CN116418606A - 安全通道休眠唤醒方法、装置及计算机可读存储介质 - Google Patents

安全通道休眠唤醒方法、装置及计算机可读存储介质 Download PDF

Info

Publication number
CN116418606A
CN116418606A CN202210005644.4A CN202210005644A CN116418606A CN 116418606 A CN116418606 A CN 116418606A CN 202210005644 A CN202210005644 A CN 202210005644A CN 116418606 A CN116418606 A CN 116418606A
Authority
CN
China
Prior art keywords
node
message
key
communication information
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210005644.4A
Other languages
English (en)
Inventor
郭金发
杜明
曹军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN202210005644.4A priority Critical patent/CN116418606A/zh
Priority to PCT/CN2022/141151 priority patent/WO2023130980A1/zh
Publication of CN116418606A publication Critical patent/CN116418606A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Abstract

本发明实施例提供了安全通道休眠唤醒方法、装置及计算机可读存储介质,包括节点1从休眠状态中唤醒时,获取保存的与节点2通信的IP通信信息,利用所述IP通信信息进行报文封装得到第一报文并发送至节点2;节点2从第一报文中获取IP通信信息和密钥更新请求消息,根据包括密钥更新请求消息中的基础密钥标识对应的基础密钥和节点1生成的第一随机数,结合自身生成的第二随机数在内的信息生成第二密钥;节点1从节点2发送的第二报文中获取IP通信信息和密钥更新响应消息,根据包括所述基础密钥标识对应的基础密钥和密钥更新响应消息中的第二随机数,结合第一随机数在内的信息生成第二密钥;节点1和节点2利用IP通信信息及第二密钥进行保护通信。

Description

安全通道休眠唤醒方法、装置及计算机可读存储介质
技术领域
本发明涉及网络通信技术领域,尤指一种安全通道休眠唤醒方法、装置及计算机可读存储介质。
背景技术
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的技术,使用隧道传递的数据可以是不同协议的数据帧或包,隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。在实施过程中,为了减少电能、网络带宽等资源的消耗或其他原因,一些通信设备在特定条件下会将隧道转为休眠状态,停止隧道通信。
但相关技术中,若隧道休眠时间较长,休眠设备被破解的概率较大,那么非法设备利用对休眠设备破解得到的通信参数伪装为合法设备对隧道通信进行攻击时,其它通信设备将难以分辨,安全性较差。
发明内容
本发明实施例提供一种安全通道休眠唤醒方法、装置及计算机可读存储介质,用以解决现有技术中存在隧道通信过程中由于其中一个通信节点休眠时易被破解使得隧道通信安全性较差的问题,同时也可以避免唤醒后因重新协商或配置通信参数带来的复杂耗时。
第一方面,本发明实施例提供一种安全通道休眠唤醒方法,包括:
节点1从休眠状态中被唤醒时,获取保存的与节点2进行通信的IP通信信息,所述IP通信信息至少包括IP地址、通信端口号和会话标识符中的一种;
所述节点1利用所述IP通信信息进行报文封装,得到第一报文并发送至所述节点2,所述第一报文中包括利用与所述节点2共享的第一密钥进行保护处理的密钥更新请求消息,所述密钥更新请求消息包括基础密钥标识和所述节点1生成的第一随机数;
所述节点2接收所述第一报文,从所述第一报文中获取所述IP通信信息并利用所述第一密钥进行解保护处理得到密钥更新请求消息,根据包括所述密钥更新请求消息中的基础密钥标识对应的基础密钥和所述第一随机数,并结合自身生成的第二随机数在内的信息计算生成第二密钥;
所述节点2利用所述IP通信信息进行报文封装,得到第二报文并发送至所述节点1,所述第二报文中包括利用所述第一密钥进行保护处理的密钥更新响应消息,所述密钥更新响应消息包括所述第二随机数;
所述节点1接收所述第二报文,从所述第二报文中获取所述IP通信信息并利用所述第一密钥进行解保护处理得到密钥更新响应消息,根据包括所述基础密钥标识对应的基础密钥和所述第二随机数,并结合自身生成的所述第一随机数在内的信息计算生成所述第二密钥;
所述节点1与所述节点2利用所述IP通信信息及所述第二密钥进行报文封装和保护传输。
可选地,所述节点1从休眠状态中被唤醒时,获取保存的与节点2进行通信的IP通信信息,包括:
若所述节点1在唤醒时自身的IP通信信息没有发生变化,则所述节点1获取在进入休眠状态前已保存的IP通信信息;
若所述节点1在唤醒时自身的IP通信信息发生变化,则所述节点1即时保存并获取变化后的IP通信信息。
可选地,所述节点2接收所述第一报文之后,还包括:
所述节点2监测到本地保存的所述节点1的IP通信信息与所述第一报文中所述节点1的IP通信信息不同时,重新确定所述节点1的IP通信信息并生成地址更新通知消息,所述地址更新通知消息用于指示重新确定的节点1的IP通信信息;
所述节点2利用所述IP通信信息进行报文封装,得到第二报文并发送至所述节点1,还包括:
所述节点2利用所述第一密钥对所述地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述节点1。
可选地,所述节点1接收所述第二报文之后,还包括:
所述节点1利用所述第一密钥进行解保护处理得到所述地址更新通知消息,根据所述地址更新通知消息确定所述节点1的生效IP通信信息;
所述节点1利用从所述第二报文中获取的IP通信信息进行报文封装,得到第三报文并发送至所述节点2,所述第三报文中包括利用所述第一密钥进行保护处理的地址更新响应消息,所述地址更新响应消息用于指示所述节点1的生效IP通信信息;
所述节点2接收所述第三报文,利用所述第一密钥进行解保护处理得到所述地址更新响应消息,根据所述地址更新响应消息确定所述节点1的生效IP通信信息;
所述节点2将本地保存的所述节点1的IP通信信息更新为所述节点1的生效IP通信信息。
可选地,所述节点2重新确定所述节点1的IP通信信息,包括:
所述节点2确定本地保存的节点1的IP通信信息为第一IP通信信息,确定所述第一报文中节点1的IP通信信息为第二IP通信信息;
所述节点2生成所述地址更新通知消息,利用所述第一密钥对所述地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述节点1,包括:
所述节点2生成用于指示所述第一IP通信信息的第一地址更新通知消息,及生成用于指示所述第二IP通信信息的第二地址更新通知消息;
所述节点2利用所述第一密钥对所述第一地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述第一IP通信信息对应的节点;
所述节点2利用所述第一密钥对所述第二地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述第二IP通信信息对应的节点。
可选地,所述密钥更新响应消息还包括所述节点2从所述密钥更新请求消息中获取的第一随机数;
所述节点1在得到所述密钥更新响应消息后,检查所述密钥更新响应消息中的第一随机数与所述节点1自身生成的第一随机数是否相同;若不同,则丢弃所述密钥更新响应消息。
可选地,所述密钥更新请求消息还包括所述节点1的身份标识信息,所述密钥更新响应消息还包括所述节点2的身份标识信息;
所述节点2利用所述第一密钥进行解保护处理得到密钥更新请求消息之后,还包括:
所述节点2利用所述密钥更新请求消息中所述节点1的身份标识信息确定所述节点1是否为合法节点;
所述节点1利用所述第一密钥进行解保护处理得到密钥更新响应消息之后,还包括:
所述节点1利用所述密钥更新响应消息中所述节点2的身份标识信息确定所述节点2是否为合法节点。
可选地,所述节点2根据包括所述密钥更新请求消息中的基础密钥标识对应的基础密钥和所述第一随机数,并结合自身生成的第二随机数在内的信息计算生成第二密钥,包括:
所述节点2根据包括所述密钥更新请求消息中的基础密钥标识对应的基础密钥、所述第一随机数和所述节点1的身份标识信息,并结合所述节点2生成的第二随机数、所述节点2的身份标识信息及常量字符串在内的信息计算生成第二密钥;
所述节点1根据包括所述基础密钥标识对应的基础密钥和所述第二随机数,并结合自身生成的所述第一随机数在内的信息计算生成所述第二密钥,包括:
所述节点1根据包括所述基础密钥标识对应的基础密钥、所述第二随机数和所述节点2的身份标识信息,并结合所述节点1生成的所述第一随机数、所述节点1的身份标识信息及常量字符串在内的信息计算生成所述第二密钥;
其中,所述常量字符串为所述节点1和所述节点2之间预共享的可选字段。
可选地,所述方法还包括:当抗重放计数器数值有变化时,所述节点1和/或所述节点2即时保存变化后的抗重放计数器数值;所述节点1从休眠状态中被唤醒时,还获取保存的抗重放计数器数值;
所述节点1和/或所述节点2在进行报文封装时,还包括:将抗重放计数器数值字段封装在发送的报文中;
所述节点1和/或所述节点2在接收到报文时,还包括:利用抗重放算法验证接收的报文中的抗重放计数器数值字段是否在合法范围内。
可选地,所述节点1和/或所述节点2在进行报文封装时,还包括:
将用于校验报文完整性的校验字段封装在发送的报文中;其中,所述校验字段是通过所述节点1与所述节点2共享的校验密钥对报文中的信息进行完整性校验所生成的;
所述节点1和/或所述节点2在接收到报文时,还包括:利用所述校验密钥对接收的报文中的校验字段进行校验,确定报文是否完整。
第二方面,本发明实施例还提供一种安全通道休眠唤醒装置,配置于节点1,包括:
休眠唤醒单元,用于在节点1从休眠状态中被唤醒时,获取保存的与节点2进行通信的IP通信信息,所述IP通信信息至少包括IP地址、通信端口号和会话标识符中的一种;
第一处理单元,用于利用所述IP通信信息进行报文封装,得到第一报文并发送至所述节点2,所述第一报文中包括利用与所述节点2共享的第一密钥进行保护处理的密钥更新请求消息,所述密钥更新请求消息包括基础密钥标识和节点1生成的第一随机数;
第二处理单元,用于接收所述节点2发送的第二报文,从所述第二报文中获取所述IP通信信息并利用所述第一密钥进行解保护处理得到密钥更新响应消息,所述密钥更新响应消息包括所述节点2生成的第二随机数;
所述第二处理单元,还用于根据包括所述基础密钥标识对应的基础密钥和所述第二随机数,并结合节点1生成的所述第一随机数在内的信息计算生成第二密钥;
通信单元,用于与所述节点2利用所述IP通信信息及所述第二密钥进行报文封装和保护传输。
第三方面,本发明实施例还提供一种安全通道休眠唤醒装置,配置于节点2,包括:
第一处理单元,用于接收节点1发送的第一报文,从所述第一报文中获取IP通信信息并利用与所述节点1共享的第一密钥进行解保护处理得到密钥更新请求消息,所述密钥更新请求消息包括基础密钥标识和所述节点1生成的第一随机数;
其中,所述第一报文中包括所述节点1利用与所述节点2共享的第一密钥进行保护处理的密钥更新请求消息;所述IP通信信息至少包括IP地址、通信端口号和会话标识符中的一种;
所述第一处理单元,还用于根据包括所述基础密钥标识对应的基础密钥和所述第一随机数,并结合节点2生成的第二随机数在内的信息计算生成第二密钥;
第二处理单元,用于利用所述IP通信信息进行报文封装,得到第二报文并发送至所述节点1,所述第二报文中包括利用所述第一密钥进行保护处理的密钥更新响应消息,所述密钥更新响应消息包括所述第二随机数;
通信单元,用于与所述节点1利用所述IP通信信息及所述第二密钥进行报文封装和保护传输。
第四方面,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面提供的安全通道休眠唤醒方法的步骤。
本发明有益效果如下:
本发明实施例提供的安全通道休眠唤醒方法、装置及计算机可读存储介质,通过通信节点保存节点间进行通信的IP通信信息,当其中一个节点休眠唤醒后能够获取到保存的IP通信信息,从而能够在休眠唤醒后继续向另一个节点收发信息。同时每次节点休眠唤醒后都需要重新协商新的密钥进行后续的通信,从而避免在长时间休眠过程中由于密钥泄露导致安全通道的安全性大大降低的隐患和避免唤醒后因重新协商或配置通信参数带来的复杂耗时操作。
附图说明
图1为本发明实施例提供的一种安全通道休眠唤醒方法的流程示意图;
图2为本发明实施例提供的另一种安全通道休眠唤醒方法的流程示意图;
图3为本发明实施例提供的一种安全通道休眠唤醒装置的结构示意图;
图4为本发明实施例提供的另一种安全通道休眠唤醒装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更为明显易懂,下面将结合附图和实施例对本发明做进一步说明。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式;相反,提供这些实施方式使得本发明更全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。本发明中所描述的表达位置与方向的词,均是以附图为例进行的说明,但根据需要也可以做出改变,所做改变均包含在本发明保护范围内。本发明的附图仅用于示意相对位置关系不代表真实比例。
需要说明的是,在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施方式的限制。说明书后续描述为实施本申请的较佳实施方式,然所述描述乃以说明本申请的一般原则为目的,并非用以限定本申请的范围。本申请的保护范围当视所附权利要求所界定者为准。
需要说明的是,本发明实施例中提到的节点1与节点2不特指某一个通信节点。例如,有两通信节点A和B进行安全通道通信,首先节点A进入休眠之后唤醒,那么此时节点A为所述节点1,节点B为所述节点2。之后节点B进入休眠之后唤醒,那么此时节点B为所述节点1,节点A为所述节点2。
下面结合附图,对本发明实施例提供的安全通道休眠唤醒方法、装置及计算机可读存储介质进行具体说明。
本发明实施例提供了一种安全通道休眠唤醒方法,如图1所示,包括:
S101、节点1从休眠状态中被唤醒时,获取保存的与节点2进行通信的IP通信信息。
需要说明的是,在节点1和节点2之间首次建立通信连接时,节点1和节点2各自会保存用于通信连接的IP通信信息,在后续通信的过程中,一旦IP通信信息发生变化,节点1和节点2就会将变化后的IP通信信息即时保存在计算机可读存储介质中。
其中,所述IP通信信息至少包括IP地址、通信端口号和会话标识符中的一种,所述IP地址为节点1和节点2的IP地址,所述通信端口号为节点1和节点2的通信端口号Port,所述会话标识符为节点1和节点2的会话标识符(Session Identifier,SID)。
节点1进入休眠状态的触发条件包括设备断电、系统关机、程序异常退出等被动休眠触发条件,或者包括接收到指示进入休眠状态的状态控制消息、到达预设休眠启动时间等主动休眠触发条件。若节点1因主动触发条件进入休眠状态,节点1将停止收发除状态控制消息(例如,地址更新消息)和密钥更新消息以外的其他任何数据。若节点1因被动触发条件进入休眠状态,节点1将无法收发任何数据。
当节点1进入休眠状态时,节点1已保存有进入休眠状态前和节点2进行通信的IP通信信息。此外,节点1在进入休眠状态前,与节点2之间使用的是第一密钥进行报文的保护传输。
节点1从休眠状态中被唤醒的触发唤醒条件包括设备加电、系统开机、程序重新加载运行等被动唤醒触发条件,或者包括接收到指示唤醒的状态控制消息、预设休眠时间结束等主动唤醒触发条件。
当节点1从休眠状态中被唤醒时,节点1能够从保存有IP通信信息的计算机可读存储介质中获取与节点2进行通信的IP通信信息。
S102、节点1利用获取的所述IP通信信息进行报文封装得到第一报文,第一报文中包括节点1利用与节点2共享的第一密钥进行保护处理的密钥更新请求消息。
其中,节点1利用第一密钥对密钥更新请求消息进行保护处理,包括:利用第一密钥对密钥更新请求消息进行加密、完整性校验等至少一项保护处理。
例如,第一报文的相关字段组成如下所示:
IP1 IP2 Port1(SID1) Port2(SID2) EncData1
其中,IP1为节点1的IP地址,IP2为节点2的IP地址;Port1为节点1的通信端口号,Port2为节点2的通信端口号;SID1为节点1的会话标识符,SID2为节点2的会话标识符;EncData1为节点1对需要保护的数据进行加密形成的加密字段,在步骤102中对应为经过加密的密钥更新请求消息。
其中,所述密钥更新请求消息包括基础密钥标识和节点1生成的第一随机数;作为一种可选的方式,所述第一随机数可以由节点1在生成密钥更新请求消息时产生。
S103、节点1将第一报文发送至节点2。
S104、节点2接收第一报文,从第一报文中获取所述IP通信信息并利用所述第一密钥进行解保护处理得到密钥更新请求消息,根据包括所述密钥更新请求消息中的基础密钥标识对应的基础密钥和节点1生成的第一随机数,并结合节点2生成的第二随机数在内的信息,利用与节点1共享的密钥派生算法生成第二密钥。
其中,节点2利用所述第一密钥对经保护处理的密钥更新请求消息进行解保护处理,包括:利用所述第一密钥对经保护处理的密钥更新请求消息相应进行解密、完整性校验等至少一项解保护处理。
作为一种可选的方式,所述第二随机数可以由节点2在得到密钥更新请求消息并验证其正确性后,在生成密钥更新响应消息时产生。其中,节点2可以利用密钥更新请求消息中的相关字段来验证密钥更新请求消息的正确性。
作为一种可选的方式,节点2可以利用密钥更新请求消息中的基础密钥标识来验证密钥更新请求消息的正确性;和/或,当密钥更新请求消息中还包括节点1的身份标识信息ID1时,节点2还可以利用密钥更新请求消息中的ID1来验证密钥更新请求消息的正确性。验证过程包括但不限于:节点2可以利用密钥更新请求消息中的基础密钥标识与自身保存的与节点1预共享的基础密钥标识进行比对,从而确定密钥更新请求消息的正确性;和/或,节点2利用密钥更新请求消息中的基础密钥标识查找对应的基础密钥,根据基础密钥的查找结果确定密钥更新请求消息的正确性;和/或,当密钥更新请求消息中还包括节点1的身份标识信息ID1时,节点2利用密钥更新请求消息中的ID1与自身保存的节点1的身份标识信息进行比对,从而确定密钥更新请求消息的正确性。
需要说明的是,后续节点1在得到密钥更新响应消息时,也可以验证其正确性。节点1验证密钥更新响应消息的实施方式与节点2验证密钥更新请求消息的实施方式相类似,不再赘述。
S105、节点2利用从第一报文中获取的所述IP通信信息进行报文封装得到第二报文,第二报文中包括节点2利用所述第一密钥进行保护处理的密钥更新响应消息。
其中,节点2利用所述第一密钥对密钥更新响应消息进行保护处理,包括:利用所述第一密钥对密钥更新响应消息进行加密、完整性校验等至少一项保护处理。
例如,第二报文的相关字段组成如下所示:
IP2 IP1 Port2(SID2) Port1(SID1) EncData2
其中,EncData2为节点2对需要保护的数据进行加密形成的加密字段,在步骤105中对应为经过加密的密钥更新响应消息。
其中,所述密钥更新响应消息包括节点2生成的所述第二随机数。
S106、节点2将第二报文发送至节点1。
S107、节点1接收第二报文,从第二报文中获取所述IP通信信息并利用所述第一密钥进行解保护处理得到密钥更新响应消息,根据包括所述基础密钥标识对应的基础密钥和所述第二随机数,并结合自身生成的所述第一随机数在内的信息,利用与节点2共享的所述密钥派生算法生成所述第二密钥。
其中,节点1利用所述第一密钥对经保护处理的密钥更新响应消息进行解保护处理,包括:利用所述第一密钥对经保护处理的密钥更新响应消息相应进行解密、完整性校验等至少一项解保护处理。
所述基础密钥标识及其对应的基础密钥是节点1和节点2之间预共享的,所述基础密钥标识用于指示对应的基础密钥,基础密钥是用于派生其他密钥时的种子密钥;所述第二密钥指的是节点1在休眠唤醒后与节点2之间启用的一个新密钥,用于节点1和节点2之间进行保护通信。
S108、节点1与节点2利用所述IP通信信息及所述第二密钥进行报文封装和保护传输。
在本发明实施例中,由于节点1进入休眠状态后与节点2停止了通信,节点2无法确定节点1在休眠中是否泄露了第一密钥,因此为了保证通信安全,节点1与节点2需要重新协商用于通信的密钥,节点1与节点2使用新生成的第二密钥进行报文的保护传输,可以防止非法节点使用旧的第一密钥伪装为节点1破坏安全通道通信。
由于节点1在休眠唤醒后,其IP通信信息可能会发生变化(例如,节点1在休眠唤醒后的IP地址发生变化;或者,节点1与节点2之间存在网络地址转换(Network AddressTranslation,NAT)设备,节点1在休眠唤醒后由于NAT设备对节点1的IP地址重新进行映射;又例如,节点1在休眠唤醒后的通信端口号发生变化等),因此节点2在收到节点1发送的第一报文之后,需要确认节点1的IP通信信息是否真的发生变化,以防止与伪装为节点1的非法节点进行通信。
因此,在基于图1实施例的基础上,如图2所示,本发明实施例还提供一种安全通道休眠唤醒方法,包括:
S201、节点1从休眠状态中被唤醒时,获取保存的与节点2进行通信的IP通信信息。
其中,若节点1在唤醒时确定IP通信信息没有发生变化,则节点1获取的IP通信信息为节点1在进入休眠状态前已保存的IP通信信息;若节点1在唤醒时确定IP通信信息发生变化,则节点1即时保存变化后的IP通信信息,并获取变化后的IP通信信息。例如,节点1为多宿主主机,节点1在唤醒后能够检测到操作系统当前使用的IP通信信息是否与其在休眠前保存的IP通信信息相同。
S202、节点1利用获取的所述IP通信信息进行报文封装,得到第一报文并发送至节点2,第一报文中包括节点1利用与节点2共享的第一密钥加密的密钥更新请求消息。
S203、节点2接收第一报文,从第一报文中获取所述IP通信信息,利用所述第一密钥解密得到密钥更新请求消息,根据密钥更新请求消息生成密钥更新响应消息,并根据包括密钥更新请求消息中的基础密钥标识对应的基础密钥和第一随机数以及密钥更新响应消息中的第二随机数在内的信息生成第二密钥。
其中,节点2解密得到密钥更新请求消息后,若确定自身具有所述密钥更新请求消息中的基础密钥标识,则节点2生成第二随机数,并根据包括所述第二随机数在内的信息生成密钥更新响应消息。
S204、节点2监测本地保存的节点1的IP通信信息和从第一报文中获取的节点1的IP通信信息是否相同,若不同,则节点2重新确定节点1的IP通信信息并生成地址更新通知消息,利用重新确定的IP通信信息进行报文封装,得到第二报文并发送至节点1,第二报文中包括节点2利用所述第一密钥加密的地址更新通知消息和密钥更新响应消息。
其中,地址更新通知消息包括用于指示重新确定的节点1的IP通信信息。
例如,地址更新通知消息的相关字段组成如下所示:
地址更新通知标识 IP1 Port1’(SID1’)
其中,IP1’、Port1’(SID1’)为重新确定的节点1的IP通信信息;“地址更新通知标识”字段用于表示该消息是通知消息还是响应消息,地址更新通知标识与地址更新响应标识不同。
需要说明的是,若节点2监测到本地保存的节点1的IP通信信息与第一报文中节点1的IP通信信息相同,则S204中节点2不会生成地址更新通知消息,第二报文中也不携带加密的地址更新通知消息,节点1和节点2之间的后续交互过程包括:节点1接收到第二报文后,从第二报文中获取IP通信信息并利用第一密钥解密得到密钥更新响应消息,根据包括密钥更新请求消息中的基础密钥标识对应的基础密钥和第一随机数以及密钥更新响应消息中的第二随机数在内的信息生成所述第二密钥,节点1和节点2利用获取的所述IP通信信息及所述第二密钥进行报文封装和保密传输,具体过程可参见图1实施例中的描述。
S205、节点1接收第二报文,从第二报文中获取IP通信信息,并利用第一密钥解密得到密钥更新响应消息和地址更新通知消息,根据包括密钥更新请求消息中的基础密钥标识对应的基础密钥和第一随机数以及密钥更新响应消息中的第二随机数在内的信息生成第二密钥,根据地址更新通知消息确定节点1的生效IP通信信息。
其中,节点1解密得到地址更新通知消息后,从中获取重新确定的节点1的IP通信信息,并判断该IP通信信息是否为节点1当前的生效IP通信信息,若是,则将地址更新通知消息中携带的节点1的IP通信信息确定为节点1的生效IP通信信息。
S206、节点1利用从第二报文中获取的IP通信信息进行报文封装,得到第三报文并发送至节点2,第三报文中包括节点1利用第一密钥加密的地址更新响应消息。
其中,地址更新响应消息包括用于指示节点1的生效IP通信信息。
例如,地址更新响应消息的相关字段组成如下所示:
地址更新响应标识 IP1 Port1’(SID1’)
其中,IP1’、Port1’(SID1’)为节点1的生效IP通信信息;“地址更新响应标识”字段用于表示该消息是通知消息还是响应消息。
S207、节点2接收第三报文,利用第一密钥解密得到地址更新响应消息,根据地址更新响应消息确定节点1的生效IP通信信息,并将本地保存的节点1的IP通信信息更新为节点1的生效IP通信信息。
通过上述方式,使得节点2能够通过第三报文中的地址更新响应消息确认节点1的IP通信信息是否发生变化。
S208、节点1与节点2利用更新的IP通信信息和生成的第二密钥进行报文封装和保密传输。
需要说明的是,在实际应用场景下,若节点1被网络攻击或者出现非法节点伪装为节点1的情况,则节点2从第一报文中获取的IP通信信息有可能为经过篡改的IP通信信息,为了避免这种安全隐患,本发明实施例还提供一种可选的实施方式:
在S204中,节点2重新确定节点1的IP通信信息并生成地址更新通知消息,包括:
节点2确定本地保存的节点1的IP通信信息为第一IP通信信息,确定第一报文中节点1的IP通信信息为第二IP通信信息;节点2生成用于指示第一IP通信信息的第一地址更新通知消息,生成用于指示第二IP通信信息的第二地址更新通知消息。
之后,节点2利用第一密钥对第一地址更新通知消息加密后携带在第二报文中发送给第一IP通信信息对应的节点;节点2利用第一密钥对第二地址更新通知消息加密后携带在第二报文中发送给第二IP通信信息对应的节点。
即S204中,节点2将第二报文发送至节点1,具体包括:节点2将携带加密的第一地址更新通知消息和加密的密钥更新响应消息的第二报文发送给第一IP通信信息对应的节点;节点2将携带加密的第二地址更新通知消息和加密的密钥更新响应消息的第二报文发送给第二IP通信信息对应的节点。
这样,节点2通过向节点1休眠前的地址和休眠唤醒后发生变化的地址分别发送第二报文,如果节点1的IP通信信息在休眠唤醒后确实发生了变化,那么节点2向第二IP通信信息对应的节点发送的第二报文会被节点1接收到,节点1收到第二报文后,会通过第三报文向节点2通知自身的IP通信信息确实发生变化。
如果节点1的IP通信信息在休眠唤醒后没有发生变化,那么节点2向第一IP通信信息对应的节点发送的第二报文会被节点1接收到,节点1收到第二报文后,会通过第三报文向节点2通知自身的IP通信信息没有发生变化。
在正常情况下,节点2通常只能收到一条第三报文,即所述第二IP通信信息对应的节点发送的第三报文;但是,若节点2接收到两条第三报文,即所述第一IP通信信息对应的节点和所述第二IP通信信息对应的节点各自发送的第三报文,那么可以判断所述第二IP通信信息对应的节点是伪装为节点1的非法节点。
通过节点1和节点2分别生成一个随机数来生成密钥,可以令其中一个节点在未与另一个节点协商的前提下,不能进行安全通道通信,从而保证安全性。
可选地,在上述各实施例中,为了确保节点1能够验证收到的密钥更新响应消息的正确性,所述密钥更新响应消息还可以包括节点2从所述密钥更新请求消息中获取的第一随机数;则节点1在得到密钥更新响应消息后,可以检查密钥更新响应消息中的第一随机数与节点1自身生成的所述第一随机数是否相同;若不同,则确定得到的密钥更新响应消息不正确,并丢弃所述密钥更新响应消息。
可选地,本申请实施例中,节点1和节点2分别具有特定的身份标识信息,并且节点1和节点2之间可以根据对方节点的身份标识信息确定对方节点是否为合法。
因此,上述实施例中,密钥更新请求消息中还可以包括节点1的身份标识信息ID1,密钥更新响应消息中还可以包括节点2的身份标识信息ID2
则节点2利用第一密钥解密得到密钥更新请求消息之后,还包括:节点2利用密钥更新请求消息中的ID1确定节点1是否为合法节点。
同样的,节点1利用第一密钥解密得到密钥更新响应消息之后,还包括:节点1利用密钥更新响应消息中的ID2确定节点2是否为合法节点。
这样,通过在密钥更新请求消息和密钥更新响应消息中携带节点的身份标识信息,能够使接收消息的节点验证发送消息的节点的身份合法性,进一步保证通信的安全性。
当密钥更新请求消息中还包括节点1的身份标识信息ID1,密钥更新响应消息中还包括节点2的身份标识信息ID2时,本发明实施例还提供一种计算第二密钥的实施方式,例如:
节点2根据包括所述密钥更新请求消息中的基础密钥标识对应的基础密钥、所述第一随机数和所述ID1,并结合自身生成的第二随机数、自身的身份标识信息ID2及常量字符串在内的信息计算生成所述第二密钥;
节点1根据包括所述基础密钥标识对应的基础密钥、所述第二随机数和所述ID2,并结合自身生成的所述第一随机数、自身的身份标识信息ID1及常量字符串在内的信息计算生成所述第二密钥;
其中,所述常量字符串为可选字段,节点1和节点2之间预共享所述常量字符串。
另外,在两个节点之间进行安全通道通信的实际场景中,若其中一个节点进入休眠状态,当休眠节点被唤醒后,很可能出现休眠节点与对端节点的抗重放计数器数值不同步的情况,即休眠节点的抗重放计数器数值从初始值开始计算,而对端节点的抗重放计数器数值从休眠节点休眠前最后一次使用的数值开始计算,因此对端节点的抗重放服务将丢弃接收到的IP分组,从而导致安全通道无法正常通信。
为了解决这一问题,在本申请实施例中,节点1和节点2除了在IP通信信息发生变化时,即时保存变化后的IP通信信息,节点1和节点2还可以在抗重放计数器数值发生变化时,即时保存变化后的抗重放计数器数值,并利用保存的抗重放计数器数值进行报文封装和传输,从而保证休眠节点被唤醒后能够与对端节点进行正常通信。
例如,在S102/S105/S108/S202/S204/S206/S208中,节点1和/或节点2在进行报文封装时,还包括:
将保存的抗重放计数器数值字段封装在发送的报文中。
相应的,在S104/S107/S108/S203/S205/S207/S208中,节点1和/或节点2在接收到报文时,还包括:
利用抗重放算法验证接收的报文中的抗重放计数器数值字段是否在合法范围内;若不在合法范围内,则丢弃接收到的报文。
通过验证报文中的抗重放计数器数值字段是否在合法范围内,能够进一步保证通信的安全性。
可选地,节点1和/或节点2在进行报文封装时,还可以包括:将用于校验报文完整性的校验字段封装在发送的报文中,其中,所述校验字段是通过节点1与节点2共享的校验密钥对报文中的信息进行完整性校验所生成的。
相应的,节点1和/或节点2在接收到报文时,还包括:利用所述校验密钥对接收的报文中的校验字段进行校验,确定接收的报文是否完整。
在具体实施过程中,所述校验字段可以是通过使用校验密钥对报文中的加密字段(例如,第一报文中的密钥更新请求消息,第二报文中的密钥更新响应消息和地址更新通知消息,第三报文的地址更新响应消息,都可以称为报文中的加密字段)进行完整性校验计算得到的;或者,所述校验字段也可以是通过使用校验密钥对报文(例如,第一报文、第二报文、第三报文)中除校验字段外的其他所有信息计算得到的,在此不作限定。其中,使用的校验密钥和完整性校验算法可以是节点1和节点2之间预共享的。
通过报文中携带有对报文内容进行校验的校验字段,可以避免接收的报文损坏导致获取信息错误。
基于同一发明构思,本发明实施例还提供一种安全通道休眠唤醒装置,配置于节点1,如图3所示,包括:
休眠唤醒单元301,用于在节点1从休眠状态中被唤醒时,获取保存的与节点2进行通信的IP通信信息,所述IP通信信息至少包括IP地址、通信端口号和会话标识符中的一种;
第一处理单元302,用于利用所述IP通信信息进行报文封装,得到第一报文并发送至所述节点2,所述第一报文中包括利用与所述节点2共享的第一密钥进行保护处理的密钥更新请求消息,所述密钥更新请求消息包括基础密钥标识和节点1生成的第一随机数;
第二处理单元303,用于接收所述节点2发送的第二报文,从所述第二报文中获取所述IP通信信息并利用所述第一密钥进行解保护处理得到密钥更新响应消息,所述密钥更新响应消息包括所述节点2生成的第二随机数;
第二处理单元303还用于根据包括所述基础密钥标识对应的基础密钥和所述第二随机数,并结合节点1生成的所述第一随机数在内的信息计算生成第二密钥;
通信单元304,用于与所述节点2利用所述IP通信信息及所述第二密钥进行报文封装和保护传输。
可选地,休眠唤醒单元301获取保存的与节点2进行通信的IP通信信息,包括:
若所述节点1在唤醒时自身的IP通信信息没有发生变化,则休眠唤醒单元301获取在进入休眠状态前已保存的IP通信信息;
若所述节点1在唤醒时自身的IP通信信息发生变化,则休眠唤醒单元301即时保存并获取变化后的IP通信信息。
可选地,第二处理单元303接收的所述第二报文中还包括所述节点2利用所述第一密钥进行保护处理的地址更新通知消息,所述地址更新通知消息用于指示重新确定的节点1的IP通信信息。
可选地,第二处理单元303接收所述第二报文后,还用于利用所述第一密钥进行解保护处理得到所述地址更新通知消息,根据所述地址更新通知消息确定所述节点1的生效IP通信信息;
所述装置还包括:
第三处理单元305,用于利用从所述第二报文中获取的IP通信信息进行报文封装,得到第三报文并发送至所述节点2,所述第三报文中包括利用所述第一密钥进行保护处理的地址更新响应消息,所述地址更新响应消息用于指示所述节点1的生效IP通信信息。
可选地,所述密钥更新响应消息还包括所述节点2从所述密钥更新请求消息中获取的第一随机数;
则第二处理单元303在得到所述密钥更新响应消息后,检查所述密钥更新响应消息中的第一随机数与所述节点1自身生成的第一随机数是否相同;若不同,则丢弃所述密钥更新响应消息。
可选地,所述密钥更新请求消息还包括所述节点1的身份标识信息,所述密钥更新响应消息还包括所述节点2的身份标识信息;
第二处理单元303,还用于利用所述密钥更新响应消息中所述节点2的身份标识信息确定所述节点2是否为合法节点。
可选地,第二处理单元303根据包括所述基础密钥标识对应的基础密钥和所述第二随机数,并结合节点1生成的所述第一随机数在内的信息计算生成第二密钥,包括:
第二处理单元303根据包括所述基础密钥标识对应的基础密钥、所述第二随机数和所述节点2的身份标识信息,并结合所述节点1生成的所述第一随机数、所述节点1的身份标识信息及常量字符串在内的信息计算生成第二密钥;
其中,所述常量字符串为所述节点1和所述节点2之间预共享的可选字段。
可选地,休眠唤醒单元301还用于当抗重放计数器数值有变化时,即时保存变化后的抗重放计数器数值;当所述节点1从休眠状态中被唤醒时,休眠唤醒单元301还用于获取保存的抗重放计数器数值;
第一处理单元302、第三处理单元305和/或通信单元304还用于将抗重放计数器数值字段封装在发送的报文中;
第二处理单元303和/或通信单元304还用于利用抗重放算法验证接收的报文中的抗重放计数器数值字段是否在合法范围内。
可选地,第一处理单元302、第三处理单元305和/或通信单元304还用于将用于校验报文完整性的校验字段封装在发送的报文中,其中,所述校验字段是通过所述节点1与所述节点2共享的校验密钥对报文中的信息进行完整性校验所生成的;
第二处理单元303和/或通信单元304还用于利用所述校验密钥对接收的报文中的校验字段进行校验,确定报文是否完整。
基于同一发明构思,本发明实施例还提供了一种安全通道休眠唤醒装置,配置于节点2,如图4所示,包括:
第一处理单元401,用于接收节点1发送的第一报文,从所述第一报文中获取IP通信信息并利用与所述节点1共享的第一密钥进行解保护处理得到密钥更新请求消息,所述密钥更新请求消息包括基础密钥标识和所述节点1生成的第一随机数;
其中,所述第一报文中包括所述节点1利用与所述节点2共享的第一密钥进行保护处理的密钥更新请求消息;所述IP通信信息至少包括IP地址、通信端口号和会话标识符中的一种;
第一处理单元401还用于根据包括所述基础密钥标识对应的基础密钥和所述第一随机数,并结合节点2生成的第二随机数在内的信息计算生成第二密钥;
第二处理单元402,用于利用所述IP通信信息进行报文封装,得到第二报文并发送至所述节点1,所述第二报文中包括利用所述第一密钥进行保护处理的密钥更新响应消息,所述密钥更新响应消息包括所述第二随机数;
通信单元403,用于与所述节点1利用所述IP通信信息及所述第二密钥进行报文封装和保护传输。
可选地,第一处理单元401,还用于在监测到本地保存的所述节点1的IP通信信息与所述第一报文中所述节点1的IP通信信息不同时,重新确定所述节点1的IP通信信息并生成地址更新通知消息,所述地址更新通知消息用于指示重新确定的节点1的IP通信信息;
第二处理单元402,还用于利用所述第一密钥对所述地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述节点1。
可选地,所述装置还包括:
第三处理单元404,用于接收所述节点1发送的第三报文,利用所述第一密钥从所述第三报文中进行解保护处理得到地址更新响应消息,根据所述地址更新响应消息确定所述节点1的生效IP通信信息,将本地保存的所述节点1的IP通信信息更新为所述节点1的生效IP通信信息。
可选地,第一处理单元401重新确定所述节点1的IP通信信息并生成地址更新通知消息,包括:
确定本地保存的节点1的IP通信信息为第一IP通信信息,确定所述第一报文中节点1的IP通信信息为第二IP通信信息;
生成用于指示所述第一IP通信信息的第一地址更新通知消息,及生成用于指示所述第二IP通信信息的第二地址更新通知消息;
第二处理单元402利用所述第一密钥对所述地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述节点1,包括:
利用所述第一密钥对所述第一地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述第一IP通信信息对应的节点;
利用所述第一密钥对所述第二地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述第二IP通信信息对应的节点。
可选地,所述密钥更新响应消息还包括第一处理单元401从所述密钥更新请求消息中获取的第一随机数。
可选地,所述密钥更新请求消息还包括所述节点1的身份标识信息,所述密钥更新响应消息还包括所述节点2的身份标识信息;
第一处理单元401,还用于利用所述密钥更新请求消息中所述节点1的身份标识信息确定所述节点1是否为合法节点。
可选地,第一处理单元401根据包括所述基础密钥标识对应的基础密钥和所述第一随机数,并结合节点2生成的第二随机数在内的信息计算生成第二密钥,包括:
第一处理单元401根据包括所述基础密钥标识对应的基础密钥、所述第一随机数和所述节点1的身份标识信息,并结合所述节点2生成的所述第二随机数、所述节点2的身份标识信息及常量字符串在内的信息计算生成第二密钥;
其中,所述常量字符串为所述节点1和所述节点2之间预共享的可选字段。
可选地,第一处理单元401还用于当抗重放计数器数值有变化时,即时保存变化后的抗重放计数器数值;
第二处理单元402和/或通信单元403,还用于将抗重放计数器数值字段封装在发送的报文中;
第一处理单元401、第三处理单元404和/或通信单元403,还用于利用抗重放算法验证接收的报文中的抗重放计数器数值字段是否在合法范围内。
可选地,第二处理单元402和/或通信单元403,还用于将用于校验报文完整性的校验字段封装在发送的报文中,其中,所述校验字段是通过所述节点1与所述节点2共享的校验密钥对报文中的信息进行完整性校验所生成的;
第一处理单元401、第三处理单元404和/或通信单元403,还用于利用所述校验密钥对接收的报文中的校验字段进行校验,确定报文是否完整。
由于所述安全通道休眠唤醒装置执行的具体内容对应的是本发明实施例进行安全通道休眠唤醒的方法,并且该装置解决问题的原理与所述安全通道休眠唤醒方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
基于同一发明构思,本发明实施例还提供了一种电子设备,如图5所示,包括:处理器110和用于存储所述处理器110可执行指令的存储器120;其中,所述处理器110被配置为执行所述指令,以实现所述安全通道休眠唤醒方法。
基于同一发明构思,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的安全通道休眠唤醒方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
以上对本申请所提供的技术方案进行了详细介绍,本申请中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (29)

1.一种安全通道休眠唤醒方法,其特征在于,包括:
节点1从休眠状态中被唤醒时,获取保存的与节点2进行通信的IP通信信息,所述IP通信信息至少包括IP地址、通信端口号和会话标识符中的一种;
所述节点1利用所述IP通信信息进行报文封装,得到第一报文并发送至所述节点2,所述第一报文中包括利用与所述节点2共享的第一密钥进行保护处理的密钥更新请求消息,所述密钥更新请求消息包括基础密钥标识和所述节点1生成的第一随机数;
所述节点2接收所述第一报文,从所述第一报文中获取所述IP通信信息并利用所述第一密钥进行解保护处理得到密钥更新请求消息,根据包括所述密钥更新请求消息中的基础密钥标识对应的基础密钥和所述第一随机数,并结合自身生成的第二随机数在内的信息计算生成第二密钥;
所述节点2利用所述IP通信信息进行报文封装,得到第二报文并发送至所述节点1,所述第二报文中包括利用所述第一密钥进行保护处理的密钥更新响应消息,所述密钥更新响应消息包括所述第二随机数;
所述节点1接收所述第二报文,从所述第二报文中获取所述IP通信信息并利用所述第一密钥进行解保护处理得到密钥更新响应消息,根据包括所述基础密钥标识对应的基础密钥和所述第二随机数,并结合自身生成的所述第一随机数在内的信息计算生成所述第二密钥;
所述节点1与所述节点2利用所述IP通信信息及所述第二密钥进行报文封装和保护传输。
2.如权利要求1所述的方法,其特征在于,所述节点1从休眠状态中被唤醒时,获取保存的与节点2进行通信的IP通信信息,包括:
若所述节点1在唤醒时自身的IP通信信息没有发生变化,则所述节点1获取在进入休眠状态前已保存的IP通信信息;
若所述节点1在唤醒时自身的IP通信信息发生变化,则所述节点1即时保存并获取变化后的IP通信信息。
3.如权利要求1所述的方法,其特征在于,所述节点2接收所述第一报文之后,还包括:
所述节点2监测到本地保存的所述节点1的IP通信信息与所述第一报文中所述节点1的IP通信信息不同时,重新确定所述节点1的IP通信信息并生成地址更新通知消息,所述地址更新通知消息用于指示重新确定的节点1的IP通信信息;
所述节点2利用所述IP通信信息进行报文封装,得到第二报文并发送至所述节点1,还包括:
所述节点2利用所述第一密钥对所述地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述节点1。
4.如权利要求3所述的方法,其特征在于,所述节点1接收所述第二报文之后,还包括:
所述节点1利用所述第一密钥进行解保护处理得到所述地址更新通知消息,根据所述地址更新通知消息确定所述节点1的生效IP通信信息;
所述节点1利用从所述第二报文中获取的IP通信信息进行报文封装,得到第三报文并发送至所述节点2,所述第三报文中包括利用所述第一密钥进行保护处理的地址更新响应消息,所述地址更新响应消息用于指示所述节点1的生效IP通信信息;
所述节点2接收所述第三报文,利用所述第一密钥进行解保护处理得到所述地址更新响应消息,根据所述地址更新响应消息确定所述节点1的生效IP通信信息;
所述节点2将本地保存的所述节点1的IP通信信息更新为所述节点1的生效IP通信信息。
5.如权利要求3所述的方法,其特征在于,所述节点2重新确定所述节点1的IP通信信息,包括:
所述节点2确定本地保存的节点1的IP通信信息为第一IP通信信息,确定所述第一报文中节点1的IP通信信息为第二IP通信信息;
所述节点2生成所述地址更新通知消息,利用所述第一密钥对所述地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述节点1,包括:
所述节点2生成用于指示所述第一IP通信信息的第一地址更新通知消息,及生成用于指示所述第二IP通信信息的第二地址更新通知消息;
所述节点2利用所述第一密钥对所述第一地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述第一IP通信信息对应的节点;
所述节点2利用所述第一密钥对所述第二地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述第二IP通信信息对应的节点。
6.如权利要求1所述的方法,其特征在于,所述密钥更新响应消息还包括所述节点2从所述密钥更新请求消息中获取的第一随机数;
所述节点1在得到所述密钥更新响应消息后,检查所述密钥更新响应消息中的第一随机数与所述节点1自身生成的第一随机数是否相同;若不同,则丢弃所述密钥更新响应消息。
7.如权利要求1所述的方法,其特征在于,所述密钥更新请求消息还包括所述节点1的身份标识信息,所述密钥更新响应消息还包括所述节点2的身份标识信息;
所述节点2利用所述第一密钥进行解保护处理得到密钥更新请求消息之后,还包括:
所述节点2利用所述密钥更新请求消息中所述节点1的身份标识信息确定所述节点1是否为合法节点;
所述节点1利用所述第一密钥进行解保护处理得到密钥更新响应消息之后,还包括:
所述节点1利用所述密钥更新响应消息中所述节点2的身份标识信息确定所述节点2是否为合法节点。
8.如权利要求7所述的方法,其特征在于,所述节点2根据包括所述密钥更新请求消息中的基础密钥标识对应的基础密钥和所述第一随机数,并结合自身生成的第二随机数在内的信息计算生成第二密钥,包括:
所述节点2根据包括所述密钥更新请求消息中的基础密钥标识对应的基础密钥、所述第一随机数和所述节点1的身份标识信息,并结合所述节点2生成的第二随机数、所述节点2的身份标识信息及常量字符串在内的信息计算生成第二密钥;
所述节点1根据包括所述基础密钥标识对应的基础密钥和所述第二随机数,并结合自身生成的所述第一随机数在内的信息计算生成所述第二密钥,包括:
所述节点1根据包括所述基础密钥标识对应的基础密钥、所述第二随机数和所述节点2的身份标识信息,并结合所述节点1生成的所述第一随机数、所述节点1的身份标识信息及常量字符串在内的信息计算生成所述第二密钥;
其中,所述常量字符串为所述节点1和所述节点2之间预共享的可选字段。
9.如权利要求1至8任一项所述的方法,其特征在于,所述方法还包括:
当抗重放计数器数值有变化时,所述节点1和/或所述节点2即时保存变化后的抗重放计数器数值;所述节点1从休眠状态中被唤醒时,还获取保存的抗重放计数器数值;
所述节点1和/或所述节点2在进行报文封装时,还包括:
将抗重放计数器数值字段封装在发送的报文中;
所述节点1和/或所述节点2在接收到报文时,还包括:
利用抗重放算法验证接收的报文中的抗重放计数器数值字段是否在合法范围内。
10.如权利要求1至8任一项所述的方法,其特征在于,所述节点1和/或所述节点2在进行报文封装时,还包括:
将用于校验报文完整性的校验字段封装在发送的报文中;其中,所述校验字段是通过所述节点1与所述节点2共享的校验密钥对报文中的信息进行完整性校验所生成的;
所述节点1和/或所述节点2在接收到报文时,还包括:
利用所述校验密钥对接收的报文中的校验字段进行校验,确定报文是否完整。
11.一种安全通道休眠唤醒装置,配置于节点1,其特征在于,包括:
休眠唤醒单元,用于在节点1从休眠状态中被唤醒时,获取保存的与节点2进行通信的IP通信信息,所述IP通信信息至少包括IP地址、通信端口号和会话标识符中的一种;
第一处理单元,用于利用所述IP通信信息进行报文封装,得到第一报文并发送至所述节点2,所述第一报文中包括利用与所述节点2共享的第一密钥进行保护处理的密钥更新请求消息,所述密钥更新请求消息包括基础密钥标识和节点1生成的第一随机数;
第二处理单元,用于接收所述节点2发送的第二报文,从所述第二报文中获取所述IP通信信息并利用所述第一密钥进行解保护处理得到密钥更新响应消息,所述密钥更新响应消息包括所述节点2生成的第二随机数;
所述第二处理单元,还用于根据包括所述基础密钥标识对应的基础密钥和所述第二随机数,并结合节点1生成的所述第一随机数在内的信息计算生成第二密钥;
通信单元,用于与所述节点2利用所述IP通信信息及所述第二密钥进行报文封装和保护传输。
12.如权利要求11所述的装置,其特征在于,所述休眠唤醒单元获取保存的与节点2进行通信的IP通信信息,包括:
若所述节点1在唤醒时自身的IP通信信息没有发生变化,则所述休眠唤醒单元获取在进入休眠状态前已保存的IP通信信息;
若所述节点1在唤醒时自身的IP通信信息发生变化,则所述休眠唤醒单元即时保存并获取变化后的IP通信信息。
13.如权利要求11所述的装置,其特征在于,所述第二处理单元接收的所述第二报文中还包括所述节点2利用所述第一密钥进行保护处理的地址更新通知消息,所述地址更新通知消息用于指示重新确定的节点1的IP通信信息。
14.如权利要求13所述的装置,其特征在于,所述第二处理单元接收所述第二报文后,还用于利用所述第一密钥进行解保护处理得到所述地址更新通知消息,根据所述地址更新通知消息确定所述节点1的生效IP通信信息;
所述装置还包括:
第三处理单元,用于利用从所述第二报文中获取的IP通信信息进行报文封装,得到第三报文并发送至所述节点2,所述第三报文中包括利用所述第一密钥进行保护处理的地址更新响应消息,所述地址更新响应消息用于指示所述节点1的生效IP通信信息。
15.如权利要求11所述的装置,其特征在于,所述密钥更新响应消息还包括所述节点2从所述密钥更新请求消息中获取的第一随机数;
则所述第二处理单元在得到所述密钥更新响应消息后,检查所述密钥更新响应消息中的第一随机数与所述节点1自身生成的第一随机数是否相同;若不同,则丢弃所述密钥更新响应消息。
16.如权利要求11所述的装置,其特征在于,所述密钥更新请求消息还包括所述节点1的身份标识信息,所述密钥更新响应消息还包括所述节点2的身份标识信息;
所述第二处理单元,还用于利用所述密钥更新响应消息中所述节点2的身份标识信息确定所述节点2是否为合法节点。
17.如权利要求16所述的装置,其特征在于,所述第二处理单元根据包括所述基础密钥标识对应的基础密钥和所述第二随机数,并结合节点1生成的所述第一随机数在内的信息计算生成第二密钥,包括:
所述第二处理单元根据包括所述基础密钥标识对应的基础密钥、所述第二随机数和所述节点2的身份标识信息,并结合所述节点1生成的所述第一随机数、所述节点1的身份标识信息及常量字符串在内的信息计算生成第二密钥;
其中,所述常量字符串为所述节点1和所述节点2之间预共享的可选字段。
18.根据权利要求11至17任一项所述的装置,其特征在于,所述休眠唤醒单元还用于当抗重放计数器数值有变化时,即时保存变化后的抗重放计数器数值;当所述节点1从休眠状态中被唤醒时,所述休眠唤醒单元还用于获取保存的抗重放计数器数值;
所述第一处理单元、所述第三处理单元和/或所述通信单元还用于将抗重放计数器数值字段封装在发送的报文中;
所述第二处理单元和/或所述通信单元还用于利用抗重放算法验证接收的报文中的抗重放计数器数值字段是否在合法范围内。
19.如权利要求11至17任一项所述的装置,其特征在于,所述第一处理单元、所述第三处理单元和/或所述通信单元还用于将用于校验报文完整性的校验字段封装在发送的报文中;其中,所述校验字段是通过所述节点1与所述节点2共享的校验密钥对报文中的信息进行完整性校验所生成的;
所述第二处理单元和/或所述通信单元还用于利用所述校验密钥对接收的报文中的校验字段进行校验,确定报文是否完整。
20.一种安全通道休眠唤醒装置,配置于节点2,其特征在于,包括:
第一处理单元,用于接收节点1发送的第一报文,从所述第一报文中获取IP通信信息并利用与所述节点1共享的第一密钥进行解保护处理得到密钥更新请求消息,所述密钥更新请求消息包括基础密钥标识和所述节点1生成的第一随机数;
其中,所述第一报文中包括所述节点1利用与所述节点2共享的第一密钥进行保护处理的密钥更新请求消息;所述IP通信信息至少包括IP地址、通信端口号和会话标识符中的一种;
所述第一处理单元,还用于根据包括所述基础密钥标识对应的基础密钥和所述第一随机数,并结合节点2生成的第二随机数在内的信息计算生成第二密钥;
第二处理单元,用于利用所述IP通信信息进行报文封装,得到第二报文并发送至所述节点1,所述第二报文中包括利用所述第一密钥进行保护处理的密钥更新响应消息,所述密钥更新响应消息包括所述第二随机数;
通信单元,用于与所述节点1利用所述IP通信信息及所述第二密钥进行报文封装和保护传输。
21.如权利要求20所述的装置,其特征在于,所述第一处理单元还用于在监测到本地保存的所述节点1的IP通信信息与所述第一报文中所述节点1的IP通信信息不同时,重新确定所述节点1的IP通信信息并生成地址更新通知消息,所述地址更新通知消息用于指示重新确定的节点1的IP通信信息;
所述第二处理单元还用于利用所述第一密钥对所述地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述节点1。
22.如权利要求21所述的装置,其特征在于,所述装置还包括:
第三处理单元,用于接收所述节点1发送的第三报文,利用所述第一密钥从所述第三报文中进行解保护处理得到地址更新响应消息,根据所述地址更新响应消息确定所述节点1的生效IP通信信息,将本地保存的所述节点1的IP通信信息更新为所述节点1的生效IP通信信息。
23.如权利要求21所述的装置,其特征在于,所述第一处理单元重新确定所述节点1的IP通信信息并生成地址更新通知消息,包括:
确定本地保存的节点1的IP通信信息为第一IP通信信息,确定所述第一报文中节点1的IP通信信息为第二IP通信信息;
生成用于指示所述第一IP通信信息的第一地址更新通知消息,及生成用于指示所述第二IP通信信息的第二地址更新通知消息;
所述第二处理单元利用所述第一密钥对所述地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述节点1,包括:
利用所述第一密钥对所述第一地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述第一IP通信信息对应的节点;
利用所述第一密钥对所述第二地址更新通知消息进行保护处理后携带在所述第二报文中发送给所述第二IP通信信息对应的节点。
24.如权利要求20所述的装置,其特征在于,所述密钥更新响应消息还包括所述第一处理单元从所述密钥更新请求消息中获取的第一随机数。
25.如权利要求20所述的装置,其特征在于,所述密钥更新请求消息还包括所述节点1的身份标识信息,所述密钥更新响应消息还包括所述节点2的身份标识信息;
所述第一处理单元,还用于利用所述密钥更新请求消息中所述节点1的身份标识信息确定所述节点1是否为合法节点。
26.如权利要求25所述的装置,其特征在于,所述第一处理单元根据包括所述基础密钥标识对应的基础密钥和所述第一随机数,并结合节点2生成的第二随机数在内的信息计算生成第二密钥,包括:
所述第一处理单元根据包括所述基础密钥标识对应的基础密钥、所述第一随机数和所述节点1的身份标识信息,并结合所述节点2生成的所述第二随机数、所述节点2的身份标识信息及常量字符串在内的信息计算生成第二密钥;
其中,所述常量字符串为所述节点1和所述节点2之间预共享的可选字段。
27.如权利要求20至26任一项所述的装置,其特征在于,所述第一处理单元还用于当抗重放计数器数值有变化时,即时保存变化后的抗重放计数器数值;
所述第二处理单元和/或所述通信单元还用于将抗重放计数器数值字段封装在发送的报文中;
所述第一处理单元、所述第三处理单元和/或所述通信单元还用于利用抗重放算法验证接收的报文中的抗重放计数器数值字段是否在合法范围内。
28.如权利要求20至26任一项所述的装置,其特征在于,所述第二处理单元和/或所述通信单元还用于将用于校验报文完整性的校验字段封装在发送的报文中;其中,所述校验字段是通过所述节点1与所述节点2共享的校验密钥对报文中的信息进行完整性校验所生成的;
所述第一处理单元、所述第三处理单元和/或所述通信单元还用于利用所述校验密钥对接收的报文中的校验字段进行校验,确定报文是否完整。
29.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,该计算机程序被处理器执行时实现如权利要求1至10任一所述安全通道休眠唤醒方法的步骤。
CN202210005644.4A 2022-01-05 2022-01-05 安全通道休眠唤醒方法、装置及计算机可读存储介质 Pending CN116418606A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210005644.4A CN116418606A (zh) 2022-01-05 2022-01-05 安全通道休眠唤醒方法、装置及计算机可读存储介质
PCT/CN2022/141151 WO2023130980A1 (zh) 2022-01-05 2022-12-22 安全通道休眠唤醒方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210005644.4A CN116418606A (zh) 2022-01-05 2022-01-05 安全通道休眠唤醒方法、装置及计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN116418606A true CN116418606A (zh) 2023-07-11

Family

ID=87056963

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210005644.4A Pending CN116418606A (zh) 2022-01-05 2022-01-05 安全通道休眠唤醒方法、装置及计算机可读存储介质

Country Status (2)

Country Link
CN (1) CN116418606A (zh)
WO (1) WO2023130980A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106603485B (zh) * 2016-10-31 2020-03-03 美的智慧家居科技有限公司 密钥协商方法及装置
CN109005028A (zh) * 2018-11-02 2018-12-14 美的集团股份有限公司 密钥协商方法、云服务器、设备、存储介质以及系统
JP7451738B2 (ja) * 2020-02-29 2024-03-18 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 鍵更新方法および関連装置
CN113872755A (zh) * 2020-06-30 2021-12-31 华为技术有限公司 一种密钥交换方法及装置

Also Published As

Publication number Publication date
WO2023130980A1 (zh) 2023-07-13

Similar Documents

Publication Publication Date Title
CN108418691B (zh) 基于sgx的动态网络身份认证方法
US20200358764A1 (en) System and method for generating symmetric key to implement media access control security check
CN103595530B (zh) 软件密钥更新方法和装置
EP2634956B1 (en) Communicating an identity to a server
CN104158653B (zh) 一种基于商密算法的安全通信方法
US20170195878A1 (en) Communication network system, transmission node, reception node, and message checking method
US10594479B2 (en) Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device
Lee et al. Mutual authentication in wireless body sensor networks (WBSN) based on physical unclonable function (PUF)
US11714914B2 (en) Secure storage of passwords
WO2022022009A1 (zh) 消息处理方法、装置、设备及存储介质
KR20150135032A (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
JP7451738B2 (ja) 鍵更新方法および関連装置
CN104410580A (zh) 可信安全WiFi路由器及其数据处理方法
CN101192927A (zh) 基于身份保密的授权与多重认证方法
Quadir et al. Embedded systems authentication and encryption using strong puf modeling
CN115001686A (zh) 一种全域量子安全设备及系统
CN112202773B (zh) 一种基于互联网的计算机网络信息安全监控与防护系统
Keleman et al. Secure firmware update in embedded systems
KR20210126319A (ko) 키 관리 장치 및 방법
CN111836260A (zh) 一种认证信息处理方法、终端和网络设备
CN116418606A (zh) 安全通道休眠唤醒方法、装置及计算机可读存储介质
WO2018076299A1 (zh) 数据传输方法及装置
Ryu et al. Cryptanalysis of protocol for heterogeneous wireless sensor networks for the Internet of Things environment
KR20230039722A (ko) 사전-공유 키 psk 업데이트 방법 및 장치
CN113498058A (zh) 客户端隐私保护会话恢复

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication