组网通信方法技术

本申请关于一种组网通信方法

【技术实现步骤摘要】
组网通信方法、装置、设备及存储介质


[0001]本申请涉及通信
，尤其涉及一种组网通信方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]随着企业的快速发展，企业分支越来越多，构建安全的企业组网已成为企业发展的重中之重
。
现有技术通常通过因特网安全协议
(IP security
，
IPSec)
隧道的加密方式实现全互联组网
(
即组网中的所有设备之间都可以通信
)
或者半互联组网
(
即组网中的部分设备之间可以通信
)。
其中，
IPSec
隧道为点到点的隧道结构，即组网中任意两个设备之间的通信不经过其他设备
。
这样，需要构建大量的隧道
。
[0003]但是，构建大量的隧道，会消耗大量的网络性能资源，使得组网维护困难
。
同时，由于组网中存在大量的隧道，会导致网络不稳定
。

技术实现思路

[0004]本申请提供一种组网通信方法
、
装置
、
设备及存储介质，以至少解决现有技术中构建大量的隧道，会消耗大量的网络性能资源，使得组网维护困难
、
网络不稳定的问题
。
本申请的技术方案如下：
[0005]第一方面，提供一种组网通信方法，应用于组网通信系统中的管理设备，组网通信系统还包括第一网关设备和至少一个第二网关设备，第一网关设备为待验证的网关设备，第二网关设备为与管理设备已通过双向身份认证的网关设备；该方法包括：在第一网关设备具有加入组网通信系统的权限的情况下，对第一网关设备进行双向身份认证；在第一网关设备通过与管理设备双向身份认证的情况下，向第一网关设备发送目标密钥和目标加密方式，以使得第一网关设备基于目标密钥和目标加密方式与第二网关设备进行通信
。
[0006]在一种可能的实施方式中，上述方法还包括：接收第一网关设备发送的验证请求消息；验证请求消息包括：第一网关设备对应的第一数字证书
、
第一网关设备标识；第一数字证书包括：第一网关设备对应的第一公钥
、
第一数字签名；第一数字签名为认证授权机构对第一公钥加密得到的；根据认证授权机构的公钥，对第一数字证书进行验签，得到第一验签结果；在第一验签结果为通过的情况下，根据第一网关设备标识以及预设列表，判断第一网关设备是否具有加入组网通信系统的权限；预设列表存储有具有加入组网通信系统的权限的网关设备标识
。
[0007]在一种可能的实施方式中，上述在第一网关设备具有加入组网通信系统的权限的情况下，对第一网关设备进行双向身份认证，包括：在第一网关设备具有加入组网通信系统的权限的情况下，向第一网关设备发送第一验证消息；第一验证消息包括：管理设备对应的第二数字证书
、
第一加密验证数据；第二数字证书包括：管理设备对应的第二公钥
、
第二数字签名；第二数字签名为认证授权机构对第二公钥加密得到的；第一加密验证数据为基于第一公钥对第一验证数据进行加密后的数据；第一验证数据包括：第一随机数
、
生成第一随机数的第一时刻；接收第一网关设备发送的第二验证消息；第二验证消息包括：第二加密验
证数据；第二加密验证数据为基于第二公钥对第二验证数据进行加密后的数据；第二验证数据包括第二随机数
、
第三随机数
、
生成第三随机数的第二时刻；响应于第二验证消息，判断第二随机数与第一随机数是否相同，以及判断第二时刻与第一时刻的差值是否位于预设范围内；在第二随机数与第一随机数相同且第二时刻与第一时刻的差值位于预设范围内的情况下，向第一网关设备发送第三验证消息；第三验证消息包括：第三加密验证数据；第三加密验证数据为基于第一公钥对第三验证数据进行加密后的数据；第三验证数据包括第四随机数
、
生成第三验证数据的第三时刻；响应于第一网关设备发送的验证通过消息，确定第一网关设备与管理设备的双向身份认证通过
。
[0008]在一种可能的实施方式中，上述方法还包括：基于第一加密算法，生成第二公钥以及与第二公钥对应的第二私钥
。
[0009]在一种可能的实施方式中，上述在向第一网关设备发送目标密钥和目标加密方式之前，方法还包括：基于第二加密算法，确定目标加密方式；生成第五随机数，并根据第五随机数和符合目标加密方式的派生函数，确定目标密钥；基于第三加密算法对目标加密方式和目标密钥进行处理，得到数据摘要；基于第二私钥对数据摘要进行处理，得到第一加密数据；基于第一公钥对目标加密方式
、
目标密钥和第一加密数据进行处理，得到第二加密数据；向第一网关设备发送目标密钥和目标加密方式，包括：向第一网关设备发送第二加密数据
。
[0010]在一种可能的实施方式中，上述向第一网关设备发送第二加密数据，包括：基于加密通道向第一网关设备发送第二加密数据
。
[0011]在一种可能的实施方式中，上述方法还包括：周期性的更新目标加密方式和目标密钥
。
[0012]第二方面，提供一种组网通信方法，应用于组网通信系统中的第一网关设备，组网通信系统还包括管理设备和至少一个第二网关设备，第一网关设备为待验证的网关设备，第二网关设备为与管理设备已通过双向身份认证的网关设备；该方法包括：接收管理设备发送的目标密钥和目标加密方式；基于目标密钥和目标加密方式，对数据包进行加密，得到加密后的数据包；向第二网关设备发送加密后的数据包
。
[0013]在一种可能的实施方式中，上述方法还包括：向管理设备发送验证请求消息，以使得管理设备根据验证请求消息，判断第一网关设备是否具有加入组网通信系统的权限；验证请求消息包括：第一网关设备对应的第一数字证书
、
第一网关设备标识；第一数字证书包括：第一网关设备对应的第一公钥
、
第一数字签名；第一数字签名为认证授权机构对第一公钥加密得到的
。
[0014]在一种可能的实施方式中，上述在第一网关设备具有加入组网通信系统的权限的情况下，该方法还包括：接收管理设备发送的第一验证消息；第一验证消息包括：管理设备对应的第二数字证书
、
第一加密验证数据；第二数字证书包括：管理设备对应的第二公钥
、
第二数字签名；第二数字签名为认证授权机构对第二公钥加密得到的；第一加密验证数据为基于第一公钥对第一验证数据进行加密后的数据；第一验证数据包括：第一随机数
、
生成第一随机数的第一时刻；根据认证授权机构的公钥，对第二数字证书进行验签，得到第二验签结果；在第二验签结果为通过的情况下，判断第一时刻与发送时刻的差值是否位于预设范围内；发送时刻为发送验证请求消息的时刻；在第一时刻与发送时刻的差值本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种组网通信方法，其特征在于，应用于组网通信系统中的管理设备，所述组网通信系统还包括第一网关设备和至少一个第二网关设备，所述第一网关设备为待验证的网关设备，所述第二网关设备为与所述管理设备已通过双向身份认证的网关设备；所述方法包括：在所述第一网关设备具有加入所述组网通信系统的权限的情况下，对所述第一网关设备进行双向身份认证；在所述第一网关设备通过与所述管理设备双向身份认证的情况下，向所述第一网关设备发送目标密钥和目标加密方式，以使得所述第一网关设备基于所述目标密钥和所述目标加密方式与所述第二网关设备进行通信
。2.
根据权利要求1所述的方法，其特征在于，所述方法还包括：接收所述第一网关设备发送的验证请求消息；所述验证请求消息包括：所述第一网关设备对应的第一数字证书
、
第一网关设备标识；所述第一数字证书包括：所述第一网关设备对应的第一公钥
、
第一数字签名；所述第一数字签名为认证授权机构对所述第一公钥加密得到的；根据所述认证授权机构的公钥，对所述第一数字证书进行验签，得到第一验签结果；在所述第一验签结果为通过的情况下，根据所述第一网关设备标识以及预设列表，判断所述第一网关设备是否具有加入所述组网通信系统的权限；所述预设列表存储有具有加入所述组网通信系统的权限的网关设备标识
。3.
根据权利要求2所述的方法，其特征在于，所述在所述第一网关设备具有加入所述组网通信系统的权限的情况下，对所述第一网关设备进行双向身份认证，包括：在所述第一网关设备具有加入所述组网通信系统的权限的情况下，向所述第一网关设备发送第一验证消息；所述第一验证消息包括：所述管理设备对应的第二数字证书
、
第一加密验证数据；所述第二数字证书包括：所述管理设备对应的第二公钥
、
第二数字签名；所述第二数字签名为所述认证授权机构对所述第二公钥加密得到的；所述第一加密验证数据为基于所述第一公钥对第一验证数据进行加密后的数据；所述第一验证数据包括：第一随机数
、
生成所述第一随机数的第一时刻；接收所述第一网关设备发送的第二验证消息；所述第二验证消息包括：第二加密验证数据；所述第二加密验证数据为基于所述第二公钥对第二验证数据进行加密后的数据；所述第二验证数据包括第二随机数
、
第三随机数
、
生成所述第三随机数的第二时刻；响应于所述第二验证消息，判断所述第二随机数与所述第一随机数是否相同，以及判断所述第二时刻与所述第一时刻的差值是否位于预设范围内；在所述第二随机数与所述第一随机数相同且所述第二时刻与所述第一时刻的差值位于所述预设范围内的情况下，向所述第一网关设备发送第三验证消息；所述第三验证消息包括：第三加密验证数据；所述第三加密验证数据为基于所述第一公钥对第三验证数据进行加密后的数据；所述第三验证数据包括第四随机数
、
生成所述第三验证数据的第三时刻；响应于所述第一网关设备发送的验证通过消息，确定所述第一网关设备与所述管理设备的双向身份认证通过
。4.
根据权利要求3所述的方法，其特征在于，所述方法还包括：基于第一加密算法，生成所述第二公钥以及与所述第二公钥对应的第二私钥
。5.
根据权利要求4所述的方法，其特征在于，在所述向所述第一网关设备发送目标密钥
和目标加密方式之前，所述方法还包括：基于第二加密算法，确定所述目标加密方式；生成第五随机数，并根据所述第五随机数和符合所述目标加密方式的派生函数，确定所述目标密钥；基于第三加密算法对所述目标加密方式和所述目标密钥进行处理，得到数据摘要；基于所述第二私钥对所述数据摘要进行处理，得到第一加密数据；基于所述第一公钥对所述目标加密方式
、
所述目标密钥和所述第一加密数据进行处理，得到第二加密数据；所述向所述第一网关设备发送目标密钥和目标加密方式，包括：向所述第一网关设备发送所述第二加密数据
。6.
根据权利要求5所述的方法，其特征在于，所述向所述第一网关设备发送所述第二加密数据，包括：基于加密通道向所述第一网关设备发送所述第二加密数据
。7.
根据权利要求1‑6中任一项所述的方法，其特征在于，所述方法还包括：周期性的更新所述目标加密方式和所述目标密钥
。8.
一种组网通信方法，其特征在于，应用于组网通信系统中的第一网关设备，所述组网通信系统还包括管理设备和至少一个第二网关设备，所述第一网关设备为待验证的网关设备，所述第二网关设备为与...

【专利技术属性】
技术研发人员：聂勋坦，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：