CN118054900A - 加密通道构建方法、装置、电子设备及存储介质 - Google Patents
加密通道构建方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN118054900A CN118054900A CN202410183384.9A CN202410183384A CN118054900A CN 118054900 A CN118054900 A CN 118054900A CN 202410183384 A CN202410183384 A CN 202410183384A CN 118054900 A CN118054900 A CN 118054900A
- Authority
- CN
- China
- Prior art keywords
- session key
- server
- access terminal
- signature
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000010276 construction Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 claims abstract description 92
- 238000004891 communication Methods 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 25
- 238000010586 diagram Methods 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000013524 data verification Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种加密通道构建方法、装置、电子设备及存储介质,涉及通信技术领域。该方法应用于无线安全接入终端,无线安全接入终端通过虚拟专有拨号网络与服务端进行网络通信;无线安全接入终端包括签名私钥;该方法包括:向服务端发送会话密钥生成请求,以使服务端基于会话密钥生成请求生成会话密钥;接收服务端返回的加密会话密钥;加密会话密钥为服务端利用签名公钥对会话密钥加密生成;签名公钥与签名私钥一一对应;利用签名私钥对加密会话密钥进行解密,获得会话密钥,基于会话密钥构建加密通道。装置用于执行上述方法。本申请实施例在虚拟专有拨号网络中构建加密通道,实现对数据的加密传输,提高数据传输的安全性。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种加密通道构建方法、装置、电子设备及存储介质。
背景技术
虚拟专有拨号网络(VirtualPrivateDialupNetwork,VPDN)业务是在互联网上采用拨号方式实现的一种虚拟专有网络业务。它利用L2TP等技术为客户构建与公网相隔离的虚拟专用网络,以满足客户分支和总部之间内部网络通信的需求。
现有的VPDN采用L2TP协议建立隧道,数据以明文方式传输,存在一定的安全风险隐患。
发明内容
本申请实施例的目的在于提供一种加密通道构建方法、装置、电子设备及存储介质,用以构建加密通道,实现对数据进行加密传输,提高数据传输的安全性。
第一方面,本申请实施例提供一种加密通道构建方法,该方法应用于无线安全接入终端,无线安全接入终端通过虚拟专有拨号网络与服务端进行网络通信;无线安全接入终端包括签名私钥;该方法包括:向服务端发送会话密钥生成请求,以使服务端基于会话密钥生成请求生成会话密钥;接收服务端返回的加密会话密钥;加密会话密钥为服务端利用签名公钥对会话密钥加密生成;签名公钥与签名私钥一一对应;利用签名私钥对加密会话密钥进行解密,获得会话密钥,基于会话密钥构建加密通道。
本申请实施例中,无线安全接入终端通过虚拟专有拨号网络与服务端建立网络通信。无线安全接入终端向服务端发送会话密钥申请,以获得加密会话密钥,并通过无线安全接入终端中存储的签名私钥对加密会话密钥进行解密,从而获得会话密钥,实现构建加密通道的目的。在虚拟专有拨号网络环境中,由于构建了加密通道,实现对传输数据的加密传输,提高了数据传输的安全性,从而实现了安全的网络通信。
在一些实施例中,在向服务端发送会话密钥生成请求之前,该方法还包括:向服务端发送身份认证请求;接收服务端基于身份认证请求生成的随机值;利用签名私钥对随机值进行签名,生成签名值;向服务端发送签名值,以使服务端对签名值进行认证;接收服务端的认证结果;在认证结果为认证通过的情况下,执行向服务端发送会话密钥生成请求的步骤。
本申请实施例中,无线安全接入终端在申请会话密钥之前,先向服务端发送身份验证请求,在无线安全接入终端的身份验证通过后,向服务端发送会话密钥申请,以建立加密通道。在这个过程中,由于对无线安全接入终端的用户身份进行验证,能够防止用户身份被冒用,实现无线安全接入终端身份的唯一性、不可否认性和合规性,进一步提高了构建的加密通道的安全性。
在一些实施例中,无线安全接入终端包括用户标识;在向服务端发送身份认证请求之前,该方法还包括:向运营商发送用户标识,以使运营商基于用户标识进行首次认证;在首次认证通过后,执行向服务端发送身份认证请求的步骤。
本申请实施例中,无线安全接入终端中还包括用户标识,无线安全接入终端向服务端发送身份验证请求之前,还需向运营商发送用户标识,进行身份的首次认证,当首次认证通过,执行向服务端发送身份认证请求的步骤。多次的身份认证提高了接入服务端的无线安全接入终端的身份准确性,进一步提高了构建的加密通道的安全性。
在一些实施例中,在基于会话密钥构建加密通道之后,该方法还包括:接收客户端输入的待发送数据;利用会话密钥对待发送数据进行加密,生成加密数据;向服务端发送加密数据,以使服务端对加密数据进行处理。
本申请实施例利用会话密钥对待发送数据进行加密,生成加密数据,提高了数据在虚拟专有拨号网络传输过程中的安全性。
在一些实施例中,该方法还包括:对待发送数据进行消息摘要处理,生成摘要值;将摘要值与加密数据进行拼接,生成拼接字符串;相应的,向服务端发送加密数据,以使服务端对加密数据进行处理,包括:向服务端发送拼接字符串,以使服务端对拼接字符串进行处理。
本申请实施例除了对待发送数据进行加密处理外,还对待发送数据进行摘要处理,以此对待发送数据的完整性进行保护。
在一些实施例中,会话密钥为SM4对称密钥;签名私钥为SM9签名私钥;签名公钥为SM9签名公钥。
本申请实施例通过利用国密算法对待发送数据进行加密,以及对无线安全接入终端身份实现签名。国密算法的使用实现了自主可控,有效防止重要信息的泄露,并且由于国密算法在设计时充分考虑了国情和使用环境,性能得到提高。
第二方面,本申请实施例提供另一种加密通道构建方法,该方法应用于服务端,服务端与无线安全接入终端通过虚拟专有拨号网络进行网络通信;该方法包括:接收无线安全接入终端发送的会话密钥生成请求;基于会话密钥生成请求和签名公钥生成加密会话密钥;向无线安全接入终端发送加密会话密钥,以使无线安全接入终端利用签名私钥对加密会话密钥进行解密,获得会话密钥,并基于会话密钥构建加密通道;签名公钥与签名私钥一一对应。
本申请实施例中,无线安全接入终端与服务端建立虚拟专有拨号网络。服务端基于无线安全接入终端发送的会话密钥请求与签名公钥生成加密会话密钥,并将加密会话密钥返回给无线安全接入终端,提高了会话密钥在网络传输过程中的安全性,进一步提高了加密通道构建的安全性。
在一些实施例中,在接收无线安全接入终端发送的会话密钥生成请求之前,该方法还包括:接收无线安全接入终端发送的身份认证请求;基于身份认证请求生成随机数,并向无线安全接入终端发送随机数;接收无线安全接入终端发送的签名值;签名值为无线安全接入终端基于签名私钥和随机数生成;对签名值进行认证,获得认证结果;向无线安全接入终端发送认证结果。
本申请实施例中,服务端在响应无线安全接入终端的会话密钥请求之前,先对无线安全接入终端的身份合法性进行验证,在无线安全接入终端的身份合法的情况下,允许无线安全接入终端与服务端构建加密通道,为提高构建的加密通道的安全性打下基础。
第三方面,本申请实施例提供一种加密通道构建装置,该装置执行第一方面的方法;该装置包括:第一发送模块,用于向服务端发送会话密钥生成请求,以使服务端基于会话密钥生成请求生成会话密钥;第一接收模块,用于接收服务端返回的加密会话密钥;加密会话密钥为服务端利用签名公钥对会话密钥加密生成;签名公钥与签名私钥一一对应;构建模块,用于利用签名私钥对加密会话密钥进行解密,获得会话密钥,基于会话密钥构建加密通道。
第四方面,本申请实施例提供另一种加密通道构建装置,该装置执行第二方面的方法;该装置包括:第二接收模块,用于接收无线安全接入终端发送的会话密钥生成请求;生成模块,用于基于会话密钥生成请求和签名公钥生成加密会话密钥;第二发送模块,用于向无线安全接入终端发送加密会话密钥,以使无线安全接入终端利用签名私钥对加密会话密钥进行解密,获得会话密钥,并基于会话密钥构建加密通道;签名公钥与签名私钥一一对应。
第五方面,本申请实施例提供一种电子设备,包括:处理器、存储器、存储介质和总线,其中,所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面或第二方面的方法步骤。
第六方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:所述计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面或第二方面的方法步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种分支终端与企业总部在4G/5GVPDN下的交互图;
图2为本申请实施例提供的一种加密通道构建方法的流程示意图;
图3为本申请实施例提供的一种密钥分发示意图;
图4为本申请实施例提供的一种身份认证的流程示意图;
图5为本申请实施例提供的另一种身份认证的流程示意图;
图6为本申请实施例提供的另一种加密通道构建方法的流程示意图;
图7为本申请实施例提供的一种基于SM4和SM9构建加密通道的无线安全接入终端与服务端的交互图;
图8为本申请实施例提供的一种基于国密的VPDN的系统架构图;
图9为本申请实施例提供的一种加密通道构建装置结构示意图;
图10为本申请实施例提供的另一种加密通道构建装置结构示意图;
图11为本申请实施例提供的电子设备结构示意图。
具体实施方式
下面将结合附图对本申请技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本申请的技术方案,因此只作为示例,而不能以此来限制本申请的保护范围。
需要说明的是,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。
在本申请实施例的描述中,技术术语“第一”“第二”等仅用于区别不同对象,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量、特定顺序或主次关系。在本申请实施例的描述中,“多个”的含义是两个以上,除非另有明确具体的限定。
在本申请实施例的描述中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
现有4G/5G虚拟专有拨号网络(VirtualPrivateDialupNetwork,VPDN)业务是在互联网上采用拨号方式实现的一种虚拟专有网络业务。它利用L2TP等技术为客户构建与公网相隔离的虚拟专用网络,以满足客户分支和企业总部之间内部网络通信的需求。
图1为本申请实施例提供的一种分支终端与企业总部在4G/5GVPDN下的交互图,如图1所示:
步骤1:分支终端利用4G/5G路由器作为用户驻地设备(CustomerPremisesEquipment,CPE)通过无线空口拨号接入运营商网络。其中,4G/5G路由器代替分支终端担任拨号用户的角色。
步骤2:运营商对4G/5G路由器的接入点名称(AccessPointName,APN)、账户、SIM/USIM卡信息进行认证。
步骤3:运营商对4G/5G路由器认证通过后,确定该4G/5G路由器对应的分支终端是VPDN用户。同时,运营商AAA服务器向LAC设备下发L2TP隧道属性,LAC设备将基于下发的L2TP隧道属性信息向该VPDN用户所属总部的LNS设备发起隧道建立请求;L2TP隧道建立后,LAC设备通过此隧道向LNS设备透传用户的认证信息。
步骤4:LNS设备向企业内网AAA服务器发起对VPDN用户的二次认证,认证通过后,企业内网AAA服务器为该VPDN用户分配一个企业内网IP地址。
步骤5:分支终端和总部通过IP地址开始通信。
在现如今网络信息化和网络安全技术高速发展的社会,网络攻击、病毒等严重影响网络安全运行环境。因后门、漏洞等导致网络被窃听、信息被窃取、泄露等安全事件不断被爆出。
现有4G/5GVPDN采用L2TP协议建立隧道,数据采用明文方式传输,存在网络传输数据被窃取、泄露、篡改、重放等安全风险,且协议本身为国际协议,也可能存在后门和漏洞风险,具有一定的安全风险隐患。
并且,现有4G/5GVPDN采用SIM/USIM卡信息进行认证以及在LNS上采用账号/口令的认证方式以不能满足现如今的网络安全需求,存在用户身份信息被盗用、冒用等风险。
基于上述问题,本申请提出一种加密通道构建方法,用于构建无线安全接入终端与服务端之间的加密通道,实现对数据的加密传输,提高在虚拟专有拨号网络中数据传输的安全性。并且,在构建加密通道之前,利用密码技术对无线安全接入终端身份进行验证,防止用户身份被冒用。
图2为本申请实施例提供的一种加密通道构建方法的流程示意图。该方法应用于无线安全接入终端,无线安全接入终端通过虚拟专有拨号网络与服务端进行网络通信;无线安全接入终端包括签名私钥。如图1所示,该方法包括:
步骤S201,无线安全接入终端向服务端发送会话密钥生成请求,以使服务端基于会话密钥生成请求生成会话密钥。
在具体实施过程中,用户预先通过客户端的USB接口插入无线安全接入终端,输入pin码,激活和启动无线安全接入终端,以使无线安全接入终端接入虚拟专有拨号网络,与服务端进行网络通信。可以理解的是,客户端为终端设备(也可以称为电子设备);其中终端设备具体可以为智能手机、平板电脑、计算机、个人数字助理(PersonalDigitalAssistant,PDA)等。
无线安全接入终端可看作是无线的上网卡,内部包含国密芯片、天线等硬件结构,并且在国密芯片中部署有软件密码模块。其中,在国密芯片中存储有国密算法、国密协议等,以确保用户接入安全、数据传输安全和内部网络资源安全。天线用于无线安全接入终端与运营商基站进行通信连接。由于该无线安全接入终端是通过外部接口形式与客户端进行连接,因此,无需用户安装客户端程序以及驱动等软件设施实现虚拟专有拨号网络的连接,便于用户通过该无线安全接入终端能够随时随地的接入虚拟专有拨号网络,建立VPDN的网络通道。
无线安全接入终端与服务端建立虚拟专有拨号网络后,便可通过该网络向服务端发送会话密钥生成请求,以使服务端基于会话密钥生成请求生成会话密钥。
步骤S202,无线安全接入终端接收服务端返回的加密会话密钥;加密会话密钥为服务端利用签名公钥对会话密钥加密生成;签名公钥与签名私钥一一对应。
步骤S203,无线安全接入终端利用签名私钥对加密会话密钥进行解密,获得会话密钥,基于会话密钥构建加密通道。
为了提高会话密钥在传输过程中的安全性,服务端对生成的会话密钥进行加密,并将加密后的会话密钥返回给无线安全接入终端。无线安全接入终端在接收到服务端返回的加密会话密钥后,通过签名私钥对加密会话密钥进行解密,从而获得会话密钥,并基于会话密钥构建加密通道。
需要说明的是,为了加快对加密通道的构建,通常将签名私钥预置在无线安全接入终端的软件密码模块中,在无线安全接入终端接收到加密会话密钥后,直接读取软件密码模块中的签名私钥进行解密即可。
为了便于理解如何生成签名私钥,对生成签名私钥的过程进行介绍:
无线安全接入终端被激活后,接入VPDN网络,将SIM卡卡号传输至密钥生成中心(KeyGenerationCenter,KGC),KGC根据预置的密钥算法和SIM卡卡号计算签名私钥。
密钥生成中心生成签名私钥后,将生成的签名私钥下发给无线安全接入终端,并存储在无线安全终端的密码模块中。
密钥下发完成后,无线安全接入终端与服务端进行加密传输通道的建立。
需要说明的是,除了向密钥生成中心发送SIM卡卡号外,还可以发送SIM串号等表征用户唯一标识信息的参数作为生成签名私钥的参数。具体选择哪一个参数可根据实际情况进行确定。
为进一步理解生成签名私钥以及对密钥进行分发的过程,图3为本申请实施例提供的一种密钥分发示意图。如图3所示,无线安全接入终端通过客户端的USB接口接入客户端。服务端包括安全接入网关、交换机和密码基础设施。无线安全接入终端和服务端通过4G/5GVPDN进行网络通信。将服务端中的密码基础设施作为密钥分发的执行主体,即密钥生成中心。其中,安全接入网关通过交换机与密码基础设施进行通信,密码基础设施包括密码机和密码应用系统,用于提供密码运算、密钥生成、密钥管理等服务。
具体的,无线安全接入终端向服务端的密码基础设施发送用户注册请求,该请求包括SIM卡号,密码基础设施基于用户注册请求生成用户签名私钥,并将该用户签名私钥发送给无线安全接入终端。除此之外,安全接入网关向密码基础设施发送设备注册请求,该请求中包括设备ID,密码基础设施基于设备注册请求生成设备签名私钥,并将该设备签名私钥分发给安全接入网关。需要说明的是,密码基础设施生成签名私钥的算法可根据实际情况进行确定,本申请对此不做具体限定。示例性的,密码基础设施可利用SM9国密算法生成签名私钥。
应当知道的是,本申请实施例通过对接入虚拟专有拨号网络中的无线安全接入终端和设备都进行注册登记,并为其分发对应的签名私钥,保障了无线安全接入终端和设备的身份合法性。
本申请实施例中,无线安全接入终端通过虚拟专有拨号网络与服务端建立网络通信。无线安全接入终端向服务端发送会话密钥申请,以获得加密会话密钥,并通过无线安全接入终端中存储的签名私钥对加密会话密钥进行解密,从而获得会话密钥,实现构建加密通道的目的。在虚拟专有拨号网络环境中,由于构建了加密通道,实现对传输数据的加密传输,提高了数据传输的安全性,从而实现了安全的网络通信。
在一些实施例中,无线安全接入终端在向服务端发送会话密钥生成请求之前,该方法还包括:无线安全接入终端向服务端发送身份认证请求;无线安全接入终端接收服务端基于身份认证请求生成的随机值;无线安全接入终端利用签名私钥对随机值进行签名,生成签名值;无线安全接入终端向服务端发送签名值,以使服务端对签名值进行认证;无线安全接入终端接收服务端的认证结果;在认证结果为认证通过的情况下,无线安全接入终端执行向服务端发送会话密钥生成请求的步骤。
在具体实施过程中,无线安全接入终端向服务端发送会话密钥生成请求之前,服务端应当对无线安全接入终端的身份合法性进行验证,无线安全接入终端的身份合法是建立加密通道的基础。
本申请实施例通过利用挑战应答机制实现服务端对无线安全接入终端的身份认证。在进行身份认证时,无线安全接入终端向服务端发送身份认证请求,服务端基于身份认证请求生成随机值,并将该随机值返回给无线安全接入终端,无线安全接入终端基于签名私钥对该随机值进行签名,获得签名值,服务端对无线安全接入终端发送的签名值进行认证,并返回认证结果。
需要说明的是,服务端响应无线安全接入终端的身份认证请求,并生成对应随机值。其中,由于随机值具有不确定性和随机性,因此,服务端针对无线安全接入终端每次发送的身份验证请求生成的随机值在一定程度上可以防止重放攻击,从而提高身份认证的安全性。
具体的,图4为本申请实施例提供的一种身份认证的流程示意图,如图4所示,无线安全接入终端通过USB接口接入客户端。服务端包括安全接入网关、交换机和密码基础设施。无线安全接入终端和服务端通过4G/5GVPDN进行网络通信。身份认证过程包括如下步骤:
步骤1:用户在客户端插入无线安全接入终端,启动无线安全接入终端;
步骤2:无线安全接入终端向服务端发送身份认证请求,服务端的密码基础设施对身份认证请求进行处理;
步骤3:密码基础设施基于身份认证请求生成挑战值随机数;
步骤4:密码基础设施向无线安全接入终端返回挑战值随机数;
步骤5:无线安全接入终端基于签名私钥对挑战值随机数进行签名,生成签名值,并将签名值发送给服务端的密码基础设施;
步骤6:密码基础设施验证签名值,以对签名值进行认证;
步骤7:密码基础设施向无线安全接入终端返回认证结果。
需要说明的是,无线安全接入终端与密码基础设施之间的数据传输需要经安全接入网关进行转发,即,无线安全接入终端发送的数据需要经安全接入网关转发给密码基础设施,密码基础设施发送的数据需要经安全接入网关转发给无线安全接入终端。
应当知道的是,只有认证结果表征认证通过时,无线安全接入终端才向服务端发送会话密钥生成请求,以生成会话密钥。若认证结果表征认证不通过,表明该无线安全接入终端身份不合法,不能与服务端建立加密通道。
本申请实施例中,无线安全接入终端在申请会话密钥之前,先向服务端发送身份验证请求,在无线安全接入终端的身份验证通过后,向服务端发送会话密钥申请,以建立加密通道。在这个过程中,由于对无线安全接入终端的用户身份进行验证,能够防止用户身份被冒用,实现无线安全接入终端身份的唯一性、不可否认性和合规性,进一步提高了构建的加密通道的安全性。
在一些实施例中,无线安全接入终端包括用户标识;无线安全接入终端向服务端发送身份认证请求之前,该方法还包括:无线安全接入终端向运营商发送用户标识,以使运营商基于用户标识进行首次认证;在首次认证通过后,执行向服务端发送身份认证请求的步骤。
在具体实施过程中,基于VPDN的定义可知,无线安全接入终端在接入企业服务端之前,可以先接入运营商网络,此时,运营商需要对无线安全接入终端的身份进行首次认证,当运营商认证通过,无线安全接入终端可以向服务端发送身份认证请求。因此,在无线安全接入终端向服务端发送身份认证请求之前,无线安全接入终端向运营商发送用户标识,以使运营商基于用户标识对无线安全接入终端的身份进行首次认证。
用户标识存储于无线安全接入终端中,用于唯一标识用户身份。具体可以为SIM卡号、SIM串号等信息,具体可根据实际情况进行设定。
图5为本申请实施例提供的另一种身份认证的流程示意图,如图5所示,客户端、无线安全接入终端和服务端的连接关系请参见上述实施例,此处不再赘述。具体的,身份认证包括两个阶段,第一阶段为运营商认证,用于运营商对无线安全接入终端的身份信息进行首次认证;第二阶段为服务端认证,用于服务端对无线安全接入终端的身份信息进行二次认证,进行二次认证的具体过程请参见上述实施例,此处不再赘述。
应当知道的是,当首次认证通过,表明无线安全接入终端可以向服务端发起二次认证,若首次认证不通过,亦表明无线安全接入终端身份不合法,不能执行二次认证的过程。
本申请实施例中,无线安全接入终端中还包括用户标识,无线安全接入终端向服务端发送身份验证请求之前,还需向运营商发送用户标识,进行身份的首次认证,当首次认证通过,执行向服务端发送身份认证请求的步骤。多次的身份认证提高了接入服务端的无线安全接入终端的身份准确性,进一步提高了构建的加密通道的安全性。
在一些实施例中,无线安全接入终端在基于会话密钥构建加密通道之后,该方法还包括:无线安全接入终端接收客户端输入的待发送数据;无线安全接入终端利用会话密钥对待发送数据进行加密,生成加密数据;无线安全接入终端向服务端发送加密数据,以使服务端对加密数据进行处理。
在具体实施过程中,待发送数据是指需要发送给服务端进行处理的数据。
在建立加密通道后,无线安全接入终端利用会话密钥对用户通过客户端输入的待发送数据进行加密,并将加密后的数据通过加密通道传输给服务端,以使服务端对加密数据进行处理。
本申请实施例利用会话密钥对待发送数据进行加密,生成加密数据,提高了数据在虚拟专有拨号网络传输过程中的安全性。
在一些实施例中,该方法还包括:无线安全接入终端对待发送数据进行消息摘要处理,生成摘要值;无线安全接入终端将摘要值与加密数据进行拼接,生成拼接字符串;相应的,无线安全接入终端向服务端发送加密数据,以使服务端对加密数据进行处理,包括:无线安全接入终端向服务端发送拼接字符串,以使服务端对拼接字符串进行处理。
在具体实施过程中,无线安全接入终端利用会话密钥对待发送数据进行加密,能够保护数据的隐私性和机密性,但加密无法保证数据在传输或存储过程中的完整性和一致性,即,无法确认数据是否被篡改。
因此,本申请实施例的技术方案中,无线安全接入终端除了利用会话密钥对待发送数据进行加密外,还利用摘要算法对待发送数据进行消息摘要处理,生成摘要值,从而利用摘要值对数据的完整性和一致性进行验证。
具体的,无线安全接入终端利用会话密钥对待发送数据进行加密处理,生成加密数据,利用摘要算法对待发送数据进行摘要处理,生成摘要值,将加密数据和摘要值进行拼接,生成拼接字符串,以使无线安全接入终端将拼接字符串发送给服务端进行处理。
应当知道的是,还可将数字签名,消息摘要和数据加密一起使用。无线安全接入终端对待发送数据生成一个摘要值,以及对待发送数据进行加密,然后利用签名私钥对摘要值进行加密生成数字签名。将生成的数字签名随同加密数据一起发送。服务端在收到加密数据和数字签名后,使用签名公钥解密数字签名获得摘要值,再对收到的加密数据进行解密,并对解密后的数据生成一个新的摘要值与解密后的摘要值进行比较,以此来验证数据的完整性和无线安全接入终端的身份。
本申请实施例除了对待发送数据进行加密处理外,还对待发送数据进行摘要处理,以此对待发送数据的完整性进行保护。
在一些实施例中,会话密钥为SM4对称密钥;签名私钥为SM9签名私钥;签名公钥为SM9签名公钥。
在具体实施过程中,会话密钥、签名公钥、签名私钥、消息摘要算法可基于国密算法实现。具体的,利用SM4生成对称密钥作为会话密钥、利用SM9生成签名公私钥、利用SM3生成消息摘要。
但应当知道的是,密码算法的使用可根据实际情况进行选择和设定。例如,会话密钥还可选择SM1、SM7、AES等对称加密算法生成。签名公私钥还可选择RSA、ECC、DSA等非对称加密算法生成。消息摘要还可选择MD5、SHA1、SHA512等哈希算法生成。
本申请实施例通过利用国密算法对待发送数据进行加密,以及对无线安全接入终端身份实现签名。国密算法的使用实现了自主可控,有效防止重要信息的泄露,并且由于国密算法在设计时充分考虑了国情和使用环境,性能得到提高。
图6为本申请实施例提供的另一种加密通道构建方法的流程示意图,如图6所示,该方法应用于服务端,服务端与无线安全接入终端通过虚拟专有拨号网络进行网络通信;该方法包括:
步骤S601,服务端接收无线安全接入终端发送的会话密钥生成请求。
步骤S602,服务端基于会话密钥生成请求和签名公钥生成加密会话密钥。
步骤S603,服务端向无线安全接入终端发送加密会话密钥,以使无线安全接入终端利用签名私钥对加密会话密钥进行解密,获得会话密钥,并基于会话密钥构建加密通道;签名公钥与签名私钥一一对应。
在具体实施过程中,服务端接收无线安全接入终端发送的会话密钥生成请求,并基于该请求和签名公钥生成加密会话密钥,将加密会话密钥发送给无线安全接入终端,以使无线安全接入终端对加密会话密钥进行解密,并基于解密后的会话密钥构建加密通道,实现对数据的加密传输。
服务端在接收到无线安全接入终端发送的加密数据后,利用会话密钥对加密数据进行解密处理,获得明文数据,从而实现对数据的正确处理。
具体的,服务端可以包括安全接入网关、交换机和密码基础设施。其中,安全接入网关通过交换机与密码基础设施进行通信连接。密码基础设施包括密码机和密码应用系统,用于提供密码运算、密钥生成、密钥管理等服务。
无线安全接入终端发送的会话密钥生成请求到达服务端的安全接入网关后,安全接入网关将该会话密钥生成请求转发给密码基础设施,密码基础设施收到会话密钥生成请求后,利用密码机随机生成一个会话密钥。在生成会话密钥后,将该会话密钥发送给安全接入网关,安全接入网关缓存该会话密钥,并利用存储在安全接入网关中的签名公钥对该会话密钥进行加密,生成加密会话密钥。需要说明的是,该签名公钥与存储在无线安全接入终端中的签名私钥一一对应,以使无线安全接入终端在接收到加密会话密钥时,能够对其进行正确解密。
无线安全接入网关生成加密会话密钥后,将加密会话密钥发送给无线安全接入终端,以使无线安全接入终端利用与签名公钥对应的签名私钥进行解密,获得会话密钥,从而基于会话密钥构建加密通道。
为进一步理解加密通道的构建过程,图7为本申请实施例提供的一种基于SM4和SM9构建加密通道的无线安全接入终端与服务端的交互图,如图7所示,加密通道构建过程如下:
步骤1:无线安全接入终端向服务端发送会话密钥生成请求;
步骤2:服务端的安全接入网关将接收到的会话密钥生成请求转发给密码基础设施;
步骤3:密码基础设施基于会话密钥生成请求生成SM4对称密钥;
步骤4:密码基础设施将SM4对称密钥返回给安全接入网关;
步骤5:安全接入网关对SM4对称密钥进行缓存,并利用SM9签名公钥对该SM4对称密钥进行加密;
步骤6:将加密后的会话密钥发送给无线安全接入终端;
步骤7:无线安全接入终端利用SM9签名私钥对加密会话密钥进行解密还原为SM4对称密钥,并将SM4对称密钥缓存在无线安全接入终端中的密码模块中;
步骤8:基于会话密钥建立加密通道。
应当知道的是,密码基础设施可以作为第三方系统,与客户端、无线安全接入终端和服务端相互独立。具体可根据实际情况进行设定。
需要说明的是,会话密钥在会话结束后,在无线安全接入终端和安全接入网关中将自动进行销毁。在需要建立新的会话时,无线安全接入终端将重新向服务端发送会话密钥生成请求,以使服务端生成新的会话密钥,进行加密通信。
本申请实施例中,无线安全接入终端与服务端建立虚拟专有拨号网络。服务端基于无线安全接入终端发送的会话密钥请求与签名公钥生成加密会话密钥,并将加密会话密钥返回给无线安全接入终端,提高了会话密钥在网络传输过程中的安全性,进一步提高了加密通道构建的安全性。
在一些实施例中,服务端在接收无线安全接入终端发送的会话密钥生成请求之前,该方法还包括:服务端接收无线安全接入终端发送的身份认证请求;服务端基于身份认证请求生成随机数,并向无线安全接入终端发送随机数;服务端接收无线安全接入终端发送的签名值;签名值为无线安全接入终端基于签名私钥和随机数生成;服务端对签名值进行认证,获得认证结果;服务端向无线安全接入终端发送认证结果。
在具体实施过程中,服务端对无线安全接入终端发送的身份认证请求的处理过程请参见上述实施例,此处不再赘述。
本申请实施例中,服务端在响应无线安全接入终端的会话密钥请求之前,先对无线安全接入终端的身份合法性进行验证,在无线安全接入终端的身份合法的情况下,允许无线安全接入终端与服务端构建加密通道,为提高构建的加密通道的安全性打下基础。
图8为本申请实施例提供的一种基于国密的VPDN的系统架构图,如图8所示,无线安全接入终端通过USB接口接入客户端,无线安全接入终端与服务端建立4G/5GVPDN网络,服务端包括安全接入网关、交换机和密码基础设施,安全接入网关通过交换机与密码基础设施进行通信。密码基础设施提供密码应用支撑,包括密钥生成、密码运算和密钥管理等服务。无线安全接入终端和服务端之间通过SM9算法进行身份认证、通过SM4算法进行数据加密、通过SM3算法进行数据校验。具体身份认证过程、数据加密过程、数据校验过程请参见上述实施例,此处不再赘述。本申请实施例基于国密建立4G/5GVPDN加密传输通道,实现在VPDN中数据的加密传输以及用户的身份认证,提高了VPDN中身份认证的安全性和传输数据的安全性。
图9为本申请实施例提供的一种加密通道构建装置结构示意图,如图9所示,该装置包括:第一发送模块901、第一接收模块902和构建模块903;其中,
第一发送模块901,用于向服务端发送会话密钥生成请求,以使服务端基于会话密钥生成请求生成会话密钥;第一接收模块902,用于接收服务端返回的加密会话密钥;加密会话密钥为服务端利用签名公钥对会话密钥加密生成;签名公钥与签名私钥一一对应;构建模块903,用于利用签名私钥对加密会话密钥进行解密,获得会话密钥,基于会话密钥构建加密通道。
在上述实施例的基础上,该装置还包括第一身份认证模块,用于:向服务端发送身份认证请求;接收服务端基于身份认证请求生成的随机值;利用签名私钥对随机值进行签名,生成签名值;向服务端发送签名值,以使服务端对签名值进行认证;接收服务端的认证结果;在认证结果为认证通过的情况下,执行向服务端发送会话密钥生成请求的步骤。
在上述实施例的基础上,无线安全接入终端包括用户标识;该装置还包括第二身份认证模块,用于:向运营商发送用户标识,以使运营商基于用户标识进行首次认证;在首次认证通过后,执行向服务端发送身份认证请求的步骤。
在上述实施例的基础上,该装置还包括加密模块,用于:接收客户端输入的待发送数据;利用会话密钥对待发送数据进行加密,生成加密数据;向服务端发送加密数据,以使服务端对加密数据进行处理。
在上述实施例的基础上,该装置还包括摘要生成模块,用于:对待发送数据进行消息摘要处理,生成摘要值;将摘要值与加密数据进行拼接,生成拼接字符串;相应的,向服务端发送加密数据,以使服务端对加密数据进行处理,包括:向服务端发送拼接字符串,以使服务端对拼接字符串进行处理。
在上述实施例的基础上,会话密钥为SM4对称密钥;签名私钥为SM9签名私钥;签名公钥为SM9签名公钥。
图10为本申请实施例提供的另一种加密通道构建装置结构示意图,如图10所示,该装置包括:第二接收模块1001、生成模块1002和第二发送模块1003;其中,
第二接收模块1001,用于接收无线安全接入终端发送的会话密钥生成请求;生成模块1002,用于基于会话密钥生成请求和签名公钥生成加密会话密钥;第二发送模块1003,用于向无线安全接入终端发送加密会话密钥,以使无线安全接入终端利用签名私钥对加密会话密钥进行解密,获得会话密钥,并基于会话密钥构建加密通道;签名公钥与签名私钥一一对应。
在上述实施例的基础上,该装置还包括第三身份认证模块,用于:接收无线安全接入终端发送的身份认证请求;基于身份认证请求生成随机数,并向无线安全接入终端发送随机数;接收无线安全接入终端发送的签名值;签名值为无线安全接入终端基于签名私钥和随机数生成;对签名值进行认证,获得认证结果;向无线安全接入终端发送认证结果。
应理解的是,装置与上述的加密通道构建方法的实施例对应,能够执行上述方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置的操作系统(operating system,OS)中的软件功能模块。
图11为本申请实施例提供的电子设备结构示意图,如图11所示,所述电子设备,包括处理器(processor)1101、存储器(memory)1102和总线1103;其中,所述处理器1101和存储器1102通过所述总线1103完成相互间的通信。所述处理器1101用于调用所述存储器1102中的程序指令,以执行上述各方法实施例所提供的方法。
处理器1101可以是一种集成电路芯片,具有信号处理能力。上述处理器1101可以是通用处理器,包括中央处理器(CentralProcessingUnit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器1102可以包括但不限于随机存取存储器(RandomAccessMemory,RAM),只读存储器(ReadOnlyMemory,ROM),可编程只读存储器(ProgrammableRead-OnlyMemory,PROM),可擦除只读存储器(ErasableProgrammableRead-OnlyMemory,EPROM),电可擦除只读存储器(ElectricallyErasableProgrammableRead-OnlyMemory,EEPROM)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (12)
1.一种加密通道构建方法,其特征在于,所述方法应用于无线安全接入终端,所述无线安全接入终端通过虚拟专有拨号网络与服务端进行网络通信;所述无线安全接入终端包括签名私钥;所述方法包括:
向所述服务端发送会话密钥生成请求,以使所述服务端基于所述会话密钥生成请求生成会话密钥;
接收所述服务端返回的加密会话密钥;所述加密会话密钥为所述服务端利用签名公钥对所述会话密钥加密生成;所述签名公钥与所述签名私钥一一对应;
利用所述签名私钥对所述加密会话密钥进行解密,获得所述会话密钥,基于所述会话密钥构建加密通道。
2.根据权利要求1所述的方法,其特征在于,在向所述服务端发送会话密钥生成请求之前,所述方法还包括:
向所述服务端发送身份认证请求;
接收所述服务端基于所述身份认证请求生成的随机值;
利用所述签名私钥对所述随机值进行签名,生成签名值;
向所述服务端发送所述签名值,以使所述服务端对所述签名值进行认证;
接收所述服务端的认证结果;
在所述认证结果为认证通过的情况下,执行向所述服务端发送会话密钥生成请求的步骤。
3.根据权利要求2所述的方法,其特征在于,所述无线安全接入终端包括用户标识;在向所述服务端发送身份认证请求之前,所述方法还包括:
向运营商发送所述用户标识,以使所述运营商基于所述用户标识进行首次认证;
在首次认证通过后,执行向所述服务端发送身份认证请求的步骤。
4.根据权利要求1-3任一所述的方法,其特征在于,在基于所述会话密钥构建加密通道之后,所述方法还包括:
接收客户端输入的待发送数据;
利用所述会话密钥对所述待发送数据进行加密,生成加密数据;
向所述服务端发送所述加密数据,以使所述服务端对所述加密数据进行处理。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
对所述待发送数据进行消息摘要处理,生成摘要值;
将所述摘要值与所述加密数据进行拼接,生成拼接字符串;
相应的,所述向所述服务端发送所述加密数据,以使所述服务端对所述加密数据进行处理,包括:
向所述服务端发送所述拼接字符串,以使所述服务端对所述拼接字符串进行处理。
6.根据权利要求1-3任一所述的方法,其特征在于,所述会话密钥为SM4对称密钥;所述签名私钥为SM9签名私钥;所述签名公钥为SM9签名公钥。
7.一种加密通道构建方法,其特征在于,所述方法应用于服务端,所述服务端与无线安全接入终端通过虚拟专有拨号网络进行网络通信;所述方法包括:
接收所述无线安全接入终端发送的会话密钥生成请求;
基于所述会话密钥生成请求和签名公钥生成加密会话密钥;
向所述无线安全接入终端发送所述加密会话密钥,以使所述无线安全接入终端利用签名私钥对所述加密会话密钥进行解密,获得所述会话密钥,并基于所述会话密钥构建加密通道;所述签名公钥与所述签名私钥一一对应。
8.根据权利要求7所述的方法,其特征在于,在接收所述无线安全接入终端发送的会话密钥生成请求之前,所述方法还包括:
接收所述无线安全接入终端发送的身份认证请求;
基于所述身份认证请求生成随机数,并向所述无线安全接入终端发送所述随机数;
接收所述无线安全接入终端发送的签名值;所述签名值为所述无线安全接入终端基于所述签名私钥和所述随机数生成;
对所述签名值进行认证,获得认证结果;
向所述无线安全接入终端发送所述认证结果。
9.一种加密通道构建装置,其特征在于,所述装置执行如权利要求1-6任一所述的方法;所述装置包括:
第一发送模块,用于向服务端发送会话密钥生成请求,以使所述服务端基于所述会话密钥生成请求生成会话密钥;
第一接收模块,用于接收所述服务端返回的加密会话密钥;所述加密会话密钥为所述服务端利用签名公钥对所述会话密钥加密生成;所述签名公钥与签名私钥一一对应;
构建模块,用于利用所述签名私钥对所述加密会话密钥进行解密,获得所述会话密钥,基于所述会话密钥构建加密通道。
10.一种加密通道构建装置,其特征在于,所述装置执行如权利要求7-8任一所述的方法;所述装置包括:
第二接收模块,用于接收无线安全接入终端发送的会话密钥生成请求;
生成模块,用于基于所述会话密钥生成请求和签名公钥生成加密会话密钥;
第二发送模块,用于向所述无线安全接入终端发送所述加密会话密钥,以使所述无线安全接入终端利用签名私钥对所述加密会话密钥进行解密,获得所述会话密钥,并基于所述会话密钥构建加密通道;所述签名公钥与所述签名私钥一一对应。
11.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述机器可读指令被所述处理器执行时执行如权利要求1至6任一项或7至8任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至6任一项或7至8任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410183384.9A CN118054900A (zh) | 2024-02-19 | 2024-02-19 | 加密通道构建方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410183384.9A CN118054900A (zh) | 2024-02-19 | 2024-02-19 | 加密通道构建方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118054900A true CN118054900A (zh) | 2024-05-17 |
Family
ID=91053293
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410183384.9A Pending CN118054900A (zh) | 2024-02-19 | 2024-02-19 | 加密通道构建方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118054900A (zh) |
-
2024
- 2024-02-19 CN CN202410183384.9A patent/CN118054900A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111416807B (zh) | 数据获取方法、装置及存储介质 | |
| CN110138799B (zh) | 一种基于sgx的安全云存储方法 | |
| CN110120869B (zh) | 密钥管理系统及密钥服务节点 | |
| CN109309565B (zh) | 一种安全认证的方法及装置 | |
| CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
| WO2018050081A1 (zh) | 设备身份认证的方法、装置、电子设备及存储介质 | |
| US9824353B2 (en) | Key protection method and system | |
| EP2076995B1 (en) | Method and system for a secure pki (public key infrastructure) key registration process on mobile environment | |
| KR20170139093A (ko) | 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체 | |
| WO2014026518A1 (zh) | 软件密钥更新方法和装置 | |
| KR20010108150A (ko) | 보안 마이크로프로세서에서 복호화를 사용하는 인증 및단일 트랜젝션의 인증을 시행하는 방법 | |
| CN110650478B (zh) | Ota方法、系统、设备、se模块、程序服务器和介质 | |
| CN113411190B (zh) | 密钥部署、数据通信、密钥交换、安全加固方法及系统 | |
| KR20200013764A (ko) | 제1 애플리케이션과 제2 애플리케이션 사이의 상호 대칭 인증을 위한 방법 | |
| KR101531662B1 (ko) | 사용자 단말과 서버간 상호 인증 방법 및 시스템 | |
| CN112765626A (zh) | 基于托管密钥授权签名方法、装置、系统及存储介质 | |
| CN115473655A (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| JP2021145205A (ja) | 認証システム | |
| CN112491933A (zh) | 一种局域网加密通信方法和存储介质 | |
| CN116527261A (zh) | 密钥恢复方法、电子设备、存储介质 | |
| CN116528230A (zh) | 验证码处理方法、移动终端及可信服务系统 | |
| CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
| US11570008B2 (en) | Pseudonym credential configuration method and apparatus | |
| CN115333779A (zh) | 一种验证数据的方法、装置及电子设备 | |
| CN115119208A (zh) | 一种升级包加密、解密方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |