基於動態加密算法的vpn系統的製作方法

2023-05-07 11:19:41

專利名稱：基於動態加密算法的vpn系統的製作方法
技術領域：
本發明涉及信息安全領域，是用密碼、晶片和網絡技術來實現虛擬專用網(VPN)，該發明可對明文數據實時進行加解密，保護數據文件的傳輸安全，適用於政府、企業、軍隊、銀行、證券、保險等單位的各種網絡。
背景技術：
目前，國際上VPN產品中採用的對稱加密算法的編制是固定不變的，主要通過變化對稱密鑰來提高對稱加密系統的安全，為提高VPN系統的數據保密的安全等級，採用多種密鑰如數據包密鑰、網絡密鑰、會話密鑰和隧道密鑰等，並通過多種密鑰之間的層層疊加方式加密密鑰來實現各種密鑰的交換，但是，多種密鑰的層層疊加也增加了VPN系統的開支，降低了VPN的效率；同時，有些種類的密鑰管理需要人工幹預更新，造成加密系統維護工作量大，成本高；因此，國內外生產的隧道型VPN產品種類與品牌很多，大多數都不同程度存在著速度慢，價格高，安全性差、抗集團攻擊能力不足的弱點，同時，也都存在VPN系統效率低，各種密鑰分發管理費用高，系統日常維護難度大等的問題，這些已直接影響了VPN的應用和普及。

發明內容
本發明是利用密碼、晶片和網絡技術設計出一套每次進行數據加密時，採用的對稱加密算法的編制都不相同的虛擬專用網絡，其實施步驟如下首先，建立VPN的動態加密算法，將一套對稱加密算法中一種「加密要素」擴展為N群共M組「加密要素種子」即建立L行N列「加密要素種子」距陣，利用動態對稱加密算法的編制生成算法即由時間戳和隨機數組成的選取參數，隨機組合選取N個該距陣的元素——組「加密要素種子」，將選出的N組「加密要素種子」與對稱加密算法中的其他不變「加密要素」及其線路，一起組成一套對稱加密算法的編制，這種通過組合選取「加密要素種子」，生成的對稱加密算法的編制是動態產生的，一次一變不重複，加密系統僅採用一種對稱密鑰，不採用多種密鑰體系如網絡密鑰、包密鑰和隧道密鑰等，加密系統的對稱密鑰管理是採用密鑰組合生成技術，即採用「密鑰種子」和密鑰生成算法隨機組合生成對稱密鑰，一次一變不重複，實現對稱密鑰更新管理由算法自動完成，免人工維護，VPN網關之間或與客戶機之間的數據加密傳輸和身份認證含建立加密隧道前的起點與終點之間的身份認證，均採用動態對稱加密算法和組合密鑰來進行，認證方式採用雙向認證，並將「加密要素種子」和「密鑰種子」的共同選取參數加密成密文後傳輸，防止選取參數外洩，從而，建立一套安全可靠、結構簡單、高效快速和維護方便的VPN系統，VPN系統使用軟、硬體相結合的方式來實現，具體實現步驟如下1、選擇對稱加密算法中的「加密要素」，將選定對稱加密算法中的一種「加密要素」，如固定參數、代替、置換、移位、錯亂和混合等，以我國2006年處公布的分組算法——SMS4為例，可以選擇的「加密要素」為S盒代替表、固定參數CK或系統參數FK等。
2、時間戳為Z位十進位數，包括年、月、日、時、分鐘和秒，Z＝5～12位，當時間戳為5位時，例61103，表示06年11月3號，當時間戳為12位時，例101103221518，表示2010年11月3號22點15分18秒，隨機數為N位N進位數，當N＝10時，隨機數為10位十進位數，如「0213295648」等，當N＝16時，隨機數為16位十六進位數，如「0F295A64B17E83D」等。
3、建立「加密要素種子」距陣，選定對稱加密算法中的一種「加密要素」，將其擴展成M組並分成N群，若「加密要素」為固定參數、代替或置換，則擴展方法採用VPN晶片中隨機數發生器，來生成M組二進位隨機數或十六進位隨機數並寫入晶片裡，若選定的「加密要素」為移位、置換、錯亂或混合等，則擴展方法根據不同「加密要素」的特徵進行採用人工設計，若「加密要素」為移位，則通過擴展移多少位的變化，來建立M組移位參數，若「加密要素」為錯亂，則通過擴展錯亂序號多少的變化，來建立M組錯亂序參數，若「加密要素」為混合，則通過擴展寄存器中選取信息位的變化，來建立M組混合參數，同時，還要對參數進行可逆性和安全性測試後再將其參數寫入晶片裡，其中可逆性測試是保證建立的「加密要素種子」中的元素，被隨機組合選取N組並生成對稱加密算法，用其加密後的數據能正確解密，安全性測試是保證建立的「加密要素種子」中的元素，分布較廣並具有隨機性，不能被猜測，總之，最方便的方法是選定的「加密要素」為固定參數或代替，如選擇固定參數CK或代替表——S盒，作為SMS4算法的「加密要素」，將這N群共M組「加密要素種子」作為距陣的元素分成L行N列，組成L×N「加密要素種子」距陣。
4、建立「加密要素種子」距陣中元素的選取算法(1)建立選取參數與「加密要素種子」距陣元素的對應關係，將時間戳和隨機數作為選取參數，將1～N群定義為年群、月群、日群、時群、分鐘群、秒群、第7群、…第N群，每群「加密要素種子」為一個子距陣，共N個子距陣，用時間戳將各群「加密要素種子」分成若干行，其中「年」群為W行即W×N子距陣、「月」群為12行即12×N子距陣，「日」群為31行即31×N子距陣，「時」群為24行即24×N子距陣，「分鐘」群為60行即60×N子距陣，「秒」群為60行即60×N子距陣，第7～N群分別為1行即1×N子距陣，共L行，其中W＝10～100，L＝60～297，每行有N列元素即N組「加密要素種子」，每組1～12位元組，N＝10或16，M＝600～4752，每群「加密要素種子」即每個子距陣都分別對應一位N進位的隨機數，共對應N位N進位隨機數；(2)建立選取參數對「加密要素種子」距陣元素的選取規則，將時間戳中「年、月、日、時、分鐘和秒」分別設為y、m、d、h、mi、s，將N個N進位隨機數分別設為S1、S2、S3、S4、S5、S6、S7、……、SN，用y和S1結合選取「年」群即W×N子距陣第y行第S1列的元素，用m和S2結合選取「月」群即12×N子距陣第m行第S2列的元素，用d和S3結合選取「日」群即31×N子距陣第d行第S3列的元素，用h和S4結合選取「時」群即24×N子距陣第h行第S4列的元素，用mi和S5結合選取「分鐘」群即60×N子距陣第mi行第S5列的元素，用s和S6結合選取「秒」群即60×N子距陣第s行第S6列的元素，用S7選取7群即1×N子距陣第S7列的元素，……，用SN選取N群即1×N子距陣第SN列的元素。
5、建立動態對稱加密算法的編制生成算法，由Z位十進位數的時間戳和一組N位N進位的隨機數共同組成的選取參數，對L×N「加密要素種子」距陣的元素進行選取，每次選出N個距陣元素即N組「加密要素種子」，將選出的N組「加密要素種子」，與對稱加密算法中其他不變「加密要素」及其線路，一起組成一套對稱加密算法的編制，從而，將對稱加密算法的編制轉變成動態對稱加密算法的編制。
6、建立「密鑰種子」距陣，採用VPN晶片中隨機數發生器來生產二進位隨機數作為「密鑰種子」，並存放在晶片裡，將「密鑰種子」分成N群共M組，將這N群共M組「密鑰種子」作為距陣的元素分成L行N列，組成L×N「密鑰種子」距陣。
7、建立「密鑰種子」距陣中元素的選取算法(1)建立選取參數與「密鑰種子」距陣元素的對應關係，將時間戳和隨機數作為選取參數，將1～N群定義為年群、月群、日群、時群、分鐘群、秒群、第7群、…第N群，每群「密鑰種子」為一個子距陣，共N個子距陣，用時間戳將各群「密鑰種子」分成若干行，其中「年」群為W行即W×N子距陣、「月」群為12行即12×N子距陣，「日」群為31行即31×N子距陣，「時」群為24行即24×N子距陣，「分鐘」群為60行即60×N子距陣，「秒」群為60行即60×N子距陣，第7～N群分別為1行即1×N子距陣，共L行，其中W＝10～100，L＝60～297，每行有N列元素即N組「密鑰種子」，每組1～3位元組，N＝10或16，M＝600～4752，每群「密鑰種子」即每個子距陣都分別對應一位N進位的隨機數，共對應N位N進位隨機數；(2)建立選取參數對「密鑰種子」距陣元素的選取規則，用y和S1結合選取「年」群即W×N子距陣第y行第S1列的元素，用m和S2結合選取「月」群即12×N子距陣第m行第S2列的元素，用d和S3結合選取「日」群即31×N子距陣第d行第S3列的元素，用h和S4結合選取「時」群即24×N子距陣第h行第S4列的元素，用mi和S5結合選取「分鐘」群即60×N子距陣第mi行第S5列的元素，用s和S6結合選取「秒」群即60×N子距陣第s行第S6列的元素，用S7選取7群即1×N子距陣第S7列的元素，……，用SN選取N群即1×N子距陣第SN列的元素。
8、建立對稱密鑰生成算法，由選取參數對L×N「密鑰種子」距陣的元素進行選取，將選出的N個距陣元素即N組「密鑰種子」合成一組對稱密鑰，從而，組合生成對稱密鑰，其中若合成的密鑰太長，進行摺疊使其長度為128比特或者128以上，總之，密鑰的長度以加密系統的要求為準。
9、對稱加密算法的「加密要素種子」和「密鑰種子」的選取，採用相同的選取算法即採用相同的距陣元素選取規則，用同一組選取參數——N位N進位隨機數和Z位十進位數的時間戳，來對相同架構的L×N距陣元素進行選取，其中兩種距陣中元素表示的內容不同，前者表示「加密要素種子」後者表示「密鑰種子」。
10、發送方通過傳遞同一組選取參數即N位N進位隨機數和Z位十進位數的時間戳給接收方，來實現對稱密鑰的交換，同時，實現接收方對稱加密算法的「加密要素種子」的選取。
11、將對稱加密算法、L×N「加密要素種子」距陣、L×N「密鑰種子」距陣、摘要算法、非對稱加密算法、私鑰、以及動態對稱加密算法的編制生成算法和對稱密鑰生成算法等存放在VPN硬體的晶片中，在VPN硬體的晶片中生成臨時的對稱加密算法的編制和對稱密鑰，並在晶片中用動態對稱算法和組合密鑰加解密數據，用私鑰解密選取參數密文，在晶片中還用摘要算法對IP數據包的數據進行摘要等，從而，增強VPN網關抵禦黑客攻擊其加密系統的能力。
12、每次產生的N位N進位隨機數是由VPN晶片中的隨機數發生器生成，每次產生的Z位十進位數時間戳是由計算機系統的時間函數生成，時間戳中的年、月、日、小時、分鐘和秒都隨計算機系統時間的變化而變化。
13、根據時間戳和隨機數，從L×N「加密要素種子」距陣中選出的N個元素即N組「加密要素種子」，是L行N列「加密要素種子」的組合，其變化量大於NN。
14、根據時間戳和隨機數，從L×N「加密要素種子」距陣中選出的N組「加密要素種子」與對稱加密算法中其他不變的「加密要素」及其線路，一起組成對稱加密算法的編制是隨機產生的，一次一變不重複，這種隨機產生的對稱加密算法的編制是臨時的，使用後不保留，被系統立刻清除。
15、根據時間戳和隨機數，從L×N「密鑰種子」距陣中選出的N個元素即N組「密鑰種子」，是L行N列「密鑰種子」的組合，其變化量大於NN。
16、根據時間戳和隨機數，從L×N「密鑰種子」距陣中選出的N組「密鑰種子」合成的對稱密鑰是隨機生成，一次一變不重複，同時，這種隨機生成的對稱密鑰是臨時的，使用後不保留，被系統立刻清除。
17、VPN網關之間的認證和客戶機與網關之間的認證，也包括建立加密隧道前起點和終點之間的認證，都採用動態對稱加密算法和組合密鑰來實現，認證方式採用雙向認證，其過程是(1)由認證方生成時間戳和隨機數，根據時間戳和隨機數生成臨時對稱加密算法的編制和對稱密鑰，加密隨機數生成認證口令1，再將時間戳、隨機數和認證口令1等認證參數發送給被認證方，同時，認證方產生認證生命周期T；(2)被認證方收到認證方發送來的認證參數後，根據時間戳和隨機數生成臨時對稱加密算法的編制和對稱密鑰，加密隨機數生成認證口令2，經過對比認證口令1和2是否相同，來確定認證方的身份是否合法，若合法，則被認證方再以相同的方法產生認證參數並發送給認證方，來確定被認證方的身份，同時，認證方計算認證時間周期T是否結束，來控制雙向認證的時間，以免被他人截獲認證參數對加密系統進行攻擊。
18、在建立IPSes協議的VPN時，IPSes協議是在起點與終點IP位址基礎上，建立IPSec標準加密隧道，其過程如下(1)建立隧道階段採用動態對稱加密算法和組合密鑰來進行起點與終點IP位址之間的雙向認證；(2)隧道通信階段每個IP數據包都使用一組對稱密鑰和一套對稱加密算法的編制來加密，不同的IP數據包採用不同的一組對稱密鑰和一套對稱加密算法的編制來加密，為保證IP數據包傳輸的完整性，使用摘要算法對擬發送的IP數據包的數據進行摘要，並將完整性信息與IP數據包一起加密成密文後發送給接收方。
19、在建立SSL協議的VPN時，SSL協議是在起點與終點建立SSL協議標準的加密隧道，SSL協議由握手協議和記錄協議組成，其過程如下(1)SSL協議中的握手協議採用動態對稱加密算法和組合密鑰來進行起點與終點之間的雙向認證，在進行雙向認證過程中，認證雙方保留臨時生成的一套對稱加密算法的編制和一組對稱密鑰，若雙向認證未通過，則加密系統立刻清除認證雙方保留的臨時對稱加密算法的編制和對稱密鑰；(2)SSL協議中的記錄協議完成握手協議後，並獲得了臨時生成的一套對稱加密算法的編制和一組對稱密鑰，用該臨時對稱加密算法的編制和對稱密鑰來完成SSL協議中的記錄協議，一次隧道聯接後，使用一組對稱密鑰和一套對稱加密算法的編制完成加解密數據，每次隧道聯接後都使用不同的一套對稱加密算法的編制和一組對稱密鑰來加解密數據。
20、在VPN加密系統中採用「密鑰種子」和對稱密鑰生成算法來組合生成密鑰，對稱密鑰的交換是通過傳輸「密鑰種子」的選取參數來實現，並通過一次一變的動態對稱加密算法的編制來提高加密系統的強度，效率高，安全性高，不象其他多數VPN那樣是採用多種密鑰體系如網絡密鑰、隧道密鑰和數據包密鑰等，並進行多種密鑰之間層層疊加加密，來提高加密系統的強度，這種採用多種密鑰體制的VPN，效率低。
21、通過隧道管理所有遠程VPN網關，管理員通過客戶機與各遠程VPN網關建立加密隧道，並通過隧道維護和管理遠程VPN網關，如管理員通過客戶機瀏覽各個遠程VPN網關日誌數據等，這種對網絡中的VPN網關實行集中管理，降低了管理成本，提高了管理效率，保證VPN網關的安全。
22、VPN加密系統採用動態對稱加密算法加密數據，若將分組加密算法作為動態對稱加密算法的架構時，算法的分組長度為64或128比特，密鑰長度為128比特或超過128比特。
23、VPN加密系統對稱加密算法的編制和密鑰一次一變即每加密一組數據採用一套密碼編制和一組密鑰，屏蔽了所有的破譯條件，這種數據加密方式對破譯者來說是，已知對稱加密算法架構，不知對稱加密算法的編制和密鑰的條件下的單份報破譯，現代電子密碼都是基於大規模集成電路設計的，要突破未知密碼編制和密鑰的現代電子密碼是不可能的。
24、在VPN加密系統中使用非對稱加密算法來加密傳輸選取參數——隨機數和時間戳，即發送方用接收方的公鑰加密選取參數，與密文數據一併發送給接收方，接收方收到該選取參數密文後，用接收方的私鑰解密該選取參數密文，根據解密後的選取參數對接收方「加密要素種子」距陣的元素進行選取，將選出的N組「加密要素種子」，與其他不變「加密要素」及其線路一起生成一套臨時對稱加密算法，再根據解密後的選取參數對對接收方「密鑰種子」距陣的元素進行選取，將選出的N組「密鑰種子」合成一組臨時對稱密鑰，從而，防止選取參數外洩，提高VPN系統的安全等級。


圖1由隨機數和時間戳組成的對L×N距陣元素選取算法結構2VPN系統中起點與終點之間身份認證流程3IPsec協議中IP數據包的數據加、解密流程圖
具體實施例方式以下結合

基於動態加密算法的VPN系統實現步驟圖1說明隨機數和時間戳組成的對L×N距陣元素選取算法結構圖，其中L＝89，N＝16，1、建立對稱加密算法的「加密要素種子」距陣及其對該距陣元素的選取規則(1)取時間戳為7位十進位數，設時間戳ymdh其中y代表「年」為1位數，m代表「月」為2位數，d代表「日」為2位數，h代表」時」為2位數，(2)取隨機數為16位十六進位數，設隨機數S1，S2，S3，S4，S5，S6，S7，S8，S9，S10，S11，S12，S13，S14，S15，S16，(3)以國家2006年初公開的分組算法SMS4為例，來建立SMS4算法中「加密要素種子」距陣，(4)取SMS4算法中的固定參數CK表為「加密要素」，將其擴展為1424組「加密要素種子」，並分成16群，「年」群為10行，「月」群為12行，「日」群為31行，「時」群為24行，第5群～第16群分別為1行，共89行，每行16組，每組8位元組(64比特)即每個元素8位元組(64比特)，共1424個元素構成(89×16)距陣，亦即「加密要素種子」距陣由89行16列共1424個元素組成，(5)建立「加密要素種子」距陣因為SMS4分組加密算法中的32個固定參數CK表中16進位數表示為00070e15，1c232a31，383f464d，545b6269，70777e85，8c939aa1，a8afb6bd，c4cbd2d9，e0e7eef5，fc030a11，181f262d，343b4249，50575e65，6c737a81，888f969d，a4abb2b9，c0c7ced5，dce3eaf1，f8ff060d，141b2229，30373e45，4c535a61，686f767d，848b9299，a0a7aeb5，bcc3cad1，d8dfe6ed，f4fb0209，10171e25，2c333a41，484f565d，646b7279，
設「加密要素種子」距陣中的元素為A0 0，A0 1，…，A0 15，…，A9 0，A9 1，…，A9 15，B01 0，B01 1，…，B01 15，…，B12 0，B12 1，…，B12 15，C01 0，C01 1，…，C01 15，…，C31 0，C31 1，…，C31 15，D01 0，D01 1，…，D01 15，…，D24 0，D24 1，…，D24 15，E0，E1，…， E15，F0，F1，…，F15，G0，G1，…，G15，H0，H1，…，H15，I0，I1，… ，I15，J0，J1，… ，J15，K1，… ，K15，L0，L1，…，L15，M0，M1，…，M15，N0，N1，…，N15，O0，O1，…，O15，P0，P1，…，P15，用VPN晶片中的隨機數發生器生產十六進位隨機數，共生產十六進位隨機數為1424組，每組有16位十六進位數佔8位元組，共11382位元組，將這1424組十六進位的隨機數作為以上「加密要素種子」距陣中元素的內容，並存放在晶片中；(6)建立時間戳和隨機數與「加密要素種子」距陣中的元素之間的對應關係和選取規則對應關係y和S1對應A0 0，A0 1，…，A0 15，…，A9 0，A9 1，…，A9 15，這(10×16)的子距陣；m和S2對應B01 0，B01 1，…，B01 15，…，B12 0，B12 1，…，B12 15，這(12×16)的子距陣；d和S3對應C01 0，C01 1，…，C01 15，…，C31 0，C31 1，…，C31 15，這(31×16)的子距陣；h和S4對應D01 0，D01 1，…，D01 15，…，D24 0，D24 1，…，D24 15，這(24×16)的子距陣；S5對應E0，E1，…， E15，這(1×16)的子距陣；S6對應F0，F1，…，F15，這(1×16)的子距陣；S7對應G0，G1，…，G15，這(1×16)的子距陣；S8對應H0，H1，…，H15，這(1×16)的子距陣；S9對應I0，I1，…，I15，這(1×16)的子距陣；S10對應J0，J1，…，J15，這(1×16)的子距陣；S11對應K0，K1，…，K15，這(1×16)的子距陣；S12對應L0，L1，…，L15，這(1×16)的子距陣；S13對應M0，M1，…，M15，這(1×16)的子距陣；S14對應N0，N1，…，N15，這(1×16)的子距陣；S15對應O0，O1，…，O15，這(1×16)的子距陣；S16對應P0，P1，…，P15，這(1×16)的子距陣，選取規則y和S1選取Ay S1，m和S2選取Bm S2，d和S3選取Cd S3，h和S4選取Dh S4，S5選取ES5，S6選取FS6，S7選取GS7，S8選取SS8，S9選取IS9，S10選取JS10，S11選取KS11，S12選取LS12，S13選取MS13，S14選取NS14，S15選取0S15，S16選取PS16；
(7)舉例當時間為2006年10月6日21時，則時間戳取「6100621」共7位，其中y＝6，m＝10，d＝06，h＝21，設隨機數為「B130F8A765D90245」，根據「加密要素種子」距陣元素的選取算法，被選取圖1中距陣的元素為A6 11、B10 1、C6 3、D21 0、E15、F8、G10、H7、I6、J5、K13、L9、M0、N2、O4、P5；再根據固定參數CK表的結構生成臨時CK表如下 將臨時選出的16組「加密要素種子」即產生的臨時CK表，與SMS4算法中加密算法中的其他不變「加密要素」及其線路，一起組成一套臨時對稱加密算法的編制。
2、建立組合密鑰生成規則(1)取時間戳為7位十進位數，設時間戳ymdh其中y代表「年」為1位數，m代表「月」為2位數，d代表「日」為2位數，h代表」時」為2位數；(2)取隨機數為16位十六進位數，設隨機數S1，S2，S3，S4，S5，S6，S7，S8，S9，S10，S11，S12，S13，S14，S15，S16；(3)取密鑰長度為128比特，設密鑰種子表中的各元素為1位元組即8比特；(4)建立「密鑰種子」距陣設「密鑰種子」距陣中的元素為A0 0，A0 1，…，A0 15，…，A9 0，A9 1，…，A9 15，B01 0，B01 1，…，B01 15，…，B12 0，B12 1，…，B12 15，C01 0，C01 1，…，C01 15，…，C31 0，C31 1，…，C31 15，D01 0，D01 1，…，D01 15，…，D24 0，D24 1，…，D24 15，E0，E1，…，E15，F0，F1，…，F15，G0，G1，…，G15，H0，H1，…，H15，I0，I1，…，I15，J0，J1，…，J15，K1，…，K15，L0，L1，…，L15，M0，M1，…，M15，N0，N1，…，N15，O0，O1，…，O15，P0，P1，…，P15，用VPN晶片中的隨機數發生器生產二進位隨機數，共生產二進位隨機數為1424組，每組有8位二進位數佔1位元組，共1424位元組，將這1424組二進位的隨機數作為以上「密鑰種子」距陣中元素的內容，並存放在晶片中；(5)建立時間戳和隨機數與「密鑰種子」距陣中的元素之間的對應關係和選取規則，對應關係y和S1對應A0 0，A0 1，…，A0 15，…，A9 0，A9 1，…，A9 15，這(10×16)的子距陣；m和S2對應B01 0，B01 1，…，B01 15，…，B12 0，B12 1，…，B12 15，這(12×16)的子距陣；d和S3對應C01 0，C01 1，…，C01 15，…，C31 0，C31 1，…，C31 15，這(31×16)的子距陣；h和S4對應D01 0，D01 1，…，D01 15，…，D24 0，D24 1，…，D24 15，這(24×16)的子距陣；S5對應E0，E1，…，E15，這(1×16)的子距陣；S6對應F0，F1，…，F15，這(1×16)的子距陣；S7對應G0，G1，…，G15，這(1×16)的子距陣；S8對應H0，H1，…，H15，這(1×16)的子距陣；S9對應I0，I1，…，I15，這(1×16)的子距陣；S10對應J0，J1，…，J15，這(1×16)的子距陣；S11對應K0，K1，…，K15，這(1×16)的子距陣；S12對應L0，L1，…，L15，這(1×16)的子距陣；S13對應M0，M1，…，M15，這(1×16)的子距陣；S14對應N0，N1，…，N15，這(1×16)的子距陣；S15對應O0，O1，…，O15，這(1×16)的子距陣；S16對應P0，P1，…，P15，這(1×16)的子距陣；選取規則y和S1選取Ay S1，m和S2選取Bm S2，d和S3選取Cd S3，h和S4選取Dh S4，S5選取ES5，S6選取FS6，S7選取GS7，S8選取HS8，S9選取IS9，S10選取JS10，S11選取KS11，S12選取LS12，S13選取MS13，S14選取NS14，S15選取OS15，S16選取PS16；(6)舉例當時間為2006年10月6日21時，則時間戳取「6100621」共7位，其中y＝6，m＝10，d＝06，h＝21，設隨機數為「B130F8A765D90245」，根據「密鑰種子」距陣元素的選取算法，被選取圖1中距陣的元素為A6 11、B10 1、C6 3、D21 0、E15、F8、G10、H7、I6、J5、K13、L9、M0、N2、O4、P5，則合成的對稱密鑰＝(A6 11B10 1C6 3D21 0E15F8G10H7I6J5K13L9M0N2O4P5)。
圖2說明VPN系統中起點與終點之間的身份認證過程(1)首先，由認證方產生一組N位的N進位隨機數1和一組Z位十進位數的時間戳1；(2)認證方根據隨機數1和時間戳1對「加密要素種子」距陣的控制選取算法，從認證方的加密晶片中，獲得N個「加密要素種子」距陣的元素——「加密要素種子」，與加密算法中的其他不變「加密要素」及其線路，一起生成一套臨時對稱加密算法的編制，再根據該組隨機數和時間戳對「密鑰種子」距陣的控制選取算法，從認證方的加密晶片中，獲得N個「密鑰種子」距陣的元素——「密鑰種子」，併合成一組臨時對稱密鑰；(3)用認證方生成的一套臨時對稱加密算法的編制和一組對稱密鑰，將認證方產生的隨機數1加密成密文即認證口令1；(4)認證方將認證口令1、以及隨機數1和時間戳1等認證參數一併發送給被認證方，同時，生成認證生命周期T，加密系統立刻將臨時生成的一套對稱加密算法的編制和一組對稱密鑰清除；(5)被認證方收到這些認證參數後，根據隨機數1和時間戳1對「加密要素種子」距陣的控制選取算法，從被認證方的加密晶片中，獲得N個「加密要素種子」距陣的元素——「加密要素種子」，與對稱算法中的其他不變「加密要素」及其線路，一起生成一套臨時的對稱加密算法的編制，再根據隨機數1和時間戳1對「密鑰種子」距陣的控制選取算法，從被認證方的加密晶片中，獲得N個「密鑰種子」距陣的元素——「密鑰種子」，併合成一組臨時的對稱密鑰；(6)用被認證方生成的臨時一套對稱加密算法的編制和一組對稱密鑰，將隨機數1加密成密文即認證口令2，再對比認證口令1和認證口令2是否相同？若不相同，則認證失敗，否則認證通過即單向認證完畢，之後，加密系統立刻將臨時生成的一套對稱加密算法的編制和一組對稱密鑰清除；(7)當認證方的身份被認證通過後，由被認證方產生一組N位的N進位隨機數2和一組Z位十進位數的時間戳2；(8)根據隨機數2和時間戳2對「加密要素種子」距陣的控制選取算法，從被認證方的加密晶片中，獲得N個「加密要素種子」距陣的元素——「加密要素種子」，與加密算法中的其他不變「加密要素」及其線路，一起生成一套臨時的對稱加密算法的編制，再根據隨機數2和時間戳2對「密鑰種子」距陣的控制選取算法，從被認證方的加密晶片中，獲得N個「密鑰種子」距陣的元素——「密鑰種子」，併合成一組臨時的對稱密鑰；(9)用被認證方生成的臨時一套對稱加密算法的編制和一組對稱密鑰，將隨機數2加密成密文即認證口令3；(10)被認證方將認證口令3、隨機數2和時間戳2等認證參數一併發送給認證方，之後，加密系統立刻將被認證方臨時生成的一套對稱加密算法的編制和一組對稱密鑰清除，若需要建立SSL加密隧道，則保留該臨時生成的一套對稱加密算法的編制和一組對稱密鑰，以便用於SSL協議中的記錄協議；(11)認證方收到這些認證參數後，根據隨機數2和時間戳2對「加密要素種子」距陣的控制選取算法，從認證方的加密晶片中，獲得N個「加密要素種子」距陣的元素——「加密要素種子」，與加密算法中的其他不變「加密要素」及其線路，一起生成一套臨時的對稱加密算法的編制，再根據隨機數2和時間戳2對「密鑰種子」距陣的控制選取算法，從認證方的加密晶片中，獲得N個「密鑰種子」距陣的元素——「密鑰種子」，併合成一組臨時的對稱密鑰；(12)用認證方生成的一套臨時對稱加密算法的編制和一組對稱密鑰，將收到的隨機碼2加密成密文即認證口令4，之後，計算認證生命周期T是否結束，若T結束則認證未通過，重新認證，若T未結束，再通過對比認證口令3和認證口令4是否相同？若不相同，則認證失敗，否則，認證通過即雙向認證完畢，互相為合法用戶，之後，加密系統立刻將臨時生成的一套對稱加密算法的編制和一組對稱密鑰清除，若需要建立SSL加密隧道，則保留該臨時生成的一套對稱加密算法的編制和一組對稱密鑰，以便用於SSL協議中的記錄協議。
圖3說明基於IPsec協議的VPN網關，對內網IP數據包的數據加、解密的過程(1)由發送方系統產生一組N位N進位隨機數和Z位十進位數的時間戳，根據該組隨機數和時間戳，從發送方VPN晶片中的L×N「加密要素種子」距陣中選出N組「要素種子」即N個距陣的元素，再與加密算法中的其他不變「加密要素」，一起組成一套臨時對稱加密算法的編制；(2)根據系統產生的該組隨機數和時間戳，從發送方VPN晶片中L×N「密鑰種子」距陣中選出N組「密鑰種子」即N個距陣的元素，來合成一組對稱密鑰；(3)用摘要算法摘要內網IP數據包生成內網IP數據包的完整性信息1，發送方用臨時生成的一套對稱加密算法的編制和一組對稱密鑰，將內網IP數據包的數據和內網IP包的完整性信息1加密成密文；(4)將該組隨機數和時間戳，與已經被加密成密文的內網IP數據包和內網IP包的完整性信息1一起發送給接收方，之後，加密系統立刻將臨時生成的一套對稱加密算法的編制和一組對稱密鑰清除(5)接收方根據發送方發來的隨機數和時間戳，從接收方VPN晶片中的L×N「加密要素種子」距陣中選出N組「加密要素種子」即N個距陣的元素，再與對稱加密算法中的其他不變「加密要素」及其線路，一起組成一套臨時對稱加密算法的編制；(6)根據該組隨機數和時間戳，從接受方VPN晶片中的L×N「密鑰種子」距陣中選出N組「密鑰種子」即N個距陣的元素，來合成一組對稱密鑰；(7)接收方用臨時生成的一套臨時對稱加密算法的編制和對稱密鑰，將發送方發來的密文內網IP數據包和內網IP包的完整性信息1解密成明文；
(8)接收方用摘要算法摘要已經被解密成明文的內網IP數據包的數據，生成內網IP包的完整性信息2，再經過對完整性信息1和完整性信息2是否相同，來確定內網IP數據包的數據是否完整，若二者相同，則內網IP數據包的數據完整，否則，內網IP數據包的數據有誤。
權利要求
1.基於動態對稱加密算法的VPN系統，是利用密碼、晶片和網絡技術設計出一套每次進行數據加密時，採用的對稱加密算法的編制都不相同的虛擬專用網絡，其實施步驟如下首先，建立VPN的動態加密算法，將一套對稱加密算法中一種「加密要素」擴展為N群共M組「加密要素種子」即建立L行N列「加密要素種子」距陣，利用動態對稱加密算法的編制生成算法即由時間戳和隨機數組成的選取參數，隨機組合選取N個該距陣的元素——N組「加密要素種子」，將選出的N組「加密要素種子」與對稱加密算法中的其他不變「加密要素」及其線路，一起組成一套對稱加密算法的編制，這種通過組合選取「加密要素種子」，生成的對稱加密算法的編制是動態產生的，一次一變不重複，加密系統僅採用一種對稱密鑰，不採用多種密鑰體系如網絡密鑰、包密鑰和隧道密鑰等，加密系統的對稱密鑰管理是採用密鑰組合生成技術，即採用「密鑰種子」和密鑰生成算法隨機組合生成對稱密鑰，一次一變不重複，實現對稱密鑰更新管理由算法自動完成，免人工維護，VPN網關之間或與客戶機之間的數據加密傳輸和身份認證含建立加密隧道前的起點與終點之間的身份認證，均採用動態對稱加密算法和組合密鑰來進行，認證方式採用雙向認證，並將「加密要素種子」和「密鑰種子」的共同選取參數加密成密文後傳輸，防止選取參數外洩，從而，建立一套安全可靠、結構簡單、高效快速和維護方便的VPN系統。
2.根據權利要求1的方法，其特徵在於(1)建立「加密要素種子」距陣，選定對稱加密算法中的一種「加密要素」，將其擴展成M組並分成N群，若「加密要素」為固定參數或代替表，則擴展方法採用VPN晶片中隨機數發生器來生成二進位隨機數或十六進位隨機數並寫入晶片裡，若選定的「加密要素」為移位、置換、錯亂或混合等，則擴展方法採用人工設計，並進行安全性和可逆性測試後將其參數寫入晶片裡，再將這N群共M組「加密要素種子」作為距陣的元素分成L行N列，組成L×N「加密要素種子」距陣，並將這L×N「加密要素種子」距陣分成N個子距陣即每群「加密要素種子」組成一個子距陣；(2)建立「加密要素種子」距陣中元素的選取算法，①建立選取參數與「加密要素種子」距陣元素的對應關係，將時間戳和隨機數作為選取參數，用時間戳將各群「加密要素種子」分成若干行，其中「年」群為W行，「月」群為12行，「日」群為31行，「時」群為24行，「分鐘」群為60行，「秒」群為60行，第7～第N群分別為1行，將每群「加密要素種子」對應一位N進位的隨機數，共對應N位N進位隨機數，②建立選取參數對「加密要素種子」距陣元素的選取規則，用y和S1結合選取「年」群即W×N子距陣第y行第S1列的元素，用m和S2結合選取「月」群即12×N子距陣第m行第S2列的元素，用d和S3結合選取「日」群即31×N子距陣第d行第S3列的元素，用h和S4結合選取「時」群即24×N子距陣第h行第S4列的元素，用mi和S5結合選取「分鐘」群即60×N子距陣第mi行第S5列的元素，用s和S6結合選取「秒」群即60×N子距陣第s行第S6列的元素，用S7選取第7群即1×N子距陣第S7列的元素，……，用SN選取第N群即1×N子距陣第SN列的元素；(3)建立動態對稱加密算法的編制生成算法，由選取參數對L×N「加密要素種子」距陣的元素進行選取，每次選出N個距陣元素即N組「加密要素種子」，將選出的N組「加密要素種子」，與對稱加密算法中其他不變「加密要素」及其線路，一起組成一套對稱加密算法的編制。
3.根據權利要求1的方法，其特徵在於(1)建立「密鑰種子」距陣，採用VPN晶片中隨機數發生器來生產二進位隨機數作為「密鑰種子」，並存放在晶片裡，將「密鑰種子」分成N群共M組，將這N群共M組「密鑰種子」作為距陣的元素分成L行N列，組成L×N「密鑰種子」距陣，並將這L×N「密鑰種子」距陣分成N個子距陣即每群「密鑰種子」組成一個子距陣；(2)建立「密鑰種子」距陣中元素的選取算法，①建立選取參數與「密鑰種子」距陣元素的對應關係，將時間戳和隨機數作為選取參數，用時間戳將各群「密鑰種子」分成若干行，其中「年」群為W行，「月」群為12行，「日」群為31行，「時」群為24行，「分鐘」群為60行，「秒」群為60行，第7～第N群分別為1行，將每群「密鑰種子」對應一位N進位的隨機數，共對應N位N進位隨機數，②建立選取參數對「密鑰種子」距陣元素的選取規則，用y和S1結合選取「年」群即W×N子距陣第y行第S1列的元素，用m和S2結合選取「月」群即12×N子距陣第m行第S2列的元素，用d和S3結合選取「日」群即31×N子距陣第d行第S3列的元素，用h和S4結合選取「時」群即24×N子距陣第h行第S4列的元素，用mi和S5結合選取「分鐘」群即60×N子距陣第mi行第S5列的元素，用s和S6結合選取「秒」群即60×N子距陣第s行第S6列的元素，用S7選取第7群即1×N子距陣第S7列的元素，……，用SN選取第N群即1×N子距陣第SN列的元素；(3)建立對稱密鑰生成算法，由選取參數對L×N「密鑰種子」距陣的元素進行選取，將選出的N個距陣元素即N組「密鑰種子」合成一組對稱密鑰。
4.根據權利要求2和3的方法，其特徵在於(1)每次產生的N位N進位隨機數是由VPN晶片中的隨機數發生器生成，每次產生的Z位十進位數的時間戳是由計算機系統的時間函數生成，時間戳中的年、月、日、時、分鐘和秒都隨計算機系統時間的變化而變化；(2)根據時間戳和隨機數，從L×N「加密要素種子」距陣中，選出的N個距陣的元素即N組「加密要素種子」，是L行N列「加密要素種子」的組合，其變化量大於NN；(3)根據時間戳和隨機數，從L×N「加密要素種子」距陣中，選出的N個距陣的元素即N組「加密要素種子」，與對稱加密算法中其他不變「加密要素」及其線路，一起組成的對稱加密算法的編制是隨機產生的，一次一變不重複，且該對稱加密算法的編制是臨時生成，使用後不保留，被加密系統立刻清除；(4)根據時間戳和隨機數，從L×N「密鑰種子」距陣中，選出的N個距陣的元素即N組「密鑰種子」，是L行N列「密鑰種子」的組合，其變化量大於NN；(5)根據時間戳和隨機數，從L×N「密鑰種子」距陣中，選出的N個距陣的元素即N組「密鑰種子」，合成的對稱密鑰是隨機生成，一次一變不重複，且該對稱密鑰也是臨時生成，使用後不保留，被系統立刻清除。
5.根據權利要求1、2和3的方法，其特徵在於(1)對稱加密算法的「加密要素種子」和「密鑰種子」的選取，採用相同的選取算法即採用相同的距陣元素選取規則，用同一組選取參數——N位N進位隨機數和Z位十進位數的時間戳，來對相同架構的L×N距陣元素進行選取，其中兩種距陣中元素表示的內容不同，前者表示「加密要素種子」後者表示「密鑰種子」；(2)發送方通過傳遞同一組選取參數即N位N進位隨機數和Z位十進位數的時間戳給接收方，來實現對稱密鑰的交換，同時，實現接收方對稱加密算法中「加密要素種子」的選取；(3)VPN系統中數據加密採用動態對稱加密算法和組合密鑰來實現，且對稱加密算法的編制一次一變不重複，組合生成的對稱密鑰也是一次一變不重複，運行效率高，維護成本低，不象其他VPN系統那樣，為提高VPN的安全強度，採用多種密鑰體系如網絡密鑰、包密鑰和隧道密鑰等，來進行層層疊加式加密對稱密鑰，運行效率低，維護成本高；(4)VPN系統的加密過程是發送方產生一組N位N進位隨機數和Z位十進位的時間戳，根據該選取參數從發送方對稱加密算法的「加密要素種子」距陣元素中選出N個元素，將選出的N組「加密要素種子」與對稱加密算法中其他不變「加密要素」及其線路，一起組成一套對稱加密算法的編制，再根據該選取參數，從發送方「密鑰種子」距陣元素中選出N個元素併合成對稱密鑰，發送方公開傳輸該選取參數給接收方，接收方根據發送方發來的選取參數，從接收方「密鑰種子」距陣元素中選出N個元素併合成對稱密鑰，再根據該選取參數，從接收方對稱加密算法的「加密要素種子」距陣元素中選出N個元素，將選出的N組「加密要素種子」與對稱加密算法中其他不變「加密要素」及其線路，一起組成對稱加密算法的編制。
6.根據權利要求1和5的方法，其特徵在於(1)當建立IPSes協議的VPN時，建立隧道階段採用動態對稱加密算法和組合密鑰來進行起點與終點IP位址之間的雙向認證，隧道通信階段每個IP數據包都使用一組對稱密鑰和一套對稱加密算法的編制來加解密，不同的IP數據包採用不同的一組對稱密鑰和一套對稱加密算法的編制來加解密，為保證IP數據包傳輸的完整性，使用摘要算法對擬發送的IP數據包的數據進行摘要，並將加密成密文的IP數據包完整性信息與IP數據包一起發送給接收方；(2)當建立SSL協議的VPN時，SSL協議中的握手協議採用動態對稱加密算法和組合密鑰來進行起點與終點之間的雙向認證，SSL協議中的記錄協議完成握手協議後，並獲得了臨時生成的一套對稱加密算法的編制和一組對稱密鑰，用該臨時對稱加密算法的編制和對稱密鑰來完成SSL協議中的記錄協議，一次隧道聯接後，使用一組對稱密鑰和一套對稱加密算法的編制完成加解密數據，每次隧道聯接後，都使用不同的一套對稱加密算法的編制和一組對稱密鑰來加解密數據。
7.根據權利要求6的方法，其特徵在於在建立SSL加密隧道過程中，若雙向認證未通過，則加密系統立刻清除認證雙方保留的臨時對稱加密算法的編制和對稱密鑰，若雙向認證通過後，則保留雙方第2次產生的對稱加密算法的編制和對稱密鑰即單向認證通過後進入雙向認證過程中產生的對稱加密算法的編制和對稱密鑰，來完成隧道之間數據相互傳輸的加解密。
8.根據權利要求1和6的方法，其特徵在於(1)建立IPSec協議隧道，在建立隧道階段不採用國際上標準IPSec協議即使用非對稱加密算法進行各類對稱密鑰、對稱加密算法及其對稱加密算法版本的協商，都採用動態對稱加密算法和組合密鑰，並通過雙向認證來實現；(2)建立SSL協議隧道，在握手協議中不採用國際上標準SSL協議中握手協議即用非對稱加密算法進行各類對稱密鑰、對稱加密算法及其對稱加密算法版本的協商，都採用動態對稱加密算法和組合密鑰，並通過雙向認證來實現；(3)雙向認證的認證過程是由認證方生成時間戳和隨機數，根據時間戳和隨機數生成臨時對稱加密算法的編制和對稱密鑰，加密隨機數生成認證口令1，再將時間戳、隨機數和認證口令1等認證參數發送給被認證方，同時，認證方產生認證生命周期T，被認證方收到認證方發送來的認證參數後，根據時間戳和隨機數生成臨時對稱加密算法的編制和對稱密鑰，加密隨機數生成認證口令2，經過對比認證口令1和2是否相同，來確定認證方的身份是否合法，若合法，則被認證方再以相同的方法產生認證參數並發送給認證方，來確定被認證方的身份，同時，認證方計算認證時間周期T是否結束，來控制雙向認證的時間，以免被他人截獲認證參數對加密系統進行攻擊。
9.根據權利要求1、5、6和8的方法，其特徵在於(1)在VPN加密系統中，對稱加密算法的編制和密鑰一次一變即每加密一組數據採用一套密碼編制和一組密鑰，屏蔽了所有的破譯條件，破譯者面對的是，已知對稱加密算法架構，不知對稱加密算法的編制和密鑰的條件下的單份報破譯，現代電子密碼都是基於大規模集成電路設計的，要突破未知密碼編制和密鑰的現代電子密碼是不可能的；(2)在VPN加密系統中，使用非對稱加密算法來加密傳輸「加密要素種子」和「密鑰種子」的共同選取參數——隨機數和時間戳，即發送方用接收方的公鑰加密選取參數，接收方收到該選取參數密文後，用接收方的私鑰解密該選取參數密文，從而，進一步提高VPN系統的安全等級。
10.根據權利要求1、2、3、6、8和9的方法，其特徵在於將對稱加密算法、L×N 「加密要素種子」距陣、L×N「密鑰種子」距陣、摘要算法、非對稱加密算法、私鑰、以及動態對稱加密算法的編制生成算法和對稱密鑰生成算法等存放在VPN硬體的晶片中，在VPN硬體的晶片中生成臨時對稱加密算法的編制和對稱密鑰，並在晶片中用動態對稱算法和組合密鑰進行數據加解密，用私鑰解密選取參數密文，在晶片中還用摘要算法對IP數據包的數據進行摘要等，從而，增強VPN網關抵禦黑客攻擊其加密系統的能力。
全文摘要
基於動態加密算法的VPN系統，是利用密碼、晶片和網絡技術，設計出一套動態對稱加密算法，使得每次進行數據加密時，採用的對稱加密算法的編制都不相同的虛擬專用網絡，加密系統僅採用一種對稱密鑰即不採用多種密鑰體系如網絡密鑰、包密鑰和隧道密鑰等，加密系統通過建立動態對稱加密算法的編制生成算法和對稱密鑰生成算法，隨機組合生成對稱加密算法的編制和對稱密鑰，一次一變不重複，並實現對稱密鑰更新由算法自動完成，免人工維護，從而，建立一套安全可靠、結構簡單、高效快速和維護方便的VPN系統。
文檔編號H04L29/06GK1972237SQ20061014439
公開日2007年5月30日 申請日期2006年12月6日 優先權日2006年12月6日
發明者胡祥義 申請人:胡祥義