CN103929299A - 地址即公钥的自安全轻量级网络报文传输方法 - Google Patents

地址即公钥的自安全轻量级网络报文传输方法 Download PDF

Info

Publication number
CN103929299A
CN103929299A CN201410174815.1A CN201410174815A CN103929299A CN 103929299 A CN103929299 A CN 103929299A CN 201410174815 A CN201410174815 A CN 201410174815A CN 103929299 A CN103929299 A CN 103929299A
Authority
CN
China
Prior art keywords
message
key
address
data
network
Prior art date
Application number
CN201410174815.1A
Other languages
English (en)
Other versions
CN103929299B (zh
Inventor
王小峰
周寰
Original Assignee
王小峰
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 王小峰 filed Critical 王小峰
Priority to CN201410174815.1A priority Critical patent/CN103929299B/zh
Publication of CN103929299A publication Critical patent/CN103929299A/zh
Application granted granted Critical
Publication of CN103929299B publication Critical patent/CN103929299B/zh

Links

Abstract

本发明公开一种地址即公钥的自安全轻量级网络报文传输方法,步骤为:1)为网络中的每台主机分配IP地址并根据IP地址生成对应的私钥,每台主机启动时获取IP地址及对应的私钥;2)数据通信时,源主机查询或根据己方的私钥及目的主机的IP地址建立共享密钥并生成对称密钥,使用对称密钥对数据进行加密和认证,封装成报文后发送;3)目的主机查询或根据己方的私钥及源主机的IP地址建立共享密钥并生成对称密钥,使用对称密钥对报文进行认证及解密处理。本发明具有实现方法简单、无需证书认证、共享密钥建立过程简单、应用灵活、安全且高效的优点。

Description

地址即公钥的自安全轻量级网络报文传输方法
技术领域
[0001] 本发明涉及可信安全网络的基础通信领域,尤其涉及一种地址即公钥的自安全轻量级网络报文传输方法。
背景技术
[0002] 随着网络及其应用技术的发展,互联网已经成为人类学习、工作、生活不可或缺的一部分,当前互联网的功能日益强大,对其安全需求也变得更加迫切。互联网的功能由最初的文本传输、网页浏览发展成为网上购物、网上金融、社交娱乐等,几乎涵盖了人类生产生活的各个方面。由于网络虚拟世界与现实世界的结合点不断增多,使得若网络上的安全及隐私一旦遭到破坏,将对现实世界造成重大损失;同时随着各种通信手段的不断涌现,特别是移动通信市场的空前繁荣,无线通信的潜在安全威胁也显得尤为突出。无线通信处于一个完全开放的网络环境中,网络嗅探和窃听则更加易于实现,传统的IP协议虽然简洁,但是在安全性上完全没有保证。
[0003] 针对上述安全需求,目前大部分的解决方案主要是基于传统PKI体系,通过身份认证和消息内容的加密传输,在开放复杂的网络环境下建立安全的通信信道,保证各项应用的安全。从保护的层次上来说,主要包括网络层安全和应用层安全,其中应用层安全主要是指软件的开发者将所需的内容在应用层进行加密,再通过底层协议进行传输,比较典型的有S-HTTP和S/MME协议;而网络层安全,是在网络层对数据进行加密,其实现的网络协议层次较为底层。应用层和网络层两者比较来说,网络层安全具有以下几点优势:
[0004] (I)网络层安全更加独立于具体的应用,软件开发者在软件开发时不需要过多地关注认证和加密的实现,只要主机的协议栈对协议提供支持即可;
[0005] (2)网络层安全的实现更为节约资源,若完全基于应用层安全,目前所有应用的客户端和服务端都得重新升级或进行相关配置,需要耗费大量人力物力。
[0006] (3)针对不同的应用需要不同的协议,比如S-HTTP针对的是HTTP协议,而S/MME主要针对的是邮件服务,其通用性不强,网络中除了传送消息的报文,还有控制报文,比如ICMP等。由于属于网络层,应用层安全不对控制类报文采取认证或者加密等措施,攻击者虽然不能窃取用户的信息,但依然可以通过伪造控制消息对网络进行破坏,而网络层安全则可以防止这类攻击。
[0007] 因此,网络层安全保护应用更为广泛,目前网络层安全采用的都是IPSec协议组,其包括AH和ESP等具体协议格式。目前IPSec大多用在企业,或者某些特定的应用中且主要利用其隧道模式保护诸如VPN的网络通信,而在端到端或者对等网络中,IPSec的传输模式并没有得到广泛应用,究其原因主要存在以下四个方面:
[0008] I)密钥分发开销大
[0009] IPSec中的IKE协议用于通信双方协商出一对对称密钥,作为加解密的通信密钥。IKE协议通过双方的公钥,协商出通信密钥,其中如何将公钥与用户的身份绑定具有非常关键的作用,否则会话很容易被冒名的窃听者作为中间人劫持。[0010]为了完成用户身份与其公钥信息的绑定,IPSec采用了传统PKI体系中的证书机制,使用的证书具有一定格式,通过可信任第三方的签名来证明用户及其公钥信息的合法性。证书相对网络报文所占的存储空间较大,因而每次两个用户之间为了完成密钥的协商必须花费一定的额外网络流量进行证书的传输,造成密钥分发的开销大。
[0011] 2)发起连接延迟长
[0012] 传统的IP协议,比如TCP协议,只需要三次握手即可建立连接进行数据传输,在IPSec中则需要额外的握手和认证开销。当仅仅发送一些很少的控制报文时,这些额外的开销的影响就显得尤为明显,比如为了发送一个数据包的ICMP控制报文,IPSec需要在此前发送额外的14个数据包用于认证和密钥协商,建立安全连接。因此相对IP协议来说,IPSec建立安全连接需要很长的延迟,而在一些移动或军事应用上,这一延迟是不能忍受的。
[0013] 3)交互状态转换多
[0014] IP协议是一个无状态的协议,通信双方无需保持一致的状态,可以很方便地进行断线重连以及重新路由到另一台路由器,而IPSec需要通信双方实时地维护一个状态空间,适时地转换状态,且一旦状态转换发生错误,通信过程就会被中断。因为没有一个相应的状态,报文路由到另一台路由器时若某一端发生故障,该报文也会被丢弃。
[0015] 4)协议格式定义复杂
[0016] IP协议目前仅仅由一个RFC所定义,而IPSec目前至少由12个RFC定义,其中包括多种协议进行互相辅助和补充。协议的复杂性导致难以分析该协议的安全性以及其中是否存在安全漏洞,复杂的协议也增加了系统遭受拒绝服务攻击的风险。
发明内容
[0017] 本发明要解决的技术问题就在于:针对现有技术存在的技术问题,本发明提供一种实现方法简单、无需证书认证、共享密钥建立过程简单、无需维护状态特定状态、传输协议简单且安全性高的地址即公钥的自安全轻量级网络报文传输方法。
[0018] 为解决上述技术问题,本发明提出的技术方案为:
[0019] 一种地址即公钥的自安全轻量级网络报文传输方法,具体实施步骤如下:
[0020] I)为网络中的每台主机分配IP地址并根据IP地址生成对应的私钥,每台主机启动时获取所述IP地址及对应的私钥;
[0021] 2)进行数据通信时,源主机查询与目的主机通信的对称密钥是否存在,若存在,获取查询到的对称密钥,若不存在,源主机根据己方的私钥及目的主机的IP地址建立共享密钥,由所述共享密钥生成并存储与目的主机通信的对称密钥;使用所述对称密钥对数据进行加密、生成消息认证码,并封装成网络报文发送给目的主机;
[0022] 3)目的主机接收网络报文,查询与源主机通信的对称密钥是否存在,若存在,获取查询到的对称密钥,若不存在,目的主机根据己方的私钥及源主机的IP地址建立共享密钥,由所述共享密钥生成并存储与源主机通信的对称密钥;使用所述对称密钥对接收的网络报文进行认证及解密处理。
[0023] 作为本发明的进一步改进:所述对称密钥包括对称会话密钥和消息认证密钥,所述对称会话密钥和所述消息认证密钥由所述共享共享密钥分别与不同的字符串连接并采用哈希算法计算得到。[0024] 作为本发明的进一步改进,所述步骤I)中根据IP地址生成对应的私钥的具体实施步骤如下:将IP地址采用基于椭圆曲线的IP映射规则映射为椭圆曲线上的一点,得到第一映射点;设置私有参数,并将私有参数与第一映射点相乘的结果作为所述IP地址对应的私钥。
[0025] 作为本发明的进一步改进:所述步骤2)的具体步骤如下:
[0026] 2.1)源主机预先在内存中建立用于存储目的主机IP地址与对称会话密钥、消息认证密钥的对应关系的自信任网络地址及密钥表STT ;进行数据通信时,源主机查询自信任网络地址及密钥表STT是否存在与目的主机IP地址对应的对称会话密钥和消息认证密钥,若存在,获取查询到的对称会话密钥和消息认证密钥,转入执行步骤2.3);若不存在,转入执行步骤2.2);
[0027] 2.2)源主机将目的主机IP地址映射到椭圆曲线上得到第二映射点,并根据己方的私钥和第二映射点采用双线性对计算得到共享密钥,使用所述共享密钥生成与目的主机IP地址对应的对称会话密钥和消息认证密钥并存入自信任网络地址及密钥表STT中;
[0028] 2.3)在网络层对待发送的载荷数据进行封装,使用所述对称会话密钥采用加密算法对载荷数据及数据报头进行加密并使用所述消息认证密钥生成消息认证码,将加密后的数据、所述加密算法以及消息认证码封装进报文并根据发送模式填写报文对应的字段,获得封装后的网络报文,将所述网络报文发送给目的主机。
[0029] 作为本发明的进一步改进,所述步骤2.3)的具体步骤如下:
[0030] 2.3.1)将待发送的载荷数据按照分组大小的整数倍进行填充,记录填充的字节数并将填充的字节数补充在填充字节后构成报文尾;
[0031] 2.3.2)判断待发送的载荷数据的发送模式,若为传输模式,由TCP或UDP数据包构成数据字段,转入执行步骤2.3.3),若为隧道模式,重新构造IP头并由整个IP数据包构成数据字段,转入执行步骤2.3.3);
[0032] 2.3.3)使用所述对称会话密钥采用加密算法对数据字段、报文尾进行加密;将数据字段的协议格式、所述加密算法、标志位、报文的序列号封装为报文头;若报文头中标志位为1,则使用所述消息认证密钥对IP头中不变字段、报文头、数据字段以及报文尾计算生成消息认证码并加入报文头,否则不生成消息认证码;按照IP头、报文头、数据字段以及报文尾的顺序进行串接,获得封装后的网络报文;将所述网络报文发送给目的主机,转入执行步骤3);
[0033] 作为本发明的进一步改进,所述步骤3)的具体步骤如下:
[0034] 3.1)目的主机预先在内存中建立用于存储源主机IP地址与对称会话密钥、消息认证密钥的对应关系的自信任网络地址及密钥表STT ;进行数据通信时,目的主机接收网络报文并判断报文是否为过期报文,若为是,丢弃接收的网络报文并退出;若为否,转入执行步骤3.2);
[0035] 3.2)目的主机查询自信任网络地址及密钥表STT是否存在与源主机IP地址对应的对称会话密钥与消息认证密钥,若存在,获取对称会话密钥和消息认证密钥,转入执行步骤3.4);若不存在,转入执行步骤3.3);
[0036] 3.3)目的主机将源主机的IP地址映射到椭圆曲线上得到第三映射点,并根据第三映射点和己方的私钥采用双线性对计算得到共享密钥,使用所述的共享密钥生成与源主机IP地址对应的对称会话密钥和消息认证密钥,转入执行步骤3.4);
[0037] 3.4)判断报文头中的标志位,若为1,转入执行步骤3.5),若为0,转入执行步骤
3.6);
[0038] 3.5)使用所述消息认证密钥计算网络报文的IP头中不变字段、除去消息认证码的报文头、数据字段以及报文尾的摘要值,判断摘要值与报文中的消息认证码是否一致,若一致,转入执行步骤3.6),若不一致,丢弃接收的网络报文并退出;
[0039] 3.6)对网络报文进行解析,根据发送模式使用所述对称会话密钥及所述加密算法对应的解密算法对报文进行解密,将解密后的数据根据发送模式提交给上层协议或进行进一步转发。
[0040] 作为本发明的进一步改进,所述步骤3.1)中目的主机接收网络报文并判断报文是否为过期报文的具体步骤如下:
[0041] 3.1.1)接收网络报文并判断网络报文是否为源主机发送的第一个网络报文,若为是,根据第一个网络报文的所述报文的序列号的值N建立滑动窗口并选定窗口大小M,转入执行步骤3.2);若为否,转入执行步骤3.1.2);
[0042] 3.1.2)判断报文的序列号的值m在滑动窗口中的位置,若满足m〈N_M,则判定报文不在滑动窗口内,直接丢弃报文;若满足N-M〈m〈N,判定报文在滑动窗口内,转入执行步骤
3.2);若满足m>N,则更新滑动窗口为报文的序列号的值m。
[0043] 作为本发明的进一步改进:所述步骤3.6)的具体步骤如下:
[0044] 3.6.1)根据报文头中所述数据字段的协议格式判断报文的发送模式,若协议格式为TCP或UDP协议,判定发送模式为传输模式,转入执行步骤3.6.2);若协议格式为IP协议,判定发送模式为隧道模式,转入执行步骤3.6.3);
[0045] 3.6.2)从报文头中获取网络报文采用的加密算法,使用所述加密算法对应的解密算法及所述对称会话密钥对网络报文中数据字段及报文尾进行解密;读取解密数据的最后一个字节得到填充的数据位数,根据所述数据位数去除报文尾中填充的数据位,得到还原的解密数据;将所述解密数据提交至TCP或UDP上层协议并退出;
[0046] 3.6.3)从报文头中获取网络报文采用的加密算法,使用所述加密算法对应的解密算法及所述对称会话密钥对网络报文中数据字段及报文尾进行解密;读取解密数据的最后一个字节得到填充的数据位数,根据所述数据位数去除报文尾中填充的数据位,得到还原的解密数据;将所述解密数据按照数据中IP报文的目的地址进行进一步转发并退出。
[0047] 与现有技术相比,本发明的优点在于:
[0048] (I)本发明在地址即公钥的自安全轻量级网络中进行数据通信时,通信双方根据己方的私钥和对方的IP地址建立共享密钥,直接由建立的共享密钥生成会话密钥及消息认证密钥,共享密钥的建立过程简单、应用灵活,能够实现共享密钥协商的零交互,从而避免了在只发送一些控制报文时需要使用更多报文进行协商的情况;同时使用会话密钥及消息认证密钥对载荷数据进行加解密及认证,能够有效保护传输数据的安全,当采用双线性映射获取会话密钥时,能够以最小的开销建立安全会话;
[0049] (2)本发明为每个网络中的主机分配IP地址,根据IP地址生成私钥及共享密钥,将IP地址天然地与用户绑定,免去了使用证书将IP地址与用户身份进行绑定的过程,在数据传输前不需要进行证书的认证,减少了连接的开销及延迟;[0050] (3)本发明在现有的基于IP地址结构的通信模式下构建一种基于自安全轻量级网络的通信协议,源主机使用对称密钥对传输数据进行加密及消息认证码的生成并封装成网络报文,有效的结合了 IPSec协议安全性高、IP协议简单的优点,实现灵活、高效、安全的网络报文传输,无需依赖第三方证书认证、无需维护状态特定状态且无需多种复杂协议。
附图说明
[0051] 图1是本实施例地址即公钥的自安全轻量级网络报文传输方法实现流程示意图。
[0052] 图2是本实施例中网络报文传输原理示意图。
[0053] 图3是本实施例中传输模式时报文结构示意图。
[0054] 图4是本实施例中传输模式时报文的加密和认证范围结构示意图。
[0055] 图5是本实施例中隧道模式时报文结构示意图。
[0056] 图6是本实施例中隧道模式时报文的加密和认证范围结构示意图。
[0057] 图7是本实施例中步骤2)具体流程示意图。
[0058] 图8是本实施例中步骤3)具体流程示意图。
具体实施方式
[0059] 以下结合说明书附图和具体优选的实施例对本发明作进一步描述,但并不因此而限制本发明的保护范围。
[0060] 本发明的地址即公钥的自安全轻量级网络报文传输方法,其核心思想是结合对方的IP地址及己方的私钥建立通信双方的共享密钥,天然的完成IP地址与公钥的绑定,再使用共享密钥生成的对称密钥进行加解密及认证,保护传输报文的安全。
[0061] 本发明中地址即为公钥,相对于传统PKI体系中的公钥而言,采用参与通信实体的地址本身作为公钥,无需第三方认证。
[0062] 对应本发明的地址即公钥的自安全轻量级网络报文传输方法,本发明在现有的基于IP地址结构的通信模式下,构建一种网络层通信协议,即TIP协议(Trust InternetProtocol,自信任网络协议)。对应于本发明的地址即公钥的自安全轻量级网络报文传输方法,TIP协议的核心思想是结合IPSec协议与IP协议的特点,利用通信双方协商的共享密钥生成对称密钥对载荷数据进行加解密及认证,共享密钥的协商则通过对方的IP地址及己方的私钥直接建立,实现协商的零交互;构造网络报文时,根据发送模式将认证加密后的数据进行封装。本发明TIP协议主要针对ipv4协议,能够实现自安全轻量级网络中简单、安全性高的网络报文传输。
[0063] 以下将结合一个自安全轻量级网络中用户Alice(以下简称为用户A)向用户Bob (以下简称为用户B)发送数据报文的具体实施例对本发明进行说明。
[0064] 如图1、2所示,本实施例地址即公钥的自安全轻量级网络报文传输方法,步骤包括:
[0065] 步骤I)自信任网络地址及密钥机构STA为网络中的每台主机分配IP地址并根据IP地址生成对应的私钥,每台主机启动时从自信任网络地址及密钥机构STA获取IP地址及对应的私钥。
[0066] 本实施例中,由网络中一种可信任机构的自信任网络地址及密钥机构(Self-Trust Authority,简称为STA)负责网络中每台主机的IP地址分配及对应私钥的生成。
[0067] 本实施例中,步骤I)中根据IP地址生成对应的私钥的具体实现方法为:将IP地址采用基于椭圆曲线的IP映射规则映射为椭圆曲线上的一点,得到第一映射点Q ;设置私有参数s并将私有参数s与第一映射点Q相乘的结果sQ作为对应的私钥SK。
[0068] 假设某椭圆曲线在有限域上的点构成的群为G,生成元为P,采用基于椭圆曲线的IP映射规则对IP地址进行映射的实现方法步骤为:第一步,将IP地址对应的字符串a通过hash函数H映射为一个二进制数η,即H (a) = η ;第二步,将二进制数η与生成元P相乘得到椭圆曲线上的另一个点,即为IP地址映射得到的映射点。
[0069] 本实施例中,由自信任网络地址及密钥机构STA为全局选定一条特定的椭圆曲线,例如选定椭圆曲线为'f = x3+l,选定的椭圆曲线在有限域上的点构成了群G1,其中P为该群的生成元,也即全局的公共参数;由自信任网络地址及密钥机构STA选定一个私有参数s,私有参数s仅由自信任网络地址及密钥机构STA选定,任何第三方都无法获知,且私有参数s为整数;网络内的主机启动后,由自信任网络地址及密钥机构STA为每台主机分配IP地址,并由IP地址采用基于椭圆曲线的IP映射规则生成IP地址对应的私钥SK。
[0070] 本实施例中,自信任网络地址及密钥机构STA将用户A、用户B主机对应的IP地址采用基于椭圆曲线的IP映射规则分别映射为椭圆曲线上的一点Qa、Qb ;自信任网络地址及密钥机构STA将私有参数s分别与映射点Qa、Qb相乘,作为用户A、用户B的私钥。
[0071] 作为源主机的用户A启动后,自信任网络地址及密钥机构STA分配的网络地址为IPa且IPa为10.129.202.7,将IPa映射得到的映射点为Qa,生成的对应的私钥为SKa,则SKa=sQa ;作为目的主机的用户B启动后,自信任网络地址及密钥机构STA分配的网络地址为IPb且IPb为10.121.67.45,将IPb映射得到的映射点为Qb,生成的对应的私钥为SKb,则SKb=sQb。
[0072] 在其他实施例中,更为具体的私钥生成方法还可采用例如中国专利申请CN103414691A中公开的方法。
[0073] 如图2所示,本实施例中网络报文传输实现流程,用户A根据IP地址IPa生成私钥后根据用户A的私钥和用户B的IP地址IPb生成对称密钥,由对称密钥对数据进行认证加密,发送经过对称密钥认证加密的数据给用户B ;用户B接收到数据后,根据用户B的私钥和用户A的IP地址IPa生成对称密钥,由对称密钥对接收的数据进行认证及解密,并同样利用该对称密钥对与用户A的通信内容进行加密。
[0074] 本实施例中,源主机发送数据时将数据封装为基于TIP协议的网络报文(以下简称为TIP报文),TIP报文具有传输模式和隧道模式两种发送模式,根据发送模式来确定TIP报文的具体结构。
[0075] 如图3所示,本实施例中传输模式时网络报文结构,包括IP头、TIP头、数据字段和TIP尾,其中:
[0076] TIP尾,用于对载荷数据进行填充以及记录填充的长度。TIP尾为网络报文的报文尾,包括填充、填充长度字段,其中填充字段将传输层的数据按照分组大小的整数倍补齐,填充长度字段记录填充的字节数。
[0077] 数据字段,包括TCP或者UDP的数据报头和具体的载荷数据;[0078] TIP头,用于封装数据字段的协议格式、采用的加密算法、报文的序列号以及消息认证码。TIP头为网络报文的报文头,包括下一个头协议、加密协议、序列号、标志位、保留字段以及自认证码字段。其中下一个头协议字段填写数据字段的协议号,即数据字段的协议格式,如TCP或者UDP等;加密协议字段填写对数据字段、TIP尾进行加密时所采用的加密算法的编号,由I表不AES算法、2表不DES算法、3表不3DES算法;序列号字段用于防重放攻击,发送的每个报文附带序列号,当发送第一个报文时由用户生成序列号,而后发送的每一个报文的序列号都会相应的增加I ;自认证码为使用消息认证密钥生成的20字节的消息认证码,若标志位为I时,生成消息认证码,若标志位为O时,不生成消息认证码;保留字段用于协议的扩展。
[0079] IP头,除协议字段填写TIP的协议号59以外,其他字段的填写与普通IP协议一致。
[0080] 本实施例中,传输模式时按照IP头、报文头、数据字段以及报文尾的顺序进行串接,完成传输模式的数据封装,构成TIP报文。
[0081] 传统的IP协议在IP头之后即为传输层的数据,本实施例通过在IP头和传输层数据之间引入TIP头,实现自认证的功能。
[0082] 传输模式和隧道模式的TIP报文,其最大的区别在于载荷数据的不同。如图5所示,本实施例中隧道模式时报文结构,包括IP头、TIP头、数据字段和TIP尾,其结构与传输模式时TIP结构基本相同,不同之处在于数据字段的载荷数据为IP数据包并为报文重新构造IP头,即数据字段为加密的整个IP数据包,重新构造的IP头用于数据传输;且TIP头中下个头协议中填写的协议号为IP的协议号。隧道模式下数据层为整个IP报文,按照IP头、TIP头、数据字段和TIP尾的顺序紧凑串接,完成隧道模式的数据封装,构成TIP报文。
[0083] 传统的IP隧道技术是在IP头之后加入一个完整的IP报文,本实施例通过重新构造IP头并在IP头与完整IP报文数据之间引入TIP头,实现自认证的功能。
[0084] 如图4所示,本实施例中传输模式时网络报文的加密和认证范围,图中阴影填充部分即为加密和认证范围,其中加密范围为数据、TIP尾,其中数据字段包含TCP或UDP头、具体的载荷数据;认证范围为IP头中不变字段、TIP头中除自认证码字段以外的所有其他字段,其中IP头中不变字段为IP头中除会随传输而变化的字段以外的其他所有字段。如图6所示,本实施例中隧道模式时网络报文的加密和认证范围,图中阴影填充部分即为加密和认证范围,其中加密范围为数据、TIP尾,其中数据字段包含新IP头、TCP或UDP头以及具体的载荷数据;认证范围与传输模式时相同,为IP头中不变字段以及TIP头中除自认证码字段以外的所有其他字段。
[0085] 步骤2)进行数据通信时,源主机查询与目的主机通信的对称密钥是否存在,若存在,获取查询到的对称密钥,若不存在,源主机根据己方的私钥及目的主机的IP地址建立共享密钥,由共享密钥生成并存储与目的主机通信的对称密钥;使用对称密钥对数据进行加密、生成消息认证码,并封装成网络报文发送给目的主机。
[0086] 本实施例中,步骤2)的具体步骤为:
[0087] 2.1)源主机预先在内存中建立用于存储目的主机IP地址与对称会话密钥、消息认证密钥的对应关系的自信任网络地址及密钥表STT ;进行数据通信时,源主机查询自信任网络地址及密钥表STT是否存在与目的主机IP地址对应的对称会话密钥和消息认证密钥,若存在,获取查询到的对称会话密钥和消息认证密钥,转入执行步骤2.3);若不存在,转入执行步骤2.2);
[0088] 2.2)源主机将目的主机IP地址映射到椭圆曲线上得到第二映射点,并根据己方的私钥和第二映射点采用双线性对计算得到共享密钥,使用共享密钥生成与目的IP地址对应的对称会话密钥和消息认证密钥并存入自信任网络地址及密钥表STT中;
[0089] 2.3)在网络层对待发送的载荷数据进行封装,使用对称会话密钥采用加密算法对载荷数据及数据报头进行加密并使用消息认证密钥生成消息认证码,将加密后的数据、所述加密算法以及消息认证码封装进报文并根据发送模式填写报文对应的字段,获得封装后的网络报文,将网络报文发送给目的主机。
[0090] 本实施例中,网络中用户将对称会话密钥和消息认证密钥以缓存的形式存储在内存中,通过建立IP地址与会话密钥、消息认证密钥对应关系的数据结构,构成自信任网络地址及密钥表(Self-Trust Table,简称STT),存储、管理会话密钥和消息认证密钥。
[0091] 本实施例通过缓存机制,暂时保存协商的临时密钥,可以有效减少密钥协商的开销。
[0092] 本实施例中,用户A向用户B发送数据时,首先查询自信任网络地址及密钥表STT,获取存储的缓存密钥,若不存在缓存密钥,由用户A建立共享密钥,具体方法为:用户A将用户B的IP地址映射到椭圆曲线上得到映射点Qb,并根据用户A的私钥SKa和映射点Qb采用双线性对计算得到共享密钥,用户A计算共享密钥公式如下式所示:
[0093] Ka = e (SKa, Qb) (I)
[0094] 其中Ka为用户A建立的共享密钥,e表示双线性映射,SKa为用户A的私钥,Qb为用户B的IP地址映射得到的映射点。
[0095] 本实施例中,步骤2.2)中用户A生成对称会话密钥和消息认证密钥的具体实施方法为:将用户A建立的共享密钥Ka分别与两个不同的字符串连接,采用SHAl算法的hash运算计算得到对称会话密钥、消息认证密钥,计算公式如下所示:
[0096] skey = SHAl(Ka |:Encryptionkey) (2)
[0097] hkey = SHAl(Ka |:HMAC-SHA1-key) (3)
[0098] 其中skey为对称会话密钥,hkey为消息认证密钥,| |表示字符串连接,Encryptionkey表示生成对称会话密钥时对应的字符串,HMAC-SHAl_key表示生成消息认证密钥时对应的字符串。
[0099] 本实施例中采用SHAl算法计算得到对称会话密钥、消息认证密钥,在其他实施例中还可以采用哈希算法的其他算法。
[0100] 本实施例中,步骤2.3)的具体步骤包括:
[0101] 2.3.1)将待发送的载荷数据按照分组大小的整数倍进行填充,记录填充的字节数并将填充的字节数补充在填充字节后构成报文尾;
[0102] 2.3.2)判 断待发送的载荷数据的发送模式,若为传输模式,由TCP或UDP数据包构成数据字段,转入执行步骤2.3.3),若为隧道模式,重新构造IP头并由整个IP数据包构成数据字段,转入执行步骤2.3.3);
[0103] 2.3.3)使用对称会话密钥采用加密算法对数据字段、报文尾进行加密;将数据字段的协议格式、采用的加密算法、标志位、报文的序列号封装为报文头;若报文头中标志位为1,则使用消息认证密钥对IP头中不变字段、报文头(不包括消息认证码)、数据字段、报文尾计算生成消息认证码并加入报文头,否则不生成消息认证码;按照IP头、报文头、数据字段以及报文尾的顺序进行串接,获得封装后的网络报文,将网络报文发送给目的主机,转入执行步骤3)。
[0104] 本实施例中,步骤2.3.2)的具体实施方法为:源主机使用对称会话密钥采用对称加密算法对数据字段及TIP头进行加密,对称加密算法采用AES或3DES对称加密算法;使用消息认证密钥采用HMAC-SHA1算法对IP头中不变字段、TIP头(不包括自认证码字段)、数据字段、TIP尾计算得到20字节的消息认证码,具体的加密范围及认证范围如上所述。
[0105] 如图7所示,本实施例中步骤2)具体实现流程,作为源主机的用户A向作为目的主机的用户B发送数据时,首先查询自信任网络地址及密钥表STT中是否存在与用户B通信的缓存密钥,若存在,直接使用查询到的缓存密钥,若不存在,则进行计算;用户A计算密钥时,首先将用户B的IP地址映射到椭圆曲线群上得到一个映射点,并由得到的映射点与根据用户A的私钥采用双线性对计算得到共享密钥,共享密钥与字符串连接后采用SHAl算法生成对称会话密钥和消息认证密钥,加入自信任网络地址及密钥表STT中。获得对称会话密钥和消息认证密钥后,判断发送模式并根据发送模式填写报文相应字段,若为传输模式,TIP头中下个头协议字段填写TCP或UDP协议号,若为隧道模式,下个头协议字段填写IP协议号,重新构造IP头,将整个IP报文作为数据层;将发送模式对应的字段进行加密和认证,完成TIP报文的构建。
[0106] 步骤3)目的主机接收网络报文,根据目的主机的私钥及源主机的IP地址建立目的主机的共享密钥并根据共享密钥获取对称密钥,由对称密钥对接收的网络报文进行认证及解密处理。
[0107] 如图8所示,本实施例中步骤3)具体实现流程,步骤包括:
[0108] 3.1)目的主机预先在内存中建立源主机IP地址与会话密钥、消息认证密钥的对应关系的自信任网络地址及密钥表STT中;进行数据通信时,目的主机接收网络报文并判断报文是否为过期报文,若为是,丢弃报文;若为否,转入执行步骤3.2);
[0109] 3.2)目的主机查询自信任网络地址及密钥表STT是否存在与源主机IP地址对应的对称会话密钥与消息认证密钥,若存在,获取对称会话密钥和消息认证密钥,转入执行步骤3.4);若不存在,转入执行步骤3.3);
[0110] 3.3)目的主机将源主机的IP地址映射到椭圆曲线上得到第三映射点,并根据第三映射点和己方的私钥采用双线性对计算得到共享密钥,使用共享密钥生成与源主机IP地址对应的对称会话密钥和消息认证密钥,转入执行步骤3.4);
[0111] 3.4)判断报文头中的标志位,若为1,转入执行步骤3.5),若为0,转入执行步骤
3.6);
[0112] 3.5)使用消息认证密钥计算报文的IP头中不变字段、除去自认证码字段的报文头、数据字段以及报文尾的摘要值,判断摘要值与报文中的自认证码字段是否一致,若一致,转入执行步骤3.6),若不一致,丢弃接收的报文并退出;
[0113] 3.6)对网络报文进行解析,根据发送模式使用对称会话密钥及加密算法对应的解密算法对网络报文进行解密,并将解密后数据根据发送模式提交给上层协议或进行进一步转发。[0114] 本实施例中,与源主机生成消息认证码方法对应的,目的主机接收到网络报文后使用目的主机计算得到的消息认证密钥计算报文的IP头中不变字段、除去自认证码字段的TIP头、数据字段以及TIP尾的摘要值,使用摘要值判断是否与接收的网络报文中自认证码一致,若一致,认证通过并使用对称会话密钥进行解密;若不一致,认证不通过,丢弃接收的报文。
[0115] 本实施例中,用户B建立共享密钥的具体方法为:用户B将用户A的IP地址映射到椭圆曲线上得到映射点Qa,并根据映射点Qa和用户B的私钥SKb采用双线性对计算得到共享密钥,用户B计算共享密钥的公式如下所示:
[0116] Kb = e (Qa, SKb) (4)
[0117] 其中Kb为用户B建立的共享密钥,e表示双线性映射,Qa为用户A的IP地址映射得到的映射点,SKb为用户B的私钥。
[0118] 本实施例中,步骤3.1)中目的主机接收网络报文并判断是否为过期报文的具体步骤为:
[0119] 3.1.1)接收网络报文并判断判断网络报文是否为源主机发送的第一个网络报文,若为是,根据第一个网络报文中序列号的值N建立滑动窗口并选定窗口大小M,转入执行步骤3.2);若为否,转入执行步骤3.1.2);
[0120] 3.1.2)判断报文的序列号的值m在滑动窗口中的位置,若满足m〈N_M,则判定报文不在滑动窗口内,直接丢弃报文;若满足N-M〈m〈N,判定报文在滑动窗口内,转入执行步骤
3.2);若满足m>N,则更新滑动窗口为报文的序列号的值m,即令N = m,使N的值更新为当前所接收报文序列号的最大值。
[0121] 本实施例中用户A建立与用户B的共享密钥为Ka = e (SKa, Qb),其中SKa = sQa。带入公式并利用双线性对的性质,得:
[0122] Ka = e (sQa, Qb) = e (Qa, Qb)3 (5)
[0123] 用户B建立与用户A的共享密钥为Kb = e (Qa, SKb)。同理,由SKb = sQb可得:
[0124] Kb = e (Qa, sQb) = e (Qa, Qb) (6)
[0125] 因此Ka = Kb,即源主机与目的主机在双方不需要任何通信的情况下,根据地址,即公钥,和私钥即可建立一套共享密钥,而这一密钥除了 STA以外,任何一个第三方是无法计算得出的。
[0126] 本实施例在地址即公钥的自安全轻量级网络中进行数据通信时,通信双方根据己方的私钥和对方的IP地址建立共享密钥,直接由建立的共享密钥生成会话密钥及消息认证密钥,共享密钥的建立过程简单、应用灵活,能够实现共享密钥协商的零交互,从而避免了在只发送一些控制报文时需要使用更多报文进行协商的情况。
[0127] 本实施例中,用户B生成称会话密钥和消息认证密钥的方法与源主机相同,通过将用户B建立的共享密钥Kb分别与不同字符串连接,并采用SHAl算法计算得到对称会话密钥和消息认证密钥,用户B生成对称会话密钥和消息认证密钥的表达式如下所示:
[0128] skey = SHAl (Kb |: Encryptionkey) (7)
[0129] hkey = SHAl (Kb |: HMAC-SHA1-key) (8)
[0130] 其中skey为对称会话密钥,hkey为消息认证密钥,| |表示字符串连接,Encryptionkey表示生成对称会话密钥时对应的字符串,HMAC-SHAl_key表示生成消息认证密钥时对应的字符串。
[0131] 本实施例中,步骤3.5)的具体实施方法为:利用HMAC-SHA1算法结合消息认证密钥hkey计算网络IP头中不变字段、不包括自认证码字段的TIP头、数据字段和TIP尾三个部分(图4、6中阴影填充所示的部分)的摘要值,判断摘要值与报文中的20字节自认证码是否一致,若不一致,直接丢弃报文,若一致,则报文认证通过。
[0132] 本实施例通过共享密钥生成的对称会话密钥、消息认证密钥对报文进行加密、认证,能够有效保护传输数据的安全,采用双线性映射生成会话密钥,以最小的开销建立安全会话。
[0133] 本实施例中,步骤3.6)的具体步骤为:
[0134] 3.6.1)根据报文头中数据字段的协议格式判断报文的发送模式,若协议格式为TCP或UDP协议,判定发送模式为传输模式,转入执行步骤3.6.2);若协议格式为IP协议,判定发送模式为隧道模式,转入执行步骤3.6.3);
[0135] 3.6.2)从报文头中获取报文采用的加密算法,使用加密算法对应的解密算法及对称会话密钥对报文中数据字段及报文尾进行解密;读取解密数据的最后一个字节得到填充的数据位,根据数据位去除报文尾中相应位数的填充数据位,得到还原的解密数据,将还原的解密数据提交至TCP或UDP上层协议并退出;
[0136] 3.6.3)从报文头中获取报文采用的加密算法,使用加密算法对应的解密算法及对称会话密钥对报文中数据字段及报文尾进行解密;读取解密数据的最后一个字节得到填充的数据位数,根据数据位数去除报文尾中相应位数的填充数据位,得到还原的解密数据,将还原的解密数据按照数据中IP报文的目的地址进行进一步转发并退出。
[0137] 本实施例中,对网络报文进行解析时,根据TIP头中下个头协议字段判断网络报文的发送模式,若下个头协议为TCP或UDP协议,判定为传输模式;若下个头协议为IP协议,为判定为隧道模式。传输模式时,从TIP头中获取加密协议字段获取加密算法的编号,得到报文采用的加密算法,使用加密算法对应的解密算法及对称会话密钥对数据字段、TIP尾进行解密;读取解密数据的最后一个字节得到TIP尾中填充长度,获取填充的数据位数并根据填充的位数去除报文尾中填充数据位,得到还原的解密数据,将还原的解密数据提交至TCP或UDP等上层协议进行进一步处理。隧道模式时,采用与传输模式相同的方法获得还原的解密数据,与传输模式不同的是,隧道模式得到的还原的解密数据为一个完整的IP报文,按照IP报文的目的地址进一步转发报文,而不将报文提交至上层协议。
[0138] 上述只是本发明的较佳实施例,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围的情况下,都可利用上述揭示的技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均应落在本发明技术方案保护的范围内。

Claims (8)

1.一种地址即公钥的自安全轻量级网络报文传输方法,其特征在于具体实施步骤如下: 1)为网络中的每台主机分配IP地址并根据IP地址生成对应的私钥,每台主机启动时获取所述IP地址及对应的私钥; 2)进行数据通信时,源主机查询与目的主机通信的对称密钥是否存在,若存在,获取查询到的对称密钥,若不存在,源主机根据己方的私钥及目的主机的IP地址建立共享密钥,由所述共享密钥生成并存储与目的主机通信的对称密钥;使用所述对称密钥对数据进行加密、生成消息认证码,并封装成网络报文发送给目的主机; 3)目的主机接收网络报文,查询与源主机通信的对称密钥是否存在,若存在,获取查询到的对称密钥,若不存在,目的主机根据己方的私钥及源主机的IP地址建立共享密钥,由所述共享密钥生成并存储与源主机通信的对称密钥;使用所述对称密钥对接收的网络报文进行认证及解密处理。
2.根据权利要求1所述的地址即公钥的自安全轻量级网络报文传输方法,其特征在于,所述对称密钥包括对称会话密钥和消息认证密钥,所述对称会话密钥和所述消息认证密钥由所述共享密钥分别与不同的字符串连接并采用哈希算法计算得到。
3.根据权利要求2所述的地址即公钥的自安全轻量级网络报文传输方法,其特征在于:所述步骤I)中根据IP地址生成对应的私钥的具体实施步骤如下:将IP地址采用基于椭圆曲线的IP映射规则映射为椭圆曲线上的一点,得到第一映射点;设置私有参数,并将私有参数与第一映射点相乘的结果作为所述IP地址对应的私钥。
4.根据权利要求2或3所述的地址即公钥的自安全轻量级网络报文传输方法,其特征在于,所述步骤2)的具体步骤如下: .2.1)源主机预先在内存中建立用于存储目的主机IP地址与对称会话密钥、消息认证密钥的对应关系的自信任网络地址及密钥表STT ;进行数据通信时,源主机查询自信任网络地址及密钥表STT是否存在与目的主机IP地址对应的对称会话密钥和消息认证密钥,若存在,获取查询到的对称会话密钥和消息认证密钥,转入执行步骤2.3);若不存在,转入执行步骤2.2); . 2.2)源主机将目的主机IP地址映射到椭圆曲线上得到第二映射点,并根据己方的私钥和第二映射点采用双线性对计算得到共享密钥,使用所述共享密钥生成与目的主机IP地址对应的对称会话密钥和消息认证密钥并存入自信任网络地址及密钥表STT中; . 2.3)在网络层对待发送的载荷数据进行封装,使用所述对称会话密钥采用加密算法对载荷数据及数据报头进行加密并使用所述消息认证密钥生成消息认证码,将加密后的数据、所述加密算法以及消息认证码封装进报文并根据发送模式填写报文对应的字段,获得封装后的网络报文,将所述网络报文发送给目的主机。
5.根据权利要求4所述的地址即公钥的自安全轻量级网络报文传输方法,其特征在于,所述步骤2.3)的具体步骤如下: .2.3.1)将待发送的载荷数据按照分组大小的整数倍进行填充,记录填充的字节数并将填充的字节数补充在填充字节后构成报文尾; . 2.3.2)判断待发送的载荷数据的发送模式,若为传输模式,由TCP或UDP数据包构成数据字段,转入执行步骤2.3.3),若为隧道模式,重新构造IP头并由整个IP数据包构成数据字段,转入执行步骤2.3.3); .2.3.3)使用所述对称会话密钥采用加密算法对数据字段、报文尾进行加密;将数据字段的协议格式、所述加密算法、标志位、报文的序列号封装为报文头;若报文头中标志位为.1,则使用所述消息认证密钥对IP头中不变字段、报文头、数据字段以及报文尾计算生成消息认证码并加入报文头,否则不生成消息认证码;按照IP头、报文头、数据字段以及报文尾的顺序进行串接,获得封装后的网络报文;将所述网络报文发送给目的主机,转入执行步骤.3)。
6.根据权利要求5所述的地址即公钥的自安全轻量级网络报文传输方法,其特征在于,所述步骤3)的具体步骤如下: .3.1)目的主机预先在内存中建立用于存储源主机IP地址与对称会话密钥、消息认证密钥的对应关系的自信任网络地址及密钥表STT ;进行数据通信时,目的主机接收网络报文并判断报文是否为过期报文,若为是,丢弃接收的网络报文并退出;若为否,转入执行步骤 3.2); .3.2)目的主机查询自信任网络地址及密钥表STT是否存在与源主机IP地址对应的对称会话密钥与消息认证密钥,若存在,获取对称会话密钥和消息认证密钥,转入执行步骤.3.4);若不存在,转入执行步骤3.3); .3.3)目的主机将源主机的IP地址映射到椭圆曲线上得到第三映射点,并根据第三映射点和己方的私钥采用双线性对计算得到共享密钥,使用所述的共享密钥生成与源主机IP地址对应的对称会话密钥和消息认证密钥,转入执行步骤3.4); .3.4)判断报文头中的标志位,若为I,转入执行步骤3.5),若为O,转入执行步骤3.6); .3.5)使用所述消息认证密钥计算网络报文的IP头中不变字段、除去消息认证码的报文头、数据字段以及报文尾的摘要值,判断摘要值与报文中的消息认证码是否一致,若一致,转入执行步骤3.6),若不一致,丢弃接收的网络报文并退出; .3.6)对网络报文进行解析,根据发送模式使用所述对称会话密钥及所述加密算法对应的解密算法对报文进行解密,并将解密后的数据根据发送模式提交给上层协议或进行进一步转发。
7.根据权利要求6所述的地址即公钥的自安全轻量级网络报文传输方法,其特征在于,所述步骤3.1)中目的主机接收网络报文并判断报文是否为过期报文的具体步骤如下: .3.1.1)接收网络报文并判断网络报文是否为源主机发送的第一个网络报文,若为是,根据第一个网络报文的所述报文的序列号的值N建立滑动窗口并选定窗口大小M,转入执行步骤3.2);若为否,转入执行步骤3.1.2); .3.1.2)判断报文的序列号的值m在滑动窗口中的位置,若满足m〈N-M,则判定报文不在滑动窗口内,直接丢弃报文;若满足N-M〈m〈N,判定报文在滑动窗口内,转入执行步骤3.2);若满足m>N,则更新滑动窗口为报文的序列号的值m。
8.根据权利要求6所述的地址即公钥的自安全轻量级网络报文传输方法,其特征在于,所述步骤3.6)的具体步骤如下: .3.6.1)根据报文头中所述数据字段的协议格式判断报文的发送模式,若协议格式为TCP或UDP协议,判定发送模式为传输模式,转入执行步骤3.6.2);若协议格式为IP协议,判定发送模式为隧道模式,转入执行步骤3.6.3);`3.6.2)从报文头中获取网络报文采用的加密算法,使用所述加密算法对应的解密算法及所述对称会话密钥对网络报文中数据字段及报文尾进行解密;读取解密数据的最后一个字节得到填充的数据位数,根据所述数据位数去除报文尾中填充的数据位,得到还原的解密数据;将所述解密数据提交至TCP或UDP上层协议并退出; `3.6.3)从报文头中获取网络报文采用的加密算法,使用所述加密算法对应的解密算法及所述对称会话密钥对网络报文中数据字段及报文尾进行解密;读取解密数据的最后一个字节得到填充的数据位数,根据所述数据位数去除报文尾中填充的数据位,得到还原的解密数据;将所述解 密数据按照数据中IP报文的目的地址进行进一步转发并退出。
CN201410174815.1A 2014-04-28 2014-04-28 地址即公钥的自安全轻量级网络报文传输方法 CN103929299B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410174815.1A CN103929299B (zh) 2014-04-28 2014-04-28 地址即公钥的自安全轻量级网络报文传输方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410174815.1A CN103929299B (zh) 2014-04-28 2014-04-28 地址即公钥的自安全轻量级网络报文传输方法

Publications (2)

Publication Number Publication Date
CN103929299A true CN103929299A (zh) 2014-07-16
CN103929299B CN103929299B (zh) 2017-05-10

Family

ID=51147384

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410174815.1A CN103929299B (zh) 2014-04-28 2014-04-28 地址即公钥的自安全轻量级网络报文传输方法

Country Status (1)

Country Link
CN (1) CN103929299B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104168269A (zh) * 2014-07-24 2014-11-26 深圳市腾讯计算机系统有限公司 安全连接建立方法、装置及系统
CN107302541A (zh) * 2017-07-31 2017-10-27 成都蓝码科技发展有限公司 一种基于http协议的数据加密传输方法
CN107409133A (zh) * 2015-03-30 2017-11-28 高通股份有限公司 具有完全前向保密的认证与密钥协商
CN108600278A (zh) * 2018-07-05 2018-09-28 湖州贝格信息安全科技有限公司 非对称加密方法及相关产品
CN109302285A (zh) * 2018-10-25 2019-02-01 安徽问天量子科技股份有限公司 一种IPv6网络节点数据安全传输方法
CN109309689A (zh) * 2018-12-28 2019-02-05 中国人民解放军国防科技大学 一种报文来源真实性和内容完整性的验证方法
CN111262693A (zh) * 2020-01-10 2020-06-09 北京深思数盾科技股份有限公司 一种信息处理方法及系统
WO2020237880A1 (zh) * 2019-05-28 2020-12-03 平安科技(深圳)有限公司 基于非对称加密技术的数据交换方法、发送终端和计算机可读存储介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100558035C (zh) * 2006-08-03 2009-11-04 西安电子科技大学 一种双向认证方法及系统
CN101267301A (zh) * 2007-03-15 2008-09-17 上海贝尔阿尔卡特股份有限公司 通信网络中基于身份的认证和密钥协商方法及装置
CN101459511B (zh) * 2007-12-12 2011-04-13 航天信息股份有限公司 层次结构的基于身份的公钥加密方法
CN101997681B (zh) * 2009-08-14 2012-08-22 中国移动通信集团公司 一种多节点路径的认证方法、系统及相关节点设备
CN102281261A (zh) * 2010-06-10 2011-12-14 杭州华三通信技术有限公司 一种数据传输方法、系统和装置
CN101908959B (zh) * 2010-07-28 2012-08-22 北京握奇数据系统有限公司 一种建立共享密钥的方法、设备及其系统
CN103139737B (zh) * 2011-11-30 2016-01-27 中国移动通信集团公司 密钥协商方法及装置、短信二次确认方法、系统及设备
CN103297225B (zh) * 2013-05-14 2016-05-11 河南省躬行信息科技有限公司 一种基于身份的单播保密通信方法和多播保密通信方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104168269A (zh) * 2014-07-24 2014-11-26 深圳市腾讯计算机系统有限公司 安全连接建立方法、装置及系统
CN107409133A (zh) * 2015-03-30 2017-11-28 高通股份有限公司 具有完全前向保密的认证与密钥协商
CN107409133B (zh) * 2015-03-30 2020-06-19 高通股份有限公司 一种具有完全前向保密的认证与密钥协商的方法以及设备
CN107302541A (zh) * 2017-07-31 2017-10-27 成都蓝码科技发展有限公司 一种基于http协议的数据加密传输方法
CN108600278A (zh) * 2018-07-05 2018-09-28 湖州贝格信息安全科技有限公司 非对称加密方法及相关产品
CN109302285A (zh) * 2018-10-25 2019-02-01 安徽问天量子科技股份有限公司 一种IPv6网络节点数据安全传输方法
CN109309689A (zh) * 2018-12-28 2019-02-05 中国人民解放军国防科技大学 一种报文来源真实性和内容完整性的验证方法
CN109309689B (zh) * 2018-12-28 2019-04-05 中国人民解放军国防科技大学 一种报文来源真实性和内容完整性的验证方法
WO2020237880A1 (zh) * 2019-05-28 2020-12-03 平安科技(深圳)有限公司 基于非对称加密技术的数据交换方法、发送终端和计算机可读存储介质
CN111262693A (zh) * 2020-01-10 2020-06-09 北京深思数盾科技股份有限公司 一种信息处理方法及系统

Also Published As

Publication number Publication date
CN103929299B (zh) 2017-05-10

Similar Documents

Publication Publication Date Title
US10419406B2 (en) Efficient forwarding of encrypted TCP retransmissions
Donenfeld WireGuard: Next Generation Kernel Network Tunnel.
US10771262B2 (en) Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange
US10601594B2 (en) End-to-end service layer authentication
Hummen et al. Towards viable certificate-based authentication for the internet of things
Hennebert et al. Security protocols and privacy issues into 6LoWPAN stack: A synthesis
US9832015B2 (en) Efficient key derivation for end-to-end network security with traffic visibility
Garcia-Morchon et al. Securing the IP-based internet of things with HIP and DTLS
KR101680955B1 (ko) 다중 터널 가상 사설 네트워크
US9647833B2 (en) System and method for identity-based key management
Cirani et al. Enforcing security mechanisms in the IP-based internet of things: An algorithmic overview
US9712494B2 (en) Method and system for sending a message through a secure connection
US20170142100A1 (en) Secure distribution of session credentials from client-side to server-side traffic management devices
Hummen et al. Delegation-based Authentication and Authorization for the IP-based Internet of Things
US8504822B2 (en) Transparent proxy of encrypted sessions
US9571458B1 (en) Anti-replay mechanism for group virtual private networks
US9135037B1 (en) Virtual network protocol
Raza et al. Securing communication in 6LoWPAN with compressed IPsec
US9350708B2 (en) System and method for providing secured access to services
ES2369132T3 (es) Mantenimiento de conversión de direcciones para datos de comunicación.
US7937581B2 (en) Method and network for ensuring secure forwarding of messages
US8639936B2 (en) Methods and entities using IPSec ESP to support security functionality for UDP-based traffic
US7215667B1 (en) System and method for communicating IPSec tunnel packets with compressed inner headers
Tschofenig et al. Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things
US7346770B2 (en) Method and apparatus for traversing a translation device with a security protocol

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210113

Address after: Zheng Jie, Kaifu District, Hunan province 410073 Changsha inkstone wachi No. 47

Patentee after: National University of Defense Science and technology of the people's Liberation Army of China

Address before: 410001 room 404, building C2, wanxuyuan, Sany Avenue, Changsha City, Hunan Province

Patentee before: Wang Xiaofeng