[发明专利]基于分组纵向随机剖分与路径分离传输的保密通信方法

摘要

本发明公开了一种基于分组纵向随机剖分与路径分离传输的新型高安全保密通信方法，采取分组纵向随机剖分与分离路径传输控制的安全机制来防止敌手通过监听获取完整的密态IP报文，通过影子IP子网机制和三段安全中继隧道的封装传输来隐藏原始IP报文的真实IP地址，使敌手很难通过监听通信数据内容猜测出真实的通信用户。本发明设计的新型高安全保密通信方法，能够在公共互联网上以较低的投资代价建立高安全的保密通信VPN网络，能够防御各种监听手段的安全威胁，并且能够非常有效地对抗具有强大运算能力的量子计算机的破译分析攻击，既可作为机密通信的安全VPN使用，也又可作为具有较高安全需求的商用保密通信的安全VPN使用。

主权项

1.一种基于分组纵向随机剖分与路径分离传输的保密通信方法，其特征在于：包括如下内容：(一)采用双子网和双链路的网络接入架构每个VPN密码机通过两条链路分别接入互联网中两个不同的路由器，每个密码机通过以太网接口连接了一个用户物理IP子网；每个物理IP子网与一个影子IP子网一一映射，为密码机连接的用户物理IP子网接口和影子IP子网接口各自分别配置一个IP子网地址；物理IP子网和影子IP子网独自通过不同的链路接入互联网，在逻辑上是两个不同的IP子网通过各自的链路接入公共互联网，并且在密码机接入互联网的两个路由器中，分别将这两个IP子网的路由信息散布到互联网上；(二)采用报文随机剖分的高安全防护机制随机剖分机制将主机要发送的密态IP报文，基于实时动态产生的与报文长度相同的随机数，逐字节进行剖分运算，获得两个纵向剖分的剥离分组，并在其前面添加纵向剖分分组序号与不同的剖分标识值；(三)采用传输路径分离控制的高安全防护机制通过预先为每一条传输路径设置的第一跳和第二跳中继VPN配置表，为每一对VPN节点之间的安全传输指定了两条不交叉的分离的传输路径；通过为每个路径预置的第一跳中继VPN配置表和第二跳中继VPN配置表实施路径分离的传输控制；路径源端VPN密码机不仅为剖分分组选择了不同的第一跳中继VPN来建立第一段安全中继隧道，并且在安全中继隧道封装的VPN安全隧道传输分组头中，还填充了分离路径上的第二次中继VPN的首选地址和3个备选地址，以确保两个同源的剖分分组传输路径分离的控制；(四)采取三重安全隧道封装和三段安全隧道中继的加密保护第一层安全隧道是通信主机之间的端‑端IP加密隧道，采取对称加密算法，其数据加密密钥由源IP主机与目的IP主机之间基于动态密钥分发协议直接协商，并且密钥分发协议报文由分组纵向随机剖分、分离路径传输、VPN隧道以及中继隧道机制提供安全保护；第二层安全隧道是源VPN密码机与目的VPN密码机之间的VPN安全加密隧道，采取对称加密算法，其数据加密密钥由源VPN密码机与目的VPN密码机之间基于动态密钥分发协议直接协商，并且VPN密码机为物理IP子网之间和影子IP子网之间的第二层安全隧道分别协商不同的隧道加密密钥；第三层安全隧道是每段中继隧道两端VPN密码机之间的加密隧道，采取对称加密算法，其数据加密密钥由中继隧道两端VPN密码机之间基于动态密钥分发协议直接协商；(五)隐藏通信地址的安全保护机制源‑目的地VPN密码机之间每条路径上的VPN安全隧道加密报文流传输，都要经过安全中继隧道的两次中继封装转发，每一段中继隧道封装传输的IP报文的源‑目的IP地址均不相同，且两条分离路径上建立的第二层VPN安全隧道的源‑目的地IP地址亦不同；(六)基于随机剖分与分离传输的主机密钥协商的安全保护机制对于用户主机之间的数据通信保护密钥的协商过程，额外地增加了报文纵向随机剖分和路径分离传输以及隧道加密封装的安全防护，密钥协商协议的剖分分组分别经由物理逻辑路径和影子逻辑路径传输；主机之间密钥协商过程启动了两条分离传输路径上的第二层与第三层安全隧道的密钥协商与安全关联的建立过程；(七)VPN安全隧道密钥协商报文识别机制将封装密钥协商协议报文的标准IP头内的协议代码字段设置为UDP协议的协议代码；对于VPN密码机传输/中继转发的主机业务流报文，将其安全隧道上封装传输的标准IP头内的协议代码字段设置为TCP协议的协议代码。