CN109450931A - 一种安全上网方法、装置及即插即用设备 - Google Patents
一种安全上网方法、装置及即插即用设备 Download PDFInfo
- Publication number
- CN109450931A CN109450931A CN201811536674.8A CN201811536674A CN109450931A CN 109450931 A CN109450931 A CN 109450931A CN 201811536674 A CN201811536674 A CN 201811536674A CN 109450931 A CN109450931 A CN 109450931A
- Authority
- CN
- China
- Prior art keywords
- encryption
- trusted servers
- message
- data
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种安全上网方法、装置及即插即用设备,其中,应用于即插即用设备的方法包括:接收与即插即用设备通信连接的用户终端传来的原始报文,原始报文包括原始数据以及目标设备的地址;从原始报文中提取原始数据,使用与可信服务器约定的加密密钥与混淆算法对原始数据进行加密混淆,获得加密数据;生成加密报文,加密报文包括可信服务器的地址、目标设备的地址以及加密数据;通过网络将加密报文发送至可信服务器,以使可信服务器对加密数据进行解密去混淆后转发至目标设备。本发明实施例中的数据流量经过USB设备以及云端可信服务器的加密传输后到达目标地址,使得用户的隐私信息更加安全,实现WiFi接入场景下的上网保护。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种安全上网方法、装置及即插即用设备。
背景技术
在公共环境下通常存在不计其数的热点设备,然而这些热点设备很可能隐藏危险的黑客攻击行为,通过热点的伪造或者劫持,黑客可以轻松获取到接入设备的基础信息,以及应用程序主动暴露的隐私数据信息。现有的终端无线上网安全保护基于WiFi热点本身的加密算法,存在热点不可信和中间人攻击的问题,用户并不能判断该热点是否安全,是否是恶意WiFi,当接入不可信WiFi之后,攻击者可攻击路由器,或者使用中间人攻击手段截取用户流量,用户的隐私信息将会泄露。
发明内容
本发明的目的在于提供一种安全上网方法、装置及即插即用设备,以解决上述问题。
第一方面,本发明提供一种安全上网方法,应用于即插即用设备,所述方法包括:
接收与所述即插即用设备通信连接的用户终端传来的原始报文,所述原始报文包括原始数据以及目标设备的地址;
从所述原始报文中提取所述原始数据,使用与可信服务器约定的加密密钥与混淆算法对所述原始数据进行加密混淆,获得加密数据;
生成加密报文,所述加密报文包括所述可信服务器的地址、所述目标设备的地址以及所述加密数据;
通过网络将所述加密报文发送至所述可信服务器,以使所述可信服务器对所述加密数据进行解密去混淆后转发至目标设备。
在第一方面一种可能的设计中,所述方法还包括:
监听接入点AP返回的报文,并将所述报文转发给所述用户终端。
在第一方面一种可能的设计中,所述报文为所述可信服务器发送至所述AP的,所述将所述报文转发给所述用户终端,包括:
使用与所述可信服务器约定的解密密钥与去混淆算法对所述报文进行解密去混淆,将解密后的报文转发至所述用户终端。
在第一方面一种可能的设计中,所述用户终端与所述即插即用设备有线连接或通过所述即插即用设备生成的WiFi热点与所述即插即用设备连接。
在第一方面一种可能的设计中,在接收与所述即插即用设备通信连接的用户终端传来的原始数据之前,所述方法还包括:
识别是否存在与所述即插即用设备有线连接的用户终端;
若否,则生成WiFi热点,以使所述用户终端与所述即插即用设备建立通信连接。
在第一方面一种可能的设计中,在接收与所述即插即用设备通信连接的用户终端传来的原始报文之前,所述方法还包括:
根据预配置的配置信息与所述可信服务器建立连接,所述配置信息包括可信服务器的地址、加密算法以及混淆算法。
在第一方面一种可能的设计中,所述根据预配置的配置信息与所述可信服务器建立连接,具体为:
根据所述可信服务器的地址,向所述可信服务器发送所述加密算法、混淆算法以及本地支持的权限校验方式;
确认与所述可信服务器使用的权限校验方法,并接收所述可信服务器返回的加密公钥;
向所述可信服务器发送权限校验信息,并在校验通过后与所述可信服务器建立连接。
在第一方面一种可能的设计中,在与所述可信服务器建立连接之后,所述方法还包括:
生成第一随机数,并发送所述第一随机数以及本地支持的加密方法至可信服务器;
确认与可信服务器使用的加密方法,并接收所述可信服务器返回的数字证书以及第二随机数;
在确认所述数字证书有效后,生成第三随机数,使用数字证书中的公钥加密所述第三随机数,返回加密后的第三随机数至可信服务器;
根据所述第一随机数、所述第二随机数、所述第三随机数以及约定的加密方法生成对话密钥,所述可信服务器中生成有相同的对话密钥,所述加密公钥以及所述对话密钥均用于加密所述原始数据。
在第一方面一种可能的设计中,所述可信服务器的数量为一个或多个,在所述可信服务器为多个时,所述配置信息中包括依次设置的多个可信服务器的地址,以使所述加密报文依次被可信服务器解密转发至下一个可信服务器,直至最终的可信服务器将解密后的所述原始数据发送至目标设备。
第二方面,本发明提供一种安全上网方法,应用于可信服务器,所述方法包括:
接收即插即用设备发来的加密报文,所述加密报文包括所述即插即用设备的标识信息以及目标设备的地址;
根据所述标识信息,确定与所述即插即用设备约定的解密密钥以及去混淆算法;
使用所述解密密钥以及所述去混淆算法对所述加密报文中的加密数据进行解密去混淆,并将解密后获得的原始数据转发至目标设备。
在第二方面一种可能的设计中,所述方法还包括:
接收所述目标设备返回的报文,所述报文包括返回数据以及所述目标设备的地址;
根据所述目标设备的地址在数据表中查找对应的即插即用设备的地址;
使用与所述即插即用设备约定的加密密钥和混淆算法对所述返回数据进行加密混淆,获得加密数据;
生成加密报文,将所述加密报文发送至所述即插即用设备。
第三方面,本发明提供一种安全上网装置,应用于即插即用设备,包括:
接收模块,用于接收与所述即插即用设备通信连接的用户终端传来的原始报文,所述原始报文包括原始数据以及目标设备的地址;
加密模块,用于从所述原始报文中提取所述原始数据,使用与可信服务器约定的加密密钥与混淆算法对所述原始数据进行加密混淆,获得加密数据;以及生成加密报文,所述加密报文包括所述可信服务器的地址、所述目标设备的地址以及所述加密数据;
发送模块,用于通过网络将所述加密报文发送至所述可信服务器,以使所述可信服务器对所述加密数据进行解密去混淆后转发至目标设备。
第四方面,本发明提供一种即插即用设备,包括:
USB接口,用于与用户终端进行数据传输;
第一无线网卡,用于与接入点AP进行数据传输;
存储器,用于存储机器可读指令;
处理器,用于在所述即插即用设备运行时与所述存储器通信,所述机器可读指令被所述处理器执行时执行第一方面中任一种可能的设计所述的方法;
所述USB接口、所述第一无线网卡、所述存储器均与所述处理器连接。
在第四方面一种可能的设计中,所述即插即用设备还包括第二无线网卡,所述第二无线网卡与所述处理器连接,用于产生WiFi热点,以及在用户终端接入所述WiFi热点后,与所述用户终端进行数据传输。
相比现有技术,本发明实施例通过即插即用设备与可信服务器间的加密连接,在免安装设备驱动的前提下,为相连的用户终端提供安全的数据传输,使得用户的数据流量经过USB设备以及云端可信服务器后到达目标地址,使用户终端自身的基础信息以及应用程序暴露的隐私信息更加安全,避免了AP热点的恶意劫持及流量监听行为,实现针对WiFi接入场景下的上网保护。
为使本发明的上述目的、技术方案和有益效果能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了现有WiFi场景下的通信链路;
图2示出了本发明实施例提供的安全上网方法的流程图;
图3示出了本发明实施例提供的安全上网方法的另一流程图;
图4示出了本发明实施例的通信链路;
图5示出了本发明实施例提供的安全上网方法的另一流程图;
图6示出了本发明实施例提供的安全上网装置的示意图;
图7示出了本发明实施例提供的即插即用设备的结构示意图。
图标:安全上网装置-400;接收模块-401;加密模块-402;发送模块-403。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于将一个实体或者操作与另一个实体或操作区分开来,而不能理解为指示或暗示相对重要性,也不能理解为要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
第一实施例
正常情况下,用户终端通过WiFi热点实现上网过程中,终端设备的流量一旦离开终端,流量就不再受保护,如果所连接的WiFi是钓鱼WiFi,或者WiFi被黑客入侵,又或者黑客通过中间人攻击(MITM)手段,例如ARP欺骗(Address Resolution ProtocolSpoofing)将终端的流量引诱到其他终端设备,则该终端的上网过程已经不安全了。上述中间人攻击是一种WiFi场景下较常见的黑客攻击手段,指的是通过手段在用户终端与远端服务器双方通信过程中作为第三方监听和转发数据的攻击方式,例如ARP欺骗方式,攻击者可通过使用WiFi的介质访问控制(Media Access Control,MAC)地址持续向终端设备发送消息使终端设备相信攻击者的WiFi身份,从而终端设备将数据流量发送给攻击者,实现中间人攻击。图1示出了用户上网过程的现有数据通信链路。
因此,当用户接入公共场景下的不可信WiFi热点时,很可能面临攻击者的中间人攻击,传输的数据流量都会变得不安全,整个上网行为相当于透明的暴露在攻击者眼中,如果个人隐私数据包括账号密码和cookie等被攻击者截获,个人账户将面临安全风险。本实施例提供一种安全上网方法,利用即插即用设备的即插即用能力,在免安装设备驱动的前提下,为用户终端提供针对WiFi接入场景下的安全保护,参阅图2,该方法从即插即用设备侧的步骤过程包括:
步骤101:接收与即插即用设备通信连接的用户终端传来的原始报文。
要实现安全上网,即插即用设备需与用户终端通信连接,用户在浏览网页或登录软件等上网过程中产生的数据流量将会直接发送到该即插即用设备上,该即插即用设备例如为一种嵌入式USB设备,USB设备接收到的数据流量也就是用户终端所产生的原始报文,该原始报文中包括有用户真正的原始数据以及该数据要发送到的目标设备的地址。
步骤102:从原始报文中提取原始数据,使用与可信服务器约定的加密密钥与混淆算法对原始数据进行加密混淆,获得加密数据。
在进行数据传输之前,即插即用设备已与可信服务器建立加密连接,并已约定好双方使用的加密密钥、混淆算法以及解密密钥和去混淆算法,其中,去混淆算法指的是双方采取相同的混淆算法进行混淆,并依照该相同的混淆算法对数据执行去混淆的操作过程。即插即用设备中的流量处理程序在接收到原始报文后,按照约定的加密密钥对原始报文中的原始数据进行加密,防止攻击者对流量进行中间人攻击,并且,根据约定的混淆算法生成大量无用的数据对原生通信数据进行混淆,防止攻击者在接收到数据流量时很快识别出有效流量,达到迷惑的目的,生成的加密数据使得用户终端上网通信过程更加安全。因此,即便有第三方攻击者截获到USB设备发出的数据,也无法解密,识别不出真正的原始数据。
