本申请涉及网络安全技术领域,特别涉及一种基于国密算法的报文传输方法及装置。该方法包括:生成SNMPv3Trap扩展报文,该SNMPv3Trap扩展报文携带有与该控制器通信的安全模式为国密方式,该目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的随机对称秘钥密文;将SNMPv3Trap扩展报文发送给控制器,以使得控制器在确定安全模式为国密方式时,基于目标网络设备的标识,采用目标国密数字证书对加密后的随机对称秘钥密文进行解密处理,得到随机对称秘钥,并采用随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到Scoped PDU。PDU。PDU。
【技术实现步骤摘要】
一种基于国密算法的报文传输方法及装置
[0001]本申请涉及网络安全
,特别涉及一种基于国密算法的报文传输方法及装置。
技术介绍
[0002]SDN(Software Defined Network,软件定义网络)是一种新型网络创新架构,其核心思想是将网络设备的控制层面与转发层面分离,以实现对网络流量的灵活控制,为核心网络及应用的创新提供良好的平台。
[0003]SNMP(Simple Network Management Protocol,简单网络管理协议)是管理进程(NMS)和代理进程(Agent)之间的通信协议。它规定了在网络环境中对设备进行监视和管理的标准化管理框架、通信的公共语言、相应的安全和访问控制机制。网络管理员使用SNMP功能可以查询设备信息、修改设备的参数值、监控设备状态、自动发现网络故障、生成报告等。
[0004]SDN网络中使用SNMPv3实现安全模式的网络管理,当前的SNMPv3应用协议主要在安全性方面进行了增强,提供三项重要的服务:认证、隐私和访问控制。它支持以下三种加密算法:DES:使用56bit的密钥对一个64bit的明文块进行加密;3DES:使用三个56bit的DES密钥(共168bit密钥)对明文进行加密;AES:使用128bit、192bit或256bit密钥长度的AES算法对明文进行加密。
[0005]在SDN网络中,控制器上的网管模块作为管理进程NMS,网络设备作为Agent,通过SNMPv3协议,二者能够进行安全的配置下发和数据传输。但SNMPv3不支持国密算法,仍然存在一定的数据安全隐患,尤其是在业界实施信息安全等级保护制度的环境下,为SNMPv3提供国密标准的协议通道具有比较紧迫的意义(SNMP协议是无连接的UDP传输通道)。
技术实现思路
[0006]本申请提供了一种基于国密算法的报文传输方法及装置。
[0007]第一方面,本申请提供了一种基于国密算法的报文传输方法,应用于目标网络设备,任一网络设备在自动上线时,控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述方法包括:
[0008]生成SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
[0009]将所述SNMPv3 Trap扩展报文发送给控制器,以使得所述控制器在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
[0010]可选地,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述控制器在确定安全模式为国密
方式时,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
[0011]可选地,生成SNMPv3 Trap扩展报文的步骤包括:
[0012]构建SNMPv3 Trap扩展报文框架,设置各个通用字段的值;
[0013]将报头数据中用于携带安全模式的字段设置为国密模式对应的扩展值,将安全参数中的指定字段设置为目标网络设备的标识,并将用于携带报文摘要密文的字段设置为指定值;
[0014]根据Trap数据,生成Scoped PDU明文,根据生成的随机对称秘钥,对所述Scoped PDU明文进行加密处理,得到Scoped PDU密文,并添加至对应字段;
[0015]根据所述目标国密数字证书的第一秘钥对所述随机对称秘钥进行加密处理,得到随机对称秘钥密文,并添加至对应字段,得到中间SNMPv3 Trap扩展报文;
[0016]计算所述中间SNMPv3 Trap扩展报文的报文摘要明文,并采用所述目标国密数字证书的第一秘钥对所述报文摘要明文进行加密处理,得到报文摘要密文,并添加至用于携带报文摘要密文的字段,得到SNMPv3 Trap扩展报文。
[0017]第二方面,本申请提供了一种基于国密算法的报文传输方法,应用于控制器,任一网络设备在自动上线时,所述控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述方法包括:
[0018]接收目标网络设备发送的SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;
[0019]在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。
[0020]可选地,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述方法还包括:
[0021]在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。
[0022]可选地,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证的步骤包括:
[0023]提取出报文摘要密文,并采用所述目标国密数字证书对报文摘要密文进行解密处理,得到第一报文摘要明文;
[0024]将所述SNMPv3 Trap扩展报文中用于携带报文摘要密文的字段设置为指定值,得到中间SNMPv3 Trap扩展报文;
[0025]计算所述中间SNMPv3 Trap扩展报文的第二报文摘要明文;
[0026]如判定所述第一报文摘要明文和所述第二报文摘要明文一致,则确定验证通过;否则,确定验证不通过。
[0027]第三方面,本申请提供了一种基于国密算法的报文传输装置,应用于目标网络设
备,任一网络设备在自动上线时,控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述装置包括:
[0028]生成单元,用于生成SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于国密算法的报文传输方法,其特征在于,应用于目标网络设备,任一网络设备在自动上线时,控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述方法包括:生成SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;将所述SNMPv3 Trap扩展报文发送给控制器,以使得所述控制器在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。2.如权利要求1所述的方法,其特征在于,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap扩展报文是否被篡改的报文摘要密文;所述控制器在确定安全模式为国密方式时,基于所述报文摘要密文对所述SNMPv3 Trap扩展报文进行验证,在验证通过后,执行基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理的步骤。3.如权利要求2所述的方法,其特征在于,生成SNMPv3 Trap扩展报文的步骤包括:构建SNMPv3 Trap扩展报文框架,设置各个通用字段的值;将报头数据中用于携带安全模式的字段设置为国密模式对应的扩展值,将安全参数中的指定字段设置为目标网络设备的标识,并将用于携带报文摘要密文的字段设置为指定值;根据Trap数据,生成Scoped PDU明文,根据生成的随机对称秘钥,对所述Scoped PDU明文进行加密处理,得到Scoped PDU密文,并添加至对应字段;根据所述目标国密数字证书的第一秘钥对所述随机对称秘钥进行加密处理,得到随机对称秘钥密文,并添加至对应字段,得到中间SNMPv3 Trap扩展报文;计算所述中间SNMPv3 Trap扩展报文的报文摘要明文,并采用所述目标国密数字证书的第一秘钥对所述报文摘要明文进行加密处理,得到报文摘要密文,并添加至用于携带报文摘要密文的字段,得到SNMPv3 Trap扩展报文。4.一种基于国密算法的报文传输方法,其特征在于,应用于控制器,任一网络设备在自动上线时,所述控制器为该网络设备配置对应的国密数字证书,并维护各网络设备的标识与其对应的国密数字证书的映射关系;所述方法包括:接收目标网络设备发送的SNMPv3 Trap扩展报文,所述SNMPv3 Trap扩展报文携带有与所述控制器通信的安全模式为国密方式,所述目标网络设备的标识,采用随机对称秘钥加密后的Scoped PDU密文,采用目标国密数字证书加密后的所述随机对称秘钥密文;在确定安全模式为国密方式时,基于所述目标网络设备的标识,采用所述目标国密数字证书对加密后的所述随机对称秘钥密文进行解密处理,得到所述随机对称秘钥,并采用所述随机对称秘钥对加密后的Scoped PDU密文进行解密处理,得到所述Scoped PDU。5.如权利要求4所述的方法,其特征在于,所述SNMPv3 Trap扩展报文还携带采用目标国密数字证书加密的,用于验证SNMPv3 Trap...
【专利技术属性】
技术研发人员:宋小恒,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。