(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211039620.7 (22)申请日 2022.08.29 (71)申请人 北京中盾安邦数据技 术有限公司 地址 100089 北京市海淀区首体南路1号院 12号楼913室 (72)发明人 杨嵩岩　 (74)专利代理 机构 泉州君典专利代理事务所 (普通合伙) 35239 专利代理师 胡希琰 (51)Int.Cl. H04L 9/40(2022.01) H04L 49/10(2022.01) (54)发明名称 一种网络数据交换方法及装置 (57)摘要 本发明提供一种网络数据交换方法及 装置， 包括如下步骤： 步骤S1、 将硬件信息作为第一信 息， 根据第一信息形成唯一对应于终端设备的身 份令牌； 步骤S2、 生成与身份令牌对应的密钥对； 步骤S3、 终端设备 发送第二信息； 步骤S4、 利用与 第二消息中的身份令牌对应的私钥对第三信息 进行解密， 得到第四信息； 步骤S5、 核验第四信息 与第一信息的一致性， 若一致， 则将终端设备的 身份令牌与网络交换装置的RJ45网络端口唯一 对应； 步骤S6、 接收终端设备所 发送的第五信息， 检索网络交换装置中存储的MA C地址记录表中是 否有目标主机的MA C地址的信息， 若有， 则对需要 传输的数据包加密后向目标主机发送。 本发明能 够避免终端设备被篡改或仿冒， 且提高数据传输 过程中的安全性。 权利要求书2页 说明书4页 附图1页 CN 115396216 A 2022.11.25 CN 115396216 A 1.一种网络数据交换 方法， 其特 征在于： 包括如下步骤： 步骤S1、 将接入网络交换装置的终端设备的硬件信息作为第一信息， 并对第一信息进 行加密以形成唯一对应于终端设备的身份令牌， 将该身份令牌发送至终端设备内存 储； 步骤S2、 生成并存储与终端设备的身份令牌对应的密钥对， 将公钥发送至终端设备存 储； 步骤S3、 需要可信认证时， 终端设备使用公钥 对其硬件信息进行加密以得到第三信息， 并将认证请求、 第三信息和身份令牌作为第二信息发送； 步骤S4、 利用与第二消息中的身份令牌对应的私钥对第三信息进行解密， 得到第 四信 息； 步骤S5、 核验第四信息与第一信息的一致性， 若核验结果一致， 则将终端设备的身份令 牌与网络交换装置的RJ45网络端口进行唯一对应， 并进入步骤S6， 否则， 发出无法认证的提 示信息； 步骤S6、 接收终端设备所发送的第五信息， 该第五信息包括目标主机的MAC地址和需要 传输的数据包， 并检索网络交换装置中存储的MAC地址记录表中是否有目标主机的MAC地址 的信息， 若有， 则对需要传输的数据包加密后向目标主机发送， 否则， 向终端设备发出目标 主机设备不存在的信息 。 2.根据权利要求1所述的一种网络数据 可信交换方法， 其特征在于： 所述硬件信 息包括 硬件的规格、 型号和序列号、 网卡MAC地址号、 板卡序列号、 硬件编号和主板序列号。 3.根据权利要求1所述的一种 网络数据可信交换方法， 其特征在于： 所述步骤S1中， 通 过加密芯片使用国密非对称算法对所述硬件信息进行加密。 4.根据权利要求1或2或3所述的一种物联网设备可信认证加密方法， 其特征在于： 所述 设备具有加密区域， 所述身份令牌和密钥对的公钥发送至设备， 由设备的加密区域存 储。 5.根据权利要求1或2或3所述的一种网络数据可信交换方法， 其特征在于： 所述步骤S4 中， 根据身份令牌检索与该身份令牌对应的私钥， 若 未检索到对应的私钥， 则发出拒绝认证 的警示。 6.根据权利要求1或2或3所述的一种网络数据可信交换方法， 其特征在于： 所述步骤S5 中， 所述提示信息包括短信通知、 邮件通知、 声 音警报和/或灯光警报。 7.根据权利要求1或2或3所述的一种网络数据可信交换方法， 其特征在于： 所述步骤S6 中， 通过加密芯片使用国密分组加密算法和国密散列算法对传输的数据包进行加密。 8.根据权利要求1或2或3所述的一种网络数据可信交换方法， 其特征在于： 所述步骤S1 中， 采集终端设备发送的数据包， 通过对数据包进行解析获取设备的硬件信息 。 9.一种基于权利要求1 ‑8任一所述的网络数据可信交换方法的可信交换装置， 其特征 在于： 包括接收模块、 加密模块、 计算模块、 预警模块、 存 储模块、 交换模块和输出模块： 接收模块用于获取接入网络交换装置的终端设备的硬件信息， 并发送至加密模块， 由 加密模块进行加密以得到唯一对应于终端设备的身份令牌， 该身份令牌由输出模块 发送至 存终端设备存 储； 接收模块还用于 接收第二信息和第五信息； 加密模块用于生成密钥对， 密钥对的私钥与身份令牌唯一对应， 公钥由输出模块发送 至终端设备存储； 当接 收模块接收到第二信息后， 加密模块用于利用与身份令牌对应的私 钥对第三信息进行解密， 以得到第四信息；权　利　要　求　书 1/2 页 2 CN 115396216 A 2计算模块用于核验第四信息与第一信息的一 致性； 交换模块用于当第四信 息与第一信息核验一致 时， 将终端设备的身份令牌与网络交换 装置的RJ45网络端口进行唯一对应， 并在接收到第五信息后， 检索网络交换装置中存储的 MAC地址记录表中是否有目标主机的MAC地址的信息， 若有， 则加密模块对需要传输的数据 包加密后向目标主机发送； 预警模块用于在第四信 息与第一信息不一致 时发出无法认证的提示信 息， 以及当网络 交换装置中存储的MAC地址记录表中未存在目标主机的MAC地址信息时， 向终端设备发出目 标主机设备不存在的信息； 存储模块用于存 储密钥对。 10.根据权利要求9所述的可信交换装置， 其特征在于： 所述接收模块、 计算模块、 预警 模块、 交换模块和输出模块均由处理器实现， 处理器分别与加密模块和存储模块通过数据 总线连接 。权　利　要　求　书 2/2 页 3 CN 115396216 A 3