CN115567208A - 网络会话数据流细粒度透明加解密方法及*** - Google Patents
网络会话数据流细粒度透明加解密方法及*** Download PDFInfo
- Publication number
- CN115567208A CN115567208A CN202211198397.0A CN202211198397A CN115567208A CN 115567208 A CN115567208 A CN 115567208A CN 202211198397 A CN202211198397 A CN 202211198397A CN 115567208 A CN115567208 A CN 115567208A
- Authority
- CN
- China
- Prior art keywords
- flow table
- data flow
- encryption
- key
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 81
- 238000012545 processing Methods 0.000 claims abstract description 128
- 238000004891 communication Methods 0.000 claims description 34
- 238000002347 injection Methods 0.000 claims description 20
- 239000007924 injection Substances 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 15
- 238000012795 verification Methods 0.000 claims description 15
- 239000003795 chemical substances by application Substances 0.000 claims description 11
- 230000004048 modification Effects 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 230000003068 static effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 238000007792 addition Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种网络会话数据流细粒度透明加解密方法及***,包括对出站的网络会话数据报文按照其五元组信息匹配数据流表,若匹配成功,基于数据流表对网络会话数据报文进行处理后发送至接收方;若未匹配成功,从网络会话数据报文提取五元组信息,生成数据流表请求消息并发送至管控平台,以使管控平台基于数据流表请求消息和安全策略,生成数据流表分发消息并分发同一安全域内的各加密网关;基于数据流表分发消息,获取新建数据流表,得到新的数据流表信息;根据新的数据流表信息对网络会话数据报文进行处理后发送至接收方。本发明实现数据透明加解密,适用于对加密网关及其保护的网络会话数据流进行集中安全策略管理和密钥分发的场景。
Description
技术领域
本发明涉及密码应用技术领域,具体涉及一种网络会话数据流细粒度透明加解密方法及***。
背景技术
网络会话的概念,一般是指网络数据报文的五元组,即源和目的IP地址、协议号、源和目的传输层端口号所唯一确定的网络连接,网络会话数据流即由网络会话的五元组所唯一确定的网络数据流。网络会话和网络会话数据流具备一定的生命周期,在该会话所关联的用户网络业务存续期间存在,并在所关联的用户网络业务终止后关闭或销毁。
目前各分支机构的局域网互联互通都是通过VPN设备之类的加密网关建立安全加密通道进行,同一安全域内不同的加密网关从同一个证书机构签发数字证书,之后就可以采用IKE等密钥交换协议来自主协商数据通信使用的会话密钥进而进行数据加密通信,这种模式存在以下问题:
(1)加密网关之间可以基于数字证书自主进行密钥协商,中心管控力度低,只能通过访问控制策略下发等手段进行通信管控,无法做到强制访问控制。
(3)需要有可以直接进行密钥协商的通信信道,这对于NAT等复杂网络环境在实现上有较大难度,特别是对于通信两端的网关都需要进行NAT之后才能上网的情况。
(4)协商过程较为复杂,有一定的计算和通信代价,因此产生的会话密钥一般会使用一段时间,从安全性上来讲无法做到一次一密。
(5)密钥协商的过程基于非对称密钥对和数字证书,用于加密传送会话密钥素材的公钥是公开的,若量子计算机计算能力提升,存在被破译的可能性,从而导致需传递的会话密钥被破译窃取。
相关技术中,公布号为CN114338019A的中国发明专利文献记载了一种基于量子密钥分发的网络通信方法、***、装置及存储介质,方法包括:用户设备上的终端代理向网关发送动态端口请求;网关基于动态端口请求向量子密钥分发服务器发送量子随机数请求;量子密钥分发服务器基于量子随机数请求生成一对量子随机数,并将一个发给终端代理,另一个发给网关,以触发终端代理和网关基于量子随机数确定同一动态端口号;终端代理和网关在动态端口号对应的端口上进行数据通信以获取目标数据资源。该方案主要特点为:(1)基于量子随机数产生用户终端访问网关的动态端口;(2)基于预存量子密钥一包一密加密保护用户终端和网关之间的通信。
公布号为CN107566115A的中国发明专利文献记载了一种密钥配置方法,会话管理网元接收端到端的通信的请求并获取安全策略,安全策略依据归属用户服务器中预置的所述用户设备的用户安全需求、来自所述用户设备的业务安全需求、所述用户设备支持的安全能力需求、来自运营商网络的安全能力需求和所述端到端的通信的另一端设备的安全需求的至少一种确定。会话管理网元获取用于对所述端到端的通信进行保护的保护密钥,所述保护密钥依据所述安全策略以及所述用户设备与所述运营商网络之间的共享密钥确定。会话管理网元向端到端的通信的两端的设备发送安全策略和/或保护密钥。
发明内容
本发明所要解决的技术问题在于如何实现网络会话数据流透明加解密。
本发明通过以下技术手段实现解决上述技术问题的:
第一方面,本发明提出了一种网络会话数据流细粒度透明加解密方法,所述方法应用于加密网关,所述加密网关中建立有主密钥池,所述主密钥池中存储有与所述加密网关所在安全域对应的主密钥,包括以下步骤:
对出站的网络会话数据报文按照其五元组信息匹配数据流表,所述数据流表的结构包括五元组信息、处理策略、加密偏移量、加密算法和会话密钥;
若匹配成功,则基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
若未匹配成功,则从所述网络会话数据报文中提取五元组信息,并基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息;
向管控平台发送所述数据流表请求消息,以使所述管控平台基于所述数据流表请求消息和安全策略,生成数据流表分发消息并分发同一安全域内的各加密网关;
基于所述数据流表分发消息,获取新建数据流表,并将所述新建数据流表的内容填入本设备的数据流表,得到新的数据流表信息;
根据新的数据流表信息对所述网络会话数据报文进行处理后发送至所述接收方。
本发明中加密网关根据管控平台基于安全策略和实际五元组信息产生的流表,使用实时在线分发的会话密钥对数据流进行加解密处理,且对单播数据报文进行透明加解密,不增加任何额外数据和业务数据流量,不新增报文头,具备良好的网络适应性;所采用的集中在线分发会话密钥的方式,并和细粒度安全策略相结合,实现软件定义量子密钥分发,适用于对安全域内的加密网关及其保护的网络会话数据流进行集中安全策略管理和密钥分发的场景。
进一步地,所述处理策略包括明通、丢弃和密通,所述若匹配成功,则基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方,包括:
若匹配到所述数据流表的处理策略为密通,则采用所述数据流表对应的所述会话密钥和所述加密算法对所述网络会话数据报文加密偏移量后的部分进行不变长度的透明加密处理后发送至所述接收方;
若匹配到所述数据流表的处理策略为明通,则直接转发所述网络会话数据至所述接收方;
若匹配到所述数据流表的处理策略为丢弃,则直接丢弃所述网络会话数据报文。
进一步地,在所述基于所述五元组信息、从所述主密钥池中随机取出的主密钥ID和其所在安全域ID,生成数据流表请求消息之后,所述方法还包括:
从所述主密钥池中取出与所述主密钥ID对应的主密钥,并利用该主密钥对所述数据流表请求消息中的五元组信息做HMAC运算后发送至所述管控平台。
进一步地,所述基于所述数据流表分发消息,获取新建数据流表,包括:
从所述主密钥池中选取与主密钥ID对应的主密钥,并利用该主密钥对所述数据流表分发消息进行解密和完整性校验;
在校验通过时,将解密得到的新建数据流表填入本设备的数据流表。
进一步地,所述方法还包括:
为所述数据流表中的表项设置超时时间;
当存在所述数据流表中的表项在超时时间内未被访问,则删除所述表项。
进一步地,在所述基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方之前,所述方法还包括:
判断所述网络会话数据报文是否包含动态端口协议报文;
若否,则执行所述基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
若是,则对所述动态端口协议报文进行分析,提取动态端口协议对应的五元组信息;
基于所述动态端口协议对应的五元组信息,建立动态端口协议数据对应的数据流表。
进一步地,所述方法还包括:
向所述管控平台发送注册请求,以绑定到相应的安全域,所述安全域由所述管控平台划分;
向所述管控平台发送密钥充注请求,以使所述管控平台将所述密钥充注请求转发至所述量子密钥分发网络,所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息;
通过密钥代理或量子网络节点,向加密网关所连接的安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同;
从所连接的所述安全存储介质读取主密钥,建立所述主密钥池。
第二方面,本发明提出了一种网络会话数据流细粒度透明加解密方法,所述方法应用于管控平台,包括以下步骤:
接收加密网关发送的数据流表请求消息,所述数据流表请求消息携带信息包括网络会话数据报文的五元组信息、主密钥ID和该加密网关所在安全域ID;
根据所述五元组信息,进行所述安全域ID对应的安全策略表的匹配;
若安全策略表匹配成功,则从量子密钥分发网络申请量子密钥作为会话密钥,并结合所述会话密钥和所匹配的安全策略对由所述五元组信息确定的数据流建立第一数据流表;
若安全策略表匹配未成功,则基于默认的安全策略对由所述五元组信息确定的数据流建立第二数据流表;
基于所述第一数据流表或所述第二数据流表,生成数据流表分发消息,并分发至同一安全域内的各加密网关。
进一步地,所述第一数据流表的结构包括五元组信息、加密偏移量、加密算法、会话密钥和处理策略,且所述处理策略为密通。
进一步地,所述第二数据流表的结构包括五元组信息、加密偏移量、加密算法、会话密钥和处理策略,所述处理策略为明通或丢弃,且所述五元组信息、加密偏移量、加密算法及会话密钥为空。
进一步地,所述安全策略表中每条表项的内容包括源IP地址、目的IP地址、相应子网掩码或地址前缀、或源和目的IP地址范围、该安全策略表所关联的加密网关设备的ID及IP地址、协议号、端口范围、处理策略、加密偏移量、加密算法以及会话密钥。
进一步地,所述基于所述第一数据流表或所述第二数据流表,生成数据流表分发消息,并分发至同一安全域内的各加密网关,包括:
将所述第一数据流表或第二数据流表结合主密钥ID及安全域ID,构成所述数据流表分发消息;
从量子密钥分发网络中获取所述安全域ID和所述安全域ID对应的主密钥,并利用该主密钥对所述数据流表分发消息进行加密和HMAC运算后分发至同一安全域内的各加密网关。
进一步地,所述方法还包括:
接受所述加密网关发送的注册请求,以将所述加密网关绑定到相应的安全域,所述安全域由所述管控平台划分;
接收所述加密网关发送的密钥充注请求,并将所述密钥充注请求转发至量子密钥分发网络,以使所述量子密钥分发网络向所述加密网关所连接的安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同,所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息。
第三方面,本发明提出了一种网络会话数据流细粒度透明加解密网关,所述网关包括数据加解密处理模块、流表管理模块、流表申请模块和密钥注入模块,所述密钥注入模块连接有安全存储介质,所述安全存储介质中存储经量子密钥分发网络预先充注的主密钥,其中:
所述密钥注入模块,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述流表管理模块,用于对出站的网络会话数据报文按照其五元组信息匹配数据流表,所述数据流表的结构包括五元组信息、处理策略、加密偏移量、加密算法和会话密钥;
所述数据加解密处理模块,用于在匹配成功时,基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
所述流表申请模块,用于在未匹配成功时,从所述网络会话数据报文中提取五元组信息,并基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息;并向管控平台发送所述数据流表请求消息,以使所述管控平台基于所述数据流表请求消息生成数据流表分发消息并分发同一安全域内的各加密网关;
所述流表管理模块,还用于基于所述数据流表分发消息,获取新建数据流表,并将所述新建数据流表的内容填入本设备的数据流表,得到新的数据流表信息;
所述数据加解密处理模块,还用于根据新的数据流表信息对所述网络会话数据报文进行处理后发送至所述接收方。
第四方面,本发明提出了一种管控平台,所述管控平台包括:
流表请求信息接收模块,用于接收加密网关发送的数据流表请求消息,所述数据流表请求消息携带信息包括网络会话数据报文的五元组信息、主密钥ID和该加密网关所在安全域ID;
安全策略匹配模块,用于根据所述五元组信息,进行所述安全域ID对应的安全策略表的匹配;
第一数据流表建立模块,用于在安全策略表匹配成功时,从量子密钥分发网络申请量子密钥作为会话密钥,并结合所述会话密钥和所匹配的安全策略对由所述五元组信息确定的数据流建立第一数据流表;
第二数据流表建立模块,用于在安全策略表匹配未成功时,基于默认的安全策略对由所述五元组信息确定的数据流建立第二数据流表;
分发模块,用于基于所述第一数据流表或所述第二数据流表,生成数据流表分发消息,并分发至同一安全域内的各加密网关。
第五方面,本发明提出了一种网络会话数据流细粒度透明加解密***,所述***包括第一加密网关、第二加密网关、管控平台和量子密钥分发网络,所述第一加密网关、所述第二加密网关和所述量子密钥分发网络均与管控平台连接,所述第一加密网关和所述第二加密网关均与所述量子密钥分发网络连接,其中,所述第一加密网关和所述第二加密网关均包括数据加解密处理模块、流表管理模块、流表申请模块和密钥注入模块,所述密钥注入模块连接有安全存储介质,所述安全存储介质中存储经量子密钥分发网络预先充注的主密钥,其中:
所述管控平台,用于进行安全域划分,以及对所述第一加密网关和所述第二加密网关的进行注册和身份绑定服务;
所述量子密钥分发网络,用于向所述安全存储介质预充注主密钥;
所述密钥注入模块,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述流表管理模块,用于对出站的网络会话数据报文按照其五元组信息匹配数据流表,所述数据流表的结构包括五元组信息、处理策略、加密偏移量、加密算法和会话密钥;
所述数据加解密处理模块,用于在匹配成功时,基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
所述流表申请模块,用于在未匹配成功时,从所述网络会话数据报文中提取五元组信息,并基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息;并向管控平台发送所述数据流表请求消息,以使所述管控平台基于所述数据流表请求消息生成数据流表分发消息并分发同一安全域内的各加密网关;
所述流表管理模块,还用于基于所述数据流表分发消息,获取新建数据流表,并将所述新建数据流表的内容填入本设备的数据流表,得到新的数据流表信息;
所述数据加解密处理模块,还用于根据新的数据流表信息对所述网络会话数据报文进行处理后发送至所述接收方。
本发明的优点在于:
(1)本发明中加密网关根据管控平台基于安全策略和实际五元组信息产生的流表,使用实时在线分发的会话密钥对数据流进行加解密处理,且对单播数据报文进行透明加解密,不增加任何额外数据和业务数据流量,不新增报文头,具备良好的网络适应性;所采用的集中在线分发会话密钥的方式,并和细粒度安全策略相结合,实现软件定义量子密钥分发,适用于对安全域内的加密网关及其保护的网络会话数据流进行集中安全策略管理和密钥分发的场景。
(2)本发明中安全策略定义一类数据流,数据流表描述具体的一条数据流,流表基于静态的安全策略并结合实际数据流的信息动态产生,实现了软件定义方式的加密通信和集中访问控制,具有较高的安全性和扩展性。
(3)本发明与基于公钥密码进行密钥协商的技术不同,构造了基于量子密钥分发网络和软件定义安全策略模式下集中分发会话密钥的网络数据加密方案,实现了网络数据加密通信的集中统一强管控。
(4)解决了加密网关不直接交互密钥和安全策略信息情况下的安全互通问题,实现了传统基于非对称密码和IPSec协议无法解决的免握手网络通信透明加解密方案,规避了握手过程的安全风险以及对数据报文结构的修改,可显著减少网络数据加解密涉及到的密钥管理的相关交互信息,增强了网络适应性。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一实施例中网络会话数据流细粒度透明加解密方法的流程示意图;
图2是本发明第二实施例中网络会话数据流细粒度透明加解密方法的流程示意图;
图3是本发明第三实施例中网络会话数据流细粒度透明加解密网关的结构示意图;
图4是本发明第四实施例中管控平台的结构示意图;
图5是本发明第五实施例中网络会话数据流细粒度透明加解密***的结构示意图;
图6是本发明第六实施例中网络会话数据流细粒度透明加解密***的工作流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本发明第一实施例提出了一种网络会话数据流细粒度透明加解密方法,所述方法应用于加密网关,所述加密网关中建立有主密钥池,所述主密钥池中存储有与所述加密网关所在安全域对应的主密钥,包括以下步骤:
S101、对出站的网络会话数据报文按照其五元组信息匹配数据流表,所述数据流表的结构包括五元组信息、处理策略、加密偏移量、加密算法和会话密钥,并在匹配成功时执行步骤S102,在未匹配成功时执行步骤S103;
S102、基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
S103、从所述网络会话数据报文中提取五元组信息,并基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息;
S104、向管控平台发送所述数据流表请求消息,以使所述管控平台基于所述数据流表请求消息和安全策略,生成数据流表分发消息并分发同一安全域内的各加密网关;
S105、基于所述数据流表分发消息,获取新建数据流表,并将所述新建数据流表的内容填入本设备的数据流表,得到新的数据流表信息;
S106、根据新的数据流表信息对所述网络会话数据报文进行处理后发送至所述接收方。
本实施例中加密网关根据管控平台基于安全策略和实际五元组信息产生的流表,使用实时在线分发的会话密钥对数据流进行加解密处理,且对单播数据报文进行透明加解密,不增加任何额外数据和业务数据流量,不新增报文头,具备良好的网络适应性;所采用的集中在线分发会话密钥的方式,并和细粒度安全策略相结合,实现软件定义量子密钥分发,适用于对安全域内的加密网关及其保护的网络会话数据流进行集中安全策略管理和密钥分发的场景。
与公开号为CN107566115A所记载的方案相比,本实施例中实际用于加密的安全策略是基于实际数据流的五元组结合管控中心安全策略动态产生,一个五元组确定的数据流拥有一个加密的安全策略和和会话密钥。管控中心的安全策略是针对一类数据而不是一条具体的数据流;每一条用于加密具体数据流的安全策略是在安全域内的各设备共享,不需要确定目的设备。
需要说明的是,本实施例针对的是通用的单播数据,采用五元组定义流表项,并基于集中化的安全策略动态建立流表项,流表项和安全策略的结合比组播数据策略更加复杂。
在一实施例中,所述处理策略包括明通、丢弃和密通,所述步骤S102:基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方,包括以下步骤:
若匹配到所述数据流表的处理策略为密通,则采用所述数据流表对应的所述会话密钥和所述加密算法对所述网络会话数据报文加密偏移量后的部分进行不变长度的透明加密处理后发送至所述接收方,其中,加密算法为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分);
若匹配到所述数据流表的处理策略为明通,则直接转发所述网络会话数据至所述接收方;
若匹配到所述数据流表的处理策略为丢弃,则直接丢弃所述网络会话数据报文。
进一步地,所述步骤S103中,基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息,具体包括:缓存所述网络会话数据报文,并提取其五元组信息(源和目的IP地址、协议号、源和目的传输层端口号),结合随机选取主密钥ID和安全域ID构成流表请求消息。
在一实施例中,所述步骤S103中,基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息之后,还包括以下步骤:
从所述主密钥池中取出与所述主密钥ID对应的主密钥,并利用该主密钥对所述数据流表请求消息中的五元组信息做HMAC运算后发送至所述管控平台。
在一实施例中,所述步骤S105中,基于所述数据流表分发消息,获取新建数据流表,具体包括:
从所述主密钥池中选取与主密钥ID对应的主密钥,并利用该主密钥对所述数据流表分发消息进行解密和完整性校验;
在校验通过时,将解密得到的新建数据流表填入本设备的数据流表。
应当理解的是,若校验未通过,则终止本次会话。
在一实施例中,所述方法还包括以下步骤:
为所述数据流表中的表项设置超时时间;
当存在所述数据流表中的表项在超时时间内未被访问,则删除所述表项。
在一实施例中,在所述步骤S102中,基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方之前,所述方法还包括以下步骤:
判断所述网络会话数据报文是否包含动态端口协议报文;
若否,则执行所述基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
若是,则对所述动态端口协议报文进行分析,提取动态端口协议对应的五元组信息;
基于所述动态端口协议对应的五元组信息,建立动态端口协议数据对应的数据流表。
需要说明的是,动态端口协议数据对应的数据流表除五元组以外的内容与控制协议报文对应的流表项相同,从而对此类动态端口协议的数据连接执行和控制连接相同的处理策略(密通或明通)。
需要说明的是,所述步骤S106中,作为接收方的加密网关接收到入站的网络会话数据报文后,加密网关设备节点对入站的数据报文按照其五元组(源和目的IP地址、协议号、源和目的传输层端口号)匹配流表项,根据流表信息对匹配该流表项的数据流进行解密或明通/丢弃处理,如无匹配的流表项则丢弃该数据报文。
在一实施例中,所述方法还包括以下步骤:
向所述管控平台发送注册请求,以绑定到相应的安全域,所述安全域由所述管控平台划分;
向所述管控平台发送密钥充注请求,以使所述管控平台将所述密钥充注请求转发至所述量子密钥分发网络,所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息;
通过密钥代理或量子网络节点,向加密网关所连接的安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同;
从所连接的所述安全存储介质读取主密钥,建立所述主密钥池。
需要说明的是,本实施例与基于公钥密码进行密钥协商的技术不同,构造了基于量子密钥分发网络和软件定义安全策略模式下集中分发会话密钥的网络数据加密方案,实现了网络数据加密通信的集中统一强管控。
并且解决了加密网关不直接交互密钥和安全策略信息情况下的安全互通问题,实现了传统基于非对称密码和IPSec协议无法解决的免握手网络通信透明加解密方案,规避了握手过程的安全风险以及对数据报文结构的修改,可显著减少网络数据加解密涉及到的密钥管理的相关交互信息,增强了网络适应性。
实施例2
如图2所示,本发明第二实施例提出了一种网络会话数据流细粒度透明加解密方法,所述方法应用于管控平台,包括以下步骤:
S201、接收加密网关发送的数据流表请求消息,所述数据流表请求消息携带信息包括网络会话数据报文的五元组信息、主密钥ID和该加密网关所在安全域ID;
S202、根据所述五元组信息,进行所述安全域ID对应的安全策略表的匹配,在匹配成功时执行步骤S203,在未匹配成功时执行步骤S204;
S203、从量子密钥分发网络申请量子密钥作为会话密钥,并结合所述会话密钥和所匹配的安全策略对由所述五元组信息确定的数据流建立第一数据流表;
S204、基于默认的安全策略对由所述五元组信息确定的数据流建立第二数据流表;
S205、基于所述第一数据流表或所述第二数据流表,生成数据流表分发消息,并分发至同一安全域内的各加密网关。
本实施例中管控平台作为全安全域唯一的集中控制器,定制安全策略,实时申请并在线分发会话密钥,对域内加密网关的数据流表和会话密钥进行统一管控;加密网关仅作为执行点,根据管控平台基于安全策略和实际五元组信息产生的流表,使用实时在线分发的会话密钥对数据流进行加解密处理。其中,安全策略定义一类数据流,数据流表描述具体的一条数据流,流表基于静态的安全策略并结合实际数据流的信息动态产生,实现了软件定义方式的加密通信和集中访问控制,具有较高的安全性和扩展性。
在一实施例中,在所述步骤S201:接收加密网关发送的数据流表请求消息之后,所述方法还包括:
根据安全域ID和主密钥ID从量子密钥分发网络获取主密钥解密消息并作完整性验证,验证通过后根据五元组信息进行安全域ID对应的安全策略表的匹配。
在一实施例中,管控平台可为每个安全域设置一张安全策略表,由管理员进行统一的增删改查等配置管理操作;所述安全策略表中每条表项的内容包括源IP地址、目的IP地址、相应子网掩码或地址前缀、或源和目的IP地址范围、该安全策略表所关联的加密网关设备的ID及IP地址、协议号(可为ANY)、端口范围(可为ANY)、处理策略、加密偏移量、加密算法以及会话密钥等。
在一实施例中,所述第一数据流表的结构包括五元组信息、加密偏移量、加密算法、会话密钥和处理策略,且所述处理策略为密通。
在一实施例中,所述第二数据流表的结构包括五元组信息、加密偏移量、加密算法、会话密钥和处理策略,所述处理策略为明通或丢弃,且所述五元组信息、加密偏移量、加密算法及会话密钥为空。
在一实施例中,所述步骤S205:基于所述第一数据流表或所述第二数据流表,生成数据流表分发消息,并分发至同一安全域内的各加密网关,包括以下步骤:
将所述第一数据流表或第二数据流表结合主密钥ID及安全域ID,构成所述数据流表分发消息;
从量子密钥分发网络中获取所述安全域ID和所述安全域ID对应的主密钥,并利用该主密钥对所述数据流表分发消息进行加密和HMAC运算后分发至同一安全域内的各加密网关。
在一实施例中,所述方法还包括以下步骤:
接受所述加密网关发送的注册请求,以将所述加密网关绑定到相应的安全域,所述安全域由所述管控平台划分;
接收所述加密网关发送的密钥充注请求,并将所述密钥充注请求转发至量子密钥分发网络,以使所述量子密钥分发网络向所述加密网关所连接的安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同,所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息。
本实施例与基于公钥密码进行密钥协商的技术不同,构造了基于量子密钥分发网络和软件定义安全策略模式下集中分发会话密钥的网络数据加密方案,实现了网络数据加密通信的集中统一强管控。
并且解决了加密网关不直接交互密钥和安全策略信息情况下的安全互通问题,实现了传统基于非对称密码和IPSec协议无法解决的免握手网络通信透明加解密方案,规避了握手过程的安全风险以及对数据报文结构的修改,可显著减少网络数据加解密涉及到的密钥管理的相关交互信息,增强了网络适应性。
实施例3
如图3所示,本发明第三实施例提出了一种网络会话数据流细粒度透明加解密网关,所述网关包括数据加解密处理模块11、流表管理模块13、流表申请模块14和密钥注入模块12,所述密钥注入模块12连接有安全存储介质,所述安全存储介质中存储经量子密钥分发网络4预先充注的主密钥,其中:
所述密钥注入模块12,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述流表管理模块13,用于对出站的网络会话数据报文按照其五元组信息匹配数据流表,所述数据流表的结构包括五元组信息、处理策略、加密偏移量、加密算法和会话密钥;
所述数据加解密处理模块11,用于在匹配成功时,基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
所述流表申请模块14,用于在未匹配成功时,从所述网络会话数据报文中提取五元组信息,并基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息;并向管控平台3发送所述数据流表请求消息,以使所述管控平台3基于所述数据流表请求消息生成数据流表分发消息并分发同一安全域内的各加密网关;
所述流表管理模块13,还用于基于所述数据流表分发消息,获取新建数据流表,并将所述新建数据流表的内容填入本设备的数据流表,得到新的数据流表信息;
所述数据加解密处理模块11,还用于根据新的数据流表信息对所述网络会话数据报文进行处理后发送至所述接收方。
本实施例中加密网关根据管控平台3基于安全策略和实际五元组信息产生的流表,使用实时在线分发的会话密钥对数据流进行加解密处理,且对单播数据报文进行透明加解密,不增加任何额外数据和业务数据流量,不新增报文头,具备良好的网络适应性;所采用的集中在线分发会话密钥的方式,并和细粒度安全策略相结合,实现软件定义量子密钥分发,适用于对安全域内的加密网关及其保护的网络会话数据流进行集中安全策略管理和密钥分发的场景。
在一实施例中,所述处理策略包括明通、丢弃和密通,所述数据加解密处理模块11,用于在匹配成功时,执行如下步骤:
若匹配到所述数据流表的处理策略为密通,则采用所述数据流表对应的所述会话密钥和所述加密算法对所述网络会话数据报文加密偏移量后的部分进行不变长度的透明加密处理后发送至所述接收方,其中,加密算法为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分);
若匹配到所述数据流表的处理策略为明通,则直接转发所述网络会话数据至所述接收方;
若匹配到所述数据流表的处理策略为丢弃,则直接丢弃所述网络会话数据报文。
在一实施例中,所述数据加解密处理模块11,还用于:
从所述主密钥池中取出与所述主密钥ID对应的主密钥,并利用该主密钥对所述数据流表请求消息中的五元组信息做HMAC运算后发送至所述管控平台3。
在一实施例中,所述流表管理模块13,具体用于执行如下步骤:
从所述主密钥池中选取与主密钥ID对应的主密钥,并利用该主密钥对所述数据流表分发消息进行解密和完整性校验;
在校验通过时,将解密得到的新建数据流表填入本设备的数据流表。
应当理解的是,若校验未通过,则终止本次会话。
在一实施例中,所述加密网关还包括:
时间设置模块,用于为所述数据流表中的表项设置超时时间;
表项删除模块,用于当存在所述数据流表中的表项在超时时间内未被访问,则删除所述表项。
在一实施例中,所述加密网关还包括:
判断模块,用于判断所述网络会话数据报文是否包含动态端口协议报文;
所述数据加解密处理模块11,用于在所述判断模块输出结果为否时,执行所述基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
所述流表管理模块13,用于在所述判断模块输出结果为是时,对所述动态端口协议报文进行分析,提取动态端口协议对应的五元组信息;并基于所述动态端口协议对应的五元组信息,建立动态端口协议数据对应的数据流表。
在一实施例中,所述加密网关还包括:
注册请求模块,用于向所述管控平台3发送注册请求,以绑定到相应的安全域,所述安全域由所述管控平台3划分;
密钥充注请求模块,用于向所述管控平台3发送密钥充注请求,以使所述管控平台3将所述密钥充注请求转发至所述量子密钥分发网络4,以使所述量子密钥分发网络4通过密钥代理或量子网络节点,向加密网关所连接的安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同;且所述量子密钥分发网络4中存储有安全域划分信息以及各安全域内加密网关信息;
所述密钥注入模块12,用于从所连接的所述安全存储介质读取主密钥,建立所述主密钥池。
需要说明的是,本发明所述网络会话数据流细粒度透明加解密网关的其他实施例或具有实现方法可参照上述方法实施例1,此处不再赘余。
实施例4
如图4所示,本发明第四实施例提出了一种管控平台3,所述管控平台3包括:
流表请求信息接收模块31,用于接收加密网关发送的数据流表请求消息,所述数据流表请求消息携带信息包括网络会话数据报文的五元组信息、主密钥ID和该加密网关所在安全域ID;
安全策略匹配模块32,用于根据所述五元组信息,进行所述安全域ID对应的安全策略表的匹配;
第一数据流表建立模块33,用于在安全策略表匹配成功时,从量子密钥分发网络4申请量子密钥作为会话密钥,并结合所述会话密钥和所匹配的安全策略对由所述五元组信息确定的数据流建立第一数据流表;
第二数据流表建立模块34,用于在安全策略表匹配未成功时,基于默认的安全策略对由所述五元组信息确定的数据流建立第二数据流表;
分发模块35,用于基于所述第一数据流表或所述第二数据流表,生成数据流表分发消息,并分发至同一安全域内的各加密网关。
本实施例中管控平台3作为全安全域唯一的集中控制器,定制安全策略,实时申请并在线分发会话密钥,对域内加密网关的数据流表和会话密钥进行统一管控;加密网关仅作为执行点,根据管控平台3基于安全策略和实际五元组信息产生的流表,使用实时在线分发的会话密钥对数据流进行加解密处理。其中,安全策略定义一类数据流,数据流表描述具体的一条数据流,流表基于静态的安全策略并结合实际数据流的信息动态产生,实现了软件定义方式的加密通信和集中访问控制,具有较高的安全性和扩展性。
在一实施例中,所述管控平台3还包括:
验证模块,用于根据安全域ID和主密钥ID从量子密钥分发网络4获取主密钥解密消息并作完整性验证,验证通过后根据五元组信息进行安全域ID对应的安全策略表的匹配。
需要说明的是,管控平台3可为每个安全域设置一张安全策略表,由管理员进行统一的增删改查等配置管理操作;所述安全策略表中每条表项的内容包括源IP地址、目的IP地址、相应子网掩码或地址前缀、或源和目的IP地址范围、该安全策略表所关联的加密网关设备的ID及IP地址、协议号(可为ANY)、端口范围(可为ANY)、处理策略、加密偏移量、加密算法以及会话密钥等。
在一实施例中,所述第一数据流表的结构包括五元组信息、加密偏移量、加密算法、会话密钥和处理策略,且所述处理策略为密通。
在一实施例中,所述第二数据流表的结构包括五元组信息、加密偏移量、加密算法、会话密钥和处理策略,所述处理策略为明通或丢弃,且所述五元组信息、加密偏移量、加密算法及会话密钥为空。
在一实施例中,所述分发模块35,包括:
数据流表分发消息生成单元,用于将所述第一数据流表或第二数据流表结合主密钥ID及安全域ID,构成所述数据流表分发消息;
分发单元,用于从量子密钥分发网络4中获取所述安全域ID和所述安全域ID对应的主密钥,并利用该主密钥对所述数据流表分发消息进行加密和HMAC运算后分发至同一安全域内的各加密网关。
在一实施例中,所述管控平台3还包括:
注册模块,用于接受所述加密网关发送的注册请求,以将所述加密网关绑定到相应的安全域,所述安全域由所述管控平台3划分;
密钥充注请求转发模块,用于接收所述加密网关发送的密钥充注请求,并将所述密钥充注请求转发至量子密钥分发网络4,以使所述量子密钥分发网络4向所述加密网关所连接的安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同,所述量子密钥分发网络4中存储有安全域划分信息以及各安全域内加密网关信息。
本实施例与基于公钥密码进行密钥协商的技术不同,构造了基于量子密钥分发网络4和软件定义安全策略模式下集中分发会话密钥的网络数据加密方案,实现了网络数据加密通信的集中统一强管控。
并且解决了加密网关不直接交互密钥和安全策略信息情况下的安全互通问题,实现了传统基于非对称密码和IPSec协议无法解决的免握手网络通信透明加解密方案,规避了握手过程的安全风险以及对数据报文结构的修改,可显著减少网络数据加解密涉及到的密钥管理的相关交互信息,增强了网络适应性。
需要说明的是,本发明所述网络会话数据流细粒度透明加解密网关的其他实施例或具有实现方法可参照上述方法实施例2,此处不再赘余。
实施例5
如图5所示,本发明第五实施例提出了一种网络会话数据流细粒度透明加解密***,所述***包括第一加密网关1、第二加密网关2、管控平台3和量子密钥分发网络4,所述第一加密网关1、所述第二加密网关2和所述量子密钥分发网络4均与管控平台3连接,所述第一加密网关1和所述第二加密网关2均与所述量子密钥分发网络4连接,其中,所述第一加密网关1和所述第二加密网关2均包括数据加解密处理模块11、流表管理模块13、流表申请模块14和密钥注入模块12,所述密钥注入模块12连接有安全存储介质,所述安全存储介质中存储经量子密钥分发网络4预先充注的主密钥,其中:
所述管控平台3,用于进行安全域划分,以及对所述第一加密网关1和所述第二加密网关2的进行注册和身份绑定服务;
所述量子密钥分发网络4,用于向所述安全存储介质预充注主密钥;
所述密钥注入模块12,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述流表管理模块13,用于对出站的网络会话数据报文按照其五元组信息匹配数据流表,所述数据流表的结构包括五元组信息、处理策略、加密偏移量、加密算法和会话密钥;
所述数据加解密处理模块11,用于在匹配成功时,基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
所述流表申请模块14,用于在未匹配成功时,从所述网络会话数据报文中提取五元组信息,并基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息;并向管控平台3发送所述数据流表请求消息,以使所述管控平台3基于所述数据流表请求消息生成数据流表分发消息并分发同一安全域内的各加密网关;
所述流表管理模块13,还用于基于所述数据流表分发消息,获取新建数据流表,并将所述新建数据流表的内容填入本设备的数据流表,得到新的数据流表信息;
所述数据加解密处理模块11,还用于根据新的数据流表信息对所述网络会话数据报文进行处理后发送至所述接收方。
本实施例中加密网关根据管控平台3基于安全策略和实际五元组信息产生的流表,使用实时在线分发的会话密钥对数据流进行加解密处理,且对单播数据报文进行透明加解密,不增加任何额外数据和业务数据流量,不新增报文头,具备良好的网络适应性;所采用的集中在线分发会话密钥的方式,并和细粒度安全策略相结合,实现软件定义量子密钥分发,适用于对安全域内的加密网关及其保护的网络会话数据流进行集中安全策略管理和密钥分发的场景。
本实施例中,加密网关:用于对通过网络传输的用户网络会话数据流进行加解密处理,包括数据加解密处理、流表管理、流表申请和密钥注入等功能模块;
管控平台3:用于提供加密网关、密钥代理、量子网络节点的对应关系,进行安全域划分,提供加密网关的注册和身份绑定服务,维护全局细粒度流表,并直接向加密网关分发流策略和会话密钥;
密钥代理:用于在加密网关不能直接在量子密钥分发网络4的节点进行密钥充注的情况下提供密钥充注的代理功能,并在加密通信网络不能直接连接量子密钥分发网络4的情况下提供密钥分发的代理功能;
量子密钥分发网络4:包含量子网络节点和量子网络链路控制中心,实现量子密钥生成、量子密钥中继、量子密钥提供等服务;
量子网络节点:用于存储生成的量子密钥,接收密钥代理或管控平台3的密钥申请,向密钥代理或管控平台3提供密钥或直接提供密钥充注和密钥分发服务;
量子网络链路控制中心:用于按照量子网络节点ID建立节点间的量子密钥分发及中继链路。
需要说明的是,本实施例中的量子密钥分发设备包括但并不限于QKD密钥分发网络,所涉及的密钥预充注和在线密钥分发功能可采用任何一种对称密钥管理***及设备实现。
在一实施例中,所述管控平台3包括:
流表请求信息接收模块31,用于接收加密网关发送的数据流表请求消息,所述数据流表请求消息携带信息包括网络会话数据报文的五元组信息、主密钥ID和该加密网关所在安全域ID;
安全策略匹配模块32,用于根据所述五元组信息,进行所述安全域ID对应的安全策略表的匹配;
第一数据流表建立模块33,用于在安全策略表匹配成功时,从量子密钥分发网络4申请量子密钥作为会话密钥,并结合所述会话密钥和所匹配的安全策略对由所述五元组信息确定的数据流建立第一数据流表;
第二数据流表建立模块34,用于在安全策略表匹配未成功时,基于默认的安全策略对由所述五元组信息确定的数据流建立第二数据流表;
分发模块35,用于基于所述第一数据流表或所述第二数据流表,生成数据流表分发消息,并分发至同一安全域内的各加密网关。
本实施例中管控平台3作为全安全域唯一的集中控制器,定制安全策略,实时申请并在线分发会话密钥,对域内加密网关的数据流表和会话密钥进行统一管控;加密网关仅作为执行点,根据管控平台3基于安全策略和实际五元组信息产生的流表,使用实时在线分发的会话密钥对数据流进行加解密处理。其中,安全策略定义一类数据流,数据流表描述具体的一条数据流,流表基于静态的安全策略并结合实际数据流的信息动态产生,实现了软件定义方式的加密通信和集中访问控制,具有较高的安全性和扩展性。
如图6所示,本发明实施例提出的网络会话数据流细粒度透明加解密***的工作流程如下:
(1)管控平台划定安全域,通过量子密钥分发网络QKD,使用安全TF卡或安全U盾等大容量安全存储介质,向域内各加密网关设备节点离线预充注大量的主密钥,同一安全域内各设备共享由相同密钥ID标识的相同的主密钥,每一个安全域在QKD对应一个主密钥池并由域内统一编号的主密钥ID索引;
其中,密钥格式为2字节域ID+4字节密钥ID+n字节密钥和n字节初始化向量,n的具体取值与加密算法相关。
(2)安全域内的各加密网关获取其连接的安全存储介质中的主密钥,建立主密钥池。
(3)加密网关设备节点对出站的网络会话数据报文按照其五元组匹配流表项:如匹配到流表项的处理策略为密通,则采用该流表项对应的会话密钥和加密算法对整个数据报文加密偏移量后的部分进行不变长度的透明加密处理,加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分);处理策略为明通则直接转发该数据报文;处理策略为丢弃则丢弃该数据报文;
其中,流表项由五元组及对应的处理策略、加密偏移量、加密算法、会话密钥等元素组成,处理策略包括明通、丢弃和密通三类。
(4)上一步骤(3)中未匹配成功流表项,则缓存网络会话数据报文,并提取网络会话数据报文的五元组信息,然后结合随机选取主密钥ID和安全域ID构成流表请求消息,并从主密钥池中取出主密钥ID对应的主密钥,对请求消息中的五元组信息加密并对整个消息作HMAC运算,然后发往管控平台。
(5)管控平台收到流表请求消息后,根据安全域ID和主密钥ID从QKD获取主密钥解密消息并作完整性验证,验证未通过则直接终止本次会话,验证通过后根据五元组信息进行域ID对应安全域安全策略表的匹配。管控平台为每个安全域设置一张安全策略表,每条表项的内容由源和目的IP地址及相应子网掩码或地址前缀、或源和目的IP地址范围、该安全策略关联的加密网关设备的ID及IP地址、协议号(可为ANY)、端口范围(可为ANY)、处理策略、加密偏移量、加密算法、会话密钥等元素构成,由管理员进行统一的增删改查等配置管理操作。
如果没有匹配的安全策略,则根据默认安全策略对五元组信息所唯一确定的数据流建立新第一数据流表,表项结构与加密网关的数据流表相同,加密偏移量、加密算法、会话密钥等内容为空,处理策略根据默认策略设为明通或丢弃(默认策略只能设为明通或丢弃),并向域内所有加密网关分发该第一数据流表。
如果有匹配的安全策略,则从QKD实时申请量子密钥作为该数据流的会话密钥,结合安全策略对五元组信息所唯一确定的数据流建立新第二数据流表,第二数据流表的表项结构与网关的数据流表相同,处理策略设为密通,包括加密偏移量、加密算法、会话密钥等元素,并向域内该安全策略关联的所有加密网关分发该第二数据流表。
进一步地,管控平台分发新建第一数据流表或第二数据流表时,将该第一数据流表或第二数据流表内容+随机选取域内主密钥ID+安全域ID构成流表分发消息内容,从QKD获取安全域ID对应安全域主密钥池内的主密钥ID对应主密钥,对消息内容进行加密,整个消息进行HMAC,然后向该安全域关联的加密网关设备节点发送该消息。
本实施例中由管控平台集中管控安全策略,会话密钥集中分发,安全策略定义一类数据流,流表描述具体的一条数据流,流表基于静态的安全策略动态产生,生命周期和该数据流同步。
(6)加密网关设备节点接收到流表分发消息后,从主密钥池中取出主密钥ID对应的主密钥,解密消息并作完整性验证,通过后将流表项内容填入本设备的流表。
(7)作为接收方的加密网关设备节点对入站的网络会话数据报文按照其五元组匹配数据流表项,根据流表信息对匹配该流表项的数据流进行解密或明通/丢弃处理,如无匹配的流表项则丢弃该数据报文。
进一步地,加密网关可为流表项设置超时时间,当流表项在超时时间之内均没有被命中,则从流表中删除该流表项。
进一步地,若加密网关设备上运行协议分析模块,对于FTP等在控制协议中包含数据连接端口和IP地址信息的动态端口协议报文进行分析,提取数据连接的端口和IP地址等五元组信息新建流表项,新建流表项除五元组以外的内容与控制协议报文对应的流表项相同,从而对此类动态端口协议的数据连接执行和控制连接相同的处理策略(密通或明通)。
本实施例基于量子密钥分发技术提供的大容量对称预共享密钥,通过在加密网关中使用量子密钥分发***产生的大容量主密钥,结合安全策略管控中心集中分发会话密钥并关联安全策略,实现和细粒度软件定义安全策略相结合的会话密钥集中分发,解决双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题,增强多个局域网之间互联互通时网络会话数据流加密传输的集中管控力度。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行***、装置或设备(如基于计算机的***、包括处理器的***或其他可以从指令执行***、装置或设备取指令并执行指令的***)使用,或结合这些指令执行***、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行***、装置或设备或结合这些指令执行***、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (16)
1.一种网络会话数据流细粒度透明加解密方法,其特征在于,所述方法应用于加密网关,所述加密网关中建立有主密钥池,所述主密钥池中存储有与所述加密网关所在安全域对应的主密钥,包括以下步骤:
对出站的网络会话数据报文按照其五元组信息匹配数据流表,所述数据流表的结构包括五元组信息、处理策略、加密偏移量、加密算法和会话密钥;
若匹配成功,则基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
若未匹配成功,则从所述网络会话数据报文中提取五元组信息,并基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息;
向管控平台发送所述数据流表请求消息,以使所述管控平台基于所述数据流表请求消息和安全策略,生成数据流表分发消息并分发同一安全域内的各加密网关,所述数据流表分发消息携带新建数据流表;
基于所述数据流表分发消息,获取新建数据流表,并将所述新建数据流表的内容填入本设备的数据流表,得到新的数据流表信息;
根据新的数据流表信息对所述网络会话数据报文进行处理后发送至所述接收方。
2.如权利要求1所述的网络会话数据流细粒度透明加解密方法,其特征在于,所述处理策略包括明通、丢弃和密通,所述若匹配成功,则基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方,包括:
若匹配到所述数据流表的处理策略为密通,则采用所述数据流表对应的所述会话密钥和所述加密算法对所述网络会话数据报文加密偏移量后的部分进行不变长度的透明加密处理后发送至所述接收方;
若匹配到所述数据流表的处理策略为明通,则直接转发所述网络会话数据至所述接收方;
若匹配到所述数据流表的处理策略为丢弃,则直接丢弃所述网络会话数据报文。
3.如权利要求1所述的网络会话数据流细粒度透明加解密方法,其特征在于,在所述基于所述五元组信息、从所述主密钥池中随机取出的主密钥ID和其所在安全域ID,生成数据流表请求消息之后,所述方法还包括:
从所述主密钥池中取出与所述主密钥ID对应的主密钥,并利用该主密钥对所述数据流表请求消息中的五元组信息做HMAC运算后发送至所述管控平台。
4.如权利要求1所述的网络会话数据流细粒度透明加解密方法,其特征在于,所述基于所述数据流表分发消息,获取新建数据流表,包括:
从所述主密钥池中选取与主密钥ID对应的主密钥,并利用该主密钥对所述数据流表分发消息进行解密和完整性校验;
在校验通过时,将解密得到的新建数据流表填入本设备的数据流表。
5.如权利要求1所述的网络会话数据流细粒度透明加解密方法,其特征在于,所述方法还包括:
为所述数据流表中的表项设置超时时间;
当存在所述数据流表中的表项在超时时间内未被访问,则删除所述表项。
6.如权利要求1所述的网络会话数据流细粒度透明加解密方法,其特征在于,在所述基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方之前,所述方法还包括:
判断所述网络会话数据报文是否包含动态端口协议报文;
若否,则执行所述基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
若是,则对所述动态端口协议报文进行分析,提取动态端口协议对应的五元组信息;
基于所述动态端口协议对应的五元组信息,建立动态端口协议数据对应的数据流表。
7.如权利要求1所述的网络会话数据流细粒度透明加解密方法,其特征在于,所述方法还包括:
向所述管控平台发送注册请求,以绑定到相应的安全域,所述安全域由所述管控平台划分;
向所述管控平台发送密钥充注请求,以使所述管控平台将所述密钥充注请求转发至所述量子密钥分发网络,所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息;
通过密钥代理或量子网络节点,向加密网关所连接的安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同;
从所连接的所述安全存储介质读取主密钥,建立所述主密钥池。
8.一种网络会话数据流细粒度透明加解密方法,其特征在于,所述方法应用于管控平台,包括以下步骤:
接收加密网关发送的数据流表请求消息,所述数据流表请求消息携带信息包括网络会话数据报文的五元组信息、主密钥ID和该加密网关所在安全域ID;
根据所述五元组信息,进行所述安全域ID对应的安全策略表的匹配;
若安全策略表匹配成功,则从量子密钥分发网络申请量子密钥作为会话密钥,并结合所述会话密钥和所匹配的安全策略对由所述五元组信息确定的数据流建立第一数据流表;
若安全策略表匹配未成功,则基于默认的安全策略对由所述五元组信息确定的数据流建立第二数据流表;
基于所述第一数据流表或所述第二数据流表,生成数据流表分发消息,并分发至同一安全域内的各加密网关。
9.如权利要求8所述的网络会话数据流细粒度透明加解密方法,其特征在于,所述第一数据流表的结构包括五元组信息、加密偏移量、加密算法、会话密钥和处理策略,且所述处理策略为密通。
10.如权利要求8所述的网络会话数据流细粒度透明加解密方法,其特征在于,所述第二数据流表的结构包括五元组信息、加密偏移量、加密算法、会话密钥和处理策略,所述处理策略为明通或丢弃,且所述五元组信息、加密偏移量、加密算法及会话密钥为空。
11.如权利要求8所述的网络会话数据流细粒度透明加解密方法,其特征在于,所述安全策略表中每条表项的内容包括源IP地址、目的IP地址、相应子网掩码或地址前缀、或源和目的IP地址范围、该安全策略表所关联的加密网关设备的ID及IP地址、协议号、端口范围、处理策略、加密偏移量、加密算法以及会话密钥。
12.如权利要求8所述的网络会话数据流细粒度透明加解密方法,其特征在于,所述基于所述第一数据流表或所述第二数据流表,生成数据流表分发消息,并分发至同一安全域内的各加密网关,包括:
将所述第一数据流表或第二数据流表结合主密钥ID及安全域ID,构成所述数据流表分发消息;
从量子密钥分发网络中获取所述安全域ID和所述安全域ID对应的主密钥,并利用该主密钥对所述数据流表分发消息进行加密和HMAC运算后分发至同一安全域内的各加密网关。
13.如权利要求8所述的网络会话数据流细粒度透明加解密方法,其特征在于,所述方法还包括:
接受所述加密网关发送的注册请求,以将所述加密网关绑定到相应的安全域,所述安全域由所述管控平台划分;
接收所述加密网关发送的密钥充注请求,并将所述密钥充注请求转发至量子密钥分发网络,以使所述量子密钥分发网络向所述加密网关所连接的安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同,所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息。
14.一种网络会话数据流细粒度透明加解密网关,其特征在于,所述网关包括数据加解密处理模块、流表管理模块、流表申请模块和密钥注入模块,所述密钥注入模块连接有安全存储介质,所述安全存储介质中存储经量子密钥分发网络预先充注的主密钥,其中:
所述密钥注入模块,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述流表管理模块,用于对出站的网络会话数据报文按照其五元组信息匹配数据流表,所述数据流表的结构包括五元组信息、处理策略、加密偏移量、加密算法和会话密钥;
所述数据加解密处理模块,用于在匹配成功时,基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
所述流表申请模块,用于在未匹配成功时,从所述网络会话数据报文中提取五元组信息,并基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息;并向管控平台发送所述数据流表请求消息,以使所述管控平台基于所述数据流表请求消息生成数据流表分发消息并分发同一安全域内的各加密网关;
所述流表管理模块,还用于基于所述数据流表分发消息,获取新建数据流表,并将所述新建数据流表的内容填入本设备的数据流表,得到新的数据流表信息;
所述数据加解密处理模块,还用于根据新的数据流表信息对所述网络会话数据报文进行处理后发送至所述接收方。
15.一种管控平台,其特征在于,所述管控平台包括:
流表请求信息接收模块,用于接收加密网关发送的数据流表请求消息,所述数据流表请求消息携带信息包括网络会话数据报文的五元组信息、主密钥ID和该加密网关所在安全域ID;
安全策略匹配模块,用于根据所述五元组信息,进行所述安全域ID对应的安全策略表的匹配;
第一数据流表建立模块,用于在安全策略表匹配成功时,从量子密钥分发网络申请量子密钥作为会话密钥,并结合所述会话密钥和所匹配的安全策略对由所述五元组信息确定的数据流建立第一数据流表;
第二数据流表建立模块,用于在安全策略表匹配未成功时,基于默认的安全策略对由所述五元组信息确定的数据流建立第二数据流表;
分发模块,用于基于所述第一数据流表或所述第二数据流表,生成数据流表分发消息,并分发至同一安全域内的各加密网关。
16.一种网络会话数据流细粒度透明加解密***,其特征在于,所述***包括第一加密网关、第二加密网关、管控平台和量子密钥分发网络,所述第一加密网关、所述第二加密网关和所述量子密钥分发网络均与管控平台连接,所述第一加密网关和所述第二加密网关均与所述量子密钥分发网络连接,其中,所述第一加密网关和所述第二加密网关均包括数据加解密处理模块、流表管理模块、流表申请模块和密钥注入模块,所述密钥注入模块连接有安全存储介质,所述安全存储介质中存储经量子密钥分发网络预先充注的主密钥,其中:
所述管控平台,用于进行安全域划分,以及对所述第一加密网关和所述第二加密网关的进行注册和身份绑定服务;
所述量子密钥分发网络,用于向所述安全存储介质预充注主密钥;
所述密钥注入模块,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述流表管理模块,用于对出站的网络会话数据报文按照其五元组信息匹配数据流表,所述数据流表的结构包括五元组信息、处理策略、加密偏移量、加密算法和会话密钥;
所述数据加解密处理模块,用于在匹配成功时,基于所述数据流表对应的处理策略对所述网络会话数据报文进行处理后发送至接收方;
所述流表申请模块,用于在未匹配成功时,从所述网络会话数据报文中提取五元组信息,并基于所述五元组信息、从所述主密钥池中随机取出的主密钥的ID和其所在安全域ID,生成数据流表请求消息;并向管控平台发送所述数据流表请求消息,以使所述管控平台基于所述数据流表请求消息生成数据流表分发消息并分发同一安全域内的各加密网关;
所述流表管理模块,还用于基于所述数据流表分发消息,获取新建数据流表,并将所述新建数据流表的内容填入本设备的数据流表,得到新的数据流表信息;
所述数据加解密处理模块,还用于根据新的数据流表信息对所述网络会话数据报文进行处理后发送至所述接收方。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211198397.0A CN115567208A (zh) | 2022-09-29 | 2022-09-29 | 网络会话数据流细粒度透明加解密方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211198397.0A CN115567208A (zh) | 2022-09-29 | 2022-09-29 | 网络会话数据流细粒度透明加解密方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115567208A true CN115567208A (zh) | 2023-01-03 |
Family
ID=84743679
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211198397.0A Pending CN115567208A (zh) | 2022-09-29 | 2022-09-29 | 网络会话数据流细粒度透明加解密方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115567208A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | ***量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及*** |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102882789A (zh) * | 2012-09-17 | 2013-01-16 | 华为技术有限公司 | 一种数据报文处理方法、***及设备 |
CN111371549A (zh) * | 2020-03-05 | 2020-07-03 | 浙江双成电气有限公司 | 一种报文数据传输方法、装置及*** |
US20210250299A1 (en) * | 2020-02-07 | 2021-08-12 | Huazhong University Of Science And Technology | Container-based network functions virtualization platform |
-
2022
- 2022-09-29 CN CN202211198397.0A patent/CN115567208A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102882789A (zh) * | 2012-09-17 | 2013-01-16 | 华为技术有限公司 | 一种数据报文处理方法、***及设备 |
WO2014040411A1 (zh) * | 2012-09-17 | 2014-03-20 | 华为技术有限公司 | 一种数据报文处理方法、***及设备 |
US20210250299A1 (en) * | 2020-02-07 | 2021-08-12 | Huazhong University Of Science And Technology | Container-based network functions virtualization platform |
CN111371549A (zh) * | 2020-03-05 | 2020-07-03 | 浙江双成电气有限公司 | 一种报文数据传输方法、装置及*** |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | ***量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及*** |
CN116743380B (zh) * | 2023-08-14 | 2023-10-31 | ***量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11283772B2 (en) | Method and system for sending a message through a secure connection | |
US11848961B2 (en) | HTTPS request enrichment | |
Molva | Internet security architecture | |
US6965992B1 (en) | Method and system for network security capable of doing stronger encryption with authorized devices | |
US8364772B1 (en) | System, device and method for dynamically securing instant messages | |
US9479534B2 (en) | Method, system, and logic for in-band exchange of meta-information | |
US20170201382A1 (en) | Secure Endpoint Devices | |
US20010009025A1 (en) | Virtual private networks | |
EP1374533B1 (en) | Facilitating legal interception of ip connections | |
CN115567206A (zh) | 采用量子分发密钥实现网络数据报文加解密方法及*** | |
CN115567205A (zh) | 采用量子密钥分发实现网络会话数据流加解密方法及*** | |
Farinacci et al. | Locator/ID separation protocol (LISP) data-plane confidentiality | |
CN115766002A (zh) | 采用量子密钥分发及软件定义实现以太数据加解密的方法 | |
CN115567208A (zh) | 网络会话数据流细粒度透明加解密方法及*** | |
CN116055091B (zh) | 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及*** | |
CN115567192A (zh) | 采用量子密钥分发实现组播数据透明加解密方法及*** | |
US20080082822A1 (en) | Encrypting/decrypting units having symmetric keys and methods of using same | |
Lee | Towards an accountable and private Internet | |
Shaheen et al. | Source specific centralized secure multicast scheme based on IPSec | |
Baltatu et al. | IP security | |
KR101212351B1 (ko) | 이동성과 보안성을 구비한 애드 혹 게이트웨이 및 단말기 | |
Farinacci et al. | RFC 8061: Locator/ID Separation Protocol (LISP) Data-Plane Confidentiality | |
LIOY | Advanced Security Technologies in Networking 55 95 B. Jerman-Blažič et al.(Eds.) IOS Press, 2001 | |
Bhupathiraju | Security aspects in voice over IP systems | |
Jones | An application level emulation of IPSEC |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |