CN103179055A - 一种基于IPsec的报文传输方法和设备 - Google Patents

一种基于IPsec的报文传输方法和设备 Download PDF

Info

Publication number
CN103179055A
CN103179055A CN2013100933555A CN201310093355A CN103179055A CN 103179055 A CN103179055 A CN 103179055A CN 2013100933555 A CN2013100933555 A CN 2013100933555A CN 201310093355 A CN201310093355 A CN 201310093355A CN 103179055 A CN103179055 A CN 103179055A
Authority
CN
China
Prior art keywords
data message
padding
tfc
ipsec
length
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013100933555A
Other languages
English (en)
Other versions
CN103179055B (zh
Inventor
杨超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201310093355.5A priority Critical patent/CN103179055B/zh
Publication of CN103179055A publication Critical patent/CN103179055A/zh
Application granted granted Critical
Publication of CN103179055B publication Critical patent/CN103179055B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于IPsec的报文传输方法和设备,该方法包括:IPsec发送端设备确定数据报文,其中携带IP头、数据报文头、数据报文载荷;IPsec发送端设备将IP头、数据报文头、数据报文载荷添加到ESP报文中,并在TFC Padding的指定字段中添加TFC Padding和TFC Padding的长度;IPsec发送端设备对数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度进行IPsec处理,并经过IPsec处理后的ESP报文发送给IPsec接收端设备;IPsec接收端设备利用TFC Padding的长度从ESP报文中删除TFC Padding,以得到数据报文。本发明实施例中,提高了传输模式下,TFC Padding应用场景的使用范围。

Description

一种基于IPsec的报文传输方法和设备
技术领域
本发明涉及通信技术领域,尤其是涉及一种基于IPsec(IP Security,IP安全)的报文传输方法和设备。
背景技术
IPsec是实现三层VPN(Virtual Private Network,虚拟专用网)的技术,通过建立IPsec隧道来传输数据报文,并在IP层提供以下安全服务:数据机密性(IPsec发送端设备在通过网络传输数据报文之前对数据报文进行加密),数据完整性(IPsec接收端设备对数据报文进行认证,以确保数据报文在传输过程中没有被篡改),数据来源认证(IPsec接收端设备认证IPsec发送端设备是否合法),防重放(IPsec接收端设备检测并拒绝接收过时或重复的数据报文)。
其中,IPsec提供了两种安全机制:认证机制和加密机制;认证机制可以使得IPsec接收端设备能够确认IPsec发送端设备的真实身份以及数据报文在传输过程中是否遭到篡改;加密机制通过对数据报文进行加密运算来保证数据报文的机密性,以防止数据报文在传输过程中被窃听。
IPsec包括AH(Authentication Header,认证头)和ESP(EncapsulatingSecurity Payload,封装安全载荷)等安全协议,并支持传输模式和隧道模式;如图1所示,在传输模式下,数据报文的发送端(主机A,即IPsec发送端设备)和接收端(主机B,即IPsec接收端设备)为数据报文的实际发送端和接收端,通常情况下,传输模式用于保护两台主机之间的数据报文传输过程。
如图2所示,为传输模式下的数据报文封装示意图,在ESP封装(即将数据报文封装为ESP报文)之前,包括IP头和内部数据(数据报文头和数据报文载荷);在进行ESP封装之后,包括IP头、ESP头、内部数据和ESP尾;如图3所示,为一种ESP报文的格式示意图,其中包括ESP头、内部数据和ESP尾等。
为了防止对ESP报文进行攻击,IPsec发送端设备在发送ESP报文时,需要在ESP报文中随机填充TFC(Traffic Flow Confidentiality,流信息保密)Padding(填充),且数据报文头中需要明确内部数据的长度,以使IPsec接收端设备能够将TFC Padding从ESP报文中删除;而现有技术中,大部分协议的数据报文头中均不会明确内部数据的长度,导致TFC Padding的应用场景受到限制,即在没有明确内部数据长度的应用场景下无法使用TFC Padding技术。
发明内容
本发明实施例提供一种基于IPsec的报文传输方法和设备,以提高传输模式下,TFC Padding应用场景的使用范围。
为达上述目的,本发明实施例提供一种基于IPsec的报文传输方法,应用于包括IPsec发送端设备和IPsec接收端设备的网络中,该方法包括以下步骤:
所述IPsec发送端设备确定待发送给所述IPsec接收端设备的数据报文,所述数据报文中携带IP头、数据报文头、数据报文载荷;
所述IPsec发送端设备将所述IP头、数据报文头、数据报文载荷添加到ESP报文中,并在所述ESP报文中添加TFC Padding,在所述TFC Padding的指定字段中添加TFC Padding的长度或者数据报文头与数据报文载荷的长度;
所述IPsec发送端设备对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理,并将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备;
由所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFC Padding的长度从所述ESP报文中删除TFC Padding,以得到所述数据报文。
所述TFC Padding的指定字段具体为:
所述TFC Padding中的最后两位字节;或者,
所述IPsec发送端设备与所述IPsec接收端设备之间协商的TFC Padding中的指定位臵的多个字节。
本发明实施例提供一种基于IPsec的报文传输方法,应用于包括IPsec发送端设备和IPsec接收端设备的网络中,该方法包括以下步骤:
所述IPsec接收端设备接收来自所述IPsec发送端设备的ESP报文,所述ESP报文中携带了IP头,经过IPsec处理后的数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度;
所述IPsec接收端设备对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理;
所述IPsec接收端设备从所述TFC Padding的指定字段中获得TFCPadding的长度或者数据报文头与数据报文载荷的长度;
所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFC Padding的长度从所述ESP报文中删除TFC Padding,以得到数据报文头与数据报文载荷;
所述IPsec接收端设备利用所述IP头、数据报文头和数据报文载荷得到所述IPsec发送端设备需要发送给所述IPsec接收端设备的数据报文。
所述IPsec接收端设备利用数据报文头与数据报文载荷的长度确定TFCPadding的长度,具体包括:
所述IPsec接收端设备确定数据报文头、数据报文载荷、TFC Padding的长度之和,并确定TFC Padding的长度为数据报文头、数据报文载荷、TFCPadding的长度之和减去数据报文头与数据报文载荷的长度。
所述TFC Padding的指定字段具体为:
所述TFC Padding中的最后两位字节;或者,
所述IPsec接收端设备与所述IPsec发送端设备之间协商的TFC Padding中的指定位臵的多个字节。
本发明实施例提供一种IPsec发送端设备,应用于包括所述IPsec发送端设备和IPsec接收端设备的网络中,所述IPsec发送端设备具体包括:
确定模块,用于确定待发送给所述IPsec接收端设备的数据报文,所述数据报文中携带IP头、数据报文头、数据报文载荷;
处理模块,用于将所述IP头、数据报文头、数据报文载荷添加到ESP报文中,并在所述ESP报文中添加TFC Padding,并在所述TFC Padding的指定字段中添加TFC Padding的长度或者数据报文头与数据报文载荷的长度;
以及,对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理;
发送模块,用于将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备;由所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFC Padding的长度从所述ESP报文中删除TFC Padding,以得到所述数据报文。
所述TFC Padding的指定字段具体为:
所述TFC Padding中的最后两位字节;或者,
所述IPsec发送端设备与所述IPsec接收端设备之间协商的TFC Padding中的指定位臵的多个字节。
本发明实施例提供一种IPsec接收端设备,应用于包括IPsec发送端设备和所述IPsec接收端设备的网络中,所述IPsec接收端设备具体包括:
接收模块,用于接收来自所述IPsec发送端设备的ESP报文,所述ESP报文中携带了IP头,经过IPsec处理后的数据报文头、数据报文载荷、TFCPadding、TFC Padding的长度或者数据报文头与数据报文载荷的长度;
处理模块,用于对所述数据报文头、数据报文载荷、TFC Padding、TFCPadding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理;
确定模块,用于从所述TFC Padding的指定字段中获得TFC Padding的长度或者数据报文头与数据报文载荷的长度,并利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFCPadding的长度从所述ESP报文中删除TFC Padding,以得到数据报文头与数据报文载荷;
获得模块,用于利用所述IP头、数据报文头和数据报文载荷得到所述IPsec发送端设备需要发送给所述IPsec接收端设备的数据报文。
所述确定模块,具体用于确定数据报文头、数据报文载荷、TFC Padding的长度之和,并确定TFC Padding的长度为数据报文头、数据报文载荷、TFCPadding的长度之和减去数据报文头与数据报文载荷的长度。
所述TFC Padding的指定字段具体为:
所述TFC Padding中的最后两位字节;或者,
所述IPsec接收端设备与所述IPsec发送端设备之间协商的TFC Padding中的指定位臵的多个字节。
与现有技术相比,本发明实施例至少具有以下优点:本发明实施例中,IPsec发送端设备在发送ESP报文时,需要在TFC Padding的指定字段中携带TFC Padding的长度或者数据报文头与数据报文载荷的长度;基于此,IPsec接收端设备在收到ESP报文之后,能够依据TFC Padding的长度或者数据报文头与数据报文载荷的长度确定出TFC Padding的长度,从而利用TFCPadding的长度删除TFC Padding;上述过程中,不需要在数据报文头中明确内部数据的长度,从而提高了传输模式下,TFC Padding应用场景的使用范围。
附图说明
图1是现有技术中传输模式下数据报文的传输过程示意图;
图2是现有技术中传输模式下的数据报文封装示意图;
图3是现有技术中ESP报文的格式示意图;
图4是本发明实施例提供的一种基于IPsec的报文传输方法流程示意图;
图5是本发明实施例提供的一种IPsec发送端设备的结构示意图;
图6是本发明实施例提供的一种IPsec接收端设备的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供一种基于IPsec的报文传输方法,该方法应用于包括IPsec发送端设备和IPsec接收端设备的网络中,且该IPsec发送端设备与IPsec接收端设备之间采用基于IPsec的传输模式;以图1为本发明实施例的应用场景示意图,IPsec发送端设备为主机A,IPsec接收端设备为主机B;如图4所示,该方法包括以下步骤:
步骤401,IPsec发送端设备确定待发送给IPsec接收端设备的数据报文,该数据报文中携带IP头、数据报文头、数据报文载荷。
具体的,IPsec发送端设备在对数据报文进行ESP封装(即将数据报文封装为ESP报文)之前,该数据报文中可以携带:IP头(记为IPHdr)、数据报文头(记为ProtoHdr)、数据报文载荷(记为ProtoPayload)。
步骤402,IPsec发送端设备将IP头、数据报文头、数据报文载荷添加到ESP报文中,并在ESP报文中随机添加TFC Padding,并在TFC Padding的指定字段中添加TFC Padding的长度或者数据报文头与数据报文载荷的长度。
针对数据报文头中没有携带数据报文头与数据报文载荷长度(即数据报文头与数据报文载荷长度之和)的应用场景,如基于TCP(Transmission ControlProtocol,传输控制协议)时,不会携带数据报文头与数据报文载荷的长度;基于此,本发明实施例中,需要在TFC Padding的指定字段中添加TFC Padding的长度(记为TFC-Padding-Length)或者数据报文头与数据报文载荷的长度。
在本发明实施例的一种优选实施方式中,TFC Padding的指定字段具体可以为TFC Padding中的最后两位字节;基于此,IPsec发送端设备可以将TFCPadding的最后两个字节定义为TFC Padding的长度;或者,将TFC Padding的最后两个字节定义为数据报文头与数据报文载荷的长度。
在本发明实施例的另一种优选实施方式中,TFC Padding的指定字段具体可以为IPsec发送端设备与IPsec接收端设备之间协商的TFC Padding中的指定位臵的多个字节,如:IPsec发送端设备与IPsec接收端设备协商TFC Padding中的第五字节和第六字节为指定字段;基于此,IPsec发送端设备可以将TFCPadding的第五字节和第六字节定义为TFC Padding的长度;或者,将TFCPadding的第五字节和第六字节定义为数据报文头与数据报文载荷的长度。
其中,IPsec发送端设备与IPsec接收端设备之间协商TFC Padding中的指定位臵的多个字节为指定字段具体包括:IPsec发送端设备确定指定字段为TFC Padding中的指定位臵的多个字节,并将指定字段的信息通知给IPsec接收端设备(如通过IKE协商报文通知);或者,IPsec接收端设备确定指定字段为TFC Padding中的指定位臵的多个字节,并将指定字段的信息通知给IPsec发送端设备(如通过IKE协商响应报文通知)。
本发明实施例中,将IP头、数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度添加到ESP报文的过程为ESP封装过程;基于图3所示的ESP报文格式示意图,在ESP封装过程中,IPsec发送端设备还可以将SPI(Security Parameters Index,安全参数索引,4个字节,用于索引解密使用的SA),Sequence Number(抗重放序列号,4个字节),Padding(填充,即扩展位,0-255个字节,当前要求数据报文长度(以位为单位)模512为448,如果数据报文长度不足,则使用扩展位填充),Padding Length(填充长度),Next Header(下一个协议头)、IntegrityCheck Value-ICV(完整性校验数据)等内容添加到ESP报文中。
步骤403,IPsec发送端设备对数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理。
本发明实施例的具体实施方式中,IPsec发送端设备对数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理,具体包括但不限于:IPsec发送端设备对数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行加密处理;或者,IPsec发送端设备对数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行加密处理和认证处理;加密处理和认证处理过程不再赘述。
此外,IPsec发送端设备还需要对Padding,Padding Length,Next Header进行加密处理;或者,IPsec发送端设备还需要对Padding,Padding Length,Next Header进行加密处理和认证处理;此外,IPsec发送端设备还需要对SPI,Sequence Number进行认证处理;加密处理和认证处理过程不再赘述。
本发明实施例中,IPsec发送端设备在对数据报文头、数据报文载荷、TFCPadding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理之后,还需要调整IP头中的IP数据长度以及校验和。
步骤404,IPsec发送端设备将经过IPsec处理之后的ESP报文(即ESP封装之后的报文,如图3所示)发送给IPsec接收端设备。
步骤405,IPsec接收端设备接收来自IPsec发送端设备的ESP报文,该ESP报文中携带了IP头,经过IPsec处理后的数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度。
此外,该ESP报文中还携带了经过IPsec处理后的SPI,Sequence Number,Padding,Padding Length,Next Header、Integrity Check Value-ICV等内容。
步骤406,IPsec接收端设备对数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理。
本发明实施例的具体实施方式中,基于步骤403中的IPsec处理处理方式,IPsec接收端设备对数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理,具体包括但不限于:IPsec接收端设备对数据报文头、数据报文载荷、TFC Padding、TFCPadding的长度或者数据报文头与数据报文载荷的长度进行解密处理;或者,IPsec接收端设备对数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行解密处理和验证处理。
此外,IPsec接收端设备还需要对Padding,Padding Length,Next Header进行解密处理;或者,IPsec接收端设备还需要对Padding,Padding Length,Next Header进行解密处理和验证处理;此外,IPsec接收端设备还需要对SPI,Sequence Number进行验证处理;解密处理和验证处理过程不再赘述。
具体的,IPsec接收端设备在收到ESP报文之后,可以利用SPI查找对应的SA(Security Association,安全联盟),并利用查找到的SA对ESP报文(除了IP头之外的其它内容)进行解密处理和验证处理。
步骤407,IPsec接收端设备从TFC Padding的指定字段中获得TFCPadding的长度或者数据报文头与数据报文载荷的长度,并利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度。
本发明实施例中,TFC Padding的指定字段具体为:TFC Padding中的最后两位字节;或者,IPsec接收端设备与IPsec发送端设备之间协商的TFCPadding中的指定位臵的多个字节。
本发明实施例中,IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,具体包括如下方式:
方式一、IPsec接收端设备利用TFC Padding长度字段的值直接确定TFCPadding的长度;具体的,IPsec接收端设备对数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度进行IPsec处理之后,可以从ESP报文中得到TFC Padding长度字段,继而直接确定TFC Padding的长度。
方式二、IPsec接收端设备利用数据报文头与数据报文载荷的长度确定TFC Padding的长度,具体包括:IPsec接收端设备对数据报文头、数据报文载荷、TFC Padding、数据报文头与数据报文载荷的长度进行IPsec处理之后,可计算数据报文头、数据报文载荷、TFC Padding的长度之和(即总长度减其它内容长度),并从ESP报文中得到数据报文头与数据报文载荷的长度;进一步,IPsec接收端设备确定TFC Padding的长度为数据报文头、数据报文载荷、TFC Padding的长度之和减数据报文头与数据报文载荷的长度。
步骤408,IPsec接收端设备利用TFC Padding的长度从ESP报文中删除TFC Padding,得到数据报文头与数据报文载荷,并利用IP头、数据报文头和数据报文载荷得到IPsec发送端设备需要发送给IPsec接收端设备的数据报文。
具体的,IPsec接收端设备在对数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度、SPI,SequenceNumber,Padding,Padding Length,Next Header、Integrity Check Value-ICV等内容进行IPsec处理之后,可以直接从ESP报文中删除TFC Padding的长度或者数据报文头与数据报文载荷的长度、SPI,Sequence Number,Padding,Padding Length,Next Header、Integrity Check Value-ICV等内容;并利用TFCPadding的长度从ESP报文中删除TFC Padding,之后可以得到数据报文头与数据报文载荷,在补充IP头之后,可以得到数据报文。
本发明实施例中,IPsec发送端设备在发送ESP报文时,需要在ESP报文中携带TFC Padding的长度或者数据报文头与数据报文载荷的长度;基于此,IPsec接收端设备在收到ESP报文之后,能够依据TFC Padding的长度或者数据报文头与数据报文载荷的长度确定出TFC Padding的长度,从而利用TFCPadding的长度删除TFC Padding;上述过程中,不需要在数据报文头中明确内部数据的长度,从而提高了传输模式下,TFC Padding应用场景的使用范围。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种IPsec发送端设备,应用于包括所述IPsec发送端设备和IPsec接收端设备的网络中,如图5所示,所述IPsec发送端设备具体包括:
确定模块11,用于确定待发送给所述IPsec接收端设备的数据报文,所述数据报文中携带IP头、数据报文头、数据报文载荷;
处理模块12,用于将所述IP头、数据报文头、数据报文载荷添加到ESP报文中,并在所述ESP报文中添加TFC Padding,并在所述TFC Padding的指定字段中添加TFC Padding的长度或者数据报文头与数据报文载荷的长度;
以及,对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理;
发送模块13,用于将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备;由所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFC Padding的长度从所述ESP报文中删除TFC Padding,以得到所述数据报文。
本发明实施例中,所述TFC Padding的指定字段具体为:
所述TFC Padding中的最后两位字节;或者,
所述IPsec发送端设备与所述IPsec接收端设备之间协商的TFC Padding中的指定位臵的多个字节。
其中,本发明装臵的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种IPsec接收端设备,应用于包括IPsec发送端设备和所述IPsec接收端设备的网络中如图6所示,所述IPsec接收端设备具体包括:
接收模块21,用于接收来自所述IPsec发送端设备的ESP报文,所述ESP报文中携带了IP头,经过IPsec处理后的数据报文头、数据报文载荷、TFCPadding、TFC Padding的长度或者数据报文头与数据报文载荷的长度;
处理模块22,用于对所述数据报文头、数据报文载荷、TFC Padding、TFCPadding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理;
确定模块23,用于从所述TFC Padding的指定字段中获得TFC Padding的长度或者数据报文头与数据报文载荷的长度,并利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFC Padding的长度从所述ESP报文中删除TFC Padding,以得到数据报文头与数据报文载荷;
获得模块24,用于利用所述IP头、数据报文头和数据报文载荷得到所述IPsec发送端设备需要发送给所述IPsec接收端设备的数据报文。
所述确定模块23,具体用于确定数据报文头、数据报文载荷、TFC Padding的长度之和,并确定TFC Padding的长度为数据报文头、数据报文载荷、TFCPadding的长度之和减去数据报文头与数据报文载荷的长度。
本发明实施例中,所述TFC Padding的指定字段具体为:
所述TFC Padding中的最后两位字节;或者,
所述IPsec接收端设备与所述IPsec发送端设备之间协商的TFC Padding中的指定位臵的多个字节。
其中,本发明装臵的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装臵中的模块可以按照实施例描述进行分布于实施例的装臵中,也可以进行相应变化位于不同于本实施例的一个或多个装臵中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims (10)

1.一种基于IPsec的报文传输方法,应用于包括IPsec发送端设备和IPsec接收端设备的网络中,其特征在于,该方法包括以下步骤:
所述IPsec发送端设备确定待发送给所述IPsec接收端设备的数据报文,所述数据报文中携带IP头、数据报文头、数据报文载荷;
所述IPsec发送端设备将所述IP头、数据报文头、数据报文载荷添加到ESP报文中,并在所述ESP报文中添加TFC Padding,在所述TFC Padding的指定字段中添加TFC Padding的长度或者数据报文头与数据报文载荷的长度;
所述IPsec发送端设备对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理,并将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备;
由所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFC Padding的长度从所述ESP报文中删除TFC Padding,以得到所述数据报文。
2.如权利要求1所述的方法,其特征在于,所述TFC Padding的指定字段具体为:
所述TFC Padding中的最后两位字节;或者,
所述IPsec发送端设备与所述IPsec接收端设备之间协商的TFC Padding中的指定位臵的多个字节。
3.一种基于IPsec的报文传输方法,应用于包括IPsec发送端设备和IPsec接收端设备的网络中,其特征在于,该方法包括以下步骤:
所述IPsec接收端设备接收来自所述IPsec发送端设备的ESP报文,所述ESP报文中携带了IP头,经过IPsec处理后的数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度;
所述IPsec接收端设备对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理;
所述IPsec接收端设备从所述TFC Padding的指定字段中获得TFCPadding的长度或者数据报文头与数据报文载荷的长度;
所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFC Padding的长度从所述ESP报文中删除TFC Padding,以得到数据报文头与数据报文载荷;
所述IPsec接收端设备利用所述IP头、数据报文头和数据报文载荷得到所述IPsec发送端设备需要发送给所述IPsec接收端设备的数据报文。
4.如权利要求3所述的方法,其特征在于,所述IPsec接收端设备利用数据报文头与数据报文载荷的长度确定TFC Padding的长度,具体包括:
所述IPsec接收端设备确定数据报文头、数据报文载荷、TFC Padding的长度之和,并确定TFC Padding的长度为数据报文头、数据报文载荷、TFCPadding的长度之和减去数据报文头与数据报文载荷的长度。
5.如权利要求3或4所述的方法,其特征在于,所述TFC Padding的指定字段具体为:
所述TFC Padding中的最后两位字节;或者,
所述IPsec接收端设备与所述IPsec发送端设备之间协商的TFC Padding中的指定位臵的多个字节。
6.一种IPsec发送端设备,应用于包括所述IPsec发送端设备和IPsec接收端设备的网络中,其特征在于,所述IPsec发送端设备具体包括:
确定模块,用于确定待发送给所述IPsec接收端设备的数据报文,所述数据报文中携带IP头、数据报文头、数据报文载荷;
处理模块,用于将所述IP头、数据报文头、数据报文载荷添加到ESP报文中,并在所述ESP报文中添加TFC Padding,并在所述TFC Padding的指定字段中添加TFC Padding的长度或者数据报文头与数据报文载荷的长度;
以及,对所述数据报文头、数据报文载荷、TFC Padding、TFC Padding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理;
发送模块,用于将经过IPsec处理后的ESP报文发送给所述IPsec接收端设备;由所述IPsec接收端设备利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFC Padding的长度从所述ESP报文中删除TFC Padding,以得到所述数据报文。
7.如权利要求6所述的IPsec发送端设备,其特征在于,所述TFC Padding的指定字段具体为:
所述TFC Padding中的最后两位字节;或者,
所述IPsec发送端设备与所述IPsec接收端设备之间协商的TFC Padding中的指定位臵的多个字节。
8.一种IPsec接收端设备,应用于包括IPsec发送端设备和所述IPsec接收端设备的网络中,其特征在于,所述IPsec接收端设备具体包括:
接收模块,用于接收来自所述IPsec发送端设备的ESP报文,所述ESP报文中携带了IP头,经过IPsec处理后的数据报文头、数据报文载荷、TFCPadding、TFC Padding的长度或者数据报文头与数据报文载荷的长度;
处理模块,用于对所述数据报文头、数据报文载荷、TFC Padding、TFCPadding的长度或者数据报文头与数据报文载荷的长度进行IPsec处理;
确定模块,用于从所述TFC Padding的指定字段中获得TFC Padding的长度或者数据报文头与数据报文载荷的长度,并利用TFC Padding的长度或者数据报文头与数据报文载荷的长度确定TFC Padding的长度,并利用所述TFCPadding的长度从所述ESP报文中删除TFC Padding,以得到数据报文头与数据报文载荷;
获得模块,用于利用所述IP头、数据报文头和数据报文载荷得到所述IPsec发送端设备需要发送给所述IPsec接收端设备的数据报文。
9.如权利要求8所述的IPsec接收端设备,其特征在于,
所述确定模块,具体用于确定数据报文头、数据报文载荷、TFC Padding的长度之和,并确定TFC Padding的长度为数据报文头、数据报文载荷、TFCPadding的长度之和减去数据报文头与数据报文载荷的长度。
10.如权利要求8或9所述的IPsec接收端设备,其特征在于,所述TFCPadding的指定字段具体为:
所述TFC Padding中的最后两位字节;或者,
所述IPsec接收端设备与所述IPsec发送端设备之间协商的TFC Padding中的指定位臵的多个字节。
CN201310093355.5A 2013-03-21 2013-03-21 一种基于IPsec的报文传输方法和设备 Active CN103179055B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310093355.5A CN103179055B (zh) 2013-03-21 2013-03-21 一种基于IPsec的报文传输方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310093355.5A CN103179055B (zh) 2013-03-21 2013-03-21 一种基于IPsec的报文传输方法和设备

Publications (2)

Publication Number Publication Date
CN103179055A true CN103179055A (zh) 2013-06-26
CN103179055B CN103179055B (zh) 2016-03-02

Family

ID=48638684

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310093355.5A Active CN103179055B (zh) 2013-03-21 2013-03-21 一种基于IPsec的报文传输方法和设备

Country Status (1)

Country Link
CN (1) CN103179055B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106059883A (zh) * 2016-05-20 2016-10-26 浙江宇视科技有限公司 报文的传输方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859291A (zh) * 2005-12-13 2006-11-08 华为技术有限公司 一种对网络报文安全封装的方法
CN101626374A (zh) * 2008-07-11 2010-01-13 成都市华为赛门铁克科技有限公司 IPv6网络中协商SA的方法、系统和设备
US20100228974A1 (en) * 2009-03-03 2010-09-09 Harris Corporation Corporation Of The State Of Delaware VLAN TAGGING OVER IPSec TUNNELS

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859291A (zh) * 2005-12-13 2006-11-08 华为技术有限公司 一种对网络报文安全封装的方法
CN101626374A (zh) * 2008-07-11 2010-01-13 成都市华为赛门铁克科技有限公司 IPv6网络中协商SA的方法、系统和设备
US20100228974A1 (en) * 2009-03-03 2010-09-09 Harris Corporation Corporation Of The State Of Delaware VLAN TAGGING OVER IPSec TUNNELS

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106059883A (zh) * 2016-05-20 2016-10-26 浙江宇视科技有限公司 报文的传输方法及装置

Also Published As

Publication number Publication date
CN103179055B (zh) 2016-03-02

Similar Documents

Publication Publication Date Title
EP2564342B1 (en) Method and nodes for providing secure access to cloud computing for mobile users
WO2021093334A1 (zh) 车辆升级包处理方法和装置
EP3525392A1 (en) Security plugin for a system-on-a-chip platform
CN102946333B (zh) 一种基于IPsec的DPD探测方法和设备
US8745381B2 (en) Methods, systems, and computer readable media for performing encapsulating security payload (ESP) rehashing
CN112913189B (zh) 一种ota升级方法及装置
CN112422270B (zh) 一种基于bc-lhe的车联网数据共享方法及系统
CN110048988B (zh) 消息的发送方法和装置
CN112822678B (zh) 一种服务化架构授权的方法
CN104753674A (zh) 一种应用身份的验证方法和设备
CN111614691B (zh) 一种基于电力网关的出站报文处理方法及装置
CN105812338B (zh) 一种数据访问管控方法及网络管理设备
CN115868189A (zh) 建立车辆安全通信的方法、车辆、终端及系统
CN107040508B (zh) 用于适配终端设备的授权信息的设备和方法
CN103179055B (zh) 一种基于IPsec的报文传输方法和设备
CN105678542B (zh) 支付业务交互方法、支付终端和支付云端
CN115348081A (zh) 一种安全传输校验方法、装置、系统、设备及介质
CN115225414A (zh) 基于ipsec的加密策略匹配方法、装置及通信系统
CN114978645A (zh) 基于区块链的数据处理方法、装置、服务器及存储介质
CN111385750B (zh) 通信系统和通信方法
CN112019418B (zh) 基于野蛮模式的IPSec隧道建立方法及其装置
JP2023537680A (ja) 通信方法及び装置
CN116488812B (zh) 一种业务数据处理方法、装置、电子设备和存储介质
CN111585986A (zh) 基于电力网关的安全传输方法、装置、介质及终端设备
CN112929871A (zh) Ota升级包的获取方法、电子设备以及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Patentee after: Xinhua three Technology Co., Ltd.

Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base

Patentee before: Huasan Communication Technology Co., Ltd.

CP03 Change of name, title or address