CN113890733A - 一种基于安全通信的网关系统 - Google Patents
一种基于安全通信的网关系统 Download PDFInfo
- Publication number
- CN113890733A CN113890733A CN202111219724.1A CN202111219724A CN113890733A CN 113890733 A CN113890733 A CN 113890733A CN 202111219724 A CN202111219724 A CN 202111219724A CN 113890733 A CN113890733 A CN 113890733A
- Authority
- CN
- China
- Prior art keywords
- gateway
- server
- key
- keys
- sub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于通信领域,公开了一种基于安全通信的网关系统,包括多个网关和一个服务器,其中至少一个第一网关具有短信通信接口,多个网关与服务器进行安全通信,第一网关通过短信向服务器请求密钥,服务器向第一网关发送密钥,第一网关将密钥根据Shamir秘密共享门限方法拆分成多个子密钥,发送给其它网关,其它网关将要发送的数据分块后,随机地用多个子密钥作为对称密钥将分块数据进行加密,并发送到服务器,服务器使用多个子密钥对接收数据进行解密。本发明将加密后的密钥经过短信发送,有效保证了密钥不被泄露,密钥进一步分解为子密钥,用子密钥来对数据进行加密,保证了加密效果。
Description
技术领域
本发明属于通信技术领域,尤其涉及一种基于安全通信的网关系统。
背景技术
通信安全的核心是保证服务可用,并保障服务和数据不被非法使用。各种各样的破坏、攻击和监听手段,目的是破坏通信安全。安全问题是家庭局域网的关键环节。大多数家庭智能设备缺少安全发送端到端加密通信的能力,存在以明文方式发送账号等秘密信息的问题,导致敏感信息可能会被恶意窃取。
发明内容
有鉴于此,本发明提出了一种基于安全通信的网关系统包括第一网关、多个智能设备和一个服务器,其中第一网关具有短信通信接口,多个智能设备与服务器进行安全通信,第一网关通过短信向服务器请求密钥,服务器向第一网关发送密钥,第一网关将密钥根据Shamir秘密共享门限方法拆分成多个子密钥,发送给智能设备,智能设备将要发送的数据分块后,随机地用多个子密钥作为对称密钥将分块数据进行加密,并发送到服务器,服务器使用多个子密钥对接收数据进行解密。
进一步地,所述服务器使用多个子密钥对接收数据进行解密时,分别用多个子密钥对同一个数据块进行试探解密。
进一步地,服务器和智能设备之间通过IPSec安全隧道进行通信。
进一步地,第一网关和智能设备之间使用约定静态口令进行身份认证。
进一步地,服务器向第一网关发送的短信密钥经过了加密,第一网关收到后用对称密钥方法将加密的短信密钥解密。
进一步地,所述短信密钥定期更新。
本发明的有益效果如下:
加密后的密钥经过短信发送,有效保证了密钥不被泄露,密钥进一步分解为子密钥,用子密钥来对数据进行加密,保证了加密效果。
附图说明
图1本发明基于安全通信的网关系统结构图。
具体实施方式
下面结合附图对本发明作进一步的说明,但不以任何方式对本发明加以限制,基于本发明教导所作的任何变换或替换,均属于本发明的保护范围。
根据本发明的各实施例,每一消息可以例如在消息的首部中包括源标识符、目的地标识符、源端口标识符、目的地端口标识符、同步标志和确认标志。在一些实施例中,每一消息也可以包括初始序列号和确认序列号。源标识符标识消息的发送者设备,且可以是例如发送者设备的IP地址。目的地标识符标识消息的预期接收者设备,且可以是例如接收者设备的IP地址。源端口标识符标识与从其发送消息的发送者设备的逻辑端口相关联的端口号。目的地端口标识符标识与向其发送消息的接收者设备的逻辑端口相关联的端口号。
在一些实施例中,消息也可以包括初始序列号和确认序列号,初始序列号和确认序列号可以用来判断一个消息是否响应于先前的消息而被发送。例如,可以从发送者设备发送具有初始序列号X的消息,且接收者设备可以发送具有确认序列号X+1的应答消息,以便指示该消息是响应于来自发送者设备的具有初始序列号X的消息而发送的。因而,如果发送者设备发送多个消息且在应答中接收到仅一个消息,则通过把应答消息的确认序列号与来自发送者设备的消息的初始序列号进行比较,可以判断应答消息响应于来自发送者设备的哪一消息。
本发明公开的一种基于安全通信的网关系统包括第一网关、多个智能设备和一个服务器,其中第一网关具有短信通信接口,多个智能设备与服务器进行安全通信,第一网关通过短信向服务器请求密钥,服务器向第一网关发送密钥,第一网关将密钥根据Shamir秘密共享门限方法拆分成多个子密钥,发送给智能设备,智能设备将要发送的数据分块后,随机地用多个子密钥作为对称密钥将分块数据进行加密,并发送到服务器,服务器使用多个子密钥对接收数据进行解密。
本实施例中的网关为家庭局域网中的各种智能设备,如智能音箱,智能电视,智能空调,智能摄像头等。其中第一网关可以是智能音箱,接收用户的语音指令,第一网关内嵌短信通信接口,可以收发短信。其它智能设备接收第一网关的指令,如接收拆分后的Shamir子密钥。
Shamir门限共享方法将需共享的密钥分成若干子密钥,并分发给参与者掌管,即通过构造(k,n)门限秘密共享方案,将一个秘密分成若干秘密份额分给n个参与者掌管,这些参与者中k个或k个以上的参与者所构成的子集可重构这个秘密。在本实施例中,k个子秘密都分给某个网关,由网关随机地将某个子秘密对某个分块数据进行加密,再将加密后的数据发送给服务器。
服务器收到数据后,使用多个子密钥对接收数据进行解密时,分别用多个子密钥对同一个数据块进行试探解密。因为服务器存储有Shamir密钥和其子密钥,服务器可将多个子密钥对某个数据块轮流进行解密。
服务器和智能设备之间通过IPSec安全隧道进行通信。IPSec使用认证头AH和封装安全载ESP两种安全协议来传输和封装数据,提供认证或加密等安全服务。封装时将AH或ESP相关字段插入原始IP报文中,如在传输模式中,AH头或ESP头被插入到IP头与传输层协议头之间,保护TCP/UDP/ICMP负载,或在原IP头部之前插入ESP/AH头部,同时生成新的IP头部。本实施例所述IPSec安全隧道与常规的IPSec安全隧道的建立方式相同。
第一网关和智能设备之间使用约定静态口令进行身份认证。第一网关和其它网关预置了静态口令,在系统初始化过程中,第一网关和其它智能设备通过消息交互查询口令后,进行身份认证。
服务器向第一网关发送的短信密钥经过了加密,第一网关收到后用对称密钥方法将加密的短信密钥解密。该加密方法使用的密钥预设于服务器和第一网关中,加密方法包括SM1算法、SM2算法、SM3算法、SM4算法、SM7算法、SM9算法,以及DES算法、AES算法、SHA算法、RSA算法、ECC算法中的一个或多个。
本实施例中,第一网关和服务器使用的短信密钥定期更新,示例性地,第一网关可每天向服务器请求发送一次短信密钥。
本发明的有益效果如下:
加密后的密钥经过短信发送,有效保证了密钥不被泄露,密钥进一步分解为子密钥,用子密钥来对数据进行加密,保证了加密效果。
上述实施例为本发明的一种实施方式,但本发明的实施方式并不受所述实施例的限制,其他的任何背离本发明的精神实质与原理下所做的改变、修饰、代替、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (6)
1.一种基于安全通信的网关系统,其特征在于,包括第一网关、多个智能设备和一个服务器,其中第一网关具有短信通信接口,多个智能设备与服务器进行安全通信,第一网关通过短信向服务器请求密钥,服务器向第一网关发送密钥,第一网关将密钥根据Shamir秘密共享门限方法拆分成多个子密钥,发送给智能设备,智能设备将要发送的数据分块后,随机地用多个子密钥作为对称密钥将分块数据进行加密,并发送到服务器,服务器使用多个子密钥对接收数据进行解密。
2.根据权利要求1所述的基于安全通信的网关系统,其特征在于,所述服务器使用多个子密钥对接收数据进行解密时,分别用多个子密钥对同一个数据块进行试探解密。
3.根据权利要求1所述的基于安全通信的网关系统,其特征在于,服务器和智能设备之间通过IPSec安全隧道进行通信。
4.根据权利要求1所述的基于安全通信的网关系统,其特征在于,第一网关和智能设备之间使用约定静态口令进行身份认证。
5.根据权利要求1所述的基于安全通信的网关系统,其特征在于,服务器向第一网关发送的短信密钥经过了加密,第一网关收到后用对称密钥方法将加密的短信密钥解密。
6.根据权利要求1所述的基于安全通信的网关系统,其特征在于,所述短信密钥定期更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111219724.1A CN113890733A (zh) | 2021-10-20 | 2021-10-20 | 一种基于安全通信的网关系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111219724.1A CN113890733A (zh) | 2021-10-20 | 2021-10-20 | 一种基于安全通信的网关系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113890733A true CN113890733A (zh) | 2022-01-04 |
Family
ID=79003748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111219724.1A Withdrawn CN113890733A (zh) | 2021-10-20 | 2021-10-20 | 一种基于安全通信的网关系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113890733A (zh) |
-
2021
- 2021-10-20 CN CN202111219724.1A patent/CN113890733A/zh not_active Withdrawn
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1387236B1 (en) | Key management system and method for secure data transmission | |
| CN109428867B (zh) | 一种报文加解密方法、网路设备及系统 | |
| EP1748615A1 (en) | Method and system for providing public key encryption security in insecure networks | |
| US20090060184A1 (en) | Systems and Methods for Providing Autonomous Security | |
| CN1938980A (zh) | 用于密码加密处理数据的方法和设备 | |
| EP2163028A1 (en) | System and method of creating and sending broadcast and multicast data | |
| US20150229621A1 (en) | One-time-pad data encryption in communication channels | |
| WO2014154890A1 (en) | Key distribution in a satellite system | |
| US7039190B1 (en) | Wireless LAN WEP initialization vector partitioning scheme | |
| CN1323523C (zh) | 一种在无线局域网中生成动态密钥的方法 | |
| CN106549858A (zh) | 一种基于标识密码的即时通信加密方法 | |
| JPH10107832A (ja) | 暗号同報メールシステム | |
| CN107659405B (zh) | 一种变电站主子站间数据通信的加密解密方法 | |
| KR101359789B1 (ko) | Scada 통신 네트워크의 보안 시스템 및 방법 | |
| CN110784870A (zh) | 无线局域网安全通信方法及系统、认证服务器 | |
| CN115150076A (zh) | 一种基于量子随机数的加密系统及方法 | |
| JP5491713B2 (ja) | 暗号化装置、暗号化プログラム及び方法 | |
| CN113890733A (zh) | 一种基于安全通信的网关系统 | |
| WO2005057842A1 (en) | A wireless lan system | |
| US20100177782A1 (en) | Confidential transmission of data by change of frequency in a telecommunications network | |
| JPH11187008A (ja) | 暗号鍵の配送方法 | |
| KR101837064B1 (ko) | 보안 통신 장치 및 방법 | |
| CN110855628A (zh) | 一种数据传输方法及系统 | |
| KR100798921B1 (ko) | Mac 보안 서비스망에서의 보안 채널 제어 방법 및 이를구현하는 단말 장치 | |
| CN113556355B (zh) | 配电网智能设备的密钥处理系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220104 |