一种免IP配置的透明加密装置及方法制造方法及图纸

本发明专利技术公开了一种免IP配置的透明加密装置，包括密钥管理中心与透明加密设备，所述密钥管理中心对密钥进行全生命周期管理，并将密钥按需分发给透明加密设备使用，同时，密钥管理中心支持数据加解密，能够与透明加密设备进行密文通信；透明加密设备负责向密钥管理中心请求密钥、使用密钥对往来数据进行加解密，负责透明加密设备自身的IP地址管理，实现透明加密设备的无IP上线。与现有技术相比，本发明专利技术无需给透明加密设备配置IP，故可支持透明加密设备的即插即用。建设好密钥管理中心后，只需将密钥管理中心IP地址写入透明加密设备，即可将透明加密设备发往使用地。在使用地无需对透明加密设备进行配置，即插即用，有效降低用户的学习成本。学习成本。学习成本。

【技术实现步骤摘要】
一种免IP配置的透明加密装置及方法


[0001]本专利技术涉及保密通信领域和加密
，特别涉及一种免IP配置的透明加密装置及方法。

技术介绍

[0002]为保证数据传输过程的安全，通信双方会采用对传输数据进行加密的方法。同时，考虑并非所有通信设备均支持加密，往往会采用透明加密的方式，即通信双方对加密行为无感知。此时，会在通信双方的流量出口处增加透明加密设备，如图1所示，终端A与终端B原采用明文传输数据，现在其双方流量出口处增加透明加密设备对传输数据进行加密，实现密文传输。此过程中，透明传输设备需要与密钥管理中心建立连接，由密钥管理中心对透明加密设备进行密钥分发，以保证两端的透明加密设备所使用的密钥一致，故需要对透明加密设备分配IP地址，会存在两个缺点：额外占用IP资源，若原规划IP资源不足则需新增IP资源增加用户配置、维护工作，设备上线时需要IP配置工作，同时，为便于后续管理需记录IP与透明加密设备的对应关系及部署位置，增加了用户配置、维护成本。
[0003]故急需一种免IP配置的透明加密装置实现透明加密设备的无IP地址上线。

技术实现思路

[0004]本专利技术针对当前透明加密系统中透明加密设备需要额外占用IP资源并增加用户配置、维护成本的情况，提供一种免IP配置的透明加密装置，具体如下：本专利技术的技术方案是这样实现的：一种免IP配置的透明加密装置，包括：密钥管理中心，所述密钥管理中心对密钥进行全生命周期管理，并将密钥按需分发给透明加密设备使用，同时，密钥管理中心支持数据加解密，能够与透明加密设备进行密文通信；透明加密设备，透明加密设备负责向密钥管理中心请求密钥、使用密钥对往来数据进行加解密，负责透明加密设备自身的IP地址管理，实现透明加密设备的无IP上线。
[0005]优选地，所述密钥管理中心包括密钥管理模块、第一加解密模块和设备管理模块，所述密钥管理模块负责密钥的全生命周期管理，所述密钥管理模块将密钥按需分发给接入的透明加密设备使用，所述第一加解密模块负责对往来数据进行加解密，对透明加密设备传输来的密文进行解密，对接收到的明文进行加密转发，所述设备管理模块负责透明加密设备的接入管理，对接入的透明加密设备的身份进行验证、设备状态监控告警。
[0006]优选地，所述透明加密设备包括第二加解密模块与IP管理模块，所述第二加解密模块负责对往来数据进行加解密，对透明加密设备传输来的密文进行解密，对接收到的明文进行加密转发，所述IP管理模块负责本设备的IP地址管理，实现透明加密设备的无IP上线。
[0007]本专利技术还公开了一种免IP配置的透明加密方法，包括以下步骤：步骤1，预置根密钥至透明加密设备；步骤2，第一加解密模块对往来数据进行加解密，对透明加密设备传输来的密文进行解密，对接收到的明文进行加密转发；步骤3，设备管理模块将透明加密设备接入管理，对接入的透明加密设备的身份进行验证、设备状态监控告警；步骤4，第二加解密模块与第一加解密模块配合对往来数据进行加解密，对透明加密设备传输来的密文进行解密，对接收到的明文进行加密转发；步骤5，IP管理模块对设备进行IP地址管理，实现透明加密设备的无IP上线。
[0008]优选地，所述步骤1具体过程为：步骤11，密钥管理模块新建密钥；步骤12，将新建的密钥导出后导入透明加密设备作为透明加密设备的根密钥使用；步骤13，接收透明加密设备发送来的密钥请求，由第一加解密模块解密后转给密钥管理模块处理；步骤14，密钥管理模块响应密钥请求，组装密钥请求响应报文；步骤15，第一加解密模块对密钥请求响应报文进行加密后发送给透明加密设备；步骤16，透明加密设备接收密钥请求响应报文后解密处理。
[0009]优选地，所述步骤2具体过程为：加密过程：步骤21，对收到的明文数据进行白名单查询，白名单内容包括但不限于协议、源MAC、目的MAC、源IP、目的IP、源端口、目的端口，对匹配上白名单的数据不进行加密直接转发，否则进行加密处理；步骤22，使用密钥对载荷进行加密；步骤23，加密后由于载荷内容和载荷长度发生变化，对IP Header、TCP Header/UDP Header中的长度、校验和等字段进行更新；步骤24，对密文进行转发；解密过程：步骤25，对收到的数据进行白名单查询，白名单内容包括但不限于协议、源MAC、目的MAC、源IP、目的IP、源端口、目的端口，对匹配上白名单的数据不进行解密直接转发，否则进行解密处理；步骤26，对收到的密文的载荷部分进行解密；步骤27，解密后由于载荷内容和载荷长度发生变化，对IP Header、TCP Header/UDP Header中的长度、校验和字段进行更新；步骤28，对明文进行转发。
[0010]优选地，所述步骤4具体过程为：加密过程：步骤41，对收到的明文数据进行白名单查询，白名单内容包括但不限于协议、源MAC、目的MAC、源IP、目的IP、源端口、目的端口，对匹配上白名单的数据不进行加密直接转
发，否则进行加密处理；步骤42，使用密钥对载荷进行加密；步骤43，加密后由于载荷内容和载荷长度发生变化，对IP Header、TCP Header/UDP Header中的长度、校验和等字段进行更新；步骤44，对密文进行转发；解密过程：步骤45，对收到的数据进行白名单查询，白名单内容包括但不限于协议、源MAC、目的MAC、源IP、目的IP、源端口、目的端口，对匹配上白名单的数据不进行解密直接转发，否则进行解密处理；步骤46，对收到的密文的载荷部分进行解密；步骤47，解密后由于载荷内容和载荷长度发生变化，对IP Header、TCP Header/UDP Header中的长度、校验和字段进行更新；步骤48，对明文进行转发。
[0011]优选地，所述步骤5具体过程为：步骤51，识别真实的源IP、源MAC：过滤异常IP、MAC，识别出真实的IP、MAC进行借用；步骤52，IP、MAC存活探测：对借用的IP、MAC进行存活探测；步骤53， ARP刷新；步骤54，异常处理：当透明加密设备与密钥管理中心的一次交互未完成时出现借用的IP或MAC地址失效问题进行处理。
[0012]与现有技术相比，本专利技术有以下有益效果：本专利技术的免IP配置的透明加密装置无需给透明加密设备配置IP，无需额外占用IP资源也不涉及IP管理的配置、维护成本；保证了透明加密设备使用借用IP、MAC地址与密钥管理中心间的管理通信稳定；本专利技术通过代发免费ARP的方式，提供了一种免IP配置的透明加密装置中保障所处链路中各设备转发表项学习正确的方法，保证了透明加密设备使用借用IP、MAC地址与密钥管理中心间的管理通信稳定；本专利技术提供的透明加密方法不影响加密后数据的正常转发，由于未对MAC Header、IP Header进行加解密，源MAC、目的MAC、源IP、目的IP等信息均未改变，加密对数据的转发无影响；本专利技术无需给透明加密设备配置IP，故可支持透明加密设备的即插即用。建设好密钥管理中心后，只需将密钥管理中心IP地址写入透明加密设备，即可将透明加密设备发往使用地本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种免IP配置的透明加密装置，其特征在于，包括：密钥管理中心，所述密钥管理中心对密钥进行全生命周期管理，并将密钥按需分发给透明加密设备使用，同时，密钥管理中心支持数据加解密，能够与透明加密设备进行密文通信；透明加密设备，透明加密设备负责向密钥管理中心请求密钥、使用密钥对往来数据进行加解密，负责透明加密设备自身的IP地址管理，实现透明加密设备的无IP上线。2.如权利要求1所述的免IP配置的透明加密装置，其特征在于，所述密钥管理中心包括密钥管理模块、第一加解密模块和设备管理模块，所述密钥管理模块负责密钥的全生命周期管理，所述密钥管理模块将密钥按需分发给接入的透明加密设备使用，所述第一加解密模块负责对往来数据进行加解密，对透明加密设备传输来的密文进行解密，对接收到的明文进行加密转发，所述设备管理模块负责透明加密设备的接入管理，对接入的透明加密设备的身份进行验证、设备状态监控告警。3.如权利要求1或2所述的免IP配置的透明加密装置，其特征在于，所述透明加密设备包括第二加解密模块与IP管理模块，所述第二加解密模块负责对往来数据进行加解密，对透明加密设备传输来的密文进行解密，对接收到的明文进行加密转发，所述IP管理模块负责本设备的IP地址管理，实现透明加密设备的无IP上线。4.一种免IP配置的透明加密方法，其特征在于，包括以下步骤：步骤1，预置根密钥至透明加密设备；步骤2，第一加解密模块对往来数据进行加解密，对透明加密设备传输来的密文进行解密，对接收到的明文进行加密转发；步骤3，设备管理模块将透明加密设备接入管理，对接入的透明加密设备的身份进行验证、设备状态监控告警；步骤4，第二加解密模块与第一加解密模块配合对往来数据进行加解密，对透明加密设备传输来的密文进行解密，对接收到的明文进行加密转发；步骤5，IP管理模块对设备进行IP地址管理，实现透明加密设备的无IP上线。5.如权利要求4所述的免IP配置的透明加密方法，其特征在于，所述步骤1具体过程为：步骤11，密钥管理模块新建密钥；步骤12，将新建的密钥导出后导入透明加密设备作为透明加密设备的根密钥使用；步骤13，接收透明加密设备发送来的密钥请求，由第一加解密模块解密后转给密钥管理模块处理；步骤14，密钥管理模块响应密钥请求，组装密钥请求响应报文；步骤15，第一加解密模块对密钥请求响应报文进行加密后发送给透明加密设备；步骤16，透明加密设备接收密钥请求响应报文后解密处理。6.如权利要求4所述的免IP配置的透明加密方法，其特征在于，所述...

【专利技术属性】
技术研发人员：俞哲伟，付萍华，郑韶辉，
申请(专利权)人：浙江九州量子信息技术股份有限公司，
类型：发明
国别省市：