步骤103:生成加密报文,加密报文包括可信服务器的地址、目标设备的地址以及加密数据。
步骤104:通过网络将加密报文发送至可信服务器,以使可信服务器对加密数据进行解密去混淆后转发至目标设备。
在生成加密报文后,USB设备通过接入点AP提供的外网网络将加密后的报文发送至可信服务器上,该接入点AP也就是前述的不可信WiFi热点,其在整个过程中提供外网连接,保证USB设备将加密流量转发至可信服务器的过程,但若要AP为USB设备提供外网连接,则在USB与用户终端通信连接后,对用户所选择的WiFi进行网络桥接,其具体过程如下。
在该USB设备中包括一个无线网卡(暂称为外网网卡),用于桥接接入点AP的WiFi信号。桥接时,通过开启外网网卡的Sta模式,使网卡开始监听2.4G频段和5G频段的信道,在其他WiFi默认100ms一次的广播中,外网网卡接收到信号,将每个WiFi的MAC地址、信道号放入WiFi列表中,在用户选择想要桥接的WiFi信号之后,外网网卡根据信道号和MAC地址匹配下一次接收到的广播包,如果匹配成功,将与这个WiFi发送握手包,协商WiFi加密算法,如果建立握手成功,则会获得登录凭证,以后外网网卡发送的所有流量带上凭证即可被转发,同时通过动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)获取到IP地址,从而可实现与外网通信。
在通过AP的路由器将加密报文发送至可信服务器后,可信服务器根据协商的加密方式和混淆方式还原出真实流量,并将真实流量转发给真实目标设备地址以实现真正的数据传输,参阅图3,该方法在可信服务器侧执行的步骤过程为:
步骤201:接收即插即用设备发来的加密报文,加密报文包括即插即用设备的标识信息以及目标设备的地址。
步骤202:根据标识信息,确定与即插即用设备约定的解密密钥以及去混淆算法。
在可信服务器的数据表中保存有即插即用设备对应的约定的加密和解密密钥以及混淆算法,在存在有多个即插即用设备与可信服务器连接时,通过该标识信息可确定发送该加密报文的即插即用设备,并查找确定对应的解密密钥与去混淆算法。
步骤203:使用解密密钥以及去混淆算法对加密报文中的加密数据进行解密去混淆,并将解密后获得的原始数据转发至目标设备。
于是步骤101-104以及步骤201-203完成了一次从用户终端到目标设备的数据传输,其通信链路为用户终端-USB设备-可信服务器-目标设备,例如图4所示。上述实施例提供的安全上网方法,通过即插即用设备与可信服务器间的加密连接,使得原有的流量经过USB设备以及云端可信服务器后到达目标地址,使用户终端自身的基础信息以及应用程序暴露的隐私信息更加安全,避免了AP热点的恶意劫持及流量监听行为,实现针对WiFi接入场景下的上网保护。
需要说明的是,上述方案中,即插即用设备与用户终端通信连接,可以有多种实施方式。例如,将USB设备通过USB接口直接与用户的电脑连接,则此时,该USB设备与电脑之间为有线通信连接,或者,在该USB设备中还包括一个无线网卡(暂称为内网网卡),该内网网卡工作在AP模式下,为用户终端提供接入服务,该USB在通过充电宝设备或其他连接设备得电开始工作后,首先识别是否存在与其有线通信连接的用户终端,如果不存在,则通过内网网卡生成一个加密WiFi热点,该网卡在2.4G频段和5G频段随机监听一个信道,固定频率发送广播信号,询问是否有新终端需要接入,该WiFi可以默认开启WPA/WPA2混合加密算法,其他设备接入需要密码,因此用户终端,例如智能手机、笔记本电脑、平板电脑或iPad等均可以通过USB设备生成的WiFi信号连接到该USB设备上实现数据的加密传输,安全上网。
由于内网网卡可以接入多个终端设备,存在有多个内网IP地址,但是只有外网网卡获取到了一个外网IP,所以USB设备具备网络地址转换(Network Address Translation,NAT)功能,当一个终端设备访问互联网时,原始报文到达内网网卡,内网网卡将原始报文发送至处理器的加密程序对原始数据进行加密混淆,再通过NAT程序将原始报文中源IP地址修改为外网IP地址并记录,再发送至互联网。当数据报文返回时,首先到达外网网卡,通过USB设备的解密程序进行解密去混淆,再发送给NAT程序,将IP地址修改为之前记录的内网IP地址,再通过内网网卡将数据包传输到用户终端。
在用户上网过程中,通过USB设备将数据包加密转发至可信服务器,再由可信服务器解密后转发至真实目标地址,实现数据的安全传输,而USB设备数据传输前如何确定连接到哪一个可信服务器,则是通过预配置的配置信息,在该配置信息中包括可信服务器的地址、选择的加密算法以及混淆算法,具体实施方式可以包括但不限于以下两种。
USB设备通过与其通信连接的用户终端接收配置信息。例如,用户终端通过USB生成的WiFi连接或者直接将USB插入到电脑上,在USB设备的后台配置界面用户可输入自己信任的可信服务器的地址以及选择想要采取的加密算法和混淆算法,可信服务器的地址可以是IP和端口的形式输入,也可以是输入相应的域名,在点击配置完成后,USB设备保存该配置信息并根据其中可信服务器的地址建立连接,协商加密密钥。该种方式所连接的远端可信服务器由用户自己添加,实现真正的远端自主可控,整个数据传输加密链路都可由用户自行配置,减少了不可信节点。
另一种方式为,配置信息可以是预置在USB设备中,在出厂前则将可信服务器的地址以及加密算法等配置信息添加到USB设备中,对于不懂网络通讯技术的用户而言,该种方式降低了操作使用的难度,整个过程无需用户参与,实现完全的自动化加密连接。
当然,上述两种实施方式可以互相结合,USB设备将出厂时内置的可信服务器地址、加密算法和混淆算法设置为默认配置,在用户实际使用时,也可通过后台界面修改为自己信任的服务器地址。
即插即用设备与可信服务器之间形成的加密传输是经过加密算法封装的,该加密算法由vmess加密协议和tls证书两层加密实现,其中,采用vmess协议进行数据加密,并通过tls加密进行流量伪装。
在数据传输之前,USB设备(客户端)与可信服务器(服务端)进行握手建立连接。具体过程为USB设备发送一个协议头至可信服务器,该协议头中包括协议版本号、USB设备选择的加密算法、混淆算法以及本地支持的访问可信服务器需要的权限校验方法;可信服务器从请求数据中选择一个自己支持的权限校验方法返回给USB设备,同时还会根据加密算法生成一对公私钥用作加密通信数据,并将公钥返回给USB设备,当然USB设备也会根据加密算法生成一对公私钥并将公钥返给可信服务器,其中,公钥用于加密数据,私钥用于解密数据。
在USB设备与可信服务器进行握手时定义了多种权限校验方法,比如使用用户名和密码,当然也可以无需任何校验直接就可以连接。USB设备在向可信服务器发送权限校验信息后,若可信服务器校验通过,则USB设备可与可信服务器建立加密连接。
USB设备在与可信服务器校验通过建立连接之后,USB设备开始与可信服务器协商tls加密,tls加密的协商过程为:首先,USB设备发送协议版本号、一个USB设备生成的随机数(Client random)以及USB设备支持的加密方法;然后,可信服务器确认双方使用的加密方法,并返回数字证书以及一个服务器生成的随机数(Server random);然后,USB设备确认数字证书有效后,生成一个新的随机数(Premaster secret),并使用数字证书中的公钥,加密这个随机数,发给可信服务器;然后,可信服务器使用数字证书对应的私钥,获取USB设备发来的随机数(即Premaster secret);最后,USB设备和可信服务器根据约定的加密方法,使用前面三个随机数,生成对话密钥(session key),用于加密接下来的整个对话过程。
因此,USB设备在数据加密时,与可信服务器约定的加密密钥为建立连接时可信服务器返回的公钥以及上述对话密钥,在数据解密时,约定的解密密钥为建立连接时返给可信服务器的公钥所对应的私钥以及上述对话密钥,当USB设备加密时,先用第一次协商的公钥给原始数据进行非对称加密,达到第一层加密的作用,再用tls协商的对话密钥进行对称加密,达到第二层加密的作用,以及实现将数据伪装成https的作用。
vmess协议加密之后,攻击者接收到的流量是加密的,无法破解,但是同时,这个流量也是没有任何通讯特征,如果当前网络的边界防火墙将这种没有特征的流量禁止掉,那么终端也不能正常访问网络,但是由于通过tls证书机制将所有流量转换成类https流量,那么防火墙一般不会禁止web访问流量,因此数据就能穿透防火墙,攻击者也很难识别。
上述加密方案中采用了tls证书机制,通过添加一个域名,将域名申请数字证书,将数字证书文件和私钥文件添加到可信服务器节点,启用tls加密。USB设备与可信服务器建立加密传输,所有的流量都会被伪装成类https流量,需要说明的是,当USB在连接可信服务时,如果预配置信息是通过指定域名而不是IP地址,那么当可信服务器挂掉之后,可以不用修改USB设备配置,而是找一台新的可信服务器,同时修改将域名指向新的可信服务器的IP,则可以继续实现加密传输。
上述描述了数据从用户终端到目标设备地址的发送过程,而若数据从目标设备的地址返回至用户终端,则目标设备首先将报文发送至可信服务器,可信服务器会依照与USB设备加密过程相同的方式对报文中的原始数据进行加密混淆,参阅图5,执行的步骤过程包括:
步骤301:接收目标设备返回的数据报文,该数据报文包括返回数据以及目标设备的地址。
步骤302:根据目标设备的地址在数据表中查找对应的即插即用设备的地址。
在即插即用设备向目标设备的地址发送数据包时,可信服务器会记录数据传输的源地址以及目标地址,在目标设备进行数据返回时,由路由机制确定数据将返回至哪一个地址。
步骤303:使用与即插即用设备约定的加密密钥和混淆算法对返回数据进行加密混淆,获得加密数据。
步骤304:生成加密报文,将加密报文发送至即插即用设备。
USB设备监听AP处返回的报文,并将该报文转发至用户终端,其中该报文为可信服务器发送至即插即用设备的加密报文,则USB设备首先需使用与可信服务器约定的解密密钥与去混淆算法对加密报文进行解密去混淆,然后再将解密后的报文转发至用户终端处,或者,存在一种可能的情况,用户终端在向目标设备发送数据包时并未通过USB设备和可信服务器,在用户终端接入USB设备后,AP接收到目标设备返回的报文,该报文并未通过可信服务器的加密过程,则USB设备不对该报文进行解密操作,直接将其转发至用户终端上。
本发明实施例提供的加密算法原生支持多跳结构,也就是数据传输链路为:终端-USB设备-AP-可信服务器-…-可信服务器-目标设备。在一个可能的实施例中,预配置的配置信息包括所要经过的多个可信服务器的地址,USB设备根据与每一个可信服务器约定的加密密钥以及混淆算法对原始数据进行多重加密,并将加密后的报文发送至第一个可信服务器,第一个可信服务器接收到加密数据包,对其进行解密,获取下一个可信服务器的地址以及剩余加密数据,直至最后一个可信服务器解密后获得目标设备的地址以及原始数据,从而将原始数据发送至目标设备。因此,若用户想要实现更加安全的数据传输,想通过多个可信服务器的转发过程确保自己的隐私安全,则在配置时依次设置所要经过的每一个可信服务器的地址以及采取的加密算法和混淆算法。
第二实施例
参阅图6,本实施例提供一种安全上网装置400,包括:
接收模块401,用于接收与所述即插即用设备通信连接的用户终端传来的原始报文,所述原始报文包括原始数据以及目标设备的地址。
加密模块402,用于从所述原始报文中提取所述原始数据,使用与可信服务器约定的加密密钥与混淆算法对所述原始数据进行加密混淆,获得加密数据;以及生成加密报文,所述加密报文包括所述可信服务器的地址、所述目标设备的地址以及所述加密数据。
发送模块403,用于通过网络将所述加密报文发送至所述可信服务器,以使所述可信服务器对所述加密数据进行解密去混淆后转发至目标设备。
第三实施例
本实施例提供一种即插即用设备,参阅图7,包括:
USB接口,用于与用户终端进行数据传输;
第一无线网卡,用于与接入点AP进行数据传输;
存储器,用于存储机器可读指令;
处理器,用于在即插即用设备运行时与存储器通信,机器可读指令被处理器执行时执行如第一实施例中应用于即插即用设备的方法;
其中,USB接口、第一无线网卡、存储器均与处理器连接。
可选地,即插即用设备还包括第二无线网卡,第二无线网卡与处理器连接,用于产生WiFi热点,以及在用户终端接入WiFi热点后,与用户终端进行数据传输。
该即插即用设备的具体工作过程可参见第一实施例中的描述,在此不进行赘述,接下来提供一种本实施例中即插即用设备的应用场景。
该即插即用设备为嵌入式USB设备,用户携带该USB设备以及自己的电脑外出到公共场所,此时需要有上网的需求,在周边存在有可连接上网络的WiFi热点时,将该USB设备插入到电脑上,两者之间有线通信连接,在USB设备与电脑连接后,用户通过该USB设备的后台配置界面设置自己信任的可信服务器的地址以及对数据进行加密的加密算法以及混淆算法,在点击配置完成后,USB设备与可信服务器之间对双方使用的加密密钥和混淆算法进行了约定确认,于是,用户则可通过该USB设备实现该WiFi场景下的安全上网,用户访问目标网址或者打开目标应用所产生的数据流量通过该USB设备加密转发至可信服务器上,可信服务器对加密的数据使用约定的密钥进行解密以及去混淆,将用户产生的原始数据转发至真正的目标服务器上。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类和实体类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其他的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (14)
1.一种安全上网方法,其特征在于,应用于即插即用设备,所述方法包括:
接收与所述即插即用设备通信连接的用户终端传来的原始报文,所述原始报文包括原始数据以及目标设备的地址;
从所述原始报文中提取所述原始数据,使用与可信服务器约定的加密密钥与混淆算法对所述原始数据进行加密混淆,获得加密数据;
生成加密报文,所述加密报文包括所述可信服务器的地址、所述目标设备的地址以及所述加密数据;
通过网络将所述加密报文发送至所述可信服务器,以使所述可信服务器对所述加密数据进行解密去混淆后转发至目标设备。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
监听接入点AP返回的报文,并将所述报文转发给所述用户终端。
3.根据权利要求2所述的方法,其特征在于,所述报文为所述可信服务器发送至所述AP的,所述将所述报文转发给所述用户终端,包括:
使用与所述可信服务器约定的解密密钥与去混淆算法对所述报文进行解密去混淆,将解密后的报文转发至所述用户终端。
4.根据权利要求1所述的方法,其特征在于,所述用户终端与所述即插即用设备有线连接或通过所述即插即用设备生成的WiFi热点与所述即插即用设备连接。
5.根据权利要求4所述的方法,其特征在于,在接收与所述即插即用设备通信连接的用户终端传来的原始数据之前,所述方法还包括:
识别是否存在与所述即插即用设备有线连接的用户终端;
若否,则生成WiFi热点,以使所述用户终端与所述即插即用设备建立通信连接。
6.根据权利要求1所述的方法,其特征在于,在接收与所述即插即用设备通信连接的用户终端传来的原始报文之前,所述方法还包括:
根据预配置的配置信息与所述可信服务器建立连接,所述配置信息包括可信服务器的地址、加密算法以及混淆算法。
7.根据权利要求6所述的方法,其特征在于,所述根据预配置的配置信息与所述可信服务器建立连接,具体为:
根据所述可信服务器的地址,向所述可信服务器发送所述加密算法、混淆算法以及本地支持的权限校验方式;
确认与所述可信服务器使用的权限校验方法,并接收所述可信服务器返回的加密公钥;
向所述可信服务器发送权限校验信息,并在校验通过后与所述可信服务器建立连接。
8.根据权利要求7所述的方法,其特征在于,在与所述可信服务器建立连接之后,所述方法还包括:
生成第一随机数,并发送所述第一随机数以及本地支持的加密方法至可信服务器;
确认与可信服务器使用的加密方法,并接收所述可信服务器返回的数字证书以及第二随机数;
在确认所述数字证书有效后,生成第三随机数,使用数字证书中的公钥加密所述第三随机数,返回加密后的第三随机数至可信服务器;
根据所述第一随机数、所述第二随机数、所述第三随机数以及约定的加密方法生成对话密钥,所述可信服务器中生成有相同的对话密钥,所述加密公钥以及所述对话密钥均用于加密所述原始数据。
9.根据权利要求6所述的方法,其特征在于,所述可信服务器的数量为一个或多个,在所述可信服务器为多个时,所述配置信息中包括依次设置的多个可信服务器的地址,以使所述加密报文依次被可信服务器解密转发至下一个可信服务器,直至最终的可信服务器将解密后的所述原始数据发送至目标设备。
10.一种安全上网方法,其特征在于,应用于可信服务器,所述方法包括:
接收即插即用设备发来的加密报文,所述加密报文包括所述即插即用设备的标识信息以及目标设备的地址;
根据所述标识信息,确定与所述即插即用设备约定的解密密钥以及去混淆算法;
使用所述解密密钥以及所述去混淆算法对所述加密报文中的加密数据进行解密去混淆,并将解密后获得的原始数据转发至目标设备。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
接收所述目标设备返回的报文,所述报文包括返回数据以及所述目标设备的地址;
根据所述目标设备的地址在数据表中查找对应的即插即用设备的地址;
使用与所述即插即用设备约定的加密密钥和混淆算法对所述返回数据进行加密混淆,获得加密数据;
生成加密报文,将所述加密报文发送至所述即插即用设备。
12.一种安全上网装置,其特征在于,应用于即插即用设备,包括:
接收模块,用于接收与所述即插即用设备通信连接的用户终端传来的原始报文,所述原始报文包括原始数据以及目标设备的地址;
加密模块,用于从所述原始报文中提取所述原始数据,使用与可信服务器约定的加密密钥与混淆算法对所述原始数据进行加密混淆,获得加密数据;以及生成加密报文,所述加密报文包括所述可信服务器的地址、所述目标设备的地址以及所述加密数据;
发送模块,用于通过网络将所述加密报文发送至所述可信服务器,以使所述可信服务器对所述加密数据进行解密去混淆后转发至目标设备。
13.一种即插即用设备,其特征在于,包括:
USB接口,用于与用户终端进行数据传输;
第一无线网卡,用于与接入点AP进行数据传输;
存储器,用于存储机器可读指令;
处理器,用于在所述即插即用设备运行时与所述存储器通信,所述机器可读指令被所述处理器执行时执行如权利要求1-9任一项所述的方法;
所述USB接口、所述第一无线网卡、所述存储器均与所述处理器连接。
14.根据权利要求13所述的设备,其特征在于,所述即插即用设备还包括第二无线网卡,所述第二无线网卡与所述处理器连接,用于产生WiFi热点,以及在用户终端接入所述WiFi热点后,与所述用户终端进行数据传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811536674.8A CN109450931A (zh) | 2018-12-14 | 2018-12-14 | 一种安全上网方法、装置及即插即用设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811536674.8A CN109450931A (zh) | 2018-12-14 | 2018-12-14 | 一种安全上网方法、装置及即插即用设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109450931A true CN109450931A (zh) | 2019-03-08 |
Family
ID=65559088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811536674.8A Pending CN109450931A (zh) | 2018-12-14 | 2018-12-14 | 一种安全上网方法、装置及即插即用设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109450931A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381016A (zh) * | 2019-06-11 | 2019-10-25 | 辽宁途隆科技有限公司 | Cc攻击的防护方法及装置、存储介质、计算机设备 |
| CN110445802A (zh) * | 2019-08-16 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 基于数字证书的威胁发现模型构建技术 |
| CN110505203A (zh) * | 2019-07-16 | 2019-11-26 | 广东高捷航运物流有限公司 | 一种报文数据处理方法、装置和存储介质 |
| CN110933028A (zh) * | 2019-10-24 | 2020-03-27 | 中移(杭州)信息技术有限公司 | 报文传输方法、装置、网络设备及存储介质 |
| CN111064642A (zh) * | 2019-12-25 | 2020-04-24 | 深圳市网心科技有限公司 | 一种拨号连网方法及其相关设备 |
| CN111107087A (zh) * | 2019-12-19 | 2020-05-05 | 杭州迪普科技股份有限公司 | 报文检测方法及装置 |
| CN113141333A (zh) * | 2020-01-18 | 2021-07-20 | 佛山市云米电器科技有限公司 | 入网设备的通信方法、设备、服务器、系统及存储介质 |
| CN114499837A (zh) * | 2021-12-29 | 2022-05-13 | 广州蚁比特区块链科技有限公司 | 一种报文防泄露方法、装置、系统和设备 |
| CN114710309A (zh) * | 2021-09-28 | 2022-07-05 | 北京卫达信息技术有限公司 | 一种流量混淆方法、装置及系统 |
| CN115085974A (zh) * | 2022-05-20 | 2022-09-20 | 武汉虹旭信息技术有限责任公司 | 流量混淆方法及装置 |
| CN115150076A (zh) * | 2022-06-27 | 2022-10-04 | 联信摩贝软件(北京)有限公司 | 一种基于量子随机数的加密系统及方法 |
| CN115208620A (zh) * | 2022-05-27 | 2022-10-18 | 福州汇思博信息技术有限公司 | 一种文件加密方法与设备 |
| CN117061106A (zh) * | 2023-08-16 | 2023-11-14 | 大连科技学院 | 一种大数据场景下的安全加密网关及其工作方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741818A (zh) * | 2008-11-05 | 2010-06-16 | 南京理工大学 | 设置在网线的独立网络安全加密隔离器及其隔离方法 |
| CN102571348A (zh) * | 2011-12-16 | 2012-07-11 | 汉柏科技有限公司 | 以太网加密认证系统及加密认证方法 |
| CN102638792A (zh) * | 2012-05-15 | 2012-08-15 | 郑州信大捷安信息技术股份有限公司 | 基于硬件加密的无线网络安全传输系统及传输方法 |
| CN106209916A (zh) * | 2016-08-31 | 2016-12-07 | 南京普瑶电子科技有限公司 | 工业自动化生产业务数据传输加解密方法及系统 |
| CN106657085A (zh) * | 2016-12-28 | 2017-05-10 | 北京匡恩网络科技有限责任公司 | 数据处理方法和装置及加密装置 |
| KR20170113843A (ko) * | 2016-03-28 | 2017-10-13 | 주식회사 에스제이링크 | 보안 칩 기반의 채팅 암호화 구동시스템 |
-
2018
- 2018-12-14 CN CN201811536674.8A patent/CN109450931A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741818A (zh) * | 2008-11-05 | 2010-06-16 | 南京理工大学 | 设置在网线的独立网络安全加密隔离器及其隔离方法 |
| CN102571348A (zh) * | 2011-12-16 | 2012-07-11 | 汉柏科技有限公司 | 以太网加密认证系统及加密认证方法 |
| CN102638792A (zh) * | 2012-05-15 | 2012-08-15 | 郑州信大捷安信息技术股份有限公司 | 基于硬件加密的无线网络安全传输系统及传输方法 |
| KR20170113843A (ko) * | 2016-03-28 | 2017-10-13 | 주식회사 에스제이링크 | 보안 칩 기반의 채팅 암호화 구동시스템 |
| CN106209916A (zh) * | 2016-08-31 | 2016-12-07 | 南京普瑶电子科技有限公司 | 工业自动化生产业务数据传输加解密方法及系统 |
| CN106657085A (zh) * | 2016-12-28 | 2017-05-10 | 北京匡恩网络科技有限责任公司 | 数据处理方法和装置及加密装置 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381016A (zh) * | 2019-06-11 | 2019-10-25 | 辽宁途隆科技有限公司 | Cc攻击的防护方法及装置、存储介质、计算机设备 |
| CN110505203B (zh) * | 2019-07-16 | 2022-03-08 | 广东高捷航运物流有限公司 | 一种报文数据处理方法、装置和存储介质 |
| CN110505203A (zh) * | 2019-07-16 | 2019-11-26 | 广东高捷航运物流有限公司 | 一种报文数据处理方法、装置和存储介质 |
| CN110445802A (zh) * | 2019-08-16 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 基于数字证书的威胁发现模型构建技术 |
| CN110933028A (zh) * | 2019-10-24 | 2020-03-27 | 中移(杭州)信息技术有限公司 | 报文传输方法、装置、网络设备及存储介质 |
| CN111107087A (zh) * | 2019-12-19 | 2020-05-05 | 杭州迪普科技股份有限公司 | 报文检测方法及装置 |
| CN111107087B (zh) * | 2019-12-19 | 2022-03-25 | 杭州迪普科技股份有限公司 | 报文检测方法及装置 |
| CN111064642A (zh) * | 2019-12-25 | 2020-04-24 | 深圳市网心科技有限公司 | 一种拨号连网方法及其相关设备 |
| CN111064642B (zh) * | 2019-12-25 | 2021-12-03 | 深圳市网心科技有限公司 | 一种拨号连网方法及其相关设备 |
| CN113141333A (zh) * | 2020-01-18 | 2021-07-20 | 佛山市云米电器科技有限公司 | 入网设备的通信方法、设备、服务器、系统及存储介质 |
| CN114710309A (zh) * | 2021-09-28 | 2022-07-05 | 北京卫达信息技术有限公司 | 一种流量混淆方法、装置及系统 |
| CN114499837A (zh) * | 2021-12-29 | 2022-05-13 | 广州蚁比特区块链科技有限公司 | 一种报文防泄露方法、装置、系统和设备 |
| CN114499837B (zh) * | 2021-12-29 | 2023-09-26 | 广州蚁比特区块链科技有限公司 | 一种报文防泄露方法、装置、系统和设备 |
| CN115085974A (zh) * | 2022-05-20 | 2022-09-20 | 武汉虹旭信息技术有限责任公司 | 流量混淆方法及装置 |
| CN115208620A (zh) * | 2022-05-27 | 2022-10-18 | 福州汇思博信息技术有限公司 | 一种文件加密方法与设备 |
| CN115208620B (zh) * | 2022-05-27 | 2024-03-29 | 福建汇思博数字科技有限公司 | 一种文件加密方法与设备 |
| CN115150076A (zh) * | 2022-06-27 | 2022-10-04 | 联信摩贝软件(北京)有限公司 | 一种基于量子随机数的加密系统及方法 |
| CN117061106A (zh) * | 2023-08-16 | 2023-11-14 | 大连科技学院 | 一种大数据场景下的安全加密网关及其工作方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109450931A (zh) | 一种安全上网方法、装置及即插即用设备 | |
| Kohlios et al. | A comprehensive attack flow model and security analysis for Wi-Fi and WPA3 | |
| Arbaugh et al. | Your 80211 wireless network has no clothes | |
| Besher et al. | IoT sensor initiated healthcare data security | |
| US20110305339A1 (en) | Key Establishment for Relay Node in a Wireless Communication System | |
| Sankar | Cisco wireless LAN security | |
| CN107005534A (zh) | 安全连接建立 | |
| CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
| Samociuk | Secure communication between OpenFlow switches and controllers | |
| JP4752064B2 (ja) | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 | |
| Kwon et al. | Evolution of Wi-Fi protected access: security challenges | |
| JP2015536061A (ja) | クライアントをサーバに登録するための方法および装置 | |
| CN104735037B (zh) | 一种网络认证方法、装置及系统 | |
| Welch et al. | A survey of 802.11 a wireless security threats and security mechanisms | |
| Narayana et al. | An Adaptive Threat Defence Mechanism Through Self Defending Network to Prevent Hijacking in WiFi Network | |
| Diallo et al. | A secure authentication scheme for bluetooth connection | |
| Vink et al. | A comprehensive taxonomy of wi-fi attacks | |
| KR101784240B1 (ko) | 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법 | |
| JP4752063B2 (ja) | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 | |
| Musthyala et al. | Hacking wireless network credentials by performing phishing attack using Python Scripting | |
| Bodhe et al. | Wireless LAN security attacks and CCM protocol with some best practices in deployment of services | |
| Bashir et al. | Modification in Kerberos assisted authentication in mobile Ad-Hoc networks to prevent ticket replay attacks | |
| Nguyen | Wireless Network Security: A Guide for Small and Medium Premises | |
| JP4752062B2 (ja) | アクセス制限を行う公衆回線上の端末接続装置およびサーバー接続制限装置 | |
| Njeru | An APN Authentication Model For A Secure Enterprise Wireless Local Area Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant after: BEIJING KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant before: BEIJING KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190308 |