本发明属于信息安全技术领域,涉及网络安全。
背景技术:
由于网络层可能存在的DDos攻击、网络层木马、重定向攻击等风险,本发明给出了CFL在IPvx网络层协议保护中的应用方法,包括网络层的基于CFL证书的认证,以及网络层通信加解密。其中IPvx是指IPv4、IPv6以及IPv9。
技术实现要素:
给每个路由器发放CFL证书,在路由器之间进行网络层通信时,在网络层进行CFL证书认证、密钥交换、基于SM4的加解密通信。从而本发明实现了对IPvx网络层协议通信中的信息安全保护。
具体实施方式
CFL认证技术是基于标识的证书认证,是证书认证与标识认证的继承和发展,同时又弥补了标识认证与证书认证的各自的不足。CFL认证技术具有一人一密、应用无中心、可证明安全、零知识交互、证书生成中心具有高安全性、动态认证、多因素认证、多通道认证、绿色认证、自主认证、现场认证等特点。
在上述CFL认证技术的特点的基础上,我们给出CFL在IPvx网络层协议保护中的安全应用方法的发明。发明的实施步骤如下:
实施步骤:
(1)建立CFL证书生成中心;
(2)为每个IPvx网络层各个路由器配发高性能CFL密码设备;
(3)每个IPvx网络层各个路由器的CFL密码设备向CFL证书生成中心申请CFL证书;
(4)IPvx网络层两个路由器之间进行网络层通信时,首先进行动态CFL证书交换,然后进行分别的动态CFL证书的验证;
(5)双双验证通过后,然后进行密钥交换;
(6)密钥交换完毕后,网络层数据的交换,是基于CFL的用户的工作私钥的签名以及基于SM4的加解密进行的。
本发明安全性分析:
(1)通过路由器两侧的CFL证书的双向动态认证,可以防止假冒攻击,同时两者之间进行了安全身份确认;
(2)通过数据的基于CFL用户的工作私钥的签名,保护了网络层数据的完整性以及可认证性;
(3)通过基于SM4的网络层数据的加密通信,实现了网络层数据传输的机密性保护;
(4)通过路由器之间的认证,实现了路由器之间的可控性;
(5)由于CFL是一人一密的,因此即使是个别路由器出现信息安全问题,也不影响CFL的根安全;
(6)CFL是轻量级认证算法,认证速度快,可用性强;
(7)由于CFL认证具有应用去中心化的功能,因此可以现场认证,大大提高了认证效率。