CN116846660A - 一种基于国密算法的报文传输方法及装置 - Google Patents

一种基于国密算法的报文传输方法及装置 Download PDF

Info

Publication number
CN116846660A
CN116846660A CN202310906674.7A CN202310906674A CN116846660A CN 116846660 A CN116846660 A CN 116846660A CN 202310906674 A CN202310906674 A CN 202310906674A CN 116846660 A CN116846660 A CN 116846660A
Authority
CN
China
Prior art keywords
message
encrypted
symmetric key
digital certificate
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310906674.7A
Other languages
English (en)
Inventor
宋小恒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN202310906674.7A priority Critical patent/CN116846660A/zh
Publication of CN116846660A publication Critical patent/CN116846660A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Abstract

本申请涉及网络安全技术领域,特别涉及一种基于国密算法的报文传输方法及装置。该方法包括:生成SNMPv3Trap扩展报文,该SNMPv3Trap扩展报文携带有与该控制器通信的安全模式为国密方式,该目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的随机对称秘钥密文;将SNMPv3Trap扩展报文发送给控制器,以使得控制器在确定安全模式为国密方式时,基于目标网络设备的标识,采用目标国密数字证书对加密后的随机对称秘钥密文进行解密处理,得到随机对称秘钥,并采用随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到Scoped PDU。

Description

一种基于国密算法的报文传输方法及装置
技术领域
本申请涉及网络安全技术领域,特别涉及一种基于国密算法的报文传输方法及装置。
背景技术
SDN(Software Defined Network,软件定义网络)是一种新型网络创新架构,其核心思想是将网络设备的控制层面与转发层面分离,以实现对网络流量的灵活控制,为核心网络及应用的创新提供良好的平台。
SNMP(Simple Network Management Protocol,简单网络管理协议)是管理进程(NMS)和代理进程(Agent)之间的通信协议。它规定了在网络环境中对设备进行监视和管理的标准化管理框架、通信的公共语言、相应的安全和访问控制机制。网络管理员使用SNMP功能可以查询设备信息、修改设备的参数值、监控设备状态、自动发现网络故障、生成报告等。
SDN网络中使用SNMPv3实现安全模式的网络管理,当前的SNMPv3应用协议主要在安全性方面进行了增强,提供三项重要的服务:认证、隐私和访问控制。它支持以下三种加密算法:DES:使用56bit的密钥对一个64bit的明文块进行加密;3DES:使用三个56bit的DES密钥(共168bit密钥)对明文进行加密;AES:使用128bit、192bit或256bit密钥长度的AES算法对明文进行加密。
在SDN网络中,控制器上的网管模块作为管理进程NMS,网络设备作为Agent,通过SNMPv3协议,二者能够进行安全的配置下发和数据传输。但SNMPv3不支持国密算法,仍然存在一定的数据安全隐患,尤其是在业界实施信息安全等级保护制度的环境下,为SNMPv3提供国密标准的协议通道具有比较紧迫的意义(SNMP协议是无连接的UDP传输通道)。
发明内容
本申请提供了一种基于国密算法的报文传输方法及装置。
第一方面,本申请提供了一种基于国密算法的报文传输方法,应用于目标网络设备,任一网络设备在自动上线时,控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述方法包括:
生成SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的ScopedPDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
将所述SNMPv3 Trap扩展报文发送给控制器,以使得所述控制器在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
可选地,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述控制器在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
可选地,生成SNMPv3 Trap扩展报文的步骤包括:
构建SNMPv3 Trap扩展报文框架,设置各个通用字段的值;
将报头数据中用于携带安全模式的字段设置为国密模式对应的扩展值,将安全参数中的指定字段设置为目标网络设备的标识,并将用于携带报文摘要密文的字段设置为指定值;
根据Trap数据,生成Scoped PDU明文,根据生成的随机对称秘钥,对所述ScopedPDU明文进行加密处理,得到Scoped PDU密文,并添加至对应字段;
根据所述目标国密数字证书的第一秘钥对所述随机对称秘钥进行加密处理,得到随机对称秘钥密文,并添加至对应字段,得到中间SNMPv3 Trap扩展报文;
计算所述中间SNMPv3 Trap扩展报文的报文摘要明文,并采用所述目标国密数字证书的第一秘钥对所述报文摘要明文进行加密处理,得到报文摘要密文,并添加至用于携带报文摘要密文的字段,得到SNMPv3 Trap扩展报文。
第二方面,本申请提供了一种基于国密算法的报文传输方法,应用于控制器,任一网络设备在自动上线时,所述控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述方法包括:
接收目标网络设备发送的SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
可选地,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述方法还包括:
在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
可选地,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证的步骤包括:
提取出报文摘要密文,并采用所述目标国密数字证书对报文摘要密文进行解密处理,得到第一报文摘要明文;
将所述SNMPv3 Trap扩展报文中用于携带报文摘要密文的字段设置为指定值,得到中间SNMPv3 Trap扩展报文;
计算所述中间SNMPv3 Trap扩展报文的第二报文摘要明文;
如判定所述第一报文摘要明文和所述第二报文摘要明文一致,则确定验证通过;否则,确定验证不通过。
第三方面,本申请提供了一种基于国密算法的报文传输装置,应用于目标网络设备,任一网络设备在自动上线时,控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述装置包括:
生成单元,用于生成SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
发送单元,用于将所述SNMPv3 Trap扩展报文发送给控制器,以使得所述控制器在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
可选地,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述控制器在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
可选地,生成SNMPv3 Trap扩展报文时,所述生成单元具体用于:
构建SNMPv3 Trap扩展报文框架,设置各个通用字段的值;
将报头数据中用于携带安全模式的字段设置为国密模式对应的扩展值,将安全参数中的指定字段设置为目标网络设备的标识,并将用于携带报文摘要密文的字段设置为指定值;
根据Trap数据,生成Scoped PDU明文,根据生成的随机对称秘钥,对所述ScopedPDU明文进行加密处理,得到Scoped PDU密文,并添加至对应字段;
根据所述目标国密数字证书的第一秘钥对所述随机对称秘钥进行加密处理,得到随机对称秘钥密文,并添加至对应字段,得到中间SNMPv3 Trap扩展报文;
计算所述中间SNMPv3 Trap扩展报文的报文摘要明文,并采用所述目标国密数字证书的第一秘钥对所述报文摘要明文进行加密处理,得到报文摘要密文,并添加至用于携带报文摘要密文的字段,得到SNMPv3 Trap扩展报文。
第四方面,本申请提供了一种基于国密算法的报文传输装置,应用于控制器,任一网络设备在自动上线时,所述控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述装置包括:
接收单元,用于接收目标网络设备发送的SNMPv3 Trap扩展报文,所述SNMPv3Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
解密单元,用于在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
可选地,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述装置还包括:
验证单元,用于在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
可选地,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证时,所述验证单元具体用于:
提取出报文摘要密文,并采用所述目标国密数字证书对报文摘要密文进行解密处理,得到第一报文摘要明文;
将所述SNMPv3 Trap扩展报文中用于携带报文摘要密文的字段设置为指定值,得到中间SNMPv3 Trap扩展报文;
计算所述中间SNMPv3 Trap扩展报文的第二报文摘要明文;
如判定所述第一报文摘要明文和所述第二报文摘要明文一致,则确定验证通过;否则,确定验证不通过。
第五方面,本申请实施例提供一种基于国密算法的报文传输装置,该基于国密算法的报文传输装置包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。
第六方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。
第七方面,本申请实施例提供一种基于国密算法的报文传输装置,该基于国密算法的报文传输装置包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如上述第二方面中任一项所述的方法的步骤。
第八方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第二方面中任一项所述方法的步骤。
综上可知,本申请实施例提供的基于国密算法的报文传输方法,应用于目标网络设备,任一网络设备在自动上线时,控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述方法包括:生成SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;将所述SNMPv3 Trap扩展报文发送给控制器,以使得所述控制器在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述ScopedPDU。
采用本申请实施例提供的基于国密算法的报文传输方法,网络设备在控制器上自动上线时,控制器为纳管的网络设备分配国密数字证书,证书为系统内部签发,证书拥有者为设备序列号,唯一标识一台网络设备。利用证书中的秘钥进行PDU随机对称秘钥的传递,利用证书的秘钥完成消息体完整性的验证,利用对称秘钥完成PDU数据国密算法加密,大大简化了当前SNMPv3的认证和秘钥协商过程,进一步加强了控制器和网络设备之间的安全保障。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1为本申请实施例提供的一种基于国密算法的报文传输方法的详细流程图;
图2为本申请实施例提供的一种SNMPv3 trap扩展报文消息格式示意图;
图3为本申请实施例提供的另一种基于国密算法的报文传输方法的详细流程图;
图4为本申请实施例提供的一种基于国密算法的数据交互过程示意图;
图5为本申请实施例提供的一种基于国密算法的报文传输装置的结构示意图;
图6为本申请实施例提供的另一种基于国密算法的报文传输装置的结构示意图;
图7为本申请实施例提供的一种基于国密算法的报文传输装置的硬件架构示意图;
图8为为本申请实施例提供的另一种基于国密算法的报文传输装置的硬件架构示意图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
目前,有一些用国密算法替代商用算法的技术方案,也只是做了简单的算法替换。用户分别在设备和控制器上分别配置加密的国密算法和秘钥,然后触发控制器从设备首先获取安全参数后开始进行相互认证,认证通过后执行秘钥协商,秘钥算法使用配置的国密算法。这种方式也能达到国密改造的目的,但无法和现有的设备自动化上线联动起来,设备上线到控制器后执行秘钥协商的过程是割裂的,无法统一起来。
本申请实施例中,在SDN网络中,引入系统内签发的国密数字证书,为每个纳管的网络设备分配国密数字证书,国密数字证书可以唯一标识一台网络设备,利用国密数字证书的安全秘钥交换PDU加密秘钥、验证消息体的完整性,设备的上线、认证和秘钥协商由数字证书串联在一起,兼容了现有的自动化流程,同时也确保了SNMPv3消息的安全传输,加强了SDN网络的安全保证。
示例性的,参阅图1所示,为本申请实施例提供的一种基于国密算法的报文传输方法的详细流程图,该方法应用于目标网络设备,任一网络设备在自动上线时,控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;该方法包括以下步骤:
步骤100:生成SNMPv3 Trap扩展报文。
本申请实施例中,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文。
实际应用中,在SDN网络的控制器上添加网络设备资产,可以以导入资产设备列表文件的方式进行,资产设备列表中包含每个网络设备的名称、型号、厂商、SN序列号、接入角色等,其中,SN序列号可以唯一标识一台设备。控制器可以在添加网络设备时,提前为这些导入的资产设备签发国密数字证书,这些国密数字证书只在用户网络内部使用,可以由控制器内的私有CA服务创建。国密数字证书的拥有者(证书中的Subject字段)标识为各个设备的SN序列号,国密数字证书文件名也是SN序列号,控制器记录这些国密数字证书和资产设备SN的映射关系。
当然,用户也可以以手动方式将这些国密数字证书加载到网络设备上,如网络设备上开启tftp客户端直接从控制器下载,控制器系统中需开启tftp服务端程序;也可以在设备自动上线时,和控制器之间的Websocket连接建立后,控制器从连接消息中读取到SN序列号,再主动通过Netconf等配置协议将国密数字证书主动下发到网络设备上。每台网络设备都有对应的国密数字证书,根据SN序列号识别,确保设备上的国密数字证书都加载正确。
本申请实施例中,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述控制器在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
本申请实施例中,在生成SNMPv3 Trap扩展报文时,一种较佳地实现方式为:
步骤1:构建SNMPv3 Trap扩展报文框架,设置各个通用字段的值;
步骤2:将报头数据中用于携带安全模式的字段设置为国密模式对应的扩展值,将安全参数中的指定字段设置为目标网络设备的标识,并将用于携带报文摘要密文的字段设置为指定值;
步骤3:根据Trap数据,生成Scoped PDU明文,根据生成的随机对称秘钥,对所述Scoped PDU明文进行加密处理,得到Scoped PDU密文,并添加至对应字段;
步骤4:根据所述目标国密数字证书的第一秘钥对所述随机对称秘钥进行加密处理,得到随机对称秘钥密文,并添加至对应字段,得到中间SNMPv3 Trap扩展报文;
步骤5:计算所述中间SNMPv3 Trap扩展报文的报文摘要明文,并采用所述目标国密数字证书的第一秘钥对所述报文摘要明文进行加密处理,得到报文摘要密文,并添加至用于携带报文摘要密文的字段,得到SNMPv3 Trap扩展报文。
实际应用中,网络设备有了自己对应的国密数字证书后,只要将国密数字证书标识(SN序列号)映射到SNMPv3扩展报文的特定字段(如,Auth EngineID字段),网络设备和控制器之间就自动拥有了国密算法的SNMPv3协议交互通道,无需按照原有流程协商秘钥。以网络设备主动向控制器发送SNMPv3 Trap扩展消息为例进行说明,示例性的,参阅图2所示,为本申请实施例提供的一种SNMPv3 trap扩展报文消息格式示意图。
如图2所示的SNMPv3 Trap扩展报文字段中,报头数据的安全模式字段(如,“MsgSecurity Mode”)设置成0x4,表示安全模式为国密方式(当前已有0x0-0x3的值,本申请实施例中需要扩展);安全参数的指定字段(如,“Auth Engine ID”)设置成SN值(如,SN=SN1,标识该网络设备的SN序列号,也标识了该设备拥有的国密数字证书,下同),用以标识SNMPAgent设备;安全参数的用于携带报文摘要密文的字段(如,“Auth Parameters”)为网络设备对报文进行签名后的计算值(网络设备利用国密数字证书中的第一秘钥(如,私钥)对报文摘要进行加密后的报文摘要密文),安全参数的指定字段(如,“Privacy Parameters”)为网络设备利用国密数字证书中的第一秘钥(如,私钥)对随机对称秘钥加密后的计算值;Scoped PDU数据段为网络设备利用随机对称秘钥对原始Scoped PDU明文进行SM4算法加密后的Scoped PDU密文数据。
至此Trap消息加密完成,生成完整的SNMPv3 Trap报文后,网络设备通过网络接口发送给控制器。
步骤110:将所述SNMPv3 Trap扩展报文发送给控制器。
本申请实施例中,所述控制器在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
具体地,控制器接收到网络设备发送的SNMPv3 Trap扩展报文,根据报头数据的“Msg Security Mode=0x4”识别是SNMPv3国密方式的加密报文;根据安全参数的“AuthEngine ID=SN1”找到本地保存的文件名为SN1的国密数字证书,利用证书的第二秘钥(如,公钥)对Trap报文进行认证验证,验证不通过则视为非法报文,验证通过,则利用国密数字证书的第二秘钥(如,公钥)对“Privacy Parameters”解密,获取随机对称秘钥;利用解密后的随机对称秘钥对“SNMPv3 PDU”执行SM4算法解密,获取Trap消息的具体内容信息。
示例性的,参阅图3所示,为本申请实施例提供的一种基于国密算法的报文传输方法的详细流程图,该方法应用于控制器,任一网络设备在自动上线时,所述控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;该方法包括以下步骤:
步骤300:接收目标网络设备发送的SNMPv3 Trap扩展报文。
所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文。
本申请实施例中,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;那么,上述方法还可以包括以下步骤:
在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
本申请实施例中,在基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证时,一种较佳地实现方式为:
提取出报文摘要密文,并采用所述目标国密数字证书对报文摘要密文进行解密处理,得到第一报文摘要明文;
将所述SNMPv3 Trap扩展报文中用于携带报文摘要密文的字段设置为指定值,得到中间SNMPv3 Trap扩展报文;
计算所述中间SNMPv3 Trap扩展报文的第二报文摘要明文;
如判定所述第一报文摘要明文和所述第二报文摘要明文一致,则确定验证通过;否则,确定验证不通过。
步骤310:在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
下面结合具体应用场景对本申请实施例提供的基于国密算法的数据交互过程进行详细说明。示例性的,参阅图4所示,为本申请实施例提供的一种基于国密算法的数据交互过程示意图。
在如图4所示的网络模型中,控制器和网络设备之间的数据加密传输过程如下,仍然以网络设备发送Trap消息为例。
第一步,网络设备1根据Trap数据生成明文的PDU,具体地,在PDU头上加上contextEngineID和context Name,得到scoped PDU明文。
第二步,网络设备对SNMPv3报文的各个通用字段部分设定相应的值,得到整个消息体,其中,Auth Parameters的12个字节数据置为全零。
第三步,网络设备生成随机数,利用随机数生成随机对称秘钥,利用随机对称秘钥对scoped PDU部分进行SM4算法加密。利用国密数字证书私钥对随机对称秘钥加密,并将加密后的随机对称秘钥加在“Privacy Parameters”上。
第四步,使用HASH算法作用在加密后的整个消息体上,生成12个字节报文摘要信息,并用国密数字证书的私钥加密该报文摘要信息,将加密后的报文摘要信息替换AuthParameters。
至此Trap消息加密完成,生成完整的SNMPv3 Trap扩展报文后,网络设备通过网络接口发送给控制器。
控制器接收到SNMPv3 Trap扩展消息后,处理如下。
第一步,控制器把收到的消息体中Auth Parameters的12个字节数据提取出,并将Auth Parameters设置为全零,然后,用国密数字证书的公钥解密出报文摘要明文。
第二步,控制器重新计算一遍消息体的HASH值,生成12个字节信息摘要信息,把计算出的该报文摘要和原始的Auth Parameters明文比较,如果不等,返回错误。
第三步,控制器利用国密数字证书的公钥对“Privacy Parameters”解密,获取PDU的随机对称秘钥明文。
第四步,利用随机对称秘钥对Scoped PDU密文进行SM4解密运算,得到Scoped PDU明文。至此完成Trap消息的交互。
SNMPv3的其它报文交互过程类似,报文的发送者生成随机对称秘钥,利用随机对称秘钥对明文Scoped PDU加密,利用自己的国密数字证书私钥加密随机对称秘钥,将随机对称秘钥密文放置在报文中,利用国密数字证书私钥对Trap消息体进行签名计算。通过这种方式,控制器和网络设备之间的数据传输具备了国密算法的加密性和完整性保护,且随机对称秘钥可在任意一次数据交互时产生,不存在随机对称秘钥被破解的情况,保证了更高级的数据安全。
在SDN网络中,控制器为纳管的网络设备分配国密数字证书,国密数字证书为系统内部签发,国密数字证书拥有者为设备序列号,唯一标识一台网络设备。利用国密数字证书中的秘钥进行PDU随机对称秘钥的传递,利用国密数字证书的秘钥完成消息体完整性的验证,利用随机对称秘钥完成PDU数据国密算法加密,大大简化了当前SNMPv3的认证和秘钥协商过程,进一步加强了控制器和网络设备之间的安全保障。
示例性的,参阅图5所示,为本申请实施例提供的一种基于国密算法的报文传输装置的结构示意图,该装置应用于目标网络设备,任一网络设备在自动上线时,控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;该装置包括:
生成单元50,用于生成SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
发送单元51,用于将所述SNMPv3 Trap扩展报文发送给控制器,以使得所述控制器在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
可选地,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述控制器在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
可选地,生成SNMPv3 Trap扩展报文时,所述生成单元50具体用于:
构建SNMPv3 Trap扩展报文框架,设置各个通用字段的值;
将报头数据中用于携带安全模式的字段设置为国密模式对应的扩展值,将安全参数中的指定字段设置为目标网络设备的标识,并将用于携带报文摘要密文的字段设置为指定值;
根据Trap数据,生成Scoped PDU明文,根据生成的随机对称秘钥,对所述ScopedPDU明文进行加密处理,得到Scoped PDU密文,并添加至对应字段;
根据所述目标国密数字证书的第一秘钥对所述随机对称秘钥进行加密处理,得到随机对称秘钥密文,并添加至对应字段,得到中间SNMPv3 Trap扩展报文;
计算所述中间SNMPv3 Trap扩展报文的报文摘要明文,并采用所述目标国密数字证书的第一秘钥对所述报文摘要明文进行加密处理,得到报文摘要密文,并添加至用于携带报文摘要密文的字段,得到SNMPv3 Trap扩展报文。
示例性的,参阅图6所示,为本申请实施例提供的一种基于国密算法的报文传输装置的结构示意图,该装置应用于控制器,任一网络设备在自动上线时,所述控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;该装置包括:
接收单元60,用于接收目标网络设备发送的SNMPv3 Trap扩展报文,所述SNMPv3Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
解密单元61,用于在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
可选地,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述装置还包括:
验证单元,用于在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
可选地,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证时,所述验证单元具体用于:
提取出报文摘要密文,并采用所述目标国密数字证书对报文摘要密文进行解密处理,得到第一报文摘要明文;
将所述SNMPv3 Trap扩展报文中用于携带报文摘要密文的字段设置为指定值,得到中间SNMPv3 Trap扩展报文;
计算所述中间SNMPv3 Trap扩展报文的第二报文摘要明文;
如判定所述第一报文摘要明文和所述第二报文摘要明文一致,则确定验证通过;否则,确定验证不通过。
以上这些单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个单元通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些单元可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
进一步地,本申请实施例提供的基于国密算法的报文传输装置,从硬件层面而言,所述基于国密算法的报文传输装置的硬件架构示意图可以参见图7所示,所述基于国密算法的报文传输装置可以包括:存储器70和处理器71,
存储器70用于存储程序指令;处理器71调用存储器70中存储的程序指令,按照获得的程序指令执行上述应用于网络设备的方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种网络设备,包括用于执行上述应用于网络设备的方法实施例的至少一个处理元件(或芯片)。
可选地,本申请还提供一种程序产品,例如计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令用于使该计算机执行上述应用于网络设备的方法实施例。
进一步地,本申请实施例提供的基于国密算法的报文传输装置,从硬件层面而言,所述基于国密算法的报文传输装置的硬件架构示意图可以参见图8所示,所述基于国密算法的报文传输装置可以包括:存储器80和处理器81,
存储器80用于存储程序指令;处理器81调用存储器80中存储的程序指令,按照获得的程序指令执行上述应用于控制器的方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种网络设备,包括用于执行上述应用于控制器的方法实施例的至少一个处理元件(或芯片)。
可选地,本申请还提供一种程序产品,例如计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令用于使该计算机执行上述应用于控制器的方法实施例。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种基于国密算法的报文传输方法,其特征在于,应用于目标网络设备,任一网络设备在自动上线时,控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述方法包括:
生成SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
将所述SNMPv3 Trap扩展报文发送给控制器,以使得所述控制器在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
2.如权利要求1所述的方法,其特征在于,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述控制器在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
3.如权利要求2所述的方法,其特征在于,生成SNMPv3 Trap扩展报文的步骤包括:
构建SNMPv3 Trap扩展报文框架,设置各个通用字段的值;
将报头数据中用于携带安全模式的字段设置为国密模式对应的扩展值,将安全参数中的指定字段设置为目标网络设备的标识,并将用于携带报文摘要密文的字段设置为指定值;
根据Trap数据,生成Scoped PDU明文,根据生成的随机对称秘钥,对所述Scoped PDU明文进行加密处理,得到Scoped PDU密文,并添加至对应字段;
根据所述目标国密数字证书的第一秘钥对所述随机对称秘钥进行加密处理,得到随机对称秘钥密文,并添加至对应字段,得到中间SNMPv3 Trap扩展报文;
计算所述中间SNMPv3 Trap扩展报文的报文摘要明文,并采用所述目标国密数字证书的第一秘钥对所述报文摘要明文进行加密处理,得到报文摘要密文,并添加至用于携带报文摘要密文的字段,得到SNMPv3 Trap扩展报文。
4.一种基于国密算法的报文传输方法,其特征在于,应用于控制器,任一网络设备在自动上线时,所述控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述方法包括:
接收目标网络设备发送的SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
5.如权利要求4所述的方法,其特征在于,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述方法还包括:
在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
6.如权利要求5所述的方法,其特征在于,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证的步骤包括:
提取出报文摘要密文,并采用所述目标国密数字证书对报文摘要密文进行解密处理,得到第一报文摘要明文;
将所述SNMPv3 Trap扩展报文中用于携带报文摘要密文的字段设置为指定值,得到中间SNMPv3 Trap扩展报文;
计算所述中间SNMPv3 Trap扩展报文的第二报文摘要明文;
如判定所述第一报文摘要明文和所述第二报文摘要明文一致,则确定验证通过;否则,确定验证不通过。
7.一种基于国密算法的报文传输装置,其特征在于,应用于目标网络设备,任一网络设备在自动上线时,控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述装置包括:
生成单元,用于生成SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
发送单元,用于将所述SNMPv3 Trap扩展报文发送给控制器,以使得所述控制器在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
8.一种基于国密算法的报文传输装置,其特征在于,应用于控制器,任一网络设备在自动上线时,所述控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述装置包括:
接收单元,用于接收目标网络设备发送的SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
解密单元,用于在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
9.一种基于国密算法的报文传输装置,其特征在于,所述基于国密算法的报文传输装置包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如权利要求1-3,或4-6中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如权利要求1-3,或4-6中任一项所述方法的步骤。
CN202310906674.7A 2023-07-21 2023-07-21 一种基于国密算法的报文传输方法及装置 Pending CN116846660A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310906674.7A CN116846660A (zh) 2023-07-21 2023-07-21 一种基于国密算法的报文传输方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310906674.7A CN116846660A (zh) 2023-07-21 2023-07-21 一种基于国密算法的报文传输方法及装置

Publications (1)

Publication Number Publication Date
CN116846660A true CN116846660A (zh) 2023-10-03

Family

ID=88170694

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310906674.7A Pending CN116846660A (zh) 2023-07-21 2023-07-21 一种基于国密算法的报文传输方法及装置

Country Status (1)

Country Link
CN (1) CN116846660A (zh)

Similar Documents

Publication Publication Date Title
EP3742696B1 (en) Identity management method, equipment, communication network, and storage medium
CN111416807B (zh) 数据获取方法、装置及存储介质
US8732461B2 (en) Client apparatus, server apparatus, and program using entity authentication and biometric authentication
CN110971415A (zh) 一种天地一体化空间信息网络匿名接入认证方法及系统
EP2095288B1 (en) Method for the secure storing of program state data in an electronic device
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
CN111756529B (zh) 一种量子会话密钥分发方法及系统
JP2004266342A (ja) 無線アドホック通信システム、端末、その端末における復号方法、暗号化方法及びブロードキャスト暗号鍵配布方法並びにそれらの方法を端末に実行させるためのプログラム
KR101706117B1 (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
CN111769938B (zh) 一种区块链传感器的密钥管理系统、数据验证系统
CN102884756B (zh) 通信装置和通信方法
CN112351037B (zh) 用于安全通信的信息处理方法及装置
WO2018120938A1 (zh) 密钥离线传输方法、终端和存储介质
CN111914291A (zh) 消息处理方法、装置、设备及存储介质
CN114143117B (zh) 数据处理方法及设备
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
CN109005184A (zh) 文件加密方法及装置、存储介质、终端
JP2001177513A (ja) 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体
CN104767766A (zh) 一种Web Service接口验证方法、Web Service服务器、客户端
CN109962924B (zh) 群聊构建方法、群消息发送方法、群消息接收方法及系统
EP2930962B1 (en) Encryption/decryption method, system and device
CN116743372A (zh) 基于ssl协议的量子安全协议实现方法及系统
CN114666040A (zh) 基于量子密码网络的射频识别认证系统及方法
CN114978542B (zh) 面向全生命周期的物联网设备身份认证方法、系统及存储介质
CN115766119A (zh) 通信方法、装置、通信系统及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination