CN113472539A - 一种利用RDMA R_Key进行国密加密的方法 - Google Patents
一种利用RDMA R_Key进行国密加密的方法 Download PDFInfo
- Publication number
- CN113472539A CN113472539A CN202110666650.XA CN202110666650A CN113472539A CN 113472539 A CN113472539 A CN 113472539A CN 202110666650 A CN202110666650 A CN 202110666650A CN 113472539 A CN113472539 A CN 113472539A
- Authority
- CN
- China
- Prior art keywords
- key
- rdma
- data
- encryption
- keyb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000003993 interaction Effects 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 4
- 238000005336 cracking Methods 0.000 abstract description 3
- 230000007246 mechanism Effects 0.000 abstract description 3
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
- H04L9/16—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
Abstract
本发明涉及数据安全相关领域,具体为一种利用RDMA R_Key进行国密加密的方法,包括加密步骤和解密步骤,本发明利用了SM4来加密RDMA中的数据部分的新方案,然后每次MR和MW生效的R_Key和用户密钥KEYA来加扰,产生新的SM4的KEYB,且RDMA协议的MR和MW更新失效机制会刷新R_Key来切换密钥KEYB,更好的保护数据;通过利用R_key方式加密可以保护RDMA的Reliable Service和Unreliable Service,保护范围更加广泛,且可以和别的加密方法一起,利用R_Key加大破解难度。
Description
技术领域
本发明涉及数据安全相关领域,具体为一种利用RDMA R_Key进行国密加密的方法。
背景技术
RDMA(Remote Direct Memory Access)技术全称远程直接数据存取,就是为了解决网络传输中服务器端数据处理的延迟而产生的,其中在RDMA协议中,MR(Memory Region)RDMA访问时完成注册的用于另一侧访问的虚拟连续内存区域,用于管理内存的本地访问和远端访问;MW(Memory Window)RDMA访问时,可以在已经分配并绑定好的MR中分配部分资源用于远端访问的区域。
现有的RDMA,没有规定专门的加密方法,数据利用明文传输,极其容易被人窃听和篡改,在RDMA当前的协议中,业务类型分为Reliable Service和Unreliable Service两种服务类型。Reliable Service包含一个递增增加的PSN号标识交互的包,该PSN随着报文传输递增的,保障了交互密钥的有效周期快速变化,而提高加密的安全等级。但是该方法只能保护Reliable Service类型的服务数据。
但是在Reliable Service和Unreliable Service两类数据类型中,在每一次有效数据传输时,都会和远端的设备交互传输数据资源的Remote Key(R_key),每次数据交互时都会进行交互,该R_key可以保护Reliable Service和Unreliable Service两类服务,针对这些问题,设计了一种利用RDMA R_Key进行国密加密的方法。
发明内容
本发明的目的在于提供一种利用RDMA R_Key进行国密加密的方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种利用RDMA R_Key进行国密加密的方法,包括加密步骤和解密步骤,所述加密步骤如下:
步骤1、由发送端设备通过管理报文交互获取远端内存区域的R_key,然后RDMA对接收端设备进行数据访问;
步骤2、将发送端的用户密钥KEYA和使用步骤1中R_key相叠加,再将上述相叠加的密钥经过SM3的杂凑运算得到加密数据1;
步骤3、获取步骤2中加密数据1,取其中低128bit数据得到解密使用的密钥KEYB;
步骤4、在RDMA数据传输时,使用步骤3中KEYB作为密钥,通过SM4分组运算的方式对RDMA包中数据的明文进行加密;
步骤5、RDMA结束本次访问,释放R_Key,在新一次RDMA对接收端设备进行数据访问时重复步骤1的操作;
所述解密步骤如下:
步骤1、接收端设备根据访问交互获取到R_Key;
步骤2、接收端设备基于密钥KEYA,使用步骤1中RDMA数据访问时交互时的R_Key进行叠加,再使用SM3的杂凑运算得到加密数据2;
步骤3、获取步骤2中加密数据2,取其中低128bit数据得到解密使用的密钥KEYB;
步骤4、利用步骤3中获取的解密密钥KEYB,通过SM4分组运算的方式对RDMA包中数据的明文进行解密。
优选的,所述加密步骤中的KEYA和KEYB只是在本次加密或解密的流程中的MR和MW中有效。
优选的,所述加密步骤中MR和MW失效后将根据新的MR和MW交互获取的新的R_Key来更新密钥。
优选的,所述解密步骤中当MR和MW更新时,使用新获取的R_Key重新计算新的KEYB,用于该次RDMA包中数据部分解密
与现有技术相比,本发明的有益效果是:本发明利用了SM4来加密RDMA中的数据部分的新方案,然后每次MR和MW生效的R_Key和用户密钥KEYA来加扰,产生新的SM4的KEYB,且RDMA协议的MR和MW更新失效机制会刷新R_Key来切换密钥KEYB,更好的保护数据;通过利用R_key方式加密可以保护RDMA的Reliable Service和Unreliable Service,保护范围更加广泛,且可以和别的加密方法一起,利用R_Key加大破解难度。
附图说明
图1为本发明的工作流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1,本发明提供一种技术方案:一种利用RDMA R_Key进行国密加密的方法,包括加密步骤和解密步骤,加密步骤如下:
步骤1、由发送端设备通过管理报文交互获取远端内存区域的R_key,然后RDMA对接收端设备进行数据访问;
步骤2、将发送端的用户密钥KEYA和使用步骤1中R_key相叠加,再将上述相叠加的密钥经过SM3的杂凑运算得到加密数据1;
步骤3、获取步骤2中加密数据1,取其中低128bit数据得到解密使用的密钥KEYB;
步骤4、在RDMA数据传输时,使用步骤3中KEYB作为密钥,通过SM4分组运算的方式对RDMA包中数据的明文进行加密;
步骤5、RDMA结束本次访问,释放R_Key,在新一次RDMA对接收端设备进行数据访问时重复步骤1的操作;
解密步骤如下:
步骤1、接收端设备根据访问交互获取到R_Key;
步骤2、接收端设备基于密钥KEYA,使用步骤1中RDMA数据访问时交互时的R_Key进行叠加,再使用SM3的杂凑运算得到加密数据2;
步骤3、获取步骤2中加密数据2,取其中低128bit数据得到解密使用的密钥KEYB;
步骤4、利用步骤3中获取的解密密钥KEYB,通过SM4分组运算的方式对RDMA包中数据的明文进行解密。
进一步的,加密步骤中的KEYA和KEYB只是在本次加密或解密的流程中的MR和MW中有效。
进一步的,加密步骤中MR和MW失效后将根据新的MR和MW交互获取的新的R_Key来更新密钥。
进一步的,解密步骤中当MR和MW更新时,使用新获取的R_Key重新计算新的KEYB,用于该次RDMA包中数据部分解密。
本发明利用了SM4来加密RDMA中的数据部分的新方案,然后每次MR和MW生效的R_Key和用户密钥KEYA来加扰,产生新的SM4的KEYB,且RDMA协议的MR和MW更新失效机制会刷新R_Key来切换密钥KEYB,更好的保护数据;通过利用R_key方式加密可以保护RDMA的Reliable Service和Unreliable Service,保护范围更加广泛,且可以和别的加密方法一起,利用R_Key加大破解难度。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (4)
1.一种利用RDMA R_Key进行国密加密的方法,包括加密步骤和解密步骤,其特征在于:所述加密步骤如下:
步骤1、由发送端设备通过管理报文交互获取远端内存区域的R_key,然后RDMA对接收端设备进行数据访问;
步骤2、将发送端的用户密钥KEYA和使用步骤1中R_key相叠加,再将上述相叠加的密钥经过SM3的杂凑运算得到加密数据1;
步骤3、获取步骤2中加密数据1,取其中低128bit数据得到解密使用的密钥KEYB;
步骤4、在RDMA数据传输时,使用步骤3中KEYB作为密钥,通过SM4分组运算的方式对RDMA包中数据的明文进行加密;
步骤5、RDMA结束本次访问,释放R_Key,在新一次RDMA对接收端设备进行数据访问时重复步骤1的操作;
所述解密步骤如下:
步骤1、接收端设备根据访问交互获取到R_Key;
步骤2、接收端设备基于密钥KEYA,使用步骤1中RDMA数据访问时交互时的R_Key进行叠加,再使用SM3的杂凑运算得到加密数据2;
步骤3、获取步骤2中加密数据2,取其中低128bit数据得到解密使用的密钥KEYB;
步骤4、利用步骤3中获取的解密密钥KEYB,通过SM4分组运算的方式对RDMA包中数据的明文进行解密。
2.根据权利要求1所述的一种利用RDMA R_Key进行国密加密的方法,其特征在于:所述加密步骤中的KEYA和KEYB只是在本次加密或解密的流程中的MR和MW中有效。
3.根据权利要求1所述的一种利用RDMA R_Key进行国密加密的方法,其特征在于:所述加密步骤中MR和MW失效后将根据新的MR和MW交互获取的新的R_Key来更新密钥。
4.根据权利要求1所述的一种利用RDMA R_Key进行国密加密的方法,其特征在于:所述解密步骤中当MR和MW更新时,使用新获取的R_Key重新计算新的KEYB,用于该次RDMA包中数据部分解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110666650.XA CN113472539A (zh) | 2021-06-16 | 2021-06-16 | 一种利用RDMA R_Key进行国密加密的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110666650.XA CN113472539A (zh) | 2021-06-16 | 2021-06-16 | 一种利用RDMA R_Key进行国密加密的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113472539A true CN113472539A (zh) | 2021-10-01 |
Family
ID=77870283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110666650.XA Pending CN113472539A (zh) | 2021-06-16 | 2021-06-16 | 一种利用RDMA R_Key进行国密加密的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113472539A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143413A (zh) * | 2021-11-26 | 2022-03-04 | 佛山芯珠微电子有限公司 | 一种图像数据puf安全加密系统及加密方法 |
-
2021
- 2021-06-16 CN CN202110666650.XA patent/CN113472539A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143413A (zh) * | 2021-11-26 | 2022-03-04 | 佛山芯珠微电子有限公司 | 一种图像数据puf安全加密系统及加密方法 |
| CN114143413B (zh) * | 2021-11-26 | 2023-11-03 | 佛山芯珠微电子有限公司 | 一种图像数据puf安全加密系统及加密方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
| CN105610773B (zh) | 一种电能表远程抄表的通讯加密方法 | |
| CN108809637A (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
| CN113612610B (zh) | 一种会话密钥协商方法 | |
| CN113612797A (zh) | 一种基于国密算法的Kerberos身份认证协议改进方法 | |
| CN105812128A (zh) | 一种智能电网抗恶意数据挖掘攻击的数据聚合系统及方法 | |
| CN116614599B (zh) | 一种安全加密的视频监控方法、装置及存储介质 | |
| US20020199102A1 (en) | Method and apparatus for establishing a shared cryptographic key between energy-limited nodes in a network | |
| CN114172745A (zh) | 一种物联网安全协议系统 | |
| EP2992646B1 (en) | Handling of performance monitoring data | |
| CN109981271B (zh) | 一种网络多媒体安全防护加密方法 | |
| CN112383917A (zh) | 一种基于商密算法的北斗安全通信方法和系统 | |
| CN114024698A (zh) | 一种基于国密算法的配电物联网业务安全交互方法及系统 | |
| CN114338239A (zh) | 一种数据加密传输的方法及其系统 | |
| CN113472539A (zh) | 一种利用RDMA R_Key进行国密加密的方法 | |
| KR20190040443A (ko) | 스마트미터의 보안 세션 생성 장치 및 방법 | |
| CN113839786B (zh) | 一种基于sm9密钥算法的密钥分发方法和系统 | |
| CN112069487B (zh) | 一种基于物联网的智能设备网络通讯安全实现方法 | |
| CN114928503A (zh) | 一种安全通道的实现方法及数据传输方法 | |
| CN113972998A (zh) | 一种预共享密钥psk的更新方法及装置 | |
| CN111064575A (zh) | 应用在国产密码加密的信号系统中解析网络捕包的方法 | |
| Tong et al. | The Research of the SM2, SM3 and SM4 Algorithms in WLAN of Transformer Substation | |
| CN212727433U (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
| CN116743505B (zh) | 一种基于国密的安全传输加密方法 | |
| CN117201200B (zh) | 基于协议栈的数据安全传输方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20231228 Address after: 518100, Building A, Jingang Center, Jingang Building, Haoye Community, Xixiang Street, Bao'an District, Shenzhen City, Guangdong Province, China 502 Applicant after: Shenzhen anjilite New Technology Co.,Ltd. Address before: 200000 room 801-3, building 3, No. 2168, Chenhang highway, Minhang District, Shanghai Applicant before: Shanghai Xinyi Henglian Technology Co.,Ltd. |