CN107835194A - 一种基于多终端通信自动学习的加解密方法 - Google Patents

一种基于多终端通信自动学习的加解密方法 Download PDF

Info

Publication number
CN107835194A
CN107835194A CN201711248582.5A CN201711248582A CN107835194A CN 107835194 A CN107835194 A CN 107835194A CN 201711248582 A CN201711248582 A CN 201711248582A CN 107835194 A CN107835194 A CN 107835194A
Authority
CN
China
Prior art keywords
fire wall
encryption
node
key
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711248582.5A
Other languages
English (en)
Inventor
万懿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Kyushu Quantum Information Technology Ltd By Share Ltd
Original Assignee
Zhejiang Kyushu Quantum Information Technology Ltd By Share Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Kyushu Quantum Information Technology Ltd By Share Ltd filed Critical Zhejiang Kyushu Quantum Information Technology Ltd By Share Ltd
Priority to CN201711248582.5A priority Critical patent/CN107835194A/zh
Publication of CN107835194A publication Critical patent/CN107835194A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种基于多终端通信自动学习的加解密方法,所述加解密方法基于若干终端节点以及密钥服务器,所述终端节点包括加密节点与非加密节点,所述加密节点包括依次连接终端设备、交换机、防火墙以及分支路由结构,所述非加密节点包括依次连接的终端设备、交换机以及分支路由结构,所述密钥服务器与各加密节点的分支路由结构连接。与现有技术相比,本发明的基于多终端通信自动学习的加解密方法,在需要加密的节点内增加了防火墙,防火墙不用登陆和配置,然后通过密钥服务器自动学习通信双方需要加解密的网段,自动加解密不用人工干预,并且防火墙可以部署在网络任何一个位置不用更改网络结构,简化了终端加密通信的过程。

Description

一种基于多终端通信自动学习的加解密方法
技术领域
本发明涉及多终端安全通信技术领域,特别涉及一种基于多终端通信自动学习的加解密方法。
背景技术
目前,在多终端通信过程中,如图1所示,各方大部分采用明文传递数据,部分需要加密的双向终端需要加入额外的加密设备加入至网络,例如IPSEC VPN,接入网络同时需要更改网络结构,进行加密工作的同时,需要网路配置与认证信息登录,加解密过程需要人工干预,使终端加密通信的过程过于繁杂。
发明内容
本发明目的在于提供一种基于多终端通信自动学习的加解密方法,以解决现有技术中接入网络同时需要更改网络结构,进行加密工作的同时,需要网路配置与认证信息登录,加解密过程需要人工干预,使终端加密通信的过程过于繁杂的技术性缺陷。
本发明的技术方案是这样实现的:
一种基于多终端通信自动学习的加解密方法,所述加解密方法基于若干终端节点以及密钥服务器,所述终端节点包括加密节点与非加密节点,所述加密节点包括依次连接终端设备、交换机、防火墙以及分支路由结构,所述非加密节点包括依次连接的终端设备、交换机以及分支路由结构,所述密钥服务器与各加密节点的分支路由结构连接,其中,加密节点-加密节点之间通信采用自动学习的加解密方法,具体的加解密方法包括以下步骤:
1)密钥服务器签发待通信加密节点的初始加密密钥、客户端认证密钥以及服务器认证密钥,将签发后的上述密钥灌入安全优盘,灌入的信息还包括待通信加密节点的防火墙A与防火墙B管理口地址以及网关地址;
2)通过安全优盘将其内部的信息灌入至待通信加密节点的防火墙;
3)把防火墙的安全口串联接入网络,并且把防火墙的管理口旁路模式接入网络,防火墙根据读出安全优盘中的信息,接入网络,且与密钥服务器建立起连接;
4)防火墙使用初始加密密钥与密钥服务器建立起安全连接,并通过客户认证密钥与服务器认证密钥相互验证合法身份,验证成功后,密钥服务器开始传输数据加密密钥给防火墙A与防火墙B;
5)防火墙A与防火墙B分别从穿越自己的流量中,进行IP源目地址学习,对于防火墙A:源IP网段为A,目的IP网段为B;对于防火墙B:源IP网段为B,目的IP网段为A;
6)防火墙A与防火墙B主动探测与扫描IP网段;
7)防火墙A与防火墙B将探测到的IP网段信息以及数据包顺序经过防火墙端口的信息上传至密钥服务器;
8)密钥服务器即时授权穿越防火墙A与防火墙B的IP网段,并匹配源目IP地址相同的穿越了两台防火墙的网段,建立映射表;
9)密钥服务器将匹配结果、映射表分别反馈给防火墙A与防火墙B,使防火墙A与防火墙B建立共同的IP网段表;
10)密钥服务器将用于加密的IPSEC密钥分别发送至防火墙A与防火墙B;
11)防火墙A跳过IPSEC IKE第一阶段与第二阶段协商过程,直接使用IPSEC密钥给IP数据报文加密,加密报头放置于IP报头与DATA之间。
优选地,所述建立映射表包括防火墙内外网口的判断。
优选地,涉及非加密节点之间通信采用数据明文传输方式。
与现有技术相比,本发明有以下有益效果:
本发明的基于多终端通信自动学习的加解密方法,在需要加密的节点内增加了防火墙,防火墙不用登陆和配置,然后通过密钥服务器自动学习通信双方需要加解密的网段,自动加解密不用人工干预,并且防火墙可以部署在网络任何一个位置不用更改网络结构,简化了终端加密通信的过程。
附图说明
图1为现有技术中多终端通信的通信网络链路图;
图2为本发明基于多终端通信自动学习的加解密方法的通信网络链路图;
图3为本发明基于多终端通信自动学习的加解密方法的流程图。
图中:密钥服务器100,加密节点200,非加密节点300,终端设备400,交换机500,防火墙600,分支路由结构700。
具体实施方式
下面将结合本发明实施例中的附图,对本发明进行清楚、完整地描述。
如图2所示,一种基于多终端通信自动学习的加解密方法,所述加解密方法基于若干终端节点以及密钥服务器100,所述密钥服务器100接入在任意网段,所述终端节点包括加密节点200与非加密节点300,所述加密节点200包括依次连接终端设备400、交换机500、防火墙600以及分支路由结构700,所述非加密节点300包括依次连接的终端设备400、交换机500以及分支路由结构700,所述密钥服务器100与各加密节点200的分支路由结构700连接,其中,加密节点200-加密节点200之间通信采用自动学习的加解密方法,如图3所示,假设A与B为加密节点,A与B之间进行加密通信,C为非加密节点,具体的加解密方法包括以下步骤:
1)密钥服务器签发待通信加密节点的初始加密密钥、客户端认证密钥以及服务器认证密钥,将签发后的上述密钥灌入安全优盘,灌入的信息还包括待通信加密节点的防火墙A与防火墙B管理口地址以及网关地址;
2)通过安全优盘将其内部的信息灌入至待通信加密节点的防火墙;
3)把防火墙的安全口串联接入网络,并且把防火墙的管理口旁路模式接入网络,防火墙根据读出安全优盘中的信息,接入网络,且与密钥服务器建立起连接;
4)防火墙使用初始加密密钥与密钥服务器建立起安全连接,并通过客户认证密钥与服务器认证密钥相互验证合法身份,验证成功后,密钥服务器开始传输数据加密密钥给防火墙A与防火墙B;
5)防火墙A与防火墙B分别从穿越自己的流量中,进行IP源目地址学习,对于防火墙A:源IP网段为A,目的IP网段为B;对于防火墙B:源IP网段为B,目的IP网段为A;
6)防火墙A与防火墙B主动探测与扫描IP网段;
7)防火墙A与防火墙B将探测到的IP网段信息以及数据包顺序经过防火墙端口的信息上传至密钥服务器;
8)密钥服务器即时授权穿越防火墙A与防火墙B的IP网段,并匹配源目IP地址相同的穿越了两台防火墙的网段,建立映射表;
9)密钥服务器将匹配结果、映射表分别反馈给防火墙A与防火墙B,使防火墙A与防火墙B建立共同的IP网段表;
10)密钥服务器将用于加密的IPSEC密钥分别发送至防火墙A与防火墙B;
11)防火墙A跳过IPSEC IKE第一阶段与第二阶段协商过程,直接使用IPSEC密钥给IP数据报文加密,加密报头放置于IP报头与DATA之间。
在上述步骤中,所述防火墙两个端口随意接入网络,管理口接入相应端口,该相应端口通过分支路由结构接入网络。
所述建立映射表包括防火墙内外网口的判断。
涉及非加密节点之间通信采用数据明文传输方式。
若是非加密节点需要加密传输,只需在该节点加入防火墙,然后该防火墙与密钥服务器建立好连接即可。
综合本发明的加解密方法可知,本发明的基于多终端通信自动学习的加解密方法,在需要加密的节点内增加了防火墙,防火墙不用登陆和配置,然后通过密钥服务器自动学习通信双方需要加解密的网段,自动加解密不用人工干预,并且防火墙可以部署在网络任何一个位置不用更改网络结构,简化了终端加密通信的过程。

Claims (3)

1.一种基于多终端通信自动学习的加解密方法,其特征在于,所述加解密方法基于若干终端节点以及密钥服务器,所述终端节点包括加密节点与非加密节点,所述加密节点包括依次连接终端设备、交换机、防火墙以及分支路由结构,所述非加密节点包括依次连接的终端设备、交换机以及分支路由结构,所述密钥服务器与各加密节点的分支路由结构连接,其中,加密节点-加密节点之间通信采用自动学习的加解密方法,具体的加解密方法包括以下步骤:
1)密钥服务器签发待通信加密节点的初始加密密钥、客户端认证密钥以及服务器认证密钥,将签发后的上述密钥灌入安全优盘,灌入的信息还包括待通信加密节点的防火墙A与防火墙B管理口地址以及网关地址;
2)通过安全优盘将其内部的信息灌入至待通信加密节点的防火墙;
3)把防火墙的安全口串联接入网络,并且把防火墙的管理口旁路模式接入网络,防火墙根据读出安全优盘中的信息,接入网络,且与密钥服务器建立起连接;
4)防火墙使用初始加密密钥与密钥服务器建立起安全连接,并通过客户认证密钥与服务器认证密钥相互验证合法身份,验证成功后,密钥服务器开始传输数据加密密钥给防火墙A与防火墙B;
5)防火墙A与防火墙B分别从穿越自己的流量中,进行IP源目地址学习,对于防火墙A:源IP网段为A,目的IP网段为B;对于防火墙B:源IP网段为B,目的IP网段为A;
6)防火墙A与防火墙B主动探测与扫描IP网段;
7)防火墙A与防火墙B将探测到的IP网段信息以及数据包顺序经过防火墙端口的信息上传至密钥服务器;
8)密钥服务器即时授权穿越防火墙A与防火墙B的IP网段,并匹配源目IP地址相同的穿越了两台防火墙的网段,建立映射表;
9)密钥服务器将匹配结果、映射表分别反馈给防火墙A与防火墙B,使防火墙A与防火墙B建立共同的IP网段表;
10)密钥服务器将用于加密的IPSEC密钥分别发送至防火墙A与防火墙B;
11)防火墙A跳过IPSEC IKE第一阶段与第二阶段协商过程,直接使用IPSEC密钥给IP数据报文加密,加密报头放置于IP报头与DATA之间。
2.如权利要求1所述的基于多终端通信自动学习的加解密方法,其特征在于,所述建立映射表包括防火墙内外网口的判断。
3.如权利要求1所述的基于多终端通信自动学习的加解密方法,其特征在于,涉及非加密节点之间通信采用数据明文传输方式。
CN201711248582.5A 2017-12-01 2017-12-01 一种基于多终端通信自动学习的加解密方法 Pending CN107835194A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711248582.5A CN107835194A (zh) 2017-12-01 2017-12-01 一种基于多终端通信自动学习的加解密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711248582.5A CN107835194A (zh) 2017-12-01 2017-12-01 一种基于多终端通信自动学习的加解密方法

Publications (1)

Publication Number Publication Date
CN107835194A true CN107835194A (zh) 2018-03-23

Family

ID=61647475

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711248582.5A Pending CN107835194A (zh) 2017-12-01 2017-12-01 一种基于多终端通信自动学习的加解密方法

Country Status (1)

Country Link
CN (1) CN107835194A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109547470A (zh) * 2018-12-20 2019-03-29 北京交通大学 保护网络空间安全的电子隔离墙方法、装置及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109547470A (zh) * 2018-12-20 2019-03-29 北京交通大学 保护网络空间安全的电子隔离墙方法、装置及系统

Similar Documents

Publication Publication Date Title
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
US11134064B2 (en) Network guard unit for industrial embedded system and guard method
CN104660603B (zh) IPSec VPN中扩展使用量子密钥的方法及系统
CN106685956B (zh) 一种路由器的vpn网络连接方法及系统
CN101022340B (zh) 实现城域以太网交换机接入安全的智能控制方法
CN111371798B (zh) 数据安全传输方法、系统、装置及存储介质
CN105376239B (zh) 一种支持移动终端进行IPSec VPN报文传输方法及装置
JP3599552B2 (ja) パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
CN107231336A (zh) 一种局域网内网资源的访问控制方法、装置及网关设备
CN104993993B (zh) 一种报文处理方法、设备和系统
CN107769912A (zh) 一种量子密钥芯片及基于量子密钥芯片的加解密方法
CN107172020A (zh) 一种网络数据安全交换方法及系统
CN108769292A (zh) 报文数据处理方法及装置
WO2015188659A1 (zh) 一种通信协议测试方法及其被测设备和测试平台
CN102811225B (zh) 一种ssl中间代理访问web资源的方法及交换机
CN108306853A (zh) 一种支持区块链和iot无线通讯的智能数据采集器及加密通讯方法
CN109005179A (zh) 基于端口控制的网络安全隧道建立方法
CN111343083B (zh) 即时通信方法、装置、电子设备及可读存储介质
CN105516062A (zh) 一种实现L2TP over IPsec接入的方法
CN109525514A (zh) 一种信息传输方法及信息传输装置
CN106375123A (zh) 一种802.1x认证的配置方法及装置
CN107453861A (zh) 一种基于ssh2协议的数据采集方法
CN103179225B (zh) 一种基于IPsec的NAT表项保活方法和设备
CN103269301A (zh) 桌面型IPSecVPN密码机及组网方法
CN107835194A (zh) 一种基于多终端通信自动学习的加解密方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180323