[发明专利]一种基于核心网络的数据秘密共享系统及方法

说明书

技术领域

本发明涉及隐私保护、隐蔽通信、匿名通信领域，尤其涉及一种基于核心网络的数据秘密共享系统及方法。

背景技术

近年来，Internet逐渐成为人们日常生活和娱乐的重要工具。然而，随着Internet的发展，以及人们对于隐私保护的追求，网络监视也得到了越来越多的关注，对人们网络行为的审计与分析给人们的通信安全和个人隐私带来了极大的威胁。

长久以来，匿名通信系统成为一种有效的保护用户隐私方式，然而，研究表明，检测并并发现传统的匿名通信系统（例如Tor）服务节点并不困难。因为这些匿名通信系统往往依赖于入口节点的分发，而这些入口节点指纹特征又极易被敌手发现。另外，传统的匿名通信系统对加密通道的使用，也会使其容易引起敌手的怀疑，更糟糕的是，这些匿名通信系统往往具有特定的通信特征和流量模式，敌手可以以此识别匿名通信行为并进行处理。

传统的隐蔽通信信道主要有两种：基于存储的隐蔽信道和基于计时的隐蔽信道两种类型.存储隐蔽信道主要是将隐蔽信息寄居于各种协议的数据包的掩体信息中。为了实现隐蔽传输，一般将信息附加在不常用的数据段中，包括未用的IP头字段(TOS字段、DF和URG位)、IP头的扩展和填充段、IP标识和碎片偏移等。也有的网络存储隐蔽信道将信息隐藏在应用层编码中。更好的方式是利用信息隐藏学将目标信息隐藏于某些掩体信息中。网络时间隐蔽信道则一般利用网络中传输数据包的时间特性来表示信息,这些时间特性包括数据包的发送/到达时刻、间隔时间等。

发明内容

本发明所要解决的技术问题是针对现有匿名通信技术的不足，提供一种基于核心网络的数据秘密共享系统及方法。

本发明解决上述技术问题的基本思路如下：在信息发布端和信息接收端之间的核心网络中部署转发路由器，信息发布端、转发路由器和信息接收端通过带外方式协商共享秘钥，信息发布端利用共享秘钥将目标信息加密，冗余编码，进而隐藏到掩体信息（普通的网络资源，如文本、图片、视频等）中，信息发布端生成密标，并封装在特定网络应用协议的协议头中，通过特定网络应用协议将掩体信息发布到特定网络应用中；转发路由器一般部署在某一个大的网络社区出入口路由上，如某一个高校的出口路由，一旦位于该路由器后面的普通用户搜索并下载特定网络（如P2P）网络上流行的资源，则该用户充当一个掩体用户，该用户下载的资源流经转发路由器，转发路由器对其进行检测，如果包含密标，则做镜像，将原数据发送给普通用户，将复制的数据发送给真正的信息接收端。

具体实现包括如下步骤：

步骤1：在信息发布端和信息接收端之间的核心网络中部署转发路由器；

步骤2：信息发布端将待发送的目标信息进行加密、冗余编码处理，进而隐藏到一系列掩体信息中；

步骤3：信息发布端生成密标，并将其封装到特定网络应用协议的协议头中；

步骤4：将嵌有密标的应用协议和掩体信息封装成网络数据包，并将该网络数据包发布到特定网络应用中；

步骤5：无辜用户在特定网络应用中搜索并下载感兴趣的信息，所下载的网络数据包要流经核心网络的转发路由器；

步骤6：转发路由器检测接收的网络数据包的应用协议头中是否包含密标，如果不包含密标，则表明该网络数据包中不包含掩体信息，执行步骤7；如果包含密标，则表明该网络数据包中包含掩体信息，执行步骤8；

步骤7：将接收的网络数据包直接转发给无辜用户，结束；

步骤8：复制网络数据包，将原网络数据包发送给无辜用户，将复制的网络数据包通过后台服务器发送给真正的信息接收端；

步骤9：信息接收端提取隐藏分片网络数据包中掩体信息中的文件分片，对提取的若干文件分片进行冗余编码处理，获取目标信息的密文，解密密文获得目标信息，结束。

本发明的有益效果是：信息发布端将待发送的目标信息隐藏在掩体信息中，将掩体信息发布到特定网络应用中，当有无辜用户下载特定网络应用中的资源时，下载的信息流经转发路由器，转发路由器识别下载的信息是否为带有密标的掩体，如果是则复制掩体信息，将原掩体信息发送给无辜用户，将复制的掩体信息通过后台服务器发送给真正的信息接收端；上述隐蔽握手过程只需要信息的发布端和路由器参与，不需要信息接收端参与，这种方式在提高隐蔽通信效率的同时，也增加了敌手检测的难度，并且将待发送的目标信息隐藏在掩体信息中，提高信息传输的隐蔽性。

在上述技术方案的基础上，本发明还可以做如下改进。