本发明专利技术公开了一种链路层透明加密系统多节点密钥自动协商管理的方法。链路层透明加密系统可提供链路层数据载荷透明加密功能,即保留数据包头不变的情况下仅对数据载荷进行加密,以实现加密后数据包仍然能够按照原网络路径进行流转,无需添加或更改地址信息或路由策略。在本方法中,链路加密节点之间完成相互发现和会话密钥协商之后,每个节点都会在内部建立一张“链路加密节点ID与会话密钥的对照表”,然后根据对外网透传数据包的目的MAC地址建立“链路加密节点ID与外部MAC地址对照表”。链路加密节点即可通过网络数据包MAC地址,判断出该MAC地址所属的网络设备是位于哪一个链路加密节点保护的内网之中(即查询到对应链路加密节点ID),进而再通过查找链路节点ID与密钥对照表,得到该数据包对应的正确的会话密钥,最后对该数据包进行加密或解密。本方法可实现多台透明链路加密节点之间自动完成相互密钥协商管理,每两个节点之间使用独立的会话密钥,并选择使用正确的会话密钥对数据进行加密和解密。解密。解密。
【技术实现步骤摘要】
一种链路层透明加密系统多节点密钥自动协商管理的方法
[0001]本专利技术涉及一种计算机网络通讯传输加密系统和技术,尤其涉及链路透明加密技术和会话密钥协商技术。
技术介绍
[0002]针对网络传输数据进行加密是非常常见的信息安全需求,应用范围极广,常用的技术包括IPSecVPN和SSLVPN等系统。这两种网络加密协议原理是将原始网络数据包整个加密(包含IP数据包头信息或二层数据包头MAC地址信息),然后按照VPN系统的路由设置重新添加一个包头(包括新的MAC地址和IP地址),将新的加密包发送给对方VPN系统,对方VPN系统解密后,还原出原始数据包。这样的解决方案要求必须事先为VPN系统分配IP地址,并要求应用系统将其默认网关或目的网络的路由信息指向VPN系统,同时需要在VPN系统之间设置较为复杂的隧道规则信息,对用户的专业技术有一定要求。在许多实际网络加密需求场景中,客户操作人员经常不具备太多网络知识基础和VPN系统使用经验,导致VPN配置和应用效率很低,且容易因配置错误出现安全隐患。
[0003]基于上述原因,链路层透明加密系统应运而生,它通常表现为全透明网络设备,无需操作员为其配置IP地址、MAC地址、路由信息以及隧道规则。工作原理不再是将网络数据包整个加密,而是保留原始数据包的包头信息不变,仅仅将载荷内容进行加密,然后将加密后的数据再传到网络中。这样做的优点是:数据包原本是怎么流转的(包括如何路由和寻址),加密后仍然能够按照原网络路径进行流转,因为网路设备在转发数据包时是按照包头的地址信息进行判断和处理的,透明加密后改变的仅仅是载荷内容,并未改变包头地址信息。如此一来,操作员部署链路加密系统的工作量和难度都大幅降低,只需要将系统串接在网络中,数据穿过链路加密系统时就可以自动完成加密或解密,非常方便。通过巧妙的设计,链路加密节点之间也可以实现会话密钥协商功能。
[0004]但是,当网络系统中存在多个链路加密节点并存时,链路加密节点难以判断外网口收到的数据包实际来自于哪个外部链路加密节点,原因是网络数据包经过链路加密节点并被加密后,该数据包本身并未附加任何有关链路加密节点身份的信息,因此链路加密节点无法在多个会话密钥当中选择正确的那个进行解密。同样,链路加密节点在内网口收到的数据包时,也无从得知改数据包将发往哪个链路加密节点方向,无法在多个会话密钥列表当中选择正确的那个进行加密。
[0005]因此,许多链路透明加密系统在多节点应用场景下,只好选择所有节点使用一个相同会话密钥。这样的弊端显而易见:一旦任何一个链路的会话密钥被破解,整个网络系统的所有密钥都不安全了,整体安全性大打折扣。
技术实现思路
[0006]针对现有链路层透明加密系统无法实现有效的会话密钥分别协商和管理的不足,本专利技术提供了一种链路层透明加密系统多节点密钥自动协商管理的方法,链路加密节点之
间完成相互发现和会话密钥协商之后,每个节点都会在内部建立一张其他“链路加密节点ID与会话密钥对照表”,然后根据对外网透传数据包的目的MAC地址建立“链路加密节点ID与外部MAC地址对照表”。链路加密节点即可通过网络数据包MAC地址,判断出该MAC地址所属的网络设备是位于哪一个链路加密节点保护的内网之中(即查询到对应链路加密节点ID),进而再通过查找链路节点ID与密钥对照表,得到该数据包对应的正确的会话密钥,最后对该数据包进行加密或解密。本方法可实现多台透明链路加密节点之间自动完成相互密钥协商,每两个节点之间使用独立的会话密钥,并使得节点之间网络数据能够使用正确的会话密钥加密和解密。
[0007]为实现上述目的,本专利技术提供如下技术方案:一种链路层透明加密系统多节点密钥自动协商管理的方法,其特征在于,至少包含2个链路加密节点,每个链路加密节点内网口连接至少1个网络设备,链路加密节点维护至少两张表:“外部MAC地址与链路加密节点ID对照表”(T1),“链路加密节点ID与会话密钥对照表”(T2);所述链路加密节点之间使用网络Network直接或间接连通节点的外网口;所述链路加密节点可提供链路层数据透明加密功能,即保留数据包头不变的情况下仅对数据载荷进行加密或解密;所述链路加密节点能够对从内网口接收到的数据进行透明加密,然后将加密数据从外网口发送出去;所述链路加密节点能够对从外网口接收到的数据进行透明解密,然后将解密后的数据从内网口发送出去;所述链路加密节点之间完成相互发现和会话密钥协商之后,每个所述链路加密节点都会在内部建立所述“链路加密节点ID与会话密钥对照表”(T2)。此时每个所述“外部MAC地址与链路加密节点ID对照表”(T1)为空;当某个所述链路加密节点A内网的所述网络节点A1,首次发送数据包P到另外一个所述链路加密节点B内网的所述网络节点B1时:a)所述链路加密节点A查询到所述“链路加密节点ID与会话密钥对照表”(TA1)内容为空,于是不会对数据包P加密,而是复制该数据包P的包头并构建一个相同包头的伪装包PA,PA的载荷内至少包含一个特殊标识和所述链路加密节点A的ID信息,然后将原数据包P和伪装包PA一同发送出去;b)所述链路加密节点B收到数据包P后,查询到所述“链路加密节点ID与会话密钥对照表”(TB1)内容为空,于是透传数据包给所述网络节点B1;c)所述链路加密节点B收到伪装数据包PA后,判断出载荷中的特殊标识,便可以从载荷中获取到所述链路加密节点A的ID信息以及数据包PA的源MAC地址;d)所述链路加密节点B在自身所述“外部MAC地址与链路加密节点ID对照表”(TB1)中添加一条记录,记录至少包含数据包PA的MAC地址和所述链路加密节点A的ID信息;e)所述链路加密节点B复制数据包PA的包头并反转MAC地址,构建一个新的伪装包PB,PB的载荷内至少包含一个特殊标识和所述链路加密节点B的ID信息;然后将伪装包PB发送出去;f)所述链路加密节点A收到伪装数据包PB后,判断出载荷中的特殊标识,便可以从载荷中获取到所述链路加密节点B的ID信息以及数据包PB的源MAC地址;g)所述链路加密节点A在自身所述“外部MAC地址与链路加密节点ID对照表”(TA1)
中添加一条记录,记录至少包含数据包PB的MAC地址和所述链路加密节点B的ID信息;h)如此,任意两个非同一内网的所述网络设备只要进行过至少一次数据通讯,根据上述步骤均可在所述网络设备最近的所述链路加密节点中的所述“外部MAC地址与链路加密节点ID对照表”(T1)中添加记录;方法不重复添加相同的记录;上述步骤完成后,所述链路加密节点之间可选择正确的会话密钥对数据包进行加密或解密:a)对于进入所述链路加密节点内网接口的数据包,获取其目的MAC地址,查询自身所述“外部MAC地址与链路加密节点ID对照表”(T1),可得到数据包目的地址对应的所述网络设备所属的所述链路加密节点ID;b)根据ID查询所述“链路加密节点ID与会话密钥对照表”(T2),得到会话密钥;c)使用会话密钥对数据包进行载荷透明加密,并将加密数据包从外网口发送出去;d)对于进入所述链路加密节点外网接口的数据包,获取其源MAC地址本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种链路层透明加密系统多节点密钥自动协商管理的方法,其特征在于:所述方法至少包含2个链路加密节点,每个链路加密节点内网口连接至少1个网络设备,链路加密节点维护至少两张表:“外部MAC地址与链路加密节点ID对照表”(T1),“链路加密节点ID与会话密钥对照表”(T2);所述链路加密节点之间使用网络Network直接或间接连通节点的外网口;所述链路加密节点可提供链路层数据透明加密功能,即保留数据包头不变的情况下仅对数据载荷进行加密或解密;所述链路加密节点能够对从内网口接收到的数据进行透明加密,然后将加密数据从外网口发送出去;所述链路加密节点能够对从外网口接收到的数据进行透明解密,然后将解密后的数据从内网口发送出去;所述链路加密节点之间完成相互发现和会话密钥协商之后,每个所述链路加密节点都会在内部建立所述“链路加密节点ID与会话密钥对照表”(T2)。此时每个所述“外部MAC地址与链路加密节点ID对照表”(T1)为空;当某个所述链路加密节点A的内网的所述网络节点A1,首次发送数据包P到另外一个所述链路加密节点B的内网的所述网络节点B1时:a)所述链路加密节点A查询到所述“链路加密节点ID与会话密钥对照表”(TA1)内容为空,于是不会对数据包P加密,而是复制该数据包P的包头并构建一个相同包头的伪装包PA,PA的载荷内至少包含一个特殊标识和所述链路加密节点A的ID信息,然后将原数据包P和伪装包PA一同发送出去;b)所述链路加密节点B收到数据包P后,查询到所述“链路加密节点ID与会话密钥对照表”(TB1)内容为空,于是透传数据包给所述网络节点B1;c)所述链路加密节点B收到伪装数据包PA后,判断出载荷中的特殊标识,便可以从载荷中获取到所述链路加密节点A的ID信息以及数据包PA的源MAC地址;d)所述链路加密节点B在自身所述“外部MAC地址与链路加密节点ID对照表”(TB1)中添加一条记录,记录至少包含数据包PA的MAC地址和所述链路加密节点A的ID信息;e)所述链路加密节点B复制数据包PA的包头并反转MAC地址,构建一个新的伪装包PB,PB的载荷内至少包含一个特殊标识和所述链路加密节点B的ID信息;然后将伪装包PB发送出去;f)所述链路加密节点A收到伪装数据包PB后,判断出载荷中的特殊标识,便可以从载荷中获取到所述链路加密节点B的ID信息以及数据包PB的源MAC地址;g)所述链路加密节点A在自身所述“外部MAC地址与链路加密节点ID对照表”(TA1)中添加一条记录,记录至少...
【专利技术属性】
技术研发人员:张建国,王赛,
申请(专利权)人:北京国领科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。