一种新型IPsec密钥分配方法及分配系统技术方案

本发明专利技术提供一种新型I Psec密钥分配方法，包括对标准协议的头部载荷数据部分增加自定义五元组字段，并增加五元组加密密钥；在原始报文I PESP明文信息进行加密时，同时利用五元组加密密钥和随机派生密钥对原始报文I PESP明文信息进行加密封装得到加密完成后的密文数据。实现同一条安全隧道下，能够对不同的五元组数据流采用不同的安全密钥进行加解密处理提升了数据加密的安全性。理提升了数据加密的安全性。理提升了数据加密的安全性。

【技术实现步骤摘要】
一种新型IPsec密钥分配方法及分配系统


[0001]本专利技术属于加密技术处理领域，尤其涉及一种新型IPsec密钥分配方法及分配系统。

技术介绍

[0002]众所周知，IPSec是为了IPv4和IPv6数据报文提供高质量的、可互操作的、基于密码学安全性的协议。IPSec通过使用鉴别头(AH)和封装载荷(ESP)两种安全协议以及密钥交换协议来实现这些目标。IPSec VPN设备是一种基于Ipsec协议实现对IP网络传输数据保护的通用设备，提供数据完整性保护、数据源鉴别、载荷机密性和抗重放攻击等安全服务，主要位于网络边界，起到边界防护的功能。
[0003]传统IPSec VPN设备通常基于子网/主机进行策略配置，通过建立安全隧道保护子网/主机通信数据安全。但存在的不足是同一隧道下子网内部的所有主机或同主机内部的数据流均使用同一个密钥完成与另一站点的通信加密处理，没有区分不同主机的通信流量，特别是对于重要主机的重要应用，不能达到应有的保护级别。对于多主机、多用户、多应用之间的随机交叉通信，未能提出完善的动态密钥管理和加解密解决措施。最新的设备也有基于五元组(源IP地址、目的IP地址、源端口、目的端口以及协议)进行密钥协商并建立安全隧道，但是同一隧道下的数据流的加密密钥均是使用的同一密钥，存在的不足是最大隧道数的能力是有限的，无法支撑大容量的五元组通信加密。

技术实现思路

[0004]为了解决上述现有技术中存在的技术问题，本申请提供了一种新型IPsec密钥分配方法及分配系统。
[0005]为了达到上述目的，本专利技术的技术方案是这样实现的：
[0006]本专利技术提供了一种新型IPsec密钥分配方法，包括如下操作步骤：
[0007]步骤S10,对标准协议的头部载荷数据部分增加自定义五元组字段，并增加五元组加密密钥；
[0008]步骤S20,在原始报文IPESP明文信息进行加密时，同时利用五元组加密密钥和随机派生密钥对原始报文IPESP明文信息进行加密封装得到加密完成后的密文数据。
[0009]优选的，作为一种可实施方案；在原始报文IPESP明文信息进行加密时，同时利用五元组加密密钥和随机派生密钥对原始报文IPESP明文信息进行加密封装得到加密完成后的密文数据，具体包括如下操作：
[0010]步骤S101,VPN设备向对端VPN设备发起IPsec密钥协商请求(即协商)，判断当前发起的IPsec密钥协商请求是否成功，如果判断成功则认定完成密钥协商建立安全隧道操作，同时获取SA信息(即安全策略联盟IPsec SA)，所述SA信息中包含基础密钥，加密策略信息等相关信息；
[0011]步骤S102,在数据加密处理时，解析原始报文IPESP明文信息，对原始报文IPESP明
文信息进行分片重组得到分片后的原始报文IPESP明文信息所对应的五元组信息；获取原始报文IPESP明文信息所对应的五元组信息，由原始报文IPESP明文信息所对应的五元组信息(源IP、目的IP、源端口、目的端口、协议号)，从SA信息获取五元组加密密钥；采用五元组加密密钥将原始报文IPESP明文信息所对应的五元组信息进行隐藏保护，将五元组信息放入原始报文IPESP的头部得到第一IPESP头部信息；所述原始报文IPESP的头部包括有安全参数索引SPI、序列号SN信息、载荷数据信息，填充数据信息、填充长度信息；
[0012]步骤S103,调用SA信息中的基础密钥对原始报文IPESP明文信息所对应的五元组信息进行密钥扩展，产生新的加密密钥，将新的加密密钥定义为目标密钥；利用物理噪声源芯片随机生成IV信息，将生成的IV信息存放至第一IPESP头部基础上进而得到第二IPESP头部信息；所述第二IPESP头部新为最终封装后的IPESP头部信息；利用目标密钥对原始报文IPESP所对应的IPESP密文数据区进行加密得到待封装的加密密文信息；
[0013]步骤S104,将最终封装后的IPESP头部信息、加密密文信息汇总进行IP报文封装得到密文数据，将加密完成后的密文数据发送出去。
[0014]优选的，作为一种可实施方案；在步骤S101执行过程中，如果判断为未成功则返回继续发起IPsec密钥协商请求。
[0015]优选的，作为一种可实施方案；在步骤S104之后还包括对密文数据进行数据解密处理。
[0016]优选的，作为一种可实施方案；对密文数据进行数据解密处理，具体包括如下操作步骤：
[0017]步骤S105,在密文数据进行数据解密处理时，首先根据密文数据记载封装的最终封装后的IPESP头部信息解析到三元组信息；所述三元组信息包括安全参数索引SPI、协议号、目的IP；
[0018]步骤S106,获取三元组(安全参数索引SPI、协议号、目的IP)信息，查找SA信息并获取五元组加密密钥，从最终封装后的IPESP头部信息解析出五元组信息，利用解析后的五元组信息与SA信息中的基础密钥进行密钥扩展，获取含有所述目标密钥的解密密钥信息；
[0019]步骤S107,从最终封装后的IPESP头部信息获取IV信息，将最终封装后的IPESP头部信息、解密密钥信息汇总进行目标IP报文的解密处理，得到解密后的明文数据。
[0020]本专利技术提供了一种计算机存储介质，采用了所述的新型IPsec密钥分配方法。
[0021]本申请实施例的一种新型IPsec密钥分配方法，其对标准协议的头部载荷数据部分增加自定义五元组字段，并增加五元组加密密钥；在原始报文IPESP明文信息进行加密时，同时利用五元组加密密钥和随机派生密钥对原始报文IPESP明文信息进行加密封装得到加密完成后的密文数据。本申请实施例对标准协议的载荷字段进行改造，经过改造后的载荷字段实现了自定义五元组字段设计规则，同时设计了五元组加密密钥；这样在原始报文IPESP明文信息进行加密时，就可以按照上述标准协议的自定义五元组字段规则进行加密处理了；利用对同一条安全隧道内(即同一个标准协议的自定义五元组字段设计规则)五元组数据流的密钥分配设计，这样实现同一条安全隧道下，能够对不同的五元组数据流采用不同的安全密钥进行加解密处理；从而可以在有限的隧道资源下，实现对百万级五元组数据流及密钥数的支持。
附图说明
[0022]此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：
[0023]图1是本申请实施例的新型IPsec密钥分配方法的主要操作步骤流程图；
[0024]图2是本申请实施例的新型IPsec密钥分配方法的一具体操作步骤流程图；
[0025]图3是本申请实施例的新型IPsec密钥分配方法的再一具体操作步骤流程图。
具体实施方式
[0026]下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种新型IPsec密钥分配方法，其特征在于，包括如下操作步骤：步骤S10,对标准协议的头部载荷数据部分增加自定义五元组字段，并增加五元组加密密钥；步骤S20,在原始报文IPESP明文信息进行加密时，同时利用五元组加密密钥和随机派生密钥对原始报文IPESP明文信息进行加密封装得到加密完成后的密文数据。2.根据权利要求1所述的新型IPsec密钥分配方法，其特征在于，在原始报文IPESP明文信息进行加密时，同时利用五元组加密密钥和随机派生密钥对原始报文IPESP明文信息进行加密封装得到加密完成后的密文数据，具体包括如下操作：步骤S101,VPN设备向对端VPN设备发起IPsec密钥协商请求，判断当前发起的IPsec密钥协商请求是否成功，如果判断成功则认定完成密钥协商建立安全隧道操作，同时获取SA信息，所述SA信息中包含基础密钥；步骤S102,在数据加密处理时，解析原始报文IPESP明文信息，对原始报文IPESP明文信息进行分片重组得到分片后的原始报文IPESP明文信息所对应的五元组信息；获取原始报文IPESP明文信息所对应的五元组信息，从所述SA信息获取五元组加密密钥；采用五元组加密密钥将原始报文IPESP明文信息所对应的五元组信息进行隐藏保护，将五元组信息放入原始报文IPESP的头部得到第一IPESP头部信息；所述原始报文IPESP的头部包括有安全参数索引SPI、序列号SN信息、载荷数据信息，填充数据信息、填充长度信息；步骤S103,调用SA信息中的基础密钥对原始报文IPESP明文信息所对应的五元组信息进行密钥扩展，产生新的加密密钥，将新的加密密钥定义为目标密钥；利用物理噪声源芯片随机生成IV信息，将...

【专利技术属性】
技术研发人员：郝克林，刘笑凯，周文辉，姬胜凯，杨欢，王硕，赵城，
申请(专利权)人：中国电子信息产业集团有限公司第六研究所，
类型：发明
国别省市：