[发明专利]基于分组纵向随机剖分与路径分离传输的保密通信方法

说明书

本发明公开了一种基于分组纵向随机剖分与路径分离传输的新型高安全保密通信方法，采取分组纵向随机剖分与分离路径传输控制的安全机制来防止敌手通过监听获取完整的密态IP报文，通过影子IP子网机制和三段安全中继隧道的封装传输来隐藏原始IP报文的真实IP地址，使敌手很难通过监听通信数据内容猜测出真实的通信用户。本发明设计的新型高安全保密通信方法，能够在公共互联网上以较低的投资代价建立高安全的保密通信VPN网络，能够防御各种监听手段的安全威胁，并且能够非常有效地对抗具有强大运算能力的量子计算机的破译分析攻击，既可作为机密通信的安全VPN使用，也又可作为具有较高安全需求的商用保密通信的安全VPN使用。

技术领域

本发明涉及一种基于分组纵向随机剖分与路径分离传输的保密通信方法。

背景技术

目前，发达国家都在积极研发量子计算机，预计几年之内将很可能会出现真正意义的大型量子计算机。由于量子比特之间具有叠加与纠缠特性，使得量子计算机的计算能力能够随着量子比特数的增加而呈现指数级的增长，量子计算将对基于传统的组网模式与传输方式的保密通信形成巨大的安全威胁。

在现有的公共互联网中，各种网络设备总是存在一些安全漏洞，容易被敌手通过网络攻击手段植入监听木马，很容易获取VPN子网之间的通信数据。而且即使VPN子网之间基于专用的光缆直接连接，光纤中传输的光信号也容易被监听，通过解码复原出VPN通信数据。

在现有的VPN保密通信网中，在源IP子网接入的密码网关与目的IP子网接入的密码网关之间，采取公共互联网直接建立加密通信隧道连接的模式，即源VPN与目的VPN之间在逻辑上是“直接连接”的，没有隐藏保密通信的源地址与目的地址。此外，在大多数情况下，一个源IP子网与一个目的IP子网之间的流量几乎沿着相同的(MPLS、IPv6)流路径传输，敌手通过网络监听能够获得VPN保密网保护的两个IP子网之间的全部密态通信数据，容易被具有量子计算能力的敌手通过破译分析而恢复出通信的原始明文数据。

即使针对加密分组采用横向随机分段碎片化的多径传输技术，在敌对方监听到全部报文碎片并恢复出完整的加密分组进而恢复出完整的密文数据后，也可能无法抗击算力强大的量子计算的破译分析攻击。

不同于已有的基于报文横向分割的碎片化分段与多径传输方式，我们提出基于报文纵向分割的随机剖分与路径分离传输的新方法，以实现一种高安全的保密通信。

我们提出的基于分组随机剖分与路径分离传输的新型保密通信组网方法，针对要传输的每个密态IP分组，首先采取逐字节随机化剖分，其结果形成两个随机剖分的分组，并且给这两个随机剖分分组封装不同的源IP和目的IP地址，然后经过加密保护后分别从加密设备的两个物理端口上传送出去，在互联网的两个不同的路径上分离传输，各自经由三段隧道加密保护中继后才到达目的IP地址，使得敌手无法通过网络监听获得每个密态IP报文的任何原始片段和完整的数据传输流，也不能通过网络监听获得完整的密文数据，因而能够非常有效地对抗具有强大算力的量子计算机的破译分析攻击。

发明内容

为了增强现有保密通信技术的抗量子计算能力，本发明提供了一种基于分组纵向随机剖分与路径分离传输的新型高安全保密通信方法：首先，将源端加密报文随机纵向剖分并封装为不同的端-端通信IP地址对，隐藏用户之间的真实通信对应关系，以迷惑敌手；其次，以路径分离传输防止敌手通过网络监听获得完整的密态传输报文；然后，通过三次中继封装转发来对抗敌手对数据的源地址和目的地址的追踪；最后，分别通过用户之间的端-端对称加密和逐个中继段的对称加密，为每个随机化剖分报文提供传输保护。

本发明提出的这种新型的高安全的保密通信方法，为用户主机之间的动态密钥分发协议提供了基于报文剖分和路径分离传输的额外保护机制，防止敌手通过网络监听获得完整的密钥分发协议报文，极大地提升了端-端主机密钥分发过程的安全性。