CN101232519A - 基于IPSec协议的无线IP网络可变区域通信方法 - Google Patents
基于IPSec协议的无线IP网络可变区域通信方法 Download PDFInfo
- Publication number
- CN101232519A CN101232519A CNA2008100640233A CN200810064023A CN101232519A CN 101232519 A CN101232519 A CN 101232519A CN A2008100640233 A CNA2008100640233 A CN A2008100640233A CN 200810064023 A CN200810064023 A CN 200810064023A CN 101232519 A CN101232519 A CN 101232519A
- Authority
- CN
- China
- Prior art keywords
- ipsec
- packet
- security
- information
- security association
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于IPSec协议的无线IP网络可变区域通信方法,它涉及到一种无线IP网络的通信方法。它解决了现有无线通信方法中的性能增强技术与网络层安全协议之间存在矛盾、互不兼容的问题。它将待发送的IP数据包根据IPSec协议的规则划分成多个区域生成IPSec数据包,所述多个区域的区域映射均封装在ESP报头中,多个区域中分别设定有不同等级的安全关联信息;发送终端和接收终端包含所有区域的安全关联信息,传递数据路径中经认证的性能增强中间节点中只包含有安全策略允许的部分区域的安全关联信息。本发明的方法能够保证网络层端到端安全,还支持传输层TCP增强网关以及应用层HTTP加速代理的安全协议,它能够应用到卫星IP网络通信和地面无线类似信道条件环境中。
Description
技术领域:
本发明涉及到一种无线IP网络的通信方法,具体涉及到基于IPSec协议在无线IP网络通信中的应用方法。
背景技术:
无线网络链路具有传播延时长、带宽延迟积大、链路误码率较高、上下行带宽不对称等特性,这在静止轨道卫星接入Internet方面显得尤为突出。
这些特性导致了在地面Internet得到广泛使用且能保障端对端可靠传输的TCP协议在应用于无线网络时会产生严重的性能恶化。具体体现在:TCP差错控制机制功能薄弱,TCP协议无法区分网络拥塞造成的数据包丢失和误码造成的数据包丢失之间的不同,只能毫无区别地采用减小拥塞窗口尺寸的方法进行处理,从而严重影响了网络吞吐率;传播延时长的特性致使获取TCP确认信息和慢启动缓慢。
在改善无线IP网络TCP性能的各种方案中,TCP欺骗代理是一种相对有效且应用广泛的解决方法。欺骗代理需要检测传输经过的每个数据包TCP报头,并对数据包进行缓存。它在不需要了解TCP接收方是否收到数据,且不需要等待接收方ACK(确认信号)的情况下,提前对TCP发送方发出与接收方完全相同的ACK信息,缩短了RTT(往返时间),加快了慢启动速度。当接收方真正的ACK到来时,欺骗代理将中止真正的ACK,并将缓存中的数据包清除;若数据包在向接收方传输的过程中丢失,欺骗代理将从缓存中将数据包提取出来重新对接收方发送。无线网络中也应用HTTP(超文本传输协议)加速代理来加快Web浏览请求的响应速度。
IPSec(IP层安全协议)是为Internet通信提供安全服务的一组标准协议,它以端到端方式为整个IP数据包提供有力的安全保护。随着IPSec的发展,Internet网络中出现了越来越多的IPSec服务和支持IPSec的服务器。IPSec为未来的全IP无线网络提供保障网络层安全的手段。然而,在网络层保障端对端安全的IPSec与提出的TCP性能增强代理技术和HTTP加速代理技术相互冲突。对于应用TCP欺骗代理的无线网络,在IPSec传输模式下,欺骗代理无法访问经过加密的TCP报头端口信息和序列号信息;在IPSec隧道模式下,欺骗代理甚至连原始IP地址也无法访问。因此,TCP欺骗代理在IPSec端到端的保护下丧失了执行性能增强功能。对于HTTP加速功能,应用层数据被端到端加密,HTTP加速代理无法检索链接对象地址,加速功能也无法实现。
为了解决这一问题,传统方法包含了使用传输层安全机制替代IPSec、网络层IPSec套嵌传输层安全机制和使用传输层友好的ESP(封装安全载荷)协议。这些方法不是限制了安全协议的保护范围,就是安全协议的实现过于复杂,难以实际应用。目前,还缺乏性能增强技术与网络层安全协议矛盾的根本性解决方法。
发明内容:
本发明的目的在于解决现有无线通信方法中的性能增强技术与网络层安全协议之间存在矛盾、互不兼容的问题,而提供一种基于IPSec协议的无线IP网络可变区域通信方法。
基于IPSec协议的无线IP网络可变区域通信方法是:
将待发送的IP数据包根据IPSec协议的规则划分成多个区域生成IPSec数据包,所述多个区域的区域映射均封装在ESP报头中,所述多个区域中分别设定有不同等级的安全关联信息;每个加密区域的区域映射信息中包括IP数据包的区域数量、区域编号和所映射区域长度的信息;
数据的发送端点和接收端点中包含每个IPSec数据包中的所有区域的安全关联信息,能够解读IPSec数据包中的所有数据信息;
传递数据路径中的普通中间节点不包含IPSec数据包中的任何安全关联信息,只能解读IPSec数据包的报头以及明文部分数据;
传递数据路径中的经认证的性能增强中间节点中只包含有安全策略允许的部分区域的安全关联信息,能够解读IPSec数据包中的部分加密数据。
本发明的区域映射不在安全关联信息中被定义,而是在封装ESP报头中定义,并跟随数据包进行传输。在发送方与接收方信息流传输的过程中,根据数据包信息的变化和安全级别对区域个数和每个区域的范围进行调整,使可变区域的IPSec数据包实现了灵活的动态区域。传输的每个数据包的区域映射都可以不同,收发两端包含所有区域的安全关联信息,普通节点中没有数据包中的任何安全关联信息,而经认证的性能增强中间节点只包含安全策略允许的对无线网络性能增强有意义的部分区域安全关联信息,实现性能增强的功能。
本发明能够在利用IPSec保障端对端安全的同时,还达到TCP性能增强与HTTP传输加速的目的。
附图说明
图1是具体实施方式二所述的传输模型图;图2是具体实施方式二所述可变区域IPSec数据包的ESP报头结构示意图;图3是具体实施方式三所述的复合型安全关联构造示意图;图4具体实施方式二所述的发送终端对IP数据包的输出处理流程图;图5具体实施方式二所述的接收终端对可变区域IPSec数据包的输入处理流程图;图6具体实施方式二所述的性能增强节点对可变区域IPSec数据包的处理流程图。
具体实施方式
具体实施方式一:本实施方式所述的基于IPSec协议的无线IP网络可变区域通信方法是:
将待发送的IP数据包根据IPSec协议的规则划分成多个区域生成IPSec数据包,所述多个区域的区域映射均封装在ESP报头中,所述多个区域中分别设定有不同等级的安全关联信息;每个加密区域的区域映射信息中包括IP数据包的区域数量、区域编号和所映射区域长度的信息;
数据的发送端点和接收端点中包含每个IPSec数据包中的所有区域的安全关联信息,能够解读IPSec数据包中的所有数据信息;
传递数据路径中的普通中间节点不包含IPSec数据包中的任何安全关联信息,只能解读IPSec数据包的报头以及明文部分数据;
传递数据路径中的经认证的性能增强中间节点中只包含有安全策略允许的部分区域的安全关联信息,能够解读IPSec数据包中的部分加密数据。
具体实施方式二:本实施方式与具体实施方式一所述的基于IPSec协议的无线IP网络可变区域通信方法的区别在于,将待发送的IP数据包根据IPSec协议的规则划分成两个区。
设定应用层为HTTP协议,包含HTML(超文本标记语言)描述的Web页面信息,则本实施方式所述的传输模型图参见图1,该模型由IP数据包发送终端1,两个不被信任的中间节点2、4,经认证授权的性能增强网关3和接收终端5组成。在这个传输模式模型中,待发送的IP数据包划分为两个区域,区域一包含了TCP报头和长度可变的HTML对象链接,区域一安全关联信息信息被发送终端1、经认证授权的性能增强网关3和接收终端5三方共享;区域二包含的是HTML基本页面源代码,区域二安全关联信息信息只有发送终端1和接收终端5两端共享。在发送终端1,将两个安全关联信息加入到IP数据包中,形成带有两个区域的IPSec数据包,不被信任的普通中间节点2、4只能读取到IPSec数据包中没有被加密的IP报头和IPSec报头部分的信息。经认证授权的性能增强网关3有IPSec数据包中区域一安全关联信息信息,所以还能够解读TCP报头和可变长的HTML目标链接信息;接收终端5有与发送终端1相同的安全关联信息,能够将IPSec数据包解密之后获得发送终端发送的IP数据包的信息。
本实施方式的基于IPSec协议的无线IP网络可变区域通信方法通过为IP数据包提供有效的分层访问控制,实现了性能增强网关的功能,而且这种方式能够被安全策略所接受。
本实施方式所述的IPSec数据包的ESP报头的结构参见图2所示,ESP报头由安全参数索引6、序列号7、区域一映射信息8、区域一加密载荷数据9、区域一填充10、区域二映射信息11、区域二加密载荷数据12、区域二填充13、区域一的完整性校验数据14和区域二的完整性校验数据15组成。在IPSec标准协议中,区域映射信息是在安全关联信息SA中定义的,为了使区域动态可变,本实施方式所述的区域映射信息封装在ESP报头中,即在每个加密区域前添加了4个字节的区域映射信息,这4个字节包含了IP数据包的区域数量(占1个字节)、区域编号(占1个字节)和每个区域的长度(占2个字节,长度数按字节计数)。
采用本实施方式所述的基于IPSec协议的无线IP网络可变区域通信方法进行数据传送,发送终端1对IP数据包的处理过程参见图4,具体为:
根据动态区域映射信息33对输出IP数据包18进行区域映射处理,将输出IP数据包18划分成区域一明文20和区域二明文21;
分别根据区域一安全关联信息24、区域二安全关联信息25的加密算法及相关密钥对区域一明文20、区域二明文21进行加密,分别生成区域一密文26和区域二密文27;
分别根据区域一安全关联信息24、区域二安全关联信息25的完整性验证算法及相关密钥对区域一密文26和区域二密文27进行完整性验证,获得区域一完整性校验值30和区域二完整性校验值31;
将区域一完整性校验值30和区域二完整性校验值31合并成ESP完整性验证信息32;
根据动态区域映射信息33获得区域一和区域二的信息结合后的两区域ESP负载数据和完整性校验信息拼装后的IPSec数据包34。
本实施方式中,接收终端5的数据处理过程参见图5,具体为:
从接收到的可变区域IPSec数据包34的区域一映射信息与区域二映射信息中提取出数据包的动态区域映射信息33;
分别根据区域一安全关联信息24和区域二安全关联信息25中的完整性验证算法和相关密钥对区域一密文26和区域二密文27进行完整性校验,将得到的两个完整性校验值分别与接收到的IPSec数据包34末尾处携带的完整性校验信息中的区域一完整性校验值30和区域二完整性校验值31进行比较,如果不相同,则完整性校验失败,丢弃此数据包;否则,分别根据区域一安全关联信息24和区域二安全关联信息25中的加密算法和相关密钥对区域一密文26与区域二密文27进行解密,获得区域一明文20和区域二明文21;
根据动态区域映射信息33对区域一明文20和区域二明文21进行区域映射处理,最终得到IP数据18。
在本实施方式中,假定用于性能增强的数据存在于区域一中,性能增强网关3接收到的可变区域IPSec数据包34后对数据的处理过程参见图6,具体为:
根据提取出动态区域映射信息33,分离出区域一密文26和区域一完整性验证信息30,根据性能增强网关的安全关联信息24中的完整性校验算法与相关密钥对区域一密文26进行完整性校验获得完整性校验值,比较所述完整性校验值和从可变区域IPSec数据包34中分离出的区域一完整性校验值30,如果不同,则校验失败,丢弃此数据包;否则,根据性能增强网关的安全关联信息24中的加密算法和相关密钥对区域一密文26进行解密,获得区域一明文20,并根据所述区域一明文20进行性能增强功能的实现。
具体实施方式三:本实施方式与具体实施方式一或二所述的基于IPSec协议的无线IP网络可变区域通信方法的区别在于,所述安全关联信息是区域复合安全关联信息CSA,所述区域复合安全关联信息CSA是将原有多个区域安全关联信息中相同的信息放到一起作为区域复合安全关联信息的公用参数,而将多个区域安全关联信息中不相同的信息作为区域安全关联信息的私有参数,其中所述公用参数可以包括序列号计数器、序列号溢出计数器、协议模式、抗重播攻击窗口等信息。
本实施方式采用了区域复合安全关联信息CSA,每个IP数据包的区域数量可以与收发节点的符合安全关联信息CSA中的安全关联信息SA数量不一致,因为区域复合安全关联CSA建立之后,对某些突发的保密级别高的数据,安全策略宁愿牺牲网络传输性能,也不允许任何中间节点对IP包的局部区域进行访问,在这种情况下,可变区域IPSec可以灵活地改变区域数量,利用区域编号对复合安全关联信息CSA中所需的安全关联信息SA进行索引。在一些极端的情况,可变区域IPSec甚至可以平滑地转换为传统的单一区域的IPSec来保证网络层安全性。值得注意的是,区域编号必须与CSA的区域列表编号严格匹配,并起到索引作用。区域映射信息在IP数据包传输的任何阶段都是以明文形式存在,必须参与区域的完整性校验。
可变区域IPSec复合型安全关联中去除了区域映射的信息,并将安全关联参数划分为共用参数与区域安全关联私有参数两类。这种划分使序列号计数器、序列号溢出计数器等共用参数不被某一特定区域独有,而是被各个区域共同拥有。根据安全级别的需要,选择复合安全关联信息CSA中一种区域的参数就可以实现原始IPSec,可变区域IPSec以这种方式具备了动态兼容IPSec的能力。在IPSec中,接收终端需要用SPI、目的地址和协议三者组成的字元组来从安全关联数据库SADB中唯一地标识出SA。而在可变区域IPSec中,在上述提到的字元组确定出SA之后,需要进一步利用区域编号来对区域进行索引。
当区域数为两个,并且性能增强节点中包含区域一安全关联信息信息时,在发送终端和接收终端,区域复合安全关联信息的结构参见图3中左侧一列所示,区域复合安全关联信息包括区域列表、公用部分、区域一安全关联信息和区域二安全关联信息,在数据传输路径中的性能增强节点读取的安全关联信息参见图3中的右侧一列所示,包括区域列表、公用部分和区域一安全关联信息组合后的安全关联信息。
对于性能增强网关的CSA,如图3所示,仅仅划分了一个区域,用来实现欺骗性能增强和HTTP加速的功能,对应的安全关联是SA1。SA1的完整性验证算法采用了4字节摘要的加密杂凑算法HMAC-MD5-32,目的在于减小开销。在更注重安全性的场合,应当应用标准HMAC-MD5-96。
Claims (2)
1.基于IPSec协议的无线IP网络可变区域通信方法,其特征在于它的具体过程是:
将待发送的IP数据包根据IPSec协议的规则划分成多个区域生成IPSec数据包,所述多个区域的区域映射均封装在ESP报头中,所述多个区域中分别设定有不同等级的安全关联信息;每个加密区域的区域映射信息中包括IP数据包的区域数量、区域编号和所映射区域长度的信息;
数据的发送端点和接收端点中包含每个IPSec数据包中的所有区域的安全关联信息,能够解读IPSec数据包中的所有数据信息;
传递数据路径中的普通中间节点不包含IPSec数据包中的任何安全关联信息,只能解读IPSec数据包的报头以及明文部分数据;
传递数据路径中的经认证的性能增强中间节点中只包含有安全策略允许的部分区域的安全关联信息,能够解读IPSec数据包中的部分加密数据。
2.根据权利要求1所述的基于IPSec协议的无线IP网络可变区域通信方法,其特征在于所述安全关联信息是复合安全关联信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100640233A CN101232519A (zh) | 2008-02-22 | 2008-02-22 | 基于IPSec协议的无线IP网络可变区域通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100640233A CN101232519A (zh) | 2008-02-22 | 2008-02-22 | 基于IPSec协议的无线IP网络可变区域通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101232519A true CN101232519A (zh) | 2008-07-30 |
Family
ID=39898691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100640233A Pending CN101232519A (zh) | 2008-02-22 | 2008-02-22 | 基于IPSec协议的无线IP网络可变区域通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101232519A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997835B (zh) * | 2009-08-10 | 2014-02-19 | 北京多思科技发展有限公司 | 网络安全通讯方法、数据安全处理装置和用于金融的系统 |
| CN104202311A (zh) * | 2014-08-19 | 2014-12-10 | 中国人民解放军理工大学 | 用于卫星信道的多层IPSec动态分区表设计方法 |
| CN105940644A (zh) * | 2013-12-02 | 2016-09-14 | 阿卡麦科技公司 | 在保持端对端数据安全的同时具有分发优化的虚拟专用网络(vpn)即服务 |
| CN110311921A (zh) * | 2019-07-11 | 2019-10-08 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
| CN111669842A (zh) * | 2013-12-13 | 2020-09-15 | 艾姆巴奇公司 | 用于连结混合的蜂窝网络和非蜂窝网络的方法和系统 |
-
2008
- 2008-02-22 CN CNA2008100640233A patent/CN101232519A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997835B (zh) * | 2009-08-10 | 2014-02-19 | 北京多思科技发展有限公司 | 网络安全通讯方法、数据安全处理装置和用于金融的系统 |
| CN105940644A (zh) * | 2013-12-02 | 2016-09-14 | 阿卡麦科技公司 | 在保持端对端数据安全的同时具有分发优化的虚拟专用网络(vpn)即服务 |
| US10270809B2 (en) | 2013-12-02 | 2019-04-23 | Akamai Technologies, Inc. | Virtual private network (VPN)-as-a-service with delivery optimizations while maintaining end-to-end data security |
| CN105940644B (zh) * | 2013-12-02 | 2019-11-12 | 阿卡麦科技公司 | 在保持端对端数据安全的同时具有分发优化的虚拟专用网络(vpn)即服务 |
| CN111669842A (zh) * | 2013-12-13 | 2020-09-15 | 艾姆巴奇公司 | 用于连结混合的蜂窝网络和非蜂窝网络的方法和系统 |
| CN111669842B (zh) * | 2013-12-13 | 2023-08-15 | 艾姆巴奇公司 | 用于连结混合的蜂窝网络和非蜂窝网络的方法和系统 |
| US11832097B2 (en) | 2013-12-13 | 2023-11-28 | M87, Inc. | Methods and systems and secure connections for joining wireless networks |
| CN104202311A (zh) * | 2014-08-19 | 2014-12-10 | 中国人民解放军理工大学 | 用于卫星信道的多层IPSec动态分区表设计方法 |
| CN104202311B (zh) * | 2014-08-19 | 2018-04-03 | 中国人民解放军理工大学 | 用于卫星信道的多层IPSec动态分区表设计方法 |
| CN110311921A (zh) * | 2019-07-11 | 2019-10-08 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
| CN110311921B (zh) * | 2019-07-11 | 2022-02-25 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rhee | Internet security: cryptographic principles, algorithms and protocols | |
| US10033843B2 (en) | Network device and method for processing a session using a packet signature | |
| US7113996B2 (en) | Method and system for secured transport and storage of data on a network | |
| US7143282B2 (en) | Communication control scheme using proxy device and security protocol in combination | |
| CN202206418U (zh) | 流量管理设备、系统和处理器 | |
| CN103929299B (zh) | 地址即公钥的自安全轻量级网络报文传输方法 | |
| US20060090074A1 (en) | Encryption communication system | |
| Lu et al. | Delay/disruption tolerant network and its application in military communications | |
| Thornburgh | Adobe's Secure Real-Time Media Flow Protocol | |
| Mazurczyk et al. | Evaluation of steganographic methods for oversized IP packets | |
| CN101232519A (zh) | 基于IPSec协议的无线IP网络可变区域通信方法 | |
| CN109005179A (zh) | 基于端口控制的网络安全隧道建立方法 | |
| CN103053143A (zh) | 用于通过ip网络的安全通信的方法和装置 | |
| CN102027726B (zh) | 用于控制数据分组的路由的方法和设备 | |
| CN106130725B (zh) | 量子密钥分发网络端到端瓶颈密钥速率的测量方法 | |
| Chen et al. | Secure communication channel establishment: TLS 1.3 (over TCP fast open) versus QUIC | |
| Lastinec et al. | A study of securing in-vehicle communication using IPSEC protocol | |
| Leshov et al. | Content name privacy in tactical named data networking | |
| Zhang et al. | Research on the protocols of vpn | |
| Caini et al. | Satellite communications: from PEPs to DTN | |
| Itani et al. | Slow but certain wins the race: authenticated bundle communication in delay tolerant networks | |
| CN108768998A (zh) | 一种基于ssl加密的智能无线通讯系统 | |
| Gulzar et al. | Implementation of ipsec on performance enhancing proxies for long distance wireless and satellite networks | |
| Thanthry et al. | A novel mechanism for improving performance and security of tcp flows over satellite links | |
| KR100522090B1 (ko) | IPv6 계층에서의 패킷 보호 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080730 |