[发明专利]基于认证加密和组密钥的片上网络安全域构建方法

权利要求书

1.基于认证加密和组密钥的片上网络安全域构建方法，其特征在于，

为安全域每个成员分配路由器编号、计算组密钥所需的参数、成员类型标志位以及组密钥计算阶段将各成员组织成闭环时对应的编号，所述成员类型标志位为连续安全域成员或非连续安全域的内部成员或非连续安全域的边界成员；

对连续安全域成员和非连续安全域的内部成员接收的数据包的包头切片进行消息摘要处理，将消息摘要与接收的原始数据包打包成新的数据包后发送；

对非连续安全域的边界成员进行共享密钥的计算和传输得到组密钥，对非连续安全域的边界成员接收的数据包的包头切片进行消息摘要处理，将消息摘要与接收的原始数据包打包成新的数据包，使用组密钥对新的数据包加密后发送；

记录所述新的数据包传输至接收端过程中的路径信息字段与生存时间，丢弃生存时间超出预设值的新的数据包；

对于连续安全域和非连续安全域的内部成员传输至接收端的新的数据包，新的数据包满足生存时间预设值要求时，比对路径信息字段与安全路径信息，比对结果一致时，对新的数据包的头切片进行信息摘要处理，比对结果不一致时，丢弃新的数据包并上传重新配置发射端路由表的路径信息，所述安全路径信息由为安全域各成员分配的路由器编号组成；

对于非连续安全域的边界成员传输至接收端的新的数据包，利用组密钥对新的数据包进行对称解密，对解密后得到原始数据包的头切片进行消息摘要处理；

比对接收端发送的数据包的消息摘要和接收端得到的消息摘要处理结果，比对结果相同时表示通信安全，比对结果不同时丢弃此次接收的新的数据包。

2.根据权利要求1所述基于认证加密和组密钥的片上网络安全域构建方法，其特征在于，所述非连续安全域边界成员为至少与一个非安全域成员在物理位置上连续的非连续安全域成员，所述非连续安全域的内部成员为除去非连续安全域的边界成员之外的非连续安全域成员，所述连续安全域成员为物理位置上连续的安全域成员。

3.根据权利要求1所述基于认证加密和组密钥的片上网络安全域构建方法，其特征在于，采用sha256算法对数据包的头切片做消息摘要处理。

4.根据权利要求1所述基于认证加密和组密钥的片上网络安全域构建方法，其特征在于，采用蒙哥马利算法共享密钥计算，照多方迪菲赫尔曼组密钥协议多轮传输共享密钥得到组密钥。

5.根据权利要求1所述基于认证加密和组密钥的片上网络安全域构建方法，其特征在于，记录所述新的数据包传输至接收端过程中的路径信息字段与生存时间的方法为：所述新的数据包传输经过任意路由器时，将本地路由器编号写入数据包中的路径信息字段并将生存时间计算字段加一。

6.权利要求1所述基于认证加密和组密钥的片上网络安全域构建方法通过路由器内置的安全网络接口模块实现，所述安全网络接口模块包括：

安全路径信息存储区，用于缓存为安全域各成员分配的路由器编号；

组密钥计算模块，按照多方迪菲赫尔曼组密钥协议多轮传输蒙哥马利算法模块输出的共享密钥，输出组密钥；

对称解密模块，利用组密钥对非连续安全域的边界成员传输至接收端的新的数据包进行对称解密，输出原始数据包；

数据包打包模块，将消息摘要与接收的原始数据包打包成新的数据包；

哈希函数sha256模块，对数据包的头切片做消息摘要处理，将处理得到的数字签名作为消息摘要；及，

蒙哥马利算法模块，根据非连续安全域的边界成员分配得到的计算组密钥所需的参数，采用蒙哥马利算法计算共享密钥。