【技术实现步骤摘要】
本专利技术涉及通信
,尤其是涉及一种基于IPsec (IP Security, IP安全)的报文传输方法和设备。
技术介绍
IPsec是实现三层VPN (Virtual Private Network,虚拟专用网)的技术,通过建立IPsec隧道来传输数据报文,并在IP层提供以下安全服务:数据机密性(IPsec发送端设备在通过网络传输数据报文之前对数据报文进行加密),数据完整性(IPsec接收端设备对数据报文进行认证,以确保数据报文在传输过程中没有被篡改),数据来源认证(IPsec接收端设备认证IPsec发送端设备是否合法),防重放(IPsec接收端设备检测并拒绝接收过时或重复的数据报文)。其中,IPsec提供了两种安全机制:认证机制和加密机制;认证机制可以使得IPsec接收端设备能够确认IPsec发送端设备的真实身份以及数据报文在传输过程中是否遭到篡改;加密机制通过对数据报文进行加密运算来保证数据报文的机密性,以防止数据报文在传输过程中被窃听。IPsec包括AH(Authentication Header,认证头)和ESP(Encapsulating SecurityPayload,封装安全载荷)等安全协议,并支持传输模式和隧道模式;如图1所示,在传输模式下,数据报文的发送端(主机A,即IPsec发送端设备)和接收端(主机B,即IPsec接收端设备)为数据报文的实际发送端和接收端,通常情况下,传输模式用于保护两台主机之间的数据报文传输过程。如图2所示,为传输模式下的数据报文封装示意图,在ESP封装(即将数据报文封装为ESP报文)之前,包括IP头和内 ...
【技术保护点】
一种基于IPsec的报文传输方法,应用于包括IPsec发送端设备和IPsec接收端设备的网络中,其特征在于,该方法包括以下步骤:所述IPsec发送端设备确定待发送给所述IPsec接收端设备的数据报文,所述数据报文中携带IP头、数据报文头、数据报文载荷;所述IPsec发送端设备将所述IP头、数据报文头、数据报文载荷添加到ESP报文中,并在所述ESP报文中添加TFC?Padding,在所述TFC?Padding的指定字段中添加TFC?Padding的长度或者数据报文头与数据报文载荷的长度;所述IPsec发送端设备对所述数据报文头、数据报文载荷、TFC?Padding、TFC?Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理,并将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备;由所述IPsec接收端设备利用TFC?Padding的长度或者数据报文头与数据报文载荷的长度确定TFC?Padding的长度,并利用所述TFC?Padding的长度从所述ESP报文中删除TFC?Padding,以得到所述数据报文。
【技术特征摘要】
1.一种基于IPsec的报文传输方法,应用于包括IPsec发送端设备和IPsec接收端设备的网络中,其特征在于,该方法包括以下步骤: 所述IPsec发送端设备确定待发送给所述IPsec接收端设备的数据报文,所述数据报文中携带IP头、数据报文头、数据报文载荷; 所述IPsec发送端设备将所述IP头、数据报文头、数据报文载荷添加到ESP报文中,并在所述ESP报文中添加TFC Padding,在所述TFC Padding的指定字段中添加TFC Padding的长度或者数据报文头与数据报文载荷的长度; 所述IPsec发送端设备对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理,并将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备; 由所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFC Padding的长度从所述ESP报文中删除TFCPadding,以得到所述数据报文。2.如权利要求1所述的方法,其特征在于,所述TFCPadding的指定字段具体为: 所述TFC Padding中的最后两位字节;或者, 所述IPsec发送端设备与所述IPsec接收端设备之间协商的TFC Padding中的指定位铬的多个字节。3.一种基于IPsec的报文传输方法,应用于包括IPsec发送端设备和IPsec接收端设备的网络中,其特征在于,该方法包括以下步骤: 所述IPsec接收端设备接收来自所述IPsec发送端设备的ESP报文,所述ESP报文中携带了 IP头,经过IPsec处理后的数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度; 所述IPsec接收端设备对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理; 所述IPsec接收端设备从所述TFC Padding的指定字段中获得TFCPadding的长度或者数据报文头与数据报文载荷的长度; 所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFC Padding的长度从所述ESP报文中删除TFCPadding,以得到数据报文头与数据报文载荷; 所述IPsec接收端设备利用所述IP头、数据报文头和数据报文载荷得到所述IPsec发送端设备需要发送给所述IPsec接收端设备的数据报文。4.如权利要求3所述的方法,其特征在于,所述IPsec接收端设备利用数据报文头与数据报文载荷的长度确定TFC Padding的长度,具体包括: 所述IPsec接收端设备确定数据报文头、数据报文载荷、TFC Padding的长度之和,并确定TFC Padding的长度为数据报文头、数据报文载荷、TFC Padding的长度之和减去数据报文头与数据报文载荷的长度。5.如权利要求3或4所述的方法,其特征在于,所述TFCPadding的指定字段具体为: 所述TFC Padding中的最后两位字节;或者, 所述IPsec接收端设备与所述IPsec发送端...
【专利技术属性】
技术研发人员:杨超,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。