本发明专利技术实施例公开了一种IPsec报文格式处理方法、装置、设备及计算机可读存储介质。其中,方法包括接收MAC层发送的IP报文数据,从IP报文数据中读取目的IP地址;根据目的IP地址从安全策略数据库中匹配得到新源IP地址和新目的IP地址;若新源IP地址和新目的IP地址不为全零,根据新目的IP地址查询安全关联数据库得到加密密钥;根据加密密钥,基于加密数据格式对IP报文数据进行加密处理,得到加密报文数据;为IP报文数据生成新IP报头,并将经过预设认证数据格式处理的认证数据添加至IP报文数据尾部,作为新IP报文数据;打包发送加密报文数据和新IP报文数据。本申请将IP报文数据格式进行集中统一处理,适应各种TCP(UDP)/IP网络环境,提高了代码规范性,提升了IPsec性能。
【技术实现步骤摘要】
IPsec报文格式处理方法、装置、设备及存储介质
本专利技术实施例涉及IPsec
,特别是涉及一种IPsec报文格式处理方法、装置、设备及计算机可读存储介质。
技术介绍
IPsec(InternetProtocolSecurityInternet,协议安全性)的工作原理为可以针对用户进行IP级的通信数据包进行加密,即使网络数据包在网络传输中被窃取,也无法查看信息,从而有效地保证了数据在传输层的安全。但是,IPSec技术实际应用中,在进行加密和验证的过程中,加密和验证算法需要的报文位宽一般不同,和TCP/IP网络、mac层、IP层、原ip报文的位宽不同,IP报文打包成ESP格式报文,需要经过多次报文格式的变换。
技术实现思路
本公开实施例提供了一种IPsec报文格式处理方法、装置、设备及计算机可读存储介质,将IP报文数据格式进行统一处理,实现在不同的位宽的TCP(UDP)/IP网络下的IPSec的通用性,提高了代码规范性,提升了IPsec性能。为解决上述技术问题,本专利技术实施例提供以下技术方案:本专利技术实施例一方面提供了一种IPsec报文格式处理方法,包括:接收MAC层发送的IP报文数据,并从所述IP报文数据中读取目的IP地址;获取安全策略数据库根据所述目的IP地址进行匹配之后反馈的新源IP地址和新目的IP地址;若新源IP地址和新目的IP地址不为全零,根据所述新目的IP地址查询安全关联数据库,得到加密密钥;根据所述加密密钥,基于预设加密数据格式对所述IP报文数据进行加密处理,得到加密报文数据;为所述IP报文数据生成新IP报头,并将经过预设认证数据格式处理的认证数据添加至所述IP报文数据尾部,作为新IP报文数据;将所述加密报文数据和所述新IP报文数据进行打包发送。可选的,所述根据所述加密密钥,基于预设加密数据格式对所述IP报文数据进行加密处理,得到加密报文数据包括:所述加密密钥为128bit,将所述加密密钥发送至ESP输出模块;将所述IP报文数据的长度填充为128位整数倍,并按照128bit数据包格式将填充之后的IP报文数据发送至所述ESP输出模块,以使所述ESP输出模块利用所述加密密钥对所述IP报文数据进行加密;缓存所述ESP输出模块输出的128bit加密报文数据,生成ESP头,以作为所述加密报文数据。可选的,所述将所述IP报文数据的长度填充为128位整数倍包括:利用下述公式计算所述IP报文数据的填充数据长度L:L=112-(l)mod128,l为所述IP报文数据的长度;在所述IP报文数据后填充L位数据,其中,第一位数据为1,第二位至第L位为0。可选的,所述在所述IP报文数据后填充L位数据之后,还包括:在填充L位数据尾部之后,填充8bit填充数据长度和8bit下一个报头。可选的,所述经过预设认证数据格式处理的认证数据为:所述加密密钥为128bit,将缓存的认证数据的长度填充至512位,并将填充后的认证数据发送至所述ESP输出模块;接收所述ESP输出模块输出的128bit认证数据,作为经过预设认证数据格式处理的认证数据。可选的,所述将缓存的认证数据的长度填充至512位包括:利用下述公式计算所述认证数据的填充数据长度X:Xmod512=448;在所述认证数据后填充X位数据,其中,第一位数据为1,第二位至第L位为0。可选的,所述在所述认证数据后填充X位数据之后,还包括:在填充X位数据尾部之后,填充所述认证数据的原始数据长度。本专利技术实施例另一方面提供了一种IPsec报文格式处理装置,包括:IP报文数据缓存模块,用于接收MAC层发送的IP报文数据,并从所述IP报文数据中读取目的IP地址;加密密钥获取模块,用于获取安全策略数据库根据所述目的IP地址进行匹配之后反馈的新源IP地址和新目的IP地址;若新源IP地址和新目的IP地址不为全零,根据所述新目的IP地址查询安全关联数据库,得到加密密钥;加密报文数据处理模块,用于根据所述加密密钥,基于预设加密数据格式对所述IP报文数据进行加密处理,得到加密报文数据;认证数据格式处理模块,用于基于预设认证数据格式处理对缓存的认证数据进行格式处理;IP数据包发送模块,用于为所述IP报文数据生成新IP报头,并将经过预设认证数据格式处理的认证数据添加至所述IP报文数据尾部,作为新IP报文数据;将所述加密报文数据和所述新IP报文数据进行打包发送。本专利技术实施例还提供了一种IPsec报文格式处理设备,包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如前任一项所述IPsec报文格式处理方法的步骤。本专利技术实施例最后还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有IPsec报文格式处理程序,所述IPsec报文格式处理程序被处理器执行时实现如前任一项所述IPsec报文格式处理方法的步骤。本申请提供的技术方案的优点在于,采用预先设定的加密数据格式加密处理IP报文数据,采用预先设定的认证数据格式处理的认证数据,将经过处理的IP报文数据和认证数据进行打包发送,实现了将IP报文格式统一集中处理,使其在不同的位宽的TCP(UDP)/IP网络下均可使用,不需要进行格式转换,适应各种TCP(UDP)/IP网络环境,实现了在不同位宽的TCP(UDP)/IP网络下的IPSec的通用性,提高了代码规范性,提升了IPsec性能。此外,本专利技术实施例还针对IPsec报文格式处理方法提供了相应的实现装置、设备及计算机可读存储介质,进一步使得所述方法更具有实用性,所述装置、设备及计算机可读存储介质具有相应的优点。应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。附图说明为了更清楚的说明本专利技术实施例或相关技术的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种IPsec报文格式处理方法的流程示意图;图2为本专利技术实施例提供的IPsec报文格式处理装置的一种具体实施方式结构图;图3为本专利技术实施例提供的IPsec报文格式处理设备的一种具体实施方式结构图。具体实施方式为了使本
的人员更好地理解本专利技术方案,下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。在介绍了本专利技术实施例的技术方案后,下面详细的说明本申请的各种非限制性实施方式。首先参见图1,图1为本专利技术实施例提供的一种IPsec报文格式处理方法的流程示意图,本专利技术实施例可包括以下内容:S101:接收MAC层发送的IP报文数据,并从IP报文数据本文档来自技高网...
【技术保护点】
1.一种IPsec报文格式处理方法,其特征在于,包括:接收MAC层发送的IP报文数据,并从所述IP报文数据中读取目的IP地址;获取安全策略数据库根据所述目的IP地址进行匹配之后反馈的新源IP地址和新目的IP地址;若新源IP地址和新目的IP地址不为全零,根据所述新目的IP地址查询安全关联数据库,得到加密密钥;根据所述加密密钥,基于预设加密数据格式对所述IP报文数据进行加密处理,得到加密报文数据;为所述IP报文数据生成新IP报头,并将经过预设认证数据格式处理的认证数据添加至所述IP报文数据尾部,作为新IP报文数据;将所述加密报文数据和所述新IP报文数据进行打包发送。
【技术特征摘要】
1.一种IPsec报文格式处理方法,其特征在于,包括:接收MAC层发送的IP报文数据,并从所述IP报文数据中读取目的IP地址;获取安全策略数据库根据所述目的IP地址进行匹配之后反馈的新源IP地址和新目的IP地址;若新源IP地址和新目的IP地址不为全零,根据所述新目的IP地址查询安全关联数据库,得到加密密钥;根据所述加密密钥,基于预设加密数据格式对所述IP报文数据进行加密处理,得到加密报文数据;为所述IP报文数据生成新IP报头,并将经过预设认证数据格式处理的认证数据添加至所述IP报文数据尾部,作为新IP报文数据;将所述加密报文数据和所述新IP报文数据进行打包发送。2.根据权利要求1所述的IPsec报文格式处理方法,其特征在于,所述根据所述加密密钥,基于预设加密数据格式对所述IP报文数据进行加密处理,得到加密报文数据包括:所述加密密钥为128bit,将所述加密密钥发送至ESP输出模块;将所述IP报文数据的长度填充为128位整数倍,并按照128bit数据包格式将填充之后的IP报文数据发送至所述ESP输出模块,以使所述ESP输出模块利用所述加密密钥对所述IP报文数据进行加密;缓存所述ESP输出模块输出的128bit加密报文数据,生成ESP头,以作为所述加密报文数据。3.根据权利要求2所述的IPsec报文格式处理方法,其特征在于,所述将所述IP报文数据的长度填充为128位整数倍包括:利用下述公式计算所述IP报文数据的填充数据长度L:L=112-(l)mod128,l为所述IP报文数据的长度;在所述IP报文数据后填充L位数据,其中,第一位数据为1,第二位至第L位为0。4.根据权利要求3所述的IPsec报文格式处理方法,其特征在于,所述在所述IP报文数据后填充L位数据之后,还包括:在填充L位数据尾部之后,填充8bit填充数据长度和8bit下一个报头。5.根据权利要求1所述的IPsec报文格式处理方法,其特征在于,所述经过预设认证数据格式处理的认证数据为:所述加密密钥为128bit,将缓存的...
【专利技术属性】
技术研发人员:王莹,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。