一種用于隱藏通信信道中加密的存在的高效帶寬的方法和系統(tǒng)的制作方法
【專利摘要】本文提出了一種隱藏通信網(wǎng)絡(luò)中數(shù)據(jù)加密的存在的系統(tǒng)�、方法和網(wǎng)絡(luò)接口。通過將一組密鑰用為偽隨機函數(shù)的輸入來生成一組字符�����。每個字符與索引值對應(yīng)��。加密的數(shù)據(jù)被分成多個部分��。每部分又被分成多個組。通過根據(jù)對應(yīng)的索引值來將所述組映射成所述字符組中的字符的方式����,對所述多個組中的每個組進行編碼。映射后的字符通過通信網(wǎng)絡(luò)來傳輸�。
【專利說明】一種用于隱藏通信信道中加密的存在的高效帶寬的方法和 系統(tǒng)
[0001] 本申請是申請日為2009年12月3日、國際申請?zhí)枮镻CT/CA2009/001763�、國家申 請?zhí)枮?00980154699. 4、發(fā)明名稱為"一種用于隱藏通信信道中加密的存在的高效帶寬的 方法和系統(tǒng)"的發(fā)明專利申請的分案申請����。
【技術(shù)領(lǐng)域】
[0002] 本發(fā)明通常涉及一種用于加密數(shù)據(jù)的方法與系統(tǒng),更具體地涉及一種用于隱藏通 信信道中數(shù)據(jù)加密的存在��,同時有效地分配帶寬的方法與系統(tǒng)�����。
【背景技術(shù)】
[0003] 當今��,大規(guī)模的網(wǎng)絡(luò)中的業(yè)務(wù)流(traffic flows)常常遭到考慮不當?shù)幕谡叩?機制的"調(diào)整"���。通常���,這種基于政策的業(yè)務(wù)(traffic)調(diào)整對加密的業(yè)務(wù)流是不利的���,甚至 是對于那些因為沒有加密而沒有被"調(diào)整的"業(yè)務(wù)流(也是有害的)。
[0004] 此外���,在世界上的一些地區(qū)��,加密的業(yè)務(wù)相對于未加密的業(yè)務(wù)而言,還會遭到更多 帶有侵入性監(jiān)察技術(shù)的詳細檢查���。事實上�����,對于���,即使加密的業(yè)務(wù)是"無害的",也會僅僅因 為加密而引來過度的關(guān)注��。
[0005] 在現(xiàn)代的互聯(lián)網(wǎng)的許多位置處����,尤其是在靠近網(wǎng)絡(luò)邊界處,業(yè)務(wù)調(diào)整技術(shù)已經(jīng)被 設(shè)計用來自動檢測加密的業(yè)務(wù)流���,并根據(jù)本地政策區(qū)分對待這些業(yè)務(wù)流����。這類區(qū)別對待實 際上可包括丟棄該業(yè)務(wù)或者將該業(yè)務(wù)放到極低優(yōu)先級的"服務(wù)質(zhì)量"隊列中。
[0006] 除固定報頭信息之外���,加密的業(yè)務(wù)還具有難以從同等長度的強偽隨機序列中區(qū)分 出來的獨特的統(tǒng)計學(xué)特性��。但是��,如果該提及的加密的業(yè)務(wù)的時間跨度足夠長����,非常均勻的 比特(或八位組)分布就會出現(xiàn)�,這通常會使得該業(yè)務(wù)可從非加密的業(yè)務(wù)中區(qū)分出來。正是 利用這一特性�����,才讓業(yè)務(wù)調(diào)整硬件得以識別出加密的業(yè)務(wù)流���,并在這些流量上應(yīng)用"政策"�����。 與加密的業(yè)務(wù)流相比�,未加密的業(yè)務(wù)流具有完全不同的比特(八位組)統(tǒng)計分布。
[0007] 可對業(yè)務(wù)進行一些測試來確定該業(yè)務(wù)是否具有加密的業(yè)務(wù)的統(tǒng)計學(xué)特性���。雖然通 過這些測試不一定表明存在加密��,但所有加密的業(yè)務(wù)都會通過這些測試���。例如,被壓縮過的 業(yè)務(wù)流具有難以從那些隨機或者加密的業(yè)務(wù)流中區(qū)分出來的長期統(tǒng)計學(xué)特性�。
[0008] -組通用的隨機性測試通?�?梢员砻髟摌I(yè)務(wù)是否被加密��。如聯(lián)邦信息處理標準 ("FIPS") 140-2中描述的那組測試�����,通常只需要4K字節(jié)的業(yè)務(wù)流����,就能可靠地將看起來隨 機的業(yè)務(wù)流從看起來非隨機的業(yè)務(wù)流中區(qū)分出來。
