CN114285593B - 构建安全局域网协议的方法、装置、设备及存储介质 - Google Patents
构建安全局域网协议的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114285593B CN114285593B CN202111315346.7A CN202111315346A CN114285593B CN 114285593 B CN114285593 B CN 114285593B CN 202111315346 A CN202111315346 A CN 202111315346A CN 114285593 B CN114285593 B CN 114285593B
- Authority
- CN
- China
- Prior art keywords
- target
- public key
- node
- encrypted
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000004590 computer program Methods 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 8
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种构建安全局域网协议的方法、装置、设备及存储介质,所述方法包括:请求节点向服务器发送获取目标节点的目标公钥的请求;接收所述服务器发送的所述目标公钥;基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文;将所述加密目标IP报文发送至所述目标节点;所述目标节点基于所述目标公钥对所述加密目标IP报文的数据部分进行解密。本发明的技术方案,对目标IP报文的数据部分及头部使用不同的加密方案,尽可能提高数据包的传输效率。
Description
技术领域
本发明属于互联网技术领域,尤其涉及一种构建安全局域网协议的方法、装置、设备及存储介质。
背景技术
随着网络技术的快速发展,人们对网络空间安全也愈发重视,当数据在网络空间中传输时,会面临第三方攻击者对数据进行收集和篡改的风险。为保证数据的安全,现有已存在多种技术,对数据在网络中的传输提供不同程度上的保护,当前较为常见的做法为对数据及密钥进行加密,确保数据的保密性;使用数字签名等方式防止数据被篡改,保护数据的完整性。这些技术较大程度地保护了数据在网络传输中的安全。
当前针对局域网中的数据安全有很多的保护方案,但主要是对于数据部分及密钥传输的保护,但未对IP报文头进行有效的保护,攻击者依旧可以从传输的报文中获取到部分有效信息,如某一会话中通信双方的IP身份。攻击者可以通过这些信息针对性地对某一会话的数据包进行收集与分析,或对某一主机的通信行为进行监控,进而实施攻击。
在同一局域网中的主机通常会被信任,它能够获取到其他主机通信的数据包,若局域网中有存在攻击意图的主机,我们无法进行有效的防范。对于部分保密程度较高的通信,仍存在敏感信息被获取的风险,因此需要针对IP头部的加密方案,能确保在局域网内的数据通信是保密的,攻击者无法获取到IP报文中的任何信息。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明的一个目的在于提出一种构建安全局域网协议的方法、装置、设备及存储介质。
为了解决上述技术问题,本发明的实施例提供如下技术方案:
一种构建安全局域网协议的方法,应用于节点,包括:
请求节点向服务器发送获取目标节点的目标公钥的请求;
接收所述服务器发送的所述目标公钥;
基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文;
将所述加密目标IP报文发送至所述目标节点;
所述目标节点基于所述目标公钥对所述加密目标IP报文的数据部分进行解密。
可选的,所述基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文,包括:
基于所述目标公钥对所述目标IP报文的数据部分进行加密,获取加密数据;
基于下一跳中间节点的公钥对所述目标IP报文的头部进行加密,获取加密头部;
对所述加密头部添加新的第一协议头部;
基于所述加密数据、加密头部以及所述新的第一协议头部,获取所述加密目标IP报文。
可选的,将所述加密目标IP报文发送至所述目标节点,包括:
将所述加密目标IP报文发送至下一跳所述中间节点;
基于所述中间节点的公钥对所述加密头部进行解密,获取所述目标节点的目的地址;
将所述中间节点的地址与所述目的地址进行对比;
若所述中间节点的地址与所述目的地址不一致,确定所述中间节点的下一跳节点;
获取所述下一跳节点的所述公钥;
基于所述下一跳节点的所述公钥对所述目标IP报文的头部进行加密,并添加新的第二协议头部,获取中间目标IP报文;
将所述中间目标IP报文发送至所述下一跳节点;
基于所述下一跳节点,将所述中间目标IP报文发送至所述目标节点。
可选的,所述目标节点基于所述目标公钥对所述加密目标IP报文的数据部分进行解密,包括:
若所述中间节点的地址与所述目的地址一致,则基于所述目标公钥对所述加密数据进行解密,获取目标数据。
可选的,还包括:
新节点进入局域网;
所述新节点生成新的公钥;
所述新节点将所述新的公钥发送至所述服务器;
所述新节点与所有的相邻的节点交换各自对应的公钥。
可选的,还包括:
若所述节点接收到所述服务器发送的对所述公钥进行更新的请求节点的初始公钥无效后,所述节点生成更新公钥;
将所述更新公钥发送至所述服务器,并将所述更新公钥发送至所有所述相邻的节点。
本发明的实施例还提供一种构建安全局域网协议的方法,应用于服务器,包括:
获取每个节点的初始公钥,并创建公钥库;
接收请求节点发送的获取目标节点的目标公钥的请求;
基于所述请求对所述公钥库进行查找,获取查询结果;
基于所述查询结果,将所述目标公钥发送至所述请求节点。
可选的,所述获取每个节点的初始公钥,并创建公钥库后,还包括:
接收新节点发送的新的公钥;
基于新的公钥对所述公钥库进行更新。
可选的,所述获取每个节点的初始公钥,并创建公钥库后,还包括:
所述服务器对每个所述初始公钥进行监测;其中,每个所述初始公钥设有生存期;
当所述服务器监测到即将失效的公钥以后,确定与所述即将失效的公钥对应的所述节点;
向对应的所述节点发送生成更新公钥的请求;
接收对应的所述节点发送的所述更新公钥;
基于所述更新公钥对所述公钥库进行更新。
可选的,还包括:
所述服务器对所述局域网的每个所述节点的状态进行监测;
当所述服务器监测到状态改变的节点后,则对数据库进行更新。
可选的,还包括:
所述服务器根据预设期限向所有的节点广播所述服务器的IP地址以及公钥。
本发明的实施例还提供一种构建安全局域网协议的装置,应用于节点,包括:
请求模块,用于请求节点向服务器发送获取目标节点的目标公钥的请求;
接收模块,用于接收所述服务器发送的所述目标公钥;
加密模块,用于基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文;
发送模块,用于将所述加密目标IP报文发送至所述目标节点;
解密模块,用于所述目标节点基于所述目标公钥对所述加密目标IP报文的数据部分进行解密。
本发明的实施例还提供一种构建安全局域网协议的装置,应用于服务器,包括:
创建模块,用于获取每个节点的初始公钥,并创建公钥库;
获取模块,用于接收请求节点发送的获取目标节点的目标公钥的请求;
查询模块,用于基于所述请求对所述公钥库进行查找,获取查询结果;
响应模块,用于基于所述查询结果,将所述目标公钥发送至所述请求节点。
本发明的实施例还提供一种电子设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上所述的方法。
本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上所述的方法。
本发明的实施例,具有如下技术效果:
本发明的上述技术方案,1)在网络传输的数据包中不再包含IP报文头部的明文信息,增强了通信双方身份信息的保密性,大大增加了攻击者进行IP过滤进行监控及攻击的难度。
2)使用安全的服务器对局域网的公钥进行管理,规范公钥的使用,提高公钥的可靠性,同时防止密钥交互导致的通信双方信息泄露。
3)对目标IP报文的数据部分及头部使用不同的加密方案,尽可能提高数据包的传输效率。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明实施例提供的一种构建安全局域网协议的方法的流程示意图;
图2是本发明实施例提供的一种构建安全局域网协议的方法的另一种流程示意图;
图3是本发明实施例提供的一种构建安全局域网协议的方法的一个示例;
图4是本发明实施例提供的一种构建安全局域网协议的装置的结构示意图;
图5是本发明实施例提供的一种构建安全局域网协议的装置的另一种结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
为了便于本领域的技术人员对实施例的理解,对部分用语进行解释。
(1)PC:指个人计算机。
(2)MAC帧:是数据帧的一种;而所谓数据帧,就是数据链路层的协议数据单元。
如图1所示,本发明的实施例提供一种构建安全局域网协议的方法,应用于节点,包括:
步骤S11:请求节点向服务器发送获取目标节点的目标公钥的请求;
具体的,当请求节点需要向目标节点发送IP报文前,请求节点向服务器发送获取目标节点的目标公钥的请求。
步骤S12:接收所述服务器发送的所述目标公钥;
步骤S13:基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文;
具体的,所述基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文,包括:基于所述目标公钥对所述目标IP报文的数据部分进行加密,获取加密数据;基于下一跳中间节点的公钥对所述目标IP报文的头部进行加密,获取加密头部;对所述加密头部添加新的第一协议头部;基于所述加密数据、加密头部以及所述新的第一协议头部,获取所述加密目标IP报文。
本发明的实施例,对目标IP报文的数据部分及头部使用不同的加密方案,尽可能提高数据包的传输效率。
步骤S14:将所述加密目标IP报文发送至所述目标节点;
具体的,将所述加密目标IP报文发送至所述目标节点,包括:
将所述加密目标IP报文发送至下一跳所述中间节点;基于所述中间节点的公钥对所述加密头部进行解密,获取所述目标节点的目的地址;将所述中间节点的地址与所述目的地址进行对比;若所述中间节点的地址与所述目的地址不一致,确定所述中间节点的下一跳节点;获取所述下一跳节点的所述公钥;
基于所述下一跳节点的所述公钥对所述目标IP报文的头部进行加密,并添加新的第二协议头部,获取中间目标IP报文;将所述中间目标IP报文发送至所述下一跳节点;基于所述下一跳节点,将所述中间目标IP报文发送至所述目标节点。
在实际应用场景中,将加密目标IP报文发送至目标节点的过程中,需要经过N个其它节点得以实现,N为大于等于0的整数;其中,N的值根据不同的请求节点以及目标节点的不同而不同。
其中,加密目标IP报文在传输的过程中,经过每一个其它节点前,需要获取下一跳其它节点的公钥,然后基于下一跳其它节点的公钥对加密目标IP报文的头部进行加密,并添加新的协议头部,获取中间目标IP报文;然后将中间目标IP报文发送至下一跳其它节点,直至加密目标IP报文被传输至目标节点。
本发明的实施例,将IP报文的所有内容进行加密,在局域网中的各网络节点(主机、交换机、路由器等所有具备数据包收发功能的设备)只能解析出发送给自己的数据包,较大程度上保证了数据的安全性,大大提高了第三方攻击者获取及篡改信息的难度。
步骤S15:所述目标节点基于所述目标公钥对所述加密目标IP报文的数据部分进行解密。
具体的,所述目标节点基于所述目标公钥对所述加密目标IP报文的数据部分进行解密,包括:若所述中间节点的地址与所述目的地址一致,则基于所述目标公钥对所述加密数据进行解密,获取目标数据。
本发明一可选的实施例,还包括:
新节点进入局域网;所述新节点生成新的公钥;所述新节点将所述新的公钥发送至所述服务器;所述新节点与所有的相邻的节点交换各自对应的公钥。
具体的,当有一个新的网络节点加入局域网时,若该节点支持并启用该协议,则会生成自己的非对称密钥,广播寻找局域网中的服务器,该节点收到服务器回应后将公钥发送给服务器,并与所有邻居交换公钥。
本发明一可选的实施例,还包括:
若所述节点接收到所述服务器发送的对所述公钥进行更新的请求节点的初始公钥无效后,所述节点生成更新公钥;将所述更新公钥发送至所述服务器,并将所述更新公钥发送至所有所述相邻的节点。
具体的,协议需选择局域网中某一网络节点作为服务器,一般选择局域网的网络连接设备,该服务器负责管理各个网络节点的公钥及公钥的生存期,并提供公钥的收集、查询及更新等功能,作为安全局域网的管理者。
本发明的实施例,使用安全的服务器对局域网的公钥进行管理,规范公钥的使用,提高公钥的可靠性,同时防止密钥交互导致的通信双方信息泄露
如图2所示,本发明的实施例还提供一种构建安全局域网协议的方法,应用于服务器,包括:
步骤S21:获取每个节点的初始公钥,并创建公钥库;
具体的,服务器定期广播自己的IP地址及公钥,局域网内的网络节点使用该公钥加密发往服务器的数据。
步骤S22:接收请求节点发送的获取目标节点的目标公钥的请求;
具体的,所述获取每个节点的初始公钥,并创建公钥库后,还包括:
接收新节点发送的新的公钥;基于新的公钥对所述公钥库进行更新。
其中,所述获取每个节点的初始公钥,并创建公钥库后,还包括:
所述服务器对每个所述初始公钥进行监测;其中,每个所述初始公钥设有生存期;当所述服务器监测到即将失效的公钥以后,确定与所述即将失效的公钥对应的所述节点;向对应的所述节点发送生成更新公钥的请求;接收对应的所述节点发送的所述更新公钥;基于所述更新公钥对所述公钥库进行更新。
步骤S23:基于所述请求对所述公钥库进行查找,获取查询结果;
步骤S24:基于所述查询结果,将所述目标公钥发送至所述请求节点。
具体的,通过安全服务器,局域网中的网络节点可以获取到该局域网中任一其它节点的公钥,在目标IP报文进行传输时,主机等请求节点会从服务器获取目的地址的目标公钥,使用目标公钥对数据部分进行加密,使用下一跳的公钥对目标IP报文头部进行加密,并添加新的协议头部。
各网络节点收到加密目标IP报文时,使用自己的公钥解密加密目标IP报文的头部并进行处理,若自己为目的地址,则将数据部分解密,否则根据下一跳再次加密IP报文头部进行传输。
本发明的实施例,在网络传输的数据包中不再包含IP报文头部的明文信息,增强了通信双方身份信息的保密性,大大增加了攻击者进行IP过滤进行监控及攻击的难度。
本发明一可选的实施例,还包括:
所述服务器对所述局域网的每个所述节点的状态进行监测;
当所述服务器监测到状态改变的节点后,则对数据库进行更新。
本发明一可选的实施例,还包括:
所述服务器根据预设期限向所有的节点广播所述服务器的IP地址以及公钥。
如图3所示,本发明的上述实施例,可以通过如下实现方式实现:
1)首先第一PC会向局域网中的安全服务器请求第二PC的公钥,服务器收到请求并回应第二PC2的公钥B;(此交互中的数据传输也经过加密,流程与下面步骤相同)
2)第一PC获得公钥B后,使用公钥B对数据部分进行加密,加上目标IP报文的头部后,根据目的地址获得下一跳节点,使用下一跳节点的公钥A加密目标IP报文的头部,并加上新的协议头部,协议头部包含新协议号、报文长度及校验和等信息,加上相应的MAC帧头部后并发送给下一跳节点;
3)下一跳节点收到第一中间目标IP报文后,识别该协议后使用自己的公钥解密中间目标IP报文的头部,根据目的地址对第一中间目标IP报文进行路由处理,使用下一跳即第二PC的公钥再次对第一中间目标IP报文的头部进行加密,加上新的协议头及MAC帧头部后发送给第二PC;
4)第二PC收到第二中间目标IP报文后,同样使用自己的公钥解密第二中间目标IP报文的头部,解密出的目的地址为自己,则使用公钥解密数据部分,得到数据明文。
如图4所示,本发明的实施例还提供一种构建安全局域网协议的装置400,应用于节点,包括:
请求模块401,用于请求节点向服务器发送获取目标节点的目标公钥的请求;
接收模块402,用于接收所述服务器发送的所述目标公钥;
加密模块403,用于基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文;
发送模块404,用于将所述加密目标IP报文发送至所述目标节点;
解密模块405,用于所述目标节点基于所述目标公钥对所述加密目标IP报文的数据部分进行解密。
可选的,所述基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文,包括:
基于所述目标公钥对所述目标IP报文的数据部分进行加密,获取加密数据;
基于下一跳中间节点的公钥对所述目标IP报文的头部进行加密,获取加密头部;
对所述加密头部添加新的第一协议头部;
基于所述加密数据、加密头部以及所述新的第一协议头部,获取所述加密目标IP报文。
可选的,将所述加密目标IP报文发送至所述目标节点,包括:
将所述加密目标IP报文发送至下一跳所述中间节点;
基于所述中间节点的公钥对所述加密头部进行解密,获取所述目标节点的目的地址;
将所述中间节点的地址与所述目的地址进行对比;
若所述中间节点的地址与所述目的地址不一致,确定所述中间节点的下一跳节点;
获取所述下一跳节点的所述公钥;
基于所述下一跳节点的所述公钥对所述目标IP报文的头部进行加密,并添加新的第二协议头部,获取中间目标IP报文;
将所述中间目标IP报文发送至所述下一跳节点;
基于所述下一跳节点,将所述中间目标IP报文发送至所述目标节点。
可选的,所述目标节点基于所述目标公钥对所述加密目标IP报文的数据部分进行解密,包括:
若所述中间节点的地址与所述目的地址一致,则基于所述目标公钥对所述加密数据进行解密,获取目标数据。
可选的,还包括:
新节点进入局域网;
所述新节点生成新的公钥;
所述新节点将所述新的公钥发送至所述服务器;
所述新节点与所有的相邻的节点交换各自对应的公钥。
可选的,还包括:
若所述节点接收到所述服务器发送的对所述公钥进行更新的请求节点的初始公钥无效后,所述节点生成更新公钥;
将所述更新公钥发送至所述服务器,并将所述更新公钥发送至所有所述相邻的节点。
如图5所示,本发明的实施例还提供一种构建安全局域网协议的装置500,应用于服务器,包括:
创建模块501,用于获取每个节点的初始公钥,并创建公钥库;
获取模块502,用于接收请求节点发送的获取目标节点的目标公钥的请求;
查询模块503,用于基于所述请求对所述公钥库进行查找,获取查询结果;
响应模块504,用于基于所述查询结果,将所述目标公钥发送至所述请求节点。
可选的,所述获取每个节点的初始公钥,并创建公钥库后,还包括:
所述服务器对每个所述初始公钥进行监测;其中,每个所述初始公钥设有生存期;
当所述服务器监测到即将失效的公钥以后,确定与所述即将失效的公钥对应的所述节点;
向对应的所述节点发送生成更新公钥的请求;
接收对应的所述节点发送的所述更新公钥;
基于所述更新公钥对所述公钥库进行更新。
可选的,还包括:
所述服务器对所述局域网的每个所述节点的状态进行监测;
当所述服务器监测到状态改变的节点后,则对数据库进行更新。
可选的,还包括:
所述服务器根据预设期限向所有的节点广播所述服务器的IP地址以及公钥。
本发明的实施例还提供一种电子设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上所述的方法。
本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上所述的方法。
另外,本发明实施例的装置的其他构成及作用对本领域的技术人员来说是已知的,为减少冗余,此处不做赘述。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (14)
1.一种构建安全局域网协议的方法,其特征在于,应用于节点,包括:
请求节点向服务器发送获取目标节点的目标公钥的请求;
接收所述服务器发送的所述目标公钥;
基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文;
将所述加密目标IP报文发送至所述目标节点;
所述目标节点对所述加密目标IP报文的数据部分进行解密;
所述基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文,包括:
基于所述目标公钥对所述目标IP报文的数据部分进行加密,获取加密数据;
基于下一跳中间节点的公钥对所述目标IP报文的头部进行加密,获取加密头部;
对所述加密头部添加新的第一协议头部;
基于所述加密数据、加密头部以及所述新的第一协议头部,获取所述加密目标IP报文。
2.根据权利要求1所述的方法,其特征在于,将所述加密目标IP报文发送至所述目标节点,包括:
将所述加密目标IP报文发送至下一跳所述中间节点;
基于所述中间节点对所述加密头部进行解密,获取所述目标节点的目的地址;
将所述中间节点的地址与所述目的地址进行对比;
若所述中间节点的地址与所述目的地址不一致,确定所述中间节点的下一跳节点;
获取所述下一跳节点的所述公钥;
基于所述下一跳节点的所述公钥对所述目标IP报文的头部进行加密,并添加新的第二协议头部,获取中间目标IP报文;
将所述中间目标IP报文发送至所述下一跳节点;
基于所述下一跳节点,将所述中间目标IP报文发送至所述目标节点。
3.根据权利要求2所述的方法,其特征在于,所述目标节点对所述加密目标IP报文的数据部分进行解密,包括:
若所述中间节点的地址与所述目的地址一致,则对所述加密数据进行解密,获取目标数据。
4.根据权利要求1所述的方法,其特征在于,还包括:
新节点进入局域网;
所述新节点生成新的公钥;
所述新节点将所述新的公钥发送至所述服务器;
所述新节点与所有的相邻的节点交换各自对应的公钥。
5.根据权利要求4所述的方法,其特征在于,还包括:
若所述节点接收到所述服务器发送的对所述公钥进行更新的请求节点的初始公钥无效后,所述节点生成更新公钥;
将所述更新公钥发送至所述服务器,并将所述更新公钥发送至所有所述相邻的节点。
6.一种构建安全局域网协议的方法,其特征在于,应用于服务器,包括:
获取每个节点的初始公钥,并创建公钥库;
接收请求节点发送的获取目标节点的目标公钥的请求;
基于所述请求对所述公钥库进行查找,获取查询结果;
基于所述查询结果,将所述目标公钥发送至所述请求节点;
所述请求节点基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文;
所述请求节点将所述加密目标IP报文发送至所述目标节点;
所述目标节点对所述加密目标IP报文的数据部分进行解密;
所述请求节点基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文,包括:
基于所述目标公钥对所述目标IP报文的数据部分进行加密,获取加密数据;
基于下一跳中间节点的公钥对所述目标IP报文的头部进行加密,获取加密头部;
对所述加密头部添加新的第一协议头部;
基于所述加密数据、加密头部以及所述新的第一协议头部,获取所述加密目标IP报文。
7.根据权利要求6所述的方法,其特征在于,所述获取每个节点的初始公钥,并创建公钥库后,还包括:
接收新节点发送的新的公钥;
基于新的公钥对所述公钥库进行更新。
8.根据权利要求6所述的方法,其特征在于,所述获取每个节点的初始公钥,并创建公钥库后,还包括:
所述服务器对每个所述初始公钥进行监测;其中,每个所述初始公钥设有生存期;
当所述服务器监测到即将失效的公钥以后,确定与所述即将失效的公钥对应的所述节点;
向对应的所述节点发送生成更新公钥的请求;
接收对应的所述节点发送的所述更新公钥;
基于所述更新公钥对所述公钥库进行更新。
9.根据权利要求6所述的方法,其特征在于,还包括:
所述服务器对所述局域网的每个所述节点的状态进行监测;
当所述服务器监测到状态改变的节点后,则对数据库进行更新。
10.根据权利要求6所述的方法,其特征在于,还包括:
所述服务器根据预设期限向所有的节点广播所述服务器的IP地址以及公钥。
11.一种构建安全局域网协议的装置,其特征在于,应用于节点,包括:
请求模块,用于请求节点向服务器发送获取目标节点的目标公钥的请求;
接收模块,用于接收所述服务器发送的所述目标公钥;
加密模块,用于基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文;
发送模块,用于将所述加密目标IP报文发送至所述目标节点;
解密模块,用于所述目标节点对所述加密目标IP报文的数据部分进行解密;
所述用于基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文,包括:
基于所述目标公钥对所述目标IP报文的数据部分进行加密,获取加密数据;
基于下一跳中间节点的公钥对所述目标IP报文的头部进行加密,获取加密头部;
对所述加密头部添加新的第一协议头部;
基于所述加密数据、加密头部以及所述新的第一协议头部,获取所述加密目标IP报文。
12.一种构建安全局域网协议的装置,其特征在于,应用于服务器,包括:
创建模块,用于获取每个节点的初始公钥,并创建公钥库;
获取模块,用于接收请求节点发送的获取目标节点的目标公钥的请求;
查询模块,用于基于所述请求对所述公钥库进行查找,获取查询结果;
响应模块,用于基于所述查询结果,将所述目标公钥发送至所述请求节点;
所述请求节点基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文;
所述请求节点将所述加密目标IP报文发送至所述目标节点;
所述目标节点对所述加密目标IP报文的数据部分进行解密;
所述请求节点基于所述目标公钥对目标IP报文进行加密,获取加密目标IP报文,包括:
基于所述目标公钥对所述目标IP报文的数据部分进行加密,获取加密数据;
基于下一跳中间节点的公钥对所述目标IP报文的头部进行加密,获取加密头部;
对所述加密头部添加新的第一协议头部;
基于所述加密数据、加密头部以及所述新的第一协议头部,获取所述加密目标IP报文。
13.一种电子设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至5或6-10中任意一项所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至5或6-10中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111315346.7A CN114285593B (zh) | 2021-11-08 | 2021-11-08 | 构建安全局域网协议的方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111315346.7A CN114285593B (zh) | 2021-11-08 | 2021-11-08 | 构建安全局域网协议的方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114285593A CN114285593A (zh) | 2022-04-05 |
| CN114285593B true CN114285593B (zh) | 2024-03-29 |
Family
ID=80868792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111315346.7A Active CN114285593B (zh) | 2021-11-08 | 2021-11-08 | 构建安全局域网协议的方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285593B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450395A (zh) * | 2015-12-30 | 2016-03-30 | 中科创达软件股份有限公司 | 一种信息加解密处理方法及系统 |
| CN107426248A (zh) * | 2017-09-05 | 2017-12-01 | 东北大学 | 一种基于网络编码的wmn匿名通信方法 |
| CN110730188A (zh) * | 2019-10-23 | 2020-01-24 | 深圳市中仁信息科技有限公司 | 一种静态图片加密存储和传输的方法 |
| CN111510365A (zh) * | 2020-03-31 | 2020-08-07 | 杭州博联智能科技股份有限公司 | 基于Wi-Fi数据包的设备桥接云端方法、装置、设备及介质 |
| CN111556025A (zh) * | 2020-04-02 | 2020-08-18 | 深圳壹账通智能科技有限公司 | 基于加密、解密操作的数据传输方法、系统和计算机设备 |
| CN111901338A (zh) * | 2020-07-28 | 2020-11-06 | 安徽高山科技有限公司 | 一种应用区块链的数据安全保护方法 |
| CN111970244A (zh) * | 2020-07-20 | 2020-11-20 | 北京邮电大学 | 基于环形架构的匿名通信网络的构建、消息转发方法 |
| CN111970243A (zh) * | 2020-07-20 | 2020-11-20 | 北京邮电大学 | 匿名通信网络中多阶段路由的消息转发方法 |
| CN112152985A (zh) * | 2019-06-28 | 2020-12-29 | 瞻博网络公司 | 在中间路由器处具有减少的分组加密的gre隧穿 |
| CN112995119A (zh) * | 2019-12-18 | 2021-06-18 | 北京国双科技有限公司 | 一种数据监测方法及装置 |
-
2021
- 2021-11-08 CN CN202111315346.7A patent/CN114285593B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450395A (zh) * | 2015-12-30 | 2016-03-30 | 中科创达软件股份有限公司 | 一种信息加解密处理方法及系统 |
| CN107426248A (zh) * | 2017-09-05 | 2017-12-01 | 东北大学 | 一种基于网络编码的wmn匿名通信方法 |
| CN112152985A (zh) * | 2019-06-28 | 2020-12-29 | 瞻博网络公司 | 在中间路由器处具有减少的分组加密的gre隧穿 |
| CN110730188A (zh) * | 2019-10-23 | 2020-01-24 | 深圳市中仁信息科技有限公司 | 一种静态图片加密存储和传输的方法 |
| CN112995119A (zh) * | 2019-12-18 | 2021-06-18 | 北京国双科技有限公司 | 一种数据监测方法及装置 |
| CN111510365A (zh) * | 2020-03-31 | 2020-08-07 | 杭州博联智能科技股份有限公司 | 基于Wi-Fi数据包的设备桥接云端方法、装置、设备及介质 |
| CN111556025A (zh) * | 2020-04-02 | 2020-08-18 | 深圳壹账通智能科技有限公司 | 基于加密、解密操作的数据传输方法、系统和计算机设备 |
| WO2021196915A1 (zh) * | 2020-04-02 | 2021-10-07 | 深圳壹账通智能科技有限公司 | 基于加密、解密操作的数据传输方法、系统和计算机设备 |
| CN111970244A (zh) * | 2020-07-20 | 2020-11-20 | 北京邮电大学 | 基于环形架构的匿名通信网络的构建、消息转发方法 |
| CN111970243A (zh) * | 2020-07-20 | 2020-11-20 | 北京邮电大学 | 匿名通信网络中多阶段路由的消息转发方法 |
| CN111901338A (zh) * | 2020-07-28 | 2020-11-06 | 安徽高山科技有限公司 | 一种应用区块链的数据安全保护方法 |
Non-Patent Citations (1)
| Title |
|---|
| 移动互联网络动态匿名算法设计与分析;见晓春;吴振强;王小明;霍成义;张婕;;计算机工程与应用;20090621(第18期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114285593A (zh) | 2022-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3688830B2 (ja) | パケット転送方法及びパケット処理装置 | |
| US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
| US8254581B2 (en) | Lightweight key distribution and management method for sensor networks | |
| US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
| US8155130B2 (en) | Enforcing the principle of least privilege for large tunnel-less VPNs | |
| US20080307110A1 (en) | Conditional BGP advertising for dynamic group VPN (DGVPN) clients | |
| CN113411190B (zh) | 密钥部署、数据通信、密钥交换、安全加固方法及系统 | |
| CN115001686B (zh) | 一种全域量子安全设备及系统 | |
| US11716367B2 (en) | Apparatus for monitoring multicast group | |
| AbdAllah et al. | Preventing unauthorized access in information centric networking | |
| Boussada et al. | PP-NDNoT: On preserving privacy in IoT-based E-health systems over NDN | |
| CN112187757A (zh) | 多链路隐私数据流转系统及方法 | |
| CN115801442A (zh) | 一种加密流量的检测方法、安全系统及代理模块 | |
| CN114938312A (zh) | 一种数据传输方法和装置 | |
| CN100376092C (zh) | 防火墙与入侵检测系统联动的方法 | |
| Zhu et al. | An edge re‐encryption‐based access control mechanism in NDN | |
| US6975729B1 (en) | Method and apparatus for facilitating use of a pre-shared secret key with identity hiding | |
| CN114285593B (zh) | 构建安全局域网协议的方法、装置、设备及存储介质 | |
| WO2022174739A1 (zh) | 报文发送方法、签名信息的生成方法及设备 | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| Jansi et al. | Efficient privacy-preserving fault tolerance aggregation for people-centric sensing system | |
| CN109347836A (zh) | 一种IPv6网络节点身份安全保护方法 | |
| JP2008028899A (ja) | 通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法 | |
| KR20140004703A (ko) | 제어된 보안 도메인 | |
| JP4866150B2 (ja) | Ftp通信システム、ftp通信プログラム、ftpクライアント装置及びftpサーバ装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |