一种基于统计概率的密码分析系统及方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于统计概率的密码分析系统及方法。

背景技术

在网络空间成为各国争相抢夺的新疆域的同时，网络安全威胁持续蔓延，在我国信息技术产业对国外操作系统、高性能芯片等核心软硬件强依赖的现状下，我国金融、电信、航空、政府、军工等领域关键信息基础设施面临着巨大安全威胁，我国网络空间面临着非常严峻的安全挑战。

密码因其在网络空间中对于身份鉴别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用，成为保障网络与信息安全最有效、最可靠、最经济的手段，是保障网络安全的核心技术，是构建网络信任的基石，能够有效消除或控制潜在的"安全危机″，实现被动防御向主动免疫的战略转变。目前信息系统的密码应用规范性较差，还存在着大量的乱用、误用密码的现象，大量的信息系统仍然在使用已经被证明不安全的密码算法，使密码在网络空间的保护作用大打折扣。

在网络空间中，具有加密通信关系的两个主体的加密通信数据混迹于大量的通信报文中，缺乏一种自动分析、自动捕获两个密码总体之间密码密钥体系的技术。同时，现代密码算法通过扩散、混淆使密文和密钥特征隐藏在密码算法生成的近似随机数中，使通过密文分析直接进行密码算法识别存在困难，只能分析通信密码协议中的标识字段推断密码算法的使用，存在被欺骗的可能，可以归结为存在唯密文密码算法识别难问题。

现有技术方案中，CN111030815A公开了一种商用密码应用加密有效性的在线检测方法及装置，可以在非侵入密码设备的情况下，不用知晓密码算法、加密工作模式、加密密钥的条件下，对加密有效性进行检测；但是该方法仅判断了报文数据是否加密，未对通信主体进行梳理判断，对密码使用效果的检测缺乏针对性。其次这种方法在采集数据时未进行区分，存在大量明文数据混迹于密文数据中，使判断结果产生偏差，同时这种方法针对的是小样本，在随机数检测中容易产生偏差。该方法只针对随机性的统计特征进行分析，未对随机数的熵特征和频域特征进行分析，缺乏随机序列信息冗余度方面的分析角度。

发明内容

针对现有技术的不足，本发明提供一种基于统计概率的密码分析系统及方法，该方法首先对密文序列进行局部周期检测，确定若干弱随机性现象区间，然后对弱随机性现象区间的统计特征进行提取，达到在对信息系统进行流量分析的基础上，进行密码通信关系的判断和所用密码算法的特征识别。

为解决上述技术问题，本发明所采取的技术方案是：

一方面，一种基于统计概率的密码分析系统，包括流量分析单元、密文抓取单元、归类存储单元、周期分析单元、随机性检测单元、统计结果汇总单元、标准算法随机特征对照单元；

所述流量分析单元将过滤获取使用网络加密协议(IPSec VPN/SSL VPN)的流量，并依据初始输入的目标网络地址进行筛选，得到网络中使用密码协议进行通信的各主体及之间的通信关系；

所述密文抓取单元将过滤获取的流量依照通信关系进行分组，获取加密载荷数据，将加密载荷数据分类传送给归类存储单元；

所述归类存储单元将获取的加密载荷数据按照通信关系分类存储，在达到初设阈值后传送给周期分析单元和随机性检测单元；

所述周期分析单元将加密载荷数据进行局部周期现象的特性分析，得到随机性减弱的周期现象列表；

所述局部周期现象，是指在一个完整的生命周期序列中，除存在影响序列整体统计特性的周期、不完整重复的近似周期现象外，还在局部时序内出现不完整的周期现象；

所述随机性检测单元对待测数据进行随机性检测，从单比特频数检验、块内频数检验、游程检验、块内最长游程检验、二元矩阵秩检验、离散傅里叶变换检验、非重叠模块匹配检验、重叠模块匹配检验、、线性复杂度检验、序列检验、Maurer的通用统计检验、Lempel-ziv压缩检验、近似熵检验、累加和检验、随机游动检验、随机游动状态频数检验16个维度来分析待测数据的随机统计特性；

所述统计结果汇总单元综合周期分析单元与随机性检测单元的分析结果；

所述标准算法随机特征对照单元将统计结果与加密算法的特征进行对比推算得到各通信关系的密码算法，推断信息系统密码算法使用情况。

另一方面，一种基于统计概率的密码分析方法，采用前述一种基于统计概率的密码分析系统实现，包括以下步骤：

步骤1：将密码分析系统的流量分析单元接入信息系统所在网络，分析网络中的数据流量，识别密码通信主体；

步骤2：密文抓取单元捕获识别出的密码通信主体的加密载荷数据；

步骤3：归类存储单元对捕获的数据按照密码通信主体进行分类存储，达到阈值后提示；

步骤4：周期性分析单元对捕获的数据进行局部周期性分析，得到周期性检测结果；

步骤5：随机性检测单元对捕获的疏浚进行随机性分析；得到单比特频数检验、块内频数检验、游程检验、块内最长游程检验、二元矩阵秩检验、离散傅里叶变换检验、非重叠模块匹配检验、重叠模块匹配检验、Maurer的通用统计检验、Lempel-ziv压缩检验、线性复杂度检验、序列检验、近似熵检验、累加和检验、随机游动检验、随机游动状态频数检验16个维度的分析结果；

步骤6：统计结果汇总单元汇总周期性检测结果和16个维度的随机性分析结果，得到捕获密文所用密码算法的统计特征；

步骤7：标准算法随机特征对照单元将捕获密文所用密码算法的统计特征与标准密码算法的统计特征进行对比，识别出捕获密文所用的密码算法。

采用上述技术方案所产生的有益效果在于：

本发明提出了一种基于统计概率的密码分析系统及方法，可以增加信息系统密码应用安全性评估唯密文分析密码算法识别手段，提高评估效率，丰富评估依据。对商用密码应用安全性专业评估人员，借助本方法，可以更有效提高判断信息系统中包涵的密码技术应用体系，包括密码体系的密码算法种类、用途以及有效时机等。

附图说明

图1为本发明实施例密码分析系统结构图；

图2为本发明密码分析方法的总体流程图；

图3为本发明实施例分析图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

一种基于统计概率的密码分析系统，如图1所示，包括流量分析单元、密文抓取单元、归类存储单元、周期分析单元、随机性检测单元、统计结果汇总单元、标准算法随机特征对照单元；

所述流量分析单元将过滤获取使用网络加密协议(IPSec VPN/SSL VPN)的流量，并依据初始输入的目标网络地址进行筛选，得到网络中使用密码协议进行通信的各主体及之间的通信关系；

所述密文抓取单元将过滤获取的流量依照通信关系进行分组，获取加密载荷数据，将加密载荷数据分类传送给归类存储单元；

所述归类存储单元将获取的加密载荷数据按照通信关系分类存储，在达到初设阈值后传送给周期分析单元和随机性检测单元；

所述周期分析单元将加密载荷数据进行局部周期现象的特性分析，得到随机性减弱的周期现象列表；

所述局部周期现象，是指在一个完整的生命周期序列中，除存在影响序列整体统计特性的周期、不完整重复的近似周期现象外，还在局部时序内出现不完整的周期现象；

本实施例中局部周期包括但不限于：序列局部出现的周期性重叠模板、不均衡的特殊符号等；从不完整周期现象覆盖序列区间范围角度看，近似周期可视为局部周期现象的特例，精确周期可视为近似周期现象的特例。在利用密码技术的网络数据流中，多种条件均可以产生明确的局部周期现象，同时此类现象很难通过传统随机性检查发现，又确实存在密码协议特征。例如：经对称加密变换的长分组数据流，密文中每数据分组的协议标识部分就可能在序列流中形成多个局部周期现象。

本实施例中随机性减弱的周期现象列表，即在一个序列中，通过特定的计算方式，按照局部周期特性分析结果，列举全部可能导致序列随机性减弱的局部周期现象的作用区间，间隔周期、重叠模板以及不均衡的特殊符号。精确周期可视为，作用区间为全序列、重叠模板长度与间隔周期相同的局部周期现象特例；近似周期可视为，作用区间为全序列、重叠模板长度小于间隔周期相同的局部周期现象特例或多个局部周期现象组合。

所述随机性检测单元对待测数据进行随机性检测，从单比特频数检验、块内频数检验、游程检验、块内最长游程检验、二元矩阵秩检验、离散傅里叶变换检验、非重叠模块匹配检验、重叠模块匹配检验、、线性复杂度检验、序列检验、Maurer的通用统计检验、Lempel-ziv压缩检验、近似熵检验、累加和检验、随机游动检验、随机游动状态频数检验16个维度来分析待测数据的随机统计特性；

所述统计结果汇总单元综合周期分析单元与随机性检测单元的分析结果；

所述标准算法随机特征对照单元将统计结果与加密算法的特征进行对比推算得到各通信关系的密码算法，推断信息系统密码算法使用情况。

本实施例中加密算法包括RSA/AES/DES/SM2/SM4算法；

另一方面，一种基于统计概率的密码分析方法，如图2所示，采用前述一种基于统计概率的密码分析系统实现，包括以下步骤：

步骤1：将密码分析系统的流量分析单元接入信息系统所在网络，分析网络中的数据流量，识别密码通信主体；

步骤2：密文抓取单元捕获识别出的密码通信主体的加密载荷数据；

步骤3：归类存储单元对捕获的数据按照密码通信主体进行分类存储，达到阈值后提示；

步骤4：周期性分析单元对捕获的数据进行局部周期性分析，得到周期性检测结果；

步骤5：随机性检测单元对捕获的疏浚进行随机性分析；得到单比特频数检验、块内频数检验、游程检验、块内最长游程检验、二元矩阵秩检验、离散傅里叶变换检验、非重叠模块匹配检验、重叠模块匹配检验、Maurer的通用统计检验、Lempel-ziv压缩检验、线性复杂度检验、序列检验、近似熵检验、累加和检验、随机游动检验、随机游动状态频数检验16个维度的分析结果；

步骤6：统计结果汇总单元汇总周期性检测结果和16个维度的随机性分析结果，得到捕获密文所用密码算法的统计特征；

步骤7：标准算法随机特征对照单元将捕获密文所用密码算法的统计特征与标准密码算法的统计特征进行对比，识别出捕获密文所用的密码算法。

本实施例中测试系统接入被测信息系统所在网络后，流量分析单元通过端口镜像的方式分析网络中的数据流量，进而识别各通信单元的密码通信主体；将识别出的密码通信主体发送至密文抓取单元，该单元抓取相应通信主体的通信数据，并对加密载荷进行分类；归类存储单元对捕获的数据按照密码通信主体进行分类存储，该存储单元拥有存储量限制，达到阈值后给出相应提示；周期性分析单元对归类存储单元存储的数据进行局部周期性分析，得到周期性检测结果；随机性检测单元对捕获的数据进行随机性分析，得到单比特频数检验、块内频数检验、游程检验、块内最长游程检验、二元矩阵秩检验、离散傅里叶变换检验、非重叠模块匹配检验、重叠模块匹配检验、Maurer的通用统计检验、Lempel-ziv压缩检验、线性复杂度检验、序列检验、近似熵检验、累加和检验、随机游动检验、随机游动状态频数检验16个维度的分析结果；统计结果汇总单元汇总周期性检测结果和16个维度的随机性分析结果，得到捕获密文所用密码算法的统计特征；标准算法随机特征对照单元将捕获密文所用密码算法的统计特征与标准密码算法的统计特征进行对比，识别出捕获密文所用的加密算法。

本实施例密码分析系统实施案例如图3所示，其中XXX信息系统为待测系统，其数据流全部汇集至数据传输设备，测试系统接入数据传输设备后对数据进行采集分析。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开的实施例中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。