CN107835194A - 一种基于多终端通信自动学习的加解密方法 - Google Patents
一种基于多终端通信自动学习的加解密方法 Download PDFInfo
- Publication number
- CN107835194A CN107835194A CN201711248582.5A CN201711248582A CN107835194A CN 107835194 A CN107835194 A CN 107835194A CN 201711248582 A CN201711248582 A CN 201711248582A CN 107835194 A CN107835194 A CN 107835194A
- Authority
- CN
- China
- Prior art keywords
- fire wall
- encryption
- node
- key
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种基于多终端通信自动学习的加解密方法,所述加解密方法基于若干终端节点以及密钥服务器,所述终端节点包括加密节点与非加密节点,所述加密节点包括依次连接终端设备、交换机、防火墙以及分支路由结构,所述非加密节点包括依次连接的终端设备、交换机以及分支路由结构,所述密钥服务器与各加密节点的分支路由结构连接。与现有技术相比,本发明的基于多终端通信自动学习的加解密方法,在需要加密的节点内增加了防火墙,防火墙不用登陆和配置,然后通过密钥服务器自动学习通信双方需要加解密的网段,自动加解密不用人工干预,并且防火墙可以部署在网络任何一个位置不用更改网络结构,简化了终端加密通信的过程。
Description
技术领域
本发明涉及多终端安全通信技术领域,特别涉及一种基于多终端通信自动学习的加解密方法。
背景技术
目前,在多终端通信过程中,如图1所示,各方大部分采用明文传递数据,部分需要加密的双向终端需要加入额外的加密设备加入至网络,例如IPSEC VPN,接入网络同时需要更改网络结构,进行加密工作的同时,需要网路配置与认证信息登录,加解密过程需要人工干预,使终端加密通信的过程过于繁杂。
发明内容
本发明目的在于提供一种基于多终端通信自动学习的加解密方法,以解决现有技术中接入网络同时需要更改网络结构,进行加密工作的同时,需要网路配置与认证信息登录,加解密过程需要人工干预,使终端加密通信的过程过于繁杂的技术性缺陷。
本发明的技术方案是这样实现的:
一种基于多终端通信自动学习的加解密方法,所述加解密方法基于若干终端节点以及密钥服务器,所述终端节点包括加密节点与非加密节点,所述加密节点包括依次连接终端设备、交换机、防火墙以及分支路由结构,所述非加密节点包括依次连接的终端设备、交换机以及分支路由结构,所述密钥服务器与各加密节点的分支路由结构连接,其中,加密节点-加密节点之间通信采用自动学习的加解密方法,具体的加解密方法包括以下步骤:
1)密钥服务器签发待通信加密节点的初始加密密钥、客户端认证密钥以及服务器认证密钥,将签发后的上述密钥灌入安全优盘,灌入的信息还包括待通信加密节点的防火墙A与防火墙B管理口地址以及网关地址;
2)通过安全优盘将其内部的信息灌入至待通信加密节点的防火墙;
3)把防火墙的安全口串联接入网络,并且把防火墙的管理口旁路模式接入网络,防火墙根据读出安全优盘中的信息,接入网络,且与密钥服务器建立起连接;
4)防火墙使用初始加密密钥与密钥服务器建立起安全连接,并通过客户认证密钥与服务器认证密钥相互验证合法身份,验证成功后,密钥服务器开始传输数据加密密钥给防火墙A与防火墙B;
5)防火墙A与防火墙B分别从穿越自己的流量中,进行IP源目地址学习,对于防火墙A:源IP网段为A,目的IP网段为B;对于防火墙B:源IP网段为B,目的IP网段为A;
6)防火墙A与防火墙B主动探测与扫描IP网段;
7)防火墙A与防火墙B将探测到的IP网段信息以及数据包顺序经过防火墙端口的信息上传至密钥服务器;
8)密钥服务器即时授权穿越防火墙A与防火墙B的IP网段,并匹配源目IP地址相同的穿越了两台防火墙的网段,建立映射表;
9)密钥服务器将匹配结果、映射表分别反馈给防火墙A与防火墙B,使防火墙A与防火墙B建立共同的IP网段表;
10)密钥服务器将用于加密的IPSEC密钥分别发送至防火墙A与防火墙B;
11)防火墙A跳过IPSEC IKE第一阶段与第二阶段协商过程,直接使用IPSEC密钥给IP数据报文加密,加密报头放置于IP报头与DATA之间。
优选地,所述建立映射表包括防火墙内外网口的判断。
优选地,涉及非加密节点之间通信采用数据明文传输方式。
与现有技术相比,本发明有以下有益效果:
本发明的基于多终端通信自动学习的加解密方法,在需要加密的节点内增加了防火墙,防火墙不用登陆和配置,然后通过密钥服务器自动学习通信双方需要加解密的网段,自动加解密不用人工干预,并且防火墙可以部署在网络任何一个位置不用更改网络结构,简化了终端加密通信的过程。
附图说明
图1为现有技术中多终端通信的通信网络链路图;
图2为本发明基于多终端通信自动学习的加解密方法的通信网络链路图;
图3为本发明基于多终端通信自动学习的加解密方法的流程图。
图中:密钥服务器100,加密节点200,非加密节点300,终端设备400,交换机500,防火墙600,分支路由结构700。
具体实施方式
下面将结合本发明实施例中的附图,对本发明进行清楚、完整地描述。
如图2所示,一种基于多终端通信自动学习的加解密方法,所述加解密方法基于若干终端节点以及密钥服务器100,所述密钥服务器100接入在任意网段,所述终端节点包括加密节点200与非加密节点300,所述加密节点200包括依次连接终端设备400、交换机500、防火墙600以及分支路由结构700,所述非加密节点300包括依次连接的终端设备400、交换机500以及分支路由结构700,所述密钥服务器100与各加密节点200的分支路由结构700连接,其中,加密节点200-加密节点200之间通信采用自动学习的加解密方法,如图3所示,假设A与B为加密节点,A与B之间进行加密通信,C为非加密节点,具体的加解密方法包括以下步骤:
1)密钥服务器签发待通信加密节点的初始加密密钥、客户端认证密钥以及服务器认证密钥,将签发后的上述密钥灌入安全优盘,灌入的信息还包括待通信加密节点的防火墙A与防火墙B管理口地址以及网关地址;
2)通过安全优盘将其内部的信息灌入至待通信加密节点的防火墙;
3)把防火墙的安全口串联接入网络,并且把防火墙的管理口旁路模式接入网络,防火墙根据读出安全优盘中的信息,接入网络,且与密钥服务器建立起连接;
4)防火墙使用初始加密密钥与密钥服务器建立起安全连接,并通过客户认证密钥与服务器认证密钥相互验证合法身份,验证成功后,密钥服务器开始传输数据加密密钥给防火墙A与防火墙B;
5)防火墙A与防火墙B分别从穿越自己的流量中,进行IP源目地址学习,对于防火墙A:源IP网段为A,目的IP网段为B;对于防火墙B:源IP网段为B,目的IP网段为A;
6)防火墙A与防火墙B主动探测与扫描IP网段;
7)防火墙A与防火墙B将探测到的IP网段信息以及数据包顺序经过防火墙端口的信息上传至密钥服务器;
8)密钥服务器即时授权穿越防火墙A与防火墙B的IP网段,并匹配源目IP地址相同的穿越了两台防火墙的网段,建立映射表;
9)密钥服务器将匹配结果、映射表分别反馈给防火墙A与防火墙B,使防火墙A与防火墙B建立共同的IP网段表;
10)密钥服务器将用于加密的IPSEC密钥分别发送至防火墙A与防火墙B;
11)防火墙A跳过IPSEC IKE第一阶段与第二阶段协商过程,直接使用IPSEC密钥给IP数据报文加密,加密报头放置于IP报头与DATA之间。
在上述步骤中,所述防火墙两个端口随意接入网络,管理口接入相应端口,该相应端口通过分支路由结构接入网络。
所述建立映射表包括防火墙内外网口的判断。
涉及非加密节点之间通信采用数据明文传输方式。
若是非加密节点需要加密传输,只需在该节点加入防火墙,然后该防火墙与密钥服务器建立好连接即可。
综合本发明的加解密方法可知,本发明的基于多终端通信自动学习的加解密方法,在需要加密的节点内增加了防火墙,防火墙不用登陆和配置,然后通过密钥服务器自动学习通信双方需要加解密的网段,自动加解密不用人工干预,并且防火墙可以部署在网络任何一个位置不用更改网络结构,简化了终端加密通信的过程。
Claims (3)
1.一种基于多终端通信自动学习的加解密方法,其特征在于,所述加解密方法基于若干终端节点以及密钥服务器,所述终端节点包括加密节点与非加密节点,所述加密节点包括依次连接终端设备、交换机、防火墙以及分支路由结构,所述非加密节点包括依次连接的终端设备、交换机以及分支路由结构,所述密钥服务器与各加密节点的分支路由结构连接,其中,加密节点-加密节点之间通信采用自动学习的加解密方法,具体的加解密方法包括以下步骤:
1)密钥服务器签发待通信加密节点的初始加密密钥、客户端认证密钥以及服务器认证密钥,将签发后的上述密钥灌入安全优盘,灌入的信息还包括待通信加密节点的防火墙A与防火墙B管理口地址以及网关地址;
2)通过安全优盘将其内部的信息灌入至待通信加密节点的防火墙;
3)把防火墙的安全口串联接入网络,并且把防火墙的管理口旁路模式接入网络,防火墙根据读出安全优盘中的信息,接入网络,且与密钥服务器建立起连接;
4)防火墙使用初始加密密钥与密钥服务器建立起安全连接,并通过客户认证密钥与服务器认证密钥相互验证合法身份,验证成功后,密钥服务器开始传输数据加密密钥给防火墙A与防火墙B;
5)防火墙A与防火墙B分别从穿越自己的流量中,进行IP源目地址学习,对于防火墙A:源IP网段为A,目的IP网段为B;对于防火墙B:源IP网段为B,目的IP网段为A;
6)防火墙A与防火墙B主动探测与扫描IP网段;
7)防火墙A与防火墙B将探测到的IP网段信息以及数据包顺序经过防火墙端口的信息上传至密钥服务器;
8)密钥服务器即时授权穿越防火墙A与防火墙B的IP网段,并匹配源目IP地址相同的穿越了两台防火墙的网段,建立映射表;
9)密钥服务器将匹配结果、映射表分别反馈给防火墙A与防火墙B,使防火墙A与防火墙B建立共同的IP网段表;
10)密钥服务器将用于加密的IPSEC密钥分别发送至防火墙A与防火墙B;
11)防火墙A跳过IPSEC IKE第一阶段与第二阶段协商过程,直接使用IPSEC密钥给IP数据报文加密,加密报头放置于IP报头与DATA之间。
2.如权利要求1所述的基于多终端通信自动学习的加解密方法,其特征在于,所述建立映射表包括防火墙内外网口的判断。
3.如权利要求1所述的基于多终端通信自动学习的加解密方法,其特征在于,涉及非加密节点之间通信采用数据明文传输方式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711248582.5A CN107835194A (zh) | 2017-12-01 | 2017-12-01 | 一种基于多终端通信自动学习的加解密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711248582.5A CN107835194A (zh) | 2017-12-01 | 2017-12-01 | 一种基于多终端通信自动学习的加解密方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107835194A true CN107835194A (zh) | 2018-03-23 |
Family
ID=61647475
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711248582.5A Pending CN107835194A (zh) | 2017-12-01 | 2017-12-01 | 一种基于多终端通信自动学习的加解密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107835194A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109547470A (zh) * | 2018-12-20 | 2019-03-29 | 北京交通大学 | 保护网络空间安全的电子隔离墙方法、装置及系统 |
-
2017
- 2017-12-01 CN CN201711248582.5A patent/CN107835194A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109547470A (zh) * | 2018-12-20 | 2019-03-29 | 北京交通大学 | 保护网络空间安全的电子隔离墙方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
US11134064B2 (en) | Network guard unit for industrial embedded system and guard method | |
CN104660603B (zh) | IPSec VPN中扩展使用量子密钥的方法及系统 | |
CN106685956B (zh) | 一种路由器的vpn网络连接方法及系统 | |
CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
CN111371798B (zh) | 数据安全传输方法、系统、装置及存储介质 | |
CN105376239B (zh) | 一种支持移动终端进行IPSec VPN报文传输方法及装置 | |
JP3599552B2 (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
CN107231336A (zh) | 一种局域网内网资源的访问控制方法、装置及网关设备 | |
CN104993993B (zh) | 一种报文处理方法、设备和系统 | |
CN107769912A (zh) | 一种量子密钥芯片及基于量子密钥芯片的加解密方法 | |
CN107172020A (zh) | 一种网络数据安全交换方法及系统 | |
CN108769292A (zh) | 报文数据处理方法及装置 | |
WO2015188659A1 (zh) | 一种通信协议测试方法及其被测设备和测试平台 | |
CN102811225B (zh) | 一种ssl中间代理访问web资源的方法及交换机 | |
CN108306853A (zh) | 一种支持区块链和iot无线通讯的智能数据采集器及加密通讯方法 | |
CN109005179A (zh) | 基于端口控制的网络安全隧道建立方法 | |
CN111343083B (zh) | 即时通信方法、装置、电子设备及可读存储介质 | |
CN105516062A (zh) | 一种实现L2TP over IPsec接入的方法 | |
CN109525514A (zh) | 一种信息传输方法及信息传输装置 | |
CN106375123A (zh) | 一种802.1x认证的配置方法及装置 | |
CN107453861A (zh) | 一种基于ssh2协议的数据采集方法 | |
CN103179225B (zh) | 一种基于IPsec的NAT表项保活方法和设备 | |
CN103269301A (zh) | 桌面型IPSecVPN密码机及组网方法 | |
CN107835194A (zh) | 一种基于多终端通信自动学习的加解密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180323 |