[发明专利]基于分组CBC模式的链路层信标加密方法

说明书

本发明公开了一种基于分组CBC模式的链路层信标加密方法，其步骤包括：网络信标在链路层实现，因此网络信标即是链路层信标，在链路层使用基于密文分组链接CBC模式的对称加密算法DES，对链路层信标底码信息流进行加密；对于链路层信标解密，使用与加密过程相同的初始向量、加密密钥和对称加密算法DES，并使用CBC模式对链路层信标信息流进行解密，得到解密后的网络信标的底码。本发明引入基于分组CBC模式的网络信标加密方法，在网络信标信息底码分组内容相同的情况下，经过加密后的密文分组内容完全不同，使得攻击者更加难以洞悉网络信标信息序列内容，阻止其对植入的网络信标进行深入分析，更好隐藏和保护链路层信标原始信息内容。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于分组CBC模式的链路层信标加密方法。

背景技术

目前，在针对网络攻击活动的主动追踪溯源技术领域，尤其是对采用TOR等具有加密变换特性匿名网络攻击行为的追踪溯源，网络信标技术是目前相对常用的一种技术手段。但攻击者针对网络安全防御方的追踪溯源亦不断升级其反追踪溯源技术，甚至对网络包标记、链路层信标等技术手段进行反侦察、解析和破坏，以对抗网络防御方对攻击行为的主动追踪溯源。现有网络信标技术中存在的易导致攻击者实施反追踪溯源的技术薄弱点主要包括：

1)现有网络信标技术一般未采用加密技术对网络信标信息进行保护，攻击者通过流量分析和编码分析可以获得网络信标信息植入调制的规律，并可进一步还原出链路层信标信息内容，从而可进行针对性的反追踪。

2)网络信标的植入调制过程中，往往是对一段网络信标标志信息不断重复发送，易导致攻击者发现网络流量中嵌入的网络信标信息，并对其进行还原分析。

发明内容

针对目前链路层信标技术在对抗网络信标信息底码分析上所存在的问题，本发明公开了基于分组CBC模式的链路层信标加密方法，以增强网络信标信息的隐蔽性，确保在对网络攻击行为的主动追踪溯源过程中对主动植入网络信标信息的保护。

本发明首先引入网络信标信息序列加密技术，以隐藏链路层信标原始信息内容，使得攻击者无法洞悉网络信标信息序列内容，阻止其对网络防御方植入的网络信标信息进行深入分析。为克服链路层信标信息重复发送导致网络信标易被发现和分析的特点，引入基于分组CBC模式的网络信标加密方法，在网络信标信息多次重复植入发送的情况下，保证加密后的网络信标信息不会内容重复，具有随机特性。

本发明提出基于分组CBC模式的链路层信标加密方法，以增强网络信标信息的隐蔽性和保密性，确保在主动追踪溯源过程中对植入网络信标信息的保护。基于分组CBC模式的链路层信标加密方法的核心是实现对链路层信标信息的加密植入和解调解密。

本发明公开了一种基于分组CBC模式(密文分组链接模式)的链路层信标加密技术，其步骤包括：

S1，网络信标的加密植入；网络信标在链路层实现，因此网络信标即是链路层信标，在链路层使用基于密文分组链接CBC模式的对称加密算法DES，对链路层信标底码信息流进行加密，其具体过程包括：

S11，确定64比特的初始向量IV和用于对称加密算法DES的64比特加密密钥；

S12，网络信标植入调制前，将设定的链路层信标的底码信息流转化为二进制流，若是需要重复发送链路层信标底码信息时，需按重复次数将链路层信标的底码信息流拼接在一起，形成连续底码；

S13，将网络信标信息数据按照64比特一组进行分组，得到n组数据P1、P2、......、Pn，若网络信标信息数据总数不是64的整数倍，用全零数据对网络信标信息数据进行补全，使其总数为64的整数倍；