CN106973046B - 网关间数据传输方法、源网关及目的网关 - Google Patents
网关间数据传输方法、源网关及目的网关 Download PDFInfo
- Publication number
- CN106973046B CN106973046B CN201710156717.9A CN201710156717A CN106973046B CN 106973046 B CN106973046 B CN 106973046B CN 201710156717 A CN201710156717 A CN 201710156717A CN 106973046 B CN106973046 B CN 106973046B
- Authority
- CN
- China
- Prior art keywords
- gateway
- data request
- identification information
- source
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000005540 biological transmission Effects 0.000 title claims abstract description 29
- 238000004891 communication Methods 0.000 claims description 25
- 238000012795 verification Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种网关间数据传输方法、源网关及目的网关,该方法包括:获取目的网关的信任网关列表;判断源网关的标识信息是否在目的网关的信任网关列表中;若是,则判断源网关的标识信息对应的认证有效期是否过期;若源网关的标识信息对应的认证有效期未过期,则不进行身份认证,向目的网关发送第一数据请求,第一数据请求中携带源网关的标识信息;若源网关的标识信息不在目的网关的信任网关列表中或源网关的标识信息对应的认证有效期已过期,则采用RSA算法对第一数据请求进行加密,形成第二数据请求,并向目的网关发送第二数据请求,第二数据请求中携带源网关的标识信息,以使目的网关对的第二数据请求进行身份认证。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种网关间数据传输方法、源网关及目的网关。
背景技术
随着网络的快速普及和应用的日益深入,人们对信息安全的关注度日益增高。网关作为信息安全的一个重要部分,保证网关间数据传输的安全尤为重要。
现有技术中,在不同的域之间传输信息需要经过IP网络,为了保证数据安全性和保密性,作为应用服务器的网关需要将接收或转发域内外的数据进行加解密和数字签名操作来实现身份认证、信息保密性和完整性的安全保障。
但现有技术中的网关在进行身份认证时,对每次收到的信令信息都需要进行数字证书的身份认证,过程耗时繁琐,增加了身份认证的频率。
发明内容
本发明实施例提供一种网关间数据传输方法,该方法解决了现有技术中的网关在进行身份认证时,对每次收到的信令信息都需要进行数字证书的身份认证,过程耗时繁琐,使身份认证的效率较低的技术问题。
第一方面,本发明实施例提供一种网关间数据传输方法,包括:
获取目的网关的信任网关列表,所述信任网关列表对目的网关标识信息、与所述目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储;
判断所述源网关的标识信息是否在所述目的网关的信任网关列表中;
若所述源网关的标识信息在所述信任网关列表中,则判断所述源网关的标识信息对应的认证有效期是否过期;
若所述源网关的标识信息对应的认证有效期未过期,则不进行身份认证,向所述目的网关发送第一数据请求,所述第一数据请求中携带源网关的标识信息;
若所述源网关的标识信息不在所述目的网关的信任网关列表中或所述源网关的标识信息对应的认证有效期已过期,则采用RSA算法对所述第一数据请求进行加密,形成第二数据请求,并向所述目的网关发送所述第二数据请求,所述第二数据请求中携带源网关的标识信息,以使目的网关对所述的第二数据请求进行身份认证。
第二方面,本发明实施例提供一种网关间数据传输方法,包括:
接收所述源网关发送的数据请求,所述数据请求中携带源网关的标识信息;
若接收到的数据请求为第一数据请求,则根据所述源网关的标识信息,按照斐波那契数列更新所述目的网关的信任网关列表中所述源网关的标识信息对应的认证有效期;
若接收到的数据请求为第二数据请求,则对所述第二数据请求进行解密,并对解密后的第二数据请求进行身份认证;
若所述解密后的第二数据请求通过身份认证,则将所述源网关的标识信息加入到所述目的网关的信任网关列表中,或将所述源网关的标识信息对应的认证有效期设为初始值,并更新认证有效期开始时间;
向所述源节点发送数据;
其中,所述信任网关列表对目的网关标识信息、与所述目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储。
第三方面,本发明实施例提供一种源网关,包括:
信任网关列表获取模块,用于获取目的网关的信任网关列表,所述信任网关列表对目的网关标识信息、与所述目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储;
标识信息判断模块,用于判断所述源网关的标识信息是否在所述目的网关的信任网关列表中;
认证有效期判断模块,用于若所述源网关的标识信息在所述信任网关列表中,则判断所述源网关的标识信息对应的认证有效期是否过期;
第一数据请求发送模块,用于若所述源网关的标识信息对应的认证有效期未过期,则不进行身份认证,向所述目的网关发送第一数据请求,所述第一数据请求中携带源网关的标识信息;
第二数据请求发送模块,用于若所述源网关的标识信息不在所述目的网关的信任网关列表中或所述源网关的标识信息对应的认证有效期已过期,则采用RSA算法对所述第一数据请求进行加密,形成第二数据请求,并向所述目的网关发送所述第二数据请求,所述第二数据请求中携带源网关的标识信息,以使目的网关对所述的第二数据请求进行身份认证。
第四方面,本发明实施例提供一种目的网关,包括:
数据请求接收模块,用于接收所述源网关发送的数据请求,所述数据请求中携带源网关的标识信息;
认证有效期更新模块,用于若接收到的数据请求为第一数据请求,则根据所述源网关的标识信息,按照斐波那契数列更新所述目的网关的信任网关列表中所述源网关的标识信息对应的认证有效期;
身份认证模块,用于若接收到的数据请求为第二数据请求,则对所述第二数据请求进行解密,并对解密后的第二数据请求进行身份认证;
信任网关列表更新模块,用于若所述解密后的第二数据请求通过身份认证,则将所述源网关的标识信息加入到所述目的网关的信任网关列表中,或将所述源网关的标识信息对应的认证有效期设为初始值,并更新认证有效期开始时间;
数据发送模块,用于向所述源节点发送数据;
其中,所述信任网关列表对目的网关标识信息、与所述目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储。
本发明实施例提供一种网关间数据传输方法、源网关及目的网关,通过获取目的网关的信任网关列表,信任网关列表对目的网关标识信息、与目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储;判断源网关的标识信息是否在目的网关的信任网关列表中;若源网关的标识信息在信任网关列表中,则判断源网关的标识信息对应的认证有效期是否过期;若源网关的标识信息对应的认证有效期未过期,则不进行身份认证,向目的网关发送第一数据请求,第一数据请求中携带源网关的标识信息;若源网关的标识信息不在目的网关的信任网关列表中或源网关的标识信息对应的认证有效期已过期,则采用RSA算法对第一数据请求进行加密,形成第二数据请求,并向目的网关发送第二数据请求,第二数据请求中携带源网关的标识信息,以使目的网关对的第二数据请求进行身份认证。由于并非在每次进行通信时均需要进行身份认证,只有源网关的标识信息不在目的网关的信任网关列表中或源网关的标识信息对应的认证有效期已过期才进行身份认证,所以能够在保证通信安全的情况下减少了身份认证的频率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明网关间数据传输方法实施例一的流程图;
图2为本发明网关间数据传输方法实施例二的流程图;
图3为本发明实施例二中分布式文件系统的结构示意图
图4为本发明网关间数据传输方法实施例三的流程图;
图5为本发明网关间数据传输方法实施例四的流程图;
图6为本发明源网关实施例一的结构示意图;
图7为本发明源网关实施例二的结构示意图;
图8为本发明目的网关实施例一的结构示意图;
图9为本发明目的网关实施例二的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
图1为本发明网关间数据传输方法实施例一的流程图,如图1所示,本实施例的执行主体为源网关,则本实施例提供的网关间数据传输方法包括以下几个步骤。
步骤101,获取目的网关的信任网关列表。
其中,信任网关列表对目的网关标识信息、与目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储。
具体地,本实施例中,可对每个目的网关的信任网关列表分别进行存储,根据目的网关的标识信息获取对应的信任网关列表。
其中,每个目的网关的信任网关列表的存储形式不做限定。
在信任网关列表中存储了每一个与目的网关通信已通过身份认证的源网关标识信息,以及认证有效期、认证有效期开始时间。
其中,源网关标识信息为源网关的IP地址,还可以为源网关的编号或其他唯一表示该源网关的信息。认证有效期可根据源网关访问目的网关的次数进行确定。如可随源网关访问目的网关的次数按照斐波那契数列进行递增,也可按照其他方式进行确定或设定为固定值,本实施例中对此不做限定。
步骤102,判断源网关的标识信息是否在目的网关的信任网关列表中。
具体地,本实施例中,若源网关的标识信息在目的网关的信任网关列表中,则说明源网关访问过目的网关并在访问时通过了身份认证。若源网关的标识信息未在目的网关的信任网关列表中,则说明源网关未访问过目的网关,在此次访问目的网关时需要进行身份认证,或者虽然源网关访问过目的网关,但未经过身份认证。
步骤103,若源网关的标识信息在信任网关列表中,则判断源网关的标识信息对应的认证有效期是否过期。
本实施例中,若源网关的标识信息在信任网关列表中,则说明源网关访问过目的网关并在访问时通过了身份认证,但不能确定该次访问是否在在其认证有效期内,所以判断源网关的标识信息对应的认证有效期是否过期。
其中,判断源网关的标识信息对应的认证有效期是否过期的方法为:将当前时间与认证有效期开始时间进行相减,判断相减的值是否小于认证有效期,若相减的值小于认证有效期,则说明源网关的标识信息对应的认证有效期未过期,否则说明源网关的标识信息对应的认证有效期已过期。
步骤104,若源网关的标识信息对应的认证有效期未过期,则不进行身份认证,向目的网关发送第一数据请求,第一数据请求中携带源网关的标识信息。
本实施例中,若源网关的标识信息对应的认证有效期未过期,则说明此次源网关与目的网关进行通信是安全的,不需要进行身份认证,直接向目的网关发送第一数据请求。
其中,第一数据请求为不进行身份认证的原始数据请求。
步骤105,若源网关的标识信息不在目的网关的信任网关列表中或源网关的标识信息对应的认证有效期已过期,则采用RSA算法对第一数据请求进行加密,形成第二数据请求,并向目的网关发送第二数据请求,第二数据请求中携带源网关的标识信息,以使目的网关对的第二数据请求进行身份认证。
具体地,本实施例中,若源网关的标识信息不在目的网关的信任网关列表中,说明源网关未与目的网关进行过通信,或者虽然进行过通信,但身份认证未通过,则需要对数据请求进行认证。若源网关的标识信息对应的认证有效期已过期,则说明虽然源网关与目的网关进行过通信并通过身份认证,但认证有效期已过期,已有很长时间未与目的网关进行过通信,为了保证安全,需要对数据请求进行身份认证。在源节点采用RSA算法对第一数据请求进行加密,形成第二数据请求,并向目的网关发送第二数据请求,目的网关对第二数据请求进行解密后进行身份认证。
具体地,RSA算法对第一数据请求进行加密形成第二数据请求,目的网关对对第二数据请求进行解密后进行身份认证方法为现有技术,在此不再一一赘述。
本实施例提供的网关间数据传输方法,通过获取目的网关的信任网关列表,信任网关列表对目的网关标识信息、与目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储;判断源网关的标识信息是否在目的网关的信任网关列表中;若源网关的标识信息在信任网关列表中,则判断源网关的标识信息对应的认证有效期是否过期;若源网关的标识信息对应的认证有效期未过期,则不进行身份认证,向目的网关发送第一数据请求,第一数据请求中携带源网关的标识信息;若源网关的标识信息不在目的网关的信任网关列表中或源网关的标识信息对应的认证有效期已过期,则采用RSA算法对第一数据请求进行加密,形成第二数据请求,并向目的网关发送第二数据请求,第二数据请求中携带源网关的标识信息,以使目的网关对的第二数据请求进行身份认证。由于并非在每次进行通信时均需要进行身份认证,只有源网关的标识信息不在目的网关的信任网关列表中或源网关的标识信息对应的认证有效期已过期才进行身份认证,所以能够在保证通信安全的情况下减少身份认证的频率。
图2为本发明网关间数据传输方法实施例二的流程图,如图2所示,本实施例提供的网关间数据传输方法,是在本发明网关间数据传输方法实施例一的基础上,对步骤101的进一步细化,并且包括了加密和完整性校验的步骤,则本实施例提供的网关间数据传输方法包括以下步骤。
步骤201,以分布式文件系统的主节点为入口,从目的网关对应的子节点获取目的网关的信任网关列表。
其中,分布式文件系统的每个子节点中存储对应网关的信任网关列表。
图3为本发明实施例二中分布式文件系统的结构示意图,如图3所示,在分布式文件系统中,每个子节点32存储一个网关的信任网关列表。不同层级的子节点32代表对应网关的上下级关系,每一个分支代表该分支中的每一个子节点处于同一域中,不同分支中的子节点处于不同域中。在源网关获取目的网关的信任网关列表时,以分布式文件系统的主节点31为入口,根据目的网关的标识信息查找目的网关的子节点存储的信任网关列表,并进行获取。
步骤202,判断源网关的标识信息是否在目的网关的信任网关列表中,若是,则执行步骤203,否则,执行步骤205。
步骤203,判断源网关的标识信息对应的认证有效期是否过期,若否,则执行步骤204,否则,执行步骤205。
本实施例中,步骤202-步骤203的实现方式与本发明网关间数据传输方法实施例一中的步骤102-步骤103的实现方式相同。
步骤204,不进行身份认证,采用对称算法对第一数据请求进行加密,形成第三数据请求,并对第三数据请求进行数字摘要运算,向目的网关发送运算后的第三数据请求,第三数据请求中携带源网关的标识信息。
进一步地,本实施例中,若源网关的标识信息对应的认证有效期未过期,则说明源网关与目的网关直接进行通信,不进行身份认证是安全的,则跳过身份认证的步骤,对第一数据请求进行对称加密,并对对称加密后的第一数据请求进行数字摘要运算,以在传输数据请求时保证数据请求的安全并进行完整性校验。
其中,第三数据请求为对第一数据请求进行对称加密后的数据请求。
其中,对称加密算法可以为DES/3DES加密算法。也可以为其他对称加密算法,本实施例中对此不做限定。
步骤205,采用RSA算法对第一数据请求进行加密,形成第二数据请求,采用对称算法对第二数据请求进行加密,形成第三数据请求,对第三数据请求进行数字摘要运算,并向目的网关发送运算后的第三数据请求,第三数据请求中携带源网关的标识信息。
进一步地,本实施例中,若源网关的标识信息不在目的网关的信任网关列表中或源网关的标识信息对应的认证有效期已过期,则为了保证通信安全,需要进行身份认证,采用RSA算法进行身份认证,并对第二数据请求进行对称加密,并对对称加密后的第一数据请求进行数字摘要运算,以在传输数据请求时保证数据请求的安全并进行完整性校验。
其中,第三数据请求为对第一数据请求进行对称加密后的数据请求。
本实施例中,对称加密算法与步骤204中的相同,在此不再一一赘述。
本实施例提供的网关间数据传输方法,通过以分布式文件系统的主节点为入口,从目的网关对应的子节点获取目的网关的信任网关列表,判断源网关的标识信息是否在目的网关的信任网关列表中,若是,则不进行身份认证,采用对称算法对第一数据请求进行加密,形成第三数据请求,并对第三数据请求进行数字摘要运算,向目的网关发送运算后的第三数据请求,第三数据请求中携带源网关的标识信息。否则,采用RSA算法对第一数据请求进行加密,形成第二数据请求,采用对称算法对第二数据请求进行加密,形成第三数据请求,对第三数据请求进行数字摘要运算,并向目的网关发送运算后的第三数据请求,第三数据请求中携带源网关的标识信息,不仅减少了身份认证的频率,而且能够进一步保护传输的数据的安全。
图4为本发明网关间数据传输方法实施例三的流程图,如图4所示,本实施例提供的网关间数据传输方法的执行主体为目的网关,则本实施例提供的网关间数据传输方法包括以下步骤。
步骤401,接收源网关发送的数据请求,数据请求中携带源网关的标识信息。
具体地,本实施例中,在源节点需要获取数据时,向目的网关发送数据请求,该数据请求可以为不需要进行身份认证的第一数据请求也可以为需要进行身份认证的第二数据请求。
其中,源网关的标识信息可以为源网关的IP地址,也可以为源网关的编号或其他能够唯一表示源网关的信息。
步骤402,若接收到的数据请求为第一数据请求,则根据源网关的标识信息,按照斐波那契数列更新目的网关的信任网关列表中源网关的标识信息对应的认证有效期。
判断接收到的数据请求是否为第一数据请求,若接收到的数据请求为第一数据请求,则说明目的网关不需要进行身份认证,只需对信任网关列表中源网关的认证有效期进行更新,更新方式为按照斐波那契数列确定在该次进行数据访问后更新的斐波那契数列的数值,该斐波那契数列的数值为更新后的目的网关的信任网关列表中源网关的标识信息对应的认证有效期。
步骤403,若接收到的数据请求为第二数据请求,则对第二数据请求进行解密,并对解密后的第二数据请求进行身份认证。
具体地,本实施例中,第二数据请求为对第一数据请求采用RSA算法进行加密后的数据请求。若接收到的数据请求为第二数据请求,则说明目的网关需要对数据请求进行身份认证,则对第二数据请求进行解密,并对解密后的第二数据请求进行身份认证。
采用RSA算法进行身份认证的方法为现有技术,在此不再一一赘述。
步骤404,若解密后的第二数据请求通过身份认证,则将源网关的标识信息加入到目的网关的信任网关列表中,或将源网关的标识信息对应的认证有效期设为初始值,并更新认证有效期开始时间。
具体地,本实施例中,若解密后的第二数据请求通过身份认证,则若网关的信任网关列表中没有源网关的标识信息,则将源网关的标识信息加入到目的网关的信任网关列表中,若网关的信任网关列表中有源网关的标识信息,则将源网关的标识信息对应的认证有效期设为初始值,并更新认证有效期开始时间,其中,更新的认证有效期开始时间为当前时间,以重新对认证有效期进行累加,即根据源网关成功访问目的网关的次数按照斐波那契数列进行累加。
本实施例提供的网关间数据传输方法,通过接收源网关发送的数据请求,数据请求中携带源网关的标识信息;若接收到的数据请求为第一数据请求,则根据源网关的标识信息,按照斐波那契数列更新目的网关的信任网关列表中源网关的标识信息对应的认证有效期;若接收到的数据请求为第二数据请求,则对第二数据请求进行解密,并对解密后的第二数据请求进行身份认证;若解密后的第二数据请求通过身份认证,则将源网关的标识信息加入到目的网关的信任网关列表中,或将源网关的标识信息对应的认证有效期设为初始值,并更新认证有效期开始时间;向源节点发送数据;其中,信任网关列表对目的网关标识信息、与目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储。由于并非在每次进行通信时均需要进行身份认证,只有源网关的标识信息不在目的网关的信任网关列表中或源网关的标识信息对应的认证有效期已过期才进行身份认证,所以能够在保证通信安全的情况下减少了身份认证的频率。
图5为本发明网关间数据传输方法实施例四的流程图,如图5所示,本实施例网关间数据传输方法的执行主体为目的网关,则本实施例提供的网关间数据传输方法在本发明网关间数据传输方法实施例三的基础上,包括了对信任网关列表进行存储,及对数据请求进行解密和完成性校验的步骤。则本实施例提供的网关间数据传输方法包括以下步骤。
步骤501,将目的网关的信任网关列表存储到分布式文件系统的对应的子节点中,以使源节点以分布式文件系统的主节点为入口,从目的网关对应的子节点获取目的网关的信任网关列表。
本实施例中,将目的网关的信任网关列表存储到分布式文件系统的对应的子节点中,则在源网关以分布式文件系统的主节点为入口,从目的网关对应的子节点获取目的网关的信任网关列表时,能够更快速的查找到目的网关的信任网关列表。
步骤502,接收源网关发送的数据请求,判断数据请求是否为第三数据请求,若是,则执行步骤503,否则,执行步骤505。
进一步地,第三数据请求为采用对称算法对第一数据请求或第二数据请求进行加密,形成的数据请求。
步骤503,对第三数据请求进行对称解密及完整性校验。
进一步地,若数据请求为第三数据请求,则目的网关需要对第三数据请求进行对称解密及完整性校验。其具体的方法与源网关对第一数据请求或第二数据请求进行对称加密及数字摘要运算相对应,在此不再一一赘述。
步骤504,判断数据请求是否被篡改,若是,则执行步骤511,否则,执行步骤505。
本实施例中,若通过完整性校验,说明数据请求未被篡改,否则,数据请求被篡改,不能对该数据请求进行响应,对该数据请求进行丢弃。
步骤505,判断数据请求是否为第一数据请求,若是,则执行步骤506,否则,执行步骤507。
步骤506,根据源网关的标识信息,按照斐波那契数列更新目的网关的信任网关列表中源网关的标识信息对应的认证有效期。
步骤507,确定数据请求为第二数据请求,对第二数据请求进行解密,并对解密后的第二数据请求进行身份认证。
步骤508,判断解密后的第二数据请求是否通过身份认证,若是,则执行步骤509,否则,执行步骤511。
步骤509,将源网关的标识信息加入到目的网关的信任网关列表中,或将源网关的标识信息对应的认证有效期设为初始值,并更新认证有效期开始时间。
具体地,本实施例中,步骤505-步骤509的实现方式与本发明网关间数据的传输方法实施例三中的步骤401-步骤404的实现方式相同,在此不再一一赘述。
步骤510,向源节点发送数据。
具体地,本实施例中,目的节点在向源节点发送数据时,为了保证数据的安全,也可按照本发明实施例的方式对数据进行身份认证,以保证网关间通信的安全。
步骤511,对第二数据请求或第三数据请求进行丢弃。
具体地,本实施例中,若目的网关对第三数据请求进行对称解密及完整性校验后,第三数据请求被篡改,则对第三数据请求进行丢弃。若解密后的第二数据请求未通过身份认证,在对第二数据请求进行丢弃,以保证网关通信中数据的安全。
本实施例提供的网关间数据传输方法,通过将目的网关的信任网关列表存储到分布式文件系统的对应的子节点中,以使源节点以分布式文件系统的主节点为入口,从目的网关对应的子节点获取目的网关的信任网关列表,接收源网关发送的数据请求,判断数据请求是否为第三数据请求,若是,则对第三数据请求进行对称解密及完整性校验,否则,判断数据请求是否为第一数据请求,若是,则根据源网关的标识信息,按照斐波那契数列更新目的网关的信任网关列表中源网关的标识信息对应的认证有效期,否则对第二数据请求进行解密,并对解密后的第二数据请求进行身份认证,判断解密后的第二数据请求是否通过身份认证,若是,则将源网关的标识信息加入到目的网关的信任网关列表中,或将源网关的标识信息对应的认证有效期设为初始值,并更新认证有效期开始时间,向源节点发送数据。不仅减少了身份认证的频率,而且能够进一步保护传输的数据的安全。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图6为本发明源网关实施例一的结构示意图,如图6所示,本实施例提供的源网关包括:信任网关列表获取模块61,标识信息判断模块62,认证有效期判断模块63,第一数据请求发送模块64及第二数据请求发送模块65。
其中,信任网关列表获取模块61,用于获取目的网关的信任网关列表,信任网关列表对目的网关标识信息、与目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储。标识信息判断模块62,用于判断源网关的标识信息是否在目的网关的信任网关列表中。认证有效期判断模块63,用于若源网关的标识信息在信任网关列表中,则判断源网关的标识信息对应的认证有效期是否过期。第一数据请求发送模块64,用于若源网关的标识信息对应的认证有效期未过期,则不进行身份认证,向目的网关发送第一数据请求,第一数据请求中携带源网关的标识信息。第二数据请求发送模块65,用于若源网关的标识信息不在目的网关的信任网关列表中或源网关的标识信息对应的认证有效期已过期,则采用RSA算法对第一数据请求进行加密,形成第二数据请求,并向目的网关发送第二数据请求,第二数据请求中携带源网关的标识信息,以使目的网关对的第二数据请求进行身份认证。
本实施例提供的源网关可以执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明源网关实施例二的结构示意图,如图7所示,本实施例提供的源网关在本发明源网关实施例一的基础上,进一步地,还包括:对称加密模块71和数字摘要运算模块72。
进一步地,信任网关列表获取模块61,具体用于:以分布式文件系统的主节点为入口,从目的网关对应的子节点获取目的网关的信任网关列表;其中,分布式文件系统的每个子节点中存储对应网关的信任网关列表。
进一步地,对称加密模块71,用于采用对称算法对第一数据请求或第二数据请求进行加密,形成第三数据请求。数字摘要运算模块72,用于对第三数据请求进行数字摘要运算。
本实施例提供的源网关可以执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本发明目的网关实施例一的结构示意图,如图8所示,本实施例提供的目的网关包括:数据请求接收模块81,认证有效期更新模块82,身份认证模块83,信任网关列表更新模块84和数据发送模块85。
其中,数据请求接收模块81,用于接收源网关发送的数据请求,数据请求中携带源网关的标识信息。认证有效期更新模块82,用于若接收到的数据请求为第一数据请求,则根据源网关的标识信息,按照斐波那契数列更新目的网关的信任网关列表中源网关的标识信息对应的认证有效期。身份认证模块83,用于若接收到的数据请求为第二数据请求,则对第二数据请求进行解密,并对解密后的第二数据请求进行身份认证。信任网关列表更新模块84,用于若解密后的第二数据请求通过身份认证,则将源网关的标识信息加入到目的网关的信任网关列表中,或将源网关的标识信息对应的认证有效期设为初始值,并更新认证有效期开始时间。数据发送模块85,用于向源节点发送数据。其中,信任网关列表对目的网关标识信息、与目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储。
本实施例提供的源网关可以执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图9为本发明目的网关实施例二的结构示意图,如图9所示,本实施例提供的目的网关在本发明目的网关实施例一的基础上,还包括:信任网关列表存储模块91,第三数据请求判断模块92,对称解密模块93及完整性校验模块94。
进一步地,信任网关列表存储模块91,用于将目的网关的信任网关列表存储到分布式文件系统的对应的子节点中,以使源节点以分布式文件系统的主节点为入口,从目的网关对应的子节点获取目的网关的信任网关列表。
进一步地,第三数据请求判断模块92,用于判断接收到的数据请求是否为第三数据请求。对称解密模块93,用于若接收到的数据请求为第三数据请求,则对第三数据请求进行对称解密。完整性校验模块94,用于对对称解密后的第三数据请求进行完整性校验。
本实施例提供的目的网关可以执行图5所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (12)
1.一种网关间数据传输方法,其特征在于,包括:
获取目的网关的信任网关列表,所述信任网关列表对目的网关标识信息、与所述目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间以及认证有效期进行了关联存储;
判断所述源网关的标识信息是否在所述目的网关的信任网关列表中;
若所述源网关的标识信息在所述信任网关列表中,则判断所述源网关的标识信息对应的认证有效期是否过期;
若所述源网关的标识信息对应的认证有效期未过期,则不进行身份认证,向所述目的网关发送第一数据请求,所述第一数据请求中携带源网关的标识信息;
若所述源网关的标识信息不在所述目的网关的信任网关列表中或所述源网关的标识信息对应的认证有效期已过期,则采用RSA算法对所述第一数据请求进行加密,形成第二数据请求,并向所述目的网关发送所述第二数据请求,所述第二数据请求中携带所述源网关的标识信息,以使所述目的网关对所述第二数据请求进行身份认证。
2.根据权利要求1所述的方法,其特征在于,所述获取目的网关的信任网关列表具体包括:
以分布式文件系统的主节点为入口,从所述目的网关对应的子节点获取所述目的网关的信任网关列表;
其中,所述分布式文件系统的每个子节点中存储对应网关的信任网关列表。
3.根据权利要求1或2所述的方法,其特征在于,向所述目的网关发送所述第一数据请求或所述第二数据请求之前,还包括:
采用对称算法对所述第一数据请求或所述第二数据请求进行加密,形成第三数据请求;
对所述第三数据请求进行数字摘要运算。
4.一种网关间数据传输方法,其特征在于,包括:
接收源网关发送的数据请求,所述数据请求中携带所述源网关的标识信息;
若接收到的数据请求为第一数据请求,则根据所述源网关的标识信息,按照斐波那契数列更新目的网关的信任网关列表中所述源网关的标识信息对应的认证有效期;
若接收到的数据请求为第二数据请求,则对所述第二数据请求进行解密,并对解密后的第二数据请求进行身份认证;
若所述解密后的第二数据请求通过身份认证,则将所述源网关的标识信息加入到所述目的网关的信任网关列表中,或将所述源网关的标识信息对应的认证有效期设为初始值,并更新认证有效期开始时间;
向所述源网关发送数据;
其中,所述信任网关列表对目的网关标识信息、与所述目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间以及认证有效期进行了关联存储。
5.根据权利要求4所述的方法,其特征在于,所述接收所述源网关发送的数据请求,所述数据请求中携带获取源网关的标识信息之前,还包括:
将所述目的网关的信任网关列表存储到分布式文件系统的对应的子节点中,以使所述源网关以分布式文件系统的主节点为入口,从所述目的网关对应的子节点获取目的网关的信任网关列表。
6.根据权利要求4或5所述的方法,其特征在于,所述接收所述源网关发送的数据请求之后,还包括:
判断接收到的数据请求是否为第三数据请求;
若所述接收到的数据请求为第三数据请求,则对所述第三数据请求进行对称解密及完整性校验。
7.一种源网关,其特征在于,包括:
信任网关列表获取模块,用于获取目的网关的信任网关列表,所述信任网关列表对目的网关标识信息、与所述目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间以及认证有效期进行了关联存储;
标识信息判断模块,用于判断所述源网关的标识信息是否在所述目的网关的信任网关列表中;
认证有效期判断模块,用于若所述源网关的标识信息在所述信任网关列表中,则判断所述源网关的标识信息对应的认证有效期是否过期;
第一数据请求发送模块,用于若所述源网关的标识信息对应的认证有效期未过期,则不进行身份认证,向所述目的网关发送第一数据请求,所述第一数据请求中携带源网关的标识信息;
第二数据请求发送模块,用于若所述源网关的标识信息不在所述目的网关的信任网关列表中或所述源网关的标识信息对应的认证有效期已过期,则采用RSA算法对所述第一数据请求进行加密,形成第二数据请求,并向所述目的网关发送所述第二数据请求,所述第二数据请求中携带所述源网关的标识信息,以使所述目的网关对所述第二数据请求进行身份认证。
8.根据权利要求7所述的源网关,其特征在于,信任网关列表获取模块,具体用于:
以分布式文件系统的主节点为入口,从所述目的网关对应的子节点获取所述目的网关的信任网关列表;其中,所述分布式文件系统的每个子节点中存储对应网关的信任网关列表。
9.根据权利要求7或8所述的源网关,其特征在于,还包括:
对称加密模块,用于采用对称算法对所述第一数据请求或所述第二数据请求进行加密,形成第三数据请求;
数字摘要运算模块,用于对所述第三数据请求进行数字摘要运算。
10.一种目的网关,其特征在于,包括:
数据请求接收模块,用于接收源网关发送的数据请求,所述数据请求中携带源网关的标识信息;
认证有效期更新模块,用于若接收到的数据请求为第一数据请求,则根据所述源网关的标识信息,按照斐波那契数列更新所述目的网关的信任网关列表中所述源网关的标识信息对应的认证有效期;
身份认证模块,用于若接收到的数据请求为第二数据请求,则对所述第二数据请求进行解密,并对解密后的第二数据请求进行身份认证;
信任网关列表更新模块,用于若所述解密后的第二数据请求通过身份认证,则将所述源网关的标识信息加入到所述目的网关的信任网关列表中,或将所述源网关的标识信息对应的认证有效期设为初始值,并更新认证有效期开始时间;
数据发送模块,用于向所述源网关发送数据;
其中,所述信任网关列表对目的网关标识信息、与所述目的网关通信身份认证通过的源网关标识信息、认证有效期开始时间、认证有效期进行了关联存储。
11.根据权利要求10所述的目的网关,其特征在于,还包括:
信任网关列表存储模块,用于将所述目的网关的信任网关列表存储到分布式文件系统的对应的子节点中,以使所述源网关以分布式文件系统的主节点为入口,从所述目的网关对应的子节点获取目的网关的信任网关列表。
12.根据权利要求10或11所述的目的网关,其特征在于,还包括:
第三数据请求判断模块,用于判断接收到的数据请求是否为第三数据请求;
对称解密模块,用于若所述接收到的数据请求为第三数据请求,则对所述第三数据请求进行对称解密;
完整性校验模块,用于对对称解密后的第三数据请求进行完整性校验。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710156717.9A CN106973046B (zh) | 2017-03-16 | 2017-03-16 | 网关间数据传输方法、源网关及目的网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710156717.9A CN106973046B (zh) | 2017-03-16 | 2017-03-16 | 网关间数据传输方法、源网关及目的网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106973046A CN106973046A (zh) | 2017-07-21 |
| CN106973046B true CN106973046B (zh) | 2020-03-31 |
Family
ID=59329772
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710156717.9A Active CN106973046B (zh) | 2017-03-16 | 2017-03-16 | 网关间数据传输方法、源网关及目的网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106973046B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3078461B1 (fr) * | 2018-02-27 | 2020-01-31 | Continental Automotive France | Procede et passerelle de routage pour vehicule automobile |
| CN111124445B (zh) * | 2018-11-01 | 2023-08-15 | 中移(杭州)信息技术有限公司 | 一种家庭网关的升级方法及家庭网关 |
| CN109559796B (zh) * | 2018-11-30 | 2020-12-08 | 苏州东巍网络科技有限公司 | 一种间歇性训练数据获取请求与认证系统及方法 |
| CN116016246A (zh) * | 2021-10-22 | 2023-04-25 | 华为技术有限公司 | 设备标识符获取方法及装置 |
| CN114172739B (zh) * | 2021-12-14 | 2024-01-26 | 杭州数梦工场科技有限公司 | 网关通信方法、装置、电子设备及存储介质 |
| CN114389883B (zh) * | 2022-01-14 | 2023-10-24 | 平安科技(深圳)有限公司 | 应用网关数据处理方法、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1790984A (zh) * | 2004-12-14 | 2006-06-21 | 中兴通讯股份有限公司 | 一种通信系统中用户身份保密的方法 |
| CN103095659A (zh) * | 2011-11-03 | 2013-05-08 | 北京神州泰岳软件股份有限公司 | 一种互联网中账户登录方法和系统 |
| CN103916401A (zh) * | 2014-04-17 | 2014-07-09 | 中国联合网络通信集团有限公司 | 网关设备认证方法、认证设备及认证系统 |
| CN105933125A (zh) * | 2016-07-07 | 2016-09-07 | 北京邮电大学 | 一种软件定义网络中的南向安全认证方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2531317A (en) * | 2014-10-16 | 2016-04-20 | Airbus Group Ltd | Security system |
-
2017
- 2017-03-16 CN CN201710156717.9A patent/CN106973046B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1790984A (zh) * | 2004-12-14 | 2006-06-21 | 中兴通讯股份有限公司 | 一种通信系统中用户身份保密的方法 |
| CN103095659A (zh) * | 2011-11-03 | 2013-05-08 | 北京神州泰岳软件股份有限公司 | 一种互联网中账户登录方法和系统 |
| CN103916401A (zh) * | 2014-04-17 | 2014-07-09 | 中国联合网络通信集团有限公司 | 网关设备认证方法、认证设备及认证系统 |
| CN105933125A (zh) * | 2016-07-07 | 2016-09-07 | 北京邮电大学 | 一种软件定义网络中的南向安全认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106973046A (zh) | 2017-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106973046B (zh) | 网关间数据传输方法、源网关及目的网关 | |
| US10554420B2 (en) | Wireless connections to a wireless access point | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN101783801B (zh) | 一种基于网络的软件保护方法、客户端及服务器 | |
| JP2018121328A (ja) | 電子デバイスのためのイベント証明書 | |
| CN106161350B (zh) | 一种管理应用标识的方法及装置 | |
| US11349660B2 (en) | Secure self-identification of a device | |
| KR102450811B1 (ko) | 차량 내부 네트워크의 키 관리 시스템 | |
| CN111130798B (zh) | 一种请求鉴权方法及相关设备 | |
| US20220247576A1 (en) | Establishing provenance of applications in an offline environment | |
| US10277576B1 (en) | Diameter end-to-end security with a multiway handshake | |
| CN115277168B (zh) | 一种访问服务器的方法以及装置、系统 | |
| CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| KR20150135032A (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
| CN110868294A (zh) | 一种密钥更新方法、装置及设备 | |
| CN109451504B (zh) | 物联网模组鉴权方法及系统 | |
| CN106656955A (zh) | 一种通信方法及系统、客户端 | |
| CN112769789B (zh) | 一种加密通信方法及系统 | |
| JP4998314B2 (ja) | 通信制御方法および通信制御プログラム | |
| CN110830507B (zh) | 资源访问方法、装置、电子设备及系统 | |
| CN112383577A (zh) | 授权方法、装置、系统、设备和存储介质 | |
| CN109218009B (zh) | 一种提高设备id安全性的方法、客户端和服务器 | |
| CN112865981B (zh) | 一种令牌获取、验证方法及装置 | |
| CN112738751B (zh) | 无线传感器接入鉴权方法、装置及系统 | |
| CN112887983A (zh) | 设备身份认证方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |