本发明专利技术公开了一种通信方法、装置、电子设备及存储介质,用以解决现有技术中存在的通信双方的安全性较低的技术问题,该方法包括:根据数据传输请求,生成包含第一签名、第一NLP地址、及第一临时公钥的密钥协商报文;将密钥协商报文发送给第二方,使第二方用第一签名和第一NLP地址验证第一方的身份,并在验证成功后存储第一临时公钥,及生成包含第二签名、第二NLP地址及第二临时公钥的响应报文;接收响应报文,并在成功用第二签名和第二NLP地址验证第二方的身份后,根据ECDH对与第一临时公钥对应的第一临时私钥及第二临时公钥进行计算,得到共享密钥;在与第二方进行数据交互时,用共享密钥进行数据的加密传输。享密钥进行数据的加密传输。享密钥进行数据的加密传输。
【技术实现步骤摘要】
一种通信方法、装置、电子设备及存储介质
[0001]本专利技术涉及通信领域,尤其是涉及一种通信方法、装置、电子设备及存储介质。
技术介绍
[0002]在互联网中,网络传输层协议通常使用的是传输控制协议(Transmission Control Protocol/Internet Protocol,TCP/IP),所有传输层如TCP、用户数据报协议(User Datagram Protocol,UDP)及其它传输层协议等的数据,都被直接封装为IP数据包进行传输。
[0003]然而,在使用TCP/IP协议的网络中传输数据时,攻击者可以通过IP地址欺骗目标主机,以便对目标主机进行拒绝服务攻击、伪造TCP连接、会话劫持、隐藏攻击主机地址等。对于通信双方需要进行交互的场景而言,任一方被攻击都会造成双方不能进行正常通信。
[0004]鉴于此,如何提高通信双方的通信安全,成为一个亟待解决的技术问题。
技术实现思路
[0005]本专利技术提供一种通信方法、装置、电子设备及存储介质,用以解决现有技术中存在的通信双方的安全性较低的技术问题。
[0006]第一方面,为解决上述技术问题,本专利技术实施例提供的一种通信方法,应用于第一方,该方法的技术方案如下:
[0007]根据数据传输请求,生成包含第一签名、第一NLP地址、及第一临时公钥的密钥协商报文;其中,所述密钥协商报文用于所述第一方与所述第二方进行身份认证和密钥交换,所述第一签名是通过所述第一方的第一私钥生成的,所述第一NLP地址为所述第一方的第一公钥;
[0008]将所述密钥协商报文发送给所述第二方,使所述第二方用所述第一签名和所述第一NLP地址验证所述第一方的身份,并在验证成功后存储所述第一临时公钥,及生成包含第二签名、第二NLP地址及第二临时公钥的响应报文;其中,所述第二签名是通过所述第二方的第二私钥生成的,所述第二NLP地址为所述第二方的第二公钥,所述第二方使用的也是所述NLP协议栈;
[0009]接收所述响应报文,并用所述第二签名和所述第二NLP地址验证所述第二方的身份,在验证成功后,根据椭圆曲线迪菲
‑
赫尔曼秘钥交换ECDH,对与所述第一临时公钥对应的第一临时私钥及所述第二临时公钥进行计算,得到共享密钥;在与所述第二方进行数据交互时,用所述共享密钥进行数据的加密传输。
[0010]一种可能的实施方式,生成包含第一签名、第一NLP地址以及第一临时公钥的密钥协商报文之前,还包括:
[0011]根据所述ECDH生成第一临时密钥对;
[0012]将所述第一临时密钥对中的公钥作为所述第一临时公钥;
[0013]将所述第一临时密钥对中的私钥作为所述第一临时私钥。
[0014]一种可能的实施方式,生成包含第一签名、第一NLP地址以及第一临时公钥的密钥协商报文之前,还包括:
[0015]随机生成所述第一私钥;
[0016]采用非对称加密算法和所述第一私钥生成所述第一公钥。
[0017]一种可能的实施方式,生成包含第一签名、第一NLP地址以及第一临时公钥的密钥协商报文,包括:
[0018]从所述数据传输请求中获取所述第二NLP地址;
[0019]对所述第二NLP地址进行解析,获得所述第二方的第二物理地址;
[0020]用所述第一私钥对所述密钥协商报文中至少包含所述第一临时公钥和时间戳的部分头部信息进行加密,获得所述第一签名;其中,所述时间戳用于验证所述密钥协商报文的时效性;
[0021]将所述第一签名、所述第一NLP地址、所述第一方的第一物理地址、所述第二NLP地址、所述第二物理地址以及所述第一临时公钥封装为所述密钥协商报文。
[0022]一种可能的实施方式,所述部分头部信息,包括:
[0023]所述密钥协商报文的NLP基本头部和NLP扩展头部;
[0024]或,所述NLP基本头部中的部分头部和所述NLP扩展头部。
[0025]一种可能的实施方式,用所述第二签名和所述第二NLP地址验证所述第二方的身份,包括:
[0026]用所述第二NLP地址验证所述第二签名;
[0027]若验证成功,则确定所述第二方的身份验证成功;
[0028]若用所述第二NLP地址验证所述第二签名失败,则确定所述第二方的身份验证失败,并丢弃所述响应报文。
[0029]一种可能的实施方式,在与所述第二方进行数据交互时,用所述共享密钥进行数据的加密传输,包括:
[0030]当向所述第二方发送待传输数据时,从所述数据传输请求中获取所述待传输数据;并用具有关联数据的认证加密AEAD性质的对称加密算法及所述共享密钥加密所述待传输数据,获得加密后的待传输数据;其中,所述待传输数据为得到所述第一方的NLP协议栈中网络层之上的多层数据;
[0031]将所述加密后的待传输数据封装在第一NLPSec报文中,并发送给所述第二方;
[0032]当接收到所述第二方发送的第二NLPSec报文后,用所述对称加密算法和所述共享密钥,对所述第二NLPSec报文中的加密数据进行解密及完整性校验,在校验成功后将解密后的数据传输给所述第一方的NLP协议栈中的传输层进行处理。
[0033]第二方面,本专利技术实施例提供了一种通信装置,包括:
[0034]生成单元,用于根据数据传输请求,生成包含第一签名、第一NLP地址、及第一临时公钥的密钥协商报文;其中,所述密钥协商报文用于所述第一方与所述第二方进行身份认证和密钥交换,所述第一签名是通过所述第一方的第一私钥生成的,所述第一NLP地址为所述第一方的第一公钥;
[0035]验证单元,用于将所述密钥协商报文发送给所述第二方,使所述第二方用所述第一签名和所述第一NLP地址验证所述第一方的身份,并在验证成功后存储所述第一临时公
钥,及生成包含第二签名、第二NLP地址及第二临时公钥的响应报文;其中,所述第二签名是通过所述第二方的第二私钥生成的,所述第二NLP地址为所述第二方的第二公钥,所述第二方使用的也是所述NLP协议栈;
[0036]传输单元,用于接收所述响应报文,并用所述第二签名和所述第二NLP地址验证所述第二方的身份,在验证成功后,根据椭圆曲线迪菲
‑
赫尔曼秘钥交换ECDH,对与所述第一临时公钥对应的第一临时私钥及所述第二临时公钥进行计算,得到共享密钥;在与所述第二方进行数据交互时,用所述共享密钥进行数据的加密传输。
[0037]一种可能的实施方式,所述生成单元还用于:
[0038]根据所述ECDH生成第一临时密钥对;
[0039]将所述第一临时密钥对中的公钥作为所述第一临时公钥;
[0040]将所述第一临时密钥对中的私钥作为所述第一临时私钥。
[0041]一种可能的实施方式,所述生成单元还用于:
[0042]随机生成所述第一私钥;
[0043]采用非对称加密算法和所述第一私钥生成所述第一公钥本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种通信方法,应用于第一方,所述第一方使用的是新链网NLP协议栈,其特征在于,包括:根据数据传输请求,生成包含第一签名、第一NLP地址、及第一临时公钥的密钥协商报文;其中,所述密钥协商报文用于所述第一方与所述第二方进行身份认证和密钥交换,所述第一签名是通过所述第一方的第一私钥生成的,所述第一NLP地址为所述第一方的第一公钥;将所述密钥协商报文发送给所述第二方,使所述第二方用所述第一签名和所述第一NLP地址验证所述第一方的身份,并在验证成功后存储所述第一临时公钥,及生成包含第二签名、第二NLP地址及第二临时公钥的响应报文;其中,所述第二签名是通过所述第二方的第二私钥生成的,所述第二NLP地址为所述第二方的第二公钥,所述第二方使用的也是所述NLP协议栈;接收所述响应报文,并用所述第二签名和所述第二NLP地址验证所述第二方的身份,在验证成功后,根据椭圆曲线迪菲
‑
赫尔曼秘钥交换ECDH,对与所述第一临时公钥对应的第一临时私钥及所述第二临时公钥进行计算,得到共享密钥;在与所述第二方进行数据交互时,用所述共享密钥进行数据的加密传输。2.如权利要求1所述的通信方法,其特征在于,生成包含第一签名、第一NLP地址以及第一临时公钥的密钥协商报文之前,还包括:根据所述ECDH生成第一临时密钥对;将所述第一临时密钥对中的公钥作为所述第一临时公钥;将所述第一临时密钥对中的私钥作为所述第一临时私钥。3.如权利要求1所述的通信方法,其特征在于,生成包含第一签名、第一NLP地址以及第一临时公钥的密钥协商报文之前,还包括:随机生成所述第一私钥;采用非对称加密算法和所述第一私钥生成所述第一公钥。4.如权利要求1所述的通信方法,其特征在于,生成包含第一签名、第一NLP地址以及第一临时公钥的密钥协商报文,包括:从所述数据传输请求中获取所述第二NLP地址;对所述第二NLP地址进行解析,获得所述第二方的第二物理地址;用所述第一私钥对所述密钥协商报文中至少包含所述第一临时公钥和时间戳的部分头部信息进行加密,获得所述第一签名;其中,所述时间戳用于验证所述密钥协商报文的时效性;将所述第一签名、所述第一NLP地址、所述第一方的第一物理地址、所述第二NLP地址、所述第二物理地址以及所述第一临时公钥封装为所述密钥协商报文。5.如权利要求4所述的通信方法,其特征在于,所述部分头部信息,包括:所述密钥协商报文的NLP基本头部和NLP扩展头部;或,所述NLP基本头部中的部分头部和所述NLP扩展头部。6.如权利要求1所述的通信方法,其特征在于,用所述第二签名和所述第二NLP地址验证所述第二方的身份,包括:用所述第二NLP地址验证所...
【专利技术属性】
技术研发人员:陈升,李信满,蔡焜,佟磊,马炬,
申请(专利权)人:北京世纪互联宽带数据中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。