CN111935213A - 一种基于分布式的可信认证虚拟组网系统及方法 - Google Patents
一种基于分布式的可信认证虚拟组网系统及方法 Download PDFInfo
- Publication number
- CN111935213A CN111935213A CN202010607162.7A CN202010607162A CN111935213A CN 111935213 A CN111935213 A CN 111935213A CN 202010607162 A CN202010607162 A CN 202010607162A CN 111935213 A CN111935213 A CN 111935213A
- Authority
- CN
- China
- Prior art keywords
- network
- initiator
- networking
- authentication
- control server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明提供了一种基于分布式的可信认证虚拟组网系统及方法,包括以下步骤:S1.发起方发起对虚拟组网网内设备的点对点通信请求;S2.检测发起方是否存在有效的令牌,若存在,则执行步骤S3,否则验证发起方的通信请求是否有效;S3.发起方和发起方的通信对象进行令牌的相互验证,若验证通过则开始点对点通信,否则断开连接。本发明采用双认证方式对入网的用户和设备进行双认证,用户和设备标识ID作为可信认证的重要参数,来生成用户的加密私钥、签名私钥等信息,有效提高虚拟组网的入网安全性能;通过签发令牌的方式为入网设备授权网内通信权限,能够解决目前虚拟组网内设备之间的互访权限和安全问题。
Description
技术领域
本发明属于网络通信安全技术领域,尤其是涉及一种基于分布式的可信认证虚拟组网系统及方法。
背景技术
可信认证是网络通信安全防护的第一道防线,用户登录、支付、授权都需要使用各种各样的网络身份认证手段,包括第一代以静态密码技术和动态密码技术为代表的,典型应用方式为账号+口令、手机动态验证码;第二代以PKI技术为代表,典型应用方式为文件证书、USBKey、手机盾、eID、FIDO等;第三代以生物识别、大数据行为分析等为代表的认证技术。
经济的发展使企业的客户资源、合作伙伴的数量急剧增加,带来了大幅度的效益提升,另一方面,传统企业网的缺陷也制约了企业业务的发展。专线基于固定物理地点的连接方式,已无法适应现代企业对网络部署的高效率、高灵活性要求。于是,企业对网络组建的要求上升到了一个新的层次,这主要表现在网络的灵活性、安全性、经济性和扩展性等方面。在这样的背景下,虚拟专用网络VPN(virtual private network)技术应运而生。VPN技术是指利用密码技术和访问控制技术在公共网络(如internet)中建立的专用通信网络。在虚拟专用网络中,任意两个节点之间的连接并没有传统专用网络所需的端到端的物理链路,而是利用某种公众网的资源动态组成,虚拟专用网络对用户端透明,用户好像使用一条专用线路进行通信。
目前有两种VPN技术的应用最为广泛,第一种是基于IP网络层的IPSec VPN,另一种是基于应用层的SSL VPN技术。
IPSec(Internet Protocol Security)即“因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据通过公用网络在网络层进行传输时提供安全保障,IPSec VPN适用于网对网连接方案。
SSL VPN指采用SSL协议来加密IP数据链路实现远程接入的一种新型VPN技术。由于SSL协议广泛内置于IE等各种浏览器中,使用SSL协议进行认证和数据加密的SSL VPN与传统的IPSec VPN相比,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点。
但是现有的VPN系统在一些应用环境中会暴露出以下缺点。
1.自组网系统中可信认证的安全性及效率问题
目前广泛应用于网络中的VPN一般采用密码、证书等方法进行远程访问身份验证及数据传输加密,只认证用户身份,不对发起组网的设备进行认证。其中采用PKI/CA证书体系的身份可信认证机制,需要事先申请证书,对于移动自组网用户来说存在申请过程相对繁琐、使用复杂、部署困难,不易推广等问题。在使用静态密码、明文进行认证,容易被截获、攻击,导致密码、证书等信息可能被盗取。所以无法识别入网设备及通过设备入网的用户是否是真正的准入设备和用户。所以在一些安全性要求特别高的应用场合下,在一些移动自组网中,如警用无人机、警用战车、警用机器人的组网和通信安全是需要特别关注的问题,一旦自组网通信遭受窃听、攻击、期骗等将会引起严重后果,所以需要一种技术方案来保护组网的安全和任务区域通信权限的管控。
2.传输效率问题
现有传统的VPN系统都属于集中式网络拓扑,基于该拓扑下,网络的所有报文均需经过VPN服务器,因此VPN服务器的性能直接制约着整个VPN系统,特别是当VPN系统传递大量数据时,VPN服务器将无法为所有VPN客户端提供足够的带宽,便会造成严重的数据拥塞,甚至崩溃;并且当VPN服务器遇到系统崩溃、网络掉线等意外状况时,以该服务器为核心的VPN系统将陷于瘫痪,无法运作。
3.组网内设备间互访权的管控问题
自组网内设备之间的通信,通常是基于对等、独立的形式进行通信,没有考虑到、自组网内设备之间的互访权限和安全问题。而在自组网的一些应用场景下有时因为涉密、职能不同等原因,需要有设备之间的互访授权需求。
发明内容
本发明的目的是针对上述问题,提供一种基于分布式的可信认证虚拟组网系统;
本发明的另一目的是针对上述问题,提供一种基于分布式的可信认证虚拟组网方法。
为达到上述目的,本发明采用了下列技术方案:
一种基于分布式的可信认证虚拟组网方法,包括以下步骤:
S1.发起方发起对虚拟组网网内设备的点对点通信请求;
S2.检测发起方是否存在有效的令牌,若存在,则执行步骤S3,否则验证发起方的通信请求是否有效;
S3.发起方和发起方的通信对象进行令牌的相互验证,若验证通过则开始点对点通信,否则断开连接。
在上述的基于分布式的可信认证虚拟组网方法中,在步骤S3中,令牌相互验证的方法包括:
S31.由通信对象验证发起方令牌的有效性,并在验证为有效后向发起方返回包含通信对象令牌的响应请求;
S32.由发起方验证通信对象令牌的有效性,并在验证为有效后开始发起方与通信对象之间的点对点通信。
在上述的基于分布式的可信认证虚拟组网方法中,在步骤S2中,通过入网可信认证验证发起方的通信请求是否有效,且所述的入网可信认证步骤为同时对用户和设备进行认证的双认证入网可信认证。
在上述的基于分布式的可信认证虚拟组网方法中,入网可信认证步骤包括:
A.由发起方向密钥生成中心获取加密私钥、签名私钥、加密主公钥和签名主公钥;
B.发起方申请入网,并与组网管控服务器进行密钥协商交换;
C.协商成功后由发起方对其入网申请信息进行签名后加密发送给组网管控服务器;
D.组网管控服务器对接收到的加密数据进行解密并验签;
E.验签成功后将发起方加入组网管控服务器所在的虚拟组网。
在上述的基于分布式的可信认证虚拟组网方法中,步骤C具体包括:
C1.发起方使用签名主公钥和签名私钥对其入网申请信息进行签名;
C2.用加密主公钥和组网管控服务器的标识ID对入网申请信息和签名信息进行加密;
C3.将加密数据发送给组网管控服务器。
在上述的基于分布式的可信认证虚拟组网方法中,步骤D具体包括:
D1.组网管控服务器接收到加密数据后使用自己的加密私钥和自己的标识ID解密加密数据;
D2.采用签名主公钥和发起方的标识ID对解密数据进行验签。
在上述的基于分布式的可信认证虚拟组网方法中,步骤E具体包括:
E1.组网管控服务器授权虚拟组网网内节点的路由配置表增加发起方的设备参数;
E2.组网管控服务器向发起方签发令牌及网内其他授权可互访设备的令牌。
在上述的基于分布式的可信认证虚拟组网方法中,所述的虚拟组网由组网管控服务器和各通过路由设备接入公网的网络设备组成;发起方直接为路由设备或宽带路由下的网络设备;
所述的组网管控服务器配具有自己的“节点配置文件”和“路由配置文件”;网内其他节点均配有各自的“节点配置文件”、“路由配置文件”和“组网管控服务器IP地址文件”以使各节点接入所述组网管控服务器所在的虚拟组网。
在上述的基于分布式的可信认证虚拟组网方法中,各节点的节点配置文件具有网内唯一的节点ID,以用于识别节点及节点的虚拟网卡IP地址,所述的路由配置文件包含网内所有节点的虚拟网卡IP地址。
一种基于上述基于分布式的可信认证虚拟组网方法的基于分布式的可信认证虚拟组网系统。
本发明的优点在于:采用双认证方式对入网的用户和设备进行双认证,用户和设备标识ID做为可信认证的重要参数,来生成用户的加密私钥、签名私钥等信息,有效提高虚拟组网的入网安全性能;通过签发令牌的方式为入网设备授权网内通信权限,能够解决目前虚拟组网内设备之间的互访权限和安全问题;采用去中心化的点对点通信方式,设备之间传输数据速度不受中心服务器带宽的影响,解决了现有技术传输效率低,容易出现严重的数据拥塞等问题。
附图说明
图1是传统VPN组网的组网示意图;
图2是本发明组网的组网示意图;
图3是本发明向密钥生成中心申请密钥的方法流程示意图;
图4是本发明可信认证的基本流程图;
图5是本发明虚拟组网网内设备互访的管控基本流程图;
图6是本发明虚拟组网网内设备的点对点通信链路图;
图7是本发明虚拟组网各节点的配置图。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步详细的说明。
虚拟专用网(VPN)可以通过互联网建立一个临时的、安全的连接,是一条穿过公用网络到企业内部网的安全、稳定的通信隧道。VPN使用了隧道技术、加解密技术、密钥管理技术和身份认证技术保证了其系统的安全性。虚拟专用网是对企业内部网的扩展,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
现有VPN组网技术在安全方面强调的是建立网络连接时的安全验证及数据传输的加密,组网时一般只对用户身份进行认证,不会对设备身份进行认证。入网时的认证一般使用PKI/CA证书体系的身份可信认证机制,需要事先申请证书,对于移动自组网用户来说存在申请过程相对繁琐、使用复杂、部署困难,不易推广等问题。
本实施例的可信认证方法采用一种基于IBC技术的SM9加密算法,用用户及设备的标识ID来生成用户加密私钥和签名私钥,并用于可信认证中的数字签名、数据加密、密钥交换以及身份认证等。SM9密码算法的密钥长度为256比特,相比较其他的密码算法的密钥长度短,所以密钥的生成速度快。SM9密码算法的应用与管理不需要数字证书、证书库或密钥库,使用及部署相对简单。
另外,如图1所示,现有VPN系统属于集中式网络拓扑,此时VPN服务器的性能直接制约着整个VPN系统性能。
如图2所示,针对上述缺点,本发明通过在组网中采用组网管控服务器的方法,各设备在通信前通过组网管控服务器搜索到对方,两台设备找到对方之后就具备点对点通信的基本条件了,设备之间的通信是加密的,由于通信数据没有经过服务器中转,边缘节点之间的带宽不受限、不占用公网节点带宽。因此两台设备之间传输数据速度只是受限于宽带网络的上行速度。解决了VPN服务器带宽瓶颈的问题。
具体地,本实施例采用的方法具体包括以下步骤:
如图3所示,在用户通过设备(发起方)首次入网通信前,需要通过向KGC(密钥生成中心)提供合法身份来申请加密私钥、签名私钥及对网内用户公开的加密主公钥和签名主公钥:
密钥生成中心提供加密主密钥对和签名主密钥对,加密主密钥对包括加密主私钥和加密主公钥,签名主密钥对包括签名主公钥和签名主私钥,加密主私钥与用户及设备身份标识生成用户的加密私钥,签名主私钥与用户及设备身份标识生成用户的签名私钥,随后将生成的加密私钥和签名私钥发送给相应的发起方。
然后用户通过设备,与组网管控服务器(分布式去中心化组网管控服务器)进行入网可信认证,通过密钥协商交换、签名加密入网申请信息进行入网认证。只有通过认证的用户和设备,才能进入下一步的入网通信操作。不管你是合法或非法获取组网的相关配置数据(用户名、密码、IP地址、端口号等),如果没有通过可信认证将无法与网络中的其它设备进行通信。
具体地,如图4和图5所示,可信认证的方法具体包括:
发起方申请入网,并与组网管控服务器进行密钥协商交换;发起方的原始数据包含了加密主公钥、发起方的私钥、双方的标识ID,组网管控服务器的原始数据包含了加密主公钥、组网管控服务器的私钥、双方的标识ID。
经两次或多次信息传递后协商计算出共享密钥,发起方使用KGC签发的签名主公钥和自己的签名私钥对其入网申请信息进行签名;
然后用加密主公钥和组网管控服务器的标识ID对入网申请信息和签名信息进行加密并将加密数据发送给组网管控服务器;
组网管控服务器接收到加密数据后使用自己的加密私钥和自己的标识ID解密加密数据;
随后采用签名主公钥和发起方的标识ID对解密数据进行验签;
验签成功后将发起方加入组网管控服务器所在的虚拟组网:
组网管控服务器授权虚拟组网网内各节点的路由配置表增加发起方的设备参数,设备参数包含设备IP和网关等参数,在虚拟组网网内节点上的设备会生成1个虚拟网卡,设备间通信的数据通过虚拟网卡实现IP分组转发,支持应用层所有基于TCP/IP的通信协议;
通过可信认证入网后,证明此设备和应用是可信赖的,点对点通信打通,自此虚拟组网内的设备间就可以实现PING通,若要获取网内通信权限,还需要具有由组网管控服务器签发的令牌。具体为:发起方在对发起对虚拟组网网内设备的点对点通信请求时,首先检测发起方是否存在有效的令牌,若存在则发起方与通信对象之间进行令牌的相互验证,若没有则由组网管控服务器验证发起方的通信请求是否有效。组网管控服务器通过对发起方进行入网可信认证验证通信请求是否有效。组网管控服务器在对发起方验签成功后生成令牌并以User为Key存入组网管控服务器,然后将令牌及其他网内授权可互访设备的令牌加密后发送给发起方。在后续的网内设备进行业务流通信前先验证双方的令牌,通过后即可进行业务通信。网间设备通信的数据虽然不通过组网管控服务器中转,但设备与组网管控服务器间需要存在心跳机制,一方面探测在线状态,另一方面更新入网、退网、新增互访或删除互访权限数据。一台加入分布式去中心化虚拟组网的主机可以通过宽带路由接入互联网,而和他通信的设备即使深藏于没有公网IP的局域网里,也可以通过加入分布式去中心化虚拟网进行点对点TCP/IP通信,并且通信数据不需要经公网服务器中转。其所产生的主要费用就只有设备消耗的电费以及宽带的费用。
具体地,令牌相互验证的方法具体包括:
S31.由通信对象对通信请求进行非对称解密及验签,包括验证发起方令牌的有效性,并在验证发起方令牌有效后向发起方返回包含通信对象令牌的响应请求。
S32.由发起方对响应请求进行非对称解密及验签,包括验证通信对象令牌的有效性,并在验证为有效后开始发起方与通信对象之间的点对点通信。
网内设备互访授权完成后,接下去的通信类似原有VPN,设备间进行身份验证、密钥协商交换等流程后开始数据加密传输,但是本实施例的数据不经过服务器中转。
虚拟组网由“组网管控服务器”和各通过路由设备接入公网的网络设备组成,发起方和通信对象直接为路由设备或宽带路由下的网络设备。如图6中,组成虚拟组网后,LAN内网1内部的网络设备A系列和LAN内网2内部的网络设备B系列实现点对点互通。如图6如图7中,组网管控服务器配有自己的“节点配置文件”和“路由配置文件”等,网内其它节点同样配有各自的“节点配置文件”、“路由配置文件”、“组网管控服务器IP地址文件”等。
通过组网管控服务器申请组网的设备,自动或手动地为各节点生成各配置文件或者增加或删除配置。其中各节点的“节点配置文件”包含有网内唯一的节点ID,用于识别节点及其对应的虚拟网卡IP地址,另外还包含有用于通信的监听端口。各节点的路由配置文件包含网内所有节点的虚拟网卡IP地址,及节点内网络设备的IP网络号,用于节点间通信数据的捕获。
除组网管控服务器外,网内各节点均配有“组网管控服务器IP地址文件”,用于记录组网管控服务器的公网IP,用于各节点所有设备向组网管控服务器通信之用,特别是入网申请连接及后续通信。
本实施例主要有以下有益效果:
1.进一步提高安全性
通过采用了基于用户和设备的标识ID双认证方式,对入网的用户和设备进行了双认证,进一步提高了自组虚拟网的入网安全性能,本方案所带来的安全效果在一些特殊使用场景下显的尤为重要。如:警用无人机、警用战车、警用机器人的组网。另,这里所指的标识ID包含用户及设备的标识ID。
2.实现组网网内设备间互访权的管控
设备通过入网许可后,在后续的网内设备进行业务流通信前先验证双方的令牌,通过后即可进行业务通信。通过采用组网管控服务器向网内设备下发令牌的方法来方便、快捷的实现网内涉密设备访问的多层安全管控及不同职能部门间的互访管控等。
3.提高带宽利用率,降低了成本
通过在虚拟组网中采用组网管控服务器的方法,使各设备在通信前通过组网管控服务器搜索到对方,两台设备找到对方之后直接进行点对点通信,设备之间的通信是加密的,由于数据没有经过中转服务器,因此两台设备之间传输数据速度不受中心服务器带宽的影响,在一些大并发,大流量的应用场景下提升了数据传输的稳定性和带宽,降低了部署成本。
虽然使用某些网络设备生产商的技术方案可以达到上述目的,但需要花费一定的资金购买网络的硬件产品与软件许可,与此同时可能还需要花费一定的资金去搭建公网中转服务器以及中转服务器带宽的开销,节点要得到更多的带宽,就意味着更高的预算。而本方案技术在改善VPN服务器数据转发的性能瓶颈的同时也降低了成本。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
尽管本文较多地使用了发起方、用户、设备、令牌、组网管控服务器等术语,但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质;把它们解释成任何一种附加的限制都是与本发明精神相违背的。
Claims (10)
1.一种基于分布式的可信认证虚拟组网方法,其特征在于,包括以下步骤:
S1.发起方发起对虚拟组网网内设备的点对点通信请求;
S2.检测发起方是否存在有效的令牌,若存在,则执行步骤S3,否则验证发起方的通信请求是否有效;
S3.发起方和发起方的通信对象进行令牌的相互验证,若验证通过则开始点对点通信,否则断开连接。
2.根据权利要求1所述的一种基于分布式的可信认证虚拟组网方法,其特征在于,在步骤S3中,令牌相互验证的方法包括:
S31.由通信对象验证发起方令牌的有效性,并在验证为有效后向发起方返回包含通信对象令牌的响应请求;
S32.由发起方验证通信对象令牌的有效性,并在验证为有效后开始发起方与通信对象之间的点对点通信。
3.根据权利要求2所述的一种基于分布式的可信认证虚拟组网方法,其特征在于,在步骤S2中,通过入网可信认证验证发起方的通信请求是否有效,且所述的入网可信认证步骤为同时对用户和设备进行认证的双认证入网可信认证。
4.根据权利要求3所述的一种基于分布式的可信认证虚拟组网方法,其特征在于,入网可信认证步骤包括:
A.由发起方向密钥生成中心获取加密私钥、签名私钥、加密主公钥和签名主公钥;
B.发起方申请入网,并与组网管控服务器进行密钥协商交换;
C.协商成功后由发起方对其入网申请信息进行签名后加密发送给组网管控服务器;
D.组网管控服务器对接收到的加密数据进行解密并验签;
E.验签成功后将发起方加入组网管控服务器所在的虚拟组网。
5.根据权利要求4所述的一种基于分布式的可信认证虚拟组网方法,其特征在于,步骤C具体包括:
C1.发起方使用签名主公钥和签名私钥对其入网申请信息进行签名;
C2.用加密主公钥和组网管控服务器的标识ID对入网申请信息和签名信息进行加密;
C3.将加密数据发送给组网管控服务器。
6.根据权利要求5所述的一种基于分布式的可信认证虚拟组网方法,其特征在于,步骤D具体包括:
D1.组网管控服务器接收到加密数据后使用自己的加密私钥和自己的标识ID解密加密数据;
D2.采用签名主公钥和发起方的标识ID对解密数据进行验签。
7.根据权利要求6所述的一种基于分布式的可信认证虚拟组网方法,其特征在于,步骤E具体包括:
E1.组网管控服务器授权虚拟组网网内节点的路由配置表增加发起方的设备参数;
E2.组网管控服务器向发起方签发令牌及网内其他授权可互访设备的令牌。
8.根据权利要求7所述的一种基于分布式的可信认证虚拟组网方法,其特征在于,所述的虚拟组网由组网管控服务器和各通过路由设备接入公网的网络设备组成;
所述的组网管控服务器配具有自己的“节点配置文件”和“路由配置文件”;网内其他节点均配有各自的“节点配置文件”、“路由配置文件”和“组网管控服务器IP地址文件”以使各节点接入所述组网管控服务器所在的虚拟组网。
9.根据权利要求8所述的一种基于分布式的可信认证虚拟组网方法,其特征在于,各节点的节点配置文件均具有网内唯一的节点ID,以用于识别节点及节点的虚拟网卡IP地址,所述的路由配置文件包含网内所有节点的虚拟网卡IP地址及节点内设备的IP网络号。
10.一种基于权利要求1-9任意一项所述的一种基于分布式的可信认证虚拟组网方法的基于分布式的可信认证虚拟组网系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010607162.7A CN111935213B (zh) | 2020-06-29 | 2020-06-29 | 一种基于分布式的可信认证虚拟组网系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010607162.7A CN111935213B (zh) | 2020-06-29 | 2020-06-29 | 一种基于分布式的可信认证虚拟组网系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111935213A true CN111935213A (zh) | 2020-11-13 |
CN111935213B CN111935213B (zh) | 2023-07-04 |
Family
ID=73316274
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010607162.7A Active CN111935213B (zh) | 2020-06-29 | 2020-06-29 | 一种基于分布式的可信认证虚拟组网系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111935213B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113382002A (zh) * | 2021-06-10 | 2021-09-10 | 杭州安恒信息技术股份有限公司 | 数据请求方法、请求应答方法、数据通信系统及存储介质 |
CN114301979A (zh) * | 2021-12-17 | 2022-04-08 | 北京航空航天大学杭州创新研究院 | 基于Zabbix的自组网加密通信监控系统和方法 |
CN115277615A (zh) * | 2022-05-31 | 2022-11-01 | 北京北信源软件股份有限公司 | 即时通信方法、系统、计算机设备和存储介质 |
CN115694830A (zh) * | 2022-10-10 | 2023-02-03 | 广州大学 | 多机器人plc控制系统身份认证机制与方法 |
CN117060976A (zh) * | 2023-08-22 | 2023-11-14 | 元心信息科技集团有限公司 | 卫星通信方法、系统、电子设备、存储介质及程序产品 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101064695A (zh) * | 2007-05-16 | 2007-10-31 | 杭州看吧科技有限公司 | 一种P2P(Peer to Peer)安全连接的方法 |
CN101540669A (zh) * | 2008-03-20 | 2009-09-23 | 深圳市奥联科技有限公司 | 一种无线移动通信网络的密钥分发和信息保护方法 |
US20100122091A1 (en) * | 2008-11-07 | 2010-05-13 | Yi-Hsiung Huang | Access Control System And Method Based On Hierarchical Key, And Authentication Key Exchange Method Thereof |
CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
CN103237038A (zh) * | 2013-05-09 | 2013-08-07 | 中国电子科技集团公司第三十研究所 | 一种基于数字证书的双向入网认证方法 |
CN104113547A (zh) * | 2014-07-23 | 2014-10-22 | 中国科学院信息工程研究所 | 一种sip安全防范视频监控入网控制系统 |
CN105101194A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 终端安全认证方法、装置及系统 |
WO2016106560A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 一种实现远程接入的方法、装置及系统 |
US20160337127A1 (en) * | 2015-05-14 | 2016-11-17 | Verizon Patent And Licensing Inc. | IoT COMMUNICATION UTILIZING SECURE ASYNCHRONOUS P2P COMMUNICATION AND DATA EXCHANGE |
WO2019137030A1 (zh) * | 2018-01-11 | 2019-07-18 | 华为技术有限公司 | 安全认证方法、相关设备及系统 |
KR20190114434A (ko) * | 2018-03-30 | 2019-10-10 | 주식회사 코인플러그 | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 |
-
2020
- 2020-06-29 CN CN202010607162.7A patent/CN111935213B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101064695A (zh) * | 2007-05-16 | 2007-10-31 | 杭州看吧科技有限公司 | 一种P2P(Peer to Peer)安全连接的方法 |
CN101540669A (zh) * | 2008-03-20 | 2009-09-23 | 深圳市奥联科技有限公司 | 一种无线移动通信网络的密钥分发和信息保护方法 |
US20100122091A1 (en) * | 2008-11-07 | 2010-05-13 | Yi-Hsiung Huang | Access Control System And Method Based On Hierarchical Key, And Authentication Key Exchange Method Thereof |
CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
CN103237038A (zh) * | 2013-05-09 | 2013-08-07 | 中国电子科技集团公司第三十研究所 | 一种基于数字证书的双向入网认证方法 |
CN105101194A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 终端安全认证方法、装置及系统 |
CN104113547A (zh) * | 2014-07-23 | 2014-10-22 | 中国科学院信息工程研究所 | 一种sip安全防范视频监控入网控制系统 |
WO2016106560A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 一种实现远程接入的方法、装置及系统 |
US20160337127A1 (en) * | 2015-05-14 | 2016-11-17 | Verizon Patent And Licensing Inc. | IoT COMMUNICATION UTILIZING SECURE ASYNCHRONOUS P2P COMMUNICATION AND DATA EXCHANGE |
WO2019137030A1 (zh) * | 2018-01-11 | 2019-07-18 | 华为技术有限公司 | 安全认证方法、相关设备及系统 |
KR20190114434A (ko) * | 2018-03-30 | 2019-10-10 | 주식회사 코인플러그 | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113382002A (zh) * | 2021-06-10 | 2021-09-10 | 杭州安恒信息技术股份有限公司 | 数据请求方法、请求应答方法、数据通信系统及存储介质 |
CN114301979A (zh) * | 2021-12-17 | 2022-04-08 | 北京航空航天大学杭州创新研究院 | 基于Zabbix的自组网加密通信监控系统和方法 |
CN115277615A (zh) * | 2022-05-31 | 2022-11-01 | 北京北信源软件股份有限公司 | 即时通信方法、系统、计算机设备和存储介质 |
CN115277615B (zh) * | 2022-05-31 | 2024-02-23 | 北京北信源软件股份有限公司 | 即时通信方法、系统、计算机设备和存储介质 |
CN115694830A (zh) * | 2022-10-10 | 2023-02-03 | 广州大学 | 多机器人plc控制系统身份认证机制与方法 |
CN117060976A (zh) * | 2023-08-22 | 2023-11-14 | 元心信息科技集团有限公司 | 卫星通信方法、系统、电子设备、存储介质及程序产品 |
CN117060976B (zh) * | 2023-08-22 | 2024-04-12 | 元心信息科技集团有限公司 | 卫星通信方法、系统、电子设备、存储介质及程序产品 |
Also Published As
Publication number | Publication date |
---|---|
CN111935213B (zh) | 2023-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111935213B (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
US7992193B2 (en) | Method and apparatus to secure AAA protocol messages | |
US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
CN112235235B (zh) | 一种基于国密算法的sdp认证协议实现方法 | |
CN107105060A (zh) | 一种实现电动汽车信息安全的方法 | |
EP1376976A1 (en) | Methods for authenticating potential members invited to join a group | |
US11075907B2 (en) | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same | |
WO2014166546A1 (en) | Method and system for accessing device by a user | |
JP4783340B2 (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
US20230336529A1 (en) | Enhanced privacy preserving access to a vpn service | |
Tong et al. | CCAP: A complete cross-domain authentication based on blockchain for Internet of things | |
US20080072033A1 (en) | Re-encrypting policy enforcement point | |
CN116668167A (zh) | 基于区块链的数据通信的智能合约方法 | |
CN114091009A (zh) | 利用分布式身份标识建立安全链接的方法 | |
Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs | |
CN111224784A (zh) | 一种基于硬件可信根的角色分离的分布式认证授权方法 | |
CN109981662A (zh) | 一种安全通信系统及方法 | |
Guenane et al. | A strong authentication for virtual networks using eap-tls smart cards | |
Santos et al. | A federated lightweight authentication protocol for the internet of things | |
WO2023151427A1 (zh) | 量子密钥传输方法、装置及系统 | |
TWI811178B (zh) | 基於多方多因子動態強加密認證之資通安全方法與系統 | |
CN117155717B (zh) | 基于标识密码的认证方法、跨网跨域数据交换方法及系统 | |
Ko et al. | Viotsoc: Controlling access to dynamically virtualized iot services using service object capability | |
Cheng et al. | Research on Vehicle-to-cloud Communication Based on Lightweight Authentication and Extended Quantum Key Distribution |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |