基于分组CBC模式的链路层信标加密方法与流程

基于分组cbc模式的链路层信标加密方法
技术领域
1.本发明涉及网络安全领域，尤其涉及一种基于分组cbc模式的链路层信标加密方法。


背景技术：

2.目前，在针对网络攻击活动的主动追踪溯源技术领域，尤其是对采用tor等具有加密变换特性匿名网络攻击行为的追踪溯源，网络信标技术是目前相对常用的一种技术手段。但攻击者针对网络安全防御方的追踪溯源亦不断升级其反追踪溯源技术，甚至对网络包标记、链路层信标等技术手段进行反侦察、解析和破坏，以对抗网络防御方对攻击行为的主动追踪溯源。现有网络信标技术中存在的易导致攻击者实施反追踪溯源的技术薄弱点主要包括：
3.1)现有网络信标技术一般未采用加密技术对网络信标信息进行保护，攻击者通过流量分析和编码分析可以获得网络信标信息植入调制的规律，并可进一步还原出链路层信标信息内容，从而可进行针对性的反追踪。
4.2)网络信标的植入调制过程中，往往是对一段网络信标标志信息不断重复发送，易导致攻击者发现网络流量中嵌入的网络信标信息，并对其进行还原分析。


技术实现要素：

5.针对目前链路层信标技术在对抗网络信标信息底码分析上所存在的问题，本发明公开了基于分组cbc模式的链路层信标加密方法，以增强网络信标信息的隐蔽性，确保在对网络攻击行为的主动追踪溯源过程中对主动植入网络信标信息的保护。
6.本发明首先引入网络信标信息序列加密技术，以隐藏链路层信标原始信息内容，使得攻击者无法洞悉网络信标信息序列内容，阻止其对网络防御方植入的网络信标信息进行深入分析。为克服链路层信标信息重复发送导致网络信标易被发现和分析的特点，引入基于分组cbc模式的网络信标加密方法，在网络信标信息多次重复植入发送的情况下，保证加密后的网络信标信息不会内容重复，具有随机特性。
7.本发明提出基于分组cbc模式的链路层信标加密方法，以增强网络信标信息的隐蔽性和保密性，确保在主动追踪溯源过程中对植入网络信标信息的保护。基于分组cbc模式的链路层信标加密方法的核心是实现对链路层信标信息的加密植入和解调解密。
8.本发明公开了一种基于分组cbc模式(密文分组链接模式)的链路层信标加密技术，其步骤包括：
9.s1，网络信标的加密植入；网络信标在链路层实现，因此网络信标即是链路层信标，在链路层使用基于密文分组链接cbc模式的对称加密算法des，对链路层信标底码信息流进行加密，其具体过程包括：
10.s11，确定64比特的初始向量iv和用于对称加密算法des的64比特加密密钥；
11.s12，网络信标植入调制前，将设定的链路层信标的底码信息流转化为二进制流，
若是需要重复发送链路层信标底码信息时，需按重复次数将链路层信标的底码信息流拼接在一起，形成连续底码；
12.s13，将网络信标信息数据按照64比特一组进行分组，得到n组数据p1、p2、......、pn，若网络信标信息数据总数不是64的整数倍，用全零数据对网络信标信息数据进行补全，使其总数为64的整数倍；
13.s14，第一组数据p1与初始向量iv进行异或，得到的结果进行des加密，得到第一组密文m1；第二组数据p2与第一组密文m1进行异或，对其得到的结果进行des加密，得到第二组密文m2；依次类推，对第i 1组数据与第i组密文mi进行异或，对其得到的结果进行des加密，得到第i 1组密文,其中i>1，按照上述方式对所有网络信标的分组数据逐次完成加密，得到密文序列m1、m2、......、mn，即为加密后的网络信标信息。
14.s15，在目标网络流量中采用基于时隙调制的方式，植入加密后的网络信标信息。
15.s2，网络信标解调解密；
16.对于链路层信标解密，使用与加密过程相同的初始向量、加密密钥和对称加密算法des，并使用cbc模式对链路层信标信息流进行解密，得到解密后的网络信标的底码。网络信标解调解密具体过程为：
17.s21，截获含有网络信标信息的网络流量，采用与网络信标植入调制对应的基于时隙的解调机制对截获的含有网络信标信息的网络流量进行解调，得到经过加密的网络信标信息序列；
18.s22，根据加密过程，确定用于解密的64比特的初始向量iv1和用于对称加密算法des的64比特解密密钥，用于解密的64比特的初始向量iv1与初始向量iv相同；
19.s23，将步骤s21得到的经过加密的网络信标信息序列，按照64比特一组进行分组，得到n组加密数据序列t1、t2、......、tn；
20.s24，将第一组加密数据序列t1，使用64比特解密密钥进行des解密运算，得到结果与初始化向量iv进行异或，得到第一组明文p1；将第二组加密数据序列t2，使用64比特解密密钥进行des解密运算，得到结果与第一组加密数据序列t1进行异或运算，得到第二组明文p2；依次类推，对第j组加密数据序列，使用64比特解密密钥进行des解密运算，得到结果与第j
‑
1组加密数据序列进行异或，得到第j组明文pj,j>2，将所有加密数据序列分组逐次全部完成解密，得到的明文序列p1、p2、......、pn，即为网络信标底码序列，对该网络信标底码序列，去除尾部的补全数据，即得到网络信标底码。
21.本发明的有益效果为：
22.1、本发明所述的基于分组cbc模式的链路层信标加密方法采用加密技术以增强网络信标信息的安全性，在网络信标技术本身就具有隐蔽性的基础上极大增加攻击者分析网络信标底码的难度，确保在主动追踪溯源过程中能实现对植入网络信标信息的保护。
23.2、本发明所述的基于分组cbc模式的链路层信标加密方法，引入基于分组cbc模式的网络信标加密方法，在网络信标信息底码分组内容相同的情况下，经过加密后的密文分组内容完全不同。这样使得攻击者更加难以洞悉网络信标信息序列内容，阻止其对网络防御方植入的网络信标信息进行深入分析，更好隐藏和保护链路层信标原始信息内容。
附图说明
24.图1为本发明的技术实施部署示意图；
25.图2为本发明的总体技术实施流程图；
26.图3为本发明的网络信标信息加密流程图；
27.图4为本发明的网络信标信息解密流程图。
具体实施方式
28.为了更好的了解本发明内容，这里给出一个实施例。
29.本发明公开了一种基于分组cbc模式(密文分组链接模式)的链路层信标加密技术，其步骤包括：
30.s1，网络信标的加密植入；网络信标在链路层实现，因此网络信标即是链路层信标，在链路层使用基于密文分组链接cbc模式的对称加密算法des，对链路层信标底码信息流进行加密，其具体过程包括：
31.s11，确定64比特的初始向量iv和用于对称加密算法des的64比特加密密钥；
32.s12，网络信标植入调制前，将设定的链路层信标的底码信息流转化为二进制流，若是需要重复发送链路层信标底码信息时，需按重复次数将链路层信标的底码信息流拼接在一起，形成连续底码；
33.s13，将网络信标信息数据按照64比特一组进行分组，得到n组数据p1、p2、......、pn，若网络信标信息数据总数不是64的整数倍，用全零数据对网络信标信息数据进行补全，使其总数为64的整数倍；
34.s14，第一组数据p1与初始向量iv进行异或，得到的结果进行des加密，得到第一组密文m1；第二组数据p2与第一组密文m1进行异或，对其得到的结果进行des加密，得到第二组密文m2；依次类推，对第i 1组数据与第i组密文mi进行异或，对其得到的结果进行des加密，得到第i 1组密文,其中i>1，按照上述方式对所有网络信标的分组数据逐次完成加密，得到密文序列m1、m2、......、mn，即为加密后的网络信标信息。
35.s15，在目标网络流量中采用基于时隙调制的方式，植入加密后的网络信标信息。
36.加密运算过程如图1所示；
37.s2，网络信标解调解密；
38.对于链路层信标解密，使用与加密过程相同的初始向量、加密密钥和对称加密算法des，并使用cbc模式对链路层信标信息流进行解密，得到解密后的网络信标的底码。网络信标解调解密具体过程为：
39.s21，截获含有网络信标信息的网络流量，采用与网络信标植入调制对应的基于时隙的解调机制对截获的含有网络信标信息的网络流量进行解调，得到经过加密的网络信标信息序列；
40.s22，根据加密过程，确定用于解密的64比特的初始向量iv1和用于对称加密算法des的64比特解密密钥，用于解密的64比特的初始向量iv1与初始向量iv相同；
41.s23，将步骤s21得到的经过加密的网络信标信息序列，按照64比特一组进行分组，得到n组加密数据序列t1、t2、......、tn；
42.s24，将第一组加密数据序列t1，使用64比特解密密钥进行des解密运算，得到结果
与初始化向量iv进行异或，得到第一组明文p1；将第二组加密数据序列t2，使用64比特解密密钥进行des解密运算，得到结果与第一组加密数据序列t1进行异或运算，得到第二组明文p2；依次类推，对第j组加密数据序列，使用64比特解密密钥进行des解密运算，得到结果与第j
‑
1组加密数据序列进行异或，得到第j组明文pj,j>2，将所有加密数据序列分组逐次全部完成解密，得到的明文序列p1、p2、......、pn，即为网络信标底码序列，对该网络信标底码序列，去除尾部的补全数据，即得到网络信标底码。
43.基于分组cbc模式的链路层信标加密方法的完整技术实施要包括通信终端、网络信标加密模块、网络信标植入调制模块、网络信标解调模块、网络信标解密模块等部分，技术实施部署方案如图1所示。
44.基于分组cbc模式的链路层信标加密方法整体实施流程是首先由两个通信终端进行网络通信产生网络流量，链路层信标植入调制设备截获终端a发出流量并在流量中植入经过加密链路层信标信息并按照其网络流量原先走向继续转发，链路层信标检测设备位于终端b侧，在测试网络流量到达终端b之前进行截获并开展解调和解密获取链路层信标信息底码。总体技术实施流程如图2所示。具体按以下步骤开展基于分组cbc模式的链路层信标加密方法实施：
45.步骤1：
46.确定要进行植入的链路层信标信息底码，底码为0和1组成的二进制序列流，确定进行网络信标信息加密的初始向量iv和加密密钥。
47.步骤2：
48.构建技术实施环境，终端a和终端b部署在可联通的内网或互联网环境，终端a和终端b可进行网络通信，并产生原始网络流量。
49.步骤3：
50.该步骤为网络信标信息底码加密环节。网络信标加密模块以网络信标底码信息序列、加密初始向量和加密密钥为输入，输出为加密后的网络信标信息。链路层信标加密使用对称加密算法des，并使用cbc模式对网络信标底码信息流进行加密。加密过程首先将网络信标底码数据按照64比特一组进行分组，分组不足64比特用全零数据进行补全；每组网络信标分组与初始化向量iv异或后的结果进行des加密得到密文m1，除第一组初始向量iv采用初始确定的iv，后续分组加密初始向量以前一组密文作为初始向量。具体加密流程如图3所示。
51.步骤4：
52.链路层信标植入调制模块截获终端a发出的目标网络流量，将加密后链路层信标信息序列通过链路层信标植入调制模块植入网络流量，并将植入链路层信标流量重新发往终端b。
53.步骤5：
54.链路层信标解调模块截获终端a发出的携带加密后链路层信标信息的网络流量，通过解调获取加密的链路层信标信息序列。
55.步骤6：
56.该步骤为网络信标信息底码解密环节。网络信标解密模块以解调后加密网络信标信息序列、加密初始向量和加密密钥为输入，输出为解密后的网络信标信息。链路层信标解
密使用对称加密算法des，并使用cbc模式对网络信标加密信息流进行解密。解密过程首先将解调后的信息序列按照64比特一组进行分组；每组信息分组与初始化向量iv异或后的结果进行des解密得到网络信标底码分组m1，除第一组初始向量iv采用初始确定的iv，后续分组解密初始向量以前一组密文作为初始向量。具体解密流程如图3所示。
57.步骤7：
58.将解密后的信息分组进行拼接，去除末尾的填充数据，得到链路层信标底码。图4为本发明的网络信标信息解密流程图。
59.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。