一種網(wǎng)絡(luò)安全加密及校驗(yàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別是涉及一種網(wǎng)絡(luò)安全加密及校驗(yàn)方法。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。
[0003]現(xiàn)有的解決網(wǎng)絡(luò)安全的技術(shù)中，一般存在如下三種問題:
1)各個(gè)公司部門之間存在著不同的加密安全算法，之前都集成在各自的軟件模塊中，存在很大程度上的重復(fù)開發(fā)以及質(zhì)量差異，與應(yīng)用軟件耦合度非常高，安全程度參差不齊。
[0004]2)現(xiàn)有的常用加密傳輸?shù)姆椒ù嬖谝恍┎煌潭鹊谋锥?，例?采用證書的方式進(jìn)行傳輸時(shí)，可以通過網(wǎng)絡(luò)嗅探發(fā)現(xiàn)并偽造證書，同時(shí)證書的制作也需要一定的成本。
[0005]3)現(xiàn)有的常利用安全網(wǎng)閘實(shí)現(xiàn)數(shù)據(jù)的高低安全區(qū)的運(yùn)送，其成本昂貴且部署麻煩。

【發(fā)明內(nèi)容】

[0006]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種網(wǎng)絡(luò)安全加密及校驗(yàn)方法，應(yīng)用在安全盒子中，以安全盒子為載體，實(shí)現(xiàn)高低安全網(wǎng)絡(luò)的數(shù)據(jù)傳輸過程中，數(shù)據(jù)的安全加密以及安全校驗(yàn)。保證傳輸過程中數(shù)據(jù)的透明性安全，保護(hù)高安全網(wǎng)絡(luò)中的受保機(jī)。
[0007]本發(fā)明的目的是通過以下技術(shù)方案來實(shí)現(xiàn)的:一種網(wǎng)絡(luò)安全加密方法，當(dāng)高安全網(wǎng)絡(luò)向低安全網(wǎng)絡(luò)發(fā)送Socket報(bào)文時(shí)，所述加密方法包括以下多個(gè)步驟:
51、產(chǎn)生加密標(biāo)示:
對(duì)待發(fā)送的Socket報(bào)文的數(shù)據(jù)段選擇l-η次或l_n種非對(duì)稱加密算法進(jìn)行加密運(yùn)算，得到加密標(biāo)示；
52、對(duì)正文數(shù)據(jù)明文進(jìn)行加密，生成正文數(shù)據(jù)密文，包括一下多個(gè)子步驟:
5201、對(duì)原始密鑰key選擇l_n次或l_n種非對(duì)稱加密算法進(jìn)行加密運(yùn)算，得到加密密鑰 Encrypt1n_key ；
5202、對(duì)加密密鑰Encrypt1n_key再進(jìn)行l(wèi)_n次或l_n種編碼加密處理，得到編碼密鑰 Encode_Encrypt1n_key ；
5203、將編碼密鑰Encode_Encrypt1n_key分解成多種不同的影響加密結(jié)果的加密因子;
5204、根據(jù)加密因子對(duì)正文數(shù)據(jù)明文選擇l-η次或l-η種對(duì)稱加密算法進(jìn)行加密運(yùn)算，得到正文數(shù)據(jù)密文，得到新的加密后的Socket報(bào)文。所述的η為自然數(shù)。
[0008]進(jìn)一步的，所述的加密因子包括編碼密鑰Encode_Encrypt1n_key中以第一長(zhǎng)度字節(jié)段作為對(duì)稱加密算法的密鑰SymmetricEncrypt1n_key，還包括編碼密鑰Encode_Encrypt1n_key中以第二長(zhǎng)度字節(jié)段作為對(duì)稱加密算法的加密向量SymmetricEncrypt1n_IV0
[0009]進(jìn)一步的，所述步驟S2還包括子步驟S205，對(duì)步驟S204中所得到的加密后的Socket報(bào)文進(jìn)行擾碼處理。
[0010]進(jìn)一步的，所述擾碼處理包括字節(jié)的翻轉(zhuǎn)和字節(jié)的調(diào)位。
[0011]進(jìn)一步的，步驟S1中所述的數(shù)據(jù)段包括時(shí)間戳、原始密鑰key和正文數(shù)據(jù)明文，根據(jù)時(shí)間戳對(duì)原始密鑰key和正文數(shù)據(jù)明文進(jìn)行非對(duì)稱加密運(yùn)算，得到加密標(biāo)示。
[0012]進(jìn)一步的，所述時(shí)間戳包括當(dāng)前時(shí)間戳、上時(shí)刻時(shí)間戳和下時(shí)刻時(shí)間戳，上時(shí)刻時(shí)間戳和下時(shí)刻時(shí)間戳為當(dāng)前時(shí)間戳的前后兩個(gè)鄰近時(shí)間戳，根據(jù)該三個(gè)時(shí)間戳分別對(duì)數(shù)據(jù)段進(jìn)行非對(duì)稱加密運(yùn)算，得到加密標(biāo)示。
[0013]—種網(wǎng)絡(luò)安全校驗(yàn)方法，所述校驗(yàn)方法與加密方法相對(duì)應(yīng)，當(dāng)?shù)桶踩W(wǎng)絡(luò)向高安全網(wǎng)絡(luò)發(fā)送Socket報(bào)文時(shí)，所述校驗(yàn)方法包括加密標(biāo)示檢驗(yàn)步驟:當(dāng)?shù)桶踩W(wǎng)絡(luò)向高安全網(wǎng)絡(luò)發(fā)送Socket報(bào)文時(shí)，校驗(yàn)該待接收的Socket報(bào)文的是否攜帶有所述的加密標(biāo)示，若存在，貝判定該Socket報(bào)文為合法報(bào)文，否則，進(jìn)行報(bào)警日志記錄并丟棄該Socket報(bào)文。
[0014]進(jìn)一步的，所述校驗(yàn)方法還包括地址校驗(yàn)步驟，對(duì)Socket報(bào)文的報(bào)頭中的源端口地址和目的端口地址采用配對(duì)的方式進(jìn)行地址校驗(yàn)，過濾掉源端口地址與目的端口地址不匹配的Socket報(bào)文。
[0015]本發(fā)明的有益效果是:
1)首先高安全網(wǎng)絡(luò)和低安全網(wǎng)絡(luò)均采用本發(fā)明所提出的加密方法和校驗(yàn)方法，達(dá)到最大程度地復(fù)用。當(dāng)高安全網(wǎng)絡(luò)向低安全網(wǎng)絡(luò)傳輸信息時(shí)，通過安全盒子的算法加密，低安全網(wǎng)絡(luò)的攻擊者無法破獲，保障了高安全網(wǎng)絡(luò)數(shù)據(jù)的安全性；當(dāng)?shù)桶踩W(wǎng)絡(luò)向高安全網(wǎng)絡(luò)傳輸信息時(shí)，只有攜帶有加密標(biāo)示的報(bào)文才能通過，其他的均不能通過，保障了高安全網(wǎng)絡(luò)數(shù)據(jù)的純凈。
[0016]2)本發(fā)明在安全校驗(yàn)之前會(huì)先對(duì)源端口地址和目標(biāo)端口地址采用配對(duì)的方式進(jìn)行校驗(yàn)，這樣在網(wǎng)絡(luò)層面就可以過濾掉大多數(shù)無效信息，使得諸如DD0S之類的惡意攻擊的惡意請(qǐng)求無法進(jìn)入高安全網(wǎng)絡(luò)到達(dá)受保機(jī)。
[0017]3)本發(fā)明所提出的加密方法可實(shí)現(xiàn)透明數(shù)據(jù)傳輸，防止網(wǎng)絡(luò)嗅探，就算數(shù)據(jù)被嗅探到，也不會(huì)出現(xiàn)信息泄漏的危險(xiǎn)；本發(fā)明可根據(jù)應(yīng)用場(chǎng)景、安全性和性能等因素選擇1-n次或l-η種非對(duì)稱加密算法及對(duì)稱加密算法，提高密鑰的復(fù)雜度，增加密鑰強(qiáng)度防止弱口令問題，增加加密因子的復(fù)雜性，提高正文數(shù)據(jù)密文的安全性。
[0018]4)本發(fā)明還通過擾碼處理防止對(duì)算法的定向工具的破解。
【附圖說明】
[0019]圖1為本發(fā)明中加密方法的流程示意圖；
圖2為本發(fā)明中安全盒子的結(jié)構(gòu)圖之一；
圖3為本發(fā)明中安全盒子的結(jié)構(gòu)圖之二；
圖4為本發(fā)明中機(jī)芯電路的結(jié)構(gòu)框圖；
圖5為本發(fā)明中安全加密單元的結(jié)構(gòu)框圖；
圖6為本發(fā)明中安全校驗(yàn)單元的結(jié)構(gòu)框圖；
圖中，1-外殼，2-USB接口，3-網(wǎng)絡(luò)接口，4-電源指示燈，5-通信連接指示燈，6-電源接口，7-開關(guān)，8-復(fù)位鍵。
【具體實(shí)施方式】
[0020]下面結(jié)合附圖進(jìn)一步詳細(xì)描述本發(fā)明的技術(shù)方案，但本發(fā)明的保護(hù)范圍不局限于以下所述。
[0021](—)安全加密方法
如圖1所示，一種網(wǎng)絡(luò)安全加密方法，應(yīng)用于一種體積小易部署的安全盒子中，安全盒子通過網(wǎng)絡(luò)接口 3與低安全網(wǎng)絡(luò)(即外網(wǎng))連接，還通過USB接口 2與高安全網(wǎng)絡(luò)(即內(nèi)網(wǎng))連接，當(dāng)高安全網(wǎng)絡(luò)通過安全盒子向低安全網(wǎng)絡(luò)發(fā)送Socket報(bào)文時(shí)，所示加密方法包括以下多個(gè)步驟。其中，所述Socket報(bào)文的格式為:報(bào)頭+數(shù)據(jù)段；報(bào)頭可為IP報(bào)頭、UDP報(bào)頭或TCP報(bào)頭等。數(shù)據(jù)段包括加密標(biāo)示和正文數(shù)據(jù)。所述加密標(biāo)示為加密標(biāo)示生成模塊在待發(fā)送的Socket報(bào)文的數(shù)據(jù)段中取定長(zhǎng)字節(jié)(例如取20字節(jié))。
[0022]S1、產(chǎn)生加密標(biāo)示:對(duì)待發(fā)送的Socket報(bào)文的數(shù)據(jù)段選擇l_n次或l_n種非對(duì)稱加密算法進(jìn)行加密運(yùn)算，得到加密標(biāo)示。所述非對(duì)稱加密算法包括Hash算法等，可對(duì)數(shù)據(jù)段選擇l-η次或l-η種Hash算法，進(jìn)行Hash簽名，得到加密標(biāo)示，本發(fā)明中所述的η為自然數(shù)。
[0023]S2、對(duì)正文數(shù)據(jù)明文進(jìn)行加密，生成正文數(shù)據(jù)密文，包括一下多個(gè)子步驟:
S201、對(duì)原始密鑰key選擇l_n次或l_n種非對(duì)稱加密算法進(jìn)行加密運(yùn)算，得到加密密鑰 Encrypt1n_keyο
[0024]本發(fā)明通過加密密鑰生成模塊對(duì)Socket報(bào)文中的原始密鑰key選擇l_n次或l_n種非對(duì)稱加密算法進(jìn)行加密運(yùn)算，例如Hash算法，得到加密密鑰Hash_key，將加密密鑰覆蓋原始密鑰形成新的加密標(biāo)示。
[0025]S202、對(duì)加密密鑰Encrypt1n_key再進(jìn)行l(wèi)_n次或l_n種編碼加密處理，得到編碼密鑰 Encode_Encrypt1n_key0
[0026]本發(fā)明通過編碼加密模塊對(duì)加密密鑰Hash_key再進(jìn)行l(wèi)_n次或l_n種編碼加密處理，例如base64加密算法、得到編碼密鑰BASE64_Hash_key。
[0027]該編碼加密步驟可進(jìn)一步提高密鑰的復(fù)雜度，增加密鑰強(qiáng)度，防止弱口令問題，本發(fā)明可根據(jù)應(yīng)用場(chǎng)景、安全性和性能選擇l-η次或l-η種編碼加密處理，進(jìn)一步增加加密因子的復(fù)雜性。
[0028]S203、將編碼密鑰Encode_Encrypt1n_key分解成多種不同的影響加密結(jié)果的加密因子。
[0029]本發(fā)明通過加密因子提取模塊將編碼密鑰Encode_Encrypt1n_key分解成多種不同的影響加密結(jié)果的加密因子。
[0030]所述的加密因子包括編碼密鑰中以第一長(zhǎng)度的字節(jié)作為對(duì)稱加密算法的密鑰，例如，將編碼密鑰BASE64_Hash_key的前32字符作為對(duì)稱加密算法(包括AES對(duì)稱加密算法)的密鑰AES_key。
[0031]所示的加密因子還包括編碼密鑰中以第二長(zhǎng)度的字節(jié)作為對(duì)稱加密算法的加密向量，例如，將編碼密鑰BASE64_Hash_key的后16字符作為AES對(duì)稱加密算法的加密向量AES_IV0
[0032]S204、根據(jù)加密因子對(duì)正文數(shù)據(jù)明文選擇l-η次或l_n種對(duì)稱加密算法進(jìn)行加密運(yùn)算，得到正文數(shù)據(jù)密文，得到新的加密后的Socket報(bào)文。所述的η為自然數(shù)。
[0033]本發(fā)明通過正文數(shù)據(jù)加密模塊，根據(jù)包括密鑰AES_key和加密向量AES_IV的加密因子，對(duì)正文數(shù)據(jù)明文選擇l-η次或l-η種對(duì)稱加密算法(包括AES對(duì)稱加密算法)進(jìn)行加密運(yùn)算，得到正文數(shù)據(jù)密文，將正文數(shù)據(jù)密文覆蓋正文數(shù)據(jù)明文形成新的正文數(shù)據(jù)段，得到新的加密后的待發(fā)送的Socket報(bào)文，從而實(shí)現(xiàn)數(shù)據(jù)密文傳輸和數(shù)據(jù)透明傳輸，就算數(shù)據(jù)被嗅探，也不會(huì)出現(xiàn)信息泄漏的問題，接受者可利用相對(duì)應(yīng)的加密算法(例如AES對(duì)稱加密算法)進(jìn)行解密運(yùn)算。本發(fā)明可根據(jù)應(yīng)用場(chǎng)景、綜合運(yùn)算量和加密強(qiáng)度等因素，對(duì)正文數(shù)據(jù)明文進(jìn)行多重對(duì)稱加密運(yùn)算。
[0034]進(jìn)一步的，所述步驟S2還包括子步驟S205，對(duì)步驟S204中所得到的加密后的