获取来自隐蔽通道服务器端发送的Server Hello数据包,解调Server Hello数据包中隐蔽信息为加密套件信息,修改Server Hello数据包中加密套件字段为解调的加密套件信息,发送经过修改的Server Hello数据包至TLS客户端;
4)隐蔽通道服务器端与隐蔽通道客户端转发TLS服务器端发送的Certificate数据包;
5)隐蔽通道服务器端判断TLS服务器端发送的数据包类型,若是Server KeyExchange消息,获取TLS 服务器端发送的Server Key Exchange数据包,调制Server KeyExchange数据中密钥交换参数为隐蔽信息,修改Server Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数,其中所述构造的密钥交换参数根据所述构造的加密套件生成,利用隐蔽通道发送经过修改的Server Key Exchange数据包,若是Server HelloDone消息,隐蔽通道服务器端与隐蔽通道客户端转发Server Hello Done数据包;
其中,步骤5)所述调制Server Key Exchange数据中密钥交换参数为隐蔽信息,其具体调制与解调方法由隐蔽通道服务器端和隐蔽通道客户端在建立握手机制之前商定。
例如,调制密钥交换参数可以将密钥交换参数嵌入到数据包中的密钥交换参数字段,解调时只需要提取对应字段信息即可。该调制与解调方法由隐蔽通道服务器端和隐蔽通道客户端在建立握手机制之前商定。
其中,步骤5)所述修改Server Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数,其构造的密钥交换参数生成方法由所述构造的加密套件中选取的密钥交换算法确定。
例如,若构造的加密套件为TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,则由DHE密钥交换算法生成密钥交换参数p、g、Pubkey,均为构造的密钥交换参数。
6)隐蔽通道客户端获取来自隐蔽通道服务器端发送的Server Key Exchange数据包,解调Server Key Exchange数据包中隐蔽信息为密钥交换参数,修改Server KeyExchange数据包中密钥交换参数字段为解调的密钥交换参数,发送经过修改的Server KeyExchange数据包至TLS客户端;
7)隐蔽通道客户端获取来自TLS客户端发送的Client Key Exchange数据包,调制Client Key Exchange 数据中密钥交换参数为隐蔽信息,修改Client Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数,其中所述构造的密钥交换参数根据所述构造的加密套件生成,利用隐蔽通道发送经过修改的Client Key Exchange数据包给TLS隐蔽通道服务器端;
其中,步骤7)所述调制Client Key Exchange数据中密钥交换参数为隐蔽信息,其具体调制与解调方法由隐蔽通道服务器端和隐蔽通道客户端在建立握手机制之前商定。
例如,调制密钥交换参数可以将密钥交换参数嵌入到数据包中的密钥交换参数字段,解调时只需要提取对应字段信息即可。该调制与解调方法由隐蔽通道服务器端和隐蔽通道客户端在建立握手机制之前商定。
其中,步骤7)所述修改Client Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数,其构造的密钥交换参数生成方法由所述构造的加密套件中选取的密钥交换算法确定。
例如,若构造的加密套件为TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,则由DHE密钥交换算法生成密钥交换参数p、g、Pubkey,其中Pubkey为构造的密钥交换参数。
8)隐蔽通道服务器端获取来自隐蔽通道客户端发送的Client Key Exchange数据包,解调Client Key Exchange数据包中隐蔽信息为密钥交换参数,修改Client KeyExchange数据包中密钥交换参数字段为解调的密钥交换参数,发送经过修改的Client KeyExchange数据包至TLS服务器端;
9)隐蔽通道服务器端与隐蔽通道客户端转发TLS客户端与服务器端发送的剩余握手消息数据包;
本实例提供的基于网络隐蔽通道的TLS协议,其具体实施流程如图2所示。
本实例是将加密套件以及密钥交换参数信息调制为隐蔽信息,通过隐蔽通道实现了密钥交换过程。隐蔽信息数据量少,能最大程度降低对TLS协议握手时间的影响。同时,利用隐蔽通道的隐蔽性保障TLS 协议中关键信息的传输,有效地提升了整个通信过程的安全性。
实施例2:
本实施例用于提供一种基于网络隐蔽通道的TLS协议构建系统,如图3所示,所述系统包括:
1)数据包信息获取模块,用于获取TLS客户端及TLS服务器端发送的握手数据包,判断获取的数据包类型以及数据包的来源,若数据包来源为同端,则发送给其他模块处理;若数据包来源为对端,则根据数据包类型提取数据包对应字段信息后,再发送给其他模块处理;
其中,数据包信息获取模块中所述数据包来源为同端,即TLS客户端为隐蔽通道客户端的同端,TLS 服务器端为隐蔽通道服务器端的同端;所述数据包来源为对端,即TLS服务器端为隐蔽通道客户端的对端, TLS客户端端为隐蔽通道服务器端的对端。
具体的,数据包信息获取模块中所述判断获取的数据包类型,若握手数据包为Server Hello数据包,则提取数据包中加密套件字段信息,并交给加密套件信息生成模块处理;若握手数据包为Server Key Exchange数据包或Client Key Exchange数据包,则提取密钥交换参数字段的信息,并交给密钥交换参数生成模块处理。
2)加密套件信息生成模块,用于生成加密套件信息,所述加密套件信息用于修改Server Hello数据包中加密套件字段;
3)密钥交换参数生成模块,用于生成密钥交换参数,所述密钥交换参数用于修改Server Key Exchange 数据包以及Client Key Exchange数据包中密钥交换参数字段;
4)隐蔽信息调制模块,用于调制数据包信息获取模块中提取的信息为隐蔽信息;
5)隐蔽信息解调模块,用于解调数据包中嵌入的隐蔽信息;
6)数据包修改发送模块,用于根据其他模块接收到信息修改数据包对应字段,并发送修改后的数据包。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种基于网络隐蔽通道的TLS协议构建方法,其特征在于,所述方法包含以下步骤:
1)隐蔽通道服务器端与隐蔽通道客户端转发TLS客户端发送的Client Hello数据包;
2)隐蔽通道服务器端获取来自TLS服务器端发送的Server Hello数据包,调制ServerHello数据包中加密套件信息为隐蔽信息,修改Server Hello数据包中加密套件字段为构造的加密套件信息,所述构造的加密套件根据Server Hello数据包中加密套件信息生成,利用隐蔽通道发送经过修改的Server Hello数据包;
3)隐蔽通道客户端获取来自隐蔽通道服务器端发送的Server Hello数据包,解调Server Hello数据包中隐蔽信息为加密套件信息,修改Server Hello数据包中加密套件字段为解调的加密套件信息,发送经过修改的Server Hello数据包至TLS客户端;
4)隐蔽通道服务器端与隐蔽通道客户端转发TLS服务器端发送的Certificate数据包;
5)隐蔽通道服务器端判断TLS服务器端发送的数据包类型,若是Server Key Exchange消息,获取TLS服务器端发送的Server Key Exchange数据包,调制Server Key Exchange数据中密钥交换参数为隐蔽信息,修改Server Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数,其中所述构造的密钥交换参数根据所述构造的加密套件生成,利用隐蔽通道发送经过修改的Server Key Exchange数据包,若是Server Hello Done消息,隐蔽通道服务器端与隐蔽通道客户端转发Server Hello Done数据包;
6)隐蔽通道客户端获取来自隐蔽通道服务器端发送的Server Key Exchange数据包,解调Server Key Exchange数据包中隐蔽信息为密钥交换参数,修改Server Key Exchange数据包中密钥交换参数字段为解调的密钥交换参数,发送经过修改的Server KeyExchange数据包至TLS客户端;
7)隐蔽通道客户端获取来自TLS客户端发送的Client Key Exchange数据包,调制Client Key Exchange数据中密钥交换参数为隐蔽信息,修改Client Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数,其中所述构造的密钥交换参数根据所述构造的加密套件生成,利用隐蔽通道发送经过修改的Client Key Exchange数据包给TLS隐蔽通道服务器端;
8)隐蔽通道服务器端获取来自隐蔽通道客户端发送的Client Key Exchange数据包,解调Client Key Exchange数据包中隐蔽信息为密钥交换参数,修改Client Key Exchange数据包中密钥交换参数字段为解调的密钥交换参数,发送经过修改的Client KeyExchange数据包至TLS服务器端;
9)隐蔽通道服务器端与隐蔽通道客户端转发TLS客户端与TLS服务器端发送的剩余握手消息数据包。
2.根据权利要求1所述的基于网络隐蔽通道的TLS协议构建方法,其特征在于,步骤2)中所述调制Server Hello数据包中加密套件信息为隐蔽信息、步骤5)所述调制Server KeyExchange数据中密钥交换参数为隐蔽信息、步骤7)所述调制Client Key Exchange数据中密钥交换参数为隐蔽信息,其具体调制与解调方法由隐蔽通道服务器端和隐蔽通道客户端在建立TLS握手机制之前商定。
3.根据权利要求1所述的基于网络隐蔽通道的TLS协议构建方法,其特征在于,步骤2)所述修改Server Hello数据包中加密套件字段为构造的加密套件信息,构造的加密套件具体包括:
(1)构造的加密套件中签名算法与Server Hello数据包的加密套件中签名算法一致、构造的加密套件从TLS客户端支持的加密套件中选取;
(2)若Server Hello数据包的加密套件中选取的密钥交换算法需要TLS服务器端发送Server Key Exchange消息,则构造的加密套件中也选取需要TLS服务器端发送Server KeyExchange消息的密钥交换算法;
(3)若Server Hello数据包的加密套件中选取的密钥交换算法不需要TLS服务器端发送Server Key Exchange消息,则构造的加密套件中也选取不需要TLS服务器端发送ServerKey Exchange消息的密钥交换算法。
4.根据权利要求1所述的基于网络隐蔽通道的TLS协议构建方法,其特征在于,步骤5)所述修改Server Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数、步骤7)所述修改Client Key Exchange数据包中密钥交换参数字段为构造的密钥交换参数,其构造的密钥交换参数生成方法由所述构造的加密套件中选取的密钥交换算法确定。
5.一种基于网络隐蔽通道的TLS协议构建系统,其特征在于,所述系统包括:
1)数据包信息获取模块,用于获取TLS客户端及TLS服务器端发送的握手数据包,判断获取的数据包类型以及数据包的来源,若数据包来源为同端,则发送给其他模块处理;若数据包来源为对端,则根据数据包类型提取数据包对应字段信息后,再发送给其他模块处理;
2)加密套件信息生成模块,用于生成加密套件信息,所述加密套件信息用于修改Server Hello数据包中加密套件字段;
3)密钥交换参数生成模块,用于生成密钥交换参数,所述密钥交换参数用于修改Server Key Exchange数据包以及Client Key Exchange数据包中密钥交换参数字段;
4)隐蔽信息调制模块,用于调制数据包信息获取模块中提取的信息为隐蔽信息;
5)隐蔽信息解调模块,用于解调数据包中嵌入的隐蔽信息;
6)数据包修改发送模块,用于根据其他模块接收到信息修改数据包对应字段,并发送修改后的数据包。
6.根据权利要求5所述的基于网络隐蔽通道的TLS协议构建系统,其特征在于,数据包信息获取模块中所述数据包来源为同端,即TLS客户端为隐蔽通道客户端的同端,TLS服务器端为隐蔽通道服务器端的同端。
7.根据权利要求5所述的基于网络隐蔽通道的TLS协议构建系统,其特征在于,数据包信息获取模块中所述数据包来源为对端,即TLS服务器端为隐蔽通道客户端的对端,TLS客户端端为隐蔽通道服务器端的对端。
8.根据权利要求5所述的基于网络隐蔽通道的TLS协议构建系统,其特征在于,数据包信息获取模块中所述判断获取的数据包类型,若获取的数据包类型为Server Hello数据包,则提取数据包中加密套件字段信息,并交给加密套件信息生成模块处理。
9.根据权利要求5所述的基于网络隐蔽通道的TLS协议构建系统,其特征在于,数据包信息获取模块中所述判断获取的数据包类型,若获取的数据包类型为Server KeyExchange数据包或Client Key Exchange数据包,则提取密钥交换参数字段的信息,并交给密钥交换参数生成模块处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210508029.5A CN115150067A (zh) | 2022-05-10 | 2022-05-10 | 一种基于网络隐蔽通道的tls协议构建方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210508029.5A CN115150067A (zh) | 2022-05-10 | 2022-05-10 | 一种基于网络隐蔽通道的tls协议构建方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115150067A true CN115150067A (zh) | 2022-10-04 |
Family
ID=83406794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210508029.5A Pending CN115150067A (zh) | 2022-05-10 | 2022-05-10 | 一种基于网络隐蔽通道的tls协议构建方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115150067A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117896178A (zh) * | 2024-03-14 | 2024-04-16 | 北京长亭科技有限公司 | 一种基于加密协议伪装的隐蔽通信方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106533689A (zh) * | 2015-09-15 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 一种在ssl/tls通信中加载数字证书的方法和装置 |
| CN106657136A (zh) * | 2017-01-13 | 2017-05-10 | 北京元心科技有限公司 | 终端设备、隐匿信道通信方法及其装置 |
| US10063590B1 (en) * | 2015-04-23 | 2018-08-28 | Amazon Technologies, Inc. | Secure message protocol |
| CN110225016A (zh) * | 2019-05-31 | 2019-09-10 | 北京理工大学 | 一种基于区块链网络的数据隐蔽传输方法 |
| CN110392050A (zh) * | 2019-07-18 | 2019-10-29 | 北京理工大学 | 一种基于时间戳的存储隐通道的构建方法 |
| US20220006835A1 (en) * | 2020-07-02 | 2022-01-06 | International Business Machines Corporation | Tls integration of post quantum cryptographic algorithms |
-
2022
- 2022-05-10 CN CN202210508029.5A patent/CN115150067A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10063590B1 (en) * | 2015-04-23 | 2018-08-28 | Amazon Technologies, Inc. | Secure message protocol |
| CN106533689A (zh) * | 2015-09-15 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 一种在ssl/tls通信中加载数字证书的方法和装置 |
| CN106657136A (zh) * | 2017-01-13 | 2017-05-10 | 北京元心科技有限公司 | 终端设备、隐匿信道通信方法及其装置 |
| CN110225016A (zh) * | 2019-05-31 | 2019-09-10 | 北京理工大学 | 一种基于区块链网络的数据隐蔽传输方法 |
| CN110392050A (zh) * | 2019-07-18 | 2019-10-29 | 北京理工大学 | 一种基于时间戳的存储隐通道的构建方法 |
| US20220006835A1 (en) * | 2020-07-02 | 2022-01-06 | International Business Machines Corporation | Tls integration of post quantum cryptographic algorithms |
Non-Patent Citations (3)
| Title |
|---|
| 吕英豪,陈嘉耕: "一种新的轻量级安全代理协议", 信息安全学报, vol. 6, no. 3, 31 May 2021 (2021-05-31), pages 106 - 124 * |
| 廖兴: "网络安全技术", vol. 1, 28 February 2007, 西安电子科技大学出版社, pages: 221 - 224 * |
| 赵序琦,孙亮,王轶骏,薛质: "基于IPv6协议的隐蔽信道构建方法研究", 通信技术, vol. 54, no. 1, 31 January 2021 (2021-01-31), pages 158 - 163 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117896178A (zh) * | 2024-03-14 | 2024-04-16 | 北京长亭科技有限公司 | 一种基于加密协议伪装的隐蔽通信方法及装置 |
| CN117896178B (zh) * | 2024-03-14 | 2024-05-28 | 北京长亭科技有限公司 | 一种基于加密协议伪装的隐蔽通信方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7584505B2 (en) | Inspected secure communication protocol | |
| CN111600854B (zh) | 智能终端与服务端建立安全通道的方法 | |
| CN106357690B (zh) | 一种数据传输方法、数据发送装置及数据接收装置 | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| CN109005027B (zh) | 一种随机数据加解密法、装置及系统 | |
| Kapoor et al. | A hybrid cryptography technique for improving network security | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN113079022B (zh) | 一种基于sm2密钥协商机制的安全传输方法和系统 | |
| CN105610847B (zh) | 一种支持多交换节点电子公文安全传输交换的方法 | |
| CN113114701A (zh) | 一种quic数据传输方法及装置 | |
| CN112713995A (zh) | 一种用于物联网终端的动态通信密钥分发方法及装置 | |
| CN110971616B (zh) | 基于安全传输层协议的连接建立方法、客户端和服务器 | |
| CN115150067A (zh) | 一种基于网络隐蔽通道的tls协议构建方法及系统 | |
| CN112929166B (zh) | 一种基于Modbus-TCP协议的主站、从站及数据传输系统 | |
| CN105678542B (zh) | 支付业务交互方法、支付终端和支付云端 | |
| Heinz et al. | Covert channels in transport layer security | |
| CN109120621B (zh) | 数据处理器 | |
| CN111125655A (zh) | 一种针对oss-api接口安全通信的方法 | |
| CN115987634A (zh) | 获取明文数据、密钥获取方法、装置、电子设备及介质 | |
| CN115225389A (zh) | 通信加密的方法、装置、设备及存储介质 | |
| Hayden et al. | Multi-channel security through data fragmentation | |
| CN114707158A (zh) | 基于tee的网络通信认证方法以及网络通信认证系统 | |
| KR20170083359A (ko) | Aes 알고리즘을 이용한 사물인터넷 기기간 암호화 및 복호화 방법 | |
| CN108809888B (zh) | 一种基于安全模块的安全网络构建方法和系统 | |
| CN105162825A (zh) | 文件安全传输方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |