[go: up one dir, main page]

CN105553966B - 密钥交换的方法及装置 - Google Patents

密钥交换的方法及装置 Download PDF

Info

Publication number
CN105553966B
CN105553966B CN201510919203.5A CN201510919203A CN105553966B CN 105553966 B CN105553966 B CN 105553966B CN 201510919203 A CN201510919203 A CN 201510919203A CN 105553966 B CN105553966 B CN 105553966B
Authority
CN
China
Prior art keywords
key exchange
key
communication
forwarding
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510919203.5A
Other languages
English (en)
Other versions
CN105553966A (zh
Inventor
刘思聪
周光涛
文湘江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN201510919203.5A priority Critical patent/CN105553966B/zh
Publication of CN105553966A publication Critical patent/CN105553966A/zh
Application granted granted Critical
Publication of CN105553966B publication Critical patent/CN105553966B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种密钥交换的方法及装置,涉及信息技术领域,可以使通信双方确定攻击者,进而可以避免通信报文的泄密。所述方法包括:首先通信端设备发送密钥交换报文至转发设备,然后转发设备按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文,并且通过不同的链路转发多个密钥交换报文至通信对端设备,其后通信对端设备确定接收到密钥交换报文的等待时间,并判断是否存在中间人的攻击行为,最后若判断存在中间人的攻击行为,则通信对端将告警报文发送至网管系统,以使得网管系统根据告警报文,确定攻击者,并将正确的密钥发送至通信对端设备。本发明适用于检测通信双方的链路上是否存在中间者的攻击行为。

Description

密钥交换的方法及装置
技术领域
本发明涉及信息技术领域,特别涉及一种密钥交换的方法及装置。
背景技术
随着因特网规模以及用户数量的逐年增加,各种网络方式层出不穷,不断改变着人们的生活方式。然而由于网络的开放性以及匿名性,网络安全问题日益突出,现有网络中通过通信双方确认密钥,以实现对传输信息的加密,然而通信双方如何进行密钥交换成为一个重要问题。
目前,一种密钥交换的方法,通信双方通过Diffie Hellman算法实现公共密钥的交换,具体地,发送端以及接收端分别确定分别对应的第一公共密钥,然后,发送端以及接收端分别将对应的第一公共密钥发送至对端,发送端以及接收方根据各自接收到的通信密钥,确定出第二公共密钥,其中,通信双方确定的第二公共密钥相同。
然而,当通信双方通过Diffie Hellman算法实现公共密钥的交换时,若发送端与接收端的通信信道中存在攻击者,该攻击者可以监听到通信双方的密钥信息,并且根据监听到的密钥信息,确定出分别与发送端以及接收端分别对应的公共密钥,并且通过确定出的公共密钥,获取并解密发送端与接收端之间的信息,由于网络延迟的原因,发送端与接收端均无法获取是否存在攻击者,从而导致通信双方无法确定是否存在攻击者,进而导致通信报文的泄密。
发明内容
本发明提供一种密钥交换的方法及装置,可以使通信双方确定攻击者,进而可以避免通信报文的泄密。
本发明采用的技术方案为:
第一方面,本发明提供一种密钥交换的方法,包括:
通信端设备发送密钥交换报文至转发设备;
所述转发设备按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文;
所述转发设备通过不同的链路转发所述多个密钥交换报文至通信对端设备;
所述通信对端设备确定接收到密钥交换报文的等待时间,并判断是否存在中间人的攻击行为,所述等待时间为所述通信端设备发送所述密钥交换报文至所述通信对端设备接收到所述密钥交换报文的正常等待时间;
若判断存在所述中间人的攻击行为,则所述通信对端将告警报文发送至网管系统;
所述网管系统根据所述告警报文,确定攻击者,并将正确的密钥发送至所述通信对端设备。
第二方面,本发明提供了一种密钥交换的装置,包括:
第一发送单元,位于通信端设备中,用于发送密钥交换报文至转发设备;
复制单元,位于所述转发设备中,用于按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文;
转发单元,位于所述转发设备中,用于通过不同的链路转发所述多个密钥交换报文至通信对端设备;
第一确定单元,位于所述通信对端设备中,用于确定接收到密钥交换报文的等待时间;
判断单元,位于所述通信对端设备中,用于判断是否存在中间人的攻击行为,所述等待时间为所述通信端设备发送所述密钥交换报文至所述通信对端设备接收到所述密钥交换报文的正常等待时间;
第二发送单元,位于所述通信对端设备中,用于当判断存在所述中间人的攻击行为时,将告警报文发送至网管系统;
第二确定单元,位于所述网管系统中,用于根据所述告警报文,确定攻击者;
第三发送单元,位于所述网管系统中,用于将正确的密钥发送至所述通信对端设备。
本发明提供的密钥交换的方法及装置,首先通信端设备发送密钥交换报文至转发设备,然后转发设备按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文,并且通过不同的链路转发多个密钥交换报文至通信对端设备,其后通信对端设备确定接收到密钥交换报文的等待时间,并判断是否存在中间人的攻击行为,其中,等待时间为通信端设备发送密钥交换报文至通信对端设备接收到密钥交换报文的正常等待时间,最后若判断存在中间人的攻击行为,则通信对端将告警报文发送至网管系统,以使得网管系统根据告警报文,确定攻击者,并将正确的密钥发送至通信对端设备。与目前通信双方通过DiffieHellman算法实现公共密钥的交换相比,本发明通过转发设备将密钥交换报文复制并通过不同的信号通道进行转发,因此当某个链路上存在攻击者时,通信对端能够根据在等待时间内接收到的所有密钥交换报文中是否仅存在一个密钥,判断是否存在攻击者,并且当存在攻击者时,能够向网管系统发送告警信息,以使得网管系统确定攻击者,并且得到携带有正确密钥的密钥交换报文,从而可以使通信双方确定攻击者,进而可以避免通信报文的泄密。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对本发明或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例中密钥交换的系统示意图;
图2为本发明实施例中一种密钥交换的方法流程图;
图3为本发明实施例中另一种密钥交换的方法流程图;
图4为本发明实施例中另一种密钥交换的方法流程图;
图5为本发明实施例中另一种密钥交换的方法流程图;
图6为本发明实施例中另一种密钥交换的方法流程图;
图7为本发明实施例中一种密钥交换的装置示意图;
图8为本发明实施例中另一种密钥交换的装置示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供一种密钥交换的方法,应用于密钥交换系统,如图1所示,该密钥交换系统包括:通信端、通信对端、至少一个转发设备以及网管系统,其中,通信端设备与通信对端设备均可以与转发设备进行信息交互,网管系统均可以与通信端设备以及通信对端设备进行信息交互。
本发明实施例提供了一种密钥交换的方法,可以使通信双方确定攻击者,进而可以避免通信报文的泄密。如图2所示,所述方法包括:
201、通信端设备发送密钥交换报文至转发设备。
其中,该密钥交换报文中携带密钥。
对于本发明实施例,首先通信端设备根据Diffie Hellman算法,与通信对端设备确定出一个整数g和一个大素数p,并且根据整数g与大素数P生成一个大整数a。通信端设备根据上述三个参数生成公开密钥X,其中,X=gamod(p),然后,通信端设备将包含密钥X、通信端设备身份(英文全称:identification,英文缩写:ID)信息的密钥交换报文通过转发设备发向通信对端设备。
对于本发明实施例,转发设备可以为路由器设备。
202、转发设备按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文。
对于本发明实施例,转发设备能够识别出密钥交换报文,并且能够根据密钥交换报文中的信息确定该密钥交换报文距离该通信端设备的转发设备的个数,此时,转发设备将该密钥交换报文进行复制,通过多个端口转发出去。
例如,第一个转发设备接收到密钥交换报文后,提取出密钥交换报文中的信息,确定自身为第一转发设备,则该第一转发设备根据配置规则或链路状态等参数信息,设定密钥交换报文复制份数为4,并且通过两个端口、间隔随机时间t1将4份密钥交换报文转发出去,其中,0<t1<T0,并且密钥交换报文中携带有通信端设备的身份标识信息以及公开密钥X。
203、转发设备通过不同的链路转发多个密钥交换报文至通信对端设备。
对于本发明实施例,复制得到的多个密钥转发报文分别对应的转发时间间隔为一个随机的时间t,其中,0<t<T0。对于距离通信端较近的转发设备,当其接收到包含公开X的密钥交换报文时,将其通过多个端口间隔t时间依次转发至下一个转发设备直至通信对端设备。其中,通信端设备根据网络规模、链路时延等数据综合设定T0的值。
对于本发明实施例,转发设备将复制得到的多个密钥交换报文通过不同的信号通道发送的通信对端设备,因此,某一个信道通道上存在中间人攻击时,通信对端设备可以通过判断在等待时间内接收到的所有密钥交换报文中是否仅存在一种密钥,以确定是否存在中间人的攻击行为。
204、通信对端设备确定接收到密钥交换报文的等待时间。
其中,等待时间为通信端设备发送密钥交换报文至通信对端设备接收到密钥交换报文的正常等待时间。
205、通信对端设备判断是否存在中间人的攻击行为。
对于本发明实施例,通信对端设备判断在等待时间内接收到的所有密钥交换报文中是否仅存在一种密钥,则通信对端设备判断出存在中间人的攻击行为;若在等待时间内接收到的所有密钥交换报文中仅存在一种密钥,则通信对端设备确定不存在中间人的攻击行为;若在等待时间内接收到的密钥交换报文中不仅存在一种密钥,则通信对端设备确定存在中间人的攻击行为。
206、若判断存在中间人的攻击行为,则通信对端将告警报文发送至网管系统。
其中,告警报文中携带有通信端设备对应的身份ID标识信息、通信端设备的IP地址信息、通信对端设备对应的ID标识信息,通信对端设备的IP地址信息、通信对端接收到的密钥交换报文中的多种密钥以及通信对端设备自身生成的密钥。
对于本发明实施例,若通信对端设备发现中间人攻击行为,则记录不同密钥以及相同的身份信息的密钥交换报文对应的发送端设备的地址信息,并将该将地址信息携带至告警信息中上报给网管系统。
对于本发明实施例,若通信对端设备确定不存在中间人的攻击行为,则通信对端设备直接解析,并获取密钥。
207、网管系统根据告警报文,确定攻击者。
对于本发明实施例,若通信对端设备接收到的密钥交换报文中存在X、Z两种密钥,则通信对端设备将发送携带密钥Y的密钥交换报文的发送地址信息以及携带Z的密钥交换报文的发送地址信息,以及自身的用户身份标识信息、自身地址信息、通信端设备的地址信息,X、Z、通信对端设备自身生成的密钥分别与设备身份标识信息对应关系发送至网管系统。其中,通信对端设备自身生成的密钥为通信对端设备根据Diffie Hellman算法生成的公开密钥。
208、网管系统将正确的密钥发送至通信对端设备。
对于本发明实施例,当网管系统接收到上述告警报文时,首先网管系统通过分析通信双端设备分别对应的身份标识信息、公开密钥及报文的源和目的地址对应关系,即可找出攻击者发布的密钥及其地址信息,然后网管系统将通过报文交互或者下发ACL策略至攻击者所连接的交换机端口等方式,过滤掉攻击者的相关信息。
本发明实施例提供的密钥交换的方法,首先通信端设备发送密钥交换报文至转发设备,然后转发设备按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文,并且通过不同的链路转发多个密钥交换报文至通信对端设备,其后通信对端设备确定接收到密钥交换报文的等待时间,并判断是否存在中间人的攻击行为,其中,等待时间为通信端设备发送密钥交换报文至通信对端设备接收到密钥交换报文的正常等待时间,最后若判断存在中间人的攻击行为,则通信对端将告警报文发送至网管系统,以使得网管系统根据告警报文,确定攻击者,并将正确的密钥发送至通信对端设备。与目前通信双方通过DiffieHellman算法实现公共密钥的交换相比,本发明实施例通过转发设备将密钥交换报文复制并通过不同的信号通道进行转发,因此当某个链路上存在攻击者时,通信对端能够根据在等待时间内接收到的所有密钥交换报文中是否仅存在一个密钥,判断是否存在攻击者,并且当存在攻击者时,能够向网管系统发送告警信息,以使得网管系统确定攻击者,并且得到携带有正确密钥的密钥交换报文,从而可以使通信双方确定攻击者,进而可以避免通信报文的泄密。
本发明实施例中另一种可能的实现方式,在如图2所示的基础上,步骤201、通信端设备发送密钥交换报文至转发设备,之后还包括如图3所示的步骤301-302。
301、转发设备将转发设备个数信息添加至密钥交换报文。
其中,转发设备个数信息表征密钥交换报文经过转发设备的个数。
对于本发明实施例,密钥交换报文中存在转发设备个数信息,以使得转发设备接收到该密钥转换信息后,根据其中携带的转发设备个数信息,确定该转发设备接收到该密钥交换报文之前,经过的转发设备的个数。
302、转发设备将报文复制份数信息分别添加至多个密钥交换报文。
对于本发明实施例,每个转发设备均需要将报文复制的份数,添加至密钥交换报文中,以使得每个转发设备能够根据接收到的密钥交换报文中的报文复制的份数,确定需要复制的密钥交换报文的份数,以避免网络中密钥交换报文的份数较多。
对于本发明实施例,转发设备通过将报文复制份数信息添加至密钥交换报文,当其它转发设备接收到密钥交换报文之后,能够根据密钥交换报文中的报文复制份数信息,确定复制密钥交换报文的份数,从而可以避免转发设备复制较多的密钥交换报文,导致网络中的报文风暴。
本发明实施例中另一种可能的实现方式,在如图3所示的基础上,步骤204、通信对端设备确定接收到密钥交换报文的等待时间,之前还包括如图4所示的步骤401,步骤204、通信对端设备确定接收到密钥交换报文的等待时间,具体包括如图4所示的步骤402。
401、通信对端设备获取转发时间间隔以及从接收到的密钥交换报文中获取转发设备的个数信息。
其中,转发时间间隔为转发设备转发密钥交换报文的最大时间间隔。
对于本发明实施例,转发时间间隔为转发设备转发密钥交换报文的最大的时间间隔。
对于本发明实施例,通信对端设备根据接收到的密钥交换报文中的转发设备的个数信息,确定该密钥交换报文所经过的转发设备的个数,从而根据该密钥交换报文所经过转发设备的个数,确定该密钥交换报文的链路时延。
402、通信对端设备根据公式T=T0*N0+u,确定接收到密钥交换报文的等待时间。
其中,T为接收到密钥交换报文的等待时间,T0为转发时间间隔,N0为转发设备的个数信息,u为链路时延。
例如,转发时间间隔为2秒,转发设备的个数为3个,链路时延为0.2秒,则T=T0*N0+u=2*3+0.2=6.2。
本发明实施例中的另一种可能的实现方式,在如图4所示的基础上,步骤205、通信对端设备判断是否存在中间人的攻击行为,具体包括如图5所示的步骤501-502。
501、通信对端设备判断在接收到密钥交换报文的等待时间内接收到的所有密钥交换报文中是否仅存在一种密钥。
其中,所有的密钥交换报文为所有转发设备复制得到的密钥交换报文。
对于本发明实施例,等待时间表征通信对端设备能够接收到所有密钥交换报文的估计时间。
对于本发明实施例,若通信对端接收到的所有密钥交换报文中仅存在一种密钥,则表征各个链路上不存在中间人的攻击性行为;若通信对端接收到的所有密钥交换报文不仅是存在一种密钥交换报文,则表征链路上存在中间人的攻击行为。
502、若所有的密钥交换报文中不仅存在一种密钥,则通信对端设备确定存在中间人的攻击行为。
例如,第二转发设备与第三转发设备之间的链路有中间人攻击行为,中间人窃取第二转发设备发出的密钥交互报文,获取通信端设备的身份信息,并且根据DiffieHellman算法构造出一个公开密钥Z,并且将含有通信端设备的身份信息以及密钥Z的密钥交换报文发向通信对端设备,此时,网络中的8个密钥交换报文中,有6个包含X密钥,2个包含Z密钥。
对于本发明实施例,通信对端设备在等待时间内接收到所有的密钥交换报文,并且判断接收到的密钥交换报文中是否仅存在一种密钥,以判断是否存在中间人的攻击行为,能够确定在等待时间内接收到所有的密钥交换报文,而避免仅根据中间人攻击的密钥交换报文判断是否存在中间人的攻击行为,而是在等待时间内接收到所有的密钥交换报文,在进行判断是否存在中间人的攻击行为,从而可以提高判断是否存在中间人的攻击行为的准确度。
本发明实施例中的另一种可能的实现方式,在如图2所示的基础上,步骤208、网管系统将正确的密钥发送至通信对端设备,之前还包括如图6所示的步骤601,步骤208、网管系统将正确的密钥发送至通信对端设备,之后还包括如图6所示的步骤602。
601、网管系统确定通信端设备发送的密钥。
602、通信对端设备根据通信端发送的密钥以及自身生成的密钥,生成正确的公开密钥。
对于本发明实施例,通信对端设备根据网关系统发送的通信端设备发送的密钥以及自身生成的密钥,确定正确的公开密钥,并将该公开密钥发送至通信端设备。
进一步地,本发明实施例提供了另一种密钥交换的方法,转发设备通过将报文复制份数信息添加至密钥交换报文,当其它转发设备接收到密钥交换报文之后,能够根据密钥交换报文中的报文复制份数信息,确定复制密钥交换报文的份数,从而可以避免转发设备复制较多的密钥交换报文,导致网络中的报文风暴;通信对端设备在等待时间内接收到所有的密钥交换报文,并且判断接收到的密钥交换报文中是否仅存在一种密钥,以判断是否存在中间人的攻击行为,能够确定在等待时间内接收到所有的密钥交换报文,而避免仅根据中间人攻击的密钥交换报文判断是否存在中间人的攻击行为,而是在等待时间内接收到所有的密钥交换报文,在进行判断是否存在中间人的攻击行为,从而可以提高判断是否存在中间人的攻击行为的准确度。
作为对图2、图3、图4、图5及图6所示方法的实现,本发明实施例还提供了一种密钥交换的装置,可以使通信双方确定攻击者,进而可以避免通信报文的泄密,如图7所示,所述装置包括:第一发送单元71、复制单元72、转发单元73、第一确定单元74、判断单元75、第二发送单元76、第二确定单元77、第三发送单元78。
第一发送单元71,位于通信端设备中,用于发送密钥交换报文至转发设备。
复制单元72,位于转发设备中,用于按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文。
转发单元73,位于转发设备中,用于通过不同的链路转发多个密钥交换报文至通信对端设备。
第一确定单元74,位于通信对端设备中,用于确定接收到密钥交换报文的等待时间。
其中,等待时间为通信端设备发送密钥交换报文至通信对端设备接收到密钥交换报文的正常等待时间。
判断单元75,位于通信对端设备中,用于判断是否存在中间人的攻击行为。
第二发送单元76,位于通信对端设备中,用于当判断存在中间人的攻击行为时,将告警报文发送至网管系统。
第二确定单元77,位于网管系统中,用于根据告警报文,确定攻击者。
第三发送单元78,位于网管系统中,用于将正确的密钥发送至通信对端设备。
进一步地,如图8所示,所述装置还包括:添加单元81。
添加单元81,位于转发设备中,用于将转发设备个数信息添加至密钥交换报文。
其中,转发设备个数信息表征密钥交换报文已经经过转发设备的个数。
添加单元81,位于转发设备中,还用于将报文复制份数信息分别添加至多个密钥交换报文。
进一步地,如图8所示,所述装置还包括:获取单元82。
获取单元82,位于通信对端设备中,用于获取转发时间间隔以及从接收到的密钥交换报文中获取转发设备的个数信息。
其中,转发时间间隔为转发设备转发密钥交换报文的最大时间间隔。
第一确定单元74,位于通信对端设备中,具体用于根据公式T=T0*N0+u,确定接收到密钥交换报文的等待时间。
其中,T为接收到密钥交换报文的等待时间,T0为转发时间间隔,N0为转发设备的个数信息,u为链路时延。
判断单元75,位于通信对端设备中,具体用于判断在接收到密钥交换报文的等待时间内接收到的所有密钥交换报文中是否仅存在一种密钥。
判断单元75,位于通信对端设备中,具体还用于当所有的密钥交换报文中不仅存在一种密钥时,确定存在中间人的攻击行为。
其中,告警报文中携带有通信端设备对应的身份ID标识信息、通信端设备的IP地址信息、通信对端设备对应的ID标识信息,通信对端设备的IP地址信息、通信对端接收到的密钥交换报文中的多种密钥以及通信对端设备自身生成的密钥。
第二确定单元77,位于网管系统中,还用于确定通信端设备发送的密钥。
进一步地,如图8所示,装置还包括:生成单元83。
生成单元83,位于通信对端设备中,用于根据通信端发送的密钥以及自身生成的密钥,生成正确的公开密钥。
本发明实施例提供的密钥交换的装置,首先通信端设备发送密钥交换报文至转发设备,然后转发设备按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文,并且通过不同的链路转发多个密钥交换报文至通信对端设备,其后通信对端设备确定接收到密钥交换报文的等待时间,并判断是否存在中间人的攻击行为,其中,等待时间为通信端设备发送密钥交换报文至通信对端设备接收到密钥交换报文的正常等待时间,最后若判断存在中间人的攻击行为,则通信对端将告警报文发送至网管系统,以使得网管系统根据告警报文,确定攻击者,并将正确的密钥发送至通信对端设备。与目前通信双方通过DiffieHellman算法实现公共密钥的交换相比,本发明实施例通过转发设备将密钥交换报文复制并通过不同的信号通道进行转发,因此当某个链路上存在攻击者时,通信对端能够根据在等待时间内接收到的所有密钥交换报文中是否仅存在一个密钥,判断是否存在攻击者,并且当存在攻击者时,能够向网管系统发送告警信息,以使得网管系统确定攻击者,并且得到携带有正确密钥的密钥交换报文,从而可以使通信双方确定攻击者,进而可以避免通信报文的泄密。
进一步地,本发明实施例提供了另一种密钥交换的装置,转发设备通过将报文复制份数信息添加至密钥交换报文,当其它转发设备接收到密钥交换报文之后,能够根据密钥交换报文中的报文复制份数信息,确定复制密钥交换报文的份数,从而可以避免转发设备复制较多的密钥交换报文,导致网络中的报文风暴;通信对端设备在等待时间内接收到所有的密钥交换报文,并且判断接收到的密钥交换报文中是否仅存在一种密钥,以判断是否存在中间人的攻击行为,能够确定在等待时间内接收到所有的密钥交换报文,而避免仅根据中间人攻击的密钥交换报文判断是否存在中间人的攻击行为,而是在等待时间内接收到所有的密钥交换报文,在进行判断是否存在中间人的攻击行为,从而可以提高判断是否存在中间人的攻击行为的准确度。
需要说明的是,本发明实施例中提供的密钥交换的装置中各单元所对应的其他相应描述,可以参考图2、图3、图4、图5及图6中的对应描述,在此不再赘述。
本发明实施例提供的密钥交换的装置可以实现上述提供的方法实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。本发明实施例提供的密钥交换的方法及装置可以适用于检测通信双方的链路上是否存在中间者的攻击行为,但不仅限于此。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种密钥交换的方法,其特征在于,包括:
通信端设备发送密钥交换报文至转发设备;
所述转发设备按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文;
所述转发设备通过不同的链路转发所述多个密钥交换报文至通信对端设备;
所述不同链路是由同一转发设备不同端口通过延迟时间形成的不同链路;
所述通信对端设备确定接收到密钥交换报文的等待时间,通过判断在等待时间内接收到的所有密钥交换报文中是否仅存在一种密钥,判断是否存在中间人的攻击行为,所述等待时间为所述通信端设备发送所述密钥交换报文至所述通信对端设备接收到所述密钥交换报文的正常等待时间;
若判断存在所述中间人的攻击行为,则所述通信对端将告警报文发送至网管系统;
所述网管系统根据所述告警报文,确定攻击者,并将正确的密钥发送至所述通信对端设备。
2.根据权利要求1所述的密钥交换的方法,其特征在于,所述通信端设备发送密钥交换报文至转发设备的步骤之后,还包括:
所述转发设备将所述转发设备个数信息添加至所述密钥交换报文,所述转发设备个数信息表征所述密钥交换报文已经经过所述转发设备的个数;
所述转发设备将报文复制份数信息分别添加至所述多个密钥交换报文。
3.根据权利要求2所述的密钥交换的方法,其特征在于,所述通信对端设备确定接收到密钥交换报文的等待时间的步骤之前,还包括:
所述通信对端设备获取转发时间间隔以及从接收到的所述密钥交换报文中获取所述转发设备的个数信息,所述转发时间间隔为所述转发设备转发所述密钥交换报文的最大时间间隔;
所述通信对端设备确定接收到密钥交换报文的等待时间的步骤,具体包括:
所述通信对端设备根据公式T=T0*N0+u,确定所述接收到密钥交换报文的等待时间,其中,T为所述接收到密钥交换报文的等待时间,T0为所述转发时间间隔,N0为所述转发设备的个数信息,u为链路时延。
4.根据权利要求3所述的密钥交换的方法,其特征在于,所述判断是否存在中间人的攻击行为的步骤,具体包括:
所述通信对端设备判断在所述接收到密钥交换报文的等待时间内接收到的所有密钥交换报文中是否仅存在一种密钥;
若所述所有的密钥交换报文中不仅存在一种密钥,则所述通信对端设备确定存在中间人的攻击行为。
5.根据权利要求1所述密钥交换的方法,其特征在于,所述告警报文中携带有通信端设备对应的身份ID标识信息、通信端设备的IP地址信息、通信对端设备对应的ID标识信息,通信对端设备的IP地址信息、所述通信对端接收到的所述密钥交换报文中的多种密钥以及所述通信对端设备自身生成的密钥;
所述将正确的密钥发送至所述通信对端设备的步骤之前,还包括:
所述网管系统确定所述通信端设备发送的密钥;
所述将正确的密钥发送至所述通信对端设备的步骤之后,还包括:
所述通信对端设备根据所述通信端发送的密钥以及自身生成的密钥,生成正确的公开密钥。
6.一种密钥交换的装置,其特征在于,包括:
第一发送单元,位于通信端设备中,用于发送密钥交换报文至转发设备;
复制单元,位于所述转发设备中,用于按照预置策略对密钥交换报文进行复制,得到多个密钥交换报文;
转发单元,位于所述转发设备中,用于通过不同的链路转发所述多个密钥交换报文至通信对端设备;所述不同链路是由同一转发设备不同端口通过延迟时间形成的不同链路;
第一确定单元,位于所述通信对端设备中,用于确定接收到密钥交换报文的等待时间;
判断单元,位于所述通信对端设备中,用于通过判断在等待时间内接收到的所有密钥交换报文中是否仅存在一种密钥,判断是否存在中间人的攻击行为,所述等待时间为所述通信端设备发送所述密钥交换报文至所述通信对端设备接收到所述密钥交换报文的正常等待时间;
第二发送单元,位于所述通信对端设备中,用于当判断存在所述中间人的攻击行为时,将告警报文发送至网管系统;
第二确定单元,位于所述网管系统中,用于根据所述告警报文,确定攻击者;
第三发送单元,位于所述网管系统中,用于将正确的密钥发送至所述通信对端设备。
7.根据权利要求6所述的密钥交换的装置,其特征在于,所述装置还包括:添加单元;
所述添加单元,位于所述转发设备中,用于将所述转发设备个数信息添加至所述密钥交换报文,所述转发设备个数信息表征所述密钥交换报文已经经过所述转发设备的个数;
所述添加单元,位于所述转发设备中,还用于将报文复制份数信息分别添加至所述多个密钥交换报文。
8.根据权利要求7所述的密钥交换的装置,其特征在于,所述装置还包括:获取单元;
所述获取单元,位于所述通信对端设备中,用于获取转发时间间隔以及从接收到的所述密钥交换报文中获取所述转发设备的个数信息,所述转发时间间隔为所述转发设备转发所述密钥交换报文的最大时间间隔;
所述第一确定单元,位于所述通信对端设备中,具体用于根据公式T=T0*N0+u,确定所述接收到密钥交换报文的等待时间,其中,T为所述接收到密钥交换报文的等待时间,T0为所述转发时间间隔,N0为所述转发设备的个数信息,u为链路时延。
9.根据权利要求8所述的密钥交换的装置,其特征在于,
所述判断单元,位于所述通信对端设备中,具体用于判断在所述接收到密钥交换报文的等待时间内接收到的所有密钥交换报文中是否仅存在一种密钥;
所述判断单元,位于所述通信对端设备中,具体还用于当所述所有的密钥交换报文中不仅存在一种密钥时,确定存在中间人的攻击行为。
10.根据权利要求6所述密钥交换的装置,其特征在于,所述告警报文中携带有通信端设备对应的身份ID标识信息、通信端设备的IP地址信息、通信对端设备对应的ID标识信息,通信对端设备的IP地址信息、所述通信对端接收到的所述密钥交换报文中的多种密钥以及所述通信对端设备自身生成的密钥;
所述第二确定单元,位于所述网管系统中,还用于确定所述通信端设备发送的密钥;
所述装置还包括:生成单元;
所述生成单元,位于所述通信对端设备中,用于根据所述通信端发送的密钥以及自身生成的密钥,生成正确的公开密钥。
CN201510919203.5A 2015-12-10 2015-12-10 密钥交换的方法及装置 Active CN105553966B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510919203.5A CN105553966B (zh) 2015-12-10 2015-12-10 密钥交换的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510919203.5A CN105553966B (zh) 2015-12-10 2015-12-10 密钥交换的方法及装置

Publications (2)

Publication Number Publication Date
CN105553966A CN105553966A (zh) 2016-05-04
CN105553966B true CN105553966B (zh) 2018-11-09

Family

ID=55832902

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510919203.5A Active CN105553966B (zh) 2015-12-10 2015-12-10 密钥交换的方法及装置

Country Status (1)

Country Link
CN (1) CN105553966B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113923668B (zh) * 2021-10-11 2023-07-25 中国联合网络通信集团有限公司 识别网络攻击行为的方法、装置、芯片及可读存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459506B (zh) * 2007-12-14 2011-09-14 华为技术有限公司 密钥协商方法、用于密钥协商的系统、客户端及服务器
CN103401872B (zh) * 2013-08-05 2016-12-28 北京工业大学 基于rdp改进协议的防止和检测中间人攻击的方法
CN103763094A (zh) * 2014-01-03 2014-04-30 沈阳中科博微自动化技术有限公司 一种智能电表系统安全监控信息处理方法

Also Published As

Publication number Publication date
CN105553966A (zh) 2016-05-04

Similar Documents

Publication Publication Date Title
Naous et al. Verifying and enforcing network paths with ICING
US8051292B2 (en) System for proximity determination
Lazar et al. Yodel: strong metadata security for voice calls
Zia et al. A security framework for wireless sensor networks
CN103701700B (zh) 一种通信网络中的节点发现方法及系统
JP2017506846A (ja) 公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのシステムおよび方法
KR20140023991A (ko) 머신-대-머신 노드 소거 절차
US11122346B1 (en) Attestation in optical transport network environments
CN101188498B (zh) 一种通信终端及通信方法
CN109698791B (zh) 一种基于动态路径的匿名接入方法
CN101471772A (zh) 一种通信方法、装置和系统
CN110290151B (zh) 报文发送方法、装置及可读取存储介质
CN107836095A (zh) 用于在网络中产生秘密或秘钥的方法
EP2186252A2 (fr) Procede de distribution de cles cryptographiques dans un reseau de communication
Alston et al. Neutralizing interest flooding attacks in named data networks using cryptographic route tokens
CN105553966B (zh) 密钥交换的方法及装置
Wang et al. A data plane security model of SR-BE/TE based on zero-trust architecture
Dahshan et al. A robust self‐organized public key management for mobile ad hoc networks
Rafsanjani et al. Identifying monitoring nodes with selection of authorized nodes in mobile ad hoc networks
El Mougy et al. Preserving privacy in wireless sensor networks using onion routing
Komninos et al. Authentication in a layered security approach for mobile ad hoc networks
Auten et al. Impact of resource-constrained networks on the performance of NIST round-3 PQC candidates
CN101588240A (zh) 一种报文处理方法
CN108174385B (zh) 一种通信链路的检测方法和装置
KR101204648B1 (ko) 무선 통신 네트워크와 유선 통신 네트워크가 공존하는 통신 네트워크에서 안전하게 비밀키를 교환하는 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant