CN115529128B - 基于sd-wan的端端协商通信方法、终端设备、服务器 - Google Patents
基于sd-wan的端端协商通信方法、终端设备、服务器 Download PDFInfo
- Publication number
- CN115529128B CN115529128B CN202211164559.9A CN202211164559A CN115529128B CN 115529128 B CN115529128 B CN 115529128B CN 202211164559 A CN202211164559 A CN 202211164559A CN 115529128 B CN115529128 B CN 115529128B
- Authority
- CN
- China
- Prior art keywords
- domain
- identification information
- equipment
- managed
- intercommunication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于SD‑WAN的端端协商通信方法、终端设备、服务器。该方法包括:向密管中心发送互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息;接收密管中心反馈的与互通域获取请求相对应的互通域,并使用与设备标识信息相对应的对称密钥,获得解密后的互通域,其中,互通域存储有与各被管设备相对应的公钥;基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信。通过实施本发明,被管设备通过向密管中心发送互通域请求,获得互通域,并基于互通域中的公钥实现SD‑WAN中的被管设备与被管设备间的协商通信,实现端端协商通信的批量认证,从而降低端端协商通信密钥管理的复杂程度。
Description
技术领域
本发明涉及设备通信领域,具体涉及一种基于SD-WAN的端端协商通信方法、终端设备、服务器。
背景技术
SD-WAN(软件定义广域网,Software Defined Wide Area Network)是将SDN(软件定义网络,Software Defined Network)技术应用到广域网场景中所形成的一种服务,这种服务用语连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。这种服务的典型特征是将网络控制能力通过软件方式‘云化’,支持应用可感知的网络能力开放。SDN旨在帮助用户降低广域网的开支和提高网络连接灵活性。
在相关技术中,对于端到端之间互通域的管理需要配置额外的权限管理体系,并且在终端设备数量较多时,互通域的规划需要进行逐一进行适配。从而增加了端端协商通信密钥管理的复杂程度,降低了管理系统的适用性和灵活性。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中的端端协商通信密钥管理复杂程度高的缺陷,从而提供一种基于SD-WAN的端端协商通信方法、终端设备、服务器。
根据第一方面,本实施例提供一种基于SD-WAN的端端协商通信方法,应用于被管设备侧,包括:向密管中心发送互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息;接收密管中心反馈的与互通域获取请求相对应的互通域,并使用与设备标识信息相对应的对称密钥对互通域进行解密,获得解密后的互通域,其中,互通域存储有与各被管设备相对应的公钥;基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信。
可选地,基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信,包括:基于公钥进行数据加密形成密钥协商数据;以预先配置的私钥作为密钥协商数据的数字签名,基于设备标识信息,向被管设备发送密钥协商数据。
可选地,基于SD-WAN的端端协商通信方法,还包括:接收密管中心更新的对称密钥和更新的互通域;返回执行向密管中心发送互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息至基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信的步骤。
根据第二方面,本实施例提供一种基于SD-WAN的端端协商通信方法,应用于密管中心侧,包括:接收被管设备发送的互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息;选择与设备标识信息对应的对称密钥对互通域进行加密,并向被管设备发送加密后的互通域,以使被管设备执行以下过程:
接收密管中心反馈的与互通域获取请求相对应的互通域,并使用与设备标识信息相对应的对称密钥对互通域进行解密,获得解密后的互通域,其中,互通域存储有与各被管设备相对应的公钥;基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信。
可选地,选择与设备标识信息对应的对称密钥对互通域进行加密,包括:基于设备标识信息与互通域的对应关系,选择互通域;根据选择的对称密钥对选择的互通域进行加密。
可选地,基于设备标识信息与互通域的对应关系,选择互通域,包括:在所述设备标识信息对应的设备为风险设备时,删除所有互通域中与所述风险设备的设备标识信息对应的公钥。
可选地,基于SD-WAN的端端协商通信方法,还包括:在互通域发生变动时,根据与发生变动的互通域对应的设备标识信息,选择对称密钥;基于对称密钥对发生变动的互通域进行加密;基于设备标识信息,向被管设备发送加密后的变动互通域。
可选地,基于SD-WAN的端端协商通信方法,还包括:更新对称密钥;基于设备标识信息,向被管设备发送更新后的对称密钥。
根据第三方面,本实施例提供一种终端设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面任一实施方式的基于SD-WAN的端端协商通信方法。
根据第四方面,本实施例提供一种服务器,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第二方面任一实施方式的基于SD-WAN的端端协商通信方法。
根据第五方面,本实施例提供一种基于SD-WAN的端端协商通信装置,包括:互通域请求发送单元,被配置为向密管中心发送互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息。互通域解密单元,被配置为接收密管中心反馈的与互通域获取请求相对应的互通域,并使用与设备标识信息相对应的对称密钥对互通域进行解密,获得解密后的互通域,其中,互通域存储有与各被管设备相对应的公钥。协商通信单元,被配置为基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信。
根据第六方面,本实施例提供一种基于SD-WAN的端端协商通信装置,包括:互通域请求接收单元,被配置为接收被管设备发送的互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息。互通域发送单元,被配置为选择与设备标识信息对应的对称密钥对互通域进行加密,并向被管设备发送加密后的互通域。
根据第七方面,本实施例提供一种基于SD-WAN的端端协商通信系统,包括:密管中心和被管设备。被管设备,被配置为向密管中心发送互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息;密管中心,被配置为接收互通域获取请求,并选择对应对称秘钥加密互通域;密管中心,被配置为发送加密后的互通域;被管设备,被配置为接受加密后的互通域,并通过对称秘钥解密互通域;被管设备,被配置为与其他被管设备之间基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信。
本发明技术方案,具有如下优点:
本发明提供一种基于SD-WAN的端端协商通信方法、终端设备、服务器,该方法包括:向密管中心发送互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息;接收密管中心反馈的与互通域获取请求相对应的互通域,并使用与设备标识信息相对应的对称密钥对互通域进行解密,获得解密后的互通域,其中,互通域存储有与各被管设备相对应的公钥;基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信。通过实施本发明,被管设备通过向密管中心发送互通域请求,获得互通域,并基于互通域中的公钥实现SD-WAN中的被管设备与被管设备间的协商通信,从而降低端端协商通信密钥管理的复杂程度,提高端端协商通信的适用性和灵活性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于SD-WAN的端端协商通信的应用示意图;
图2为本发明实施例提供的一种基于SD-WAN的端端协商通信方法的一个具体示例的流程图;
图3为本发明实施例提供的一种基于SD-WAN的端端协商通信方法的另一个具体示例的流程图;
图4为本发明实施例提供的一种基于SD-WAN的端端协商通信装置的一个具体示例的结构示例图;
图5为本发明实施例提供的一种基于SD-WAN的端端协商通信装置的另一个具体示例的结构示例图;
图6为本发明实施例中终端设备/服务器的结构示例图;
图7为本发明实施例提供的一种基于SD-WAN的端端协商通信系统的一个交互流程示例图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
如图1所示,本实施例提供的一个基于SD-WAN的端端协商通信的应用场景,主要包括:密管中心11、被管设备121、被管设备122。密管中心11分别与被管设备121、被管设备122连通,被管设备121与被管设备122连通。
密管中心11被配置为根据接收互通域获取请求的数量,批量生成并发送与被管设备的设备标识信息相对应的互通域至对应被管设备,其中,互通域获取请求包括被管设备的设备标识信息。
被管设备121被配置为向密管中心11发送互通域获取请求;并接收密管中心11反馈的与互通域获取请求相对应的互通域,其中,互通域存储有与被管设备122相对应的公钥;基于与被管设备122相对应的公钥与被管设备122进行协商通信。
被管设备122被配置为向密管中心11发送互通域获取请求;并接收密管中心11反馈的与互通域获取请求相对应的互通域,其中,互通域存储有与被管设备121相对应的公钥;基于与被管设备121相对应的公钥与被管设备121进行协商通信。
具体地,密管中心11根据接收互通域获取请求的数量,批量生成与各被管设备的设备标识信息相对应的互通域的过程,包括:密管中心11根据在预设时间段接收的互通域获取请求的数量,确定需批量生成的互通域的数量;密管中心11基于各被管设备的设备标识信息,确定与各被管设备的设备标识信息对应的对称密钥;密管中心11基于各被管设备的设备标识信息,确定与各被管设备的设备标识信息对应的互通域;密管中心11基于上述对称密钥将上述互通域加密,并基于需批量生成的互通域的数量与加密后的互通域,发送互通域至对应被管设备。
应该理解的是,被管设备的数量包括但不限定于图1所示,为便于说明仅采用被管设备121与被管设备122进行说明。在被管设备的数量为大于两个时,通过互通域中存储的与各被管设备相对应的公钥,可以实现被管设备间的批量协商通信,即不同被管设备间的协商通信过程可根据各被管设备获得的互通域中存储的公钥,实现被管设备间的端端协商通信,并在端端协商通信的过程中密管中心无需参与,而是通过互通域实现对于端端协商通信过程的中心化管理,从而降低了端端协商通信密钥管理的复杂程度,提高端端协商通信的适用性与灵活性。
本实施例提供一种基于SD-WAN的端端协商通信方法,应用于被管设备侧,如图2所示,包括:
S201、向密管中心发送互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息。
具体地,被管设备的设备标识信息包括:被管设备的ID、被管设备的临时身份密钥。在实际应用中,各被管设备的设备标识信息是不同的,用于表征对应被管设备,从而通过设备标识信息区分各被管设备。其中,被管设备的ID是用于表征被设备信息的字符串或字符串的组合,被管设备的临时身份密钥是指用于表征被管设备临时身份的密钥对,密钥对由密管中心生成,通过注钥包发送至被管设备。在实际应用中,向密管中心发送互通域获取请求,其中互通域获取请求包括被管设备的临时身份密钥是指通过被管设备的临时身份密钥对互通域获取请求进行加密或数字签名,以使密管中心通过被管设备的临时身份密钥解密或验签对应互通域获取请求时,通过被管设备的临时身份密钥区分各被管设备。
S202、接收密管中心反馈的与互通域获取请求相对应的互通域,并使用与设备标识信息相对应的对称密钥对互通域进行解密,获得解密后的互通域,其中,互通域存储有与各被管设备相对应的公钥。
具体地,与设备标识信息相对应的对称密钥是指每个被管设备各自具有的与密管中心相同且唯一的对称密钥,即各被管设备具有的对称密钥不同。可以理解为对称密钥与各被管设备的设备标识信息存在对应关系,以使密管中心根据对称密钥,确定对应的被管设备的标识信息;或以使密管中心根据被管设备的标识信息,确定对应的对称密钥。
作为一种可选实施方式,被管设备的设备标识信息与对称密钥可以是预设在各被管设备与密管中心中的,设备标识信息与对称密钥的对应关系为预设对应关系。
作为另一种可选实施方式,在上述步骤S201之前,基于SD-WAN的端端协商通信方法,还包括:
(1)获取注钥包,其中,注钥包为密管中心基于被管设备的公钥、对称密钥、临时身份密钥生成的。
具体地,注钥包的获取过程是指密管中心基于被管设备的公钥、被临时身份密钥、对称密钥生成注钥包,并将注钥包存入密码设备,密码设备通过与被管设备的CPU连接,以使被管设备通过读取密码设备获取注钥包。其中,密码设备是一种非暂态计算机存储介质,密码设备被配置为存储上述注钥包。
具体地,注钥包的获取过程也可以是被管设备通过被管设备与密管中心的对应通信连接获取的。
(2)解析注钥包,获得被管设备的临时身份密钥与对称密钥。
具体地,解析注钥包,获得被管设备的临时身份密钥是指被管设备通过被管设备的私钥,对注钥包进行解密,获得对称密钥;基于对称密钥对注钥包进行解密,获得被管设备的临时身份密钥。
在实际应用中,通过非对称密钥的私钥解密非对称密钥的公钥加密的数据,与通过对称密钥进行加、解密属于较为成熟的技术,不再进行赘述。
通过实施本发明实施例,基于对注钥包的解析获得被管设备的设备标识信息,及与设备标识信息相对应的对称密钥,并且由于各被管设备的设备标识信息间、以及各被管设备的对称密钥间是不同的,从而各被管设备的设备标识信息与对称密钥是唯一的,即针对每个被管设备存在设备标识信息与对称密钥的对应关系,为后续实现被管设备间的短短通信提供数据基础。
S203、基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信。
具体地,基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信是指被管设备根据互通域中的公钥与设备标识信息的预设对应关系,确定可以与被管设备进行协商通信的其他被管设备,并通过公钥与上述其他被管设备进行协商通信。
具体地,被管设备间的端端协商通信可以是密码协商通信。被管设备间的端端协商通信可以是进行ike(因特网密钥交换,Internet key exchange)协商。
在实际应用中,解密后的互通域中的公钥作为相关技术中ike协商过程中的需要通过DH算法(密钥交换算法,Diffie-Hellman key exchange)计算的共享密钥,参与被管设备间的ike协商过程。ike协商过程属于较为成熟的技术,在此不再进行赘述。
本发明实施例供了一种基于SD-WAN的端端协商通信方法、终端设备、服务器,应用与被管设备侧的基于SD-WAN的端端协商通信方法,包括:向密管中心发送互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息;接收密管中心反馈的与互通域获取请求相对应的互通域,并使用与设备标识信息相对应的对称密钥对互通域进行解密,获得解密后的互通域,其中,互通域存储有与各被管设备相对应的公钥;基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信。通过实施本发明,被管设备通过向密管中心发送互通域请求,获得互通域,并基于互通域中的公钥实现SD-WAN中的被管设备与被管设备间的协商通信,从而降低端端协商通信密钥管理的复杂程度,提高端端协商通信的适用性和灵活性。
在一个可选实施例中,在上述步骤S203中,基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信的过程,具体包括:
(1)基于公钥进行数据加密形成密钥协商数据。
具体地,基于公钥进行数据加密形成密钥协商数据是指将公钥作为共享密钥进行数据加密,形成密钥协商数据。
在实际应用中,公钥作为相关技术中ike协商过程中的需要通过DH算法计算的共享密钥,参与被管设备间的ike协商过程。
(2)以预先配置的私钥作为密钥协商数据的数字签名,基于设备标识信息,向被管设备发送密钥协商数据。
具体地,预先配置的私钥是指被存储在互通域中的与被管设备相对应的公钥相对应的私钥。在实际应用中,被管设备可以通过需进行协商通信的其他被管设备对应公钥,解开上述其他被管设备的数字签名,从而完成验签。
在一个可选实施例中,基于SD-WAN的端端协商通信方法,还包括:接收密管中心更新的对称密钥和更新的互通域。
在实际应用中,被管设备接收密管中心更新的对称密钥和更新的互通域,并基于更新后的对称密钥解密更新的互通域,从而通过解密更新后的互通域获得公钥,以实现被管设备间的端端协商通信。
通过实施本实施例,以获得的互通域作为端端协商通信中的共享密钥,减少了协商通信中计算共享密钥的步骤,从而降低端端协商通信密钥管理的复杂程度。并通过预先配置的私钥作为数字签名,从而使得与被管设备进行协商通信的其他被管设备可以通过互通域中的公钥进行验签,实现被管设备间的端端协商通信,并在端端协商通信的过程中密管中心无需参与,而是通过更新互通域和对称密钥的方式实现对于端端协商通信过程的中心化管理,从而降低了端端协商通信密钥管理的复杂程度,提高端端协商通信的适用性和灵活性。
本实施例提供一种基于SD-WAN的端端协商通信方法,应用于被管设备侧,如图3所示,包括:
S301、接收被管设备发送的互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息。
S302、选择与设备标识信息对应的对称密钥对互通域进行加密,并向被管设备发送加密后的互通域。
具体地,与设备标识信息相对应的对称密钥是指每个被管设备具有与密管中心相同且唯一的对称密钥对,即密管中心存储有与各被管设备相对应的对称密钥。可以理解为对称密钥与各被管设备的设备标识信息存在对应关系,以使密管中心根据对称密钥,确定对应的被管设备的标识信息;或以使密管中心根据被管设备的标识信息,确定对应的对称密钥。
作为一种可选实施方式,被管设备的设备标识信息与对称密钥可以是预设在各被管设备与密管中心中的,设备标识信息与对称密钥的对应关系为预设对应关系。
作为另一种可选实施方式,在上述步骤S301之前,基于SD-WAN的端端协商通信方法,还包括:
(1)生成分别对应各被管设备的临时身份密钥对及对称密钥。
在实际应用中,生成对称密钥或生成非对称密钥属于较为成熟的技术,不再进行赘述。
在实际应用中,生成分别对应各被管设备的临时身份密钥对及对称密钥是指针对各被管设备,分别生成与各被管设备对应的临时身份密钥及对称密钥。设备标识信息的生成是指被管设备的ID的生成,或被管设备的临时身份密钥的生成。被管设备的ID的生成是指表征被设备信息的字符串或字符串的组合的生成,属于较为成熟的技术。被管设备的临时身份密钥的生成是指表征被管设备临时身份的密钥对的生成,同样属于较为成熟的技术,不再进行赘述。
(2)基于预设的各被管设备的公钥、与被管设备对应的临时身份密钥与对称密钥,生成注钥包并发送注钥包至对应被管设备。
具体地,基于预设的各被管设备的公钥、与被管设备对应的临时身份密钥与对称密钥,生成注钥包,包括:基于预设的各被管设备的公钥,对对应的对称密钥进行加密,形成第一加密数据;基于对应的对称密钥,将对应的临时身份密钥的私钥进行加密,形成第二加密数据;基于第一加密数据、第二加密数据、临时身份密钥的公钥,形成注钥包。
在实际应用中,密管中心生成的注钥包存储在密码设备中,通过密码设备与被管设备的CPU连接,以使被管设备获取注钥包。
在实际应用中,密管中心生成的注钥包通过密管系统与对应被管设备的通信连接发送至对应被管设备。
通过实施本发明实施例,由于各被管设备的设备标识信息间、以及对称密钥间是不同的,从而各被管设备的设备标识信息与对称密钥是唯一的,进而通过被管设备的设备标识信息、对称密钥与被管设备的公钥生成注钥包,以使被管设备获得设备标识信息与对称密钥,为后续实现被管设备间的短短通信提供数据基础。
在实际应用中,密管中心向被管设备发送加密后的互通域后,被管设备执行上述实施例中由接收密管中心反馈的与互通域获取请求相对应的互通域,并使用与设备标识信息相对应的对称密钥对互通域进行解密,获得解密后的互通域;基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信的相关步骤。具体过程可参见上述实施例中关于步骤S202、S203的相关描述,在此不再赘述。
通过实施本实施例,密管中心在接收互通域获取请求后,通过与设备标识信息对应的对称密钥对互通域进行加密,并发送加密后的互通域至对应被管设备,以使被管设备基于互通域中的公钥实现端端协商通信,在端端协商通信的过程中密管中心无需参与,而是通过互通域实现对于端端协商通信过程的中心化管理,从而降低端端协商通信密钥管理的复杂程度,提高端端协商通信的适用性和灵活性。
在一个可选实施例中,上述步骤S302中,选择与设备标识信息对应的对称密钥对互通域进行加密的过程,具体包括:
(1)基于设备标识信息与互通域的对应关系,选择互通域。
具体地,设备标识信息与互通域的对应关系是指基于设备标识信息,确定与设备标识信息表征的设备对应的业务,根据业务与互通域的对应关系选择互通域。
在实际应用中,基于设备标识信息,确定与设备标识信息表征的设备对应的业务可以是财务业务、资产管理业务或其他业务,如根据财务业务与互通域的对应关系,选择与财务业务对应的互通域,以使相应被管设备在接收并解密对应互通域后,可以与财务业务相对应的被管设备实现端端协商通信。
(2)根据选择的对称密钥对选择的互通域进行加密。
在实际应用中,利用对称密钥对互通域进行加密属于较为成熟的技术,在此不再进行赘述。
在一个可选实施例中,上述步骤中,基于设备标识信息与互通域的对应关系,选择互通域的过程,具体包括:
在设备标识信息对应的设备为风险设备时,删除所有互通域中与风险设备的设备标识信息对应的公钥;
具体地,风险设备是指非法接入或者存在数据泄露风险的设备。风险设备的判定可以是由第三方进行判断,密管中心获得风险设备列表后,根据风险设备列表确定设备;或在被管设备的可进行通信的设备中包括不依靠互通域中存储的公钥进行通信的设备时,则认为对应被管设备为风险设备。
在实际应用中,密管中心通过删除所有互通域中与风险设备的设备标识信息相对应的公钥,以使所有被管设备获得的互通域中没有与风险设备相对应的公钥,从而也就无法与风险设备进行端端协商通信。
在一个可选实施例中,基于SD-WAN的端端协商通信方法,还包括:
(1)在互通域发生变动时,根据与发生变动的互通域对应的设备标识信息,选择对称密钥。
具体地,发生变动的互通域是指删除了与风险设备的设备标识信息对应的公钥的互通域。
具体地,根据与发生变动的互通域对应的设备标识信息,选择对称密钥是指根据互通域与设备标识信息的对应关系,确定设备标识信息,再根据设备标识信息与对称密钥的对应关系,选择对称密钥。
(2)基于对称密钥对发生变动的互通域进行加密。
在实际应用中,基于对称密钥进行加密属于较为成熟的技术,再次不再赘述。
(3)基于设备标识信息,向被管设备发送加密后的变动互通域。
通过实施本实施例,密管中心通过删除所有互通域中与风险设备的设备标识信息对应的公钥,并将变动后的互通域再次进行加密下发,使得所有被管设备获得的互通域中没有与风险设备相对应的公钥,从而也就无法与风险设备进行端端协商通信。从而通过对互通域的控制实现对于端端协商通信过程的中心化管理,降低了端端协商通信密钥管理的复杂程度,提高端端协商通信的适用性和灵活性。
在一个可选实施例中,基于SD-WAN的端端协商通信方法,还包括:
(1)更新对称密钥。
具体地,对称密钥的更新可以是以预设时间间隔进行更新时,更新对称密钥。
在实际应用中,预设时间间隔可以是六小时、一天、一周或其他时间,可根据实际工况进行设定,本申请对此不作具体限定。
(2)基于设备标识信息,向被管设备发送更新后的对称密钥。
在实际应用中,密管中心在更新并下发更新后的对称密钥后,抛弃原有对称密钥,从而保证对称密钥的时效性。
本发明一个实施例提供一种基于SD-WAN的端端协商通信装置,如图4所示,包括互通域请求发送单元41、互通域解密单元42、协商通信单元43。
互通域请求发送单元41,被配置为向密管中心发送互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息。具体过程可参见上述实施例中关于步骤S201的相关描述,在此不再赘述。
互通域解密单元42,被配置为接收密管中心反馈的与互通域获取请求相对应的互通域,并使用与设备标识信息相对应的对称密钥对互通域进行解密,获得解密后的互通域,其中,互通域存储有与各被管设备相对应的公钥。具体过程可参见上述实施例中关于步骤S202的相关描述,在此不再赘述。
协商通信单元43,被配置为基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信。具体过程可参见上述实施例中关于步骤S203的相关描述,在此不再赘述。
本发明一个实施例提供一种基于SD-WAN的端端协商通信装置,如图5所示,包括互通域请求接收单元51、互通域发送单元52。
互通域请求接收单元51,被配置为接收被管设备发送的互通域获取请求,其中互通域获取请求包括被管设备的设备标识信息。具体过程可参见上述实施例中关于步骤S301的相关描述,在此不再赘述。
互通域发送单元52,被配置为选择与设备标识信息对应的对称密钥对互通域进行加密,并向被管设备发送加密后的互通域。具体过程可参见上述实施例中关于步骤S302的相关描述,在此不再赘述。
本发明一个实施例还提供一种终端设备或服务器,如图6所示,该终端设备或服务器可以包括至少一个处理器61、至少一个通信接口62、至少一个通信总线63和至少一个存储器64,其中,通信接口62可以包括显示屏(Display)、键盘(Keyboard),可选通信接口62还可以包括标准的有线接口、无线接口。存储器64可以是高速RAM存储器(Random AccessMemory,易挥发性随机存取存储器),也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器64可选的还可以是至少一个位于远离前述处理器61的存储装置。其中处理器61可以结合图4或图5所描述的装置,存储器64中存储应用程序,且处理器61调用存储器64中存储的程序代码,以用于执行上述任意方法实施例所述的基于SD-WAN的端端协商通信方法的步骤。
其中,通信总线63可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。通信总线63可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器64可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard diskdrive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器64还可以包括上述种类的存储器的组合。
其中,处理器61可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
其中,处理器61还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic arraylogic,缩写:GAL)或其任意组合。
可选地,存储器64还用于存储程序指令。处理器61可以调用程序指令,实现本发明任一实施例中所述的基于SD-WAN的端端协商通信方法。
本发明一个实施例还提供一种基于SD-WAN的端端协商通信系统,如图7所示,包括:密管中心11、被管设备121、被管设备122。
具体地,密管中心11,被管设备121、被管设备122的交互过程包括:
S701、被管设备121发送互通域获取请求。具体过程可参见上述实施例中关于被管设备侧的相关描述,在此不再赘述。
S702、密管中心11接收互通域获取请求,并选择对应对称秘钥加密互通域。具体过程可参见上述实施例中关于密管中心侧的相关描述,在此不再赘述。
S703、密管中心11发送加密后的互通域。具体过程可参见上述实施例中关于密管中心侧的相关描述,在此不再赘述。
S704、被管设备121接收加密后的互通域,并通过对称秘钥解密互通域。具体过程可参见上述实施例中关于被管设备侧的相关描述,在此不再赘述。
应该理解的是,被管设备122同样需要执行步骤S701至步骤S704,且原理相同,不再进行赘述。
S705、被管设备121与被管设备122之间基于解密后的互通域中的公钥与设备标识信息的对应关系,与公钥对应的被管设备进行协商通信。具体过程可参见上述实施例中关于被管设备侧的相关描述,在此不再赘述。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (10)
1.一种基于SD-WAN的端端协商通信方法,应用于被管设备侧,其特征在于,包括:
向密管中心发送互通域获取请求,其中所述互通域获取请求包括所述被管设备的设备标识信息;
接收所述密管中心反馈的与所述互通域获取请求相对应的互通域,并使用与所述设备标识信息相对应的对称密钥对所述互通域进行解密,获得解密后的互通域,其中,所述互通域存储有与各被管设备相对应的公钥;所述密管中心基于各被管设备的设备标识信息,确定与各被管设备的设备标识信息对应的对称密钥,每个被管设备各自具有与密管中心相同且唯一的对称密钥,所述对称密钥与各被管设备的设备标识信息存在对应关系,以使所述密管中心根据所述对称密钥,确定对应的被管设备的标识信息;或以使密管中心根据所述被管设备的标识信息,确定对应的对称密钥;
基于所述解密后的互通域中的公钥与所述设备标识信息的对应关系,与所述公钥对应的被管设备进行协商通信。
2.根据权利要求1所述的基于SD-WAN的端端协商通信方法,其特征在于,所述基于所述解密后的互通域中的公钥与设备标识信息的对应关系,与所述公钥对应的被管设备进行协商通信,包括:
基于所述公钥进行数据加密形成密钥协商数据;
以预先配置的私钥作为所述密钥协商数据的数字签名,基于所述设备标识信息,向所述被管设备发送所述密钥协商数据。
3.根据权利要求1所述的基于SD-WAN的端端协商通信方法,其特征在于,还包括:
接收所述密管中心更新的对称密钥和更新的互通域;
返回执行所述向密管中心发送互通域获取请求,其中所述互通域获取请求包括所述被管设备的设备标识信息至所述基于所述解密后的互通域中的公钥与所述设备标识信息的对应关系,与所述公钥对应的被管设备进行协商通信的步骤。
4.一种基于SD-WAN的端端协商通信方法,应用于密管中心侧,其特征在于,包括:
接收被管设备发送的互通域获取请求,其中所述互通域获取请求包括所述被管设备的设备标识信息;
选择与所述设备标识信息对应的对称密钥对互通域进行加密,并向所述被管设备发送加密后的互通域,以使所述被管设备执行以下过程:
接收所述密管中心反馈的与所述互通域获取请求相对应的互通域,并使用与所述设备标识信息相对应的对称密钥对所述互通域进行解密,获得解密后的互通域,其中,所述互通域存储有与各被管设备相对应的公钥;所述密管中心基于各被管设备的设备标识信息,确定与各被管设备的设备标识信息对应的对称密钥,每个被管设备各自具有与密管中心相同且唯一的对称密钥,所述对称密钥与各被管设备的设备标识信息存在对应关系,以使所述密管中心根据所述对称密钥,确定对应的被管设备的标识信息;或以使密管中心根据所述被管设备的标识信息,确定对应的对称密钥;
基于所述解密后的互通域中的公钥与所述设备标识信息的对应关系,与所述公钥对应的被管设备进行协商通信。
5.根据权利要求4所述的基于SD-WAN的端端协商通信方法,其特征在于,所述选择与所述设备标识信息对应的对称密钥对互通域进行加密,包括:
基于所述设备标识信息与所述互通域的对应关系,选择互通域;
根据选择的对称密钥对选择的互通域进行加密。
6.根据权利要求5所述的基于SD-WAN的端端协商通信方法,其特征在于,所述基于所述设备标识信息与所述互通域的对应关系,选择互通域,包括:
在所述设备标识信息对应的设备为风险设备时,删除所有互通域中与所述风险设备的设备标识信息对应的公钥。
7.根据权利要求6所述的基于SD-WAN的端端协商通信方法,其特征在于,所述方法还包括:
在所述互通域发生变动时,根据与发生变动的互通域对应的所述设备标识信息,选择对称密钥;
基于所述对称密钥对发生变动的互通域进行加密;
基于所述设备标识信息,向所述被管设备发送加密后的变动互通域。
8.根据权利要求4-7中任一项所述的基于SD-WAN的端端协商通信方法,其特征在于,所述方法还包括:
更新所述对称密钥;
基于所述设备标识信息,向所述被管设备发送更新后的对称密钥。
9.一种终端设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-3中任一项所述的基于SD-WAN的端端协商通信方法。
10.一种服务器,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求4-8中任一项所述的基于SD-WAN的端端协商通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211164559.9A CN115529128B (zh) | 2022-09-23 | 2022-09-23 | 基于sd-wan的端端协商通信方法、终端设备、服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211164559.9A CN115529128B (zh) | 2022-09-23 | 2022-09-23 | 基于sd-wan的端端协商通信方法、终端设备、服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115529128A CN115529128A (zh) | 2022-12-27 |
| CN115529128B true CN115529128B (zh) | 2023-09-29 |
Family
ID=84699596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211164559.9A Active CN115529128B (zh) | 2022-09-23 | 2022-09-23 | 基于sd-wan的端端协商通信方法、终端设备、服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115529128B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
| CN104955031A (zh) * | 2015-04-27 | 2015-09-30 | 小米科技有限责任公司 | 信息传输方法及装置 |
| CN106209369A (zh) * | 2016-07-01 | 2016-12-07 | 中国人民解放军国防科学技术大学 | 基于身份密码系统的单交互认证密钥协商协议 |
| CN108833101A (zh) * | 2018-09-28 | 2018-11-16 | 腾讯科技(深圳)有限公司 | 物联网设备的数据传输方法、物联网设备及认证平台 |
| CN112104453A (zh) * | 2020-08-06 | 2020-12-18 | 如般量子科技有限公司 | 一种基于数字证书的抗量子计算数字签名系统及签名方法 |
| WO2020252611A1 (zh) * | 2019-06-17 | 2020-12-24 | 华为技术有限公司 | 一种数据交互方法及相关设备 |
| CN112865957A (zh) * | 2019-11-28 | 2021-05-28 | 南昌欧菲生物识别技术有限公司 | 数据加密传输方法、装置、计算机目标设备和存储介质 |
| CN113346993A (zh) * | 2021-06-09 | 2021-09-03 | 郑州轻工业大学 | 一种基于隐私保护的分层动态群组密钥协商方法 |
| CN113489585A (zh) * | 2021-07-02 | 2021-10-08 | 北京明朝万达科技股份有限公司 | 终端设备的身份认证方法、系统、存储介质、电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4333392A3 (en) * | 2018-10-19 | 2024-05-29 | Huawei Technologies Co., Ltd. | Secure sd-wan port information distribution |
-
2022
- 2022-09-23 CN CN202211164559.9A patent/CN115529128B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
| CN104955031A (zh) * | 2015-04-27 | 2015-09-30 | 小米科技有限责任公司 | 信息传输方法及装置 |
| CN106209369A (zh) * | 2016-07-01 | 2016-12-07 | 中国人民解放军国防科学技术大学 | 基于身份密码系统的单交互认证密钥协商协议 |
| CN108833101A (zh) * | 2018-09-28 | 2018-11-16 | 腾讯科技(深圳)有限公司 | 物联网设备的数据传输方法、物联网设备及认证平台 |
| WO2020252611A1 (zh) * | 2019-06-17 | 2020-12-24 | 华为技术有限公司 | 一种数据交互方法及相关设备 |
| CN112865957A (zh) * | 2019-11-28 | 2021-05-28 | 南昌欧菲生物识别技术有限公司 | 数据加密传输方法、装置、计算机目标设备和存储介质 |
| CN112104453A (zh) * | 2020-08-06 | 2020-12-18 | 如般量子科技有限公司 | 一种基于数字证书的抗量子计算数字签名系统及签名方法 |
| CN113346993A (zh) * | 2021-06-09 | 2021-09-03 | 郑州轻工业大学 | 一种基于隐私保护的分层动态群组密钥协商方法 |
| CN113489585A (zh) * | 2021-07-02 | 2021-10-08 | 北京明朝万达科技股份有限公司 | 终端设备的身份认证方法、系统、存储介质、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115529128A (zh) | 2022-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922077B (zh) | 一种基于区块链的身份认证方法及其系统 | |
| US11316677B2 (en) | Quantum key distribution node apparatus and method for quantum key distribution thereof | |
| TWI641258B (zh) | Data transmission method, device and system | |
| JP7014806B2 (ja) | デジタル証明書管理方法及び装置 | |
| JP2019535153A (ja) | トラステッドコンピューティングに基づく量子鍵配送のための方法及びシステム | |
| WO2022111102A1 (zh) | 建立安全连接的方法、系统、装置、电子设备和机器可读存储介质 | |
| TW202127831A (zh) | 決定用於資訊的安全交換的共同私密,及階層化的決定性加密金鑰 | |
| AU2003202511A1 (en) | Methods for authenticating potential members invited to join a group | |
| CN109800588B (zh) | 条码动态加密方法及装置、条码动态解密方法及装置 | |
| CN108696518B (zh) | 区块链上用户通信加密方法、装置、终端设备及存储介质 | |
| WO2020252611A1 (zh) | 一种数据交互方法及相关设备 | |
| CN112822255B (zh) | 基于区块链的邮件处理方法、邮件发送端、接收端及设备 | |
| CN111294203B (zh) | 信息传输方法 | |
| CN112766962A (zh) | 证书的接收、发送方法及交易系统、存储介质、电子装置 | |
| EP4133685A1 (en) | Secure online issuance of customer-specific certificates with offline key generation | |
| CN107347073B (zh) | 一种资源信息处理方法 | |
| CN107566393A (zh) | 一种基于受信任证书的动态权限验证系统及方法 | |
| CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
| KR102266654B1 (ko) | Mqtt-sn 프로토콜의 보안을 위한 mqtt-sn 보안 관리 방법 및 시스템 | |
| CN111553686A (zh) | 数据处理方法、装置、计算机设备及存储介质 | |
| CN116760651A (zh) | 一种数据加密方法、装置、电子设备和可读存储介质 | |
| CN111901335A (zh) | 基于中台的区块链数据传输管理方法及系统 | |
| CN115529128B (zh) | 基于sd-wan的端端协商通信方法、终端设备、服务器 | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN114050897B (zh) | 一种基于sm9的异步密钥协商方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Sun Xuan Inventor after: Liu Yushan Inventor after: Liu Xuezhong Inventor before: Sun Xuan Inventor before: Liu Yushan |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |