CN114285594A - 一种软件实现设计的密钥协商方法 - Google Patents
一种软件实现设计的密钥协商方法 Download PDFInfo
- Publication number
- CN114285594A CN114285594A CN202111340386.7A CN202111340386A CN114285594A CN 114285594 A CN114285594 A CN 114285594A CN 202111340386 A CN202111340386 A CN 202111340386A CN 114285594 A CN114285594 A CN 114285594A
- Authority
- CN
- China
- Prior art keywords
- key
- negotiation
- communication
- key agreement
- stp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及互联网数据传输技术领域,具体涉及一种软件实现设计的密钥协商方法,包括以下步骤:S1:接收解析密钥协商包、构造并发送密钥协商;针对ISAKMP包的结构以及协商过程中各个载荷进行解析和构造;S2:实时接收和发送本地协商模块及系统监控模块等其它模块的通信或以及其它外部事件,采用消息队列结合实现内存共享;S3:分析接收到的配置文件所需通信目标主机,以及通信的方式;S4:记录和监测各个通道在协商过程中的运行状态,本发明在现有技术上提出改进,具有更佳的安全性,以秘钥协商为基础,对于用户端的数据文件传输能够进行点式的传输,缩短了数据传输过程的跨域,从而以此中方式保证了数据传输过程的私密性。
Description
技术领域
本发明涉及互联网数据传输技术领域,具体涉及一种软件实现设计的密钥协商方法。
背景技术
通常终端公网安全通信模块软件中系统监控模块是整个软硬件系统的监控模块和启动模块,负责系统启动前的硬件环境检测、软件程序完整性检测、相关资源的校验等。只有系统检测、校验通过才能正常启动应用程序。系统运行期间系统监控模块实时监控系统的整体运行状况,当监测到系统出现异常,系统监控模块触发系统自动恢复机制,优先自恢复,如果自恢复失败,则进行看门狗复位机制。系统监控模块控制其他模块的启动顺序,协调各个模块有序的运行。其他软件模块在系统监控模块的监控下独立完成确定的功能。
但是基于终端公网安全通信模块软件中密钥协商的处理方面技术有待完善,易造成数据被破译窃取或自身传输通道出现故障等问题,这对使用软件的用户带来了一定程度的安全隐患,以至于用户所需传输的数据文件无法得到保障。
发明内容
解决的技术问题
针对现有技术所存在的上述缺点,本发明提供了一种软件实现设计的密钥协商方法,解决了终端公网安全通信模块软件中密钥协商的处理方面技术有待完善,易造成数据被破译窃取或自身传输通道出现故障等,这对使用软件的用户带来了一定程度的安全隐患,以至于用户所需传输的数据文件无法得到保障的问题。
技术方案
为实现以上目的,本发明通过以下技术方案予以实现:
第一方面,一种软件实现设计的密钥协商方法,包括以下步骤:
S1:接收解析密钥协商包、构造并发送密钥协商;针对ISAKMP包的结构以及协商过程中各个载荷进行解析和构造;
S2:实时接收和发送本地协商模块及系统监控模块等其它模块的通信或以及其它外部事件,采用消息队列结合实现内存共享;
S3:分析接收到的配置文件所需通信目标主机,以及通信的方式;
S4:记录和监测各个通道在协商过程中的运行状态,当协商完成时保存获取的SA;在第一阶段的协商完成时,保存ISAKMP的SA;第二阶段的协商完成时,保存IPSec的SA;
S5:对处于第一阶段和第二阶段协商过程的状态机的进行维护、IPSec模块以及算法接口进行三方通讯,达成数据交互。
更进一步地,所述步骤S4中第一阶段,对应主模式,实现通信双方的身份鉴别和密钥协商,最终通信双方建立了一个ISAKMP SA,得到工作密钥,用于保护第二阶段的协商过程;第二阶段,对应快速模式,实现通信双方IPSec SA的协商,建立两个IPSec SA,确认通信双方的IPSec安全策略及会话密钥。
更进一步地,密钥协商应用于终端公网安全通信系统,密钥协商的过程分为主模式、快速模式,主模式设有六组交互报文,快速模式设有三组交互报文;主模式协商过程中,终端公网安全通信系统对IP地址、端口等内容进行校验,判断中间网络是否存在NAT转换,若检测到中间网络有NAT转换,则协商、封装用的目的端口切换成4500,封装格式为ESP_UDP。
更进一步地,所述步骤S3中数据传输通道设置有管理通道表,管理通道表与协商模块内核空间的安全策略数据库相对应。
更进一步地,所述步骤S4中客户端和服务器之间通道为多对一的关系,且通道涧程≤1。
更进一步地,秘钥协商过程中应用Ipsec接口,Ipsec接口搭载通信传输隧道支持UDP_隧道、常规隧道、传输、UDP传输四种封装模式,隧道加密过程支持国密SM1、SM3、SM4算法。
更进一步地,外出的需要加密的数据文件调用终端公网安全通信系统进行加密封装后发送出去;进入的需要解密的数据文件调用终端公网安全通信系统进行解密解封后发送到被保护主机。
第二方面,一种软件实现设计的密钥协商方法部署有软件实现设计的密钥协商使用方法,包括以下步骤:
Stp1:获取目标软件功能属性要求及性能属性,选择基础秘钥原型;
Stp2:根据基础秘钥原型设计适配型秘钥运行方案,待运行方案向上汇报通过开始部署;
Stp3:根据基础秘钥原型设计适配型秘钥运行方案,待运行方案向上汇报通过开始部署;
Stp4:秘钥生命周期选择与设定;
Stp5:将单项通信端设置为接收站点,禁止数据以中转传递的方式进行传输;
Stp6:对单项通行端进行始发站、终点站编号,编号后缀保持一致;
Stp7:对秘钥相应数据进行加密后开始传输。
更进一步地,所述步骤Stp4秘钥的使用生命周期由用户根据实际使用需求进行设定,其秘钥生命周期选择项由用户设定后供用户快捷选择。
更进一步地,服务器所用本地存储保护密钥分拆成两个分量存储在NVRAM中,除毁钥、初始化本地存储密钥和自测试API外,NVRAM不提供其他直接会导致对主密钥进行访问、使用、修改的功能。
有益效果
采用本发明提供的技术方案,与已知的公有技术相比,具有如下有益效果:
1、本发明在现有技术上提出改进,具有更佳的安全性,以秘钥协商为基础,对于用户端的数据文件传输能够进行点式的传输,缩短了数据传输过程的跨域,从而以此中方式保证了数据传输过程的私密性。
2、本发明具有较好的调配适配性,在供用户端和服务器端使用时,能够根据传输目标数据文件的属性进行秘钥生命周期进行切换,从而达到辅助终端公网安全通信模块软件更加安全被使用的目的,并且辨识度较高,使用时也更加便捷。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种软件实现设计的密钥协商方法结构示意图;
图2为本发明中软件实现设计的密钥协商使用方法流程示意图;
图3为本发明中密钥协商进程主流程示意图;
图4为本发明中密钥种类表示例图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合实施例对本发明作进一步的描述。
实施例1
本实施例的一种软件实现设计的密钥协商方法,如图1所示,包括以下步骤:
S1:接收解析密钥协商包、构造并发送密钥协商;针对ISAKMP包的结构以及协商过程中各个载荷进行解析和构造;
S2:实时接收和发送本地协商模块及系统监控模块等其它模块的通信或以及其它外部事件,采用消息队列结合实现内存共享;
S3:分析接收到的配置文件所需通信目标主机,以及通信的方式;
S4:记录和监测各个通道在协商过程中的运行状态,当协商完成时保存获取的SA;在第一阶段的协商完成时,保存ISAKMP的SA;第二阶段的协商完成时,保存IPSec的SA;
S5:对处于第一阶段和第二阶段协商过程的状态机的进行维护、IPSec模块以及算法接口进行三方通讯,达成数据交互。
实施例2
如图1所示,步骤S4中第一阶段,对应主模式,实现通信双方的身份鉴别和密钥协商,最终通信双方建立了一个ISAKMP SA,得到工作密钥,用于保护第二阶段的协商过程;第二阶段,对应快速模式,实现通信双方IPSec SA的协商,建立两个IPSec SA,确认通信双方的IPSec安全策略及会话密钥。
如图1所示,密钥协商应用于终端公网安全通信系统,密钥协商的过程分为主模式、快速模式,主模式设有六组交互报文,快速模式设有三组交互报文;主模式协商过程中,终端公网安全通信系统对IP地址、端口等内容进行校验,判断中间网络是否存在NAT转换,若检测到中间网络有NAT转换,则协商、封装用的目的端口切换成4500,封装格式为ESP_UDP。
通过该设置可使终端公网安全通信模块软件进行不同工作模式的切换,提升软件整体的运行运算速率。
如图1所示,步骤S3中数据传输通道设置有管理通道表,管理通道表与协商模块内核空间的安全策略数据库相对应。
通过此中设定能够较大限度的减小数据传输在传输时与核空间的安全策略数据库相比出现错误或误差的概率。
如图1所示,步骤S4中客户端和服务器之间通道为多对一的关系,且通道涧程≤1。
通过该设置为用户端使用服务器在终端公网安全通信模块软件上进行数据传输时具有了准确的参考标准。
如图1所示,秘钥协商过程中应用Ipsec接口,Ipsec接口搭载通信传输隧道支持UDP_隧道、常规隧道、传输、UDP传输四种封装模式,隧道加密过程支持国密SM1、SM3、SM4算法。
该设置提升了终端公网安全通信模块软件被使用时的兼容性。
如图1所示,外出的需要加密的数据文件调用终端公网安全通信系统进行加密封装后发送出去;进入的需要解密的数据文件调用终端公网安全通信系统进行解密解封后发送到被保护主机。
通过该种对于终端公网安全通信模块软件进行数据文件传输的进一步条件设置,为终端公网安全通信模块软件带来了一定程度的运行稳定效果。
实施例3
一种软件实现设计的密钥协商方法部署有软件实现设计的密钥协商使用方法,其特征在于,如图2所示,包括以下步骤:
Stp1:获取目标软件功能属性要求及性能属性,选择基础秘钥原型;
Stp2:根据基础秘钥原型设计适配型秘钥运行方案,待运行方案向上汇报通过开始部署;
Stp3:根据基础秘钥原型设计适配型秘钥运行方案,待运行方案向上汇报通过开始部署;
Stp4:秘钥生命周期选择与设定;
Stp5:将单项通信端设置为接收站点,禁止数据以中转传递的方式进行传输;
Stp6:对单项通行端进行始发站、终点站编号,编号后缀保持一致;
Stp7:对秘钥相应数据进行加密后开始传输。
如图2和3所示,步骤Stp4秘钥的使用生命周期由用户根据实际使用需求进行设定,其秘钥生命周期选择项由用户设定后供用户快捷选择。
通过该设置能够使得终端公网安全通信模块软件在被服务器控制端用户更加便捷的使用,一定程度的使终端公网安全通信模块软件更加人性化。
如图2和3所示,服务器所用本地存储保护密钥分拆成两个分量存储在NVRAM中,除毁钥、初始化本地存储密钥和自测试API外,NVRAM不提供其他直接会导致对主密钥进行访问、使用、修改的功能。
此设置有效的验证了判定程序启动输入密码正确性是否准确。
实施例4
如图4所示,各类秘钥设置有相应的用途,不同秘钥所设置的更替周期也不相同,通过此种表格状的展示增强了用户端或服务器对引用秘钥进行数据传输的终端公网安全通信模块软件提供了更加安全的保障,以便于服务器后期的监测与维保工作的开展。
下面举例一种现有秘钥算法作为上述秘钥的示例参考:
DSA算法是Schnorr和ElGamal签名算法的变种,算法中应用了下述参数:
p:L bits长的素数。L是64的倍数,范围是512到1024;
q:p - 1的160bits的素因子;
g:g = h^((p-1)/q) mod p,h满足h < p - 1, h^((p-1)/q) mod p > 1;
x:x < q,x为私钥 ;
y:y = g^x mod p ,( p, q, g, y )为公钥;
H( x ):One-Way Hash函数。DSS中选用SHA( Secure Hash Algorithm )。
p, q,
g可由一组用户共享,但在实际应用中,使用公共模数可能会带来一定的威胁。签名及验证协议如下:
1: P产生随机数k,k < q;
2: P计算 r = ( g^k mod p ) mod q;
s = ( k^(-1) (H(m) + xr)) mod q;
签名结果是( m, r, s )。
验证时计算 w = s^(-1)mod q;
u1 = ( H( m ) * w ) mod q;
u2 = ( r * w ) mod q;
v = (( g^u1 * y^u2 ) mod p ) mod q;
若v = r,则认为签名有效。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种软件实现设计的密钥协商方法,其特征在于,包括以下步骤:
S1:接收解析密钥协商包、构造并发送密钥协商;针对ISAKMP包的结构以及协商过程中各个载荷进行解析和构造;
S2:实时接收和发送本地协商模块及系统监控模块等其它模块的通信或以及其它外部事件,采用消息队列结合实现内存共享;
S3:分析接收到的配置文件所需通信目标主机,以及通信的方式;
S4:记录和监测各个通道在协商过程中的运行状态,当协商完成时保存获取的SA;在第一阶段的协商完成时,保存ISAKMP的SA;第二阶段的协商完成时,保存IPSec的SA;
S5:对处于第一阶段和第二阶段协商过程的状态机的进行维护、IPSec模块以及算法接口进行三方通讯,达成数据交互。
2.根据权利要求1所述的一种软件实现设计的密钥协商方法,其特征在于,所述步骤S4中第一阶段,对应主模式,实现通信双方的身份鉴别和密钥协商,最终通信双方建立了一个ISAKMP SA,得到工作密钥,用于保护第二阶段的协商过程;第二阶段,对应快速模式,实现通信双方IPSec SA的协商,建立两个IPSec SA,确认通信双方的IPSec安全策略及会话密钥。
3.根据权利要求1所述的一种软件实现设计的密钥协商方法,其特征在于,密钥协商应用于终端公网安全通信系统,密钥协商的过程分为主模式、快速模式,主模式设有六组交互报文,快速模式设有三组交互报文;主模式协商过程中,终端公网安全通信系统对IP地址、端口等内容进行校验,判断中间网络是否存在NAT转换,若检测到中间网络有NAT转换,则协商、封装用的目的端口切换成4500,封装格式为ESP_UDP。
4.根据权利要求1所述的一种软件实现设计的密钥协商方法,其特征在于,所述步骤S3中数据传输通道设置有管理通道表,管理通道表与协商模块内核空间的安全策略数据库相对应。
5.根据权利要求1所述的一种软件实现设计的密钥协商方法,其特征在于,所述步骤S4中客户端和服务器之间通道为多对一的关系,且通道涧程≤1。
6.根据权利要求1所述的一种软件实现设计的密钥协商方法,其特征在于,秘钥协商过程中应用Ipsec接口,Ipsec接口搭载通信传输隧道支持UDP_隧道、常规隧道、传输、UDP传输四种封装模式,隧道加密过程支持国密SM1、SM3、SM4算法。
7.根据权利要求1所述的一种软件实现设计的密钥协商方法,其特征在于,外出的需要加密的数据文件调用终端公网安全通信系统进行加密封装后发送出去;进入的需要解密的数据文件调用终端公网安全通信系统进行解密解封后发送到被保护主机。
8.根据权利要求1所述的一种软件实现设计的密钥协商方法部署有软件实现设计的密钥协商使用方法,其特征在于,包括以下步骤:
Stp1:获取目标软件功能属性要求及性能属性,选择基础秘钥原型;
Stp2:根据基础秘钥原型设计适配型秘钥运行方案,待运行方案向上汇报通过开始部署;
Stp3:根据基础秘钥原型设计适配型秘钥运行方案,待运行方案向上汇报通过开始部署;
Stp4:秘钥生命周期选择与设定;
Stp5:将单项通信端设置为接收站点,禁止数据以中转传递的方式进行传输;
Stp6:对单项通行端进行始发站、终点站编号,编号后缀保持一致;
Stp7:对秘钥相应数据进行加密后开始传输。
9.根据权利要求8所述的一种软件实现设计的密钥协商方法,其特征在于,所述步骤Stp4秘钥的使用生命周期由用户根据实际使用需求进行设定,其秘钥生命周期选择项由用户设定后供用户快捷选择。
10.根据权利要求8所述的一种软件实现设计的密钥协商方法,其特征在于,服务器所用本地存储保护密钥分拆成两个分量存储在NVRAM中,除毁钥、初始化本地存储密钥和自测试API外,NVRAM不提供其他直接会导致对主密钥进行访问、使用、修改的功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111340386.7A CN114285594A (zh) | 2021-11-12 | 2021-11-12 | 一种软件实现设计的密钥协商方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111340386.7A CN114285594A (zh) | 2021-11-12 | 2021-11-12 | 一种软件实现设计的密钥协商方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114285594A true CN114285594A (zh) | 2022-04-05 |
Family
ID=80869062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111340386.7A Pending CN114285594A (zh) | 2021-11-12 | 2021-11-12 | 一种软件实现设计的密钥协商方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285594A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117955648A (zh) * | 2024-03-25 | 2024-04-30 | 山东航天人工智能安全芯片研究院 | 一种基于dpdk架构的密钥协商系统及方法 |
-
2021
- 2021-11-12 CN CN202111340386.7A patent/CN114285594A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117955648A (zh) * | 2024-03-25 | 2024-04-30 | 山东航天人工智能安全芯片研究院 | 一种基于dpdk架构的密钥协商系统及方法 |
| CN117955648B (zh) * | 2024-03-25 | 2024-06-04 | 山东航天人工智能安全芯片研究院 | 一种基于dpdk架构的密钥协商系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
| CN1833403B (zh) | 通信系统、通信装置、通信方法 | |
| US8327129B2 (en) | Method, apparatus and system for internet key exchange negotiation | |
| US20060070122A1 (en) | Method and apparatus for a distributed firewall | |
| US20110119487A1 (en) | System and method for encryption rekeying | |
| CN110870277A (zh) | 将中间盒引入到客户端与服务器之间的安全通信中 | |
| US8850200B1 (en) | Method and apparatus for secure communications through a trusted intermediary server | |
| US9876773B1 (en) | Packet authentication and encryption in virtual networks | |
| US8370630B2 (en) | Client device, mail system, program, and recording medium | |
| CN111800436B (zh) | IPSec隔离网卡设备及安全通信方法 | |
| WO2023174143A1 (zh) | 数据传输方法、设备、介质及产品 | |
| CN114244577A (zh) | 一种基于esp的报文处理方法 | |
| CN114285594A (zh) | 一种软件实现设计的密钥协商方法 | |
| CN113037684A (zh) | VxLan隧道认证方法、装置和系统及网关 | |
| CN111147456A (zh) | 一种适用于多框架多平台的接口认证方法 | |
| Schwenk | IP Security (IPSec) | |
| CN114039812B (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| CN113765900B (zh) | 协议交互信息输出传输方法、适配器装置及存储介质 | |
| CN114614984A (zh) | 一种基于国密算法的时间敏感网络安全通信方法 | |
| CN111431846B (zh) | 数据传输的方法、装置和系统 | |
| JP2023531034A (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| CN114640514B (zh) | 安全服务系统、访问控制方法和计算机可读存储介质 | |
| US7466711B2 (en) | Synchronous system and method for processing a packet | |
| Mackinnon et al. | Overview of internet protocol security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |