本发明专利技术公开了一种对网络报文安全封装的方法,其包括:产生应用层报文;封装头,产生一随机数作为初始序列号,每发送一个报文序列号加1,并将序列号以及报文长度字节作为封装头附加到报文最前面;负载填充,其最后一字节表示填充长度;对报文加密,将应用层报文以及后面的附加填充字段一起用加密算法和加密密钥进行加密运算;消息认证码计算,将完整性检测的会话密钥附加到封装头前面对整个报文进行哈希计算,并将输出字节附加到填充字段后面,作为报文消息认证码;将安全封装后的信令报文封装IP/UDP或TCP头进行发送。本发明专利技术方法由于采用应用层封装方式,所以与网络地址转换设备NAT无关,不存在NAT友好性问题,增强了安全性。
【技术实现步骤摘要】
一种对网络报文安全封装的方法
本专利技术涉及一种报文封装的方法,尤其涉及的是,一种实现对网络报文进行安全封装的方法。
技术介绍
在下一代网络NGN及IP多媒体子系统IMS等各种基于分组网的业务网络架构中,报文的安全性是一个基本的需求,应当有一种手段可以为网络报文提供源认证、完整性、机密性和防重放等安全特性。这些特性一般采用各种签名、哈希、加密安全算法获得,但以什么方式组合这些基本安全算法,可以达到最好的安全性,可以满足特定的应用环境是现有技术没有公开的。对网络报文进行安全封装,目前采用的普遍有两种方法:网络层安全技术IPsec以及传输层安全技术TLS技术;但他们的应用都有一定的局限性,特别是在NGN以及IMS等基于分组网的业务网络中,以下分别加以说明,以使现有技术的缺陷一目了然。在采用IPsec ESP(RFC 2406、RFC 2402)的方法中,由于目前业界网络层的安全协议就是IPSec,在许多应用协议安全保护中都提到了通过在网络层应用IPSec解决协议通信过程中的安全问题,在业界NGN的安全方案,也提到通过IPSec来解决NGN的网络安全问题。IPSec是由IETF的安全协议工作组制定的一个关于IP安全和密钥管理的协议,以确保在IP协议层上保证数据分组在Internet网络中具有互操作性、高可靠性和基于密码技术的安全服务标准,提供访问控制、无连接完整性、数据源鉴别、负荷机密性等安全服务。IPSec的体系如图1所示,由两种通信安全协议:验证头AH和安全载-->荷封装ESP,以及密钥交换管理协议-Internet密钥交换IKE和支撑的安全策略与联盟数据库组成:所述验证头AH将每个数据报中的数据和一个变化的数字签名结合起来,共同验证报文发送方身份,使得通信一方能确认发送数据方的身份,并能够确认数据在传输过程中数据有没有被篡改,同时协议机制能提供防重放攻击保护,但不提供报文数据加密服务。所述安全载荷封装ESP提供了一种对IP报文负荷进行加密的机制,使得网络监听者即便能捕获报文,也无法获取其中的数据信息,同时提供验证头AH所能提供的源验证服务、完整性保护、防重放攻击保护等功能。所述密钥管理采用IKE,这是一种分散式的功能强大的、灵活的密钥管理协商协议,提供安全可靠的算法和密钥协商,帮助网络不同节点之间达成安全的通信的协定,包括认证方法、加密方法、采样的密钥、密钥的生存时间,以及安全的密钥交换等等。所述安全策略SP和安全联盟SA数据库则为IPSec应用的基础,定义了对每一个流的安全策略即是否应用IPSec,若应用安全策略,则给出相应的安全联盟索引,而SA则给出了对应于IPSec应用时,使用的安全协议、工作模式、加密/认证算法、密钥以及密钥的生存期等参数。解释域DOI则定义了安全联盟所对应的协议及该协议所对应的安全联盟参数内容,此处则为IPSec域。根据上面的描述,现有技术的IPSec工作模式中,IPSec提供两种工作模式:传送模式和隧道模式。传送模式仍然使用报文原有的明文IP头作为应用IPSec后的IP头,保留了原报文的IP头信息,即源、目的地址不变,所有安全相关的信息包括在AH/ESP的协议头中;隧道模式则对整个原始IP报文进行IPSec处理,并用具有IPSec功能设备自己的地址作为源地址、对端具有IPSec功能设备的地址作为目的地址加入到新的头中,对原始报文进行IPSec处理后的安全相关信息位于AH/ESP头中。通常传传输模式用于主-->机设备之间的传送,而隧道模式更适合于网络设备之间应用完成多个主机之间的安全交互。但现有技术的IPsec具有以下缺陷:其应用存在严重的与NAT的友好性问题,而在实际的网络环境中存在很多的NAT设备。IPsec的UDP封装可以解决NAT问题,但通信设备必须采用支持NAT穿越的IKE版本(相当于IKEv2),而且密钥协商或安全联盟建立需要通过IKE来完成,不支持手工配置方式来建立安全联盟,或其它应用层的安全联盟建立方式,如3GPP规范中定义的IMS AKA安全联盟建立方式。其实现过于复杂,要求通信设备双方定期发送NAT保活报文,确保NAT设备上的NAT表项不被老化。在采用TLS(RFC 2246)的方法中,该安全协议是建立在传输层协议TCP的基础之上,为上层的应用协议提供安全保障,典型的基于TCP的传输层协议包括SSL和PCT协议,为了避免协议的混乱、以及协议的扩展性和兼容性,目前上述协议已发展为统一的IETF标准-传输层安全协议TLS。在很多协议的标准中都提到了通过TLS来保证协议通信的安全。TLS提供基于PKI公钥架构下的安全服务,包括单向或双向的身份认证,要求服务器提供证书,客户端证书可选或者通过客户端输入用户名/口令方式来进行认证,同时提供报文的保密性服务。TLS协议由两层构成,底层的TLS Record协议和高层的TLS Handshake协议,其中TLS Handshake协议又包括三个子协议:TLS握手协议、TLS密码变化协议和TLS告警协议。所述TLS Record协议提供分段、压缩、数据认证和加密功能,用于加密封装各种更高级的应用层协议,如HTTP、SIP等,建立在可靠的传输协议(如TCP)之上,通过对称加密算法对应用层报文加密提供机密性服务和报文验证算法提供报文完整性服务来一起提供连接的安全性保证,整个记录协议处理过程为现有技术所公开,在此不再赘述。所述TLS Handshake协议:实现客户和服务器之间的一方(主要对服务器)或双向认证,协商记录协议中用到的加密算法和密钥及验证算法和密钥,协-->商得到的会话参数供记录协议为多个连接重复使用,避免每个连接协商新的会话参数所带来的开销。同时协议保证协商过程是可靠的及协商得到的共享密钥是安全的。但是采用TLS,身份认证密钥协商与报文安全封装被强制相关,使得应用非常不灵活,另外TLS身份认证和密钥协商流程非常复杂,开销较大。在很多情况下并不需要这么复杂的认证过程。其次,采用TLS只能用于TCP环境中,而目前UDP应用将越来越广泛,特别是NGN、IMS环境下,大部分协议将采用UDP协议,造成无法利用TLS的安全机制。而且,其不支持手工配置方式来建立安全联盟,或其它应用层的安全联盟建立方式,如3GPP规范中定义的IMS AKA安全联盟建立方式。因此,现有技术存在缺陷,而有待于继续改进和发展。
技术实现思路
本专利技术的目的在于提供一种对网络报文安全封装的方法,实现网络报文的独立安全封装,可以非常灵活的应用;同时也不存在NAT穿越问题,其与传输层协议无关,无论TCP还是UDP都可适用。本专利技术的技术方案包括:一种对网络报文安全封装的方法,其包括以下步骤:A、产生应用层报文;B、封装头,产生一随机数作为初始序列号,每发送一个报文序列号进行变化,并将序列号以及报文长度字节作为封装头附加到报文中;C、负载填充;D、对报文加密,将应用层报文以及后面的附加填充字段一起用加密算法和加密密钥进行加密运算;E、消息认证码计算,将完整性检测的会话密钥附加到封装头前面对整个报文进行哈希计算,并将输出字节附加到填充字段后面,作为报文消息认-->证码;F、将安全封装后的信令报文封装IP/UDP头进行发送。所述的方法,其中,所述步骤本文档来自技高网...
【技术保护点】
一种对网络报文安全封装的方法,其包括以下步骤:A、产生应用层报文;B、封装头,产生一随机数作为初始序列号,每发送一个报文序列号进行变化,并将序列号以及报文长度字节作为封装头附加到报文中;C、负载填充;D、对报 文加密,将应用层报文以及后面的附加填充字段一起用加密算法和加密密钥进行加密运算;E、消息认证码计算,将完整性检测的会话密钥附加到封装头前面对整个报文进行哈希计算,并将输出字节附加到填充字段后面,作为报文消息认证码;F、将安全 封装后的信令报文封装IP/UDP或TCP头进行发送。
【技术特征摘要】
1、一种对网络报文安全封装的方法,其包括以下步骤:A、产生应用层报文;B、封装头,产生一随机数作为初始序列号,每发送一个报文序列号进行变化,并将序列号以及报文长度字节作为封装头附加到报文中;C、负载填充;D、对报文加密,将应用层报文以及后面的附加填充字段一起用加密算法和加密密钥进行加密运算;E、消息认证码计算,将完整性检测的会话密钥附加到封装头前面对整个报文进行哈希计算,并将输出字节附加到填充字段后面,作为报文消息认证码;F、将安全封装后的信令报文封装IP/UDP或TCP头进行发送。2、根据权利要求1所述的方法,其特征在于,所述步骤D的加密不对封装头进行,并且所述会话密钥只参与报文哈希计算,不作为报文的一部分。3、根据权利要求1所述的方法,其特征在于,所述步骤D的加密算法为AES算法。4、根据权利要求1所述的方法,其特征在于,所述步骤B中的变化为在每发送一个报文...
【专利技术属性】
技术研发人员:刘利锋,郑志彬,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。