一种检测短密文的方法和设备与流程

本发明属于信息系统安全测评领域，具体为一种检测短密文的方法和设备。

背景技术：

2019年5月10日，国家标准化管理委员会发布了多个信息安全技术领域的等级保护国家标准，包括《gb/t22239-2019信息安全技术网络安全等级保护基本要求》、《gb/t25070-2019信息安全技术网络安全等级保护安全设计技术要求》、《gb/t28448-2019信息安全技术网络安全等级保护测评要求》等。这些标准自2019年12月1日起实施。

在这些国家标准中，规范了信息系统应采取的信息安全保护措施，其中，许多条款中都强调了使用加密认证技术。例如，在《gb/t28448-2019信息安全技术网络安全等级保护测评要求》的8.1.2节安全通信网络中，条款8.1.2.2.2对测评实施内容要求包括：应核查是否在通信过程中采取保密措施，具体采用哪些技术措施，应测试验证在通信过程中是否对数据进行加密。本发明给出的方法就是如何有效测试是否在通信过程中对数据进行了加密。从事安全测评的服务机构，必须有相关设备和方法进行该项条款的测试。

如果用户提供了用于数据加密的密钥，则该项测试很容易进行，直接对样品数据进行解密即可。在此情况下，用户提供的样品数据一般也包括明文数据。因此，测试过程就是使用用户提供的密钥对密文进行解密，然后与明文比对，就能判断密文是否正确。这种测试不但可以确定是否对数据采取了加密处理，而且知道使用的是哪种加密算法。这种安全测试称为加密合规性测试。

但是，用户提供的用于测试的数据未必是实际应用系统中产生的数据，因此测试结果的可信性就大大降低。而对于实际应用中产生的数据，用户一般不愿意提供真实的加密密钥。因此，在没有加密密钥的情况下，如何检验一段数据是否为密文，是安全测评的重要功能之一，密文即经过加密算法处理的数据。

对传统的信息系统，检验一段数据是否为密文，可以通过检验这段数据的随机性来判断。美国国家标准与技术研究院(nist)公布的随机性检验标准中提供了多种不同的随机性检验方法，包括频率检验(检验0与1出现的频率是否接近)、块内频数检验(检验某一块字段出现的频率是否与其他同样长度的字段出现频率接近)、游程检验(检验不同长度的0-游程和1-游程个数是否接近)、块内最长游程检验(检验最长游程)、二元矩阵秩检验、离散傅立叶变换检验、非重叠模块匹配检验、重叠模块匹配检验、maurer通用统计检验、lempel-ziv压缩检验、线性复杂度检验、近似商检验、累加和检验、随机游动检验等。国家密码管理局公布的国家标准《gb/t32915—2016信息安全技术二元序列随机性检测方法》中也提供了多种随机性检验方法。但是，所有这些方法都需要有一定数量的样本数据。样本数据越大，检测结果越准确，否则越不准确。除了频率检验和最大游程检验要求至少需要100比特的数据样本外，其它检验方法一般需要1000比特甚至更多的数据才能给出较为准确的检验结果，有的检验方法要求更大的数据样本，例如重叠模块检验需要至少100万比特的数据样本。

但是，对物联网应用系统的数据来说，可能应用数据小于这些随机性检测方法要求的最低下限。例如抄表数据，传感器数据等，除了传输数据的通信协议所必有的协议头和相关辅助数据字段外，真正反映抄表读数的数据或传感器捕获的环境数据很小，只需要少数几个字节就够了。在这种情况下，传统的随机性检测方法的可靠性非常低，虚警率和漏报率都很高，即密文数据被误判为不满足随机性要求，或明文数据被误判为满足随机性要求，在安全测评中，测评结果的虚警率要尽量低，因为虚警意味着本来采取了加密措施的数据，结果不能通过测试，说明测试工具有问题。当然，漏报率也要尽可能的低，但相对虚警率来说，对漏报率的容忍性要高于虚警率。安全测评的目的是避免如下情况的发生：(1)一个物联网应用系统没有提供数据加密功能，但宣传其有此功能，误导用户；(2)一个物联网应用系统提供了数据加密功能，但用户在使用过程中因操作不当或不会操作，而没有实际启动这种功能；(3)一个物联网应用系统提供了数据加密功能，用户也知道如何使用这种功能，但考虑到数据加密对性能的影响，或者其他因素，用户选择性地没有实际启动这种功能，不符合所在行业对数据安全的要求(如国家电网系统)。

但是由于密文的特点是随机性强，接近随机数，在没有密钥的情况下，对数据样本是否为密文的检验，实际是对数据样本的随机性检验，但传统的随机性检验方法需要一定量的数据大小，而许多物联网行业应用数据很小，远远达不到传统随机性检测方法所要求的最小数据量，从而导致检测出现困难。

技术实现要素：
：

本发明的目的就在于为了解决上述问题而提供一种检测短密文的方法和设备，解决了背景技术中提到的问题。

为了解决上述问题，本发明提供了一种技术方案：

一种检测短密文的方法，包括以下步骤：

s1、获取目标信号源输入的数据样本data1，data2，...，datan，并假定这些数据样本的长度相同，都是m比特；

s2、同时根据实际应用设置一组误差允许值t0，t1，t2，...tk；

s3、检验每个原始数据样本出现的次数是否大于平均出现的次数+t0，若是，则判定结果为非密文，输出结果，否则继续执行；

s4、将每个数据样本数据均等的一分为二，分别记为data10，data11，data20，data21，...，datan0，datan1，然后将数据样本分为集合a＝{data10，data20，...，datan0}和集合b＝{data11，data21，...，datan1}；

s5、接着将集合a代入步骤s3中，同时检测m的值是否大于1，若m大于1时，将a中的数据样本代入步骤s4，并如此反复循环，直至得到m＝1的情况出现；

s6、然后将集合b代入步骤s3中，同时检测m的值是否大于1，若m大于1时，将b中的数据样本代入步骤s4，并如此反复循环，直至得到m＝1的情况出现；

s7、当检测到步骤s5与步骤s6中都出现m＝1的情况，且检验过程没得到判定结果时，则判定结果为密文，并输出判定结果。

作为优选，所述步骤s4中data10，data20，...，datan0记为datai0，且所述datai0的长度为m/2。

作为优选，所述步骤s4中data11，data21，...，datan1记为datai1，所述步骤s4中datai1的长度为m-(m/2)。

作为优选，所述步骤s4中将数据样本分为集合a与集合b的同时需要设置误差允许值t1。

作为优选，所述步骤s5中集合a中数据的长度为m/2。

作为优选，所述步骤s6中集合b中数据的长度为m-(m/2)。

一种检测短密文的设备，包括：

数据捕获模块，用于捕获被检测的目标数据；

数据解析模块，用于从捕获的数据中提取用于检验的数据片段；

随机性检验模块，用于检测样本数据的随机性；

测评报告模块，用于根据所述随机性检测模块的检测结果，以及不同应用环境对应的不同参数，出具测评报告。

作为优选，所述数据捕获模块的输出端与数据解析模块的输入端电性连接，所述数据解析模块的输出端与随机性检验模块的输入端电性连接，所述随机性检验模块的输出端与测评报告模块的输入端电性连接。

本发明的有益效果是：本发明通过将多个数据样本进行纵向排列，然后切断进行检验，从而适用于数据样本小的物联网应用环境，并且能够识别高位与低位数字随机性不同的特性，从而快速准确的将整体上看似随机但局部随机性很差的数据与密文数据区分开来，进而以低误报率和低虚警率判断短数据样本的随机性。

附图说明：

为了易于说明，本发明由下述的具体实施及附图作以详细描述。

图1是具有多级误差允许值的随机性检验流程图；

图2是本发明检测短密文的设备模块图；

图3是本发明随机性检验流程图。

具体实施方式：

如图1-3所示，本具体实施方式采用以下技术方案：

实施例：

一种检测短密文的方法，包括以下步骤：

s1、获取目标信号源输入的数据样本data1，data2，...，datan，并假定这些数据样本的长度相同，都是m比特；

s2、同时根据实际应用设置一组误差允许值t0，t1，t2，...tk；

s3、检验每个原始数据样本出现的次数是否大于平均出现的次数+t0，若是，则判定结果为非密文，输出结果，否则继续执行；

s4、将每个数据样本数据均等的一分为二，分别记为data10，data11，data20，data21，...，datan0，datan1，然后将数据样本分为集合a＝{data10，data20，...，datan0}和集合b＝{data11，data21，...，datan1}；

s5、接着将集合a代入步骤s3中，同时检测m的值是否大于1，若m大于1时，将a中的数据样本代入步骤s4，并如此反复循环，直至得到m＝1的情况出现；

s6、然后将集合b代入步骤s3中，同时检测m的值是否大于1，若m大于1时，将b中的数据样本代入步骤s4，并如此反复循环，直至得到m＝1的情况出现；

s7、当检测到步骤s5与步骤s6中都出现m＝1的情况，且检验过程没得到判定结果时，则判定结果为密文，并输出判定结果。

其中，所述步骤s4中data10，data20，...，datan0记为datai0，且所述datai0的长度为m/2。

其中，所述步骤s4中data11，data21，...，datan1记为datai1，所述步骤s4中datai1的长度为m-(m/2)。

其中，所述步骤s4中将数据样本分为集合a与集合b的同时需要设置误差允许值t1。

其中，所述步骤s5中集合a中数据的长度为m/2。

其中，所述步骤s6中集合b中数据的长度为m-(m/2)。

一种检测短密文的设备，包括：

数据捕获模块，用于捕获被检测的目标数据；

数据解析模块，用于从捕获的数据中提取用于检验的数据片段；

随机性检验模块，用于检测样本数据的随机性；

测评报告模块，用于根据所述随机性检测模块的检测结果，以及不同应用环境对应的不同参数，出具测评报告。

其中，所述数据捕获模块的输出端与数据解析模块的输入端电性连接，所述数据解析模块的输出端与随机性检验模块的输入端电性连接，所述随机性检验模块的输出端与测评报告模块的输入端电性连接。

实施例一：在某个工业用电检测数据中，测得不同设备a相电压的值(原始数据带小数点，放大相同倍数去掉小数点用于检测)为：1430，1850，490，1240，2012，998，922，598，635，948，2383，2444，2356，2347，2477，2360，2344，2477，2354，2371。将这些数据转化为二进制表示，得到10110010110,11100111010,111101010,10011011000,11111011100,1111100110,1110011010,1001010110,1001111011,1110110100,100101001111,100110001100,100100110100,100100101011,100110101101,100100111000,100100101000,100110101101,100100110010，100101000011.

将这些二进制表示连接成一个序列，则得到1011001011011100111010111101010100110110001111101110011111001101110011010100101011010011110111110110100100101001111100110001100100100110100100100101011100110101101100100111000100100101000100110101101100100110010。这个序列的随机性相对较好。

但如果将这些二进制表示分别纵向排列，形成一个矩阵，并在高位适当添加0，使其具有相同的长度，则得到如下阵列。

010110010110

011100111010

000111101010

010011011000

011111011100

001111100110

001110011010

001001010110

001001111011

001110110100

100101001111

100110001100

100100110100

100100101011

100110101101

100100111000

100100101000

100110101101

100100110010

100101000011

使用本发明提出的随机性检测方法不难发现，上述阵列的随机性很差。不难发现，虽然最高位的0与1均衡性较好，但经过几次分割后，高3位数字出现的比例与随机数据偏差严重，其中字符串“100”出现了10次，占20个数据样本的50％，字符串“001”出现了5次，占20个数据样本的25％。在理论上，每个数据样本出现的次数为(1/23)*20＝2.5次左右。如果将偏差允许值t设为2，则在高3位数据字段上有两个报警字段；如果将偏差允许值t设为4，则在高3位数据字段上有一个报警字段，仍能得到随机性不符合密文要求的结论；

实施例二：在某种物联网应用的业务数据中，指令数据虽然只有一个字节的长度(即8比特)，但仍然应该被加密后传输。如果这类数据没有被加密，则根据这些指令的性质知道，指令的最后4比特被用于定义不同的指令，指令的最高2位被用于定义版本号，指令的第3位和第4位是预留的，很可能在被测评的应用系统中没有定义，因此，检测数据样本这两位的随机性检验最有效。在这种情况下，测评设备需要具有提取数据样本对应位(该例中是第3位和第4位)数据的功能。

在本发明的描述中，需要理解的是，术语“同轴”、“底部”、“一端”、“顶部”、“中部”、“另一端”、“上”、“一侧”、“顶部”、“内”、“前部”、“中央”、“两端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，术语“第一”、“第二”、“第三”、“第四”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量，由此，限定有“第一”、“第二”、“第三”、“第四”的特征可以明示或者隐含地包括至少一个该特征。

在本发明中，除非另有明确的规定和限定，术语“安装”、“设置”、“连接”、“固定”、“旋接”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。