一种基于以太网交换机的数据安全交互方法及装置的制造方法
【技术领域】
[0001]本发明涉及数据通信、密码应用技术领域,尤其是一种基于以太网交换机的数据安全交互方法及装置。
【背景技术】
[0002]现有的以太网交换机基于“转发与控制分离”的技术架构,对交换机自身的安全性考虑不完善,存在如下安全隐患:(1)以太网交换机启动镜像的合法性和安全性存在隐患;
[2]以太网交换机文件系统以明文进行保存,交换机文件轻易被暴露,存在网络内拓扑信息被暴露的安全隐患;(3)以太网交换机协议大多以明文方式进行通信,存在通过构造虚假协议报文,截取业务数据的安全隐患;
本发明设计出一种安全高效的设备密钥、文件密钥、协议密钥的二层密钥体系,提出对交换机镜像、文件、协议数据防护的方法,解决上述交换机自身的安全隐患。
【发明内容】
[0003]本发明所要解决的技术问题是:针对上述现有技术的问题,提供一种基于以太网交换机的数据安全交互方法及装置,本发明基于以太网交换机设备“转发与控制分离”的技术架构,设计出一种安全高效的设备密钥、文件密钥、协议密钥的密钥体系,提出交换机镜像防护、交换机文件防护、协议数据防护的方法,解决以太网交换机自身的安全隐患。
[0004]本发明采用的技术方案如下:
一种基于以太网交换机的数据安全交互方法包括:
步骤1:以太网交换机启动镜像验证,然后进行配置文件解密验证;
步骤2:当以太网交换机收到其他以太网交换机加密后的RIP报文时,该以太网交换机向加密卡传入协议密钥、其他以太网接收机公钥;加密卡通过SM4对称算法对RIP报文进行解密,如果加密卡解密成功,则加密卡返回解密后的RIP报文给以太网交换机,否则,加密卡返回RIP报文非法;
步骤3:当该以太网交换机向其他以太网交换机发送RIP报文时;该以太网交换机向加密卡传入协议密钥、其他以太网接收机公钥;加密卡通过SM4对称算法对RIP报文进行加密,如果加密卡加密成功,则返回加密后的RIP报文给其他指定的以太网交换机;否则,加密卡返回失败。
[0005]进一步的,所述步骤I中启动镜像验证的具体过程是:
步骤11:以太网交换机启动时加载启动镜像;
步骤12:以太网交换机向加密卡传入设备私钥,加密卡通过SM4对称算法对启动镜像进行解密;如果加密卡对镜像解密成功,则以太网交换机启动镜像,进行配置文件加载验证;否则,交换机无法正常启动。
[0006]进一步的,所述步骤I中加载文件验证包括:
步骤111:以太网交换机启动时加载配置文件; 步骤112:以太网交换机向加密卡传入文件哈希值、设备私钥;加密卡通过SM4对称算法对配置文件解密,如果加密卡对配置文件解密成功,则加密卡给以太网交换机返回明文配置文件,进行以太网交换机数据交互;否则,交换机加载配置文件失败。
[0007]进一步的,当配置文件有更改时,以太网交换机对更改后的配置文件进行加密,以太网交换机向加密卡传入文件哈希值、设备公钥,加密卡通过SM4对称算法进行加密,如果加密卡加密成功,则返回加密后的配置文件给以太网交换机;否则,配置文件加密失败。
[0008]一种基于以太网交换机的数据安全交互装置包括:
以太网交换机,用于启动镜像验证,然后进行配置文件解密验证;
加密卡,用于当以太网交换机收到其他以太网交换机加密后的RIP报文时,该以太网交换机向加密卡传入协议密钥、其他以太网接收机公钥;加密卡通过SM4对称算法对RIP报文进行解密,如果加密卡解密成功,则加密卡返回解密后的RIP报文给以太网交换机,否贝1J,加密卡返回RIP报文非法;当该以太网交换机向其他以太网交换机发送RIP报文时;该以太网交换机向加密卡传入协议密钥、其他以太网接收机公钥;加密卡处理后返回结果;加密卡通过SM4对称算法对RIP报文进行加密,如果加密卡加密成功,返回加密后的RIP报文给其他指定的以太网交换机;否则,加密卡返回失败进一步的,所述配置文件解密验证具体过程包括:
步骤11:以太网交换机启动时加载启动镜像;
步骤12:以太网交换机向加密卡传入设备私钥,加密卡通过SM4对称算法对启动镜像进行解密;如果加密卡对镜像解密成功,则以太网交换机启动镜像,进行配置文件加载验证;否则,交换机无法正常启动:
进一步的,所述启动镜像验证具体过程是:
步骤111:以太网交换机启动时加载配置文件;
步骤112:以太网交换机向加密卡传入文件哈希值、设备私钥;加密卡通过SM4对称算法对配置文件解密,如果加密卡对配置文件解密成功,则加密卡给以太网交换机返回明文配置文件,进行以太网交换机数据交互;否则,交换机加载配置文件失败。
[0009]综上所述,由于采用了上述技术方案,本发明的有益效果是:
1.安全可靠。设计出安全高效的设备密钥、文件密钥、协议密钥的二层密钥体系,对文件密钥和协议密钥采用二层加密的方式,保证密钥的安全可靠,同时提出了解决以太网交换机自身安全隐患的方法,实现以太网交换机启动镜像的安全防护、以太网交换机重要文件的安全防护、以太网交换机协议数据的安全防护,保障了以太网交换机的安全可靠。
[0010]2.良好的扩展性。协议数据加密目前采用SM算法,可以灵活的进行算法替换,保证协议数据的机密性。
【附图说明】
[0011]本发明将通过例子并参照附图的方式说明,其中:
图1安全以太网交换机二级密钥管理架构。
[0012]图2以太网交换机启动镜像防护流程图。
[0013]图3以太网交换机配置文件流程图。
[0014]图4以太网交换机协议加密流程图。
【具体实施方式】
[0015]本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
[0016]本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
[0017]以太网交换机的密钥管理通过设备密钥、文件密钥、协议密钥二级体系对密钥进行管理和分发,其密钥体系架构如图1所示。
[0018]以太网交换机的设备密钥采用公开密钥体制,设备密钥通过设备离线注册的方式产生,设备通过使用USBKEY等方式掌握自己的私钥,通过使用设备公钥加密交换机启动镜像,使用私钥解密的方式来确保交换机启动镜像的合法可靠;
文件密钥则是文件的哈希值,设备使用该哈希值加密文件,利用设备公钥加密该哈希值,使用私钥解密的方式来保护交换机重要文件