CN103227742A - 一种IPSec隧道快速处理报文的方法 - Google Patents
一种IPSec隧道快速处理报文的方法 Download PDFInfo
- Publication number
- CN103227742A CN103227742A CN2013100994135A CN201310099413A CN103227742A CN 103227742 A CN103227742 A CN 103227742A CN 2013100994135 A CN2013100994135 A CN 2013100994135A CN 201310099413 A CN201310099413 A CN 201310099413A CN 103227742 A CN103227742 A CN 103227742A
- Authority
- CN
- China
- Prior art keywords
- session
- ciphertext
- ipsec
- plaintext
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IPSec隧道快速处理报文的方法,根据加密报文查找密文会话,如果没有找到则创建密文会话,如果找到则在IPsec安全关联数据库中查找密钥,如果找到则直接解密,否则在全局IPsec安全关联数据库中查找密钥,找到则将密钥添加到IPsec安全关联数据库中,根据密钥对加密报文进行解密处理,再根据解密出来的新IP头查找对应的明文会话,如果找到则对明文会话与密文会话进行关联,否则创建新的明文会话,并对新创建的明文会话与密文会话进行关联。本发明根据解密后的报文IP五元组,与密文会话相关联的明文会话中查找,缩小查找范围,减少搜索时间,进而缩短解密时间,加快处理报文的效率。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种IPSec隧道快速处理报文的方法。
背景技术
IPSec(Internet Protocol Security,由Internet Engineering Task Force(IETF)定义的安全标准框架)协议是用来实现远程接入的一种VPN技术,用以提供公用和专用网络的端对端加密和验证服务。IPsec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(InternetKey Exchange,因特网密钥交换)和用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务。IPsec协议还提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。IPsec协议中的AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供数据可靠性保证。
IPsec有两种工作模式:隧道模式和传输模式,两种模式的数据封装形式如图1所示,其中Data为传输层数据。
隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。
传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。
网络设备对报文使用逐流的方式进行处理,按照报文的IP五元组,如果非UDP报文或非TCP报文则按照报文的IP地址来进行流归类,通常对IPSec隧道加密后的报文通常都采用一个session(会话)的方法,也就是说只有对明文报文执行session方式处理,而对加密的报文无法使用session方式处理,特别是在转发CPU和加解密CPU一起使用时,加密后只能走逐包的处理方式,并且对接收的报文也只能是根据ESP/AH报文三元组(即目的IP地址、协议类型、SPI安全参数索引)来全局查找IPsec安全关联(IPSec sa)数据库,根据查找到得IPsec安全关联对加密报文进行解密,最后将解密后的报文进行二次入IP栈进行重新查找session处理,当IPsec安全关联隧道数量大的时候,这样处理报文的速度会很慢。
发明内容
(一)要解决的技术问题
针对上述缺陷,本发明要解决的技术问题是如何在进行报文解密过程中减少搜索的时间,加快解密效率。
(二)技术方案
为解决上述问题,本发明提供了一种IPSec隧道快速处理报文的方法,所述方法具体包括:
S1:在第一防火墙与第二防火墙之间建立IPSec隧道,当所述第一防火墙接收到转发报文时,根据所述转发报文的IP五元组查找明文会话,如果查找到则直接则进入步骤S2,否则根据所述IP五元组创建明文会话,再进入步骤S2;
S2:查看所述明文会话是否已经关联了密文会话,如果没有关联则查找相对应的密文会话,如果查找失败则创建密文会话,将查找或创建的密文会话与所述明文会话关联,并根据所述密文会话进行加密处理,得到加密报文;
S3:所述第二防火墙接收所述第一防火墙发送的加密报文,查找所述密文会话,如果没有找到则创建密文会话,如果找到则在所述密文会话的IPsec安全关联数据库中查找密钥,如果找到则进入步骤S5,否则进入步骤S4;
S4:在全局IPsec安全关联数据库中查找所述密钥,如果找到则将所述密钥添加到所述密文会话的IPsec安全关联数据库中,进入步骤S5,如果没有找到则丢弃所述加密报文;
S5:根据所述密钥对所述加密报文进行解密处理,再根据解密出来的新IP头查找对应的明文会话,如果找到则对所述明文会话与所述密文会话进行关联,否则创建新的明文会话,并对新创建的明文会话与所述密文会话进行关联。
进一步地,所述步骤S2还包括:如果所述明文会话与密文会话有关联但是没有加密IPsec安全关联,则进行IPSec隧道匹配,将匹配成功的IPsec安全关联保存在所述密文会话中。
进一步地,所述密文会话只有一个加密IPsec安全关联,但是对应多个解密IPsec安全关联。
进一步地,当所述IPsec安全关联更新时会动态更新密文会话中的IPSec安全关联信息,当所述IPSec隧道被删除时,动态删除相关联的密文会话。
(三)有益效果
本发明提供了一种IPSec隧道快速处理报文的方法,通过对加密之前和解密之后的报文仍然进行明文会话处理,而加密之后和解密之前的报文,走密文会话处理。多个明文会话在创建的时候,报文匹配上IPsec安全关联之后将IPsec安全关联的信息放在密文会话中,此密文会话同明文会话一样根据IP五元组(当IPSec穿越NAT时根据IP五元组创建,如果没有NAT穿越,则直接根据IP地址创建)创建。多个明文会话可以绑定一个密文会话,根据明文会话关联的密文会话直接将报文进行加密,当有报文需要解密时,根据解密后的报文IP五元组,与密文会话相关联的明文会话中查找,缩小查找范围,所以使搜索IPsec安全关联时间减少,解密时间更短,进而提高报文处理速度。
附图说明
图1为IPsec隧道模式和传输模式两种工作模式的数据封装形式示意图;
图2为本发明实施例中的一种IPSec隧道快速处理报文的方法的步骤流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明实施例中提供了一种IPSec隧道快速处理报文的方法,步骤流程如图2所示,具体包括以下步骤:
步骤S1:在第一防火墙与第二防火墙之间建立IPSec隧道,当第一防火墙接收到转发报文时,根据转发报文的IP五元组查找明文会话,如果查找到则直接则进入步骤S2,否则根据IP五元组创建明文会话,再进入步骤S2。
其中加密报文为ESP报文或AH报文,IP五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议号(即协议类型)。
步骤S2:查看明文会话是否已经关联了密文会话,如果没有关联则查找相对应的密文会话,如果查找失败则创建密文会话,将查找或创建的密文会话与明文会话关联,并根据密文会话进行加密处理,得到加密报文。
如果明文会话与密文会话有关联但是没有加密IPsec安全关联,则进行IPSec隧道匹配,将匹配成功的IPsec安全关联保存在密文会话中。
其中加密处理就是在原报文中加上新的IP头,是的目标地址发生改变。加密后和解密前的报文要进行密文会话处理,加密前和解密后的报文进行明文会话处理。
密文会话只有一个加密IPsec安全关联,但是对应多个解密IPsec安全关联,即多个明文会话与一个密文会话进行绑定。
IPsec安全关联(security association,SA)指定由通信主机识别的安全属性。单个IPsec SA保护单一方向的数据,保护针对单个主机或一组(多播)地址。由于多数通信为对等通信或客户机/服务器通信,因此,必须存在两个SA来保证两个方向的通信安全。
IPsec SA通过以下三个元素唯一地标识,也就是报文三元组:
(1)安全协议(AH或ESP);
(2)目标IP地址;
(3)SPI安全参数索引(security parameter index的简称)。
其中SPI是任意32位的值,与AH或ESP包一起传输。完整性校验和值用于验证包,如果验证失败,则会丢弃包。安全关联存SA储在安全关联数据库(security associations database,SADB)中。
当IPsec安全关联更新时会动态更新密文会话中的IPsec安全关联,当IPSec隧道被删除时,动态删除相关联的密文会话。
步骤S3:第二防火墙接收第一防火墙发送的加密报文,查找密文会话,如果没有找到则创建密文会话,如果找到则在密文会话的IPsec安全关联数据库中查找密钥,如果找到则进入步骤S5,否则进入步骤S4。
其中密钥就是IPsec安全关联,用于实现明文会话与密文会话之间的加密与解密过程,加密的过程就是添加新的IP头的过程,解密的过程就是将加密过程中添加的IP头去掉,得到原来的明文会话,使得原来报文的IP头漏出来,而解密的关键就是密钥,也就是明文会话与密文会话的安全关联SA。
步骤S4:在全局IPsec安全关联数据库中查找密钥,如果找到则将密钥添加到密文会话的IPsec安全关联数据库中,进入步骤S5,如果没有找到则丢弃加密报文。
解密处理就是将加密报文在加密过程中加上的IP头去掉,使得原来报文的目的地址漏出来,以便进一步处理。
步骤S5:根据密钥对加密报文进行解密处理,再根据解密出来的新IP头查找对应的明文会话,如果找到则对明文会话与密文会话进行关联,否则创建新的明文会话,并对新创建的明文会话与密文会话进行关联。
通过上述报文处理方法,通过对加密之前和解密之后的报文仍然进行明文会话处理,而加密之后和解密之前的报文,走密文会话处理。多个明文会话在创建的时候,报文匹配上IPsec安全关联之后将IPsec安全关联的信息放在密文会话中,此密文会话同明文会话一样根据IP五元组(当IPSec穿越NAT时根据IP五元组创建,如果没有NAT穿越,则直接根据IP地址创建)创建。多个明文会话可以绑定一个密文会话,根据明文会话关联的密文会话直接将报文进行加密,当有报文需要解密时,根据解密后的报文IP五元组,与密文会话相关联的明文会话中查找,缩小查找范围,使搜索IPsec安全关联时间减少,解密时间更短,进而提高报文处理速度。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (4)
1.一种IPSec隧道快速处理报文的方法,其特征在于,所述方法具体包括:
S1:在第一防火墙与第二防火墙之间建立IPSec隧道,当所述第一防火墙接收到转发报文时,根据所述转发报文的IP五元组查找明文会话,如果查找到则直接则进入步骤S2,否则根据所述IP五元组创建明文会话,再进入步骤S2;
S2:查看所述明文会话是否已经关联了密文会话,如果没有关联则查找相对应的密文会话,如果查找失败则创建密文会话,将查找或创建的密文会话与所述明文会话关联,并根据所述密文会话进行加密处理,得到加密报文;
S3:所述第二防火墙接收所述第一防火墙发送的加密报文,查找所述密文会话,如果没有找到则创建密文会话,如果找到则在所述密文会话的IPsec安全关联数据库中查找密钥,如果找到则进入步骤S5,否则进入步骤S4;
S4:在全局IPsec安全关联数据库中查找所述密钥,如果找到则将所述密钥添加到所述密文会话的IPsec安全关联数据库中,进入步骤S5,如果没有找到则丢弃所述加密报文;
S5:根据所述密钥对所述加密报文进行解密处理,再根据解密出来的新IP头查找对应的明文会话,如果找到则对所述明文会话与所述密文会话进行关联,否则创建新的明文会话,并对新创建的明文会话与所述密文会话进行关联。
2.如权利要求1所述的方法,其特征在于,所述步骤S2还包括:如果所述明文会话与密文会话有关联但是没有加密IPsec安全关联,则进行IPSec隧道匹配,将匹配成功的IPsec安全关联保存在所述密文会话中。
3.如权利要求1所述的方法,其特征在于,所述密文会话只有一个加密IPsec安全关联,但是对应多个解密IPsec安全关联。
4.如权利要求1所述的方法,其特征在于,当所述IPsec安全关联更新时会动态更新密文会话中的IPSec安全关联信息,当所述IPSec隧道被删除时,动态删除相关联的密文会话。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310099413.5A CN103227742B (zh) | 2013-03-26 | 2013-03-26 | 一种IPSec隧道快速处理报文的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310099413.5A CN103227742B (zh) | 2013-03-26 | 2013-03-26 | 一种IPSec隧道快速处理报文的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103227742A true CN103227742A (zh) | 2013-07-31 |
| CN103227742B CN103227742B (zh) | 2015-09-16 |
Family
ID=48838011
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310099413.5A Expired - Fee Related CN103227742B (zh) | 2013-03-26 | 2013-03-26 | 一种IPSec隧道快速处理报文的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103227742B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780605B (zh) * | 2014-01-07 | 2017-05-10 | 京信通信系统(中国)有限公司 | 一种快速加解密方法及网关 |
| CN111614463A (zh) * | 2020-04-30 | 2020-09-01 | 网络通信与安全紫金山实验室 | 一种基于IPsec封装功能的密钥更新方法及装置 |
| CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN114301632A (zh) * | 2021-12-02 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 一种IPsec数据处理方法、终端及存储介质 |
| WO2024032312A1 (en) * | 2022-08-08 | 2024-02-15 | International Business Machines Corporation | Distribution of a cryptographic service provided private session key to network communication device for secured communications |
| US11924179B2 (en) | 2022-08-08 | 2024-03-05 | International Business Machines Corporation | API based distribution of private session key to network communication device for secured communications |
| US12088567B2 (en) | 2022-08-08 | 2024-09-10 | International Business Machines Corporation | Distribution of private session key to network communication device for secured communications |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050022010A1 (en) * | 2003-06-06 | 2005-01-27 | Microsoft Corporation | Multi-layered firewall architecture |
| CN101102253A (zh) * | 2007-08-13 | 2008-01-09 | 杭州华三通信技术有限公司 | 在IPsec隧道中传输组播的方法、分支节点和中心节点 |
| CN101299665A (zh) * | 2008-05-19 | 2008-11-05 | 华为技术有限公司 | 报文处理方法、系统及装置 |
| CN102546617A (zh) * | 2011-12-29 | 2012-07-04 | 汉柏科技有限公司 | 多核多线程系统中IPSec转发的方法 |
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
| CN102891848A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | 利用IPSec安全联盟进行加密解密的方法 |
-
2013
- 2013-03-26 CN CN201310099413.5A patent/CN103227742B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050022010A1 (en) * | 2003-06-06 | 2005-01-27 | Microsoft Corporation | Multi-layered firewall architecture |
| CN101102253A (zh) * | 2007-08-13 | 2008-01-09 | 杭州华三通信技术有限公司 | 在IPsec隧道中传输组播的方法、分支节点和中心节点 |
| CN101299665A (zh) * | 2008-05-19 | 2008-11-05 | 华为技术有限公司 | 报文处理方法、系统及装置 |
| CN102546617A (zh) * | 2011-12-29 | 2012-07-04 | 汉柏科技有限公司 | 多核多线程系统中IPSec转发的方法 |
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
| CN102891848A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | 利用IPSec安全联盟进行加密解密的方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780605B (zh) * | 2014-01-07 | 2017-05-10 | 京信通信系统(中国)有限公司 | 一种快速加解密方法及网关 |
| CN111614463A (zh) * | 2020-04-30 | 2020-09-01 | 网络通信与安全紫金山实验室 | 一种基于IPsec封装功能的密钥更新方法及装置 |
| CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN111800436B (zh) * | 2020-07-29 | 2022-04-08 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN114301632A (zh) * | 2021-12-02 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 一种IPsec数据处理方法、终端及存储介质 |
| CN114301632B (zh) * | 2021-12-02 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种IPsec数据处理方法、终端及存储介质 |
| WO2024032312A1 (en) * | 2022-08-08 | 2024-02-15 | International Business Machines Corporation | Distribution of a cryptographic service provided private session key to network communication device for secured communications |
| US11916890B1 (en) | 2022-08-08 | 2024-02-27 | International Business Machines Corporation | Distribution of a cryptographic service provided private session key to network communication device for secured communications |
| US11924179B2 (en) | 2022-08-08 | 2024-03-05 | International Business Machines Corporation | API based distribution of private session key to network communication device for secured communications |
| US12088567B2 (en) | 2022-08-08 | 2024-09-10 | International Business Machines Corporation | Distribution of private session key to network communication device for secured communications |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103227742B (zh) | 2015-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
| CN103227742B (zh) | 一种IPSec隧道快速处理报文的方法 | |
| US8327129B2 (en) | Method, apparatus and system for internet key exchange negotiation | |
| WO2017173806A1 (zh) | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 | |
| CN101499972B (zh) | Ip安全报文转发方法及装置 | |
| AU2007261003B2 (en) | Method and apparatus for encrypted communications using IPsec keys | |
| CN108075890A (zh) | 数据发送端、数据接收端、数据传输方法及系统 | |
| CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN102891848B (zh) | 利用IPSec安全联盟进行加密解密的方法 | |
| CN113364811B (zh) | 基于ike协议的网络层安全防护系统及方法 | |
| US20220263811A1 (en) | Methods and Systems for Internet Key Exchange Re-Authentication Optimization | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| CN102970228B (zh) | 一种基于IPsec的报文传输方法和设备 | |
| CN116055091B (zh) | 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及系统 | |
| Liyanage et al. | Securing virtual private LAN service by efficient key management | |
| CN115766172B (zh) | 基于dpu和国密的报文转发方法、装置、设备及介质 | |
| WO2016165277A1 (zh) | 一种实现IPsec分流的方法和装置 | |
| CN107645513A (zh) | 一种IPsec内容审计装置及方法 | |
| Cho et al. | Secure open fronthaul interface for 5G networks | |
| CN110430221A (zh) | 一种基于邻居发现协议的ndp-esp网络安全方法 | |
| EP3635909A1 (en) | Id-based data plane security for identity-oriented networks | |
| CN111835613A (zh) | 一种vpn服务器的数据传输方法及vpn服务器 | |
| Dunbar | IPsec Networking Standards—An Overview | |
| KR20130077202A (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| Cho et al. | TLV-to-MUC Express: Post-quantum MACsec in VXLAN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150916 Termination date: 20180326 |