第一個報文被丟掉 了��。設(shè)備2認為這個報文仍舊是合法的���,且將當前Count計數(shù)更新成2,并并更新此處報文接 收順序為2,在接收到下一個報文時����,認為收到的報文為第三個報文��,且初步確定的序列號 為3��。當前舉例中報文的接收順序與序列號保持一致�,當然序列號也有可能與報文接收順序 存在一定的線性關(guān)系可以換算�。
[0074]為了增加隨機數(shù)的不可預(yù)測性,設(shè)備1和設(shè)備2在初始化的時候要設(shè)定相同的時 間����,且進行同步的Count更新。設(shè)備1及設(shè)備2按一定的周期設(shè)定Count值�����。例如凌晨0點的時 候?qū)ount設(shè)置成0,每隔1 s����,設(shè)置Count為經(jīng)過的秒數(shù)乘以10000。
[0075]本發(fā)明的報文處理存在例外:對于廣播�、組播等特殊報文的MAC不做處理。
[0076] 通過上述算法��,設(shè)備1發(fā)送的報文不使用固定的MAC地址����,而是按照一定的算法,進 行動態(tài)變化���。同時設(shè)備2對收到的報文進行還原���,只有滿足算法的報文才能被接收。
[0077] 偽造的設(shè)備���、或者第三方入侵�����,因無法知道算法而無法接入���。即便通過抓包的方法 獲取MAC地址���,但由于傳輸?shù)腗AC時刻在變化,因此也是無法加以利用的�����,加大非法監(jiān)聽的難 度�。
[0078] 如果網(wǎng)絡(luò)中間有不支持該特性的二層設(shè)備,因為二層設(shè)備會對未知MAC進行廣播����, 因此方案中只需兩端設(shè)備支持安全特性即可���。
[0079] 當前實施例只是用于點對點的二層傳輸�,但同一二層網(wǎng)絡(luò)中����,只要所有的加密網(wǎng) 卡Seed-致,且Count同步更新�����,也可使用本發(fā)明的方法進行報文發(fā)送。
[0080] 本發(fā)明的實施方法不限于設(shè)備之間�����,網(wǎng)管按上述規(guī)則接入也可實現(xiàn)同樣的功能��。 [0081 ]例如���,假設(shè)設(shè)備1�、2的MAC地址分別為:
[0082] 00:01:02:03:04:00 00:AA:BB::CC:DD00
[0083] 假定兩邊給定種子算出的隨機數(shù)序列為:
[0084] 00���、01���、90、33��、62�、17、55
[0085] 那么發(fā)出的報文實際的MAC如表1所示:
[0086] 表 1 「_71
[0088]第三方由于無法獲取序列���,因此無法偽造報文���,從而保證接入的設(shè)備一定是合法 的�。
[0089]本發(fā)明的突出優(yōu)點在于��,通過在硬件標識上增加隨機數(shù)來隱藏硬件標識�����,使得各 報文中硬件標識均不相同��,從而增加了非法監(jiān)聽的難度���,且通過種子對外不可見�,使接入具 有安全性����,而定期同步更新產(chǎn)生隨機數(shù)的序列號,增加了隨機數(shù)的不可預(yù)測性�,進一步增加 了設(shè)備接入的安全性����。
【主權(quán)項】
1. 一種硬件標識變化的安全接入目的設(shè)備方法,用于源設(shè)備向目的設(shè)備發(fā)送報文�����,其 特征在于,包括: 源設(shè)備按報文的發(fā)送次序得到相應(yīng)的第一序列號�,基于第一序列號及第一種子及生成 隨機數(shù)并在相應(yīng)報文的目的設(shè)備硬件標識中添加生成的隨機數(shù); 目的設(shè)備在收到報文后利用報文的接收次序獲得第二序列號��,并基于第二序列號及自 身保存的第二種子生成對應(yīng)的隨機數(shù)用以還原報文中的硬件標識��,將還原后的硬件標識與 自身硬件標識進行對比���,在對比一致的情況下接收報文�,否則丟棄報文�����; 其中�,源設(shè)備中的第一種子及目的設(shè)備中的第二種子均僅自身可見。2. 如權(quán)利要求1所述硬件標識變化的安全接入目的設(shè)備方法����,其特征在于,所述目的設(shè) 備在收到報文后還原所述硬件標識并與自身硬件標識對比的方法包括: 根據(jù)收到的報文順序得到初步確定的第二序列號�,并利用初步確定的第二序列號及其 后續(xù)的若干位序列號分別生成對應(yīng)的隨機數(shù); 利用各隨機數(shù)分別進行報文中目的設(shè)備硬件標識還原����; 將還原得到的各個硬件標識分別與自身硬件標識比較���,當其中一個隨機數(shù)所還原所得 硬件標識為自身的硬件標識時接收所述報文,該隨機數(shù)所對應(yīng)序列號為最終確定用于還原 硬件標識的第二序列號��。3. 如權(quán)利要求2所述硬件標識變化的安全接入目的設(shè)備方法�����,其特征在于����,所述目的設(shè) 備在進行當前報文的目的設(shè)備硬件標識還原時,如果所得的最終確定的第二序列號與初步 確定的第二序列號不同��,則按照最終確定的第二序列號更新報文的接收順序以及當前的第 二序列號��,用于下一個報文的目的設(shè)備硬件標識還原�����。4. 如權(quán)利要求1所述硬件標識變化的安全接入目的設(shè)備方法�,其特征在于��,第一序列號 及第二序列號進行定期同步更新,且同一時間產(chǎn)生的第一序列號及第二序列號始終保持一 致�����。5. 如權(quán)利要求1所述硬件標識變化的安全接入目的設(shè)備方法��,其特征在于���,還包括�,所 述源設(shè)備在目的設(shè)備硬件標識中增加隨機數(shù)后進行可逆算法加密�,對應(yīng)地,所述目的設(shè)備 收到后進行解密后再進行目的設(shè)備硬件標識的還原���。6. -種硬件標識變化的安全接入目的設(shè)備系統(tǒng)���,用于源設(shè)備向目的設(shè)備發(fā)送報文,其 特征在于����,包括: 設(shè)于源設(shè)備中的源設(shè)備隨機數(shù)添加單元,用于按報文的發(fā)送次序得到相應(yīng)的第一序列 號����,基于第一序列號及第一種子及生成隨機數(shù)并在相應(yīng)報文的目的設(shè)備硬件標識中添加生 成的隨機數(shù)�����; 設(shè)于目的設(shè)備中的目的設(shè)備硬件標識還原單元�����,用于在收到報文后利用報文的接收次 序獲得第二序列號����,并基于第二序列號及自身保存的第二種子生成對應(yīng)的隨機數(shù)用以還原 報文中的硬件標識��,將還原后的硬件標識與自身硬件標識進行對比����,在對比一致的情況下 接收報文,否則丟棄報文��; 其中��,源設(shè)備隨機數(shù)添加單元中的第一種子僅源設(shè)備自身可見�����,且目的設(shè)備硬件標識 還原單元中的第二種子僅目的設(shè)備自身可見�。7. 如權(quán)利要求6所述硬件標識變化的安全接入目的設(shè)備�,其特征在于���,所述目的設(shè)備硬 件標識還原單元還原所述硬件標識并與自身硬件標識對比的方法包括: 根據(jù)收到的報文順序得到初步確定的第二序列號,并利用初步確定的第二序列號及其 后續(xù)的若干位序列號分別生成對應(yīng)的隨機數(shù)�����; 利用各隨機數(shù)分別進行報文中目的設(shè)備硬件標識還原���; 將還原得到的各個硬件標識分別與自身硬件標識比較���,當其中一個隨機數(shù)所還原所得 硬件標識為自身的硬件標識時接收所述報文,該隨機數(shù)所對應(yīng)序列號為最終確定用于還原 硬件標識的第二序列號����。8. 如權(quán)利要求6所述硬件標識變化的安全接入目的設(shè)備,其特征在于��,目的設(shè)備中的目 的設(shè)備硬件標識還原單元在進行當前報文的目的設(shè)備硬件標識還原時�����,如果所得的最終確 定的第二序列號與初步確定的第二序列號不同��,則按照最終確定的第二序列號更新報文的 接收順序以及當前的第二序列號,用于下一個報文的目的設(shè)備硬件標識還原����。9. 如權(quán)利要求6所述硬件標識變化的安全接入目的設(shè)備,其特征在于��,源設(shè)備隨機數(shù)添 加單元中的第一序列號及目的設(shè)備硬件標識還原單元中的第二序列號進行定期同步更新�, 且同一時間產(chǎn)生的第一序列號及第二序列號始終保持一致。10. 如權(quán)利要6所述硬件標識變化的安全接入目的設(shè)備��,其特征在于����,還包括加密單元 及解密單元,所述加密單元用于所述源設(shè)備在目的設(shè)備硬件標識中增加所述隨機數(shù)后進行 可逆算法加密���,對應(yīng)地����,解密單元用于所述目的設(shè)備收到后進行解密后再進行所述目的設(shè) 備硬件標識的所述還原����。
【專利摘要】本發(fā)明公開了一種硬件標識變化的安全接入目的設(shè)備方法,用于源設(shè)備向目的設(shè)備發(fā)送報文,包括:源設(shè)備按報文的發(fā)送次序得到相應(yīng)的第一序列號�,基于第一序列號及第一種子及生成隨機數(shù)并在相應(yīng)報文的目的設(shè)備硬件標識中添加生成的隨機數(shù);目的設(shè)備在收到報文后利用報文的接收次序獲得第二序列號�,并基于第二序列號及自身保存的第二種子生成對應(yīng)的隨機數(shù)用以還原報文中的硬件標識,將還原后的硬件標識與自身硬件標識進行對比�����,在對比一致的情況下接收報文�,否則丟棄報文��。本發(fā)明還公開了對應(yīng)的安全接入目的設(shè)備系統(tǒng)����,利用本發(fā)明,通過在硬件標識上增加隨機數(shù)來隱藏硬件標識增加了非法監(jiān)聽的難度����,保證了設(shè)備接入的安全性。
【IPC分類】H04L29/12, H04L29/06
【公開號】CN105516105
【申請?zhí)枴緾N201510865974
【發(fā)明人】趙子華, 廖永漢, 祝接金
【申請人】浙江宇視科技有限公司
【公開日】2016年4月20日
【申請日】2015年12月1日