CN105227494B - 一种基于以太网交换机的数据安全交互方法及装置 - Google Patents
一种基于以太网交换机的数据安全交互方法及装置 Download PDFInfo
- Publication number
- CN105227494B CN105227494B CN201510709060.5A CN201510709060A CN105227494B CN 105227494 B CN105227494 B CN 105227494B CN 201510709060 A CN201510709060 A CN 201510709060A CN 105227494 B CN105227494 B CN 105227494B
- Authority
- CN
- China
- Prior art keywords
- ethernet switch
- encrypted card
- encrypted
- configuration file
- ethernet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据通信、密码应用技术领域,尤其是一种基于以太网交换机的数据安全交互方法及装置。本发明针对现有技术的问题,提供一种基于以太网交换机的数据安全交互方法及装置,设计出一种安全高效的设备密钥、文件密钥、协议密钥的密钥体系,提出交换机镜像防护、交换机文件防护、协议数据防护的方法,解决以太网交换机自身的安全隐患。本发明通过交换机与太网交换机进行相互配合在镜像启动、配置文件及数据传输过程进行加密处理,来判断操作是否合法,用以达到本发明的目的。
Description
技术领域
本发明涉及数据通信、密码应用技术领域,尤其是一种基于以太网交换机的数据安全交互方法及装置。
背景技术
现有的以太网交换机基于“转发与控制分离”的技术架构,对交换机自身的安全性考虑不完善,存在如下安全隐患:(1)以太网交换机启动镜像的合法性和安全性存在隐患;(2)以太网交换机文件系统以明文进行保存,交换机文件轻易被暴露,存在网络内拓扑信息被暴露的安全隐患;(3)以太网交换机协议大多以明文方式进行通信,存在通过构造虚假协议报文,截取业务数据的安全隐患;
本发明设计出一种安全高效的设备密钥、文件密钥、协议密钥的二层密钥体系,提出对交换机镜像、文件、协议数据防护的方法,解决上述交换机自身的安全隐患。
发明内容
本发明所要解决的技术问题是:针对上述现有技术的问题,提供一种基于以太网交换机的数据安全交互方法及装置,本发明基于以太网交换机设备“转发与控制分离”的技术架构,设计出一种安全高效的设备密钥、文件密钥、协议密钥的密钥体系,提出交换机镜像防护、交换机文件防护、协议数据防护的方法,解决以太网交换机自身的安全隐患。
本发明采用的技术方案如下:
一种基于以太网交换机的数据安全交互方法包括:
步骤1:以太网交换机启动镜像验证,然后进行配置文件解密验证;
步骤2:当以太网交换机收到其他以太网交换机加密后的RIP报文时,该以太网交换机向加密卡传入协议密钥、其他以太网接收机公钥;加密卡通过SM4对称算法对RIP报文进行解密,如果加密卡解密成功,则加密卡返回解密后的RIP报文给以太网交换机,否则,加密卡返回RIP报文非法;
步骤3:当该以太网交换机向其他以太网交换机发送RIP报文时;该以太网交换机向加密卡传入协议密钥、其他以太网接收机公钥;加密卡通过SM4对称算法对RIP报文进行加密,如果加密卡加密成功,则返回加密后的RIP报文给其他指定的以太网交换机;否则,加密卡返回失败。
进一步的,所述步骤1中启动镜像验证的具体过程是:
步骤11:以太网交换机启动时加载启动镜像;
步骤12:以太网交换机向加密卡传入设备私钥,加密卡通过SM4对称算法对启动镜像进行解密;如果加密卡对镜像解密成功,则以太网交换机启动镜像,进行配置文件加载验证;否则,交换机无法正常启动。
进一步的,所述步骤1中加载文件验证包括:
步骤111:以太网交换机启动时加载配置文件;
步骤112:以太网交换机向加密卡传入文件哈希值、设备私钥;加密卡通过SM4对称算法对配置文件解密,如果加密卡对配置文件解密成功,则加密卡给以太网交换机返回明文配置文件,进行以太网交换机数据交互;否则,交换机加载配置文件失败。
进一步的,当配置文件有更改时,以太网交换机对更改后的配置文件进行加密,以太网交换机向加密卡传入文件哈希值、设备公钥,加密卡通过SM4对称算法进行加密,如果加密卡加密成功,则返回加密后的配置文件给以太网交换机;否则,配置文件加密失败。
一种基于以太网交换机的数据安全交互装置包括:
以太网交换机,用于启动镜像验证,然后进行配置文件解密验证;
加密卡,用于当以太网交换机收到其他以太网交换机加密后的RIP报文时,该以太网交换机向加密卡传入协议密钥、其他以太网接收机公钥;加密卡通过SM4对称算法对RIP报文进行解密,如果加密卡解密成功,则加密卡返回解密后的RIP报文给以太网交换机,否则,加密卡返回RIP报文非法;当该以太网交换机向其他以太网交换机发送RIP报文时;该以太网交换机向加密卡传入协议密钥、其他以太网接收机公钥;加密卡处理后返回结果;加密卡通过SM4对称算法对RIP报文进行加密,如果加密卡加密成功,返回加密后的RIP报文给其他指定的以太网交换机;否则,加密卡返回失败
进一步的,所述配置文件解密验证具体过程包括:
步骤11:以太网交换机启动时加载启动镜像;
步骤12:以太网交换机向加密卡传入设备私钥,加密卡通过SM4对称算法对启动镜像进行解密;如果加密卡对镜像解密成功,则以太网交换机启动镜像,进行配置文件加载验证;否则,交换机无法正常启动:
进一步的,所述启动镜像验证具体过程是:
步骤111:以太网交换机启动时加载配置文件;
步骤112:以太网交换机向加密卡传入文件哈希值、设备私钥;加密卡通过SM4对称算法对配置文件解密,如果加密卡对配置文件解密成功,则加密卡给以太网交换机返回明文配置文件,进行以太网交换机数据交互;否则,交换机加载配置文件失败。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1.安全可靠。设计出安全高效的设备密钥、文件密钥、协议密钥的二层密钥体系,对文件密钥和协议密钥采用二层加密的方式,保证密钥的安全可靠,同时提出了解决以太网交换机自身安全隐患的方法,实现以太网交换机启动镜像的安全防护、以太网交换机重要文件的安全防护、以太网交换机协议数据的安全防护,保障了以太网交换机的安全可靠。
2.良好的扩展性。协议数据加密目前采用SM算法,可以灵活的进行算法替换,保证协议数据的机密性。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1安全以太网交换机二级密钥管理架构。
图2以太网交换机启动镜像防护流程图。
图3以太网交换机配置文件流程图。
图4以太网交换机协议加密流程图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
以太网交换机的密钥管理通过设备密钥、文件密钥、协议密钥二级体系对密钥进行管理和分发,其密钥体系架构如图1所示。
以太网交换机的设备密钥采用公开密钥体制,设备密钥通过设备离线注册的方式产生,设备通过使用USBKEY等方式掌握自己的私钥,通过使用设备公钥加密交换机启动镜像,使用私钥解密的方式来确保交换机启动镜像的合法可靠;
文件密钥则是文件的哈希值,设备使用该哈希值加密文件,利用设备公钥加密该哈希值,使用私钥解密的方式来保护交换机重要文件(例如交换机配置文件)的安全可靠;
协议密钥通过CLI/WEB配置生成,内部使用设备公钥加密保存,使用私钥解密的方式来保护协议密钥的安全可靠,协议数据采用SM算法进行加密。
以太网交换机启动镜像的安全防护流程图2。
1) 以太网交换机启动时加载启动镜像;
2) 以太网交换机向加密卡传入设备私钥;
3) 加密卡通过SM4对称算法进行解密处理。如果解密成功,返回启动镜像,如果解密失败,交换机无法正常启动;
以太网交换机重要文件的安全防护流程如图3(以交换机配置文件为例):
1) 以太网交换机启动时加载配置文件;
2) 以太网交换机向加密卡传入文件哈希值、设备私钥,加密卡通过SM4对称算法进行解密;如果解密成功,返回明文配置文件,如果解密失败,交换机加载配置文件失败;
当配置文件有更改时,以太网交换机进行配置文件加密,具体过程是:
1) 收到配置文件加密请求,向加密卡传入文件哈希值、设备公钥;
2) 加密卡通过SM4对称算法进行加密。如果加密成功,返回加密后的配置文件;否则,配置文件加密失败;
以太网交换机协议数据加密的安全防护流程如图4(以动态路由协议RIP为例):
1) 以太网交换机B收到以太网交换机A加密后的RIP报文;
2) 以太网交换机B向加密卡传入协议密钥、设备A公钥;
3) 加密卡通过SM4对称算法进行解密;如果解密成功,返回解密后的RIP报文,如果解密失败,返回RIP报文非法;
4) 以太网交换机B向以太网交换机A发送RIP报文
5) 以太网交换机B向加密卡传入协议密钥、设备A公钥;
6) 加密卡通过SM4对称算法进行加密;如果加密成功,返回加密后的RIP报文,如果加密失败,返回失败;
向以太网交换机A发送加密后的RIP报文。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (7)
1.一种基于以太网交换机的数据安全交互方法,其特征在于包括:
步骤1:以太网交换机启动镜像验证,然后进行配置文件解密验证;
步骤2:当以太网交换机收到其他以太网交换机加密后的RIP报文时,该以太网交换机向加密卡传入协议密钥、设备私钥;加密卡通过SM4对称算法对RIP报文进行解密,如果加密卡解密成功,则加密卡返回解密后的RIP报文给以太网交换机,否则,加密卡返回RIP报文非法;
步骤3:当该以太网交换机向其他以太网交换机发送RIP报文时;该以太网交换机向加密卡传入协议密钥、其他以太网接收机公钥;加密卡通过SM4对称算法对RIP报文进行加密,如果加密卡加密成功,则返回加密后的RIP报文给其他指定的以太网交换机;否则,加密卡返回失败。
2.根据权利要求1所述的一种基于以太网交换机的数据安全交互方法,其特征在于所述步骤1中启动镜像验证的具体过程是:
步骤11:以太网交换机启动时加载启动镜像;
步骤12:以太网交换机向加密卡传入对称密钥,加密卡通过SM4对称算法对启动镜像进行解密;如果加密卡对镜像解密成功,则以太网交换机启动镜像,进行配置文件加载验证;否则,交换机无法正常启动。
3.根据权利要求1所述的一种基于以太网交换机的数据安全交互方法,其特征在于所述步骤1中加载文件验证包括:
步骤111:以太网交换机启动时加载配置文件;
步骤112:以太网交换机向加密卡传入文件哈希值、设备私钥;加密卡通过SM4对称算法对配置文件解密,如果加密卡对配置文件解密成功,则加密卡给以太网交换机返回明文配置文件,进行以太网交换机数据交互;否则,交换机加载配置文件失败。
4.根据权利要求1至3之一所述的一种基于以太网交换机的数据安全交互方法,其特征在于当配置文件有更改时,以太网交换机对更改后的配置文件进行加密,以太网交换机向加密卡传入文件哈希值、设备公钥,加密卡通过SM4对称算法进行加密,如果加密卡加密成功,则返回加密后的配置文件给以太网交换机;否则,配置文件加密失败。
5.一种基于以太网交换机的数据安全交互装置,其特征在于包括:
以太网交换机,用于启动镜像验证,然后进行配置文件解密验证;
加密卡,用于当以太网交换机收到其他以太网交换机加密后的RIP报文时,该以太网交换机向加密卡传入协议密钥、设备私钥;加密卡通过SM4对称算法对RIP报文进行解密,如果加密卡解密成功,则加密卡返回解密后的RIP报文给以太网交换机,否则,加密卡返回RIP报文非法;当该以太网交换机向其他以太网交换机发送RIP报文时;该以太网交换机向加密卡传入协议密钥、其他以太网接收机公钥;加密卡处理后返回结果;加密卡通过SM4对称算法对RIP报文进行加密,如果加密卡加密成功,返回加密后的RIP报文给其他指定的以太网交换机;否则,加密卡返回失败。
6.根据权利要求5所述的一种基于以太网交换机的数据安全交互装置,其特征在于所述配置文件解密验证具体过程包括:
步骤11:以太网交换机启动时加载启动镜像;
步骤12:以太网交换机向加密卡传入对称密钥,加密卡通过SM4对称算法对启动镜像进行解密;如果加密卡对镜像解密成功,则以太网交换机启动镜像,进行配置文件加载验证;否则,交换机无法正常启动。
7.根据权利要求5所述的一种基于以太网交换机的数据安全交互装置,其特征在于所述启动镜像验证具体过程是:
步骤111:以太网交换机启动时加载配置文件;
步骤112:以太网交换机向加密卡传入文件哈希值、设备私钥;加密卡通过SM4对称算法对配置文件解密,如果加密卡对配置文件解密成功,则加密卡给以太网交换机返回明文配置文件,进行以太网交换机数据交互;否则,交换机加载配置文件失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510709060.5A CN105227494B (zh) | 2015-10-28 | 2015-10-28 | 一种基于以太网交换机的数据安全交互方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510709060.5A CN105227494B (zh) | 2015-10-28 | 2015-10-28 | 一种基于以太网交换机的数据安全交互方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105227494A CN105227494A (zh) | 2016-01-06 |
| CN105227494B true CN105227494B (zh) | 2018-11-27 |
Family
ID=54996190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510709060.5A Active CN105227494B (zh) | 2015-10-28 | 2015-10-28 | 一种基于以太网交换机的数据安全交互方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105227494B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110557390B (zh) * | 2019-09-05 | 2021-08-10 | 中创智客(苏州)智能科技有限公司 | 一种分散控制系统与第三方系统的安全通讯方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102096405A (zh) * | 2011-01-05 | 2011-06-15 | 深圳市赛远自动化系统有限公司 | 基于S-Link和VLAN技术的远程工业网络监控的方法及系统 |
| CN103139201A (zh) * | 2013-01-22 | 2013-06-05 | 中兴通讯股份有限公司 | 一种网络策略获取方法及数据中心交换机 |
| CN103237020A (zh) * | 2013-04-07 | 2013-08-07 | 杭州华三通信技术有限公司 | 避免状态机被攻击的方法及服务器、交换机 |
| CN103546421A (zh) * | 2012-07-10 | 2014-01-29 | 河北省电子认证有限公司 | 基于pki技术的网络工作交流安全保密系统及其实现方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070101401A1 (en) * | 2005-10-27 | 2007-05-03 | Genty Denise M | Method and apparatus for super secure network authentication |
-
2015
- 2015-10-28 CN CN201510709060.5A patent/CN105227494B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102096405A (zh) * | 2011-01-05 | 2011-06-15 | 深圳市赛远自动化系统有限公司 | 基于S-Link和VLAN技术的远程工业网络监控的方法及系统 |
| CN103546421A (zh) * | 2012-07-10 | 2014-01-29 | 河北省电子认证有限公司 | 基于pki技术的网络工作交流安全保密系统及其实现方法 |
| CN103139201A (zh) * | 2013-01-22 | 2013-06-05 | 中兴通讯股份有限公司 | 一种网络策略获取方法及数据中心交换机 |
| CN103237020A (zh) * | 2013-04-07 | 2013-08-07 | 杭州华三通信技术有限公司 | 避免状态机被攻击的方法及服务器、交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105227494A (zh) | 2016-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102970299B (zh) | 文件安全保护系统及其方法 | |
| JP5432999B2 (ja) | 暗号鍵配布システム | |
| CN101512537B (zh) | 在自组无线网络中安全处理认证密钥资料的方法和系统 | |
| CN102036242B (zh) | 一种移动通讯网络中的接入认证方法和系统 | |
| CN101115060B (zh) | 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法 | |
| CN104506515A (zh) | 一种固件的保护方法和保护装置 | |
| CN103001976A (zh) | 一种安全的网络信息传输方法 | |
| CN102144371A (zh) | 选择性地加密控制信号的方法 | |
| CN103297429A (zh) | 一种嵌入式升级文件传输方法 | |
| CN103812651B (zh) | 密码验证方法、装置及系统 | |
| CN106027473A (zh) | 身份证读卡终端与云认证平台数据传输方法和系统 | |
| JP2022521525A (ja) | データを検証するための暗号方法 | |
| CZ2013373A3 (cs) | Způsob autentizace bezpečného datového kanálu | |
| CN104270380A (zh) | 基于移动网络和通信客户端的端到端加密方法和加密系统 | |
| CN112118568A (zh) | 一种设备身份鉴权的方法及设备 | |
| CN105227494B (zh) | 一种基于以太网交换机的数据安全交互方法及装置 | |
| JP4840575B2 (ja) | 端末装置、証明書発行装置、証明書発行システム、証明書取得方法および証明書発行方法 | |
| EP2341682A1 (en) | Method and arrangement for encrypted data transmission | |
| CN109644185A (zh) | 用于进行安全电子数据通信的方法和装置 | |
| CN101437228B (zh) | 基于智能卡的无线业务的实现方法、装置和系统 | |
| CN106209384A (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 | |
| Khan et al. | Another look at privacy threats in 3G mobile telephony | |
| JP2014022920A (ja) | 電子署名システム、電子署名方法および電子署名プログラム | |
| Baskaran et al. | Blind key distribution mechanism to secure wireless metropolitan area network | |
| CN106714159B (zh) | 网络接入控制方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: No. 333, Yunhua Road, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |
|
| CP03 | Change of name, title or address |