CN110798316A - 加密密钥生成及其加密方法、解密密钥生成及其解密方法 - Google Patents
加密密钥生成及其加密方法、解密密钥生成及其解密方法 Download PDFInfo
- Publication number
- CN110798316A CN110798316A CN201910893704.9A CN201910893704A CN110798316A CN 110798316 A CN110798316 A CN 110798316A CN 201910893704 A CN201910893704 A CN 201910893704A CN 110798316 A CN110798316 A CN 110798316A
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- decryption
- network data
- data frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种加密密钥生成及其加密方法、解密密钥生成及其解密方法,加密密钥生成方法包括:获取第一密钥因子;设置第一固定密钥,第一固定密钥预先设置并存储于加密设备中;协商第一动态密钥,根据第一配置参数、第一密钥协商方法在加密设备与解密设备间协商得到第一动态密钥;对第一密钥因子、第一固定密钥、第一动态密钥进行第一逻辑运算得到第一加密密钥;对第一加密密钥进行哈希运算得到第二加密密钥,第二加密密钥用于数据的加密。本发明提供的加密密钥生成方法实现了一包一密,加密密钥的复杂度高,增加了数据传输的安全性,提高了破解难度,而且生成的加密密钥,不需要在数据传输中重复设置,保证了网络数据传输性能。
Description
技术领域
本发明属于通信技术领域,具体涉及一种加密密钥生成及其加密方法、解密密钥生成及其解密方法。
背景技术
数据加密随处可见,常见的对称加密或非对称加密都是使用固定密钥或定时更新密钥,不管使用固定密钥还是定时更新密钥,都存在大量数据包使用相同密钥情况。黑客只需要攻击破解一包数据就能获取到大量数据包的密码。要想增加数据安全性,只能不断提高加密算法复杂性,提高破解难度。但任何算法都有被破解的可能,所以增加数据安全性,除了提高算法复杂性,还应该提高破解的时间成本和经济成本,当破解的成本远大于破解后的收益,对数据破解就失去意义。
传统实现一包一密是每次传输数据前相互协商一个密钥,在低速少量数据传输情况下可以使用该方案,但对于大量的高速数据包,每次都协商密钥严重影响传输的性能。
发明内容
为了解决现有技术中存在的上述问题,本发明提供了一种加密密钥生成及其加密方法、解密密钥生成及其解密方法。
本发明实施例提供了一种加密密钥生成方法,所述加密密钥生成方法包括:
获取第一密钥因子;
设置第一固定密钥,所述第一固定密钥预先设置并存储于加密设备中;
协商第一动态密钥,根据第一配置参数、第一密钥协商方法在所述加密设备与解密设备之间协商得到所述第一动态密钥;
对所述第一密钥因子、所述第一固定密钥、所述第一动态密钥进行第一逻辑运算得到第一加密密钥;
对所述第一加密密钥进行哈希运算得到第二加密密钥,所述第二加密密钥用于数据的加密。
在本发明的一个实施例中,获取第一密钥因子,包括:
获取第一网络数据帧,所述第一网络数据帧包括IPv4首部;
从所述IPv4首部中获取标识信息,并将所述标识信息作为所述第一密钥因子。
在本发明的一个实施例中,获取第一密钥因子,包括:
获取第二网络数据帧,所述第二网络数据帧包括IPv6首部;
从所述IPv6首部中获取流标签信息,并将所述流标签信息作为所述第一密钥因子。
本发明的另一个实施例提供了一种解密密钥生成方法,所述解密密钥生成方法包括:
获取第二密钥因子;
设置第二固定密钥,所述第二固定密钥预先设置并存储于解密设备中;
协商第二动态密钥,根据第二配置参数、第二密钥协商方法在所述加密设备与所述解密之间协商得到所述第二动态密钥;
对所述第二密钥因子、所述第二固定密钥、所述第二动态密钥进行第二逻辑运算得到第一解密密钥;
对所述第一解密密钥进行哈希运算得到第二解密密钥,所述第二解密密钥用于数据的解密。
在本发明的一个实施例中,获取第二密钥因子,包括:
获取第三网络数据帧,所述第三网络数据帧包括IPv4首部;
从所述IPv4首部中获取标识信息,并将所述标识信息作为所述第二密钥因子。
在本发明的一个实施例中,获取第二密钥因子,包括:
获取第四网络数据帧,所述第四网络数据帧包括IPv6首部;
从所述IPv6首部中获取流标签信息,并将所述流标签信息作为所述第二密钥因子。
本发明的再一个实施例提供了一种数据加密方法,包括连接的第一网络设备和加密设备,所述加密设备上执行所述数据加密方法时包括:
接收第五网络数据帧,所述第五网络数据帧由所述第一网络设备发送;
根据预设加密密钥对第五网络数据帧进行加密处理得到密文数据;
发送第六网络数据帧,所述第六网络数据帧包括密文数据。
在本发明的一个实施例中,所述预设加密密钥由上述任意所述加密密钥生成方法所生成。
本发明的又一个实施例提供了一种数据解密方法,包括连接的解密设备和第二网络设备,所述解密设备上执行所述数据解密方法时包括:
接收第七网络数据帧;
根据预设解密密钥对第七网络数据帧进行解密处理得到明文数据;
发送第八网络数据帧至所述第二网络设备,所述第八网络数据帧包括明文数据。
在本发明的一个实施例中,所述预设解密密钥由上述任意所述解密密钥生成方法所生成。
与现有技术相比,本发明的有益效果:
本发明提供的加密密钥生成方法使每一包网络数据帧都使用不同的密钥进行加密,实现了一包一密,而且加密密钥的复杂度高,从而增加了数据传输的安全性,提高了破解难度,使破解成本总是远大于得到的收益,失去破解的动机和动力,而且生成的加密密钥,不需要在数据传输中重复设置,保证了网络数据传输性能。
以下将结合附图及实施例对本发明做进一步详细说明。
附图说明
图1是本发明实施例提供的一种加密密钥生成方法的流程示意图;
图2是本发明实施例提供的一种解密密钥生成方法的流程示意图;
图3是本发明实施例提供的一种数据加密方法的流程示意图;
图4是本发明实施例提供的一种数据加密方法、数据解密方法中各设备之间的连接关系示意图;
图5是本发明实施例提供的一种数据解密方法的流程示意图;
图6是本发明实施例提供的另一种数据加密方法、数据解密方法中各设备之间的连接关系示意图。
具体实施方式
下面结合具体实施例对本发明做进一步详细的描述,但本发明的实施方式不限于此。
实施例一
数据加密随处可见,常见的对称加密或非对称加密都是使用固定密钥或定时更新密钥,不管使用固定密钥还是定时更新密钥,都存在大量数据包使用相同密钥情况。为了增加数据传输的安全性,降低被破解的风险,除优化加密算法,提高破解的难度,还要增加破解的成本,比如破解一包数据的成本是100元,而破解一包数据的平均收益是1元,如果使用固定密钥,破解一包数据就等于破解了所有数据,其破解成本只有100元,而其收益却是1*n,n为数据包的数目,只要获取的数据包大于100就有利可图。但如果每一包数据都使用不同的密钥加密,则其破解成本总是远大于得到的收益,将失去破解的动机和动力。但传统实现一包一密是每次传输数据前相互协商一个密钥,在低速少量数据传输情况下可以使用该方案,但对于大量的高速数据包,每次都协商密钥严重影响传输的性能。
针对上述存在的问题,请参见图1,图1是本发明实施例提供的一种加密密钥生成方法的流程示意图。本发明实施例提供了一种加密密钥生成方法,该加密密钥生成方法包括:
步骤1、获取第一密钥因子;
步骤2、设置第一固定密钥,第一固定密钥预先设置并存储于加密设备中;
步骤3、协商第一动态密钥,根据第二配置参数、第一密钥协商方法在加密设备与解密之间协商得到第一动态密钥;
步骤4、对第一密钥因子、第一固定密钥、第一动态密钥进行第一逻辑运算得到第一加密密钥;
步骤5、对第一加密密钥进行哈希运算得到第二加密密钥,第二加密密钥用于数据的加密。
具体而言,本实施例基于上述问题考虑,通过对第一密钥因子、第一固定密钥、第一动态密钥进行第一逻辑运算得到第一加密密钥来增加加密密钥的复杂度,提高破解的难度,同时对第一加密密钥进行哈希运算得到第二加密密钥,利用哈希运算得到哈希值作为第二加密密钥用于数据的加密,因为哈希运算不可逆,可以进一步提高破解的难度,增加安全性。其中,第一固定密钥在设备上预先设置,一般第一固定密钥设置之后不再改变,设置之后除非网络设计需要,管理员可随时修改;第一动态密钥由加密设备与解密设备之间协商得到,一般第一动态密钥设置之后不再改变,但当网络状态发生改变时需要重新协商第一动态密钥,其避免了传统实现一包一密时每次传输数据前都协商一个动态密钥的问题,保证了网络数据传输性能。
本实施例提供的加密密钥生成方法使每一包网络数据帧都使用不同的密钥进行加密,实现了一包一密,而且加密密钥的复杂度高,对加密效率没有影响,从而增加了数据传输的安全性,提高了破解难度,使破解成本总是远大于得到的收益,失去破解的动机和动力,而且生成的加密密钥,不需要在数据传输中重复设置,保证了网络数据传输性能。
进一步地,本实施例步骤1中获取第一密钥因子。
具体而言,本实施例选择网络数据帧头固定部分为第一密钥因子,对于IPv4网络数据帧和IPv6网络数据帧,第一密钥因子选择的网络数据帧头固定部分不同,具体地,包括步骤1.1、步骤1.2:
步骤1.1、从IPv4网络数据帧中获取第一密钥因子。
具体而言,本实施例在基于IPv4的网络中获取一第一网络数据帧,第一网络数据帧包括IPv4首部,从IPv4首部中获取标识信息,并将标识信息作为第一密钥因子。其中,第一网络数据帧包括应用层数据,以及依次在应用层数据上添加的EthernetII首部、IPv4首部、TCP/UDP首部,如表1所示。
表1第一网络数据帧的结构
| EthernetII首部 | IPv4首部 | TCP/UDP首部 | 应用层数据 |
本实施例添加的EthernetII首部的帧结构如表2所示,具体为:
表2 EthernetII首部的帧结构
本实施例添加的IPv4首部的帧结构如表3所示,具体为:
表3 IPv4首部的帧结构
本实施例添加的TCP首部的帧结构如表4所示,具体为:
表4 TCP首部的帧结构
本实施例添加的UDP首部的帧结构如表5所示,具体为:
表5 UDP首部的帧结构
步骤1.2、从IPv6网络数据帧中获取第一密钥因子。
具体而言,本实施例在基于IPv6的网络中获取一第二网络数据帧,第二网络数据帧包括IPv6首部,从IPv6首部中获取流标签信息,并将流标签信息作为第一密钥因子。其中,第二网络数据帧包括应用层数据,以及依次在应用层数据上添加的EthernetII首部、IPv6首部、TCP/UDP首部,如表6所示。
表6第二网络数据帧的结构
| EthernetII首部 | IPv6首部 | TCP/UDP首部 | 应用层数据 |
表6中EthernetII首部的帧结构如表1所示,TCP/UDP首部的帧结构如表3、表4所示,不同的应用层数据根据实际需要在相应的设备上进行封装,添加的IPv6首部的帧结构如表7所示,具体为:
表7IPv6首部的帧结构
在网络数据传输过程中,基于IPv4的网络,网络数据包括若干第一网络数据帧,每一第一网络数据帧为一包数据,基于IPv6的网络,网络数据包括若干第二网络数据帧,每一第二网络数据帧为一包数据,某一第一网络数据帧在传输过程中IPv4首部的标识保持不变,其他部分在传输中都有被改变的可能,某一第二网络数据帧在传输过程中IPv6首部的流标签保持不变,其他部分在传输中都有被改变的可能,而且不同的第一网络数据帧中IPv4首部的标识不同,不同的第二网络数据帧的IPv6首部的流标签不同,从而可以确保每一个网络数据帧的加密密钥都不相同。因此,本实施例将IPv4首部的标识或IPv6首部的流标签作为第一密钥因子,以保证一包一密的实现。
进一步地,本实施例步骤2中设置第一固定密钥,第一固定密钥预先设置并存储于加密设备中。
具体而言,本实施例根据加密网络设备上的配置参数进行第一固定密钥预先设置,设置的第一固定密钥将一直存储在加密设备中,管理员可以对第一固定密钥进行设置修改,设置过的第一固定密钥不需要重复设置。本实施例第一固定密钥由管理员设置,且管理员可能随时修改,可以大大提高数据传输的安全性。
进一步地,本实施例步骤3中协商第一动态密钥,根据第一配置参数、第一密钥协商方法在加密设备与解密设备之间协商得到第一动态密钥。
具体而言,本实施例在加密设备开始工作前,先根据加密网络设备上的第一配置参数确定协商一个或多个第一动态密钥,然后由加密设备发起协商,根据第一密钥协商方法在加密设备与解密设备之间协商得到一第一动态密钥,协商得到的第一动态密钥不需要重复设置,但当网络状态发生改变时需要重新协商第一动态密钥。本实施例通过网络中自动产生的第一动态协商密钥确保加密密钥的唯一性,且任何一个参与者均对结果都会产生影响,从而防止通过盗取加密设备后获取加密设备中存储的数据来破解加密数据。其中,第一密钥协商方法为国家密码管理局相关规范中批准的密钥协商算法,比如RSA、ECC、DH、ECDH等。
进一步地,本实施例步骤4中对第一密钥因子、第一固定密钥、第一动态密钥进行第一逻辑运算得到第一加密密钥。
具体而言,本实施例通过步骤1获取第一密钥因子,步骤2获取第一固定密钥,步骤3获取第一动态密钥,然后将第一密钥因子、第一固定密钥、第一动态密钥进行第一逻辑运算得到第一加密密钥,第一逻辑运算包括异或、与等逻辑运算,比如第一加密密钥=(第一密钥因子⊕第一固定密钥⊕第一协商密钥),或者第一加密密钥=(第一密钥因子&第一固定密钥⊕第一协商密钥)。本实施例通过不同的第一逻辑运算,可以得到不同的第一加密密钥。
本实施例通过对第一密钥因子、第一固定密钥、第一动态密钥进行逻辑运算后,再设置为加密密钥,提高了加密密钥的复杂度,提高了破解的难度。
进一步地,本实施例步骤5中对第一加密密钥进行哈希运算得到第二加密密钥,第二加密密钥用于数据的加密。
具体而言,哈希运算是一种单向密码体制,即它是一个不可逆的映射过程,本实施例通过对第一加密密钥进行哈希运算得到的第二加密密钥,提高了破解的难度,提高了网络数据传输的安全性。本实施例将第二加密密钥作为数据加密的最终加密密钥。其中,本实施例哈希运算得到的哈希值为固定长度,则可以利用哈希运算得到固定长度的加密密钥,方便对网络数据进行加密处理;本实施例将哈希值拆分为加密方法的第一向量和加密密钥,由第一向量和加密密钥共同构成第二加密密钥,也可以只将哈希值作为加密方法中的加密密钥或第一向量,此时加密方法中需要的第一向量或加密密钥可以使用其他参数,再由第一向量和加密密钥共同构成第二加密密钥。
实施例二
在上述实施例一的基础上,请参见图2,图2是本发明实施例提供的一种解密密钥生成方法的流程示意图。本实施例提供了一种解密密钥生成方法包括:
步骤1、获取第二密钥因子;
步骤2、设置第二固定密钥,第二固定密钥预先设置并存储于解密设备中;
步骤3、协商第二动态密钥,根据第二配置参数、第二密钥协商方法在加密设备与解密之间协商得到第二动态密钥;
步骤4、对第二密钥因子、第二固定密钥、第二动态密钥进行第二逻辑运算得到第一解密密钥;
步骤5、对第一解密密钥进行哈希运算得到第二解密密钥,第二解密密钥用于数据的解密。
具体而言,同实施例一提供的一种加密密钥生成方法,本实施例通过对第二密钥因子、第二固定密钥、第二动态密钥进行第二逻辑运算得到第一解密密钥来增加解密密钥的复杂度,提高破解的难度,同时对第一解密密钥进行哈希运算得到第二解密密钥,利用哈希运算得到哈希值作为第二解密密钥用于数据的解密,因为哈希运算不可逆,可以进一步提高破解的难度,增加安全性。
进一步地,本实施例步骤1中获取第二密钥因子。
具体而言,同实施例一提供的一种加密密钥生成方法的步骤1,具体地如实施例一提供的一种加密密钥生成方法的步骤1.1和步骤1.2,解密过程中,基于IPv4的网络,网络传输过程中网络数据包括若干第三网络数据帧,每一第三网络数据帧为一包数据,基于IPv6的网络,网络传输过程中网络数据包括若干第四网络数据帧,每一第三网络数据帧为一包数据,某一第三网络数据帧在传输过程中IPv4首部的标识保持不变,其他部分在传输中都有被改变的可能,某一第四网络数据帧在传输过程中IPv6首部的流标签保持不变,其他部分在传输中都有被改变的可能,而且不同的第三网络数据帧中IPv4首部的标识不同,不同的第四网络数据帧的IPv6首部的流标签不同,从而可以确保每一个网络数据帧的解密密钥都不相同。因此,本实施例将IPv4首部的标识或IPv6首部的流标签作为第二密钥因子,以保证一包一密的实现。其中,第三网络数据帧的结构与第一网络数据帧结构相同,具体第一网络数据帧的结构如实施例一的表1所示,第四网络数据帧的结构与第二网络数据帧结构相同,具体第二网络数据帧的结构如实施例一的表6所示。
进一步地,本实施例步骤2中设置第二固定密钥,第二固定密钥预先设置并存储于解密设备中。
具体而言,同实施例一提供的一种加密密钥生成方法的步骤2,本实施例根据解密网络设备上的配置参数进行第二固定密钥预先设置,设置的第二固定密钥将一直存储在解密设备中,管理员可以对第二固定密钥进行设置修改,设置过的第二固定密钥不需要重复设置。本实施例第二固定密钥由管理员设置,且管理员可能随时修改,可以大大提高数据传输的安全性。本实施例设置的第二固定密钥与第一固定密钥可相同,可不相同。
进一步地,本实施例步骤3中协商第二动态密钥,根据第二配置参数、第二密钥协商方法在加密设备与解密之间协商得到第二动态密钥。
具体而言,同实施例一提供的一种加密密钥生成方法的步骤3,本实施例在解密设开始工作前,先根据解密网络设备上的第二配置参数协商一个或多个第二动态密钥,然后由解密设备发起协商,也可以根据上述实施例一中的加密设备发起协商的同时,根据第二密钥协商方法在加密设备与解密设备之间协商得到一第二动态密钥,协商得到的第二动态密钥不需要重复设置,但当网络状态发生改变时需要重新协商第二动态密钥。本实施例通过网络中自动产生的第二动态协商密钥确保解密密钥的唯一性,且任何一个参与者均对结果都会产生影响,从而防止通过盗取解密设备后获取解密设备中存储的数据来破解解密数据。其中,第二密钥协商方法为国家密码管理局相关规范中批准的密钥协商算法,比如RSA、ECC、DH、ECDH等。本实施例设置的第二动态密钥与第一动态密钥可相同,可不相同。
进一步地,本实施例步骤4中对第二密钥因子、第二固定密钥、第二动态密钥进行第二逻辑运算得到第一解密密钥。
具体而言,本实施例通过步骤1获取第二密钥因子,步骤2获取第二固定密钥,步骤3获取第二动态密钥,然后将第二密钥因子、第二固定密钥、第二动态密钥进行第二逻辑运算得到第一解密密钥,第二逻辑运算包括异或、与等逻辑运算,比如第一解密密钥=(第一密钥因子⊕第一固定密钥&第一协商密钥),或者第一解密密钥=(第一密钥因子&第一固定密钥⊕第一协商密钥)。其中,第一解密密钥与第一加密密钥可相同,可不相同,若第一解密密钥与第一加密密钥相同时,为对称性加密技术,若第一解密密钥与第一加密密钥不相同时,为非对称性加密技术。
本实施例通过对第二密钥因子、第二固定密钥、第二动态密钥进行逻辑运算后,再设置为解密密码,提高了解密密码的复杂度,提高了破解的难度。
进一步地,本实施例步骤5中对第一解密密钥进行哈希运算得到第二解密密钥,第二解密密钥用于数据的解密。
具体而言,本实施例通过对第一解密密钥进行哈希运算得到的第二解密密钥,提高了破解的难度,安全性更高。本实施例将第二解密密钥作为数据解密的最终解密密钥。其中,本实施例哈希运算得到的哈希值为固定长度,则可以利用哈希运算得到固定长度的解密密钥,方便对网络数据进行加密处理;本实施例将哈希值拆分为解密方法的第二向量和解密密钥,由第二向量和解密密钥共同构成第二解密密钥,也可以只将哈希值作为加密方法中的解密密钥或第二向量,此时解密方法中需要的第二向量或解密密钥可以使用其他参数,再由第二向量和解密密钥共同构成第二解密密钥。
实施例三
在上述实施例一的基础上,请参见图3、图4,图3是本发明实施例提供的一种数据加密方法的流程示意图,图4是本发明实施例提供的一种数据加密方法、数据解密方法中各设备之间的连接关系示意图。本实施例提供了一种数据加密方法,包括连接的第一网络设备和加密设备,加密设备上执行所述数据加密方法时包括:
步骤1、接收第五网络数据帧,第五网络数据帧由第一网络设备发送;
步骤2、根据预设加密密钥对第五网络数据帧进行加密处理得到密文数据;
步骤3、发送第六网络数据帧,第六网络数据帧包括密文数据。
具体而言,请再参见图4,本实施例加密设备接收第一网络设备发送的第五网络数据帧,根据加密设备上的配置参数判断接收到的第五网络数据帧是否需要加密,若第五网络数据帧不需加密,则根据配置参数进行相应地处理,比如透传、丢弃或其他处理,优选透传,选择透传可以实现与任何网络进行明文通信,不影响访问公共网络数据;若第五网络数据帧需加密,则在加密设备上对第五网络数据帧中需要加密的有效数据根据预设加密密钥进行加密处理得到密文数据,并将第五网络数据帧的帧头内容和密文数据进行重新封装形成第六网络数据帧,并将第六网络数据帧发送至后级设备中,后级设备包括如图4所示的解密设备。其中,本实施例第一网络设备发送第五网络数据帧至加密设备,若第五网络数据帧为基于IPv4的网络数据帧,则第五网络数据帧结构与第一网络数据帧的结构相同,若第五网络数据帧为基于IPv6的网络数据帧,则第五网络数据帧结构与第二网络数据帧的结构相同,具体第一网络数据帧的结构如实施例一的表1所示,第二网络数据帧的结构如实施例一的表6所示,同理,第六网络数据帧为基于IPv4网络数据帧时,第六网络数据帧与第一网络数据帧的结构相同,第六网络数据帧为基于IPv6网络数据帧时,第六网络数据帧与第二网络数据帧的结构相同。
本实施例整个加密过程,保证了网络数据帧的结构完全一致,加密后不修改网络数据帧的帧头内容,只加密有效数据,不改变网络数据帧的结构,不影响网络性能,加密后的网络数据帧与加密前的网络数据帧的结构完全一致,外部无法区分是加密后的网络数据帧,还是加密前的网络数据帧,不容易遭受攻击,网络安全性强。
本实施例中预设加密密钥采用实施例一中的加密密钥生成方法生成的,通过该加密密钥生成方法生成的加密密钥,对第五网络数据帧中的有效数据进行加密,因为该通过逻辑运算得到的加密密钥复杂度高,提高了破解的难度,同时对逻辑运算后的加密密钥进行哈希运算,使得加密密钥不可逆,更加提高了破解的难度,提高了网络数据传输的安全性。
本实施例可以执行上述实施例一中的加密密钥生成方法实施例,其实现原理和技术效果类似,在此不再赘述。
实施例四
在上述实施例二的基础上,请参见图5,图5是本发明实施例提供的一种数据解密方法的流程示意图。本实施例提供了一种数据解密方法,包括连接的解密设备和第二网络设备,解密设备上执行所述数据解密方法时包括:
步骤1、接收第七网络数据帧;
步骤2、根据预设解密密钥对第七网络数据帧进行解密处理得到明文数据;
步骤3、发送第八网络数据帧至第二网络设备,第八网络数据帧包括明文数据。
具体而言,请再参见图4,本实施例解密设备接收前级设备发送的第七网络数据帧,前级设备包括如图4中的加密设备,根据解密设备上的配置参数判断接收到的第七网络数据帧是否需要解密,若第七网络数据帧不需解密,则根据配置参数相应处理,比如透传、丢弃或其他处理,优选透传,选择透传可以实现与任何网络进行明文通信,不影响访问公共网络数据;若第七网络数据帧需解密,则在解密设备上对第七网络数据帧中需要解密的密文数据根据预设解密密钥进行解密处理得到明文数据,并将明文数据进行重新封装形成第八网络数据帧,并将第八网络数据帧发送至第二网络设备。其中,本实施例加密设备发送至解密设备的第七网络数据帧,若第七网络数据帧为基于IPv4的网络数据帧,则第七网络数据帧结构与第三网络数据帧的结构相同,若第七网络数据帧为基于IPv6的网络数据帧,则第七网络数据帧结构与第四网络数据帧的结构相同,同理,第八网络数据帧为基于IPv4网络数据帧时,第八网络数据帧与第三网络数据帧的结构相同,第六网络数据帧为基于IPv6网络数据帧时,第八网络数据帧与第四网络数据帧的结构相同。
本实施例整个解密过程,保证了网络数据帧的结构完全一致,解密后不修改网络数据帧的帧头内容,只解密有效数据,不改变网络数据帧的结构,不影响网络性能,解密后的网络数据帧与解密前的网络数据帧的结构完全一致,外部无法区分是解密后的网络数据帧,还是解密前的网络数据帧,不容易遭受攻击,网络安全性强。
本实施例中预设解密密钥采用实施例二中的解密密钥生成方法生成的,通过该解密密钥生成方法生成的解密密钥,对第七网络数据帧中的密文数据进行解密,因为该通过逻辑运算得到的解密密钥复杂度高,提高了破解的难度,同时对逻辑运算后的解密密钥进行哈希运算,使得解密密钥不可逆,更加提高了破解的难度,提高了网络数据传输的安全性。
本实施例可以执行上述实施例二中的解密密钥生成方法实施例,其实现原理和技术效果类似,在此不再赘述
实施例五
在上述实施例三、实施例四的基础上,请再参见图4,包括依次连接的第一网络设备、加密设备、解密设备、第二网络设备,具体地如图4所示,当第一网络设备192.168.1.200发送给第二网络设备192.168.1.100网络数据帧时,网络数据帧经过加密设备时对网络数据帧进行加密处理,经过解密设备时对网络数据帧进行解密处理。可见,本实施例中加密设备、解密设备如图4所示可以为独立的设备,单独在加密设备上根据实施例三所述的数据加密方法进行加密处理,亦单独在解密设备上根据实施例四所述的数据解密方法进行解密处理。整个网络中一包数据的加密过程和解密过程中,基于IPv4网络数据中的IPv4首部的标识不变,基于IPv6网络数据中的IPv6首部的流标签不变,即第一网络数据帧、第二网络数据帧、第三网络数据帧、第四网络数据帧第五网络数据帧、第六网络数据帧、第七网络数据帧和第八网络数据帧中IPv4首部中的标识或IPv6首部中的流标签不变。
本实施例加密设备、解密设备也可以为同一设备,记为加解密设备,该加解密设备既可以进行加密处理,也可以进行解密处理,具体对传输中的网络数据帧进行加密或是解密处理根据该加解密设备上的配置参数决定,当配置参数确定该加解密设备上需执行加密处理时,根据实施例三所述的数据加密方法对加解密设备接收的网络数据帧进行加密处理,当配置参数确定该加解密设备上需执行解密处理时,根据实施例四所述的数据解密方法对加解密设备接收的网络数据帧进行解密处理,整个网络中一包数据的加密过程、解密过程中IP首部不变。请参见图6,图6是本发明实施例提供的另一种数据加密方法、数据解密方法中各网络设备之间的连接关系示意图,本实施例网络中包括依次连接的第一网络设备、第一加解密设备、第二加解密网设备、第二网络设备,具体地,如图6所示若网络中双向的数据需要加密时:当第一网络设备192.168.1.200发送给第二网络设备192.168.1.100网络数据帧时,网络数据帧经过第一加解密设备时对网络数据帧进行加密处理,经过第二加解密设备时对网络数据帧进行解密处理;当第一网络设备192.1.8.1.100发送给第二网络设备192.168.1.200网络数据帧时,经过第二加解密设备时对网络数据帧进行加密处理,经过第一加解密设备时对网络数据帧的进行解密处理。本实施例中第一网络设备作为发送端,第二网络设备作为接收端,在不同IP下实现第一网络设备与第二网络设备之间的网络数据的加密和解密。其中,第一加解密设备和第二加解密设备中进行加密时,使用的加密密钥采用实施例一中的加密密钥生成方法生成的,第一加解密设备和第二加解密设备中进行解密时,使用的解密密钥采用实施例二中的解密密钥生成方法生成的。
需要说明的是,加密设备、解密设备为独立设置,还是加密设备、解密设备为同一设备设置,由具体网络环境需要决定。
本实施例图4、图6只是作为一实施例加以说明,本实施例既支持IPv4网络数据的加密、解密处理,也支持IPv6网络数据的加密、解密处理,具体加密过程、解密过程中各设备的连接以实际网络设计需要为准,只需在加密设备上执行如实施例三所述的数据加密方法,在解密设备上执行如实施例四所述的数据解密方法。
本实施例可以执行上述实施例三中的数据加密方法实施例、实施例四中的数据解密方法实施例,其实现原理和技术效果类似,在此不再赘述。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种加密密钥生成方法,其特征在于,所述加密密钥生成方法包括:
获取第一密钥因子;
设置第一固定密钥,所述第一固定密钥预先设置并存储于加密设备中;
协商第一动态密钥,根据第一配置参数、第一密钥协商方法在所述加密设备与解密设备之间协商得到所述第一动态密钥;
对所述第一密钥因子、所述第一固定密钥、所述第一动态密钥进行第一逻辑运算得到第一加密密钥;
对所述第一加密密钥进行哈希运算得到第二加密密钥,所述第二加密密钥用于数据的加密。
2.根据权利要求1所述的加密密钥生成方法,其特征在于,获取第一密钥因子,包括:
获取第一网络数据帧,所述第一网络数据帧包括IPv4首部;
从所述IPv4首部中获取标识信息,并将所述标识信息作为所述第一密钥因子。
3.根据权利要求1所述的加密密钥生成方法,其特征在于,获取第一密钥因子,包括:
获取第二网络数据帧,所述第二网络数据帧包括IPv6首部;
从所述IPv6首部中获取流标签信息,并将所述流标签信息作为所述第一密钥因子。
4.一种解密密钥生成方法,其特征在于,所述解密密钥生成方法包括:
获取第二密钥因子;
设置第二固定密钥,所述第二固定密钥预先设置并存储于解密设备中;
协商第二动态密钥,根据第二配置参数、第二密钥协商方法在所述加密设备与所述解密之间协商得到所述第二动态密钥;
对所述第二密钥因子、所述第二固定密钥、所述第二动态密钥进行第二逻辑运算得到第一解密密钥;
对所述第一解密密钥进行哈希运算得到第二解密密钥,所述第二解密密钥用于数据的解密。
5.根据权利要求4所述的解密密钥生成方法,其特征在于,获取第二密钥因子,包括:
获取第三网络数据帧,所述第三网络数据帧包括IPv4首部;
从所述IPv4首部中获取标识信息,并将所述标识信息作为所述第二密钥因子。
6.根据权利要求4所述的解密密钥生成方法,其特征在于,获取第二密钥因子,包括:
获取第四网络数据帧,所述第四网络数据帧包括IPv6首部;
从所述IPv6首部中获取流标签信息,并将所述流标签信息作为所述第二密钥因子。
7.一种数据加密方法,其特征在于,包括依次连接的第一网络设备、加密设备,所述加密设备上执行所述数据加密方法时包括:
接收第五网络数据帧,所述第五网络数据帧由所述第一网络设备发送;
根据预设加密密钥对第五网络数据帧进行加密处理得到密文数据;
发送第六网络数据帧,所述第六网络数据帧包括密文数据。
8.根据权利要求7所述的数据加密方法,其特征在于,所述预设加密密钥由权利要求1~3任意所述加密密钥生成方法所生成。
9.一种数据解密方法,其特征在于,包括连接的解密设备和第二网络设备,所述解密设备上执行所述数据解密方法时包括:
接收第七网络数据帧;
根据预设解密密钥对第七网络数据帧进行解密处理得到明文数据;
发送第八网络数据帧至所述第二网络设备,所述第八网络数据帧包括明文数据。
10.根据权利要求9所述的数据解密方法,其特征在于,所述预设解密密钥由权利要求4~6任意所述解密密钥生成方法所生成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910893704.9A CN110798316A (zh) | 2019-09-20 | 2019-09-20 | 加密密钥生成及其加密方法、解密密钥生成及其解密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910893704.9A CN110798316A (zh) | 2019-09-20 | 2019-09-20 | 加密密钥生成及其加密方法、解密密钥生成及其解密方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110798316A true CN110798316A (zh) | 2020-02-14 |
Family
ID=69438603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910893704.9A Pending CN110798316A (zh) | 2019-09-20 | 2019-09-20 | 加密密钥生成及其加密方法、解密密钥生成及其解密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110798316A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111681662A (zh) * | 2020-06-01 | 2020-09-18 | 科大讯飞股份有限公司 | 车内交互音频加密方法、装置及设备 |
| CN112198354A (zh) * | 2020-09-27 | 2021-01-08 | 广东电网有限责任公司梅州供电局 | 一种钳表 |
| CN112564901A (zh) * | 2020-12-08 | 2021-03-26 | 浙江三维万易联科技有限公司 | 密钥的生成方法和系统、存储介质及电子装置 |
| CN112788068A (zh) * | 2021-03-23 | 2021-05-11 | 南京工业大学 | 一种云计算中基于cp-abe的固定密文长度代理重加密系统和方法 |
| CN113923029A (zh) * | 2021-10-11 | 2022-01-11 | 广东天镝科技有限公司 | 基于ecc混合算法的物联网信息加密方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1633778A (zh) * | 2001-10-09 | 2005-06-29 | 高通股份有限公司 | 用于数据处理系统内安全性的方法和装置 |
| CN101005355A (zh) * | 2006-01-12 | 2007-07-25 | 三星电子株式会社 | Ipv4/ipv6综合网络系统的安全通信系统和方法 |
| CN102006593A (zh) * | 2010-10-29 | 2011-04-06 | 公安部第一研究所 | 一种用于低速窄带无线数字通信的端到端语音加密方法 |
| CN103684787A (zh) * | 2013-12-13 | 2014-03-26 | 北京大学深圳研究生院 | 基于网络传输的数据包的加密解密方法及终端 |
| US20160063267A1 (en) * | 2014-08-27 | 2016-03-03 | Douglas Ralph Dempsey | Tri-module data protection system specification |
| US20170264600A1 (en) * | 2016-03-08 | 2017-09-14 | Qualcomm Incorporated | System, apparatus and method for generating dynamic ipv6 addresses for secure authentication |
| CN109428867A (zh) * | 2017-08-30 | 2019-03-05 | 华为技术有限公司 | 一种报文加解密方法、网路设备及系统 |
| CN109450852A (zh) * | 2018-10-09 | 2019-03-08 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
| CN110224811A (zh) * | 2019-05-13 | 2019-09-10 | 中国联合网络通信集团有限公司 | 物联网加密处理方法、装置及系统 |
-
2019
- 2019-09-20 CN CN201910893704.9A patent/CN110798316A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1633778A (zh) * | 2001-10-09 | 2005-06-29 | 高通股份有限公司 | 用于数据处理系统内安全性的方法和装置 |
| CN101005355A (zh) * | 2006-01-12 | 2007-07-25 | 三星电子株式会社 | Ipv4/ipv6综合网络系统的安全通信系统和方法 |
| CN102006593A (zh) * | 2010-10-29 | 2011-04-06 | 公安部第一研究所 | 一种用于低速窄带无线数字通信的端到端语音加密方法 |
| CN103684787A (zh) * | 2013-12-13 | 2014-03-26 | 北京大学深圳研究生院 | 基于网络传输的数据包的加密解密方法及终端 |
| US20160063267A1 (en) * | 2014-08-27 | 2016-03-03 | Douglas Ralph Dempsey | Tri-module data protection system specification |
| US20170264600A1 (en) * | 2016-03-08 | 2017-09-14 | Qualcomm Incorporated | System, apparatus and method for generating dynamic ipv6 addresses for secure authentication |
| CN109428867A (zh) * | 2017-08-30 | 2019-03-05 | 华为技术有限公司 | 一种报文加解密方法、网路设备及系统 |
| CN109450852A (zh) * | 2018-10-09 | 2019-03-08 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
| CN110224811A (zh) * | 2019-05-13 | 2019-09-10 | 中国联合网络通信集团有限公司 | 物联网加密处理方法、装置及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111681662A (zh) * | 2020-06-01 | 2020-09-18 | 科大讯飞股份有限公司 | 车内交互音频加密方法、装置及设备 |
| CN112198354A (zh) * | 2020-09-27 | 2021-01-08 | 广东电网有限责任公司梅州供电局 | 一种钳表 |
| CN112564901A (zh) * | 2020-12-08 | 2021-03-26 | 浙江三维万易联科技有限公司 | 密钥的生成方法和系统、存储介质及电子装置 |
| CN112564901B (zh) * | 2020-12-08 | 2023-08-25 | 三维通信股份有限公司 | 密钥的生成方法和系统、存储介质及电子装置 |
| CN112788068A (zh) * | 2021-03-23 | 2021-05-11 | 南京工业大学 | 一种云计算中基于cp-abe的固定密文长度代理重加密系统和方法 |
| CN113923029A (zh) * | 2021-10-11 | 2022-01-11 | 广东天镝科技有限公司 | 基于ecc混合算法的物联网信息加密方法 |
| CN113923029B (zh) * | 2021-10-11 | 2024-04-05 | 广东天镝科技有限公司 | 基于ecc混合算法的物联网信息加密方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11792169B2 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| CN110798316A (zh) | 加密密钥生成及其加密方法、解密密钥生成及其解密方法 | |
| Bhargavan et al. | On the practical (in-) security of 64-bit block ciphers: Collision attacks on HTTP over TLS and OpenVPN | |
| US20140192979A1 (en) | Method and Apparatus for Generating Large Numbers of Encryption Keys | |
| CN116321129B (zh) | 一种轻量级的基于动态密钥的电力交易专网通信加密方法 | |
| US9872175B2 (en) | Packet processing method, apparatus, and system | |
| US8281122B2 (en) | Generation and/or reception, at least in part, of packet including encrypted payload | |
| CN111800436B (zh) | IPSec隔离网卡设备及安全通信方法 | |
| WO2018231519A1 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| CN109344639A (zh) | 一种配网自动化双重防护安全芯片、数据传输方法及设备 | |
| CN112332940B (zh) | 一种基于时间同步网络的数据传输方法及相关设备 | |
| CN113572766A (zh) | 电力数据传输方法和系统 | |
| CN113242122A (zh) | 一种基于dh和rsa加密算法的加密方法 | |
| CN110691074B (zh) | 一种IPv6数据加密方法、IPv6数据解密方法 | |
| Paul et al. | Hybrid OPC UA: enabling post-quantum security for the industrial internet of things | |
| CN114124416B (zh) | 一种网络之间数据快速交换系统及交换方法 | |
| CN110768958B (zh) | 一种IPv4数据加密方法、IPv4数据解密方法 | |
| WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
| Backes et al. | Computational soundness of symbolic zero-knowledge proofs | |
| CN108737414A (zh) | 一种互联网数据安全传输方法及其安全传输装置及其实现方法 | |
| Zuo et al. | A novel software-defined network packet security tunnel forwarding mechanism | |
| Yilmaz et al. | A two-flights mutual authentication for energy-constrained iot devices | |
| Jiang et al. | Practical algorithm substitution attacks on real-world public-key cryptosystems | |
| CN113972998A (zh) | 一种预共享密钥psk的更新方法及装置 | |
| Joaquim et al. | Vulnerability-tolerant transport layer security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |