基于IP分片机制的隐蔽信息通信方法与流程

本发明涉及通信技术领域，特别是一种基于IP分片机制的隐蔽信息通信方法。

背景技术：

随着网络安全越来越受到重视，加密技术被广泛应用到数据通信中。尤其在IP网络，IP密码机的引入，不仅有效防范通信内容被窃取，也有效防止数据包被篡改的可能。在网络对抗中，通过引入加密技术，使得后门、木马等工具无法与外界控制中心取得联系，从而难以达成网络攻击或信息窃取的目的。为了突破上述问题，使得在加密信道下实现网络攻击工具与指挥中心的通信，提出一种基于IP分片机制的隐蔽信息通信方法。

现有的发明专利与利用IP分片机制传递隐蔽信息相关的方法有：发明专利“基于IP分片伪装技术的隐蔽信息通信方法”(申请号：201310334188.9，申请日期2013年8月2日)，该技术通过对IP进行分片，通过在分片包中插入通信数据。当数据包转发过程中，由于篡改了网络数据包，当转发网络对数据包进行完整性校验时，能发现信息传递行为，信息传递的隐蔽性不高。此外，由于对数据包进行了篡改，必须在接收端对包进行还原，即要求接收端必须串接在承载IP的通信路径中，大大增加了攻击难度和被发现的概率。发明专利“基于IP地址的包长度反馈网络隐蔽通信方法”(申请号：201510055266.0，申请日期2015年2月3日)，通过利用IP包地址长度信息映射数据信息，从而构建信息传递的隐蔽通道。方案主要利用发送端构建包相应的信息传递隐蔽包，并在接收端进行解码，其在信息隐蔽方法是可行的；但是，在网络攻防中主动构造数据包并向外发送的行为易被发现。

技术实现要素：

本发明所要解决的技术问题是：针对上述存在的问题，提供了一种基于IP分片机制的隐蔽信息通信方法。

本发明采用的技术方案如下：一种基于IP分片机制的隐蔽信息通信方法，具体包括以下过程，步骤1、在受控IP终端和控制中心之间建立链路；步骤2、将IP包分割为具有固定顺序的m个分片的分片包，所述m个分片的包长不同；步骤3、所述分片包通过加密链路从受控IP终端传递到控制中心进行通信；步骤4、所述控制中心将分片包以原有的固定顺序通过加密链路传递到第二IP终端进行通信。

进一步的，上述进行通信的发起过程为：步骤31、所述分片包的每个分片包长用l_m表示，则用L表示由分片包长组成的向量，有L＝(l₁,l₂,...l_m)，对L中的向量计算差值，令d_k＝l_k-l_k+1，其中k＜m，所述分片包具有m-1个差值，记为向量D＝(d₁,d₂,...d_m-₁)；步骤32、对于n组不同的分片包，则组合成集合C＝(D₁,D₂,...D_n)，其中n为大于等于3的自然数；步骤33、利用集合C中的向量传递序列，实现数据通信。

进一步的，步骤33的具体过程为：步骤331、通信发起端利用n个分片包发起分片序列D₁,D₂,...D_n，其中每一个分片包序列为D_n＝(0,0,...,x,1)，所述每一个分片包中前面m-2个分片的包长不变，最后两个分片的包长变化使最后两个分片的包长差值为1，所述x由倒数第三个分片的包长和倒数第二个分片的包长确定的变量；步骤332、应答接受端收到第一个分片包序列D₁后开始计数和计时，如果应答端连续收到n个分片包满足序列D＝(0,0,...,x,1)，或者收到分片包序列D₁后T时长内收到分片序列D₁,D₂,...D_n，则通讯开始信号发起成功；步骤333、通讯应答端发起序列D₁′,D₂′,...D_n′，其中D_n′＝(0,0,...,1,x′)，最后两个分片的包长变化使倒数第三个分片的包长和倒数第二个分片的包长差值为1，所述x′为最后两个分片的包长确定的变量，如果发起端连续收到n个分片包满足序列D′＝(0,0,...,1,x′)，或者收到分片包序列D₁′后T时长内收到分片序列D₁′,D₂′,...D_n′，则应答信号发起成功；步骤334、发起端接受到应答信号后通讯开始，通讯过程中，通讯双方数据以D″为(1，A，x″)表示，A表示通讯数据，x″为变量；步骤335、通讯结束时，结束方发送D″′为(2,0,...,0,x″′)表示通讯结束，x″′为变量。

进一步的，所述T时长为2小时。

进一步的，在通信建立后，所述T时长由控制中心协商重设。

与现有技术相比，采用上述技术方案的有益效果为：利用IP包长和分片信息无法被加密的特点，突破了IP加密链路中网络对抗工具与控制中心无法通信的问题；通过利用分片机制，无需对IP数据内容进行任何修改，利用包长差值传递信息，相当于利用二阶数据传递通信信息，对数据的传递更具有隐蔽性；同时只要两个包长的差值固定，对包长的任意改变都不影响信息传递；利用二阶数据传递通信信息可以实现将加密封闭网络中的信息向外传递，在网络对抗中可以利用该机制对加密网络中的攻击发起执行命令和执行信息，突破加密信息壁垒。

附图说明

图1是本发明基于IP分片机制的隐蔽信息通信原理框架图。

图2是本发明本发明通信发起原理图。

具体实施方式

下面结合附图对本发明做进一步描述。

如图1所示为控制中心和受控IP终端以及IP终端2之间加密链路的通信过程，步骤1、在受控IP终端和控制中心之间、IP终端2和控制中心之间建立加密链路；步骤2、将IP包分割为具有固定顺序的2个分片的分片包,即依次为分片2和分片1，所述分片2和分片1的包长不同,分别为包长a和包长b；步骤3、所述分片包通过加密链路从受控IP终端传递到控制中心进行通信；步骤4、所述控制中心将分片包以原有的固定顺序即依次为分片2和分片1的顺序通过加密链路传递到IP终端2进行通信。由于IP链路采用加密链路，因此任何IP包都被加密，IP终端的任务执行程序无法通过常规IP柜与控制中心进行通信，本实施例中利用IP包的分片机制，对输出的IP包进行分配，分割为包长不同的分片2和分片1进行传递；由于IP协议中，分片包在接收端需要被重组，本方案分片包的分片具有固定顺序，解决了分片包乱序的问题。

本实施例中利用分片包中分片包长的差值传递信息，相当于利用二阶数据进行通信。步骤31、所述分片包的每个分片包长用l_m表示，则用L表示由分片包长组成的向量，有L＝(l₁,l₂,...l_m)，对L中的向量计算差值，令d_k＝l_k-l_k+1，其中k＜m，所述分片包具有m-1个差值，记为向量D＝(d₁,d₂,...d_m-₁)；步骤32、对于n组不同的分片包，则组合成集合C＝(D₁,D₂,...D_n)，其中n为大于等于3的自然数；步骤33、利用集合C中的向量传递序列，实现数据通信。利用分片机制，无需对数据包数据进行改动，因此行为更具有隐蔽性；利用分片包长的差值传递信息，相当于利用二阶数据进行通信，比如将信息从IP终端1传递到控制中心或者将信息从控制中心传递到IP终端2，使信息传递过程的隐蔽性更强。

如图2所示为具有3组不同的分片包的实施例，即n取3，步骤33的具体过程为：步骤331、通信发起端利用3个分片包发起分片序列D₁,D₂,D₃，当受控IP终端向控制中心发送信息时受控IP终端是发起端，当控制中心向受控IP终端发送信息时控制中心是发起端，其中每一个分片包D₁、D₂和D₃序列格式均为D＝(0,0,...,x,1)，所述每一个分片包中前面m-2个分片的包长不变，最后两个分片的包长变化使最后两个分片的包长差值为1，所述x由倒数第三个分片的包长和倒数第二个分片的包长确定的变量，例如一个分片包的前面m-2个分片的包长均为1500字节，要使最后两个分片的包长差值为1，在满足总字节的基础上将最后两个分片的包长依次设置为1000和999，则x的值的确定方法为：1500减1000等于500字节；步骤332、当受控IP终端向控制中心发送信息时控制中心是应答端，当控制中心向受控IP终端发送信息时受控IP终端是应答端，应答接受端收到第一个分片包序列D₁后开始计数和计时，如果应答端连续收到3个分片包满足序列D＝(0,0,...,x,1)，或者收到分片包序列D₁后T时长内收到分片序列D₁,D₂,D₃，则通讯开始信号发起成功；步骤333、通讯应答端发起序列D₁′,D₂′,D₃′，其中D₁′、D₂′和D₃′的序列格式为D′＝(0,0,...,1,x′)，最后两个分片的包长变化使倒数第二个分片的包长和倒数第三个分片的包长差值为1，例如前面m-2个分片的包长均为1500字节，最后两个分片的包长分别为1499和500，使倒数第三个分片的包长和倒数第二个分片的包长差值为1，倒数第二个分片的包长和倒数第一个分片的包长的差值为999，如果发起端连续收到,3个分片包满足序列D′＝(0,0,...,1,x′)，或者收到分片包序列D₁′后T时长内收到分片序列D₁′,D₂′,D₃′，则应答信号发起成功；步骤334、发起端接受到应答信号后通讯开始，通讯过程中，通讯双方数据以D″为(1，A，x″)表示，A表示通讯数据；步骤335、通讯接受是，结束方发送D″′为(2,0,...,0,x″′)表示通讯结束。

所述T时长为2小时。在通信建立后，所述T时长由控制中心协商重设。

本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员，在不脱离本发明的精神所做的非实质性改变或改进，都应该属于本发明权利要求保护的范围。