CN115333839A - 数据安全传输方法、系统、设备及存储介质 - Google Patents

数据安全传输方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN115333839A
CN115333839A CN202210975719.1A CN202210975719A CN115333839A CN 115333839 A CN115333839 A CN 115333839A CN 202210975719 A CN202210975719 A CN 202210975719A CN 115333839 A CN115333839 A CN 115333839A
Authority
CN
China
Prior art keywords
message
gateway equipment
symmetric key
user
computing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210975719.1A
Other languages
English (en)
Other versions
CN115333839B (zh
Inventor
李佳聪
吕航
雷波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210975719.1A priority Critical patent/CN115333839B/zh
Publication of CN115333839A publication Critical patent/CN115333839A/zh
Application granted granted Critical
Publication of CN115333839B publication Critical patent/CN115333839B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种数据安全传输方法、系统、设备及存储介质,所述方法包括步骤:用户网关设备向算力网关设备发送安全通道建立请求;算力网关设备将第一预设字段信息封装于扩展头中,得到第一报文,并将第一报文发送至用户网关设备;用户网关设备对第一报文进行校验,在校验通过时,与算力网关设备建立安全传输通道;用户网关设备生成对称密钥,基于对称密钥对目标数据进行加密,以及对对称密钥进行加密后封装于扩展头中,封装得到第二报文,将第二报文发送至算力网关设备;算力网关设备解密获得对称密钥,基于对称密钥对第二报文进行解密,得到所述目标数据;本申请以一种低成本的方式解决了多租户访问算力资源的安全问题。

Description

数据安全传输方法、系统、设备及存储介质
技术领域
本发明涉及数据通信技术领域,具体地说,涉及一种数据安全传输方法、系统、设备及存储介质。
背景技术
随着计算、存储等资源不断发展,行业内提出“算力网络”用来整合不同所有方的计算、存储等资源,并按照用户业务的不同需求提供最优的资源服务与网络连接。简单而言,就是通过网络手段将计算、存储等基础资源在云-边-端之间进行有效调配的方式,以此提升业务服务质量和用户的服务体验。为了合理地利用多方算力资源,同一算力资源池可能会通过算力路由节点给多个租户提供计算、存储服务。由于租户需要将数据上传至算力资源池中完成计算任务,导致租户失去了对自身信息和数据的直接控制能力,因此需要构建租户-算力路由节点的安全传输通道,以便保护租户信息和数据的安全性。
在云计算环境中,常用的租户隔离方法是部署域隔离器设备,通过将域隔离器映射给不同租户,实现不同租户只能访问固定的虚拟隔离域,再将虚拟隔离域映射到物理存储资源,从而实现多租户的数据隔离。由于这种方法需要额外的硬件设备开销,因此成本较高。
发明内容
针对现有技术中的问题,本发明的目的在于提供一种数据安全传输方法、系统、设备及存储介质,以一种低成本的方式解决了多租户访问算力资源的安全问题。
为实现上述目的,本发明提供了一种数据安全传输方法,用于在用户网关设备和算力网关设备之间传输报文,所述报文的报文头中设有扩展头;所述方法包括以下步骤:
用户网关设备向算力网关设备发送安全通道建立请求;所述安全通道建立请求中包含第一预设字段信息;
算力网关设备将所述第一预设字段信息封装于所述扩展头中,得到第一报文,并将所述第一报文发送至用户网关设备;
用户网关设备对所述第一报文进行校验,在校验通过时,与所述算力网关设备建立安全传输通道;
用户网关设备生成对称密钥,基于所述对称密钥对目标数据进行加密,以及对所述对称密钥进行加密后封装于所述扩展头中,封装得到第二报文,将所述第二报文基于所述安全传输通道发送至算力网关设备;
算力网关设备解密获得所述对称密钥,基于所述对称密钥对所述第二报文进行解密,得到所述目标数据。
可选地,所述算力网关设备将所述第一预设字段信息封装于所述扩展头中,得到第一报文,包括:
算力网关设备基于所述第一预设字段信息,计算得到第一预设字段校验值;
算力网关设备将所述第一预设字段校验值封装于所述扩展头中,得到第一报文;
所述用户网关设备对所述第一报文进行校验,包括:
用户网关设备解析所述第一报文,得到所述第一预设字段校验值;并生成第一预设字段原始值,基于所述第一预设字段校验值和所述第一预设字段原始值对所述第一报文进行校验。
可选地,所述在校验通过时,与所述算力网关设备建立安全传输通道,包括:
当所述第一预设字段校验值和所述第一预设字段原始值相同时,所述第一报文校验通过。
可选地,所述基于所述对称密钥对目标数据进行加密,以及对所述对称密钥进行加密后封装于所述扩展头中,封装得到第二报文,包括:
基于所述对称密钥对目标数据进行加密后封装于数据字段中,以及对所述对称密钥进行加密后封装于所述扩展头中,得到第二报文;
所述算力网关设备解密获得所述对称密钥,基于所述对称密钥对所述第二报文进行解密,得到所述目标数据,包括:
所述算力网关设备对第二报文的扩展头进行解密,获得所述对称密钥;并基于所述对称密钥对所述第二报文的数据字段进行解密,得到所述目标数据。
可选地,所述算力网关设备将所述第一预设字段信息封装于所述扩展头中,得到第一报文,包括:
基于第三方认证中心生成成对的第一公钥和第一私钥,将所述第一公钥发送至用户网关设备,将所述第一私钥发送至算力网关设备;
算力网关设备基于所述第一私钥对所述第一预设字段校验值进行加密后,封装于所述扩展头中;
所述用户网关设备对所述第一报文进行校验,包括:
用户网关设备基于所述第一公钥对所述第一预设字段校验值进行解密。
可选地,所述算力网关设备将所述第一预设字段信息封装于所述扩展头中,得到第一报文,包括:
算力网关设备随机生成成对的第二公钥和第二私钥,将所述第二私钥存储在本地,基于所述第一私钥对所述第二公钥进行加密后封装于所述扩展头中;
所述用户网关设备生成对称密钥,基于所述对称密钥对目标数据进行加密,以及对所述对称密钥进行加密后封装于所述扩展头中,封装得到第二报文,包括:
用户网关设备基于所述第一公钥对加密后的所述第二公钥进行解密后,得到第二公钥;
用户网关设备基于所述第二公钥对所述对称密钥进行加密后封装于所述扩展头中;
所述算力网关设备解密获得所述对称密钥,包括:
算力网关设备基于所述第二私钥,对加密后的对称密钥解密,获得所述对称密钥。
可选地,所述第一报文的报文头的扩展头中包含第二预设字段对应的字段值;在所述用户网关设备对所述第一报文进行校验之前,所述方法还包括:
用户网关设备基于所述第二预设字段对应的字段值,判断所述第一报文是否属于预设安全类型;
当用户网关设备确定所述第一报文属于预设安全类型时,对所述第一报文进行校验。
可选地,在所述用户网关设备向算力网关设备发送安全通道建立请求之前,所述方法还包括:
分别获取用户网关设备与算力网关设备的安全级别;
当所述用户网关设备的安全级别低于所述算力网关设备的安全级别时,且所述用户网关设备经过预设认证流程认证成功后,用户网关设备向算力网关设备发送安全通道建立请求。
可选地,第一预设字段信息为用户身份信息;所述方法还包括:
算力网关设备将所述目标数据存储至服务器的与所述用户身份信息对应的资源节点;所述算力网关设备与所述服务器建立有通信连接。
本发明还提供了一种数据安全传输系统,用于实现上述数据安全传输方法,所述系统包括:
安全通道请求模块,用户网关设备向算力网关设备发送安全通道建立请求;所述安全通道建立请求中包含第一预设字段信息;
第一报文封装发送模块,算力网关设备将所述第一预设字段信息封装于所述扩展头中,得到第一报文,并将所述第一报文发送至用户网关设备;
安全通道建立模块,用户网关设备对所述第一报文进行校验,在校验通过时,与所述算力网关设备建立安全传输通道;
第二报文封装发送模块,用户网关设备生成对称密钥,基于所述对称密钥对目标数据进行加密,以及对所述对称密钥进行加密后封装于所述扩展头中,封装得到第二报文,将所述第二报文基于所述安全传输通道发送至算力网关设备;
第二报文解析模块,算力网关设备解密获得所述对称密钥,基于所述对称密钥对所述第二报文进行解密,得到所述目标数据。
本发明还提供了一种数据安全传输设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行程序;
其中,所述处理器配置为经由执行所述可执行程序来执行上述任意一项数据安全传输方法的步骤。
本发明还提供了一种计算机可读存储介质,用于存储程序,所述程序被处理器执行时实现上述任意一项数据安全传输方法的步骤。
本发明与现有技术相比,具有以下优点及突出性效果:
本发明提供的数据安全传输方法、系统、设备及存储介质利用用户侧网关设备可以封装IPv4数据包的功能,扩展IPv4报文头,自定义IPv4报文封装方式,算力路由节点部署对应的报文解析功能,实现租户-算力路由节点安全传输通道的构建;并且将对称密钥加密后封装于扩展头中,能节省双方协商对称密钥的时间,可根据情况实时修改对称密钥,保证数据传输的安全性的同时,提升了传输效率。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1为本发明实施例公开的数据安全传输方法所涉及的系统架构图;
图2为本发明一实施例公开的一种数据安全传输方法的示意图;
图3为本发明另一实施例公开的一种数据安全传输方法的示意图;
图4为本发明另一实施例公开的一种数据安全传输方法的示意图;
图5为本发明另一实施例公开的一种数据安全传输方法的示意图;
图6为本发明另一实施例公开的一种数据安全传输方法的示意图;
图7为本发明一实施例公开的一种数据安全传输系统的结构示意图;
图8为本发明另一实施例公开的一种数据安全传输系统的结构示意图;
图9为本发明另一实施例公开的一种数据安全传输系统的结构示意图;
图10为本发明另一实施例公开的一种数据安全传输系统的结构示意图;
图11为本发明一实施例公开的一种数据安全传输设备的结构示意图。
具体实施方式
以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本申请所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用系统,本申请中的各项细节也可以根据不同观点与应用系统,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
下面以附图为参考,针对本申请的实施例进行详细说明,以便本申请所属技术领域的技术人员能够容易地实施。本申请可以以多种不同形态体现,并不限定于此处说明的实施例。
在本申请的表示中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的表示意指结合该实施例或示例表示的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且,表示的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本申请中表示的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于表示目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的表示中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
为了明确说明本申请,省略与说明无关的器件,对于通篇说明书中相同或类似的构成要素,赋予了相同的参照符号。
在通篇说明书中,当说某器件与另一器件“连接”时,这不仅包括“直接连接”的情形,也包括在其中间把其它元件置于其间而“间接连接”的情形。另外,当说某种器件“包括”某种构成要素时,只要没有特别相反的记载,则并非将其它构成要素排除在外,而是意味着可以还包括其它构成要素。
当说某器件在另一器件“之上”时,这可以是直接在另一器件之上,但也可以在其之间伴随着其它器件。当对照地说某器件“直接”在另一器件“之上”时,其之间不伴随其它器件。
虽然在一些实例中术语第一、第二等在本文中用来表示各种元件,但是这些元件不应当被这些术语限制。这些术语仅用来将一个元件与另一个元件进行区分。例如,第一接口及第二接口等表示。再者,如同在本文中所使用的,单数形式“一”、“一个”和“该”旨在也包括复数形式,除非上下文中有相反的指示。应当进一步理解,术语“包含”、“包括”表明存在的特征、步骤、操作、元件、组件、项目、种类、和/或组,但不排除一个或多个其他特征、步骤、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。此处使用的术语“或”和“和/或”被解释为包括性的,或意味着任一个或任何组合。因此,“A、B或C”或者“A、B和/或C”意味着“以下任一个:A;B;C;A和B;A和C;B和C;A、B和C”。仅当元件、功能、步骤或操作的组合在某些方式下内在地互相排斥时,才会出现该定义的例外。
此处使用的专业术语只用于言及特定实施例,并非意在限定本申请。此处使用的单数形态,只要语句未明确表示出与之相反的意义,那么还包括复数形态。在说明书中使用的“包括”的意义是把特定特性、区域、整数、步骤、作业、要素及/或成份具体化,并非排除其它特性、区域、整数、步骤、作业、要素及/或成份的存在或附加。
虽然未不同地定义,但包括此处使用的技术术语及科学术语,所有术语均具有与本申请所属技术领域的技术人员一般理解的意义相同的意义。普通使用的字典中定义的术语追加解释为具有与相关技术文献和当前提示的内容相符的意义,只要未进行定义,不得过度解释为理想的或非常公式性的意义。
现在将结合参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。
图1为本发明实施例公开的数据安全传输方法所涉及的系统架构图。所述数据安全传输方法用于在用户网关设备11和算力网关设备12之间传输报文。算力网关设备12和算力资源池13建立有通信连接。算力资源池13通过算力网关设备12可以给多个用户14提供计算、存储服务,相应地,用户14可以通过用户网关设备11和算力网关设备12,将数据上传至算力资源池13,并依靠算力资源池13完成计算等任务。算力资源池13可以部署于服务器中,或者部署于服务器集群等。上述算力网关设备12也即为算力路由节点。
本申请中,是基于第四版互联网协议(IPv4)在用户网关设备11和算力网关设备12之间传输报文,每一条报文包括数据字段和报文头。报文头中设有扩展头。该扩展头附加在报文原报头的选项字段中,共20个字节。该扩展头中可以封装用户ID、秘钥等字段,实现自定义IPv4报文封装方式,扩展后的报文能实现秘钥与加密的数据同步传输,可提升数据传输的安全性以及数据传输效率。
如图2所示,本发明一实施例公开了一种算力网络环境下的数据安全传输方法,该方法包括以下步骤:
S110,用户网关设备向算力网关设备发送安全通道建立请求。上述安全通道建立请求中包含第一预设字段信息。本实施例中,上述第一预设字段信息为用户身份信息,即为此时需要通过用户网关设备访问算力资源池的用户对应的用户身份信息。
S120,算力网关设备响应于安全通道建立请求,将上述第一预设字段信息封装于上述扩展头中,得到第一报文,并将上述第一报文发送至用户网关设备。具体而言,第一报文包括数据字段和报文头。第一预设字段信息包括第一预设字段和对应的字段值。本实施例将上述字段值封装于第一报文的报文头的扩展头中对应的第一预设字段中。示例性地,第一预设字段可以为用户ID。
在一些实施例中,如图3所示,步骤S120包括:
S121,算力网关设备响应于上述安全通道建立请求,基于上述第一预设字段信息,计算得到第一预设字段校验值。以及
S122,算力网关设备将上述第一预设字段校验值封装于上述扩展头中,得到第一报文,并将上述第一报文发送至用户网关设备。
示例性地,上述第一预设字段校验值可以为根据用户ID值计算得到的MD5值。然后将该MD5值封装于扩展头中与第一预设字段对应的位置。
参考下表1,本实施例对该扩展头的结构进行举例说明:
表1扩展头的结构
Figure BDA0003798265640000091
其中,第一个字段名称为类型,占1个字节,用于表示安全标签,以区别其他的业务。第二个字段名称为标签长度,占1个字节,用于表示该标签长度。第三个字段名称为租户ID,即用户ID,占4个字节。上述第一预设字段校验值也即可以封装于扩展头该字段内,也即封装于租户ID字段内。
第四个字段名称为安全级别,占4个字节,用于表示发送端的设备的安全级别。第五个字段名称为秘钥,占4个字节,用户网关设备通过该字段加密传输数据,算力路由设备也通过该字段传输公钥信息以及加密后的公钥,防止报文在中途被篡改。第六个字段名称为预留字段,占4个字节,可用于特殊业务的传输。第七个字段名称为校验字段,占4个字节,可使用一预设算法(CRC,循环冗余校验码)等校验该扩展字节在传输过程中没有发生误码。
实际实施时,扩展头的各个字段名称的顺序可根据实际需要调整,不以此本实施例上表所示的为限。本申请中扩展头的结构也不以上表的结构为限。
S130,用户网关设备对上述第一报文进行校验,在校验通过时,与上述算力网关设备建立安全传输通道。也即,判断第一报文是否被篡改。如果被篡改,则说明该第一报文不可信。校验通过,则说明该第一报文未被篡改。具体实施时,如图4所示,该步骤可以包括:
S131,用户网关设备解析上述第一报文,得到上述第一预设字段校验值;并生成第一预设字段原始值,基于上述第一预设字段校验值和上述第一预设字段原始值对上述第一报文进行校验。
S132,当上述第一预设字段校验值和上述第一预设字段原始值相同时,上述第一报文校验通过,在校验通过时,与上述算力网关设备建立安全传输通道。
并且,当上述第一预设字段校验值和上述第一预设字段原始值不相同时,上述第一报文校验不通过。
示例性地,上述第一预设字段校验值可以为根据用户ID值计算得到的MD5值。然后用户网关设备本地也存储有对应当前用户的用户ID,因此用户网关设备就可以根据本地存储的用户ID计算得到上述第一预设字段原始值,于是就可以将其和第一预设字段校验值进行比较。
在其他实施例中,当对第一报文校验未通过时,用户网关设备不与算力网关设备建立安全传输通道。也即,用户网关设备与算力网关设备之间不建立连接。用户网关设备拒绝算力网关设备的访问。
S140,用户网关设备生成对称密钥,基于上述对称密钥对目标数据进行加密,以及对上述对称密钥进行加密后封装于上述扩展头中,封装得到第二报文,将上述第二报文基于上述安全传输通道发送至算力网关设备。
参考本实施例中上述表1公开的扩展头的结构,该步骤可以将加密后的对称密钥封装于第二报文的扩展头中名称为“秘钥”的第五个字段内,将加密后的目标数据封装于第二报文的数据字段中,也即作为第二报文的数据部分,由此得到第二报文。
现有技术无法将用于加密待传输数据,即加密目标数据的对称密钥作为IPv4报文头的扩展部分,一起发送。而是把对称密钥作为报文的数据部分,然后进行多次协商,耗费较多时间,导致传输效率低下。本申请将对称密钥加密后封装于扩展头中,能节省双方协商对称密钥的时间,可根据情况实时修改对称密钥,保证数据传输的安全性的同时,提升了传输效率。
S150,算力网关设备解密获得上述对称密钥,基于上述对称密钥对上述第二报文进行解密,得到上述目标数据。具体而言,也即,上述算力网关设备对第二报文的扩展头进行解密,获得上述对称密钥;并基于上述对称密钥对上述第二报文的数据字段进行解密,得到上述目标数据。
该步骤还可以包括:算力网关设备将上述目标数据存储至算力资源池中与上述用户身份信息对应的资源节点。算力资源池可以部署于服务器中或者服务器集群中。算力网关设备与上述算力资源池建立有通信连接。
如图5所示,在本申请的另一实施例中,公开了另一种数据安全传输方法。该方法在上述图2对应实施例的基础上,所述第一报文的报文头的扩展头中包含第二预设字段对应的字段值。该方法在步骤S120和步骤S130之间还包括:
S160,用户网关设备基于上述第二预设字段对应的字段值,判断上述第一报文是否属于预设安全类型。
当用户网关设备确定上述第一报文属于预设安全类型,执行步骤S130。
当用户网关设备确定上述第一报文不属于预设安全类型,则执行步骤S170:用户网关设备与算力网关设备之间不建立安全传输通道。也即,用户网关设备与算力网关设备之间不建立连接。
示例性地,第二预设字段可以为上述第一个字段,也即可以为名称是“类型”的字段,将第二预设字段对应的字段值封装于该字段内。用户网关设备获取到第二预设字段,基于该字段,用户网关设备可以判断第一报文是否属于预设安全类型。当该字段值为一预设值时,那么第一报文就属于预设安全类型。当该字段值不是一预设值时,那么第一报文就不属于预设安全类型。预设安全类型即为一安全类型,表示该第一报文是安全的。否则表示该第一报文不是安全的。
该实施例利于进一步提高报文数据传输的安全性。
如图6所示,在本申请的另一实施例中,公开了另一种数据安全传输方法。该方法在上述图2对应实施例的基础上,S120包括:
S123,基于第三方认证中心生成成对的第一公钥和第一私钥,将上述第一公钥发送至用户网关设备,将上述第一私钥发送至算力网关设备。
S124,算力网关设备响应于安全通道建立请求,基于上述第一预设字段信息,计算得到第一预设字段校验值。
S125,算力网关设备随机生成成对的第二公钥和第二私钥,将上述第二私钥存储在本地,基于上述第一私钥对上述第二公钥进行加密后封装于上述扩展头中。
S126,算力网关设备基于上述第一私钥对上述第一预设字段校验值进行加密后,封装于上述扩展头中,得到第一报文,并将上述第一报文发送至用户网关设备。上述第一预设字段校验值可以为根据用户ID计算得到的MD5值。
其中,上述第三方认证中心可以为CA认证中心,相应地,生成的第一公钥即为CA公钥,第一私钥即为CA私钥。
CA(Certificate Authority)认证中心,是采用PKI(Public KeyInfrastructure)公开密钥基础架构技术,专门提供网络身份认证服务。负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。
S130替换为步骤S133:用户网关设备基于上述第一公钥对上述第一预设字段校验值进行解密,基于解密后的第一预设字段校验值对上述第一报文进行校验,在校验通过时,与算力网关设备建立安全传输通道。
S140替换为步骤S141和步骤S142:
S141,用户网关设备生成对称密钥,基于第一公钥对加密后的第二公钥进行解密,得到第二公钥。
S142,用户网关设备基于上述对称密钥对目标数据进行加密,基于上述第二公钥对上述对称密钥进行加密后封装于上述扩展头中,封装得到第二报文,将上述第二报文基于上述安全传输通道发送至算力网关设备。
S150替换为步骤S151:
算力网关设备基于上述第二私钥,对加密后的对称密钥解密,获得上述对称密钥,基于对称密钥对上述第二报文进行解密,得到目标数据。
在本申请的另一实施例中,公开了另一种数据安全传输方法。该方法在上述图2对应实施例的基础上,在步骤S110之前,还包括:
分别获取用户网关设备与算力网关设备的安全级别。
当上述用户网关设备的安全级别低于上述算力网关设备的安全级别时,且上述用户网关设备经过预设认证流程认证成功后,用户网关设备向算力网关设备发送安全通道建立请求。
本实施例中,若用户网关设备的安全级别高于算力网关设备的安全级别,则用户网关设备可以直接向算力网关设备发送安全通道建立请求。否则需要经过预设认证流程认证。其中,预设认证流程可以是预设的两次认证,比如第一次为密码认证,第二次为人脸识别认证。本申请不以此为限。
这样可以增加租户安全认证功能,保护租户访问安全,提高报文数据传输的安全性。
本申请充分考虑到目前算力网络提供算力资源服务时,对租户信息保护不足,且常规的安全通道构建方法复杂,需要多次协商,未来在构建算力网络交易平台时存在安全风险,提出的实现方案并不复杂,在现有用户网关和算力路由节点上增加相关模块即可实现,并不会影响现有算力网络的运行,有很好的灵活性。
需要说明的是,本申请中公开的上述所有实施例可以进行自由组合,组合后得到的技术方案也在本申请的保护范围之内。
在一些实施例中,在上述图2对应实施例的基础上,用户网关设备可以包括用户身份认证模块、路由模块、IPv4安全报文封装模块、IPv4安全报文解封装模块、安全级别管理模块和加解密模块。用户身份认证模块用于对用户身份进行认证。路由模块用于实现路由。IPv4安全报文封装模块通过某种定义封装规则封装IPv4报文,以安全的方式传递租户ID、对称秘钥等信息,以便快速建立安全传输通道。IPv4安全报文解封装模块通过某种定义封装规则解封装IPv4报文,获取租户ID以及对称秘钥等信息,以便快速建立安全传输通道。安全级别管理模块用于管理用户网关设备的安全级别,高安全级别的设备可以直接与低安全级别的设备通信,低安全级别的设备需要二次认证才能与高安全级别的设备通信。加解密模块根据CA认证中心发放的秘钥信息,为租户ID、对称秘钥等在IPv4扩展报头的关键字段加密,保障数据的传输安全。
算力网关设备可以包括算力资源感知模块、路由模块、IPv4安全报文封装模块、IPv4安全报文解封装模块、安全级别管理模块和加解密模块。算力资源感知模块用于获取算力资源池剩余算力资源。其他模块的功能可参考用户网关设备的相同模块,与用户网关设备对应模块功能相同。
如图7所示,本发明一实施例还公开了一种数据安全传输系统7,该系统包括:
安全通道请求模块71,用户网关设备向算力网关设备发送安全通道建立请求。上述安全通道建立请求中包含第一预设字段信息。本实施例中,上述第一预设字段信息为用户身份信息,即为此时需要通过用户网关设备访问算力资源池的用户对应的用户身份信息。
第一报文封装发送模块72,算力网关设备将上述第一预设字段信息封装于上述扩展头中,得到第一报文,并将上述第一报文发送至用户网关设备。具体而言,第一报文包括数据字段和报文头。第一预设字段信息包括第一预设字段和对应的字段值。本实施例将上述字段值封装于第一报文的报文头的扩展头中对应的第一预设字段中。示例性地,第一预设字段可以为用户ID。
安全通道建立模块73,用户网关设备对上述第一报文进行校验,在校验通过时,与上述算力网关设备建立安全传输通道。也即,判断第一报文是否被篡改。如果被篡改,则说明该第一报文不可信。校验通过,则说明该第一报文未被篡改。
第二报文封装发送模块74,用户网关设备生成对称密钥,基于上述对称密钥对目标数据进行加密,以及对上述对称密钥进行加密后封装于上述扩展头中,封装得到第二报文,将上述第二报文基于上述安全传输通道发送至算力网关设备。
参考本实施例中上述表1公开的扩展头的结构,该步骤可以将加密后的对称密钥封装于第二报文的扩展头中名称为“秘钥”的第五个字段内,将加密后的目标数据封装于第二报文的数据字段中,也即作为第二报文的数据部分,由此得到第二报文。
现有技术无法将用于加密待传输数据,即加密目标数据的对称密钥作为IPv4报文头的扩展部分,一起发送。而是把对称密钥作为报文的数据部分,然后进行多次协商,耗费较多时间,导致传输效率低下。本申请将对称密钥加密后封装于扩展头中,能节省双方协商对称密钥的时间,可根据情况实时修改对称密钥,保证数据传输的安全性的同时,提升了传输效率。
第二报文解析模块75,算力网关设备解密获得上述对称密钥,基于上述对称密钥对上述第二报文进行解密,得到上述目标数据。
其中,第二报文解析模块75还可以执行步骤:算力网关设备将上述目标数据存储至算力资源池中与上述用户身份信息对应的资源节点。算力资源池可以部署于服务器中或者服务器集群中。算力网关设备与上述算力资源池建立有通信连接。
可以理解的是,本发明的数据安全传输系统还包括其他支持数据安全传输系统运行的现有功能模块。图7显示的数据安全传输系统仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
本实施例中的数据安全传输系统用于实现上述的数据安全传输的方法,因此对于数据安全传输系统的具体实施步骤可以参照上述对数据安全传输的方法的描述,此处不再赘述。
如图8所示,本发明一实施例还公开了一种数据安全传输系统8,该实施例在上述图7对应实施例的基础上,第一报文封装发送模块72包括:
第一预设字段校验值计算单元721,算力网关设备响应于上述安全通道建立请求,基于上述第一预设字段信息,计算得到第一预设字段校验值。
以及
第一报文封装单元722,算力网关设备将上述第一预设字段校验值封装于上述扩展头中,得到第一报文,并将上述第一报文发送至用户网关设备。
示例性地,上述第一预设字段校验值可以为根据用户ID值计算得到的MD5值。然后将该MD5值封装于扩展头中与第一预设字段对应的位置。
实际实施时,扩展头的各个字段名称的顺序可根据实际需要调整,不以此本实施例上表所示的为限。本申请中扩展头的结构也不以上表的结构为限。
如图9所示,本发明一实施例还公开了一种数据安全传输系统9,该实施例在上述图7对应实施例的基础上,安全通道建立模块73包括:
第一报文校验单元731,用户网关设备解析上述第一报文,得到上述第一预设字段校验值;并生成第一预设字段原始值,基于上述第一预设字段校验值和上述第一预设字段原始值对上述第一报文进行校验。
校验通过单元732,当上述第一预设字段校验值和上述第一预设字段原始值相同时,上述第一报文校验通过。
并且,当上述第一预设字段校验值和上述第一预设字段原始值不相同时,上述第一报文校验不通过。
示例性地,上述第一预设字段校验值可以为根据用户ID值计算得到的MD5值。然后用户网关设备本地也存储有对应当前用户的用户ID,因此用户网关设备就可以根据本地存储的用户ID计算得到上述第一预设字段原始值,于是就可以将其和第一预设字段校验值进行比较。
在其他实施例中,当对第一报文校验未通过时,用户网关设备不与算力网关设备建立安全传输通道。也即,用户网关设备与算力网关设备之间不建立连接。
如图10所示,本发明一实施例还公开了一种数据安全传输系统10,该实施例在上述图7对应实施例的基础上,还包括第一判断模块76和拒绝访问模块77。
第一判断模块76,用户网关设备基于上述第二预设字段对应的字段值,判断上述第一报文是否属于预设安全类型。
当用户网关设备确定上述第一报文属于预设安全类型,执行安全通道建立模块73。
当用户网关设备确定上述第一报文不属于预设安全类型,则执行拒绝访问模块77:用户网关设备与算力网关设备之间不建立安全传输通道。也即,用户网关设备与算力网关设备之间不建立连接。用户网关设备拒绝访问。
示例性地,第二预设字段可以为上述第一个字段,也即可以为名称是“类型”的字段,将第二预设字段对应的字段值封装于该字段内。基于该字段,用户网关设备可以判断第一报文是否属于预设安全类型。当该字段值为一预设值时,那么第一报文就属于预设安全类型。当该字段值不是一预设值时,那么第一报文就不属于预设安全类型。预设安全类型即为一安全类型,表示该第一报文是安全的。否则表示该第一报文不是安全的。
该实施例利于进一步提高报文数据传输的安全性。
本发明一实施例还公开了一种数据安全传输系统11,该实施例在上述图7对应实施例的基础上,第一报文封装发送模块72包括:
第一秘钥生成单元723,基于第三方认证中心生成成对的第一公钥和第一私钥,将上述第一公钥发送至用户网关设备,将上述第一私钥发送至算力网关设备。
第一计算单元724,算力网关设备响应于安全通道建立请求,基于上述第一预设字段信息,计算得到第一预设字段校验值。
第二秘钥生成单元725,算力网关设备随机生成成对的第二公钥和第二私钥,将上述第二私钥存储在本地,基于上述第一私钥对上述第二公钥进行加密后封装于上述扩展头中。
第一发送单元726,算力网关设备基于上述第一私钥对上述第一预设字段校验值进行加密后,封装于上述扩展头中,得到第一报文,并将上述第一报文发送至用户网关设备。上述第一预设字段校验值可以为根据用户ID计算得到的MD5值。
其中,上述第三方认证中心可以为CA认证中心,相应地,生成的第一公钥即为CA公钥,第一私钥即为CA私钥。
安全通道建立模块73替换为第一解密校验模块733。第一解密校验模块733:用户网关设备基于上述第一公钥对上述第一预设字段校验值进行解密,基于解密后的第一预设字段校验值对上述第一报文进行校验,在校验通过时,与上述算力网关设备建立安全传输通道。
第二报文封装发送模块74包括:
第二解密单元741,用户网关设备生成对称密钥,基于上述第一公钥对加密后的第二公钥进行解密,得到第二公钥。
第二发送单元742,用户网关设备基于上述对称密钥对目标数据进行加密,基于上述第二公钥对上述对称密钥进行加密后封装于上述扩展头中,封装得到第二报文,将上述第二报文基于上述安全传输通道发送至算力网关设备。
第二报文解析模块75替换为第三解密模块751。第三解密模块751,算力网关设备基于上述第二私钥,对加密后的对称密钥解密,获得上述对称密钥,基于对称密钥对上述第二报文进行解密,得到上述目标数据。
在一些实施例中,在上述图7对应实施例的基础上,用户网关设备可以包括用户身份认证模块、路由模块、IPv4安全报文封装模块、IPv4安全报文解封装模块、安全级别管理模块和加解密模块。用户身份认证模块用于对用户身份进行认证。路由模块用于实现路由。IPv4安全报文封装模块通过某种定义封装规则封装IPv4报文,以安全的方式传递租户ID、对称秘钥等信息,以便快速建立安全传输通道。IPv4安全报文解封装模块通过某种定义封装规则解封装IPv4报文,获取租户ID以及对称秘钥等信息,以便快速建立安全传输通道。安全级别管理模块用于管理用户网关设备的安全级别,高安全级别的设备可以直接与低安全级别的设备通信,低安全级别的设备需要二次认证才能与高安全级别的设备通信。加解密模块根据CA认证中心发放的秘钥信息,为租户ID、对称秘钥等在IPv4扩展报头的关键字段加密,保障数据的传输安全。
算力网关设备可以包括算力资源感知模块、路由模块、IPv4安全报文封装模块、IPv4安全报文解封装模块、安全级别管理模块和加解密模块。算力资源感知模块用于获取算力资源池剩余算力资源。其他模块的功能可参考用户网关设备的相同模块,与用户网关设备对应模块功能相同。
本发明一实施例还公开了一种数据安全传输设备,包括处理器和存储器,其中存储器存储有所述处理器的可执行程序;处理器配置为经由执行可执行程序来执行上述数据安全传输方法中的步骤。图11是本发明公开的数据安全传输设备的结构示意图。下面参照图11来描述根据本发明的这种实施方式的电子设备600。图11显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图11所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述数据安全传输方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图2中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明还公开了一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述数据安全传输方法中的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述数据安全传输方法中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例的计算机可读存储介质的程序在执行时,利用用户侧网关设备可以封装IPv4数据包的功能,扩展IPv4报文头,自定义IPv4报文封装方式,算力路由节点部署对应的报文解析功能,实现租户-算力路由节点安全传输通道的构建;并且将对称密钥加密后封装于扩展头中,能节省双方协商对称密钥的时间,可根据情况实时修改对称密钥,保证数据传输的安全性的同时,提升了传输效率。
本发明一实施例公开了一种计算机可读存储介质。该存储介质是实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本发明实施例提供的数据安全传输方法、系统、设备及存储介质利用用户侧网关设备可以封装IPv4数据包的功能,扩展IPv4报文头,自定义IPv4报文封装方式,算力路由节点部署对应的报文解析功能,实现租户-算力路由节点安全传输通道的构建;并且将对称密钥加密后封装于扩展头中,能节省双方协商对称密钥的时间,可根据情况实时修改对称密钥,保证数据传输的安全性的同时,提升了传输效率。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (12)

1.一种数据安全传输方法,其特征在于,用于在用户网关设备和算力网关设备之间传输报文,所述报文的报文头中设有扩展头;所述方法包括以下步骤:
用户网关设备向算力网关设备发送安全通道建立请求;所述安全通道建立请求中包含第一预设字段信息;
算力网关设备将所述第一预设字段信息封装于所述扩展头中,得到第一报文,并将所述第一报文发送至用户网关设备;
用户网关设备对所述第一报文进行校验,在校验通过时,与所述算力网关设备建立安全传输通道;
用户网关设备生成对称密钥,基于所述对称密钥对目标数据进行加密,以及对所述对称密钥进行加密后封装于所述扩展头中,封装得到第二报文,将所述第二报文基于所述安全传输通道发送至算力网关设备;
算力网关设备解密获得所述对称密钥,基于所述对称密钥对所述第二报文进行解密,得到所述目标数据。
2.如权利要求1所述的数据安全传输方法,其特征在于,所述算力网关设备将所述第一预设字段信息封装于所述扩展头中,得到第一报文,包括:
算力网关设备基于所述第一预设字段信息,计算得到第一预设字段校验值;
算力网关设备将所述第一预设字段校验值封装于所述扩展头中,得到第一报文;
所述用户网关设备对所述第一报文进行校验,包括:
用户网关设备解析所述第一报文,得到所述第一预设字段校验值;并生成第一预设字段原始值,基于所述第一预设字段校验值和所述第一预设字段原始值对所述第一报文进行校验。
3.如权利要求2所述的数据安全传输方法,其特征在于,所述在校验通过时,与所述算力网关设备建立安全传输通道,包括:
当所述第一预设字段校验值和所述第一预设字段原始值相同时,所述第一报文校验通过。
4.如权利要求1所述的数据安全传输方法,其特征在于,所述基于所述对称密钥对目标数据进行加密,以及对所述对称密钥进行加密后封装于所述扩展头中,封装得到第二报文,包括:
基于所述对称密钥对目标数据进行加密后封装于数据字段中,以及对所述对称密钥进行加密后封装于所述扩展头中,得到第二报文;
所述算力网关设备解密获得所述对称密钥,基于所述对称密钥对所述第二报文进行解密,得到所述目标数据,包括:
所述算力网关设备对第二报文的扩展头进行解密,获得所述对称密钥;并基于所述对称密钥对所述第二报文的数据字段进行解密,得到所述目标数据。
5.如权利要求2所述的数据安全传输方法,其特征在于,所述算力网关设备将所述第一预设字段信息封装于所述扩展头中,得到第一报文,包括:
基于第三方认证中心生成成对的第一公钥和第一私钥,将所述第一公钥发送至用户网关设备,将所述第一私钥发送至算力网关设备;
算力网关设备基于所述第一私钥对所述第一预设字段校验值进行加密后,封装于所述扩展头中;
所述用户网关设备对所述第一报文进行校验,包括:
用户网关设备基于所述第一公钥对所述第一预设字段校验值进行解密。
6.如权利要求5所述的数据安全传输方法,其特征在于,所述算力网关设备将所述第一预设字段信息封装于所述扩展头中,得到第一报文,包括:
算力网关设备随机生成成对的第二公钥和第二私钥,将所述第二私钥存储在本地,基于所述第一私钥对所述第二公钥进行加密后封装于所述扩展头中;
所述用户网关设备生成对称密钥,基于所述对称密钥对目标数据进行加密,以及对所述对称密钥进行加密后封装于所述扩展头中,封装得到第二报文,包括:
用户网关设备基于所述第一公钥对加密后的所述第二公钥进行解密后,得到第二公钥;
用户网关设备基于所述第二公钥对所述对称密钥进行加密后封装于所述扩展头中;
所述算力网关设备解密获得所述对称密钥,包括:
算力网关设备基于所述第二私钥,对加密后的对称密钥解密,获得所述对称密钥。
7.如权利要求1所述的数据安全传输方法,其特征在于,所述第一报文的报文头的扩展头中包含第二预设字段对应的字段值;在所述用户网关设备对所述第一报文进行校验之前,所述方法还包括:
用户网关设备基于所述第二预设字段对应的字段值,判断所述第一报文是否属于预设安全类型;
当用户网关设备确定所述第一报文属于预设安全类型时,对所述第一报文进行校验。
8.如权利要求1所述的数据安全传输方法,其特征在于,在所述用户网关设备向算力网关设备发送安全通道建立请求之前,所述方法还包括:
分别获取用户网关设备与算力网关设备的安全级别;
当所述用户网关设备的安全级别低于所述算力网关设备的安全级别时,且所述用户网关设备经过预设认证流程认证成功后,用户网关设备向算力网关设备发送安全通道建立请求。
9.如权利要求1所述的数据安全传输方法,其特征在于,第一预设字段信息为用户身份信息;所述方法还包括:
算力网关设备将所述目标数据存储至服务器的与所述用户身份信息对应的资源节点;所述算力网关设备与所述服务器建立有通信连接。
10.一种数据安全传输系统,用于实现如权利要求1所述的数据安全传输方法,其特征在于,所述系统包括:
安全通道请求模块,用户网关设备向算力网关设备发送安全通道建立请求;所述安全通道建立请求中包含第一预设字段信息;
第一报文封装发送模块,算力网关设备将所述第一预设字段信息封装于所述扩展头中,得到第一报文,并将所述第一报文发送至用户网关设备;
安全通道建立模块,用户网关设备对所述第一报文进行校验,在校验通过时,与所述算力网关设备建立安全传输通道;
第二报文封装发送模块,用户网关设备生成对称密钥,基于所述对称密钥对目标数据进行加密,以及对所述对称密钥进行加密后封装于所述扩展头中,封装得到第二报文,将所述第二报文基于所述安全传输通道发送至算力网关设备;
第二报文解析模块,算力网关设备解密获得所述对称密钥,基于所述对称密钥对所述第二报文进行解密,得到所述目标数据。
11.一种数据安全传输设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行程序;
其中,所述处理器配置为经由执行所述可执行程序来执行权利要求1至9中任意一项所述数据安全传输方法的步骤。
12.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至9中任意一项所述数据安全传输方法的步骤。
CN202210975719.1A 2022-08-15 2022-08-15 数据安全传输方法、系统、设备及存储介质 Active CN115333839B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210975719.1A CN115333839B (zh) 2022-08-15 2022-08-15 数据安全传输方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210975719.1A CN115333839B (zh) 2022-08-15 2022-08-15 数据安全传输方法、系统、设备及存储介质

Publications (2)

Publication Number Publication Date
CN115333839A true CN115333839A (zh) 2022-11-11
CN115333839B CN115333839B (zh) 2023-11-07

Family

ID=83924375

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210975719.1A Active CN115333839B (zh) 2022-08-15 2022-08-15 数据安全传输方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN115333839B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116156011A (zh) * 2023-04-18 2023-05-23 安徽中科锟铻量子工业互联网有限公司 一种应用于量子网关的通信天线
CN117240627A (zh) * 2023-11-15 2023-12-15 深圳市吉方工控有限公司 一种网络数据信息安全传输方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102082796A (zh) * 2011-01-20 2011-06-01 北京融易通信息技术有限公司 一种基于http的信道加密方法、信道简化加密方法及系统
WO2012007349A1 (de) * 2010-07-13 2012-01-19 Deutsche Post Ag Verfahren zur übermittelung einer elektronischen nachricht über ein kommunikationssystem und zugehöriges kommunikationssystem
CN103618610A (zh) * 2013-12-06 2014-03-05 上海千贯节能科技有限公司 一种基于智能电网中能量信息网关的信息安全算法
CN112787803A (zh) * 2019-11-01 2021-05-11 华为技术有限公司 一种安全通信的方法和设备
CN113438071A (zh) * 2021-05-28 2021-09-24 荣耀终端有限公司 安全通信的方法及设备
CN113691502A (zh) * 2021-08-02 2021-11-23 上海浦东发展银行股份有限公司 通信方法、装置、网关服务器、客户端及存储介质
CN114666156A (zh) * 2022-04-11 2022-06-24 中国南方电网有限责任公司 数据安全防护系统、方法、装置、计算机设备和存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012007349A1 (de) * 2010-07-13 2012-01-19 Deutsche Post Ag Verfahren zur übermittelung einer elektronischen nachricht über ein kommunikationssystem und zugehöriges kommunikationssystem
CN102082796A (zh) * 2011-01-20 2011-06-01 北京融易通信息技术有限公司 一种基于http的信道加密方法、信道简化加密方法及系统
CN103618610A (zh) * 2013-12-06 2014-03-05 上海千贯节能科技有限公司 一种基于智能电网中能量信息网关的信息安全算法
CN112787803A (zh) * 2019-11-01 2021-05-11 华为技术有限公司 一种安全通信的方法和设备
CN113438071A (zh) * 2021-05-28 2021-09-24 荣耀终端有限公司 安全通信的方法及设备
CN113691502A (zh) * 2021-08-02 2021-11-23 上海浦东发展银行股份有限公司 通信方法、装置、网关服务器、客户端及存储介质
CN114666156A (zh) * 2022-04-11 2022-06-24 中国南方电网有限责任公司 数据安全防护系统、方法、装置、计算机设备和存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116156011A (zh) * 2023-04-18 2023-05-23 安徽中科锟铻量子工业互联网有限公司 一种应用于量子网关的通信天线
CN116156011B (zh) * 2023-04-18 2023-07-04 安徽中科锟铻量子工业互联网有限公司 一种应用于量子网关的通信天线
CN117240627A (zh) * 2023-11-15 2023-12-15 深圳市吉方工控有限公司 一种网络数据信息安全传输方法及系统
CN117240627B (zh) * 2023-11-15 2024-03-26 深圳市吉方工控有限公司 一种网络数据信息安全传输方法及系统

Also Published As

Publication number Publication date
CN115333839B (zh) 2023-11-07

Similar Documents

Publication Publication Date Title
CN111371549B (zh) 一种报文数据传输方法、装置及系统
EP3869730B1 (en) Confidential communication management
EP3073668B1 (en) Apparatus and method for authenticating network devices
US20190065406A1 (en) Technology For Establishing Trust During A Transport Layer Security Handshake
CN108566381A (zh) 一种安全升级方法、装置、服务器、设备和介质
KR20210076007A (ko) 주변 장치
CN105873031B (zh) 基于可信平台的分布式无人机密钥协商方法
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
CN111131278B (zh) 数据处理方法及装置、计算机存储介质、电子设备
CN115333839B (zh) 数据安全传输方法、系统、设备及存储介质
US11050570B1 (en) Interface authenticator
EP4258593A1 (en) Ota update method and apparatus
Dewanta et al. A mutual authentication scheme for secure fog computing service handover in vehicular network environment
CN103973443A (zh) 用于遵守隐私的数据处理的方法和设备
US11805104B2 (en) Computing system operational methods and apparatus
CN114584306B (zh) 一种数据处理方法和相关装置
WO2022154843A1 (en) Systems and methods for encrypted content management
CN114244508B (zh) 数据加密方法、装置、设备及存储介质
CN112689014B (zh) 一种双全工通信方法、装置、计算机设备和存储介质
EP4096147A1 (en) Secure enclave implementation of proxied cryptographic keys
EP4145763A1 (en) Exporting remote cryptographic keys
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
CN109960935B (zh) 确定tpm可信状态的方法、装置及存储介质
KR20190115489A (ko) 보안기술을 활용한 iot기기 보안인증 시스템
CN116599772B (zh) 一种数据处理方法及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant