CN101163145A - 一种传输数据包的方法及装置和协商密钥的方法 - Google Patents
一种传输数据包的方法及装置和协商密钥的方法 Download PDFInfo
- Publication number
- CN101163145A CN101163145A CNA2007101664673A CN200710166467A CN101163145A CN 101163145 A CN101163145 A CN 101163145A CN A2007101664673 A CNA2007101664673 A CN A2007101664673A CN 200710166467 A CN200710166467 A CN 200710166467A CN 101163145 A CN101163145 A CN 101163145A
- Authority
- CN
- China
- Prior art keywords
- key
- indication information
- loading section
- packet
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明属于通信安全技术领域,提供了一种数据包传输的方法及装置和密钥协商的方法,该数据包传输的方法具体包括:在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息;根据所述填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据;利用预设协议头加密密钥对数据包负载部分的协议头和预设字段进行加密;将加密后的数据包进行传输。以上技术方案具有如下有益效果:能够减少加密传输数据所需要的开销,并且可以使报文的长度特征模糊,从而实现防检测的目的。
Description
技术领域
本发明涉及通信安全技术领域,尤其涉及一种传输数据包的装置及设备和协商密钥的方法。
背景技术
随着网络应用的普及以及网络的开放性特征,可以在网络的任意位置设置捕包工具,就可以获取流经设置有捕包工具位置处的数据包,而且可以检测出数据包所在流应用的协议。现有的数据包检测技术主要有端口检测、深度报文检测、流量特征分析。例如,如果一条流中存在TCP(TransmissionControl Protocol,传输控制协议)报文的有效负载长度为63字节,前八字节为39 00 00 00 8d 83 31 1e,根据深度报文检测技术,就可以判断该条流是属于P2P(Peer to peer,点对点)的软件的业务流。并且根据流量特征分析检测技术,如果在两台主机之间同时建立的多个连接,无论是TCP连接还是UDP(UserDate Protocol,用户数据报文协议)连接都采用高端端口,而且这些并发连接的端口号是连续的,则它们的会话是基于P2P(Peer to peer,点对点)的应用。因此,在传输数据的过程中,数据流可能会被检测到。
目前各厂商为了防止数据包检测技术对数据流的检测,采用了如下一些防检测的技术:采用变换端口的方式,例如,基于P2P应用的软件赋予软件使用者随意更改端口号的功能,甚至可以采用知名端口,如80端口进行通信;即时通信软件如MSN(Microsoft service Network,微软网络服务)、腾迅则采用加密的方式,防止深度报文检测。但是由于部分报文的长度特征等,网络上的数据流还是可以识别的。
现有技术一:在BT(Bit Torrent,比特洪流)协议加密中,会话双方首先交换密钥加密算法生成共享密钥所需要的基本材料信息。在交换过密钥生成材料信息以后,会话双方可以各自生成完全一样的共享会话密钥,保护其后的会话,在该密钥的生成过程中还用到了准备下载的文件的种子的特征码infohash值,以保证在不同的会话过程中生成不同的密钥,然后再使用RC4对称加密算法进行加密;同时为了模糊长度特征,需要填充一些长度不定的随机数据。
但是,在实现现有技术的过程中,发明人发现现有技术至少存在如下问题:在交换生成密钥所需材料信息的过程中,报文的长度特征无法模糊,由于传输的数据在很多场合中本身就是随机的,如果对于整条流进行加密,会增加加密所需的时间;另外,机器也会增加一些不必要的开销。
现有技术二:eMule(electronic Mule,电骡)模糊协议中控制信息与数据的传输有TCP和UDP两种方式,但是这两种方式的区别不是很大,主要的不同之处在于固定端的UDP连接的接收密钥与发送密钥一致,而TCP连接的接收密钥与发送密钥不同。在建立连接以后,首先是客户端与服务器端的交互过程,客户端与服务器端分别就在交互过程中传输的一些参数通过MD5(MessageDigest 5,消息摘要5)算法生成会话密钥。在其后的会话过程中客户端从服务器获取拥有其打算下载文件的客户端的信息,而这个过程是使用交互过程中创建的密钥对整条流加密的。客户端在与具体的某一客户端通信时,具体流程同客户端与服务器端之间的交互过程以及其后的会话过程所采用的加密算法和密钥生成算法一致。
但是,在实现现有技术的过程中,发明人发现现有技术至少存在如下问题:利用目前的检测技术对eMule模糊协议的报文进行检测,可以发现经过加密后,部分报文还存在一定的长度特征。另外,如果会话双方的其中一方采用了加密模式,而另外一方没有采用加密模式,那么会话无法进行;并且由于是对整条流加密,所以开销也比较大。
发明内容
本发明实施例要解决的技术问题是提供一种传输数据包的方法及装置和协商密钥的方法,能够减少加密传输数据所需要的开销,并且可以使报文的长度特征模糊,从而实现防检测。
为解决上述技术问题,本发明的目的是通过以下技术方案实现的:
本发明实施例一方面提供了一种协商密钥的的方法,包括:
发送方获取通信方的公钥信息;
在包括密钥协商相关信息的数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息;
根据所述填充数据长度指示信息和起始位置指示信息,对所述密钥协商相关信息的数据包负载部分的数据部分填充数据;
利用所述公钥对密钥协商相关信息的数据包负载部分的协议头和预设字段进行加密;
将加密后的所述密钥协商相关信息的数据包发送到通信方,与通信方协商密钥。
本发明实施例另一方面提供了一种协商密钥的的方法,包括:
通信方接收发送方的密钥协商相关信息的数据包;
利用所述通信方的私钥和预设的加密策略对所述数据包进行解密,获得所述发送方的密钥协商相关信息;
根据所述发送方的密钥协商相关信息,与通信方协商密钥。
本发明实施例另一方面还提供了一种传输数据包的方法,包括:
在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息;
根据所述填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据;
利用预设协议头加密密钥对数据包负载部分的协议头和预设字段进行加密;
将加密后的数据包进行传输。
本发明实施例另一方面还提供了一种传输数据包的装置,包括:
协议头协商单元,用于在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息;
填充单元,用于根据所述填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据;
加密单元,用于利用预设协议头加密密钥对数据包负载部分的协议头和预设字段进行加密;
传输单元,用于将加密后的数据包进行传输。
以上技术方案可以看出,由于在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息,根据所述填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据,因此模糊了报文的长度;由于只对数据包负载部分的协议头和预设字段进行加密,不对数据包负载部分的数据部分加密,节省了加密数据包所需要的时间和开销。
附图说明
图1为本发明方法提供的实施例一的流程图;
图2为本发明方法提供的实施例二的流程图;
图3为本发明方法提供的实施例三的流程图;
图4为本发明装置提供的实施例一的示意图;
图5为本发明装置提供的实施例二的示意图。
具体实施方式
本发明实施例提供了一种传输数据包的方法及装置和协商密钥的方法,为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
参见图1为本发明方法提供的实施例一的流程图,描述了一种协商密钥的方法,包括:
101:通信双方预先协商或者在通信双方的通信协议中预先定义:数据包负载部分的协议头之前预设字段部分表示填充数据长度指示信息和起始位置指示信息;填充数据长度指示信息表示在数据包负载部分的数据部分填充数据的长度;起始位置指示信息表示在数据包负载部分的数据部分填充数据的起始位置。
其中,常规数据包的结构如表一所示,数据包的负载部分包括协议头和数据部分,所述协议中定义的数据包的结构如表二所示,数据包的负载部分包括:预设字段、协议头、经过填充数据的数据部分。
表一
表二
102:获得通信方的公钥。例如,会话发起方在安全通道中向通信方发送自己的公钥信息,通信方利用会话发起方的公钥加密自己的公钥后发送给会话发起方,会话发起方获得通信方的公钥。具体的加密策略为:通信方通信将包含自己公钥信息的数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息;根据所述填充数据长度指示信息和起始位置指示信息,对包含通信方密钥信息的数据包负载部分的数据部分填充数据;利用会话发起方的公钥对包含通信方密钥信息的数据包负载部分的协议头和预设字段进行加密。
或者,如果加密算法及密钥预先保存到通信双方的通信软件中,会话发起方利用该保存在通信软件中的密钥加自己的公钥信息,发送给通信方,通信方解密后获得会话发起方的公钥,利用会话发起方的公钥加密自己的公钥后发送给会话发起方,会话发起方获得通信方的公钥。具体的加密策略相同,不再赘述。其中,当所述通信软件的版本升级时,对保存在软件中的加密算法及密钥进行更新。
103:在包括密钥协商相关信息的数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息。
104:根据所述填充数据长度指示信息和起始位置指示信息,对所述密钥协商相关信息的数据包负载部分的数据部分填充数据。
105:利用所述通信方的公钥对密钥协商相关信息的数据包负载部分的协议头和预设字段进行加密。
106:将加密后的所述密钥协商相关信息的数据包发送到通信方,与通信方协商密钥。
该实施例提供的密钥协商的方法,由于在密钥协商过程中对协商相关信息的数据包负载部分数据部分填充数据,模糊了数据部分的长度特征,提高了安全性,并且只对协商相关信息的数据包负载部分的协议头和预设的字段加密,减少了秘要协商过程的开支。
其中,所述预设字段部分的指示信息根据具体的要求规定,例如,预设的字段部分的长度为4字节,其中2字节表示长度指示信息,另外2字节表示起始位置指示信息。对数据包负载部分的数据部分填充数据的起始位置可以在数据包负载部分的数据部分之前;或者,在数据包负载部分的数据部分之后;或者,在数据包负载部分的数据部分的中间位置。
上述实施例一从发送方描述了密钥协商的方法,下面从通信方描述密钥协商的方法,具体如下:
通信方接收发送方的密钥协商相关信息的数据包。
利用所述通信方的私钥和预设的加密策略对所述数据包进行解密,获得所述发送方的密钥协商相关信息。其中,该加密策略包括:数据包负载部分的协议头之前预设字段部分表示填充数据长度指示信息和起始位置指示信息;填充数据长度指示信息表示在数据包负载部分的数据部分填充数据的长度;起始位置指示信息表示在数据包负载部分的数据部分填充数据的起始位置。
根据所述发送方的密钥协商相关信息, 向发送方发送同意所述发送方密钥协商相关信息的确认消息。或者,
获取发送方的公钥信息。其中,该取方法包括:通信方在安全通道中向发送方发送通信方的公钥信息;接收发送方利用所述通信方的公钥加密的发送方的公钥信息;或者,预先保存加密算法及密钥到通信双方的通信软件中,利用所述加密算法及密钥加密所述通信方的公钥,并将加密后所述通信方的公钥发送给发送方;通信方接收发送方利用所述通信方的公钥加密后的发送方的公钥信息。
根据所述加密策略和所述发送方的公钥信息,加密通信方的密钥协商相关信息的数据包;
将加密后的所述通信方的密钥协商相关信息的数据包发送到通信方,与通信方协商密钥。
参见图2,为本发明方法提供的实施例二的流程图,描述了一种传输数据包的方法,包括:
201:通信双方预先协商或者在通信双方的通信协议中预先定义:数据包负载部分的协议头之前预设字段部分表示填充数据长度指示信息和起始位置指示信息;填充数据长度指示信息表示在数据包负载部分的数据部分填充数据的长度;起始位置指示信息表示在数据包负载部分的数据部分填充数据的起始位置。
202:利用实施例一提供的密钥协商方法协商协议头加密密钥。其中,如果会话发起方和通信方在密钥协商过程中不是在安全通道通信的,在步骤201之前,还需将加密算法及密钥保存在会话方起方和通信方的通信软件中,用于在会话协商过程中会话发起方的公钥进行加密。
203:在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息。
204:根据所述填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据。
205:利用协商的协议头加密密钥对数据包负载部分的协议头和预设字段进行加密。
206:将加密后的数据包进行传输。该加密后数据包包括:经过加密的协议头和预设字段、经过数据填充后的数据部分。
其中,会话发起方与通信方也可以利用实施例一提供的密钥协商方法协商新的协议头加密密钥,进入会话阶段后,利用新的协议头加密密钥对数据包负载部分的协议头和预设字段进行加密。
其中,所述预设字段部分的指示信息根据具体的要求规定,例如,预设的字段部分的长度为4字节,其中2字节表示长度指示信息,另外2字节表示起始位置指示信息。对数据包负载部分的数据部分填充数据的起始位置可以在数据包负载部分的数据部分之前;或者,在数据包负载部分的数据部分之后;或者,在数据包负载部分的数据部分的中间位置。
其中,与通信方使用的协议为TCP时,填充数据长度指示信息指示对数据包负载部分的数据部分填充任意长度的数据。
其中,与通信方使用的协议为UDP时,填充数据长度指示信息指示在数据包负载部分的数据部分填充数据的长度,小于应用程序接口所要求的数据长度与数据包负载部分的数据部分未填充数据之前的长度之差。
下面对实施例一进行举例说明:
与通信方建立TCP或UDP的协议连接后,进入会话阶段之前,与通信方之间利用利用实施例一提供的密钥协商方法协商会话过程中的协议头加密密钥。与通信方进入会话阶段后,在数据包负载部分的协议头之前预设字段部分,加入填充数据长度指示信息和起始位置指示信息;预设字段部分可以用4个字节来表示。考虑到不同的网络具有不同的最大数据帧长度的限制,但是最大的数据帧长度为65535字节,因此需用2字节表示长度指示信息。但是,考虑到TCP以及UDP自身实现机制的不同,在填充数据时,还需要注意采取TCP以及UDP承载方式时的不同。
对于TCP,TCP为应用程序提供连续的字节流,并且是以应用程序读操作时所要求的长度来传送数据,所以填充的长度可以不用考虑别的因素,可以填充任意长度的数据;而对于UDP,UDP报文长度受TCP/IP内核实现特性、应用程序接口等多方面因素的限制,所以存在着数据包截断的问题,并且UDP不是以应用程序读操作时所要求的长度来传送数据,因此如果接收到的数据报长度大于应用程序接口所能处理的长度,那么在不同的编程接口和实现下,数据可能会丢失,因此在数据包负载部分的数据部分填充数据的长度,小于应用程序接口所要求的数据长度与数据包负载部分的数据部分未填充数据之前的长度之差。 另外,对数据包负载部分的数据部分填充数据的起始位置可以在数据包负载部分的数据部分之前;或者,在数据包负载部分的数据部分之后;或者,在数据包负载部分的数据部分的中间位置,所以需占用2字节表示起始位置指示信息。例如,表示起始位置指示信息的2字节取值为01,表示对数据包负载部分的数据部分填充数据的起始位置在数据包负载部分的数据部分之前;取值为10,表示对数据包负载部分的数据部分填充数据的起始位置在数据包负载部分的数据部分之后;取值为11,表示表示对数据包负载部分的数据部分填充数据的起始位置在数据包负载部分的数据部分中间。
利用协议头加密密钥对数据包负载部分的协议头和预设字段进行加密,生成加密协议头后;对加密协议头所在的数据包进行传输。
该实施例通过在传输数据包之前,对数据包负载部分协议头添加预设的字节,指示负载部分随机填充数据的长度和起始位置,对数据包长度进行了模糊,提高了数据传输的安全性,只对数据包负载部分的协议头加密,因此缩短了加密的时间,节省了传输数据包时加密的成本,并且在密钥协商过程对会话发起方发送自己的公钥时,是在安全通道或者加密传输的,避免了公钥在公共信道传输带来的不安全因素
参见图3,为本发明方法提供的实施例三的流程图:
301:将加密算法及密钥保存到会话发发起方和通信方通信软件中,设置该加密算法及密钥为协议头加密密钥。并且在通信协议中定义:数据包负载部分的协议头之前预设字段部分表示填充数据长度指示信息和起始位置指示信息;填充数据长度指示信息表示在数据包负载部分的数据部分填充数据的长度;起始位置指示信息表示在数据包负载部分的数据部分填充数据的起始位置。
302:进入会话阶段后,在数据包负载部分的协议头之前预设字段部分,加入填充数据长度指示信息和起始位置指示信息。
303:根据填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据。
304:利用保存到通信软件中的协议头加密密钥对数据包负载部分的协议头和预设字段进行加密;
305:将加密后的数据包进行传输。该加密后数据包包括:经过加密的协议头和预设字段、经过数据填充后的数据部分。
306:当所述通信软件的版本升级时,对保存到软件中的加密算法及密钥进行更新。例如,随着软件版本的升级或更新,为了防止由于长时间的使用同一密钥,网络上的监听者通过获取的大量明、密文来实施攻击,达到检测识别信息流的目的,需要更新保存到软件中的加密算法及密钥。另外,根据通信软件适用的网络结构的不同,对于通信软件的更新可以采用不同的策略,在有服务器型的网络中,通信软件是强制更新的,随着通信软件版本的升级,由于不同版本的密钥不同,通信双方可能无法进行会话,因此在有服务器的版本中,需要兼容不同版本的加密方式及密钥;在无服务器型的网络中,由于客户端只与邻近的节点进行通信,来获取其它客户端的信息,对于客户端通信软件而言,只有当它邻近的节点所使用的版本比它的版本新时,才进行通信软件版本的更新,因此对于适用这种结构网络的通信软件而言,每个通信软件版本都需要兼容比当前版本旧的版本的加密方式及密钥。
其中,所述预设字段部分的指示信息根据具体的要求规定,例如,预设的字段部分的长度为4字节,其中2字节表示长度指示信息,另外2字节表示起始位置指示信息。对数据包负载部分的数据部分填充数据的起始位置可以在数据包负载部分的数据部分之前;或者,在数据包负载部分的数据部分之后;或者,在数据包负载部分的数据部分的中间位置。
其中,与通信方使用的协议为UDP时,填充数据长度指示信息指示在数据包负载部分的数据部分填充数据的长度,小于应用程序接口所要求的数据长度与数据包负载部分的数据部分未填充数据之前的长度之差。
该实施会话发起方与通信方在安装通信软件时,将加密算法及密钥保存在通信软件中,将保存在通信软件中的加密算法及密钥设置为协议头加密密钥,在传输数据包之前,对数据包负载部分协议头添加预设的字节,指示负载部分随机填充数据的长度和起始位置,对数据包长度进行了模糊,当安全性要求不是很高时,利用保存到通信软件中加密算法及密钥加密传输的数据包,避免了密钥协商的过程,提供了传输速率;并且由于只对负载部分的协议头加密,因此缩短了加密的时间,节省了传输数据包时加密的成本。
参见图4,为本发明装置提供的实施例一的示意图,包括:协议头协商单元401,用于在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息。其中,所述预设字段部分的指示信息根据具体的要求规定,例如,预设的字段部分的长度为4字节,其中2字节表示长度指示信息,另外2字节表示起始位置指示信息。对数据包负载部分的数据部分填充数据的起始位置可以在数据包负载部分的数据部分之前;或者,在数据包负载部分的数据部分之后;或者,在数据包负载部分的数据部分的中间位置。
填充单元402,根据用于根据所述填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据。其中,所述填充数据长度指示信息用以指示在数据包负载部分的数据部分填充随机数据的长度,所述起始位置指示信息用以指示在数据包负载部分的数据部分填充随机数据的起始位置。
加密单元403,用于利用所述协议头加密密钥对数据包负载部分的协议头和预设字段进行加密。
传输单元404,用于将加密后的数据包进行传输。该加密后数据包包括:经过加密的协议头和预设字段、经过数据填充后的数据部分。
其中,所述装置进一步包括:
密钥协商单元405,用于协商会话过程中加密单元303加密协议头的协议头加密密钥。
其中,当所述协议头加密密钥不是在安全通道中协商时,所述装置进一步包括:
存储单元406,用于存储加密算法及密钥。
密钥协商单元405可通过所述加密算法及加密密钥加密密钥协商过程中的公钥。
更新单元407,用于更新所述加密算法及密钥。
参见图5,为本发明装置提供的实施例二的示意图,包括:
协议头协商单元401,用于在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息。其中,所述预设字段部分的指示信息根据具体的要求规定,例如,预设的字段部分的长度为4字节,其中2字节表示长度指示信息,另外2字节表示起始位置指示信息。对数据包负载部分的数据部分填充数据的起始位置可以在数据包负载部分的数据部分之前;或者,在数据包负载部分的数据部分之后;或者,在数据包负载部分的数据部分的中间位置。
填充单元402,根据用于根据所述填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据。其中,所述填充数据长度指示信息用以指示在数据包负载部分的数据部分填充随机数据的长度,所述起始位置指示信息用以指示在数据包负载部分的数据部分填充随机数据的起始位置。
加密单元403,用于利用所述协议头加密密钥对数据包负载部分的协议头和预设字段进行加密,生成加密协议头。
传输单元404,用于将加密后的数据包进行传输。该加密后数据包包括:经过加密的协议头和预设字段、经过数据填充后的数据部分。
其中所述装置进一步包括:
存储单元406,用于存储加密算法及密钥。
更新单元407,用于更新所述加密算法及密钥。
设置单元501,用于将所述加密算法及密钥设置为协议头加密密钥,所述加密单元403通过该协议头加密密钥加密协议头。
以上实施例可以看出,在安全通道协商会话过程中用于协议头加密的密钥,或者通过安装通信软件时,将加密算法及密钥保存到软件中,对协议头加密密钥协商过程中的数据加密,由于该加密算法和密钥是保存在软化中的,避免了密钥或者用于生成密钥的材料在公共信道上传输过程中被检测;当使用的软件版本升级时,可以更新保存到软件中的密钥,使得传输更安全;在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息,根据所述填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据,因此模糊了报文的长度,提高了传输的安全性;利用协商的协议头加密密钥对数据包负载部分的协议头和预设字段进行加密,生成加密协议头,因此只是对数据包负载部分的协议头部分加密,不对数据包负载部分的数据部分加密,节省了加密数据包所需要的时间和开销;当安全性要求不是很高时,利用保存到通信软件中加密算法及密钥加密传输的数据包,避免了密钥协商的过程,提供了传输速率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明实施例所提供的方法及装置和协商密钥的方法进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (18)
1.一种协商密钥的方法,其特征在于,包括:
发送方获取通信方的公钥信息;
在包括密钥协商相关信息的数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息;
根据所述填充数据长度指示信息和起始位置指示信息,对所述密钥协商相关信息的数据包负载部分的数据部分填充数据;
利用所述公钥对密钥协商相关信息的数据包负载部分的协议头和预设字段进行加密;
将加密后的所述密钥协商相关信息的数据包发送到通信方,与通信方协商密钥。
2.根据权利要求1所述的方法,其特征在于,所述获取通信方的公钥信息之前,包括:
通信双方预先协商或在通信协议中预先定义:数据包负载部分的协议头之前预设字段部分表示填充数据长度指示信息和起始位置指示信息;
填充数据长度指示信息表示在数据包负载部分的数据部分填充数据的长度;
起始位置指示信息表示在数据包负载部分的数据部分填充数据的起始位置。
3.根据权利要求1所述的方法,其特征在于,所述获取通信方的公钥信息,包括:
在安全通道中向通信方发送所述发送方的公钥信息;
接收通信方利用所述发送方的公钥加密的通信方的公钥信息。
4.根据权利要求1所述的方法,其特征在于,还包括:
预先保存加密算法及密钥到通信双方的通信软件中,利用所述加密算法及密钥加密所述发送方的公钥,并将加密后所述发送方的公钥发送给通信方;
接收通信方利用所述发送方的公钥加密后的通信方的公钥信息。
5.根据权利要求4所述的方法,其特征在于,所述预先保存所述加密算法及密钥到通信双方的通信软件中之后,进一步包括:
当所述通信软件的版本升级时,对所述软件中的加密算法及密钥进行更新。
6.一种协商密钥的方法,其特征在于,包括:
通信方接收发送方的密钥协商相关信息的数据包;
利用所述通信方的私钥和预设的加密策略对所述数据包进行解密,获得所述发送方的密钥协商相关信息;
根据所述发送方的密钥协商相关信息,与通信方协商密钥。
7.根据权利要求6所述的方法,其特征在于,所述预设的加密策略包括:
数据包负载部分的协议头之前预设字段部分表示填充数据长度指示信息和起始位置指示信息;
填充数据长度指示信息表示在数据包负载部分的数据部分填充数据的长度;
起始位置指示信息表示在数据包负载部分的数据部分填充数据的起始位置。
8.跟据权利要求7所述的方法,其特征在于,所述根据所述发送方的密钥协商相关信息,与通信方协商密钥,包括:
向发送方发送同意所述发送方密钥协商相关信息的确认消息;或者,
获取发送方的公钥信息;
根据所述加密策略和所述发送方的公钥信息,加密通信方的密钥协商相关信息的数据包;
将加密后的所述通信方的密钥协商相关信息的数据包发送到通信方,与通信方协商密钥。
9.根据权利要求8所述的方法,其特征在于,所述获取发送方的公钥信息,包括:
通信方在安全通道中向发送方发送通信方的公钥信息;
接收发送方利用所述通信方的公钥加密的发送方的公钥信息;或者,
预先保存加密算法及密钥到通信双方的通信软件中,利用所述加密算法及密钥加密所述通信方的公钥,并将加密后所述通信方的公钥发送给发送方;
通信方接收发送方利用所述通信方的公钥加密后的发送方的公钥信息。
10.一种传输数据包的方法,其特征在于,包括:
在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息;
根据所述填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据;
利用预设协议头加密密钥对数据包负载部分的协议头和预设字段进行加密;
将加密后的数据包进行传输。
11.根据权利要求10所述的方法,其特征在于,所述在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息之前,包括:
通信双方预先协商或在通信协议中预先定义:数据包负载部分的协议头之前预设字段部分表示填充数据长度指示信息和起始位置指示信息;
填充数据长度指示信息表示在数据包负载部分的数据部分填充数据的长度;
起始位置指示信息表示在数据包负载部分的数据部分填充数据的起始位置。
12.根据权利要求10所述的方法,其特征在于,还包括:
通信双方协商,生成协议头加密密钥;或者,
预先保存所述加密算法及密钥到通信双方的通信软件中,设置所述密钥为协议头加密密钥。
13.根据权利要求12所述的方法,其特征在于,所述通信双方协商,包括:
发送方获取通信方的公钥信息;
在包括密钥协商相关信息的数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息;
根据所述填充数据长度指示信息和起始位置指示信息,对所述密钥协商相关信息的数据包负载部分的数据部分填充数据;
利用所述公钥对密钥协商相关信息的数据包负载部分的协议头和预设字段进行加密;
将加密后的所述密钥协商相关信息的数据包发送到通信方,与通信方协商密钥。
14.根据权利要求12所述的方法,其特征在于,所述预先保存所述加密算法及密钥到通信双方的通信软件中之后,进一步包括:
当所述通信软件的版本升级时,对所述软件中的加密算法及密钥进行更新。
15.一种传输数据包的装置,其特征在于,包括:
协议头协商单元,用于在数据包负载部分的协议头之前预设字段部分加入填充数据长度指示信息和起始位置指示信息;
填充单元,用于根据所述填充数据长度指示信息和起始位置指示信息,对数据包负载部分的数据部分填充数据;
加密单元,用于利用预设协议头加密密钥对数据包负载部分的协议头和预设字段进行加密;
传输单元,用于将加密后的数据包进行传输。
16.根据权利要求15所述的装置,其特征在于,所述装置进一步包括:
密钥协商单元,用于协商会话过程中的协议头加密密钥。
17.根据权利要求15或16所述的装置,其特征在于,所述装置进一步包括:
存储单元,用于存储加密算法及密钥;
更新单元,用于更新所述加密算法及密钥。
18.根据权利要求17所述的装置,其特征在于,所述装置进一步包括:
设置单元,用于将所述加密算法及密钥设置为协议头加密密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101664673A CN101163145B (zh) | 2007-11-13 | 2007-11-13 | 一种传输数据包的方法及装置和协商密钥的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101664673A CN101163145B (zh) | 2007-11-13 | 2007-11-13 | 一种传输数据包的方法及装置和协商密钥的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101163145A true CN101163145A (zh) | 2008-04-16 |
| CN101163145B CN101163145B (zh) | 2011-09-14 |
Family
ID=39297972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101664673A Expired - Fee Related CN101163145B (zh) | 2007-11-13 | 2007-11-13 | 一种传输数据包的方法及装置和协商密钥的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101163145B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746827A (zh) * | 2013-12-16 | 2014-04-23 | 云南电力调度控制中心 | 一种iec101、104规约分析参变量自动识别方法及系统 |
| CN103858389A (zh) * | 2013-05-31 | 2014-06-11 | 华为技术有限公司 | 一种传输会话的方法、客户端及Push服务器 |
| CN104166914A (zh) * | 2014-08-20 | 2014-11-26 | 武汉天喻信息产业股份有限公司 | 基于安全元件的主机卡片模拟技术的安全系统及方法 |
| CN105471831A (zh) * | 2014-09-15 | 2016-04-06 | 杭州海康威视数字技术股份有限公司 | 一种对实时传输协议数据包进行加密的方法和装置 |
| CN105812396A (zh) * | 2016-05-27 | 2016-07-27 | 江苏通付盾科技有限公司 | 服务端接口信息检测方法及装置 |
| WO2016155495A1 (zh) * | 2015-04-02 | 2016-10-06 | 阿里巴巴集团控股有限公司 | 数据交换方法、装置及设备 |
| CN108768649A (zh) * | 2018-06-26 | 2018-11-06 | 苏州蜗牛数字科技股份有限公司 | 一种动态加密网络数据的方法及存储介质 |
| CN109697632A (zh) * | 2018-12-18 | 2019-04-30 | 北京小米移动软件有限公司 | 广告接入方法、装置、设备及存储介质 |
| CN110213292A (zh) * | 2019-06-18 | 2019-09-06 | 深圳市网心科技有限公司 | 数据发送方法及装置、数据接收方法及装置 |
| WO2020224380A1 (zh) * | 2019-05-08 | 2020-11-12 | 深圳前海微众银行股份有限公司 | 一种基于区块链的数据处理方法及装置 |
| CN113259087A (zh) * | 2021-05-13 | 2021-08-13 | 南京邮电大学 | 可证明安全的物联网设备网络流量整形方法 |
| CN113419944A (zh) * | 2021-05-26 | 2021-09-21 | 深圳开源互联网安全技术有限公司 | 模糊测试的初始化方法、装置及存储介质 |
| CN115529131A (zh) * | 2022-11-28 | 2022-12-27 | 广州万协通信息技术有限公司 | 基于动态密钥的数据加密解密方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6782101B1 (en) * | 2000-04-20 | 2004-08-24 | The United States Of America As Represented By The Secretary Of The Navy | Encryption using fractal key |
| CN1323523C (zh) * | 2003-04-02 | 2007-06-27 | 华为技术有限公司 | 一种在无线局域网中生成动态密钥的方法 |
| CN100488168C (zh) * | 2005-12-13 | 2009-05-13 | 华为技术有限公司 | 一种对应用层报文进行安全封装的方法 |
-
2007
- 2007-11-13 CN CN2007101664673A patent/CN101163145B/zh not_active Expired - Fee Related
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103858389A (zh) * | 2013-05-31 | 2014-06-11 | 华为技术有限公司 | 一种传输会话的方法、客户端及Push服务器 |
| CN103858389B (zh) * | 2013-05-31 | 2016-11-02 | 华为技术有限公司 | 一种传输会话的方法、客户端及Push服务器 |
| CN103746827A (zh) * | 2013-12-16 | 2014-04-23 | 云南电力调度控制中心 | 一种iec101、104规约分析参变量自动识别方法及系统 |
| CN104166914A (zh) * | 2014-08-20 | 2014-11-26 | 武汉天喻信息产业股份有限公司 | 基于安全元件的主机卡片模拟技术的安全系统及方法 |
| CN105471831A (zh) * | 2014-09-15 | 2016-04-06 | 杭州海康威视数字技术股份有限公司 | 一种对实时传输协议数据包进行加密的方法和装置 |
| CN105471831B (zh) * | 2014-09-15 | 2019-05-10 | 杭州海康威视数字技术股份有限公司 | 一种对实时传输协议数据包进行加密的方法和装置 |
| US10419212B2 (en) | 2015-04-02 | 2019-09-17 | Alibaba Group Holding Limited | Methods, systems, apparatuses, and devices for securing network communications using multiple security protocols |
| WO2016155495A1 (zh) * | 2015-04-02 | 2016-10-06 | 阿里巴巴集团控股有限公司 | 数据交换方法、装置及设备 |
| CN106161224A (zh) * | 2015-04-02 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 数据交换方法、装置及设备 |
| CN105812396A (zh) * | 2016-05-27 | 2016-07-27 | 江苏通付盾科技有限公司 | 服务端接口信息检测方法及装置 |
| CN105812396B (zh) * | 2016-05-27 | 2019-03-19 | 江苏通付盾科技有限公司 | 服务端接口信息检测方法及装置 |
| CN108768649A (zh) * | 2018-06-26 | 2018-11-06 | 苏州蜗牛数字科技股份有限公司 | 一种动态加密网络数据的方法及存储介质 |
| CN109697632A (zh) * | 2018-12-18 | 2019-04-30 | 北京小米移动软件有限公司 | 广告接入方法、装置、设备及存储介质 |
| WO2020224380A1 (zh) * | 2019-05-08 | 2020-11-12 | 深圳前海微众银行股份有限公司 | 一种基于区块链的数据处理方法及装置 |
| CN110213292A (zh) * | 2019-06-18 | 2019-09-06 | 深圳市网心科技有限公司 | 数据发送方法及装置、数据接收方法及装置 |
| CN110213292B (zh) * | 2019-06-18 | 2021-12-03 | 深圳市网心科技有限公司 | 数据发送方法及装置、数据接收方法及装置 |
| CN113259087A (zh) * | 2021-05-13 | 2021-08-13 | 南京邮电大学 | 可证明安全的物联网设备网络流量整形方法 |
| CN113259087B (zh) * | 2021-05-13 | 2022-09-20 | 南京邮电大学 | 可证明安全的物联网设备网络流量整形方法 |
| CN113419944A (zh) * | 2021-05-26 | 2021-09-21 | 深圳开源互联网安全技术有限公司 | 模糊测试的初始化方法、装置及存储介质 |
| CN113419944B (zh) * | 2021-05-26 | 2022-07-12 | 深圳开源互联网安全技术有限公司 | 模糊测试的初始化方法、装置及存储介质 |
| CN115529131A (zh) * | 2022-11-28 | 2022-12-27 | 广州万协通信息技术有限公司 | 基于动态密钥的数据加密解密方法及装置 |
| CN115529131B (zh) * | 2022-11-28 | 2023-03-14 | 广州万协通信息技术有限公司 | 基于动态密钥的数据加密解密方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101163145B (zh) | 2011-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101163145B (zh) | 一种传输数据包的方法及装置和协商密钥的方法 | |
| JP4814339B2 (ja) | 制約された暗号キー | |
| CN101459506B (zh) | 密钥协商方法、用于密钥协商的系统、客户端及服务器 | |
| US7987359B2 (en) | Information communication system, information communication apparatus and method, and computer program | |
| FI120072B (fi) | Pakettidatan lähettäminen verkon yli tietoturvaprotokollaa käyttäen | |
| CN107104977B (zh) | 一种基于sctp协议的区块链数据安全传输方法 | |
| KR100852146B1 (ko) | 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청시스템 및 감청 방법 | |
| CN101094394A (zh) | 一种保证视频数据安全传输的方法及视频监控系统 | |
| CN110191052B (zh) | 一种跨协议网络传输方法及系统 | |
| CN100579009C (zh) | 一种可信计算模块功能升级的方法 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| CN115567206A (zh) | 采用量子分发密钥实现网络数据报文加解密方法及系统 | |
| US9602476B2 (en) | Method of selectively applying data encryption function | |
| CN112672342A (zh) | 数据传输方法、装置、设备、系统和存储介质 | |
| WO2009109133A1 (zh) | 恢复连接的方法和装置 | |
| US6920556B2 (en) | Methods, systems and computer program products for multi-packet message authentication for secured SSL-based communication sessions | |
| Helander et al. | Secure web services for low-cost devices | |
| CN115150067A (zh) | 一种基于网络隐蔽通道的tls协议构建方法及系统 | |
| Khamsaeng et al. | Providing an end-to-end privacy preservation over LoRa WanPlatforms | |
| CN115955302B (zh) | 一种基于协同签名的国密安全通信方法 | |
| Ding et al. | Design and Implementation of Microservice Secure Communication Framework based on National Secret Algorithm and Dynamic Key | |
| Hiller et al. | Regaining Insight and Control on SMGW-based Secure Communication in Smart Grids | |
| SE519471C2 (sv) | Metod för att etablera en säker förbindelse mellan accesspunkter och en mobilterminal i ett paketförmedlat nät | |
| CN101702733A (zh) | 报文流识别方法及装置 | |
| Vučinić et al. | Requirements for a Lightweight AKE for OSCORE |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: CHENGDU CITY HUAWEI SAIMENTEKE SCIENCE CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20090424 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090424 Address after: Qingshui River District, Chengdu high tech Zone, Sichuan Province, China: 611731 Applicant after: Chengdu Huawei Symantec Technologies Co., Ltd. Address before: Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Province, China: 518129 Applicant before: Huawei Technologies Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110914 Termination date: 20171113 |