CN101783792A - 基于互联网的加密通信方法及系统 - Google Patents
基于互联网的加密通信方法及系统 Download PDFInfo
- Publication number
- CN101783792A CN101783792A CN200910105123A CN200910105123A CN101783792A CN 101783792 A CN101783792 A CN 101783792A CN 200910105123 A CN200910105123 A CN 200910105123A CN 200910105123 A CN200910105123 A CN 200910105123A CN 101783792 A CN101783792 A CN 101783792A
- Authority
- CN
- China
- Prior art keywords
- key
- client
- encryption
- communication data
- subnet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于互联网的加密通信方法,包括:第一客户端查找携带有双方客户端用户标识的密钥,若查到,则加密发送通信数据,否则,向密钥服务器发送获取第一客户端与第二客户端密钥的请求消息;密钥服务器收到第一客户端或第二客户端的密钥获取请求后,将携带有双方客户端用户标识的密钥发送到所述第一客户端或第二客户端;第二客户端接收到所述加密的通信数据后,查找所述密钥,若查到,解密接收,否则,向密钥服务器发送获取第二客户端与第一客户端的密钥请求消息,并丢弃所述加密的通信数据。本发明还公开了相应的基于互联网的加密通信系统。本发明可有效防止第三方窃听数据,保证双方客户端数据的安全性。
Description
技术领域
本发明涉及互联网信息安全技术,尤其涉及一种基于互联网的加密通信方法及系统。
背景技术
加密通信是互联网信息传输中一种常见的通信安全保障手段,通信的发送方在发送数据前,从密钥服务器(Key Server)获得一个密钥,以所述密钥对通信数据加密后,将数据发出;而接收方收到该加密的数据后,以同样的密钥对该加密数据进行解密。上述方案的缺点是,密钥服务器提供的密钥对其接入的所有的客户端都是相同的,也就是说,接入所述密钥服务器的任何客户端都持有相同的密钥,对以该密钥加密的所有数据,其他的客户端(第三方)都可以解密,这无疑提高了加密通信的风险。
发明内容
本发明所要解决的技术问题是:提供一种基于互联网的加密通信方法,该方法保证了只有通信的双方能够获得加密的通信数据的密钥,从而有效防止了第三方窃听数据,保证了双方客户端数据的安全性。
本发明进一步所要解决的技术问题是:提供一种基于互联网的加密通信系统,该系统保证了只有通信的双方能够获得加密的通信数据的密钥,从而有效防止了第三方窃听数据,保证了双方客户端数据的安全性。
为解决上述技术问题,本发明采用如下技术方案:
一种基于互联网的加密通信方法,包括以下步骤:
第一客户端在向第二客户端发送通信数据时,根据第二客户端的MAC地址在本地密钥列表中查找携带有双方客户端用户标识的密钥,若查到该密钥,则执行下述加密发送步骤,否则,向密钥服务器发送获取所述密钥的请求消息,执行下述密钥获取步骤;
密钥获取步骤,密钥服务器根据来自第一客户端/第二客户端的密钥获取请求,将携带有双方客户端用户标识的密钥发送到所述第一客户端/第二客户端;
加密发送步骤,使用该密钥对待发送的通信数据进行加密,并将加密的通信数据发送到第二客户端;
第二客户端接收到所述加密的通信数据后,在本地密钥列表中查找携带有双方客户端用户标识的密钥,若查到该密钥,则执行下述解密接收步骤,否则,向密钥服务器发送获取所述密钥的请求消息,执行所述密钥获取步骤,并丢弃所述加密的通信数据;
解密接收步骤,以所述密钥对所述加密的通信数据进行解密。
一种基于互联网的通信加密系统,其特征在于,该系统包括有:
第一客户端,用于以携带有双方客户端用户标识的密钥对待发送的通信数据进行加密后,发送加密的通信数据;
第二客户端,用于以携带有双方客户端用户标识的密钥对其接收到的加密的通信数据进行解密;
密钥服务器,与所述第一客户端和第二客户端相连,用于接收所述第一客户端或第二客户端发送的密钥获取请求,并将携带有双方客户端用户标识的密钥发送给所述第一客户端或第二客户端。
本发明的有益效果是:
本发明的实施例通过在密钥中携带双方客户端的用户标识,从而保证了只有通信的双方能够获得加密的通信数据的密钥,有效防止了第三方窃听数据,保证了双方客户端数据的安全性。
下面结合附图对本发明作进一步的详细描述。
附图说明
图1是本发明提供的基于互联网的加密通信方法的一个实施例的方法流程图。
图2是本发明提供的基于互联网的加密通信系统的一个实施例中加密子网内通信结构的组成结构图。
图3是本发明提供的基于互联网的加密通信系统的一个实施例中加密子网与非加密子网间通信结构的组成结构图。
图4是本发明提供的基于互联网的加密通信系统的一个实施例中加密子网间通信的组成结构图。
图5是本发明提供的基于互联网的加密通信系统的一个实施例的设备部署解密示意图。
图6是本发明提供的基于互联网的加密通信系统的一个实施例的模块部署结构示意图。
具体实施方式
下面参考图1详细描述本发明提供的基于互联网的加密通信方法的一个实施例。如图所示,本实施例实现一次加密通信主要包括一下步骤:
第一客户端在向第二客户端发送通信数据时,根据第二客户端的MAC地址在本地密钥列表中查找携带有双方客户端用户标识的密钥,若查到该密钥,则执行下述加密发送步骤,否则,向密钥服务器发送获取密钥请求,执行下述密钥获取步骤;
在密钥获取步骤中,若密钥服务器收到来自第一客户端的密钥获取请求,则将携带有双方客户端用户标识的密钥发送到所述第一客户端,执行下述加密发送步骤;若密钥服务器收到来自第二客户端的密钥获取请求,则将所述密钥发送到第二客户端,执行下述解密接收步骤;
在加密发送步骤中,使用该密钥对待发送的通信数据进行加密,并将加密的通信数据发送到第二客户端;
第二客户端接收到所述加密的通信数据后,在本地密钥列表中查找携带有双方客户端用户标识的密钥,若查到该密钥,则执行下述解密接收步骤,否则,向密钥服务器发送获取密钥请求,执行所述密钥获取步骤;
解密接收步骤,以所述密钥对所述加密的通信数据进行解密。
下面详细描述当通信的双方为同一个加密子网内的两个普通客户端之间一次加密通信的具体实施过程,假设第一客户端的用户标识为ID_1、MAC地址为MAC_1;第二客户端的ID号为ID_2、MAC地址为MAC_2:
首先,密钥服务器对客户端进行接入认证时,要求客户端提供其用户名和MAC地址,并将所述用户名和MAC地址保存在ID-MAC列表中,另外,密钥服务器中还保存有一个ID-ID-KEY列表,该ID-ID-KEY列表中保存有所述密钥服务器根据双方客户端的用户名和MAC地址产生的密钥;
当协议层要求ID_1发出数据包到目的地址MAC_2时,ID_1在本地MAC-KEY列表中查询(MAC_2,KEY_?),若查不到,则发送请求(ID_1,MAC_2,KEY_?)到密钥服务器,并丢弃此数据包;
密钥服务器收到请求(ID_1,MAC_2,KEY_?)后,在ID-MAC列表中查询(ID_?,MAC_2),得到(ID_2,MAC_2),则在ID-ID-KEY列表中查询(ID_1,ID_2,KEY_?),若查不到,则生成密钥(ID_1,ID_2,KEY_1_2),并保存到ID-ID-KEY列表后,将该密钥(ID_1,MAC_2,KEY_1_2)返回给ID_1;
ID_1接收到(ID_1,MAC_2,KEY_1_2)后,在本地MAC-KEY列表中保存(MAC_2,KEY_1_2);
当协议层再次要求ID_1发送数据包到目的地址MAC_2时,ID_1在本地MAC-KEY列表中查询(MAC_2,KEY_?),查到(MAC_2,KEY_1_2),则加密并发送该数据包;
ID_2收到来自ID_1的该数据包后,提取其源MAC,得到MAC_1,则在本地MAC-KEY列表中查询(MAC_1,KEY_?),若不到,则发送请求(ID_2,MAC_1,KEY_?)到密钥服务器,同时丢弃此数据包。
密钥服务器收到请求(ID_2,MAC_1,KEY_?)后,在ID-MAC列表中查询(ID_?,MAC_1),得到(ID_1,MAC_1),则在ID-ID-KEY列表中查询(ID_1,ID_2,KEY_?),并将查到的(ID_2,MAC_1,KEY_1_2)返回给ID_2;
ID_2收到(ID_2,MAC_1,KEY_1_2)后,在本地MAC-KEY列表中保存(MAC_1,KEY_1_2);
当ID_2再次收到来自ID_1发的数据包时,从数据包中提取其源MAC,得到MAC_1,则在本地MAC-KEY列表中查询密钥(MAC_1,KEY_?),查到(MAC_1,KEY_1_2)后,解密该数据包,并将其转发给协议层。
另外,本实施例还可实现加密子网内的客户端与非加密子网之间的加密通信,具体实现时,在所述第一客户端所在的加密子网端口设置一个第一虚拟客户端,所述第一虚拟客户端具有预设的专用用户名,从而,所述第一虚拟客户端在第一客户端与非加密子网之间以所述第二客户端的身份与作为第一客户端的普通客户端通信,处理并转发第一客户端和非加密子网间的通信数据。假设所述普通客户端的用户标识为ID_1、MAC地址为MAC_1;所述第一虚拟客户端拥有的专用ID号为ID_X86;而所述非加密子网的ID号为ID_X、MAC地址为MAC_X,所述普通客户端实现一次与非加密子网通信的过程具体如下:
当协议层要求ID_1发出数据包到目的MAC地址MAC_X时,ID_1在本地MAC-KEY列表中查询(MAC_X,KEY_?),查不到,则发送请求(ID_1,MAC_X,KEY_?)到密钥服务器,同时丢弃此数据包;
密钥服务器收到请求(ID_1,MAC_X,KEY_?)后,先在ID-MAC列表中查询(ID_?,MAC_X),查不到,则生成(ID_X86,MAC_X),并将其保存在ID-IP列表中后,在ID-ID-KEY列表中查询(ID_1,ID_X86,KEY_?),查不到,则生成密钥(ID_1,ID_X86,KEY_1_X86),并保存到ID-ID-KEY列表后,将该密钥(ID_1,MAC_X,KEY_1_X86)返回给ID_1;
ID_1收到(ID_1,MAC_X,KEY_1_X86)后,在本地MAC-KEY列表中保存(MAC_X,KEY_1_X86);
当协议层再次要求ID_1发送数据包到目的MAC地址MAC_X时,ID_1在本地MAC-KEY列表中查询(MAC_X,KEY_?),查到(MAC_X,KEY_1_X86)后,加密并发送该数据包;
ID_X86收到来自ID_1的数据包后,提取其源MAC,得到MAC_1后,在本地MAC-KEY列表中查询(MAC_1,KEY_?),若查不到,则发送请求(ID_X86,MAC_1,KEY_?)到密钥服务器,同时丢弃此数据包;
密钥服务器收到请求(ID_X86,MAC_1,KEY_?)后,在ID-MAC列表中查询(ID_?,MAC_1),得到(ID_1,MAC_1)后,在ID-ID-KEY列表中查询(ID_1,ID_X86,KEY_?),查到(ID_1,ID_X86,KEY_1_X86)后,将(ID_X86,MAC_1,KEY_1_X86)返回给ID_X86;
ID_X86收到(ID_X86,MAC_1,KEY_1X86)后,在本地MAC-KEY列表中保存(MAC_1,KEY_1_X86);
当ID_X86再次收到来自ID_1的数据包时,提取其源MAC,得到MAC_1,在本地MAC-KEY列表中查询(MAC_1,KEY_?),查到(MAC_1,KEY_1_X86)后,解密该数据包,并将其转发到非加密子网。
具体实现时,所述第一虚拟客户端可设置在该加密子网的完全解密口上。
另外,本实施例还可实现位于不同的加密子网内的客户端之间的加密通信,在这种情况下,需要在每个加密子网端口还设置一个第二虚拟客户端,具体实现时,其通信可分以下阶段实现:
1、加密子网内普通客户端与第一虚拟客户端之间的通信;
2、第一虚拟客户端和第二虚拟客户端之间的通信;
3、第二虚拟客户端和对端加密子网的第二虚拟客户端之间的通信。
上述每个通信阶段都构成了相互通信的第一客户端和第二客户端,所述而普通客户端与第一虚拟客户端之间的通信与前述相同,此处不再赘述。
下面仅详细描述第一虚拟客户端和第二虚拟客户端之间的通信过程。在此过程中,所述第二虚拟客户端亦具有一个预设的专用用户名,因而,设置在加密子网端口上的第一虚拟客户端和第二虚拟客户端分别以第一客户端和第二客户端的身份进行加密通信。假设作为第一客户端的第一虚拟客户端ID为ID_X86、作为第二客户端的第二虚拟客户端ID为NETID_1,则:
首先,密钥服务器为网间通讯产生一个密钥NETKEY,而NETID_1在启动时即从本地密钥服务器获得NETKEY;
加密子网内的数据包通过设置在三层解密口的ID_X86解密后,即为完全解密的普通数据包,而NETID_1则用NETKEY加密该数据包,并将其送到对端加密子网的第二虚拟客户端;
而当NETID_1收到来自对端加密子网的第二虚拟客户端的加密数据包后,以NETKEY解密所述数据包,并将其转发到ID_X86;
当该数据包到达所述对端加密子网的ID_X86时,数据包已经是完全解密的普通数据包,从而完成了第一虚拟客户端和第二虚拟客户端之间加密通信的过程。
具体实现时,所述第二虚拟客户端亦可设置在该加密子网的完全解密口。
值得注意的是,密钥服务器产生NETKEY后,需将其告知所有有网间通讯的安全交换系统。
另外,本实施例还可以实现加密的多播(广播)通信。假设多播MAC地址(多播MAC地址的第40位为1)拥有的专用ID号为ID_M,所有多播地址都使用这个ID,具体地,一次加密的多播通信过程如下:
首先,密钥服务器启动时,为多播通讯生成密钥(ID_M,KEY_M),并将其单独保存(即不保存到ID-ID-KEY列表);
协议层要求ID_1发出数据包到多播地址MAC_M时,ID_1在本地查找不到多播密钥,则发送请求(ID_M,MAC_M,KEY_?)到密钥服务器,同时丢弃此数据包。
密钥服务器收到请求(ID_M,MAC_M,KEY_?)后,多播密钥(ID_M,MAC_M,KEY_M)返回给ID_1;
ID_1收到(ID_M,MAC_M,KEY_M)后,单独保存该多播密钥KEY_M;
当协议层再次要求ID_1发送数据包到多播地址MAC_M时,ID_1则用KEY_M加密并发送该数据包;
ID_2收到来自ID_1的该数据包后,提取目的MAC,得到MAC_M,这是一个多播地址,ID_1在本地查找不到多播密钥,则发送请求(ID_M,MAC_M,KEY_?)到密钥服务器,同时丢弃此数据包;
密钥服务器收到请求(ID_M,MAC_M,KEY_?)后,将(ID_M,MAC_M,KEY_M)返回给ID_2;
ID_2收到(ID_M,MAC_M,KEY_M)后,单独保存该多播密钥KEY_M;
当ID_2再次收到来自ID_1的数据包时,提取目的MAC,得到多播地址MAC_M后,用KEY_M解密该数据包,并将其转发给协议层。
下面详细描述本实施例的密钥更新机制。
本实施例中,密钥更新必须保证在各个客户端的更新同时成功,或者同时失败。
对于加密子网内的密钥,更新由密钥服务器发起。密钥服务器更新密钥对(ID_1,ID_2,KEY_1_2,PW_ID),并通知ID_1和ID_2,如果ID_1更新成功,而ID_2没有,则考虑两种情况:
第一种情况、ID_1先发包给ID_2,当ID_2发现该密钥的PW_ID与自己的不同时,则发送请求(ID_2,MAC_1,PW_ID_OLD)到密钥服务器,密钥服务器发现该PW_ID_OLD已经过时,则返回新的密钥(ID_2,MAC_1,KEY_1_2,PW_ID_NEW);
第二种情况、ID_2先发包给ID_1,当ID_1发现该密钥的PW_ID与自己的不同时,则发送请求(ID_2,MAC_1,PW_ID_NEW)到密钥服务器,密钥服务器发现该PW_ID是最新的,则再次更新持有该密钥对的所有客户端。
多播密钥一旦生成,则不再更新。
而加密子网间的密钥更新机制与加密网内密钥更新类似:三层解密口发现收到密钥的PWID不同,则向本地密钥服务器请求新密钥,密钥服务器收到该请求后,将新密钥返回给三层解密口。
由于密钥服务器在产生和保存密钥时,使密钥与双方客户端的ID相关(ID,ID,KEY),而不是与其MAC相关;同时,对认证客户端的密钥请求,密钥服务器只接受与网卡相关的请求,即(ID,MAC,KEY)中的ID必须是请求认证客户端的ID),从而保证了数据在加密子网内传输的安全性。
另外,由于所述完全解密口是连接在安全交换系统的网桥上,而网桥不会把发往非加密子网的数据转发到完全解密口,从而保证了加密子网内、加密子网间的数据不会泄露到非加密网。
另外,由于密钥服务器在接收到其他密钥服务器获取自身密钥(NETID,KEY)的请求时,必须检查确认确信请求者的身份,确实是合法的密钥服务器,从而保证了数据在加密子网间传输的安全性。
本实施例可实现至少三种层次的加密通信,包括:二层加密(加密MAC层数据)、三层加密(加密IP层数据)、和NAT模式三层加密。
下面参考图2-4详细描述本发明提供的基于互联网的加密通信系统的一个实施例。如图1所示,本实施例主要包括有:
第一客户端1,用于以携带有双方客户端用户标识的密钥对待发送的通信数据进行加密后,发送加密的通信数据;
第二客户端2,用于以携带有双方客户端用户标识的密钥对其接收到的加密的通信数据进行解密;
密钥服务器3,与所述第一客户端1和第二客户端2相连,用于根据通信方的用户名和接收所述第一客户端1或第二客户端2发送的密钥获取请求,并将携带有双方客户端用户标识的密钥发送给所述第一客户端1或第二客户端2。
具体实现时,本系统可实现加密子网内加密通信、加密子网与非加密子网间的加密通信、以及加密子网间的加密通信。
在加密子网内加密通信的情况下,所述第一客户端和第二客户端分别为同一加密子网内的两个普通客户端。
并且,参考图2,其第一客户端1和第二客户端2分别包括有:
密钥获取单元11(21),用于向所述密钥服务器发送获得携带有第一客户端和第二客户端的用户标识的密钥的请求,并接收密钥服务器返回的所述密钥;
加密发送单元12(22),用于以所述密钥获取单元获得的密钥对其接收到的加密的通信数据进行解密,并将所述解密的通信数据发送到第二客户端(第一客户端);
解密接收单元13(23),用于在接收到来自所述第一客户端(第二客户端)的通信数据时,以所述密钥对该通信数据进行加密。
参考图3,在加密子网与非加密子网间的加密通信的情况下,所述第一客户端和第二客户端分别为第一客户端1和该客户端所在加密子网的第一虚拟客户端3,并且,所述第一虚拟客户端4包括有:
密钥获取单元41,用于向所述密钥服务器2发送获得携带有所述客户端和第一虚拟客户端的用户标识的密钥的请求,并接收密钥服务器2返回的所述密钥;
解密转发单元43,用于以所述密钥获取单元41获得的密钥对其接收到的加密的通信数据进行解密,并将所述解密的通信数据转发到与其相连的非加密子网;
加密转发单元42,用于在接收到来自所述非加密子网的通信数据时,以所述密钥对该通信数据进行加密,并转发给第一客户端1;
所述第一客户端1包括有:
密钥获取单元11,用于向所述密钥服务器2发送获得携带有所述客户端和第一虚拟客户端的用户标识的密钥的请求,并接收密钥服务器2返回的所述密钥;
解密接收单元13,用于以所述密钥对来自所述加密转发单元42的加密的通信数据进行解密;
加密发送单元12,用于以所述密钥对待发送的通信数据进行加密后,发送到所述解密转发单元43。
参考图4,在两个加密子网间的加密通信的情况下,还需要在加密子网端口设置一个第二虚拟客户端,而其涉及的普通客户端与前述与非加密子网通信的普通客户端相同,此处不再赘述。
下面仅详细描述所述第一客户端和第二客户端分别为设置在加密子网端口的第一虚拟客户端和第二虚拟客户端的情况,在这种情况下,所述第一虚拟客户端亦4与前述基本相同,其包括有:
密钥获取单元41,用于向所述密钥服务器2发送获得携带有所述客户端和第一虚拟客户端的用户标识的密钥的请求,并接收密钥服务器2返回的所述密钥;
解密转发单元43,用于以所述密钥获取单元31获得的密钥对其接收到的加密的通信数据进行解密,并将所述解密的通信数据转发到与其相连的非加密子网;
加密转发单元42,用于在接收到来自所述非加密子网的通信数据时,以所述密钥对该通信数据进行加密,并转发给该加密子网内的普通客户端1;
而所述第二虚拟客户端5包括有:
密钥获取单元51,用于从密钥管理器2获得预设的网间密钥,
网间加密单元52,用于以预设的网间密钥,对来自所述解密发送单元的通信数据进行加密后,将其发送到对端加密子网;
网间解密单元53,用于以预设的网间密钥,对来自对端加密子网的加密的通信数据进行解密后,将其发送到所述加密转发单元;
另外,本实施例还可实现多播加密通信,在这种情况下,所述第一客户端和第二客户端分别为多播发送方和任一多播接收方,并且,所述密钥为携带有所述多播发送方MAC地址的密钥。
下面参考图5描述本实施例的设备部署结构;如图所示,管理级联口用于级联同一个子网(192.168.5.X)内的若干安全交换系统,使它们结合成为一个更大的安全交换系统。它们的密钥服务器通过管理网连接,必要时从彼此获取子网内管理信息,如(ID,MAC)对、(ID,ID,KEY)对等;
三层加密口,用于连接不同的加密子网(192.168.5.X和192.168.6.X)的安全交换系统,具体实现时,三层加密口依赖路由器来完成所述连接,不同加密子网安全交换系统的密钥服务器通过管理网连接,从彼此获取网间管理信息,如网间密钥NETKEY等;
完全解密口,用于连接加密网与非加密网。
下面参考图6描述相应的模块部署结构。ID_1、ID_2是加密子网1内的认证客户端,ID_X86作为加密子网1外的网卡的代理,申请密钥,与网内的网卡(如ID_1、ID_2)通讯。NETID_1作为加密子网1网内的网卡的代理,申请密钥,与其他加密子网(如加密子网2)通讯。完全解密口包括一个ID_X86,出子网时解密,进子网时加密。三层加密口包括一个ID_X86和一个NETID,在出子网时,先用子网密钥解密,再用网间密钥加密,进子网时,先用网间密钥解密,再用子网密钥加密。X是不加密的普通网卡客户端。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (10)
1.一种基于互联网的加密通信方法,其特征在于,该方法包括以下步骤:
第一客户端在向第二客户端发送通信数据时,根据第二客户端的MAC地址在本地密钥列表中查找携带有双方客户端用户标识的密钥,若查到该密钥,则执行下述加密发送步骤,否则,向密钥服务器发送获取所述密钥的请求消息,执行下述密钥获取步骤;
密钥获取步骤,密钥服务器根据来自第一客户端/第二客户端的密钥获取请求,将携带有双方客户端用户标识的密钥发送到所述第一客户端/第二客户端;
加密发送步骤,使用该密钥对待发送的通信数据进行加密,并将加密的通信数据发送到第二客户端;
第二客户端接收到所述加密的通信数据后,在本地密钥列表中查找携带有双方客户端用户标识的密钥,若查到该密钥,则执行下述解密接收步骤,否则,向密钥服务器发送获取所述密钥的请求消息,执行所述密钥获取步骤,并丢弃所述加密的通信数据;
解密接收步骤,以所述密钥对所述加密的通信数据进行解密。
2.如权利要求1所述的基于互联网的加密通信方法,其特征在于,所述第一客户端和第二客户端分别为位于同一加密子网内的两个客户端。
3.如权利要求1所述的基于互联网的加密通信方法,其特征在于,所述第二客户端为设置在所述第一客户端所在加密子网端口的第一虚拟客户端,而所述解密接收步骤之后还包括有:
将所述解密的通信数据转发到非加密子网。
4.如权利要求1所述的基于互联网的加密通信方法,其特征在于,所述第一客户端和第二客户端分别为设置在同一加密子网端口的第一虚拟客户端和第二虚拟客户端,而所述解密接收步骤之后还包括有:
所述第二虚拟客户端以预设的网间密钥对所述通信数据进行加密,并将加密的通信数据转发到对端加密子网;
所述第二虚拟客户端接收到来自对端加密子网的加密的通信数据后,以所述预设的网间密钥对其进行解密,并将解密后的通信数据转发到所述第一虚拟客户端。
5.如权利要求1所述的基于互联网的加密通信方法,其特征在于,所述第一客户端和第二客户端分别为多播发送方和任一多播接收方,且所述密钥为携带有所述多播发送方MAC地址的密钥。
6.一种基于互联网的通信加密系统,其特征在于,该系统包括有:
第一客户端,用于以携带有双方客户端用户标识的密钥对待发送的通信数据进行加密后,发送加密的通信数据;
第二客户端,用于以携带有双方客户端用户标识的密钥对其接收到的加密的通信数据进行解密;
密钥服务器,与所述第一客户端和第二客户端相连,用于接收所述第一客户端或第二客户端发送的密钥获取请求,并将携带有双方客户端用户标识的密钥发送给所述第一客户端或第二客户端。
7.如权利要求6所述的基于互联网的通信加密系统,其特征在于,所述第一客户端和第二客户端分别为同一加密子网内的两个客户端。
8.如权利要求6所述的基于互联网的通信加密系统,其特征在于,所述第二客户端为设置在所述第一客户端所在加密子网端口的第一虚拟客户端,并且,所述第一虚拟客户端包括有:
密钥获取单元,用于向所述密钥服务器发送获得携带有所述客户端和第一虚拟客户端的用户标识的密钥的请求,并接收密钥服务器返回的所述密钥;
解密转发单元,用于以所述密钥获取单元获得的密钥对其接收到的加密的通信数据进行解密,并将所述解密的通信数据转发到与其相连的非加密子网;
加密转发单元,用于在接收到来自所述非加密子网的通信数据时,以所述密钥对该通信数据进行加密,并转发给第一客户端;
所述第一客户端包括有:
密钥获取单元,用于向所述密钥服务器发送获得携带有第一客户端和第一虚拟客户端的用户标识的密钥的请求,并接收密钥服务器返回的所述密钥;
解密接收单元,用于以所述密钥对来自所述加密发送单元的加密的通信数据进行解密;
加密发送单元,用于以所述密钥对待发送的通信数据进行加密后,发送到所述解密转发单元。
9.如权利要求6所述的基于互联网的加密通信系统,其特征在于,所述第一客户端和第二客户端分别为设置在同一加密子网端口的第一虚拟客户端和第二虚拟客户端,而所述第一虚拟客户端与发送/接收数据的普通客户端相连,并且,所述第一虚拟客户端包括有:
密钥获取单元,用于向所述密钥服务器发送获得携带有所述普通客户端和第一虚拟客户端的用户标识的密钥的请求,并接收密钥服务器返回的所述密钥;
解密转发单元,用于以所述密钥获取单元获得的密钥对其接收到的加密的通信数据进行解密,并将所述解密的通信数据转发到第二虚拟客户端;
加密转发单元,用于在接收到来自所述非加密子网的通信数据时,以所述密钥对该通信数据进行加密,并将所述加密的通信数据转发到所述普通客户端;
而所述第二虚拟客户端包括有:
网间加密单元,用于以预设的网间密钥,对来自所述解密转发单元的通信数据进行加密后,将其发送到对端加密子网;
网间解密单元,用于以预设的网间密钥,对来自对端加密子网的加密的通信数据进行解密后,将其发送到所述加密转发单元。
10.如权利要求6所述的基于互联网的加密通信系统,其特征在于,所述第一客户端和第二客户端分别为多播发送方和任一多播接收方,并且,所述密钥为携带有所述多播发送方MAC地址的密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101051230A CN101783792B (zh) | 2009-01-16 | 2009-01-16 | 基于互联网的加密通信方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101051230A CN101783792B (zh) | 2009-01-16 | 2009-01-16 | 基于互联网的加密通信方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101783792A true CN101783792A (zh) | 2010-07-21 |
CN101783792B CN101783792B (zh) | 2012-07-25 |
Family
ID=42523611
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101051230A Expired - Fee Related CN101783792B (zh) | 2009-01-16 | 2009-01-16 | 基于互联网的加密通信方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101783792B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368942A (zh) * | 2013-05-25 | 2013-10-23 | 中山市中商港科技有限公司 | 一种云数据安全存储及管理的方法 |
CN107360095A (zh) * | 2017-07-13 | 2017-11-17 | 惠州高盛达科技有限公司 | 基于客户端主机名称的端口转发在路由器中的实现方法 |
CN110266480A (zh) * | 2019-06-13 | 2019-09-20 | 腾讯科技(深圳)有限公司 | 数据传输方法、装置及存储介质 |
CN112616139A (zh) * | 2020-12-14 | 2021-04-06 | Oppo广东移动通信有限公司 | 一种数据传输方法、电子设备及计算机可读存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1705261A (zh) * | 2004-05-28 | 2005-12-07 | 华为技术有限公司 | 一种端对端加密通讯系统及方法 |
CN101299667A (zh) * | 2008-06-05 | 2008-11-05 | 华为技术有限公司 | 一种认证方法、系统、客户端设备和服务器 |
-
2009
- 2009-01-16 CN CN2009101051230A patent/CN101783792B/zh not_active Expired - Fee Related
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368942A (zh) * | 2013-05-25 | 2013-10-23 | 中山市中商港科技有限公司 | 一种云数据安全存储及管理的方法 |
CN107360095A (zh) * | 2017-07-13 | 2017-11-17 | 惠州高盛达科技有限公司 | 基于客户端主机名称的端口转发在路由器中的实现方法 |
CN107360095B (zh) * | 2017-07-13 | 2020-06-23 | 惠州高盛达科技有限公司 | 基于客户端主机名称的端口转发在路由器中的实现方法 |
CN110266480A (zh) * | 2019-06-13 | 2019-09-20 | 腾讯科技(深圳)有限公司 | 数据传输方法、装置及存储介质 |
CN112616139A (zh) * | 2020-12-14 | 2021-04-06 | Oppo广东移动通信有限公司 | 一种数据传输方法、电子设备及计算机可读存储介质 |
CN112616139B (zh) * | 2020-12-14 | 2023-02-10 | Oppo广东移动通信有限公司 | 一种数据传输方法、电子设备及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101783792B (zh) | 2012-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8345875B2 (en) | System and method of creating and sending broadcast and multicast data | |
Harney et al. | GSAKMP: Group secure association key management protocol | |
US8837729B2 (en) | Method and apparatus for ensuring privacy in communications between parties | |
CN101667916B (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
US7925026B2 (en) | Systems and methods for providing autonomous security | |
JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
CN102088441B (zh) | 消息中间件的数据加密传输方法和系统 | |
US20080072035A1 (en) | Securing multicast data | |
US20060182124A1 (en) | Cipher Key Exchange Methodology | |
WO2008113405A1 (en) | Securing ip traffic | |
CN101529805A (zh) | 中间设备 | |
CN102088352B (zh) | 消息中间件的数据加密传输方法和系统 | |
CN101471767B (zh) | 密钥分发方法、设备及系统 | |
CN101170413A (zh) | 一种数字证书及其私钥的获得、分发方法及设备 | |
CN101783792B (zh) | 基于互联网的加密通信方法及系统 | |
US20130219172A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
EP2154822A2 (en) | Securing multicast data | |
JP6905697B2 (ja) | 電子メールシステム | |
CN104869000A (zh) | 一种基于标识密码跨域安全通信方法及系统 | |
KR101880999B1 (ko) | 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법 | |
JPH0969831A (ja) | 暗号通信システム | |
CN108965266B (zh) | 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法 | |
KR101575050B1 (ko) | 이종 통신 인터페이스를 지원하는 2.5계층 보안 시스템 | |
CN116743512B (zh) | 网络自治与隔离方法、装置、电子设备及可读存储介质 | |
CN111865972B (zh) | 一种匿名通信方法与系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120725 Termination date: 20200116 |
|
CF01 | Termination of patent right due to non-payment of annual fee |