一种基于时间戳的数据块关联加密算法的实现.pdf
《一种基于时间戳的数据块关联加密算法的实现.pdf》由会员分享,可在线阅读,更多相关《一种基于时间戳的数据块关联加密算法的实现.pdf(5页珍藏版)》请在咨信网上搜索。
1、一种基于时间戳的数据块关联加密算法的实现郝光烨1康前望引张渝洲康瑞明李晓孺?1.陕西省公安厅2.西安前观测控技术有限公司摘要:随着5G通信技术的快速普及,万物互联的时代即将来临。数据资源的数量和价值越来越大,也令数据安全问题日益突出。黑客攻击、视频伪装、拒绝服务(DoS)等数据攻击手段严重威胁到国家、社会及个人的信息安全。尤其是在通信领域普遍采用PON(Pa s s iv e O p t ic a lNe t w o r k 无源光纤网络)标准的情况下,数据安全更难于保证。为此,借用区块链技术中的数据关联和去中心化概念,创新了“一种基于时间戳的数据块关联加密算法”(专利号:ZL20191030
2、3673.7),并根据该算法研制了一套安全通讯路由设备,简称SCR(Se c u r e C o m m u n i c a t i o nRouter)。尝试通过数据关联的方法,为数据通信提供安全保障。关键词:时间戳区块链DH算法伪随机密码表(PRCT)SCR引言随着5G通信技术的快速普及,万物互联的时代即将来临。无线通讯技术的发展和计算机技术的进步,给数据通信安全带来了新的挑战,数据伪装、中间人攻击、拒绝服安全联盟(SA)SSHCBCCCMIP第三方数字证书安全服务器源通信加密加密设备认证申请数据数据图1现有安全通信机制302.11数字证书加密加密原密销数据数据提手日标通信设备务(DoS)
3、、重放性攻击等给数据通信安全带来了新的威胁。0-2934在已有的通信安全解决方案中,SSH(R FC 42 51,SecurityShell安全壳协议)是较常用的选择,它主要针对数据块本身采取安全措施如图1所示 2,如CBC(C i p h e r Bl o c kChaining,密码分组链接)模式等。但它指出“由于数据序列的开头的高可预测性,这种模式理论上对选择密文攻击(C h o s e n C i p h e r-t e x t A t t a c k)是脆弱的。”(RFC 42519.3.1条)3;又如“预期在某些时候使用本协议时,将不首先对服务器主机密钥和名称的关联进行检验。这种用
4、法对中间人攻击是脆弱的。”(RFC42519.3.4条)3;还有“此外,本协议对拒绝服务攻击是脆弱的,因为攻击者可以在没有认证的情况下,迫使服务器执行建立连接与秘钥交换的CPU和内存的密集型任务。”(RFC42519.3.5条)。针对这些问题,2 0 0 3年CCMP(R FC 36 10,C o u n t e r w it hCBC-MAC,计数式密码分组链接)协议给出了一种解决方案,即在数据帧之间加入计数值,使之相互关联起来,以防止中间人攻击,协议顿格式如图2 所示。然而由于计数值PNOPN5是公开传输的,具有可预测性,其对“选择密文攻击”仍然是脆弱的。CcMHeade512图2 CCM
5、P的顿格式一、概述为此,笔者借用区块链技术中的数据关联和去中心化概念,创新了“一种基于时间戳的数据块关联加密算法”回(专利号:ZL201910303673.7),并根据该算法研制了一套安全通讯路由设备,简称SCR(Se c u r eCommunicationRouter)。通过综合运用非对称密钥、时间戳、CRC和伪随机密码表集(PRCTs:Ps e u d o-R a n d o mCipherTables),为通信链路提供安全保障。具体内容为:以非对称密钥交换算法DH(D iffie-H e llm a nAlgorithm),保证通信对象的真实性;以附加由“时间戳”、加密数据帧CRC和密
6、钥Q杂凑而成的数字证书,实现对传输数据的逐确认,保证通信过程中的数据完整性;PoliceTechnology2023年第4期59网络安全利用一组PRCT对传输数据进行加密,解决数据传输的私密性问题,如图3所示。含时间戳的数学证书源通信加密n设备数据本算法适用于通信双方点对点通讯,数据安全由通信双方自我保证,无须第三方干预,通讯全程无密钥传递,可实现“零信任”环境下的数据安全通信。二、算法结构及工作原理(一)算法结构本算法将通信双方定义为客户端(SCRc)和服务器端(SC R s),通过SCR形成一条安全通讯链路,为通信双方提供身份认证、数据完整性和数据私密性服务。SCR的安全联盟(SA,R F
7、C 2 40 9:T h e I n t e r n e t K e y E x c h a n g e 互联网密钥交换)由以下四个参数组成:DH算法形成的密钥Q、时间戳、加密数据帧CRC校验码和PRCTS。算法流程如图4所示。加密和解断方已知数据发遇编索数人台然数B生城随机数X+(数区时四形度动段E(Q+CRC)数据区映射替换数据区时间载+1图4SCR算法流程图本算法利用DH算法为通信双方提供非对称密钥,确保通信对象的真实性。非对称密钥交换的安全性在于在建立网络链接过程中,通信双方在密钥交换时,网络中并不传递密钥本身,而仅传送DH算法产生的中间值M、N。但在多方通信环境中,DH算法的参数A、
8、B(如图5所示)属于通信各方的公钥,易于受到中间人攻击,密钥Q的安全难以保证。但在去中心化的点对点通信中,该参数仅是通信双方的公钥,对第三方而言,A、B即成为他人无法掌握的私钥。侦听者无法从通讯链路中获取完整的密钥Q,从而能确保密钥安全。通信双方利用私钥对M和N进行解密处理,即可确认通信对象的真实性。加密3加密2加密DH密创数据数据图3SCR的通信机制加密后数据收目标通数据拥手数据接收端生成装机数Y按收数据区相数据区映时解密邢成字段洁ZZ2-CHC(数据区-时间载+N)Z+Q-E1更新时解藏不配,数解快不安全,报信设备通信对象确认后,即可启动数据传输。此时,本算法将为每个传输的数据帧附加一个数
9、字证书E。E 由密钥Q、时间戳、加密数据帧CRC校验码杂凑而成,对用户的传送数据提供完整性保护。由于密钥的私密性,时间戳起始点的可选择性和CRC的随机性,避免了初始数字证书的高可预测性(0 号地址的易选择性),使得破解数字证书失去了数学上的可能性。一旦数字证书不能被正确解读,则意味着数据的完整性遭到破坏,一个报警机制将被触发。如此,本算法为通信数据提供了一种逐确认的完整性保护,其保护强度超过SSH及CCMP协议的要求。为解决通信数据的私密性问题,本算法使用了PRCT方法。该方法是数据加密的一种传统方法。由于其一对一映射的唯一性,故而加密强度较弱。为解决这一问题,首先选择一个2 字节的密码表对明
10、码进行异或变换(参照GM/T0002SM4分组密码算法中的Sbox),再针对不同序号的数据帧使用不同的PRCT(如图5所示),如此令数据源码和密码之间在同一取值域内失去了一一对应的映射关系,提高了PRCT的安全性。此外,可以对加密操作做去形式化处理,使加密操作仅针对用户数据,而不针对协议数据,使得攻击者无法通过对协议数据的形式化分析破解PRCT。数据懒1+PRCT1工数据模2PRCT2工数据顿3数据赖图5伪随机密码表集(PRCTs)的使用(二)SCR设备工作原理SCR是实现上述算法的安全通讯路由设备,其工作原理如图6 所示。SCR设备连接如图7 所示。D素数算法密朝自然数B任意自然数XQ时间戳
11、,2”加CRC密PRCTi用户数据PRCT3PRCTn通借数据敏构成不匹配数字卜证证书书匹配负CRC图6 SCR设备加解密过程图报警素数自然数目任意自然数时间载,2*计PRCTi算60警察技术2 0 2 3年第4期IPIPTP需要用户自己提供安全保护的通讯链路图7 SCR设备连接示意图1.通信对象真实性的保证SCR的应用场景是去中心化的点对点通信。如图4所示,素数A和自然数B是SCRc和SCRs的公钥,而X、Y则分别是SCRc和SCRs的私钥。由于A、B、X、Y并不在通信链路中传输,他人无法通过侦听等手段获取这些参数,因此相对第三方是安全的。在身份认证时,SCRc和SCRs双方通过交换由DH算
12、法产生的中间值M、N,计算密钥Q和Q,进行身份确认并获得密钥,不依赖于第三方。DH算法的证明如下:设:素数A,自然数B,随机自然数X、Y,且X1,Y1其中:SCRc计算M=B*modASCRs计算N=BmodASCRs收到M计算Q=MmodASCRc收到N计算Q=NmodA以(1)、(2)代入(3)可得(4)即:Q=MmodA=(B*modA)modA=(BmodA)modA=(BmodA)modA=NmodA=Q所以Q=Q,Q 和Q即分别为SCRc和SCRs的密钥。2.通信数据完整性的保证SCR给通信数据附加了由当前加密数据帧CRC、时间戳、密钥Q杂凑组成的数字证书,其中时间戳可由通信双方约
13、定起始点(避免入侵者通过时间戳的顺序特征破解密钥)。由于SCR通信的同步性,时间戳可由SCRc和SCRs内部记录而无须在通信链路中传输,因此,数字证书的3个组成部分中,只有加密数据帧CRC被实时传输。从数学角度讲,入侵者无法通过CRC一个参数破解由三个参数组成的数字证书。假设时间戳采用6 个字节(2 4),则以千兆网条件下每秒1,953,12 5帧的最高传输率计算,其重复周期T等于:T=24=19531253600-24-3654.57(年)重复周期超过四年半,可有效防止“重放”网络攻击。数字证书附加在每个数据帧之上,从而实现传输数据汇汇LSCRC安全通讯楚路受SCR保护的安全通讯魅路的逐帧确
14、认,彻底杜绝“中间人”的非法数据插入攻击。PSCRs需要用户自已提供安全保护的通讯链路(1)(2)(3)(4)3.通信内容私密性的保证SCR提供多个PRCT对通信中的数据帧加密。首先,利用Sbox对明码数据进行一次异或()运算转为密码数据,目的是消除利用特征数据破解密码的“选择密文攻击”,再通过计算机地址-数据一对一映射的特点,构建由2 字节组成的PRCT,如图8 所示。ojnF0imF图8 PRCT的数据结构算法如下:设:明码数据字节A,Sa E Sb o x 为与A对应的加密字节,加密后的字节为mn,经PRCT转换后的密文为i,且O、F、m、n、i、j 分别为二-十进制数。发送方:mn=A
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一种 基于 时间 数据 关联 加密算法 实现
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。