本發(fā)明涉及計算機網(wǎng)絡(luò)通信領(lǐng)域，具體涉及一種全鏈路網(wǎng)絡(luò)通信加密的方法與裝置。

背景技術(shù)：

1、本節(jié)中的陳述僅提供與本公開相關(guān)的背景信息，并且可能不構(gòu)成現(xiàn)有技術(shù)。

2、在計算機網(wǎng)絡(luò)通信領(lǐng)域，通信加密成為信息安全保護的重要手段。在關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護要求中，通信加密是重要的合規(guī)項之一，能夠防護通信數(shù)據(jù)防泄漏，數(shù)據(jù)防破壞，防中間人攻擊等網(wǎng)絡(luò)威脅。

3、基于全鏈路加密的通信模型中，一般需要設(shè)立密碼服務(wù)器完成各個主機的秘鑰創(chuàng)建和分發(fā)，每個主機設(shè)立通信加密、解密軟硬件組件，以及每個主機通信秘鑰的協(xié)商機制等。當前一般的通信加密基于每個業(yè)務(wù)來實現(xiàn)，如web訪問的基于pki的tls協(xié)商通信，對普通業(yè)務(wù)tcp、udp通信難以加密保護；基于ipsec通信加密則僅限于點對點的隧道通信，且存在配置復(fù)雜，協(xié)商過程長，通信效率低的問題。難以實現(xiàn)基于全鏈路的通信加密效果。而基于全鏈路的通信加密則實現(xiàn)全網(wǎng)數(shù)據(jù)通信的保護效果。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于：針對現(xiàn)有技術(shù)中存在的問題，提供了一種全鏈路網(wǎng)絡(luò)通信加密的方法與裝置，解決了上述問題。

2、本發(fā)明的技術(shù)方案如下：

3、一種全鏈路網(wǎng)絡(luò)通信加密的裝置，包括：

4、密碼服務(wù)器，提供ip注冊和私鑰下發(fā)功能；

5、加解密控制模塊，與所述密碼服務(wù)器連接，進行ip地址注冊并申請私鑰；

6、加解密模塊，與所述加解密控制模塊通信，并能夠執(zhí)行通信數(shù)據(jù)的加密和解密操作。

7、進一步地，所述加解密控制模塊部署在各主機linux操作系統(tǒng)用戶空間中；所述加解密模塊部署在linux內(nèi)核中。

8、進一步地，所述ip地址注冊并申請私鑰，包括：

9、加解密控制模塊采用密碼服務(wù)器ip地址對注冊請求消息進行加密，生成注冊請求報文，并發(fā)送給密碼服務(wù)器；所述注冊請求報文內(nèi)容包括隨機數(shù)、時間戳、隨機對稱秘鑰和私鑰申請ip地址；

10、所述密碼服務(wù)器采用其自身私鑰解密，提取注冊請求報文內(nèi)容，根據(jù)私鑰申請ip地址生成對應(yīng)的私鑰；所述密碼服務(wù)器采用注冊請求報文中的隨機對稱秘鑰加密回復(fù)的消息，生成回復(fù)的報文，并發(fā)送至加解密控制模塊；所述回復(fù)的報文內(nèi)容包括：用戶私鑰、隨機數(shù)和時間戳；

11、所述加解密控制模塊用隨機對稱秘鑰解密，提取回復(fù)的報文內(nèi)容，驗證隨機數(shù)正確性，提取私鑰，并下發(fā)保存。

12、進一步地，主機間的通信過程如下：

13、主機1與主機2通信，其中主機1作為源地址，主機2作為目的地址；

14、查詢源地址和目的地址均為全鏈路通信加密地址范圍內(nèi)，則采用主機2的ip地址作為公鑰，對通信的消息進行加密，生成報文發(fā)送至主機2；

15、主機2收到報文，提取報文的源地址和目的地址，查詢源地址和目的地址均為全鏈路通信加密地址范圍內(nèi)，則使用其私鑰解密；將解密后的消息送入?yún)f(xié)議棧繼續(xù)處理。

16、進一步地，判斷源地址和目的地址是否在全鏈路通信加密地址范圍內(nèi)時，采用hash緩存或者緩存列表形式進行加速處理。

17、進一步地，所述加解密模塊采用linux內(nèi)核模塊形式發(fā)布，基于netfilter框架，實現(xiàn)功能的動態(tài)加載和卸載；在netfilter框架中，在ip_local_input和ip_local_out的兩個節(jié)點上，掛接加解密模塊的處理hook，實現(xiàn)加密和解密功能。

18、進一步地，所述密碼服務(wù)器具有固定的ip地址和服務(wù)端口。

19、本發(fā)明還提出了一種全鏈路網(wǎng)絡(luò)通信加密的方法，基于上述的一種全鏈路網(wǎng)絡(luò)通信加密的裝置，包括：

20、步驟s1：各主機向密碼服務(wù)器發(fā)起ip地址注冊并申請私鑰；

21、步驟s2：主機間基于該私鑰進行通信。

22、進一步地，所述步驟s1，包括：

23、步驟s11：加解密控制模塊采用密碼服務(wù)器ip地址對注冊請求消息進行加密，生成注冊請求報文，并發(fā)送給密碼服務(wù)器；所述注冊請求報文內(nèi)容包括隨機數(shù)、時間戳、隨機對稱秘鑰和私鑰申請ip地址；

24、步驟s12：密碼服務(wù)器采用其自身私鑰解密，提取注冊請求報文內(nèi)容，根據(jù)私鑰申請ip地址生成對應(yīng)的私鑰；所述密碼服務(wù)器采用注冊請求報文中的隨機對稱秘鑰加密回復(fù)的消息，生成回復(fù)的報文，并發(fā)送至加解密控制模塊；所述回復(fù)的報文內(nèi)容包括：用戶私鑰、隨機數(shù)和時間戳；

25、步驟s13：加解密控制模塊用隨機對稱秘鑰解密，提取回復(fù)的報文內(nèi)容，驗證隨機數(shù)正確性，提取私鑰，并下發(fā)保存。

26、進一步地，所述步驟s2，包括：

27、步驟s21：主機1與主機2通信，其中主機1作為源地址，主機2作為目的地址；

28、步驟s22：查詢源地址和目的地址均為全鏈路通信加密地址范圍內(nèi)，則采用主機2的ip地址作為公鑰，對通信的消息進行加密，生成報文發(fā)送至主機2；

29、步驟s23：主機2收到報文，提取報文的源地址和目的地址，查詢源地址和目的地址均為全鏈路通信加密地址范圍內(nèi)，則使用其私鑰解密；將解密后的消息送入?yún)f(xié)議棧繼續(xù)處理。

30、與現(xiàn)有的技術(shù)相比本發(fā)明的有益效果是：

31、本發(fā)明可以實現(xiàn)本地網(wǎng)絡(luò)內(nèi)基于鏈路通信的ip報文加密保護效果，具有簡潔的密鑰下發(fā)流程，簡潔的通信流程，無密鑰協(xié)商、隧道建立等額外步驟，整體方案維護簡單，部署靈活，實現(xiàn)本地加密通信，外部正常通信的效果。

技術(shù)特征：

1.一種全鏈路網(wǎng)絡(luò)通信加密的裝置，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的一種全鏈路網(wǎng)絡(luò)通信加密的裝置，其特征在于，所述加解密控制模塊部署在各主機linux操作系統(tǒng)用戶空間中；所述加解密模塊部署在linux內(nèi)核中。

3.根據(jù)權(quán)利要求1所述的一種全鏈路網(wǎng)絡(luò)通信加密的裝置，其特征在于，所述ip地址注冊并申請私鑰，包括：

4.根據(jù)權(quán)利要求3所述的一種全鏈路網(wǎng)絡(luò)通信加密的裝置，其特征在于，主機間的通信過程如下：

5.根據(jù)權(quán)利要求4所述的一種全鏈路網(wǎng)絡(luò)通信加密的裝置，其特征在于，判斷源地址和目的地址是否在全鏈路通信加密地址范圍內(nèi)時，采用hash緩存或者緩存列表形式進行加速處理。

6.根據(jù)權(quán)利要求2所述的一種全鏈路網(wǎng)絡(luò)通信加密的裝置，其特征在于，所述加解密模塊采用linux內(nèi)核模塊形式發(fā)布，基于netfilter框架，實現(xiàn)功能的動態(tài)加載和卸載；在netfilter框架中，在ip_local_input和ip_local_out的兩個節(jié)點上，掛接加解密模塊的處理hook，實現(xiàn)加密和解密功能。

7.根據(jù)權(quán)利要求1所述的一種全鏈路網(wǎng)絡(luò)通信加密的裝置，其特征在于，所述密碼服務(wù)器具有固定的ip地址和服務(wù)端口。

8.一種全鏈路網(wǎng)絡(luò)通信加密的方法，其特征在于，基于權(quán)利要求1-7任一項所述一種全鏈路網(wǎng)絡(luò)通信加密的裝置，包括：

9.根據(jù)權(quán)利要求8所述的一種全鏈路網(wǎng)絡(luò)通信加密的方法，其特征在于，所述步驟s1，包括：

10.根據(jù)權(quán)利要求9所述的一種全鏈路網(wǎng)絡(luò)通信加密的方法，其特征在于，所述步驟s2，包括：

技術(shù)總結(jié)
本發(fā)明公開了一種全鏈路網(wǎng)絡(luò)通信加密的方法與裝置，涉及計算機網(wǎng)絡(luò)通信領(lǐng)域，其中，加密裝置包括：密碼服務(wù)器，提供IP注冊和私鑰下發(fā)功能；加解密控制模塊，與所述密碼服務(wù)器連接，進行IP地址注冊并申請私鑰；加解密模塊，與所述加解密控制模塊通信，并能夠執(zhí)行通信數(shù)據(jù)的加密和解密操作；并以此提出了一種加密方法。本發(fā)明，可以實現(xiàn)本地網(wǎng)絡(luò)內(nèi)基于鏈路通信的IP報文加密保護效果，具有簡潔的密鑰下發(fā)流程，簡潔的通信流程，無密鑰協(xié)商、隧道建立等額外步驟，整體方案維護簡單，部署靈活，實現(xiàn)本地加密通信，外部正常通信的效果。

技術(shù)研發(fā)人員：朱俐萍,段開林,張春輝,張橋峰,胡宴箐,胡蝶
受保護的技術(shù)使用者：三峽金沙江川云水電開發(fā)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/15