CN109379333A - 基于网络层的安全传输方法 - Google Patents

基于网络层的安全传输方法 Download PDF

Info

Publication number
CN109379333A
CN109379333A CN201811048781.6A CN201811048781A CN109379333A CN 109379333 A CN109379333 A CN 109379333A CN 201811048781 A CN201811048781 A CN 201811048781A CN 109379333 A CN109379333 A CN 109379333A
Authority
CN
China
Prior art keywords
gateway
information
encryption
cmac
network layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811048781.6A
Other languages
English (en)
Other versions
CN109379333B (zh
Inventor
陈付龙
孙回
罗永龙
黄琤
程徐
孙丽萍
郑孝遥
张吉
胡桂银
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Weicai Digital Technology Co ltd
Original Assignee
Anhui Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Normal University filed Critical Anhui Normal University
Priority to CN201811048781.6A priority Critical patent/CN109379333B/zh
Publication of CN109379333A publication Critical patent/CN109379333A/zh
Application granted granted Critical
Publication of CN109379333B publication Critical patent/CN109379333B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Abstract

本发明公开了一种基于网络层的安全传输方法,该方法包括:步骤1,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器;步骤2,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端。该基于网络层的安全传输方法保障了服务器与客户端之间的网络通信安全。

Description

基于网络层的安全传输方法
技术领域
本发明涉及网络技术和信息安全领域,具体地,涉及基于网络层的安全传输方法。
背景技术
随着互联网技术的发展,网络攻击的手段呈现多样化,隐蔽化的特点,容易给被攻击的计算机用户带来巨大损失。网络安全威胁表现有非授权访问,冒充合法用户,破坏信息的完整性,干扰系统正常运行等等。网络通信过程中也存在着信息泄露、信息完整性破坏,窃听和截取,未授权的访问,破坏系统的可用性,冒充,抵赖等安全威胁问题。因此人们对于网络信息安全的要求越来越高。
信息加密技术是网络中最基本的安全技术,加密技术通常分为对称式加密技术和非对称式加密技术,常见的对称加密算法有DES、3DES、RC2和RC4等,常见的非对称加密算法有AES。
发明内容
本发明的目的是提供一种基于网络层的安全传输方法,该基于网络层的安全传输方法保障了服务器与客户端之间的网络通信安全。
为了实现上述目的,本发明提供了一种基于网络层的安全传输方法,该安全传输方法包括:
步骤1,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器;
步骤2,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端。
根据上述技术方案,本发明保障服务器端的信息传输安全,防止信息在网络传输过程中被攻击者窃取。可以有效的保证服务器和客户端之间的数据传输的安全,防止数据被盗取导致的信息泄露。
本发明的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1是本发明的一种基于网络层的安全上行传输方法的安全上行传输方案的流程图;
图2是本发明的一种基于网络层的安全上行传输方法的安全下行传输方案的流程图;
图3是本发明的一种基于网络层的安全上行传输方法的安全上行传输认证过程的时序图;
图4是本发明的一种基于网络层的安全上行传输方法的安全下行传输认证过程的时序图;
图5是本发明的一种基于网络层的安全上行传输方法的安全上行传输过程的时序图;以及
图6是本发明的一种基于网络层的安全上行传输方法的安全下行传输过程的时序图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
本发明提供一种基于网络层的安全传输方法,该安全传输方法包括:
步骤1,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器;
步骤2,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端。
在本发明的一种具体实施方式中,在步骤1之前,还包括步骤1’,该安全传输方法还包括:网关Gc初始化,判定在Gc和网关Gs需要更新的情况下,将网关Gc带到注册中心重新写入配置信息。
在本发明的一种具体实施方式中,在步骤1’中,将网关Gc带到注册中心重新写入配置信息的方法包括:
网关Gc启动,向网关Gs提交CMAC和PKS的注册信息;
在网关Gs中同步生成CMAC和PKS;
其中,CMAC为网关Gc的标识码,PKS为网关Gc和网关Gs的共享密钥。
在本发明的一种具体实施方式中,在步骤1中,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器的方法包括:
步骤11,客户端向服务器发送上行信息;
步骤12,网关Gc判定目的IP地址是具有解密权限的情况下,在网关Gc的网络层对上行信息加密;网关Gc判定目的IP地址是没有解密权限的情况下,直接转发上行信息;
步骤13,网关Gc加密上行信息EKUpc(mes||timeStamp);
其中,EKUpc()表示Gc使用会话密钥加密;timeStamp表示时间戳;
步骤14,网关Gs判定接收到的信息的源IP地址具有加密权限的情况下,在网关Gs的网络层对信息解密;
网关Gs判定接收到的信息的源IP地址不具有加密权限,直接丢弃信息。
步骤15,网关Gs解密信息
(mes||timeStamp)'=EKUps(EKUpc(mes||timeStamp));
其中,EKUps()为网关Gs使用会话密钥解密。
在本发明的一种具体实施方式中,在步骤1中,假定Gc、Gs双方已完成公钥交换;在步骤1之前,上行安全传输的认证与配置方法包括:
1)网关Gc向网关Gs发送请求配置和认证信息,网关Gc将mesUpConfig||EPKs(N1||CMAC)发送给网关Gs,网关Gc用网关Gs的公钥加密一个一次性随机数N1和网关Gc的身份CMAC后发往网关Gs
其中,mesUpConfig表示上行安全传输认证表示符,N1用于唯一地标识这次会话;
2)网关Gs接收网关Gc的信息并认证,网关Gs对网关Gc发来的信息进行解密N1'||CMAC'=(N1||CMAC)'=ESKs(EPKs(N1||CMAC));
若CMAC'存在网关Gs的CMAC列表中,则认证成功;
若CMAC'不存在网关Gs的CMAC列表中,则不做回应;
3)网关Gs认证成功后,网关Gs向网关Gc发送认证和配置信息,网关Gs生成上行安全传输会话密钥对KUpc和KUps,然后将EPKc(N1||N2||configM||EPSK(KUpc))发送给网关Gc
其中用Gc的公钥加密是为保证只有Gc能解读加密结果,用Gs的共享密钥加密是为了保证该加密结果只有Gs能发送,同时对会话密钥再次加密。
在网关Gs保存具有加密权限的源IP地址、子网掩码、会话加密方式和上行安全传输会话密钥信息,并设置为未激活状态;
4)网关Gc接收网关Gs的信息并认证,网关Gc对网关Gs发来的信息解密,第一步:
其中,N1只有网关Gs能解密,若N1'与网关Gc发送的N1一致,则认证成功;
若N1'与网关Gc发送的N1不同,则丢弃信息;
第二步:configM中包括具有解密权限的目的IP地址、子网掩码和会话加密方式,网关Gc解密上行安全传输会话密钥KUpc'=EPSK(EPSK(KUpc)')并进行配置;
5)网关Gc认证并配置成功后,网关Gc向网关Gs发送认证和配置完成的信息,网关Gc将SucUpConfig||EPKs(N2)发送给网关Gs
其中,SucUpConfig表示网关Gc成功配置标识符,网关Gc使用网关Gs的公钥加密N2,N2只有网关Gc能够解读且使用共享密钥加密,使网关Gs相信对方的确是网关Gc
6)网关Gs解密并认证成功配置的信息,网关Gs解密N2'=ESKs(EPKs(N2)),若N2'与Gs发送的N2一致,则认证成功;
若N2'与Gs发送的N2不同,则丢弃信息;
认证成功后,在网关Gs端激活具有加密权限的源IP地址、子网掩码、会话加密方式和上行安全传输会话密钥信息;
其中,网关Gc的公钥为PKc,网关Gc的私钥为SKc,EPKc()表示网关Gc使用公钥加密,ESKc()表示网关Gc使用私钥解密;网关Gs的公钥为PKs,网关Gs的私钥为SKs,EPKs()表示网关Gs使用公钥加密,ESKs()表示网关Gs使用私钥解密;EPSK()表示使用共享密钥加密,EPSK(EPSK())表示使用共享密钥解密。
在本发明的一种具体实施方式中,在步骤2中,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端的方法包括;
步骤21,服务器向客户机发送下行信息;
步骤22,网关Gs判定目的IP地址是具有解密权限的情况下,在网关Gs的网络层对信息加密;
网关Gs判定目的IP地址是没有解密权限的情况下,直接丢弃。
步骤23,网关Gs加密信息EKDowns(mes||timeStamp),
其中EKDowns()表示网关Gs使用会话密钥加密;
步骤24,网关Gc判定接收到的信息的源IP地址具有加密权限的情况下,在网关Gc的网络层对信息解密;
网关Gc判定接收到的信息的源IP地址不具有加密权限的情况下,转发信息;
步骤25,网关Gc解密信息
(mes||timeStamp)'=EKDownc(EKDowns(mes||timeStamp));
其中,EKDownc()为网关Gc使用会话密钥解密。
在本发明的一种具体实施方式中,在步骤2中,假定Gc、Gs双方已完成公钥交换,在步骤2之前,下行安全传输的认证与配置方法包括:
1)网关Gc向网关Gs发送请求配置和认证信息,网关Gc将mesDownConfig||EPKs(N1||CMAC)发送给网关Gs;网关Gc用网关Gs的公钥加密一个一次性随机数N1和网关Gc的身份CMAC后发往网关Gs
其中,mesDownConfig表示下行安全传输认证标识符,N1用于唯一地标识这次会话;
2)网关Gs接收网关Gc的信息并认证,网关Gs对网关Gc发来的信息进行解密N1'||CMAC'=(N1||CMAC)'=ESKs(EPKs(N1||CMAC));
若CMAC'存在网关Gs的CMAC列表中,则认证成功;
若CMAC'不存在网关Gs的CMAC列表中,则不做回应;
3)网关Gs认证成功后,网关Gs向网关Gc发送认证和配置信息,网关Gs生成下行安全传输会话密钥对KDownc和KDowns,然后将
EPKc(N1||N2||configM||EPSK(KDownc))发送给网关Gc
其中用Gc的公钥加密是为保证只有Gc能解读加密结果,用Gs的共享密钥加密是为了保证该加密结果只有Gs能发送,同时对会话密钥再次加密。
4)网关Gc接收网关Gs的信息并认证,网关Gc对网关Gs发来的信息解密,第一步:
其中N1只有网关Gs能解密,若N1'与网关Gc发送的N1一致,则认证成功;
若N1'与网关Gc发送的N1不同的情况下,则丢弃信息;
第二步:configM中包括具有加密权限的源IP地址、子网掩码、会话加密方式,网关Gc解密下行安全传输会话密钥
KDownc'=EPSK(EPSK(KDownc)')并进行配置;
在网关Gs保存具有解密权限的目的IP地址、子网掩码、会话加密方式和下行安全传输会话密钥信息,并设置为未激活状态;
5)网关Gc认证并配置成功后,网关Gc向网关Gs发送认证和配置完成的信息,网关Gc将SucDownConfig||EPKs(N2)发送给网关Gs
其中,SucDownConfig表示网关Gc成功配置标识符,网关Gc使用共享密钥加密N2,N2只有网关Gc能够解读且使用共享密钥加密,使网关Gs相信对方的确是网关Gc
6)网关Gs解密并认证成功配置的信息,网关Gs解密N2'=ESKs(EPKs(N2)),若N2'与Gs发送的N2一致,则认证成功;
若N2'与Gs发送的N2不同,则丢弃信息;
认证成功后,在网关Gs激活具有解密权限的目的IP地址、子网掩码、会话加密方式和下行安全传输会话密钥信息;
其中,网关Gc的公钥为PKc,网关Gc的私钥为SKc,EPKc()表示网关Gc使用公钥加密,ESKc()表示网关Gc使用私钥解密;网关Gs的公钥为PKs,网关Gs的私钥为SKs,EPKs()表示网关Gs使用公钥加密,ESKs()表示网关Gs使用私钥解密;EPSK()表示使用共享密钥加密,EPSK(EPSK())表示使用共享密钥解密。
图1是根据一示例性实施示出的一种基于网络层的安全传输方案上行传输的流程图,如图1所示,包括以下步骤:
在步骤101中,客户机端向服务器端发送信息;
在步骤102中,根据预设加密方式,在网关Gc的网络层进行加密处理;
在步骤103中,根据预设解密方式,在网关Gs的网络层进行解密处理;
在步骤104中,服务器端接收信息。
图2是根据一示例性实施示出的一种基于网络层的安全传输方案下行传输的流程图,如图2所示,包括以下步骤:
在步骤201中,服务器端向客户机端发送信息;
在步骤202中,根据预设加密方式,在网关Gs的网络层进行加密处理;
在步骤203中,根据预设解密方式,在网关Gc的网络层进行解密处理;
在步骤204中,客户机端接收信息。
图3是根据一示例性实施示出的一种基于网络层的安全传输方案上行传输认证过程的时序图,如图3所示,包括以下步骤:
在步骤301中,Gc向Gs发送认证信息
mesUpConfig||EPKs(N1||CMAC);
在步骤302中,Gs成功认证后,向Gc发送加密后的配置信息EPKc(N1||N2||configM||EPSK(KUpc));
在步骤303中,Gc认证后,接受Gs的配置并向Gs发送成功配置信息SucUpConfig||EPKs(N2)。
图4是根据一示例性实施示出的一种基于网络层的安全传输方案下行传输认证过程的时序图,如图4所示,包括以下步骤:
在步骤401中,Gc向Gs发送认证信息
mesDownConfig||EPKs(N1||CMAC);
在步骤402中,Gs成功认证后,向Gc发送加密后的配置信息EPKc(N1||N2||configM||EPSK(KDownc));
在步骤403中,Gc认证后,接受Gs的配置并向Gs发送成功配置信息SucDownConfig||EPKs(N2)。
图5是根据一示例性实施示出的一种基于网络层的安全上行传输方案的时序图。
在步骤501中,客户机端向服务器端发送信息。
在步骤502中,网关Gc发送信息,判断目的IP地址是否具有解密权限。
在步骤503中,网关Gc将目的IP地址不具有解密权限的信息转发至普通网关。
在步骤504中,网关Gc将目的IP地址具有解密权限的信息加密。
在步骤505中,网关Gc转发加密后的信息至网关Gs
在步骤506中,网关Gs判断源IP地址是否具有加密权限。
在步骤507中,网关Gs将源IP地址不具有加密权限的信息直接丢弃;网关Gs将源IP地址具有加密权限的信息解密。
在步骤508中,如果无法解密或者解密后信息出现乱码或其他异常则直接丢弃;否则转至步骤509。
在步骤509中,网关Gs将信息转发至服务器端。
图6是根据一示例性实施示出的一种基于网络层的安全下行传输方案的时序图。
在步骤601中,服务器端向客户机端发送信息。
在步骤602中,网关Gs发送信息,判断目的IP地址是否具有解密权限。
在步骤603中,网关Gs将目的IP地址不具有解密权限的信息丢弃。网关Gs对目的IP地址具有解密权限的信息加密。
在步骤604中,网关Gs转发加密后的信息至网关Gc
在步骤605中,网关Gc判断源IP地址是否具有加密权限。
在步骤606中,网关Gc将源IP地址不具有加密权限的信息直接转发至服务器端。
在步骤607中,网关Gc将源IP地址具有加密权限的信息解密。
在步骤608中,如果无法解密或者解密后信息出现乱码或其他异常则直接丢弃;否则转至步骤609。
在步骤609中,网关Gc将信息解密后发送至客户机端。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。

Claims (7)

1.一种基于网络层的安全传输方法,其特征在于,该安全传输方法包括:
步骤1,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器;
步骤2,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端。
2.根据权利要求1所述的基于网络层的安全传输方法,其特征在于,在步骤1之前,还包括步骤1’,该安全传输方法还包括:网关Gc初始化,判定在Gc和网关Gs需要更新的情况下,将网关Gc带到注册中心重新写入配置信息。
3.根据权利要求2所述的基于网络层的安全传输方法,其特征在于,在步骤1’中,将网关Gc带到注册中心重新写入配置信息的方法包括:
网关Gc启动,向网关Gs提交CMAC和PKS的注册信息;
在网关Gs中同步生成CMAC和PKS;
其中,CMAC为网关Gc的标识码,PKS为网关Gc和网关Gs的共享密钥。
4.根据权利要求1所述的基于网络层的安全传输方法,其特征在于,在步骤1中,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器的方法包括:
步骤11,客户端向服务器发送上行信息;
步骤12,网关Gc判定目的IP地址是具有解密权限的情况下,在网关Gc的网络层对上行信息加密;网关Gc判定目的IP地址是没有解密权限的情况下,直接转发上行信息;
步骤13,网关Gc加密上行信息EKUpc(mes||timeStamp);
其中,EKUpc()表示Gc使用会话密钥加密;timeStamp表示时间戳;
步骤14,网关Gs判定接收到的信息的源IP地址具有加密权限的情况下,在网关Gs的网络层对信息解密;
网关Gs判定接收到的信息的源IP地址不具有加密权限,直接丢弃信息。
步骤15,网关Gs解密信息
(mes||timeStamp)'=EKUps(EKUpc(mes||timeStamp));
其中,EKUps()为网关Gs使用会话密钥解密。
5.根据权利要求4所述的基于网络层的安全传输方法,其特征在于,在步骤1之前,上行安全传输的认证与配置方法包括:
1)网关Gc向网关Gs发送请求配置和认证信息,网关Gc将mesUpConfig||EPKs(N1||CMAC)发送给网关Gs,网关Gc用网关Gs的公钥加密一个一次性随机数N1和网关Gc的身份CMAC后发往网关Gs
其中,mesUpConfig表示上行安全传输认证表示符,N1用于唯一地标识这次会话;
2)网关Gs接收网关Gc的信息并认证,网关Gs对网关Gc发来的信息进行解密N1'||CMAC'=(N1||CMAC)'=ESKs(EPKs(N1||CMAC));
若CMAC'存在网关Gs的CMAC列表中,则认证成功;
若CMAC'不存在网关Gs的CMAC列表中,则不做回应;
3)网关Gs认证成功后,网关Gs向网关Gc发送认证和配置信息,网关Gs生成上行安全传输会话密钥对KUpc和KUps,然后将EPKc(N1||N2||configM||EPSK(KUpc))发送给网关Gc
在网关Gs保存具有加密权限的源IP地址、子网掩码、会话加密方式和上行安全传输会话密钥信息,并设置为未激活状态;
4)网关Gc接收网关Gs的信息并认证,网关Gc对网关Gs发来的信息解密,第一步:
其中,N1只有网关Gs能解密,若N1'与网关Gc发送的N1一致,则认证成功;
若N1'与网关Gc发送的N1不同,则丢弃信息;
第二步:configM中包括具有解密权限的目的IP地址、子网掩码和会话加密方式,网关Gc解密上行安全传输会话密钥KUpc'=EPSK(EPSK(KUpc)')并进行配置;
5)网关Gc认证并配置成功后,网关Gc向网关Gs发送认证和配置完成的信息,网关Gc将SucUpConfig||EPKs(N2)发送给网关Gs
其中,SucUpConfig表示网关Gc成功配置标识符,网关Gc使用网关Gs的公钥加密N2,N2只有网关Gc能够解读且使用共享密钥加密,使网关Gs相信对方的确是网关Gc
6)网关Gs解密并认证成功配置的信息,网关Gs解密N2'=ESKs(EPKs(N2)),若N2'与Gs发送的N2一致,则认证成功;
若N2'与Gs发送的N2不同,则丢弃信息;
认证成功后,在网关Gs端激活具有加密权限的源IP地址、子网掩码、会话加密方式和上行安全传输会话密钥信息;
其中,网关Gc的公钥为PKc,网关Gc的私钥为SKc,EPKc()表示网关Gc使用公钥加密,ESKc()表示网关Gc使用私钥解密;网关Gs的公钥为PKs,网关Gs的私钥为SKs,EPKs()表示网关Gs使用公钥加密,ESKs()表示网关Gs使用私钥解密;EPSK()表示使用共享密钥加密,EPSK(EPSK())表示使用共享密钥解密。
6.根据权利要求1所述的基于网络层的安全传输方法,其特征在于,在步骤2中,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端的方法包括;
步骤21,服务器向客户机发送下行信息;
步骤22,网关Gs判定目的IP地址是具有解密权限的情况下,在网关Gs的网络层对信息加密;
网关Gs判定目的IP地址是没有解密权限的情况下,直接丢弃。
步骤23,网关Gs加密信息EKDowns(mes||timeStamp),
其中EKDowns()表示网关Gs使用会话密钥加密;
步骤24,网关Gc判定接收到的信息的源IP地址具有加密权限的情况下,在网关Gc的网络层对信息解密;
网关Gc判定接收到的信息的源IP地址不具有加密权限的情况下,转发信息;
步骤25,网关Gc解密信息
(mes||timeStamp)'=EKDownc(EKDowns(mes||timeStamp));
其中,EKDownc()为网关Gc使用会话密钥解密。
7.根据权利要求6所述的基于网络层的安全传输方法,其特征在于,在步骤2之前,下行安全传输的认证与配置方法包括:
1)网关Gc向网关Gs发送请求配置和认证信息,网关Gc将mesDownConfig||EPKs(N1||CMAC)发送给网关Gs;网关Gc用网关Gs的公钥加密一个一次性随机数N1和网关Gc的身份CMAC后发往网关Gs
其中,mesDownConfig表示下行安全传输认证标识符,N1用于唯一地标识这次会话;
2)网关Gs接收网关Gc的信息并认证,网关Gs对网关Gc发来的信息进行解密N1'||CMAC'=(N1||CMAC)'=ESKs(EPKs(N1||CMAC));
若CMAC'存在网关Gs的CMAC列表中,则认证成功;
若CMAC'不存在网关Gs的CMAC列表中,则不做回应;
3)网关Gs认证成功后,网关Gs向网关Gc发送认证和配置信息,网关Gs生成下行安全传输会话密钥对KDownc和KDowns,然后将
EPKc(N1||N2||configM||EPSK(KDownc))发送给网关Gc
4)网关Gc接收网关Gs的信息并认证,网关Gc对网关Gs发来的信息解密,第一步:
其中N1只有网关Gs能解密,若N1'与网关Gc发送的N1一致,则认证成功;
若N1'与网关Gc发送的N1不同,则丢弃信息;
第二步:configM中包括具有加密权限的源IP地址、子网掩码、会话加密方式,网关Gc解密下行安全传输会话密钥
KDownc'=EPSK(EPSK(KDownc)')并进行配置;
在网关Gs保存具有解密权限的目的IP地址、子网掩码、会话加密方式和下行安全传输会话密钥信息,并设置为未激活状态;
5)网关Gc认证并配置成功后,网关Gc向网关Gs发送认证和配置完成的信息,网关Gc将SucDownConfig||EPKs(N2)发送给网关Gs
其中,SucDownConfig表示网关Gc成功配置标识符,网关Gc使用共享密钥加密N2,N2只有网关Gc能够解读且使用共享密钥加密,使网关Gs相信对方的确是网关Gc
6)网关Gs解密并认证成功配置的信息,网关Gs解密N2'=ESKs(EPKs(N2)),若N2'与Gs发送的N2一致,则认证成功;
若N2'与Gs发送的N2不同,则丢弃信息;
认证成功后,在网关Gs激活具有解密权限的目的IP地址、子网掩码、会话加密方式和下行安全传输会话密钥信息;
其中,网关Gc的公钥为PKc,网关Gc的私钥为SKc,EPKc()表示网关Gc使用公钥加密,ESKc()表示网关Gc使用私钥解密;网关Gs的公钥为PKs,网关Gs的私钥为SKs,EPKs()表示网关Gs使用公钥加密,ESKs()表示网关Gs使用私钥解密;EPSK()表示使用共享密钥加密,EPSK(EPSK())表示使用共享密钥解密。
CN201811048781.6A 2018-09-10 2018-09-10 基于网络层的安全传输方法 Active CN109379333B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811048781.6A CN109379333B (zh) 2018-09-10 2018-09-10 基于网络层的安全传输方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811048781.6A CN109379333B (zh) 2018-09-10 2018-09-10 基于网络层的安全传输方法

Publications (2)

Publication Number Publication Date
CN109379333A true CN109379333A (zh) 2019-02-22
CN109379333B CN109379333B (zh) 2021-04-13

Family

ID=65404720

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811048781.6A Active CN109379333B (zh) 2018-09-10 2018-09-10 基于网络层的安全传输方法

Country Status (1)

Country Link
CN (1) CN109379333B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101442565A (zh) * 2008-12-18 2009-05-27 成都市华为赛门铁克科技有限公司 一种固定虚拟网络地址的分配方法和网关
CN101604436A (zh) * 2009-07-29 2009-12-16 中国建设银行股份有限公司 银行短信理财的方法
CN101621797A (zh) * 2008-07-04 2010-01-06 阿尔卡特朗讯公司 在对等体中用于向认证者认证该对等体的方法、对应设备及其计算机程序产品
CN105721490A (zh) * 2015-07-01 2016-06-29 北京东润环能科技股份有限公司 智能采集终端、主站系统及其数据处理方法
CN107040459A (zh) * 2017-03-27 2017-08-11 高岩 一种智能工业安全云网关设备系统和方法
CN107733635A (zh) * 2017-11-29 2018-02-23 四川长虹电器股份有限公司 基于网关的数据安全传输方法
CN107819732A (zh) * 2016-09-13 2018-03-20 中兴通讯股份有限公司 用户终端访问本地网络的方法和装置
US20180084412A1 (en) * 2016-09-20 2018-03-22 2236008 Ontario Inc. In-vehicle networking
US20180241549A1 (en) * 2015-08-26 2018-08-23 Qing AN Key generation method and apparatus using double encryption

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101621797A (zh) * 2008-07-04 2010-01-06 阿尔卡特朗讯公司 在对等体中用于向认证者认证该对等体的方法、对应设备及其计算机程序产品
CN101442565A (zh) * 2008-12-18 2009-05-27 成都市华为赛门铁克科技有限公司 一种固定虚拟网络地址的分配方法和网关
CN101604436A (zh) * 2009-07-29 2009-12-16 中国建设银行股份有限公司 银行短信理财的方法
CN105721490A (zh) * 2015-07-01 2016-06-29 北京东润环能科技股份有限公司 智能采集终端、主站系统及其数据处理方法
US20180241549A1 (en) * 2015-08-26 2018-08-23 Qing AN Key generation method and apparatus using double encryption
CN107819732A (zh) * 2016-09-13 2018-03-20 中兴通讯股份有限公司 用户终端访问本地网络的方法和装置
US20180084412A1 (en) * 2016-09-20 2018-03-22 2236008 Ontario Inc. In-vehicle networking
CN107040459A (zh) * 2017-03-27 2017-08-11 高岩 一种智能工业安全云网关设备系统和方法
CN107733635A (zh) * 2017-11-29 2018-02-23 四川长虹电器股份有限公司 基于网关的数据安全传输方法

Also Published As

Publication number Publication date
CN109379333B (zh) 2021-04-13

Similar Documents

Publication Publication Date Title
JP6844908B2 (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
JP6301244B2 (ja) モノのインターネットのためのデータグラム転送における軽量認証のためのコンピュータ実施システムおよび方法
JP4847322B2 (ja) 二重要素認証されたキー交換方法及びこれを利用した認証方法とその方法を含むプログラムが貯蔵された記録媒体
KR100811419B1 (ko) 공개키 암호화를 이용하는 인증 프로토콜에서의서비스거부공격에 대한 방어 방법
CN104158653B (zh) 一种基于商密算法的安全通信方法
JP4002035B2 (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
CN108650210A (zh) 一种认证系统和方法
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法
Tan et al. Comments on “dual authentication and key management techniques for secure data transmission in vehicular ad hoc networks”
CN105721502A (zh) 一种用于浏览器客户端和服务器的授权访问方法
CN104796265A (zh) 一种基于蓝牙通信接入的物联网身份认证方法
CN112637136A (zh) 加密通信方法及系统
CN113612797A (zh) 一种基于国密算法的Kerberos身份认证协议改进方法
Noh et al. Secure authentication and four-way handshake scheme for protected individual communication in public wi-fi networks
CN101192927B (zh) 基于身份保密的授权与多重认证方法
CN102281303A (zh) 一种数据交换方法
CN106209384A (zh) 使用安全机制的客户终端与充电装置的通信认证方法
KR102400260B1 (ko) 속성 기반 접근 제어를 이용하는 엣지 컴퓨팅 기반의 차량-내 통신 시스템 및 그 방법
CN109379333A (zh) 基于网络层的安全传输方法
Thuc et al. A Sofware Solution for Defending Against Man-in-the-Middle Attacks on Wlan
CN114218555B (zh) 增强密码管理app密码安全强度方法和装置、存储介质
Gupta et al. Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review
CN109067804A (zh) 基于身份标识算法的安全防窃听方法
CN117615373B (zh) 基于ecc与puf的轻量级密钥协商身份认证与通信交流方法
US20240064012A1 (en) Authentication cryptography operations, exchanges and signatures

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220125

Address after: 511400 room 1003, building 2, Tian'an headquarters center, No. 555, North Panyu Avenue, Donghuan street, Panyu District, Guangzhou City, Guangdong Province

Patentee after: Weicai Digital Technology Co.,Ltd.

Address before: 241002 No.189, Jiuhua South Road, Wuhu City, Anhui Province

Patentee before: ANHUI NORMAL University