用于云平臺網(wǎng)絡(luò)的安全控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及安全控制方法���,更具體地��,涉及用于云平臺網(wǎng)絡(luò)的安全控制方法��。
【背景技術(shù)】
[0002]目前�����,隨著計算機和網(wǎng)絡(luò)應(yīng)用的日益廣泛以及不同領(lǐng)域的業(yè)務(wù)種類的日益豐富,通過控制器對云平臺網(wǎng)絡(luò)中的各個節(jié)點以安全的方式進行控制變得越來越重要�。
[0003]在現(xiàn)有的技術(shù)方案中��,通常采用如下方式實現(xiàn)對云平臺網(wǎng)絡(luò)中的節(jié)點的安全控制:采用基于SLL協(xié)議的安全通道作為控制器和云網(wǎng)絡(luò)節(jié)點之間的數(shù)據(jù)傳輸?shù)陌踩珯C制。
[0004]然而�����,現(xiàn)有的技術(shù)方案存在如下問題:(1)由于云網(wǎng)絡(luò)平臺中的控制命令通常以明文的方式進行傳輸��,故網(wǎng)絡(luò)中的攻擊者能夠通過篡改控制命令的方式對整個云網(wǎng)絡(luò)平臺實施攻擊;(2)攻擊者能夠嘗試將一些新的流規(guī)則實例化到網(wǎng)絡(luò)設(shè)備的流表中以使偽造的新數(shù)據(jù)流被允許通過�,以及對云網(wǎng)絡(luò)平臺中的流進行竊聽���。
[0005]因此,存在如下需求:提供具有高的安全性等級的用于云平臺網(wǎng)絡(luò)的安全控制方法����。
【發(fā)明內(nèi)容】
[0006]為了解決上述現(xiàn)有技術(shù)方案所存在的問題��,本發(fā)明提出了具有高的安全性等級的用于云平臺網(wǎng)絡(luò)的安全控制方法�����。
[0007]本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的:
一種用于云平臺網(wǎng)絡(luò)的安全控制方法,所述用于云平臺網(wǎng)絡(luò)的安全控制方法包括下列步驟:
(Al)云網(wǎng)絡(luò)平臺的控制器在發(fā)送控制數(shù)據(jù)報文時基于預設(shè)的安全等級值和第一當前有效密鑰以及預定的散列函數(shù)對所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)進行散列運算以獲得運算結(jié)果�;
(A2)將所述運算結(jié)果的第一部分作為認證數(shù)據(jù)附加入所述控制數(shù)據(jù)報文中��,并且將所述運算結(jié)果的第二部分作為新的第一當前有效密鑰以供下一次散列運算使用��;
(A3)將附加有所述認證數(shù)據(jù)的控制數(shù)據(jù)報文發(fā)送至所述云網(wǎng)絡(luò)平臺中的目標節(jié)點,隨之所述目標節(jié)點使用與所述控制器采用的散列運算相對應(yīng)的算法驗證所述認證數(shù)據(jù)�,并且如果驗證通過,則執(zhí)行所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)所指示的命令����,否則����,丟棄所述控制數(shù)據(jù)報文�����。
[0008]在上面所公開的方案中���,優(yōu)選地�,所述預定的散列函數(shù)是HMAC化的Hash函數(shù)���。
[0009]在上面所公開的方案中,優(yōu)選地��,初始的第一當前有效密鑰被預先設(shè)定�,并且控制器所使用的安全等級值和初始第一當前有效密鑰與目標節(jié)點所使用的安全等級值和初始第一當前有效密鑰相同�。
[0010]在上面所公開的方案中��,可選地��,所述步驟(Al)進一步包括:(I)當初次發(fā)送控制數(shù)據(jù)報文時將所述運算結(jié)果的一部分作為當前加密密鑰并通過加密函數(shù)加密所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)�,并且將所述運算結(jié)果的另一部分作為新的當前加密密鑰以供下一次加密運算使用;(2)當非初次發(fā)送控制數(shù)據(jù)報文時��,使用當前加密密鑰并通過加密函數(shù)加密所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)���,并且將所述運算結(jié)果的特定部分作為新的當前加密密鑰以供下一次加密運算使用�。
[0011]在上面所公開的方案中,優(yōu)選地����,基于所述預設(shè)的安全等級值來確定是否對所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)進行加密操作。
[0012]在上面所公開的方案中���,優(yōu)選地�����,所述控制器以及所述目標節(jié)點能夠根據(jù)數(shù)據(jù)通信特征信息從安全策略庫中選取所需的安全等級值以及初始的第一當前有效密鑰���。
[0013]本發(fā)明所公開的用于云平臺網(wǎng)絡(luò)的安全控制方法具有以下優(yōu)點:能夠防止控制器和目標節(jié)點之間的數(shù)據(jù)通信被攻擊者竊聽以及篡改���,并且能夠防止攻擊者通過暴力破解某一次加密數(shù)據(jù)的密鑰來獲取某一次認證計算的密鑰�����,由此具有高的數(shù)據(jù)傳輸安全性。
【附圖說明】
[0014]結(jié)合附圖��,本發(fā)明的技術(shù)特征以及優(yōu)點將會被本領(lǐng)域技術(shù)人員更好地理解�,其中:
圖1是根據(jù)本發(fā)明的實施例的用于云平臺網(wǎng)絡(luò)的安全控制方法的流程圖�;
圖2是根據(jù)本發(fā)明的實施例的用于低等級安全機制的數(shù)據(jù)報文的示意性結(jié)構(gòu)圖����;
圖3是根據(jù)本發(fā)明的實施例的用于高等級安全機制的數(shù)據(jù)報文的示意性結(jié)構(gòu)圖��。
【具體實施方式】
[0015]圖1是根據(jù)本發(fā)明的實施例的用于云平臺網(wǎng)絡(luò)的安全控制方法的流程圖���。如圖1所示,本發(fā)明所公開的用于云平臺網(wǎng)絡(luò)的安全控制方法包括下列步驟:(Al)云網(wǎng)絡(luò)平臺的控制器在發(fā)送控制數(shù)據(jù)報文時基于預設(shè)的安全等級值和第一當前有效密鑰以及預定的散列函數(shù)對所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)進行散列運算以獲得運算結(jié)果�����;(A2)將所述運算結(jié)果的第一部分作為認證數(shù)據(jù)附加入所述控制數(shù)據(jù)報文中,并且將所述運算結(jié)果的第二部分作為新的第一當前有效密鑰以供下一次散列運算使用�����;(A3)將附加有所述認證數(shù)據(jù)的控制數(shù)據(jù)報文發(fā)送至所述云網(wǎng)絡(luò)平臺中的目標節(jié)點���,隨之所述目標節(jié)點使用與所述控制器采用的散列運算相對應(yīng)的算法驗證所述認證數(shù)據(jù),并且如果驗證通過����,則執(zhí)行所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)所指示的命令��,否則���,丟棄所述控制數(shù)據(jù)報文。通過此方式��,能夠防止控制器和目標節(jié)點之間的數(shù)據(jù)通信被攻擊者篡改�。
[0016]優(yōu)選地��,在本發(fā)明所公開的用于云平臺網(wǎng)絡(luò)的安全控制方法中�,所述預定的散列函數(shù)是HMAC化的Hash函數(shù)�����。示例性地,所述HMAC化的Hash函數(shù)是HMAC-SHAI函數(shù)����,其運算結(jié)果為160bit (20B),例如�����,取前1B數(shù)據(jù)作為所述認證數(shù)據(jù)����,而取后1B數(shù)據(jù)作為新的第一當前有效密鑰以供下一次散列運算使用��。
[0017]優(yōu)選地,在本發(fā)明所公開的用于云平臺網(wǎng)絡(luò)的安全控制方法中����,初始的第一當前有效密鑰被預先設(shè)定�,并且控制器所使用的安全等級值和初始第一當前有效密鑰與目標節(jié)點所使用的安全等級值和初始第一當前有效密鑰相同�����。
[0018]可選地���,在本發(fā)明所公開的用于云平臺網(wǎng)絡(luò)的安全控制方法中,所述步驟(Al)進一步包括:(I)當初次發(fā)送控制數(shù)據(jù)報文時將所述運算結(jié)果的一部分(例如前64bit)作為當前加密密鑰并通過加密函數(shù)(例如3DES)加密所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)���,并且將所述運算結(jié)果的另一部分(例如,取所述運算結(jié)果的后1B數(shù)據(jù)的前64bit)作為新的當前加密密鑰以供下一次加密運算使用�����;(2)當非初次發(fā)送控制數(shù)據(jù)報文時�,使用當前加密密鑰并通過加密函數(shù)(例如3DES)加密所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)�����,并且將所述運算結(jié)果的特定部分(例如���,取所述運算結(jié)果的后1B數(shù)據(jù)的前64bit)作為新的當前加密密鑰以供下一次加密運算使用���。通過此方式,能夠防止控制器和目標節(jié)點之間的數(shù)據(jù)通信被攻擊者竊聽以及篡改,并且能夠防止攻擊者通過暴力破解某一次加密數(shù)據(jù)的密鑰來獲取某一次認證計算的密鑰�。
[0019]優(yōu)選地�����,在本發(fā)明所公開的用于云平臺網(wǎng)絡(luò)的安全控制方法中���,基于所述預設(shè)的安全等級值來確定是否對所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)進行加密操作(例如��,如果所述安全等級值為字母(A-Z)開始���,則對所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)進行加密操作,SP實施高等級安全機制��,而如果所述安全等級值為數(shù)字(0-9)開始,則不對所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)進行加密操作�,即實施低等級安全機制)����。
[0020]優(yōu)選地,在本發(fā)明所公開的用于云平臺網(wǎng)絡(luò)的安全控制方法中�,所述控制器以及所述目標節(jié)點能夠根據(jù)數(shù)據(jù)通信特征信息(例如時間參數(shù)以及數(shù)據(jù)重要性等等)從安全策略庫中選取所需的安全等級值以及初始的第一當前有效密鑰��。
[0021]由上可見����,本發(fā)明所公開的用于云平臺網(wǎng)絡(luò)的安全控制方法具有下列優(yōu)點:能夠防止控制器和目標節(jié)點之間的數(shù)據(jù)通信被攻擊者竊聽以及篡改�����,并且能夠防止攻擊者通過暴力破解某一次加密數(shù)據(jù)的密鑰來獲取某一次認證計算的密鑰���,由此具有高的數(shù)據(jù)傳輸安全性�。
[0022]盡管本發(fā)明是通過上述的優(yōu)選實施方式進行描述的�����,但是其實現(xiàn)形式并不局限于上述的實施方式����。應(yīng)該認識到:在不脫離本發(fā)明主旨和范圍的情況下�,本領(lǐng)域技術(shù)人員可以對本發(fā)明做出不同的變化和修改����。
【主權(quán)項】
1.一種用于云平臺網(wǎng)絡(luò)的安全控制方法,所述用于云平臺網(wǎng)絡(luò)的安全控制方法包括下列步驟: (Al)云網(wǎng)絡(luò)平臺的控制器在發(fā)送控制數(shù)據(jù)報文時基于預設(shè)的安全等級值和第一當前有效密鑰以及預定的散列函數(shù)對所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)進行散列運算以獲得運算結(jié)果�����; (A2)將所述運算結(jié)果的第一部分作為認證數(shù)據(jù)附加入所述控制數(shù)據(jù)報文中��,并且將所述運算結(jié)果的第二部分作為新的第一當前有效密鑰以供下一次散列運算使用�; (A3)將附加有所述認證數(shù)據(jù)的控制數(shù)據(jù)報文發(fā)送至所述云網(wǎng)絡(luò)平臺中的目標節(jié)點,隨之所述目標節(jié)點使用與所述控制器采用的散列運算相對應(yīng)的算法驗證所述認證數(shù)據(jù)����,并且如果驗證通過,則執(zhí)行所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)所指示的命令�,否則,丟棄所述控制數(shù)據(jù)報文�����。2.根據(jù)權(quán)利要求1所述的用于云平臺網(wǎng)絡(luò)的安全控制方法���,其特征在于,所述預定的散列函數(shù)是HMAC化的Hash函數(shù)。3.根據(jù)權(quán)利要求2所述的用于云平臺網(wǎng)絡(luò)的安全控制方法��,其特征在于��,初始的第一當前有效密鑰被預先設(shè)定���,并且控制器所使用的安全等級值和初始第一當前有效密鑰與目標節(jié)點所使用的安全等級值和初始第一當前有效密鑰相同���。4.根據(jù)權(quán)利要求3所述的用于云平臺網(wǎng)絡(luò)的安全控制方法,其特征在于���,所述步驟(Al)進一步包括:(1)當初次發(fā)送控制數(shù)據(jù)報文時將所述運算結(jié)果的一部分作為當前加密密鑰并通過加密函數(shù)加密所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)���,并且將所述運算結(jié)果的另一部分作為新的當前加密密鑰以供下一次加密運算使用;(2)當非初次發(fā)送控制數(shù)據(jù)報文時��,使用當前加密密鑰并通過加密函數(shù)加密所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)��,并且將所述運算結(jié)果的特定部分作為新的當前加密密鑰以供下一次加密運算使用�。5.根據(jù)權(quán)利要求4所述的用于云平臺網(wǎng)絡(luò)的安全控制方法,其特征在于�,基于所述預設(shè)的安全等級值來確定是否對所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)進行加密操作。6.根據(jù)權(quán)利要求5所述的用于云平臺網(wǎng)絡(luò)的安全控制方法�����,其特征在于,所述控制器以及所述目標節(jié)點能夠根據(jù)數(shù)據(jù)通信特征信息從安全策略庫中選取所需的安全等級值以及初始的第一當前有效密鑰�。
【專利摘要】本發(fā)明提出了用于云平臺網(wǎng)絡(luò)的安全控制方法,所述方法包括:云網(wǎng)絡(luò)平臺的控制器在發(fā)送控制數(shù)據(jù)報文時基于預設(shè)的安全等級值和第一當前有效密鑰以及預定的散列函數(shù)對所述控制數(shù)據(jù)報文中的應(yīng)用層數(shù)據(jù)進行散列運算以獲得運算結(jié)果�;將所述運算結(jié)果的第一部分作為認證數(shù)據(jù)附加入所述控制數(shù)據(jù)報文中,并且將所述運算結(jié)果的第二部分作為新的第一當前有效密鑰以供下一次散列運算使用���;將附加有所述認證數(shù)據(jù)的控制數(shù)據(jù)報文發(fā)送至所述云網(wǎng)絡(luò)平臺中的目標節(jié)點��,隨之所述目標節(jié)點使用與所述控制器采用的散列運算相對應(yīng)的算法驗證所述認證數(shù)據(jù)��。本發(fā)明所公開的用于云平臺網(wǎng)絡(luò)的安全控制方法具有高的安全性等級��。
【IPC分類】H04L12/743, H04L9/32, H04L29/08, H04L29/06
【公開號】CN105591928
【申請?zhí)枴緾N201510584112
【發(fā)明人】杜學凱, 葉家煒, 祖立軍, 嚴逸興, 李戈
【申請人】中國銀聯(lián)股份有限公司
【公開日】2016年5月18日
【申請日】2015年9月15日