專利名稱:一種基于esp技術(shù)封裝的精簡(jiǎn)網(wǎng)絡(luò)數(shù)據(jù)流量的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于IPSec VPN協(xié)議����,采用ESP技術(shù)封裝的精簡(jiǎn)網(wǎng)絡(luò)數(shù)據(jù)流量的方法。
背景技術(shù):
目前����,大多數(shù)工業(yè)系統(tǒng)都有遠(yuǎn)程數(shù)據(jù)傳輸?shù)臉I(yè)務(wù)需求,GPRS等無線數(shù)據(jù)傳輸方式由于其投入費(fèi)用較小等因素����,得到了廣泛的應(yīng)用,不少企業(yè)采用了租用運(yùn)營商無線網(wǎng)絡(luò)的方式進(jìn)行遠(yuǎn)程數(shù)據(jù)傳輸。隨著IPSec VPN技術(shù)的不斷成熟����,IPSec VPN也大量的用于工業(yè)系統(tǒng)中,大多數(shù)工業(yè)系統(tǒng)也開始采用VPN產(chǎn)品實(shí)現(xiàn)數(shù)據(jù)機(jī)密性���、完整性保護(hù)��。IPSec VPN有兩種隧道封裝協(xié)議ESP封裝和AH封裝��。ESP封裝主要用于提供數(shù)據(jù)的完整性保護(hù)��、數(shù)據(jù)加密����、防重放等安全服務(wù);AH封裝主要用于提供數(shù)據(jù)的完整性保護(hù)����, 但其不能實(shí)現(xiàn)數(shù)據(jù)的加密。另一方面�����,IPSec VPN有兩種網(wǎng)絡(luò)傳輸模式隧道模式和傳輸模式,傳輸模式主要用于點(diǎn)對(duì)點(diǎn)(end-to-end)的通信����,隧道模式主要用于點(diǎn)對(duì)站(end-to-site)或者站對(duì)站(site-to-site)的通信。若數(shù)據(jù)包采用ESP封裝��,則ESP數(shù)據(jù)包封裝和原始數(shù)據(jù)包格式的映射關(guān)系如圖I所示�����。當(dāng)用戶采用傳輸模式���,則原始數(shù)據(jù)包中的原始IP頭和包數(shù)據(jù)將被拆分���,其中原始IP頭作為ESP數(shù)據(jù)包的IP頭,包數(shù)據(jù)被加密存放在ESP數(shù)據(jù)包中的負(fù)載數(shù)據(jù)中�����;若用戶用隧道模式���,則原始數(shù)據(jù)包被全部加密�,存放在ESP數(shù)據(jù)包中的負(fù)載數(shù)據(jù)中�����。ESP封裝模式下的傳輸模式和隧道模式的主要差別在于傳輸模式僅將原始數(shù)據(jù)包中的包數(shù)據(jù)加密,并采用原始的IP頭�����,隧道模式將原始數(shù)據(jù)包全部加密����,并構(gòu)造出新IP頭。在實(shí)際應(yīng)用當(dāng)中���,用戶根據(jù)應(yīng)用需要選擇合適的網(wǎng)絡(luò)傳輸模式����。若對(duì)IPSec VPN的ESP封裝不做修改�����,則ESP數(shù)據(jù)包的格式如圖2所示
其中安全參數(shù)索引和序列號(hào)對(duì)應(yīng)于圖I中的ESP報(bào)頭��;認(rèn)證數(shù)據(jù)對(duì)應(yīng)于圖I中的ESP認(rèn)證��;負(fù)載數(shù)據(jù)��、填充��、填充長度和下一頭部對(duì)應(yīng)于圖I中加密數(shù)據(jù)。ESP數(shù)據(jù)包中的認(rèn)證數(shù)據(jù)是采用相應(yīng)的數(shù)字簽名算法對(duì)安全參數(shù)索引�����、序列號(hào)��、負(fù)載數(shù)據(jù)��、填充��、填充長度和下一頭部進(jìn)行運(yùn)算得到的數(shù)字簽名�����。在實(shí)際應(yīng)用當(dāng)中����,認(rèn)證數(shù)據(jù)一般采用SM3�、MD5或者SHA等算法,由于不同的消息摘要算法生成的消息摘要長度不同�����,故認(rèn)證數(shù)據(jù)屬于變長數(shù)據(jù)����。采用IPSec VPN技術(shù)會(huì)帶來數(shù)據(jù)流量增加����,由于目前大多數(shù)電信運(yùn)營商采用數(shù)據(jù)流量的計(jì)費(fèi)方式�����,因此采用IPSec VPN技術(shù)會(huì)使企業(yè)無線數(shù)據(jù)傳輸成本增加����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題,就是提供一種基于IPSec VPN協(xié)議�����,采用ESP技術(shù)封裝的精簡(jiǎn)網(wǎng)絡(luò)數(shù)據(jù)流量的方法�����,可在實(shí)現(xiàn)數(shù)據(jù)保密傳輸?shù)耐瑫r(shí)�����,降低數(shù)據(jù)流量��,節(jié)約無線數(shù)據(jù)傳輸服務(wù)租賃費(fèi)用。
解決上述技術(shù)問題�,本發(fā)明采用的技術(shù)方案如下
一種基于ESP技術(shù)封裝的精簡(jiǎn)數(shù)據(jù)流量的方法,所述的ESP技術(shù)包括傳輸模式(SI)和隧道模式(S2)兩種網(wǎng)絡(luò)傳輸模式���,其特征是
所述的方法若采用傳輸模式(SI)����,包括以下步驟
Sl-I在原始數(shù)據(jù)包中指定位置添加變長認(rèn)證數(shù)據(jù)���,一般為至少2個(gè)字節(jié),并通信雙方事先約定好該變長認(rèn)證數(shù)據(jù)的數(shù)值���;
S1-2將添加了變長認(rèn)證數(shù)據(jù)的包數(shù)據(jù)作為新的包數(shù)據(jù)進(jìn)行加密����;
51-3刪除ESP數(shù)據(jù)包中的填充長度�、下一頭部和認(rèn)證數(shù)據(jù);
所述的方法若采用隧道模式(S2)���,則包括以下步驟
52-1在原始數(shù)據(jù)包中指定位置添加變長認(rèn)證數(shù)據(jù)��,一般為至少2個(gè)字節(jié)��,并通信雙方事先約定好該變長認(rèn)證數(shù)據(jù)的數(shù)值�;
S2-2將添加變長數(shù)據(jù)的原始IP頭、包數(shù)據(jù)和變長數(shù)據(jù)都進(jìn)行加密���;
S2-3刪除ESP數(shù)據(jù)包中的填充長度�、下一頭部和認(rèn)證數(shù)據(jù)��。一方面�,由于變長認(rèn)證數(shù)據(jù)采用通信雙方事先約定的方式,且該數(shù)據(jù)在實(shí)際應(yīng)用過程中會(huì)被進(jìn)一步加密���,第三方對(duì)數(shù)據(jù)包的任何篡改都會(huì)導(dǎo)致變長認(rèn)證數(shù)據(jù)的改變�����,因此����,該變長認(rèn)證數(shù)據(jù)可以代替ESP數(shù)據(jù)包中的認(rèn)證數(shù)據(jù)實(shí)現(xiàn)數(shù)據(jù)身份認(rèn)證功能���,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性保護(hù)����。另一方面,由于改進(jìn)的ESP數(shù)據(jù)包刪除了 ESP數(shù)據(jù)包中的填充長度����、下一頭部和認(rèn)證數(shù)據(jù),因此該改進(jìn)方式可以降低數(shù)據(jù)包的大小�,降低網(wǎng)絡(luò)數(shù)據(jù)的流量。有益效果本發(fā)明基于IPSec VPN協(xié)議和ESP數(shù)據(jù)封裝�,設(shè)計(jì)了一種精簡(jiǎn)網(wǎng)絡(luò)數(shù)據(jù)流量的方法,使用該技術(shù)方法可以實(shí)現(xiàn)在保證數(shù)據(jù)安全傳輸?shù)耐瑫r(shí)�,大幅降低IPSec VPN技術(shù)帶來的數(shù)據(jù)流量,減少用戶因?yàn)椴捎肐PSec VPN技術(shù)帶來的流量增加費(fèi)用�,具有很強(qiáng)的實(shí)用性。
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明做進(jìn)一步的詳細(xì)說明�。圖I為原始數(shù)據(jù)包與ESP數(shù)據(jù)包的映射關(guān)系示意 圖2為ESP數(shù)據(jù)包格式示意 圖3為改進(jìn)的ESP數(shù)據(jù)包格式示意圖�。
具體實(shí)施例方式本發(fā)明提出了一種基于IPSec VPN協(xié)議,采用ESP技術(shù)封裝的精簡(jiǎn)數(shù)據(jù)流量的方法�����,實(shí)現(xiàn)在保護(hù)數(shù)據(jù)機(jī)密性和完整性的同時(shí)���,降低網(wǎng)絡(luò)數(shù)據(jù)的流量��。圖I為原始數(shù)據(jù)包與ESP數(shù)據(jù)包的映射關(guān)系示意圖����。若用戶采用傳輸模式,則原始數(shù)據(jù)包中的原始IP頭和包數(shù)據(jù)將被拆分�����,其中原始IP頭作為ESP數(shù)據(jù)包的IP頭�����,包數(shù)據(jù)被加密存放在ESP數(shù)據(jù)包中的負(fù)載數(shù)據(jù)中�����;若用戶用隧道模式�����,則原始數(shù)據(jù)包被全部加密����,存放在ESP數(shù)據(jù)包中的負(fù)載數(shù)據(jù)中。在實(shí)際應(yīng)用當(dāng)中�,用戶根據(jù)應(yīng)用需要選擇合適的網(wǎng)絡(luò)傳輸模式。圖2為ESP數(shù)據(jù)包格式示意圖,其中安全參數(shù)索引和序列號(hào)對(duì)應(yīng)于圖I中的ESP報(bào)頭��;認(rèn)證數(shù)據(jù)對(duì)應(yīng)于圖I中的ESP認(rèn)證���;負(fù)載數(shù)據(jù)�、填充��、填充長度和下一頭部對(duì)應(yīng)于圖I中加密數(shù)據(jù)�。圖3為改進(jìn)的ESP數(shù)據(jù)包格式示意圖,該格式做了如下的改進(jìn)
如果用戶采傳輸模式SI�����,則本發(fā)明針對(duì)ESP數(shù)據(jù)包封裝格式按以下步驟更改��,以實(shí)現(xiàn)精簡(jiǎn)數(shù)據(jù)流量
Sl-I在原始數(shù)據(jù)包中指定位置添加變長認(rèn)證數(shù)據(jù)�����,一般為至少2個(gè)字節(jié)���,并通信雙方事先規(guī)定該變長認(rèn)證數(shù)據(jù)的數(shù)值;
S1-2將添加變長認(rèn)證數(shù)據(jù)的包數(shù)據(jù)作為新的包數(shù)據(jù)進(jìn)行加密�,即包數(shù)據(jù)和變長數(shù)據(jù)進(jìn)行加密;
51-3刪除ESP數(shù)據(jù)包中的填充長度、下一頭部和認(rèn)證數(shù)據(jù)��。如果用戶采用隧道模式S2�,則本發(fā)明針對(duì)ESP數(shù)據(jù)包封裝格式做如下更改,以實(shí)現(xiàn)精簡(jiǎn)數(shù)據(jù)流量
52-1在原始數(shù)據(jù)包中指定位置添加變長認(rèn)證數(shù)據(jù)�,一般為至少2個(gè)字節(jié),并事先規(guī)定該變長認(rèn)證數(shù)據(jù)的數(shù)值�����;
S2-2將添加變長認(rèn)證數(shù)據(jù)的整個(gè)數(shù)據(jù)包�,即原始IP頭、包數(shù)據(jù)和變長數(shù)據(jù)進(jìn)行加密���;
S2-3刪除ESP數(shù)據(jù)包中的填充長度�、下一頭部和認(rèn)證數(shù)據(jù)��。權(quán)利要求
1.一種基于ESP技術(shù)封裝的精簡(jiǎn)數(shù)據(jù)流量的方法����,所述的ESP技術(shù)包括傳輸模式(SI)和隧道模式(S2)兩種網(wǎng)絡(luò)傳輸模式,其特征是 所述的方法若采用傳輸模式(SI)����,包括以下步驟 Sl-I在原始數(shù)據(jù)包中指定位置添加變長認(rèn)證數(shù)據(jù),為至少2個(gè)字節(jié),并通信雙方事先約定好該變長認(rèn)證數(shù)據(jù)的數(shù)值����; S1-2將添加了變長認(rèn)證數(shù)據(jù)的包數(shù)據(jù)作為新的包數(shù)據(jù)進(jìn)行加密; 51-3刪除ESP數(shù)據(jù)包中的填充長度�����、下一頭部和認(rèn)證數(shù)據(jù)���; 所述的方法若采用隧道模式(S2)�,則包括以下步驟 52-1在原始數(shù)據(jù)包中指定位置添加變長認(rèn)證數(shù)據(jù)�,為至少2個(gè)字節(jié),并通信雙方事先約定好該變長認(rèn)證數(shù)據(jù)的數(shù)值��; S2-2將添加變長數(shù)據(jù)的原始IP頭�、包數(shù)據(jù)和變長數(shù)據(jù)都進(jìn)行加密; S2-3刪除ESP數(shù)據(jù)包中的填充長度����、下一頭部和認(rèn)證數(shù)據(jù)。
全文摘要
一種基于ESP技術(shù)封裝的精簡(jiǎn)網(wǎng)絡(luò)數(shù)據(jù)流量的方法��,采用傳輸模式S1-1在原始數(shù)據(jù)包中添加變長認(rèn)證數(shù)據(jù)�,并約定好該變長認(rèn)證數(shù)據(jù)的數(shù)值;S1-2將添加了變長認(rèn)證數(shù)據(jù)的包數(shù)據(jù)加密��;S1-3刪除ESP數(shù)據(jù)包中的填充長度�、下一頭部和認(rèn)證數(shù)據(jù);采用隧道模式S2-1在原始數(shù)據(jù)包中添加變長認(rèn)證數(shù)據(jù)����,并約定好該變長認(rèn)證數(shù)據(jù)的數(shù)值;S2-2將添加變長數(shù)據(jù)的原始IP頭�����、包數(shù)據(jù)和變長數(shù)據(jù)都加密�;S2-3刪除ESP數(shù)據(jù)包中的填充長度、下一頭部和認(rèn)證數(shù)據(jù)�。本發(fā)明可以實(shí)現(xiàn)在保證數(shù)據(jù)安全傳輸?shù)耐瑫r(shí),大幅降低IPSecVPN技術(shù)帶來的數(shù)據(jù)流量�,減少用戶因?yàn)椴捎肐PSecVPN技術(shù)帶來的流量增加費(fèi)用。
文檔編號(hào)H04L29/06GK102710487SQ20121016467
公開日2012年10月3日 申請(qǐng)日期2012年5月25日 優(yōu)先權(quán)日2012年5月25日
發(fā)明者周強(qiáng)峰, 梁志宏, 梁智強(qiáng), 梁毅成, 江澤鑫, 石煒君, 胡朝輝, 陳炯聰, 駱書劍 申請(qǐng)人:廣東電網(wǎng)公司電力科學(xué)研究院