CN115426116B - 一种基于动态密钥的加密哈希跳变方法 - Google Patents
一种基于动态密钥的加密哈希跳变方法 Download PDFInfo
- Publication number
- CN115426116B CN115426116B CN202211033648.XA CN202211033648A CN115426116B CN 115426116 B CN115426116 B CN 115426116B CN 202211033648 A CN202211033648 A CN 202211033648A CN 115426116 B CN115426116 B CN 115426116B
- Authority
- CN
- China
- Prior art keywords
- key
- address
- current
- shared key
- period
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000004891 communication Methods 0.000 claims abstract description 40
- 230000007246 mechanism Effects 0.000 claims abstract description 18
- 238000006243 chemical reaction Methods 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims abstract description 7
- 230000009467 reduction Effects 0.000 claims abstract description 6
- 238000013507 mapping Methods 0.000 claims description 17
- 238000011946 reduction process Methods 0.000 claims description 2
- 238000012546 transfer Methods 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于动态密钥的加密哈希跳变方法,通信时发送端将当期共享密钥、通信双方的真实IP地址、端口和数据包载荷输入到转换函数以获取通信双方的跳变IP地址和端口信息,将数据包发往通信的另一端。另一端在收到数据包后,将数据包载荷、当期共享密钥及通信双方的跳变IP地址和端口信息输入转换反函数以获取通信双方的真实IP地址和端口,并将数据包发往相关应用端。通信双方进行数据传输时均对当期生命周期做减值处理,以传输数据包数量为限,获取当期动态密钥,并基于当期动态密钥获取下一期共享密钥,进入下一轮通信。本发明采用共享动态密钥周期管理机制不定期更换动态密钥,极大地提高了密钥的安全性,进而确保了跳变机制的安全性。
Description
技术领域
本发明涉及信息网络传输技术领域,更具体地,涉及一种基于动态密钥的加密哈希跳变方法。
背景技术
随着动态网络中跳变速率的提高,逐渐暴露出的一个关键问题是如何同步通信实体。由于计算机网络是一个广泛的分布式系统,而且网络传输中存在不确定的传输延时和流量拥塞,使得网络动态防护系统准确同步各通信实体的同时又满足性能和安全性需求成为一项极具挑战性的工作。目前应用于网络动态防护系统的同步方法主要有基于时钟的同步方法、基于事件的同步方法和基于时间戳的同步方法。
基于时钟的同步是采用严格时间同步的方法,其原理是将时间进行等长的切片,利用跳变图案将时间片与跳变信息关联起来。但由于网络延迟和拥塞的存在,各节点时间不可能达到绝对的同步,因此,随着跳变速率的提升,网络传输丢包率也会迅速增加。基于事件的同步以事件发生的次数作为同步参考,对时钟同步要求较低,其中ACK同步最为常见。但此类方法需要维护大量同步信息且易受截获、窜改和重放攻击。基于时间戳同步是通过发言人服务器向发送请求的合法用户分发时间戳,用户根据时间戳计算出端信息。该方法需要依赖第三方实体,从而可能引入新的脆弱性节点。因此,动态网络亟需一种不依赖第三方实体同时又能容忍多种网络扰动的同步机制。
针对上述问题,有学者提出加密哈希自同步机制,消息发送端以对称密钥、通信双方真实的IP地址、端口和载荷作为输入值,通过映射算法计算得出通信双方的跳变IP地址和跳变端口信息,并将消息发往通信的另一端。消息接收端在收到数据包后,通过相同的映射算法和对称密钥算出数据包真实的IP地址和端口号。该机制具有每个数据包一次的跳变同步和隐秘的消息认证能力,但是在该机制中,一旦对称密钥和映射算法被第三方破解,则跳变机制将被识破。
发明内容
针对以上提到的现有技术中面临的技术问题,本发明提出了一种基于动态密钥的加密哈希跳变方法,用以解决IP地址/端口的跳变和数据包转发效率易受网络抖动影响的问题,并能有效抵御网络攻击和密钥分析,在提高网络安全防护能力的同时,又保证了系统的性能。
为实现上述目的,本发明提供了一种基于动态密钥的加密哈希跳变方法,包括步骤:
通过密钥握手机制在不同跳变子网的跳变设备间实现对当期共享密钥的分发,并基于映射函数获取所述当期共享密钥对应的当期生命周期;
基于所述当期共享密钥、数据包载荷和真实IP地址-端口组合向量,通过转换函数得到跳变IP地址-端口组合向量;基于所述跳变IP地址-端口组合向量转发数据包至服务端并将所述当期生命周期做减值处理;
接收所述数据包并提取所述数据包载荷,结合所述当期共享密钥和所述跳变IP地址-端口组合向量,通过转换反函数得到所述真实IP地址-端口组合向量;基于所述真实IP地址-端口组合向量转发所述数据包至应用端并将所述当期生命周期做减值处理;
判断所述当期生命周期减值至预设阈值,基于所述当期生命周期的数据包载荷数据集,通过哈希函数以获取当期动态密钥;基于所述当期动态密钥和所述当期共享密钥以获取下一期共享密钥;基于所述下一期共享密钥通过所述映射函数获取所述下一期共享密钥对应的下一期生命周期,并进入下一轮通信周期。
进一步地,所述基于所述当期共享密钥、数据包载荷和真实IP地址-端口组合向量,通过转换函数得到跳变IP地址-端口组合向量具体包括:
将所述当期共享密钥和所述数据包载荷作为输入值,通过哈希函数以获取消息摘要值;
将所述消息摘要值和所述真实IP地址-端口组合向量作为输入值,通过转换函数得到跳变IP地址-端口组合向量。
进一步地,所述接收所述数据包并提取所述数据包载荷,结合所述当期共享密钥和所述跳变IP地址-端口组合向量,通过转换反函数得到所述真实IP地址-端口组合向量具体包括:
将所述当期共享密钥和所述数据包载荷作为输入值,通过哈希函数以获取所述消息摘要值;
将所述消息摘要值和所述跳变IP地址-端口组合向量作为输入值,通过所述转换函数的反函数得到所述真实IP地址-端口组合向量。
进一步地,所述真实IP地址-端口组合向量包括发送端的真实IP地址和端口以及接收端的真实IP地址和端口;所述跳变IP地址-端口组合向量包括发送端的跳变IP地址和端口以及接收端的跳变IP地址和端口。
进一步地,所述基于所述当期动态密钥和所述当期共享密钥以获取下一期共享密钥的公式具体为:
其中,为所述当期共享密钥,/>为所述当期动态密钥,/>为异或运算符,/>为所述下一期共享密钥。
进一步地,所述基于所述下一期共享密钥通过所述映射函数获取所述下一期共享密钥对应的下一期生命周期的公式具体为:
R i+1 = f(k i+1)
其中,k i+1为所述下一期共享密钥,f(x)为所述映射函数,R i+1为所述下一期共享密钥对应的所述下一期生命周期。
进一步地,利用下一期共享密钥k i+1转发R i+1个数据包后,下一期共享密钥k i+1对应的所述下一期生命周期R i+1结束;所述减值处理即为将生命周期减去1;所述预设阈值为0。
进一步地,所述对当期共享密钥的分发不依赖于第三方实体。
进一步地,所述哈希函数为MD5或SHA-256。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明采用共享动态密钥周期管理机制,会不定期地更换动态密钥,从而极大地提高了密钥的安全性,进而确保了跳变机制的安全性。
(2)本发明摆脱了现有的跳变同步依赖第三方实体的境况和克服了严格时间同步的局限性,实现了IP地址和端口跳变可达到每个数据包一次的速率,且不需要额外占用通信链路的带宽,同时适用于IPv4和IPv6协议,兼容性较强,也降低了系统的部署难度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于动态密钥的加密哈希跳变方法的核心流程图;
图2为本发明实施例提供的一种基于动态密钥的加密哈希跳变方法的相应系统网络架构图;
图3为本发明实施例提供的网络跳变设备对数据包进行处理的流程图;
图4为本发明实施例提供的网络跳变设备对共享密钥进行更新的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细地说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明的各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本申请的说明书、权利要求书或附图中的术语“包括”或“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备并没有限定于已列出的步骤或单元,而是可选地还可以包括没有列出的步骤或单元,或可选地还可以包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
本发明的基本思路就是采用密钥握手机制实现各期共享密钥的分发,不依赖于第三方实体。通信时发送端将当期共享密钥、通信双方的真实IP地址、端口和数据包载荷输入到转换函数以获取通信双方的跳变IP地址和端口信息,将数据包发往通信的另一端。另一端在收到数据包后,将数据包载荷、当期共享密钥及通信双方的跳变IP地址和端口信息输入转换反函数以获取通信双方的真实IP地址和端口,并将数据包发往相关应用端。通信双方进行数据传输时均对当期生命周期做减值处理,以传输数据包的数量为限,获取当期动态密钥,并基于当期动态密钥获取下一期共享密钥,进入下一轮通信。本发明采用共享动态密钥周期管理机制不定期地更换动态密钥,从而极大地提高了密钥的安全性,进而确保了跳变机制的安全性。
以下参考图1和图2对本发明的一个实施例进行详细说明,如图2所示,给定如下设备实体:
跳变网络客户端和跳变网络服务端是两个通信域,分别属于通信子网1(跳变子网1)和通信子网2(跳变子网2)。
业务应用服务器和客户端主机为通信双方的设备。
跳变设备(网络跳变设备)分别部署在两个通信域中,作为数据通信网关。
客户端主机的真实IP地址和端口分别记为sIPr、sPortr,跳变IP地址和端口分别记为sIPv、sPortv。业务应用服务器的真实IP地址和端口、跳变IP地址和端口依次分别记为dIPr、dPortr、dIPv和dPortv。
在本实施例中,一种基于动态密钥的加密哈希跳变方法具体包括如下1-9的步骤。
步骤1:跳变子网1中的网络跳变设备和跳变子网2中的网络跳变设备通过密钥握手机制实现对初始共享密钥k 0的分发。通信双方通过映射函数R=f(k)算出该共享密钥的生命周期R 0,即通信双方可以基于该共享密钥发送R 0个数据包,R 0为应用层计数器,不考虑网络重传。
共享密钥k在整个跳变过程中起着很关键的作用,其安全性非常重要。若共享密钥k长时间不更新,则会存在较高的安全风险。为防止攻击者通过长期跟踪和分析数据包来破解共享密钥k,需要定期更换共享密钥k。本方案采用生命周期管理策略来实施共享密钥的管理和维护。
在系统接入网络初期,通信双方根据密钥握手机制实现共享密钥的分发。共享密钥的分发不依赖于第三方实体。共享密钥分发模块既可以是网络跳变设备中的一个功能模块,也可以是一个独立部署的功能实体。
通过映射函数f(k)赋予每个共享密钥一个动态生命周期。
R=f(k)
已知初始的共享密钥k 0,可以通过映射函数f(k),获得一个随机数R 0,R 0为该初始的共享密钥k 0的生命周期。例如,设R的取值范围为10~100,共享密钥k 0确定后,则R 0为10~100之间的一个确定值。利用共享密钥k 0转发R 0个数据包后,共享密钥k 0的生命周期结束。通信双方通过动态密钥生成机制获得新的共享密钥k 1,继续进行数据包的转发,直至共享密钥k 1的生命周期结束,以此类推。
共享密钥生命周期R的取值范围决定了其抗攻击的强度。R的取值范围越小,其能抗的攻击强度越高,但是其对称密钥生成的代价也越大。R的取值范围可以通过映射函数来确定。通信双方不需要时钟同步,由于映射函数是双方共知的,依赖于上一周期共享密钥k i-1和使用动态密钥生成算法就可实现当期共享密钥k i的分发。
步骤2:跳变子网1的客户端向跳变子网2的服务端发送请求,客户端将数据包发送至本跳变子网1中的网络跳变设备,该网络跳变设备根据其初始共享密钥k 0和数据包载荷M作为输入值,通过哈希函数H()得到消息摘要值Digest。
Digest=H(k 0,M)(1)
步骤3:根据请求消息的客户端(发送端)真实IP地址sIPr和端口sPortr、业务应用服务器(接收端)的真实IP地址dIPr和端口dPortr利用公式(2)的转换函数Map()计算出发送端跳变的IP地址sIPv和端口sPortv、接收端跳变的IP地址dIPv和端口dPortv。
V h= Map(Digest,V r)(2)
V r=(sIPr,sPortr,dIPr,dPortr)为客户端和服务器真实的IP址和端口所组成的向量,V h=(sIPv,sPortv,dIPv,dPortv)为客户端和服务器跳变的IP址和端口所组成的向量。
跳变子网1的网络跳变设备将数据包的IP地址和端口更换为跳变的IP地址和端口后,将数据包发送给本跳变子网1的核心交换机。
步骤4:将当期生命周期做减值处理,本实施例将初始共享密钥k 0的生命周期R 0减1。当当期生命周期减值至预设阈值时,本实施例将预设阈值设置为0,即当R 0减至0时,通信双方启动动态密钥生成算法,以当前周期内指定的有效数据包的载荷数据构建数据集,使用哈希函数对集合内容进行哈希运算,生成相应的动态密钥D s,再与初始共享密钥𝑘0运算后,得到新的下一期共享密钥k 1,待数据包请求到达时,便启用k 1,并使用f(k 1)重置R得到R 1。网络跳变设备对共享密钥进行更新的流程参考图4。
本实施例以特定有效数据包的数量R为生命周期,例如,令R=50,在通信进入下一个周期前,通信双方以当前周期内指定的有效数据包的载荷数据构建数据集,使用哈希函数对集合内容进行哈希运算,令集合存储的数据序列为D r,生成动态密钥D s的公式如下:
D s=H(D r)
H()为哈希函数,可为MD5或SHA-256但不限于此,发送端和接收端均使用上述公式计算动态密钥,D s的长度与初始密钥的长度一样均为n个字节。该集合的长度或采集的数据包的数量大小根据实际需求来确定。
为了让两个端点对密钥都进行一次更新,让双方持有相同的密钥,需要同步产生动态密钥,但本实施例并不要求发送端和接收端在同一时刻更新密钥,只需要双方约定传输相同数量的有效数据包后更新密钥即可,对时间同步的要求较低。
动态密钥的生成即为每隔一段时间,使用动态密钥对共享密钥进行一次更新生成新的共享密钥,共享密钥随着数据传输的进行而不断变化。假设通信双方的初始共享密钥为𝑘0,第一次产生的动态密钥为D s0,可直接采用异或的方式对共享密钥进行操作,如下式:
同理,第i次更新后的共享密钥为:
,i≥1
由以上公式可以看出,任意时刻通信双方使用的共享密钥,由通信双方的前期共享密钥和前期产生的所有动态密钥信息来共同决定。理论上,如果他人不能获得全部的动态密钥,那么就无法跟上合法用户的共享密钥更新的步伐。
步骤5:数据包通过数据传输网络转发给跳变子网2中的核心交换机和服务端网络跳变设备。
步骤6:跳变子网2的网络跳变设备接收数据包,提取接收到的数据包载荷,并以该数据包载荷和共享密钥k 0作为输入值,使用公式(1)计算出消息摘要值Digest。
步骤7:跳变子网2的网络跳变设备以数据包的发送端的跳变IP地址sIPv和端口sPortv、接收端跳变IP地址dIPv和端口dPortv、以及消息摘要值Digest作为输入值,使用公式(3),即公式(2)的逆函数或反函数来计算出发送端真实的IP地址sIPr和端口sPortr、接收端真实的IP地址dIPr和端口dPortr。
V r= Map′(Digest,V h) (3)
步骤8:跳变子网2的网络跳变设备以数据包真实的IP地址和端口代替跳变IP地址和端口,并将数据包转发给相关应用的服务器(即应用端)。
网络跳变设备对数据包进行处理的流程参考图3,若网络跳变设备收到的数据包来自内网设备或系统,则需要将数据包的IP地址和端口转换成跳变IP地址和端口,然后发往外网。当网络跳变设备收到的数据包来自外部网络设备或系统时,则先使用映射算法将IP地址和端口转换成真实的IP地址和端口,然后判断是否为内网合法用户设备或系统的IP地址和端口。如果合法,则将数据包的IP地址和端口替换成真实的IP地址和端口,并将数据包转发给相应的用户,否则丢弃数据包。
步骤9:初始共享密钥k 0的生命周期R 0减1。当R 0等于0时,执行步骤4来更新共享密钥,并重置R,进入下一轮通信周期,以此类推。
需要说明的是,附图中的流程图或框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。还要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别的,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,所有这些组合和/或结合均落入本公开的范围。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (9)
1.一种基于动态密钥的加密哈希跳变方法,其特征在于,包括步骤:
通过密钥握手机制在不同跳变子网的跳变设备间实现对当期共享密钥的分发,并基于映射函数获取所述当期共享密钥对应的当期生命周期;
基于所述当期共享密钥、数据包载荷和真实IP地址-端口组合向量,通过转换函数得到跳变IP地址-端口组合向量;基于所述跳变IP地址-端口组合向量转发数据包至服务端并将所述当期生命周期做减值处理;
接收所述数据包并提取所述数据包载荷,结合所述当期共享密钥和所述跳变IP地址-端口组合向量,通过转换反函数得到所述真实IP地址-端口组合向量;基于所述真实IP地址-端口组合向量转发所述数据包至应用端并将所述当期生命周期做减值处理;
判断所述当期生命周期减值至预设阈值,基于所述当期生命周期的数据包载荷数据集,通过哈希函数以获取当期动态密钥;基于所述当期动态密钥和所述当期共享密钥以获取下一期共享密钥;基于所述下一期共享密钥通过所述映射函数获取所述下一期共享密钥对应的下一期生命周期,并进入下一轮通信周期。
2.如权利要求1所述的基于动态密钥的加密哈希跳变方法,其特征在于,所述基于所述当期共享密钥、数据包载荷和真实IP地址-端口组合向量,通过转换函数得到跳变IP地址-端口组合向量具体包括:
将所述当期共享密钥和所述数据包载荷作为输入值,通过哈希函数以获取消息摘要值;
将所述消息摘要值和所述真实IP地址-端口组合向量作为输入值,通过转换函数得到跳变IP地址-端口组合向量。
3.如权利要求2所述的基于动态密钥的加密哈希跳变方法,其特征在于,所述接收所述数据包并提取所述数据包载荷,结合所述当期共享密钥和所述跳变IP地址-端口组合向量,通过转换反函数得到所述真实IP地址-端口组合向量具体包括:
将所述当期共享密钥和所述数据包载荷作为输入值,通过哈希函数以获取所述消息摘要值;
将所述消息摘要值和所述跳变IP地址-端口组合向量作为输入值,通过所述转换函数的反函数得到所述真实IP地址-端口组合向量。
4.如权利要求2或3所述的基于动态密钥的加密哈希跳变方法,其特征在于,所述真实IP地址-端口组合向量包括发送端的真实IP地址和端口以及接收端的真实IP地址和端口;所述跳变IP地址-端口组合向量包括发送端的跳变IP地址和端口以及接收端的跳变IP地址和端口。
5.如权利要求1所述的基于动态密钥的加密哈希跳变方法,其特征在于,所述基于所述当期动态密钥和所述当期共享密钥以获取下一期共享密钥的公式具体为:
其中,为所述当期共享密钥,/>为所述当期动态密钥,/>为异或运算符,/>为所述下一期共享密钥。
6.如权利要求5所述的基于动态密钥的加密哈希跳变方法,其特征在于,所述基于所述下一期共享密钥通过所述映射函数获取所述下一期共享密钥对应的下一期生命周期的公式具体为:
R i+1 = f(k i+1)
其中,k i+1为所述下一期共享密钥,f(x)为所述映射函数,R i+1为所述下一期共享密钥对应的所述下一期生命周期。
7.如权利要求6所述的基于动态密钥的加密哈希跳变方法,其特征在于,利用下一期共享密钥k i+1转发R i+1个数据包后,下一期共享密钥k i+1对应的所述下一期生命周期R i+1结束;所述减值处理即为将生命周期减去1;所述预设阈值为0。
8.如权利要求1所述的基于动态密钥的加密哈希跳变方法,其特征在于,所述对当期共享密钥的分发不依赖于第三方实体。
9.如权利要求1所述的基于动态密钥的加密哈希跳变方法,其特征在于,所述哈希函数为MD5或SHA-256。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211033648.XA CN115426116B (zh) | 2022-08-26 | 2022-08-26 | 一种基于动态密钥的加密哈希跳变方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211033648.XA CN115426116B (zh) | 2022-08-26 | 2022-08-26 | 一种基于动态密钥的加密哈希跳变方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115426116A CN115426116A (zh) | 2022-12-02 |
| CN115426116B true CN115426116B (zh) | 2024-05-03 |
Family
ID=84200099
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211033648.XA Active CN115426116B (zh) | 2022-08-26 | 2022-08-26 | 一种基于动态密钥的加密哈希跳变方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115426116B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170111809A (ko) * | 2016-03-29 | 2017-10-12 | 주식회사 케이티 | 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법 |
| CN111224775A (zh) * | 2019-05-20 | 2020-06-02 | 武汉量子风暴信息科技有限公司 | 一种安全通信方法、一种安全通信系统及通信终端地址跳变图案生成方法 |
| CN111865593A (zh) * | 2020-09-22 | 2020-10-30 | 中国人民解放军国防科技大学 | 一种基于混合密钥的节点群密钥的预分配方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7373507B2 (en) * | 2000-08-10 | 2008-05-13 | Plethora Technology, Inc. | System and method for establishing secure communication |
| KR20210066640A (ko) * | 2019-11-28 | 2021-06-07 | 한국전자통신연구원 | 비밀분산 인증 시스템 및 방법 |
-
2022
- 2022-08-26 CN CN202211033648.XA patent/CN115426116B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170111809A (ko) * | 2016-03-29 | 2017-10-12 | 주식회사 케이티 | 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법 |
| CN111224775A (zh) * | 2019-05-20 | 2020-06-02 | 武汉量子风暴信息科技有限公司 | 一种安全通信方法、一种安全通信系统及通信终端地址跳变图案生成方法 |
| CN111865593A (zh) * | 2020-09-22 | 2020-10-30 | 中国人民解放军国防科技大学 | 一种基于混合密钥的节点群密钥的预分配方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| Enhanced Selective Encryption method for Bigdata Sensing Stream using one way Hash Chain Algorithm;S.Nagaraj;《2020 2nd International Conference on Advances in Computing, Communication Control and Networking (ICACCCN)》;20210301;全文 * |
| 基于动态密钥管理的改进LEACH路由算法;刘伟;《信息网络安全》;20150810(第8期);全文 * |
| 无线网络的攻击技术与安全防护研究;孙士潮;;电子技术应用;20070506(05);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115426116A (zh) | 2022-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8837729B2 (en) | Method and apparatus for ensuring privacy in communications between parties | |
| Bruschi et al. | S-ARP: a secure address resolution protocol | |
| US8966270B2 (en) | Methods and systems for providing controlled access to the internet | |
| US20060182124A1 (en) | Cipher Key Exchange Methodology | |
| US8788705B2 (en) | Methods and apparatus for secure routing of data packets | |
| Rothenberg et al. | Self-routing denial-of-service resistant capabilities using in-packet Bloom filters | |
| Luo et al. | A keyed-hashing based self-synchronization mechanism for port address hopping communication | |
| Annessi et al. | It's about time: Securing broadcast time synchronization with data origin authentication | |
| Wang et al. | T-IP: A self-trustworthy and secure Internet protocol | |
| Ansa et al. | A DOS-resilient design for delay tolerant networks | |
| Noura et al. | Novel one round message authentication scheme for constrained IoT devices | |
| CN115426116B (zh) | 一种基于动态密钥的加密哈希跳变方法 | |
| Alzahrani et al. | Key management in information centric networking | |
| Arslan et al. | Security issues and performance study of key management techniques over satellite links | |
| Stebila | Security analysis of the iMessage PQ3 protocol | |
| Arkko et al. | Enhancing privacy with shared pseudo random sequences | |
| Schridde et al. | TrueIP: prevention of IP spoofing attacks using identity-based cryptography | |
| Hong et al. | SEAL: Secure and Efficient Authentication using Linkage for Blockchain Networks | |
| Misic et al. | Performance implications of periodic key exchanges and packet integrity overhead in an 802.15. 4 beacon enabled cluster | |
| Raheem et al. | A secure authentication protocol for IP-based wireless sensor communications using the Location/ID Split Protocol (LISP) | |
| Narayanan et al. | TLS cipher suite: Secure communication of 6LoWPAN devices | |
| Rajendran et al. | Secure anonymous routing in ad hoc networks | |
| Ansa et al. | A proactive DOS filter mechanism for delay tolerant networks | |
| CN113973300B (zh) | 基于双线性对的无线传感器网络匿名通信方法及装置 | |
| Liu et al. | Normalizing traffic pattern with anonymity for mission critical applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |