CN113038306A - 光网络安全通信方法、装置、电子设备及介质 - Google Patents

光网络安全通信方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN113038306A
CN113038306A CN202110322915.4A CN202110322915A CN113038306A CN 113038306 A CN113038306 A CN 113038306A CN 202110322915 A CN202110322915 A CN 202110322915A CN 113038306 A CN113038306 A CN 113038306A
Authority
CN
China
Prior art keywords
data
sequence
preset
terminal network
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110322915.4A
Other languages
English (en)
Other versions
CN113038306B (zh
Inventor
陈寅芳
齐艺超
金亚
陈伟
祝宁华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Semiconductors of CAS
Original Assignee
Institute of Semiconductors of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Semiconductors of CAS filed Critical Institute of Semiconductors of CAS
Priority to CN202110322915.4A priority Critical patent/CN113038306B/zh
Publication of CN113038306A publication Critical patent/CN113038306A/zh
Application granted granted Critical
Publication of CN113038306B publication Critical patent/CN113038306B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0005Switch and router aspects
    • H04Q2011/0037Operation
    • H04Q2011/0045Synchronisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q2011/0079Operation or maintenance aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q2011/0086Network resource allocation, dimensioning or optimisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种光网络安全通信方法,包括:接收不同类型的终端网络数据,对终端网络数据进行加密;按照预设切片序列,将加密后的终端网络数据随机切分为多个数据块;以及,按照预设穿越序列,在公共网络中将多个数据块随机分配到多条数据隧道中进行传输。本发明还提供了一种光网络安全通信装置、电子设备及介质。本发明实现不同网络终端数据,高速、安全的在公共网络中传输,实现不同类型的终端网络安全地互联互通。

Description

光网络安全通信方法、装置、电子设备及介质
技术领域
本发明涉及光网络安全通信领域,特别涉及一种光网络安全通信方法、装置、电子设备及介质。
背景技术
当前,科技和社会发展进步在提速,人们对通信的需求越来越旺盛。光纤通信因其传输容量和距离的优势,在干线、城域以及接入网中,发挥着举足轻重的作用。而随着光纤传输容量的增大,光纤中敏感信息内容也在增多,如涉及金融、国防、军事以及商业秘密信息等,光纤的安全性问题逐渐引起研究者注意。光网络是光纤通信数据交换的基础平台,光网络安全同样关系光纤通信的安全。
隧道通信技术,是一种利用公共互联网的基础设施,在不同网络之间构筑专用的单一信息隧道,传递数据的方式。隧道通信技术将不同网络协议的数据帧或包,重新封装在新的包头中发送,从而使不同的网络协议数据能够通过公共互联网传输。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。传统的隧道通信方式,隧道单一,且被封装的数据包以明文的形式传输,存在一定的安全风险。
发明内容
(一)要解决的技术问题
有鉴于此,本发明提供一种光网络安全通信方法、装置、电子设备及介质,以便至少部分地解决上述问题。
(二)技术方案
本发明一方面提供一种光网络安全通信方法,包括:接收不同类型的终端网络数据,对终端网络数据进行加密;按照预设切片序列,将加密后的终端网络数据随机切分为多个数据块;以及,按照预设穿越序列,在公共网络中将多个数据块随机分配到多条数据隧道中进行传输。
可选地,对终端网络数据进行加密,还包括:加密过程是以全数据包形式加密。
可选地,对终端网络数据进行加密包括:使用国家商用密码标准体系,对每一类型的终端网络数据以全数据包形式进行加密,其中,加密模式包括电子密码本模式、密码分组链接模式或计算器模式中的至少一种。
可选地,方法还包括设置预设切片序列,包括:设置切片分组的组内最大bit位数;根据终端网络数据a的最大长度和组内最大bit位数,确定切片组数n;按照切片组数n和组内最大bit位数,随机生成预设切片序列q,q={q1,q2,q3,…,qn},其中,qi为q的任一元素,i=1,2,…,n。
可选地,按照预设切片序列,将加密后的终端网络数据随机切分为多个数据块,包括:根据预设切片序列q与加密后的终端网络数据a,将预设切片序列中的每一个元素qi的bit位数对应至终端网络数据a的第i个数据块的分组位数;按照分组位数将加密后的终端网络数据切分为n个数据块,形成分组数列b,b={a1,a2,a3,…,an},其中,ai为第i个数据块。
可选地,方法还包括设置预设穿越序列,包括:在公共网络中设置r个相互独立的数据隧道,r≥2;按照切分后的数据块个数n,对每一个数据块ai随机分配对应的数据隧道序数si,1≤si≤r;根据按照切分后的数据块顺序,生成预设穿越序列s,s={s1,s2,s3,…,sn}。
可选地,按照预设穿越序列,在公共网络中将多个数据块随机分配到多条数据隧道中进行传输,包括:根据预设穿越序列s,将每一个数据块ai分配至公共网络中的第si个数据隧道中进行传输。
可选地,方法还包括:接收公共网络中的多条数据隧道中传输的多个数据块;结合预设切片序列和预设切片序列,将接收到的多个数据块组合成单个数据包;将单个数据包进行解密,以恢复出不同类型的终端网络数据。
本发明另一方面提供一种光网络安全通信装置,包括:数据加密模块,用于接收不同类型的终端网络数据,对终端网络数据进行加密;数据切片模块,用于按照预设切片序列,将加密后的终端网络数据随机切分为多个数据块;以及,隧道穿越模块,用于按照预设穿越序列,在公共网络中将多个数据块随机分配到多条数据隧道中进行传输。
可选地,光网络安全通信装置还包括:隧道穿越恢复模块,用于接收公共网络中的多条数据隧道中传输的多个数据块;数据切片恢复模块,用于结合预设切片序列和预设切片序列,将接收到的多个数据块组合成单个数据包;数据解密模块,用于将单个数据包进行解密,以恢复出不同类型的终端网络数据。
本发明的另一方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器实现上述根据本公开实施例的方法。
本发明的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,上述指令在被执行时用于实现根据本公开实施例上述的方法。
(三)有益效果
与现有技术相比,本发明具有以下有益效果:
(1)有效的光-电-光变换。本发明采用收发一体的商用成熟SFP模块,借助电学的方法来处理相关的数据,处理完数据后又需要将电信号转换为光信号发送。
(2)高速数字信号处理。光信号速率一般为Gbps数量级,经过光电变换后,对应的电信号速率达Gbps量级。而精准处理Gbps速率的电信号依赖于电学处理方案和时钟速率。本发明采用Xilinx官方推荐的GTX接口模块,实现串行信号的并行化处理功能。
(3)收发同步。本发明采用了三个独立的安全控制序列,分别是加解密密钥、随机切片序列和随机隧道穿越序列。在收发端这三个独立序列需要保持对应的数据收发同步,才能正确的将数据由发送端传输到接收端。本发明借助GTX接口模块中的通道绑定功能以及对应序列的同步头添加机制,来解决收发同步。
附图说明
图1示意性示出了本发明一实施例的光网络安全通信方法的流程图;
图2示意性示出了本发明一实施例的光网络安全通信方法的原理框图;
图3示意性示出了本发明一实施例的数据切片过程的流程图;
图4示意性示出了本发明一实施例的数据切片过程的原理框图;
图5示意性示出了本发明一实施例的数据块隧道穿越的流程图;
图6示意性示出了本发明一实施例的数据块隧道穿越的原理框图;
图7示意性示出了本发明另一实施例的光网络安全通信方法的流程图;
图8示意性示出了本发明另一实施例的光网络安全通信方法的原理框图;
图9示意性示出了本发明实施例的光网络安全通信方法的应用场景;
图10A示意性示出了本发明一实施例的光网络安全通信装置的框图;
图10B示意性示出了本发明另一实施例的光网络安全通信装置的框图;
图11示意性示出了根据本发明实施例的电子设备的框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示意性示出了本发明一实施例的光网络安全通信方法的流程图。图2示意性示出了本发明一实施例的光网络安全通信方法的原理框图。
结合图2,对图1所示的光网络安全通信方法进行说明如下。该方法可以包括操作S11~S13。
在操作S11,接收不同类型的终端网络数据,对终端网络数据进行加密。
不同类型的终端网络数据包括不同网络类型的数据和/或不同终端类型的数据。其中,不同网络类型,例如可以包括局域网、城域网、广域网或互联网,又例如可以包括有线和/或无线通信链路等。不同终端类型也即不同用户终端,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等。
本实施例中,在对终端网络数据进行加密之前,还包括:将该终端网络数据按照类型进行区分标记。例如,可以在数据加密之前,通过采用Xilinx官方推荐的GTX接口模块,实现串行信号的并行化处理功能。该GTX接口模块中的对应序列的同步头添加机制,可以将加密前的数据进行区分标记,以方便后续的数据还原。
如图1所示,在接收到网络A的终端数据包后,首先进行数据包加密。本实施例中,使用国家商用密码标准体系,对终端网络数据以全数据包形式进行加密。
具体地,在终端网络数据加密过程中,使用国家商用密码标准体系进行加密,例如采用商密4(SM4)的加密方式。
SM4是一种无线局域网标准的分组数据算法,采用对称加密,其加密密钥长度和分组长度均为128bit,加密密钥内容为收发双方约定。由于SM4加解密的分组长度为128bit,故对消息进行加密或解密时,若消息长度过长,需要进行分组,要消息长度不足,则要进行128bit等长填充处理。
需要说明的是,在其他实施例中,也可采用其他加密方式,具体根据用户实际需要进行设置,例如可以为SM2或SM3等。
需要注意的是,这里的加密过程是以全数据包形式加密,也即,把整个终端网络数据当作一个数据包,作为有效数据,从包头到包尾,依次进行128bit区段分组加密,而不必区分终端网络数据中的数据格式和类型。
本实施例中,加密模式可以是电子密码本模式(Electronic Codebook Book,ECB)、密码分组链接模式(Cipher Block Chaining,CBC)或计算器模式(Counter:CTR)等。
其中,ECB是将明文分组加密之后的结果将直接成为密文分组;CBC是将明文分组与前一个密文分组进行XOR运算,然后再进行加密,即得密文分组;CTR是一种通过逐次累加的计数器进行加密来生成密钥流的流密码,计数器值作为密码算法的输入,密码算法的输出与明文执行XOR运算,即得密文分组。
在操作S12,按照预设切片序列,将加密后的终端网络数据随机切分为多个数据块。
将全数据包按照预设切片序列的要求,在时域上随机切分为多个数据块,也即不等长度的多个小块。
在操作S13,按照预设穿越序列,在公共网络中将多个数据块随机分配到多条数据隧道中进行传输。
将切分后的多个数据块按照预设穿越序列的要求,随机分配至多条隧道空域中,并通过光信号进行传输。
本实施例中,预设切片序列和预设穿越序列均以二进制形式存储。
由此,本发明实现了终端加密数据包信息在多条数据隧道的时域随机穿越、空域随机分布的功能,进一步增强数据隧道的安全性能。本发明实施例提供的光网络安全通信方法,在公共网络之间,采用了构筑多隧道的通信方式,数据隧道实现不同类型的终端网络在公共网络平台上互联互通。
下面参考图3~图6,结合具体实施例对图1所示的光网络安全通信方法做进一步说明。
图3示意性示出了本发明一实施例的数据切片过程的流程图。图4示意性示出了本发明一实施例的数据切片过程的原理框图。
结合图3和图4,上述操作S12可以包括设置预设切片序列,具体包括:
在操作S121,设置切片分组的组内最大bit位数。
由于在全数据包加密完成后,需要对加密后的数据进行数据随机切片。首先需要预先设置该预设切片序列。本实施例中,例如设置组内最大bit位数为8bit,也即3个二进制位数。
可以理解的是,3个二进制位数可以表示1~8bit中的任意一个bit位,例如设置“001”表示1个bit位,“010”表示2个bit位,“011”表示3个bit位,以此类推,“111”表示7个bit位。特殊地,设置“000”表示8个bit位。
在操作S122,根据终端网络数据a的最大长度和组内最大bit位数,确定切片组数n。
由于随机分组,最少每隔一个二进制位就可以分为一组,为满足预设切片序列q不小于终端网络数据a的最大长度,也即切片组数n需不小于终端网络数据a的最大长度。
本实施例中,结合组内最大bit位数占据了3个二进制位数,预设切片序列q的二进制位数也就需要至少占据终端网络数据a的最大长度的3倍。
在操作S123,按照切片组数n和组内最大bit位数,随机生成预设切片序列q,q={q1,q2,q3,…,qn},其中,qi为q的任一元素,i=1,2,…,n。
基于上述切片组数n和组内最大bit位数,确定了预设切片序列q的二进制位数,进而随机生成预设切片序列q,q的任一元素qi均占据3个二进制位数。此外,随机生成数据的方式为本领域常规技术,具体本发明不再赘述。
经过上述步骤S121~S123随机生成预设切片序列q之后,还需进行数据切分的执行。也即,操作S12还可以包括:
在操作S124,根据预设切片序列q与加密后的终端网络数据a,将预设切片序列q中的每一个元素qi的bit位数对应至终端网络数据a的第i个数据块的分组位数。
具体来说,从预设切片序列q的第一个元素q1开始,q1的bit位数对应至终端网络数据a的第1个数据块的分组位数,也即第一个数据块分组位数为“010”表征的bit位数2,也即终端网络数据a首先以2位分组进行切分,切分后的数据块即为“01”。第二个数据块分组位数为“001”表征的bit位数1,也即终端网络数据a在未切分的数据中,继续以1位进行切分,,切分后的数据块即为“1”。继续地,第三个数据块分组位数为“101”表征的bit位数5,也即终端网络数据a在未切分的数据中,继续以5位进行切分,切分后的数据块即为“00100”。以此类推,预设切片序列q每隔三个二进制位对应于终端网络数据a的一个分组位置,每一个元素qi的bit位数即为对应位置切片序列的数值大小,依次类推,直至所有的终端网络数据a全部分组切片完毕。
在操作S125,按照所述分组位数将加密后的终端网络数据切分为n个数据块,形成分组数列b,b={a1,a2,a3,…,an},其中,ai为第i个数据块。
本步骤用于将切分后的多个数据块以分组数列的形式存储。
具体来说,按照切分后的数据块个数n,可以将所述多个数据块一一对应地存储至数据寄存器组。也即,将{a1,a2,a3,…,an}存储至数据寄存器组。
由此可见,根据预设切片序列q,对输入的数据a进行随机的分组,分组大小和对应位置均与预设切片序列有关。
图5示意性示出了本发明一实施例的数据块隧道穿越的流程图。图6示意性示出了本发明一实施例的数据块隧道穿越的原理框图。
结合图5和图6,上述操作S13可以包括设置预设穿越序列,具体包括:
在操作S131,在公共网络中设置r个相互独立的数据隧道,r≥2。
例如参阅图6,本实施例中,r=4。由于4个数据隧道相互独立,为区分各个隧道,设定穿越隧道设置规则,以设定穿越序列对应的各个隧道。
根据二进制数据特点,该穿越隧道设置规则例如可以为:“00”对应隧道1,“01”对应隧道2,“10”对应隧道3,“11”对应隧道4。其中各个隧道的IP地址和MAC地址有所不同,以将数据隧道在空域上随机分布。也即,隧道1的源地址可以为IP1和MAC1,以此类推,隧道2的源地址为IP2和MAC2,隧道3的源地址为IP3和MAC3,隧道4的源地址为IP4和MAC4
在其他实施例中,该穿越隧道设置规则可结合数据隧道个数r进行设置,以进行区分即可,具体规则本发明不做限制。
在操作S132,按照切分后的数据块个数n,对每一个数据块ai随机分配对应的数据隧道序数si,1≤si≤r。
例如参阅图6,本实施例中,基于上述设置的四个数据隧道以及穿越隧道设置规则,对每一个数据块随机分配对应的数据隧道序数si,1≤si≤4。也即si取值为1、2、3或4中的任意一种。
在操作S133,根据按照切分后的数据块顺序,生成预设穿越序列s,s={s1,s2,s3,…,sn}。
基于上述对每一个数据块ai随机分配的数据隧道序数si,生成了预设穿越序列s。
经过上述步骤S131~S133随机生成预设穿越序列s之后,还需进行数据块随机隧道穿越的执行。也即,操作S13还可以包括:
在操作S134,根据预设穿越序列s,将每一个数据块ai分配至公共网络中的第si个数据隧道中进行传输。
如图6所示,数据寄存器组{a1,a2,a3,…,an}中的多个数据块根据对应位置上的预设穿越序列s,来决定每一个数据块随机进入到具体某一个隧道中传输。例如,s1表示第一个数据块a1在“01”对应的隧道2中进行传输,s2表示第二个数据块a2在“10”对应的隧道3中进行传输,s3表示第三个数据块a3在“11”对应的隧道4中进行传输,s4表示第四个数据块a4在“00”对应的隧道1中进行传输,以此类推,实现多个数据块在四条隧道上随机穿越。
需要说明的是,随机切片过程可以和随机隧道穿越过程同时展开。也即,数据a按照任意qi进行对应位置的某一个数据切片以形成数据块ai后,立即开始按照si确定的隧道序数对数据块ai进行对应的隧道穿越。从总体效果上来看,输入的数据切片在时域上呈现的是,在四条隧道上随机的分布和穿越。窃听者如果窃取一条隧道,则获取的是少部分的信息随机切片。即使所有隧道都被窃听,获取的也只是信息随机切片的组合,在不知道切片序列和穿越序列的前提下,窃听者无法恢复出原始信息。
当然,本实施例也可以在对数据a进行所有的随机切片过程之后,再进行随机隧道穿越过程。
图7示意性示出了本发明另一实施例的光网络安全通信方法的流程图。图8示意性示出了本发明另一实施例的光网络安全通信方法的原理框图。
如图7所示,本发明另一实施例的光网络安全通信方法,包括操作S11~S13,以及操作S14~S16。其中,操作S11~S13与前述本发明一实施例中的方法部分是相对应的,操作S11~S13部分的描述具体参考前述本发明一实施例中的方法部分,在此不再赘述,以下仅描述其不同于前述一实施例的特征。
在操作S14,接收公共网络中的多条数据隧道中传输的多个数据块。
在操作S15,结合预设切片序列和预设切片序列,将接收到的多个数据块组合成单个数据包。
接收端的数据恢复过程是发送端的逆变换。需要说明的是,接收端隧道穿越恢复和随机切片恢复,需要同时进行。也就是说,每一个接收到的多个数据块,需要同时结合预设切片序列和预设切片序列,来恢复出有效的加密数据。
在操作S16,将单个数据包进行解密,以恢复出不同类型的终端网络数据。
本步骤中,恢复出加密数据后,再根据解密密钥恢复出原始有效信息,也即不同类型的终端网络数据,从而将该原始有效信息送给接收终端,或者目的网络终端。
其中,解密密钥是由操作S11的加密密钥进行逆序变换后得到的。此外,在解密时,如果确定操作S11的加密过程使用了填充算法,对于解密后的数据,需要将填充数据剔除。
通过本发明的实施例,该光网络安全通信方法首先采用标准商用密码体系将终端的全数据包信息进行加密,然后将加密后的全数据包进行随机长度的切片,最后将随机长度切片数据随机分配到多个隧道中进行传输。在接收端采用相对应的逆变换过程恢复出原始数据。从而实现不同网络终端数据,高速、安全的在公共网络中传输,实现不同类型的终端网络的安全地互联互通。
图9示意性示出了本发明实施例的光网络安全通信方法的应用场景。
如图9所示,本发明提供的光网络安全通信方法,可以由图中的发送/接收模块来执行。发送/接收模块处于不同网络终端(例如可以包括网络终端A、网络终端B直至网络终端N,N≥2)与公共网络之间,以提供通信链路。
公共网络如前述内容,可以包括各种网络类型,例如有线、无线通信链路或者光纤电缆等等。
不同网络终端可以包括不同终端类型,例如智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
本发明提供的发送/接收模块先将来自不同网络终端的原始数据依次经过加密、切片和隧道穿越的处理之后,在公共网络中的多条数据隧道中传输数据。然后,公共网络传输的数据继续通过该发送/接收模块,以进行隧道穿越恢复、切片恢复和解密的处理之后,恢复出原始的终端网络数据,,送给对应的终端用户。
由此可见,本发明提供的光网络安全通信方法,包括发送端和接收端两部分。该光网络安全通信方法是一种双向全双工模式,将发送部分和接收部分集成在一起,构成收发模块形式。
其中,这种收发模块可以基于FPGA(Field Programmable Gate Array,场编程门阵列)技术开发实现,也即,数据加密、随机切片以及随机隧道分配等主要过程都可以在FPGA中完成。
需要说明的是,这种收发模块可以通过SFP(Small Form Pluggable,小型可插拔)商用光模块完成电光/光电变换过程。本发明采用收发一体的商用成熟SFP模块,借助电学的方法来处理相关的数据,处理完数据后又需要将电信号转换为光信号发送。其中,图9中的发送/接收模块在电域完成,该发送/接收模块的外界传输方式借助光域完成。
此外,由于发送端和接收端需要保持对应的数据收发同步,才能正确的将数据由发送端传输到接收端。本发明采用GTX接口模块中的通道绑定功能以及对应序列的同步头添加机制,来解决收发同步的问题。
通过上述实施例,本发明采用高速数字信号处理技术,借助FPGA处理能力以及成熟的商用光收发模块,提高了数据隧道的安全性能和传输速率,可实现基于多隧道随机穿越技术的光网络安全通信。
图10A示意性示出了本发明一实施例的光网络安全通信装置的框图。
如图10A所示,光网络安全通信装置500可以包括数据加密模块510、数据切片模块520和隧道穿越模块530。
数据加密模块510,用于接收不同类型的终端网络数据,对终端网络数据进行加密;
数据切片模块520,用于按照预设切片序列,将加密后的终端网络数据随机切分为多个数据块;
隧道穿越模块530,用于按照预设穿越序列,在公共网络中将多个数据块随机分配到多条数据隧道中进行传输。
图10B示意性示出了本发明另一实施例的光网络安全通信装置的框图。
如图10B所示,光网络安全通信装置600可以包括数据加密模块510、数据切片模块520、隧道穿越模块530、隧道穿越恢复模块610、数据切片恢复模块620和数据解密模块630。其中,数据加密模块510、数据切片模块520和隧道穿越模块530与前述光网络安全通信装置500中的模块相同,在此不再赘述,以下仅描述其不同于前述光网络安全通信装置500的特征。
隧道穿越恢复模块610,用于接收公共网络中的多条数据隧道中传输的多个数据块;
数据切片恢复模块620,用于结合预设切片序列和预设切片序列,将接收到的多个数据块组合成单个数据包;
数据解密模块630,用于将单个数据包进行解密,以恢复出不同类型的终端网络数据。
需要说明的是,本公开的实施例中光网络安全通信装置部分与本公开的实施例中光网络安全通信方法部分是相对应的,光网络安全通信装置部分的描述具体参考光网络安全通信方法部分,在此不再赘述。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,数据加密模块510、数据切片模块520、隧道穿越模块530、隧道穿越恢复模块610、数据切片恢复模块620和数据解密模块630中的任意多个可以合并在一个模块/单元/子单元中实现,或者其中的任意一个模块/单元/子单元可以被拆分成多个模块/单元/子单元。或者,这些模块/单元/子单元中的一个或多个模块/单元/子单元的至少部分功能可以与其他模块/单元/子单元的至少部分功能相结合,并在一个模块/单元/子单元中实现。根据本公开的实施例,数据加密模块510、数据切片模块520、隧道穿越模块530、隧道穿越恢复模块610、数据切片恢复模块620和数据解密模块630中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,数据加密模块510、数据切片模块520、隧道穿越模块530、隧道穿越恢复模块610、数据切片恢复模块620和数据解密模块630中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图11示意性示出了根据本发明实施例的电子设备的框图。图11示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图11所示,电子设备700包括处理器710、计算机可读存储介质720。该电子设备700可以执行根据本公开实施例的方法。
具体地,处理器710例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器710还可以包括用于缓存用途的板载存储器。处理器710可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质720,例如可以是非易失性的计算机可读存储介质,具体示例包括但不限于:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;等等。
计算机可读存储介质720可以包括计算机程序721,该计算机程序721可以包括代码/计算机可执行指令,其在由处理器710执行时使得处理器710执行根据本公开实施例的方法或其任何变形。
计算机程序721可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序721中的代码可以包括一个或多个程序模块,例如包括721A、模块721B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器710执行时,使得处理器710可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,数据加密模块510、数据切片模块520、隧道穿越模块530、隧道穿越恢复模块610、数据切片恢复模块620和数据解密模块630中的至少一个可以实现为参考图11描述的电子设备,其在被处理器710执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。

Claims (12)

1.一种光网络安全通信方法,其特征在于,包括:
接收不同类型的终端网络数据,对所述终端网络数据进行加密;
按照预设切片序列,将加密后的终端网络数据随机切分为多个数据块;以及
按照预设穿越序列,在公共网络中将多个数据块随机分配到多条数据隧道中进行传输。
2.根据权利要求1所述的光网络安全通信方法,其特征在于,所述对所述终端网络数据进行加密,包括:加密过程是以全数据包形式加密。
3.根据权利要求1所述的光网络安全通信方法,其特征在于,所述对所述终端网络数据进行加密包括:
使用国家商用密码标准体系,对每一类型的终端网络数据以全数据包形式进行加密,其中,加密模式包括电子密码本模式、密码分组链接模式或计算器模式中的至少一种。
4.根据权利要求1所述的光网络安全通信方法,其特征在于,所述方法还包括设置预设切片序列,包括:
设置切片分组的组内最大bit位数;
根据终端网络数据a的最大长度和组内最大bit位数,确定切片组数n;
按照切片组数n和组内最大bit位数,随机生成预设切片序列q,q={q1,q2,q3,…,qn},其中,qi为q的任一元素,i=1,2,…,n。
5.根据权利要求4所述的光网络安全通信方法,其特征在于,所述按照预设切片序列,将加密后的终端网络数据随机切分为多个数据块,包括:
根据预设切片序列q与加密后的终端网络数据a,将预设切片序列中的每一个元素qi的bit位数对应至终端网络数据a的第i个数据块的分组位数;
按照所述分组位数将加密后的终端网络数据切分为n个数据块,形成分组数列b,b={a1,a2,a3,…,an},其中,ai为第i个数据块。
6.根据权利要求1所述的光网络安全通信方法,其特征在于,所述方法还包括设置预设穿越序列,包括:
在公共网络中设置r个相互独立的数据隧道,r≥2;
按照切分后的数据块个数n,对每一个数据块ai随机分配对应的数据隧道序数si,1≤si≤r;
根据按照切分后的数据块顺序,生成预设穿越序列s,s={s1,s2,s3,…,sn}。
7.根据权利要求6所述的光网络安全通信方法,其特征在于,所述按照预设穿越序列,在公共网络中将多个数据块随机分配到多条数据隧道中进行传输,包括:
根据预设穿越序列s,将每一个数据块ai分配至公共网络中的第si个数据隧道中进行传输。
8.根据权利要求1所述的光网络安全通信方法,其特征在于,所述方法还包括:
接收公共网络中的多条数据隧道中传输的多个数据块;
结合预设切片序列和预设切片序列,将接收到的多个数据块组合成单个数据包;
将所述单个数据包进行解密,以恢复出不同类型的终端网络数据。
9.一种光网络安全通信装置,包括:
数据加密模块,用于接收不同类型的终端网络数据,对所述终端网络数据进行加密;
数据切片模块,用于按照预设切片序列,将加密后的终端网络数据随机切分为多个数据块;以及
隧道穿越模块,用于按照预设穿越序列,在公共网络中将多个数据块随机分配到多条数据隧道中进行传输。
10.根据权利要求9所述的光网络安全通信装置,其中,所述光网络安全通信装置还包括:
隧道穿越恢复模块,用于接收公共网络中的多条数据隧道中传输的多个数据块;
数据切片恢复模块,用于结合预设切片序列和预设切片序列,将接收到的多个数据块组合成单个数据包;
数据解密模块,用于将所述单个数据包进行解密,以恢复出不同类型的终端网络数据。
11.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至8中任一项所述的方法。
12.一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现权利要求1至8中任一项所述的方法。
CN202110322915.4A 2021-03-25 2021-03-25 光网络安全通信方法、装置、电子设备及介质 Active CN113038306B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110322915.4A CN113038306B (zh) 2021-03-25 2021-03-25 光网络安全通信方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110322915.4A CN113038306B (zh) 2021-03-25 2021-03-25 光网络安全通信方法、装置、电子设备及介质

Publications (2)

Publication Number Publication Date
CN113038306A true CN113038306A (zh) 2021-06-25
CN113038306B CN113038306B (zh) 2023-03-24

Family

ID=76474015

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110322915.4A Active CN113038306B (zh) 2021-03-25 2021-03-25 光网络安全通信方法、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN113038306B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102148798A (zh) * 2010-02-04 2011-08-10 上海果壳电子有限公司 大容量数据包的高效并行安全加解密方法
US20130275745A1 (en) * 2012-04-13 2013-10-17 Ncp Engineering Gmbh System and Method for Secure Communication
CN111030930A (zh) * 2019-12-02 2020-04-17 北京众享比特科技有限公司 基于去中心化网络数据分片传输方法、装置、设备及介质
CN111404661A (zh) * 2020-03-25 2020-07-10 电子科技大学中山学院 一种光物理层混沌安全接入方法
CN111698208A (zh) * 2020-05-07 2020-09-22 北京华云安信息技术有限公司 多隧道自适应数据流的编码方法、设备和存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102148798A (zh) * 2010-02-04 2011-08-10 上海果壳电子有限公司 大容量数据包的高效并行安全加解密方法
US20130275745A1 (en) * 2012-04-13 2013-10-17 Ncp Engineering Gmbh System and Method for Secure Communication
CN111030930A (zh) * 2019-12-02 2020-04-17 北京众享比特科技有限公司 基于去中心化网络数据分片传输方法、装置、设备及介质
CN111404661A (zh) * 2020-03-25 2020-07-10 电子科技大学中山学院 一种光物理层混沌安全接入方法
CN111698208A (zh) * 2020-05-07 2020-09-22 北京华云安信息技术有限公司 多隧道自适应数据流的编码方法、设备和存储介质

Also Published As

Publication number Publication date
CN113038306B (zh) 2023-03-24

Similar Documents

Publication Publication Date Title
US11734435B2 (en) Image encryption and decryption communication algorithm based on two-dimensional lag complex logistic map
US9344278B2 (en) Secure data transfer using random ordering and random block sizing
US20050053232A1 (en) Cipher block chaining decryption
US10924263B2 (en) Systems and methods for facilitating iterative key generation and data encryption and decryption
CN1938980A (zh) 用于密码加密处理数据的方法和设备
CN101310473A (zh) 无线网络的空中接口应用层安全
CN110677241B (zh) 一种量子网络虚拟化架构方法与装置
US7627747B2 (en) Hardware/software partitioning for encrypted WLAN communications
US10965456B2 (en) Systems and methods for facilitating data encryption and decryption and erasing of associated information
WO2008069473A1 (en) Method and apparatus for encrypting data
KR20210124368A (ko) 에폭 키 교환을 이용한 종단간 이중 래칫 암호화
CN111224974A (zh) 用于网络通信内容加密的方法、系统、电子设备及存储介质
CN104038505A (zh) 一种IPSec防重放的方法和装置
US20180159681A1 (en) Method for safeguarding the information security of data transmitted via a data bus and data bus system
US20200336301A1 (en) Devices and methods for enabling portable secure communication using random cipher pad cryptography
US10860403B2 (en) Systems and methods for facilitating truly random bit generation
TWI700915B (zh) 混合式雙重網路加密系統
CN113038306B (zh) 光网络安全通信方法、装置、电子设备及介质
CN104158788A (zh) 一种端到端传输数据的方法
CN111404674A (zh) 一种会话密钥的生成和接收方法及设备
CN114513780A (zh) 基于随机密钥的无线通信网络加密系统
CN114172636B (zh) 关键数据量子加密的混合式安全通信方法
CN114598488A (zh) 数据传输方法、通信装置及通信系统
CN111314287A (zh) 一种公钥加密通信方式和装置
CN109861974A (zh) 一种数据加密传输装置及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant