CN115174520B - 一种网络地址信息隐藏方法及系统 - Google Patents
一种网络地址信息隐藏方法及系统 Download PDFInfo
- Publication number
- CN115174520B CN115174520B CN202210648531.6A CN202210648531A CN115174520B CN 115174520 B CN115174520 B CN 115174520B CN 202210648531 A CN202210648531 A CN 202210648531A CN 115174520 B CN115174520 B CN 115174520B
- Authority
- CN
- China
- Prior art keywords
- address information
- header
- network address
- intranet
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2539—Hiding addresses; Keeping addresses anonymous
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种网络地址信息隐藏方法及系统,该隐藏方法利用预设算法和预设密钥对内网IP头部内的网络地址信息进行加密,获得网络地址信息密文填充至内网IP头部的选项字段,并对内网IP头部内的网络地址信息进行混淆操作处理,将更新后的内网IP头部与自定义内网IP头部的选项字段组成外网IP头部,并将外网IP头部与数据报文组成外网数据包发送至外网;该发明提高了网络分析难度,解决了定向攻击问题。
Description
技术领域
本发明涉及网络主机信息隐藏技术领域,尤其涉及一种网络地址信息隐藏方法及系统。
背景技术
当多个敏感网络之间进行通信时,首先需要考虑的是数据安全问题,数据的安全性可通过一些安全协议进行保证,可对应用层的内容进行保护,防止数据泄密和非法篡改。经过调研,业界常用的保护手段是采用密码算法进行加密、签名、摘要或通过安全协议如SSL协议等方式来解决数据安全问题。
其次需要考虑内部网络的信息隐藏,业界成熟的方案有NAT网络地址转换、VPN虚拟专用网络的隧道模式等。NAT通过对内网数据包的源IP、端口或目的IP、端口转换为外网的IP和端口以实现对内网数据包的隐藏。VPN隧道模式通过对内网数据包重新封装外网IP头实现对内网数据包的隐藏。
无论是采用密码算法亦或是采用安全协议方法,仅能对数据内容进行保护,无法对数据包的源信息和目的信息进行隐藏,而采用NAT或VPN方案可对数据包的原始信息进行隐藏,但依旧可通过数据包分析出来单条数据流,从而开展流量分析。当攻击者发起针对性攻击时,通过网络流量分析很容易找到攻击目标,实现定向攻击,造成安全隐患。
综上所述,针对源信息和目的信息无法隐藏问题,本方案提出一种通过对数据包的源、目的IP地址、TCP/UDP协议的源和目的端口进行隐藏的解决方案,目的在于提高网络分析难度,解决定向攻击问题。
发明内容
有鉴于此,为解决上述现有技术的不足,本发明的目的在于提供了一种网络地址信息隐藏方法及系统,该隐藏方法通过密钥算法完成源IP地址、目的IP地址、TCP/UDP四层协议的源端口和目的端口的信息隐藏,提高网络分析难度,解决定向攻击问题。
为实现上述目的,本发明所采用的技术方案是:
本发明第一方面提供一种网络地址信息隐藏方法,用于内网数据发送方,包括以下步骤:
获取内网数据包并进行解析,获得内网IP头部和数据报文;
采用预设算法和预设密钥对内网IP头部内的网络地址信息进行加密,获得网络地址信息密文;
自定义内网IP头部的选项字段,设置自定义内网IP头部的选项字段的内容包括长度项、协议类别项、密钥类型项、密文项以及HMAC校验码项,并基于网络地址信息密文进行选项字段填充;
对内网IP头部内的网络地址信息进行混淆操作处理;
基于混淆操作后的网络地址信息和新增的选项字段更新内网IP头部的头部校验和,以及根据自定义内网IP头部的选项字段的长度更新内网IP头部的总长度字段;
将更新后的内网IP头部与自定义内网IP头部的选项字段组成外网IP头部,并将外网IP头部与数据报文组成外网数据包发送至外网。
本发明第二方面提供一种网络地址信息隐藏方法,用于外网数据接收方,包括以下步骤:
接收外网数据包并进行解析,获得外网IP头部和数据报文;
将外网IP头部中选项字段的长度项、协议类别项、密钥类型项、网络地址信息密文项进行拼接,并基于预设HMAC算法对拼接后的值进行HMAC计算,将获得的HMAC验证码与选项字段的校验码进行比较,验证外网数据包的合法性;
在外网数据包合法性验证通过后,采用预设算法和预设密钥对选项字段中的网络地址信息密文进行解密,获得随机网络地址信息明文;
基于随机网络地址信息明文替换外网IP头部的网络地址信息;
将更新网络地址信息后的外网IP头部的选项字段删除,更新外网IP头部的头部校验和和外网IP头部的总长度字段,形成内网IP头部,将内网IP头部与数据报文组成内网数据包发送至内网。
本发明第三方面提供一种网络地址信息隐藏设备,用于内网数据发送方,包括:
内网数据包解析模块,用于获取内网数据包并进行解析,获得内网IP头部和数据报文;
网络地址信息加密模块,用于采用预设算法和预设密钥对内网IP头部内的网络地址信息进行加密,获得网络地址信息密文;
自定义增加模块,用于自定义内网IP头部的选项字段,并基于网络地址信息密文进行选项字段填充;
网络地址信息混淆模块,用于对内部IP头部内的网络地址信息进行混淆操作处理;
内网IP头部更新模块,用于基于混淆操作后的网络地址信息和新增的选项字段更新内网IP头部的头部校验和,以及根据自定义内网IP头部的选项字段的长度更新内网IP头部的总长度字段;
外网数据包发送模块,用于将更新后的内网IP头部与自定义内网IP头部的选项字段组成外网IP头部,并将外网IP头部与数据报文组成外网数据包发送至外网。
本发明第四方面提供一种网络地址信息隐藏设备,用于外网数据接收方,包括:
外网数据包解析模块,接收外网数据包并进行解析,获得外网IP头部和数据报文;
数据包合法性验证模块,用于将外网IP头部中选项字段的长度项、协议类别项、密钥类型项、网络地址信息密文项进行拼接,并基于预设HMAC算法对拼接后的值进行HMAC计算,将获得的HMAC验证码与选项字段的校验码进行比较,验证外网数据包的合法性;
网络地址信息解密模块,用于在外网数据包合法性验证通过后,采用预设算法和预设密钥对选项字段中的网络地址信息密文进行解密,获得随机网络地址信息明文;
网络地址信息替换模块,用于基于随机网络地址信息明文替换外网IP头部的网络地址信息;
内网数据包发送模块,用于将更新网络地址信息后的外网IP头部的选项字段删除,更新外网IP头部的头部校验和和外网IP头部的总长度字段,形成内网IP头部,将内网IP头部与数据报文组成内网数据包发送至内网。
本发明第五方面提供一种网络地址信息隐藏通信方法,包括以下步骤:
内网数据发送方,接收内网数据包,并采用第一方面提供的网络地址信息隐藏方法将内网数据包转换为外网数据包发送至外网数据接收方;
外网数据接收方,接收外网数据包,并采用第二方面提供的网络地址信息隐藏方法将外网数据包转换为内网数据包发送至内网数据接收方。
本发明第六方面提供一种网络地址信息隐藏通信系统,包括设置在第一网段的内网数据发送设备和设置在第二网段的外放数据接收设备,其中,内网数据发送设备采用第三方面提供的所述的网络地址信息隐藏设备,外网数据接收设备采用第四方面提供的网络地址信息隐藏设备。
本发明的有益效果是:
该隐藏方法提通过预设密钥算法完成源IP地址、目的IP地址、TCP/UDP四层协议的源端口和目的端口的信息隐藏,提高网络分析难度,解决定向攻击问题。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图;
图1为本发明第一种隐藏方法的流程示意图;
图2为内网数据包的IP头部和外网数据包的IP头部的对比示意图;
图3为选项字段填充内容示意图;
图4为随机网络地址信息的数据结构图;
图5为本发明第二种隐藏方法的流程示意图;
图6为本发明隐藏系统部署示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
实施例1
本发明第一方面提供一种网络地址信息隐藏方法,用于内网数据发送方,包括以下步骤:
获取内网数据包并进行解析,获得内网IP头部和数据报文;
采用预设算法和预设密钥对内网IP头部内的网络地址信息进行加密,获得网络地址信息密文;
自定义内网IP头部的option选项字段,设置自定义内网IP头部的option选项字段的内容包括长度项、协议类别项、密钥类型项、密文项以及HMAC校验码项,并基于网络地址信息密文进行option选项字段填充;
对内网IP头部内的网络地址信息进行混淆操作处理;
基于混淆操作后的网络地址信息和新增的option选项字段更新内网IP头部的头部校验和,以及根据自定义内网IP头部的option选项字段的长度更新内网IP头部的总长度字段;
将更新后的内网IP头部与自定义内网IP头部的option选项字段组成外网IP头部,并将外网IP头部与数据报文组成外网数据包发送至外网。
如图2所示为内网数据包的IP头部和外网数据包的IP头部的对比示意图,外网数据包的IP头部包括option选项字段。
在具体实施中,当基于网络地址信息密文进行选项字段填充时,执行:
如图3所示,设置自定义内网IP头部的option选项字段的内容包括长度项、协议类别项、密钥类型项、密文项以及HMAC校验码项;
基于自定义内网IP头部的option选项字段的长度填充option选项字段中的长度项;
基于当前的网络协议填充option选项字段中的协议类别项;
基于预设密钥填充option选项字段中的密钥类别项;
基于网络地址信息密文填充option选项字段中的密文项;
将长度项、协议类别项、密钥类型项、网络地址信息密文项进行拼接,并基于预设HMAC算法对拼接后的值进行HMAC计算,基于得到的校验码填充option选项字段中的HMAC校验码项。
可以理解,由于IP数据报首部中有一个首部长度字段:4 位长,可表示的最大十进制数字是15。因此IP数据报首部长度的最大值是15个4字节长的字,即60字节;由于典型的IP数据包不使用IP中的option选项,因此典型的IP数据包首部长度是20字节,故option选项字段的长度最大为40字节,因此,在进行option选项字段中的长度项的填充时,长度项占用1个字节,填充值为40。
进一步的,option选项字段中协议类别项占用1个字节,内容填充为0x95,用于隐藏协议类别的标记和区分;option选项字段中密钥类型项占用1个字节,内容填充为0x1或0x0,其中0x1表示初始密钥,0x0表示为系统密钥;option选项字段中密文项占用16个字节,内容填充为网络地址信息密文;option选项字段中HMAC校验码项占用21个字节,在具体计算过程中,预设HMAC算法为SHA256算法,基于SHA256算法对长度项、协议类别项、密钥类型项、密文项拼接后的19字节进行HMAC计算,得到32字节校验码,选取32字节校验码中的前21字节进行HMAC校验码项的填充。
在具体实施时,IP头部内的网络地址信息包括源IP地址、目的IP地址、源端口号和目的端口号,其中,当内网IP头部中的协议类型不为TCP/UDP协议时,源端口号和目的端口号为0。
具体的,本领域技术人员熟知,源IP地址、目的IP地址均为4字节,源端口和目的端口均为2字节,为了提高网络地址信息的安全性,如图4所示,本申请还获取4字节的随机数,将4字节源IP地址、4字节目的IP地址、2字节源端口、2字节目的端口以及4字节随机数组合16字节的随机网络地址信息,然后基于预设密码算法和预设密钥对随机网络地址信息进行加密得到网络地址信息密文。
其中,这里的预设密钥包括初始密钥和系统密钥两类,初始密钥为系统刚刚运行即无法连接密钥管理系统时采用的密钥;系统密钥为系统运行一段时间后通过密钥管理系统申请的密钥,通信双方进行隐藏通信时需采用同一对密钥。
进一步的,在具体实施时,为了对内网数据包的源信息和目的信息进行隐藏,还需要对内网IP头部内的网络地址信息进行混淆操作处理,具体步骤如下:
通过内网的本地子网掩码长度计算得到源IP地址主机位长度,根据匹配的保护子网列表中配置的子网长度计算得到目的IP地址主机位长度,采用随机数对源IP地址主机位、目的IP地址主机位、以及TCP/UDP的源端口和目的端口进行替换。
进一步的,在基于网络地址信息密文进行选项字段填充以及对内网IP头部内的网络地址信息进行混淆操作处理后,还需要更新内网IP头部的头部校验和,具体步骤如下:先计算TCP/UDP/IMCP传输层协议的四层校验和,再计算IP头三次校验和。
可以理解,在提供用于内网数据发送方的网络地址信息隐藏方法,还需要提供用于外网数据接收方的网络地址信息隐藏方法,以将隐藏的网络地址信息恢复出来,具体的,本实施例还提供一种网络地址信息隐藏方法,用于外网数据接收方,如图5所示,包括以下步骤:
接收外网数据包并进行解析,获得外网IP头部和数据报文;
将外网IP头部中option选项字段的长度项、协议类别项、密钥类型项、网络地址信息密文项进行拼接,并基于预设HMAC算法对拼接后的值进行HMAC计算,将获得的HMAC验证码与option选项字段的校验码进行比较,验证外网数据包的合法性;
在外网数据包合法性验证通过后,采用预设算法和预设密钥对选项字段中的网络地址信息密文进行解密,获得随机网络地址信息明文;
基于随机网络地址信息明文替换外网IP头部的网络地址信息;
将更新网络地址信息后的外网IP头部的option选项字段删除,更新外网IP头部的头部校验和和外网IP头部的总长度字段,形成内网IP头部,将内网IP头部与数据报文组成内网数据包发送至内网。
可以理解,在具体实施时,在将获得的HMAC验证码与选项字段的校验码进行比较,验证外网数据包的合法性时,将获得的32位HMAC验证码的前21位与选项字段的校验码进行比较,若不一致,则合法性验证未通过,舍弃当前外网数据包,若一致,则合法性验证通过,继续采用预设算法和预设密钥对option选项字段中的网络地址信息密文进行解密,获得随机网络地址信息明文,可以理解,随机网络地址信息明文为16字节明文,依次是4字节源IP地址、4字节目的IP地址、2字节源端口、2字节目的端口和4字节随机数,将4字节随机数丢弃,用随机网络地址信息明文的前12字节依次替换外网IP头部中对应的网络地址信息。
同理,将更新网络地址信息后的外网IP头部的选项字段删除后,还需要更新外网IP头部的头部校验和和外网IP头部的总长度字段,外网IP头部的头部校验和的步骤如下:先计算TCP/UDP/IMCP传输层协议的四层校验和,再计算IP头三次校验和;更新外网IP头部的总长度字段时,将外网IP头部的总长度字段减去option选项字段的长度,由于option选项字段的长度为40,因此,将外网IP头部的总长度字段减去40。
可以理解,基于上述两种网络地址信息隐藏方法,本发明还提供一种网络地址信息隐藏通信方法,包括以下步骤:
内网数据发送方,接收内网数据包,并采用第一方面提供的网络地址信息隐藏方法将内网数据包转换为外网数据包发送至外网数据接收方;
外网数据接收方,接收外网数据包,并采用第二方面提供的网络地址信息隐藏方法将外网数据包转换为内网数据包发送至内网数据接收方。
实施例2
本实施例提供一种网络地址信息隐藏设备,用于内网数据发送方,包括:
内网数据包解析模块,用于获取内网数据包并进行解析,获得内网IP头部和数据报文;
网络地址信息加密模块,用于采用预设算法和预设密钥对内网IP头部内的网络地址信息进行加密,获得网络地址信息密文;
自定义增加模块,用于自定义内网IP头部的选项字段,并基于网络地址信息密文进行选项字段填充;
网络地址信息混淆模块,用于对内部IP头部内的网络地址信息进行混淆操作处理;
内网IP头部更新模块,用于基于混淆操作后的网络地址信息和新增的选项字段更新内网IP头部的头部校验和,以及根据自定义内网IP头部的选项字段的长度更新内网IP头部的总长度字段;
外网数据包发送模块,用于将更新后的内网IP头部与自定义内网IP头部的选项字段组成外网IP头部,并将外网IP头部与数据报文组成外网数据包发送至外网。
对应的,本实施例还提供一种网络地址信息隐藏设备,用于外网数据接收方,包括:
外网数据包解析模块,接收外网数据包并进行解析,获得外网IP头部和数据报文;
数据包合法性验证模块,用于将外网IP头部中选项字段的长度项、协议类别项、密钥类型项、网络地址信息密文项进行拼接,并基于预设HMAC算法对拼接后的值进行HMAC计算,将获得的HMAC验证码与选项字段的校验码进行比较,验证外网数据包的合法性;
网络地址信息解密模块,用于在外网数据包合法性验证通过后,采用预设算法和预设密钥对选项字段中的网络地址信息密文进行解密,获得随机网络地址信息明文;
网络地址信息替换模块,用于基于随机网络地址信息明文替换外网IP头部的网络地址信息;
内网数据包发送模块,用于将更新网络地址信息后的外网IP头部的选项字段删除,形成内网IP头部,并将内网IP头部与数据报文组成内网数据包发送至内网。
可以理解,本实施例还提供一种网络地址信息隐藏通信系统,包括设置在第一网段的内网数据发送设备和设置在第二网段的外放数据接收设备,其中,内网数据发送设备采用用于内网数据发送方的网络地址信息隐藏设备,外网数据接收设备采用用于外网数据接收方的网络地址信息隐藏设备。
如图6所示为本发明隐藏系统的部署示意图,每个网段设置一个隐藏终端,所述隐藏终端内置有内网数据发送设备和外放数据接收设备,多个网段通过各自部署的隐藏终端以及路由器完成多个网段之间的隐藏通信。
可以理解,该系统还包括密钥管理终端、密钥存储终端以及时间同步服务器,上述终端与隐藏终端共同完成隐藏过程中所需密钥的生成、存储、分发、时间同步以及源网络地址信息、目的网络地址信息的隐藏等功能,在实际使用中,所述密钥管理终端、所述密钥存储终端以及所述时间同步服务器设置在同一网段内。
其中,所述隐藏终端,为密钥的使用主体,通过密钥和密码算法完成网络信息的隐藏;
所述密钥管理终端,为密钥的生成主体,生成密钥后使用门限分割算法分割后发送至所述密钥存储终端;
所述密钥存储终端,为密钥分量的存储主体,存储密钥分量,为所述密钥管理终端提供分量获取存储和获取接口;
所述时间同步服务器,为整个隐藏通信系统提供时钟基准数据,采用网络时间协议NTP协议。
进一步的,所述时间同步服务器还为隐藏终端服务,以保证多个隐藏终端时间更新与同步;通过定时获取系统时钟作为隐藏终端、密钥管理终端、密钥存储终端的时钟源数据;通过保证时钟源的一致,保证密钥更新的准确性,避免更新过程的大量丢包。
进一步的,所述隐藏终端为多个、所述密钥管理终端为1个、所述密钥存储终端为3个,其中,所述密钥存储终端对应存储经所述密钥管理终端拆分后的密钥分量,可以理解,密钥分量与所述密钥存储终端是一一对应的。
本实施例中,所述密钥管理终端通过门限密钥算法将密钥拆分为3份,并通过RPC接口发送至3个密钥存储终端;所述密钥管理终端在恢复密钥时,向至少2个即大于2个密钥存储终端请求密钥分量,同时根据门限密钥算法基于两个及以上即大于等于2个的密钥分量进行密钥恢复。
以上显示和描述了本发明的主要特征、基本原理以及本发明的优点。本行业技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会根据实际情况有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (10)
1.一种网络地址信息隐藏方法,用于内网数据发送方,其特征在于,包括以下步骤:
获取内网数据包并进行解析,获得内网IP头部和数据报文;
采用预设算法和预设密钥对内网IP头部内的网络地址信息进行加密,获得网络地址信息密文;
自定义内网IP头部的选项字段,设置自定义内网IP头部的选项字段的内容包括长度项、协议类别项、密钥类型项、密文项以及HMAC校验码项,并基于网络地址信息密文进行选项字段填充;
对内网IP头部内的网络地址信息进行混淆操作处理;
基于混淆操作后的网络地址信息和新增的选项字段更新内网IP头部的头部校验和,以及根据自定义内网IP头部的选项字段的长度更新内网IP头部的总长度字段;
将更新后的内网IP头部与自定义内网IP头部的选项字段组成外网IP头部,并将外网IP头部与数据报文组成外网数据包发送至外网。
2.根据权利要求1所述的网络地址信息隐藏方法,其特征在于,基于网络地址信息密文进行选项字段填充时,执行:
设置自定义内网IP头部的选项字段的内容包括长度项、协议类别项、密钥类型项、密文项以及HMAC校验码项;
基于自定义内网IP头部的选项字段的长度填充选项字段中的长度项;
基于当前的网络协议填充选项字段中的协议类别项;
基于预设密钥填充选项字段中的密钥类别项;
基于网络地址信息密文填充选项字段中的密文项;
将长度项、协议类别项、密钥类型项、网络地址信息密文项进行拼接,并基于预设HMAC算法对拼接后的值进行HMAC计算,基于得到的校验码填充选项字段中的HMAC校验码项。
3.根据权利要求1所述的网络地址信息隐藏方法,其特征在于,采用预设算法和预设密钥对内网IP头部内的网络地址信息进行加密,获得网络地址信息密文时,执行:
获取随机数,将随机数与内网IP头部内的网络地址信息进行拼接,得到随机网络地址信息;
基于预设密码算法和预设密钥对随机网络地址信息进行加密得到网络地址信息密文。
4.根据权利要求1所述的网络地址信息隐藏方法,其特征在于,IP头部内的网络地址信息包括源IP地址、目的IP地址、源端口号和目的端口号,其中,当内网IP头部中的协议类型不为TCP/UDP协议时,源端口号和目的端口号为0。
5.根据权利要求1所述的网络地址信息隐藏方法,其特征在于,对内网IP头部内的网络地址信息进行混淆操作处理的具体步骤如下:
通过内网的本地子网掩码长度计算得到源IP地址主机位长度,根据匹配的保护子网列表中配置的子网长度计算得到目的IP地址主机位长度,采用随机数对源IP地址主机位、目的IP地址主机位、以及TCP/UDP的源端口和目的端口进行替换。
6.一种网络地址信息隐藏方法,用于外网数据接收方,其特征在于,包括以下步骤:
接收外网数据包并进行解析,获得外网IP头部和数据报文;
将外网IP头部中选项字段的长度项、协议类别项、密钥类型项、网络地址信息密文项进行拼接,并基于预设HMAC算法对拼接后的值进行HMAC计算,将获得的HMAC验证码与选项字段的校验码进行比较,验证外网数据包的合法性;
在外网数据包合法性验证通过后,采用预设算法和预设密钥对选项字段中的网络地址信息密文进行解密,获得随机网络地址信息明文;
基于随机网络地址信息明文替换外网IP头部的网络地址信息;
将更新网络地址信息后的外网IP头部的选项字段删除,更新外网IP头部的头部校验和和外网IP头部的总长度字段,形成内网IP头部,将内网IP头部与数据报文组成内网数据包发送至内网。
7.一种网络地址信息隐藏设备,用于内网数据发送方,其特征在于,包括:
内网数据包解析模块,用于获取内网数据包并进行解析,获得内网IP头部和数据报文;
网络地址信息加密模块,用于采用预设算法和预设密钥对内网IP头部内的网络地址信息进行加密,获得网络地址信息密文;
自定义增加模块,用于自定义内网IP头部的选项字段,设置自定义内网IP头部的选项字段的内容包括长度项、协议类别项、密钥类型项、密文项以及HMAC校验码项,并基于网络地址信息密文进行选项字段填充;
网络地址信息混淆模块,用于对内部IP头部内的网络地址信息进行混淆操作处理;
内网IP头部更新模块,用于基于混淆操作后的网络地址信息和新增的选项字段更新内网IP头部的头部校验和,以及根据自定义内网IP头部的选项字段的长度更新内网IP头部的总长度字段;
外网数据包发送模块,用于将更新后的内网IP头部与自定义内网IP头部的选项字段组成外网IP头部,并将外网IP头部与数据报文组成外网数据包发送至外网。
8.一种网络地址信息隐藏设备,用于外网数据接收方,其特征在于,包括:
外网数据包解析模块,接收外网数据包并进行解析,获得外网IP头部和数据报文;
数据包合法性验证模块,用于将外网IP头部中选项字段的长度项、协议类别项、密钥类型项、网络地址信息密文项进行拼接,并基于预设HMAC算法对拼接后的值进行HMAC计算,将获得的HMAC验证码与选项字段的校验码进行比较,验证外网数据包的合法性;
网络地址信息解密模块,用于在外网数据包合法性验证通过后,采用预设算法和预设密钥对选项字段中的网络地址信息密文进行解密,获得随机网络地址信息明文;
网络地址信息替换模块,用于基于随机网络地址信息明文替换外网IP头部的网络地址信息;
内网数据包发送模块,用于将更新网络地址信息后的外网IP头部的选项字段删除,更新外网IP头部的头部校验和和外网IP头部的总长度字段,形成内网IP头部,将内网IP头部与数据报文组成内网数据包发送至内网。
9.一种网络地址信息隐藏通信方法,其特征在于,包括以下步骤:
内网数据发送方,接收内网数据包,并采用权利要求1-5任一项所述的网络地址信息隐藏方法将内网数据包转换为外网数据包发送至外网数据接收方;
外网数据接收方,接收外网数据包,并采用权利要求6所述的网络地址信息隐藏方法将外网数据包转换为内网数据包发送至内网数据接收方。
10.一种网络地址信息隐藏通信系统,其特征在于:包括设置在第一网段的内网数据发送设备和设置在第二网段的外放数据接收设备,其中,内网数据发送设备包括权利要求7所述的网络地址信息隐藏设备,外网数据接收设备包括权利要求8所述的网络地址信息隐藏设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210648531.6A CN115174520B (zh) | 2022-06-09 | 2022-06-09 | 一种网络地址信息隐藏方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210648531.6A CN115174520B (zh) | 2022-06-09 | 2022-06-09 | 一种网络地址信息隐藏方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115174520A CN115174520A (zh) | 2022-10-11 |
| CN115174520B true CN115174520B (zh) | 2023-06-23 |
Family
ID=83486087
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210648531.6A Active CN115174520B (zh) | 2022-06-09 | 2022-06-09 | 一种网络地址信息隐藏方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174520B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116233060B (zh) * | 2022-12-28 | 2023-11-03 | 北京六方云信息技术有限公司 | 报文信息隐藏方法、装置、终端设备以及存储介质 |
| CN116866008A (zh) * | 2023-06-15 | 2023-10-10 | 北京志凌海纳科技有限公司 | 一种超融合架构下的系统网络安全保障装置及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060030995A (ko) * | 2004-10-07 | 2006-04-12 | 한국전자통신연구원 | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 |
| US7739497B1 (en) * | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
| CN108521331A (zh) * | 2018-04-11 | 2018-09-11 | 西安邮电大学 | 基于源地址的隐蔽信息发送系统及发送方法 |
| CN111683093A (zh) * | 2020-06-09 | 2020-09-18 | 湖南大学 | 基于IPv6网络的动态隐蔽通信方法 |
| CN114050920A (zh) * | 2021-10-29 | 2022-02-15 | 山东多次方半导体有限公司 | 一种基于fpga的透明网络加密系统实现方法 |
| CN114389835A (zh) * | 2021-12-01 | 2022-04-22 | 青海师范大学 | 一种IPv6选项显式源地址加密安全验证网关及验证方法 |
-
2022
- 2022-06-09 CN CN202210648531.6A patent/CN115174520B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7739497B1 (en) * | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
| KR20060030995A (ko) * | 2004-10-07 | 2006-04-12 | 한국전자통신연구원 | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 |
| CN108521331A (zh) * | 2018-04-11 | 2018-09-11 | 西安邮电大学 | 基于源地址的隐蔽信息发送系统及发送方法 |
| CN111683093A (zh) * | 2020-06-09 | 2020-09-18 | 湖南大学 | 基于IPv6网络的动态隐蔽通信方法 |
| CN114050920A (zh) * | 2021-10-29 | 2022-02-15 | 山东多次方半导体有限公司 | 一种基于fpga的透明网络加密系统实现方法 |
| CN114389835A (zh) * | 2021-12-01 | 2022-04-22 | 青海师范大学 | 一种IPv6选项显式源地址加密安全验证网关及验证方法 |
Non-Patent Citations (2)
| Title |
|---|
| Technology of Location Hiding by Spoofing the Mobile Operator IP Address;Yaroslav Sadykov、等;《2021 IEEE International Conference on Information and Telecommunication Technologies and Radio Electronics (UkrMiCo)》;全文 * |
| 一种基于源IP地址的信息隐藏技术;王相林;赵颜昌;李黎;;计算机应用与软件(10);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115174520A (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7215667B1 (en) | System and method for communicating IPSec tunnel packets with compressed inner headers | |
| CN115174520B (zh) | 一种网络地址信息隐藏方法及系统 | |
| Al Fardan et al. | Lucky thirteen: Breaking the TLS and DTLS record protocols | |
| US10536269B2 (en) | Method and system for authentication and preserving the integrity of communication, secured by secret sharing | |
| US8379638B2 (en) | Security encapsulation of ethernet frames | |
| Kent | IP encapsulating security payload (ESP) | |
| US11870761B1 (en) | Hardware security accelerator | |
| JP5492856B2 (ja) | パーティ間の通信におけるプライバシーを確保する方法及び装置 | |
| US7979707B2 (en) | Secure seed generation protocol | |
| US8438381B2 (en) | Securing IP traffic | |
| CN109428867B (zh) | 一种报文加解密方法、网路设备及系统 | |
| EP3157225A1 (en) | Encrypted ccnx | |
| US10826876B1 (en) | Obscuring network traffic characteristics | |
| CN114844729B (zh) | 一种网络信息隐藏方法及系统 | |
| CN111555859A (zh) | Sm4-gcm算法及在网络安全协议中的应用 | |
| Farinacci et al. | Locator/ID separation protocol (LISP) data-plane confidentiality | |
| CN113242235A (zh) | 一种对铁路信号安全通信协议rssp-i加密认证的系统及其方法 | |
| CN115834026A (zh) | 一种基于工业协议的安全加密方法 | |
| CN113950802B (zh) | 用于执行站点到站点通信的网关设备和方法 | |
| CN114039812A (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| CN111093193A (zh) | 一种适用于Lora网络的MAC层通信安全机制 | |
| Schwenk | IP Security (IPSec) | |
| KR20060091018A (ko) | 무선 랜에서의 ccmp를 이용한 암호화, 복호화 장치 | |
| KR100522090B1 (ko) | IPv6 계층에서의 패킷 보호 방법 | |
| Farinacci et al. | RFC 8061: Locator/ID Separation Protocol (LISP) Data-Plane Confidentiality |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |