CN116112202A - 采用自学习自组织方式实现以太数据加解密的方法 - Google Patents
采用自学习自组织方式实现以太数据加解密的方法 Download PDFInfo
- Publication number
- CN116112202A CN116112202A CN202211425981.5A CN202211425981A CN116112202A CN 116112202 A CN116112202 A CN 116112202A CN 202211425981 A CN202211425981 A CN 202211425981A CN 116112202 A CN116112202 A CN 116112202A
- Authority
- CN
- China
- Prior art keywords
- encryption
- frame
- ethernet
- key
- ethernet frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Abstract
本发明公开一种采用自学习自组织方式实现以太数据加密的方法,包括:向安全域内的接收方加密网桥发送策略通知以太帧,策略通知以太帧包括多条加密策略,每条加密策略包括发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;对出站的以太数据帧,从加密MAC表中取出与以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥;利用会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文。本发明实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
Description
技术领域
本发明涉及密码应用技术领域,具体涉及一种采用自学习自组织方式实现以太数据加解密的方法。
背景技术
IEEE802.1AE-MediaAccess Control(MAC)Security定义了一种MAC层安全标准,通过在以太包中插入安全标签,并对MAC地址之外的以太报文帧进行对称加密和完整性校验(Integrity CheckValue,ICV)来保护以太报文帧的机密性和完整性,并提供一定的抗重放攻击能力。IEEE802.1X–Port-BasedNetworkAccess Control中的MACsec KeyAgreementprotocol(MKA)部分定义了以太网络中实体密钥协商的方式,用于802.1AE MACsec加密和完整性保护密钥的建立。这两套协议结合起来形成了IEEE在以太网MAC层的安全解决方案。
但在实际使用过程中,这两套协议的部署实施并不广泛,存在以下问题:
(1)由于插入一个较长的安全标签,而且增加ICV部分,导致以太帧会超出接口的MTU最大传输单元,从而进一步导致掉包。
(2)用于加密以太报文帧的密钥是为实现MACsec协议的实体分配的,而不是为每个具备MAC地址的信源实体分配的,多个信源共享一个以太帧保护密钥,并且该密钥只和实现MACsec协议的实体相关。
(3)MKA在一个组内共享一个用于保护协商过程的对称密钥,使用一段时间后才能更新密钥,使用上有一定的重复性。
相关技术中,公布号为CN102130768A的中国发明专利申请文献记载了一种具有链路层加解密能力的终端设备及其数据处理方法,该具终端设备包括链路层处理模块,链路层处理模块包括控制模块、数据帧加密处理模块、数据帧解密处理模块、密钥管理模块、算法模块、发端口和收端口;控制模块通过数据帧加密处理模块接入发端口;收端口通过数据帧解密处理模块接入控制模块;控制模块和密钥管理模块相连;数据帧加密处理模块通过密钥管理模块和数据帧解密处理模块相连;数据帧加密处理模块通过算法模块和数据帧解密处理模块相连。该方案提出的方法是基于预共享密钥和预配置加密策略,但没有提供具体的密钥分发协议。
发明内容
本发明所要解决的技术问题在于如何实现无需管理中心的加密策略自动生成和分发,解决无IP地址的二层以太网设备安全策略分发和管理问题。
本发明通过以下技术手段实现解决上述技术问题的:
第一方面,本发明提出了一种采用自学习自组织方式实现以太数据加密的方法,在加密网桥作为发送方时,所述方法包括:
向安全域内的接收方加密网桥发送策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥;
利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文。
本发明主要针对不具备IP地址从而无法通过常规方式分发密钥的二层以太帧加密的应用场景,通过网桥端口的MAC自动学习并基于不同的源MAC产生不同的会话密钥,基于源MAC地址进行数据加密并自动学习形成加密策略,通过组播方式实现域内设备节点之间的自动密钥分发,实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
进一步地,所述向安全域内的接收方加密网桥发送策略通知以太帧,包括:
基于本地加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量,构建策略通知以太帧,其中,两条会话密钥的编号分别为0和1;
从其自身设置的主密钥池中选取主密钥对所述策略通知以太帧进行加密,并采用带密钥的杂凑算法计算完整性校验值,得到策略通知报文;
其中,所述策略通知报文携带信息包括:以太帧头、本帧策略计数/确认标记、主密钥ID、源MAC地址、与源MAC地址对应的两条会话密钥及初始化向量以及完整性校验值,所述以太帧头的信息包括源MAC地址、目的MAC地址和帧类型,所述源MAC地址为加密网桥发送接口的MAC地址,所述目的MAC地址为采用私有化定义的组播MAC地址。
进一步地,所述向安全域内的接收方加密网桥发送策略通知以太帧,包括:
判断所述策略通知以太帧的长度是否超过接口MTU;
在确定超过接口MTU时,对所述策略通知以太帧进行分片处理。
进一步地,向安全域内的接收方加密网桥发送策略通知以太帧的时间间隔小于或等于所述会话密钥使用时间阈值的二分之一,并连续发送n次相同的策略通知以太帧,n为正整数。
进一步地,在所述利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文之后,所述方法还包括:
对当前使用的所述会话密钥的使用时间和使用次数进行记录;
在使用时间或使用次数超过对应的阈值时,则利用加密网桥自身的随机数发生器所产生的随机数刷新当前使用的所述会话密钥;
将当前使用的所述会话密钥切换为另一个编号的会话密钥。
进一步地,所述策略通知以太帧的字节的最高位添加确认标记,以使接收方加密网桥根据所述确认标记判断是否需要发送确认帧。
进一步地,在所述确认标记为需要所述接收方加密网桥发送确认帧时,所述方法还包括:
发送方加密网桥启动定时器队列,并将所述策略通知以太帧加入队列定期重发,直至所述策略通知以太帧失效或安全域内所有接收方加密网桥均已回复所述确认帧。
进一步地,所述利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文,包括:
基于所述当前使用的会话密钥对出站的所述以太数据帧进行加密,加密模式为CBC算法结合CFB算法;
在以太帧协议字段中未被注册的比特位标注所述会话密钥的编号,并将所述会话密钥的使用计数增加1。
进一步地,在所述向安全域内的接收方加密网桥发送策略通知以太帧之前,所述方法还包括:
向量子密钥分发网络发送密钥充注请求;
通过发送方加密网桥集成的第一安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
进一步地,在所述向安全域内的接收方加密网桥发送策略通知以太帧之前,所述方法还包括:
定义所述发送方加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口,所述密端口用于将该端口学习到的源MAC地址加入到本地的加密MAC表。
进一步地,在所述向安全域内的接收方加密网桥发送策略通知以太帧之前,所述方法还包括:
通过管理通道连接所述管控平台,并向所述管控平台发送注册报文,进行注册。
本发明主要针对不具备IP地址从而无法通过常规方式分发密钥的二层以太帧加密的应用场景,通过网桥端口的MAC自动学习并基于不同的源MAC产生不同的会话密钥,基于源MAC地址进行数据加密并自动学习形成加密策略,通过组播方式实现域内设备节点之间的自动密钥分发,实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
第二方面,本发明提出了一种采用自学习自组织方式实现以太数据解密的方法,在加密网桥作为接收方时,所述方法包括:
接收同一安全域内发送方加密网桥发送的策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
根据所述策略通知以太帧,将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表;
接收所述发送方加密网桥发送的出站加密报文,所述出站加密报文为采用当前使用编号的会话密钥对出站以太数据帧进行加密并以太帧协议字段中标注该会话密钥的编号得到;
从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
进一步地,所述策略通知以太帧的格式为以太帧头、本帧策略计数/确认标记、主密钥ID、源MAC地址、与源MAC地址对应的两条会话密钥及初始化向量以及完整性校验值,其中,所述主密钥ID来自所述发送方加密网桥自身主密钥池;
相应地,所述根据所述策略通知以太帧,将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表,包括:
根据所述主密钥ID从自身主密钥池中选取对应的主密钥,对所述完整性校验值进行完整性检查;
在完整性检查通过后,利用所述主密钥对所述策略通知以太帧进行解密,得到每条源MAC地址及对应的两条会话密钥及初始化向量;
将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表,刷新所述解密MAC表。
进一步地,在所述接收同一安全域内发送方加密网桥发送的策略通知以太帧之后,所述方法还包括:
根据所述策略通知以太帧字节最高位的确认标记,向所述接收方加密网桥发送确认帧,其中,所述确认帧的内容为所述策略通知以太帧的完整性校验值,所述确认帧的目的MAC地址为所述策略通知以太帧的源MAC地址,所述确认帧的源MAC地址为接收所述策略通知以太帧并发送所述确认帧的接口MAC地址。
进一步地,所述从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密,包括:
从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥;
利用所述会话密钥对入站的所述加密报文进行对称解密运算,并对所述会话密钥使用计数加1。
进一步地,在所述接收同一安全域内发送方加密网桥发送的策略通知以太帧之前,所述方法还包括:
向量子密钥分发网络发送密钥充注请求;
通过接收方加密网桥集成的第二安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
进一步地,在所述接收同一安全域内发送方加密网桥发送的策略通知以太帧之前,所述方法还包括:
定义所述接收方加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。
第三方面,本发明提出了一种采用自学习自组织方式实现以太数据加解密的方法,所述方法包括:
发送方加密网桥向安全域内的接收方加密网桥发送策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
接收方加密网桥接收所述策略通知以太帧,并将每一条源MAC地址及对应的两条会话密钥及初始化向量加入解密MAC表;
发送方加密网桥对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥,并利用该会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号;
接收方加密网桥接收入站的加密报文,并从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
第四方面,本发明提出了一种加密网桥,所述加密网桥包括:
策略通知以太帧发送模块,用于向安全域内的接收方加密网桥发送策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
会话密钥获取模块,用于对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥;
数据加解密模块,用于利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文。
第五方面,本发明提出了一种加密网桥,所述加密网桥包括:
策略通知以太帧接收模块,用于接收同一安全域内发送方加密网桥发送的策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
MAC表管理模块,用于根据所述策略通知以太帧,将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表;
加密报文接收模块,用于接收所述发送方加密网桥发送的出站加密报文,所述出站加密报文为采用当前使用编号的会话密钥对出站以太数据帧进行加密并以太帧协议字段中标注该会话密钥的编号得到;
数据加解密模块,用于从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
第六方面,本发明提出了一种采用自学习自组织方式实现以太数据加解密的系统,所述系统包括发送方加密网桥、接收方加密网桥、管控平台和量子密钥分发网络,所述发送方加密网桥与所述接收方加密网桥连接,且所述发送方加密网桥与所述接收方加密网桥均与所述管控平台和所述量子密钥分发网络连接,所述发送方加密网桥和所述接收方加密网桥均设置有主密钥池,所述主密钥池中存储有经所述量子密钥分发网络预先充注的主密钥;
所述管控平台,用于进行安全域划分,并提供所述发送方加密网桥和所述接收方加密网桥的注册和身份绑定服务;
所述发送方加密网桥,用于向所述接收方加密网桥发送经所述主密钥加密后的策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
所述接收方加密网桥,用于接收所述策略通知以太帧,并将每一条源MAC地址及对应的两条会话密钥及初始化向量加入解密MAC表;
所述发送方加密网桥,用于对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥,并利用该会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号;
所述接收方加密网桥,用于接收入站的加密报文,并从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
本发明的优点在于:
(1)本发明主要针对不具备IP地址从而无法通过常规方式分发密钥的二层以太帧加密的应用场景,通过网桥端口的MAC自动学习并基于不同的源MAC产生不同的会话密钥,基于源MAC地址进行数据加密并自动学习形成加密策略,通过组播方式实现域内设备节点之间的自动密钥分发,实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
(2)每个加密策略通过主备两个会话密钥的切换以及对以太帧进行透明加解密,实现对二层网络业务的不中断零介入,实现最小限度影响。
(3)通过划分安全域并为安全域内各设备节点预充注大量相同的主密钥并随机使用,安全高效地解决了具有加密互通需求的网桥设备节点之间身份鉴别和分发会话密钥的问题。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一实施例提出的采用自学习自组织方式实现以太数据加密的方法的流程示意图;
图2是本发明第二实施例提出的采用自学习自组织方式实现以太数据解密的方法的流程示意图;
图3是本发明第三实施例提出的采用自学习自组织方式实现以太数据加解密的方法的流程示意图;
图4是本发明第四实施例提出的加密网桥的结构示意图;
图5是本发明第五实施例提出的加密网桥的结构示意图;
图6是本发明第六实施例提出的采用自学习自组织方式实现以太数据加解密的系统的结构示意图;
图7是本发明第六实施例中加密网桥的结构示意图;
图8是本发明第六实施例提出的采用自学习自组织方式实现以太数据加解密的系统的工作流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本发明第一实施例提出了一种采用自学习自组织方式实现以太数据加密的方法,在加密网桥作为发送方时,所述方法包括以下步骤:
S101、向安全域内的接收方加密网桥发送策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
需要说明的是,加密MAC表记录需要加密的以太帧的源MAC地址,该表的每个MAC地址对应两个会话密钥及初始化向量(0号和1号密钥),用来加密以该MAC地址为源MAC的以太数据帧。
S102、对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥;
S103、利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文。
本实施例主要针对不具备IP地址从而无法通过常规方式分发密钥的二层以太帧加密的应用场景,通过网桥端口的MAC自动学习并基于不同的源MAC产生不同的会话密钥,基于源MAC地址进行数据加密并自动学习形成加密策略,通过组播方式实现域内设备节点之间的自动密钥分发,实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
另外,本实施例用于数据加密的会话密钥既不是采用协商方式也不是采用集中分发方式产生,而是由源端设备为该设备直接连接的每个源MAC自动产生并向全网推送,而由全网统一预充注的大容量量子密钥来保证会话密钥的安全传送。加密策略也是由源端设备为该设备直接连接的每个源MAC自动产生并向全网推送,而且是基于源MAC的加密策略。这样实现了自学习自组织的全网密钥和加密策略分发,具有效率高、全自动、去中心化、无需寻址的优点。并且所采用主备两条密钥的方式可以实现通信不中断的密钥更新,同时采用透明加解密方式,无需更改以太帧格式。
在一实施例中,所述步骤S101:向安全域内的接收方加密网桥发送策略通知以太帧,包括以下步骤:
S11、基于本地加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量,构建策略通知以太帧,其中,两条会话密钥的编号分别为0和1;
需要说明的是,每条加密策略由本网桥加密MAC表中的源MAC地址及对应的两条会话密钥组成,多条加密策略组成一个策略通知以太帧。
S12、从其自身设置的主密钥池中选取主密钥对所述策略通知以太帧进行加密,并采用带密钥的杂凑算法计算完整性校验值,得到策略通知报文;
其中,整个以太帧采用随机选取的主密钥加密(以太帧头不加密)并采用带密钥的杂凑算法HMAC计算校验值(包括帧头),所述策略通知报文的帧格式为:14字节以太帧头(源MAC地址+目的MAC地址+帧类型)+1字节本帧策略计数/确认标记+4字节主密钥ID+k*(源MAC地址+2n字节密钥+2n字节初始化向量)+ICV(完整性校验值),k表示本数据包包括的加密策略和会话密钥的数量。
所述源MAC地址为加密网桥发送接口的MAC地址,所述目的MAC地址为采用私有化定义的组播MAC地址,主密钥池中存储的主密钥为量子密钥分发系统预先充注的量子密钥。
在一实施例中,所述步骤S101:向安全域内的接收方加密网桥发送策略通知以太帧,还包括以下步骤:
判断所述策略通知以太帧的长度是否超过接口MTU;
在确定超过接口MTU时,对所述策略通知以太帧进行分片处理。
在一实施例中,向安全域内的接收方加密网桥发送策略通知以太帧的时间间隔小于或等于所述会话密钥使用时间阈值的二分之一,并连续发送n次相同的策略通知以太帧,n为正整数。
具体地,策略通知以太帧的发送时间间隔不大于会话密钥使用时间阈值的二分之一,每次连续发送三次相同的策略通知报文,可在密钥过期之前更新,避免通信中断;通过设置连续发送三次,避免因丢包错过密钥更新。
在一实施例中,在所述步骤S103:利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文之后,所述方法还包括以下步骤:
对当前使用的所述会话密钥的使用时间和使用次数进行记录;
在使用时间或使用次数超过对应的阈值时,则利用加密网桥自身的随机数发生器所产生的随机数刷新当前使用的所述会话密钥;
将当前使用的所述会话密钥切换为另一个编号的会话密钥。
需要说明的是,加密MAC表中每个源MAC在一段时间内使用的加密会话密钥固定为0号或1号,当前使用的密钥启用定时器和使用计数,当使用时间或使用计数超过阈值时,从加密网桥设备自身的随机数发生器采集新产生的随机数刷新当前密钥,并将当前使用密钥切换为另外一个编号的密钥。即,如果当前使用0号密钥,密钥到期后刷新0号密钥,并使用1号密钥。加密网桥启动后根据密端口学习到的源MAC地址建立加密MAC表并结合定时器不断刷新表项,即新增新学习到的源MAC并清除表中在一段时间内再未从密端口接收到的源MAC。
需要说明的是,每个加密策略通过主备两个密钥的切换以及对以太帧进行透明加解密,实现对二层网络业务的不中断零介入,实现最小限度影响。
在一实施例中,所述策略通知以太帧的字节的最高位添加确认标记,以使接收方加密网桥根据所述确认标记判断是否需要发送确认帧。
需要说明的是,策略通知以太帧的策略计数字节最多支持127条策略计数,该字节的最高位为是否需要确认标记。如该标记为1则接受方加密网桥需要发送确认帧,并且发送方加密网桥启动定时器队列并将该帧加入队列定期重发,直至该帧失效(会话密钥更新)或所有安全域内的网桥均已回复确认帧;若标记为0则不需接收方加密网桥回复确认帧,通过在策略计数字节最高位添加是否需要确认标记,可在收到确认帧之前不断重发,确保接受。
在一实施例中,所述步骤S103:利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文,具体包括以下步骤:
S131、基于所述当前使用的会话密钥对出站的所述以太数据帧进行加密,加密模式为CBC算法结合CFB算法;
S132、在以太帧协议字段中未被注册的比特位标注所述会话密钥的编号,并将所述会话密钥的使用计数增加1。
需要说明的是,作为发送方的加密网桥设备节点对源MAC地址匹配加密MAC表的出站(通过任意明端口转发)的以太数据帧进行加密处理,即从加密MAC表中取出匹配该帧源MAC的项中当前使用编号(初始为0,之后依次在0/1之间切换)的会话密钥加密,并在以太帧协议字段第13比特位(以太帧协议字段从低到高共16比特位,第13比特位未被注册)标注采用的是该源MAC对应的0号或1号会话密钥,对该会话密钥使用计数加1。加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),不增加任何额外数据。
在一实施例中,在所述步骤S101:向安全域内的接收方加密网桥发送策略通知以太帧之前,所述方法还包括以下步骤:
向量子密钥分发网络发送密钥充注请求;
通过发送方加密网桥集成的第一安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
需要说明的是,通过量子密钥分发网络向第一安全存储介质充注大量的量子密钥,所述第一安全存储介质使用安全TF卡或安全U盾等大容量安全存储介质,主密钥的密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各设备共享由相同密钥ID标识的相同的主密钥。
本实施例通过预充注大量主密钥实现会话密钥分发过程的一次一密和域内设备间身份鉴别,从而实现了轻量高效的以太数据帧加密传输。
在一实施例中,在所述步骤S101:向安全域内的接收方加密网桥发送策略通知以太帧之前,所述方法还包括:
定义所述发送方加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口,所述密端口用于将该端口学习到的源MAC地址加入到本地的加密MAC表。
需要说明的是,明端口收发的数据帧处理与一般网桥设备无差别,密端口除执行普通网桥接口的功能外,将学习到的源MAC地址加入到加密MAC表,采集由自带随机数发生器随机产生0号和1号会话密钥,并启动定时器定期清除表中在一段时间内再未从密端口接收到的源MAC。
在一实施例中,在所述步骤S101:向安全域内的接收方加密网桥发送策略通知以太帧之前,所述方法还包括:
通过管理通道连接所述管控平台,并向所述管控平台发送注册报文,进行注册。
需要说明的是,由管控平台划定安全域,并接收安全域内各加密网桥的注册请求,以完成各加密网桥的注册。
通过划分安全域并为安全域内各设备节点预充注大量相同的主密钥并随机使用,安全高效地解决了具有加密互通需求的网桥设备节点之间身份鉴别和分发会话密钥的问题。
实施例2
如图2所示,本发明第二实施例提出了一种采用自学习自组织方式实现以太数据解密的方法,在加密网桥作为接收方时,所述方法包括以下步骤:
S201、接收同一安全域内发送方加密网桥发送的策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
S202、根据所述策略通知以太帧,将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表;
S203、接收所述发送方加密网桥发送的出站加密报文,所述出站加密报文为采用当前使用编号的会话密钥对出站以太数据帧进行加密并以太帧协议字段中标注该会话密钥的编号得到;
S204、从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
本实施例主要针对不具备IP地址从而无法通过常规方式分发密钥的二层以太帧加密的应用场景,通过网桥端口的MAC自动学习并基于不同的源MAC产生不同的会话密钥,基于源MAC地址进行数据解密并自动学习形成加密策略,通过组播方式实现域内设备节点之间的自动密钥分发,实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
在一实施例中,所述策略通知以太帧的格式为以太帧头、本帧策略计数/确认标记、主密钥ID、源MAC地址、与源MAC地址对应的两条会话密钥及初始化向量以及完整性校验值,其中,所述主密钥ID来自所述发送方加密网桥自身主密钥池;
相应地,所述步骤S202:根据所述策略通知以太帧,将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表,包括以下步骤:
S221、根据所述主密钥ID从自身主密钥池中选取对应的主密钥,对所述完整性校验值进行完整性检查;
S222、在完整性检查通过后,利用所述主密钥对所述策略通知以太帧进行解密,得到每条源MAC地址及对应的两条会话密钥及初始化向量;
S223、将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表,刷新所述解密MAC表。
需要说明的是,作为接收方的加密网桥接受到策略通知以太帧后,根据主密钥ID取出主密钥对该帧进行完整性检查并解密,将得到的每一条源MAC及对应的两个密钥和初始化向量加入到解密MAC表,即新增或更新解密MAC表中具有相同源MAC的表项。
在一实施例中,在所述接收同一安全域内发送方加密网桥发送的策略通知以太帧之后,所述方法还包括:
根据所述策略通知以太帧字节最高位的确认标记,向所述接收方加密网桥发送确认帧,其中,所述确认帧的内容为所述策略通知以太帧的完整性校验值,所述确认帧的目的MAC地址为所述策略通知以太帧的源MAC地址,所述确认帧的源MAC地址为接收所述策略通知以太帧并发送所述确认帧的接口MAC地址。
具体地,如果策略通知以太帧的需要确认标记位为1,则接受策略的加密网桥需发送确认帧,该帧目的MAC为策略通知帧源MAC,源MAC为接受该帧并发出确认帧的接口MAC,确认帧的内容为策略通知帧的完整性校验值ICV。
在一实施例中,所述步骤S204:从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密,包括以下步骤:
S241、从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥;
S242、利用所述会话密钥对入站的所述加密报文进行对称解密运算,并对所述会话密钥使用计数加1。
需要说明的是,作为接收方的加密网桥设备节点对源MAC地址匹配解密MAC表的入站(通过任意明端口接受)的以太数据帧进行解密处理,即从解密MAC表中选取匹配该帧源MAC的项,并根据以太帧协议字段第13比特位从该项中选取该源MAC对应的0号或1号会话密钥,对该帧进行对称解密运算,并对该会话密钥使用计数加1。
在一实施例中,在所述步骤S201:接收同一安全域内发送方加密网桥发送的策略通知以太帧之前,所述方法还包括以下步骤:
向量子密钥分发网络发送密钥充注请求;
通过接收方加密网桥集成的第二安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
需要说明的是,通过量子密钥分发网络向第二安全存储介质充注大量的量子密钥,所述第一安全存储介质使用安全TF卡或安全U盾等大容量安全存储介质,主密钥的密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各设备共享由相同密钥ID标识的相同的主密钥。
本实施例通过预充注大量主密钥实现会话密钥分发过程的一次一密和域内设备间身份鉴别,从而实现了轻量高效的以太数据帧加密传输。
在一实施例中,在所述步骤S201:接收同一安全域内发送方加密网桥发送的策略通知以太帧之前,所述方法还包括:
定义所述接收方加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。
实施例3
如图3所示,本发明第三实施例提出了一种采用自学习自组织方式实现以太数据加解密的方法,所述方法包括以下步骤:
S301、发送方加密网桥向安全域内的接收方加密网桥发送策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
S302、接收方加密网桥接收所述策略通知以太帧,并将每一条源MAC地址及对应的两条会话密钥及初始化向量加入解密MAC表;
S303、发送方加密网桥对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥,并利用该会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号;
S304、接收方加密网桥接收入站的加密报文,并从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
本实施例主要针对不具备IP地址从而无法通过常规方式分发密钥的二层以太帧加密的应用场景,通过网桥端口的MAC自动学习并基于不同的源MAC产生不同的会话密钥,基于源MAC地址进行数据解密并自动学习形成加解密策略,通过组播方式实现域内设备节点之间的自动密钥分发,实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
在一实施例中,所述步骤S301:发送方加密网桥向安全域内的接收方加密网桥发送策略通知以太帧,具体包括:
发送方加密网桥定期向安全域内的成员发送本网桥的加密策略,每条加密策略由本网桥加密MAC表中的源MAC地址及对应的两条会话密钥组成,多条加密策略组成一个策略通知以太帧,整个以太帧采用随机选取的主密钥加密(以太帧头不加密)并采用带密钥的杂凑算法HMAC计算校验值(包括帧头),帧格式为:14字节以太帧头(源MAC地址+目的MAC地址+帧类型)+1字节本帧策略计数/确认标记+4字节主密钥ID+k*(源MAC+2n字节密钥+2n字节初始化向量)+ICV(完整性校验值)。
其中,帧类型采用私有化定义,该帧源MAC为网桥发送接口的MAC,该帧的目的MAC也采用私有化定义的组播MAC地址。
在一实施例中,所述步骤S301:发送方加密网桥向安全域内的接收方加密网桥发送策略通知以太帧,还包括:
判断策略通知以太帧整帧长度,若超过接口MTU则分成多帧发送;
发送策略的时间间隔不大于会话密钥使用时间阈值的二分之一,每次连续发送三次相同的策略通知报文。
在一实施例中,策略通知以太帧的策略计数字节最多支持127条策略计数,该字节的最高位为是否需要确认标记。如该标记为1则接受方需要发送确认帧,且发送方网桥启动定时器队列并将该帧加入队列定期重发,直至该帧失效(会话密钥更新)或所有安全域内的网桥均已回复确认帧。
在一实施例中,所述步骤S302:接收方加密网桥接收所述策略通知以太帧,并将每一条源MAC地址及对应的两条会话密钥及初始化向量加入解密MAC表,具体包括以下步骤:
接收方加密网桥接受到策略通知帧后,根据主密钥ID取出主密钥对该帧进行完整性检查并解密;
将得到的每一条源MAC及对应的两个密钥和初始化向量加入到解密MAC表,即新增或更新解密MAC表中具有相同源MAC的表项。
在一实施例中,所述接收方加密网桥在接收到策略通知以太帧后,如果策略通知以太帧的需要确认标记位为1,则接受策略的加密网桥需发送确认帧,该帧目的MAC为策略通知帧源MAC,源MAC为接受该帧并发出确认帧的接口MAC,确认帧的内容为策略通知帧的完整性校验值ICV。
在一实施例中,所述步骤S303:发送方加密网桥对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥,并利用该会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,包括以下步骤:
发送方加密网桥设备节点对源MAC地址匹配加密MAC表的出站(通过任意明端口转发)的以太数据帧进行加密处理,即从加密MAC表中取出匹配该帧源MAC的项中当前使用编号(初始为0,之后依次在0/1之间切换)的会话密钥加密;
在以太帧协议字段第13比特位(以太帧协议字段从低到高共16比特位,第13比特位未被注册)标注采用的是该源MAC对应的0号或1号会话密钥,对该会话密钥使用计数加1。
其中,加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),不增加任何额外数据。
在一实施例中,所述步骤S304:接收方加密网桥接收入站的加密报文,并从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密,具体包括:
接收方加密网桥设备节点对源MAC地址匹配解密MAC表的入站(通过任意明端口接受)的以太数据帧进行解密处理,即从解密MAC表中选取匹配该帧源MAC的项,并根据以太帧协议字段第13比特位从该项中选取该源MAC对应的0号或1号会话密钥,对该帧进行对称解密运算,并对该会话密钥使用计数加1。
在一实施例中,发送方加密网桥本地加密MAC表中每个源MAC在一段时间内使用的加密会话密钥固定为0号或1号,当前使用的会话密钥启用定时器和使用计数,当使用时间或使用计数超过阈值时,从加密网桥设备自身的随机数发生器采集新产生的随机数刷新当前密钥,并将当前使用密钥切换为另外一个编号的密钥。
例如:如果当前使用0号密钥,密钥到期后刷新0号密钥,并使用1号密钥。加密网桥启动后根据密端口学习到的源MAC地址建立加密MAC表并结合定时器不断刷新表项,即新增新学习到的源MAC并清除表中在一段时间内再未从密端口接收到的源MAC。
本实施例中,在加密网桥的MAC学习机制之外单独建立两张MAC表,一张为加密MAC表,一张为解密MAC表。其中:加密MAC表记录需要加密的以太帧的源MAC地址,该表的每个MAC地址对应两个会话密钥及初始化向量(0号和1号密钥),用来加密以该MAC地址为源MAC的以太数据帧;解密MAC表记录需要解密的以太帧的源MAC地址,该表的每个MAC地址对应两个会话密钥(0号和1号密钥)并有使用计数,用来解密以该MAC地址为源MAC的以太数据帧。
在一实施例中,在所述步骤S301之前,所述方法还包括:
定义加密网桥的各个以太接口类型:未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。明端口收发的数据帧处理与一般网桥设备无差别;密端口除执行普通网桥接口的功能外,将学习到的源MAC地址加入到加密MAC表,采集新鲜随机数产生0号和1号会话密钥,并启动定时器定期清除表中在一段时间内再未从密端口接收到的源MAC。
在一实施例中,在所述步骤S301之前,所述方法还包括:
发送方加密网桥和接收方加密网桥向管控平台发送注册报文,以完成注册。
在一实施例中,在所述步骤S301之前,所述方法还包括:
发送方加密网桥和接收方加密网桥分别向量子密钥分发网络发送密钥充注请求,并通过各自集成的安全存储介质获取量子密钥分发网络分发的量子密钥,构建主密钥池。
本实施例使用融合量子密钥分发的加密网桥解决二层以太数据帧的安全问题,实现了一种高安全性并且轻量高效的以太数据帧加密传输方式,主要技术效果在于:
(1)通过划分安全域并为安全域内各设备节点预充注大量相同的主密钥并随机使用,安全高效地解决了具有加密互通需求的网桥设备节点之间身份鉴别和分发会话密钥的问题;
(2)通过网桥端口的MAC自动学习并基于不同的源MAC产生不同的会话密钥,并通过组播向域内成员分发,实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
(3)每个加密策略通过主备两个密钥的切换以及对以太帧进行透明加解密,实现对二层网络业务的不中断零介入,实现最小限度影响。
实施例4
如图4所示,本发明第四实施例提出了一种加密网桥,所述加密网桥包括:
策略通知以太帧发送模块11,用于向安全域内的接收方加密网桥发送策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
会话密钥获取模块12,用于对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥;
第一数据加解密模块13,用于利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文。
本实施例主要针对不具备IP地址从而无法通过常规方式分发密钥的二层以太帧加密的应用场景,通过网桥端口的MAC自动学习并基于不同的源MAC产生不同的会话密钥,基于源MAC地址进行数据加密并自动学习形成加密策略,通过组播方式实现域内设备节点之间的自动密钥分发,实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
在一实施例中,所述策略通知以太帧发送模块11,包括:
策略通知以太帧构建单元,用于基于本地加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量,构建策略通知以太帧,其中,两条会话密钥的编号分别为0和1;
需要说明的是,每条加密策略由本网桥加密MAC表中的源MAC地址及对应的两条会话密钥组成,多条加密策略组成一个策略通知以太帧。
策略通知报文生成单元,用于从其自身设置的主密钥池中选取主密钥对所述策略通知以太帧进行加密,并采用带密钥的杂凑算法计算完整性校验值,得到策略通知报文;
其中,整个以太帧采用随机选取的主密钥加密(以太帧头不加密)并采用带密钥的杂凑算法HMAC计算校验值(包括帧头),所述策略通知报文的帧格式为:14字节以太帧头(源MAC地址+目的MAC地址+帧类型)+1字节本帧策略计数/确认标记+4字节主密钥ID+k*(源MAC地址+2n字节密钥+2n字节初始化向量)+ICV(完整性校验值)。
在一实施例中,所述加密网桥还包括:
长度判断模块,用于判断所述策略通知以太帧的长度是否超过接口MTU;
相应地,所述策略通知以太帧发送模块11,还用于在确定超过接口MTU时,对所述策略通知以太帧进行分片处理后发送。
在一实施例中,所述策略通知以太帧发送模块11向安全域内的接收方加密网桥发送策略通知以太帧的时间间隔小于或等于所述会话密钥使用时间阈值的二分之一,并连续发送n次相同的策略通知以太帧,n为正整数。
在一实施例中,所述加密网桥还包括:
记录模块,用于对当前使用的所述会话密钥的使用时间和使用次数进行记录;
刷新模块,用于在使用时间或使用次数超过对应的阈值时,则利用加密网桥自身的随机数发生器所产生的随机数刷新当前使用的所述会话密钥;
密钥切换模块,用于将当前使用的所述会话密钥切换为另一个编号的会话密钥。
需要说明的是,加密MAC表中每个源MAC在一段时间内使用的加密会话密钥固定为0号或1号,当前使用的密钥启用定时器和使用计数,当使用时间或使用计数超过阈值时,从加密网桥设备自身的随机数发生器采集新产生的随机数刷新当前密钥,并将当前使用密钥切换为另外一个编号的密钥。即,如果当前使用0号密钥,密钥到期后刷新0号密钥,并使用1号密钥。加密网桥启动后根据密端口学习到的源MAC地址建立加密MAC表并结合定时器不断刷新表项,即新增新学习到的源MAC并清除表中在一段时间内再未从密端口接收到的源MAC。
在一实施例中,所述策略通知以太帧的字节的最高位添加确认标记,以使接收方加密网桥根据所述确认标记判断是否需要发送确认帧。
需要说明的是,策略通知以太帧的策略计数字节最多支持127条策略计数,该字节的最高位为是否需要确认标记。如该标记为1则接受方加密网桥需要发送确认帧,并且发送方加密网桥启动定时器队列并将该帧加入队列定期重发,直至该帧失效(会话密钥更新)或所有安全域内的网桥均已回复确认帧;若标记为0则不需要接收方加密网桥发送确认帧。
在一实施例中,所述第一数据加解密模块13,包括:
加密单元,用于基于所述当前使用的会话密钥对出站的所述以太数据帧进行加密,加密模式为CBC算法结合CFB算法;
编号添加单元,用于在以太帧协议字段中未被注册的比特位标注所述会话密钥的编号,并将所述会话密钥的使用计数增加1。
需要说明的是,作为发送方的加密网桥设备节点对源MAC地址匹配加密MAC表的出站(通过任意明端口转发)的以太数据帧进行加密处理,即从加密MAC表中取出匹配该帧源MAC的项中当前使用编号(初始为0,之后依次在0/1之间切换)的会话密钥加密,并在以太帧协议字段第13比特位(以太帧协议字段从低到高共16比特位,第13比特位未被注册)标注采用的是该源MAC对应的0号或1号会话密钥,对该会话密钥使用计数加1。加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),不增加任何额外数据。
在一实施例中,所述加密网桥还包括密钥充注请求模块,用于:
向量子密钥分发网络发送密钥充注请求;
通过发送方加密网桥集成的第一安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
需要说明的是,通过量子密钥分发网络向第一安全存储介质充注大量的量子密钥,所述第一安全存储介质使用安全TF卡或安全U盾等大容量安全存储介质,主密钥的密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各设备共享由相同密钥ID标识的相同的主密钥。
在一实施例中,所述加密网桥还包括端口类型定义模块,用于:
定义所述发送方加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口,所述密端口用于将该端口学习到的源MAC地址加入到本地的加密MAC表。
需要说明的是,明端口收发的数据帧处理与一般网桥设备无差别,密端口除执行普通网桥接口的功能外,将学习到的源MAC地址加入到加密MAC表,采集由自带随机数发生器随机产生0号和1号会话密钥,并启动定时器定期清除表中在一段时间内再未从密端口接收到的源MAC。
在一实施例中,所述加密网桥还包括注册请求模块,用于:
通过管理通道连接所述管控平台,并向所述管控平台发送注册报文,进行注册。
需要说明的是,由管控平台划定安全域,并接收安全域内各加密网桥的注册请求,以完成各加密网桥的注册。
通过划分安全域并为安全域内各设备节点预充注大量相同的主密钥并随机使用,安全高效地解决了具有加密互通需求的网桥设备节点之间身份鉴别和分发会话密钥的问题。
需要说明的是,本发明所述加密网桥的其他实施例或具有实现方法可参照上述方法实施例1,此处不再赘余。
实施例5
如图5所示,本发明第五实施例提出了一种加密网桥,所述加密网桥包括:
策略通知以太帧接收模块21,用于接收同一安全域内发送方加密网桥发送的策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
MAC表管理模块22,用于根据所述策略通知以太帧,将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表;
加密报文接收模块23,用于接收所述发送方加密网桥发送的出站加密报文,所述出站加密报文为采用当前使用编号的会话密钥对出站以太数据帧进行加密并以太帧协议字段中标注该会话密钥的编号得到;
第二数据加解密模块24,用于从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
本实施例主要针对不具备IP地址从而无法通过常规方式分发密钥的二层以太帧加密的应用场景,通过网桥端口的MAC自动学习并基于不同的源MAC产生不同的会话密钥,基于源MAC地址进行数据解密并自动学习形成加密策略,通过组播方式实现域内设备节点之间的自动密钥分发,实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
在一实施例中,所述策略通知以太帧的格式为以太帧头、本帧策略计数/确认标记、主密钥ID、源MAC地址、与源MAC地址对应的两条会话密钥及初始化向量以及完整性校验值,其中,所述主密钥ID来自所述发送方加密网桥自身主密钥池;
相应地,所述MAC表管理模块22,包括:
检查单元,用于根据所述主密钥ID从自身主密钥池中选取对应的主密钥,对所述完整性校验值进行完整性检查;
解密单元,用于在完整性检查通过后,利用所述主密钥对所述策略通知以太帧进行解密,得到每条源MAC地址及对应的两条会话密钥及初始化向量;
解密MAC表刷新单元,用于将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表,刷新所述解密MAC表。
需要说明的是,作为接收方的加密网桥接受到策略通知以太帧后,根据主密钥ID取出主密钥对该帧进行完整性检查并解密,将得到的每一条源MAC及对应的两个密钥和初始化向量加入到解密MAC表,即新增或更新解密MAC表中具有相同源MAC的表项。
在一实施例中,所述加密网桥还包括确认帧发送模块,用于:
根据所述策略通知以太帧字节最高位的确认标记,向所述接收方加密网桥发送确认帧,其中,所述确认帧的内容为所述策略通知以太帧的完整性校验值,所述确认帧的目的MAC地址为所述策略通知以太帧的源MAC地址,所述确认帧的源MAC地址为接收所述策略通知以太帧并发送所述确认帧的接口MAC地址。
具体地,如果策略通知以太帧的需要确认标记位为1,则接受策略的加密网桥需发送确认帧,该帧目的MAC为策略通知帧源MAC,源MAC为接受该帧并发出确认帧的接口MAC,确认帧的内容为策略通知帧的完整性校验值ICV。
在一实施例中,所述第二数据加解密模块24,包括:
选取单元,用于从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥;
解密单元,用于利用所述会话密钥对入站的所述加密报文进行对称解密运算,并对所述会话密钥使用计数加1。
需要说明的是,作为接收方的加密网桥设备节点对源MAC地址匹配解密MAC表的入站(通过任意明端口接受)的以太数据帧进行解密处理,即从解密MAC表中选取匹配该帧源MAC的项,并根据以太帧协议字段第13比特位从该项中选取该源MAC对应的0号或1号会话密钥,对该帧进行对称解密运算,并对该会话密钥使用计数加1。
在一实施例中,所述加密网桥还包括密钥请求模块,用于:
向量子密钥分发网络发送密钥充注请求;
通过接收方加密网桥集成的第二安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
需要说明的是,通过量子密钥分发网络向第二安全存储介质充注大量的量子密钥,所述第一安全存储介质使用安全TF卡或安全U盾等大容量安全存储介质,主密钥的密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各设备共享由相同密钥ID标识的相同的主密钥。
本实施例通过预充注大量主密钥实现会话密钥分发过程的一次一密和域内设备间身份鉴别,从而实现了轻量高效的以太数据帧加密传输。
在一实施例中,所述加密网桥还包括端口类型定义模块,用于:
定义所述接收方加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。
需要说明的是,本发明所述加密网桥的其他实施例或具有实现方法可参照上述方法实施例2,此处不再赘余。
实施例6
如图6所示,本发明第五实施例提出了一种采用自学习自组织方式实现以太数据加解密的系统,所述系统包括发送方加密网桥1、接收方加密网桥2、管控平台3和量子密钥分发网络4,所述发送方加密网桥1与所述接收方加密网桥2连接,且所述发送方加密网桥1与所述接收方加密网桥2均与所述管控平台3和所述量子密钥分发网络4连接,所述发送方加密网桥1和所述接收方加密网桥2均设置有主密钥池,所述主密钥池中存储有经所述量子密钥分发网络预先充注的主密钥;
所述管控平台3,用于进行安全域划分,并提供所述发送方加密网桥和所述接收方加密网桥的注册和身份绑定服务;
所述发送方加密网桥1,用于向所述接收方加密网桥发送经所述主密钥加密后的策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
所述接收方加密网桥2,用于接收所述策略通知以太帧,并将每一条源MAC地址及对应的两条会话密钥及初始化向量加入解密MAC表;
所述发送方加密网桥1,用于对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥,并利用该会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号;
所述接收方加密网桥2,用于接收入站的加密报文,并从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
本实施例主要针对不具备IP地址从而无法通过常规方式分发密钥的二层以太帧加密的应用场景,通过网桥端口的MAC自动学习并基于不同的源MAC产生不同的会话密钥,基于源MAC地址进行数据解密并自动学习形成加解密策略,通过组播方式实现域内设备节点之间的自动密钥分发,实现了无需管理中心的加密策略自动生成和分发,安全高效的解决了无IP地址的二层以太网设备安全策略分发和管理问题。
需要说明的是,管控平台:提供加密网桥、密钥代理、量子网络节点的对应关系,进行安全域划分,并提供加密网桥的注册和身份绑定服务;
密钥代理:在量子密钥分发网络的节点不能直接提供密钥充注和在线密钥分发服务的情况下提供密钥充注和密钥在线分发的代理功能;
量子密钥分发网络:包含量子网络节点和量子网络链路控制中心,实现量子密钥生成与在线分发、量子密钥中继、量子密钥提供等服务;
量子网络节点:存储生成的量子密钥,接收密钥代理的密钥申请,向密钥代理提供密钥或直接提供密钥充注和密钥在线分发服务;
量子网络链路控制中心:可按照量子网络节点ID建立节点间的量子密钥分发及中继链路。
应当理解的是,本实施例中涉及的密钥分发设备包括但并不限于QKD密钥分发网络,所涉及的密钥预充注功能可采用任何一种对称密钥管理系统及设备实现,所涉及的对称密码算法和密码杂凑算法可采用符合国家密码管理规定的任意算法。
进一步地,如图7所示,加密网桥用于对通过网桥进行传输的用户以太数据帧进行加解密处理,由数据加解密处理、MAC表管理模块、密钥更新、密钥注入等模块组成,其中:
密钥注入模块连接安全存储介质,用于根据安全存储介质中的主密钥,构建主密钥池;
MAC表管理模块,用于对加密MAC表和解密MAC表进行管理刷新;
数据加解密处理模块,用于从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥,并利用该会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号;以及用于对入站的加密报文,从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密;
密钥更新模块,用于当前使用的会话密钥启用定时器和使用计数,当使用时间或使用计数超过阈值时,从加密网桥设备自身的随机数发生器采集新产生的随机数刷新当前密钥,并将当前使用密钥切换为另外一个编号的密钥。
在一实施例中,所述加密网桥各个以太接口定义类型:未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。明端口收发的数据帧处理与一般网桥设备无差别,明端口用于转发出站或入站的以太数据帧,密端口除执行普通网桥接口的功能外,将学习到的源MAC地址加入到加密MAC表,采集新产生的随机数作为0号和1号会话密钥,并启动定时器定期清除表中在一段时间内再未从密端口接收到的源MAC。
如图8所示,本发明实施例提出的采用自学习自组织方式实现以太数据加解密的系统的工作流程如下:
(1)由管控平台划定安全域,通过量子密钥分发网络,使用安全存储介质,为各设备节点在其存储介质预充注大量的主密钥,密钥格式为4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关),同一安全域内各设备共享由相同密钥ID标识的相同的主密钥。
(2)往域内的加密网桥设备节点注入预充注的主密钥,建立主密钥池,并用密钥位图指示该条密钥是否已使用。
(3)加密网桥启动时,在一般网桥的MAC学习机制之外单独建立两张MAC表,一张为加密MAC表,一张为解密MAC表。加密MAC表记录需要加密的以太帧的源MAC地址,该表的每个MAC地址对应两个会话密钥及初始化向量(0号和1号密钥),用来加密以该MAC地址为源MAC的以太数据帧;解密MAC表记录需要解密的以太帧的源MAC地址,该表的每个MAC地址对应两个会话密钥(0号和1号密钥)并有使用计数,用来解密以该MAC地址为源MAC的以太数据帧。
加密MAC表中每个源MAC在一段时间内使用的加密会话密钥固定为0号或1号,当前使用的密钥启用定时器和使用计数,当使用时间或使用计数超过阈值时,从加密网桥设备自身的随机数发生器采集新产生的随机数刷新当前密钥,并将当前使用密钥切换为另外一个编号的密钥。即,如果当前使用0号密钥,密钥到期后刷新0号密钥,并使用1号密钥。加密网桥启动后根据密端口学习到的源MAC地址建立加密MAC表并结合定时器不断刷新表项,即新增新学习到的源MAC并清除表中在一段时间内再未从密端口接收到的源MAC。
(4)对加密网桥的各个以太接口定义类型:未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。明端口收发的数据帧处理与一般网桥设备无差别;密端口除执行普通网桥接口的功能外,将学习到的源MAC地址加入到加密MAC表,采集新鲜随机数产生0号和1号会话密钥,并启动定时器定期清除表中在一段时间内再未从密端口接收到的源MAC。
(5)加密网桥定期向安全域内的成员发送本网桥的加密策略,每条加密策略由本网桥加密MAC表中的源MAC地址及对应的两条会话密钥组成,多条加密策略组成一个策略通知以太帧,整个以太帧采用随机选取的主密钥加密(以太帧头不加密)并采用带密钥的杂凑算法HMAC计算校验值(包括帧头)。帧格式为:14字节以太帧头(源MAC+目的MAC+帧类型)+1字节本帧策略计数/确认标记+4字节主密钥ID+k*(源MAC+2n字节密钥+2n字节初始化向量)+ICV(完整性校验值),其中,帧类型采用私有化定义,该帧源MAC为网桥发送接口的MAC,该帧的目的MAC也采用私有化定义的组播MAC地址。
其中,整帧长度不能超过接口MTU,超过MTU则分成多帧发送。发送策略的时间间隔不大于会话密钥使用时间阈值的二分之一,每次连续发送三次相同的策略通知报文。
本帧策略计数字节最多支持127条策略计数,该字节的最高位为是否需要确认标记。如该标记为1则接受方需要发送确认帧。如确认标记位为1,则发送方网桥启动定时器队列并将该帧加入队列定期重发,直至该帧失效(会话密钥更新)或所有安全域内的网桥均已回复确认帧。
(6)加密网桥接受到策略通知帧后,根据主密钥ID取出主密钥对该帧进行完整性检查并解密,将得到的每一条源MAC及对应的两个密钥和初始化向量加入到解密MAC表,即新增或更新解密MAC表中具有相同源MAC的表项。如果策略通知帧的需要确认标记位为1,则接受策略的加密网桥需发送确认帧,该帧目的MAC为策略通知帧源MAC,源MAC为接受该帧并发出确认帧的接口MAC。确认帧的内容为策略通知帧的完整性校验值ICV。
(7)加密网桥设备节点对源MAC地址匹配加密MAC表的出站(通过任意明端口转发)的以太数据帧进行加密处理,即从加密MAC表中取出匹配该帧源MAC的项中当前使用编号(初始为0,之后依次在0/1之间切换)的会话密钥加密,并在以太帧协议字段第13比特位(以太帧协议字段从低到高共16比特位,第13比特位未被注册)标注采用的是该源MAC对应的0号或1号会话密钥,对该会话密钥使用计数加1。加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),不增加任何额外数据。
(8)接收方加密网桥设备节点对源MAC地址匹配解密MAC表的入站(通过任意明端口接受)的以太数据帧进行解密处理,即从解密MAC表中选取匹配该帧源MAC的项,并根据以太帧协议字段第13比特位从该项中选取该源MAC对应的0号或1号会话密钥,对该帧进行对称解密运算,并对该会话密钥使用计数加1。
本实施例要针对不具备IP地址从而无法通过常规方式分发密钥的二层以太帧加密的应用场景,基于源MAC地址进行数据加密并自动学习形成加解密策略,通过组播方式实现域内设备节点之间的自动密钥分发,通过预充注大量主密钥实现会话密钥分发过程的一次一密和域内设备间身份鉴别,从而实现了轻量高效的以太数据帧加密传输。
需要说明的是,本发明所述采用自学习自组织方式实现以太数据加解密的系统的其他实施例或具有实现方法可参照上述实施例4~6,此处不再赘余。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (21)
1.一种采用自学习自组织方式实现以太数据加密的方法,其特征在于,在加密网桥作为发送方时,所述方法包括:
向安全域内的接收方加密网桥发送策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥;
利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文。
2.如权利要求1所述的采用自学习自组织方式实现以太数据加密的方法,其特征在于,所述向安全域内的接收方加密网桥发送策略通知以太帧,包括:
基于本地加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量,构建策略通知以太帧,其中,两条会话密钥的编号分别为0和1;
从其自身设置的主密钥池中选取主密钥对所述策略通知以太帧进行加密,并采用带密钥的杂凑算法计算完整性校验值,得到策略通知报文;
其中,所述策略通知报文携带信息包括:以太帧头、本帧策略计数/确认标记、主密钥ID、源MAC地址、与源MAC地址对应的两条会话密钥及初始化向量以及完整性校验值,所述以太帧头的信息包括源MAC地址、目的MAC地址和帧类型,所述源MAC地址为加密网桥发送接口的MAC地址,所述目的MAC地址为采用私有化定义的组播MAC地址。
3.如权利要求1所述的采用自学习自组织方式实现以太数据加密的方法,其特征在于,所述向安全域内的接收方加密网桥发送策略通知以太帧,包括:
判断所述策略通知以太帧的长度是否超过接口MTU;
在确定超过接口MTU时,对所述策略通知以太帧进行分片处理。
4.如权利要求1所述的采用自学习自组织方式实现以太数据加密的方法,其特征在于,向安全域内的接收方加密网桥发送策略通知以太帧的时间间隔小于或等于所述会话密钥使用时间阈值的二分之一,并连续发送n次相同的策略通知以太帧,n为正整数。
5.如权利要求1所述的采用自学习自组织方式实现以太数据加密的方法,其特征在于,在所述利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文之后,所述方法还包括:
对当前使用的所述会话密钥的使用时间和使用次数进行记录;
在使用时间或使用次数超过对应的阈值时,则利用加密网桥自身的随机数发生器所产生的随机数刷新当前使用的所述会话密钥;
将当前使用的所述会话密钥切换为另一个编号的会话密钥。
6.如权利要求1所述的采用自学习自组织方式实现以太数据加密的方法,其特征在于,所述策略通知以太帧的字节的最高位添加确认标记,以使接收方加密网桥根据所述确认标记判断是否需要发送确认帧。
7.如权利要求6所述的采用自学习自组织方式实现以太数据加密的方法,其特征在于,在所述确认标记为需要所述接收方加密网桥发送确认帧时,所述方法还包括:
发送方加密网桥启动定时器队列,并将所述策略通知以太帧加入队列定期重发,直至所述策略通知以太帧失效或安全域内所有接收方加密网桥均已回复所述确认帧。
8.如权利要求1所述的采用自学习自组织方式实现以太数据加密的方法,其特征在于,所述利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文,包括:
基于所述当前使用的会话密钥对出站的所述以太数据帧进行加密,加密模式为CBC算法结合CFB算法;
在以太帧协议字段中未被注册的比特位标注所述会话密钥的编号,并将所述会话密钥的使用计数增加1。
9.如权利要求1所述的采用自学习自组织方式实现以太数据加密的方法,其特征在于,在所述向安全域内的接收方加密网桥发送策略通知以太帧之前,所述方法还包括:
向量子密钥分发网络发送密钥充注请求;
通过发送方加密网桥集成的第一安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
10.如权利要求1所述的采用自学习自组织方式实现以太数据加密的方法,其特征在于,在所述向安全域内的接收方加密网桥发送策略通知以太帧之前,所述方法还包括:
定义所述发送方加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口,所述密端口用于将该端口学习到的源MAC地址加入到本地的加密MAC表。
11.如权利要求1所述的采用自学习自组织方式实现以太数据加密的方法,其特征在于,在所述向安全域内的接收方加密网桥发送策略通知以太帧之前,所述方法还包括:
通过管理通道连接所述管控平台,并向所述管控平台发送注册报文,进行注册。
12.一种采用自学习自组织方式实现以太数据解密的方法,其特征在于,在加密网桥作为接收方时,所述方法包括:
接收同一安全域内发送方加密网桥发送的策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
根据所述策略通知以太帧,将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表;
接收所述发送方加密网桥发送的出站加密报文,所述出站加密报文为采用当前使用编号的会话密钥对出站以太数据帧进行加密并以太帧协议字段中标注该会话密钥的编号得到;
从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
13.如权利要求12所述的采用自学习自组织方式实现以太数据解密的方法,其特征在于,所述策略通知以太帧的格式为以太帧头、本帧策略计数/确认标记、主密钥ID、源MAC地址、与源MAC地址对应的两条会话密钥及初始化向量以及完整性校验值,其中,所述主密钥ID来自所述发送方加密网桥自身主密钥池;
相应地,所述根据所述策略通知以太帧,将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表,包括:
根据所述主密钥ID从自身主密钥池中选取对应的主密钥,对所述完整性校验值进行完整性检查;
在完整性检查通过后,利用所述主密钥对所述策略通知以太帧进行解密,得到每条源MAC地址及对应的两条会话密钥及初始化向量;
将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表,刷新所述解密MAC表。
14.如权利要求12所述的采用自学习自组织方式实现以太数据解密的方法,其特征在于,在所述接收同一安全域内发送方加密网桥发送的策略通知以太帧之后,所述方法还包括:
根据所述策略通知以太帧字节最高位的确认标记,向所述接收方加密网桥发送确认帧,其中,所述确认帧的内容为所述策略通知以太帧的完整性校验值,所述确认帧的目的MAC地址为所述策略通知以太帧的源MAC地址,所述确认帧的源MAC地址为接收所述策略通知以太帧并发送所述确认帧的接口MAC地址。
15.如权利要求12所述的采用自学习自组织方式实现以太数据解密的方法,其特征在于,所述从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密,包括:
从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥;
利用所述会话密钥对入站的所述加密报文进行对称解密运算,并对所述会话密钥使用计数加1。
16.如权利要求12所述的采用自学习自组织方式实现以太数据解密的方法,其特征在于,在所述接收同一安全域内发送方加密网桥发送的策略通知以太帧之前,所述方法还包括:
向量子密钥分发网络发送密钥充注请求;
通过接收方加密网桥集成的第二安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。
17.如权利要求12所述的采用自学习自组织方式实现以太数据解密的方法,其特征在于,在所述接收同一安全域内发送方加密网桥发送的策略通知以太帧之前,所述方法还包括:
定义所述接收方加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口。
18.一种采用自学习自组织方式实现以太数据加解密的方法,其特征在于,所述方法包括:
发送方加密网桥向安全域内的接收方加密网桥发送策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
接收方加密网桥接收所述策略通知以太帧,并将每一条源MAC地址及对应的两条会话密钥及初始化向量加入解密MAC表;
发送方加密网桥对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥,并利用该会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号;
接收方加密网桥接收入站的加密报文,并从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
19.一种加密网桥,其特征在于,所述加密网桥包括:
策略通知以太帧发送模块,用于向安全域内的接收方加密网桥发送策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
会话密钥获取模块,用于对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥;
数据加解密模块,用于利用所述会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号,得到出站加密报文。
20.一种加密网桥,其特征在于,所述加密网桥包括:
策略通知以太帧接收模块,用于接收同一安全域内发送方加密网桥发送的策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
MAC表管理模块,用于根据所述策略通知以太帧,将每一条源MAC地址及对应的两条会话密钥及初始化向量加入本地解密MAC表;
加密报文接收模块,用于接收所述发送方加密网桥发送的出站加密报文,所述出站加密报文为采用当前使用编号的会话密钥对出站以太数据帧进行加密并以太帧协议字段中标注该会话密钥的编号得到;
数据加解密模块,用于从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
21.一种采用自学习自组织方式实现以太数据加解密的系统,其特征在于,所述系统包括发送方加密网桥、接收方加密网桥、管控平台和量子密钥分发网络,所述发送方加密网桥与所述接收方加密网桥连接,且所述发送方加密网桥与所述接收方加密网桥均与所述管控平台和所述量子密钥分发网络连接,所述发送方加密网桥和所述接收方加密网桥均设置有主密钥池,所述主密钥池中存储有经所述量子密钥分发网络预先充注的主密钥;
所述管控平台,用于进行安全域划分,并提供所述发送方加密网桥和所述接收方加密网桥的注册和身份绑定服务;
所述发送方加密网桥,用于向所述接收方加密网桥发送经所述主密钥加密后的策略通知以太帧,所述策略通知以太帧包括多条加密策略,每条加密策略包括所述发送方加密网桥本地的加密MAC表中的源MAC地址及对应的两条会话密钥及初始化向量;
所述接收方加密网桥,用于接收所述策略通知以太帧,并将每一条源MAC地址及对应的两条会话密钥及初始化向量加入解密MAC表;
所述发送方加密网桥,用于对出站的以太数据帧,从所述加密MAC表中取出与所述以太数据帧源MAC地址匹配的表项中当前使用编号的会话密钥,并利用该会话密钥对所述以太数据帧进行加密,并在以太帧协议字段中标注该会话密钥的编号;
所述接收方加密网桥,用于接收入站的加密报文,并从所述解密MAC表中选取匹配该加密报文帧源MAC地址的表项,并根据所述以太帧协议字段中的密钥编号选取该加密报文帧对应的会话密钥,对所述加密报文进行对称解密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211425981.5A CN116112202A (zh) | 2022-11-15 | 2022-11-15 | 采用自学习自组织方式实现以太数据加解密的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211425981.5A CN116112202A (zh) | 2022-11-15 | 2022-11-15 | 采用自学习自组织方式实现以太数据加解密的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116112202A true CN116112202A (zh) | 2023-05-12 |
Family
ID=86266381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211425981.5A Pending CN116112202A (zh) | 2022-11-15 | 2022-11-15 | 采用自学习自组织方式实现以太数据加解密的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116112202A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
-
2022
- 2022-11-15 CN CN202211425981.5A patent/CN116112202A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Luk et al. | MiniSec: a secure sensor network communication architecture | |
EP2062189B1 (en) | Method and system for secure processing of authentication key material in an ad hoc wireless network | |
JP4447463B2 (ja) | ブリッジ暗号vlan | |
USRE39360E1 (en) | System for signatureless transmission and reception of data packets between computer networks | |
US7720995B2 (en) | Conditional BGP advertising for dynamic group VPN (DGVPN) clients | |
KR101492179B1 (ko) | 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템 | |
US20180288013A1 (en) | End-to-end secured communication for mobile sensor in an iot network | |
US9369490B2 (en) | Method for the secure exchange of data over an ad-hoc network implementing an Xcast broadcasting service and associated node | |
US20080298592A1 (en) | Technique for changing group member reachability information | |
JP2008104040A (ja) | 共通鍵生成装置および共通鍵生成方法 | |
CN109586908A (zh) | 一种安全报文传输方法及其系统 | |
KR20040013601A (ko) | 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법 | |
CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
CN115567206A (zh) | 采用量子分发密钥实现网络数据报文加解密方法及系统 | |
CN115766002A (zh) | 采用量子密钥分发及软件定义实现以太数据加解密的方法 | |
CN115567205A (zh) | 采用量子密钥分发实现网络会话数据流加解密方法及系统 | |
CN116112202A (zh) | 采用自学习自组织方式实现以太数据加解密的方法 | |
CN114095423B (zh) | 基于mpls的电力通信骨干网数据安全防护方法及系统 | |
JP2006019975A (ja) | 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム | |
US20070055870A1 (en) | Process for secure communication over a wireless network, related network and computer program product | |
CN115733683A (zh) | 采用量子密钥分发的以太链路自组织加密隧道实现方法 | |
CN101145899A (zh) | Mac安全网络通信方法以及网络设备 | |
US20120216036A1 (en) | Encryption methods and systems | |
CN114826748B (zh) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 | |
CN115567207A (zh) | 采用量子密钥分发实现组播数据加解密方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |