CN110190956A - 数据传输方法、装置、电子设备及机器可读存储介质 - Google Patents
数据传输方法、装置、电子设备及机器可读存储介质 Download PDFInfo
- Publication number
- CN110190956A CN110190956A CN201910453609.7A CN201910453609A CN110190956A CN 110190956 A CN110190956 A CN 110190956A CN 201910453609 A CN201910453609 A CN 201910453609A CN 110190956 A CN110190956 A CN 110190956A
- Authority
- CN
- China
- Prior art keywords
- key
- ipsec
- target
- mentioned
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Abstract
本申请提供一种数据传输方法、装置、电子设备及机器可读存储介质。在本申请中,基于所述本端设备与所述对端设备基于IPSec阶段协商获取的目标SPI,在所述共享密钥块中获取与所述目标SPI对应的目标子密钥;基于所述目标子密钥生成的本端SA,对所述数据执行加密;将加密后的数据传输至所述对端设备;以使,所述对端设备在基于所述目标SPI,获取与所述目标SPI对应的所述目标子密钥、以及与所述本端SA对应的对端SA后,基于所述对端SA对所述加密后的数据执行解密,实现了IPSec VPN与第三方密钥技术相结合,提高了IPSec VPN数据传输的安全性。
Description
技术领域
本申请涉及通信技术领域,尤其涉及数据传输方法、装置、电子设备及机器可读存储介质。
背景技术
由于经济和社会的快速发展,企业信息化程度的提高,一个常见的需求就是各地分公司或办事处同企业总部的需要跨越互联网进行信息交互以及传递,而VPN(VirtualPrivate Network,虚拟专用网络)就是应对上述需求的一种远程访问技术。VPN按不同协议划分包括多种类型,其中,基于IPSec(Internet Protocol Security,互联网安全协议)的VPN,是常用的一种VPN。IPSec VPN对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP数据包的安全性,可以有效防范网络攻击。
基于IPSec的VPN,为互联网上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。基于IPSec VPN系统中的多个通信方之间在IP层通过加密与数据源认证等方式,提供了数据机密性、数据完整性、数据来源认证等安全服务。
发明内容
本申请提供一种数据传输方法,所述方法应用于IPSec VPN系统中的IPSec对等体,所述IPSec VPN系统在运行时,所述IPSec对等体可被配置为本端设备或对端设备,所述IPSec对等体从第三方密钥管理系统已获得了共享密钥块;其中,所述共享密钥块包括若干子密钥,当所述IPSec对等体为本端设备时,所述方法包括:
基于所述本端设备与所述对端设备的在IPSec阶段协商获取的目标SPI,在所述共享密钥块中获取与所述目标SPI对应的目标子密钥;
基于所述目标子密钥生成的本端SA,对所述数据执行加密;
将加密后的数据传输至所述对端设备;以使,所述对端设备在基于所述目标SPI,获取与所述目标SPI对应的所述目标子密钥、以及与所述本端SA对应的对端SA后,基于所述对端SA对所述加密后的数据执行解密。
可选的,若满足预设的时间计划和或若所述共享密钥块的已使用子密钥达到预设的阈值,所述基于所述本端设备与所述对端设备在IPSec阶段协商的目标SPI,在所述共享密钥块中获取与所述目标SPI对应的目标子密钥,还包括:
从所述第三方密钥管理系统获取新增密钥块;
基于所述新增密钥块,更新所述共享密钥块。
可选的,所述本端设备已保存所述目标SPI,所述基于所述目标子密钥生成的本端SA,包括:
将所述目标子密钥及所述目标SPI,作为入参传入到IPSec阶段协商获得的SA生成算法中,生成所述本端SA。
可选的,当所述IPSec对等体为对端设备时,还包括:
获取所述本端设备已发送的数据;
基于所述对端SA,对所述数据执行解密;
若解密失败,则基于所述对端SA对应的历史对端SA,对所述数据尝试二次解密。
本申请还提供一种数据传输装置,所述装置应用于IPSec VPN系统中的IPSec对等体,所述IPSec VPN系统在运行时,所述IPSec对等体可被配置为本端设备或对端设备,所述IPSec对等体从第三方密钥管理系统已获得了共享密钥块;其中,所述共享密钥块包括若干子密钥,当所述IPSec对等体为本端设备时,所述装置包括:
获取模块,基于所述本端设备与所述对端设备的在IPSec阶段协商获取的目标SPI,在所述共享密钥块中获取与所述目标SPI对应的目标子密钥;
加解密模块,基于所述目标子密钥生成的本端SA,对所述数据执行加密;
传输模块,将加密后的数据传输至所述对端设备;以使,所述对端设备在基于所述目标SPI,获取与所述目标SPI对应的所述目标子密钥、以及与所述本端SA对应的对端SA后,基于所述对端SA对所述加密后的数据执行解密。
可选的,若满足预设的时间计划和或若所述共享密钥块的已使用子密钥达到预设的阈值,所述获取模块进一步:
从所述第三方密钥管理系统获取新增密钥块;
基于所述新增密钥块,更新所述共享密钥块。
可选的,所述本端设备已保存所述目标SPI,所述加解密模块进一步:
将所述目标子密钥及所述目标SPI,作为入参传入到IPSec阶段协商获得的SA生成算法中,生成所述本端SA。
可选的,当所述IPSec对等体为对端设备时,所述传输模块进一步:
获取所述本端设备已发送的数据;
基于所述对端SA,对所述数据执行解密;
若解密失败,则基于所述对端SA对应的历史对端SA,对所述数据尝试二次解密。
本申请还提供一种电子设备,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行上述的方法。
本申请还提供一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现上述方法。
通过以上实施例,基于第三方密钥管理系统为IPSec VPN系统中的IPSec对等体提供共享密钥块;以及,IPSec对等体基于IPSec阶段协商获取的目标SPI,进一步确定对应的本端SA和对端SA,使得作为数据发送端的IPSec对等体基于本端SA加密及传输数据,作为数据接收端的IPSec对等体基于对端SA接收数据及解密处理,从而实现了IPSec VPN与第三方密钥技术相结合,提高了IPSec VPN数据传输的安全性。
附图说明
图1是一示例性实施例提供的一种IPSec VPN系统的组网图;
图2是一示例性实施例提供的一种数据传输方法的流程图;
图3是一示例性实施例提供的另一种IPSec VPN系统的组网图;
图4是一示例性实施例提供的一种数据传输装置的框图;
图5是一示例性实施例提供的一种电子设备的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使本技术领域的人员更好地理解本申请实施例中的技术方案,下面先对本申请实施例涉及的数据传输的相关技术,进行简要说明。
请参见图1,图1是本说明书一实施例提供的一种IPSec VPN系统的组网图。
如图1所示的组网包括:本端设备、对端设备;其中,本端设备与对端设备基于IPSec协议,通过创建如图1所示的穿越公网的“IPSec隧道”进行安全通信。基于如图1所示的组网,现有的技术方案通常是:本端设备与对端设备,基于IPSec协议,由本端设备与对端设备协商用于建立IPSec隧道的SA,从而进行数据传输。
而本申请旨在提出一种,基于第三方密钥管理系统为IPSec VPN系统中的IPSec对等体提供共享密钥块;以及,IPSec对等体基于IPSec阶段协商获取的目标SPI,进一步确定对应的本端SA和对端SA,从而进行更加安全数据传输的技术方案。
在实现时,基于本端设备与对端设备基于IPSec阶段协商获取的目标SPI,在共享密钥块中获取与所述目标SPI对应的目标子密钥;基于所述目标子密钥生成的本端SA,对所述数据执行加密;将加密后的数据传输至所述对端设备;以使,所述对端设备在基于所述目标SPI,获取与所述目标SPI对应的所述目标子密钥、以及与所述本端SA对应的对端SA后,基于所述对端SA对所述加密后的数据执行解密。
在以上方案中,基于第三方密钥管理系统为IPSec VPN系统中的IPSec对等体提供共享密钥块;以及,IPSec对等体基于IPSec阶段协商获取的目标SPI,进一步确定对应的本端SA和对端SA,使得作为数据发送端的IPSec对等体基于本端SA加密及传输数据,作为数据接收端的IPSec对等体基于对端SA接收数据及解密处理,从而实现了IPSec VPN与第三方密钥技术相结合,提高了IPSec VPN数据传输的安全性。
下面通过具体实施例并结合具体的应用场景对本申请进行描述。
请参考图2,图2是本申请一实施例提供的一种数据传输方法的流程图,所述方法应用于IPSec VPN系统中的IPSec对等体,所述IPSec VPN系统在运行时,所述IPSec对等体可被配置为本端设备或对端设备,所述IPSec对等体从第三方密钥管理系统已获得了共享密钥块;其中,所述共享密钥块包括若干子密钥,当所述IPSec对等体为本端设备时,上述方法执行以下步骤:
步骤202、基于所述本端设备与所述对端设备基于IPSec阶段协商获取的目标SPI,在所述共享密钥块中获取与所述目标SPI对应的目标子密钥。
步骤204、基于所述目标子密钥生成的本端SA,对所述数据执行加密。
步骤206、将加密后的数据传输至所述对端设备;以使,所述对端设备在基于所述目标SPI,获取与所述目标SPI对应的所述目标子密钥、以及与所述本端SA对应的对端SA后,基于所述对端SA对所述加密后的数据执行解密。
在本说明书中,IPSec在两个端点之间提供安全通信,上述两个端点被称为IPSec对等体。
例如:图1所示的本端设备、对端设备都是IPSec对等体。
在本说明书中,上述IPSec VPN系统,至少包括至少一对IPSec对等体的、基于IPSec的VPN系统;
其中,上述IPSec VPN系统在运行时,上述IPSec对等体可被配置为本端设备或对端设备。例如,图1所示的本端设备与对端设备是一对IPSec对等体。
需要说明的是,本端设备与对端设备是相对的概念,是以数据传输方向来表述,例如:当数据从IPSec对等体A传输到对应的IPSec对等体B时,则IPSec对等体A被称为本端设备,而IPSec对等体B被为对端设备;而当数据从IPSec对等体B传输到对应的IPSec对等体A时,则IPSec对等体B被称为本端设备,而IPSec对等体A被为对端设备。
在本说明书中,上述本端设备、上述对端设备是一对存在对应关系的IPSec对等体。
在本说明书中,上述IPSec VPN系统,还包括上述第三方密钥管理系统。
请参见图3,图3是本说明书一实施例提供的另一种IPSec VPN系统的组网图。图3与图1所示的组网,区别在于图3所示的IPSec VPN系统还包括上述第三方密钥管理系统。
其中,上述第三方密钥管理系统用于为上述IPSec对等体(例如图3所示的本端设备及对端设备)提供上述共享密钥块。
例如:上述第三方密钥管理系统可以是量子密钥管理服务系统,也可以是其它密钥管理服务系统。
在本说明书中,上述IPSec对等体可被配置为本端设备或对端设备,上述IPSec对等体从上述第三方密钥管理系统已获得了共享密钥块;其中,上述共享密钥块包括若干子密钥。
例如:上述共享密钥块为128KB(KiloByte,千字节),一个子密钥为128bit(比特),则上述共享密钥块包括8192个子密钥。
需要说明的是,上述本端设备、上述对端设备分别获得了由上述第三方密钥管理系统分发的相同的共享密钥块。
在本说明书中,上述本端设备、上述对端设备在分别获取上述共享密钥块后,可以基于上述子密钥在上述共享密钥块中存有对应编号。
例如,基于上述示例继续举例,上述共享密钥块包括8192个子密钥,对应编号为1、2、3、...、8190、8191、8192(包括1、8192及其之间自然数)。
以下通过具体的实施例,在如图3所示的组网架构的基础上,并结合“IPSec连接建立”、“数据传输”,对本申请的涉及的技术方案进行详细描述:
1)IPSec连接建立
为了方便理解,先介绍下IPSec相关的基本概念:SA(Security Association,安全联盟)。
SA(Security Association,安全联盟)介绍:
SA,是进行通信的IPSec对等体之间对IPSec协议中的具体要素的约定。例如,协议的封装模式、密码算法等;其中,SA是单向的,也即在通信的两个IPSec对等体之间进行通信的两个方向上,都需要对应的SA对。
为了方便理解,后续以为上述本端设备作为数据发出端,上述对端设备作为数据接收端进行详细描述。
在本说明书中,在上述本端设备向上述对端设备发起建立IPSec连接建立的过程中,上述本端设备需要与上述对端设备基于IPSec进行协商。
通常情况下,上述本端设备与上述对端设备需要通过两个阶段来实现IPSec连接建立;其中,该两个阶段包括:IKE(Internet Key Exchange,因特网密钥交换)阶段、IPSec阶段;
在实现时,IKE阶段为第一阶段,IPSec阶段为第二阶段,也即IPSec阶段必须要在IKE阶段完成后才能进行。在IKE阶段,上述本端设备与上述对端设备协商完成一系列算法和参数;其中,该系列算法和参数用于保护IPSec阶段(第二阶段)中的数据。
在本说明书中,基于上述本端设备与上述对端设备的在IPSec阶段协商获取的目标SPI,上述本端设备在上述共享密钥块中获取与上述目标SPI对应的目标子密钥;
其中,上述目标SPI是指,上述对端设备的在IPSec阶段协商发送的SPI(SecurityParameters Index,安全参数)。需要说明的是,上述目标SPI,与上述对端设备中所保存的上述共享密钥块中的一个目标子密钥相对应。
在实现时,上述目标SPI,由上述对端设备以与上述目标子密钥对应在上述共享密钥块的编号,作为预设映射算法的入参计算获得。
例如:上述目标SPI,由上述对端设备以与上述目标子密钥对应在上述共享密钥块的编号1,作为预设映射算法的入参,计算上述目标SPI为1000。
需要说明的是,上述预设映射算法,例如可以是HASH算法或其它算法,在本申请中,不作具体限定。
在本说明书中,在上述本端设备获取到上述目标SPI后,基于目标SPI,在上述本端设备本地保存的上述共享密钥块中,获取与上述目标SPI对应的上述目标子密钥。
在实现时,上述本端设备以上述目标SPI,作为预设映射算法的入参,计算获得对应子密钥编号;进一步,上述本端设备基于该子密钥编号,读取对应的子密钥,也即,该子密钥为上述目标SPI对应的上述目标子密钥。
例如:上述目标SPI为1000,上述本端设备以上述目标SPI,作为预设映射算法的入参,计算获得与上述目标SPI对应的子密钥编号为1,则上述本端设备,从上述共享密钥块中读取编号为1的子密钥,作为上述目标SPI对应的上述目标子密钥。
需要说明的是,上述本端设备使用的预设映射算法,与上述对端设备使用的预设映射算法需要相同。
在本说明书中,由于上述本端设备以及上述对端设备可以建立多个IPSec连接,同时需要对应使用多个子密钥,从而导致上述共享密钥块中的未使用的子密钥数量下降,为了保证IPSec连接的安全性,需要对上述共享密钥块进行不断更新和补充。
在示出的一种实施方式中,若满足预设的时间计划,上述本端设备从上述第三方密钥管理系统获取新增密钥块,基于上述新增密钥块,更新上述共享密钥块。
例如:按预设半小时周期,上述本端设备从上述第三方密钥管理系统获取新增密钥块,将上述新增密钥块补充到上述共享密钥块中,用于更新上述共享密钥块。
在示出的另一种实施方式中,若上述共享密钥块的已使用子密钥达到预设的阈值,上述本端设备从上述第三方密钥管理系统获取新增密钥块,基于上述新增密钥块,更新上述共享密钥块。
例如:上述共享密钥块的已使用子密钥达到上述共享密钥块子密钥总数的80%,上述本端设备从上述第三方密钥管理系统获取新增密钥块,将上述新增密钥块补充到上述共享密钥块中,用于更新上述共享密钥块。
在示出的另一种实施方式中,若满足预设的时间计划下,上述共享密钥块的已使用子密钥达到预设的阈值,上述本端设备从上述第三方密钥管理系统获取新增密钥块,基于上述新增密钥块,更新上述共享密钥块。
例如:按预设24小时周期内,上述共享密钥块的已使用子密钥达到上述共享密钥块子密钥总数的80%,上述本端设备从上述第三方密钥管理系统获取新增密钥块,将上述新增密钥块补充到上述共享密钥块中,用于更新上述共享密钥块。
需要说明的是,上述对端设备也同时需要更新上述共享密钥块,具体更新的策略及方法,与上述本端设备相同,这里不再赘述。
2)数据传输
在本说明书中,在上述本端设备从上述共享密钥块中获取与上述目标SPI对应的目标子密钥后,上述本端设备基于上述目标子密钥生成的本端SA,对上述数据执行加密。
在实现时,基于上述目标子密钥,以及上述本端设备与上述对端设备在IPSec阶段协商的一系列算法及封装参数,上述本端设备根据上述目标子密钥、该系列算法及封装参数,输出获得上述本端设备的本端SA;以使当上述对端设备接收到上述本端设备发送的承载上述加密数据的IPSec报文后,获取该报文中的上述目标SPI,并可以进一步根据上述目标SPI获取到上述对端设备的对端SA及上述目标子密钥,其中,上述对端SA与上述本端SA存在对应关系;以上IPSec阶段协商具体实现过程,可以参见IPSec协议,这里不再赘述。
在本说明书中,在上述本端设备基于上述本端SA后,基于上述本端SA对需要通过IPSec连接进行传输的数据执行加密,获得加密后的数据。
在本说明书中,上述本端设备将该加密后的数据传输上述对端设备;以使,上述对端设备在基于上述目标SPI获取到上述目标子密钥以及与上述对端SA后,基于上述对端SA对上述加密后的数据执行解密。
在示出的一种实施方式中,当上述对端设备接收到上述本端设备发送的上述加密后的数据时,基于上述对端SA,对上述数据执行解密;若解密成功,则完成IPSec数据安全传输。
在示出的一种另实施方式中,当上述对端设备接收到上述本端设备发送的上述加密后的数据时,基于上述对端SA,对上述数据执行解密;若解密失败,则上述对端设备基于上述对端SA对应的历史对端SA,对上述数据尝试二次解密,若二次解密成功,则完成IPSec数据安全传输;否则,上述对端设备则丢弃该数据。
需要说明的是,上述历史对端SA是指,上述对端SA的相对现在时刻的上一次的SA,由于在IPSec连接建立的协商过程中,可能出现上述对端SA切换过早情况,从而无法与上述本端SA对应解密,则上述对端设备会获取上述历史对端SA,尝试对数据二次解密。
基于以上过程,为以上述本端设备作为数据发出端,上述对端设备作为数据接收端进行数据传输的详细过程。同理,以上述对端设备作为数据发出端,上述本端设备作为数据接收端进行数据传输的过程,与“上述本端设备作为数据发出端,上述对端设备作为数据接收端进行数据传输的详细过程”相同,这里不再赘述。
在以上技术方案中,基于第三方密钥管理系统为IPSec VPN系统中的IPSec对等体提供共享密钥块;以及,IPSec对等体基于IPSec阶段协商获取的目标SPI,进一步确定对应的本端SA和对端SA,使得作为数据发送端的IPSec对等体基于本端SA加密及传输数据,作为数据接收端的IPSec对等体基于对端SA接收数据及解密处理,从而实现了IPSec VPN与第三方密钥技术相结合,提高了IPSec VPN数据传输的安全性。
图4是本申请一示例性实施例提供的一种数据传输装置的框图。与上述方法实施例相对应,本申请还提供了一种数据传输装置的实施例,所述装置应用于IPSec VPN系统中的IPSec对等体,所述IPSec VPN系统在运行时,所述IPSec对等体可被配置为本端设备或对端设备,所述IPSec对等体从第三方密钥管理系统已获得了共享密钥块;其中,所述共享密钥块包括若干子密钥,请参考图4所示例的一种数据传输装置40,当所述IPSec对等体为本端设备时,所述装置包括:
获取模块401,基于所述本端设备与所述对端设备的在IPSec阶段协商获取的目标SPI,在所述共享密钥块中获取与所述目标SPI对应的目标子密钥;
加解密模块402,基于所述目标子密钥生成的本端SA,对所述数据执行加密;
传输模块403,将加密后的数据传输至所述对端设备;以使,所述对端设备在基于所述目标SPI,获取与所述目标SPI对应的所述目标子密钥、以及与所述本端SA对应的对端SA后,基于所述对端SA对所述加密后的数据执行解密。
在本实施例中,若满足预设的时间计划和或若所述共享密钥块的已使用子密钥达到预设的阈值,所述获取模块401进一步:
从所述第三方密钥管理系统获取新增密钥块;
基于所述新增密钥块,更新所述共享密钥块。
在本实施例中,所述本端设备已保存所述目标SPI,所述加解密模块402进一步:
将所述目标子密钥及所述目标SPI,作为入参传入到IPSec阶段协商获得的SA生成算法中,生成所述本端SA。
在本实施例中,当所述IPSec对等体为对端设备时,所述传输模块403进一步:
获取所述本端设备已发送的数据;
基于所述对端SA,对所述数据执行解密;
若解密失败,则基于所述对端SA对应的历史对端SA,对所述数据尝试二次解密。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述实施例阐明的系统、装置、模块或模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本申请的数据传输装置的实施例可以应用在图5所示的电子设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将机器可读存储介质中对应的计算机程序指令读取后运行形成的机器可执行指令。从硬件层面而言,如图5所示,为本申请的数据传输装置所在电子设备的一种硬件结构图,除了图5所示的处理器、通信接口、总线以及机器可读存储介质之外,实施例中装置所在的电子设备通常根据该电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
对应地,本申请实施例还提供了图4所示装置的一种电子设备的硬件结构,请参见图5,图5为本申请实施例提供的一种电子设备的硬件结构示意图。该设备包含:通信接口501、处理器502、机器可读存储介质503和总线504;其中,通信接口501、处理器502、机器可读存储介质503通过总线504完成相互间的通信。其中,通信接口501,用于进行网络通信。处理器502可以是一个中央处理器(CPU),处理器502可以执行机器可读存储介质503中存储的机器可读指令,以实现以上描述的方法。
本文中提到的机器可读存储介质503可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质503可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图5所示的硬件结构描述。
此外,本申请实施例还提供了一种包括机器可执行指令的机器可读存储介质,例如图5中的机器可读机器可读存储介质503,所述机器可执行指令可由数据处理装置中的处理器502执行以实现以上描述的数据处理方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种数据传输方法,其特征在于,所述方法应用于IPSec VPN系统中的IPSec对等体,所述IPSec VPN系统在运行时,所述IPSec对等体可被配置为本端设备或对端设备,所述IPSec对等体从第三方密钥管理系统已获得了共享密钥块;其中,所述共享密钥块包括若干子密钥,当所述IPSec对等体为本端设备时,所述方法包括:
基于所述本端设备与所述对端设备的在IPSec阶段协商获取的目标SPI,在所述共享密钥块中获取与所述目标SPI对应的目标子密钥;
基于所述目标子密钥生成的本端SA,对所述数据执行加密;
将加密后的数据传输至所述对端设备;以使,所述对端设备在基于所述目标SPI,获取与所述目标SPI对应的所述目标子密钥、以及与所述本端SA对应的对端SA后,基于所述对端SA对所述加密后的数据执行解密。
2.根据权利要求1所述的方法,其特征在于,若满足预设的时间计划和或若所述共享密钥块的已使用子密钥达到预设的阈值,所述基于所述本端设备与所述对端设备在IPSec阶段协商的目标SPI,在所述共享密钥块中获取与所述目标SPI对应的目标子密钥,还包括:
从所述第三方密钥管理系统获取新增密钥块;
基于所述新增密钥块,更新所述共享密钥块。
3.根据权利要求1所述的方法,其特征在于,所述本端设备已保存所述目标SPI,所述基于所述目标子密钥生成的本端SA,包括:
将所述目标子密钥及所述目标SPI,作为入参传入到IPSec阶段协商获得的SA生成算法中,生成所述本端SA。
4.根据权利要求1所述的方法,其特征在于,当所述IPSec对等体为对端设备时,还包括:
获取所述本端设备已发送的数据;
基于所述对端SA,对所述数据执行解密;
若解密失败,则基于所述对端SA对应的历史对端SA,对所述数据尝试二次解密。
5.一种数据传输装置,其特征在于,所述装置应用于IPSec VPN系统中的IPSec对等体,所述IPSec VPN系统在运行时,所述IPSec对等体可被配置为本端设备或对端设备,所述IPSec对等体从第三方密钥管理系统已获得了共享密钥块;其中,所述共享密钥块包括若干子密钥,当所述IPSec对等体为本端设备时,所述装置包括:
获取模块,基于所述本端设备与所述对端设备的在IPSec阶段协商获取的目标SPI,在所述共享密钥块中获取与所述目标SPI对应的目标子密钥;
加解密模块,基于所述目标子密钥生成的本端SA,对所述数据执行加密;
传输模块,将加密后的数据传输至所述对端设备;以使,所述对端设备在基于所述目标SPI,获取与所述目标SPI对应的所述目标子密钥、以及与所述本端SA对应的对端SA后,基于所述对端SA对所述加密后的数据执行解密。
6.根据权利要求5所述的装置,其特征在于,若满足预设的时间计划和或若所述共享密钥块的已使用子密钥达到预设的阈值,所述获取模块进一步:
从所述第三方密钥管理系统获取新增密钥块;
基于所述新增密钥块,更新所述共享密钥块。
7.根据权利要求5所述的装置,其特征在于,所述本端设备已保存所述目标SPI,所述加解密模块进一步:
将所述目标子密钥及所述目标SPI,作为入参传入到IPSec阶段协商获得的SA生成算法中,生成所述本端SA。
8.根据权利要求5所述的装置,其特征在于,当所述IPSec对等体为对端设备时,所述传输模块进一步:
获取所述本端设备已发送的数据;
基于所述对端SA,对所述数据执行解密;
若解密失败,则基于所述对端SA对应的历史对端SA,对所述数据尝试二次解密。
9.一种电子设备,其特征在于,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行如权利要求1至4任一项所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现权利要求1至4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910453609.7A CN110190956A (zh) | 2019-05-28 | 2019-05-28 | 数据传输方法、装置、电子设备及机器可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910453609.7A CN110190956A (zh) | 2019-05-28 | 2019-05-28 | 数据传输方法、装置、电子设备及机器可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110190956A true CN110190956A (zh) | 2019-08-30 |
Family
ID=67718331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910453609.7A Pending CN110190956A (zh) | 2019-05-28 | 2019-05-28 | 数据传输方法、装置、电子设备及机器可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110190956A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110808969A (zh) * | 2019-10-28 | 2020-02-18 | 网御安全技术(深圳)有限公司 | 数据传输方法及系统、电子设备、存储介质 |
CN111614692A (zh) * | 2020-05-28 | 2020-09-01 | 广东纬德信息科技股份有限公司 | 一种基于电力网关的入站报文处理方法及装置 |
CN112235261A (zh) * | 2020-09-26 | 2021-01-15 | 建信金融科技有限责任公司 | 报文加密与解密方法、装置、电子设备及可读存储介质 |
CN113726507A (zh) * | 2021-08-26 | 2021-11-30 | 新华三信息安全技术有限公司 | 数据传输方法、系统、装置及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110047612A1 (en) * | 2008-04-30 | 2011-02-24 | Telecom Italia S.P.A. | Method for Network Access, Related Network and Computer Program Product Therefor |
CN106169952A (zh) * | 2016-09-06 | 2016-11-30 | 杭州迪普科技有限公司 | 一种英特网密钥管理协议重协商的认证方法及装置 |
CN107453869A (zh) * | 2017-09-01 | 2017-12-08 | 中国电子科技集团公司第三十研究所 | 一种实现量子安全的IPSecVPN的方法 |
CN109104428A (zh) * | 2018-08-28 | 2018-12-28 | 南京航空航天大学 | 物联网数据量子加密传输设备及传输方法 |
CN109450852A (zh) * | 2018-10-09 | 2019-03-08 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
-
2019
- 2019-05-28 CN CN201910453609.7A patent/CN110190956A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110047612A1 (en) * | 2008-04-30 | 2011-02-24 | Telecom Italia S.P.A. | Method for Network Access, Related Network and Computer Program Product Therefor |
CN106169952A (zh) * | 2016-09-06 | 2016-11-30 | 杭州迪普科技有限公司 | 一种英特网密钥管理协议重协商的认证方法及装置 |
CN107453869A (zh) * | 2017-09-01 | 2017-12-08 | 中国电子科技集团公司第三十研究所 | 一种实现量子安全的IPSecVPN的方法 |
CN109104428A (zh) * | 2018-08-28 | 2018-12-28 | 南京航空航天大学 | 物联网数据量子加密传输设备及传输方法 |
CN109450852A (zh) * | 2018-10-09 | 2019-03-08 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110808969A (zh) * | 2019-10-28 | 2020-02-18 | 网御安全技术(深圳)有限公司 | 数据传输方法及系统、电子设备、存储介质 |
CN110808969B (zh) * | 2019-10-28 | 2020-08-04 | 网御安全技术(深圳)有限公司 | 数据传输方法及系统、电子设备、存储介质 |
CN111614692A (zh) * | 2020-05-28 | 2020-09-01 | 广东纬德信息科技股份有限公司 | 一种基于电力网关的入站报文处理方法及装置 |
CN112235261A (zh) * | 2020-09-26 | 2021-01-15 | 建信金融科技有限责任公司 | 报文加密与解密方法、装置、电子设备及可读存储介质 |
CN113726507A (zh) * | 2021-08-26 | 2021-11-30 | 新华三信息安全技术有限公司 | 数据传输方法、系统、装置及存储介质 |
CN113726507B (zh) * | 2021-08-26 | 2023-10-27 | 新华三信息安全技术有限公司 | 数据传输方法、系统、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107453869B (zh) | 一种实现量子安全的IPSecVPN的方法 | |
US11271730B2 (en) | Systems and methods for deployment, management and use of dynamic cipher key systems | |
WO2021114819A1 (zh) | 生成和执行智能合约交易的方法及装置 | |
CN110190956A (zh) | 数据传输方法、装置、电子设备及机器可读存储介质 | |
CN110011795B (zh) | 基于区块链的对称群组密钥协商方法 | |
US6754678B2 (en) | Securely and autonomously synchronizing data in a distributed computing environment | |
JP4527358B2 (ja) | 鍵供託を使用しない、認証された個別暗号システム | |
US6965992B1 (en) | Method and system for network security capable of doing stronger encryption with authorized devices | |
RU2734294C2 (ru) | Способ и система для распределения ключей между сервером и медицинским устройством | |
KR20180115701A (ko) | 지갑 관리 시스템과 연계된 블록 체인 기반 시스템을 위한 암호키의 안전한 다기관 손실 방지 저장 및 전송 | |
US11277444B2 (en) | System-on-chip for performing virtual private network function and system including the same | |
US20100042841A1 (en) | Updating and Distributing Encryption Keys | |
CN108886468A (zh) | 用于分发基于身份的密钥资料和证书的系统和方法 | |
CN104301108B (zh) | 一种从基于身份环境到无证书环境的签密方法 | |
CN104660602A (zh) | 一种量子密钥传输控制方法及系统 | |
CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
CN104158880B (zh) | 一种用户端云数据共享解决方法 | |
WO2016136024A1 (ja) | 鍵付替え方向制御システムおよび鍵付替え方向制御方法 | |
CN112532580B (zh) | 一种基于区块链及代理重加密的数据传输方法及系统 | |
CN111404950A (zh) | 一种基于区块链网络的信息共享方法、装置和相关设备 | |
TW201537937A (zh) | 統一身份認證平臺及認證方法 | |
CN115174061A (zh) | 基于区块链中继通信网络系统的消息传输方法及装置 | |
CN116886288A (zh) | 一种量子会话密钥分发方法及装置 | |
JP2024503055A (ja) | 鍵確立のためのシステムおよび方法 | |
CN113726772A (zh) | 实现在线问诊会话的方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190830 |
|
RJ01 | Rejection of invention patent application after publication |