CN109379333B - 基于网络层的安全传输方法 - Google Patents

基于网络层的安全传输方法 Download PDF

Info

Publication number
CN109379333B
CN109379333B CN201811048781.6A CN201811048781A CN109379333B CN 109379333 B CN109379333 B CN 109379333B CN 201811048781 A CN201811048781 A CN 201811048781A CN 109379333 B CN109379333 B CN 109379333B
Authority
CN
China
Prior art keywords
gateway
information
authentication
encryption
cmac
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811048781.6A
Other languages
English (en)
Other versions
CN109379333A (zh
Inventor
陈付龙
孙回
罗永龙
黄琤
程徐
孙丽萍
郑孝遥
张吉
胡桂银
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Weicai Digital Technology Co ltd
Original Assignee
Anhui Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Normal University filed Critical Anhui Normal University
Priority to CN201811048781.6A priority Critical patent/CN109379333B/zh
Publication of CN109379333A publication Critical patent/CN109379333A/zh
Application granted granted Critical
Publication of CN109379333B publication Critical patent/CN109379333B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于网络层的安全传输方法,该方法包括:步骤1,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器;步骤2,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端。该基于网络层的安全传输方法保障了服务器与客户端之间的网络通信安全。

Description

基于网络层的安全传输方法
技术领域
本发明涉及网络技术和信息安全领域,具体地,涉及基于网络层的安全传输方法。
背景技术
随着互联网技术的发展,网络攻击的手段呈现多样化,隐蔽化的特点,容易给被攻击的计算机用户带来巨大损失。网络安全威胁表现有非授权访问,冒充合法用户,破坏信息的完整性,干扰系统正常运行等等。网络通信过程中也存在着信息泄露、信息完整性破坏,窃听和截取,未授权的访问,破坏系统的可用性,冒充,抵赖等安全威胁问题。因此人们对于网络信息安全的要求越来越高。
信息加密技术是网络中最基本的安全技术,加密技术通常分为对称式加密技术和非对称式加密技术,常见的对称加密算法有DES、3DES、RC2和RC4等,常见的非对称加密算法有AES。
发明内容
本发明的目的是提供一种基于网络层的安全传输方法,该基于网络层的安全传输方法保障了服务器与客户端之间的网络通信安全。
为了实现上述目的,本发明提供了一种基于网络层的安全传输方法,该安全传输方法包括:
步骤1,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器;
步骤2,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端。
根据上述技术方案,本发明保障服务器端的信息传输安全,防止信息在网络传输过程中被攻击者窃取。可以有效的保证服务器和客户端之间的数据传输的安全,防止数据被盗取导致的信息泄露。
本发明的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1是本发明的一种基于网络层的安全上行传输方法的安全上行传输方案的流程图;
图2是本发明的一种基于网络层的安全上行传输方法的安全下行传输方案的流程图;
图3是本发明的一种基于网络层的安全上行传输方法的安全上行传输认证过程的时序图;
图4是本发明的一种基于网络层的安全上行传输方法的安全下行传输认证过程的时序图;
图5是本发明的一种基于网络层的安全上行传输方法的安全上行传输过程的时序图;以及
图6是本发明的一种基于网络层的安全上行传输方法的安全下行传输过程的时序图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
本发明提供一种基于网络层的安全传输方法,该安全传输方法包括:
步骤1,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器;
步骤2,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端。
在本发明的一种具体实施方式中,在步骤1之前,还包括步骤1’,该安全传输方法还包括:网关Gc初始化,判定在Gc和网关Gs需要更新的情况下,将网关Gc带到注册中心重新写入配置信息。
在本发明的一种具体实施方式中,在步骤1’中,将网关Gc带到注册中心重新写入配置信息的方法包括:
网关Gc启动,向网关Gs提交CMAC和PKS的注册信息;
在网关Gs中同步生成CMAC和PKS;
其中,CMAC为网关Gc的标识码,PKS为网关Gc和网关Gs的共享密钥。
在本发明的一种具体实施方式中,在步骤1中,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器的方法包括:
步骤11,客户端向服务器发送上行信息;
步骤12,网关Gc判定目的IP地址是具有解密权限的情况下,在网关Gc的网络层对上行信息加密;网关Gc判定目的IP地址是没有解密权限的情况下,直接转发上行信息;
步骤13,网关Gc加密上行信息EKUpc(mes||timeStamp);
其中,EKUpc()表示Gc使用会话密钥加密;timeStamp表示时间戳;
步骤14,网关Gs判定接收到的信息的源IP地址具有加密权限的情况下,在网关Gs的网络层对信息解密;
网关Gs判定接收到的信息的源IP地址不具有加密权限,直接丢弃信息。
步骤15,网关Gs解密信息
(mes||timeStamp)'=EKUps(EKUpc(mes||timeStamp));
其中,EKUps()为网关Gs使用会话密钥解密。
在本发明的一种具体实施方式中,在步骤1中,假定Gc、Gs双方已完成公钥交换;在步骤1之前,上行安全传输的认证与配置方法包括:
1)网关Gc向网关Gs发送请求配置和认证信息,网关Gc将mesUpConfig||EPKs(N1||CMAC)发送给网关Gs,网关Gc用网关Gs的公钥加密一个一次性随机数N1和网关Gc的身份CMAC后发往网关Gs
其中,mesUpConfig表示上行安全传输认证表示符,N1用于唯一地标识这次会话;
2)网关Gs接收网关Gc的信息并认证,网关Gs对网关Gc发来的信息进行解密N1'||CMAC'=(N1||CMAC)'=ESKs(EPKs(N1||CMAC));
若CMAC'存在网关Gs的CMAC列表中,则认证成功;
若CMAC'不存在网关Gs的CMAC列表中,则不做回应;
3)网关Gs认证成功后,网关Gs向网关Gc发送认证和配置信息,网关Gs生成上行安全传输会话密钥对KUpc和KUps,然后将EPKc(N1||N2||configM||EPSK(KUpc))发送给网关Gc
其中用Gc的公钥加密是为保证只有Gc能解读加密结果,用Gs的共享密钥加密是为了保证该加密结果只有Gs能发送,同时对会话密钥再次加密。
在网关Gs保存具有加密权限的源IP地址、子网掩码、会话加密方式和上行安全传输会话密钥信息,并设置为未激活状态;
4)网关Gc接收网关Gs的信息并认证,网关Gc对网关Gs发来的信息解密,第一步:
Figure BDA0001793966910000051
其中,N1只有网关Gs能解密,若N1'与网关Gc发送的N1一致,则认证成功;
若N1'与网关Gc发送的N1不同,则丢弃信息;
第二步:configM中包括具有解密权限的目的IP地址、子网掩码和会话加密方式,网关Gc解密上行安全传输会话密钥KUpc'=EPSK(EPSK(KUpc)')并进行配置;
5)网关Gc认证并配置成功后,网关Gc向网关Gs发送认证和配置完成的信息,网关Gc将SucUpConfig||EPKs(N2)发送给网关Gs
其中,SucUpConfig表示网关Gc成功配置标识符,网关Gc使用网关Gs的公钥加密N2,N2只有网关Gc能够解读且使用共享密钥加密,使网关Gs相信对方的确是网关Gc
6)网关Gs解密并认证成功配置的信息,网关Gs解密N2'=ESKs(EPKs(N2)),若N2'与Gs发送的N2一致,则认证成功;
若N2'与Gs发送的N2不同,则丢弃信息;
认证成功后,在网关Gs端激活具有加密权限的源IP地址、子网掩码、会话加密方式和上行安全传输会话密钥信息;
其中,网关Gc的公钥为PKc,网关Gc的私钥为SKc,EPKc()表示网关Gc使用公钥加密,ESKc()表示网关Gc使用私钥解密;网关Gs的公钥为PKs,网关Gs的私钥为SKs,EPKs()表示网关Gs使用公钥加密,ESKs()表示网关Gs使用私钥解密;EPSK()表示使用共享密钥加密,EPSK(EPSK())表示使用共享密钥解密。
在本发明的一种具体实施方式中,在步骤2中,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端的方法包括;
步骤21,服务器向客户机发送下行信息;
步骤22,网关Gs判定目的IP地址是具有解密权限的情况下,在网关Gs的网络层对信息加密;
网关Gs判定目的IP地址是没有解密权限的情况下,直接丢弃。
步骤23,网关Gs加密信息EKDowns(mes||timeStamp),
其中EKDowns()表示网关Gs使用会话密钥加密;
步骤24,网关Gc判定接收到的信息的源IP地址具有加密权限的情况下,在网关Gc的网络层对信息解密;
网关Gc判定接收到的信息的源IP地址不具有加密权限的情况下,转发信息;
步骤25,网关Gc解密信息
(mes||timeStamp)'=EKDownc(EKDowns(mes||timeStamp));
其中,EKDownc()为网关Gc使用会话密钥解密。
在本发明的一种具体实施方式中,在步骤2中,假定Gc、Gs双方已完成公钥交换,在步骤2之前,下行安全传输的认证与配置方法包括:
1)网关Gc向网关Gs发送请求配置和认证信息,网关Gc将mesDownConfig||EPKs(N1||CMAC)发送给网关Gs;网关Gc用网关Gs的公钥加密一个一次性随机数N1和网关Gc的身份CMAC后发往网关Gs
其中,mesDownConfig表示下行安全传输认证标识符,N1用于唯一地标识这次会话;
2)网关Gs接收网关Gc的信息并认证,网关Gs对网关Gc发来的信息进行解密N1'||CMAC'=(N1||CMAC)'=ESKs(EPKs(N1||CMAC));
若CMAC'存在网关Gs的CMAC列表中,则认证成功;
若CMAC'不存在网关Gs的CMAC列表中,则不做回应;
3)网关Gs认证成功后,网关Gs向网关Gc发送认证和配置信息,网关Gs生成下行安全传输会话密钥对KDownc和KDowns,然后将
EPKc(N1||N2||configM||EPSK(KDownc))发送给网关Gc
其中用Gc的公钥加密是为保证只有Gc能解读加密结果,用Gs的共享密钥加密是为了保证该加密结果只有Gs能发送,同时对会话密钥再次加密。
4)网关Gc接收网关Gs的信息并认证,网关Gc对网关Gs发来的信息解密,第一步:
Figure BDA0001793966910000071
其中N1只有网关Gs能解密,若N1'与网关Gc发送的N1一致,则认证成功;
若N1'与网关Gc发送的N1不同的情况下,则丢弃信息;
第二步:configM中包括具有加密权限的源IP地址、子网掩码、会话加密方式,网关Gc解密下行安全传输会话密钥
KDownc'=EPSK(EPSK(KDownc)')并进行配置;
在网关Gs保存具有解密权限的目的IP地址、子网掩码、会话加密方式和下行安全传输会话密钥信息,并设置为未激活状态;
5)网关Gc认证并配置成功后,网关Gc向网关Gs发送认证和配置完成的信息,网关Gc将SucDownConfig||EPKs(N2)发送给网关Gs
其中,SucDownConfig表示网关Gc成功配置标识符,网关Gc使用共享密钥加密N2,N2只有网关Gc能够解读且使用共享密钥加密,使网关Gs相信对方的确是网关Gc
6)网关Gs解密并认证成功配置的信息,网关Gs解密N2'=ESKs(EPKs(N2)),若N2'与Gs发送的N2一致,则认证成功;
若N2'与Gs发送的N2不同,则丢弃信息;
认证成功后,在网关Gs激活具有解密权限的目的IP地址、子网掩码、会话加密方式和下行安全传输会话密钥信息;
其中,网关Gc的公钥为PKc,网关Gc的私钥为SKc,EPKc()表示网关Gc使用公钥加密,ESKc()表示网关Gc使用私钥解密;网关Gs的公钥为PKs,网关Gs的私钥为SKs,EPKs()表示网关Gs使用公钥加密,ESKs()表示网关Gs使用私钥解密;EPSK()表示使用共享密钥加密,EPSK(EPSK())表示使用共享密钥解密。
图1是根据一示例性实施示出的一种基于网络层的安全传输方案上行传输的流程图,如图1所示,包括以下步骤:
在步骤101中,客户机端向服务器端发送信息;
在步骤102中,根据预设加密方式,在网关Gc的网络层进行加密处理;
在步骤103中,根据预设解密方式,在网关Gs的网络层进行解密处理;
在步骤104中,服务器端接收信息。
图2是根据一示例性实施示出的一种基于网络层的安全传输方案下行传输的流程图,如图2所示,包括以下步骤:
在步骤201中,服务器端向客户机端发送信息;
在步骤202中,根据预设加密方式,在网关Gs的网络层进行加密处理;
在步骤203中,根据预设解密方式,在网关Gc的网络层进行解密处理;
在步骤204中,客户机端接收信息。
图3是根据一示例性实施示出的一种基于网络层的安全传输方案上行传输认证过程的时序图,如图3所示,包括以下步骤:
在步骤301中,Gc向Gs发送认证信息
mesUpConfig||EPKs(N1||CMAC);
在步骤302中,Gs成功认证后,向Gc发送加密后的配置信息EPKc(N1||N2||configM||EPSK(KUpc));
在步骤303中,Gc认证后,接受Gs的配置并向Gs发送成功配置信息SucUpConfig||EPKs(N2)。
图4是根据一示例性实施示出的一种基于网络层的安全传输方案下行传输认证过程的时序图,如图4所示,包括以下步骤:
在步骤401中,Gc向Gs发送认证信息
mesDownConfig||EPKs(N1||CMAC);
在步骤402中,Gs成功认证后,向Gc发送加密后的配置信息EPKc(N1||N2||configM||EPSK(KDownc));
在步骤403中,Gc认证后,接受Gs的配置并向Gs发送成功配置信息SucDownConfig||EPKs(N2)。
图5是根据一示例性实施示出的一种基于网络层的安全上行传输方案的时序图。
在步骤501中,客户机端向服务器端发送信息。
在步骤502中,网关Gc发送信息,判断目的IP地址是否具有解密权限。
在步骤503中,网关Gc将目的IP地址不具有解密权限的信息转发至普通网关。
在步骤504中,网关Gc将目的IP地址具有解密权限的信息加密。
在步骤505中,网关Gc转发加密后的信息至网关Gs
在步骤506中,网关Gs判断源IP地址是否具有加密权限。
在步骤507中,网关Gs将源IP地址不具有加密权限的信息直接丢弃;网关Gs将源IP地址具有加密权限的信息解密。
在步骤508中,如果无法解密或者解密后信息出现乱码或其他异常则直接丢弃;否则转至步骤509。
在步骤509中,网关Gs将信息转发至服务器端。
图6是根据一示例性实施示出的一种基于网络层的安全下行传输方案的时序图。
在步骤601中,服务器端向客户机端发送信息。
在步骤602中,网关Gs发送信息,判断目的IP地址是否具有解密权限。
在步骤603中,网关Gs将目的IP地址不具有解密权限的信息丢弃。网关Gs对目的IP地址具有解密权限的信息加密。
在步骤604中,网关Gs转发加密后的信息至网关Gc
在步骤605中,网关Gc判断源IP地址是否具有加密权限。
在步骤606中,网关Gc将源IP地址不具有加密权限的信息直接转发至服务器端。
在步骤607中,网关Gc将源IP地址具有加密权限的信息解密。
在步骤608中,如果无法解密或者解密后信息出现乱码或其他异常则直接丢弃;否则转至步骤609。
在步骤609中,网关Gc将信息解密后发送至客户机端。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。

Claims (5)

1.一种基于网络层的安全传输方法,其特征在于,该安全传输方法包括:
步骤1,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器;
步骤2,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端;
在步骤1中,客户端的上行信息依次经过网关Gc的预设加密、网络层和网关Gs的预设解密传输至服务器的方法包括:
步骤11,客户端向服务器发送上行信息;
步骤12,网关Gc判定目的IP地址是具有解密权限的情况下,在网关Gc的网络层对上行信息加密;网关Gc判定目的IP地址是没有解密权限的情况下,直接转发上行信息;
步骤13,网关Gc加密上行信息EKUpc(mes||timeStamp);
其中,EKUpc()表示Gc使用会话密钥加密;timeStamp表示时间戳;
步骤14,网关Gs判定接收到的信息的源IP地址具有加密权限的情况下,在网关Gs的网络层对信息解密;
网关Gs判定接收到的信息的源IP地址不具有加密权限,直接丢弃信息;
步骤15,网关Gs解密信息
(mes||timeStamp)'=EKUps(EKUpc(mes||timeStamp));
其中,EKUps()为网关Gs使用会话密钥解密;
在步骤1之前,上行安全传输的认证与配置方法包括:
1)网关Gc向网关Gs发送请求配置和认证信息,网关Gc将mesUpConfig||EPKs(N1||CMAC)发送给网关Gs,网关Gc用网关Gs的公钥加密一个一次性随机数N1和网关Gc的身份CMAC后发往网关Gs
其中,mesUpConfig表示上行安全传输认证表示符,N1用于唯一地标识这次会话;
2)网关Gs接收网关Gc的信息并认证,网关Gs对网关Gc发来的信息进行解密N1'||CMAC'=(N1||CMAC)'=ESKs(EPKs(N1||CMAC));
若CMAC'存在网关Gs的CMAC列表中,则认证成功;
若CMAC'不存在网关Gs的CMAC列表中,则不做回应;
3)网关Gs认证成功后,网关Gs向网关Gc发送认证和配置信息,网关Gs生成上行安全传输会话密钥对KUpc和KUps,然后将EPKc(N1||N2||configM||EPSK(KUpc))发送给网关Gc
在网关Gs保存具有加密权限的源IP地址、子网掩码、会话加密方式和上行安全传输会话密钥信息,并设置为未激活状态;
4)网关Gc接收网关Gs的信息并认证,网关Gc对网关Gs发来的信息解密,第一步:
Figure FDA0002976878830000021
其中,N1只有网关Gs能解密,若N1'与网关Gc发送的N1一致,则认证成功;
若N1'与网关Gc发送的N1不同,则丢弃信息;
第二步:configM中包括具有解密权限的目的IP地址、子网掩码和会话加密方式,网关Gc解密上行安全传输会话密钥KUpc'=EPSK(EPSK(KUpc)')并进行配置;
5)网关Gc认证并配置成功后,网关Gc向网关Gs发送认证和配置完成的信息,网关Gc将SucUpConfig||EPKs(N2)发送给网关Gs
其中,SucUpConfig表示网关Gc成功配置标识符,网关Gc使用网关Gs的公钥加密N2,N2只有网关Gc能够解读且使用共享密钥加密,使网关Gs相信对方的确是网关Gc
6)网关Gs解密并认证成功配置的信息,网关Gs解密N2'=ESKs(EPKs(N2)),若N2'与Gs发送的N2一致,则认证成功;
若N2'与Gs发送的N2不同,则丢弃信息;
认证成功后,在网关Gs端激活具有加密权限的源IP地址、子网掩码、会话加密方式和上行安全传输会话密钥信息;
其中,网关Gc的公钥为PKc,网关Gc的私钥为SKc,EPKc()表示网关Gc使用公钥加密,ESKc()表示网关Gc使用私钥解密;网关Gs的公钥为PKs,网关Gs的私钥为SKs,EPKs()表示网关Gs使用公钥加密,ESKs()表示网关Gs使用私钥解密;EPSK()表示使用共享密钥加密,EPSK(EPSK())表示使用共享密钥解密。
2.根据权利要求1所述的基于网络层的安全传输方法,其特征在于,在步骤1之前,还包括步骤1’,该安全传输方法还包括:网关Gc初始化,判定在Gc和网关Gs需要更新的情况下,将网关Gc带到注册中心重新写入配置信息。
3.根据权利要求2所述的基于网络层的安全传输方法,其特征在于,在步骤1’中,将网关Gc带到注册中心重新写入配置信息的方法包括:
网关Gc启动,向网关Gs提交CMAC和PKS的注册信息;
在网关Gs中同步生成CMAC和PKS;
其中,CMAC为网关Gc的标识码,PKS为网关Gc和网关Gs的共享密钥。
4.根据权利要求1所述的基于网络层的安全传输方法,其特征在于,在步骤2中,服务器的下行信息依次经过网关Gs的预设加密、网络层和Gc的预设解密传输至客户端的方法包括;
步骤21,服务器向客户机发送下行信息;
步骤22,网关Gs判定目的IP地址是具有解密权限的情况下,在网关Gs的网络层对信息加密;
网关Gs判定目的IP地址是没有解密权限的情况下,直接丢弃;
步骤23,网关Gs加密信息EKDowns(mes||timeStamp),
其中EKDowns()表示网关Gs使用会话密钥加密;
步骤24,网关Gc判定接收到的信息的源IP地址具有加密权限的情况下,在网关Gc的网络层对信息解密;
网关Gc判定接收到的信息的源IP地址不具有加密权限的情况下,转发信息;
步骤25,网关Gc解密信息
(mes||timeStamp)'=EKDownc(EKDowns(mes||timeStamp));
其中,EKDownc()为网关Gc使用会话密钥解密。
5.根据权利要求4所述的基于网络层的安全传输方法,其特征在于,在步骤2之前,下行安全传输的认证与配置方法包括:
1)网关Gc向网关Gs发送请求配置和认证信息,网关Gc将mesDownConfig||EPKs(N1||CMAC)发送给网关Gs;网关Gc用网关Gs的公钥加密一个一次性随机数N1和网关Gc的身份CMAC后发往网关Gs
其中,mesDownConfig表示下行安全传输认证标识符,N1用于唯一地标识这次会话;
2)网关Gs接收网关Gc的信息并认证,网关Gs对网关Gc发来的信息进行解密N1'||CMAC'=(N1||CMAC)'=ESKs(EPKs(N1||CMAC));
若CMAC'存在网关Gs的CMAC列表中,则认证成功;
若CMAC'不存在网关Gs的CMAC列表中,则不做回应;
3)网关Gs认证成功后,网关Gs向网关Gc发送认证和配置信息,网关Gs生成下行安全传输会话密钥对KDownc和KDowns,然后将
EPKc(N1||N2||configM||EPSK(KDownc))发送给网关Gc
4)网关Gc接收网关Gs的信息并认证,网关Gc对网关Gs发来的信息解密,第一步:
Figure FDA0002976878830000051
其中N1只有网关Gs能解密,若N1'与网关Gc发送的N1一致,则认证成功;
若N1'与网关Gc发送的N1不同,则丢弃信息;
第二步:configM中包括具有加密权限的源IP地址、子网掩码、会话加密方式,网关Gc解密下行安全传输会话密钥
KDownc'=EPSK(EPSK(KDownc)')并进行配置;
在网关Gs保存具有解密权限的目的IP地址、子网掩码、会话加密方式和下行安全传输会话密钥信息,并设置为未激活状态;
5)网关Gc认证并配置成功后,网关Gc向网关Gs发送认证和配置完成的信息,网关Gc将SucDownConfig||EPKs(N2)发送给网关Gs
其中,SucDownConfig表示网关Gc成功配置标识符,网关Gc使用共享密钥加密N2,N2只有网关Gc能够解读且使用共享密钥加密,使网关Gs相信对方的确是网关Gc
6)网关Gs解密并认证成功配置的信息,网关Gs解密N2'=ESKs(EPKs(N2)),若N2'与Gs发送的N2一致,则认证成功;
若N2'与Gs发送的N2不同,则丢弃信息;
认证成功后,在网关Gs激活具有解密权限的目的IP地址、子网掩码、会话加密方式和下行安全传输会话密钥信息;
其中,网关Gc的公钥为PKc,网关Gc的私钥为SKc,EPKc()表示网关Gc使用公钥加密,ESKc()表示网关Gc使用私钥解密;网关Gs的公钥为PKs,网关Gs的私钥为SKs,EPKs()表示网关Gs使用公钥加密,ESKs()表示网关Gs使用私钥解密;EPSK()表示使用共享密钥加密,EPSK(EPSK())表示使用共享密钥解密。
CN201811048781.6A 2018-09-10 2018-09-10 基于网络层的安全传输方法 Active CN109379333B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811048781.6A CN109379333B (zh) 2018-09-10 2018-09-10 基于网络层的安全传输方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811048781.6A CN109379333B (zh) 2018-09-10 2018-09-10 基于网络层的安全传输方法

Publications (2)

Publication Number Publication Date
CN109379333A CN109379333A (zh) 2019-02-22
CN109379333B true CN109379333B (zh) 2021-04-13

Family

ID=65404720

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811048781.6A Active CN109379333B (zh) 2018-09-10 2018-09-10 基于网络层的安全传输方法

Country Status (1)

Country Link
CN (1) CN109379333B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101442565A (zh) * 2008-12-18 2009-05-27 成都市华为赛门铁克科技有限公司 一种固定虚拟网络地址的分配方法和网关
CN101604436A (zh) * 2009-07-29 2009-12-16 中国建设银行股份有限公司 银行短信理财的方法
CN101621797A (zh) * 2008-07-04 2010-01-06 阿尔卡特朗讯公司 在对等体中用于向认证者认证该对等体的方法、对应设备及其计算机程序产品
CN105721490A (zh) * 2015-07-01 2016-06-29 北京东润环能科技股份有限公司 智能采集终端、主站系统及其数据处理方法
CN107040459A (zh) * 2017-03-27 2017-08-11 高岩 一种智能工业安全云网关设备系统和方法
CN107733635A (zh) * 2017-11-29 2018-02-23 四川长虹电器股份有限公司 基于网关的数据安全传输方法
CN107819732A (zh) * 2016-09-13 2018-03-20 中兴通讯股份有限公司 用户终端访问本地网络的方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106487749B (zh) * 2015-08-26 2021-02-19 阿里巴巴集团控股有限公司 密钥生成方法及装置
US10285051B2 (en) * 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101621797A (zh) * 2008-07-04 2010-01-06 阿尔卡特朗讯公司 在对等体中用于向认证者认证该对等体的方法、对应设备及其计算机程序产品
CN101442565A (zh) * 2008-12-18 2009-05-27 成都市华为赛门铁克科技有限公司 一种固定虚拟网络地址的分配方法和网关
CN101604436A (zh) * 2009-07-29 2009-12-16 中国建设银行股份有限公司 银行短信理财的方法
CN105721490A (zh) * 2015-07-01 2016-06-29 北京东润环能科技股份有限公司 智能采集终端、主站系统及其数据处理方法
CN107819732A (zh) * 2016-09-13 2018-03-20 中兴通讯股份有限公司 用户终端访问本地网络的方法和装置
CN107040459A (zh) * 2017-03-27 2017-08-11 高岩 一种智能工业安全云网关设备系统和方法
CN107733635A (zh) * 2017-11-29 2018-02-23 四川长虹电器股份有限公司 基于网关的数据安全传输方法

Also Published As

Publication number Publication date
CN109379333A (zh) 2019-02-22

Similar Documents

Publication Publication Date Title
CN109728909B (zh) 基于USBKey的身份认证方法和系统
CN110190955B (zh) 基于安全套接层协议认证的信息处理方法及装置
WO2018000886A1 (zh) 应用程序通信处理系统、装置、方法及客户端、服务端
CN106487749B (zh) 密钥生成方法及装置
US7584505B2 (en) Inspected secure communication protocol
JP2020202594A (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
US8583809B2 (en) Destroying a secure session maintained by a server on behalf of a connection owner
JP4002035B2 (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
CN109302412B (zh) 基于CPK的VoIP通信处理方法、终端、服务器及存储介质
US20080016354A1 (en) System and Method for Secure Remote Access
JP2009296190A (ja) 秘匿通信方法
US20080137859A1 (en) Public key passing
CN114503507A (zh) 安全的发布-订阅通信方法和设备
US20150229621A1 (en) One-time-pad data encryption in communication channels
WO2016018714A1 (en) Apparatus and method for sharing a hardware security module interface in a collaborative network
JP6548172B2 (ja) 端末認証システム、サーバ装置、及び端末認証方法
CN111914291A (zh) 消息处理方法、装置、设备及存储介质
JP2022521525A (ja) データを検証するための暗号方法
JP2003188874A (ja) 安全にデータを伝送する方法
CN111010399A (zh) 一种数据传输方法、装置、电子设备及存储介质
CN112839062B (zh) 夹杂鉴权信号的端口隐藏方法和装置、设备
CN111224968B (zh) 一种随机选择中转服务器的安全通信方法
JPH0969831A (ja) 暗号通信システム
CN114928503B (zh) 一种安全通道的实现方法及数据传输方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220125

Address after: 511400 room 1003, building 2, Tian'an headquarters center, No. 555, North Panyu Avenue, Donghuan street, Panyu District, Guangzhou City, Guangdong Province

Patentee after: Weicai Digital Technology Co.,Ltd.

Address before: 241002 No.189, Jiuhua South Road, Wuhu City, Anhui Province

Patentee before: ANHUI NORMAL University

TR01 Transfer of patent right