CN107835072A - 网络通信的安全控制方法及装置 - Google Patents
网络通信的安全控制方法及装置 Download PDFInfo
- Publication number
- CN107835072A CN107835072A CN201711105022.4A CN201711105022A CN107835072A CN 107835072 A CN107835072 A CN 107835072A CN 201711105022 A CN201711105022 A CN 201711105022A CN 107835072 A CN107835072 A CN 107835072A
- Authority
- CN
- China
- Prior art keywords
- scrambler
- sub
- instruction
- equipment
- replacement request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Abstract
本发明公开了网络通信的安全控制方法,由第一设备向第二设备发送指示扰码的扰码更换请求指令,在第二设备验证扰码更换请求指令后,向第一设备发送确认指令。因此,本发明实现了对等终端间的扰码协商,使用扰码对第一设备和第二设备之间交互的数据或指令进行加扰,进一步,用于加扰的扰码可以动态更换,由此提高了无线网络设备的安全性。本发明公开的方法可以独立于网络控制中心存在,也能够与网络控制中心的安全机制叠加进行。
Description
技术领域
本发明涉及安全领域,特别涉及网络通信的安全控制方法及装置。
背景技术
随着无线网络设备的应用越来越广泛,家庭隐私泄露的事情时有发生。主要原因是监控厂商自己留有程序入口,或者固件上存在缺陷,黑客可以直接利用这些缺陷控制整个无线网络设备。基于此,如何能提高无线网络设备的安全性,是一个重要的课题。
发明内容
本发明实施例提供了网络通信的安全控制方法及装置。旨在解决现有技术中介质粘弹性测量中运动估计所需的运算量较大,特征点选取复杂的问题。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
第一方面,本发明实施例提供了一种网络通信的安全控制方法,用于第一设备中,包括:
向第二设备发送指示扰码的扰码更换请求指令,所述扰码用于对所述第一设备和所述第二设备之间交互的数据或指令进行加扰;
接收所述第二设备验证所述扰码更换请求指令后发送的确认指令。
基于上述方法,作为可选的第一实施例,所述扰码由子扰码生成;
所述扰码更换请求指令,包括:由所述子扰码形成的第一组合信息;
所述确认指令,包括:由所述子扰码形成的第二组合信息;
所述第一组合信息与所述第二组合信息不相同。
基于上述第一实施例,作为可选的第二实施例,所述子扰码包括:第一子扰码、第二子扰码和第三子扰码;
所述扰码的生成方法,包括:
将预设的第一私钥转换为第一预设长度的二进制数,将所述二进制数的一部分作为所述第一子扰码、并将所述二进制数的另一部分作为所述第三子扰码;或者,将预设的第一私钥转换为第一预设长度的二进制数,得到所述第一子扰码,并将预设的第二私钥转换为第一预设长度的二进制数,得到所述第三子扰码;
随机生成所述第一预设长度的所述第二子扰码;
将所述第一子扰码和所述第二子扰码进行按位异或运算,得到所述扰码。
基于上述第二实施例,作为可选的第三实施例,所述扰码更换请求指令,包括:第一消息类型指示位和所述第一组合信息;
所述第一组合信息,包括:第一子信息和第二子信息;
所述第一子信息由所述第一子扰码与进行向右循环移动第一设定位后的所述第二子扰码进行按位异或运算得到;
所述第二子信息由所述第二子扰码和所述第三子扰码进行按位异或运算得到。
基于上述第三实施例,作为可选的第四实施例,所述确认指令,包括:第二消息类型指示位和所述第二组合信息;
所述第二组合信息由所述第一子扰码与进行向右循环移动第二设定位后的所述第二子扰码进行按位异或运算得到。
基于上述第一实施例,作为可选的第五实施例,所述子扰码包括;第一子扰码和第二子扰码;
所述扰码的生成方法,包括:
将预设的第一私钥转换为第一预设长度的二进制数,得到所述第一子扰码;
随机生成第二预设长度的所述第二子扰码,所述第二预设长度与所述第一预设长度相等,或所述第二预设长度等于所述第一预设长度的一半;
使用所述第二子扰码对所述第一子扰码进行随机化,得到所述扰码。
基于上述第五实施例,作为可选的第六实施例,所述使用所述第二子扰码对所述第一子扰码进行随机化,包括:
生成第三子扰码,所述第三子扰码为所述第二子扰码补0后形成的二进制序列,所述0的个数为所述第一预设长度与所述第二预设长度的差值;
将所述第一子扰码与进行向右循环移动第三设定位后的所述第三子扰码进行按位异或运算,得到所述扰码;
所述第三设定位小于所述第二预设长度。
基于上述第五实施例,作为可选的第七实施例,所述第一组合信息,包括:第一子信息和第二子信息;
所述第一子信息是所述第二子扰码;
所述第二子信息是二进制比特序列M与所述第一子扰码进行按位异或运算后得到的结果;
所述二进制比特序列M的生成方法,包括:
生成S个长度为Z的二进制随机比特序列Mi(i=1,…S),N=S*Z;
将Mi(i=1,…S-1)的最高比特位置0;
将M0(i)写入Mw(v);其中,w=mod(i-1,S-1)+1,v=(i-1)/(S-1);M0=DEC2BIN(po,K),K=ceil(log2(P)),P为所述第二预设长度,po为所述第三设定位;
计算Mi’=Mi+M(i+1),(i=1…S-1);
计算M=[M1’,…MS’]。
基于上述第七实施例,作为可选的第八实施例,所述第二组合信息,包括:二进制比特序列D与所述扰码进行按位异或运算后得到的结果;
所述二进制比特序列D的生成方法,包括:
生成S个长度为Z的二进制比特序列Di(i=1…S),N=S*Z;
将Di(i=2…S)的最高比特位置为0;
将M0(i)写入Dw(v);其中,w=mod(i-1,S-1)+2,v=(i-1)/(S-1),M0=DEC2BIN(po,K);
计算Di’=Di+D(i-1);
计算D=[D1’,…DS’]。
第二方面,本发明实施例提供了一种网络通信的安全控制方法,用于第二设备中,包括:
接收第一设备发送的指示扰码的扰码更换请求指令,所述扰码用于对所述第一设备和所述第二设备之间交互的数据或指令进行加扰;
验证所述扰码更换请求指令;
向所述第一设备发送确认指令。
基于上述方法,作为可选的第一实施例,所述验证所述扰码更换请求指令,包括:
读取所述扰码更换请求指令中的第一消息类型指示位;
当所述第一消息类型指示位指示扰码更换请求指令时,读取所述扰码更换请求指令中的第一组合信息,所述第一组合信息包括第一子信息和第二子信息;
将预设的第一私钥转换为第一预设长度的二进制数,得到第一子扰码;
将所述第一子扰码与所述第一子信息进行按位异或运算后,再向左循环移动第一设定位后,得到解析第二子扰码;
将所述解析第二子扰码与所述第二子信息进行按位异或运算,得到解析第三子扰码;
当所述解析第三子扰码与预设的第三子扰码相同时,验证所述扰码更换请求指令有效。
基于上述第一实施例,作为可选的第二实施例,所述方法还包括:
将所述第一子扰码与所述解析第二子扰码进行按位异或运算,得到所述扰码。
基于上述方法,作为可选的第三实施例,所述验证所述扰码更换请求指令,包括:
将预设的第一私钥转换为第一预设长度的二进制数,得到第一子扰码R1;
截取扰码更换请求指令的后N个比特得到二进制序列M’,所述N为所述第一设备生成所述扰码更换请求指令时,使用的随机二进制比特序列的个数S与长度Z的乘积;
计算Mi’(j)=M((i-1)*Z+j);
计算MS=MS’;
计算Mi=Mi’-Mi+1(i=1…S-1);
当计算出的Mi的最高比特位都为0时,验证扰码更换请求指令有效。
基于上述第三实施例,作为可选的第四实施例,所述方法还包括:
截取所述扰码更换请求指令的前P个比特作为第二子扰码R2;
计算M0(i)=Mw(v),w=mod(i-1,S-1)+1,v=(i-1)/(S-1);
计算K=ceil(log2(P));
计算R2’=[R2,0…0],R2后的0的个数等于N-P;
计算所述扰码
第三方面,本发明实施例提供了一种网络通信的安全控制装置,用于第一设备中,包括:
存储器,用于存储指令;
处理器,用于读取存储器中的所述指令,执行如下操作:
向第二设备发送指示扰码的扰码更换请求指令,所述扰码用于对所述第一设备和所述第二设备之间交互的数据或指令进行加扰;
接收所述第二设备验证所述扰码更换请求指令后发送的确认指令。
第四方面,本发明实施例提供了一种网络通信的安全控制装置,用于第二设备中,包括:
存储器,用于存储指令;
处理器,用于读取存储器中的所述指令,执行如下操作:
接收第一设备发送的指示扰码的扰码更换请求指令,所述扰码用于对所述第一设备和所述第二设备之间交互的数据或指令进行加扰;
验证所述扰码更换请求指令;
向所述第一设备发送确认指令。
本发明实施例实现了对等终端间的扰码协商,使用扰码对第一设备和第二设备之间交互的数据或指令进行加扰,进一步,用于加扰的扰码可以动态更换,由此提高了无线网络设备的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是一示例性实施例中的一种网络通信的安全控制方法的流程图;
图2是一示例性实施例中的一种网络通信的安全控制方法的流程图;
图3是一示例性实施例中的第一设备端的扰码生成方法的流程图;
图4是一示例性实施例中的第一设备端的扰码生成方法的流程图。
具体实施方式
以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选的,并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同物。在本文中,各实施方案可以被单独地或总地用术语“发明”来表示,这仅仅是为了方便,并且如果事实上公开了超过一个的发明,不是要自动地限制该应用的范围为任何单个发明或发明构思。本文中,诸如第一和第二等之类的关系术语仅仅用于将一个实体或者操作与另一个实体或操作区分开来,而不要求或者暗示这些实体或操作之间存在任何实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素。本文中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的结构、产品等而言,由于其与实施例公开的部分相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
目前,网络通信中的安全机制由网络运营商提供,即由网络控制中心执行用户登录机制,并且构建用户关系数据库。只有经过验证的设备才能进入网络系统,并且只有具备好友关系的设备之间才能发起服务请求。
在本发明的一示例性实施例中,在上述安全机制的基础上,构建第二层由私钥构成的数据加密安全保护机制,其中对数据加密使用动态更换的扰码。下文所述第一设备和第二设备是可以交互数据和指令的无线网络设备,例如无线网络摄像头和移动终端等,其中第一设备为扰码更换的发起设备。
图1是本发明一示例性实施例中的网络通信的安全控制方法,该方法用于第一设备中,包括如下步骤。
在步骤11中,向第二设备发送指示扰码的扰码更换请求指令。上述扰码用于对第一设备和第二设备之间交互的数据或指令进行加扰。
在步骤12中,接收第二设备验证扰码更换请求指令后发送的确认指令。
图2是本发明一示例性实施例中的网络通信的安全控制方法,该方法用于第二设备中,包括如下步骤。
在步骤21中,接收第一设备发送的指示扰码的扰码更换请求指令,扰码用于对第一设备和第二设备之间交互的数据或指令进行加扰。
在步骤22中,验证扰码更换请求指令。
在步骤23中,向第一设备发送确认指令。
在本示例性实施例的网络通信的安全控制方法中,实现了对等终端间的扰码协商,使用扰码对第一设备和第二设备之间交互的数据或指令进行加扰,进一步,用于加扰的扰码可以动态更换,由此提高了无线网络设备的安全性。
本示例性实施例的网络通信的安全控制方法,可以独立于网络控制中心,也能够与与网络控制中心的安全机制叠加进行。
在本发明的一示例性实施例中,扰码由子扰码生成,在此基础上,扰码更换请求指令中包括由各个子扰码的全部或部分形成的第一组合信息,确认指令中包括由各个子扰码的全部或部分形成的第二组合信息,第一组合信息和第二组合信息是不相同的信息。
作为可选的实施方式,子扰码包括:第一子扰码R1、第二子扰码R2和第三子扰码R3。
第一设备在发送扰码更换请求指令之前,首先生成扰码,如图3所示,扰码的生成方法包括如下步骤。
在步骤31中,将预设的第一私钥转换为第一预设长度的二进制数,得到第一子扰码R1。
预设的第一私钥为十进制用户私钥X,X的长度为M,第一子扰码R1的第一预设长度为N,则按照如下公式一得到第一子扰码R1。
公式一:R1=DEC2BIN(mod(X,2N),N)。其中,mod(X,2N)表示X对2N取模,DEC2BIN(mod(X,2N),N),表示把十进制数X转换为长度为N的二进制数。
在步骤32中,随机生成第一预设长度的第二子扰码R2。
第二子扰码R2是长度为N的随机二进制数。
在步骤33中,将预设的第二私钥转换为第一预设长度的二进制数,得到第三子扰码R3。
按照步骤31中的方式,基于另外预设的第二私钥和相同的转换方法,得到第三子扰码R3。
除上述得到第三子扰码R3的方法外,还可以在步骤31中将第一私钥转换成二进制数后,将二进制数的一部分作为第一子扰码R1,将二进制的另一部分作为第三子扰码R3。
在步骤34中,将第一子扰码R1和第二子扰码R2进行按位异或运算,得到扰码。
设扰码为R,则按照如下公式二得到扰码R。
公式二:其中,代表按位异或运算。
第一设备在生成扰码之后,即可以立即发送扰码更换请求指令,当然第一设备也可以在生成扰码之后,按照预定时间间隔或者随机发送扰码更换请求指令。
扰码更换请求指令为[N0,N1,N2],其中N0是消息类型指示位,比如N0取值为0001时代表当前指令为扰码更换请求指令。N1和N2形成第一组合信息,N1可以称为第一子信息,N2可以称为第二子信息,N1和N2分别按照如下公式三和公式四得到。
公式三:其中,shifft(R2,L1)表示把第二子扰码R2向右循环移动第一设定位L1位。
公式四:其中,代表按位异或运算。
第二设备中预设有第一私钥X的相关信息、第一子扰码R1的生成算法、第二子扰码R2的生成算法、第三子扰码R3的相关信息、扰码的生成的算法、及扰码更换请求指令的格式。第二设备在接收到扰码更换请求指令之后,通过解析N0的值获悉当前接收到的是扰码更换请求指令,通过与公式一相同的算法计算第一子扰码R1,按照前文所述两种方法之一计算第三子扰码R3,进一步通过如下公式五和公式六计算得到解析第二子扰码R2’和解析第三子扰码R3’。
公式五:其中,表示把第一子扰码R1与N1进行按位异或运算之后,向左循环移动第一设定位L1位。
公式六:其中,代表按位异或运算。
第二设备在确认计算得到的解析子扰码R3’与第三子扰码R3相同,则验证接收到的扰码更换请求指令为有效,可以向第一设备发送确认指令。
确认指令为[N0,N1],其中N0是消息类型指示位,比如N0取值为0010时代表当前指令为确认指令。N1为第二组合信息。N1按照如下公式七得到。
公式七:其中,shifft(R2,L2)表示把第二子扰码R2向右循环移动第二设定位L2位。
第二设备在验证接收到的扰码更换请求指令为有效后,可以更新扰码R为第二设备计算得到的解析第二子扰码R2’即为此处的R2。更新后的扰码R用于在下一次接收扰码更换请求指令之前,对与第一设备之间的数据交互进行加扰。
第一设备在接收到确认指令之后,通过解析N0的值获悉当前接收到的是确认指令。进一步,第一设备中预设有确认指令的生成算法,如果第一设备解析到确认指令中的则验证接收到的确认指令为有效。
在本示例性实施例中,第一设备在发送扰码更换请求指令之后,可以启动计时器,如在计时器超时之前未收到第二设备发送的确认指令,当未超过门限值时,第一设备可以再次向第二设备发送扰码更换请求指令。
在本发明的一示例性实施例中,扰码由子扰码生成,在此基础上,扰码更换请求指令中包括由各个子扰码的全部或部分形成的第一组合信息,确认指令中包括由各个子扰码的全部或部分形成的第二组合信息,第一组合信息和第二组合信息是不相同的信息。
作为可选的实施方式,子扰码包括:第一子扰码R1和第二子扰码R2。
第一设备在发送扰码更换请求指令之前,首先生成扰码,如图4所示,扰码的生成方法包括如下步骤。
在步骤41中,将预设的第一私钥转换为第一预设长度的二进制数,得到第一子扰码R1。
第一子扰码R1的计算方法如前文公式一所示,公式一中的各参数也表示相同含义。
在步骤42中,随机生成第二预设长度的第二子扰码R2,第二预设长度与第一预设长度相等或等于第一预设长度的一半。
第二子扰码R2的长度为P,P与第一子扰码R1的长度N相等、或者等于N的一半,按照如下公式八得到第二子扰码R2。
公式八:R2=DEC2BIN(mod(X,2P),P)。其中,X为随机生成的长度小于2P的正整数,R2=DEC2BIN(mod(S,2P),P),表示把十进制数X转换为长度P的二进制数。
在步骤43中,使用第二子扰码R2对第一子扰码R1进行随机化,得到扰码。
设第三子扰码R2’=[R2,0…0],第二子扰码R2后面所加0的个数等于N-P。随机生成小于P且大于等于0的整数po。按照如下公式九得到扰码R。
公式九:其中,shifft(R2’,po)表示把R2’进行向右循环移动第三设定位po位,表示按位异或运算。
第一设备在生成扰码之后,即可以立即发送扰码更换请求指令,当然第一设备也可以在生成扰码之后,按照预定时间间隔或者随机发送扰码更换请求指令。
扰码更换请求指令中的第一组合信息包括第一子信息和第二子信息,第一设备按照如下子步骤生成扰码更换请求指令。
在子步骤1中,将第二子扰码R2作为第一子信息。
在子步骤2中,将二进制比特序列M与第一子扰码R1进行按位异或运算后得到的结果,作为第二子信息。
因此,扰码更换请求指令为
上述二进制比特序列M的生成方法,包括:
1)生成S个长度为Z的二进制随机比特序列Mi(i=1,…S),N=S*Z;
2)将Mi(i=1,…S-1)的最高比特位置0;
3)将M0(i)写入Mw(v);其中,w=mod(i-1,S-1)+1,v=(i-1)/(S-1);M0=DEC2BIN(po,K),K=ceil(log2(P)),P为第二子扰码R2的长度,ceil表示向上取整,po为前文公式九中的第三设定位;
4)计算Mi’=Mi+M(i+1),(i=1…S-1);如果MS-1’溢出,即(MS-1+MS向高位进位,将MS向右移1位,重新计算MS’,MS’=MS;
5)计算M=[M1’,…MS’]。
第二设备中预设有第一私钥X的相关信息、第一子扰码R1的生成算法、第二子扰码R2的生成算法、第三子扰码R2’的相关信息、扰码的生成算法、及扰码更换请求指令的生成算法。第二设备在接收到第一设备发送的扰码更换请求指令后,通过如下步骤验证扰码更换请求指令,包括:
1)截取该指令的后N个比特得到M’;
2)计算Mi’(j)=M((i-1)*Z+j);
3)计算MS=MS’;
4)计算Mi=Mi’-Mi+1(i=1…S-1);
5)当计算出的Mi的最高比特位都为0时,验证扰码更换请求指令有效。
第二设备在验证扰码更换请求指令有效后,通过如下步骤更新扰码R,包括:
1)截取该指令的前P个比特作为第二子扰码R2;
2)从Mi(i=1…S-1)中解析出po,具体为:
计算M0(i)=Mw(v),w=mod(i-1,S-1)+1,v=(i-1)/(S-1);
计算K=ceil(log2(P));
3)按照前文的公式九计算出扰码R。
第二设备发送的确认指令中的第二组合信息,包括二进制比特序列D与扰码进行按位异或运算后得到的结果。因此,确认指令为D⊕R。
上述二进制比特序列D的生成方法,包括:
1)生成S个长度为Z的二进制比特序列Di(i=1…S),N=S*Z;
2)将Di(i=2…S)的最高比特位置为0;
3)将M0(i)写入Dw(v);其中,w=mod(i-1,S-1)+2,v=(i-1)/(S-1),M0=DEC2BIN(po,K);
4)计算Di’=Di+Di-1,(i=2…S);如果D2’溢出,即D2+D1向高位进位,将D1向右移1位,重新计算D2’,D1’=D1;
5)计算D=[D1’,…DS’]。
第一设备在接收到确认指令之后,通过如下步骤验证确认指令,第一设备中预设有确认指令的生成算法,假设接收到的确认指令为D’,包括:
1)计算Di’(j)=D(i-1)*Z+j;
2)令D1=D1’,Di=Di+1’-Di(i=2…S);
3)计算M0(i)=Dw(v),w=mod(i-1,S-1)+2,v=(i-1)/(S-1);
4)计算
5)计算出的Di(i=2…S-1)的最高比特位都为0,且从Di(i=2…S-1)解析出的po与生成扰码更换请求指令时的po(即前文的公式九中的po)相等,验证确认消息为有效。
在本示例性实施例中,第一设备在发送扰码更换请求指令之后,可以启动计时器,如在计时器超时之前未收到第二设备发送的确认指令,当未超过门限值时,第一设备可以再次向第二设备发送扰码更换请求指令。
按照本发明示例性实施例中的方法,第一设备和第二设备通过扰码更换请求指令和确认指令完成扰码协商后,就可以使用更新后的扰码对所交互的数据或指令进行加扰。
发送端在对数据进行加扰时,假定待发送的原始数据为Data(i),i大于等1,则加扰后的数据为接收端接收到加扰后的数据后,计算解扰后的数据为 上述公式中的N为前文中所述第一子扰码的第一预设长度。
发送端在对指令进行加扰时,对格式较为固定的短指令可以采用类似确认指令相同的生成方式,比如使用二进制序列D与待发送指令进行按位异或运算。
对应用于第一设备中的网路通信的安全控制方法,在一示例性实施例中,用于第一设备中的网络通信的安全控制装置,可以包括存储器和处理器,其中存储器中存储有可执行的指令,处理用于读取存储器中的指令,完成前文各个示例性实施例中的步骤。
对应用于第二设备中的网路通信的安全控制方法,在一示例性实施例中,用于第二设备中的网络通信的安全控制装置,可以包括存储器和处理器,其中存储器中存储有可执行的指令,处理用于读取存储器中的指令,完成前文各个示例性实施例中的步骤。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的流程及结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (16)
1.一种网络通信的安全控制方法,用于第一设备中,其特征在于,所述方法包括:
向第二设备发送指示扰码的扰码更换请求指令,所述扰码用于对所述第一设备和所述第二设备之间交互的数据或指令进行加扰;
接收所述第二设备验证所述扰码更换请求指令后发送的确认指令。
2.如权利要求1所述的方法,其特征在于,所述扰码由子扰码生成;
所述扰码更换请求指令,包括:由所述子扰码形成的第一组合信息;
所述确认指令,包括:由所述子扰码形成的第二组合信息;
所述第一组合信息与所述第二组合信息不相同。
3.如权利要求2所述的方法,其特征在于,所述子扰码包括:第一子扰码、第二子扰码和第三子扰码;
所述扰码的生成方法,包括:
将预设的第一私钥转换为第一预设长度的二进制数,将所述二进制数的一部分作为所述第一子扰码、并将所述二进制数的另一部分作为所述第三子扰码;或者,将预设的第一私钥转换为第一预设长度的二进制数,得到所述第一子扰码,并将预设的第二私钥转换为第一预设长度的二进制数,得到所述第三子扰码;
随机生成所述第一预设长度的所述第二子扰码;
将所述第一子扰码和所述第二子扰码进行按位异或运算,得到所述扰码。
4.如权利要求3所述的方法,其特征在于,所述扰码更换请求指令,包括:
第一消息类型指示位和所述第一组合信息;
所述第一组合信息,包括:第一子信息和第二子信息;
所述第一子信息由所述第一子扰码与进行向右循环移动第一设定位后的所述第二子扰码进行按位异或运算得到;
所述第二子信息由所述第二子扰码和所述第三子扰码进行按位异或运算得到。
5.如权利要求4所述的方法,其特征在于,所述确认指令,包括:第二消息类型指示位和所述第二组合信息;
所述第二组合信息由所述第一子扰码与进行向右循环移动第二设定位后的所述第二子扰码进行按位异或运算得到。
6.如权利要求2所述的方法,其特征在于,所述子扰码包括:第一子扰码和第二子扰码;
所述扰码的生成方法,包括:
将预设的第一私钥转换为第一预设长度的二进制数,得到所述第一子扰码;
随机生成第二预设长度的所述第二子扰码,所述第二预设长度与所述第一预设长度相等,或所述第二预设长度等于所述第一预设长度的一半;
使用所述第二子扰码对所述第一子扰码进行随机化,得到所述扰码。
7.如权利要求6所述的方法,其特征在于,所述使用所述第二子扰码对所述第一子扰码进行随机化,包括:
生成第三子扰码,所述第三子扰码为所述第二子扰码补0后形成的二进制序列,所述0的个数为所述第一预设长度与所述第二预设长度的差值;
将所述第一子扰码与进行向右循环移动第三设定位后的所述第三子扰码进行按位异或运算,得到所述扰码;
所述第三设定位小于所述第二预设长度。
8.如权利要求7所述的方法,其特征在于,所述第一组合信息,包括:第一子信息和第二子信息;
所述第一子信息是所述第二子扰码;
所述第二子信息是二进制比特序列M与所述第一子扰码进行按位异或
运算后得到的结果;
所述二进制比特序列M的生成方法,包括:
生成S个长度为Z的二进制随机比特序列Mi(i=1,…S),N=S*Z;
将Mi(i=1,…S-1)的最高比特位置0;
将M0(i)写入Mw(v);其中,w=mod(i-1,S-1)+1,v=(i-1)/(S-1);M0=
DEC2BIN(po,K),K=ceil(log2(P)),P为所述第二预设长度,po为所述第三设定位;
计算Mi’=Mi+M(i+1),(i=1…S-1);
计算M=[M1’,…MS’]。
9.如权利要求8所述的方法,其特征在于,所述第二组合信息,包括:二进制比特序列D与所述扰码进行按位异或运算后得到的结果;
所述二进制比特序列D的生成方法,包括:
生成S个长度为Z的二进制比特序列Di(i=1…S),N=S*Z;
将Di(i=2…S)的最高比特位置为0;
将M0(i)写入Dw(v);其中,w=mod(i-1,S-1)+2,v=(i-1)/(S-1),M0=DEC2BIN(po,K);
计算Di’=Di+D(i-1);
计算D=[D1’,…DS’]。
10.一种网络通信的安全控制方法,用于第二设备中,其特征在于,所述方法包括:
接收第一设备发送的指示扰码的扰码更换请求指令,所述扰码用于对所述第一设备和所述第二设备之间交互的数据或指令进行加扰;
验证所述扰码更换请求指令;
向所述第一设备发送确认指令。
11.如权利要求10所述的方法,其特征在于,所述验证所述扰码更换请求指令,包括:
读取所述扰码更换请求指令中的第一消息类型指示位;
当所述第一消息类型指示位指示扰码更换请求指令时,读取所述扰码更换请求指令中的第一组合信息,所述第一组合信息包括第一子信息和第二子信息;
将预设的第一私钥转换为第一预设长度的二进制数,得到第一子扰码;
将所述第一子扰码与所述第一子信息进行按位异或运算后,再向左循环移动第一设定位后,得到解析第二子扰码;
将所述解析第二子扰码与所述第二子信息进行按位异或运算,得到解析第三子扰码;
当所述解析第三子扰码与预设的第三子扰码相同时,验证所述扰码更换请求指令有效。
12.如权利要求11所述的方法,其特征在于,所述方法还包括:
将所述第一子扰码与所述解析第二子扰码进行按位异或运算,得到所述扰码。
13.如权利要求10所述的方法,其特征在于,所述验证所述扰码更换请求指令,包括:
将预设的第一私钥转换为第一预设长度N的二进制数,得到第一子扰码R1;
截取扰码更换请求指令的后N个比特得到二进制序列M’,所述N为所述第一设备生成所述扰码更换请求指令时,使用的随机二进制比特序列的个数S与长度Z的乘积;
计算M=M’⊕R1,Mi’(j)=M((i-1)*Z+j);
计算MS=MS’;
计算Mi=Mi’-Mi+1(i=1…S-1);
当计算出的Mi的最高比特位都为0时,验证扰码更换请求指令有效。
14.如权利要求13所述的方法,其特征在于,所述方法还包括:
截取所述扰码更换请求指令的前P个比特作为第二子扰码R2;
计算M0(i)=Mw(v),w=mod(i-1,S-1)+1,v=(i-1)/(S-1);
计算K=ceil(log2(P));
计算R2’=[R2,0…0],R2后的0的个数等于N-P;
计算所述扰码R=R1⊕shifft(R2’,po)。
15.一种网络通信的安全控制装置,用于第一设备中,其特征在于,所述装置包括:
存储器,用于存储指令;
处理器,用于读取存储器中的所述指令,执行如下操作:
向第二设备发送指示扰码的扰码更换请求指令,所述扰码用于对所述第一设备和所述第二设备之间交互的数据或指令进行加扰;
接收所述第二设备验证所述扰码更换请求指令后发送的确认指令。
16.一种网络通信的安全控制装置,用于第二设备中,其特征在于,所述装置包括:
存储器,用于存储指令;
处理器,用于读取存储器中的所述指令,执行如下操作:
接收第一设备发送的指示扰码的扰码更换请求指令,所述扰码用于对所述第一设备和所述第二设备之间交互的数据或指令进行加扰;
验证所述扰码更换请求指令;
向所述第一设备发送确认指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711105022.4A CN107835072A (zh) | 2017-11-10 | 2017-11-10 | 网络通信的安全控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711105022.4A CN107835072A (zh) | 2017-11-10 | 2017-11-10 | 网络通信的安全控制方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107835072A true CN107835072A (zh) | 2018-03-23 |
Family
ID=61654074
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711105022.4A Pending CN107835072A (zh) | 2017-11-10 | 2017-11-10 | 网络通信的安全控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107835072A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1937489A (zh) * | 2006-09-23 | 2007-03-28 | 西安西电捷通无线网络通信有限公司 | 一种网络密钥管理及会话密钥更新方法 |
CN101056171A (zh) * | 2006-06-20 | 2007-10-17 | 华为技术有限公司 | 一种加密通信方法和装置 |
CN101600204A (zh) * | 2009-06-30 | 2009-12-09 | 中兴通讯股份有限公司 | 一种文件传输方法及系统 |
CN101980558A (zh) * | 2010-11-16 | 2011-02-23 | 北京航空航天大学 | 一种Ad hoc网络传输层协议上的加密认证方法 |
US20130263217A1 (en) * | 2012-04-02 | 2013-10-03 | David Avital | System, method, and device for controlled access to a network |
-
2017
- 2017-11-10 CN CN201711105022.4A patent/CN107835072A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056171A (zh) * | 2006-06-20 | 2007-10-17 | 华为技术有限公司 | 一种加密通信方法和装置 |
CN1937489A (zh) * | 2006-09-23 | 2007-03-28 | 西安西电捷通无线网络通信有限公司 | 一种网络密钥管理及会话密钥更新方法 |
CN101600204A (zh) * | 2009-06-30 | 2009-12-09 | 中兴通讯股份有限公司 | 一种文件传输方法及系统 |
CN101980558A (zh) * | 2010-11-16 | 2011-02-23 | 北京航空航天大学 | 一种Ad hoc网络传输层协议上的加密认证方法 |
US20130263217A1 (en) * | 2012-04-02 | 2013-10-03 | David Avital | System, method, and device for controlled access to a network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5755391B2 (ja) | 鍵共有デバイス、及び鍵共有デバイスを構成するためのシステム | |
CN106797314B (zh) | 密码系统、网络设备、共享方法以及计算机可读存储介质 | |
US20160261572A1 (en) | Secure node admission in a communication network | |
EP3451574B1 (en) | Data receiving device, data transmission system, and key generating device | |
JP6190470B2 (ja) | 鍵共有ネットワークデバイス及びその構成 | |
CN106899607A (zh) | 一种信息加密发送及解密接收的方法及装置 | |
EP2962420B1 (en) | Network device configured to derive a shared key | |
JP2009071854A (ja) | セキュリティ強化のための転置データ変換 | |
TW201721407A (zh) | 硬體輔助快速僞隨機數値產生 | |
KR101834504B1 (ko) | 암복호화 장치 및 방법 | |
KR20130077171A (ko) | 서버와 디바이스간 인증방법 | |
CN104303450A (zh) | 密码密钥的确定 | |
KR101095386B1 (ko) | 이산화된 카오스 함수를 이용한 암호 시스템 | |
KR20150058310A (ko) | 메시지 데이터를 보호하기 위한 장치 및 방법 | |
US20080243977A1 (en) | Pseudorandom number generator and encrytion device using the same | |
KR101924047B1 (ko) | 암호화 방법 및 이를 이용한 송신 장치, 복호화 방법 및 이를 이용한 수신 장치 | |
CN112134693B (zh) | 密钥加密存储方法、获取方法及其装置 | |
CN111294196B (zh) | 一种信号发送及接收方法、装置、电子设备及存储介质 | |
CN107835072A (zh) | 网络通信的安全控制方法及装置 | |
US11075756B2 (en) | Method of encryption, method of decryption, corresponding computer device and program | |
CN114710359B (zh) | 工业网络动态密钥管理方法及工业网络加密通信方法 | |
KR100842261B1 (ko) | Cdma 방식의 이동통신 시스템을 위한 해쉬 알고리즘을이용한 데이터생성방법 | |
KR101150289B1 (ko) | 복합 암호 시스템과 이를 이용한 복합 암호 알고리즘 구성 방법 | |
CN113486375A (zh) | 设备信息的存储方法和装置、存储介质及电子装置 | |
JP2002091305A (ja) | 多重アファイン鍵を用いる乱数生成装置及び暗号化・復号化装置、並びにこれを利用するデジタルデータ処理装置と方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180323 |