[0009] 類似地,經(jīng)過更長時間跨度�����,試圖用眾多壓縮函數(shù)中的任意一種對業(yè)務(wù)流的內(nèi)容 進行壓縮��,這樣做可以用來將隨機型的業(yè)務(wù)流從非隨機的業(yè)務(wù)流中區(qū)分出來�。例如,試圖壓 縮純隨機的業(yè)務(wù)流也會產(chǎn)生非壓縮的情況���,或者甚至是尺寸膨脹�,這取決于使用的壓縮算 法�。非隨機的業(yè)務(wù)流會趨向于中度到高強度的可壓縮。
[0010] 將信息隱藏術(shù)用于隱藏秘密業(yè)務(wù)已有一些歷史了����,用這種方式,只有發(fā)送者和預(yù) 定的接收者才知道存在著隱藏的信息�。因此,很自然地會想到使用信息隱藏技術(shù)來將加密 的業(yè)務(wù)流的隨機比特隱藏到一些看起來沒有進行統(tǒng)計地加密的信息中��。
[0011] 建議的是����,一些群體(some groups)將加密的信息隱藏在諸如因特網(wǎng)上數(shù)字圖像 文件之類無害的對象中��,把這些用作低帶寬通信技術(shù)?���,F(xiàn)存有多種工具可以通過將音頻����、視 頻和圖像文件用作信息隱藏術(shù)隱藏的信息的"載體",來有助于隱藏信息的產(chǎn)生����。
[0012] 然而,"傳統(tǒng)"信息隱藏技術(shù)的帶寬利用率(bandwidth efficiency)通常非常低���,因 為"載體"信息占用了與信息隱藏的對象進行通信的大部分帶寬����。在使用此技術(shù)時����,載體信 息與隱藏信息的比例只有100:1或更糟是很常見的�。然而,信息隱藏技術(shù)的一個好處是�,由 此產(chǎn)生的數(shù)據(jù)流具有明顯不均勻的八位組統(tǒng)計特性,這也就意味著這些數(shù)據(jù)流不大可能會 被互聯(lián)網(wǎng)上的自動檢測機制識別為是加密的業(yè)務(wù)流。
[0013] 還有一種可能是對加密的比特流進行編碼�����,從而讓它們看起來像��,比如���,普通的英 文文本����。用英文常用字詞典來表示加密文本比特的組合的技術(shù)在歷史上已用于隱藏隱含的 加密信息的存在�����。例如���,如果考慮四個比特的組�����,那么這些組就可用作是短詞組英文(或者 德文���、西班牙文�、法文等等)單詞的"索引"����。用這些單詞來代替比特序列,并且當接收者遇 到詞典中的一個元素時就可簡單地查找到相應(yīng)的比特序列��。這項技術(shù)在欺騙(fooling)自 動隨機性檢測時相當有效��,尤其當這種檢測無法檢測比特到英文的替換映射時或者當這種 映射很大時相當有效�����。
[0014] 隨著隱藏加密的業(yè)務(wù)流的編碼系統(tǒng)的發(fā)展��,當需要重點考慮帶寬使用效率的時 候�,問題就出現(xiàn)了。例如��,上文描述的系統(tǒng)需要大量的費用來表示4比特的"真實"信息�����。一 般而言���,為了表示這4比特的真實信息�����,就需要傳輸40到50比特數(shù)據(jù)��。
[0015] 很多現(xiàn)存的編碼技術(shù)����,如電子郵件的ASCII轉(zhuǎn)換等等���,是用來將二進制數(shù)據(jù) 轉(zhuǎn)換成適合于強約束條件的信道的編碼��。這些編碼相對來說具有較好的帶寬利用率 (bandwidth-efficient)���,會產(chǎn)生30%的額外帶寬占用。現(xiàn)在互聯(lián)網(wǎng)上很多協(xié)議使用Base64 編碼的一些變種����,Base64編碼將24比特的輸入數(shù)據(jù)轉(zhuǎn)換成32比特的輸出數(shù)據(jù),該輸出數(shù) 據(jù)在輸出字母表上具有強約束條件����。然而,在目前的自動識別機制下��,基于Base64的編碼 很容易識別,這就意味著編碼結(jié)果很容易被解碼�����,然后對解碼所得的比特流結(jié)果執(zhí)行隨機 性分析�。
[0016] 降低加密的業(yè)務(wù)流的可檢測性的關(guān)鍵是降低加密的業(yè)務(wù)流的信息密度。加密的數(shù) 據(jù)流看起來(appears to)是強偽隨機序列�,這就意味著它具有最大的信息密度,或者說最 小的信息冗余��。任何能降低每個被傳輸?shù)谋忍厮休d的信息量的技術(shù)也就能降低由此產(chǎn)生 的業(yè)務(wù)流被檢測為強偽隨機序列的可能性��,從而減少其被檢測為加密的業(yè)務(wù)流的可能性�����。
[0017] 如Base64這樣的標準編碼減少了每個被傳輸?shù)谋忍厮休d的信息���。但由于 Base64太容易被識別����,所以它能夠被解碼����,然后對由此產(chǎn)生的比特序列執(zhí)行隨機性分析。所 以需要這樣一種編碼的系統(tǒng)和方法���,它在降低業(yè)務(wù)流的信息密度的同時���,還能降低檢測該 編碼方案的可能性,從而該業(yè)務(wù)不被檢測為是加密的���,并且也通過編碼方案的檢測來對該 業(yè)務(wù)進行分析��。
【發(fā)明內(nèi)容】
[0018] 本發(fā)明有利地提供了一種方法及系統(tǒng)����,該方法及系統(tǒng)用于隱藏通信網(wǎng)絡(luò)中數(shù)據(jù)被 加密的業(yè)務(wù)的存在��,從而使該業(yè)務(wù)不被識別為是加密的�,并且也不基于編碼方案的檢測來 對該業(yè)務(wù)進行分析。一般說來����,進一步根據(jù)Base64編碼方案對加密的數(shù)據(jù)進行編碼,該編 碼方案用到的字母組是根據(jù)一組加密密鑰偽隨機生成的��。有利地�,編碼用的字母表實際上 是未知的�����。
[0019] 根據(jù)本發(fā)明的一個方面���,提出一種隱藏通信網(wǎng)絡(luò)中數(shù)據(jù)加密的存在的方法。通過 將一組加密密鑰用作偽隨機序列函數(shù)的輸入來生成一組字符���。每個字符與索引值對應(yīng)�����。加 密的數(shù)據(jù)被分成多個部分��。每部分又被劃分為多個組�,且通過根據(jù)對應(yīng)的索引值將每組數(shù) 據(jù)映射到上述字符組中的字符的方式來被編碼�����。被映射的字符通過通信網(wǎng)絡(luò)來進行傳輸�����。
[0020] 根據(jù)本發(fā)明的另一方面,一種用于隱藏數(shù)據(jù)加密的存在的網(wǎng)絡(luò)接口�,包括控制器 和通信接口。通信接口被通信地連接到控制器�����。通過將一組加密密鑰用為偽隨機序列函數(shù) 的輸入����,控制器可操作來生成一組字符���,每個字符與索引值對應(yīng)�����??刂破鬟M一步可操作來將 加密的數(shù)據(jù)分成多個部分����,并將每部分分成多個組,并且通過根據(jù)對應(yīng)的索引值將多個組 中的每個組映射到上述字符組中的字符的方式����,對每部分進行編碼。通信接口還可操作來 通過通信網(wǎng)絡(luò)來傳輸映射的字符。
[0021] 還根據(jù)本發(fā)明的另一方面��,隱藏通信網(wǎng)中數(shù)據(jù)加密的存在的系統(tǒng)����,包括第一網(wǎng)絡(luò) 接口和第二網(wǎng)絡(luò)接口。通過將一組加密密鑰用作偽隨機序列函數(shù)的輸入�����,第一網(wǎng)絡(luò)接口可 操作來生成一組字母表字符��,每個字符元素與索引值對應(yīng)����。第一個網(wǎng)絡(luò)接口進一步可操作 來將加密數(shù)據(jù)分成多個部分,并將每部分分成多組����,并且通過根據(jù)對應(yīng)的索引值將多個組 中的每個組映射到上述字符組中的字符的方式來被編碼。第一網(wǎng)絡(luò)接口通過通信網(wǎng)絡(luò)來傳 輸映射的字符�����。第二網(wǎng)絡(luò)接口可操作來接收加密的數(shù)據(jù)信息���。加密的數(shù)據(jù)信息包括映射的 字符���。第二網(wǎng)絡(luò)接口可操作來將加密的數(shù)據(jù)信息分成多組字符��,將每個字符映射成其對應(yīng) 的索引值來再現(xiàn)所述多個部分��,并且對多個部分的每部分進行解密�����。
【專利附圖】
【附圖說明】
[0022] 參照以下的詳細描述和附件中的圖表,更容易完全理解本發(fā)明��,從而更完全理解 其優(yōu)勢特點����。
[0023] 圖1是根據(jù)本發(fā)明原理構(gòu)造的典型數(shù)據(jù)加密隱藏系統(tǒng)的方框圖。
[0024] 圖2是根據(jù)本發(fā)明原理構(gòu)造的典型數(shù)據(jù)編碼器的方框圖�����。
[0025] 圖3是根據(jù)本發(fā)明原理的典型數(shù)據(jù)加密隱藏處理的流程圖�����。
[0026] 圖4是根據(jù)本發(fā)明原理的數(shù)據(jù)加密隱藏中存在的典型譯碼處理的流程圖。
【具體實施方式】
[0027] 在詳細描述根據(jù)本發(fā)明的典型實施例之前��,需要注意的是���,本發(fā)明實施例主要涉 及設(shè)備組件及處理步驟的結(jié)合��,其中處理步驟與一種用于實現(xiàn)弱化通信信道中數(shù)據(jù)加密特 性且同時高效利用信道帶寬的系統(tǒng)及方法有關(guān)���。相應(yīng)地,該系統(tǒng)及方法組件在適當?shù)奈恢?通過附圖中的常規(guī)符號表示�。為了使對本領(lǐng)域的普通技術(shù)人員來說明顯具有在本文中描述 的益處的細節(jié)公開清楚,只顯示了那些對恰當理解本發(fā)明的實施例有關(guān)的具體細節(jié)���。
[0028] 在這里����,諸如"第一"����、"第二","頂部"����、"底部"之類的相關(guān)術(shù)語�����,僅僅是用來將一 個實體或者元件與另一個實體或者元件區(qū)別開來�,而不一定要求或暗指這些實體或者元 件之間任何物理或邏輯關(guān)系或者順序����。相應(yīng)地,如這里及所附權(quán)利要求中使用的�����,術(shù)語 "Zigbee"���,指的是一組由IEEE802.15.4標準定義的無線通信上層協(xié)議。還有�,"Wi-Fi"指的 是由IEEE802. 11標準。術(shù)語"WiMAX"指由IEEE802. 16標準定義的通信協(xié)議����。"BLUETOOTH" 指由藍牙技術(shù)聯(lián)盟開發(fā)的,用于無線個人區(qū)域網(wǎng)("PAN")通信的工業(yè)規(guī)范�。
[0029] 本發(fā)明的一個實施例有利地提供了一種系統(tǒng)和方法,該系統(tǒng)和方法用于對加密的 數(shù)據(jù)流進行編碼這樣的方式來避免包括FIPS140-2隨機檢測的各種類型隨機檢測的自動 識別����。另一個實施例在于針對一些已知的攻擊方法對編碼方式進行了強化���,這包括使用變 量模糊編碼機制。
[0030] 現(xiàn)在參看附圖�,附圖中相同的引用指示符表示相同的元件。圖1中所示的是典型 數(shù)據(jù)加密隱藏系統(tǒng)10���。系統(tǒng)10包括通過廣域網(wǎng)("WAN") 16與第二客戶端計算機14通信 的第一客戶端計算機12�����。廣域網(wǎng)16可以包括因特網(wǎng)�、局域網(wǎng)或者其他通信網(wǎng)絡(luò)��?����?蛻舳擞?算機12��,14可以包括個人計算機��、筆記本��、個人數(shù)字助理("PDA")、服務(wù)器����、手機等等。每 個客戶端計算機12,14通過WAN接口 18a���,18b (這兩個接口總稱為WAN接口 18)在WAN16 上傳輸數(shù)據(jù)�。盡管圖1中的通信網(wǎng)絡(luò)被標為WAN���,但是本發(fā)明的原理還可以應(yīng)用于其他形 式的通信網(wǎng)絡(luò)���,如個人區(qū)域網(wǎng)("PAN"),本地局域網(wǎng)("LAN")���,校園網(wǎng)("CAN")�,市域網(wǎng) ("MAN')等等����。此外�,盡管圖1中只示出兩個客戶端計算機,但這種設(shè)置僅僅是為了示范��。 t匕如,系統(tǒng)10可以包括多個WAN接口 18�����。WAN接口 18能與各種類型的客戶端設(shè)置通信�,t匕 如路由器,交換機等等��。再有�����,WAN接口 18可以是一個單獨的設(shè)備��,也可以被嵌入來作為其 他資源設(shè)備中的一部分�,比如客戶端計算機12,14。
[0031] 每個WAN接口 18根據(jù)一個或者多個已知的加密方式對來自客戶端計算機12,14 的數(shù)據(jù)進行加密��。WAN接口 18包括下面討論的加密隱藏器����,該加密隱藏器的作用是通過使 用具有隨機生成字母表的Base64編碼方案,而不是通過使用通常涉及單個已知字母表的 使用的標準Base64編碼來對加密的數(shù)據(jù)進行編碼�����,從而隱藏數(shù)據(jù)已被加密的事實(fact)。 每一個WAN接口 18同時也具有反向功能�,憑借該反向功能,WAN接口 18可通過WAN16來接 收Base64編碼的和加密的數(shù)據(jù)幀�,然后用隨機生成的字母表對這些數(shù)據(jù)幀進行解碼和解 密,從而匹配最初從客戶端計算機12,14發(fā)出的數(shù)據(jù)��。盡管圖1中的每個WAN接口 18都被 示出連結(jié)到一臺客戶端計算機12,14,但是根據(jù)本發(fā)明原理構(gòu)建的典型WAN接口 18可以支 持多臺客戶端計算機12,14,這種實現(xiàn)方式并不超出本發(fā)明的范圍�����。
[0032] 現(xiàn)在參考圖2,典型的WAN接口 18包括通信地連接到控制器22的通信接口 20����。通 信接口 20可以是有線的、無線的或者它們的任何組合���。通信接口 20在WAN接口 18與其它 廣域網(wǎng)16資源之間使用已知的通信協(xié)議�����,如以太網(wǎng)���,Wi-Fi�,WiMAX�����,BLUET00TH等�,來傳輸數(shù) 據(jù)包��。通信接口可以包括任何數(shù)量的通信端口���。
[0033] 控制器22控制信息處理和WAN接口 18的操作來實現(xiàn)這里描述的功能����??刂破?2 還與非易失性存儲器24連接。非易失性存儲器24包括數(shù)據(jù)存儲器26和程序存儲器28�����。 程序存儲器28包含加密隱藏器30,用來隱藏數(shù)據(jù)已被加密的事實����,以免被連接到WAN16上 的其他實體自動檢測出來,該操作會在下面詳細討論����。加密隱藏器30包括字母表生成器32 和Base64編碼器34,字母表生成器32能從標準的256個合適ASCII字符中隨機生成64個 字符的Base64字母表組����,Base64編碼器34根據(jù)使用生成的Base64字母表的Base64編碼 方案來對加密的數(shù)據(jù)進行編碼�����。數(shù)據(jù)存儲器26存儲數(shù)據(jù)文件�����,比如查詢表36和一組加密 密鑰38,查詢表36可使得Base64字母表組與對應(yīng)的ASCII字符集相互關(guān)聯(lián)�,加密密鑰38 會在傳輸任何用戶數(shù)據(jù)之前,在WAN接口 18與諸如客戶端計算機14之類的目標資源之間 傳遞�����。
[0034] 除上述應(yīng)該注意到的結(jié)構(gòu)外����,每個WAN接口 18還可能包括需要實現(xiàn)WAN接口 18 的其它功能的額外的、可選的結(jié)構(gòu)(未在圖上顯示)����。
[0035] 在使用Base64編碼方式時����,通常使用單個標準的字母表來將輸入的三段八位組 轉(zhuǎn)換成輸出的四段八位組�����,這樣做的一個偶然的副作用就是有效地降低了信息密度�����。這些 編碼就被設(shè)計通過不能傳輸上述數(shù)據(jù)的"信道"來獲得任意二進制數(shù)據(jù)��。RFC-822電郵就是 這種信道的一個例子�。
[0036] 在Base64方案中�,需要從所有合適的ASCII字符集中選擇一個含有64個可打印 字符的集合來作為"編碼字母表"。編碼字母表有一些變種�,但其中只有一到兩種比較常用。 對編碼二進制數(shù)據(jù)(或者加密數(shù)據(jù)�����、隨機數(shù)據(jù))來說����,重要的是考慮與選擇合適的字母表相 關(guān)的組合數(shù)學(xué)(combinatorics)���。等式(1)給出了從一個由256個字符(8比特的ASCII或 UTF-8)組成的域中選出64個字符的字母表可能的總數(shù):
[0037] P = K ! /η ! (Κ ! -η ! ), (1)
[0038] 其中K是備選八位組的總數(shù),例如256, η是選出的字符集包含的元素個數(shù)�,例如 64。
[0039] 如果已知上述參數(shù)�,那么從256個合適的字節(jié)值組成的域中選出64個字符組成字 母表,共有大約1〇 61種選法�。如果從信息論的視角考慮編碼方案,由此產(chǎn)生的編碼是否能產(chǎn) 生純可打印的ASCII字符完全不重要�。重要的是由此產(chǎn)生的編碼降低了由此產(chǎn)生的業(yè)務(wù)流 中的信息密度。任何一種將24比特三段數(shù)據(jù)擴展成32比特四段的編碼��,對于降低由此產(chǎn) 生的流中的信息密度來說都足夠了��。
[0040] 在實施本發(fā)明的時候�,讓人迷惑的是創(chuàng)建小數(shù)量的字母表,可能小到只有一個非 Base64字母表元素的成員�����,然后用這樣的字母表對加密的業(yè)務(wù)流進行編碼����。但任何這樣的 方案的問題立刻就會突顯出來:單個的,固定的字母表和Base64編碼方案一樣容易被"對 手"解碼�����。必須假定"對手"知道這種編碼方案所用的字母表,并進而如上所述像處理Base64 編碼的方式那樣對它們進行處理�。
[0041] 因此,本發(fā)明的實施例字母表34是動態(tài)選擇的��,例如����,在生成一個長加密的業(yè)務(wù) 流期間���,使用靜態(tài)字母表的流會有更高的可檢測性����。此外�,大多數(shù)加密通信會話在創(chuàng)建之初 就會建立密鑰材料,如密鑰38,以便為下面的加密"封包"過程提供共享的加密和完整密鑰����。 因為加密的信道一旦建立,密鑰38會被通信雙方共享�,所以一些密鑰材料會被用來幫助選 擇動態(tài)編碼字母表34。
[0042] 現(xiàn)在參考圖3,圖中展示了一個操作流程圖示例�����,該操作流程圖描述了加密隱藏器 30隱藏數(shù)據(jù)加密的存在而執(zhí)行的示范步驟。該流程始于WAN接口 18判定加密的數(shù)據(jù)可以 傳輸時(步驟S102)��。加密的數(shù)據(jù)可以加密或未經(jīng)加密的形式來從客戶端計算機12處接 收���。在接下來的例子中�,WAN接口 18可根據(jù)已知的加密方法對數(shù)據(jù)進行加密�����。
[0043] WAN接口 18通過通信接口 20初始化與目標設(shè)備進行安全通信會話(步驟S104)���。 作為安全通信會話初始化的一部分����,WAN接口 18要與目標設(shè)備交換密鑰材料(步驟S106)����, 例如,加密密鑰38�����。加密密鑰38被用來產(chǎn)生從更寬泛的、256個元素的域中����,比如ASCII字 符的全集中,挑選出來的64個元素的單個偽隨機選取的字母表(步驟S108)�����。
[0044] 任何強大的隨機數(shù)生成器都能被用來生成共享的編碼字母表���,但為了提高通用 性,就是使用標準的�、強加密的偽隨機函數(shù),以便通信雙方獲得相同的加密字母表����。標準請 求注解("RFC")4615中描述了一種合適的算法,在該算法中���,偽隨機函數(shù)("PRF")的輸 出是PRF下一次調(diào)用(next call)的鏈式變量����,并且需要的密鑰K是從會話初始化時的共享 密鑰材料中取得的�。表1中給出了偽代碼的例子����。
[0045]
【權(quán)利要求】
1. 一種對加密的輸入數(shù)據(jù)流進行編碼用于在通信網(wǎng)絡(luò)中傳輸?shù)姆椒?��,所述方法包括?用替換密碼對加密的輸入數(shù)據(jù)流進行編碼以生成編碼的數(shù)據(jù)流�����,所述編碼的數(shù)據(jù)流具有比 加密的輸入數(shù)據(jù)流更低的信息密度���,所述更低的信息密度通過將三段第一數(shù)量比特擴大為 四段第二數(shù)量比特的編碼得到。
2. 根據(jù)權(quán)利要求1所述的方法��,其中所述替換密碼是基于一個秘密字母表的單一字母 替換物�����。
3. 根據(jù)權(quán)利要求1所述的方法�,其中所述替換密碼是基于多個秘密字母表的多字母替 換物。
4. 根據(jù)權(quán)利要求1所述的方法��,其中所述替換密碼使用模糊編碼方案�,在該模糊編碼 方案中,至少一些所述輸入數(shù)據(jù)被多于一個輸出字符表示。
5. 根據(jù)權(quán)利要求1所述的方法�����,其中所述編碼的數(shù)據(jù)不進行FIPS140-2隨機測試����。
6. 根據(jù)權(quán)利要求1所述的方法,其中進一步地使用替換密碼加密所述加密的輸入數(shù)據(jù) 流包括: 將加密的輸入數(shù)據(jù)流劃分成多個組�;以及 將每個組映射到一組字符中的一個字符。
7. 根據(jù)權(quán)利要求6所述的方法���,其中所述一組字符可以使用偽隨機函數(shù)從一組加密密 鑰得到����。
8. -種將從通信網(wǎng)絡(luò)接收的編碼的加密數(shù)據(jù)流進行解碼的方法����,所述方法包括: 使用替換密碼對所述編碼的加密數(shù)據(jù)流進行解碼以生成解碼的加密數(shù)據(jù)流��,所述編碼 的加密數(shù)據(jù)流具有通過將三段第一數(shù)量比特擴大為四段第二數(shù)量比特的編碼得到的信息 密度�。
9. 根據(jù)權(quán)利要求8所述的方法,其中所述編碼的加密數(shù)據(jù)流包括一組字符中的字符���, 所述方法包括進一步地將每個字符映射到所述解碼的加密數(shù)據(jù)流的一組比特�。
10. 根據(jù)權(quán)利要求9所述的方法,其中所述替換密碼是基于至少一個秘密字母表的字 母替換物�。
11. 一種編碼器,用于對加密的輸入數(shù)據(jù)流進行編碼用于在通信網(wǎng)絡(luò)中傳輸���,所述編碼 器包括: 至少一個控制器�����;以及 至少一個存儲器�����,其存儲可由所述控制器執(zhí)行的指令以使用替換密碼對所述加密的輸 入數(shù)據(jù)流進行編碼從而生成編碼的數(shù)據(jù)流���,所述編碼的數(shù)據(jù)流具有比所述加密的輸入數(shù)據(jù) 流更低的信息密度,所述更低的信息密度通過將三段第一數(shù)量比特擴大為四段第二數(shù)量比 特的編碼得到����。
12. 根據(jù)權(quán)利要求11所述的編碼器,其中所述替換密碼是基于一個秘密字母表的單一 字母替換物��。
13. 根據(jù)權(quán)利要求11所述的編碼器���,其中所述替換密碼是基于多個秘密字母表的多字 母替換物����。
14. 根據(jù)權(quán)利要求11所述的編碼器,其中所述替換密碼可操作以使用模糊編碼方案��, 在所述模糊編碼方案中���,至少一些所述輸入數(shù)據(jù)能夠被多于一個輸出字符表不��。
15. 根據(jù)權(quán)利要求11所述的編碼器�,其中所述替換密碼可操作以生成編碼的數(shù)據(jù)�����,所 述編碼的數(shù)據(jù)不進行FIPS140-2隨機測試����。
16. 根據(jù)權(quán)利要求11所述的編碼器,其中可被執(zhí)行以使用所述替代密碼進一步地加密 所述加密的輸入數(shù)據(jù)流的指令進一步包括指令���,其可執(zhí)行以: 將加密的輸入數(shù)據(jù)流劃分成多個組;以及 將每個組映射到一組字符中的一個字符��。
17. 根據(jù)權(quán)利要求16所述的編碼器,其中所述一組字符可以使用偽隨機函數(shù)從一組加 密密鑰得到���。
18. -種解碼器�����,用于將通過信息網(wǎng)絡(luò)接收的編碼的加密數(shù)據(jù)流進行解碼����,所述解碼器 包括: 至少一個控制器�;以及 至少一個存儲器,其存儲可由所述控制器執(zhí)行的指令以使用替換密碼將所述編碼的加 密數(shù)據(jù)流進行解碼從而生成解碼的加密的數(shù)據(jù)流�,所述編碼的加密數(shù)據(jù)流具有通過將三段 第一數(shù)量比特擴大為四段第二數(shù)量比特的編碼得到的信息密度。
19. 根據(jù)權(quán)利要求18所述的解碼器��,其中所述編碼的加密數(shù)據(jù)流包括一組字符中的字 符�����,所述可執(zhí)行以將編碼和加密的數(shù)據(jù)流進行解碼的指令進一步包括可執(zhí)行以將每個字符 映射到所述解碼的加密數(shù)據(jù)流的一組比特�����。
20. 根據(jù)權(quán)利要求19所述的解碼器��,其中所述替換密碼是基于至少一個秘密字母表的 字母替換物。
21. -種通過信息網(wǎng)絡(luò)傳輸加密的數(shù)據(jù)流的方法��,包括: 使用替換密碼對加密的輸入數(shù)據(jù)流進行編碼以生成編碼的數(shù)據(jù)流�,所述編碼的數(shù)據(jù)流 具有比所述加密的輸入數(shù)據(jù)流更低的信息密度,所述更低的信息密度通過將三段第一數(shù)量 比特擴大為四段第二數(shù)量比特的編碼得到����; 通過信息網(wǎng)絡(luò)傳輸所述編碼的數(shù)據(jù)流;以及 使用與用于編碼的替換密碼反向的替換密碼對所述編碼的數(shù)據(jù)流進行解碼以恢復(fù)所 述加密的輸入數(shù)據(jù)流��。
22. 根據(jù)權(quán)利要求21所述的方法����,其中所述替換密碼是基于一個秘密字母表的單一字 母替換物。
23. 根據(jù)權(quán)利要求21所述的方法��,其中所述替換密碼是基于多個秘密字母表的多字母 替換物����。
24. 根據(jù)權(quán)利要求21所述的方法,其中用于編碼的所述替換密碼使用模糊編碼方案�����, 在所述模糊編碼方案中��,至少一些所述輸入數(shù)據(jù)可被多于一個輸出字符表不��。
25. 根據(jù)權(quán)利要求21所述的方法���,其中所述替換密碼可操作以生成編碼的數(shù)據(jù)�,所述 編碼的數(shù)據(jù)不進行FIPS140-2隨機測試��。
26. -種永久的處理器可讀取的存儲介質(zhì)�,其存儲由處理器執(zhí)行以對加密的輸入數(shù)據(jù) 流進行編碼用于在通信網(wǎng)絡(luò)中傳輸?shù)闹噶睿鲋噶畎ǎ?通過處理器可執(zhí)行以使用替換密碼對所述加密的輸入數(shù)據(jù)流進行編碼以生成編碼的 數(shù)據(jù)流的指令���,所述編碼的數(shù)據(jù)流具有比所述加密的輸入數(shù)據(jù)流更低的信息密度���。
27. 根據(jù)權(quán)利要求26所述的永久的處理器可讀取的存儲介質(zhì),其中所述可執(zhí)行以使用 替換密碼對所述加密的數(shù)據(jù)進行編碼的指令包括可執(zhí)行以將三段第一數(shù)量比特擴大為四 段第二數(shù)量比特的指令���。
28. 根據(jù)權(quán)利要求26所述的永久的處理器可讀取的存儲介質(zhì)�,其中所述替換密碼是基 于一個秘密字母表的單一字母替換物���。
29. 根據(jù)權(quán)利要求26所述的永久的處理器可讀取的存儲介質(zhì)�����,其中所述替換密碼是基 于多個秘密字母表的多字母替換物��。
30. 根據(jù)權(quán)利要求26所述的永久的處理器可讀取的存儲介質(zhì)�����,其中所述替換密碼使用 模糊編碼方案��,在所述模糊編碼方案中����,至少一些所述輸入數(shù)據(jù)可被多于一個輸出字符表 /_J、1 〇
31. 根據(jù)權(quán)利要求26所述的永久的處理器可讀取的存儲介質(zhì)��,其中所述編碼的數(shù)據(jù)將 不進行FIPS140-2隨機測試���。
32. 根據(jù)權(quán)利要求26所述的永久的處理器可讀取的存儲介質(zhì)�,其中所述可執(zhí)行以使用 替換密碼對所述加密的輸入數(shù)據(jù)流進行編碼的指令包括指令�,該指令可執(zhí)行以: 將加密的輸入數(shù)據(jù)流劃分成多個組;以及 將每個組映射到一組字符中的一個字符�����。
33. 根據(jù)權(quán)利要求32所述的永久的處理器可讀取的存儲介質(zhì)�����,其中所述一組字符使用 偽隨機函數(shù)從一組加密密鑰得到��。
34. -種永久的處理器可讀取的存儲介質(zhì)���,其存儲可由處理器執(zhí)行以對通過通信網(wǎng)絡(luò) 接收的編碼的加密數(shù)據(jù)流進行解碼的指令���,所述指令包括: 可執(zhí)行以使用替換密碼對所述編碼的加密數(shù)據(jù)流進行解碼以生成解碼的加密數(shù)據(jù)流 的指令,所述解碼的加密數(shù)據(jù)流具有比所述編碼的加密數(shù)據(jù)流更高的信息密度����。
35. 根據(jù)權(quán)利要求34所述的永久的處理器可讀取的存儲介質(zhì),其中所述編碼的加密的 數(shù)據(jù)流包括一組字符中的字符����,所述指令包括可執(zhí)行以將每個字符映射到所述解碼的加密 數(shù)據(jù)流的一組比特的指令。
36. 根據(jù)權(quán)利要求35所述的永久的處理器可讀取的存儲介質(zhì)�,其中所述替換密碼是基 于至少一個秘密字母表的字母替換物。
37. 根據(jù)權(quán)利要求35所述的永久的處理器可讀取的存儲介質(zhì)��,其中所述替換密碼是基 于一個秘密字母表的單一字母替換物���。
38. 根據(jù)權(quán)利要求35所述的永久性處理器可讀取的存儲介質(zhì)�,其中所述替換密碼是基 于多個秘密字母表的多字母替換物。
39. 根據(jù)權(quán)利要求35所述的永久的處理器可讀取的存儲介質(zhì)����,其中所述替換密碼使用 模糊編碼方案,在所述模糊編碼方案中��,至少一些輸入數(shù)據(jù)被多于一個輸出字符表不����。
40. 根據(jù)權(quán)利要求35所述的永久的處理器可讀取的存儲介質(zhì),其中所述一組字符使用 偽隨機函數(shù)從一組加密密鑰得到�。
【文檔編號】H04L9/20GK104052594SQ201410226510
【公開日】2014年9月17日 申請日期:2009年12月3日 優(yōu)先權(quán)日:2008年12月29日
【發(fā)明者】馬庫斯·D.·里奇 申請人:北電網(wǎng)絡(luò)有限公司