一种基于IPsec的报文传输方法和设备技术

本发明专利技术公开了一种基于IPsec的报文传输方法和设备，该方法包括：IPsec发送端设备确定数据报文，其中携带IP头、数据报文头、数据报文载荷；IPsec发送端设备将IP头、数据报文头、数据报文载荷添加到ESP报文中，并在TFC?Padding的指定字段中添加TFC?Padding和TFC?Padding的长度；IPsec发送端设备对数据报文头、数据报文载荷、TFC?Padding、TFC?Padding的长度进行IPsec处理，并经过IPsec处理后的ESP报文发送给IPsec接收端设备；IPsec接收端设备利用TFC?Padding的长度从ESP报文中删除TFC?Padding，以得到数据报文。本发明专利技术实施例中，提高了传输模式下，TFC?Padding应用场景的使用范围。

【技术实现步骤摘要】

本专利技术涉及通信
,尤其是涉及一种基于IPsec (IP Security, IP安全)的报文传输方法和设备。
技术介绍
IPsec是实现三层VPN (Virtual Private Network,虚拟专用网)的技术,通过建立IPsec隧道来传输数据报文，并在IP层提供以下安全服务:数据机密性(IPsec发送端设备在通过网络传输数据报文之前对数据报文进行加密)，数据完整性(IPsec接收端设备对数据报文进行认证，以确保数据报文在传输过程中没有被篡改)，数据来源认证(IPsec接收端设备认证IPsec发送端设备是否合法)，防重放(IPsec接收端设备检测并拒绝接收过时或重复的数据报文)。其中，IPsec提供了两种安全机制:认证机制和加密机制；认证机制可以使得IPsec接收端设备能够确认IPsec发送端设备的真实身份以及数据报文在传输过程中是否遭到篡改；加密机制通过对数据报文进行加密运算来保证数据报文的机密性，以防止数据报文在传输过程中被窃听。IPsec包括AH(Authentication Header,认证头)和ESP(Encapsulating SecurityPayload，封装安全载荷)等安全协议，并支持传输模式和隧道模式；如图1所示，在传输模式下，数据报文的发送端(主机A，即IPsec发送端设备)和接收端(主机B，即IPsec接收端设备)为数据报文的实际发送端和接收端，通常情况下，传输模式用于保护两台主机之间的数据报文传输过程。如图2所示，为传输模式下的数据报文封装示意图，在ESP封装(即将数据报文封装为ESP报文)之前，包括IP头和内部数据(数据报文头和数据报文载荷);在进行ESP封装之后，包括IP头、ESP头、内部数据和ESP尾；如图3所示，为一种ESP报文的格式示意图，其中包括ESP头、内部数据和ESP尾等。为了防止对ESP报文进行攻击，IPsec发送端设备在发送ESP报文时，需要在ESP报文中随机填充TFC (Traffic Flow Confidentiality,流信息保密)Padding (填充),且数据报文头中需要明确内部数据的长度，以使IPsec接收端设备能够将TFC Padding从ESP报文中删除；而现有技术中，大部分协议的数据报文头中均不会明确内部数据的长度，导致TFC Padding的应用场景受到限制，即在没有明确内部数据长度的应用场景下无法使用TFCPadding 技术。
技术实现思路
本专利技术实施例提供一种基于IPsec的报文传输方法和设备，以提高传输模式下，TFC Padding应用场景的使用范围。为达上述目的，本专利技术实施例提供一种基于IPsec的报文传输方法，应用于包括IPsec发送端设备和IPsec接收端设备的网络中，该方法包括以下步骤:所述IPsec发送端设备确定待发送给所述IPsec接收端设备的数据报文，所述数据报文中携带IP头、数据报文头、数据报文载荷；所述IPsec发送端设备将所述IP头、数据报文头、数据报文载荷添加到ESP报文中，并在所述ESP报文中添加TFC Padding，在所述TFC Padding的指定字段中添加TFCPadding的长度或者数据报文头与数据报文载荷的长度；所述IPsec发送端设备对所述数据报文头、数据报文载荷、TFC Padding、TFCPadding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理，并将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备；由所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度，并利用所述TFC Padding的长度从所述ESP报文中删除TFC Padding，以得到所述数据报文。所述TFC Padding的指定字段具体为:所述TFC Padding中的最后两位字节；或者，所述IPsec发送端设备与所述IPsec接收端设备之间协商的TFC Padding中的指定位铬的多个字节。本专利技术实施例提供一种基于IPsec的报文传输方法,应用于包括IPsec发送端设备和IPsec接收端设备的网络中，该方法包括以下步骤:所述IPsec接收端设备接收来自所述IPsec发送端设备的ESP报文，所述ESP报文中携带了 IP头，经过IPsec处理后的数据报文头、数据报文载荷、TFC Padding、TFCPadding的长度或者数据报文头与数据报文载荷的长度；所述IPsec接收端设备对所述数据报文头、数据报文载荷、TFC Padding、TFCPadding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理；所述IPsec接收端设备从所述TFC Padding的指定字段中获得TFC Padding的长度或者数据报文头与数据报文载荷的长度；所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度，并利用所述TFC Padding的长度从所述ESP报文中删除TFC Padding,以得到数据报文头与数据报文载荷；所述IPsec接收端设备利用所述IP头、数据报文头和数据报文载荷得到所述IPsec发送端设备需要发送给所述IPsec接收端设备的数据报文。所述IPsec接收端设备利用数据报文头与数据报文载荷的长度确定TFC Padding的长度，具体包括:所述IPsec接收端设备确定数据报文头、数据报文载荷、TFC Padding的长度之和，并确定TFC Padding的长度为数据报文头、数据报文载荷、TFC Padding的长度之和减去数据报文头与数据报文载荷的长度。所述TFC Padding的指定字段具体为:所述TFC Padding中的最后两位字节；或者，所述IPsec接收端设备与所述IPsec发送端设备之间协商的TFC Padding中的指定位铬的多个字节。本专利技术实施例提供一种IPsec发送端设备，应用于包括所述IPsec发送端设备和IPsec接收端设备的网络中，所述IPsec发送端设备具体包括:确定模块，用于确定待发送给所述IPsec接收端设备的数据报文，所述数据报文中携带IP头、数据报文头、数据报文载荷；处理模块，用于将所述IP头、数据报文头、数据报文载荷添加到ESP报文中，并在所述ESP报文中添加TFC Padding，并在所述TFC Padding的指定字段中添加TFC Padding的长度或者数据报文头与数据报文载荷的长度；以及，对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理；发送模块，用于将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备；由所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度，并利用所述TFC Padding的长度从所述ESP报文中删除TFCPadding,以得到所述数据报文。所述TFC Padding的指定字段具体为:所述TFC Padding中的最后两位字节；或者，所述IPsec发送端设备与所述IPsec接收端设备之间协商的TFC 本文档来自技高网...

【技术保护点】
一种基于IPsec的报文传输方法，应用于包括IPsec发送端设备和IPsec接收端设备的网络中，其特征在于，该方法包括以下步骤：所述IPsec发送端设备确定待发送给所述IPsec接收端设备的数据报文，所述数据报文中携带IP头、数据报文头、数据报文载荷；所述IPsec发送端设备将所述IP头、数据报文头、数据报文载荷添加到ESP报文中，并在所述ESP报文中添加TFC?Padding，在所述TFC?Padding的指定字段中添加TFC?Padding的长度或者数据报文头与数据报文载荷的长度；所述IPsec发送端设备对所述数据报文头、数据报文载荷、TFC?Padding、TFC?Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理，并将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备；由所述IPsec接收端设备利用TFC?Padding的长度或者数据报文头与数据报文载荷的长度确定TFC?Padding的长度，并利用所述TFC?Padding的长度从所述ESP报文中删除TFC?Padding，以得到所述数据报文。

【技术特征摘要】
1.一种基于IPsec的报文传输方法,应用于包括IPsec发送端设备和IPsec接收端设备的网络中，其特征在于，该方法包括以下步骤: 所述IPsec发送端设备确定待发送给所述IPsec接收端设备的数据报文，所述数据报文中携带IP头、数据报文头、数据报文载荷； 所述IPsec发送端设备将所述IP头、数据报文头、数据报文载荷添加到ESP报文中，并在所述ESP报文中添加TFC Padding,在所述TFC Padding的指定字段中添加TFC Padding的长度或者数据报文头与数据报文载荷的长度； 所述IPsec发送端设备对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理，并将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备； 由所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度，并利用所述TFC Padding的长度从所述ESP报文中删除TFCPadding,以得到所述数据报文。2.如权利要求1所述的方法，其特征在于，所述TFCPadding的指定字段具体为: 所述TFC Padding中的最后两位字节；或者， 所述IPsec发送端设备与所述IPsec接收端设备之间协商的TFC Padding中的指定位铬的多个字节。3.一种基于IPsec的报文传输方法,应用于包括IPsec发送端设备和IPsec接收端设备的网络中，其特征在于，该方法包括以下步骤: 所述IPsec接收端设备接收来自所述IPsec发送端设备的ESP报文，所述ESP报文中携带了 IP头，经过IPsec处理后的数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度； 所述IPsec接收端设备对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理； 所述IPsec接收端设备从所述TFC Padding的指定字段中获得TFCPadding的长度或者数据报文头与数据报文载荷的长度； 所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度，并利用所述TFC Padding的长度从所述ESP报文中删除TFCPadding,以得到数据报文头与数据报文载荷； 所述IPsec接收端设备利用所述IP头、数据报文头和数据报文载荷得到所述IPsec发送端设备需要发送给所述IPsec接收端设备的数据报文。4.如权利要求3所述的方法，其特征在于，所述IPsec接收端设备利用数据报文头与数据报文载荷的长度确定TFC Padding的长度，具体包括: 所述IPsec接收端设备确定数据报文头、数据报文载荷、TFC Padding的长度之和，并确定TFC Padding的长度为数据报文头、数据报文载荷、TFC Padding的长度之和减去数据报文头与数据报文载荷的长度。5.如权利要求3或4所述的方法，其特征在于，所述TFCPadding的指定字段具体为: 所述TFC Padding中的最后两位字节；或者， 所述IPsec接收端设备与所述IPsec发送端...

【专利技术属性】
技术研发人员：杨超，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：