本發明涉及一種基于網絡隱蔽通道的TLS協議構建方法及系統，其構建方法包括：調制TLS協議握手過程中的加密套件以及密鑰交換參數為隱蔽信息，配合TLS協議完成整個握手過程。本發明利用隱蔽通道完成TLS協議中密鑰交換，保障了TLS協議中關鍵信息的隱蔽性傳輸，同時在不影響TLS協議握手時間的情況下，有效地提升了TLS通信過程的安全性。

技術領域

本發明涉及網絡安全、信息傳輸、安全通信領域，特別是涉及一種基于網絡隱蔽通道的TLS協議構建方法及系統。

背景技術

網絡隱蔽通道作為一種應用在網絡流量中的正常信道外的隱藏非常規信道，旨在隱藏通信過程本身的存在，具有良好的隱蔽性，已成為在不受信任的網絡中傳輸保密信息的一種安全有效方法，但該方法存在信息傳輸速率較低的問題，無法應用于大規模數據傳輸。而信息安全傳輸的另一種方法TLS協議通過密鑰交換協商出對稱密鑰，再用對稱密鑰加密數據，能夠支持高速率的數據傳輸。

隱蔽通道主要可分為存儲型隱蔽通道和時間型隱蔽通道，其中存儲型隱蔽通道的一個典型的應用是利用TCP數據包中時間戳的最低有效位來隱藏數據，其中隱蔽數據的嵌入不會改變正常流量的行為或統計特性，但每個數據包只能攜帶一比特的隱蔽數據，造成隱蔽信息傳輸速率低下。

本發明將TLS協議加密通信與網絡隱蔽通道結合，在隱蔽通道傳輸完密鑰后，再傳輸密鑰加密的數據，其中隱蔽通道傳輸只少量密鑰數據，從整體上解決了隱蔽通道無法支持大量數據量傳輸的問題；同時利用隱蔽通道隱藏部分TLS協議的通信過程，增強了TLS協議通信的安全性。

發明內容

本發明的目的是提供一種基于網絡隱蔽通道的TLS協議構建方法及系統，利用隱蔽通道實現TLS協議的密鑰交換，提高數據傳輸安全性、增強信息傳輸高效性。

為實現上述目的，本發明提供了如下方案：

一種基于網絡隱蔽通道的TLS協議構建方法，所述方法包含以下步驟：

1)隱蔽通道服務器端與隱蔽通道客戶端轉發TLS客戶端發送的Client Hello數據包；

2)隱蔽通道服務器端獲取來自TLS服務器端發送的Server Hello數據包，調制Server Hello數據包中加密套件信息為隱蔽信息，修改Server Hello數據包中加密套件字段為構造的加密套件信息，所述構造的加密套件根據Server Hello數據包中加密套件信息生成，利用隱蔽通道發送經過修改的Server Hello數據包；

3)隱蔽通道客戶端獲取來自隱蔽通道服務器端發送的Server Hello數據包，解調Server Hello數據包中隱蔽信息為加密套件信息，修改Server Hello數據包中加密套件字段為解調的加密套件信息，發送經過修改的Server Hello數據包至TLS客戶端；

4)隱蔽通道服務器端與隱蔽通道客戶端轉發TLS服務器端發送的Certificate數據包；

5)隱蔽通道服務器端判斷TLS服務器端發送的數據包類型，若是Server KeyExchange消息，獲取TLS 服務器端發送的Server Key Exchange數據包，調制Server KeyExchange數據中密鑰交換參數為隱蔽信息，修改Server Key Exchange數據包中密鑰交換參數字段為構造的密鑰交換參數，其中所述構造的密鑰交換參數根據所述構造的加密套件生成，利用隱蔽通道發送經過修改的Server Key Exchange數據包，若是Server HelloDone消息，隱蔽通道服務器端與隱蔽通道客戶端轉發Server Hello Done數據包；