CN118316613A - 轻量级信道加密方法、装置、设备和存储介质 - Google Patents

轻量级信道加密方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN118316613A
CN118316613A CN202310020724.1A CN202310020724A CN118316613A CN 118316613 A CN118316613 A CN 118316613A CN 202310020724 A CN202310020724 A CN 202310020724A CN 118316613 A CN118316613 A CN 118316613A
Authority
CN
China
Prior art keywords
determining
target counter
encryption key
encryption
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310020724.1A
Other languages
English (en)
Inventor
张高山
杜雪涛
常嘉岳
刘仲思
詹义
洪东
张晨
朱艳云
倪宁宁
王雪
朱华
***
方明星
尹子轩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Design Institute Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Design Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Design Institute Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202310020724.1A priority Critical patent/CN118316613A/zh
Publication of CN118316613A publication Critical patent/CN118316613A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种轻量级信道加密方法、装置、设备和存储介质,所述方法包括:基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;根据所述基础向量确定目标计数器,并根据所述发送方节点的通道号、时间戳和所述目标计数器确定所述目标计数器的验证值;根据所述加密密钥对所述通道号、所述时间戳和所述验证值进行加密生成数据同步信令,并将所述数据同步信令发送至接收方节点。本发明提高了数据传输的安全性。

Description

轻量级信道加密方法、装置、设备和存储介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种轻量级信道加密方法、装置、设备和存储介质。
背景技术
大数据在智能调度机制的指挥下,以最高效、最低成本找到匹配的算力节点,完成算力对数据的加工,获取结果。在此过程中,分布于算力网络的大量算力节点之间,以不可预见的形式即时传输大量数据,数据存在被第三方获取的风险,导致数据传输的安全性低。
发明内容
本发明的主要目的在于提供一种轻量级信道加密方法、装置、设备和存储介质,旨在解决如何提高数据传输的安全性的问题。
为实现上述目的,本发明提供的一种轻量级信道加密方法,所述轻量级信道加密方法包括以下步骤:
基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
根据所述基础向量确定目标计数器,并根据所述发送方节点的通道号、时间戳和所述目标计数器确定所述目标计数器的验证值;
根据所述加密密钥对所述通道号、所述时间戳和所述验证值进行加密生成数据同步信令,并将所述数据同步信令发送至接收方节点。
可选地,所述基于安全两方计算协议生成基础向量的步骤包括:
生成第一随机数;
根据安全两方计算协议和所述第一随机数,确定所述接收方节点对应的第二随机数;
根据所述第一随机数和所述第二随机数生成基础向量。
可选地,所述基于所述基础向量确定加密密钥的步骤包括:
确定所述基础向量的两项的异或值;
确定所述异或值的哈希值,根据所述哈希值确定所述加密密钥。
可选地,所述将所述数据同步信令发送至接收方节点的步骤之后,还包括:
根据所述加密密钥和所述目标计数器生成流密码;
根据所述流密码对待发送的数据进行加密;
将加密后的所述数据发送至所述接收方节点。
为实现上述目的,本发明还提供一种轻量级信道加密装置,所述装置包括:
生成模块,用于基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
确定模块,用于根据所述基础向量确定目标计数器,并根据所述发送方节点的通道号、时间戳和所述目标计数器确定所述目标计数器的验证值;
发送模块,用于根据所述加密密钥对所述通道号、所述时间戳和所述验证值进行加密生成数据同步信令,并将所述数据同步信令发送至接收方节点。
为实现上述目的,本发明还提供一种轻量级信道加密方法,应用于接收方节点,所述方法包括:
第一计算模块,用于基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
接收模块,用于接收数据同步信令,并根据所述加密密钥对所述数据同步信令进行解密,得到解密后的发送方节点的通道号、时间戳和目标计数器的验证值;
第二计算模块,用于根据所述基础向量确定待确定的计数器,并根据所述发送方节点的通道号、时间戳和所述待确定的计数器确定每一所述待确定的计数器的参考验证值;
比对模块,用于根据所述目标计数器的验证值和所述参考验证值进行比对,根据比对结果在所述待确定的计数器中确定发送方节点选择的目标计数器。
可选地,所述基于安全两方计算协议生成基础向量的步骤之前,还包括:
生成第二随机数;
根据安全两方计算协议和所述第二随机数,确定发送方节点的第一随机数;
根据所述第一随机数和所述第二随机数生成基础向量。
可选地,所述根据所述目标计数器的验证值和所述参考验证值进行比对,得到发送方节点选择的目标计数器的步骤之后,还包括:
接收加密后的数据;
根据所述加密密钥和发送方节点选择的目标计数器确定流密码;
根据所述流密码对所述数据进行解密。
为实现上述目的,本发明还提供一种轻量级信道加密设备,所述轻量级信道加密设备包括存储器、处理器以及存储在所述存储器并可在所述处理器上执行的轻量级信道加密程序,所述轻量级信道加密程序被所述处理器执行时实现如上所述的轻量级信道加密方法的各个步骤。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有轻量级信道加密程序,所述轻量级信道加密程序被处理器执行时实现如上所述的轻量级信道加密方法的各个步骤。
本发明提供的一种轻量级信道加密方法、装置、设备和存储介质,发送方节点基于安全两方计算协议生成基础向量,并基于基础向量确定加密密钥;根据基础向量确定目标计数器,并根据发送方节点的通道号、时间戳和目标计数器确定目标计数器的验证值;根据加密密钥对通道号、时间戳和验证值进行加密生成数据同步信令,并将数据同步信令发送至接收方节点。通过生成数据同步信令,使得发送方节点和接收方节点实现加密密钥和计数器的同步,以使发送方节点将加密后数据发送至接收方节点,通过加密密钥和计数器生成的流密码对数据进行加密,提高数据传输的安全性。
附图说明
图1为本发明实施例涉及的轻量级信道加密设备的硬件结构示意图;
图2为本发明轻量级信道加密方法的一实施例的流程示意图;
图3为本发明轻量级信道加密方法的网络结构的节点的示意图;
图4为本发明轻量级信道加密方法的发送方节点和接收方节点交互流程示意图;
图5为本发明轻量级信道加密方法的数据同步信令的示意图;
图6为本发明轻量级信道加密方法的发送方节点和接收方节点交互流程示意图;
图7为本发明轻量级信道加密方法的数据加密示意图;
图8为本发明轻量级信道加密方法的另一实施例的流程示意图;
图9为本发明轻量级信道加密方法的数据解密的流程示意图;
图10为本发明轻量级信道加密方法的再一实施例的流程示意图;
图11为本发明实施例涉及的轻量级信道加密装置的逻辑结构示意图;
图12为本发明实施例涉及的轻量级信道加密装置的逻辑结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:发送方节点基于安全两方计算协议生成基础向量,并基于基础向量确定加密密钥;根据基础向量确定目标计数器,并根据发送方节点的通道号、时间戳和目标计数器确定目标计数器的验证值;根据加密密钥对通道号、时间戳和验证值进行加密生成数据同步信令,并将数据同步信令发送至接收方节点。通过生成数据同步信令,使得发送方节点和接收方节点实现加密密钥和计数器的同步,以使发送方节点将加密后数据发送至接收方节点,通过加密密钥和计数器生成的流密码对数据进行加密,提高数据加密效率和数据传输的安全性。
作为一种实现方案,轻量级信道加密设备可以如图1所示。
本发明实施例方案涉及的是轻量级信道加密设备,轻量级信道加密设备包括:处理器101,例如CPU,存储器102,通信总线103。其中,通信总线103用于实现这些组件之间的连接通信。
存储器102可以是高速RAM存储器,也可以是稳定的存储器(non-volatilememory),例如磁盘存储器。如图1所示,作为一种计算机可读存储介质的存储器102中可以包括轻量级信道加密程序;而处理器101可以用于调用存储器102中存储的轻量级信道加密程序,并执行以下操作:
基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
根据所述基础向量确定目标计数器,并根据所述发送方节点的通道号、时间戳和所述目标计数器确定所述目标计数器的验证值;
根据所述加密密钥对所述通道号、所述时间戳和所述验证值进行加密生成数据同步信令,并将所述数据同步信令发送至接收方节点。
可选地,处理器101可以用于调用存储器102中存储的轻量级信道加密程序,并执行以下操作:
生成第一随机数;
根据安全两方计算协议和所述第一随机数,确定所述接收方节点对应的第二随机数;
根据所述第一随机数和所述第二随机数生成基础向量。
可选地,处理器101可以用于调用存储器102中存储的轻量级信道加密程序,并执行以下操作:
确定所述基础向量的两项的异或值;
确定所述异或值的哈希值,根据所述哈希值确定所述加密密钥。
可选地,处理器101可以用于调用存储器102中存储的轻量级信道加密程序,并执行以下操作:
根据所述加密密钥和所述目标计数器生成流密码;
根据所述流密码对待发送的数据进行加密;
将加密后的所述数据发送至所述接收方节点。
可选地,处理器101可以用于调用存储器102中存储的轻量级信道加密程序,并执行以下操作:
基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
接收数据同步信令,并根据所述加密密钥对所述数据同步信令进行解密,得到解密后的发送方节点的通道号、时间戳和目标计数器的验证值;
根据所述基础向量确定待确定的计数器,并根据所述发送方节点的通道号、时间戳和所述待确定的计数器确定每一所述待确定的计数器的参考验证值;
根据所述目标计数器的验证值和所述参考验证值进行比对,根据比对结果在所述待确定的计数器中确定发送方节点选择的目标计数器。
可选地,处理器101可以用于调用存储器102中存储的轻量级信道加密5程序,并执行以下操作:
生成第二随机数;
根据安全两方计算协议和所述第二随机数,确定发送方节点的第一随机数;
根据所述第一随机数和所述第二随机数生成基础向量。
可选地,处理器101可以用于调用存储器102中存储的轻量级信道加密程序,并执行以下操作:
接收加密后的数据;
根据所述加密密钥和发送方节点选择的目标计数器确定流密码;
根据所述流密码对所述数据进行解密。
基于上述轻量级信道加密设备的硬件构架,提出本发明轻量级信道加密方法的实施例。
参照图2,图2为本发明轻量级信道加密方法的第一实施例,所述轻量级信道加密方法包括以下步骤:0步骤S10,基于安全两方计算协议生成基础向量,并基于所述基础向量确
定加密密钥。
可选地,本方法适用于任意的网络结构,实现网络结构中两个节点之间高效加密数据传输。示例性的,在网络结构中包括节点A和节点B,如图3所示,其中节点A是发送方节点,节点B是接收方节点。例如,网络结构为5VPN(Virtual Private Network,虚拟专用网),VPN用于在公用网络上建立专
用网络。它之所以称之为虚拟网,主要是因为VPN的两个节点之间并没有像传统专用网那样使用端到端的物理链路,而是架构在公用网络之上的逻辑网络,用户数据通过逻辑链路传输。
数据在网络传输和使用过程中,因为不提供加密服务,在网络上是以明0文的方式传输的,可以轻松地被网络攻击者截获,数据中的文本格式、非文本格式的二进制数据都可被轻松地还原。因此,建立一个安全便捷的网络运行环境,对信息提供足够的保护,对信道进行加密处理是十分重要的。其中,信道为传送数据的通道,如TCP(Transmission ControlProtocol,传输控制协议)或者IP(Internet Protocol,网际互连协议)网络。信道可以从逻辑上理解为抽象信道,可以是具有物理意义的实际传送通道。信道加密方法注重解决信息在线路传输过程中的安全问题,并且可很好地控制非法用户的侵入。
信道加密是采用链路和网络加密技术为各通信节点间传输的群路信息进行加密,例如IP网络加密机等。信道加密需要节点传输加密的同步信息,占用信道一定的信息资源,对于资源有限、信息传输不连贯的节点来说,必须充分利用节点信道资源。
可选地,基础向量由发送方节点基于安全两方计算协议生成,基础向量用于生成加密密钥Key和计数器CTR。
可选地,发送方节点A生成第一随机数Ra;根据安全两方计算协议和所述第一随机数Ra,确定所述接收方节点B对应的第二随机数Rb;根据所述第一随机数Ra和所述第二随机数Rb生成基础向量。
其中,安全两方计算协议可以是两方混淆电路协议,计算函数是Ra和Rb的异或,即Rab=Ra⊕Rb。发送方节点A和接收方节点B均可以获取Rab值即Ra⊕Rb。在交互过程中,发送方节点A和接收方节点B不会直接获取对方生成的随机数,第三方节点也不会获取到发送方节点A的第一随机数Ra和接收方节点B的第二随机数Rb。
可选地,如图4所示,发送方节点A通过第一随机数Ra和Rab异或,得到接收方节点B产生的第二随机数Rb;接收方节点B通过第二随机数Rb和Rab异或,得到发送方节点A产生的第一随机数Ra。发送方节点A独立计算出Hash(Ra||Rb)和Hash(Rb||Ra),基础向量BaseVector={Hash(Ra||Rb)、Hash(Rb||Ra)}。接收方节点B独立计算出Hash(Ra||Rb)和Hash(Rb||Ra),基础向量BaseVector={Hash(Ra||Rb)、Hash(Rb||Ra)}。其中,Hash()为哈希算法SM3,SM3杂凑算法适用于数字签名和验证消息认证码的生成与验证以及随机数的生成,可满足多种密码应用的安全需求。
可选地,基于所述基础向量确定加密密钥,确定所述基础向量的两项的异或值;确定所述异或值的哈希值,根据所述哈希值确定所述加密密钥Key,如下公式所示:
Key=Hash(Hash(Ra||Rb)⊕Hash(Rb||Ra))。
此时,发送方节点A利用安全多方计算协议,例如两方混淆电路协议,完成加密密钥初始化。
步骤S20,根据所述基础向量确定目标计数器,并根据所述发送方节点的通道号、时间戳和所述目标计数器确定所述目标计数器的验证值。
可选地,发送方节点A随机选择基础向量两项中的一项作为目标计数器CTR。而接收方节点B并不能知道发送方节点A选择的目标计数器。
可选地,基础向量BaseVector={Hash(Ra||Rb)、Hash(Rb||Ra)};根据基础向量可以确定计数器CTR=Hash(Ra||Rb),或者计数器CTR=Hash(Rb||Ra),目标计数器为两个计数器中的一个。
可选地,发送方节点A根据发送方节点A关联的通道号、时间戳和目标计数器确定目标计数器的验证值。其中,通道号CID代表数据传输时所关联的逻辑通道,每个发送节点具有多个逻辑通道;时间戳Ts是发送方节点A当前的标准时间,精确到秒。每次传输数据前,发送方利用通道号CID和时间戳Ts参与生成计数器CTR的验证值。
其中,当目标计数器CTR为计数器Hash(Ra||Rb)时,目标计数器CTR的验证值为Hash(Hash(Ra||Rb)||CID||Ts);当目标计数器CTR为计数器Hash(Rb||Ra)时,目标计数器CTR的验证值为Hash(Hash(Rb||Ra)||CID||Ts);其中,CID为通道号,Ts为时间戳。
步骤S30,根据所述加密密钥对所述通道号、所述时间戳和所述验证值进行加密生成数据同步信令,并将所述数据同步信令发送至接收方节点。
可选地,如图6所示,根据加密密钥对通道号、时间戳和验证值进行加密生成数据同步信令,如图5所示,其中,数据同步信令中包括通道号、时间戳和目标计数器的验证值。发送方节点A将数据同步信令发送至接收方节点B。其中,数据同步信令的作用为向接收方节点传递必要内容以便对方恢复计数器CTR;以及提醒接收方节点做好数据接收准备。
可选地,根据加密密钥和目标计数器生成流密码,可选地,根据加密密钥Key、目标计数器CTR构建SM4对称加密算法CTR加密模式,即每次数据加密前需要两个参数:加密密钥Key、目标计数器CTR。其中,不同数据块共用同一个加密密钥Key,每个数据块对应的目标计数器CTR在上一个数据块对应目标计数器CTR的基础上加1。以四组待加密的明文分组为例,加密密钥和目标计数器CTR生成流密码,对明文分组1进行加密;加密密钥和目标计数器CTR+1生成流密码,对明文分组2进行加密;加密密钥和目标计数器CTR+2生成流密码,对明文分组3进行加密。其中,数据加密后,不需要符合特定格式,仅以加密比特流传输即可。
其中,SM4对称加密算法是分组对称密码算法,用于实现数据的加密/解密运算,以保证数据和信息的机密性。要保证一个对称密码算法的安全性的基本条件是其具备足够的密钥长度,SM4算法与AES(Advanced Encryption Standard,高级加密标准)算法具有相同的密钥长度分组长度128比特,因此在安全性上高于3DES加密算法。
根据流密码对待发送的数据进行加密;将加密后的数据发送至接收方节点。如图7所示,以四组待加密的明文分组为例,根据加密密钥和计数器CTR对明文分组1进行加密,得到密文分组1;根据加密密钥和计数器CTR+1对明文分组2进行加密,得到密文分组2;根据加密密钥和计数器CTR+2对明文分组3进行加密,得到密文分组3;根据加密密钥和计数器CTR+3对明文分组3进行加密,得到密文分组4。
本方法不采用公钥密码机制,仅采用对称密码机制,不需要大数运算、模幂运算复杂计算组件。采用纯软件实现本方案更简单、高效;在资源受限的环境下,例如,网卡固件、光模块固件、嵌入式设备等环境,本方案实现难度低。本方法采用基于混淆电路的安全多方计算(两方混淆电路)协议,通过两方计算生成对称密码CTR模式中密钥流初始同步参数。这种方式具备密钥协商的便利性、灵活性,同时避免采用大数运算、模幂运算等复杂计算组件。本方案仅依赖对称密码机制,所需的密码运算组件和SSL、IPsec相比更轻量级,结合对称加密算法CTR的模式,构建一种高效的流密码算法,实现相邻传输节点之间密钥流自动同步;采用参数采用混淆技术,减小信道监听的风险;采用时间戳检验机制,识别重放攻击。
在本实施例的技术方案中,发送方节点基于安全两方计算协议生成基础向量,并基于基础向量确定加密密钥;根据基础向量确定目标计数器,并根据发送方节点的通道号、时间戳和目标计数器确定目标计数器的验证值;根据加密密钥对通道号、时间戳和验证值进行加密生成数据同步信令,并将数据同步信令发送至接收方节点。通过生成数据同步信令,使得发送方节点和接收方节点实现加密密钥和计数器的同步,实现数据传输节点之间密钥流自动同步以使发送方节点将加密后数据发送至接收方节点,通过加密密钥和计数器生成的流密码对数据进行加密,提高数据加密效率和数据传输的安全性。
参照图8,图8为本发明轻量级信道加密方法的第二实施例,所述轻量级信道加密方法包括以下步骤:
步骤S40,基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
步骤S50,接收数据同步信令,并根据所述加密密钥对所述数据同步信令进行解密,得到解密后的发送方节点的通道号、时间戳和目标计数器的验证值;
步骤S60,根据所述基础向量确定待确定的计数器,并根据所述发送方节点的通道号、时间戳和所述待确定的计数器确定每一所述待确定的计数器的参考验证值;
步骤S70,根据所述目标计数器的验证值和所述参考验证值进行比对,根据比对结果在所述待确定的计数器中确定发送方节点选择的目标计数器。
可选地,本方法适用于任意的网络结构,实现网络结构中两个节点之间高效加密数据传输。示例性的,在网络结构中包括节点A和节点B,如图3所示,其中节点A是发送方节点,节点B是接收方节点。
可选地,基础向量由接收方节点基于安全两方计算协议生成,基础向量用于生成加密密钥Key和计数器CTR。
可选地,接收方节点B生成第二随机数Rb;根据安全两方计算协议和第二随机数Rb,确定发送方节点的第一随机数Ra;根据第一随机数Ra和第二随机数Rb生成基础向量。
其中,安全两方计算协议可以是两方混淆电路协议,计算函数是Ra和Rb的异或,即Rab=Ra⊕Rb。发送方节点A和接收方节点B均可以获取Rab值即Ra⊕Rb。在交互过程中,发送方节点A和接收方节点B不会直接获取对方生成的随机数,第三方节点也不会获取到发送方节点A的第一随机数Ra和接收方节点B的第二随机数Rb。
可选地,如图4所示,接收方节点B通过第二随机数Rb和Rab异或,得到发送方节点A产生的第一随机数Ra。接收方节点B独立计算出Hash(Ra||Rb)和Hash(Rb||Ra),基础向量BaseVector={Hash(Ra||Rb)、Hash(Rb||Ra)}。其中,Hash()为哈希算法SM3,SM3杂凑算法适用于数字签名和验证消息认证码的生成与验证以及随机数的生成,可满足多种密码应用的安全需求。
可选地,基于所述基础向量确定加密密钥,确定所述基础向量的两项的异或值;确定所述异或值的哈希值,根据所述哈希值确定所述加密密钥Key,如下公式所示:
Key=Hash(Hash(Ra||Rb)⊕Hash(Rb||Ra))。
此时,接收方节点B利用安全多方计算协议,例如两方混淆电路协议,完成加密密钥初始化。
可选地,发送方节点A根据发送方节点A关联的通道号、时间戳和目标计数器确定目标计数器的验证值。其中,通道号CID代表数据传输时所关联的逻辑通道,每个发送节点具有多个逻辑通道;时间戳Ts是发送方节点A当前的标准时间,精确到秒。每次传输数据前,发送方利用通道号CID和时间戳Ts参与生成计数器CTR的验证值。
其中,当目标计数器CTR为计数器Hash(Ra||Rb)时,目标计数器CTR的验证值为Hash(Hash(Ra||Rb)||CID||Ts);当目标计数器CTR为计数器Hash(Rb||Ra)时,目标计数器CTR的验证值为Hash(Hash(Rb||Ra)||CID||Ts);其中,CID为通道号,Ts为时间戳。
可选地,如图6所示,接收方节点B根据所述基础向量确定待确定的计数器,并根据所述发送方节点的通道号、时间戳和所述待确定的计数器确定每一所述待确定的计数器的参考验证值。可选地,基础向量BaseVector={Hash(Ra||Rb)、Hash(Rb||Ra)};根据基础向量可以确定待确定的计数器CTR=Hash(Ra||Rb),或者待确定的计数器CTR=Hash(Rb||Ra)。
可选地,接收方节点B根据所述目标计数器的验证值和所述参考验证值进行比对,根据比对结果在所述待确定的计数器中确定发送方节点选择的目标计数器。即待确定的计数器CTR1=Hash(Ra||Rb),或者待确定的计数器CTR2=Hash(Rb||Ra),当目标计数器的验证值为Hash(Ra||Rb),则目标计数器为计数器CTR1;当目标计数器的验证值为Hash(Rb||Ra),则目标计数器为CTR2。
可选地,步骤S70之后,还包括:接收加密后的数据;根据所述加密密钥和发送方节点选择的目标计数器确定流密码;根据所述流密码对所述数据进行解密。
可选地,数据同步信令中包括通道号、时间戳和目标计数器的验证值如图4所示。接收方节点B接收发送方节点A的数据同步信令。
可选地,如图6所示,接收方节点B根据加密密钥和目标计数器生成流密码,可选地,根据加密密钥Key、目标计数器CTR构建SM4对称加密算法CTR加密模式,即每次数据解密前需要两个参数:加密密钥Key、目标计数器CTR。其中,不同数据块共用同一个加密密钥Key,每个数据块对应的目标计数器CTR在上一个数据块对应目标计数器CTR的基础上加1。以四组待解密的密文分组为例,加密密钥和目标计数器CTR生成流密码,对密文分组1进行加密;加密密钥和目标计数器CTR+1生成流密码,对密文分组2进行加密;加密密钥和目标计数器CTR+2生成流密码,对密文分组3进行加密。
根据流密码对加密数据进行解密。如图9所示,以四组待解密的密文分组为例,根据加密密钥和计数器CTR对密文分组1进行解密,得到明文分组1;根据加密密钥和计数器CTR+1对密文分组2进行解密,得到明文分组2;根据加密密钥和计数器CTR+2对密文分组3进行解密,得到明文分组3;根据加密密钥和计数器CTR+3对密文分组3进行解密,得到明文分组4。
在本实施例的技术方案中,通过数据同步信令使得发送方节点和接收方节点实现加密密钥和计数器的同步,发送方节点将加密后数据发送至接收方节点,接收方节点能够对加密的数据进行解密,通过加密密钥和计数器生成的流密码对数据进行解密,提高数据传输的安全性。
在一实施例中,参照图10,发送方节点A基于安全两方计算协议生成基础向量,并基于基础向量确定加密密钥;根据基础向量确定目标计数器,并根据发送方节点的通道号、时间戳和目标计数器确定目标计数器的验证值;根据加密密钥对通道号、时间戳和验证值进行加密生成数据同步信令,并将数据同步信令发送至接收方节点。同时,接收方节点B基于安全两方计算协议生成基础向量,并基于基础向量确定加密密钥。
接收方节点B接收数据同步信令,并根据加密密钥对数据同步信令进行解密,得到解密后的发送方节点的通道号、时间戳和目标计数器的验证值;5根据基础向量确定待确定的计数器,并根据发送方节点的通道号、时间戳和待确定的计数器确定每一待确定的计数器的参考验证值;根据目标计数器的验证值和参考验证值进行比对,根据比对结果在待确定的计数器中确定发送方节点选择的目标计数器。
0参照图11,本发明还提供一种轻量级信道加密装置,所述装置包括:
生成模块100,用于基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
确定模块200,用于根据所述基础向量确定目标计数器,并根据所述发送方节点的通道号、时间戳和所述目标计数器确定所述目标计数器的验证值;5发送模块300,用于根据所述加密密钥对所述通道号、所述时间戳和所述验证值进行加密生成数据同步信令,并将所述数据同步信令发送至接收方节点。
可选地,所述基于安全两方计算协议生成基础向量的步骤包括:
生成第一随机数;
0根据安全两方计算协议和所述第一随机数,确定所述接收方节点对应的第二随机数;
根据所述第一随机数和所述第二随机数生成基础向量。
可选地,所述基于所述基础向量确定加密密钥的步骤包括:
确定所述基础向量的两项的异或值;
5确定所述异或值的哈希值,根据所述哈希值确定所述加密密钥。
可选地,所述将所述数据同步信令发送至接收方节点的步骤之后,还包括:
根据所述加密密钥和所述目标计数器生成流密码;
根据所述流密码对待发送的数据进行加密;
0将加密后的所述数据发送至所述接收方节点。
参照图12,本发明还提供一种轻量级信道加密装置,所述装置包括:
第一计算模块400,用于基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
接收模块500,用于接收数据同步信令,并根据所述加密密钥对所述数据同步信令进行解密,得到解密后的发送方节点的通道号、时间戳和目标计数器的验证值;
第二计算模块600,用于根据所述基础向量确定待确定的计数器,并根据所述发送方节点的通道号、时间戳和所述待确定的计数器确定每一所述待确定的计数器的参考验证值;
比对模块700,用于根据所述目标计数器的验证值和所述参考验证值进行比对,根据比对结果在所述待确定的计数器中确定发送方节点选择的目标计数器。
可选地,所述基于安全两方计算协议生成基础向量的步骤之前,还包括:
生成第二随机数;
根据安全两方计算协议和所述第二随机数,确定发送方节点的第一随机数;
根据所述第一随机数和所述第二随机数生成基础向量。
可选地,所述根据所述目标计数器的验证值和所述参考验证值进行比对,得到发送方节点选择的目标计数器的步骤之后,还包括:
接收加密后的数据;
根据所述加密密钥和发送方节点选择的目标计数器确定流密码;
根据所述流密码对所述数据进行解密。
本发明还提供一种轻量级信道加密设备,所述轻量级信道加密设备包括存储器、处理器以及存储在所述存储器并可在所述处理器上执行的轻量级信道加密程序,所述轻量级信道加密程序被所述处理器执行时实现如上实施例所述的轻量级信道加密方法的各个步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有轻量级信道加密程序,所述轻量级信道加密程序被处理器执行时实现如上实施例所述的轻量级信道加密方法的各个步骤。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、***、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、***、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、***、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例***可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个计算机可读存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,停车管理设备,空调器,或者网络设备等)执行本发明各个实施例所述的***。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种轻量级信道加密方法,其特征在于,应用于发送方节点,所述方法包括:
基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
根据所述基础向量确定目标计数器,并根据所述发送方节点的通道号、时间戳和所述目标计数器确定所述目标计数器的验证值;
根据所述加密密钥对所述通道号、所述时间戳和所述验证值进行加密生成数据同步信令,并将所述数据同步信令发送至接收方节点。
2.如权利要求1所述的轻量级信道加密方法,其特征在于,所述基于安全两方计算协议生成基础向量的步骤包括:
生成第一随机数;
根据安全两方计算协议和所述第一随机数,确定所述接收方节点对应的第二随机数;
根据所述第一随机数和所述第二随机数生成基础向量。
3.如权利要求1所述的轻量级信道加密方法,其特征在于,所述基于所述基础向量确定加密密钥的步骤包括:
确定所述基础向量的两项的异或值;
确定所述异或值的哈希值,根据所述哈希值确定所述加密密钥。
4.如权利要求1所述的轻量级信道加密方法,其特征在于,所述将所述数据同步信令发送至接收方节点的步骤之后,还包括:
根据所述加密密钥和所述目标计数器生成流密码;
根据所述流密码对待发送的数据进行加密;
将加密后的所述数据发送至所述接收方节点。
5.一种轻量级信道加密方法,其特征在于,应用于接收方节点,所述方法包括:
基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
接收数据同步信令,并根据所述加密密钥对所述数据同步信令进行解密,得到解密后的发送方节点的通道号、时间戳和目标计数器的验证值;
根据所述基础向量确定待确定的计数器,并根据所述发送方节点的通道号、时间戳和所述待确定的计数器确定每一所述待确定的计数器的参考验证值;
根据所述目标计数器的验证值和所述参考验证值进行比对,根据比对结果在所述待确定的计数器中确定发送方节点选择的目标计数器。
6.如权利要求5所述的轻量级信道加密方法,其特征在于,所述基于安全两方计算协议生成基础向量的步骤之前,还包括:
生成第二随机数;
根据安全两方计算协议和所述第二随机数,确定发送方节点的第一随机数;
根据所述第一随机数和所述第二随机数生成基础向量。
7.如权利要求5所述的轻量级信道加密方法,其特征在于,所述根据所述目标计数器的验证值和所述参考验证值进行比对,得到发送方节点选择的目标计数器的步骤之后,还包括:
接收加密后的数据;
根据所述加密密钥和发送方节点选择的目标计数器确定流密码;
根据所述流密码对所述数据进行解密。
8.一种轻量级信道加密装置,其特征在于,所述装置包括:
生成模块,用于基于安全两方计算协议生成基础向量,并基于所述基础向量确定加密密钥;
确定模块,用于根据所述基础向量确定目标计数器,并根据所述发送方节点的通道号、时间戳和所述目标计数器确定所述目标计数器的验证值;
发送模块,用于根据所述加密密钥对所述通道号、所述时间戳和所述验证值进行加密生成数据同步信令,并将所述数据同步信令发送至接收方节点。
9.一种轻量级信道加密设备,其特征在于,所述轻量级信道加密设备包5括存储器、处理器以及存储在所述存储器并可在所述处理器上执行的轻量级信道加密程序,所述轻量级信道加密程序被所述处理器执行时实现如权利要求1-4或者5-7任一项所述的轻量级信道加密方法的各个步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质0存储有轻量级信道加密程序,所述轻量级信道加密程序被处理器执行时实现如权利要求1-4或者5-7任一项所述的轻量级信道加密方法的各个步骤。
CN202310020724.1A 2023-01-06 2023-01-06 轻量级信道加密方法、装置、设备和存储介质 Pending CN118316613A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310020724.1A CN118316613A (zh) 2023-01-06 2023-01-06 轻量级信道加密方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310020724.1A CN118316613A (zh) 2023-01-06 2023-01-06 轻量级信道加密方法、装置、设备和存储介质

Publications (1)

Publication Number Publication Date
CN118316613A true CN118316613A (zh) 2024-07-09

Family

ID=91731918

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310020724.1A Pending CN118316613A (zh) 2023-01-06 2023-01-06 轻量级信道加密方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN118316613A (zh)

Similar Documents

Publication Publication Date Title
JP7008725B2 (ja) カウンタベースの暗号システムにおける改良型認証付き暗号化のための方法及びシステム
US9008312B2 (en) System and method of creating and sending broadcast and multicast data
JP7353375B2 (ja) エポック鍵交換を用いたエンドツーエンドの二重ラチェット暗号化
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
US9130744B1 (en) Sending an encrypted key pair and a secret shared by two devices to a trusted intermediary
CN104901935A (zh) 一种基于cpk的双向认证及数据交互安全保护方法
US7039190B1 (en) Wireless LAN WEP initialization vector partitioning scheme
KR20160020866A (ko) 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법
CN114070549A (zh) 一种密钥生成方法、装置、设备和存储介质
CN114070550B (zh) 一种信息处理方法、装置、设备和存储介质
CN210839642U (zh) 一种物联网终端数据安全接收、发送的装置
CN118316613A (zh) 轻量级信道加密方法、装置、设备和存储介质
CN113765900A (zh) 协议交互信息输出传输方法、适配器装置及存储介质
KR100864092B1 (ko) 블록암호의 블록 체이닝 모드를 사용한 패킷 암호화 방법,이를 이용한 패킷 암/복호화 서비스 제공 방법
CN115834175A (zh) 基于量子密钥的群组聊天加密方法、消息收发设备及***
Rubín Bezpečnostní analýza protokolu Signal
CN118157859A (zh) 一种基于国密安全芯片的设备安全通信方法和设备
CN116961954A (zh) 数据包处理方法及相关设备
CN114095151A (zh) 一种加解密方法、认证方法、装置、设备和存储介质
Swaminathan et al. Packet hiding using cryptography with advanced key management against counter jamming attacks in wireless sensor networks
JP2001075474A (ja) キー交換なしのエスクロー暗号化のデバイスと方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination