CN107911212A - 一种桥接传输加密的方法 - Google Patents
一种桥接传输加密的方法 Download PDFInfo
- Publication number
- CN107911212A CN107911212A CN201711098496.0A CN201711098496A CN107911212A CN 107911212 A CN107911212 A CN 107911212A CN 201711098496 A CN201711098496 A CN 201711098496A CN 107911212 A CN107911212 A CN 107911212A
- Authority
- CN
- China
- Prior art keywords
- encryption
- message
- bridge joint
- interface
- encryption device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信技术领域,具体涉及一种桥接传输加密的方法。该种桥接传输加密的方法,包括在现有网络中插入加密设备,使用桥接接口分别和上下游设备对接,加密设备对报文进行传输模式加密和解密,可以与量子网关相结合实现量子加密的灵活部署。该种桥接传输加密的方法可以实现用户在现有网络设置不做调整和修改的前提下,对现有网络中的流量进行桥接传输加密,提高网络的安全性,并且能够和新型的量子网关设备结合实现量子加密,可以灵活的部署到现有网络中。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种桥接传输加密的方法。
背景技术
IPSEC(Internet Protocol Security因特网协议安全)是一种开放标准的框架结构,通过使用加密的安全服务以确保在IP网络上进行保密而安全的通讯。IPSEC通过ISAKMP协议协商安全联盟SA。ISAKMP(Internet SecurityAssociation and Key ManagementProtocol)是IPSec密钥管理协议,为IPSEC提高身份认证以及密钥交换技术。安全联盟SA(SecurityAssociation)是IPSec的基础,是通信双方建立的一种协定,决定了用来保护数据包的封装协议、加密和认证算法、密钥以及密钥有效期等。IPSEC有ESP和AH两种封装协议,ESP提供数据加密和认证,AH不进行加密只进行完整性认证。IPSEC有两种加密模式:隧道模式和传输模式,隧道模式加密IP头及以后的内容,并封装新的IP头形成IP隧道;传输模式加密IP头以后的内容,原IP头保持不变。
IPSEC需要端到端设备支持,当现有设备不支持IPSEC时,就需要部署支持IPSEC的加密设备,由于IPSEC工作在IP层,所以部署时需要改变现有IP层设备配置和组网。当尤其是新型量子加密设备推广时,需要不改变现有设备组网和配置,灵活的部署到现有网络中。
发明内容
本发明的目的就是在现有网络设备不做调整和修改的前提下,对现有网络中的流量进行桥接传输加密。
为实现上述目的,本发明提供如下技术方案:
一种桥接传输加密的方法,包括以下步骤:
步骤1:有两个需要加密的内部网络,在各自的现有上下游设备之间,插入加密设备;
步骤2:本端加密设备1与远端加密设备2,通过ISAKMP协商,得到加密联盟SA,建立隧道接口;
步骤3:在隧道接口上配置到达远端内部网络的路由,通过该路由选路找到目标网络的SA;
步骤4:加密设备通过ingress接口和egress接口,分别与上下游设备连接,接口工作在桥接模式,现有上下游设备配置不做修改;
步骤5:加密设备从ingress接口收包后,查找路由,若出接口伪隧道接口,找到对应的SA,对报文进行传输模式加密,加密IP层以上的内容,IP层及以下的内容不作改变,然后进行ESP或AH封装,从egress接口发出去,查不到路由或非IP报文(如ARP报文)直接从egress接口发出去;
步骤6:加密设备从egress接口收包后,若当前报文有ESP或AH封装,则取封装头部的SPI查找SA进行解密,解密后从ingress接口发出去,其余报文直接从ingress接口发出去。
所述桥接传输加密的方法的上游设备为网关,下游设备为交换机。
所述桥接传输加密的方法步骤2中的加密设备可结合量子网关,获取量子密钥进行量子加密。
所述桥接传输加密的方法步骤2包括以下步骤:
步骤21:在两端加密设备旁部署量子网关,量子网关通过专用光纤连接,作为量子信道分发量子密钥;
步骤22:加密设备从量子网关获取量子密钥作为SA;
步骤23:加密设备使用量子密钥SA对报文进行加解密。
所述桥接传输加密的方法步骤5加密时ESP或AH封装会增加报文长度,当超过egress接口MTU时,需要对报文进行分片,接收时需要重组。
所述桥接传输加密的方法步骤5包括以下步骤:
步骤51:从ingress接口收包后,若原始报文是分片包,需要对报文进行重组后,再进行加密;
步骤52:从ingress接口收包并加密后,对加密报文进行ESP或AH封装,若封装后的报文超过egress接口MTU后,需要对报文进行分片;
步骤53:从egress接口收包后,若当前报文有ESP或AH封装,且是分片包,需要对报文进行重组,然后进行解密。
所述桥接传输加密的方法有至少3台加密设备时,需要两两之间进行IKE协商,建立多个伪隧道接口,并配置目标网段的路由。
所述桥接传输加密的方法1台加密设备可以设置至少1对桥接接口,可实现至少1组桥接链路同时加密的需求。
所述桥接传输加密的方法加密设备可以配置ACL,加密时根据ACL筛选指定的流量进行加密。
与现有技术相比较,本发明提供的桥接传输加密的方法具有如下有益效果:可以实现用户在现有网络设置不做调整和修改的前提下,对现有网络中的流量进行桥接传输加密,提高网络的安全性,并且能够和新型的量子网关设备结合实现量子加密,可以灵活的部署到现有网络中。
附图说明
图1是本发明的网络拓扑图;
图2是本发明结合量子加密的网络拓扑图;
图3是本发明的加密流程的示意图;
图4是本发明的解密流程的示意图。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,一种桥接传输加密的方法,有2套加密设备,其余设备为现有网络设备,包括以下步骤:
步骤1:有两个需要加密的内部网络,在各自的上游设备网关和下游设备交换机之间,插入加密设备;
步骤2:本端加密设备1与远端加密设备2,通过ISAKMP协商,得到加密联盟SA,建立隧道接口;
步骤3:在隧道接口上配置到达远端内部网络的路由,通过该路由选路找到目标网络的SA;
步骤4:加密设备通过ingress接口和egress接口,分别与交换机和网关连接,接口工作在桥接模式,现有交换机和网关配置不做修改;
步骤5:如图3所示,加密设备从ingress接口收包后,查找路由,若出接口伪隧道接口,找到对应的SA,对报文进行传输模式加密,加密IP层以上的内容,IP层及以下的内容不作改变,然后进行ESP或AH封装,从egress接口发出去,查不到路由或非IP报文直接从egress接口发出去;
步骤6:如图4所示,加密设备从egress接口收包后,若当前报文有ESP或AH封装,则取封装头部的SPI查找SA进行解密,解密后从ingress接口发出去,其余报文直接从ingress接口发出去。
实施例2
一种桥接传输加密的方法,有3套加密设备,其余设备为现有网络设备,包括以下步骤:
步骤1:有三个需要加密的内部网络,在各自的上游设备网关和下游设备交换机之间,插入加密设备;
步骤2:本端加密设备1与远端加密设备2、远端加密设备3,两两之间通过IKE协商,得到加密联盟SA,建立3个伪隧道接口;
步骤3:在隧道接口上配置到达远端内部网络的路由,通过该路由选路找到目标网络的SA;
步骤4:加密设备通过ingress接口和egress接口,分别与交换机和网关连接,接口工作在桥接模式,现有交换机和网关配置不做修改;
步骤5:如图3所示,加密设备从ingress接口收包后,查找路由,若出接口伪隧道接口,找到对应的SA,对报文进行传输模式加密,加密IP层以上的内容,IP层及以下的内容不作改变,然后进行ESP或AH封装,从egress接口发出去,查不到路由或非IP报文直接从egress接口发出去;
步骤6:如图4所示,加密设备从egress接口收包后,若当前报文有ESP或AH封装,则取封装头部的SPI查找SA进行解密,解密后从ingress接口发出去,其余报文直接从ingress接口发出去。
实施例3
如图2所示,一种桥接传输加密的方法,有2套加密设备和量子网关,其余设备为现有网络设备,包括以下步骤:
步骤1:有两个需要加密的内部网络,在各自的上游设备网关和下游设备交换机之间,插入加密设备;
步骤2:在两端加密设备旁部署量子网关,量子网关通过专用光纤连接,作为量子信道分发量子密钥,加密设备不再使用ISAKMP协商SA,改为从量子网关获取量子密钥作为SA;
步骤3:在隧道接口上配置到达远端内部网络的路由,通过该路由选路找到目标网络的SA;
步骤4:加密设备通过ingress接口和egress接口,分别与交换机和网关连接,接口工作在桥接模式,现有交换机和网关配置不做修改;
步骤5:如图3所示,加密设备从ingress接口收包后,查找路由,若出接口伪隧道接口,找到对应的SA,对报文进行传输模式加密,加密IP层以上的内容,IP层及以下的内容不作改变,然后进行ESP或AH封装,从egress接口发出去,查不到路由或非IP报文直接从egress接口发出去;
步骤6:如图4所示,加密设备从egress接口收包后,若当前报文有ESP或AH封装,则取封装头部的SPI查找SA进行解密,解密后从ingress接口发出去,其余报文直接从ingress接口发出去。
使用本发明的桥接传输加密的方法,可以实现用户在现有网络设备不做调整和修改的前提下,对现有网络中的流量进行桥接传输加密,提高网络的安全性,并且能够和新型的量子网关设备结合实现量子加密,可以灵活的部署到现有网络中。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (9)
1.一种桥接传输加密的方法,其特征在于,包括以下步骤:
步骤1:有两个需要加密的内部网络,在各自的现有上下游设备之间,插入加密设备;
步骤2:本端加密设备1与远端加密设备2,通过ISAKMP协商,得到加密联盟SA,建立隧道接口;
步骤3:在隧道接口上配置到达远端内部网络的路由,通过该路由选路找到目标网络的SA;
步骤4:加密设备通过ingress接口和egress接口,分别与上下游设备连接,接口工作在桥接模式,现有上下游设备配置不做修改;
步骤5:加密设备从ingress接口收包后,查找路由,若出接口伪隧道接口,找到对应的SA,对报文进行传输模式加密,加密IP层以上的内容,IP层及以下的内容不作改变,然后进行ESP或AH封装,从egress接口发出去,查不到路由或非IP报文直接从egress接口发出去;
步骤6:加密设备从egress接口收包后,若当前报文有ESP或AH封装,则取封装头部的SPI查找SA进行解密,解密后从ingress接口发出去,其余报文直接从ingress接口发出去。
2.根据权利要求1所述的桥接传输加密的方法,其特征在于:上游设备为网关,下游设备为交换机。
3.根据权利要求1所述的桥接传输加密的方法,其特征在于:步骤2中的加密设备可结合量子网关,获取量子密钥进行量子加密。
4.根据权利要求3所述的桥接传输加密的方法,其特征在于,步骤2包括以下步骤:
步骤21:在两端加密设备旁部署量子网关,量子网关通过专用光纤连接,作为量子信道分发量子密钥;
步骤22:加密设备从量子网关获取量子密钥作为SA;
步骤23:加密设备使用量子密钥SA对报文进行加解密。
5.根据权利要求1所述的桥接传输加密的方法,其特征在于:步骤5加密时ESP或AH封装会增加报文长度,当超过egress接口MTU时,需要对报文进行分片,接收时需要重组。
6.根据权利要求5所述的桥接传输加密的方法,其特征在于,步骤5包括以下步骤:
步骤51:从ingress接口收包后,若原始报文是分片包,需要对报文进行重组后,再进行加密;
步骤52:从ingress接口收包并加密后,对加密报文进行ESP或AH封装,若封装后的报文超过egress接口MTU后,需要对报文进行分片;
步骤53:从egress接口收包后,若当前报文有ESP或AH封装,且是分片包,需要对报文进行重组,然后进行解密。
7.根据权利要求1所述的桥接传输加密的方法,其特征在于:有至少3台加密设备时,需要两两之间进行IKE协商,建立伪隧道接口,并配置目标网段的路由。
8.根据权利要求1所述的桥接传输加密的方法,其特征在于:1台加密设备可以设置至少1对桥接接口,可实现至少1组桥接链路同时加密的需求。
9.根据权利要求1所述的桥接传输加密的方法,其特征在于:加密设备可以配置ACL,加密时根据ACL筛选指定的流量进行加密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711098496.0A CN107911212A (zh) | 2017-11-09 | 2017-11-09 | 一种桥接传输加密的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711098496.0A CN107911212A (zh) | 2017-11-09 | 2017-11-09 | 一种桥接传输加密的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107911212A true CN107911212A (zh) | 2018-04-13 |
Family
ID=61844616
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711098496.0A Pending CN107911212A (zh) | 2017-11-09 | 2017-11-09 | 一种桥接传输加密的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107911212A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109104428A (zh) * | 2018-08-28 | 2018-12-28 | 南京航空航天大学 | 物联网数据量子加密传输设备及传输方法 |
CN109257388A (zh) * | 2018-11-20 | 2019-01-22 | 安徽皖通邮电股份有限公司 | 一种mpls-tp中伪线加密方法 |
WO2020140842A1 (zh) * | 2019-01-04 | 2020-07-09 | 华为技术有限公司 | 数据传输方法、设备与系统 |
CN112152802A (zh) * | 2020-09-09 | 2020-12-29 | 深圳市欢太科技有限公司 | 数据加密方法、电子设备及计算机存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051987A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种利用IPSec将网络路由扩展到远程网络的方法及装置 |
US20110231654A1 (en) * | 2010-03-16 | 2011-09-22 | Gurudas Somadder | Method, system and apparatus providing secure infrastructure |
CN103269301A (zh) * | 2013-05-30 | 2013-08-28 | 中国科学院长春光学精密机械与物理研究所 | 桌面型IPSecVPN密码机及组网方法 |
CN106230585A (zh) * | 2016-07-22 | 2016-12-14 | 安徽皖通邮电股份有限公司 | 一种量子密钥快速同步更新的方法 |
-
2017
- 2017-11-09 CN CN201711098496.0A patent/CN107911212A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051987A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种利用IPSec将网络路由扩展到远程网络的方法及装置 |
US20110231654A1 (en) * | 2010-03-16 | 2011-09-22 | Gurudas Somadder | Method, system and apparatus providing secure infrastructure |
CN103269301A (zh) * | 2013-05-30 | 2013-08-28 | 中国科学院长春光学精密机械与物理研究所 | 桌面型IPSecVPN密码机及组网方法 |
CN106230585A (zh) * | 2016-07-22 | 2016-12-14 | 安徽皖通邮电股份有限公司 | 一种量子密钥快速同步更新的方法 |
Non-Patent Citations (1)
Title |
---|
陈五友: "《基于IPSEC协议的VPN安全网关研究》", 《中国优秀博硕士学位论文全文数据库 (硕士) 信息科技辑》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109104428A (zh) * | 2018-08-28 | 2018-12-28 | 南京航空航天大学 | 物联网数据量子加密传输设备及传输方法 |
CN109257388A (zh) * | 2018-11-20 | 2019-01-22 | 安徽皖通邮电股份有限公司 | 一种mpls-tp中伪线加密方法 |
WO2020140842A1 (zh) * | 2019-01-04 | 2020-07-09 | 华为技术有限公司 | 数据传输方法、设备与系统 |
CN111416791A (zh) * | 2019-01-04 | 2020-07-14 | 华为技术有限公司 | 数据传输方法、设备与系统 |
CN111416791B (zh) * | 2019-01-04 | 2022-06-14 | 华为技术有限公司 | 数据传输方法、设备与系统 |
US11652910B2 (en) | 2019-01-04 | 2023-05-16 | Huawei Technologies Co., Ltd. | Data transmission method, device, and system |
CN112152802A (zh) * | 2020-09-09 | 2020-12-29 | 深圳市欢太科技有限公司 | 数据加密方法、电子设备及计算机存储介质 |
CN112152802B (zh) * | 2020-09-09 | 2023-06-20 | 深圳市欢太科技有限公司 | 数据加密方法、电子设备及计算机存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8347377B2 (en) | Bridged cryptographic VLAN | |
US9357410B2 (en) | Wireless network flow monitoring | |
CN107911212A (zh) | 一种桥接传输加密的方法 | |
CN101682569B (zh) | 用于在固定网络架构中漫游Wi-Fi接入的PANA | |
US20080198863A1 (en) | Bridged Cryptographic VLAN | |
EP3103311B1 (en) | Methods and apparatuses for handling communication in a communication system comprising an access point and a wire line network node connected via wire line to the access point | |
EP2777217B1 (en) | Protocol for layer two multiple network links tunnelling | |
CN104283701A (zh) | 配置信息的下发方法、系统及装置 | |
CN102136987B (zh) | 一种mpls vpn中的报文转发方法和pe设备 | |
CN101515859B (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
CN101572644B (zh) | 一种数据封装方法和设备 | |
CN110858822B (zh) | 媒体接入控制安全协议报文传输方法和相关装置 | |
CN107426248A (zh) | 一种基于网络编码的wmn匿名通信方法 | |
CN105635154A (zh) | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 | |
JP2022075398A (ja) | 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム | |
CN110086720B (zh) | 基于二维路由协议实现l3vpn的方法及系统 | |
CN107135152A (zh) | 一种分组传送网中传输关键信息的安全加固方法 | |
CN109257388A (zh) | 一种mpls-tp中伪线加密方法 | |
CN103581034B (zh) | 一种报文镜像和加密传输方法 | |
CN111866865B (zh) | 一种数据传输方法、5g专网建立方法及系统 | |
Xenakis et al. | Secure VPN deployment in GPRS mobile network | |
Caldera et al. | Performance analysis of IPSec and IKE for mobile IP on wireless environments | |
Yurcik et al. | A planning framework far implementing virtual private networks | |
Liyanage | Enhancing security and scalability of virtual private LAN services | |
CN108243082A (zh) | 一种数据传输方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180413 |
|
RJ01 | Rejection of invention patent application after publication |