技術領域

本發明涉及計算機網絡技術領域。更具體地，涉及用于網絡通信的動態加密和解密的方法和設備。

背景技術

隨著網絡技術的發展，網絡通信日益廣泛地普及和使用。在很多情況下，當在分布于不同位置的網絡實體或者內部網絡(例如，內部局域網)之間建立通信信道時，需要對信道上傳輸的數據進行加密。例如，在基于傳輸控制協議/網際協議(TCP/IP)的公共網絡(例如，因特網)上通信時，通常需要在IP層對網絡通信進行加密，以確保通信數據的安全性和完整性。對于加密信道而言，其應當至少滿足以下幾方面的要求：

(1)性能影響。在應用加密之后，數據傳送性能不應顯著降低。

(2)密鑰敏捷性。用來加密數據的密鑰應當能夠在運行時動態改變，并且應將每個密鑰的有效周期配置得盡可能短。換言之，密鑰應當可以盡可能快地切換，以提高信道的加密強度。

(3)加密方法的適應性。應當支持各種加密算法。優選地，應當具有對硬件加密算法的適應性，這是因為對于相同的應用和算法而言，硬件實現通常遠遠快于軟件實現。

(4)低存儲器需求。加密通信信道的實現應當盡可能少地消耗存儲資源，以適用于存儲空間有限的應用環境(專用加密路由器等)。

IPSec是一種用于IP通信安全的已知解決方案。其規定了用于保護在公共網絡上傳輸的私有信息的方法。IPSec所支持的服務包括置信性(加密)、真實性(發送方證明)、完整性(數據篡改檢測)以及回復保護(防止未授權的數據重發)。IPSec還規定了被稱作因特網密鑰互換(Internet?Key?Exchange，IKE)的密鑰管理機制，用于建立用來加密和解密信息的密鑰。然而，IPSec解決方案并不能很好地滿足上述要求。

發明內容

發明人的研究表明，IPSec至少存在以下若干缺陷。首先，用于IPSec中ESP/AH協議的附加報頭數據以及對安全IP數據報的相應處理和重新打包消耗了較多的處理資源和存儲資源。為了解決這個問題，已經開發了某些IPSec的變形。但是這些變形無法滿足某些關鍵條件下的性能需求。其次，IPSec中密鑰的最小可配置有效周期為1秒鐘，并且在多數情況下，默認的密鑰有效周期被設置為1小時甚至更長。然而對于高帶寬/速度網絡來說，用戶可能需要更頻繁地切換密鑰。第三，用戶很可能使用其自己的硬件設備/卡來利用已知的算法進行加密/解密，而IPSec對專用硬件的支持并不理想。

因此，需要滿足上述要求的網絡通信中的動態加密和解密的方法和設備。

本發明公開了用于網絡通信中的動態加密和解密的方法和設備。

在本發明的第一方面，提供一種用于網絡通信的動態加密的方法，包括：向網絡實體分發密鑰；將所述密鑰存儲在密鑰表中；使用所述密鑰表中的密鑰來加密數據，并且將所使用密鑰在密鑰表中的索引附加至加密的數據；以及向所述網絡實體發送加密的數據。

在本發明的第二方面，提供一種用于網絡通信的動態加密的設備，包括：密鑰同步模塊，用于向網絡實體分發密鑰；密鑰表管理模塊，用于將所述密鑰存儲在密鑰表中；加密模塊，用于使用所述密鑰表中的密鑰來加密數據，并且將所使用密鑰在密鑰表中的索引附加至加密的數據；以及通信模塊，用于向所述網絡實體發送加密的數據。

在本發明的第三方面，提供一種用于網絡通信的動態解密的方法，包括：從網絡實體接收密鑰；將接收的密鑰存儲在密鑰表中；從所述網絡實體接收加密的數據；以及按照附加至所述數據的索引在所述密鑰表中定位密鑰，并且使用所定位的密鑰來解密所述數據。

在本發明的第四方面，提供一種用于網絡通信的動態解密的設備，包括：密鑰同步模塊，用于從網絡實體接收密鑰；密鑰表管理模塊，用于將接收的密鑰存儲在密鑰表中；通信模塊，用于從所述網絡實體接收加密的數據；以及解密模塊，用于按照附加至所述數據的索引在所述密鑰表中定位密鑰，并且使用所定位的密鑰來解密所述數據

本發明提供的用于網絡通信加密和解密的方法和設備是一種輕量級解決方案，易于實現、管理和修改。此外，根據本發明的實施方式，能夠按照密鑰有效周期要求和網絡狀況等因素來動態地生成、分發、同步以及使用密鑰，從而實現密鑰敏捷性，繼而獲得加高的保護強度和安全級別。而且，按照本發明實施方式的方法和設備支持對加密和解密的定制實現，例如支持基于專用硬件的實現。特別地，按照本發明的某些實施方式，可以利用已有的網絡協議數據結構和格式來實現本發明的技術方案，從而實現較高的兼容性和效率。此外，按照本發明的某些實施方式，可以利用較少的存儲和處理資源來實現加密和解碼。

附圖說明