CN115277200B - 一种链路层透明加密系统多节点密钥自动协商管理的方法 - Google Patents

一种链路层透明加密系统多节点密钥自动协商管理的方法 Download PDF

Info

Publication number
CN115277200B
CN115277200B CN202210894028.9A CN202210894028A CN115277200B CN 115277200 B CN115277200 B CN 115277200B CN 202210894028 A CN202210894028 A CN 202210894028A CN 115277200 B CN115277200 B CN 115277200B
Authority
CN
China
Prior art keywords
link encryption
node
data packet
link
encryption node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210894028.9A
Other languages
English (en)
Other versions
CN115277200A (zh
Inventor
张建国
王赛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Guoling Technology Co ltd
Original Assignee
Beijing Guoling Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guoling Technology Co ltd filed Critical Beijing Guoling Technology Co ltd
Priority to CN202210894028.9A priority Critical patent/CN115277200B/zh
Publication of CN115277200A publication Critical patent/CN115277200A/zh
Application granted granted Critical
Publication of CN115277200B publication Critical patent/CN115277200B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks

Abstract

本发明公开了一种链路层透明加密系统多节点密钥自动协商管理的方法。链路层透明加密系统可提供链路层数据载荷透明加密功能,即保留数据包头不变的情况下仅对数据载荷进行加密,以实现加密后数据包仍然能够按照原网络路径进行流转,无需添加或更改地址信息或路由策略。在本方法中,链路加密节点之间完成相互发现和会话密钥协商之后,每个节点都会在内部建立一张“链路加密节点ID与会话密钥的对照表”,然后根据对外网透传数据包的目的MAC地址建立“链路加密节点ID与外部MAC地址对照表”。链路加密节点即可通过网络数据包MAC地址,判断出该MAC地址所属的网络设备是位于哪一个链路加密节点保护的内网之中(即查询到对应链路加密节点ID),进而再通过查找链路节点ID与密钥对照表,得到该数据包对应的正确的会话密钥,最后对该数据包进行加密或解密。本方法可实现多台透明链路加密节点之间自动完成相互密钥协商管理,每两个节点之间使用独立的会话密钥,并选择使用正确的会话密钥对数据进行加密和解密。

Description

一种链路层透明加密系统多节点密钥自动协商管理的方法
技术领域
本发明涉及一种计算机网络通讯传输加密系统和技术,尤其涉及链路透明加密技术和会话密钥协商技术。
背景技术
针对网络传输数据进行加密是非常常见的信息安全需求,应用范围极广,常用的技术包括IPSecVPN和SSLVPN等系统。这两种网络加密协议原理是将原始网络数据包整个加密(包含IP数据包头信息或二层数据包头MAC地址信息),然后按照VPN系统的路由设置重新添加一个包头(包括新的MAC地址和IP地址),将新的加密包发送给对方VPN系统,对方VPN系统解密后,还原出原始数据包。这样的解决方案要求必须事先为VPN系统分配IP地址,并要求应用系统将其默认网关或目的网络的路由信息指向VPN系统,同时需要在VPN系统之间设置较为复杂的隧道规则信息,对用户的专业技术有一定要求。在许多实际网络加密需求场景中,客户操作人员经常不具备太多网络知识基础和VPN系统使用经验,导致VPN配置和应用效率很低,且容易因配置错误出现安全隐患。
基于上述原因,链路层透明加密系统应运而生,它通常表现为全透明网络设备,无需操作员为其配置IP地址、MAC地址、路由信息以及隧道规则。工作原理不再是将网络数据包整个加密,而是保留原始数据包的包头信息不变,仅仅将载荷内容进行加密,然后将加密后的数据再传到网络中。这样做的优点是:数据包原本是怎么流转的(包括如何路由和寻址),加密后仍然能够按照原网络路径进行流转,因为网路设备在转发数据包时是按照包头的地址信息进行判断和处理的,透明加密后改变的仅仅是载荷内容,并未改变包头地址信息。如此一来,操作员部署链路加密系统的工作量和难度都大幅降低,只需要将系统串接在网络中,数据穿过链路加密系统时就可以自动完成加密或解密,非常方便。通过巧妙的设计,链路加密节点之间也可以实现会话密钥协商功能。
但是,当网络系统中存在多个链路加密节点并存时,链路加密节点难以判断外网口收到的数据包实际来自于哪个外部链路加密节点,原因是网络数据包经过链路加密节点并被加密后,该数据包本身并未附加任何有关链路加密节点身份的信息,因此链路加密节点无法在多个会话密钥当中选择正确的那个进行解密。同样,链路加密节点在内网口收到的数据包时,也无从得知改数据包将发往哪个链路加密节点方向,无法在多个会话密钥列表当中选择正确的那个进行加密。
因此,许多链路透明加密系统在多节点应用场景下,只好选择所有节点使用一个相同会话密钥。这样的弊端显而易见:一旦任何一个链路的会话密钥被破解,整个网络系统的所有密钥都不安全了,整体安全性大打折扣。
发明内容
针对现有链路层透明加密系统无法实现有效的会话密钥分别协商和管理的不足,本发明提供了一种链路层透明加密系统多节点密钥自动协商管理的方法,链路加密节点之间完成相互发现和会话密钥协商之后,每个节点都会在内部建立一张其他“链路加密节点ID与会话密钥对照表”,然后根据对外网透传数据包的目的MAC地址建立“链路加密节点ID与外部MAC地址对照表”。链路加密节点即可通过网络数据包MAC地址,判断出该MAC地址所属的网络设备是位于哪一个链路加密节点保护的内网之中(即查询到对应链路加密节点ID),进而再通过查找链路节点ID与密钥对照表,得到该数据包对应的正确的会话密钥,最后对该数据包进行加密或解密。本方法可实现多台透明链路加密节点之间自动完成相互密钥协商,每两个节点之间使用独立的会话密钥,并使得节点之间网络数据能够使用正确的会话密钥加密和解密。
为实现上述目的,本发明提供如下技术方案:
一种链路层透明加密系统多节点密钥自动协商管理的方法,其特征在于,至少包含2个链路加密节点,每个链路加密节点内网口连接至少1个网络设备,链路加密节点维护至少两张表:“外部MAC地址与链路加密节点ID对照表”(T1),“链路加密节点ID与会话密钥对照表”(T2);
所述链路加密节点之间使用网络Network直接或间接连通节点的外网口;
所述链路加密节点可提供链路层数据透明加密功能,即保留数据包头不变的情况下仅对数据载荷进行加密或解密;所述链路加密节点能够对从内网口接收到的数据进行透明加密,然后将加密数据从外网口发送出去;所述链路加密节点能够对从外网口接收到的数据进行透明解密,然后将解密后的数据从内网口发送出去;
所述链路加密节点之间完成相互发现和会话密钥协商之后,每个所述链路加密节点都会在内部建立所述“链路加密节点ID与会话密钥对照表”(T2)。此时每个所述“外部MAC地址与链路加密节点ID对照表”(T1)为空;
当某个所述链路加密节点A内网的所述网络节点A1,首次发送数据包P到另外一个所述链路加密节点B内网的所述网络节点B1时:
a)所述链路加密节点A查询到所述“链路加密节点ID与会话密钥对照表”(TA1)内容为空,于是不会对数据包P加密,而是复制该数据包P的包头并构建一个相同包头的伪装包PA,PA的载荷内至少包含一个特殊标识和所述链路加密节点A的ID信息,然后将原数据包P和伪装包PA一同发送出去;
b)所述链路加密节点B收到数据包P后,查询到所述“链路加密节点ID与会话密钥对照表”(TB1)内容为空,于是透传数据包给所述网络节点B1;
c)所述链路加密节点B收到伪装数据包PA后,判断出载荷中的特殊标识,便可以从载荷中获取到所述链路加密节点A的ID信息以及数据包PA的源MAC地址;
d)所述链路加密节点B在自身所述“外部MAC地址与链路加密节点ID对照表”(TB1)中添加一条记录,记录至少包含数据包PA的MAC地址和所述链路加密节点A的ID信息;
e)所述链路加密节点B复制数据包PA的包头并反转MAC地址,构建一个新的伪装包PB,PB的载荷内至少包含一个特殊标识和所述链路加密节点B的ID信息;然后将伪装包PB发送出去;
f)所述链路加密节点A收到伪装数据包PB后,判断出载荷中的特殊标识,便可以从载荷中获取到所述链路加密节点B的ID信息以及数据包PB的源MAC地址;
g)所述链路加密节点A在自身所述“外部MAC地址与链路加密节点ID对照表”(TA1)中添加一条记录,记录至少包含数据包PB的MAC地址和所述链路加密节点B的ID信息;
h)如此,任意两个非同一内网的所述网络设备只要进行过至少一次数据通讯,根据上述步骤均可在所述网络设备最近的所述链路加密节点中的所述“外部MAC地址与链路加密节点ID对照表”(T1)中添加记录;方法不重复添加相同的记录;
上述步骤完成后,所述链路加密节点之间可选择正确的会话密钥对数据包进行加密或解密:
a)对于进入所述链路加密节点内网接口的数据包,获取其目的MAC地址,查询自身所述“外部MAC地址与链路加密节点ID对照表”(T1),可得到数据包目的地址对应的所述网络设备所属的所述链路加密节点ID;
b)根据ID查询所述“链路加密节点ID与会话密钥对照表”(T2),得到会话密钥;
c)使用会话密钥对数据包进行载荷透明加密,并将加密数据包从外网口发送出去;
d)对于进入所述链路加密节点外网接口的数据包,获取其源MAC地址,查询自身所述“外部MAC地址与链路加密节点ID对照表”(T1),可得到数据包源地址对应的所述网络设备所属的所述链路加密节点ID;
e)根据ID查询所述“链路加密节点ID与会话密钥对照表”(T2),得到会话密钥;
f)使用会话密钥对数据包进行载荷透明解密,并将解密后的数据包从内网口发送出去;
根据一个优选的实施方式,所述的链路层透明加密系统多节点密钥自动协商管理的方法,其特征在于,将“外部MAC地址与链路加密节点ID对照表”(T1)改为 “外部MAC地址与会话密钥对照表”(T1*);任意两个非同一内网的所述网络设备只要进行过至少一次数据通讯,根据权利要求1所述方法,在所述网络设备最近的所述链路加密节点中的所述“外部MAC地址与会话密钥对照表”(T1*)中添加记录;方法不重复添加相同的记录。权利要求1中根据数据包MAC地址查询会话密钥时,需要经过2步:首先根据MAC地址,在所述“外部MAC地址与链路加密节点ID对照表”(T1)中查询到所述链路加密节点的ID信息,然后仔根据所述链路加密节点的ID信息在所述“链路加密节点ID与会话密钥对照表”(T2)查找到会话密钥;本权利只需要一步,即可直接根据MAC地址在在所述“外部MAC地址与会话密钥对照表”(T1*)中查询到会话密钥,提升查询效率;
根据一个优选的实施方式,所述的链路层透明加密系统多节点密钥自动协商管理的方法,其特征在于:不使用MAC地址进行判断、记录和条件查询,而是采用IP地址进行判断、记录和条件查询,具体步骤和原理与先前的方法相似;
综上所述,本发明与现有技术相比具有以下有益效果:
(1).链路透明加密系统在多节点应用场景下,每两个节点独立协商会话密钥;任意两个节点之间使用的会话密钥均不相同,万一一个链路加密会话密钥被破解,不影响其他链路会话密钥的安全性,这使得整个信息系统安全性大幅提升。
附图说明
图1为本发明链路层透明加密系统多节点密钥自动协商管理的方法示意图。
图2为本发明链路层透明加密系统多节点密钥自动协商管理的优选方法示意图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案做进一步的说明。
一种链路层透明加密系统多节点密钥自动协商管理的方法,其特征在于,至少包含2个链路加密节点,每个链路加密节点内网口连接至少1个网络设备,链路加密节点维护至少两张表:“外部MAC地址与链路加密节点ID对照表”(T1),“链路加密节点ID与会话密钥对照表”(T2);
所述链路加密节点之间使用网络Network直接或间接连通节点的外网口;
所述链路加密节点之间完成相互发现和会话密钥协商之后,每个所述链路加密节点都会在内部建立所述“链路加密节点ID与会话密钥对照表”(T2)。此时每个所述“外部MAC地址与链路加密节点ID对照表”(T1)为空;
当某个所述链路加密节点A内网的所述网络节点A1,首次发送数据包P到另外一个所述链路加密节点B内网的所述网络节点B1时:
a)所述链路加密节点A查询到所述“链路加密节点ID与会话密钥对照表”(TA1)内容为空,于是不会对数据包P加密,而是复制该数据包P的包头并构建一个相同包头的伪装包PA,PA的载荷内至少包含一个特殊标识和所述链路加密节点A的ID信息,然后将原数据包P和伪装包PA一同发送出去;
b)所述链路加密节点B收到数据包P后,查询到所述“链路加密节点ID与会话密钥对照表”(TB1)内容为空,于是透传数据包给所述网络节点B1;
c)所述链路加密节点B收到伪装数据包PA后,判断出载荷中的特殊标识,便可以从载荷中获取到所述链路加密节点A的ID信息以及数据包PA的源MAC地址;
d)所述链路加密节点B在自身所述“外部MAC地址与链路加密节点ID对照表”(TB1)中添加一条记录,记录至少包含数据包PA的MAC地址和所述链路加密节点A的ID信息;
e)所述链路加密节点B复制数据包PA的包头并反转MAC地址,构建一个新的伪装包PB,PB的载荷内至少包含一个特殊标识和所述链路加密节点B的ID信息;然后将伪装包PB发送出去;
f)所述链路加密节点A收到伪装数据包PB后,判断出载荷中的特殊标识,便可以从载荷中获取到所述链路加密节点B的ID信息以及数据包PB的源MAC地址;
g)所述链路加密节点A在自身所述“外部MAC地址与链路加密节点ID对照表”(TA1)中添加一条记录,记录至少包含数据包PB的MAC地址和所述链路加密节点B的ID信息;
h)如此,任意两个非同一内网的所述网络设备只要进行过至少一次数据通讯,根据上述步骤均可在所述网络设备最近的所述链路加密节点中的所述“外部MAC地址与链路加密节点ID对照表”(T1)中添加记录;方法不重复添加相同的记录;
上述步骤完成后,所述链路加密节点之间可选择正确的会话密钥对数据包进行加密或解密:
a)对于进入所述链路加密节点内网接口的数据包,获取其目的MAC地址,查询自身所述“外部MAC地址与链路加密节点ID对照表”(T1),可得到数据包目的地址对应的所述网络设备所属的所述链路加密节点ID;
b)根据ID查询所述“链路加密节点ID与会话密钥对照表”(T2),得到会话密钥;
c)使用会话密钥对数据包进行载荷透明加密,并将加密数据包从外网口发送出去;
d)对于进入所述链路加密节点外网接口的数据包,获取其源MAC地址,查询自身所述“外部MAC地址与链路加密节点ID对照表”(T1),可得到数据包源地址对应的所述网络设备所属的所述链路加密节点ID;
e)根据ID查询所述“链路加密节点ID与会话密钥对照表”(T2),得到会话密钥;
f)使用会话密钥对数据包进行载荷透明解密,并将解密后的数据包从内网口发送出去;
实施例1:
参见图1所示,执行如下步骤:
链路加密节点A、B之间使用网络Network直接或间接连通节点的外网口;
链路加密节点A和B之间完成相互发现和会话密钥协商之后,每个链路加密节点都会在内部建立“链路加密节点ID与会话密钥对照表”,节点A中为TA2,节点B中为TB2。此时每个“外部MAC地址与链路加密节点ID对照表”(TA1和TB1)为空;
链路加密节点A内网的网络节点A1,首次发送数据包P到另外一个链路加密节点B内网的网络节点B1时:
a)链路加密节点A查询到“链路加密节点ID与会话密钥对照表”(TA1)内容为空,于是不会对数据包P加密,而是复制该数据包P的包头并构建一个相同包头的伪装包PA,PA的载荷内包含一个特殊标识和链路加密节点A的ID信息,然后将原数据包P和伪装包PA一同发送出去;
b)链路加密节点B收到数据包P后,查询到“链路加密节点ID与会话密钥对照表”(TB1)内容为空,于是透传数据包给网络节点B1;
c)链路加密节点B收到伪装数据包PA后,判断出载荷中的特殊标识,便可以从载荷中获取到链路加密节点A的ID信息以及数据包PA的源MAC地址;
d)链路加密节点B在自身“外部MAC地址与链路加密节点ID对照表”(TB1)中添加一条记录,记录包含数据包PA的MAC地址和链路加密节点A的ID信息;
e)链路加密节点B复制数据包PA的包头并反转MAC地址,构建一个新的伪装包PB,PB的载荷内包含一个特殊标识和链路加密节点B的ID信息;然后将伪装包PB发送出去;
f)链路加密节点A收到伪装数据包PB后,判断出载荷中的特殊标识,便可以从载荷中获取到链路加密节点B的ID信息以及数据包PB的源MAC地址;
g)链路加密节点A在自身“外部MAC地址与链路加密节点ID对照表”(TA1)中添加一条记录,记录包含数据包PB的MAC地址和链路加密节点B的ID信息;
h)如此,任意两个非同一内网的网络设备只要进行过一次数据通讯,根据上述步骤均可在网络设备最近的链路加密节点中的“外部MAC地址与链路加密节点ID对照表”(T1)中添加记录;方法不重复添加相同的记录;
上述步骤完成后,链路加密节点A和B之间可选择正确的会话密钥对数据包进行加密或解密:
a)对于进入链路加密节点A内网接口的数据包,获取其目的MAC地址,查询自身“外部MAC地址与链路加密节点ID对照表”(TA1),可得到数据包目的地址对应的网络设备所属的链路加密节点ID(假设为链路加密节点B的ID);
b)根据ID查询“链路加密节点ID与会话密钥对照表”(TA2),得到会话密钥;
c)使用会话密钥对数据包进行载荷透明加密,并将加密数据包从外网口发送出去;
d)该加密数据包进入链路加密节点B外网接口,链路加密节点B获取数据包的源MAC地址,查询自身“外部MAC地址与链路加密节点ID对照表”(TB1),可得到数据包源地址对应的网络设备所属的链路加密节点ID(即为A的ID);
e)根据ID查询“链路加密节点ID与会话密钥对照表”(TB2),得到会话密钥;
f)使用会话密钥对数据包进行载荷透明解密,并将解密后的数据包从内网口发送出去,传递给B1;
实施例2:
参见图2所示,执行如下步骤:
链路加密节点A、B之间使用网络Network直接或间接连通节点的外网口;
链路加密节点A和B之间完成相互发现和会话密钥协商之后,每个链路加密节点都会在内部建立“链路加密节点ID与会话密钥对照表”,节点A中为TA2,节点B中为TB2。此时每个“外部MAC地址与会话密钥对照表”(TA1*和TB1*)为空;
链路加密节点A内网的网络节点A1,首次发送数据包P到另外一个链路加密节点B内网的网络节点B1时:
a)链路加密节点A查询到“链路加密节点ID与会话密钥对照表”(TA1*)内容为空,于是不会对数据包P加密,而是复制该数据包P的包头并构建一个相同包头的伪装包PA,PA的载荷内包含一个特殊标识和链路加密节点A的ID信息,然后将原数据包P和伪装包PA一同发送出去;
b)链路加密节点B收到数据包P后,查询到“链路加密节点ID与会话密钥对照表”(TB1*)内容为空,于是透传数据包给网络节点B1;
c)链路加密节点B收到伪装数据包PA后,判断出载荷中的特殊标识,便可以从载荷中获取到链路加密节点A的ID信息以及数据包PA的源MAC地址;
d)链路加密节点B根据A的ID查询“链路加密节点ID与会话密钥对照表”(TB2),得到会话密钥;
e)链路加密节点B在“链路加密节点ID与会话密钥对照表”(TB1*)中添加一条记录,记录包含数据包PA的MAC地址和会话密钥;
f)链路加密节点B复制数据包PA的包头并反转MAC地址,构建一个新的伪装包PB,PB的载荷内包含一个特殊标识和链路加密节点B的ID信息;然后将伪装包PB发送出去;
g)链路加密节点A收到伪装数据包PB后,判断出载荷中的特殊标识,便可以从载荷中获取到链路加密节点B的ID信息以及数据包PB的源MAC地址;
h)链路加密节点A根据B的ID查询“链路加密节点ID与会话密钥对照表”(TA2),得到会话密钥;
i)链路加密节点A在“链路加密节点ID与会话密钥对照表”(TA1*)中添加一条记录,记录包含数据包PA的MAC地址和会话密钥;
j)如此,任意两个非同一内网的网络设备只要进行过一次数据通讯,根据上述步骤均可在网络设备最近的链路加密节点中的链路层透明加密系统多节点密钥自动协商管理的(TA1*或TB1*)中添加记录;方法不重复添加相同的记录;
上述步骤完成后,链路加密节点A和B之间可选择正确的会话密钥对数据包进行加密或解密:
a)对于进入链路加密节点A内网接口的数据包,获取其目的MAC地址,查询“链路加密节点ID与会话密钥对照表”(TA1*),可得到数据包目的地址对应的会话密钥;
b)使用会话密钥对数据包进行载荷透明加密,并将加密数据包从外网口发送出去;
c)该加密数据包进入链路加密节点B外网接口,链路加密节点B获取数据包的源MAC地址,查询“链路加密节点ID与会话密钥对照表”(TB1*),可得到数据包源地址对应的网络设备所对应的会话密钥;
d)使用会话密钥对数据包进行载荷透明解密,并将解密后的数据包从内网口发送出去,传递给B1;
实施例3:
与实施例1类似,不同之处为MAC地址改为IP地址。执行如下步骤:
链路加密节点A、B之间使用网络Network直接或间接连通节点的外网口;
链路加密节点A和B之间完成相互发现和会话密钥协商之后,每个链路加密节点都会在内部建立“链路加密节点ID与会话密钥对照表”,节点A中为TA2,节点B中为TB2。此时每个外部IP地址与会话密钥对照表(TA1*和TB1*)为空;
链路加密节点A内网的网络节点A1,首次发送数据包P到另外一个链路加密节点B内网的网络节点B1时:
k)链路加密节点A查询到“链路加密节点ID与会话密钥对照表”(TA1*)内容为空,于是不会对数据包P加密,而是复制该数据包P的包头并构建一个相同包头的伪装包PA,PA的载荷内包含一个特殊标识和链路加密节点A的ID信息,然后将原数据包P和伪装包PA一同发送出去;
l)链路加密节点B收到数据包P后,查询到“链路加密节点ID与会话密钥对照表”(TB1*)内容为空,于是透传数据包给网络节点B1;
m)链路加密节点B收到伪装数据包PA后,判断出载荷中的特殊标识,便可以从载荷中获取到链路加密节点A的ID信息以及数据包PA的源IP地址;
n)链路加密节点B根据A的ID查询“链路加密节点ID与会话密钥对照表”(TB2),得到会话密钥;
o)链路加密节点B在“链路加密节点ID与会话密钥对照表”(TB1*)中添加一条记录,记录包含数据包PA的IP地址和会话密钥;
p)链路加密节点B复制数据包PA的包头并反转IP地址,构建一个新的伪装包PB,PB的载荷内包含一个特殊标识和链路加密节点B的ID信息;然后将伪装包PB发送出去;
q)链路加密节点A收到伪装数据包PB后,判断出载荷中的特殊标识,便可以从载荷中获取到链路加密节点B的ID信息以及数据包PB的源IP地址;
r)链路加密节点A根据B的ID查询“链路加密节点ID与会话密钥对照表”(TA2),得到会话密钥;
s)链路加密节点A在“链路加密节点ID与会话密钥对照表”(TA1*)中添加一条记录,记录包含数据包PA的IP地址和会话密钥;
t)如此,任意两个非同一内网的网络设备只要进行过一次数据通讯,根据上述步骤均可在网络设备最近的链路加密节点中的链路层透明加密系统多节点密钥自动协商管理的(TA1*或TB1*)中添加记录;方法不重复添加相同的记录;
上述步骤完成后,链路加密节点A和B之间可选择正确的会话密钥对数据包进行加密或解密:
e)对于进入链路加密节点A内网接口的数据包,获取其目的IP地址,查询“链路加密节点ID与会话密钥对照表”(TA1*),可得到数据包目的地址对应的会话密钥;
f)使用会话密钥对数据包进行载荷透明加密,并将加密数据包从外网口发送出去;
g)该加密数据包进入链路加密节点B外网接口,链路加密节点B获取数据包的源IP地址,查询“链路加密节点ID与会话密钥对照表”(TB1*),可得到数据包源地址对应的网络设备所对应的会话密钥;
h)使用会话密钥对数据包进行载荷透明解密,并将解密后的数据包从内网口发送出去,传递给B1;
需要注意的是,上述具体实施方式是示例性的,本领域技术人员可以在本发明公开内容的启发下想出各种解决方案,以及对本发明的各项权利进行非实质性改变,特别是构造的伪装包内容,或是使用其他类型网络地址;而这些解决方案和改变也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白,本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。

Claims (3)

1.一种链路层透明加密系统多节点密钥自动协商管理的方法,其特征在于:所述方法至少包含2个链路加密节点,每个链路加密节点内网口连接至少1个网络设备,链路加密节点维护至少两张表:外部MAC地址与链路加密节点ID对照表T1,链路加密节点ID与会话密钥对照表T2;
所述链路加密节点之间使用网络Network直接或间接连通节点的外网口;
所述链路加密节点可提供链路层数据透明加密功能,即保留数据包头不变的情况下仅对数据载荷进行加密或解密;所述链路加密节点能够对从内网口接收到的数据进行透明加密,然后将加密数据从外网口发送出去;所述链路加密节点能够对从外网口接收到的数据进行透明解密,然后将解密后的数据从内网口发送出去;
所述链路加密节点之间完成相互发现和会话密钥协商之后,每个所述链路加密节点都会在内部建立所述链路加密节点ID与会话密钥对照表T2;此时每个所述外部MAC地址与链路加密节点ID对照表T1为空;
当某个所述链路加密节点A的内网的网络节点A1,首次发送数据包P到另外一个所述链路加密节点B的内网的网络节点B1时:
a)所述链路加密节点A查询到链路加密节点ID与会话密钥对照表TA1内容为空,于是不会对数据包P加密,而是复制该数据包P的包头并构建一个相同包头的伪装包PA,PA的载荷内至少包含一个特殊标识和所述链路加密节点A的ID信息,然后将原数据包P和伪装包PA一同发送出去;
b)所述链路加密节点B收到数据包P后,查询到链路加密节点ID与会话密钥对照表TB1内容为空,于是透传数据包给所述网络节点B1;
c)所述链路加密节点B收到伪装数据包PA后,判断出载荷中的特殊标识,便可以从载荷中获取到所述链路加密节点A的ID信息以及数据包PA的源MAC地址;
d)所述链路加密节点B在自身的外部MAC地址与链路加密节点ID对照表TB1中添加一条记录,记录至少包含数据包PA的MAC地址和所述链路加密节点A的ID信息;
e)所述链路加密节点B复制数据包PA的包头并反转MAC地址,构建一个新的伪装包PB,PB的载荷内至少包含一个特殊标识和所述链路加密节点B的ID信息;然后将伪装包PB发送出去;
f)所述链路加密节点A收到伪装数据包PB后,判断出载荷中的特殊标识,便可以从载荷中获取到所述链路加密节点B的ID信息以及数据包PB的源MAC地址;
g)所述链路加密节点A在自身外部MAC地址与链路加密节点ID对照表TA1中添加一条记录,记录至少包含数据包PB的MAC地址和所述链路加密节点B的ID信息;
h)如此,任意两个非同一内网的所述网络设备只要进行过至少一次数据通讯,根据
上述步骤均可在所述网络设备最近的所述链路加密节点中的所述外部MAC地址与链路加密节点ID对照表T1中添加记录;方法不重复添加相同的记录;
上述步骤完成后,所述链路加密节点之间可选择正确的会话密钥对数据包进行加密或解密,流程如下:
a)对于进入所述链路加密节点内网接口的数据包,链路加密节点获取该数据包目的MAC地址,查询自身所述外部MAC地址与链路加密节点ID对照表T1,可得到数据包目的地址对应的所述网络设备所属的所述链路加密节点ID;
b)根据ID查询所述链路加密节点ID与会话密钥对照表T2,得到会话密钥;
c)使用会话密钥对数据包进行载荷透明加密,并将加密数据包从外网口发送出去;
d)对于进入所述链路加密节点外网接口的加密数据包,链路加密节点获取该数据包源MAC地址,查询自身所述外部MAC地址与链路加密节点ID对照表T1,可得到数据包源地址对应的所述网络设备所属的所述链路加密节点ID;
e)根据ID查询所述链路加密节点ID与会话密钥对照表T2,得到会话密钥;
f)使用会话密钥对数据包进行载荷透明解密,并将解密后的数据包从内网口发送出去。
2.根据权利要求1所述的链路层透明加密系统多节点密钥自动协商管理的方法,其特征在于,将外部MAC地址与链路加密节点ID对照表T1改为外部MAC地址与会话密钥对照表T1*;先根据所述链路加密节点ID在所述链路加密节点ID与会话密钥对照表T2中查询到对应的会话密钥,然后添加到外部MAC地址与会话密钥对照表T1*。
3.根据权利要求1或权利要求2所述的链路层透明加密系统多节点密钥自动协商管理的方法,其特征在于:所述方法采用数据包的IP地址取代所述MAC地址。
CN202210894028.9A 2022-07-27 2022-07-27 一种链路层透明加密系统多节点密钥自动协商管理的方法 Active CN115277200B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210894028.9A CN115277200B (zh) 2022-07-27 2022-07-27 一种链路层透明加密系统多节点密钥自动协商管理的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210894028.9A CN115277200B (zh) 2022-07-27 2022-07-27 一种链路层透明加密系统多节点密钥自动协商管理的方法

Publications (2)

Publication Number Publication Date
CN115277200A CN115277200A (zh) 2022-11-01
CN115277200B true CN115277200B (zh) 2023-08-15

Family

ID=83771286

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210894028.9A Active CN115277200B (zh) 2022-07-27 2022-07-27 一种链路层透明加密系统多节点密钥自动协商管理的方法

Country Status (1)

Country Link
CN (1) CN115277200B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117354181B (zh) * 2023-12-05 2024-02-13 江西云绿科技有限公司 一种基于物联网的数据包分类方法及系统

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1169825A1 (en) * 2000-02-22 2002-01-09 Nokia Corporation Method of checking amount of transmitted data
CN101141241A (zh) * 2006-09-06 2008-03-12 华为技术有限公司 实现mac安全的方法以及网络设备
CN101180828A (zh) * 2005-05-16 2008-05-14 艾利森电话股份有限公司 用于在综合网络中加密和传输数据的装置与方法
CN101820619A (zh) * 2010-01-15 2010-09-01 北京工业大学 无线传感器网络中高效节能的链路安全方法
CN101834722A (zh) * 2010-04-23 2010-09-15 西安西电捷通无线网络通信股份有限公司 一种加密设备和非加密设备混合组网的通信方法
CN102035845A (zh) * 2010-12-20 2011-04-27 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
CN102130768A (zh) * 2010-12-20 2011-07-20 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
CN103354498A (zh) * 2013-05-31 2013-10-16 北京鹏宇成软件技术有限公司 一种基于身份的文件加密传输方法
CN105978909A (zh) * 2016-07-08 2016-09-28 北京炼石网络技术有限公司 基于传输层封包的数据传输方法、数据传输装置及系统
CN108293223A (zh) * 2015-11-30 2018-07-17 华为技术有限公司 一种数据传输方法、用户设备和网络侧设备
CN110752921A (zh) * 2019-10-24 2020-02-04 浙江九州量子信息技术股份有限公司 一种通信链路安全加固方法
CN111698238A (zh) * 2020-06-05 2020-09-22 中国电力科学研究院有限公司 电力物联网终端层设备密钥的管理方法、系统及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9705736B2 (en) * 2014-03-14 2017-07-11 Ray Wang Method and system for a personal network

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1169825A1 (en) * 2000-02-22 2002-01-09 Nokia Corporation Method of checking amount of transmitted data
CN101180828A (zh) * 2005-05-16 2008-05-14 艾利森电话股份有限公司 用于在综合网络中加密和传输数据的装置与方法
CN101141241A (zh) * 2006-09-06 2008-03-12 华为技术有限公司 实现mac安全的方法以及网络设备
CN101820619A (zh) * 2010-01-15 2010-09-01 北京工业大学 无线传感器网络中高效节能的链路安全方法
CN101834722A (zh) * 2010-04-23 2010-09-15 西安西电捷通无线网络通信股份有限公司 一种加密设备和非加密设备混合组网的通信方法
CN102035845A (zh) * 2010-12-20 2011-04-27 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
CN102130768A (zh) * 2010-12-20 2011-07-20 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
CN103354498A (zh) * 2013-05-31 2013-10-16 北京鹏宇成软件技术有限公司 一种基于身份的文件加密传输方法
CN108293223A (zh) * 2015-11-30 2018-07-17 华为技术有限公司 一种数据传输方法、用户设备和网络侧设备
CN105978909A (zh) * 2016-07-08 2016-09-28 北京炼石网络技术有限公司 基于传输层封包的数据传输方法、数据传输装置及系统
CN110752921A (zh) * 2019-10-24 2020-02-04 浙江九州量子信息技术股份有限公司 一种通信链路安全加固方法
CN111698238A (zh) * 2020-06-05 2020-09-22 中国电力科学研究院有限公司 电力物联网终端层设备密钥的管理方法、系统及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
文件传输安全技术研究;肖志恒;《中国优秀硕士学位论文全文数据库》;全文 *

Also Published As

Publication number Publication date
CN115277200A (zh) 2022-11-01

Similar Documents

Publication Publication Date Title
US9461975B2 (en) Method and system for traffic engineering in secured networks
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
WO2019128785A1 (zh) 一种量子密钥中继方法
US8386772B2 (en) Method for generating SAK, method for realizing MAC security, and network device
EP2823620B1 (en) Enhancing ipsec performance and security against eavesdropping
WO2019128753A1 (zh) 一种低延迟的量子密钥移动服务方法
US8713305B2 (en) Packet transmission method, apparatus, and network system
JP4159328B2 (ja) ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法
US6185680B1 (en) Packet authentication and packet encryption/decryption scheme for security gateway
US8019850B2 (en) Virtual private network management
JP3595145B2 (ja) 暗号通信システム
JP5423907B2 (ja) 鍵設定方法、ノード、サーバ、およびネットワークシステム
US9369490B2 (en) Method for the secure exchange of data over an ad-hoc network implementing an Xcast broadcasting service and associated node
US20100296395A1 (en) Packet transmission system, packet transmission apparatus, and packet transmission method
CN115277200B (zh) 一种链路层透明加密系统多节点密钥自动协商管理的方法
US11641345B2 (en) Discovery for token secured routing
CN103227742B (zh) 一种IPSec隧道快速处理报文的方法
US20040158706A1 (en) System, method, and device for facilitating multi-path cryptographic communication
US8670565B2 (en) Encrypted packet communication system
US20050028011A1 (en) Automatic setting of security in communication network system
CN115733683A (zh) 采用量子密钥分发的以太链路自组织加密隧道实现方法
US20190327337A1 (en) Secure and Reliable On-Demand Source Routing in an Information Centric Network
US20230208819A1 (en) Inter-node privacy communication method and network node
CN104618211A (zh) 一种基于隧道的报文处理方法和总部网关设备
CN115277190B (zh) 一种链路层透明加密系统在网络上实现邻居发现的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant