CN111556075B - 基于无交互密钥协商的数据传输路径还原方法及系统 - Google Patents
基于无交互密钥协商的数据传输路径还原方法及系统 Download PDFInfo
- Publication number
- CN111556075B CN111556075B CN202010407168.XA CN202010407168A CN111556075B CN 111556075 B CN111556075 B CN 111556075B CN 202010407168 A CN202010407168 A CN 202010407168A CN 111556075 B CN111556075 B CN 111556075B
- Authority
- CN
- China
- Prior art keywords
- message
- identification code
- path
- transmission path
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于无交互密钥协商的数据传输路径还原方法及系统,本发明方法中目的端接收报文后的处理步骤包括:提取出报文中的第一标识码,查询自身路由表获得传输路径集合M;针对路径集合M中的每一条路径M j :依次根据路径M j 中的中间网络节点的全局身份标识和报文进行迭代生成第二标识码并嵌入报文,如果最后生成的第二标识码和第一标识码一致,则判定该路径为传输路径。本发明通信开销小,不像传统方式需要随着经过网络传输节点的数量增加,占用字节成倍增加,传输节点存储、计算资源消耗低,具有高准确还原路径能力,能够检测多种类型的假数据注入攻击,只需要传输节点具有唯一身份标识不被特定环境限制,通用性好。
Description
技术领域
本发明涉及卫星网络、信息网络管理等领域的网络数据传输管理技术,具体涉及一种基于无交互密钥协商的数据传输路径还原方法及系统。
背景技术
自上世纪70年代网络技术诞生以后,互联网络技术发展迅速,应用于现实生活的每个角落,随着个性化需求的涌现,网络形态多样化,如支持数据传输的地面信息网络、依托卫星组网传输数据的卫星网络。数据传输网络尽管存在不同形态,但多可描述为传输节点与传输线路两种元素构成。传输节点如路由器、卫星网络中的卫星,其负责对数据包进行转发,传输线路指连接相邻传输节点的媒介,负责将数据从一个传输节点递交至另一个传输节点。
随着现代化社会对数据传输网络的依赖,越来越多至关重要的内容依托于传输网络进行远距离交互,面向不同的应用需求,其要求网络能够快速、安全的实施端到端数据传输,因而,需要研究网络管理技术以保障数据传输过程的性能和安全保障。然而,随着网络规模的迅速增加,网络管理技术面临极大困难。
传输数据路径还原是网络管理技术之一,传输数据路径还原是指对一个端到端传输的数据包还原其所经过的传输节点。还原数据包的传输路径将有助于发现网络流量的走势,帮助调控网络拥塞。此外,还原数据包的传输路径也有助于网络传输系统安全问题发现,避免非法节点截获重要数据,如对于信息网络而言,非法节点可通过扰乱路由获取网络中传输的数据,了解数据内容,当防御者通过恢复端到端传输路径时,可发现传输的数据包是否经过不应该经过的传输节点,进而实施进一步防御策略。
针对传输路径还原技术目前主要分为两类:(1)传输节点记录方法;(2)数据包记录方法。传输节点记录方法是指传输节点对每个数据包的上一个传输节点、下一个传输节点等信息形成一条记录属性,然而,在通信频繁网络内,使用该种方法将严重增加传输节点负担,因为其不可能存储所有流经该节点的数据包记录属性。数据包记录方法是指数据包每经过一个传输节点,数据包将所经过的传输节点进行记录,假设每一个传输节点唯一ID以四个字节作为唯一ID描述,经过n(n=1,2,3…)个传输节点到达目的端的数据包将增加4n个字节长度,在大规模网络系统内,此种方法将严重占用网络带宽资源,增加网络负担。
发明内容
本发明要解决的技术问题:针对现有路径还原技术在网络带宽资源占用过多的不足问题,提供一种基于无交互密钥协商的数据传输路径还原方法及系统,本发明通信开销小,不像传统方式需要随着经过网络传输节点的数量增加,占用字节成倍增加,传输节点存储、计算资源消耗低,具有高准确还原路径能力,能够检测多种类型的假数据注入攻击,只需要传输节点具有唯一身份标识不被特定环境限制,通用性好。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于无交互密钥协商的数据传输路径还原方法,目的端接收报文后的处理步骤包括:
1)提取出报文中的第一标识码,所述第一标识码来自报文中固定长度的预定义字段;
2)查询自身路由表获得报文可能的传输路径得到传输路径集合M={M 1,M 2,…,M r},其中M1~Mr表示报文从源端传输到目的端的r条可能路径;
3)针对路径集合M中的每一条路径M j :依次根据路径M j 中的中间网络节点的全局身份标识和报文进行迭代生成第二标识码并嵌入报文,如果最后生成的第二标识码和第一标识码一致,则判定该路径为传输路径。
可选地,步骤3)的详细步骤包括:
3.1)从路径集合M中遍历选择一条路径作为当前路径M j ;
3.2)依次根据当前路径M j 中的中间网络节点的全局身份标识ID lf 和报文进行迭代生成第二标识码并嵌入报文;
3.3)判断最后生成的第二标识码和第一标识码是否相同,如果相同,则判定该路径即为传输路径,结束并退出;否则,判断路径集合M是否已经遍历完毕,如果尚未遍历完毕则跳转执行步骤3.1),如果已经遍历完毕则跳转执行步骤3.4);
3.4)判定无法找到正确的传输路径,结束并退出。
可选地,步骤3.4)中判定无法找到正确的传输路径时还包括发出异常警告的步骤。
可选地,所述进行迭代生成第二标识码并嵌入报文详细步骤包括:
3.2.1)将报文中预定义字段的初始值、预定义字段以外部分组合得到初始的组合报文;
3.2.2)从当前路径M j 中从源端侧开始遍历取出一个中间网络节点作为当前节点N lf ;
3.2.3)根据当前节点N lf 对应的全局身份标识ID lf 采用指定的密码算法映射得到当前节点N lf 的公钥P lf ;
3.2.4)使用目的端的私钥R_E、公钥P lf 采用指定的加密算法计算共享密钥C lf ;
3.2.5)将当前的报文内容、共享密钥C lf 采用指定的哈希算法生成当前节点N lf 对应的第二标识码,并将生成的第二标识码填充覆盖当前的组合报文中的预定义字段;
3.2.6)判断当前路径M j 中的中间网络节点是否遍历完毕,如果尚未遍历完毕则跳转执行步骤3.2.2);否则,判定针对当前路径M j 迭代生成第二标识码并嵌入报文结束。
可选地,步骤1)之前还包括任意的中间网络节点i转发报文的步骤,详细步骤包括:
A1)接收报文;
A2)根据收到的报文生成中间网络节点i对应的第一标识码;
A3)将第一标识码填充覆盖当前的报文中的预定义字段,然后将报文转发到网络中。
可选地,步骤A2)的详细步骤包括:
A2.1)解析报文获取其中的目的端地址;
A2.2)根据目的端地址采用指定的算法计算出目的端的公钥P_E;
A2.3)使用自身的私钥R i 、目的端的公钥P_E采用指定的算法计算出共享密钥C i ;
A2.4)将收到的报文内容、共享密钥C i 采用指定的哈希算法生成当前节点i对应的第一标识码。
此外,本发明还提供一种基于无交互密钥协商的数据传输路径还原系统,目的端包括用于在收到报文后的下述程序单元:
第一标识码提取程序单元,用于提取出报文中的第一标识码,所述第一标识码来自报文中固定长度的预定义字段;
路径生成程序单元,用于查询自身路由表获得报文可能的传输路径得到传输路径集合M={M 1,M 2,…,M r},其中M1~Mr表示报文从源端传输到目的端的r条可能路径;
传输路径比对程序单元,用于针对路径集合M中的每一条路径M j :依次根据路径M j 中的中间网络节点的全局身份标识和报文进行迭代生成第二标识码并嵌入报文,如果最后生成的第二标识码和第一标识码一致,则判定该路径为传输路径。
此外,本发明还提供一种基于无交互密钥协商的数据传输路径还原系统,包括网络设备,所述网络设备被编程或配置以执行所述基于无交互密钥协商的数据传输路径还原方法的步骤。
此外,本发明还提供一种基于无交互密钥协商的数据传输路径还原系统,包括网络设备,所述网络设备的存储器上存储有被编程或配置以执行所述基于无交互密钥协商的数据传输路径还原方法的计算机程序。
此外,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有被编程或配置以执行所述基于无交互密钥协商的数据传输路径还原方法的计算机程序。
和现有技术相比,本发明具有下述优点:
1、通信开销小:本发明目的端接收报文后只需要根据来自报文中固定长度的预定义字段提取的第一标识码即可实现传输路径还原,该预定义字段为固定大小,不像传统方式需要随着经过网络传输节点的数量增加,占用字节成倍增加;
2、传输节点存储、计算资源消耗低:本方案无需数据传输节点记录信息以支持后续的路径还原,仅需要耗费部分计算资源计算签名即可,传输节点存储、计算资源消耗低;
3、具有高准确还原路径能力,能够检测多种类型的假数据注入攻击。
附图说明
图1为本实施例中源端、目的端的网络拓扑结构示意图。
图2为本发明实施例方法的基本流程示意图。
图3为本发明实施例中的报文结构示意图。
图4为本发明实施例中的网络拓扑实例。
图5为本发明实施例方法针对图4所示网络拓扑实例的实施流程示意图。
具体实施方式
下文将以图1所示源端、目的端的拓扑结构为例,对本发明基于无交互密钥协商的数据传输路径还原方法及系统进行进一步的详细说明。参见图1,源端通过网络和目的端相连,网络中的多个中间网络节点构成源端、目的端之间的传输路径,传输路径可能有多条,本发明基于无交互密钥协商的数据传输路径还原方法及系统要解决的问题就是在目的端能够根据收到的报文准确还原出对应的传输路径。
如图2所示,本实施例基于无交互密钥协商的数据传输路径还原方法中,目的端接收报文后的处理步骤包括:
1)提取出报文中的第一标识码,所述第一标识码来自报文中固定长度的预定义字段;
2)查询自身路由表获得报文可能的传输路径得到传输路径集合M={M 1,M 2,…,M r},其中M1~Mr表示报文从源端传输到目的端的r条可能路径;
3)针对路径集合M中的每一条路径M j :依次根据路径M j 中的中间网络节点的全局身份标识和报文进行迭代生成第二标识码并嵌入报文,如果最后生成的第二标识码和第一标识码一致,则判定该路径为传输路径。
本实施例中,第一标识码来自报文中固定长度的预定义字段。如图3所示,本实施例中具体是以最后一个选项字段“私钥签名”来存储第一标识码。图3中除选项字段“私钥签名”以外的其他字段均为报文的常规字段,在此不再详述。本实施例中,选项字段“私钥签名”的大小为固定的16字节。
本实施例中,每一个中间网络节点都带有一个全局身份标识,例如图1所示网络中的多个中间网络节点第i(i=1,2,3,…)个中间网络节点N i 具有唯一身份标识ID i 。此外,中间网络节点N i 还拥有与该身份标识相对应的公钥P i 和私钥R i ,任何传输节点及终端只要知道传输节点的唯一身份标识,可通过基于身份的密码体制映射出该网络传输节点的公钥。
本实施例中,步骤3)的详细步骤包括:
3.1)从路径集合M中遍历选择一条路径作为当前路径M j ;
3.2)依次根据当前路径M j 中的中间网络节点的全局身份标识ID lf 和报文进行迭代生成第二标识码并嵌入报文;
3.3)判断最后生成的第二标识码和第一标识码是否相同,如果相同,则判定该路径即为传输路径,结束并退出;否则,判断路径集合M是否已经遍历完毕,如果尚未遍历完毕则跳转执行步骤3.1),如果已经遍历完毕则跳转执行步骤3.4);
3.4)判定无法找到正确的传输路径,结束并退出。
本实施例中,步骤3.4)中判定无法找到正确的传输路径时还包括发出异常警告的步骤。
需要说明的是,上述步骤3.1)~3.4)仅仅是一种具体的遍历循环方式距离,此外还可以根据需要其他遍历循环方式,其原理与本实施例相同,故在此不再赘述。
本实施例中,进行迭代生成第二标识码并嵌入报文详细步骤包括:
3.2.1)将报文中预定义字段的初始值、预定义字段以外部分组合得到初始的组合报文;
3.2.2)从当前路径M j 中从源端侧开始遍历取出一个中间网络节点作为当前节点N lf ;
3.2.3)根据当前节点N lf 对应的全局身份标识ID lf 采用指定的密码算法映射得到当前节点N lf 的公钥P lf ;
3.2.4)使用目的端的私钥R_E、公钥P lf 采用指定的加密算法计算共享密钥C lf ;
3.2.5)将当前的报文内容、共享密钥C lf 采用指定的哈希算法生成当前节点N lf 对应的第二标识码,并将生成的第二标识码填充覆盖当前的组合报文中的预定义字段;
3.2.6)判断当前路径M j 中的中间网络节点是否遍历完毕,如果尚未遍历完毕则跳转执行步骤3.2.2);否则,判定针对当前路径M j 迭代生成第二标识码并嵌入报文结束。
第一标识码的生成方式与第二标识码的生成方式的原理相同,区别只是生成第一标识码的过程是通过报文在中间网络节点中传输的过程中一步一步生成的,而且每一步生成中都是迭代替换报文中的选项字段“私钥签名”,由于选项字段“私钥签名”的长度固定,因此即使经过再多的中间网络节点,也不会增加报文传输第一标识码的开销。
例如选择一条当前路径M j 为{N 1,N 7,N 6},则首先将中间网络节点N 1作为当前节点N lf ,执行步骤3.2.3)~3.2.5);首先将中间网络节点N 7作为当前节点N lf ,执行步骤3.2.3)~3.2.5);首先将中间网络节点N 6作为当前节点N lf ,执行步骤3.2.3)~3.2.5)得到最后生成的第二标识码。若最后生成的第二标识码和第一标识码相同,则判定该路径即为传输路径。若不相同,选取下一个当前路径M j 进行验证,直到遍历完全部路径。如果在所有可行传输路径都不满足条件下,可提出警告当前网络系统存在遭遇攻击可能。
本实施例中,步骤1)之前还包括任意的中间网络节点i转发报文的步骤,详细步骤包括:
A1)接收报文;
A2)根据收到的报文生成中间网络节点i对应的第一标识码;
A3)将第一标识码填充覆盖当前的报文中的预定义字段,然后将报文转发到网络中。
本实施例中,步骤A2)的详细步骤包括:
A2.1)解析报文获取其中的目的端地址;
A2.2)根据目的端地址采用指定的算法计算出目的端的公钥P_E;
A2.3)使用自身的私钥R i 、目的端的公钥P_E采用指定的算法计算出共享密钥C i ;
A2.4)将收到的报文内容、共享密钥C i 采用指定的哈希算法生成当前节点i对应的第一标识码。本实施例中,指定的哈希算法具体采用HMAC算法,此外也可以根据需要采用其他哈希算法,从而能够实现报文内容、共享密钥C i 两者到第一标识码的映射。
参见上述步骤可知,当数据报文流经到中间网络节点N i 时,中间网络节点N i 提取报文中目的端的目的端地址E_add,例如在IP网络中该目的端地址为目的端的IP地址。将目的端地址E_add使用基于身份的密码体制映射出对应的公钥P_E,采用无交互密钥协商技术,用自身的私钥R i 、目的端的公钥P_E进行协商计算,得到共享密钥C i 。然后将收到的报文内容、共享密钥C i 采用指定的HMAC算法生成当前节点i对应的第一标识码Z i 。将第一标识码Z i 赋值给数据报文的预定义字段,然后传递至下一个网络传输节点。以此类推,每一个网络传输节点依次执行上述过程,即可完成第一标识码的迭代更新。
图4为一个端到端基于IP协议通信网络实例,经过m=2个网络传输节点{N 1, N 3},q g 表示m个中间网络节点中第g个中间网络节点的节点标号(0<g<=2)。下文将以图4所示网络为例,对本实施例基于无交互密钥协商的数据传输路径还原方法的整体步骤进行实例说明。
S0、设置整数变量g=1、d=0、f=0,在数据从源端传出之前,将报文中的选项字段“私钥签名”置为0(初始状态);
S1、第g个中间网络节点生成第一标识码Z g,步骤包括:S1.1采用无交互密钥技术,使用自身的私钥R i 、目的端的公钥P_E采用指定的算法计算出共享密钥C g ;S1.2将收到的报文内容、共享密钥C g 采用指定的哈希算法生成当前节点i对应的第一标识码Z g;
S2、第g个中间网络节点将第一标识码Z g嵌入报文中替代原始的选项字段“私钥签名”,并发送至下一个传输节点;
S3、判断g=2是否成立,成立则转向步骤S4,否则设置g=g+1,转向步骤S1;
S4、报文已到目的端,目的端提取报文中嵌入的第一标识码,记为Z m,同时目的端查询自身路由表获得数据报文可能路由的路径,得到路径集合M={M 1,M 2} ,路径集合M一共包含两条路径:M 1={N 1,N 3},M 2={N 2,N 3};
S5、设置整数变量d=d+1,从路径集合M中选取一条当前路径M d={N l1 ,…,N lt },当前路径M d中包含t个中间网络节点;
S6、设置整数变量f=0,将的选项字段“私钥签名”填充为0完成初始化;
S7、设置整数变量f=f+1,基于身份密码体制使用第f个当前节点N lf 对应的全局身份标识ID lf 采用指定的密码算法映射得到当前节点N lf 的公钥P lf ;使用目的端的私钥R_E、公钥P lf 采用指定的加密算法计算共享密钥C lf ;
S8、将当前的报文内容、共享密钥C lf 采用指定的HMAC算法生成当前节点N lf 对应的第二标识码,并将生成的第二标识码填充覆盖报文中的选项字段“私钥签名”;
S9、判断整数变量f=t(当前路径M d中包含中间网络节点数量)是否成立,如果f=t,记录最终的第二标识码Z f ,则转向步骤S10,否则转向步骤S7;
S10、比较第二标识码Z f 与第一标识码Z m是否相同,若第二标识码Z f 与第一标识码Z m相同,则转向步骤S12,否则转向步骤S11;
S11、比较整数变量d与可能路径数量r是否相同,如果相同转向步骤S13,否则转向步骤S5;
S12、判定当前路径M d即为对应的数据包传输路径,转向步骤S14;
S13、提出异常警告,数据在传输过程中可能被恶意篡改,转向步骤S14;
S14、结束。
此外,本实施例还提供一种基于无交互密钥协商的数据传输路径还原系统,目的端包括用于在收到报文后的下述程序单元:
第一标识码提取程序单元,用于提取出报文中的第一标识码,所述第一标识码来自报文中固定长度的预定义字段;
路径生成程序单元,用于查询自身路由表获得报文可能的传输路径得到传输路径集合M={M 1,M 2,…,M r},其中M1~Mr表示报文从源端传输到目的端的r条可能路径;
传输路径比对程序单元,用于针对路径集合M中的每一条路径M j :依次根据路径M j 中的中间网络节点的全局身份标识和报文进行迭代生成第二标识码并嵌入报文,如果最后生成的第二标识码和第一标识码一致,则判定该路径为传输路径。
此外,本实施例还提供一种基于无交互密钥协商的数据传输路径还原系统,包括网络设备,该网络设备被编程或配置以执行前述基于无交互密钥协商的数据传输路径还原方法的步骤。此外,本实施例还提供一种基于无交互密钥协商的数据传输路径还原系统,包括网络设备,该网络设备的存储器上存储有被编程或配置以执行前述基于无交互密钥协商的数据传输路径还原方法的计算机程序。需要说明的是,网络设备既可以是路由设备,也可以是具有网络功能的计算机设备;此外,源端、目的端仅仅是网络传输中报文的发送、接收的逻辑定义,其物理设备本身可以是路由设备,也可以是具有网络功能的计算机设备。
此外,本实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有被编程或配置以执行前述基于无交互密钥协商的数据传输路径还原方法的计算机程序。需要说明的是,该计算机可读存储介质既可以是可移动式计算机可读存储介质(例如U盘、光盘等存储介质),也可以是网络设备上的外部存储器(例如硬盘),也可以是网络设备上的闪存FLASH等用于存储固件或程序的存储器。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种基于无交互密钥协商的数据传输路径还原方法,其特征在于,目的端接收报文后的处理步骤包括:
1)提取出报文中的第一标识码,所述第一标识码来自报文中固定长度的预定义字段;
2)查询自身路由表获得报文可能的传输路径得到传输路径集合M={M 1,M 2,…,M r},其中M 1~M r表示报文从源端传输到目的端的r条可能路径;
3)针对路径集合M中的每一条路径M j :依次根据路径M j 中的中间网络节点的全局身份标识和报文进行迭代生成第二标识码并嵌入报文,如果最后生成的第二标识码和第一标识码一致,则判定该路径为传输路径;所述进行迭代生成第二标识码并嵌入报文的详细步骤包括:
3.2.1)将报文中预定义字段的初始值、预定义字段以外部分组合得到初始的组合报文;
3.2.2)从当前路径M j 中从源端侧开始遍历取出一个中间网络节点作为当前节点N lf ;
3.2.3)根据当前节点N lf 对应的全局身份标识ID lf 采用指定的密码算法映射得到当前节点N lf 的公钥P lf ;
3.2.4)使用目的端的私钥R_E、公钥P lf 采用指定的加密算法计算共享密钥C lf ;
3.2.5)将当前的报文内容、共享密钥C lf 采用指定的哈希算法生成当前节点N lf 对应的第二标识码,并将生成的第二标识码填充覆盖当前的组合报文中的预定义字段;
3.2.6)判断当前路径M j 中的中间网络节点是否遍历完毕,如果尚未遍历完毕则跳转执行步骤3.2.2);否则,判定针对当前路径M j 迭代生成第二标识码并嵌入报文结束;
步骤1)之前还包括任意的中间网络节点i转发报文的步骤,详细步骤包括:
A1)接收报文;
A2)根据收到的报文生成中间网络节点i对应的第一标识码,详细步骤包括:A2.1)解析报文获取其中的目的端地址;A2.2)根据目的端地址采用指定的算法计算出目的端的公钥P_E;A2.3)使用自身的私钥R i 、目的端的公钥P_E采用指定的算法计算出共享密钥C i ;A2.4)将收到的报文内容、共享密钥C i 采用指定的哈希算法生成当前节点i对应的第一标识码;
A3)将第一标识码填充覆盖当前的报文中的预定义字段,然后将报文转发到网络中。
2.根据权利要求1所述的基于无交互密钥协商的数据传输路径还原方法,其特征在于,步骤3)的详细步骤包括:
3.1)从路径集合M中遍历选择一条路径作为当前路径M j ;
3.2)依次根据当前路径M j 中的中间网络节点的全局身份标识ID lf 和报文进行迭代生成第二标识码并嵌入报文;
3.3)判断最后生成的第二标识码和第一标识码是否相同,如果相同,则判定该路径即为传输路径,结束并退出;否则,判断路径集合M是否已经遍历完毕,如果尚未遍历完毕则跳转执行步骤3.1),如果已经遍历完毕则跳转执行步骤3.4);
3.4)判定无法找到正确的传输路径,结束并退出。
3.根据权利要求2所述的基于无交互密钥协商的数据传输路径还原方法,其特征在于,步骤3.4)中判定无法找到正确的传输路径时还包括发出异常警告的步骤。
4.一种基于无交互密钥协商的数据传输路径还原系统,其特征在于,目的端包括用于在收到报文后的下述程序单元:
第一标识码提取程序单元,用于提取出报文中的第一标识码,所述第一标识码来自报文中固定长度的预定义字段;
路径生成程序单元,用于查询自身路由表获得报文可能的传输路径得到传输路径集合M={M 1,M 2,…,M r},其中M 1~M r表示报文从源端传输到目的端的r条可能路径;
传输路径比对程序单元,用于针对路径集合M中的每一条路径M j :依次根据路径M j 中的中间网络节点的全局身份标识和报文进行迭代生成第二标识码并嵌入报文,如果最后生成的第二标识码和第一标识码一致,则判定该路径为传输路径;所述进行迭代生成第二标识码并嵌入报文的详细步骤包括:
3.2.1)将报文中预定义字段的初始值、预定义字段以外部分组合得到初始的组合报文;
3.2.2)从当前路径M j 中从源端侧开始遍历取出一个中间网络节点作为当前节点N lf ;
3.2.3)根据当前节点N lf 对应的全局身份标识ID lf 采用指定的密码算法映射得到当前节点N lf 的公钥P lf ;
3.2.4)使用目的端的私钥R_E、公钥P lf 采用指定的加密算法计算共享密钥C lf ;
3.2.5)将当前的报文内容、共享密钥C lf 采用指定的哈希算法生成当前节点N lf 对应的第二标识码,并将生成的第二标识码填充覆盖当前的组合报文中的预定义字段;
3.2.6)判断当前路径M j 中的中间网络节点是否遍历完毕,如果尚未遍历完毕则跳转执行步骤3.2.2);否则,判定针对当前路径M j 迭代生成第二标识码并嵌入报文结束;
还包括任意的中间网络节点i转发报文的程序单元,该程序单元的步骤包括:
A1)接收报文;
A2)根据收到的报文生成中间网络节点i对应的第一标识码,详细步骤包括:A2.1)解析报文获取其中的目的端地址;A2.2)根据目的端地址采用指定的算法计算出目的端的公钥P_E;A2.3)使用自身的私钥R i 、目的端的公钥P_E采用指定的算法计算出共享密钥C i ;A2.4)将收到的报文内容、共享密钥C i 采用指定的哈希算法生成当前节点i对应的第一标识码;
A3)将第一标识码填充覆盖当前的报文中的预定义字段,然后将报文转发到网络中。
5.一种基于无交互密钥协商的数据传输路径还原系统,包括网络设备,其特征在于,所述网络设备被编程或配置以执行权利要求1~3中任意一项所述基于无交互密钥协商的数据传输路径还原方法的步骤。
6.一种基于无交互密钥协商的数据传输路径还原系统,包括网络设备,其特征在于,所述网络设备的存储器上存储有被编程或配置以执行权利要求1~3中任意一项所述基于无交互密钥协商的数据传输路径还原方法的计算机程序。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有用于被网络设备执行以实施权利要求1~3中任意一项所述基于无交互密钥协商的数据传输路径还原方法的计算机程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010407168.XA CN111556075B (zh) | 2020-05-14 | 2020-05-14 | 基于无交互密钥协商的数据传输路径还原方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010407168.XA CN111556075B (zh) | 2020-05-14 | 2020-05-14 | 基于无交互密钥协商的数据传输路径还原方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111556075A CN111556075A (zh) | 2020-08-18 |
CN111556075B true CN111556075B (zh) | 2022-05-03 |
Family
ID=72002800
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010407168.XA Active CN111556075B (zh) | 2020-05-14 | 2020-05-14 | 基于无交互密钥协商的数据传输路径还原方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111556075B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113507434B (zh) * | 2021-05-28 | 2022-11-29 | 清华大学 | 一种通信网络中的数据安全传输方法、节点和系统 |
CN116633702B (zh) * | 2023-07-25 | 2023-10-31 | 广东广宇科技发展有限公司 | 一种基于对称加密的数据传输方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152337A (zh) * | 2013-02-25 | 2013-06-12 | 汪凯 | 一种安全动态传输二维码信息的方法 |
CN107105471A (zh) * | 2017-05-23 | 2017-08-29 | 山东大学 | 基于正交标识的wsn数据传输路径溯源方法及系统 |
CN108199970A (zh) * | 2017-12-15 | 2018-06-22 | 浙江大学 | 一种软件定义网络中数据包路径重构方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6253956B2 (ja) * | 2013-11-15 | 2017-12-27 | 株式会社日立製作所 | ネットワーク管理サーバおよび復旧方法 |
CN109428867B (zh) * | 2017-08-30 | 2020-08-25 | 华为技术有限公司 | 一种报文加解密方法、网路设备及系统 |
CN111049649A (zh) * | 2019-12-17 | 2020-04-21 | 湖南安方信息技术有限公司 | 一种基于标识密码的零交互密钥协商安全增强协议 |
-
2020
- 2020-05-14 CN CN202010407168.XA patent/CN111556075B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152337A (zh) * | 2013-02-25 | 2013-06-12 | 汪凯 | 一种安全动态传输二维码信息的方法 |
CN107105471A (zh) * | 2017-05-23 | 2017-08-29 | 山东大学 | 基于正交标识的wsn数据传输路径溯源方法及系统 |
CN108199970A (zh) * | 2017-12-15 | 2018-06-22 | 浙江大学 | 一种软件定义网络中数据包路径重构方法 |
Non-Patent Citations (1)
Title |
---|
"基于层次混合的高效概率包标记WSNs节点定位算法";周先存 等;《电子与信息学报》;20140215;第384-389页 * |
Also Published As
Publication number | Publication date |
---|---|
CN111556075A (zh) | 2020-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107567704B (zh) | 使用带内元数据的网络路径通过验证 | |
CN112189323B (zh) | 使用安全分段标识符进行分段路由 | |
EP2356792B1 (en) | Network nodes and methods for data authorization in distributed storage networks | |
US10277564B2 (en) | Light-weight key update mechanism with blacklisting based on secret sharing algorithm in wireless sensor networks | |
US9736263B2 (en) | Temporal caching for ICN | |
CN111585890B (zh) | 基于SRv6的网络路径验证方法及系统 | |
US11323366B2 (en) | Path determining method, apparatus, and system | |
US20200374127A1 (en) | Blockchain-powered cloud management system | |
CN111556075B (zh) | 基于无交互密钥协商的数据传输路径还原方法及系统 | |
CN105282138A (zh) | 兴趣返回控制消息 | |
US20180091481A1 (en) | Method and system for protecting data flow between pairs of branch nodes in a software-defined wide-area network | |
US20140115154A1 (en) | Linked Identifiers for Multiple Domains | |
US9160648B2 (en) | Content-centric network and method of performing routing between domains therefor | |
CN114389835A (zh) | 一种IPv6选项显式源地址加密安全验证网关及验证方法 | |
CN113661683A (zh) | 在分布式网络中存储表示资产转移的交易的方法及其程序 | |
CN113395247A (zh) | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 | |
CN114205282A (zh) | SRv6 Policy的调度方法、系统、路由器和控制器 | |
CN110290151B (zh) | 报文发送方法、装置及可读取存储介质 | |
CN116827651A (zh) | 通信安全防护方法、装置、计算机设备和存储介质 | |
CN109905408A (zh) | 网络安全防护方法、系统、可读存储介质及终端设备 | |
Su et al. | Privacy preserving IP traceback | |
CN117240900B (zh) | 基于软件定义网络的区块链节点发现与组网方法及装置 | |
CN114500001B (zh) | 通信方法及装置 | |
CN115150314B (zh) | 跨网络域的数据包传输方法和装置、存储介质及电子设备 | |
CN117714212B (zh) | 一种防御链路泛洪攻击的网络拓扑混淆方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |