一种基于EOC网络的数据安全传输方法及系统与流程

本发明涉及通信网络技术领域，尤其涉及一种基于EOC网络的数据安全传输方法及系统。

背景技术：

随着国内广电三网融合的普及，网络接入技术在国内广电的应用也越来越普遍，EOC双向网接入技术就是国内广电目前应用最为广泛的网络技术技术之一。其中EOC（Ethernet Over Cable）是基于有线电视同轴电缆网使用以太网协议的接入技术。

现有技术下，EOC网络中CLT（同轴电缆线路终端，EOC头端设备）和CNU（同轴电缆网络单元，EOC终端设备）间数据通信的安全性通过CNU注册登记获取到的NEK（网络加密密钥）来保证，NEK对网络通信数据进行加解密，并在在CNU在线期间，NEK不会改变，只要下次重新上线，才会分配新的NEK。

现有技术下，由于NEK在CNU在线期间，不会改变，会给黑客破解以足够的时间，一旦黑客想要破解EOC通信数据，那么EOC数据通信安全性得不到保证。

因此，现有技术还有待于改进和发展。

技术实现要素：

鉴于现有技术的不足，本发明目的在于提供一种基于EOC网络的数据安全传输方法及系统，旨在解决现有技术中EOC通信数据传输过程中，数据加密性差容易被破解，数据安全性差的技术问题。

本发明的技术方案如下：

一种基于EOC网络的数据安全传输方法，其中，方法包括步骤：

A、同轴电缆网络单元向同轴电缆线路终端发送注册登记消息并进行注册登记；

B、同轴电缆线路终端向同轴电缆网络单元发送密钥发送请求消息，根据密钥请求消息生成层级密钥；

C、同轴电缆网络单元接收到密钥发送请求消息后向同轴电缆线路终端发送密钥响应消息，获取层级密钥；

D、同轴电缆网络单元和同轴电缆线路终端之间的数据根据层级密钥加解密进行传输。

所述的基于EOC网络的数据安全传输方法，其中，所述步骤A具体包括步骤：

A1、同轴电缆网络单元向同轴电缆线路终端发送注册登记消息并注册登记；

A2、同轴电缆线路终端在注册登记过程中为同轴电缆网络单元分配数据通信加密的网络加密密钥，并获取同轴电缆网络单元的终端设备标识符。

所述的基于EOC网络的数据安全传输方法，其中，所述步骤B中密钥发送请求消息具体包括：终端设备标识符、MAC地址、加密密钥使用时间、一级密钥、二级密钥、二级密钥加密算法、三级密钥、三级密钥加密算法。

所述的基于EOC网络的数据安全传输方法，其中，所述步骤B具体包括步骤：

B1、同轴电缆线路终端向同轴电缆网络单元发送终端设备标识符、MAC地址、加密密钥使用时间、一级密钥、二级密钥、二级密钥加密算法、三级密钥、三级密钥加密算法；

B2、使用一级密钥采用二级密钥加密算法所标识的加密算法对随机数A进行加密，得到二级密钥，所述随机数A采用三级密钥加密算法所标识的加密算法对随机数B进行加密，得到三级密钥。

所述的基于EOC网络的数据安全传输方法，其中，所述步骤D具体包括步骤：

D1、当同轴电缆线路终端向同轴电缆网络单元发送通信数据时，同轴电缆线路单元获取一级密钥、二级密钥、三级密钥和随机数B，根据随机数B给通信数据加密生成加密数据，将加密数据和一级密钥、二级密钥、三级密钥发送至同轴电缆网络单元；

D2、同轴电缆网络单元接收到加密数据和一级密钥、二级密钥、三级密钥后，利用一级密钥对二级密钥进行解密得到随机数A，随机数A对三级密钥进行解密得到随机数B，随机数B对加密的通信数据进行解密，得到解密后的通信数据。

一种基于EOC网络的数据安全传输系统，其中，系统包括：

注册登记模块，用于同轴电缆网络单元向同轴电缆线路终端发送注册登记消息并进行注册登记；

层级密钥生成模块，用于同轴电缆线路终端向同轴电缆网络单元发送密钥发送请求消息，根据密钥请求消息生成层级密钥；

密钥响应模块，用于同轴电缆网络单元接收到密钥发送请求消息后向同轴电缆线路终端发送密钥响应消息，获取层级密钥；

数据传输模块，用于同轴电缆网络单元和同轴电缆线路终端之间的数据根据层级密钥加解密进行传输。

所述的基于EOC网络的数据安全传输系统，其中，所述注册登记模块具体包括：

注册单元，用于同轴电缆网络单元向同轴电缆线路终端发送注册登记消息并注册登记；

数据分配单元，用于同轴电缆线路终端在注册登记过程中为同轴电缆网络单元分配数据通信加密的网络加密密钥，并获取同轴电缆网络单元的终端设备标识符。

所述的基于EOC网络的数据安全传输系统，其中，所述密钥发送请求消息具体包括：终端设备标识符、MAC地址、加密密钥使用时间、一级密钥、二级密钥、二级密钥加密算法、三级密钥、三级密钥加密算法。

所述的基于EOC网络的数据安全传输系统，其中，所述层级密钥生成模块具体包括：

加密参数发送单元，用于同轴电缆线路终端向同轴电缆网络单元发送终端设备标识符、MAC地址、加密密钥使用时间、一级密钥、二级密钥、二级密钥加密算法、三级密钥、三级密钥加密算法；

层级密钥生成单元，用于使用一级密钥采用二级密钥加密算法所标识的加密算法对随机数A进行加密，得到二级密钥，所述随机数A采用三级密钥加密算法所标识的加密算法对随机数B进行加密，得到三级密钥。

所述的基于EOC网络的数据安全传输系统，其中，所述数据传输模块具体包括：

数据加密及发送单元，用于当同轴电缆线路终端向同轴电缆网络单元发送通信数据时，同轴电缆线路单元获取一级密钥、二级密钥、三级密钥和随机数B，根据随机数B给通信数据加密生成加密数据，将加密数据和一级密钥、二级密钥、三级密钥发送至同轴电缆网络单元；

数据接收与解密单元，用于同轴电缆网络单元接收到加密数据和一级密钥、二级密钥、三级密钥后，利用一级密钥对二级密钥进行解密得到随机数A，随机数A对三级密钥进行解密得到随机数B，随机数B对加密的通信数据进行解密，得到解密后的通信数据。

本发明提供了一种基于EOC网络的数据安全传输方法及系统，本发明在数据传输中采用多层加密，实现EOC网络中数据更加安全的传输，保证数据通信的安全性。

附图说明

图1为本发明的一种基于EOC网络的数据安全传输方法的较佳实施例的流程图。

图2为图1中的步骤S100的具体流程示意图。

图3为图1中的步骤S200的具体流程示意图。

图4为图1中的步骤S400的具体流程示意图。

图5为本发明的一种基于EOC网络的数据安全传输系统的较佳实施例的功能原理框图。

图6为本发明的一种基于EOC网络的数据安全传输系统的具体应用实施例的注册登记模块的功能原理框图。

图7为本发明的一种基于EOC网络的数据安全传输系统的具体应用实施例的层级密钥生成模块的功能原理框图。

图8为本发明的一种基于EOC网络的数据安全传输系统的具体应用实施例的数据传输模块的功能原理框图。

具体实施方式

为使本发明的目的、技术方案及效果更加清楚、明确，以下对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明还提供了一种基于EOC网络的数据安全传输系统的较佳实施例的流程图，如图1所示，方法包括：

步骤S100、同轴电缆网络单元向同轴电缆线路终端发送注册登记消息并进行注册登记；

步骤S200、同轴电缆线路终端向同轴电缆网络单元发送密钥发送请求消息，根据密钥请求消息生成层级密钥；

步骤S300、同轴电缆网络单元接收到密钥发送请求消息后向同轴电缆线路终端发送密钥响应消息，获取层级密钥；

步骤S400、同轴电缆网络单元和同轴电缆线路终端之间的数据根据层级密钥加解密进行传输。

具体实施时，步骤S100中同轴电缆网络单元简称CNU，同轴电缆线路终端为EOC的头端设备，记为CLT。CNU向CLT发送消息并完成注册登记，CNU的注册登记为现有技术，在此不再赘述。注册登记主要是将同轴电缆网络单元的相关信息上报给同轴电缆线路终端，所述相关信息主要包括MAC地址。

步骤S200中，CLT向CNU发送密钥请求消息，根据密钥发送请求消息生成后期加密用的层级密钥。密钥发送请求消息具体包括：终端设备标识符、MAC地址、加密密钥使用时间、一级密钥、二级密钥、二级密钥加密算法、三级密钥、三级密钥加密算法。

步骤S300中CNU（同轴电缆网络单元，EOC终端设备）接收到密钥发送请求并向CLT（同轴电缆线路终端，EOC头端设备）发送密钥发送响应消息，层级密钥生效；所述密钥发送响应消息包含但不限于以下内容：TEI（终端设备标识符）、MAC地址、密钥状态；所述TEI（终端设备标识符）用于在一个EOC网络中唯一标识一个EOC终端设备（CNU）；所述TEI由CNU向CLT注册登记获取得到；所述MAC地址为所述CNU的MAC地址；所述密钥状态是指密钥生效状态，正常为生效；所述层级密钥生效是指层级密钥正式发挥作用，也就是CLT和CNU间的数据通信通过层级密钥来加解密。

步骤S400中CNU与CLT通信过程中，数据加解密都采用层级密钥进行，从而实现数据传输过程的数据的安全性。

具体实施时，如图2所示，步骤S100具体包括：

步骤S101、同轴电缆网络单元向同轴电缆线路终端发送注册登记消息并注册登记；

步骤S102、同轴电缆线路终端在注册登记过程中为同轴电缆网络单元分配数据通信加密的网络加密密钥，并获取同轴电缆网络单元的终端设备标识符。

具体实施时，CNU（同轴电缆网络单元，EOC终端设备）向CLT（同轴电缆线路终端，EOC头端设备）发送消息并完成注册登记；CNU的注册登记为现有技术，在此不再赘述;所述注册登记过程,所述CLT会给CNU分配一个NEK(网络加密密钥);所述NEK(网络加密密钥)在现有技术中用于CLT和CNU间的数据通信加密,并且在CNU和CLT正常通信期间都不会改变;在本发明方案中,所述NEK(网络加密密钥)为层级密钥的首层密钥,并且会周期性的更换。所述周期一般是由密钥发送请求消息中的时间限制给定，所述密钥发送请求消息及时间限制在步骤S102中会有详述；所述更换是指CNU重新向CLT注册登记，获取NEK（网络加密密钥）。

进一步的，如图3所示，步骤S200具体包括：

步骤S201、同轴电缆线路终端向同轴电缆网络单元发送终端设备标识符、MAC地址、加密密钥使用时间、一级密钥、二级密钥、二级密钥加密算法、三级密钥、三级密钥加密算法；

步骤S202、使用一级密钥采用二级密钥加密算法所标识的加密算法对随机数A进行加密，得到二级密钥，所述随机数A采用三级密钥加密算法所标识的加密算法对随机数B进行加密，得到三级密钥。

具体实施时，所述CLT（同轴电缆线路终端，EOC头端设备）向CNU（同轴电缆网络单元，EOC终端设备）发送密钥发送请求消息；所述密钥发送请求消息包含但不限于以下内容：TEI（终端设备标识符）、MAC地址、时间限制、NEK（网络加密密钥）、二级密钥、二级密钥加密算法、三级密钥、三级密钥加密算法；所述TEI（终端设备标识符）用于在一个EOC网络中唯一标识一个EOC终端设备（CNU）；所述TEI由CNU向CLT注册登记获取得到；所述MAC地址为所述CNU的MAC地址；所述时间限制是指CLT和CNU间通信所用的加密密钥使用时间长度，建议为15-20秒；所述加密是通过层级密钥实现的；在本发明中，所述层级密钥关键数据由NEK（网络加密密钥）、二级密钥、二级密钥加密算法、三级密钥、三级密钥加密算法共同构成；所述NEK（网络加密密钥）为初始密钥，又称为一级密钥，需要和注册登记获取得到的NEK保持一致；所述层级密钥是指使用一级密钥（NEK）采用二级密钥加密算法所标识的加密算法对随机数A进行加密，得到二级密钥，所述随机数A采用三级密钥加密算法所标识的加密算法对随机数B进行加密，得到三级密钥；所述随机数B用于CLT及CNU间数据通信的加解密；所述层级密钥的加密过程为：随机数B对要在CLT及CNU间通信的数据进行加密，随机数A对随机数B进行加密，NEK（网络加密密钥）对随机数A进行加密；所述二级密钥加密算法及三级密钥加密算法是根据不同的取值标识不同的加解密算法；所述加解密算法包含但不限于：AES、DES、3DES、RSA；所述随机数A及随机数B是由CLT在给CNU发送密钥发送请求消息时随机产生；所述随机数A及随机数B在CLT和CNU通信过程中都是加密传输的。

进一步的，如图4所示，步骤S400具体包括：

步骤S401、当同轴电缆线路终端向同轴电缆网络单元发送通信数据时，同轴电缆线路单元获取一级密钥、二级密钥、三级密钥和随机数B，根据随机数B给通信数据加密生成加密数据，将加密数据和一级密钥、二级密钥、三级密钥发送至同轴电缆网络单元；

步骤S402、同轴电缆网络单元接收到加密数据和一级密钥、二级密钥、三级密钥后，利用一级密钥对二级密钥进行解密得到随机数A，随机数A对三级密钥进行解密得到随机数B，随机数B对加密的通信数据进行解密，得到解密后的通信数据。

具体实施时，所述CLT和CNU间通过层级密钥加解密通信数据；所述通信数据分为CLT发送给CNU的通信数据和CNU发给CLT的通信数据；当所述通信数据为CLT发送给CNU的通信数据时，在CLT上对通信数据做加密处理：随机数B给通信数据加密，随机数A给随机数B加密；NEK给随机数A加密；加密后的随机数B（三级密钥）、加密后的随机数A（二级密钥）及NEK共同构成的层级密钥在步骤S102已经通过密钥发送请求消息发送给接收端CNU；在接收端CNU对通信数据做解密处理：NEK对二级密钥（加密后的随机数A）进行解密得到随机数A，随机数A对三级密钥（加密后的随机数B）进行解密得到随机数B，随机数B对加密的通信数据进行解密，得到解密后的通信数据；所述通信数据为CNU发送给CLT的通信数据，数据在CNU通过层级密钥对通信数据进行加密，在CLT通过层级密钥对CNU进行解密；关于层级密钥的加解密过程前面已经有详述，在此不再赘述。

本发明中还提供了一种基于EOC网络的数据安全传输系统的较佳实施例功能原理框图，如图5所示，系统包括：

注册登记模块100，用于同轴电缆网络单元向同轴电缆线路终端发送注册登记消息并进行注册登记；具体如方法实施例所述。

层级密钥生成模块200，用于同轴电缆线路终端向同轴电缆网络单元发送密钥发送请求消息，根据密钥请求消息生成层级密钥；具体如方法实施例所述。

密钥响应模块300，用于同轴电缆网络单元接收到密钥发送请求消息后向同轴电缆线路终端发送密钥响应消息，获取层级密钥；具体如方法实施例所述。

数据传输模块400，用于同轴电缆网络单元和同轴电缆线路终端之间的数据根据层级密钥加解密进行传输；具体如方法实施例所述。

进一步的实施例中，如图6所示，其中，注册登记模块100具体包括：

注册单元101，用于同轴电缆网络单元向同轴电缆线路终端发送注册登记消息并注册登记；具体如方法实施例所述。

数据分配单元102，用于同轴电缆线路终端在注册登记过程中为同轴电缆网络单元分配数据通信加密的网络加密密钥，并获取同轴电缆网络单元的终端设备标识符；具体如方法实施例所述。

所述的基于EOC网络的数据安全传输系统，其中，所述密钥发送请求消息具体包括：终端设备标识符、MAC地址、加密密钥使用时间、一级密钥、二级密钥、二级密钥加密算法、三级密钥、三级密钥加密算法；具体如方法实施例所述。

进一步的实施例中，如图7所示，其中，层级密钥生成模块200具体包括：

加密参数发送单元201，用于同轴电缆线路终端向同轴电缆网络单元发送终端设备标识符、MAC地址、加密密钥使用时间、一级密钥、二级密钥、二级密钥加密算法、三级密钥、三级密钥加密算法；具体如方法实施例所述。

层级密钥生成单元202，用于使用一级密钥采用二级密钥加密算法所标识的加密算法对随机数A进行加密，得到二级密钥，所述随机数A采用三级密钥加密算法所标识的加密算法对随机数B进行加密，得到三级密钥；具体如方法实施例所述。

进一步的实施例中，如图8所示，其中，数据传输模块400具体包括：

数据加密及发送单元401，用于当同轴电缆线路终端向同轴电缆网络单元发送通信数据时，同轴电缆线路单元获取一级密钥、二级密钥、三级密钥和随机数B，根据随机数B给通信数据加密生成加密数据，将加密数据和一级密钥、二级密钥、三级密钥发送至同轴电缆网络单元；具体如方法实施例所述。

数据接收与解密单元402，用于同轴电缆网络单元接收到加密数据和一级密钥、二级密钥、三级密钥后，利用一级密钥对二级密钥进行解密得到随机数A，随机数A对三级密钥进行解密得到随机数B，随机数B对加密的通信数据进行解密，得到解密后的通信数据；具体如方法实施例所述。

综上所述，本发明提供了一种基于EOC网络的数据安全传输方法及系统，方法包括：同轴电缆网络单元向同轴电缆线路终端发送注册登记消息并进行注册登记；同轴电缆线路终端向同轴电缆网络单元发送密钥发送请求消息，根据密钥请求消息生成层级密钥；同轴电缆网络单元接收到密钥发送请求消息后向同轴电缆线路终端发送密钥响应消息，获取层级密钥；同轴电缆网络单元和同轴电缆线路终端之间的数据根据层级密钥加解密进行传输。本发明在数据传输中采用多层加密，实现EOC网络中数据更加安全的传输，保证数据通信的安全性。

应当理解的是，本发明的应用不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。