本发明专利技术提供一种全密态条件下密钥切换的业务无中断实现方法。本方法在密码设备入网全密态网络环境前,先通过密钥管理中心对密码设备离线或在线同步网控工作密钥,初始时密码设备使用网控工作密钥保护业务报文;密码设备分配业务工作密钥后切换到业务工作密钥保护业务报文。本发明专利技术通过业务报文扩展密钥类型和密钥批次的属性字段设计,即支持网控工作密钥切换到业务工作密钥,也同时支持业务工作密钥不同批次间切换。本方法解决集中密钥分配时因密钥因素造成的业务中断问题,提高全密态传输的健壮性。
A non interrupting service implementation method of key switching in fully dense state
【技术实现步骤摘要】
一种全密态条件下密钥切换的业务无中断实现方法
本专利技术涉及网络安全和数据通信
,特别涉及一种全密态条件下密钥切换的业务无中断实现方法。
技术介绍
传统的网络传输加密实现方式基本上都首先通过密钥协商,等待密钥协商成功后建立安全通道,最后进行安全传输业务。正常密钥协商成功前,用户业务都处于中断状态,需要等待协商成功后业务才能通信传输。因此,用户开始使用业务或密码设备异常需要重新协商时,会短时间出现业务失败问题,即密码设备使用流量触发加密模式或无隧道透明传输加密模式时,在未获取协商密钥前,业务处于中断状态。这些因素会对网络的连通性造成影响,在一些连通性要求高的环境中需解决此问题。
技术实现思路
本专利技术提供一种全密态条件下密钥切换的业务无中断实现方法,在加密业务环境基础上通过业务报文扩展密码类型和网控工作密钥的使用,实现业务加密无中断,本方法通过”两阶段”原则实现,阶段一,业务工作密钥密钥获取前,通过网控工作密钥加密保护业务报文,阶段二,业务工作密钥批次获取成功后,切换为业务工作密钥加密保护业务报文。具体步骤如图2所示:步骤1:入网同步阶段,通过密码设备在入网前与密钥管理中心离线或在线同步网控工作密钥;步骤2:网控互联阶段,密码设备在未获取密码设备业务工作密钥批次前,收发业务报文都使用网控工作密钥加解密,密钥类型和密钥批次随业务报文一起发送;步骤3:网控切换业务工作密钥阶段,本端密码设备获取新业务工作密钥批次后,继续使用网控工作密钥加密业务报文,同时设置业务报文的属性字段中密钥批次的更新批次值为新业务工作密钥批次,并与对端密码设备协商业务工作密钥批次,对端密码设备使用网控工作密钥解密业务报文,同时验证新业务工作密钥批次,如果新业务工作密钥批次存在,将当前加密使用的业务工作密钥批次设置新业务工作密钥批次,完成对端密码设备从网控工作密钥切换到业务工作密钥,反向从对端密码设备发起业务时,设置业务报文的属性字段中密钥批次的更新批次值和使用批次值为新业务工作密钥批次,并用新业务工作密钥加密业务报文,本端密码设备接收到业务报文后,根据业务报文的属性字段中密钥批次的使用批次值,使用新业务工作密钥解密业务报文,并验证业务报文的属性字段中密钥批次的更新批次值包含的业务工作密钥批次,如果新业务工作密钥批次存在,将当前加密使用的业务工作密钥批次设置新业务工作密钥批次,完成本端密码设备从网控工作密钥切换到业务工作密钥;步骤4:业务工作密钥间切换阶段,通过指定时间间隔更新业务工作密钥批次后,本端密码设备继续使用原业务工作密钥加密,同时设置业务报文的属性字段中密钥批次的更新批次值为最新业务工作密钥批次,并与对端密码设备协商业务工作密钥批次,对端密码设备根据业务报文的属性字段中密钥批次的使用批次值,使用原业务工作密钥解密业务报文,并验证业务报文的属性字段中密钥批次的更新批次值包含的业务工作密钥批次,如果新业务工作密钥批次存在,将当前加密使用的业务工作密钥批次设置为新业务工作密钥批次,完成对端密码设备业务工作密钥间切换,反向从对端密码设备发起业务时,设置业务工作密钥批次的更新批次值和使用批次值为新业务工作密钥批次,并用新业务工作密钥加密业务报文,本端密码设备接收到业务报文后,根据使用批次值使用新业务工作密钥解密业务报文,并验证更新批次值的业务工作密钥批次,如果新业务工作密钥批次存在,将当前加密使用的业务工作密钥批次设置为新业务工作密钥批次,完成本端密码设备业务工作密钥间切换,业务过程中任意一端密码设备异常或重启后,业务流程自动回退到第二步网控互联重新开始。上述专利技术中的有益效果为:(1)两阶段工作密钥切换模式:默认采用网控工作密钥加密,优先采用业务工作密钥加密原则。业务报文始终处于全密态下密钥保护,有业务工作密钥时使用业务工作密钥加密保护业务报文,否则使用网控工作密钥加密保护业务报文,不因密钥因素造成业务中断;(2)密钥类型和密钥批次参数设计:如图3所示,业务报文扩展包含密钥类型和密钥批次,密钥批次又包括使用批次值和更新批次值,使用批次值应用于密钥批次切换,更新批次值应用于业务工作密钥批次协商,密钥类型和密钥批次定义在SPI或自定义私有数据格式或借用IP报头TOS扩展预留位,随业务报文一起发送对端密码设备。通过数据结构定义,实现网控工作密钥和业务工作密钥切换、业务工作密钥不同批次间无中断同步切换,流程实现都是伴随业务报文实现,无需额外协议业务报文流程支持,提高了网络带宽利用率,适用于卫星等对带宽流量利用率要求高的网络使用,保证了全密态条件下业务无中断切换。附图说明图1为本专利技术的一种全密态条件下密钥切换的业务无中断实现方法的网络拓扑图。图2为本专利技术的一种全密态条件下密钥切换的业务无中断实现方法的流程图。图3为本专利技术的一种全密态条件下密钥切换的业务无中断实现业务报文数据结构设计图。图4为本专利技术的一种全密态条件下密钥切换的业务无中断实现密钥批次切换的流程图。具体实施方式针对本专利技术实现的技术创新特征和目的功效便于理解,结合图示和列举实例,进行阐述本专利技术。如图1所示,为本专利技术实例网络拓扑。实际配置过程如下:A.实例中部署一台密钥管理中心,在各密码设备入网前需先向密钥管理中心同步获取网控工作密钥,密钥管理中心管理全网所有密码设备密钥,未入网的密码设备无法在网内使用;B.各密码设备部署在局域网出口需要能与密钥管理中心连通,密码设备向密钥管理中心注册并按指定时间间隔从密钥管理中心获取最新密码设备业务工作密钥批次;C.各密码设备之间保持互通性,采用透明网桥模式对用户的业务报文加解密;D.跨局域网访问的业务报文才会途径密码设备进行加密通信。本专利技术密钥批次切换流程,如图4所示:A.本端密码设备未获取业务工作密钥时,一直使用网控工作密钥加密并在业务报文中设置网控工作密钥类型;B.对端密码设备接收业务报文,判断业务报文密钥类型是网控工作密钥类型,直接获取网控工作密钥解密;C.对端密码设备未获取业务工作密钥时,一直使用网控工作密钥加密并在业务报文中设置网控工作密钥类型;D.本端密码设备接收业务报文,判断业务报文密钥类型是网控工作密钥类型,直接获取网控工作密钥解密;E.本端密码设备获取业务工作密钥后,继续使用网控工作密钥加密并在业务报文中设置网控工作密钥类型,将密钥批次中更新批次值设置为新业务工作密钥批次值;F.对端密码设备获取业务工作密钥后,对端密码设备接收业务报文,判断业务报文密钥类型是网控工作密钥类型,直接获取网控工作密钥解密。判断密钥批次中更新批次值本地存在时,启用加密时使用此更新批次值;G.对端密码设备发起业务报文时,发现有启动的密钥批次值,使用此批次的业务工作密钥加密并在业务报文中设置业务工作密钥类型,设置密钥批次中使用批次值为此批次值,更新批次值为此批次值;H.本端密码设备接收业务报文,判断业务报文密钥类型是业务工作密钥类型,根据密钥批次本文档来自技高网...
【技术保护点】
1.一种全密态条件下密钥切换的业务无中断实现方法,其特征在于:包含入网同步、网控互联、网控切换业务工作密钥、业务工作密钥间切换四个步骤,所述四个步骤实现如下:/n步骤1:入网同步阶段,通过密码设备在入网前与密钥管理中心离线或在线同步网控工作密钥;/n步骤2:网控互联阶段,密码设备在未获取密码设备业务工作密钥批次前,收发业务报文都使用网控工作密钥加解密,密钥类型和密钥批次随业务报文一起发送;/n步骤3:网控切换业务工作密钥阶段,本端密码设备获取新业务工作密钥批次后,继续使用网控工作密钥加密业务报文,同时设置业务报文的属性字段中密钥批次的更新批次值为新业务工作密钥批次,并与对端密码设备协商业务工作密钥批次,对端密码设备使用网控工作密钥解密业务报文同时验证新业务工作密钥批次,如果新业务工作密钥批次存在,将当前加密使用的业务工作密钥批次设置为新业务工作密钥批次,完成对端密码设备从网控工作密钥切换到业务工作密钥,反向从对端密码设备发起业务时,设置业务报文的属性字段中密钥批次的更新批次值和使用批次值为新业务工作密钥批次,并用新业务工作密钥加密业务报文,本端密码设备接收到业务报文后,根据业务报文的属性字段中密钥批次的使用批次值,使用新业务工作密钥解密业务报文,并验证业务报文的属性字段中密钥批次的更新批次值,如果新业务工作密钥批次存在,将当前加密使用的业务工作密钥批次设置为新业务工作密钥批次,完成本端密码设备从网控工作密钥切换到业务工作密钥;/n步骤4:业务工作密钥间切换阶段,通过指定时间间隔更新业务工作密钥批次后,本端密码设备继续使用原业务工作密钥加密,同时设置业务报文的属性字段中密钥批次的更新批次值为最新业务工作密钥批次,并与对端密码设备协商业务工作密钥批次,对端密码设备根据业务报文的属性字段中密钥批次的使用批次值,使用原业务工作密钥解密业务报文,并验证业务报文的属性字段中密钥批次的更新批次值包含的业务工作密钥批次,如果新业务工作密钥批次存在,将当前加密使用的业务工作密钥批次设置为新业务工作密钥批次,完成对端密码设备业务工作密钥间切换,反向从对端密码设备发起业务时,设置业务报文的属性字段中密钥批次的更新批次值和使用批次值为新业务工作密钥批次,并用新业务工作密钥加密业务报文,本端密码设备接收到业务报文后,根据业务报文的属性字段中密钥批次的使用批次值,使用新业务工作密钥解密业务报文,并验证业务报文的属性字段中密钥批次的更新批次值包含的业务工作密钥批次,如果新业务工作密钥批次存在,将当前加密使用的业务工作密钥批次设置为新业务工作密钥批次,完成本端密码设备业务工作密钥间切换,业务过程中任意一端密码设备异常或重启后,业务流程自动回退到第二步网控互联重新开始。/n...
【技术特征摘要】
1.一种全密态条件下密钥切换的业务无中断实现方法,其特征在于:包含入网同步、网控互联、网控切换业务工作密钥、业务工作密钥间切换四个步骤,所述四个步骤实现如下:
步骤1:入网同步阶段,通过密码设备在入网前与密钥管理中心离线或在线同步网控工作密钥;
步骤2:网控互联阶段,密码设备在未获取密码设备业务工作密钥批次前,收发业务报文都使用网控工作密钥加解密,密钥类型和密钥批次随业务报文一起发送;
步骤3:网控切换业务工作密钥阶段,本端密码设备获取新业务工作密钥批次后,继续使用网控工作密钥加密业务报文,同时设置业务报文的属性字段中密钥批次的更新批次值为新业务工作密钥批次,并与对端密码设备协商业务工作密钥批次,对端密码设备使用网控工作密钥解密业务报文同时验证新业务工作密钥批次,如果新业务工作密钥批次存在,将当前加密使用的业务工作密钥批次设置为新业务工作密钥批次,完成对端密码设备从网控工作密钥切换到业务工作密钥,反向从对端密码设备发起业务时,设置业务报文的属性字段中密钥批次的更新批次值和使用批次值为新业务工作密钥批次,并用新业务工作密钥加密业务报文,本端密码设备接收到业务报文后,根据业务报文的属性字段中密钥批次的使用批次值,使用新业务工作密钥解密业务报文,并验证业务报文的属性字段中密钥批次的更新批次值,如果新业务工作密钥批次存在,将当前加密使用的业务工作密钥批次设置为新业务工作密钥批次,完成本端密码设备从网控工作密钥切换到业务工作密钥;
步骤4:业务工作密钥间切换阶段,通过指定时间间隔更新业务工作密钥批次后,本端密码设备继续使用原业务工作密钥加密,同时设置业务报文的属性字段中密钥批次的更新批次值为最新业务工作密钥批次,并与对端密码设备协商业务工作密钥批次,对端密码设备根据业务报文的属性字段中密钥批次的使用批次值,使用原业务工作密钥解密...
【专利技术属性】
技术研发人员:卓才华,郑重,王瑞,
申请(专利权)人:北京天御云安科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。