Nothing Special   »   [go: up one dir, main page]

CN118075021A - 一种加密通信建立方法及系统和加密通信方法及系统 - Google Patents

一种加密通信建立方法及系统和加密通信方法及系统 Download PDF

Info

Publication number
CN118075021A
CN118075021A CN202410386255.XA CN202410386255A CN118075021A CN 118075021 A CN118075021 A CN 118075021A CN 202410386255 A CN202410386255 A CN 202410386255A CN 118075021 A CN118075021 A CN 118075021A
Authority
CN
China
Prior art keywords
ipv6
stealth
terminal
communication
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410386255.XA
Other languages
English (en)
Inventor
卢坤
韩国梁
包丛笑
李星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Indirect Network Technology Co ltd
Original Assignee
Beijing Indirect Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Indirect Network Technology Co ltd filed Critical Beijing Indirect Network Technology Co ltd
Priority to CN202410386255.XA priority Critical patent/CN118075021A/zh
Publication of CN118075021A publication Critical patent/CN118075021A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种加密通信建立方法及系统和加密通信方法及系统,属于通信技术领域,应用于包括管理平面和数据平面的IPv6双平面隐身通信系统,加密通信建立方法包括:建立管理平面内各个组件之间的IPv6隐身通信互信关系;响应于待上线的IPv6隐身终端发送上线连接请求至管理平面,控制管理平面内的IPv6隐身通信授权组件对上线连接请求进行验证;响应于上线连接请求的验证通过结果,建立数据平面内的IPv6隐身终端与管理平面之间的IPv6隐身通信互信关系;建立数据平面内上线成功的IPv6隐身终端与其他IPv6隐身终端之间的IPv6隐身通信互信关系。本申请能够建立管理平面和数据平面的安全防护体系,提高了整个IPv6通信系统的安全性。

Description

一种加密通信建立方法及系统和加密通信方法及系统
技术领域
本申请涉及通信技术领域,尤其是涉及一种加密通信建立方法及系统和加密通信方法及系统。
背景技术
在相关技术中,由于IPv4协议端到端通信不默认加密,所以中间人可以很容易地分析流量信息,带来各种信息和数据泄露的风险。零信任技术改进了加密VPN类技术,对通过身份认证的用户开放特定端口,实现了端口层面的隐藏,同时可以实现端到端加密。但是,基于IPv4的零信任网关仍然会配置一个固定IPv4地址,即使其端口无法被嗅探到,中间人攻击者可以发现其地址并对其进行资源耗尽攻击,也可以使得零信任网关后端的主机无法正常通信。同理,零信任各个组件本身也会配置IPv4地址,这些IPv4地址被攻击者发现之后,也容易受到上述攻击。
同时,虽然相比IPv4仅有43亿的全部地址空间,IPv6的任何一个子网都有264地址空间,但是,相关技术中,网络的管理员在配置IPv6地址时,通常还是按照IPv4的习惯来配置,并且,尽管IPv6终端强制安装IPsec协议,但是默认并不开启,所以在实际场景中,IPv6终端之间绝大多数都不用IPsec进行加密。
因此,需要使用更适合IPv6协议的加密通信建立方法,实现IPv6通信系统中各组件之间的加密通信。同时,在IPv6通信系统中,用户访问相关业务时的数据被称为数据平面,为了对大规模的数据平面进行管理,包括对数据平面中各个组件实现统一的配置管理、路由管理、安全管理、故障管理等,需要额外部署一些控制组件,这些控制组件可以部署在同一个位置,也可以分布式部署在多个位置来实现和数据平面的就近通信,这些控制组件的集合被称为管理平面。管理平面的各个组件之间需要安全通信,数据平面的各个组件之间需要安全通信,管理平面和数据平面的组件之间需要按需安全通信。一旦其中的某次安全通信被攻破,攻击者就有可能攻破某个管理平面或数据平面的组件,进而顺藤摸瓜攻破整个通信系统。
因此,如何建立管理平面和数据平面的安全防护体系,使得在所有场景下,上述所有组件之间的安全通信都能够防止攻击者扫描到系统中的任意一个组件,是亟待解决的一个问题。
发明内容
为了建立管理平面和数据平面的安全防护体系,本申请提供了一种加密通信建立方法及系统和加密通信方法及系统。
第一方面,本申请提供一种加密通信建立方法,采用如下的技术方案:
一种加密通信建立方法,应用于包括管理平面和数据平面的IPv6双平面隐身通信系统,所述加密通信建立方法包括:
根据所述管理平面内各个组件的组件证书信息,建立所述管理平面内各个组件之间的IPv6隐身通信互信关系;
将所述数据平面内待上线的IPv6隐身终端的组件证书信息录入至所述管理平面;
响应于所述待上线的IPv6隐身终端发送上线连接请求至所述管理平面,控制所述管理平面内的IPv6隐身通信授权组件对所述上线连接请求进行验证;其中,所述上线连接请求根据所述IPv6隐身通信授权组件和所述待上线的IPv6隐身终端的组件证书信息预先配置;
响应于所述上线连接请求的验证通过结果,确定所述IPv6隐身终端上线成功,并建立所述数据平面内的IPv6隐身终端与所述管理平面之间的IPv6隐身通信互信关系;
根据所述上线成功的IPv6隐身终端的组件证书信息,建立所述数据平面内所述上线成功的IPv6隐身终端与其他IPv6隐身终端之间的IPv6隐身通信互信关系。
通过采用上述技术方案,先建立管理平面内各个组件之间的IPv6隐身通信互信关系,以增强管理平面内各个组件之间通信的安全性和隐私性;当数据平面内有新的IPv6隐身终端上线成功时,建立该IPv6隐身终端与管理平面之间的安全通信通道,以确保管理平面与数据平面之间的通信安全,防止中间人攻击和数据截获;再建立数据平面内该IPv6隐身终端与其他IPv6隐身终端之间的安全通信关系,通过上述步骤即可实现数据平面内所有IPv6隐身终端相互之间的IPv6隐身通信互信关系。
本申请通过证书信息的登记、加密算法的应用以及互信关系的建立,提供了一套全面的安全防护体系,这个体系能够有效地防止攻击者扫描到系统中的任意一个组件,从而大大提高了整个IPv6通信系统的安全性,解决了管理平面和数据平面的组件之间在所有通信场景下的安全通信问题。
可选的,所述方法还包括所述上线连接请求的配置步骤,所述配置步骤包括:
基于第一预设算法,根据所述IPv6隐身通信授权组件的IPv6前缀、所述待上线的IPv6隐身终端的证书私钥、所述IPv6隐身通信授权组件的证书公钥和第一时间戳,生成目标IPv6地址;其中,所述第一时间戳为发送所述上线连接请求的时间戳;
根据所述目标IPv6地址生成IPv6报文;
根据所述IPv6隐身通信授权组件的证书公钥对所述IPv6报文的载荷进行加密,得到所述上线连接请求。
通过采用上述技术方案,加强了数据传输过程中的安全性,保证了敏感信息在传输过程中的机密性,并且只有预期的接收者才能访问内容,从而提高了隐私性和安全性。
可选的,控制所述管理平面内的IPv6隐身通信授权组件对所述上线连接请求进行验证的步骤包括:
基于第二预设算法,根据所述IPv6隐身通信授权组件的IPv6前缀、所述待上线的IPv6隐身终端的证书公钥、所述IPv6隐身通信授权组件的证书私钥和所述目标IPv6地址,得到所述第一时间戳;
根据所述第一时间戳和第二时间戳计算第一时间差值;其中,所述第二时间戳为所述IPv6隐身通信授权组件接收到所述上线连接请求的时间戳;
判断所述第一时间差值是否小于第一预设阈值;若是,则输出所述上线连接请求的验证通过结果;若否,则输出所述上线连接请求的验证失败结果。
通过采用上述技术方案,结合动态生成的目标IPv6地址、时间戳验证和密钥技术,为管理平面内的组件提供了一个安全的验证机制,以确保只有被授权的IPv6隐身终端才能够成功上线,这增强了网络的安全性,防止了未经授权的访问,同时也提供了对抗网络扫描和分析攻击的能力。
可选的,所述建立所述数据平面内的IPv6隐身终端与所述管理平面之间的IPv6隐身通信互信关系的步骤包括:
控制所述管理平面的IPv6隐身通信授权组件发送配置信息和访问权限至所述数据平面内的IPv6隐身终端。
通过采用上述技术方案,确保了数据平面内的IPv6隐身终端的配置一致性和安全性,同时让IPv6隐身终端了解其所拥有的权限,有助于实现细粒度的访问控制。
可选的,建立所述数据平面内所述上线成功的IPv6隐身终端与其他IPv6隐身终端之间的IPv6隐身通信互信关系的步骤包括:
根据所述上线成功的IPv6隐身终端的组件证书信息,对所述数据平面内的IPv6隐身终端信息清单进行更新,并将更新内容分发至所述数据平面内的其他IPv6隐身终端。
通过采用上述技术方案,新的IPv6隐身终端上线成功后,更新IPv6隐身终端信息清单,并通过已建立的安全通道将更新内容下发给其他终端;通过接收来自管理平面的更新内容,数据平面内的各个IPv6隐身终端之间也建立了互信关系,即每个IPv6隐身终端都具备了其他终端的IPv6前缀和证书公钥信息,可以相互识别和验证,从而实现了终端间的点对点安全通信,无需每次通信都通过管理平面进行中转,提高了通信效率和扩展性。
第二方面,本申请提供一种加密通信方法,采用如下的技术方案:
一种加密通信方法,应用于数据平面内的发起方IPv6隐身终端,在根据第一方面所述的加密通信建立方法建立数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系的步骤之后,所述加密通信方法包括:
响应于待发送的业务访问报文的数据传输请求,随机生成动态密钥因子;
根据所述动态密钥因子和密钥种子进行不可逆运算,得到动态密钥;其中,所述密钥种子根据所述数据平面内的发起方IPv6隐身终端与接收方IPv6隐身终端的IPv6隐身通信互信关系协商得到;
根据所述动态密钥对所述业务访问报文进行加密;
根据所述动态密钥因子和第三时间戳生成动态目标IPv6地址;其中,所述第三时间戳为发送业务访问报文的时间戳;
根据所述加密后的所述业务访问报文和所述动态目标IPv6地址,生成加密IPv6报文;
将所述加密IPv6报文发送至所述接收方IPv6隐身终端。
通过采用上述技术方案,上述加密通信方法通过动态密钥和动态目标IPv6地址的使用,为数据平面内IPv6隐身终端之间的通信提供了一种高度安全的加密机制,能够有效防止数据泄露、中间人攻击和IP跟踪,从而提高了整个网络通信的安全性和隐私性。
第三方面,本申请提供一种加密通信方法,采用如下的技术方案:
一种加密通信方法,应用于数据平面内的接收方IPv6隐身终端,在根据第一方面所述的加密通信建立方法建立数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系的步骤之后,所述加密通信方法包括:
接收来自发起方IPv6隐身终端发送的加密IPv6报文;其中,所述加密IPv6报文由发起方IPv6隐身终端应用第二方面所述的加密通信方法生成;
根据所述加密IPv6报文的动态目标IPv6地址,解析得到第三时间戳和动态密钥因子;
根据所述第三时间戳和第四时间戳计算第二时间差值;其中,所述第四时间戳为所述接收方IPv6隐身终端接收到所述加密IPv6报文的时间戳;
判断所述第二时间差值是否小于第二预设阈值;
若是,则根据所述动态密钥因子和密钥种子进行不可逆运算生成所述动态密钥;
根据所述动态密钥对所述加密IPv6报文进行解密,得到业务访问报文;
基于预设目标IPv6地址,将所述业务访问报文进行发送。
通过采用上述技术方案,为接收方IPv6隐身终端提供了一套完整的接收处理流程,不仅确保了数据的机密性和完整性,还提供了对时效性的验证,通过将解密后的业务访问报文发送至预设目标IPv6地址,确保了业务数据能够被正确地发送到目的地,完成了加密通信的最后一步。
第四方面,本申请提供一种加密通信建立系统,采用如下的技术方案:
一种加密通信建立系统,应用于包括管理平面和数据平面的IPv6双平面隐身通信系统,所述加密通信建立系统包括:
第一建立模块,用于根据所述管理平面内各个组件的组件证书信息,建立所述管理平面内各个组件之间的IPv6隐身通信互信关系;
组件证书信息录入模块,用于将所述数据平面内待上线的IPv6隐身终端的组件证书信息录入至所述管理平面;
验证控制模块,用于响应于所述待上线的IPv6隐身终端发送上线连接请求至所述管理平面,控制所述管理平面内的IPv6隐身通信授权组件对所述上线连接请求进行验证;其中,所述上线连接请求根据所述IPv6隐身通信授权组件和所述待上线的IPv6隐身终端的组件证书信息预先配置;
第二建立模块,用于响应于所述上线连接请求的验证通过结果,确定所述IPv6隐身终端上线成功,并建立所述数据平面内的IPv6隐身终端与所述管理平面之间的IPv6隐身通信互信关系;
第三建立模块,用于根据所述上线成功的IPv6隐身终端的组件证书信息,建立所述数据平面内所述上线成功的IPv6隐身终端与其他IPv6隐身终端之间的IPv6隐身通信互信关系。
第五方面,本申请提供一种加密通信系统,采用如下的技术方案:
一种加密通信系统,应用于数据平面内的发起方IPv6隐身终端,所述数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系应用第一方面所述的加密通信建立方法建立,所述加密通信系统包括:
动态密钥因子生成模块,用于响应于待发送的业务访问报文的数据传输请求,随机生成动态密钥因子;
动态密钥生成模块,用于根据所述动态密钥因子和密钥种子进行不可逆运算,得到动态密钥;其中,所述密钥种子根据所述数据平面内的发起方IPv6隐身终端与接收方IPv6隐身终端的IPv6隐身通信互信关系协商得到;
报文加密模块,用于根据所述动态密钥对所述业务访问报文进行加密;
动态目标IPv6地址生成模块,用于根据所述动态密钥因子和第三时间戳生成动态目标IPv6地址;其中,所述第三时间戳为发送业务访问报文的时间戳;
加密IPv6报文生成模块,用于根据所述加密后的所述业务访问报文和所述动态目标IPv6地址,生成加密IPv6报文;
加密IPv6报文发送模块,用于将所述加密IPv6报文发送至所述接收方IPv6隐身终端。
第六方面,本申请提供一种加密通信系统,采用如下的技术方案:
一种加密通信系统,应用于数据平面内的接收方IPv6隐身终端,所述数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系应用第一方面所述的加密通信建立方法建立,所述加密通信系统包括:
加密IPv6报文接收模块,用于接收来自发起方IPv6隐身终端发送的加密IPv6报文;所述加密IPv6报文由发起方IPv6隐身终端应用第二方面的加密通信方法生成;
解析模块,用于根据所述加密IPv6报文的动态目标IPv6地址,解析得到第三时间戳和动态密钥因子;
第二时间差值计算模块,用于根据所述第三时间戳和第四时间戳计算第二时间差值;其中,所述第四时间戳为所述接收方IPv6隐身终端接收到所述加密IPv6报文的时间戳;
判断模块,用于判断所述第二时间差值是否小于第二预设阈值;若是,则输出校验通过结果;
动态密钥生成模块,用于响应于所述校验通过结果,根据所述动态密钥因子和密钥种子进行不可逆运算生成所述动态密钥;
业务访问报文生成模块,用于根据所述动态密钥对所述加密IPv6报文进行解密,得到所述业务访问报文;
业务访问报文发送模块,用于基于预设目标IPv6地址,将所述业务访问报文进行发送。
综上所述,本申请包括以下至少一种有益技术效果:本申请通过证书信息的登记、加密算法的应用以及互信关系的建立,提供了一套全面的安全防护体系,这个体系能够有效地防止攻击者扫描到系统中的任意一个组件,从而大大提高了整个IPv6通信系统的安全性,解决了管理平面和数据平面的组件之间在所有通信场景下的安全通信问题。
附图说明
图1是本申请其中一个实施例的IPv6双平面隐身通信系统的结构示意图。
图2是本申请其中一个实施例的加密通信建立方法的流程示意图。
图3是本申请又一个实施例的加密通信建立方法的流程示意图。
图4是本申请另一个实施例的加密通信建立方法的流程示意图。
图5是本申请其中一个实施例基于发起方IPv6隐身终端侧的加密通信方法的流程示意图。
图6是本申请其中一个实施例基于接收方IPv6隐身终端侧的加密通信方法的流程示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图1-6及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
首先,对本申请中所涉及的IPv6双平面隐身通信系统进行简单介绍。
参照背景技术中相关内容,为了进一步发挥IPv6协议的优势,申请人提供了一种IPv6双平面隐身通信系统。
参照图1,IPv6双平面隐身通信系统包括管理平面和数据平面两部分;其中,管理平面可包含IPv6隐身通信管理中心、IPv6隐身通信授权组件和IPv6隐身通信控制组件等组件;IPv6隐身通信管理中心用于提供统一的图形化管理界面,用户可通过管理中心查看整个系统的状态、配置、流量等信息,也可对业务和访问控制进行配置;IPv6隐身通信授权组件用于对IPv6隐身终端进行接入管理,对于非可信的终端,拒绝接入系统,对于可信终端,允许其接入并下发相应配置;IPv6隐身通信控制组件用于对数据平面的IPv6隐身安全通信进行管理,可负责网络切片、流量优化、路由管理等;
其中,数据平面包含各类接入系统的IPv6隐身终端,该终端可以是硬件设备,也可以是软件部署,也可以作为APP安装在各类操作系统中,该终端可以只为本设备实现端到端的隐身安全通信,也可以为下联的IPv4/IPv6网络中的终端提供IPv6隐身安全保护。
为了实现上述系统中任意两个主体之间,包括数据平面的IPv6隐身终端之间、IPv6隐身终端和管理平面之间、管理平面内的各个组件之间,均能够安全地进行数据传输,需要一种加密通信建立方法以建立各组件之间的IPv6隐身通信互信关系。
本申请实施例公开一种加密通信建立方法。
参照图2,一种加密通信建立方法,应用于包括管理平面和数据平面的IPv6双平面隐身通信系统,加密通信建立方法包括:
步骤S101,根据管理平面内各个组件的组件证书信息,建立管理平面内各个组件之间的IPv6隐身通信互信关系;
具体地,由于管理平面内各个组件都知道其他组件的IPv6前缀和证书公钥,因此各个组件之间可以通过发送IPv6报文来交换所需信息。其中,IPv6报文中的目标IPv6地址是由加密算法动态生成的,加密算法是f(对端IPv6前缀,本组件的证书私钥,对端的证书公钥,时间戳),同时对IPv6报文载荷用对端的证书公钥进行加密,因此当对端收到该报文时,就可以验证是从其他组件发送到本组件的合法报文,且具有密码学的完备性,由此建立了管理平面内各组件之间的IPv6隐身通信互信关系;
步骤S102,将数据平面内待上线的IPv6隐身终端的组件证书信息录入至管理平面;
其中,数据平面内的IPv6隐身终端在首次上线之前,必须在管理平面进行组件证书信息登记,组件证书信息包括该终端的IPv6前缀和证书公钥等信息;
可以理解的是,这一步骤建立了该IPv6隐身终端的身份档案,以便管理平面可以识别和验证来自该IPv6隐身终端的请求,确保了只有经过登记的终端才能上线,减少了未知终端带来的安全风险;
步骤S103,响应于待上线的IPv6隐身终端发送上线连接请求至管理平面,控制管理平面内的IPv6隐身通信授权组件对上线连接请求进行验证;
其中,上线连接请求根据IPv6隐身通信授权组件和待上线的IPv6隐身终端的组件证书信息预先配置;
可以理解的是,IPv6隐身通信授权组件可通过预先录入的该待上线的IPv6隐身终端的组件证书信息来验证上线连接请求的合法性,通过验证确保了只有合法的IPv6隐身终端能够上线,防止了冒名顶替和其它相关的安全威胁;
步骤S104,响应于上线连接请求的验证通过结果,确定IPv6隐身终端上线成功,并建立数据平面内的IPv6隐身终端与管理平面之间的IPv6隐身通信互信关系;
可以理解的是,当上线连接请求通过验证时,即可确认该IPv6隐身终端上线成功,管理平面可以授权该IPv6隐身终端上线,并向其发送所需的配置信息和访问权限,从而建立起数据平面内的IPv6隐身终端与管理平面之间的安全通信通道,使得双方可以安全地进行双向通信;
步骤S105,根据上线成功的IPv6隐身终端的组件证书信息,建立数据平面内上线成功的IPv6隐身终端与其他IPv6隐身终端之间的IPv6隐身通信互信关系。
可以理解的是,通过上述步骤使得数据平面所有待上线的IPv6隐身终端均可实现与其他IPv6隐身终端之间的IPv6隐身通信互信关系,从而实现了数据平面内终端之间的点对点安全通信,提高了通信效率,减少了对管理平面的依赖。
上述实施方式中,先建立管理平面内各个组件之间的IPv6隐身通信互信关系,以增强管理平面内各个组件之间通信的安全性和隐私性;当数据平面内有新的IPv6隐身终端上线成功时,建立该IPv6隐身终端与管理平面之间的安全通信通道,以确保管理平面与数据平面之间的通信安全,防止中间人攻击和数据截获;再建立数据平面内该IPv6隐身终端与其他IPv6隐身终端之间的安全通信关系,通过上述步骤即可实现数据平面内所有IPv6隐身终端相互之间的IPv6隐身通信互信关系。
本申请通过证书信息的登记、加密算法的应用以及互信关系的建立,提供了一套全面的安全防护体系,这个体系能够有效地防止攻击者扫描到系统中的任意一个组件,从而大大提高了整个IPv6通信系统的安全性,解决了管理平面和数据平面的组件之间在所有通信场景下的安全通信问题。
参照图3,作为步骤S103的一种实施方式,方法还包括上线连接请求的配置步骤,配置步骤包括:
步骤S201,基于第一预设算法,根据IPv6隐身通信授权组件的IPv6前缀、待上线的IPv6隐身终端的证书私钥、IPv6隐身通信授权组件的证书公钥和第一时间戳,生成目标IPv6地址;其中,第一时间戳为发送上线连接请求的时间戳;
具体地,上述第一预设算法公式可表示为:f(IPv6隐身通信授权组件的IPv6前缀,待上线的IPv6隐身终端的证书私钥,IPv6隐身通信授权组件的证书公钥,第一时间戳),即目标IPv6地址可通过加密算法动态生成,由于加密算法的均匀分布特性,生成的对端IPv6地址在对端IPv6前缀中均匀分布,具有很强的抗扫描抗攻击特性,使得攻击者无法通过预测或扫描来定位终端设备;
步骤S202,根据目标IPv6地址生成IPv6报文;
其中,该IPv6报文包含必要的头部信息和预先定义的载荷,以便于在IPv6网络中正确路由和传输,同时由于目标IPv6地址是动态生成的,增加了通信的隐蔽性。
步骤S203,根据IPv6隐身通信授权组件的证书公钥对IPv6报文的载荷进行加密,得到上线连接请求。
其中,可通过加密技术对报文的载荷(例如认证信息、配置请求等)进行加密,只有IPv6隐身通信授权组件才能解密报文内容,确保了即使报文在传输过程中被拦截,信息内容也不会泄露。
上述实施方式中,加强了数据传输过程中的安全性,保证了敏感信息在传输过程中的机密性,并且只有预期的接收者才能访问内容,从而提高了隐私性和安全性。
参照图4,作为步骤S103中控制管理平面内的IPv6隐身通信授权组件对上线连接请求进行验证的步骤包括:
步骤S301,基于第二预设算法,根据IPv6隐身通信授权组件的IPv6前缀、待上线的IPv6隐身终端的证书公钥、IPv6隐身通信授权组件的证书私钥和目标IPv6地址,得到第一时间戳;
其中,上述第二预设算法公式可表示为:g(IPv6隐身通信授权组件的IPv6前缀、待上线的IPv6隐身终端的证书公钥、IPv6隐身通信授权组件的证书私钥和目标IPv6地址);控制IPv6隐身通信授权组件根据目标IPv6地址,使用第二预设算法和相关的密钥信息来重新计算第一时间戳,从而为后续时间戳的比较提供依据;
步骤S302,根据第一时间戳和第二时间戳计算第一时间差值;其中,第二时间戳为IPv6隐身通信授权组件接收到上线连接请求的时间戳;
具体地,第一时间差值即为第一时间戳与第二时间戳之间的时间间隔,用于反映上线连接请求在网络中传输所耗费的时间;
步骤S303,判断第一时间差值是否小于第一预设阈值;若是,则跳转至步骤S304;若否,则跳转至步骤S305;
步骤S304,输出上线连接请求的验证通过结果;
步骤S305,输出上线连接请求的验证失败结果。
其中,第一预设阈值可根据历史经验进行预先配置和调整;通过校验时间戳的时效性,当第一时间差值小于该第一预设阈值时,则确定该请求是在合理的时间窗口内发起的,管理平面即可确认该上线连接请求来自一个合法的且已经登记的IPv6隐身终端;当第一时间差值大于或等于第二预设阈值时,则该请求可能是过时的或者是重放攻击,因此输出验证失败结果。
上述实施方式中,结合动态生成的目标IPv6地址、时间戳验证和密钥技术,为管理平面内的组件提供了一个安全的验证机制,以确保只有被授权的IPv6隐身终端才能够成功上线,这增强了网络的安全性,防止了未经授权的访问,同时也提供了对抗网络扫描和分析攻击的能力。
作为步骤S104的一种实施方式,建立数据平面内的IPv6隐身终端与管理平面之间的IPv6隐身通信互信关系的步骤包括:
控制管理平面的IPv6隐身通信授权组件发送配置信息和访问权限至数据平面内的IPv6隐身终端。
其中,配置信息可以包括网络设置、加密参数、认证信息等,访问权限则定义了终端可以访问的资源和服务范围。
上述实施方式中,确保了数据平面内的IPv6隐身终端的配置一致性和安全性,同时让IPv6隐身终端了解其所拥有的权限,有助于实现细粒度的访问控制。
作为步骤S105的一种实施方式,建立数据平面内上线成功的IPv6隐身终端与其他IPv6隐身终端之间的IPv6隐身通信互信关系的步骤包括:
根据上线成功的IPv6隐身终端的组件证书信息,对数据平面内的IPv6隐身终端信息清单进行更新,并将更新内容分发至数据平面内的其他IPv6隐身终端。
上述实施方式中,新的IPv6隐身终端上线成功后,更新IPv6隐身终端信息清单,并通过已建立的安全通道将更新内容下发给其他终端;通过接收来自管理平面的更新内容,数据平面内的各个IPv6隐身终端之间也建立了互信关系,即每个IPv6隐身终端都具备了其他终端的IPv6前缀和证书公钥信息,可以相互识别和验证,从而实现了终端间的点对点安全通信,无需每次通信都通过管理平面进行中转,提高了通信效率和扩展性。
本申请实施例还公开一种加密通信建立系统。
一种加密通信建立系统,应用于包括管理平面和数据平面的IPv6双平面隐身通信系统,加密通信建立系统包括:
第一建立模块,用于根据管理平面内各个组件的组件证书信息,建立管理平面内各个组件之间的IPv6隐身通信互信关系;
组件证书信息录入模块,用于将数据平面内待上线的IPv6隐身终端的组件证书信息录入至管理平面;
验证控制模块,用于响应于待上线的IPv6隐身终端发送上线连接请求至管理平面,控制管理平面内的IPv6隐身通信授权组件对上线连接请求进行验证;其中,上线连接请求根据IPv6隐身通信授权组件和待上线的IPv6隐身终端的组件证书信息预先配置;
第二建立模块,用于响应于上线连接请求的验证通过结果,确定IPv6隐身终端上线成功,并建立数据平面内的IPv6隐身终端与管理平面之间的IPv6隐身通信互信关系;
第三建立模块,用于根据上线成功的IPv6隐身终端的组件证书信息,建立数据平面内上线成功的IPv6隐身终端与其他IPv6隐身终端之间的IPv6隐身通信互信关系。
上述实施方式中,通过证书信息的登记、加密算法的应用以及互信关系的建立,提供了一套全面的安全防护体系,这个体系能够有效地防止攻击者扫描到系统中的任意一个组件,从而大大提高了整个IPv6通信系统的安全性,解决了管理平面和数据平面的组件之间在所有通信场景下的安全通信问题。
本申请实施例的加密通信建立系统能够实现上述加密通信建立方法的任一种方法,且加密通信建立系统中各个模块的具体工作过程可参考上述方法实施例中的对应过程。
本申请实施例还基于发起方IPv6隐身终端侧公开一种加密通信方法。
参照图5,一种加密通信方法,应用于数据平面内的发起方IPv6隐身终端,在根据上述的加密通信建立方法建立数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系的步骤之后,加密通信方法包括:
步骤S401,响应于待发送的业务访问报文的数据传输请求,随机生成动态密钥因子;
可以理解的是,为了保证每次通信的安全性,发起方IPv6隐身终端在准备发送数据前,首先随机生成一个动态密钥因子,这保证了即使相同的数据被多次发送,每次使用的动态密钥因子也是不同的,从而使得攻击者无法通过分析密钥模式来破解加密,保护了数据传输的安全;
步骤S402,根据动态密钥因子和密钥种子进行不可逆运算,得到动态密钥;
其中,密钥种子根据数据平面内的发起方IPv6隐身终端与接收方IPv6隐身终端的IPv6隐身通信互信关系协商得到;
具体地,密钥因子和密钥种子经单向散列运算生成动态密钥,单向散列运算是一种不可逆的加密过程,即无法从散列值推算出原始输入值,从而保护了动态密钥不被破解。同时,由于每次通信都使用不同的动态密钥因子,即使在多次通信中密钥种子保持不变,最终生成的动态密钥也会不同,这提高了密钥的不可预测性,增加了通信的安全性。
在一些实施例中,当数据平面内的IPv6隐身终端需要建立IPv6隐身通信通道时(例如:在IPv6专网场景中,IPv6隐身终端之间要建立安全通道来传输IPv4/IPv6流量时;或者,在应用发布场景中,用户进行登录操作后就需要访问受保护的应用时),两个IPv6隐身终端通过和步骤S101中相同的方式建立IPv6隐身通信互信关系,并根据该IPv6隐身通信互信关系协商一个密钥种子;在协商过程中,目标IPv6地址是动态生成的,载荷也是加密的,所以具有很强的抗扫描抗攻击抗分析特性,且保证了只有两个IPv6隐身终端双方才知道如何生成和解析动态密钥,确保了密钥的一致性和独特性。
需要说明的是,发起方IPv6隐身终端与接收方IPv6隐身终端在业务访问报文传输时预先配置确定,且该密钥种子只应用于发起方IPv6隐身终端与接收方IPv6隐身终端之间的通信;另外,如果是在用户登录时触发的,则其应用范围进一步缩小为该特定用户终端访问对端IPv6隐身终端时才能使用这个密钥种子。
步骤S403,根据动态密钥对业务访问报文进行加密;
其中,对业务访问报文进行加密,确保传输过程中数据的安全,保护数据不被未授权的第三方读取或篡改;
步骤S404,根据动态密钥因子和第三时间戳生成动态目标IPv6地址;
其中,第三时间戳为发送业务访问报文的时间戳;
可以理解的是,经线性运算混排生成动态目标IPv6地址,不仅隐藏了实际的目标地址,还通过第三时间戳确保了每次通信的地址都是独一无二的,从而增加了对终端位置的保护,防止了攻击者通过目标地址跟踪和定位终端。
步骤S405,根据加密后的业务访问报文和动态目标IPv6地址,生成加密IPv6报文;
其中,整合了加密报文和动态目标地址,形成一个完整的加密IPv6报文,为数据传输提供了双重保护。
步骤S406,将加密IPv6报文发送至接收方IPv6隐身终端。
上述实施方式中,通过动态密钥和动态目标IPv6地址的使用,为数据平面内IPv6隐身终端之间的通信提供了一种高度安全的加密机制,能够有效防止数据泄露、中间人攻击和IP跟踪,从而提高了整个网络通信的安全性和隐私性。
本申请实施例还基于接收方IPv6隐身终端侧公开一种加密通信方法。
参照图6,一种加密通信方法,应用于数据平面内的接收方IPv6隐身终端,在根据上述的加密通信建立方法建立数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系之后,加密通信方法包括:
步骤S501,接收来自发起方IPv6隐身终端发送的加密IPv6报文;其中,加密IPv6报文由发起方IPv6隐身终端应用上述步骤S401到步骤S405的加密通信方法生成;
步骤S502,根据加密IPv6报文的动态目标IPv6地址,解析得到第三时间戳和动态密钥因子;
其中,经线性运算反混排从加密IPv6报文的动态目标IPv6地址中解析出第三时间戳和动态密钥因子,使得接收方能够进行后续的动态密钥生成和报文验证步骤,为解密过程提供了必要的参数;
步骤S503,根据第三时间戳和第四时间戳计算第二时间差值;其中,第四时间戳为接收方IPv6隐身终端接收到加密IPv6报文的时间戳;
具体地,第二时间差值即为第三时间戳与第四时间戳之间的时间间隔,用于反映加密IPv6报文在网络中传输所耗费的时间;
步骤S504,判断第二时间差值是否小于第二预设阈值;若否,则跳转至步骤S505;若是,则跳转至步骤S506;
具体地,步骤S505为:校验不合格,拒绝处理该加密IPv6报文;
其中,第二预设阈值可根据历史经验进行预先配置和调整;判断报文是否在合理的时间内到达,从而能够检测和防止重放攻击,提高通信安全性;
步骤S506,根据动态密钥因子和密钥种子进行不可逆运算生成动态密钥;
其中,若时间差值验证通过,接收方与发起方使用相同的方法,经单向散列运算生成动态密钥,确保了接收方能够正确生成与发起方相同的密钥,从而能够解密报文;
步骤S507,根据动态密钥对加密IPv6报文进行解密,得到业务访问报文;
其中,解密得到业务访问报文,使接收方能够获得原始的业务数据,从而完成了加密通信的解密过程;
步骤S508,基于预设目标IPv6地址,将业务访问报文进行发送。
其中,预设目标IPv6地址可以是预先配置的应用地址,根据管理平台下发参数得到;预设目标IPv6地址也可以是嵌入业务访问报文里的原始目标地址,根据业务访问报文可直接得到。
上述实施方式中,为接收方IPv6隐身终端提供了一套完整的接收处理流程,不仅确保了数据的机密性和完整性,还提供了对时效性的验证,通过将解密后的业务访问报文发送至预设目标IPv6地址,确保了业务数据能够被正确地发送到目的地,完成了加密通信的最后一步。
本申请实施例还基于发起方IPv6隐身终端侧公开一种加密通信系统。
一种加密通信系统,应用于数据平面内的发起方IPv6隐身终端,数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系应用上述的加密通信建立方法建立,加密通信系统包括:
动态密钥因子生成模块,用于响应于待发送的业务访问报文的数据传输请求,随机生成动态密钥因子;
动态密钥生成模块,用于根据动态密钥因子和密钥种子进行不可逆运算,得到动态密钥;其中,密钥种子根据数据平面内的发起方IPv6隐身终端与接收方IPv6隐身终端的IPv6隐身通信互信关系协商得到;
报文加密模块,用于根据动态密钥对业务访问报文进行加密;
动态目标IPv6地址生成模块,用于根据动态密钥因子和第三时间戳生成动态目标IPv6地址;其中,第三时间戳为发送业务访问报文的时间戳;
加密IPv6报文生成模块,用于根据加密后的业务访问报文和动态目标IPv6地址,生成加密IPv6报文;
加密IPv6报文发送模块,用于将加密IPv6报文发送至接收方IPv6隐身终端。
上述实施方式中,通过动态密钥和动态目标IPv6地址的使用,为数据平面内IPv6隐身终端之间的通信提供了一种高度安全的加密机制,能够有效防止数据泄露、中间人攻击和IP跟踪,从而提高了整个网络通信的安全性和隐私性。
本申请实施例还基于接收方IPv6隐身终端侧公开一种加密通信系统。
一种加密通信系统,应用于数据平面内的接收方IPv6隐身终端,数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系应用上述的加密通信建立方法建立,加密通信系统包括:
加密IPv6报文接收模块,用于接收来自发起方IPv6隐身终端发送的加密IPv6报文;其中,加密IPv6报文由发起方IPv6隐身终端应用上述步骤S401到步骤S405的加密通信方法生成;
解析模块,用于根据加密IPv6报文的动态目标IPv6地址,解析得到第三时间戳和动态密钥因子;
第二时间差值计算模块,用于根据第三时间戳和第四时间戳计算第二时间差值;其中,第四时间戳为接收方IPv6隐身终端接收到加密IPv6报文的时间戳;
判断模块,用于判断第二时间差值是否小于第二预设阈值;若是,则输出校验通过结果;
动态密钥生成模块,用于响应于校验通过结果,根据动态密钥因子和密钥种子进行不可逆运算生成动态密钥;
业务访问报文生成模块,用于根据动态密钥对加密IPv6报文进行解密,得到业务访问报文;
业务访问报文发送模块,用于基于预设目标IPv6地址,将业务访问报文进行发送。
上述实施方式中,为接收方IPv6隐身终端提供了一套完整的接收处理流程,不仅确保了数据的机密性和完整性,还提供了对时效性的验证,通过将解密后的业务访问报文发送至预设目标IPv6地址,确保了业务数据能够被正确地发送到目的地,完成了加密通信的最后一步。
本申请实施例的加密通信系统能够实现上述加密通信方法的任一种方法,且加密通信系统中各个模块的具体工作过程可参考上述方法实施例中的对应过程。
在本申请所提供的几个实施例中,应该理解到,所提供的方法和系统,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的;例如,某个模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
需要说明的是,在上述实施例中,对各个实施例的描述各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,本说明书(包括摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。

Claims (10)

1.一种加密通信建立方法,其特征在于,应用于包括管理平面和数据平面的IPv6双平面隐身通信系统,所述加密通信建立方法包括:
根据所述管理平面内各个组件的组件证书信息,建立所述管理平面内各个组件之间的IPv6隐身通信互信关系;
将所述数据平面内待上线的IPv6隐身终端的组件证书信息录入至所述管理平面;
响应于所述待上线的IPv6隐身终端发送上线连接请求至所述管理平面,控制所述管理平面内的IPv6隐身通信授权组件对所述上线连接请求进行验证;其中,所述上线连接请求根据所述IPv6隐身通信授权组件和所述待上线的IPv6隐身终端的组件证书信息预先配置;
响应于所述上线连接请求的验证通过结果,确定所述IPv6隐身终端上线成功,并建立所述数据平面内的IPv6隐身终端与所述管理平面之间的IPv6隐身通信互信关系;
根据所述上线成功的IPv6隐身终端的组件证书信息,建立所述数据平面内所述上线成功的IPv6隐身终端与其他IPv6隐身终端之间的IPv6隐身通信互信关系。
2.根据权利要求1所述的一种加密通信建立方法,其特征在于,所述方法还包括所述上线连接请求的配置步骤,所述配置步骤包括:
基于第一预设算法,根据所述IPv6隐身通信授权组件的IPv6前缀、所述待上线的IPv6隐身终端的证书私钥、所述IPv6隐身通信授权组件的证书公钥和第一时间戳,生成目标IPv6地址;其中,所述第一时间戳为发送所述上线连接请求的时间戳;
根据所述目标IPv6地址生成IPv6报文;
根据所述IPv6隐身通信授权组件的证书公钥对所述IPv6报文的载荷进行加密,得到所述上线连接请求。
3.根据权利要求2所述的一种加密通信建立方法,其特征在于,控制所述管理平面内的IPv6隐身通信授权组件对所述上线连接请求进行验证的步骤包括:
基于第二预设算法,根据所述IPv6隐身通信授权组件的IPv6前缀、所述待上线的IPv6隐身终端的证书公钥、所述IPv6隐身通信授权组件的证书私钥和所述目标IPv6地址,得到所述第一时间戳;
根据所述第一时间戳和第二时间戳计算第一时间差值;其中,所述第二时间戳为所述IPv6隐身通信授权组件接收到所述上线连接请求的时间戳;
判断所述第一时间差值是否小于第一预设阈值;若是,则输出所述上线连接请求的验证通过结果;若否,则输出所述上线连接请求的验证失败结果。
4.根据权利要求1所述的一种加密通信建立方法,其特征在于,所述建立所述数据平面内的IPv6隐身终端与所述管理平面之间的IPv6隐身通信互信关系的步骤包括:
控制所述管理平面的IPv6隐身通信授权组件发送配置信息和访问权限至所述数据平面内的IPv6隐身终端。
5.根据权利要求1到4任一所述的一种加密通信建立方法,其特征在于,建立所述数据平面内所述上线成功的IPv6隐身终端与其他IPv6隐身终端之间的IPv6隐身通信互信关系的步骤包括:
根据所述上线成功的IPv6隐身终端的组件证书信息,对所述数据平面内的IPv6隐身终端信息清单进行更新,并将更新内容分发至所述数据平面内的其他IPv6隐身终端。
6.一种加密通信方法,其特征在于,应用于数据平面内的发起方IPv6隐身终端,在根据权利要求1-5任一所述的加密通信建立方法建立数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系的步骤之后,所述加密通信方法包括:
响应于待发送的业务访问报文的数据传输请求,随机生成动态密钥因子;
根据所述动态密钥因子和密钥种子进行不可逆运算,得到动态密钥;其中,所述密钥种子根据所述数据平面内的发起方IPv6隐身终端与接收方IPv6隐身终端的IPv6隐身通信互信关系协商得到;
根据所述动态密钥对所述业务访问报文进行加密;
根据所述动态密钥因子和第三时间戳生成动态目标IPv6地址;其中,所述第三时间戳为发送业务访问报文的时间戳;
根据所述加密后的所述业务访问报文和所述动态目标IPv6地址,生成加密IPv6报文;
将所述加密IPv6报文发送至所述接收方IPv6隐身终端。
7.一种加密通信方法,其特征在于,应用于数据平面内的接收方IPv6隐身终端,在根据权利要求1-5任一所述的加密通信建立方法建立数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系的步骤之后,所述加密通信方法包括:
接收来自发起方IPv6隐身终端发送的加密IPv6报文;其中,所述加密IPv6报文由发起方IPv6隐身终端应用权利要求6所述的加密通信方法生成;
根据所述加密IPv6报文的动态目标IPv6地址,解析得到第三时间戳和动态密钥因子;
根据所述第三时间戳和第四时间戳计算第二时间差值;其中,所述第四时间戳为所述接收方IPv6隐身终端接收到所述加密IPv6报文的时间戳;
判断所述第二时间差值是否小于第二预设阈值;
若是,则根据所述动态密钥因子和密钥种子进行不可逆运算生成所述动态密钥;
根据所述动态密钥对所述加密IPv6报文进行解密,得到业务访问报文;
基于预设目标IPv6地址,将所述业务访问报文进行发送。
8.一种加密通信建立系统,其特征在于,应用于包括管理平面和数据平面的IPv6双平面隐身通信系统,所述加密通信建立系统包括:
第一建立模块,用于根据所述管理平面内各个组件的组件证书信息,建立所述管理平面内各个组件之间的IPv6隐身通信互信关系;
组件证书信息录入模块,用于将所述数据平面内待上线的IPv6隐身终端的组件证书信息录入至所述管理平面;
验证控制模块,用于响应于所述待上线的IPv6隐身终端发送上线连接请求至所述管理平面,控制所述管理平面内的IPv6隐身通信授权组件对所述上线连接请求进行验证;其中,所述上线连接请求根据所述IPv6隐身通信授权组件和所述待上线的IPv6隐身终端的组件证书信息预先配置;
第二建立模块,用于响应于所述上线连接请求的验证通过结果,确定所述IPv6隐身终端上线成功,并建立所述数据平面内的IPv6隐身终端与所述管理平面之间的IPv6隐身通信互信关系;
第三建立模块,用于根据所述上线成功的IPv6隐身终端的组件证书信息,建立所述数据平面内所述上线成功的IPv6隐身终端与其他IPv6隐身终端之间的IPv6隐身通信互信关系。
9.一种加密通信系统,其特征在于,应用于数据平面内的发起方IPv6隐身终端,所述数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系应用权利要求1-5任一所述的加密通信建立方法建立,所述加密通信系统包括:
动态密钥因子生成模块,用于响应于待发送的业务访问报文的数据传输请求,随机生成动态密钥因子;
动态密钥生成模块,用于根据所述动态密钥因子和密钥种子进行不可逆运算,得到动态密钥;其中,所述密钥种子根据所述数据平面内的发起方IPv6隐身终端与接收方IPv6隐身终端的IPv6隐身通信互信关系协商得到;
报文加密模块,用于根据所述动态密钥对所述业务访问报文进行加密;
动态目标IPv6地址生成模块,用于根据所述动态密钥因子和第三时间戳生成动态目标IPv6地址;其中,所述第三时间戳为发送业务访问报文的时间戳;
加密IPv6报文生成模块,用于根据所述加密后的所述业务访问报文和所述动态目标IPv6地址,生成加密IPv6报文;
加密IPv6报文发送模块,用于将所述加密IPv6报文发送至所述接收方IPv6隐身终端。
10.一种加密通信系统,其特征在于,应用于数据平面内的接收方IPv6隐身终端,所述数据平面内IPv6隐身终端之间的IPv6隐身通信互信关系应用权利要求1-5任一所述的加密通信建立方法建立,所述加密通信系统包括:
加密IPv6报文接收模块,用于接收来自发起方IPv6隐身终端发送的加密IPv6报文;所述加密IPv6报文由发起方IPv6隐身终端应用权利要求6所述的加密通信方法生成;
解析模块,用于根据所述加密IPv6报文的动态目标IPv6地址,解析得到第三时间戳和动态密钥因子;
第二时间差值计算模块,用于根据所述第三时间戳和第四时间戳计算第二时间差值;其中,所述第四时间戳为所述接收方IPv6隐身终端接收到所述加密IPv6报文的时间戳;
判断模块,用于判断所述第二时间差值是否小于第二预设阈值;若是,则输出校验通过结果;
动态密钥生成模块,用于响应于所述校验通过结果,根据所述动态密钥因子和密钥种子进行不可逆运算生成所述动态密钥;
业务访问报文生成模块,用于根据所述动态密钥对所述加密IPv6报文进行解密,得到业务访问报文;
业务访问报文发送模块,用于基于预设目标IPv6地址,将所述业务访问报文进行发送。
CN202410386255.XA 2024-04-01 2024-04-01 一种加密通信建立方法及系统和加密通信方法及系统 Pending CN118075021A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410386255.XA CN118075021A (zh) 2024-04-01 2024-04-01 一种加密通信建立方法及系统和加密通信方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410386255.XA CN118075021A (zh) 2024-04-01 2024-04-01 一种加密通信建立方法及系统和加密通信方法及系统

Publications (1)

Publication Number Publication Date
CN118075021A true CN118075021A (zh) 2024-05-24

Family

ID=91097112

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410386255.XA Pending CN118075021A (zh) 2024-04-01 2024-04-01 一种加密通信建立方法及系统和加密通信方法及系统

Country Status (1)

Country Link
CN (1) CN118075021A (zh)

Similar Documents

Publication Publication Date Title
US9654453B2 (en) Symmetric key distribution framework for the Internet
US8082574B2 (en) Enforcing security groups in network of data processors
Ahmed et al. IPv6 neighbor discovery protocol specifications, threats and countermeasures: a survey
US8862871B2 (en) Network with protocol, privacy preserving source attribution and admission control and method
CA2422334C (en) Authentication of network users
US20070186281A1 (en) Securing network traffic using distributed key generation and dissemination over secure tunnels
US11799844B2 (en) Secure communication network
EP2329621B1 (en) Key distribution to a set of routers
CN102710605A (zh) 一种云制造环境下的信息安全管控方法
US20180115520A1 (en) Dark virtual private networks and secure services
CN110493367B (zh) 无地址的IPv6非公开服务器、客户机与通信方法
Nowaczewski et al. Securing Future Internet and 5G using Customer Edge Switching using DNSCrypt and DNSSEC.
US20060190723A1 (en) Payload layer security for file transfer
CN111935213A (zh) 一种基于分布式的可信认证虚拟组网系统及方法
Wang et al. Analyzing the attack landscape of Zigbee-enabled IoT systems and reinstating users' privacy
US20080104693A1 (en) Transporting keys between security protocols
JP4720576B2 (ja) ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。
CN116915486B (zh) 一种云服务通信系统
CN118075021A (zh) 一种加密通信建立方法及系统和加密通信方法及系统
US20080222693A1 (en) Multiple security groups with common keys on distributed networks
KR102059150B1 (ko) IPsec 가상 사설 네트워크 시스템
CN113890761A (zh) 一种面向分区操作系统的轻量级安全通信方法及系统
Jiang et al. Security‐Oriented Network Architecture
CN111885055B (zh) 一种通信方法及装置
LU505533B1 (en) Method for secure transmission strategy management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination