本發(fā)明屬于信息安全技術(shù)領(lǐng)域，涉及網(wǎng)絡(luò)安全。

背景技術(shù)：

由于網(wǎng)絡(luò)層可能存在的DDos攻擊、網(wǎng)絡(luò)層木馬、重定向攻擊等風(fēng)險(xiǎn)，本發(fā)明給出了CFL在IPvx網(wǎng)絡(luò)層協(xié)議保護(hù)中的應(yīng)用方法，包括網(wǎng)絡(luò)層的基于CFL證書的認(rèn)證，以及網(wǎng)絡(luò)層通信加解密。其中IPvx是指IPv4、IPv6以及IPv9。

技術(shù)實(shí)現(xiàn)要素：

給每個路由器發(fā)放CFL證書，在路由器之間進(jìn)行網(wǎng)絡(luò)層通信時(shí)，在網(wǎng)絡(luò)層進(jìn)行CFL證書認(rèn)證、密鑰交換、基于SM4的加解密通信。從而本發(fā)明實(shí)現(xiàn)了對IPvx網(wǎng)絡(luò)層協(xié)議通信中的信息安全保護(hù)。

具體實(shí)施方式

CFL認(rèn)證技術(shù)是基于標(biāo)識的證書認(rèn)證，是證書認(rèn)證與標(biāo)識認(rèn)證的繼承和發(fā)展，同時(shí)又彌補(bǔ)了標(biāo)識認(rèn)證與證書認(rèn)證的各自的不足。CFL認(rèn)證技術(shù)具有一人一密、應(yīng)用無中心、可證明安全、零知識交互、證書生成中心具有高安全性、動態(tài)認(rèn)證、多因素認(rèn)證、多通道認(rèn)證、綠色認(rèn)證、自主認(rèn)證、現(xiàn)場認(rèn)證等特點(diǎn)。

在上述CFL認(rèn)證技術(shù)的特點(diǎn)的基礎(chǔ)上，我們給出CFL在IPvx網(wǎng)絡(luò)層協(xié)議保護(hù)中的安全應(yīng)用方法的發(fā)明。發(fā)明的實(shí)施步驟如下：

實(shí)施步驟：

(1)建立CFL證書生成中心；

(2)為每個IPvx網(wǎng)絡(luò)層各個路由器配發(fā)高性能CFL密碼設(shè)備；

(3)每個IPvx網(wǎng)絡(luò)層各個路由器的CFL密碼設(shè)備向CFL證書生成中心申請CFL證書；

(4)IPvx網(wǎng)絡(luò)層兩個路由器之間進(jìn)行網(wǎng)絡(luò)層通信時(shí)，首先進(jìn)行動態(tài)CFL證書交換，然后進(jìn)行分別的動態(tài)CFL證書的驗(yàn)證；

(5)雙雙驗(yàn)證通過后，然后進(jìn)行密鑰交換；

(6)密鑰交換完畢后，網(wǎng)絡(luò)層數(shù)據(jù)的交換，是基于CFL的用戶的工作私鑰的簽名以及基于SM4的加解密進(jìn)行的。

本發(fā)明安全性分析：

(1)通過路由器兩側(cè)的CFL證書的雙向動態(tài)認(rèn)證，可以防止假冒攻擊，同時(shí)兩者之間進(jìn)行了安全身份確認(rèn)；

(2)通過數(shù)據(jù)的基于CFL用戶的工作私鑰的簽名，保護(hù)了網(wǎng)絡(luò)層數(shù)據(jù)的完整性以及可認(rèn)證性；

(3)通過基于SM4的網(wǎng)絡(luò)層數(shù)據(jù)的加密通信，實(shí)現(xiàn)了網(wǎng)絡(luò)層數(shù)據(jù)傳輸?shù)臋C(jī)密性保護(hù)；

(4)通過路由器之間的認(rèn)證，實(shí)現(xiàn)了路由器之間的可控性；

(5)由于CFL是一人一密的，因此即使是個別路由器出現(xiàn)信息安全問題，也不影響CFL的根安全；

(6)CFL是輕量級認(rèn)證算法，認(rèn)證速度快，可用性強(qiáng)；

(7)由于CFL認(rèn)證具有應(yīng)用去中心化的功能，因此可以現(xiàn)場認(rèn)證，大大提高了認(rèn)證效率。