WO2020248906A1

WO2020248906A1 - 智融标识网络的安全数据传输方法和装置

Info

Publication number: WO2020248906A1
Application number: PCT/CN2020/094554
Authority: WO
Inventors: 权伟; 张宏科; 刘明远; 石金玉; 刘刚; 于成晓; 秦媛媛; 覃帅
Original assignee: 北京交通大学
Priority date: 2019-06-10
Filing date: 2020-06-05
Publication date: 2020-12-17
Also published as: CN110177116A; CN110177116B

Abstract

本申请提供了一种智融标识网络的安全数据传输方法和装置。当接收方收到来自发送方的数据包时，解析加密方式标志位，判断加密方式；根据加密方式标志位查询加密规则数据库中解密算法，解密数据，检查更新标志位是否达到阈值，若达到阈值以接收方系统时间和数据包中时间戳运算的值作为种子选择新的加密方式，并将加密方式返回给发送方；发送方收到新的加密方式后，以新的加密方式加密数据并发送。本申请中的混淆加密策略支持用户定义并可以不断变化，安全性更高；基于时间戳可以防止重放攻击；以收发双方的时间差作为选择算法的种子值，收发双方不需要同步。

Description

智融标识网络的安全数据传输方法和装置

技术领域

本申请涉及计算机网络通信技术领域，尤其涉及一种智融标识网络的安全数据传输方法和装置。

背景技术

智融标识网络体系通过动态感知网络状态并智能匹配服务需求，进而选择合理的网络族群及其内部组件来提供智慧化的服务。同时，通过引入行为匹配、行为聚类、网络复杂行为博弈决策等机制来实现资源的动态适配和协同调度，大幅度提高网络资源利用率，降低网络能耗等，显著提升用户体验。智融标识网络的安全性尤为重要。

目前大多数安全混淆加密算法的安全性依赖于大数因子分解的复杂性，所以RSA(Ron Rivest、Adi Shamir和Leonard Adleman)等混淆加密方式面临的较大威胁源自于计算能力的持续提高和因子分解算法的不断改进，其中计算能力的提高包括由于计算机网络发展所导致的联网众多计算机进行分布式计算能力提高和巨型计算机计算能力的提高，长的密钥在很长一段时间内是安全的。但是现有互联网中的数据包的混淆加密方式多为静态的，无法动态更新，无法有效地保证智融标识网络的安全性。

发明内容

本申请的实施例提供了一种智融标识网络的安全数据传输方法和装置，以克服现有技术的问题。

为了实现上述目的，本申请采取了如下技术方案。

根据本申请的一个方面，提供了一种智融标识网络的安全数据传输方法，包括：

步骤S110：当接收方设备收到来自发送方设备的混淆加密后的数据包后，对所述数据包进行解析，获取所述数据包中的混淆加密方式标志位和更新标志位的值；

步骤S120：所述接收方设备根据所述混淆加密方式标志位的值查询加密规则数据库得到解密算法，利用所述解密算法对所述数据包进行数据解密处理，根据所述更新标志位的值判断是否需要进行混淆加密方式更新，如果是，则执行步骤S130；

步骤S130：所述接收方设备以接收方系统时间和所述数据包中时间戳运算的值作为种子选择新的混淆加密方式，并将所述新的混淆加密方式返回给所述发送方设备；

步骤S140：所述接收方设备收到所述新的混淆加密方式后，按照所述新的混淆加密方式混淆加密数据包，并发送混淆加密后的数据包给所述发送方设备。

优选地，所述的数据包包括更新标志位、确认更新标志位、混淆加密方式标志位和时间戳；所述混淆标志位采用14比特长度，标志数据包采用的混淆加密方式，混淆加密方式标志位的值与混淆加密策略数据库中的混淆加密策略互为映射。

优选地，所述的时间戳采用32比特长度，用来标记数据包的时间，所述时间戳作为策略选择运算的种子值。

优选地，所述更新标志位采用1比特长度，当所述更新标志位为1时，更新混淆加密方式，当所述更新标志位为0时，不更新混淆加密方式；

所述确认更新标志位采用1比特长度，当所述确认更新标志位为1时，表示已确认更新混淆加密方式，当所述确认更新标志位为0时，表示未更新混淆加密方式。

优选地，所述的步骤S110之前还包括：

发送方设备首次发起通信，所述发送方设备发送的数据包的有效载荷中包含混淆加密方式数据库信息；

接收方设备收到所述发送方设备首次发起通信的数据包，提取数据包中的混淆加密方式数据库信息并校对本地混淆加密方式数据库，得到所述发送方设备、接收方设备共同维护的混淆加密策略数据库信息并封装在响应数据包中，将所述响应数据包发送给所述发送方设备；

所述发送方设备接收到所述响应数据包后，提取所述响应数据包中的所述发送方设备、接收方设备共同维护的混淆加密策略数据库信息并从中选择一种混淆加密策略，所述发送方设备将所选择的混淆加密策略封装在策略确认请求数据包中并发送给接收方设备；

所述接收方设备接收到所述发送方设备的策略确认请求数据包后，提取并存储所述发送方设备所选择的混淆加密策略，向所述发送方设备发送策略确认响应数据包；

所述发送方设备收到所述接收方设备返回的策略确认响应数据包后，根据双方确认的混淆加密策略混淆加密数据包，并发送混淆加密后的数据包给所述接收方设备。

根据本申请的另一个方面，提供了一种智融标识网络的安全数据传输装置，包括：数据包处理模块、时钟模块、运算模块、混淆加密策略数据库模块和控制器；

所述的数据包处理模块，用于按照设定的混淆加密方式对数据包进行混淆加密，将更新标志位、确认更新标志位、混淆加密方式标志位和时间戳封装到数据包中，根据数据包的状态信息确定何时发起混淆加密算法的更新请求；对接收到的数据包进行解析，接收控制器下发的控制信息，以更新包处理策略和包封装格式；

所述的时钟模块，用于提供时钟信息；

所述的运算模块，用于对数据进行运算，通过对随机数进行模运算，选择更新标志位的值，从时钟提取时间戳，将时间戳提供给数据包处理模块；

所述的混淆加密策略数据库模块，用于通过数据库存储混淆加密策略和混淆加密策略标号等；接收控制器下发的控制信息，以更新混淆加密策略数据库；

所述的控制器，用于向数据包处理模块下发控制信息，以更新包处理策略和包封装格式，生成数据包的混淆转发策略并下发给混淆加密策略数据库模块，向混淆加密策略数据库下发控制信息，以更新混淆加密策略数据库。

优选地，所述的装置还包括：

状态信息处理模块，用于处理数据包状态信息，预处理数据包的时间戳信息，决定设备是否应主动发起混淆加密算法更新的请求。

优选地，所述的装置包括：发送方设备和接收方设备，工作方式为全双工方式，在通信过程中，更新策略的发起支持两种模式：用户手动发起和设备根据数据包的状态信息选择自动发起。

优选地，当所述装置为发送方设备时，所述的数据包处理模块，具体用于对发送的数据包进行封装:按照混淆加密策略数据库中的指定的混淆加密方式对数据包进行混淆加密，将更新标志位、确认更新标志位、混淆加密方式标志位和时间戳封装到数据包中，根据数据包的状态信息决定何时发起混淆加密算法的更新请求；根据数据包某些标志位字段定义数据包头部的解析顺序以及内容，对于接收方设备发送的数据包，以约定好的解析方式解析混淆加密方式标志位，按照混淆加密策略数据库中的混淆加密方式，对下一组数据包进行混淆加密；接收控制器下发的控制信息，以更新包处理策略和包封装格式；

当所述装置为接收方设备时，所述的数据包处理模块，具体用于收到来自发送方设备的混淆加密后的数据包后，对所述数据包进行解析，获取所述数据包中的混淆加密方式标志位和更新标志位的值，根据所述混淆加密方式标志位的值查询加密规则数据库得到解密算法，利用所述解密算法对所述数据包进行数据解密处理，根据所述更新标志位的值判断是否需要进行混淆加密方式更新，如果是，则以接收方系统时间和所述数据包中时间戳运算的值作为种子选择新的混淆加密方式，并将所述新的混淆加密方式返回给所述发送方设备；接收控制器下发的控制信息，以更新包处理策略和包封装格式。

优选地，所述发送方设备中的数据包处理模块，具体用于当发送方设备首次发起通信时，在发送的数据包的有效载荷中包含混淆加密方式数据库信息；

所述接收方设备中的数据包处理模块，具体用于收到所述发送方设备首次发起通信的数据包，提取数据包中的混淆加密方式数据库信息并校对本地混淆加密方式数据库，得到所述发送方设备、接收方设备共同维护的混淆加密策略数据库信息并封装在响应数据包中，将所述响应数据包发送给所述发送方设备；

所述发送方设备中的数据包处理模块，具体用于接收到所述响应数据包后，提取所述响应数据包中的所述发送方设备、接收方设备共同维护的混淆加密策略数据库信息并从中选择一种混淆加密策略，将所选择的混淆加密策略封装在策略确认请求数据包中并发送给接收方设备；

所述接收方设备中的数据包处理模块，具体用于接收到所述发送方设备的策略确认请求数据包后，提取并存储所述发送方设备所选择的混淆加密策略，向所述发送方设备发送策略确认响应数据包；

所述发送方设备中的数据包处理模块，具体用于收到所述接收方设备返回的策略确认响应数据包后，根据双方确认的混淆加密策略混淆加密数据包，并发送混淆加密后的数据包给所述接收方设备。

由上述本申请的实施例提供的技术方案可以看出，申请实施例的智融标识网络的安全数据传输方案中的混淆加密策略支持用户定义并可以不断变化，安全性更高。基于时间戳状态变化来决定是否更新混淆加密策略，可以防止重放攻击。以以接收方系统时间和数据包中时间戳运算的值作为选择算法的种子值，收发双方不需要同步。

本申请附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种智融标识网络的安全数据传输方法的实现原理示意图。

图2为本申请实施例提供的一种智融标识网络的安全数据传输方法的处理流程示意图。

图3是本申请实施例提供的一种智融标识网络的混淆传输数据中的加密策略确认方法的实现原理示意图。

图4是本申请实施例提供的一种智融标识网络的混淆传输数据中的加密策略确认方法的处理流程示意图。

图5是本申请实施例提供的一种智融标识网络的安全数据传输方法中的数据包结构示意图。

图6是本申请实施例提供的一种智融标识网络的安全数据传输装置的结构示意图。

图7是本申请实施例提供的一种智融标识网络的混淆传输方法的应用场景示意图。

具体实施方式

下面详细描述本申请的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本申请，而不能解释为对本申请的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本申请所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本申请实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本申请实施例的限定。

实施例一

实际的收发过程是双工的过程，为了表述清晰以下所述的发送端A和接收端B仅为单次收发的描述。图1是本申请实施例所述的智融标识网络的安全数据传输方法的实现原理示意图，图2为本申请实施例提供的一种智融标识网络的安全数据传输方法的处理流程示意图，包括以下步骤。

步骤S210：当接收方收到来自发送方的数据包时，通过解析数据包，得到数据包中的混淆加密方式标志位和更新标志位，根据混淆加密方式标志位判断数据包的混淆加密方式；

步骤S220：根据混淆加密方式标志位查询加密规则数据库得到解密算法，解密数据，检查更新标志位是否为设定的阈值，若达到阈值则进行S130，上述阈值表示需要进行混淆加密方式更新；若未达到阈值，则流程结束；

上述更新标志位的值依据网络环境由通信主机自动随机置为1，用以更新通信双方的混淆加密方式。此外，更新标志位支持由控制器下发指令设置和用户设置。用户设置优先级高于控制器设置，控制器设置优先级高于自动随机置。

更新标志位可以由控制器下发指令设置。控制器给客户机发送更新指令，客户机将更新标志位设置为1。

更新标志位可以由用户设置。该功能发生紧急情况后提供了用户手动更新混淆加密策略的能力，可由用户设置为1。

步骤S230：接收方以接收方系统时间和数据包中时间戳运算的值作为种子选择新的混淆加密方式，并将新的混淆加密方式返回给发送方；上述运算的值可以为接收方系统时间和数据包中时间戳之间的差值。

步骤S240：发送方根据收到的混淆加密方式设置混淆加密方式标志位、设置更新标志位，设置时间戳，以新的混淆加密方式混淆传输数据。

实际的收发过程是双工的过程，为了表述清晰以下所述的发送端A和接收端B仅为单次收发的描述。图3是本申请实施例提供的一种智融标识网络的混淆传输数据中的加密策略确认方法的实现原理示意图，图4是本申请实施例的智融标识网络的混淆传输数据中的加密策略确认方法的处理流程示意图，包括以下步骤：

步骤S410：发送方A首次发起通信。发送方A发送的数据包的有效载荷中包含混淆加密方式数据库信息。

步骤S420：接收方B收到发送方A首次发起通信的数据包，提取数据包中的混淆加密方式数据库信息并校对本地混淆加密方式数据库，得到A、B共同维护的混淆加密策略数据库信息。将A、B共同维护的混淆加密策略数据库信息封装在响应数据包中，将上述响应数据包发送给发送方A。

步骤S430：发送方A接收到上述响应数据包后，对响应数据包进行解析，得到A、B共同维护的混淆加密策略数据库信息，确定加密通信的混淆加密策略集合，并从中选择一种混淆加密策略。发送方A将所选择的混淆加密策略封装在策略确认请求数据包中，将上述策略确认请求数据包发送给接收方B。

步骤S440：接收方B接收到发送方A的策略确认请求数据包，对策略确认请求数据包进行解析，得到发送方A所选择的混淆加密策略。接收方B将上述混淆加密策略存放在寄存器中，向发送方A发送策略确认响应数据包。

步骤S450：发送方A收到接收方B返回的策略确认响应数据包后，根据双方确认的混淆加密策略封装数据包，双方开始进行图2所示的加密通信。

包封装格式

图5是本申请实施例提供的一种智融标识网络的安全数据传输方法中的数据包结构示意图，如图5所示，数据包采用更新标志位、确认更新标志位、混淆加密方式标志位和时间戳对数据包进行标记。更新标志位采用1比特长度，当更新标志位为1时，更新混淆加密方式，更新标志位为0时，不更新混淆加密方式。确认更新标志位采用1比特长度，当确认更新标志位为1时，表示已确认更新混淆加密方式，当确认更新标志位为0时，表示未更新混淆加密方式。混淆标志位采用14比特长度，标志采用的混淆加密方式。混淆加密方式标志位的值与混淆加密策略数据库中的混淆加密策略互为映射。时间戳采用32比特长度，用来标记数据包的时间，可以作为策略选择运算的种子值，该种子值包括但不限于采用扩展包头的形式实现。

本申请实施例还提出了一种智融标识网络的安全数据传输装置，该装置为基于状态的混淆传输装置，具备可编程能力，可以灵活定义、更新转发策略、混淆加密策略、包解析策略。上述智融标识网络的安全数据传输装置包括但不限于数据包处理模块、状态信息处理模块、时钟模块、运算模块、混淆加密策略数据库、控制器。该装置可以为发送方和接收方两个对端设备。

图6是本申请实施例提供的一种智融标识网络的安全数据传输装置的结构示意图，该装置可以为发送方和接收方两个对端设备。设备本身功能没有差异，工作方式为全双工方式，在通信过程中，一个设备既是发送端也是接收端。在通信过程中，更新策略的发起支持两种模式：用户手动发起和设备根据数据包的状态信息选择自动发起。在第二种更新模式下，何时发起策略更新的请求由最开始发起通信请求的设备决定，策略更新请求发起后，数据包的更新策略以及混淆加密策略并不会立即生效，而是应该等到请求方收到确认信息之后生效。

数据包的混淆转发策略应由控制器统一生成，本设备可以通过在线升级或者本地手动升级的方式对数据包的混淆转发策略进行缓存，通常情况下，设备中将缓存多种混淆转发策略，以保证在数据包处理过程中可以执行策略更新的需求。

通信双方首次通信时应交换本地的策略缓存库信息，通过该信息的交换找到策略缓存库中的策略交集，从而为接下来的通信过程中策略的更新提供选择范围。

本设备的主要功能是实现对数据包的处理，包括但不限于具备一定的运算能力和存储能力，其运算能力体现在对状态信息的处理，以及数据包寻址转发过程中对地址字段的处理以及数据包的解析，其存储能力体现在对状态信息的存储以及混淆和转发策略信息的存储，为了保证数据的读取和处理速度，该数据应存储在寄存器和内存中，具体的，寄存器中应存放当前通信所使用的策略信息，内存中存储该设备支持的所有混淆转发策略的策略信息。

发送端A的各模块功能如下：

数据包处理模块：包括但不限于对发送的数据包进行封装:按照混淆加密策略数据库中的混淆加密方式对数据包进行混淆加密，将更新标志位、确认更新标志位、混淆加密方式标志位和时间戳封装到数据包中，同时数据包处理模块应可以通过数据包的状态信息，决定何时发起混淆加密算法的更新请求，该请求应至少支持用户主动发起和设备自主发起两种模式。

包括但不限于包解析功能：数据包处理模块对于数据包的解析应具有灵活性，可以根据数据包某些标志位字段，灵活定义数据包头部的解析顺序以及内容，同时又应具备与传统设备交换数据的兼容能力。对于接收方B发送的数据包，以约定好的解析方式解析混淆加密方式标志位，按照混淆加密策略数据库中的混淆加密方式，对下一组数据包进行混淆加密。此外还应接收控制器下发的控制信息，以更新包处理策略和包封装格式。

时钟模块：提供时钟信息。

运算模块：对数据进行运算。包括但不限于通过对随机数进行模运算，选择更新标志位的值，从时钟提取时间戳，将时间戳提供给数据包处理模块。

状态信息处理模块：本设备应具备处理数据包状态信息的能力，包括但不限于预处理数据包的时间戳信息、动态感知网络状态、决定设备是否应主动发起混淆加密算法更新的请求等。

混淆加密策略数据库：包括但不限于存储混淆加密策略和混淆加密策略标号等；接收控制器下发的控制信息，更混淆加密策略数据库。

控制器：包括但不限于控制器向数据包处理模块下发控制信息，更新包处理策略和包封装格式。控制器向混淆加密策略数据库下发控制信息，更新混淆加密策略数据库。

接收端B的各模块功能如下：

数据包处理模块：包括但不限于包解析功能：解析混淆加密方式标志位，按照混淆加密策略数据库中的混淆加密方式，对数据包进行解析。判断更新标志位是否达到阈值。包括但不限于包封装功能：需要更新发送方混淆加密方式时，将混淆加密方式标志位信息封装到数据包中，发送给发送方A。接收控制器下发的控制信息，更新包处理策略和包封装格式。

时钟模块：提供时钟信息，运算模块判断要更新的混淆加密方式时，从时钟模块提取系统时钟，作为运算种子。

运算模块：对数据进行运算。包括但不限于根据数据包时间戳和系统时钟进行与或、模运算；根据运算结果混淆加密策略数据库中的混淆加密方式并将混淆加密方式提供给数据包处理模块。

混淆加密策略数据库：包括但不限于存储混淆加密策略和混淆加密策略标号等。向运算模块和数据包处理模块提供混淆加密策略。接收控制器下发的控制信息，更混淆加密策略数据库。

实施例二

图7是本申请实施例提供的一种智融标识网络的混淆传输方法的应用场景示意图，如图7所示，A，B为用户，C,D为混淆传输装置，W1,W2,W3为传输链路。采用多路径传输机制，如果将多路径传输机制直接应用在异构且不对称的网络环境中，将会出现严重的乱序以及缓存阻塞现象。基于状态的混淆传输装置在混淆加密策略数据库中存储选路信息和标号，可以根据网络状态实时改变传输路径，在缓解网络拥塞的同时，也可以有效提升用户体验质量。在智融网络环境下，需要保证用户通信的实时性和安全性，为了保证传输安全，智融标识网络中采用跨协议传输，可以跨越IPV4、IPV6、标识网络协议传输。混淆传输装置在混淆加密策略数据库中存储协议选择信息和标号。混淆传输装置根据状态改变路径选择和数据包协议选择。

实施例三：

该实施例描述了混淆传输装置在策略更新阶段的应用描述。首先针对混淆及转发策略的生成提供了两个来源：装置初始化时，混淆加密策略数据库中提供了基本的置换矩阵和轮循选路策略，此外本装置支持用户自定义混淆加密策略，装置提供了存储用户自定义策略的混淆加密策略数据库。针对用户混淆加密策略数据库的导入也提供了两种方式：控制器在线导入和用户手动导入。之后，当用户首次发起通信请求时，该装置会判断本次通信是否为第一次通信，若是则需要首先交换双方的用户混淆加密策略数据库信息，找到双方的混淆加密策略数据库信息交集，然后由通信发起方首先选择一种混淆加密策略，并发起策略请求，收到对方返回的策略确认信息之后，开始正式采用协商好的混淆加密策略进行加密传输。同时通信的发起方需要维护本次通信的数据包的状态信息，当状态信息达到某一指定的阈值时，发起混淆加密策略的更新请求，当收到对方的更新确认信息之后，正式采用新的混淆加密策略进行加密通信。文中提到的阈值可由用户根据实际情况声明，若没有显示声明则系统自动采用默认值。

实施例四

该实施例描述了混淆传输装置在紧急情况下的对混淆加密策略的更新描述。本实验装置的最终目的是实现用户的保密通信，虽然本装置本身不提供任何网络扫描的功能，但用户可以申请开启兼容第三方工具的权限。请注意本装置并不提供辨别第三方插件安全性的功能，但为开启该功能发生紧急情况后提供了用户手动更新混淆加密策略的能力。

具体的，用户可以申请开启兼容第三方工具的权限，例如某些网络扫描工具，使用人工智能对网络状态进行分析，协助用户发现网络被监听的风险，当用户确定自己被监听后可以手动向对端用户发起混淆加密策略的更新请求，同时可以在通信不间断的情况下定义策略更新发起的阈值，从而提高通信安全的级别。

综上所述，本申请实施例的智融标识网络的安全数据传输方案中的混淆加密策略支持用户定义并可以不断变化，安全性更高。基于更新标志位变化来决定是否更新混淆加密策略，采用混淆策略数据库维护混淆策略信息，根据时间戳状态随机选择多种混淆加密方式，难以破解。可以防止重放攻击。以接收方系统时间和数据包中时间戳运算的值作为选择算法的种子值，收发双方不需要同步。

系统中状态信息处理模块对网络环境进行动态感知。混淆加密策略依据网络环境由通信主机自动随机更新，也可灵活的采用提供控制器和用户控制策略对加密方式进行更新。可以灵活地变换包封装、包解析规则。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本申请所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本申请较佳的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims

一种智融标识网络的安全数据传输方法，其特征在于，包括：

步骤S110：当接收方设备收到来自发送方设备的混淆加密后的数据包后，对所述数据包进行解析，获取所述数据包中的混淆加密方式标志位和更新标志位的值；

步骤S120：所述接收方设备根据所述混淆加密方式标志位的值查询加密规则数据库得到解密算法，利用所述解密算法对所述数据包进行数据解密处理，根据所述更新标志位的值判断是否需要进行混淆加密方式更新，如果是，则执行步骤S130；

步骤S130：所述接收方设备以接收方系统时间和所述数据包中时间戳运算的值作为种子选择新的混淆加密方式，并将所述新的混淆加密方式返回给所述发送方设备；

步骤S140：所述接收方设备收到所述新的混淆加密方式后，按照所述新的混淆加密方式混淆加密数据包，并发送混淆加密后的数据包给所述发送方设备。
根据权利要求1所述的方法，其特征在于，所述的数据包包括更新标志位、确认更新标志位、混淆加密方式标志位和时间戳；所述混淆标志位采用14比特长度，标志数据包采用的混淆加密方式，混淆加密方式标志位的值与混淆加密策略数据库中的混淆加密策略互为映射。
根据权利要求2所述的方法，其特征在于，所述的时间戳采用32比特长度，用来标记数据包的时间，所述时间戳作为策略选择运算的种子值。
根据权利要求2所述的方法，其特征在于，所述更新标志位采用1比特长度，当所述更新标志位为1时，更新混淆加密方式，当所述更新标志位为0时，不更新混淆加密方式；

所述确认更新标志位采用1比特长度，当所述确认更新标志位为1时，表示已确认更新混淆加密方式，当所述确认更新标志位为0时，表示未更新混淆加密方式。
根据权利要求1至4任一项所述的方法，其特征在于，所述的步骤S110之前还包括：

发送方设备首次发起通信，所述发送方设备发送的数据包的有效载荷中包含混淆加密方式数据库信息；

接收方设备收到所述发送方设备首次发起通信的数据包，提取数据包中的混淆加密方式数据库信息并校对本地混淆加密方式数据库，得到所述发送方设备、接收方设备共同维护的混淆加密策略数据库信息并封装在响应数据包中，将所述响应数据包发送给所述发送方设备；

所述发送方设备接收到所述响应数据包后，提取所述响应数据包中的所述发送方设备、接收方设备共同维护的混淆加密策略数据库信息并从中选择一种混淆加密策略，所述发送方设备将所选择的混淆加密策略封装在策略确认请求数据包中并发送给接收方设备；

所述接收方设备接收到所述发送方设备的策略确认请求数据包后，提取并存储所述发送方设备所选择的混淆加密策略，向所述发送方设备发送策略确认响应数据包；

所述发送方设备收到所述接收方设备返回的策略确认响应数据包后，根据双方确认的混淆加密策略混淆加密数据包，并发送混淆加密后的数据包给所述接收方设备。
一种智融标识网络的安全数据传输装置，其特征在于，包括：数据包处理模块、时钟模块、运算模块、混淆加密策略数据库模块和控制器；

所述的数据包处理模块，用于按照设定的混淆加密方式对数据包进行混淆加密，将更新标志位、确认更新标志位、混淆加密方式标志位和时间戳封装到数据包中，根据数据包的状态信息确定何时发起混淆加密算法的更新请求；对接收到的数据包进行解析，接收控制器下发的控制信息，以更新包处理策略和包封装格式；

所述的时钟模块，用于提供时钟信息；

所述的运算模块，用于对数据进行运算，通过对随机数进行模运算，选择更新标志位的值，从时钟提取时间戳，将时间戳提供给数据包处理模块；

所述的混淆加密策略数据库模块，用于通过数据库存储混淆加密策略和混淆加密策略标号等；接收控制器下发的控制信息，以更新混淆加密策略数据库；

所述的控制器，用于向数据包处理模块下发控制信息，以更新包处理策略和包封装格式，生成数据包的混淆转发策略并下发给混淆加密策略数据库模块，向混淆加密策略数据库下发控制信息，以更新混淆加密策略数据库。
根据权利要求6所述的装置，其特征在于，所述的装置还包括：

状态信息处理模块，用于处理数据包状态信息，预处理数据包的时间戳信息，决定设备是否应主动发起混淆加密算法更新的请求。
根据权利要求6或7所述的装置，其特征在于，所述的装置包括：发送方设备和接收方设备，工作方式为全双工方式，在通信过程中，更新策略的发起支持两种模式：用户手动发起和设备根据数据包的状态信息选择自动发起。
根据权利要求8所述的装置，其特征在于，当所述装置为发送方设备时，所述的数据包处理模块，具体用于对发送的数据包进行封装:按照混淆加密策略数据库中的指定的混淆加密方式对数据包进行混淆加密，将更新标志位、确认更新标志位、混淆加密方式标志位和时间戳封装到数据包中，根据数据包的状态信息决定何时发起混淆加密算法的更新请求；根据数据包某些标志位字段定义数据包头部的解析顺序以及内容，对于接收方设备发送的数据包，以约定好的解析方式解析混淆加密方式标志位，按照混淆加密策略数据库中的混淆加密方式，对下一组数据包进行混淆加密；接收控制器下发的控制信息，以更新包处理策略和包封装格式；

当所述装置为接收方设备时，所述的数据包处理模块，具体用于收到来自发送方设备的混淆加密后的数据包后，对所述数据包进行解析，获取所述数据包中的混淆加密方式标志位和更新标志位的值，根据所述混淆加密方式标志位的值查询加密规则数据库得到解密算法，利用所述解密算法对所述数据包进行数据解密处理，根据所述更新标志位的值判断是否需要进行混淆加密方式更新，如果是，则以接收方系统时间和所述数据包中时间戳运算的值作为种子选择新的混淆加密方式，并将所述新的混淆加密方式返回给所述发送方设备；接收控制器下发的控制信息，以更新包处理策略和包封装格式。
根据权利要求9所述的装置，其特征在于：

所述发送方设备中的数据包处理模块，具体用于当发送方设备首次发起通信时，在发送的数据包的有效载荷中包含混淆加密方式数据库信息；

所述接收方设备中的数据包处理模块，具体用于收到所述发送方设备首次发起通信的数据包，提取数据包中的混淆加密方式数据库信息并校对本地混淆加密方式数据库，得到所述发送方设备、接收方设备共同维护的混淆加密策略数据库信息并封装在响应数据包中，将所述响应数据包发送给所述发送方设备；

所述发送方设备中的数据包处理模块，具体用于接收到所述响应数据包后，提取所述响应数据包中的所述发送方设备、接收方设备共同维护的混淆加密策略数据库信息并从中选择一种混淆加密策略，将所选择的混淆加密策略封装在策略确认请求数据包中并发送给接收方设备；

所述接收方设备中的数据包处理模块，具体用于接收到所述发送方设备的策略确认请求数据包后，提取并存储所述发送方设备所选择的混淆加密策略，向所述发送方设备发送策略确认响应数据包；

所述发送方设备中的数据包处理模块，具体用于收到所述接收方设备返回的策略确认响应数据包后，根据双方确认的混淆加密策略混淆加密数据包，并发送混淆加密后的数据包给所述接收方设备。