本发明提出一种在网络接入中经由二次退避指定的电子设备及相应接入方法,通过对三级传输的第二次传输使用基于一级传输的退避值,并在二级传输中使用第一退避参数值计算部以及第二退避参数值计算部基于二级传输的具体参数值动态计算三级传输退避值,使得当收到安全攻击时,攻击者无法从单个被破解的数据长帧或长帧的一部分知晓退避时间,从而无法准确定位数据长帧,可能被其它信道帧所干扰导致攻击失败。且在相应电子设备及其组成系统中引入第一接入设备、第二接入设备,以及融合服务器,并经由三级传输和二次退避,使得对攻击的防御更加彻底,使得攻击者受到的迷惑性和不确定性较高。
一种在网络接入中经由二次退避指定的电子设备及相应接入
方法
技术领域
[0001] 本发明属于电子设备领域,尤其涉及一种在网络接入中经由二次退避指定的电子设备及相应接入方法。
背景技术
[0002] 对于电子设备的数据传输而言,客观上需要经过有限或无线的一定信道。
[0003] 信息是抽象的,但传送信息必须通过具体的媒质。例如二人对话,靠声波通过二人间的空气来传送,因而二人间的空气部分就是信道。邮政通信的信道是指运载工具及其经过的设施。无线电话的信道就是电波传播所通过的空间,有线电话的信道是电缆。每条信道都有特定的信源和信宿。在多路通信,例如载波电话中,一个电话机作为发出信息的信源,另一个是接收信息的信宿,它们之间的设施就是一条信道,这时传输用的电缆可以为许多条信道所共用。在理论研究中,一条信道往往被分成信道编码器、信道本身和信道译码器。人们可以变更编码器、译码器以获得最佳的通信效果,因此编码器、译码器往往是指易于变动和便于设计的部分,而信道就指那些比较固定的部分。但这种划分或多或少是随意的,可按具体情况规定。例如调制解调器和纠错编译码设备一般被认为是属于信道编码器、译码器的,但有时把含有调制解调器的信道称为调制信道;含有纠错编码器、译码器的信道称为编码信道。
[0004] 所有信道都有一个输入集A,一个输出集B以及两者之间的联系,如条件概率P(y│x), x∈A,y∈B。这些参量可用来规定一条信道。
[0005] 输入集就是信道所容许的输入符号的集。通常输入的是随机序列,如X1,X2,…,Xn,…,各X∈A(r=1,2,…)。随机过程在限时或限频的条件下均可化为随机序列。在规定输入集A时,也包括对各随机变量X的限制,如功率限制等。输出集是信道可能输出的符号的集。若输出序列为Y1,Y2,…,Yn,…,各Y∈B。这些X和Y可以是数或符号,也可以是一组数或矢量。
[0006] 按输入集和输出集的性质,可划分信道类型。当输入集和输出集都是离散集时,称信道为离散信道。电报信道和数据信道就属于这一类。当输入集和输出集都是连续集时,称信道为连续信道。电视和电话信道属于这一类。当输入集和输出集中一个是连续集、另一个是离散集时,则称信道为半离散信道或半连续信道。连续信道加上数字调制器或数字解调器后就是这类信道。
[0007] 输入和输出之间有一定的概率联系。信道中一般都有随机干扰,因而输出符号和输入符号之间常无确定的函数关系,须用条件概率P(y1,y2,…,yn|x1,x2,…,xn)来表示。其中各x 和y(r=1,2,…,n)分别是输入随机序列和输出随机序列的样本,且x∈A,y∈B。当这条件概率可分解成的形式时,信道称为无记忆信道,否则就是有记忆信道。无记忆意味着某个输出样 y只与相应的输入样x有关,而与前后的输入样无关。当只与前面有限个输入样有关时,可称为有限记忆信道;当与前面无限个输入样有关,但关联性随间隔加大而趋于零时,可称为渐近有记忆信道。此外,当上式中的P1,P2,…等条件概率是同样的函数时,称为平稳信道。这也适用于有记忆信道,即变量的下标顺序推移时,条件概率的函数形式不变。
[0008] 输入和输出都是单一的情况,这类信道是单用户信道,或简称为信道。当输入和(或) 输出不止一个时,称为多用户信道,也就是几个用户合用一个信道。但当几个用户的信息通过复用设备合并后再送入信道时,这个信道仍为单用户信道。只有当这个信源分别用编码器变换后再一起送入信道,或在信道的输出上接有几个译码器分别提取信息给信宿,也就是信道的输入端或输出端不止一个时,才称为多用户信道。当有几个输入如Xa,Xb,…而输出只有一个Y时,习惯上称为多址接入信道。它可用条件概率P(y|Xa,Xb,…)来规定;当只有一个输入X,而输出有几个Ya,Yb,…时,就称为广播信道,可用条件概率P(ya│x),P(yb│ x),…来规定。广播信道还有一个特例称为退化型广播信道,此时各条件概率应满足下列各式:就是说,x,ya,yb,yc,…组成马尔可夫链。一般的多用户信道可以有几个输入和几个输出。当然多用户信道也有离散和连续,无记忆和有记忆之分。
[0009] 其实,上述分类是可以组合的,例如平稳无记忆离散信道,正态无记忆平稳连续信道等。后者是指P(y│x)为正态分布,这种信道常简称为高斯信道。
[0010] 对于信道,在多用户或多终端设备情况下,可能出现争用,同时需要一定的睡眠机制和退避机制,这些机制一方面保证了信道复用,一方面增加了信息传输的非周期特性。
[0011] 电子设备的网络接入是保障电子设备能够通过网络进行数据交换的重要支撑,在一些特殊场景下,或由于网络的特定限制,某些安全保障机制,例如AAA服务器,鉴权服务器、数据加密的可见性和公共网络的不安全特性,可能造成部分数据篡改或丢失、冒用,同时造成一定比率的数据包遗失、盗用和截取。因此,对接入技术的改进至关重要。
[0012] 接入技术是为了能使用因特网,合理地接入因特网的技术。随着网络计算机向着综合化、宽带化、智能化和个人化方向发展,向用户提供声音、图像、数据和文本综合服务、实现用户之间的多媒体通信是因特网的发展目标,接入技术解决不好,就会成为通信的瓶颈。目前主要的有线宽带接入技术包括:普通Modem、N-ISDN(窄带综合业务数字网)、Cable Modem与 HFC(混合光纤同轴电缆)、HDSL(高速数字用户环路)与SDSL(对称数字用户环路)、ADSL(不对称数字用户环路)与G.lite(无分路器ADSL)、VDSL(甚高速数字用户环路)、HomePNA(家庭电话线联网联盟)、Ethernet、SDH(同步数字序列)、PON(Passive无源光网络)与APON(ATM 无源光网络)、IM-DSL(反向多路复接数字用户环路)等。一般来说,任何宽带接入技术都有相应的CO(局端设备)和RT(用户端设备),但后者更具有多样性。普通Modem:普通Modem是目前实现窄带Internet接入的主要方式之一,技术成熟,最高传输速率达56kbps。在技术上它不依赖光接入网络;在产品上包括用户所用的Modem和放在电信机房的Modem池。由于其速率较低,正在逐步被N-ISDN和其它技术所取代。N-ISDN,又称“一线通”也是一种成熟的、依赖光接入网络的窄带接入的铜线技术,目前主要利用2B+D来实现电话和Internet接入,典型下载速度可达64kbps,基本上能够满足目前窄带浏览的需要,是广大Internet用户提高上网速度的一种经济而有效的选择。目前已在国内各个城市开通,用户反映良好,渐又取代普通Modom之势。ISDN设备包括交换机和终端设备,其中终端设备种类很多,但从功能上讲,主要是ISDN网络终端、终端适配器、路由器和可视电话等功能的自由组合,同时提供不同接口(如:ISA、PCI、RS232、USB、模拟电话口、以太网口等)以适应不同需求。Cable Modem 与HFC:Cable Modem(线缆调制解调器)是利用有线电视网实现用户宽带数据接入的一种方法,也是混合光纤同轴网中的关键技术之一。HFC是宽带接入技术中最早成熟和进入市场的一种,具有宽带和相对的经济性的特点。HFC在一个500户左右的光节点覆盖区可以提供60路模拟广播电视、每户至少2路电话、速率至少高达10Mbps的数据业务(目前已有成熟的40Mbps 的Cable Modem)。将来利用其550M~750MHz频谱还可以提供至少
200路MPEG-2的点播电视业务以及其它双向电信业务。从长远看,HFC网计划提供的是所谓FSN(Full Service Network, 全业务网),即以单个网络提供各种类型的模拟和数字业务,并逐步从多用户共享上述带宽过渡到单个用户独享。
[0013] 但目前的接入技术往往使用单一接入设备,例如家庭路由器等,且通过普通的接入请求和反馈进行通信,未考虑数据分离,一旦被破解则造成较大的经济损失,且在传输中采用不间断的或周期性的传输,导致攻击者能够轻易掌握其传输规律,从而对制定的数据信息进行拦截、抓包和获取。
[0014] 本发明提出一种在网络接入中经由二次退避指定的电子设备及相应接入方法,通过对三级传输的第二次传输使用基于一级传输的退避值,并在二级传输中使用第一退避参数值计算部以及第二退避参数值计算部基于二级传输的具体参数值动态计算三级传输退避值,使得当收到安全攻击时,攻击者无法从单个被破解的数据长帧或长帧的一部分知晓退避时间,从而无法准确定位数据长帧,可能被其它信道帧所干扰导致攻击失败。且在相应电子设备及其组成系统中引入第一接入设备、第二接入设备,以及融合服务器,通过对接入信息进行基于安全性考量后的分离以及再融合,实现较高的安全性分离效果,同时避免了整个传输的完全周期性,经由三级传输和二次退避,使得对攻击的防御更加彻底,使得攻击者受到的迷惑性和不确定性较高。
发明内容
[0015] 本发明旨在提供一种优于现有技术的在网络接入中经由二次退避指定的电子设备及相应接入方法。
[0016] 为了实现上述目的,本发明的技术方案如下:
[0017] 一种在网络接入中经由二次退避指定的电子设备接入方法,所述方法包括:
[0018] 向第一传输标识服务器发送请求,由第一传输标识服务器获取本设备授权传输标识,
[0019] 与第一接入设备、电子设备与第二接入设备通信信道采用时分复用进行长度为t的时分分片;
[0020] 将分片后的信道按照周期T1进行负载帧组帧,T1为t的整数倍,按照周期T2进行控制帧组帧,T2为t的整数倍,按照周期T3进行信令标识帧组帧,信令标识帧至少包含本设备授权传输标识,T3为t的整数倍,一个完整的长帧由一个负载帧以及与其相应的一个控制帧、一个信令标识帧组成。
[0021] 电子设备与第一接入设备进行一级传输,接收第一接入设备发送的第一类型子帧,其中,在控制帧的第一块中接收参数X1,X1指示下一级通信时需要获取的第一类型子帧中的信令标识帧的块序号;在第一级传输完毕后,睡眠一个长帧周期后,向第一接入设备请求进行第二级传输,接收第一接入设备发送的第二级传输第一类型子帧,基于第一块中接收参数X1,确定信令标识帧中的相应序号块,并获取该块中存储的三级传输对称密钥B;且,在接收到的第一接入设备发送的第二级传输第一类型子帧中,控制帧的第X1+1数据块至少包含退避参数 C1,电子设备经由X1+1具体数值获取该退避参数C1,指导第三级传输前的退避算法;在第二级传输完毕后,睡眠由指导的所述第三级传输前的退避算法基于C1计算得到的退避参数个长帧周期后,向第一接入设备请求进行第三级传输,发送由对称密钥B加密的第三级传输长帧至第一接入设备,其中,第三级传输长帧的负载帧至少包含网络接入信息和接入请求头部信息,第三级传输长帧的信令标识帧至少包含所述电子设备的授权传输标识,第一接入设备使用本端已知的密钥B进行对称解密,获取第一接入信息,包括第一网络接入信息和第一接入请求头部信息,以及从第三级传输长帧的信令标识帧获取所述电子设备授权传输标识;
[0022] 第一接入设备从第一传输标识服务器获取所述电子设备授权传输标识,与从第三级传输长帧的信令标识帧获取的所述电子设备授权传输标识进行比对,若是,则允许所述电子设备进行网络接入,并由所述第一接入设备将第一接入信息,包括第一网络接入信息和第一接入请求头部信息传输至融合服务器;
[0023] 电子设备与第二接入设备进行一级传输,接收第二接入设备发送的第二类型子帧,其中,在控制帧的第一块中接收参数X2,X2指示下一级通信时需要获取的第二类型子帧中的信令标识帧的块序号;在第一级传输完毕后,睡眠一个长帧周期后,向第二接入设备请求进行第二级传输,接收第二接入设备发送的第二级传输第二类型子帧,基于第一块中接收参数X2,确定信令标识帧中的相应序号块,并获取该块中存储的三级传输对称密钥K;且,在接收到的第一接入设备发送的第二级传输第一类型子帧中,控制帧的第X2+1数据块至少包含退避参数 C2,电子设备经由X2+1具体数值获取该退避参数C2,指导第三级传输前的退避算法;在第二级传输完毕后,睡眠由指导的所述第三级传输前的退避算法基于C2计算得到的退避参数个长帧周期后,向第二接入设备请求进行第三级传输,发送由对称密钥K加密的第三级传输长帧至第二接入设备,其中,第三级传输长帧的负载帧至少包含网络接入信息和接入请求头部信息,第三级传输长帧的信令标识帧至少包含所述电子设备的授权传输标识,第二接入设备使用本端已知的密钥K进行对称解密,获取第二接入信息,包括第二网络接入信息和第二接入请求头部信息,以及从第三级传输长帧的信令标识帧获取所述电子设备授权传输标识;
[0024] 第二接入设备从第一传输标识服务器获取所述电子设备授权传输标识,与从第三级传输长帧的信令标识帧获取的所述电子设备授权传输标识进行比对,若是,则允许所述电子设备进行网络接入,并由所述第二接入设备将第二接入信息,包括第二网络接入信息和第二接入请求头部信息传输至融合服务器;
[0025] 融合服务器基于第一接入信息,包括第一网络接入信息和第一接入请求头部信息、第二接入信息,包括第二网络接入信息和第二接入请求头部信息的奇偶性与顺序进行逐位插入,获得完整的网络接入信息和接入请求头部信息,将完整的网络接入信息和接入请求头部信息传输至第三接入设备;
[0026] 第三接入设备根据所述完整的网络接入信息和接入请求头部信息进行电子设备的网络接入,允许电子设备接入外部网络。
[0027] 较佳地,所述电子设备与第一接入设备连接过程中,所述指导的所述第三级传输前的退避算法基于C1计算得到的退避参数个长帧周期具体为:
[0028] 退避参数值=(X1*C1)mod 8;
[0029] 也即,退避参数值具体选取X1*与C1的积,再对8取模,得到的余数即为退避参数值,也即为与第一接入设备第三级传输睡眠长帧周期个数。
[0030] 较佳地,所述电子设备与第二接入设备连接过程中,所述指导的所述第三级传输前的退避算法基于C2计算得到的退避参数个长帧周期具体为:
[0031] 退避参数值=(X2*C2)mod 8;
[0032] 也即,退避参数值具体选取X2*与C2的积,再对8取模,得到的余数即为退避参数值,也即为与第二接入设备第三级传输睡眠长帧周期个数。
[0033] 较佳地,所述获取传输标识具体为:
[0034] 设备授权传输标识至少与电子设备的发送请求时间戳字段、预设本地固定循环序列以及电子设备的原始MAC地址相关。
[0035] 较佳地,所述预设本地固定循环序列按照如下方式设置:
[0036] 采用随机数生成器生成一随机8位二元组,并在后续接入6位隔离码,总计14位,将该 14位数据循环使用直到其长度等于电子设备的发送请求时间戳字段。
[0037] 较佳地,所述融合服务器基于第一接入信息,包括第一网络接入信息和第一接入请求头部信息、第二接入信息,包括第二网络接入信息和第二接入请求头部信息的奇偶性与顺序进行逐位插入,获得完整的网络接入信息和接入请求头部信息,将完整的网络接入信息和接入请求头部信息传输至第三接入设备,具体包括:
[0038] 按照第一接入信息的二元组序列排序,将其逐位插入第二接入信息二元组序列中,其中每一位第一接入信息二元组序列符号前均插入相应位的第二接入信息二元组序列符号,组成完整的网络接入信息和接入请求头部信息。
[0039] 另,本发明提供了一种在网络接入中经由二次退避指定的电子设备,所述电子设备包括:
[0040] 传输标识请求部,向第一传输标识服务器发送请求,由第一传输标识服务器获取本设备授权传输标识,
[0041] 时分复用部,与第一接入设备、电子设备与第二接入设备通信信道采用时分复用进行长度为t的时分分片;
[0042] 分片部,将分片后的信道按照周期T1进行负载帧组帧,T1为t的整数倍,按照周期T2 进行控制帧组帧,T2为t的整数倍,按照周期T3进行信令标识帧组帧,信令标识帧至少包含本设备授权传输标识,T3为t的整数倍,一个完整的长帧由一个负载帧以及与其相应的一个控制帧、一个信令标识帧组成。
[0043] 帧切割部,将长帧进行切割,对负载帧与控制帧数据按照奇偶位不同划分成两个子帧类型,其中,第一类型子帧包含一个负载帧的偶数位以及与其相应的一个控制帧偶数位,以及一个完整的信令标识帧组成;第二类型子帧包含一个负载帧的奇数位以及与其相应的一个控制帧奇数位,以及一个完整的信令标识帧组成;
[0044] 第一接入请求部,请求与第一接入设备进行一级传输,接收第一接入设备发送的第一类型子帧,其中,在控制帧的第一块中接收参数X1,X1指示下一级通信时需要获取的第一类型子帧中的信令标识帧的块序号;在第一级传输完毕后,睡眠一个长帧周期后,向第一接入设备请求进行第二级传输,接收第一接入设备发送的第二级传输第一类型子帧,基于第一块中接收参数X1,确定信令标识帧中的相应序号块,并获取该块中存储的三级传输对称密钥B;且,在接收到的第一接入设备发送的第二级传输第一类型子帧中,控制帧的第X1+1数据块至少包含退避参数C1,电子设备经由X1+1具体数值获取该退避参数C1,指导第三级传输前的退避算法;在第二级传输完毕后,睡眠由指导的所述第三级传输前的退避算法基于C1计算得到的退避参数个长帧周期后,向第一接入设备请求进行第三级传输,发送由对称密钥B加密的第三级传输长帧至第一接入设备,其中,第三级传输长帧的负载帧至少包含网络接入信息和接入请求头部信息,第三级传输长帧的信令标识帧至少包含所述电子设备的授权传输标识,第一接入设备使用本端已知的密钥B进行对称解密,获取第一接入信息,包括第一网络接入信息和第一接入请求头部信息,以及从第三级传输长帧的信令标识帧获取所述电子设备授权传输标识;
[0045] 第一接入设备从第一传输标识服务器获取所述电子设备授权传输标识,与从第三级传输长帧的信令标识帧获取的所述电子设备授权传输标识进行比对,若是,则允许所述电子设备进行网络接入,并由所述第一接入设备将第一接入信息,包括第一网络接入信息和第一接入请求头部信息传输至融合服务器;
[0046] 第二接入请求部,请求与第二接入设备进行一级传输,接收第二接入设备发送的第二类型子帧,其中,在控制帧的第一块中接收参数X2,X2指示下一级通信时需要获取的第二类型子帧中的信令标识帧的块序号;在第一级传输完毕后,睡眠一个长帧周期后,向第二接入设备请求进行第二级传输,接收第二接入设备发送的第二级传输第二类型子帧,基于第一块中接收参数X2,确定信令标识帧中的相应序号块,并获取该块中存储的三级传输对称密钥K;且,在接收到的第一接入设备发送的第二级传输第一类型子帧中,控制帧的第X2+1数据块至少包含退避参数C2,电子设备经由X2+1具体数值获取该退避参数C2,指导第三级传输前的退避算法;在第二级传输完毕后,睡眠由指导的所述第三级传输前的退避算法基于C2计算得到的退避参数个长帧周期后,向第二接入设备请求进行第三级传输,发送由对称密钥K加密的第三级传输长帧至第二接入设备,其中,第三级传输长帧的负载帧至少包含网络接入信息和接入请求头部信息,第三级传输长帧的信令标识帧至少包含所述电子设备的授权传输标识,第二接入设备使用本端已知的密钥K进行对称解密,获取第二接入信息,包括第二网络接入信息和第二接入请求头部信息,以及从第三级传输长帧的信令标识帧获取所述电子设备授权传输标识;第二接入设备从第一传输标识服务器获取所述电子设备授权传输标识,与从第三级传输长帧的信令标识帧获取的所述电子设备授权传输标识进行比对,若是,则允许所述电子设备进行网络接入,并由所述第二接入设备将第二接入信息,包括第二网络接入信息和第二接入请求头部信息传输至融合服务器;融合服务器基于第一接入信息,包括第一网络接入信息和第一接入请求头部信息、第二接入信息,包括第二网络接入信息和第二接入请求头部信息的奇偶性与顺序进行逐位插入,获得完整的网络接入信息和接入请求头部信息,将完整的网络接入信息和接入请求头部信息传输至第三接入设备;
第三接入设备根据所述完整的网络接入信息和接入请求头部信息进行电子设备的网络接入,允许电子设备接入外部网络。
[0047] 较佳地,还包括第一退避参数值计算部,同于在电子设备与第一接入设备连接过程中,指导所述第三级传输前的退避算法基于C1计算得到的退避参数个长帧周期具体为:
[0048] 退避参数值=(X1*C1)mod 8;
[0049] 也即,退避参数值具体选取X1*与C1的积,再对8取模,得到的余数即为退避参数值,也即为与第一接入设备第三级传输睡眠长帧周期个数。
[0050] 较佳地,所述电子设备还包括第二退避参数值计算部,同于在电子设备与第二接入设备连接过程中,指导所述第三级传输前的退避算法基于C2计算得到的退避参数个长帧周期具体为:
[0051] 退避参数值=(X2*C2)mod 8;
[0052] 也即,退避参数值具体选取X2*与C2的积,再对8取模,得到的余数即为退避参数值,也即为与第二接入设备第三级传输睡眠长帧周期个数。
[0053] 较佳地,所述获取传输标识具体为:
[0054] 设备授权传输标识至少与电子设备的发送请求时间戳字段、预设本地固定循环序列以及电子设备的原始MAC地址相关。
[0055] 较佳地,所述预设本地固定循环序列按照如下方式设置:
[0056] 采用随机数生成器生成一随机8位二元组,并在后续接入6位隔离码,总计14位,将该 14位数据循环使用直到其长度等于电子设备的发送请求时间戳字段。
[0057] 再,本发明提供了一种接入系统,包含如权利要求7-11任一项所述的电子设备,以及第一接入设备、第二接入设备、第三接入设备,融合服务器以及第一传输标识服务器。
[0058] 本发明提出一种在网络接入中经由二次退避指定的电子设备及相应接入方法,通过对三级传输的第二次传输使用基于一级传输的退避值,并在二级传输中使用第一退避参数值计算部以及第二退避参数值计算部基于二级传输的具体参数值动态计算三级传输退避值,使得当收到安全攻击时,攻击者无法从单个被破解的数据长帧或长帧的一部分知晓退避时间,从而无法准确定位数据长帧,可能被其它信道帧所干扰导致攻击失败。且在相应电子设备及其组成系统中引入第一接入设备、第二接入设备,以及融合服务器,通过对接入信息进行基于安全性考量后的分离以及再融合,实现较高的安全性分离效果,同时避免了整个传输的完全周期性,经由三级传输和二次退避,使得对攻击的防御更加彻底,使得攻击者受到的迷惑性和不确定性较高。
附图说明
[0059] 图1是本发明示出所要求保护接入系统一种实施例的基本系统图;
[0060] 图2是本发明示出的在网络接入中经由二次退避指定的电子设备接入方法一种优选实施例的基本流程图;
[0061] 图3是本发明示出第三接入设备对所述第一接入设备以及第二接入设备传输的网络接入信息和接入请求头部信息按照奇偶性与顺序进行逐位插入得到完整的网络接入信息和接入请求头部信息的一优选实施方式;
[0062] 图4是本发明示出的一种第一退避参数值计算部功能性优选实施例示例;
[0063] 图5是本发明示出的一种第二退避参数值计算部功能性优选实施例示例。
具体实施方式
[0064] 以下具体描述本发明所请求保护一种在网络接入中经由二次退避指定的电子设备及相应接入方法的若干实施例和有益效果,以有助于对本发明进行更细致的审查和分解。
[0065] 为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
[0066] 应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0067] 在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
[0068] 应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0069] 应当理解,尽管在本发明实施例中可能采用术语第一、第二等来描述方法和相应装置,但这些关键词不应限于这些术语。这些术语仅用来将关键词彼此区分开。例如,在不脱离本发明实施例范围的情况下,第一接入设备、第一传输标识服务器等也可以被称为第二接入设备、第二传输标识服务器,类似地,第二接入设备、第二传输标识服务器也可以被称为第一接入设备、第一传输标识服务器。
[0070] 取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测 (陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
[0071] 如说明书附图1所示,本发明所请求保护的接入系统一种实施例包括:
[0072] 包含如下述任一种所述的电子设备,以及第一接入设备、第二接入设备、第三接入设备,融合服务器以及第一传输标识服务器。
[0073] 作为一种可叠加的优选实施例,所述电子设备包括:
[0074] 传输标识请求部,向第一传输标识服务器发送请求,由第一传输标识服务器获取本设备授权传输标识,
[0075] 时分复用部,与第一接入设备、电子设备与第二接入设备通信信道采用时分复用进行长度为t的时分分片;
[0076] 分片部,将分片后的信道按照周期T1进行负载帧组帧,T1为t的整数倍,按照周期T2 进行控制帧组帧,T2为t的整数倍,按照周期T3进行信令标识帧组帧,信令标识帧至少包含本设备授权传输标识,T3为t的整数倍,一个完整的长帧由一个负载帧以及与其相应的一个控制帧、一个信令标识帧组成。
[0077] 帧切割部,将长帧进行切割,对负载帧与控制帧数据按照奇偶位不同划分成两个子帧类型,其中,第一类型子帧包含一个负载帧的偶数位以及与其相应的一个控制帧偶数位,以及一个完整的信令标识帧组成;第二类型子帧包含一个负载帧的奇数位以及与其相应的一个控制帧奇数位,以及一个完整的信令标识帧组成;
[0078] 第一接入请求部,请求与第一接入设备进行一级传输,接收第一接入设备发送的第一类型子帧,其中,在控制帧的第一块中接收参数X1,X1指示下一级通信时需要获取的第一类型子帧中的信令标识帧的块序号;在第一级传输完毕后,睡眠一个长帧周期后,向第一接入设备请求进行第二级传输,接收第一接入设备发送的第二级传输第一类型子帧,基于第一块中接收参数X1,确定信令标识帧中的相应序号块,并获取该块中存储的三级传输对称密钥B;且,在接收到的第一接入设备发送的第二级传输第一类型子帧中,控制帧的第X1+1数据块至少包含退避参数C1,电子设备经由X1+1具体数值获取该退避参数C1,指导第三级传输前的退避算法;在第二级传输完毕后,睡眠由指导的所述第三级传输前的退避算法基于C1计算得到的退避参数个长帧周期后,向第一接入设备请求进行第三级传输,发送由对称密钥B加密的第三级传输长帧至第一接入设备,其中,第三级传输长帧的负载帧至少包含网络接入信息和接入请求头部信息,第三级传输长帧的信令标识帧至少包含所述电子设备的授权传输标识,第一接入设备使用本端已知的密钥B进行对称解密,获取第一接入信息,包括第一网络接入信息和第一接入请求头部信息,以及从第三级传输长帧的信令标识帧获取所述电子设备授权传输标识;
[0079] 第一接入设备从第一传输标识服务器获取所述电子设备授权传输标识,与从第三级传输长帧的信令标识帧获取的所述电子设备授权传输标识进行比对,若是,则允许所述电子设备进行网络接入,并由所述第一接入设备将第一接入信息,包括第一网络接入信息和第一接入请求头部信息传输至融合服务器;
[0080] 第二接入请求部,请求与第二接入设备进行一级传输,接收第二接入设备发送的第二类型子帧,其中,在控制帧的第一块中接收参数X2,X2指示下一级通信时需要获取的第二类型子帧中的信令标识帧的块序号;在第一级传输完毕后,睡眠一个长帧周期后,向第二接入设备请求进行第二级传输,接收第二接入设备发送的第二级传输第二类型子帧,基于第一块中接收参数X2,确定信令标识帧中的相应序号块,并获取该块中存储的三级传输对称密钥K;且,在接收到的第一接入设备发送的第二级传输第一类型子帧中,控制帧的第X2+1数据块至少包含退避参数C2,电子设备经由X2+1具体数值获取该退避参数C2,指导第三级传输前的退避算法;在第二级传输完毕后,睡眠由指导的所述第三级传输前的退避算法基于C2计算得到的退避参数个长帧周期后,向第二接入设备请求进行第三级传输,发送由对称密钥K加密的第三级传输长帧至第二接入设备,其中,第三级传输长帧的负载帧至少包含网络接入信息和接入请求头部信息,第三级传输长帧的信令标识帧至少包含所述电子设备的授权传输标识,第二接入设备使用本端已知的密钥K进行对称解密,获取第二接入信息,包括第二网络接入信息和第二接入请求头部信息,以及从第三级传输长帧的信令标识帧获取所述电子设备授权传输标识;第二接入设备从第一传输标识服务器获取所述电子设备授权传输标识,与从第三级传输长帧的信令标识帧获取的所述电子设备授权传输标识进行比对,若是,则允许所述电子设备进行网络接入,并由所述第二接入设备将第二接入信息,包括第二网络接入信息和第二接入请求头部信息传输至融合服务器;融合服务器基于第一接入信息,包括第一网络接入信息和第一接入请求头部信息、第二接入信息,包括第二网络接入信息和第二接入请求头部信息的奇偶性与顺序进行逐位插入,获得完整的网络接入信息和接入请求头部信息,将完整的网络接入信息和接入请求头部信息传输至第三接入设备;
第三接入设备根据所述完整的网络接入信息和接入请求头部信息进行电子设备的网络接入,允许电子设备接入外部网络。
[0081] 作为另一种可叠加的优选实施例,所述获取传输标识具体为:
[0082] 设备授权传输标识至少与电子设备的发送请求时间戳字段、预设本地固定循环序列以及电子设备的原始MAC地址相关。
[0083] 作为另一种可叠加的优选实施例,所述预设本地固定循环序列按照如下方式设置:
[0084] 采用随机数生成器生成一随机8位二元组,并在后续接入6位隔离码,总计14位,将该 14位数据循环使用直到其长度等于电子设备的发送请求时间戳字段。
[0085] 作为另一种可叠加的优选实施例,所述获取传输标识具体为:第一传输标识服务器获取电子设备的发送请求时间戳字段,并将其与一预设本地固定循环序列按位异或,得到异或结果b1,将b1后接电子设备的原始MAC地址得到本设备授权传输标识。
[0086] 作为另一种可叠加的优选实施例,可为第一接入设备与第二接入设备综合选取同一的三级传输退避参数,如此,可使用例如一集中退避值计算器,综合X1与X2的值,以及C1与C2 的值,在安全性较高的且处于本地的集中避值计算器处进行计算,再讲所得的集中退避值交由第一接入设备和第二接入设备统一使用,减少系统的数据冗余,且降低分离计算的开销,同时,可使用较高的安全性措施对集中避值计算器进行防护,例如采用专门的硬件固化加密中间件对其数据传输进行改写处理,从而提供较高的安全性。
[0087] 如说明书附图2所示,说明书附图2示出了本发明在网络接入中经由二次退避指定的电子设备接入方法一种优选实施例的基本流程图:
[0088] S100:预置融合服务器,所述融合服务器用于对后续分离的接入信息进行融合;
[0089] S102:向第一传输标识服务器发送请求,由第一传输标识服务器获取本设备授权传输标识,
[0090] S104:与第一接入设备、电子设备与第二接入设备通信信道采用时分复用进行长度为t的时分分片;
[0091] S106:将分片后的信道按照周期T1进行负载帧组帧,T1为t的整数倍,按照周期T2进行控制帧组帧,T2为t的整数倍,按照周期T3进行信令标识帧组帧,信令标识帧至少包含本设备授权传输标识,T3为t的整数倍,一个完整的长帧由一个负载帧以及与其相应的一个控制帧、一个信令标识帧组成。
[0092] S108:将长帧进行切割,对负载帧与控制帧数据按照奇偶位不同划分成两个子帧类型,其中,第一类型子帧包含一个负载帧的偶数位以及与其相应的一个控制帧偶数位,以及一个完整的信令标识帧组成;第二类型子帧包含一个负载帧的奇数位以及与其相应的一个控制帧奇数位,以及一个完整的信令标识帧组成;
[0093] S110:电子设备与第一接入设备进行一级传输,接收第一接入设备发送的第一类型子帧,其中,在控制帧的第一块中接收参数X1,X1指示下一级通信时需要获取的第一类型子帧中的信令标识帧的块序号;在第一级传输完毕后,睡眠一个长帧周期后,向第一接入设备请求进行第二级传输,接收第一接入设备发送的第二级传输第一类型子帧,基于第一块中接收参数 X1,确定信令标识帧中的相应序号块,并获取该块中存储的三级传输对称密钥B;且,在接收到的第一接入设备发送的第二级传输第一类型子帧中,控制帧的第X1+1数据块至少包含退避参数C1,电子设备经由X1+1具体数值获取该退避参数C1,指导第三级传输前的退避算法;在第二级传输完毕后,睡眠由指导的所述第三级传输前的退避算法基于C1计算得到的退避参数个长帧周期后,向第一接入设备请求进行第三级传输,发送由对称密钥B加密的第三级传输长帧至第一接入设备,其中,第三级传输长帧的负载帧至少包含网络接入信息和接入请求头部信息,第三级传输长帧的信令标识帧至少包含所述电子设备的授权传输标识,第一接入设备使用本端已知的密钥B进行对称解密,获取第一接入信息,包括第一网络接入信息和第一接入请求头部信息,以及从第三级传输长帧的信令标识帧获取所述电子设备授权传输标识;
[0094] S112:第一接入设备从第一传输标识服务器获取所述电子设备授权传输标识,与从第三级传输长帧的信令标识帧获取的所述电子设备授权传输标识进行比对,若是,则允许所述电子设备进行网络接入,并由所述第一接入设备将第一接入信息,包括第一网络接入信息和第一接入请求头部信息传输至融合服务器;
[0095] S114:电子设备与第二接入设备进行一级传输,接收第二接入设备发送的第二类型子帧,其中,在控制帧的第一块中接收参数X2,X2指示下一级通信时需要获取的第二类型子帧中的信令标识帧的块序号;在第一级传输完毕后,睡眠一个长帧周期后,向第二接入设备请求进行第二级传输,接收第二接入设备发送的第二级传输第二类型子帧,基于第一块中接收参数 X2,确定信令标识帧中的相应序号块,并获取该块中存储的三级传输对称密钥K;且,在接收到的第一接入设备发送的第二级传输第一类型子帧中,控制帧的第X2+1数据块至少包含退避参数C2,电子设备经由X2+1具体数值获取该退避参数C2,指导第三级传输前的退避算法;在第二级传输完毕后,睡眠由指导的所述第三级传输前的退避算法基于C2计算得到的退避参数个长帧周期后,向第二接入设备请求进行第三级传输,发送由对称密钥K加密的第三级传输长帧至第二接入设备,其中,第三级传输长帧的负载帧至少包含网络接入信息和接入请求头部信息,第三级传输长帧的信令标识帧至少包含所述电子设备的授权传输标识,第二接入设备使用本端已知的密钥K进行对称解密,获取第二接入信息,包括第二网络接入信息和第二接入请求头部信息,以及从第三级传输长帧的信令标识帧获取所述电子设备授权传输标识;
[0096] S118:第二接入设备从第一传输标识服务器获取所述电子设备授权传输标识,与从第三级传输长帧的信令标识帧获取的所述电子设备授权传输标识进行比对,若是,则允许所述电子设备进行网络接入,并由所述第二接入设备将第二接入信息,包括第二网络接入信息和第二接入请求头部信息传输至融合服务器;
[0097] S120:融合服务器基于第一接入信息,包括第一网络接入信息和第一接入请求头部信息、第二接入信息,包括第二网络接入信息和第二接入请求头部信息的奇偶性与顺序进行逐位插入,获得完整的网络接入信息和接入请求头部信息,将完整的网络接入信息和接入请求头部信息传输至第三接入设备;
[0098] S122:第三接入设备根据所述完整的网络接入信息和接入请求头部信息进行电子设备的网络接入,允许电子设备接入外部网络。
[0099] 作为另一种可叠加的优选实施例,电子设备与第一接入设备连接过程中,所述指导的所述第三级传输前的退避算法基于C1计算得到的退避参数个长帧周期具体为:
[0100] 退避参数值=(X1*C1)mod 8;
[0101] 也即,退避参数值具体选取X1*与C1的积,再对8取模,得到的余数即为退避参数值,也即为与第一接入设备第三级传输睡眠长帧周期个数。
[0102] 作为另一种可叠加的优选实施例,电子设备与第二接入设备连接过程中,所述指导的所述第三级传输前的退避算法基于C2计算得到的退避参数个长帧周期具体为:
[0103] 退避参数值=(X2*C2)mod 8;
[0104] 也即,退避参数值具体选取X2*与C2的积,再对8取模,得到的余数即为退避参数值,也即为与第二接入设备第三级传输睡眠长帧周期个数。
[0105] 作为另一种可叠加的优选实施例,可为第一接入设备与第二接入设备综合选取同一的三级传输退避参数,如此,可使用例如一集中退避值计算器,综合X1与X2的值,以及C1与C2 的值,在安全性较高的且处于本地的集中避值计算器处进行计算,再讲所得的集中退避值交由第一接入设备和第二接入设备统一使用,减少系统的数据冗余,且降低分离计算的开销,同时,可使用较高的安全性措施对集中避值计算器进行防护,例如采用专门的硬件固化加密中间件对其数据传输进行改写处理,从而提供较高的安全性。
[0106] 作为另一种可叠加的优选实施例,所述获取传输标识具体为:
[0107] 设备授权传输标识至少与电子设备的发送请求时间戳字段、预设本地固定循环序列以及电子设备的原始MAC地址相关。
[0108] 作为另一种可叠加的优选实施例,所述预设本地固定循环序列按照如下方式设置:
[0109] 采用随机数生成器生成一随机8位二元组,并在后续接入6位隔离码,总计14位,将该 14位数据循环使用直到其长度等于电子设备的发送请求时间戳字段。
[0110] 作为另一种可叠加的优选实施例,所述融合服务器基于第一接入信息,包括第一网络接入信息和第一接入请求头部信息、第二接入信息,包括第二网络接入信息和第二接入请求头部信息的奇偶性与顺序进行逐位插入,获得完整的网络接入信息和接入请求头部信息,将完整的网络接入信息和接入请求头部信息传输至第三接入设备,具体包括:
[0111] 按照第一接入信息的二元组序列排序,将其逐位插入第二接入信息二元组序列中,其中每一位第一接入信息二元组序列符号前均插入相应位的第二接入信息二元组序列符号,组成完整的网络接入信息和接入请求头部信息。
[0112] 作为另一种可叠加的优选实施例,所述获取传输标识具体为:第一传输标识服务器获取电子设备的发送请求时间戳字段,并将其与一预设本地固定循环序列按位异或,得到异或结果b1,将b1后接电子设备的原始MAC地址得到本设备授权传输标识。
[0113] 说明书附图3是本发明示出第三接入设备对所述第一接入设备以及第二接入设备传输的网络接入信息和接入请求头部信息按照奇偶性与顺序进行逐位插入得到完整的网络接入信息和接入请求头部信息的一优选实施方式;
[0114] 参照附图3可知,作为另一种可叠加的优选实施例,所述第三接入设备对所述第一接入设备以及第二接入设备传输的网络接入信息和接入请求头部信息按照奇偶性与顺序进行逐位插入得到完整的网络接入信息和接入请求头部信息,具体包括:
[0115] 按照第一接入信息的二元组序列排序,将其逐位插入第二接入信息二元组序列中,其中每一位第一接入信息二元组序列符号前均插入相应位的第二接入信息二元组序列符号,组成完整的网络接入信息和接入请求头部信息。
[0116] 说明书附图4是本发明示出一种第一退避参数值计算部功能性优选实施例示例;
[0117] 参照附图4可知,作为另一种可叠加的优选实施例,所述电子设备使用第一退避参数值计算部用于在电子设备与第一接入设备连接过程中,指导所述第三级传输前的退避算法基于 C1计算得到的退避参数个长帧周期具体为:
[0118] 退避参数值=(X1*C1)mod 8;
[0119] 也即,退避参数值具体选取X1*与C1的积,再对8取模,得到的余数即为退避参数值,也即为与第一接入设备第三级传输睡眠长帧周期个数。
[0120] 说明书附图5是本发明示出一种第二退避参数值计算部功能性优选实施例示例;
[0121] 参照附图5可知,作为另一种可叠加的优选实施例,所述电子设备还包括第二退避参数值计算部,同于在电子设备与第二接入设备连接过程中,指导所述第三级传输前的退避算法基于C2计算得到的退避参数个长帧周期具体为:
[0122] 退避参数值=(X2*C2)mod 8;
[0123] 也即,退避参数值具体选取X2*与C2的积,再对8取模,得到的余数即为退避参数值,也即为与第二接入设备第三级传输睡眠长帧周期个数。
[0124] 作为另一种可叠加的优选实施例,可为第一接入设备与第二接入设备综合选取同一的三级传输退避参数,如此,可使用例如一集中退避值计算器,综合X1与X2的值,以及C1与C2 的值,在安全性较高的且处于本地的集中避值计算器处进行计算,再讲所得的集中退避值交由第一接入设备和第二接入设备统一使用,减少系统的数据冗余,且降低分离计算的开销,同时,可使用较高的安全性措施对集中避值计算器进行防护,例如采用专门的硬件固化加密中间件对其数据传输进行改写处理,从而提供较高的安全性。
[0125] 本发明提出一种在网络接入中经由二次退避指定的电子设备及相应接入方法,通过对三级传输的第二次传输使用基于一级传输的退避值,并在二级传输中使用第一退避参数值计算部以及第二退避参数值计算部基于二级传输的具体参数值动态计算三级传输退避值,使得当收到安全攻击时,攻击者无法从单个被破解的数据长帧或长帧的一部分知晓退避时间,从而无法准确定位数据长帧,可能被其它信道帧所干扰导致攻击失败。且在相应电子设备及其组成系统中引入第一接入设备、第二接入设备,以及融合服务器,通过对接入信息进行基于安全性考量后的分离以及再融合,实现较高的安全性分离效果,同时避免了整个传输的完全周期性,经由三级传输和二次退避,使得对攻击的防御更加彻底,使得攻击者受到的迷惑性和不确定性较高。
[0126] 在所有上述实施方式中,为实现一些特殊的数据传输、读/写功能的要求,上述方法操作过程中及其相应装置可以增加装置、模块、器件、硬件、引脚连接或存储器、处理器差异来扩展功能。
[0127] 所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的方法,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0128] 在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述方法步骤的划分,仅仅为一种逻辑或功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0129] 所述作为方法的各个步骤、装置分离部件说明的单元可以是或者也可以不是逻辑或物理上分开的,也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0130] 另外,在本发明各个实施例中的各方法步骤及其实现、功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0131] 上述方法和装置可以以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器 (Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、NVRAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0132] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
[0133] 应说明的是:以上实施例仅用以更清晰地解释、阐述本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
