CN102710487B - 一种基于esp技术封装的精简网络数据流量的方法 - Google Patents
一种基于esp技术封装的精简网络数据流量的方法 Download PDFInfo
- Publication number
- CN102710487B CN102710487B CN 201210164677 CN201210164677A CN102710487B CN 102710487 B CN102710487 B CN 102710487B CN 201210164677 CN201210164677 CN 201210164677 CN 201210164677 A CN201210164677 A CN 201210164677A CN 102710487 B CN102710487 B CN 102710487B
- Authority
- CN
- China
- Prior art keywords
- data
- esp
- elongated
- packet
- verify data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
一种基于ESP技术封装的精简网络数据流量的方法,采用传输模式:S1-1在原始数据包中添加变长认证数据,并约定好该变长认证数据的数值;S1-2将添加了变长认证数据的包数据加密;S1-3删除ESP数据包中的填充长度、下一头部和认证数据;采用隧道模式:S2-1在原始数据包中添加变长认证数据,并约定好该变长认证数据的数值;S2-2将添加变长数据的原始IP头、包数据和变长数据都加密;S2-3删除ESP数据包中的填充长度、下一头部和认证数据。本发明可以实现在保证数据安全传输的同时,大幅降低IPSecVPN技术带来的数据流量,减少用户因为采用IPSecVPN技术带来的流量增加费用。
Description
技术领域
本发明涉及一种基于IPSec VPN协议,采用ESP技术封装的精简网络数据流量的方法。
背景技术
目前,大多数工业系统都有远程数据传输的业务需求,GPRS等无线数据传输方式由于其投入费用较小等因素,得到了广泛的应用,不少企业采用了租用运营商无线网络的方式进行远程数据传输。随着IPSec VPN技术的不断成熟,IPSec VPN也大量的用于工业系统中,大多数工业系统也开始采用VPN产品实现数据机密性、完整性保护。
IPSec VPN有两种隧道封装协议:ESP封装和AH封装。ESP封装主要用于提供数据的完整性保护、数据加密、防重放等安全服务;AH封装主要用于提供数据的完整性保护,但其不能实现数据的加密。
另一方面,IPSec VPN有两种网络传输模式:隧道模式和传输模式,传输模式主要用于点对点(end-to-end)的通信,隧道模式主要用于点对站(end-to-site)或者站对站(site-to-site)的通信。
若数据包采用ESP封装,则ESP数据包封装和原始数据包格式的映射关系如图1所示。当用户采用传输模式,则原始数据包中的原始IP头和包数据将被拆分,其中原始IP头作为ESP数据包的IP头,包数据被加密存放在ESP数据包中的负载数据中;若用户用隧道模式,则原始数据包被全部加密,存放在ESP数据包中的负载数据中。
ESP封装模式下的传输模式和隧道模式的主要差别在于:传输模式仅将原始数据包中的包数据加密,并采用原始的IP头,隧道模式将原始数据包全部加密,并构造出新IP头。在实际应用当中,用户根据应用需要选择合适的网络传输模式。
若对IPSec VPN的ESP封装不做修改,则ESP数据包的格式如图2所示:
其中安全参数索引和序列号对应于图1中的ESP报头;认证数据对应于图1中的ESP认证;负载数据、填充、填充长度和下一头部对应于图1中加密数据。
ESP数据包中的认证数据是采用相应的数字签名算法对安全参数索引、序列号、负载数据、填充、填充长度和下一头部进行运算得到的数字签名。
在实际应用当中,认证数据一般采用SM3、MD5或者SHA等算法,由于不同的消息摘要算法生成的消息摘要长度不同,故认证数据属于变长数据。
采用IPSec VPN技术会带来数据流量增加,由于目前大多数电信运营商采用数据流量的计费方式,因此采用IPSec VPN技术会使企业无线数据传输成本增加。
发明内容
本发明所要解决的技术问题,就是提供一种基于IPSec VPN协议,采用ESP技术封装的精简网络数据流量的方法,可在实现数据保密传输的同时,降低数据流量,节约无线数据传输服务租赁费用。
解决上述技术问题,本发明采用的技术方案如下:
一种基于ESP技术封装的精简数据流量的方法,所述的ESP技术包括传输模式(S1)和隧道模式(S2)两种网络传输模式,其特征是:
所述的方法若采用传输模式(S1),包括以下步骤:
S1-1在原始数据包中指定位置添加变长认证数据,一般为至少2个字节,并通信双方事先约定好该变长认证数据的数值;
S1-2将添加了变长认证数据的包数据作为新的包数据进行加密;
S1-3删除ESP数据包中的填充长度、下一头部和认证数据;
所述的方法若采用隧道模式(S2),则包括以下步骤:
S2-1在原始数据包中指定位置添加变长认证数据,一般为至少2个字节,并通信双方事先约定好该变长认证数据的数值;
S2-2将添加变长数据的原始IP头、包数据和变长数据都进行加密;
S2-3删除ESP数据包中的填充长度、下一头部和认证数据。
一方面,由于变长认证数据采用通信双方事先约定的方式,且该数据在实际应用过程中会被进一步加密,第三方对数据包的任何篡改都会导致变长认证数据的改变,因此,该变长认证数据可以代替ESP数据包中的认证数据实现数据身份认证功能,实现数据传输的机密性和完整性保护。另一方面,由于改进的ESP数据包删除了ESP数据包中的填充长度、下一头部和认证数据,因此该改进方式可以降低数据包的大小,降低网络数据的流量。
有益效果:本发明基于IPSec VPN协议和ESP数据封装,设计了一种精简网络数据流量的方法,使用该技术方法可以实现在保证数据安全传输的同时,大幅降低IPSec VPN技术带来的数据流量,减少用户因为采用IPSec VPN技术带来的流量增加费用,具有很强的实用性。
附图说明
下面结合附图和具体实施方式对本发明做进一步的详细说明。
图1为原始数据包与ESP数据包的映射关系示意图;
图2 为ESP数据包格式示意图;
图3为改进的ESP数据包格式示意图。
具体实施方式
本发明提出了一种基于IPSec VPN协议,采用ESP技术封装的精简数据流量的方法,实现在保护数据机密性和完整性的同时,降低网络数据的流量。
图1为原始数据包与ESP数据包的映射关系示意图。若用户采用传输模式,则原始数据包中的原始IP头和包数据将被拆分,其中原始IP头作为ESP数据包的IP头,包数据被加密存放在ESP数据包中的负载数据中;若用户用隧道模式,则原始数据包被全部加密,存放在ESP数据包中的负载数据中。在实际应用当中,用户根据应用需要选择合适的网络传输模式。
图2为ESP数据包格式示意图,其中安全参数索引和序列号对应于图1中的ESP报头;认证数据对应于图1中的ESP认证;负载数据、填充、填充长度和下一头部对应于图1中加密数据。
图3为改进的ESP数据包格式示意图,该格式做了如下的改进:
如果用户采传输模式S1,则本发明针对ESP数据包封装格式按以下步骤更改,以实现精简数据流量:
S1-1在原始数据包中指定位置添加变长认证数据,一般为至少2个字节,并通信双方事先规定该变长认证数据的数值;
S1-2将添加变长认证数据的包数据作为新的包数据进行加密,即包数据和变长数据进行加密;
S1-3删除ESP数据包中的填充长度、下一头部和认证数据。
如果用户采用隧道模式S2,则本发明针对ESP数据包封装格式做如下更改,以实现精简数据流量:
S2-1在原始数据包中指定位置添加变长认证数据,一般为至少2个字节,并事先规定该变长认证数据的数值;
S2-2将添加变长认证数据的整个数据包,即原始IP头、包数据和变长数据进行加密;
S2-3删除ESP数据包中的填充长度、下一头部和认证数据。
Claims (1)
1.一种基于ESP技术封装的精简数据流量的方法,所述的ESP技术包括传输模式S1和隧道模式S2两种网络传输模式,其特征是:
所述的方法若采用传输模式S1,包括以下步骤:
S1-1在原始数据包中指定位置添加变长认证数据,变长认证数据至少2个字节,并通信双方事先约定好该变长认证数据的数值;
S1-2将添加了变长认证数据的包数据作为新的包数据进行加密;
S1-3删除ESP数据包中的填充长度、下一头部和认证数据;
所述的方法若采用隧道模式S2,则包括以下步骤:
S2-1在原始数据包中指定位置添加变长认证数据,变长认证数据至少2个字节,并通信双方事先约定好该变长认证数据的数值;
S2-2将添加变长认证数据的原始IP头、包数据和变长认证数据都进行加密;
S2-3删除ESP数据包中的填充长度、下一头部和认证数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201210164677 CN102710487B (zh) | 2012-05-25 | 2012-05-25 | 一种基于esp技术封装的精简网络数据流量的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201210164677 CN102710487B (zh) | 2012-05-25 | 2012-05-25 | 一种基于esp技术封装的精简网络数据流量的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102710487A CN102710487A (zh) | 2012-10-03 |
| CN102710487B true CN102710487B (zh) | 2013-10-30 |
Family
ID=46903057
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201210164677 Active CN102710487B (zh) | 2012-05-25 | 2012-05-25 | 一种基于esp技术封装的精简网络数据流量的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102710487B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107579932B (zh) * | 2017-10-25 | 2020-06-16 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
| CN110191098A (zh) * | 2019-05-05 | 2019-08-30 | 厦门网宿有限公司 | 一种传输数据的方法、第一网络设备及第二网络设备 |
| CN111585986A (zh) * | 2020-04-24 | 2020-08-25 | 广东纬德信息科技股份有限公司 | 基于电力网关的安全传输方法、装置、介质及终端设备 |
| CN112733175A (zh) * | 2021-01-22 | 2021-04-30 | 浪潮思科网络科技有限公司 | 一种基于esp协议的数据加密方法及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834793A (zh) * | 2010-04-29 | 2010-09-15 | 电子科技大学 | 基于mpls/ops的虚拟专用网的实现方法 |
| CN101997834A (zh) * | 2009-08-10 | 2011-03-30 | 北京多思科技发展有限公司 | 支持高性能安全协议的装置 |
-
2012
- 2012-05-25 CN CN 201210164677 patent/CN102710487B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997834A (zh) * | 2009-08-10 | 2011-03-30 | 北京多思科技发展有限公司 | 支持高性能安全协议的装置 |
| CN101834793A (zh) * | 2010-04-29 | 2010-09-15 | 电子科技大学 | 基于mpls/ops的虚拟专用网的实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102710487A (zh) | 2012-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104811427B (zh) | 一种安全的工业控制系统通信方法 | |
| CN102111273B (zh) | 一种基于预共享的电力负荷管理系统数据安全传输方法 | |
| CN108075890A (zh) | 数据发送端、数据接收端、数据传输方法及系统 | |
| CN102710487B (zh) | 一种基于esp技术封装的精简网络数据流量的方法 | |
| CN101155026B (zh) | 通信安全性保护方法和装置 | |
| CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
| CN103763099A (zh) | 一种基于量子密钥分配技术的电力安全通信网络 | |
| CN103905180A (zh) | 经典应用接入量子通信网络的方法 | |
| CN208986966U (zh) | 一种加密终端以及相应的数据传输系统 | |
| CN109995511A (zh) | 一种基于量子密钥分发网络的移动保密通信方法 | |
| CN103746962A (zh) | 一种goose电力实时报文加解密方法 | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| CN105515766A (zh) | 一种量子密钥在stunnel中的应用方法 | |
| CN203851153U (zh) | 一种基于量子密钥分配技术的电力安全通信网络 | |
| CN109995512A (zh) | 一种基于量子密钥分发网络的移动安全应用方法 | |
| CN103051636B (zh) | 一种数据报文的传输方法和设备 | |
| CN104602208B (zh) | 一种基于移动网络的短信加密通信方法 | |
| Fei et al. | The research and implementation of the VPN gateway based on SSL | |
| CN102638792A (zh) | 基于硬件加密的无线网络安全传输系统及传输方法 | |
| CN103167489B (zh) | 电力系统中带安全防护的无线公网通讯方法 | |
| CN107819778A (zh) | 一种应用tls协议的电能表证书初始化方法 | |
| CN103188228A (zh) | 一种实现端到端安全防护的方法、安全网关及系统 | |
| CN109995519A (zh) | 一种量子密钥流量服务方法与系统 | |
| CN104113543A (zh) | 一种基于分组密码的消息鉴别方法 | |
| CN102868686B (zh) | 一种基于esp封装、强化数据加密的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 510080 Dongfeng East Road, Dongfeng, Guangdong, Guangzhou, Zhejiang Province, No. 8 Patentee after: Electric Power Research Institute of Guangdong Power Grid Co.,Ltd. Address before: 510080, No. 8, Qi Gang, Dongfeng East Road, Guangzhou, Guangdong Patentee before: ELECTRIC POWER RESEARCH INSTITUTE OF GUANGDONG POWER GRID Corp. |