CN115733683A - 采用量子密钥分发的以太链路自组织加密隧道实现方法 - Google Patents
采用量子密钥分发的以太链路自组织加密隧道实现方法 Download PDFInfo
- Publication number
- CN115733683A CN115733683A CN202211425999.5A CN202211425999A CN115733683A CN 115733683 A CN115733683 A CN 115733683A CN 202211425999 A CN202211425999 A CN 202211425999A CN 115733683 A CN115733683 A CN 115733683A
- Authority
- CN
- China
- Prior art keywords
- encryption
- strategy
- frame
- sub
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开一种采用量子密钥分发的以太链路自组织加密隧道实现方法,应用于发送端加密网桥,包括:向第二加密网桥发送策略协商帧,策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量,所述第二加密网桥作为接收端加密网桥;对出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表;根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项;根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥。本发明实现了高安全高可靠的无IP二层安全通道。
Description
技术领域
本发明涉及密码应用技术领域,具体涉及一种采用量子密钥分发的以太链路自组织加密隧道实现方法。
背景技术
IEEE802.1AE-MediaAccess Control(MAC)Security定义了一种MAC层安全标准,通过在以太包中插入安全标签,并对MAC地址之外的以太报文帧进行对称加密和完整性校验(Integrity CheckValue,ICV)来保护以太报文帧的机密性和完整性,并提供一定的抗重放攻击能力。IEEE802.1X–Port-BasedNetworkAccess Control中的MACsec KeyAgreementprotocol(MKA)部分定义了以太网络中实体密钥协商的方式,用于802.1AE MACsec加密和完整性保护密钥的建立。这两套协议结合起来形成了IEEE在以太网MAC层的安全解决方案。但在实际使用过程中,这两套协议的部署实施并不广泛,存在以下问题:
(1)以太帧的封装格式和帧处理过程比较复杂,策略管理的过程定义的不够清晰,可实现性不好,效率较低。
(2)用于加密以太报文帧的密钥是为实现MACsec协议的实体分配的,而不是为每个具备MAC地址的信源实体分配的,多个信源共享一个以太帧保护密钥,并且该密钥只和实现MACsec协议的实体相关。
(3)MKA在一个组内共享一个用于保护协商过程的对称密钥,使用一段时间后才能更新密钥,使用上有一定的重复性。
(4)MACsec不支持分帧,当由于较长安全标签和ICV导致帧长度超过MTU时,会导致丢帧。
相关技术中,公布号为CN110752979A的中国发明专利申请文献记载了一种报文的隧道传输方法、装置及网络设备,该方法包括:从用户侧网络接口接收到报文时,确定所述报文对应的业务隧道以及下一跳;根据自身与下一跳之间的网络类型,确定所述报文的封装格式;根据所述封装格式对所述报文进行封装,得到隧道协议报文;将所述隧道协议报文通过所述对应的业务隧道发送到目的汇聚设备。该方案中报文的传输不再受到网络类别的限制。
该方案描述的是一种数据转发过程中的路由和隧道技术,并未涉及对隧道的封装、加解密及密钥分发的内容。
公布号为CN106341404A的中国发明专利申请文献记载了一种基于众核处理器的IPSec VPN系统,包括加密系统和解密系统,包括收报文模块、限速模块、入口防火墙模块、IPSec策略检索模块、IPSec加封装模块、加密模块、解密模块、出口防火墙、解封装、增加以太网头模块、再封装模块、IP数据包转发模块和报文发送模块等。该方案能实现对高速网络流量进行安全传输的目的。该方案是基于IP网络层的IPSec协议进行隧道封装和密钥分发,而不是基于以太帧的隧道封装和密钥分发。
但针对不具备IP地址从而无法通过常规方式分发密钥和建立安全隧道的二层以太帧安全封装和加密的应用场景,以上方案并不适用。
发明内容
本发明所要解决的技术问题在于如何实现一种高安全性并且轻量高效的以太数据帧加密隧道传输方式,解决无IP二层以太数据帧的安全问题。
本发明通过以下技术手段实现解决上述技术问题的:
第一方面,本发明提出了一种采用量子密钥分发的以太链路自组织加密隧道实现方法,应用于发送端加密网桥,所述方法包括:
向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量;
对出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表;
根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项;
根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥。
本发明利用加密网桥端口的MAC自动学习,结合采用组播的一点到多点策略分发方式,实现了安全域内成员间网络参数和安全参数的自动交换,在此基础上实现安全策略和会话密钥的自动生成,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题;并且通过在二层以太链路采用内外两层MAC地址的加密隧道封装方式,实现了高安全高可靠的无IP二层安全通道。
第二方面,本发明提出了一种采用量子密钥分发的以太链路自组织解密隧道实现方法,应用于接收端加密网桥,所述方法包括:
接收第一加密网桥发送的策略协商帧,所述第一加密网桥与该接收端加密网桥为同一安全域;
基于所述策略协商帧中的每条协商策略,对其本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
接收所述第一加密网桥发送的加密以太帧,所述加密以太帧为所述发送端加密网桥基于其本地对应的加密策略项对出站的以太数据帧进行加密封装得到;
根据所述加密以太帧的源MAC地址从其本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
第三方面,本发明提出了一种采用量子密钥分发的以太链路自组织加解密隧道实现方法,第二加密网桥为第一加密网桥安全域内的成员,所述方法包括:
所述第一加密网桥向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量;
所述第二加密网桥接收所述策略协商帧,基于所述策略协商帧中的每条协商策略,对所述第二加密网桥本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
所述第一加密网桥根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表,根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项,并根据该对应的加密策略项对所述以太数据帧进行加密封装处理,得到加密以太帧并发送至所述第二加密网桥;
所述第二加密网桥接收所述加密以太帧,根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
第四方面,本发明提出了一种加密网桥,所述加密网桥作为发送端,包括:
策略协商帧发送模块,用于向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量,所述第二加密网桥作为接收端加密网桥;
第一查找模块,用于对出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表;
第二查找模块,用于根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项;
加密封装模块,用于根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥。
第五方面,本发明提出了一种加密网桥,所述加密网桥作为接收端,包括:
策略协商帧接收模块,用于接收第一加密网桥发送的策略协商帧,所述第一加密网桥与该接收端加密网桥为同一安全域;
策略刷新模块,用于基于所述策略协商帧中的每条协商策略,对其本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
加密以太帧接收模块,用于接收所述第一加密网桥发送的加密以太帧,所述加密以太帧为所述发送端加密网桥基于其本地对应的加密策略项对出站的以太数据帧进行加密封装得到;
解密解封模块,用于根据所述加密以太帧的源MAC地址从其本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
第六方面,本发明提出了一种采用量子密钥分发的以太链路自组织加解密隧道实现系统,所述系统包括第一加密网桥、第二加密网桥、量子密钥分发系统及管控平台,所述第一加密网桥和所述第二加密网桥连接,所述第一加密网桥和所述第二加密网桥均与所述管控平台连接,所述第一加密网桥、所述第二加密网桥和所述管控平台分别与所述量子密钥分发系统连接,其中:
所述管控平台,用于提供所述第一加密网桥、所述第二加密网桥、密钥代理、量子网络节点的对应关系,以及进行安全域划分,并提供加密网桥的注册和身份绑定服务;
所述量子密钥分发系统,用于提供主密钥充注和主密钥在线分发的代理功能;
所述第一加密网桥,用于向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量;
所述第二加密网桥在接收所述策略协商帧后,用于基于所述策略协商帧中的每条协商策略,对所述第二加密网桥本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
所述第一加密网桥,用于根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表,根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项,并根据该对应的加密策略项对所述以太数据帧进行加密封装处理,得到加密以太帧并发送至所述第二加密网桥;
所述第二加密网桥接收所述加密以太帧后,用于根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
本发明的优点在于:
(1)本发明利用加密网桥端口的MAC自动学习,结合采用组播的一点到多点策略分发方式,实现了安全域内成员间网络参数和安全参数的自动交换,在此基础上实现安全策略和会话密钥的自动生成,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题;并且通过在二层以太链路采用内外两层MAC地址的加密隧道封装方式,实现了高安全高可靠的无IP二层安全通道。
(2)通过简单高效的分帧合帧处理方法,以及主备两个密钥的切换使用,实现加密隧道的零丢帧可靠传输,对二层网络业务无影响。
(3)通过会话密钥的对等协商,结合简单高效的索引产生方法及相对合理且高效的以太隧道封装格式设计和处理流程,实现了轻量级、高安全、高可靠的无IP二层以太安全通道。
(4)通过划分安全域并为安全域内各设备节点预充注大量相同的主密钥并随机使用,安全高效地解决了具有加密互通需求的网桥设备节点之间身份鉴别和分发会话密钥的问题。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一实施例提出的采用量子密钥分发的以太链路自组织加密隧道实现方法的流程示意图;
图2是本发明第二实施例提出的采用量子密钥分发的以太链路自组织解密隧道实现方法的流程示意图;
图3是本发明第三实施例提出的采用量子密钥分发的以太链路自组织加解密隧道实现方法的流程示意图;
图4是本发明第三实施例中策略表结构示意图;
图5是本发明第四实施例提出的加密网桥的结构示意图;
图6是本发明第五实施例提出的加密网桥的结构示意图;
图7是本发明第六实施例提出的采用量子密钥分发的以太链路自组织加解密隧道实现系统的结构示意图;
图8是本发明第六实施例中加密网桥的结构示意图;
图9是本发明第六实施例中采用量子密钥分发的以太链路自组织加解密隧道实现系统的工作流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本发明第一实施例提出了一种采用量子密钥分发的以太链路自组织加密隧道实现方法,应用于发送端加密网桥,所述方法包括以下步骤:
S101、向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量,所述第二加密网桥作为接收端加密网桥;
需要说明的是,第二加密网桥为发送端加密网桥所属安全域内的成员,发送端加密网桥和第二加密网桥均预先向管控平台发注册请求和身份绑定服务请求,在所有加密网桥完成注册和身份绑定服务后,由所述管控平台划定安全域。
需要说明的是,每个加密网桥启动时,基于一般网桥的MAC学习机制在本地构建加密策略表,加密策略表包括多条加密策略子表,每个加密策略子表由一个唯一的MAC地址表示,该MAC地址对应于本网桥密端口所接收以太帧的一个源MAC地址,叫做子表源MAC,不同的加密策略子表具有不同的子表源MAC。每条加密策略子表含有两个不同编号的会话密钥,会话密钥分量是从本加密网桥自带的随机数发生器定时采集更新的随机数。
本实施例中,每个加密网桥初始建立的加密策略表中,每个加密策略子表仅存在加密策略子表对应的子表源MAC地址和不同编号的会话密钥分量,然后向同一安全域内的成员定期发送策略协商帧,实现对安全域内成员本地加密策略表的刷新管理,通过利用网桥端口的MAC自动学习,结合采用组播的一点到多点策略分发方式,实现了安全域内成员间网络参数和安全参数的自动交换。
S102、对出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表;
需要说明的是,加密策略表中的每条加密策略子表的唯一一个MAC地址对应所接收以太帧的一个源MAC地址,因此,基于出站的以太数据帧的源MAC地址可以从本地的加密策略表中查找到对应的加密策略子表。
S103、根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项;
具体地,每条加密策略子表包括多多个加密策略项,加密策略项包含目的MAC地址信息,通过根据出站的以太数据帧的目的MAC地址信息可以从对应的加密策略子表中查找到对应的加密策略项。
S104、根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥。
本实施例提出了一整套基于以太帧的隧道封装和密钥分发的协议规范,并且是基于无中心无IP的自组织方式实现加密策略和密钥的生成与分发,利用加密网桥端口的MAC自动学习,结合采用组播的一点到多点策略分发方式,实现了安全域内成员间网络参数和安全参数的自动交换,在此基础上实现安全策略和会话密钥的自动生成,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题;并且通过在二层以太链路采用内外两层MAC地址的加密隧道封装方式,实现了高安全高可靠的无IP二层安全通道。
在一实施例中,在所述步骤S101:向所述第二加密网桥发送策略协商帧之前,所述方法还包括步骤:
在发送端加密网桥启动时,建立本地的加密策略表,所述加密策略表包括多条所述加密策略子表,每条所述加密策略子表的MAC地址对应于所述发送端加密网桥密端口接收以太数据帧的一个源MAC地址,初始建立的所述加密策略表中每条所述加密策略子表包括每条加密策略子表的MAC地址和会话密钥分量;
基于本地的所述加密策略表,建立对应的解密策略表,所述解密策略表包括多条所述解密策略子表,每条所述解密策略子表的MAC地址对应于本加密网桥明端口接收以太数据帧的一个源MAC地址,初始建立的所述解密策略表中的每条所述解密策略子表包括每条解密策略子表的MAC地址。
需要说明的是,本加密网桥对于出站的以太数据帧采用加密策略表中对应的加密策略项进行加密和封装处理,对于接收到的加密以太数据帧采用解密策略表中对应的解密策略项进行解密和解封装处理。
需要说明的是,加密网桥初始建立的加密策略表和解密策略表,均通过同一安全域内的其他成员发送的策略协商帧进行管理,实现安全域内成员间网络参数和安全参数的自动交换,并在此基础上实现安全策略和会话密钥的自动生成。
在一实施例中,加密策略表建立时,其中的每条加密策略子表建立时,仅存在子表源MAC地址和会话密钥分量,其表项的新增或更新来自于密钥协商帧;解密策略表建立时,每条解密策略子表仅存在子表源MAC地址,其表项的新增或更新来自于密钥协商帧和加密策略子表的表项。
具体地,所述加密策略子表中每条加密策略项包括目的MAC地址、目的MAC编号(2字节)、封装源MAC地址、封装目的MAC地址、当前使用会话密钥的编号、不同编号的会话密钥以及会话密钥对应的初始化向量及密钥使用计数;
所述解密策略子表中每条解密策略项包括解密索引、目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数。
其中,会话密钥的编号分别为0和1,每个编号的会话密钥的相关数据包括初始化向量及密钥使用计数;加密策略项中的目的MAC编号来自于接收到的同一安全域内的其他加密网网桥发送的密钥协商帧的源MAC编号,在本加密网桥本地的加密策略子表中不统一编号;而密钥协商帧中的源MAC地址来自于发出密钥协商帧的加密网桥的加密策略子表编号,即与加密策略子表为同一源MAC地址。
其中,在加密策略表的基础上建立解密策略表,该表由多个解密策略子表组成,每个解密策略子表由一个唯一的MAC地址表示,该MAC地址对应于本网桥明端口所接收以太帧的一个源MAC地址(对应于加密策略项中的封装目的MAC),叫做子表源MAC,不同的解密策略子表具有不同的子表源MAC。
解密策略子表由多个解密策略项组成,每个解密策略项包括4字节解密索引、目的MAC地址、原始(封装前)源MAC地址、原始(封装前)目的MAC地址、编号分别为0和1的两个会话密钥及会话密钥的初始化向量和密钥使用计数。
在一实施例中,所述解密策略表中每条所述解密策略子表的源MAC地址为对应的所述加密策略表中每条所述加密策略子表的封装目的MAC地址;所述解密策略子表中的解密策略项中的目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数来自所有的封装目的MAC地址为本解密策略子表对应源MAC地址的各条加密策略子表的加密策略项中的封装源MAC地址、目的MAC地址、加密策略子表对应的源MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;所述解密策略项中的4字节解密索引值由对应加密策略项的2字节加密策略子表编号和2字节目的MAC编号组成。
在一实施例中,所述步骤S101:向所述第二加密网桥发送策略协商帧,包括以下步骤:
根据本地的所述加密策略表中各条所述加密策略子表及其源MAC地址,生成所述策略协商帧;
从第一安全存储介质中随机选取主密钥,利用所述主密钥对所述策略协商帧除帧头以外的部分进行加密,并采用带密钥的杂凑算法计算所述策略协商帧的校验值后,得到加密的策略协商帧并发送至所述第二加密网桥;
其中,所述第一安全存储介质集成于所述发送端加密网桥,加密后所述策略协商帧的格式为:
14字节以太帧头(源MAC+目的MAC+帧类型)+1字节本帧策略计数+4字节主密钥ID+k*(子表编号+子表源MAC+n字节子表会话密钥分量0+n字节子表会话密钥分量1)+ICV(第一完整性校验值),k表示本帧所包含策略的数量。
本实施例中,加密网桥定期向安全域内的成员发送策略协商帧,每个策略协商帧由多条协商策略组成,每条策略对应本加密网桥的一个加密策略子表及其源MAC地址,其内容为该子表的源MAC地址和会话密钥分量。整个以太帧采用从第一安全存储介质中随机选取的主密钥加密(以太帧头不加密),并采用带密钥的杂凑算法HMAC计算第一完整性校验值(包括帧头)。
需要说明的是,第一安全存储介质中存储的主密钥为量子密钥分发系统预先充注,安全域内各加密网桥设备节点预充注有大量相同的主密钥并随机使用,可安全高效地解决了具有加密互通需求的网桥设备节点之间身份鉴别和分发会话密钥的问题。
在一实施例中,所述步骤S101:向所述第二加密网桥发送加密的所述策略协商帧,包括以下步骤:
判断加密后的所述策略协商帧的长度是否超过发送接口MTU;
若是,则将加密后的所述策略协商帧划分成多帧后发送至所述第二加密网桥;
如否,则直接将加密后的所述策略协商帧发送至所述第二加密网桥;
其中,帧的类型采用私有化定义,帧的源MAC地址为所述第一加密网桥的发送接口的MAC地址,帧的目的地址为采用私有化定义的组播MAC地址。
应当理解的是,在发送策略协商帧时,亦会判断策略协商帧的长度是否超过发送接口MTU,并在超过时进行分帧处理。
在一实施例中,所述步骤S101:向所述第二加密网桥发送加密的所述策略协商帧,包括以下步骤:
发送加密的所述策略协商帧的时间隔小于或等于会话密钥使用时间阈值的二分之一,且每次连续发送m次相同的加密后所述策略协商帧。
需要说明的是,发送策略协商帧的时间间隔不大于会话密钥使用时间阈值的二分之一,每次连续发送三次相同的策略协商帧,以保证密钥的即时更新和可靠发送。
在一实施例中,所述策略协商帧的本帧策略计数字节最多支持127条策略计数,该字节的最高位添加是否需要确认标记。如该标记为1则接受方需要发送确认帧,且发送端加密网桥启动定时器队列并将所述策略协商帧加入队列定期重发,直至所述策略协商帧失效(会话密钥过期失效)或所有安全域内的接收方网桥均已回复确认帧;如该标记为0则表示不需要回复确认帧。
在一实施例中,在所述步骤S101:在所述向所述第二加密网桥发送策略协商帧之前,所述方法还包括以下步骤:
向量子密钥分发网络发送密钥充注请求;
通过发送端加密网桥集成的第一安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
需要说明的是,本实施例中的第一安全存储介质为安全TF卡或安全U盾等大容量安全存储介质,量子密钥分发网络QKD在接收到加密网桥发送的密钥充注请求后,使用安全存储介质向域内各加密网桥设备节点离线预充注大量的主密钥,密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各设备共享由相同密钥ID标识的相同的主密钥,建立主密钥池,并用密钥位图指示该条密钥是否已使用。
在一实施例中,在所述向所述第二加密网桥发送策略协商帧之前,所述方法还包括以下步骤:
定义所述发送端加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口;
其中,所述密端口用于将该端口学习到的源MAC地址加入到本地的加密策略子表,以及用于定期清除设定时间内未从该密端口接收到的源MAC地址对应的加密策略子表。
需要说明的是,明端口收发的数据帧处理与一般网桥设备无差别,密端口除执行普通网桥接口的功能外,为新学习到的源MAC地址建立加密策略子表,并启动定时器定期清除在一段时间内再未从密端口接收到的源MAC对应的加密策略子表。
在一实施例中,所述步骤S104:根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥,包括以下步骤:
根据该对应的加密策略项对所述以太数据帧进行加密和封装处理后,帧格式为:新以太帧头+解密索引+分帧ID+原始以太帧+第二完整性校验值,新以太帧头的信息包括封装源MAC、封装目的MAC和封装帧协议类型,其中,第二完整性校验值为采用当前使用编号的会话密钥对整个以太帧采用带密钥的杂凑算法HMAC计算得到;
利用所述新以太帧头中未被注册的比特位标注采用的会话密钥的编号,并对当前使用编号的会话密钥使用计数加1。
需要说明的是,发送端加密网桥设备节点对从密端口接受并从明端口转发的出站以太数据帧,首先根据出站的以太数据帧的源MAC查找到本地对应的加密策略子表(即以太数据帧的源MAC与加密策略子表源MAC相同),再根据以太数据帧的目的MAC从对应的加密策略子表中查找对应的加密策略项,如果没有命中对应的加密策略项则根据默认设置丢弃或明文转发,若查找到对应的加密策略项,则根据加密策略项进行以太数据帧的加密和封装处理。
具体地,对出站的以太数据帧进行加密和封装处理的过程如下:
采用加密策略项中当前使用编号的会话密钥对整个以太数据帧采用带密钥的杂凑算法HMAC计算ICV完整性校验值(包括新以太帧头),得到第二完整性校验值,并对原始以太数据帧进行对称加密运算(加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),不增加额外数据),加密和封装处理后的加密以太帧的具体帧格式如下:
14字节新以太帧头(封装源MAC+封装目的MAC+封装帧协议类型)+4字节解密索引+2字节分帧ID+原始以太帧+ICV(第二完整性校验值)。
其中,新以太帧头的2字节协议类型字段采用私有化定义,并依旧不占用协议类型字段第13比特位(即以太帧协议类型字段从低到高共16比特位,第13比特位未被注册),利用该比特位标注采用的是0号或1号会话密钥,两个不同编号的会话密钥互为主备,通过对当前使用编号的会话密钥使用计数加1,在当前会话密钥的使用计数超过阈值时,切换加密策略子表中所有加密策略项当前使用密钥的编号,并通过实时采集随机数更新被切换的密钥编号对应的密钥分量。
其中,4字节解密索引的值为加密策略项中解密索引值前后16位交换位置,即为目的MAC编号||子表编号。
需要说明的是,通过在二层以太链路采用内外两层MAC地址的加密隧道封装方式,并结合简单高效的索引产生方法,实现了高安全高可靠的无IP二层安全通道。
在一实施例中,在向所述第二加密网桥发送所述加密以太帧之前,所述方法还包括以下步骤:
在实际组帧前计算封装之后以太帧总长度,如果封装后新帧长度超过发送接口的MTU,则将发送接口的分帧计数器加1并赋值给分帧ID字段,并将分帧ID字段最高位置1后将原始以太帧分为两段新以太帧数据进行封装和加密处理,两个所述新以太帧具有相同的封装源MAC、封装目的MAC、解密索引和分帧ID;
如果封装后新帧长度未超过发送接口的MTU,则将分帧ID字段最高位置0。
本实施例中,加密网桥为每个明端口维护一个2字节的分帧计数器(实际使用15比特位,当溢出15比特位时复位0)。在实际组帧前计算封装之后以太帧总长度,如果封装后新帧长度超过发送接口的MTU,则将发送明端口的分帧计数器加1并赋值给分帧ID字段,并将分帧ID字段最高位置1,然后将原始以太帧分为两段数据进行封装和加密处理,处理后的两个新以太帧具有相同的封装源MAC、封装目的MAC、解密索引和分帧ID。未超过MTU则将分帧ID字段最高位置0。
需要说明的是,本实施例通过简单高效的分帧合帧处理方法,以及主备两个会话密钥的切换使用,实现加密隧道的零丢帧可靠传输,对二层网络业务无影响。
本实施例提出的一种采用量子密钥分发的以太链路自组织加密隧道实现方法,主要针对不具备IP地址从而无法通过常规方式分发密钥和建立安全隧道的二层以太帧安全封装和加密的应用场景,通过基于网桥的MAC自动学习能力和组播的一点到多点信息发布方式,进行加解密策略相关参数的自动学习和加解密策略的自动合成,以及会话密钥的对等协商,结合相对合理且高效的以太隧道封装格式设计和处理流程,实现了轻量级、高安全、高可靠的无IP二层以太安全通道。
实施例2
如图2所示,本发明第二实施例提出了一种采用量子密钥分发的以太链路自组织解密隧道实现方法,应用于接收端加密网桥,所述方法包括以下步骤:
S201、接收第一加密网桥发送的策略协商帧,所述第一加密网桥与该接收端加密网桥为同一安全域;
需要说明的是,第一加密网桥作为发送方,与接收端加密网桥属于同一安全域,加密网桥均预先向管控平台发注册请求和身份绑定服务请求,在所有加密网桥完成注册和身份绑定服务后,由所述管控平台划定安全域。
需要说明的是,策略协商帧由多条协商策略组成,每条协商策略对应本加密网桥的一个加密策略子表及其源MAC地址,其内容为该子表的源MAC地址和会话密钥分量。
S202、基于所述策略协商帧中的每条协商策略,对其本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
需要说明的是,安全域内的成员基于接收到的协商策略帧,对本地的加密策略表进行管理,并基于协商策略帧和加密策略表,对本地存储的解密策略表进行管理,实现了安全域内成员间网络参数和安全参数的自动交换。
S203、接收所述第一加密网桥发送的加密以太帧,所述加密以太帧为所述发送端加密网桥基于其本地对应的加密策略项对出站的以太数据帧进行加密封装得到;
S204、根据所述加密以太帧的源MAC地址从其本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
需要说明的是,本实施例中接收方加密网桥对接收到的加密以太帧,首先基于加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表,然后基于对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,利用解密策略项对加密以太帧进行解密和解封装处理,通过利用加密网桥端口的MAC自动学习,结合采用组播的一点到多点策略分发方式,实现了安全域内成员间网络参数和安全参数的自动交换,在此基础上实现安全策略和会话密钥的自动生成,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题;并且通过在二层以太链路采用内外两层MAC地址的解密隧道解封装方式,实现了高安全高可靠的无IP二层安全通道。
在一实施例中,在所述步骤S201:接收第一加密网桥发送的策略协商帧之前,所述方法还包括以下步骤:
发送端加密网桥启动时,建立本地的加密策略表,所述加密策略表包括多条所述加密策略子表,每条所述加密策略子表的MAC地址对应于所述发送端加密网桥密端口接收以太数据帧的一个源MAC地址,初始建立的所述加密策略表中每条所述加密策略子表包括每条加密策略子表的MAC地址和会话密钥分量;
基于本地的所述加密策略表,建立对应的解密策略表,所述解密策略表包括多条所述解密策略子表,每条所述解密策略子表的MAC地址对应于本加密网桥明端口接收以太数据帧的一个源MAC地址,初始建立的所述解密策略表中的每条所述解密策略子表包括每条解密策略子表的MAC地址。
需要说明的是,本加密网桥对于出站的以太数据帧采用加密策略表中对应的加密策略项进行加密和封装处理,对于接收到的加密以太数据帧采用解密策略表中对应的解密策略项进行解密和解封装处理。
需要说明的是,加密网桥初始建立的加密策略表和解密策略表,均通过同一安全域内的其他成员发送的策略协商帧进行管理,实现安全域内成员间网络参数和安全参数的自动交换,并在此基础上实现安全策略和会话密钥的自动生成。
在一实施例中,加密策略表建立时,其中的每条加密策略子表建立时,仅存在子表源MAC地址和会话密钥分量,其表项的新增或更新来自于密钥协商帧;解密策略表建立时,每条解密策略子表仅存在子表源MAC地址,其表项的新增或更新来自于密钥协商帧和加密策略子表的表项。
具体地,所述加密策略子表中每条加密策略项包括目的MAC地址、目的MAC编号(2字节)、封装源MAC地址、封装目的MAC地址、当前使用会话密钥的编号、不同编号的会话密钥以及会话密钥对应的初始化向量及密钥使用计数;
所述解密策略子表中每条解密策略项包括解密索引、目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数。
其中,会话密钥的编号分别为0和1,每个编号的会话密钥的相关数据包括初始化向量及密钥使用计数;加密策略项中的目的MAC编号来自于接收到的同一安全域内的其他加密网网桥发送的密钥协商帧的源MAC编号,在本加密网桥本地的加密策略子表中不统一编号;而密钥协商帧中的源MAC地址来自于发出密钥协商帧的加密网桥的加密策略子表编号,即与加密策略子表为同一源MAC地址。
其中,在加密策略表的基础上建立解密策略表,该表由多个解密策略子表组成,每个解密策略子表由一个唯一的MAC地址表示,该MAC地址对应于本网桥明端口所接收以太帧的一个源MAC地址(对应于加密策略项中的封装目的MAC),叫做子表源MAC,不同的解密策略子表具有不同的子表源MAC。
解密策略子表由多个解密策略项组成,每个解密策略项包括4字节解密索引、目的MAC地址、原始(封装前)源MAC地址、原始(封装前)目的MAC地址、编号分别为0和1的两个会话密钥及会话密钥的初始化向量和密钥使用计数组成。
在一实施例中,所述解密策略表中每条所述解密策略子表的源MAC地址为对应的所述加密策略表中每条所述加密策略子表的封装目的MAC地址;所述解密策略子表中的解密策略项中的目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数来自所有的封装目的MAC地址为本解密策略子表对应源MAC地址的各条加密策略子表的加密策略项中的封装源MAC地址、目的MAC地址、加密策略子表对应的源MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;所述解密策略项中的4字节解密索引值由对应加密策略项的2字节加密策略子表编号和2字节目的MAC编号组成。
在一实施例中,在接收第一加密网桥发送的策略协商帧之前,所述方法还包括:
向量子密钥分发网络发送密钥充注请求;
通过接收端加密网桥集成的第二安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
在一实施例中,在所述第一加密网桥发送的是利用主密钥加密后的协商策略帧时,接收端加密网桥首先从自身集成的第二安全存储介质中选取与主密钥ID对应的主密钥,对加密后的协商策略帧进行完整性检查并解密,得到协商策略帧。
需要说明的是,若完整性检查未通过,则直接终止本次数据传输过程。
本实施例中第二安全存储介质中存储的为经量子密钥分发网络预先充注的大量主密钥,第二安全存储介质可使用安全TF卡或安全U盾等大容量安全存储介质,量子密钥分发网络通过使用安全存储介质向域内各加密网桥设备节点离线预充注大量的主密钥,密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各加密网桥设备共享由相同密钥ID标识的相同的主密钥。
本实施例通过划分安全域并为安全域内各设备节点预充注大量相同的主密钥并随机使用,安全高效地解决了具有加密互通需求的网桥设备节点之间身份鉴别和分发会话密钥的问题。
在一实施例中,所述步骤S202:基于所述策略协商帧中的每条协商策略,对其本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新,具体包括以下步骤:
S221、基于所述策略协商帧中的每条协商策略,在所述第二加密网桥本地的所有加密策略子表中增加或更新一条加密策略项,加密策略项的编号从1开始递增,其中,所述加密策略项的目的MAC地址设置为协商策略中的加密策略子表源MAC,加密策略项的目的MAC编号设置为协商策略中加密策略子表编号,加密策略项的封装源MAC地址和封装目的MAC地址分别设置为所述第二加密网桥接收所述策略协商帧的接口MAC地址和该策略协商帧的源MAC地址,加密策略项的会话密钥分别由对应同一编号的加密策略子表的会话密钥分量与协商策略的会话密钥分量的异或值;
S222、对应于每条由所述协商策略产生的加密策略项,在所述第二加密网桥本地的所有解密策略子表中增加或更新一条解密策略项。
需要说明的是,对于策略协商帧中的每一个协商策略,均在接收到该策略协商帧的加密网桥的所有加密策略子表中增加一条加密策略项,加密策略编号从1递增,加密策略的目的MAC地址设置为协商策略中的子表源MAC,如果加密策略子表中已有相同目的MAC的策略项,则更新该策略项,目的MAC是加密策略子表的主键,具备唯一性。
进一步地,所述步骤S221中,会话密钥包括编号为0和编号为1的会话密钥,两个编号的会话密钥互为主备,更新或增加的加密策略项中的0号和1号会话密钥分别为同一编号的加密策略子表的会话密钥分量与协商策略的会话密钥分量的异或值,0或1号会话密钥分别产生0到1号初始化向量由下式产生:
初始化向量=E(会话密钥,(加密策略子表的源MAC|协商策略的子表源MAC)||(加密策略的封装源MAC|加密策略的封装目的MAC)||padding)
其中,上式中E(K,D)表示采用密钥K对数据D进行对称加密运算,padding为填充数据(将被加密数据长度填充为密码算法分组长度,填充方法为从0-9的10个数字依次反复直到满足长度要求)。
其中,初始采用0号会话密钥和初始化向量,并对当前使用密钥启用定时器和使用计数。当加密策略子表中有一条加密策略的定时器或使用计数超过阈值时,切换子表中所有加密策略当前使用密钥的编号,并通过实时采集随机数更新被切换的密钥编号对应的密钥分量。因为采用的是子表内密钥编号统一切换的方式,所以子表中的所有加密策略在同一时间是使用同一个密钥编号。
在一实施例中,所述步骤S222中,对应于每条由策略协商帧的协商策略产生的加密策略,增加或更新一条解密策略。
如果加密策略项中的封装目的MAC没有对应的解密策略子表的子表源MAC,则新建源MAC为加密策略中的封装目的MAC的解密策略子表。具有相同封装目的MAC的加密策略(可位于不同的加密策略子表,同一张加密策略子表可具有多条封装目的MAC相同的加密策略)对应的解密策略位于同一张解密策略子表(子表源MAC即为该封装目的MAC)。
在一实施例中,本实施例对加密网桥的各个以太接口定义类型:未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。
其中,明端口收发的数据帧处理与一般网桥设备无差别;密端口除执行普通网桥接口的功能外,为新学习到的源MAC地址建立加密策略子表,并启动定时器定期清除在一段时间内再未从密端口接收到的源MAC对应的加密策略子表。
在一实施例中,所述步骤S204:根据所述加密以太帧的源MAC地址从其本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧,包括以下步骤:
S241、根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表;
需要说明的是,接收端加密网桥设备节点对从明端口接受的,目的MAC为本接口MAC地址,符合私有协议类型定义的入站以太数据帧进行解密和解封装处理,首先根据加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表。
S242、在所述加密以太帧不是分帧时,根据该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据对应的解密策略项中的会话密钥,采用带密钥的密码杂凑算法HMAC对整个加密以太帧进行ICV完整性检查,并在完整性检查通过后对所述原始以太帧进行对称解密运算,得到原始以太帧并进行转发;
需要说明的是,如果不是分帧,则根据解密索引查找对应的解密策略项,如果没有命中对应的解密策略项,则根据默认设置丢弃或转发该加密以太帧;若查找到对应的解密策略项,则根据解密策略项,按以太帧协议字段第13比特位选取该解密策略的0号或1号会话密钥,先采用带密钥的密码杂凑算法HMAC对整个以太帧进行ICV完整性检查,通过后再对原始以太帧进行对称解密运算,若完整性检查未通过,则直接丢弃。然后将解密后的原始以太帧按照普通网桥设备的处理流程进行转发。
S243、在所述加密以太帧是分帧时,在对应的解密策略子表的分帧表中查找具有相同分帧ID的以太帧,分别对将两个分帧进行解密和解封装处理后,得到两个原始分帧并拼接为一个完整的原始以太帧后进行转发。
需要说明的是,在接收到的加密以太帧是分帧的情况时,则在解密策略子表的分帧表中根据分帧ID的低15位查找是否具有相同分帧ID的以太帧。若没有相同的ID分帧则将该帧加入分帧表;若查找到相同ID的分帧,则将两个分帧分别进行解密策略查找、完整性检查和解密处理后,将两个原始分帧直接拼接为一个完整的原始以太帧,并按照普通网桥设备的处理流程进行转发。
需要说明的是,为实现快速分帧查找,分帧表是一个具有215个元素的数组,每个元素由分帧ID和对应的以太帧组成,可根据分帧ID直接检索。
需要说明的是,通过简单高效的分帧合帧处理方法,以及主备两个密钥的切换使用,实现加密隧道的零丢帧可靠传输,对二层网络业务无影响。
本实施例主要针对不具备IP地址从而无法通过常规方式分发密钥和建立安全隧道的二层以太帧安全封装和加密的应用场景,基于网桥的MAC自动学习能力和组播的一点到多点信息发布方式,进行解密策略相关参数的自动学习和解密策略的自动合成,以及会话密钥的对等协商,结合相对合理且高效的以太隧道解封装格式设计和处理流程,实现了轻量级、高安全、高可靠的无IP二层以太安全通道。
实施例3
如图3所示,本发明第三实施例提出了一种采用量子密钥分发的以太链路自组织加解密隧道实现方法,第二加密网桥为第一加密网桥安全域内的成员,所述方法包括以下步骤:
S301、所述第一加密网桥向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量;
需要说明是的,每个加密网桥启动时具建立加密策略表,并基于加密策略表建立解密策略表,加密策略表和解密策略表可根据策略协商帧进行刷新管理。
S302、所述第二加密网桥接收所述策略协商帧,基于所述策略协商帧中的每条协商策略,对所述第二加密网桥本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
S303、所述第一加密网桥根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表,根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项,并根据该对应的加密策略项对所述以太数据帧进行加密封装处理,得到加密以太帧并发送至所述第二加密网桥;
S304、所述第二加密网桥接收所述加密以太帧,根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
本实施例利用网桥端口的MAC自动学习,结合采用组播的一点到多点策略分发方式,实现了安全域内成员间网络参数和安全参数的自动交换,在此基础上实现安全策略和会话密钥的自动生成,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题;通过在二层以太链路采用内外两层MAC地址的加密隧道封装方式,实现了高安全高可靠的无IP二层安全通道。
在一实施例中,在所述第一加密网桥向所述第二加密网桥发送策略协商帧之前,所述方法还包括以下步骤:
所述第一加密网桥和所述第二加密网桥启动时,分别建立本地的所述加密策略表,所述加密策略表包括多条所述加密策略子表,每条所述加密策略子表的MAC地址对应于本加密网桥密端口接收以太数据帧的一个源MAC地址,初始建立的所述加密策略表中每条所述加密策略子表包括每条加密策略子表的MAC地址和会话密钥分量,其中,两个会话密钥分量,编为0号和1号,为加密网桥自带的随机数发生器定时采集更新的随机数;
所述第一加密网桥和所述第二加密网桥分别基于本地的所述加密策略表,建立对应的解密策略表,所述解密策略表包括多条所述解密策略子表,每条所述解密策略子表的MAC地址对应于本加密网桥明端口接收以太数据帧的一个源MAC地址,初始建立的所述解密策略表中的每条所述解密策略子表包括每条解密策略子表的MAC地址。
在一实施例中,如图4所示,所述加密策略子表中每条加密策略项包括目的MAC地址、目的MAC编号、封装源MAC地址、封装目的MAC地址、当前使用会话密钥的编号、不同编号的会话密钥以及会话密钥对应的初始化向量及密钥使用计数;
所述解密策略子表中每条解密策略项包括4字节解密索引、目的MAC地址、原始(封装前)源MAC地址、原始(封装前)目的MAC地址、编号分别为0和1的两个会话密钥及会话密钥的初始化向量和密钥使用计数;
其中,所述解密策略表中每条所述解密策略子表的源MAC地址为对应的所述加密策略表中每条所述加密策略子表的封装目的MAC地址;所述解密策略子表中的解密策略项中的目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数来自所有的封装目的MAC地址为本解密策略子表对应源MAC地址的各条加密策略子表的加密策略项中的封装源MAC地址、目的MAC地址、加密策略子表对应的源MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;所述解密策略项中的解密索引包括对应加密策略项的加密策略子表编号和目的MAC编号。
在一实施例中,所述步骤S301:第一加密网桥向所述第二加密网桥发送策略协商帧,包括以下步骤:
所述第一加密网桥根据本地的加密策略表中各条所述加密策略子表及其源MAC地址,生成所述策略协商帧;
从第一安全存储介质中随机选取主密钥,利用所述主密钥对所述策略协商帧进行加密,并采用带密钥的杂凑算法计算所述策略协商帧的校验值后发送至所述第二加密网桥,其中,加密后所述策略协商帧的格式为:
14字节以太帧头(源MAC+目的MAC+帧类型)+1字节本帧策略计数/确认标记+4字节主密钥ID+k*(子表编号+子表源MAC+n字节子表会话密钥分量0+n字节子表会话密钥分量1)+ICV(完整性校验值),其中,k表示本帧所包含策略的数量
需要说明的是,第一安全存储介质中存储的主密钥为量子密钥分发系统预先充注,安全域内各加密网桥设备节点预充注有大量相同的主密钥并随机使用,可安全高效地解决了具有加密互通需求的网桥设备节点之间身份鉴别和分发会话密钥的问题。
在一实施例中,所述第一加密网桥向所述第二加密网桥发送加密后的所述策略协商帧,包括:
在确定加密后所述策略协商帧的长度超过接口MTU时,则将加密后所述策略协商帧划分成多帧后发送至所述第二加密网桥;
其中,帧的类型采用私有化定义,帧的源MAC地址为所述第一加密网桥的发送接口的MAC地址,帧的目的地址为采用私有化定义的组播MAC地址。
在一实施例中,所述第一加密网桥发送所述策略协商帧的时间隔小于或等于会话密钥使用时间阈值的二分之一,且每次连续发送m次相同的所述策略协商帧。
在一实施例中,所述本帧策略计数的字节的最高位为是否需要确认标记,在该标记为1时,所述方法还包括:
所述第一加密网桥启动定时器队列并将该加密策略协商帧加入所述定时器队列定期重发,直至所述加密策略协商帧失效或所述第二加密网桥均回复确认帧。
需要说明的是,本帧策略计数字节最多支持127条策略计数,该字节的最高位为是否需要确认标记。如该标记为1则接受方需要发送确认帧,且发送方网桥启动定时器队列并将该帧加入队列定期重发,直至该帧失效(会话密钥过期失效)或所有安全域内的网桥均已回复确认帧。
在一实施例中,在第二加密网桥接收到第一加密网桥发送的为加密后的策略协商帧时,第二加密网桥首先从自身集成的第二安全存储介质中选取与主密钥ID对应的主密钥,并利用所述主密钥对加密后的所述策略协商帧进行完整性验证和解密,得到策略协商帧。
需要说明的是,第一安全存储介质和第二安全存储介质均可为安全TF卡或安全U盾等大容量安全存储介质,第一加密网桥和第二加密网桥均先向量子密钥分发网络发送密钥充注,量子密钥分发网络通过对应的安全存储介质向域内各加密网桥设备节点离线预充注大量的主密钥,密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各设备共享由相同密钥ID标识的相同的主密钥。
往域内的加密网桥设备节点注入预充注的主密钥,建立主密钥池,并用密钥位图指示该条密钥是否已使用。
在一实施例中,所述步骤S302:第二加密网桥接收所述策略协商帧,基于所述策略协商帧中的每条协商策略,对所述第二加密网桥本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新,包括以下步骤:
所述第二加密网桥接收所述策略协商帧,基于所述策略协商帧中的每条协商策略,在所述第二加密网桥本地的所有加密策略子表中增加或更新一条加密策略项,加密策略项的编号从1开始递增,其中,所述加密策略项的目的MAC地址设置为协商策略中的加密策略子表源MAC,加密策略项的目的MAC编号设置为协商策略中加密策略子表编号,加密策略项的封装源MAC地址和封装目的MAC地址分别设置为所述第二加密网桥接收所述策略协商帧的接口MAC地址和该策略协商帧的源MAC地址,加密策略的0号和1号会话密钥分别为同一编号的加密策略子表的会话密钥分量与协商策略的会话密钥分量的异或值,初始化向量由下式产生:
初始化向量=E(会话密钥,(加密策略子表的源MAC|协商策略的子表源MAC)||(加密策略的封装源MAC|加密策略的封装目的MAC)||padding)
上式中E(K,D)表示采用密钥K对数据D进行对称加密运算,padding为填充数据(将被加密数据长度填充为密码算法分组长度,填充方法为从0-9的10个数字依次反复直到满足长度要求)。
所述第二加密网桥对应于每条由所述协商策略产生的加密策略项,在所述第二加密网桥本地的所有解密策略子表中增加或更新一条解密策略项。
在一实施例中,初始采用0号会话密钥和初始化向量,并对当前使用密钥启用定时器和使用计数。当加密策略子表中有一条加密策略项的定时器或使用计数超过阈值时,切换子表中所有加密策略当前使用密钥的编号,并通过实时采集随机数更新被切换的密钥编号对应的密钥分量。
因为采用的是子表内密钥编号同一切换的方式,所以子表中的所有加密策略在同一时间是使用同一个密钥编号。
在一实施例中,对应于每条由策略协商帧的协商策略产生的加密策略,增加或更新一条解密策略时,如果加密策略中的封装目的MAC没有对应的解密策略子表(子表源MAC),则新建源MAC为加密策略中的封装目的MAC的解密策略子表。具有相同封装目的MAC的加密策略(可位于不同的加密策略子表,同一张加密策略子表可具有多条封装目的MAC相同的加密策略)对应的解密策略位于同一张解密策略子表(子表源MAC即为该封装目的MAC)。
在一实施例中,在所述步骤S301之前,所述方法还包括:
对加密网桥的各个以太接口定义类型:未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。
其中,明端口收发的数据帧处理与一般网桥设备无差别;密端口除执行普通网桥接口的功能外,为新学习到的源MAC地址建立加密策略子表,并启动定时器定期清除在一段时间内再未从密端口接收到的源MAC对应的加密策略子表。
在一实施例中,所述步骤S303:第一加密网桥根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表,根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项,并根据该对应的加密策略项对所述以太数据帧进行加密封装处理,得到加密以太帧并发送至所述第二加密网桥,包括以下步骤:
所述第一加密网桥根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表;
根据出站的以太数据帧的目的MAC地址判断该对应的加密策略子表中是否存在对应的加密策略项;
若是,则根据该对应的加密策略项对所述以太数据帧进行加密封装处理,得到加密以太帧并发送至所述第二加密网桥;
若否,则根据默认设置丢弃或转发所述以太数据帧。
在一实施例中,所述根据该对应的加密策略项对所述以太数据帧进行加密封装处理,得到加密以太帧并发送至所述第二加密网桥,包括:
根据该对应的加密策略项对所述以太数据帧进行加密和封装处理后,帧格式为:新以太帧头+解密索引+分帧ID+原始以太帧+完整性校验值,新以太帧头的信息包括封装源MAC、封装目的MAC和封装帧协议类型,其中,完整性校验值为采用当前使用编号的会话密钥对整个以太帧采用带密钥的杂凑算法HMAC计算得到;
利用所述新以太帧头中未被注册的比特位标注采用的会话密钥的编号,并对当前使用编号的会话密钥使用计数加1;
在实际组帧前计算封装之后以太帧总长度,如果封装后新帧长度超过发送接口的MTU,则将发送接口的分帧计数器加1并赋值给分帧ID字段,并将分帧ID字段最高位置1后将原始以太帧分为两段新以太帧数据进行封装和加密处理,两个所述新以太帧具有相同的封装源MAC、封装目的MAC、解密索引和分帧ID;
如果封装后新帧长度未超过发送接口的MTU,则将分帧ID字段最高位置0。
需要说明的是,第一加密网桥设备节点对从密端口接受并从明端口转发的出站以太数据帧进行加密和封装处理,首先根据源MAC查找到加密策略子表(源MAC与加密策略子表源MAC相同),再根据目的MAC查找加密策略,如果没有命中则根据默认设置丢弃或明文转发。根据加密策略进行以太帧的加密和封装处理,具体帧格式如下:
14字节新以太帧头(封装源MAC+封装目的MAC+封装帧协议类型)+4字节解密索引+2字节分帧ID+原始以太帧+ICV(第二完整性校验值)。
采用当前使用编号的会话密钥对整个以太帧采用带密钥的杂凑算法HMAC计算ICV完整性校验值(包括新以太帧头),对原始以太帧进行对称加密运算(加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),不增加额外数据),对当前使用编号的会话密钥使用计数加1。
需要说明的是,新以太帧头的协议类型字段(2字节)采用私有化定义,并依旧不占用协议类型字段第13比特位(以太帧协议类型字段从低到高共16比特位,第13比特位未被注册),利用该比特位标注采用的是0号或1号会话密钥。
其中,4字节解密索引的值为加密策略中解密索引值前后16位交换位置,即为目的MAC编号||子表编号。
在一实施例中,加密网桥为每个明端口维护一个2字节的分帧计数器(实际使用15比特位,当溢出15比特位时复位0)。在实际组帧前计算封装之后以太帧总长度,如果封装后新帧长度超过发送接口的MTU,则将发送接口的分帧计数器加1并赋值给分帧ID字段,并将分帧ID字段最高位置1,然后将原始以太帧分为两段数据进行封装和加密处理。处理后的两个新以太帧具有相同的封装源MAC、封装目的MAC、解密索引和分帧ID。未超过MTU则将分帧信息字段最高位置0。
在一实施例中,所述步骤304:第二加密网桥接收所述加密以太帧,根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧,包括以下步骤:
所述第二加密网桥接收所述加密以太帧,根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表;
在所述加密以太帧不是分帧时,根据该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据对应的解密策略项中的会话密钥,采用带密钥的密码杂凑算法HMAC对整个加密以太帧进行ICV完整性检查,并在完整性检查通过后对所述原始以太帧进行对称解密运算,得到原始以太帧并进行转发;
在所述加密以太帧是分帧时,在对应的解密策略子表的分帧表中查找具有相同分帧ID的以太帧,分别对将两个分帧进行解密和解封装处理后,得到两个原始分帧并拼接为一个完整的原始以太帧后进行转发。
需要说明的是,第二加密网桥设备节点对从明端口接受的,目的MAC为本接口MAC地址,符合私有协议类型定义的入站以太数据帧进行解密和解封装处理:
首先根据源MAC地址查找到解密策略子表(源MAC与解密策略子表源MAC相同),如果不是分帧,则再根据解密索引查找解密策略,如果没有命中则根据默认设置丢弃或转发。根据解密策略,并按以太帧协议字段第13比特位选取该解密策略的0号或1号会话密钥,先采用带密钥的密码杂凑算法HMAC对整个以太帧进行ICV完整性检查,通过后再对原始以太帧进行对称解密运算,否则丢弃。解密后的原始以太帧按照普通网桥设备的处理流程进行转发。
如果是分帧,则在解密策略子表的分帧表中根据分帧ID的低15位查找具有相同分帧ID的以太帧(为实现快速分帧查找,分帧表是一个具有215个元素的数组,每个元素由分帧ID和对应的以太帧组成,可根据分帧ID直接检索),没有相同的ID分帧则将该帧加入分帧表,查找到相同ID的分帧,则将两个分帧分别按上文所述方法进行解密策略查找、完整性检查和解密处理后,将两个原始分帧直接拼接为一个完整的原始以太帧,并按照普通网桥设备的处理流程进行转发。
本实施例通过简单高效的分帧合帧处理方法,以及主备两个密钥的切换使用,实现加密隧道的零丢帧可靠传输,对二层网络业务无影响。
本实施例使用融合量子密钥分发的加密网桥和二层以太帧加密隧道解决二层以太数据帧的安全问题,实现了一种高安全性并且轻量高效的以太数据帧加密隧道传输方式,主要针对不具备IP地址从而无法通过常规方式分发密钥和建立安全隧道的二层以太帧安全封装和加密的应用场景,基于网桥的MAC自动学习能力和组播的一点到多点信息发布方式,进行加解密策略相关参数的自动学习和加解密策略的自动合成,以及会话密钥的对等协商,结合相对合理且高效的以太隧道封装格式设计和处理流程,实现了轻量级、高安全、高可靠的无IP二层以太安全通道。
实施例4
如图5所示,本发明第四实施例提出了一种加密网桥,其所述加密网桥作为发送端,包括:
策略协商帧发送模块11,用于向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量,所述第二加密网桥作为接收端加密网桥;
第一查找模块12,用于对出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表;
第二查找模块13,用于根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项;
加密封装模块14,用于根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥。
本实施例利用加密网桥端口的MAC自动学习,结合采用组播的一点到多点策略分发方式,实现了安全域内成员间网络参数和安全参数的自动交换,在此基础上实现安全策略和会话密钥的自动生成,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题;并且通过在二层以太链路采用内外两层MAC地址的加密隧道封装方式,实现了高安全高可靠的无IP二层安全通道。
在一实施例中,所述加密网桥还包括策略表建立模块,用于:
在发送端加密网桥启动时,建立本地的加密策略表,所述加密策略表包括多条所述加密策略子表,每条所述加密策略子表的MAC地址对应于所述发送端加密网桥密端口接收以太数据帧的一个源MAC地址,初始建立的所述加密策略表中每条所述加密策略子表包括每条加密策略子表的MAC地址和会话密钥分量;
基于本地的所述加密策略表,建立对应的解密策略表,所述解密策略表包括多条所述解密策略子表,每条所述解密策略子表的MAC地址对应于本加密网桥明端口接收以太数据帧的一个源MAC地址,初始建立的所述解密策略表中的每条所述解密策略子表包括每条解密策略子表的MAC地址。
在一实施例中,加密策略表建立时,其中的每条加密策略子表建立时,仅存在子表源MAC地址和会话密钥分量,其表项的新增或更新来自于密钥协商帧;解密策略表建立时,每条解密策略子表仅存在子表源MAC地址,其表项的新增或更新来自于密钥协商帧和加密策略子表的表项。
具体地,所述加密策略子表中每条加密策略项包括目的MAC地址、目的MAC编号(2字节)、封装源MAC地址、封装目的MAC地址、当前使用会话密钥的编号、不同编号的会话密钥以及会话密钥对应的初始化向量及密钥使用计数;
所述解密策略子表中每条解密策略项包括解密索引、目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数。
其中,会话密钥的编号分别为0和1,每个编号的会话密钥的相关数据包括初始化向量及密钥使用计数;加密策略项中的目的MAC编号来自于接收到的同一安全域内的其他加密网网桥发送的密钥协商帧的源MAC编号,在本加密网桥本地的加密策略子表中不统一编号;而密钥协商帧中的源MAC地址来自于发出密钥协商帧的加密网桥的加密策略子表编号,即与加密策略子表为同一源MAC地址。
其中,在加密策略表的基础上建立解密策略表,该表由多个解密策略子表组成,每个解密策略子表由一个唯一的MAC地址表示,该MAC地址对应于本网桥明端口所接收以太帧的一个源MAC地址(对应于加密策略项中的封装目的MAC),叫做子表源MAC,不同的解密策略子表具有不同的子表源MAC。
解密策略子表由多个解密策略项组成,每个解密策略项包括4字节解密索引、目的MAC地址、原始(封装前)源MAC地址、原始(封装前)目的MAC地址、编号分别为0和1的两个会话密钥及会话密钥的初始化向量和密钥使用计数。
在一实施例中,所述解密策略表中每条所述解密策略子表的源MAC地址为对应的所述加密策略表中每条所述加密策略子表的封装目的MAC地址;所述解密策略子表中的解密策略项中的目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数来自所有的封装目的MAC地址为本解密策略子表对应源MAC地址的各条加密策略子表的加密策略项中的封装源MAC地址、目的MAC地址、加密策略子表对应的源MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;所述解密策略项中的4字节解密索引值由对应加密策略项的2字节加密策略子表编号和2字节目的MAC编号组成。
在一实施例中,所述策略协商帧发送模块11,包括:
策略协商帧生成单元,用于根据本地的所述加密策略表中各条所述加密策略子表及其源MAC地址,生成所述策略协商帧;
策略协商帧加密单元,用于从第一安全存储介质中随机选取主密钥,利用所述主密钥对所述策略协商帧除帧头以外的部分进行加密,并采用带密钥的杂凑算法计算所述策略协商帧的校验值后,得到加密的策略协商帧并发送至所述第二加密网桥;
其中,所述第一安全存储介质集成于所述发送端加密网桥,加密后所述策略协商帧的格式为:
14字节以太帧头(源MAC+目的MAC+帧类型)+1字节本帧策略计数+4字节主密钥ID+k*(子表编号+子表源MAC+n字节子表会话密钥分量0+n字节子表会话密钥分量1)+ICV(第一完整性校验值),k表示本帧发送的策略的数量。
本实施例中,加密网桥定期向安全域内的成员发送策略协商帧,每个策略协商帧由多条协商策略组成,每条策略对应本加密网桥的一个加密策略子表及其源MAC地址,其内容为该子表的源MAC地址和会话密钥分量。整个以太帧采用从第一安全存储介质中随机选取的主密钥加密(以太帧头不加密),并采用带密钥的杂凑算法HMAC计算第一完整性校验值(包括帧头)。
需要说明的是,第一安全存储介质中存储的主密钥为量子密钥分发系统预先充注,安全域内各加密网桥设备节点预充注有大量相同的主密钥并随机使用,可安全高效地解决了具有加密互通需求的网桥设备节点之间身份鉴别和分发会话密钥的问题。
在一实施例中,所述策略协商帧发送模块11,还包括:
第一判断单元,用于判断加密后的所述策略协商帧的长度是否超过发送接口MTU;
策略协商帧发送单元,用于在所述第一判断单元输出结果为是时,则将加密后的所述策略协商帧划分成多帧后发送至所述第二加密网桥;
以及用于在所述第一判断单元输出结果为否时,直接将加密后的所述策略协商帧发送至所述第二加密网桥;
其中,帧的类型采用私有化定义,帧的源MAC地址为所述第一加密网桥的发送接口的MAC地址,帧的目的地址为采用私有化定义的组播MAC地址。
应当理解的是,在发送策略协商帧时,亦会判断策略协商帧的长度是否超过发送接口MTU,并在超过时进行分帧处理。
在一实施例中,所述策略协商帧发送单元,还用于:
发送加密的所述策略协商帧的时间隔小于或等于会话密钥使用时间阈值的二分之一,且每次连续发送m次相同的加密后所述策略协商帧。
需要说明的是,发送策略协商帧的时间间隔不大于会话密钥使用时间阈值的二分之一,每次连续发送三次相同的策略协商帧。
在一实施例中,所述策略协商帧的本帧策略计数字节最多支持127条策略计数,该字节的最高位添加是否需要确认标记,若该标记为1,则所述加密网桥还包括:
确认帧接收模块,用于接收接收方加密网桥方返回的发送确认帧,并启动定时器队列并将所述策略协商帧加入队列定期重发,直至所述策略协商帧失效(会话密钥过期失效)或所有安全域内的接收方网桥均已回复确认帧。
在一实施例中,所述加密网桥还包括:
第一充注请求模块,用于向量子密钥分发网络发送密钥充注请求;
第二密钥获取模块,用于通过发送端加密网桥集成的第一安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
需要说明的是,本实施例中的第一安全存储介质为安全TF卡或安全U盾等大容量安全存储介质,量子密钥分发网络QKD在接收到加密网桥发送的密钥充注请求后,使用安全存储介质向域内各加密网桥设备节点离线预充注大量的主密钥,密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各设备共享由相同密钥ID标识的相同的主密钥,建立主密钥池,并用密钥位图指示该条密钥是否已使用。
在一实施例中,所述加密网桥还包括:
接口定义模块,用于定义所述发送端加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。
需要说明的是,明端口收发的数据帧处理与一般网桥设备无差别,密端口除执行普通网桥接口的功能外,为新学习到的源MAC地址建立加密策略子表,并启动定时器定期清除在一段时间内再未从密端口接收到的源MAC对应的加密策略子表。
在一实施例中,所述加密封装模块14,包括:
加密封装单元,用于根据该对应的加密策略项对所述以太数据帧进行加密和封装处理后,帧格式为:新以太帧头+解密索引+分帧ID+原始以太帧+第二完整性校验值,新以太帧头的信息包括封装源MAC、封装目的MAC和封装帧协议类型,其中,第二完整性校验值为采用当前使用编号的会话密钥对整个以太帧采用带密钥的杂凑算法HMAC计算得到;
计数单元,用于利用所述新以太帧头中未被注册的比特位标注采用的会话密钥的编号,并对当前使用编号的会话密钥使用计数加1。
需要说明的是,发送端加密网桥设备节点对从密端口接受并从明端口转发的出站以太数据帧,首先根据出站的以太数据帧的源MAC查找到本地对应的加密策略子表(即以太数据帧的源MAC与加密策略子表源MAC相同),再根据以太数据帧的目的MAC从对应的加密策略子表中查找对应的加密策略项,如果没有命中对应的加密策略项则根据默认设置丢弃或明文转发,若查找到对应的加密策略项,则根据加密策略项进行以太数据帧的加密和封装处理。
需要说明的是,本发明所述加密网桥的其他实施例或具有实现方法可参照上述方法实施例1,此处不再赘余。
实施例5
如图6所示,本发明第五实施例提出了一种加密网桥,所述加密网桥作为接收端,包括:
策略协商帧接收模块21,用于接收第一加密网桥发送的策略协商帧,所述第一加密网桥与该接收端加密网桥为同一安全域;
策略刷新模块22,用于基于所述策略协商帧中的每条协商策略,对其本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
加密以太帧接收模块23,用于接收所述第一加密网桥发送的加密以太帧,所述加密以太帧为所述发送端加密网桥基于其本地对应的加密策略项对出站的以太数据帧进行加密封装得到;
解密解封模块24,用于根据所述加密以太帧的源MAC地址从其本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
需要说明的是,本实施例中接收方加密网桥对接收到的加密以太帧,首先基于加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表,然后基于对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,利用解密策略项对加密以太帧进行解密和解封装处理,通过利用加密网桥端口的MAC自动学习,结合采用组播的一点到多点策略分发方式,实现了安全域内成员间网络参数和安全参数的自动交换,在此基础上实现安全策略和会话密钥的自动生成,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题;并且通过在二层以太链路采用内外两层MAC地址的解密隧道解封装方式,实现了高安全高可靠的无IP二层安全通道。
在一实施例中,所述加密网桥还包括策略表建立模块,用于:
在加密网桥启动时,建立本地的加密策略表,所述加密策略表包括多条所述加密策略子表,每条所述加密策略子表的MAC地址对应于所述发送端加密网桥密端口接收以太数据帧的一个源MAC地址,初始建立的所述加密策略表中每条所述加密策略子表包括每条加密策略子表的MAC地址和会话密钥分量;
基于本地的所述加密策略表,建立对应的解密策略表,所述解密策略表包括多条所述解密策略子表,每条所述解密策略子表的MAC地址对应于本加密网桥明端口接收以太数据帧的一个源MAC地址,初始建立的所述解密策略表中的每条所述解密策略子表包括每条解密策略子表的MAC地址。
在一实施例中,加密策略表建立时,其中的每条加密策略子表建立时,仅存在子表源MAC地址和会话密钥分量,其表项的新增或更新来自于密钥协商帧;解密策略表建立时,每条解密策略子表仅存在子表源MAC地址,其表项的新增或更新来自于密钥协商帧和加密策略子表的表项。
具体地,所述加密策略子表中每条加密策略项包括目的MAC地址、目的MAC编号(2字节)、封装源MAC地址、封装目的MAC地址、当前使用会话密钥的编号、不同编号的会话密钥以及会话密钥对应的初始化向量及密钥使用计数;
所述解密策略子表中每条解密策略项包括解密索引、目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数。
其中,会话密钥的编号分别为0和1,每个编号的会话密钥的相关数据包括初始化向量及密钥使用计数;加密策略项中的目的MAC编号来自于接收到的同一安全域内的其他加密网网桥发送的密钥协商帧的源MAC编号,在本加密网桥本地的加密策略子表中不统一编号;而密钥协商帧中的源MAC地址来自于发出密钥协商帧的加密网桥的加密策略子表编号,即与加密策略子表为同一源MAC地址。
其中,在加密策略表的基础上建立解密策略表,该表由多个解密策略子表组成,每个解密策略子表由一个唯一的MAC地址表示,该MAC地址对应于本网桥明端口所接收以太帧的一个源MAC地址(对应于加密策略项中的封装目的MAC),叫做子表源MAC,不同的解密策略子表具有不同的子表源MAC。
解密策略子表由多个解密策略项组成,每个解密策略项包括4字节解密索引、目的MAC地址、原始(封装前)源MAC地址、原始(封装前)目的MAC地址、编号分别为0和1的两个会话密钥及会话密钥的初始化向量和密钥使用计数组成。
在一实施例中,所述解密策略表中每条所述解密策略子表的源MAC地址为对应的所述加密策略表中每条所述加密策略子表的封装目的MAC地址;所述解密策略子表中的解密策略项中的目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数来自所有的封装目的MAC地址为本解密策略子表对应源MAC地址的各条加密策略子表的加密策略项中的封装源MAC地址、目的MAC地址、加密策略子表对应的源MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;所述解密策略项中的4字节解密索引值由对应加密策略项的2字节加密策略子表编号和2字节目的MAC编号组成。
在一实施例中,所述加密网桥还包括密钥充注模块,用于:
向量子密钥分发网络发送密钥充注请求;
通过接收端加密网桥集成的第二安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
在一实施例中,在所述第一加密网桥发送的是利用主密钥加密后的协商策略帧时,接收端加密网桥首先从自身集成的第二安全存储介质中选取与主密钥ID对应的主密钥,对加密后的协商策略帧进行完整性检查并解密,得到协商策略帧。
需要说明的是,若完整性检查未通过,则直接终止本次数据传输过程。
本实施例中第二安全存储介质中存储的为经量子密钥分发网络预先充注的大量主密钥,第二安全存储介质可使用安全TF卡或安全U盾等大容量安全存储介质,量子密钥分发网络通过使用安全存储介质向域内各加密网桥设备节点离线预充注大量的主密钥,密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各加密网桥设备共享由相同密钥ID标识的相同的主密钥。
本实施例通过划分安全域并为安全域内各设备节点预充注大量相同的主密钥并随机使用,安全高效地解决了具有加密互通需求的网桥设备节点之间身份鉴别和分发会话密钥的问题。
在一实施例中,所述策略刷新模块22,包括:
加密策略刷新单元,用于基于所述策略协商帧中的每条协商策略,在所述第二加密网桥本地的所有加密策略子表中增加或更新一条加密策略项,加密策略项的编号从1开始递增,其中,所述加密策略项的目的MAC地址设置为协商策略中的加密策略子表源MAC,加密策略项的目的MAC编号设置为协商策略中加密策略子表编号,加密策略项的封装源MAC地址和封装目的MAC地址分别设置为所述第二加密网桥接收所述策略协商帧的接口MAC地址和该策略协商帧的源MAC地址,加密策略项的会话密钥分别由对应同一编号的加密策略子表的会话密钥分量与协商策略的会话密钥分量的异或值;
解密策略刷新单元,用于对应于每条由所述协商策略产生的加密策略项,在所述第二加密网桥本地的所有解密策略子表中增加或更新一条解密策略项。
需要说明的是,对于策略协商帧中的每一个协商策略,均在接收到该策略协商帧的加密网桥的所有加密策略子表中增加一条加密策略项,加密策略编号从1递增,加密策略的目的MAC地址设置为协商策略中的子表源MAC,如果加密策略子表中已有相同目的MAC的策略项,则更新该策略项,目的MAC是加密策略子表的主键,具备唯一性。
进一步地,在加密策略刷新单元中,会话密钥包括编号为0和编号为1的会话密钥,两个编号的会话密钥互为主备,更新或增加的加密策略项中的0号和1号会话密钥分别为同一编号的加密策略子表的会话密钥分量与协商策略的会话密钥分量的异或值,0或1号会话密钥分别产生0到1号初始化向量由下式产生:
初始化向量=E(会话密钥,(加密策略子表的源MAC|协商策略的子表源MAC)||(加密策略的封装源MAC|加密策略的封装目的MAC)||padding)
其中,上式中E(K,D)表示采用密钥K对数据D进行对称加密运算,padding为填充数据(将被加密数据长度填充为密码算法分组长度,填充方法为从0-9的10个数字依次反复直到满足长度要求)。
其中,初始采用0号会话密钥和初始化向量,并对当前使用密钥启用定时器和使用计数。当加密策略子表中有一条加密策略的定时器或使用计数超过阈值时,切换子表中所有加密策略当前使用密钥的编号,并通过实时采集随机数更新被切换的密钥编号对应的密钥分量。因为采用的是子表内密钥编号统一切换的方式,所以子表中的所有加密策略在同一时间是使用同一个密钥编号。
进一步地,在解密策略刷新单元中,如果加密策略项中的封装目的MAC没有对应的解密策略子表的子表源MAC,则新建源MAC为加密策略中的封装目的MAC的解密策略子表。具有相同封装目的MAC的加密策略(可位于不同的加密策略子表,同一张加密策略子表可具有多条封装目的MAC相同的加密策略)对应的解密策略位于同一张解密策略子表(子表源MAC即为该封装目的MAC)。
在一实施例中,所述加密网桥还包括接口定义模块,用于:
对加密网桥的各个以太接口定义类型:未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。
其中,明端口收发的数据帧处理与一般网桥设备无差别;密端口除执行普通网桥接口的功能外,为新学习到的源MAC地址建立加密策略子表,并启动定时器定期清除在一段时间内再未从密端口接收到的源MAC对应的加密策略子表。
在一实施例中,所述解密解封模块24包括:
解密策略查找单元,用于根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表;
需要说明的是,接收端加密网桥设备节点对从明端口接受的,目的MAC为本接口MAC地址,符合私有协议类型定义的入站以太数据帧进行解密和解封装处理,首先根据加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表。
整帧解密单元,在所述加密以太帧不是分帧时,根据该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据对应的解密策略项中的会话密钥,采用带密钥的密码杂凑算法HMAC对整个加密以太帧进行ICV完整性检查,并在完整性检查通过后对所述原始以太帧进行对称解密运算,得到原始以太帧并进行转发;
需要说明的是,如果不是分帧,则根据解密索引查找对应的解密策略项,如果没有命中对应的解密策略项,则根据默认设置丢弃或转发该加密以太帧;若查找到对应的解密策略项,则根据解密策略项,按以太帧协议字段第13比特位选取该解密策略的0号或1号会话密钥,先采用带密钥的密码杂凑算法HMAC对整个以太帧进行ICV完整性检查,通过后再对原始以太帧进行对称解密运算,若完整性检查未通过,则直接丢弃。然后将解密后的原始以太帧按照普通网桥设备的处理流程进行转发。
分帧解密单元,用于在所述加密以太帧是分帧时,在对应的解密策略子表的分帧表中查找具有相同分帧ID的以太帧,分别对将两个分帧进行解密和解封装处理后,得到两个原始分帧并拼接为一个完整的原始以太帧后进行转发。
需要说明的是,在接收到的加密以太帧是分帧的情况时,则在解密策略子表的分帧表中根据分帧ID的低15位查找是否具有相同分帧ID的以太帧。若没有相同的ID分帧则将该帧加入分帧表;若查找到相同ID的分帧,则将两个分帧分别进行解密策略查找、完整性检查和解密处理后,将两个原始分帧直接拼接为一个完整的原始以太帧,并按照普通网桥设备的处理流程进行转发。
需要说明的是,本发明所述加密网桥的其他实施例或具有实现方法可参照上述方法实施例2,此处不再赘余。
实施例6
如图7所示,本发明第六实施例提出了一种采用量子密钥分发的以太链路自组织加解密隧道实现系统,所述系统包括第一加密网桥1、第二加密网桥2、量子密钥分发系统3及管控平台4,所述第一加密网桥1和所述第二加密网桥2连接,所述第一加密网桥1和所述第二加密网桥2均与所述管控平台4连接,所述第一加密网桥1、所述第二加密网桥2和所述管控平台4分别与所述量子密钥分发系统3连接,其中:
所述管控平台4,用于提供所述第一加密网桥1、所述第二加密网桥2、密钥代理、量子网络节点的对应关系,以及进行安全域划分,并提供加密网桥的注册和身份绑定服务;
所述量子密钥分发系统3,用于提供主密钥充注和主密钥在线分发的代理功能;
所述第一加密网桥1,用于向所述第二加密网桥2发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量;
所述第二加密网桥2在接收所述策略协商帧后,用于基于所述策略协商帧中的每条协商策略,对所述第二加密网桥本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
所述第一加密网桥1,用于根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表,根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项,并根据该对应的加密策略项对所述以太数据帧进行加密封装处理,得到加密以太帧并发送至所述第二加密网桥;
所述第二加密网桥2接收所述加密以太帧后,用于根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
本实施例利用网桥端口的MAC自动学习,结合采用组播的一点到多点策略分发方式,实现了安全域内成员间网络参数和安全参数的自动交换,在此基础上实现安全策略和会话密钥的自动生成,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题;通过在二层以太链路采用内外两层MAC地址的加密隧道封装方式,实现了高安全高可靠的无IP二层安全通道。
需要说明的是,本实施例中的加密网桥:用于对通过网桥进行传输的用户以太数据帧进行隧道封装解封及加解密处理,由数据加解密处理、帧处理模块、策略管理模块、密钥更新、密钥注入等模块组成;
管控平台:用于提供加密网桥、密钥代理、量子网络节点的对应关系,进行安全域划分,并提供加密网桥的注册和身份绑定服务;
密钥代理:用于在量子密钥分发网络的节点不能直接提供密钥充注和在线密钥分发服务的情况下提供密钥充注和密钥在线分发的代理功能;
量子密钥分发网络:包含量子网络节点和量子网络链路控制中心,实现量子密钥生成与在线分发、量子密钥中继、量子密钥提供等服务;
量子网络节点:存储生成的量子密钥,接收密钥代理的密钥申请,向密钥代理提供密钥或直接提供密钥充注和密钥在线分发服务;
量子网络链路控制中心:可按照量子网络节点ID建立节点间的量子密钥分发及中继链路。
需要说明的是,本实施例所采用的密钥分发设备包括但基于但并不限于QKD密钥分发网络,本实施例涉及的密钥预充注功能可采用任何一种对称密钥管理系统及设备实现,本实施例涉及的对称密码算法和密码杂凑算法可采用符合国家密码管理规定的任意算法。
在一实施例中,如图8所示,所述加密网桥包括明端口、密端口、数据加解密处理模块、帧处理模块、策略管理模块、密钥更新模块、密钥注入模块,密钥注入模块连接有安全存储介质;其中:
未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口,明端口收发的数据帧处理与一般网桥设备无差别;密端口除执行普通网桥接口的功能外,为新学习到的源MAC地址建立加密策略子表,并启动定时器定期清除在一段时间内再未从密端口接收到的源MAC对应的加密策略子表;
帧处理模块,用于生成策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量;或用于基于所述策略协商帧中的每条协商策略,对所述第二加密网桥本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
策略管理模块,用于基于策略协商帧,进行策略表的刷新管理,策略表包括加密策略表和解密策略表;
数据加解密处理模块,用于根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表,根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项,并根据该对应的加密策略项对所述以太数据帧进行加密封装处理,得到加密以太帧并发送至所述第二加密网桥;或者接收所述加密以太帧,根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧;
密钥注入模块连接安全存储介质,用于通过安全存储介质获取量子密钥分发网络预先充注的主密钥,并基于主密钥构建主密钥池;
密钥更新模块,用于在达到密钥切换条件时,切换加密策略子表中所有加密策略当前使用密钥的编号,并通过实时采集随机数更新被切换的密钥编号对应的密钥分量。
需要说明的是,会话密钥包括编号为0和编号为1的两种互为主备的会话密钥,在通过对当前使用密钥启用定时器和使用计数,在当加密策略子表中有一条加密策略项的定时器或使用计数超过阈值时,则对当前使用编号的会话密钥进行切换。
以下根据图9,对本实施例提出的采用量子密钥分发的以太链路自组织加解密隧道实现系统的工作流程进行说明如下:
(1)划定安全域,通过量子密钥分发网络QKD,使用安全TF卡或安全U盾等大容量安全存储介质,向域内各加密网桥设备节点离线预充注大量的主密钥,密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各设备共享由相同密钥ID标识的相同的主密钥。
(2)往域内的加密网桥设备节点注入预充注的主密钥,建立主密钥池,并用密钥位图指示该条密钥是否已使用。
(3)对加密网桥的各个以太接口定义类型:未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。明端口收发的数据帧处理与一般网桥设备无差别;密端口除执行普通网桥接口的功能外,为新学习到的源MAC地址建立加密策略子表,并启动定时器定期清除在一段时间内再未从密端口接收到的源MAC对应的加密策略子表。
(4)加密网桥启动时,基于一般网桥的MAC学习机制建立加密策略表,该表由多个加密策略子表组成,每个子表由一个唯一的MAC地址表示,该MAC地址对应于本网桥密端口所接收以太帧的一个源MAC地址,叫做子表源MAC,不同的加密策略子表具有不同的子表源MAC。加密策略子表含有两个会话密钥分量,编为0号和1号,是从设备自带的随机数发生器定时采集更新的新鲜随机数。加密策略子表由多个加密策略项组成,每个策略项由目的MAC地址、目的MAC编号(2字节)、封装源MAC地址、封装目的MAC地址、当前使用密钥编号、编号分别为0和1的两个会话密钥相关数据(会话密钥及初始化向量、密钥使用计数)组成。其中,目的MAC编号来自于接受到其他加密网桥的密钥协商帧中的源MAC编号,在本子表中不统一编号。密钥协商帧中的源MAC编号来自于发出协商帧的加密网桥的加密策略子表编号(和加密策略子表同一源MAC)。
加密策略子表建立时,仅存在子表源MAC地址和会话密钥分量,其表项来自于密钥协商帧。
加密网桥转发从密端口接受的以太帧时,根据源MAC查找到加密策略子表,再由目的MAC查找加密策略项,由当前使用密钥编号的会话密钥对以太帧进行加密处理。加密策略子表从1开始统一编号,编号占用2字节,在本加密网桥为唯一值。
(5)在加密策略表的基础上建立解密策略表,该表由多个解密策略子表组成,每个子表由一个唯一的MAC地址表示,该MAC地址对应于本网桥明端口所接收以太帧的一个源MAC地址(对应于加密策略中的封装目的MAC),叫做子表源MAC,不同的解密策略子表具有不同的子表源MAC。解密策略子表由多个解密策略项组成,每个解密策略项由4字节解密索引、目的MAC地址、原始(封装前)源MAC地址、原始(封装前)目的MAC地址、编号分别为0和1的两个会话密钥(及初始化向量、密钥使用计数)组成。加密策略表(及子表、表项)与解密策略(及子表、表项项)的关系为:每个解密策略子表对应的源MAC来自于加密策略子表中的封装目的MAC,该解密策略子表中的解密策略项的目的MAC地址、原始(封装前)源MAC地址、原始(封装前)目的MAC地址以及编号分别为0和1的两个会话密钥来自于所有封装目的MAC为本解密策略子表对应源MAC的各加密策略子表的加密策略项中的封装源MAC地址、目的MAC地址、加密策略子表对应源MAC地址以及该加密策略项的编号分别为0和1的两个会话密钥(及初始化向量、密钥使用计数),解密策略项的4字节解密索引值由对应加密策略项的2字节加密策略子表编号和2字节目的MAC编号组成。
解密策略子表建立时,仅存在子表源MAC地址,其表项来自于密钥协商帧和加密策略子表的表项。
(6)加密网桥定期向安全域内的成员发送策略协商帧,每个策略协商帧由多条协商策略组成,每条策略对应本加密网桥的一个加密策略子表及其源MAC地址,其内容为该子表的源MAC地址和会话密钥分量。整个以太帧采用随机选取的主密钥加密(以太帧头不加密)并采用带密钥的杂凑算法HMAC计算校验值(包括帧头)。帧格式为:
14字节以太帧头(源MAC+目的MAC+帧类型)+1字节本帧策略计数/确认标记+4字节主密钥ID+k*(子表编号+子表源MAC+n字节子表会话密钥分量0+n字节子表会话密钥分量1)+ICV(完整性校验值)
整帧长度不能超过接口MTU,超过MTU则分成多帧发送。帧类型采用私有化定义,该帧源MAC为网桥发送接口的MAC,该帧的目的MAC也采用私有化定义的组播MAC地址。发送策略协商帧的时间间隔不大于会话密钥使用时间阈值的二分之一,每次连续发送三次相同的策略协商帧。本帧策略计数字节最多支持127条策略计数,该字节的最高位为是否需要确认标记。如该标记为1则接受方需要发送确认帧。如确认标记位为1,则发送方网桥启动定时器队列并将该帧加入队列定期重发,直至该帧失效(会话密钥过期失效)或所有安全域内的网桥均已回复确认帧。
(7)加密网桥接受到策略协商帧后,根据主密钥ID取出主密钥对该帧进行完整性检查并解密。对于策略协商帧中的每一个协商策略,均在接收到该帧的加密网桥的所有加密策略子表中增加一条加密策略项,加密策略编号从1递增,加密策略的目的MAC地址设置为协商策略中的子表源MAC(如果加密策略子表中已有相同目的MAC的策略项,则更新该策略项,目的MAC是加密策略子表的主键,具备唯一性),加密策略的目的MAC编号设置为协商策略中的子表编号,加密策略的封装源MAC地址和封装目的MAC地址分别设置为接受该策略协商帧的接口MAC地址和该策略协商帧的源MAC地址,加密策略的0号和1号会话密钥分别为同一编号的加密策略子表的会话密钥分量与协商策略的会话密钥分量的异或值,初始化向量由下式产生:
初始化向量=E(会话密钥,(加密策略子表的源MAC|协商策略的子表源MAC)||(加密策略的封装源MAC|加密策略的封装目的MAC)||padding)
上式中E(K,D)表示采用密钥K对数据D进行对称加密运算,padding为填充数据(将被加密数据长度填充为密码算法分组长度,填充方法为从0-9的10个数字依次反复直到满足长度要求)。0或1号会话密钥分别产生0到1号初始化向量。初始采用0号会话密钥和初始化向量,并对当前使用密钥启用定时器和使用计数。当加密策略子表中有一条加密策略的定时器或使用计数超过阈值时,切换子表中所有加密策略当前使用密钥的编号,并通过实时采集随机数更新被切换的密钥编号对应的密钥分量。因为采用的是子表内密钥编号同一切换的方式,所以子表中的所有加密策略在同一时间是使用同一个密钥编号。
(8)对应于每条由策略协商帧的协商策略产生的加密策略,按照S4中的方法增加或更新一条解密策略。如果加密策略中的封装目的MAC没有对应的解密策略子表(子表源MAC),则新建源MAC为加密策略中的封装目的MAC的解密策略子表。具有相同封装目的MAC的加密策略(可位于不同的加密策略子表,同一张加密策略子表可具有多条封装目的MAC相同的加密策略)对应的解密策略位于同一张解密策略子表(子表源MAC即为该封装目的MAC)。
(9)加密网桥设备节点对从密端口接受并从明端口转发的出站以太数据帧进行加密和封装处理。首先根据源MAC查找到加密策略子表(源MAC与加密策略子表源MAC相同),再根据目的MAC查找加密策略,如果没有命中则根据默认设置丢弃或明文转发。根据加密策略进行以太帧的加密和封装处理,具体帧格式如下:
14字节新以太帧头(封装源MAC+封装目的MAC+封装帧协议类型)+4字节解密索引+2字节分帧ID+原始以太帧+ICV(完整性校验值)
采用当前使用编号的会话密钥对整个以太帧采用带密钥的杂凑算法HMAC计算ICV完整性校验值(包括新以太帧头),对原始以太帧进行对称加密运算(加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),不增加额外数据)。对当前使用编号的会话密钥使用计数加1。
新以太帧头的协议类型字段(2字节)采用私有化定义,并依旧不占用协议类型字段第13比特位(以太帧协议类型字段从低到高共16比特位,第13比特位未被注册),利用该比特位标注采用的是0号或1号会话密钥。4字节解密索引的值为加密策略中解密索引值前后16位交换位置,即时间发送值为目的MAC编号||子表编号。
加密网桥为每个明端口维护一个2字节的分帧计数器(实际使用15比特位,当溢出15比特位时复位0)。在实际组帧前计算封装之后以太帧总长度,如果封装后新帧长度超过发送接口的MTU,则将发送接口的分帧计数器加1并赋值给分帧ID字段,并将分帧ID字段最高位置1,然后将原始以太帧分为两段数据进行封装和加密处理。处理后的两个新以太帧具有相同的封装源MAC、封装目的MAC、解密索引和分帧ID。未超过MTU则将分帧信息字段最高位置0。
(10)加密以太帧的接收端加密网桥设备节点对从明端口接受的,目的MAC为本接口MAC地址,符合私有协议类型定义的入站以太数据帧进行解密和解封装处理。
首先根据源MAC地址查找到解密策略子表(源MAC与解密策略子表源MAC相同),如果不是分帧,则再根据解密索引查找解密策略,如果没有命中则根据默认设置丢弃或转发。根据解密策略,并按以太帧协议字段第13比特位选取该解密策略的0号或1号会话密钥,先采用带密钥的密码杂凑算法HMAC对整个以太帧进行ICV完整性检查,通过后再对原始以太帧进行对称解密运算,否则丢弃。解密后的原始以太帧按照普通网桥设备的处理流程进行转发。
如果是分帧,则在解密策略子表的分帧表中根据分帧ID的低15位查找具有相同分帧ID的以太帧(为实现快速分帧查找,分帧表是一个具有215个元素的数组,每个元素由分帧ID和对应的以太帧组成,可根据分帧ID直接检索)。没有相同的ID分帧则将该帧加入分帧表。查找到相同ID的分帧,则将两个分帧分别按上文所述方法进行解密策略查找、完整性检查和解密处理后,将两个原始分帧直接拼接为一个完整的原始以太帧,并按照普通网桥设备的处理流程进行转发。
本实施例通过在特殊的网桥设备-加密网桥中使用量子密钥分发系统产生的大容量主密钥,并且采用自学习和自组织的策略生成和发布、密钥分发以及加密隧道建立方式,实现一种高安全性并且高效可靠的以太链路加密隧道传输方式。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (23)
1.一种采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,应用于发送端加密网桥,所述方法包括:
向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量;
根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表;
根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项;
根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥。
2.如权利要求1所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,在向所述第二加密网桥发送策略协商帧之前,所述方法还包括:
在发送端加密网桥启动时,建立本地的加密策略表,所述加密策略表包括多条所述加密策略子表,每条所述加密策略子表的MAC地址对应于所述发送端加密网桥密端口接收以太数据帧的一个源MAC地址,初始建立的所述加密策略表中每条所述加密策略子表包括每条加密策略子表的MAC地址和会话密钥分量;
基于本地的所述加密策略表,建立对应的解密策略表,所述解密策略表包括多条所述解密策略子表,每条所述解密策略子表的MAC地址对应于本加密网桥明端口接收以太数据帧的一个源MAC地址,初始建立的所述解密策略表中的每条所述解密策略子表包括每条解密策略子表的MAC地址。
3.如权利要求2所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,所述加密策略子表中每条加密策略项包括目的MAC地址、目的MAC编号、封装源MAC地址、封装目的MAC地址、当前使用会话密钥的编号、不同编号的会话密钥以及会话密钥对应的初始化向量及密钥使用计数;
所述解密策略子表中每条解密策略项包括解密索引、目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;
其中,所述解密策略表中每条所述解密策略子表的源MAC地址为对应的所述加密策略表中每条所述加密策略子表的封装目的MAC地址;所述解密策略子表中的解密策略项中的目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数来自所有的封装目的MAC地址为本解密策略子表对应源MAC地址的各条加密策略子表的加密策略项中的封装源MAC地址、目的MAC地址、加密策略子表对应的源MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;所述解密策略项中的解密索引包括对应加密策略项的加密策略子表编号和目的MAC编号。
4.如权利要求1所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,所述向所述第二加密网桥发送策略协商帧,包括:
根据本地的所述加密策略表中各条所述加密策略子表及其源MAC地址,生成所述策略协商帧;
从第一安全存储介质中随机选取主密钥,利用所述主密钥对所述策略协商帧除帧头以外的部分进行加密,并采用带密钥的杂凑算法计算所述策略协商帧的校验值后,得到加密的策略协商帧并发送至所述第二加密网桥,其中,所述第一安全存储介质集成于所述发送端加密网桥,加密后所述策略协商帧的格式为:以太帧头+本帧策略计数+主密钥ID+k*(加密策略子表编号+加密策略子表源MAC地址+子表会话密钥分量0+子表会话密钥分量1)+第一完整性校验值,以太帧头的信息包括源MAC地址、目的MAC地址和帧类型,所述本帧策略计数的字节最高位添加确认标记。
5.如权利要求4所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,向所述第二加密网桥发送加密的所述策略协商帧,包括:
在确定加密后的所述策略协商帧的长度超过发送接口MTU时,则将加密后的所述策略协商帧划分成多帧后发送至所述第二加密网桥;
其中,帧的类型采用私有化定义,帧的源MAC地址为所述第一加密网桥的发送接口的MAC地址,帧的目的地址为采用私有化定义的组播MAC地址。
6.如权利要求4所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,向所述第二加密网桥发送加密的所述策略协商帧,包括:
发送加密的所述策略协商帧的时间隔小于或等于会话密钥使用时间阈值的二分之一,且每次连续发送m次相同的加密后所述策略协商帧。
7.如权利要求4所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,在所述确认标记为1时,所述方法还包括:
接收所述第二加密网桥返回的确认帧;
启动定时器队列并将该加密策略协商帧加入所述定时器队列定期重发,直至所述加密策略协商帧失效或所述第二加密网桥均全部返回确认帧。
8.如权利要求1所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,在所述向所述第二加密网桥发送策略协商帧之前,所述方法还包括:
向量子密钥分发网络发送密钥充注请求;
通过发送端加密网桥集成的第一安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
9.如权利要求1所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,在所述向所述第二加密网桥发送策略协商帧之前,所述方法还包括:
定义所述发送端加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口;
其中,所述密端口用于将该端口学习到的源MAC地址加入到本地的加密策略子表,以及用于定期清除设定时间内未从该密端口接收到的源MAC地址对应的加密策略子表。
10.如权利要求1所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,所述根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥,包括:
根据该对应的加密策略项对所述以太数据帧进行加密和封装处理后,帧格式为:新以太帧头+解密索引+分帧ID+原始以太帧+第二完整性校验值,新以太帧头的信息包括封装源MAC、封装目的MAC和封装帧协议类型,其中,第二完整性校验值为采用当前使用编号的会话密钥对整个以太帧采用带密钥的杂凑算法HMAC计算得到;
利用所述新以太帧头中未被注册的比特位标注采用的会话密钥的编号,并对当前使用编号的会话密钥使用计数加1。
11.如权利要求10所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,在向所述第二加密网桥发送所述加密以太帧之前,所述方法还包括:
在实际组帧前计算封装之后以太帧总长度,如果封装后新帧长度超过发送接口的MTU,则将发送接口的分帧计数器加1并赋值给分帧ID字段,并将分帧ID字段最高位置1后将原始以太帧分为两段新以太帧数据进行封装和加密处理,两个所述新以太帧具有相同的封装源MAC、封装目的MAC、解密索引和分帧ID;
如果封装后新帧长度未超过发送接口的MTU,则将分帧ID字段最高位置0。
12.一种采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,应用于接收端加密网桥,所述方法包括:
接收第一加密网桥发送的策略协商帧,所述第一加密网桥与该接收端加密网桥为同一安全域;
基于所述策略协商帧中的每条协商策略,对其本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
接收所述第一加密网桥发送的加密以太帧,所述加密以太帧为所述发送端加密网桥基于其本地对应的加密策略项对出站的以太数据帧进行加密封装得到;
根据所述加密以太帧的源MAC地址从其本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
13.如权利要求12所述的采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,在所述接收第一加密网桥发送的策略协商帧之前,所述方法还包括:
发送端加密网桥启动时,建立本地的加密策略表,所述加密策略表包括多条所述加密策略子表,每条所述加密策略子表的MAC地址对应于所述发送端加密网桥密端口接收以太数据帧的一个源MAC地址,初始建立的所述加密策略表中每条所述加密策略子表包括每条加密策略子表的MAC地址和会话密钥分量;
基于本地的所述加密策略表,建立对应的解密策略表,所述解密策略表包括多条所述解密策略子表,每条所述解密策略子表的MAC地址对应于本加密网桥明端口接收以太数据帧的一个源MAC地址,初始建立的所述解密策略表中的每条所述解密策略子表包括每条解密策略子表的MAC地址。
14.如权利要求13所述的采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,所述加密策略子表中每条加密策略项包括目的MAC地址、目的MAC编号、封装源MAC地址、封装目的MAC地址、当前使用会话密钥的编号、不同编号的会话密钥以及会话密钥对应的初始化向量及密钥使用计数;
所述解密策略子表中每条解密策略项包括解密索引、目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;
其中,所述解密策略表中每条所述解密策略子表的源MAC地址为对应的所述加密策略表中每条所述加密策略子表的封装目的MAC地址;所述解密策略子表中的解密策略项中的目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数来自所有的封装目的MAC地址为本解密策略子表对应源MAC地址的各条加密策略子表的加密策略项中的封装源MAC地址、目的MAC地址、加密策略子表对应的源MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;所述解密策略项中的解密索引包括对应加密策略项的加密策略子表编号和目的MAC编号。
15.如权利要求12所述的采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,所述基于所述策略协商帧中的每条协商策略,对其本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新,包括:
基于所述策略协商帧中的每条协商策略,在所述第二加密网桥本地的所有加密策略子表中增加或更新一条加密策略项,加密策略项的编号从1开始递增,其中,所述加密策略项的目的MAC地址设置为协商策略中的加密策略子表源MAC,加密策略项的目的MAC编号设置为协商策略中加密策略子表编号,加密策略项的封装源MAC地址和封装目的MAC地址分别设置为所述第二加密网桥接收所述策略协商帧的接口MAC地址和该策略协商帧的源MAC地址,加密策略项的会话密钥分别由对应同一编号的加密策略子表的会话密钥分量与协商策略的会话密钥分量的异或值;
对应于每条由所述协商策略产生的加密策略项,在所述第二加密网桥本地的所有解密策略子表中增加或更新一条解密策略项。
16.如权利要求15所述的采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,在所述基于所述策略协商帧中的每条协商策略,对其本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新之前,所述方法还包括:
从第二安全存储介质中根据主密钥ID取出对应主密钥,并对该加密后的策略协商帧进行完整性检查和解密,得到所述策略协商帧。
17.如权利要求15所述的采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,在利用同一编号的加密策略子表的会话密钥分量与协商策略的会话密钥分量的异或值,得到加密策略项对应的会话密钥之后,所述方法还包括:
对当前使用的会话密钥启用定时器和使用计数;
当所述加密策略子表中有一条加密策略项的定时器超时或使用计数超过阈值时,切换该加密策略子表中所有加密策略当前使用的会话密钥的编号,并通过实时采集随机数更新被切换的密钥编号所对应的密钥分量。
18.如权利要求12所述的采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,所述根据所述加密以太帧的源MAC地址从其本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧,包括:
根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表;
在所述加密以太帧不是分帧时,根据该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据对应的解密策略项中的会话密钥,采用带密钥的密码杂凑算法HMAC对整个加密以太帧进行ICV完整性检查,并在完整性检查通过后对所述原始以太帧进行对称解密运算,得到原始以太帧并进行转发;
在所述加密以太帧是分帧时,在对应的解密策略子表的分帧表中查找具有相同分帧ID的以太帧,分别对将两个分帧进行解密和解封装处理后,得到两个原始分帧并拼接为一个完整的原始以太帧后进行转发。
19.如权利要求12所述的采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,在接收第一加密网桥发送的策略协商帧之前,所述方法还包括:
向量子密钥分发网络发送密钥充注请求;
通过接收端加密网桥集成的第二安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
20.一种采用量子密钥分发的以太链路自组织加解密隧道实现方法,其特征在于,第二加密网桥为第一加密网桥安全域内的成员,所述方法包括:
所述第一加密网桥向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量;
所述第二加密网桥接收所述策略协商帧,基于所述策略协商帧中的每条协商策略,对所述第二加密网桥本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
所述第一加密网桥根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表,根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项,并根据该对应的加密策略项对所述以太数据帧进行加密封装处理,得到加密以太帧并发送至所述第二加密网桥;
所述第二加密网桥接收所述加密以太帧,根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
21.一种加密网桥,其特征在于,所述加密网桥作为发送端,包括:
策略协商帧发送模块,用于向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量,所述第二加密网桥作为接收端加密网桥;
第一查找模块,用于对出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表;
第二查找模块,用于根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项;
加密封装模块,用于根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥。
22.一种加密网桥,其特征在于,所述加密网桥作为接收端,包括:
策略协商帧接收模块,用于接收第一加密网桥发送的策略协商帧,所述第一加密网桥与该接收端加密网桥为同一安全域;
策略刷新模块,用于基于所述策略协商帧中的每条协商策略,对其本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
加密以太帧接收模块,用于接收所述第一加密网桥发送的加密以太帧,所述加密以太帧为所述发送端加密网桥基于其本地对应的加密策略项对出站的以太数据帧进行加密封装得到;
解密解封模块,用于根据所述加密以太帧的源MAC地址从其本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
23.一种采用量子密钥分发的以太链路自组织加解密隧道实现系统,其特征在于,所述系统包括第一加密网桥、第二加密网桥、量子密钥分发系统及管控平台,所述第一加密网桥和所述第二加密网桥连接,所述第一加密网桥和所述第二加密网桥均与所述管控平台连接,所述第一加密网桥、所述第二加密网桥和所述管控平台分别与所述量子密钥分发系统连接,其中:
所述管控平台,用于提供所述第一加密网桥、所述第二加密网桥、密钥代理、量子网络节点的对应关系,以及进行安全域划分,并提供加密网桥的注册和身份绑定服务;
所述量子密钥分发系统,用于提供主密钥充注和主密钥在线分发的代理功能;
所述第一加密网桥,用于向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量;
所述第二加密网桥在接收所述策略协商帧后,用于基于所述策略协商帧中的每条协商策略,对所述第二加密网桥本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;
所述第一加密网桥,用于根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表,根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项,并根据该对应的加密策略项对所述以太数据帧进行加密封装处理,得到加密以太帧并发送至所述第二加密网桥;
所述第二加密网桥接收所述加密以太帧后,用于根据所述加密以太帧的源MAC地址从本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211425999.5A CN115733683A (zh) | 2022-11-15 | 2022-11-15 | 采用量子密钥分发的以太链路自组织加密隧道实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211425999.5A CN115733683A (zh) | 2022-11-15 | 2022-11-15 | 采用量子密钥分发的以太链路自组织加密隧道实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115733683A true CN115733683A (zh) | 2023-03-03 |
Family
ID=85295660
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211425999.5A Pending CN115733683A (zh) | 2022-11-15 | 2022-11-15 | 采用量子密钥分发的以太链路自组织加密隧道实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115733683A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116089989A (zh) * | 2023-04-10 | 2023-05-09 | 广东广宇科技发展有限公司 | 一种用于离线数据端的数据迭代加密处理方法 |
-
2022
- 2022-11-15 CN CN202211425999.5A patent/CN115733683A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116089989A (zh) * | 2023-04-10 | 2023-05-09 | 广东广宇科技发展有限公司 | 一种用于离线数据端的数据迭代加密处理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9571458B1 (en) | Anti-replay mechanism for group virtual private networks | |
| US7734052B2 (en) | Method and system for secure processing of authentication key material in an ad hoc wireless network | |
| US8386772B2 (en) | Method for generating SAK, method for realizing MAC security, and network device | |
| JP4159328B2 (ja) | ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 | |
| JP5607749B2 (ja) | ユーザ端末間の安全な接続の構築方法及びシステム | |
| US9832175B2 (en) | Group member recovery techniques | |
| US20080307110A1 (en) | Conditional BGP advertising for dynamic group VPN (DGVPN) clients | |
| US20180288013A1 (en) | End-to-end secured communication for mobile sensor in an iot network | |
| US9369490B2 (en) | Method for the secure exchange of data over an ad-hoc network implementing an Xcast broadcasting service and associated node | |
| JP2008104040A (ja) | 共通鍵生成装置および共通鍵生成方法 | |
| Moreira et al. | Security mechanisms to protect IEEE 1588 synchronization: State of the art and trends | |
| CN115766002A (zh) | 采用量子密钥分发及软件定义实现以太数据加解密的方法 | |
| CN115567205A (zh) | 采用量子密钥分发实现网络会话数据流加解密方法及系统 | |
| CN115733683A (zh) | 采用量子密钥分发的以太链路自组织加密隧道实现方法 | |
| US11652910B2 (en) | Data transmission method, device, and system | |
| CN116112202A (zh) | 采用自学习自组织方式实现以太数据加解密的方法 | |
| CN116055091A (zh) | 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及设备 | |
| CN115225414A (zh) | 基于ipsec的加密策略匹配方法、装置及通信系统 | |
| CN115567207A (zh) | 采用量子密钥分发实现组播数据加解密方法及系统 | |
| JP2018174550A (ja) | 通信システム | |
| CN115277200A (zh) | 一种链路层透明加密系统多节点密钥自动协商管理的方法 | |
| CN111093193B (zh) | 一种适用于Lora网络的MAC层安全通信的方法 | |
| JP4043997B2 (ja) | 暗号装置及びプログラム | |
| WO2023179174A1 (zh) | 一种报文传输方法及相关设备 | |
| US20230388118A1 (en) | Enhanced dual layer encryption for carrier networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |