CN110691074B - 一种IPv6数据加密方法、IPv6数据解密方法 - Google Patents

一种IPv6数据加密方法、IPv6数据解密方法 Download PDF

Info

Publication number
CN110691074B
CN110691074B CN201910893716.1A CN201910893716A CN110691074B CN 110691074 B CN110691074 B CN 110691074B CN 201910893716 A CN201910893716 A CN 201910893716A CN 110691074 B CN110691074 B CN 110691074B
Authority
CN
China
Prior art keywords
encryption
network data
data frame
decryption
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910893716.1A
Other languages
English (en)
Other versions
CN110691074A (zh
Inventor
白建
马星星
齐振华
范琳琳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Riscv Electronic Technology Co ltd
Original Assignee
Xi'an Riscv Electronic Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Riscv Electronic Technology Co ltd filed Critical Xi'an Riscv Electronic Technology Co ltd
Priority to CN201910893716.1A priority Critical patent/CN110691074B/zh
Publication of CN110691074A publication Critical patent/CN110691074A/zh
Application granted granted Critical
Publication of CN110691074B publication Critical patent/CN110691074B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种IPv6数据加密方法、IPv6数据解密方法,该IPv6数据加密方法应用于相互连接的第一网络设备和加密设备,加密设备执行IPv6数据加密方法时包括:接收第一网络数据帧;从第一网络数据帧中获取第一有效载荷,根据第一预设规则得到加密标识,加密标识为第一标识,对第一有效载荷进行加密得到密文数据,加密标识为第二标识,根据第一配置参数对第一网络数据帧进行第一预设处理;发送第二网络数据帧,第二网络数据帧包括密文数据。本发明IPv6数据加密方法对有效载荷进行加密,不改变网络数据帧的帧头结构,加密后的网络数据帧与加密前的网络数据帧结构完全一致,外部无法区分是加密后的网络数据帧,还是加密前的网络数据帧,网络安全性强。

Description

一种IPv6数据加密方法、IPv6数据解密方法
技术领域
本发明属于通信技术领域,具体涉及一种IPv6数据加密方法、IPv6数据解密方法。
背景技术
随着网络越来越发达,日常工作办公已离不开网络,越来越多的数据信息要通过网络传输。公共网络传输数据存在较大的安全隐患,专线网络成本较高。VPN依赖运营商提供服务,且费用较高。公网和内网切换较麻烦,来回切换不但影响工作效率,数据安全也很难保证。
目前网络上主要还是以IPv4为主,但随着IPv4资源即将耗尽,下一代物联网解决方案IPv6的成熟,运营商及各大网站对IPvC6的支持和完善。IPv6将很快进入生活中各个网络应用环境,并逐渐实现“IPv6 Only”。
但基于IPv6的数据加密或解密方法尚未普及,急需设计基于IPv6的数据加密方法,而且传统的数据加密大都是对整个网络数据帧进行加密,而采用该加密方法对整个网络数据帧进行加密,会使网络数据帧的所有数据都被加密,导致加密后的网络数据帧可能无法被正常传输。
发明内容
为了解决现有技术中存在的上述问题,本发明提供了一种IPv6数据加密方法、IPv6数据解密方法。
本发明实施例提供了一种IPv6数据加密方法,应用于相互连接的第一网络设备和加密设备,其中,所述加密设备执行所述IPv6数据加密方法时包括以下步骤:
接收第一网络数据帧,所述第一网络数据帧由所述第一网络设备发送;
从所述第一网络数据帧中获取第一有效载荷,根据第一预设规则得到加密标识,判断所述加密标识的状态,若所述加密标识为第一标识,则对所述第一有效载荷进行加密处理得到密文数据,若所述加密标识为第二标识,则根据第一配置参数对所述第一网络数据帧进行第一预设处理。
发送第二网络数据帧,所述第二网络数据帧包括所述密文数据。
在本发明的一个实施例中,根据第一预设规则判断所述第一有效载荷的加密标识,包括:
判断所述第一网络数据帧的五元组与所述加密设备的预设五元组列表是否匹配,若所述加密设备的预设五元组列表中存在与所述第一网络数据帧的五元组匹配的第一五元组,则所述加密标识设置为所述第一标识,若所述加密设备的预设五元组列表中不存在与所述第一网络数据帧的五元组匹配的第一五元组,则所述加密标识设置为所述第二标识。
在本发明的一个实施例中,所述加密标识设置为第一标识之后,还包括:
判断所述第一网络数据帧的流标签与所述加密设备的预设流标签列表是否匹配,若所述加密设备的预设流标签列表中存在与所述第一网络数据帧的流标签匹配的第一流标签,则所述加密标识保持设置为所述第一标识,若所述加密设备的预设流标签列表中不存在与所述第一网络数据帧的流标签匹配的第一流标签,则所述加密标识修改设置为所述第二标识。
在本发明的一个实施例中,对所述第一有效载荷进行加密处理得到密文数据,包括:
获取所述加密设备的预设五元组列表中与所述第一网络数据帧的五元组匹配的第一五元组;
获取所述加密设备的预设流标签列表中与所述第一网络数据帧的流标签匹配的第一流标签;
根据所述第一五元组和所述第一流标签得到加密方式;
根据所述第一五元组和所述第一流标签得到加密秘钥;
根据所述加密方式和所述加密秘钥对所述第一有效载荷进行加密处理得到密文数据。
在本发明的一个实施例中,还包括判断是否配置或开启了第一MAC管理,若没有配置或开启所述第一MAC管理,则进行如上所述任意一项所述IPv6数据加密方法,若配置且开启了所述第一MAC管理,则根据第二预设规则对所述第一网络数据帧进行处理。
本发明另一实施例提供了一种IPv6数据解密方法,应用于相互连接的解密设备和第二网络设备,其中,所述解密设备执行所述IPv6数据解密方法时包括以下步骤:
接收第三网络数据帧;
从所述第三网络数据帧中获取第二有效载荷,根据第三预设规则得到解密标识,判断所述解密标识的状态,若所述解密标识为第三标识,则对所述第二有效载荷进行解密处理得到明文数据,若所述解密标识为第四标识,则根据第二配置参数对所述第三网络数据帧进行第二预设处理。
发送第四网络数据帧至所述第二网络设备,所述第四网络数据帧包括所述明文数据。
在本发明的一个实施例中,根据第三预设规则判断所述第二有效载荷的解密标识,包括:
判断所述第三网络数据帧的五元组与所述解密设备的预设五元组列表是否匹配,若所述解密设备的预设五元组列表中存在与所述第三网络数据帧的五元组匹配的第二五元组,则所述解密标识设置为所述第三标识,若所述解密设备的预设五元组列表中不存在与所述第三网络数据帧的五元组匹配的第二五元组,则所述解密标识设置为所述第四标识。
在本发明的一个实施例中,所述解密标识设置为第三标识之后,还包括:
判断所述第三网络数据帧的流标签与所述解密设备的预设流标签列表是否匹配,若所述解密设备的预设流标签列表中存在与所述第三网络数据帧的流标签匹配的第二流标签,则所述解密标识保持设置为所述第三标识,若所述解密设备的预设流标签列表中不存在与所述第三网络数据帧的流标签匹配的第二流标签,则所述解密标识修改设置为所述第二标识。
在本发明的一个实施例中,对所述第二有效载荷进行解密处理得到明文数据,包括:
获取所述解密设备的预设五元组列表中与所述第三网络数据帧的五元组匹配的第二五元组;
获取所述解密设备的预设流标签列表中与所述第三网络数据帧的流标签匹配的第二流标签;
根据所述第二五元组和所述第二流标签得到解密方式;
根据所述第二五元组和所述第二流标签得到解密秘钥;
根据所述解密方式和所述解密秘钥对所述第二有效载荷进行解密处理得到明文数据。
在本发明的一个实施例中,还包括判断是否配置或开启了第二MAC管理,若没有配置或开启所述第二MAC管理,则进行如上所述任意一项所述IPv6数据解密方法,若配置且开启了所述第二MAC管理,则根据第四预设规则对所述第三网络数据帧进行处理。
与现有技术相比,本发明的有益效果:
本发明IPv6数据加密方法选择对有效载荷进行加密,不改变网络数据帧的帧头结构,不影响网络性能,加密后的网络数据帧与加密前的网络数据帧的结构完全一致,外部无法区分是加密后的网络数据帧,还是加密前的网络数据帧,不容易遭受攻击,网络安全性更强。
以下将结合附图及实施例对本发明做进一步详细说明。
附图说明
图1是本发明实施例提供的一种IPv6数据加密方法的流程示意图;
图2是本发明实施例提供的一种IPv6数据加密方法中第一网络设备和加密设备之间的连接关系示意图;
图3是本发明实施例提供的一种IPv6数据解密方法的流程示意图;
图4是本发明实施例提供的一种IPv6数据解密方法中解密设备和第二网络设备之间的连接关系示意图;
图5是本发明实施例提供的一种IPv6数据加密方法、数据解密方法中各网络设备之间的连接关系示意图;
图6是本发明实施例提供的另一种IPv6数据加密方法、数据解密方法中各网络设备之间的连接关系示意图。
具体实施方式
下面结合具体实施例对本发明做进一步详细的描述,但本发明的实施方式不限于此。
实施例一
请参见图1,图1是本发明实施例提供的一种IPv6数据加密方法的流程示意图。本发明实施例提供了一种IPv6数据加密方法,应用于相互连接的第一网络设备和加密设备,其中,加密设备执行IPv6数据加密方法时包括如下步骤:
步骤1、接收第一网络数据帧,第一网络数据帧由第一网络设备发送;
步骤2、从所述第一网络数据帧中获取第一有效载荷,根据第一预设规则得到加密标识,判断加密标识的状态,若所述加密标识为第一标识,则对所述第一有效载荷进行加密处理得到密文数据,若所述加密标识为第二标识,则根据第一配置参数对所述第一网络数据帧进行第一预设处理;
步骤3、发送第二网络数据帧,第二网络数据帧包括密文数据。
具体而言,目前保密数据在公共网络上传输存在不安全性,软件加密无法实现所有网络数据的加密,且不便于统一管理,随着IPv4资源即将耗尽,下一代物联网解决方案IPv6的成熟,急需要基于IPv6的数据加密、解密方法。基于上述问题,本实施例提供了一种IPv6数据解密方法,请参见图2,图2是本发明实施例提供的一种IPv6数据加密方法中第一网络设备和加密设备之间的连接关系示意图,本实施例第一网络设备发送第一网络数据帧至加密设备,加密设备从第一网络数据帧中获取第一有效载荷,然后根据第一预设规则得到对第一有效载荷是否加密的加密标识,在第一标识下对第一有效载荷进行加密处理得到密文数据,对第一有效载荷进行加密处理具体地将第一网络数据帧的帧头与第一网络数据帧中的第一有效载荷进行重新封装形成第二网络数据帧,第二网络数据帧包括密文数据,在第二标识下根据第一配置参数对所述第一网络数据帧进行第一预设处理,第一配置参数在加密设备上根据实际网络需要进行配置,加密设备将第二网络数据帧发送至后级网络设备。其中,第一预设处理包括透传、丢弃或其他处理,此时第一预设处理优选为透传,选择透传可以实现与任何网络进行明文通信,不影响访问公共网络数据。
传统数据加密大都是对整个网络数据帧进行加密,而采用该加密方法对整个网络数据帧进行加密,会使网络数据帧的所有数据都被加密,导致加密后的网络数据帧可能无法被正常传输。而本实施例选择对有效载荷进行加密,不改变网络数据帧的帧头结构,不影响网络性能,加密后的网络数据帧与加密前的网络数据帧的结构完全一致,外部无法区分是加密后的网络数据帧,还是加密前的网络数据帧,不容易遭受攻击,网络安全性更强。
进一步地,本实施例步骤1中加密设备接收第一网络数据帧,第一网络数据帧由第一网络设备发送。
具体而言,请参见图2,本实施例第一网络设备通过网口A将第一网络数据帧发送至加密设备。其中,第一网络数据帧包括第一网络设备的应用层数据,以及依次在应用层数据上添加的EthernetII首部、IPv6首部、TCP首部或UDP首部,具体地:
本实施例添加的EthernetII首部的帧结构如表1所示,具体为:
表1 EthernetII首部的帧结构
Figure BDA0002209578240000071
本实施例添加的IPv6首部的帧结构如表2所示,具体为:
表3 IPv6首部的帧结构
Figure BDA0002209578240000072
本实施例添加的TCP首部的帧结构如表3所示,具体为:
表3 TCP首部的帧结构
Figure BDA0002209578240000081
本实施例添加的UDP首部的帧结构如表4所示,具体为:
表4 UDP首部的帧结构
Figure BDA0002209578240000082
根据表1得到的EthernetII首部、表2得到的IPv6首部、表3得到的TCP首部,以及通过网口A学习得到的应用层数据,构建得到本实施例第一网络数据帧如表5所示,或根据表1得到的EthernetII首部、表2得到的IPv6首部、表4得到的UDP首部,构建得到本实施例第一网络数据帧如表5所示,具体为:
表5第一网络数据帧的结构
EthernetII首部 IPv6首部 TCP首部或UDP首部 应用层数据
进一步地,本实施例步骤2从所述第一网络数据帧中获取第一有效载荷,根据第一预设规则得到加密标识,根据加密标识的状态对第一有效载荷进行处理。
具体而言,本实施例并非对整个第一网络数据帧进行加密处理,而是获取第一网络数据帧的第一有效载荷,根据第一预设规则得到第一有效载荷的是否进行加密处理的加密标识,通过加密标识对第一有效载荷进行处理,具体步骤2包括步骤2.1、步骤2.2、步骤2.3:
步骤2.1、根据第一预设规则得到加密标识。
具体而言,本实施例第一预设规则包括判断所述第一网络数据帧的五元组与所述加密设备的预设五元组列表是否匹配,若所述加密设备的预设五元组列表中存在与所述第一网络数据帧的五元组匹配的第一五元组,则所述加密标识设置为所述第一标识,若所述加密设备的预设五元组列表中不存在与所述第一网络数据帧的五元组匹配的第一五元组,则所述加密标识设置为所述第二标识。加密设备上预先配置有预设五元组列表,该预设五元组列表中包括网络中所有需要加密的网络数据帧对应的五元组,每一五元组记为第一五元组。加密设备接收到第一网络数据帧后,判断加密设备的预设五元组列表中是否存在与第一网络数据帧的五元组匹配的第一五元组,若存在,则将加密标识设置为所述第一标识,若不存在,将加密标识设置为所述第二标识。其中,本实施例第一网络数据帧的五元组、加密设备的预设五元组列表中的每个第一五元组均包括源IPv6地址、源端口、目的IPv6地址、目的端口和传输层协议。其中,加密设备上的预设五元组列表中的每个第一五元组中的源IPv6地址、目的IPv6地址均支持IPv6地址通配符,IPv6地址可以是任意精确的IPv6地址、带通配符代表的任意IPv6地址,源端口或是目的端口可以是精确数值、任意端口号或部分指定范围端口号,传输层协议支持TCP或UDP,流标签可以是精确数值、任意值或指定范围,源IPv6地址与目的IPv6地址根据网络数据加密的实际配置情况而定。
本实施提供的五元组加密策略,能够实现加密设备对网络数据帧的一对一、一对多,以及多对多的加密处理,对网络中的指定网络数据帧进行加密,且便于统一管理;本实施例提供的五元组加密策略,可以在任何网络环境下使用,使用TCP/UDP协议,不依赖任何其他服务。
进一步地,本实施例第一预设规则还包括在上述加密标识设置为第一标识之后,判断所述第一网络数据帧的流标签与所述加密设备的预设流标签列表是否匹配,若所述加密设备的预设流标签列表中存在与所述第一网络数据帧的流标签匹配的第一流标签,则所述加密标识保持设置为所述第一标识,若所述加密设备的预设流标签列表中不存在与所述第一网络数据帧的流标签匹配的第一流标签,则所述加密标识修改设置为所述第二标识。加密设备上预先配置有预设流标签列表,该预设流标签列表中包括网络中所有需要加密的网络数据帧对应的流标签,每一流标签记为第一流标签。加密设备通过第一网络数据帧的五元组得到加密标识为第一标识后,再判断加密设备的预设流标签列表中是否存在与第一网络数据帧的流标签匹配的第一流标签,若存在,则将加密标识保持设置为所述第一标识,后续对第一有效载荷进行加密处理,若不存在,加密标识修改设置为所述第二标识,后续只需要按第一配置参数对第一网络数据帧进行第一预设处理。
本实施提供的五元组结合流标签的加密策略,实现了加密设备对网络数据帧的一对一、一对多,以及多对多的加密处理外,由于加密设备上预先配置的预设流标签列表与预先配置的五元组列表一起配置,每一网络数据帧的流标签不同,以实现对不同网络数据帧进行不同的加密处理,更加提高了网络信息安全性。
步骤2.2、加密标识为第一标识,则对所述第一有效载荷进行加密处理得到密文数据。
具体而言,本实施例加密标识为第一标识,即第一网络数据帧的五元组和流标签均存在与加密设备上匹配的第一五元组和第一流标签时,则加密设备对第一有效载荷进行加密处理,具体地,本实施例首先获取所述加密设备的预设五元组列表中与所述第一网络数据帧的五元组匹配的第一五元组,获取所述加密设备的预设流标签列表中与所述第一网络数据帧的流标签匹配的第一流标签,然后根据所述第一五元组和所述第一流标签得到加密方式,同时根据所述第一五元组和所述第一流标签得到加密秘钥,最后根据所述加密方式和所述加密秘钥对所述第一有效载荷进行加密处理得到密文数据:
本实施例加密设备的预设五元组列表中的每一第一五元组和加密设备的预设流标签列表中的每一第一流标签共同对应一种加密方式和一组加密秘钥,每一第一五元组和第一流标签对应设置的加密方式可相同可不相同,加密秘钥可相同可不相同。当加密标识为第一标识,即存在一第一五元组与第一网络数据帧的五元组匹配,且同时存在一第一流标签与第一网络数据帧的流标签匹配时,则根据该第一五元组和第一流标签找到其对应配置的加密方式和加密秘钥,通过加密方式和加密秘钥对第一网络数据帧中的第一有效载荷,即需要加密的网络数据进行加密得到密文数据。加密方式可以采用sm4、zuc、aes、des等加密方法。其中,当第一五元组和第一流标签对应的加密方式为强制透传时,可以不设置加密秘钥,直接传输第一网络数据帧;当第一五元组和第一流标签对应的加密方式为非强制透传时,在上述加密方式下,结合与其对应配置的加密秘钥对第一网络数据帧的第一有效载荷进行加密。
本实施例加密设备支持一对一、一对多,以及多对多的网络数据帧的加密处理。比如在对多对多的网络数据帧的加密处理中,多个第一网络设备同时发送网络数据帧,加密设备接收到多个网络数据帧,则依次在加密设备上判断加密标识的状态,若加密标识同时存在多个第一标识时,按照优先级最高的一条第一标识处理,第一标识的优先级已预先设置在加密设备中,具体第一标识的优先级与加密设备上预先设置的五元组列表中的第一五元组有关。对于匹配上的网络数据帧,根据其第一五元组和第一流标签对应的加密方式和加密秘钥对匹配上的网络数据帧的第一有效载荷进行加密。
本实施例加密设备中存在多条第一五元组,且第一五元组支持通配符,可能会导致一条第一网络数据帧同时与多条第一五元组匹配,而每条第一五元组都对应一加密方式和加密秘钥,即同时与多条第一五元组匹配时,按优先级最高的一条第一五元组对应的加密方式和加密秘钥对第一网络数据帧的第一有效载荷进行加密。
本实施提供的五元组结合流标签的加密策略,实现了对网络设备的加密秘钥分组管理,实现了网络中网络设备的一对一、一对多,以及多对多的网络数据的加密,可以实现网络中所有网络数据的分组加密,便于统一管理,且每一网络数据帧的流标签不同,对不同网络数据帧进行不同的加密处理,更加提高了网络信息安全性。
步骤2.3、加密标识为第二标识,则根据第一配置参数对所述第一网络数据帧进行第一预设处理。
具体而言,本实施例以五元组结合流标签为加密策略,对于与加密设备的预设五元组列表中所有第一五元组均不匹配的第一网络数据帧,根据实际设计需要,进行第一预设处理,如上所述第一预设处理包括透传、丢弃或其他处理,此时第一预设处理优选透传。根据实际设计需要具体可以通过在加密设备上预先配置第一配置参数作为判断依据。
对多对多的网络数据帧的加密处理中,多个第一网络设备连接到加密设备时,加密设备对接收到的第一网络数据帧按照接收顺序依次处理。除IP分片外,加密设备每次接收到的网络数据帧都应该是一条独立的网络数据帧,加密设备应该单独处理。对应IP分片的网络数据帧,需要将分片的数据包还原为网络数据帧以后再进行加密处理。
进一步地,本实施例步骤3中加密设备发送第二网络数据帧,第二网络数据帧包括密文数据。
具体而言,本实施例加密设备将密文数据和第一网络数据帧的帧头信息重新进行封装形成第二网络数据帧,将第二网络数据帧通过网口B发送至后级网络设备,如图2所示,第一网络数据帧的帧头信息包括表1的EthernetII首部、表2的IPv6首部、表3的TCP首部或表4的UDP首部。第二网络数据帧与第一网络数据帧结构相同,帧内部分具体内容的不同,可见,本实施例加密后不修改网络数据帧的帧头内容,只加密第一有效载荷,不改变网络数据帧的结构,不影响网络性能,加密后的网络数据帧与加密前的网络数据帧的结构完全一致,外部无法区分是加密后的网络数据帧,还是加密前的网络数据帧,不容易遭受攻击,网络安全性更强。
进一步地,本实施例加密设备执行IPv6数据加密方法时还包括步骤4判断加密设备是否配置或开启了第一MAC管理。
具体而言,本实施例加密设备还支持第一MAC管理功能,第一MAC管理功能包括第一MAC名单和第二MAC名单,具体地,第一MAC名单为MAC黑名单列表,第二MAC名单为MAC白名单列表,加密设备的MAC黑名单列表、MAC白名单列表中分别预先配置有网络中所有通信网络设备对应的MAC地址。其中,开启的是MAC黑名单列表时,默认允许接收所有源MAC地址的网络数据帧,在MAC黑名单列表中的源MAC地址不允许接收,在此MAC黑名单列表开启模式下想要禁止接收某些源MAC地址的网络数据帧,直接在黑名单列表中填写要禁止接收的源MAC地址的网络数据帧;同理,开启的是MAC白名单列表时,默认所有源MAC地址的网络数据帧都禁止接收,在MAC白名单列表中的源MAC地址允许接收,在此MAC白名单列表开启模式下想要允许接收某些源MAC地址的网络数据帧,直接在MAC白名单列表中填写要允许的网络数据帧的源MAC地址。本实施例步骤4具体包括步骤4.1、步骤4.2:
步骤4.1、加密设备上没有配置或开启第一MAC管理。
具体而言,本实施例默认网络中所有源MAC地址的网络数据帧都允许接收,则加密设备根据上述步骤1、步骤2、步骤3对接收到的第一网络数据帧进行IPv6数据加密处理。
步骤4.2、加密设备上配置且开启了第一MAC管理,则根据第二预设规则对所述第一网络数据帧进行处理。
具体而言,本实施例配置且开启了第一MAC管理,其需要判断开启的是第一MAC名单还是第二MAC名单,第一预设规则包括第一预设子规则和第二预设子规则,则具体地步骤4.2包括步骤4.2.1、步骤4.2.2:
步骤4.2.1、开启的是第一MAC名单,则按第一预设子规则对第一网络数据帧进行处理。
具体而言,本实施例第一预设子规则具体为通过判断第一网络数据帧与第一MAC名单是否匹配,具体地,若第一网络数据帧的源MAC地址与第一MAC名单中的MAC地址有任意一条匹配,则根据第一配置参数对第一网络数据帧进行第一预设处理,此时第一预设处理优选丢弃,若第一网络数据帧的源MAC地址与第一MAC名单中的MAC地址均不匹配,则加密设备根据上述步骤1、步骤2、步骤3对第一网络数据帧进行IPv6数据加密处理。
步骤4.2.2、开启的是第二MAC名单,则按第二预设子规则对第一网络数据帧进行处理。
具体而言,本实施例第二预设子规则具体为判断第一网络数据帧与第二MAC名单是否匹配,具体地,若第一网络数据帧的源MAC地址与第二MAC名单中的MAC地址至少一条匹配,则加密设备根据上述步骤1、步骤2、步骤3对第一网络数据帧进行IPv6数据加密,若第一网络数据帧的源MAC地址与第二MAC名单中的MAC地址均不匹配,则根据第一配置参数对第一网络数据帧进行第一预设处理,此时第一预设处理优选丢弃。
本实施例通过在加密设备上配置MAC黑/白名单列表功能,可以防止非法设备接入加密设备中,从而提高了网络数据传输的安全性。
综上所述,本实施例通过五元组结合流标签的加密策略、MAC黑/白名单列表功能,能够实现网络设备一对一、一对多,以及多对多的网络数据帧的加密,对网络中的所有网络数据进行分组加密,还能够有效防止非法设备接入加解密设备中,便于统一管理,且每一包网络数据的流标签不同,可以对不同网络数据进行不同的加密处理,提高了网络信息安全性。
实施例二
在上述实施例一的基础上,请参见图3,图3是本发明实施例提供的一种IPv6数据解密方法的流程示意图。本实施例提供了一种IPv6数据解密方法,应用于相互连接的解密设备和第二网络设备,其中,解密设备执行IPv6数据解密方法时包括如下步骤:
步骤1、接收第三网络数据帧;
步骤2、从所述第三网络数据帧中获取第二有效载荷,根据第三预设规则得到解密标识,判断解密标识的状态,若所述解密标识为第三标识,则对所述第二有效载荷进行解密处理得到明文数据,若所述解密标识为第四标识,则根据第二配置参数对所述第三网络数据帧进行第二预设处理;
步骤3、发送第四网络数据帧至第二网络设备,第四网络数据帧包括明文数据。
具体而言,请参见图4,图4是本发明实施例提供的一种IPv6数据解密方法中解密设备和第二网络设备之间的连接关系示意图。本实施例解密设备接收前级网络设备发送的第三网络数据帧帧,从第三网络数据帧中获取第二有效载荷,然后根据第三预设规则得到对第二有效载荷是否解密的解密标识,在第三标识下对第二有效载荷进行解密处理得到明文数据,对第二有效载荷进行解密处理具体地将第三网络数据帧的帧头与第三网络数据帧中的第第二有效载荷进行重新封装形成第四网络数据帧,第四网络数据帧包括明文数据,在第四标识下根据第二配置参数对所述第三网络数据帧进行第二预设处理,第二配置参数在解密设备上根据实际网络需要进行配置,解密设备将第四网络数据帧发送至第二网络设备。其中,第二预设处理包括透传、丢弃或其他处理,此时第二预设处理优选为透传,选择透传可以实现与任何网络进行明文通信,不影响访问公共网络数据。
本实施例选择对第二有效载荷进行解密,不改变网络数据帧的帧头结构,不影响网络性能,解密后的网络数据帧与解密前的网络数据帧的结构完全一致,外部无法区分是解密后的网络数据帧,还是解密前的网络数据帧,不容易遭受攻击,网络安全性更强。
进一步地,本实施例步骤1中解密设备接收第三网络数据帧。
具体而言,请参见图5,图5是本发明实施例提供的一种IPv6数据加密方法、数据解密方法中各网络设备之间的连接关系示意图。本实施例图4中的前级网络设备包括实施例一种连接的第一网络设备和加密设备,此时解密设备接收的第三网络数据帧为加密设备发送的第二网络数据帧,第二网络数据帧包括密文数据,即第三网络数据帧包括加密的密文数据。其中,第三网络数据帧与第二网络数据帧结构、第一网络数据帧结构相同,帧内部分具体内容的不同,具体地第三网络数据帧地结构如实施例一表5所示。
进一步地,本实施例步骤2从所述第三网络数据帧中获取第二有效载荷,根据第三预设规则得到解密标识,根据解密标识的状态对第二有效载荷进行处理。
具体而言,本实施例并非对整个第三网络数据帧进行解密处理,而是获取第三网络数据帧的第二有效载荷,根据第三预设规则得到第二有效载荷的是否进行解密处理的解密标识,通过解密标识对第二有效载荷进行处理,具体步骤2包括步骤2.1、步骤2.2、步骤2.3:
步骤2.1、根据第三预设规则得到解密标识。
具体而言,本实施例第三预设规则包括判断所述第三网络数据帧的五元组与所述解密设备的预设五元组列表是否匹配,若所述解密设备的预设五元组列表中存在与所述第三网络数据帧的五元组匹配的第二五元组,则所述解密标识设置为所述第三标识,若所述解密设备的预设五元组列表中不存在与所述第三网络数据帧的五元组匹配的第二五元组,则所述解密标识设置为所述第四标识。解密设备上预先配置有预设五元组列表,该预设五元组列表中包括网络中所有需要解密的网络数据帧对应的五元组,每一五元组记为第二五元组。解密设备接收到第三网络数据帧后,判断解密设备的预设五元组列表中是否存在与第三网络数据帧的五元组匹配的第二五元组,若存在,则将解密标识设置为所述第三标识,若不存在,将解密标识设置为所述第四标识。其中,本实施例第三网络数据帧的五元组、解密设备的预设五元组列表中的每个第二五元组均包括源IPv6地址、源端口、目的IPv6地址、目的端口和传输层协议。其中,解密设备的预设五元组列表中的每个第二五元组中的源IPv6地址、目的IPv6地址均支持IPv6地址通配符,IPv6地址可以是任意精确的IPv6地址、带通配符代表的任意IPv6地址,源端口或是目的端口可以是精确数值、任意端口号或部分指定范围端口号,传输层协议支持TCP或UDP,流标签可以是精确数值、任意值或指定范围,源IPv6地址与目的IPv6地址根据网络数据解密的实际配置情况而定。
本实施提供的五元组解密策略,能够实现解密设备对网络数据帧的一对一、一对多,以及多对多的解密处理,对网络中的指定网络数据帧进行解密,且便于统一管理;本实施例提供的五元组解密策略,可以在任何网络环境下使用,使用TCP/UDP协议,不依赖任何其他服务。
进一步地,本实施例第三预设规则还包括在上述解密标识设置为第三标识之后,判断所述第三网络数据帧的流标签与所述解密设备的预设流标签列表是否匹配,若所述解密设备的预设流标签列表中存在与所述第三网络数据帧的流标签匹配的第二流标签,则所述将解密标识保持设置为所述第三标识,若所述解密设备的预设流标签列表中不存在与所述第三网络数据帧的流标签匹配的第二流标签,则将所述解密标识修改设置为所述第四标识。解密设备上预先配置有预设流标签列表,该预设流标签列表中包括网络中所有需要解密的网络数据帧对应的流标签,每一流标签记为第二流标签。解密设备通过第三网络数据帧的五元组得到解密标识为第三标识后,再判断解密设备的预设流标签列表中是否存在与第三网络数据帧的流标签匹配的第二流标签,若存在,则将解密标识保持设置为所述第三标识,后续对第二有效载荷进行解密处理,若不存在,解密标识修改设置为所述第四标识,后续只需要按第二配置参数对第三网络数据帧进行第二预设处理。
本实施提供的五元组结合流标签的解密策略,实现了解密设备对网络数据帧的一对一、一对多,以及多对多的解密处理外,由于解密设备上预先配置的预设流标签列表与预先配置的五元组列表一起配置,每一网络数据帧的流标签不同,以实现对不同网络数据帧进行不同的解密处理,更加提高了网络信息安全性。
步骤2.2、解密标识为第三标识,则对所述第二有效载荷进行解密处理得到明文数据。
具体而言,本实施例当解密标识为第三标识时,解密设备对第二有效载荷进行解密处理,具体地,本实施例首先获取所述解密设备的预设五元组列表中与所述第三网络数据帧的五元组匹配的第二五元组,获取所述解密设备的预设流标签列表中与所述第三网络数据帧的流标签匹配的第二流标签,然后根据所述第二五元组和所述第二流标签得到解密方式,同时根据所述第二五元组和所述第二流标签得到解密秘钥,最后根据所述解密方式和所述解密秘钥对所述第二有效载荷进行解密处理得到明文数据:
本实施例解密设备采用五元组策略解密时,解密设备的预设五元组列表中的每一第二五元组对应一种解密方式和一组解密秘钥,此时解密标识为第三标识,即存在一第二五元组与第三网络数据帧的五元组匹配,则根据该第二五元组找到其对应配置的解密方式和解密秘钥,通过解密方式和解密秘钥对第三网络数据帧中的第二有效载荷,即需要解密的网络数据进行解密得到明文数据;解密设备采用五元组结合流标签的策略解密时,解密设备的预设五元组列表中的每一第二五元组和解密设备的预设流标签列表中的每一第二流标签共同对应一种解密方式和一组解密秘钥,对应设置的解密方式可相同可不相同,解密秘钥可相同可不相同。当解密标识为第三标识,即存在一第二五元组与第三网络数据帧的五元组匹配,且同时存在一第二流标签与第三网络数据帧的流标签匹配时,则根据该第二五元组和第二流标签找到其对应配置的解密方式和解密秘钥,通过解密方式和解密秘钥对第三网络数据帧中的第二有效载荷,即需要解密的网络数据进行解密得到明文数据。解密方式可以采用sm4、zuc、aes、des等解密方法。其中,当第二五元组和第二流标签对应的解密方式为强制透传时,可以不设置解密秘钥,直接传输第三网络数据帧;当第二五元组和第二流标签对应的解密方式为非强制透传时,在上述解密方式下,结合与其对应配置的解密秘钥对第三网络数据帧的第二有效载荷进行解密。
本实施例解密设备支持一对一、一对多,以及多对多的网络数据帧的解密处理。比如在对多对多的网络数据帧的解密处理中,多个前级网络设备同时发送网络数据帧,解密设备接收到多个网络数据帧,则依次在解密设备上判断解密标识的状态,若解密标识同时存在多个第三标识时,按照优先级最高的一条第三标识处理,第三标识的优先级已预先设置在解密设备中,具体第三标识的优先级与解密设备上预先设置的五元组列表中的第二五元组有关。对于匹配上的网络数据帧,根据其第二五元组和第二流标签对应的解密方式和解密秘钥对匹配上的网络数据帧的第二有效载荷进行解密。
本实施例解密设备中存在多条第二五元组,且第二五元组支持通配符,可能会导致一条第三网络数据帧同时与多条第二五元组匹配,而每条第二五元组都对应一解密方式和解密秘钥,即同时与多条第二五元组匹配时,按优先级最高的一条第二五元组对应的解密方式和解密秘钥对第三网络数据帧的第二有效载荷进行解密。
本实施提供的五元组结合流标签的解密策略,实现了对网络设备的解密秘钥分组管理,实现了网络中网络设备的一对一、一对多,以及多对多的网络数据的解密,可以实现网络中所有网络数据的分组解密,便于统一管理,且每一网络数据帧的流标签不同,对不同网络数据帧进行不同的解密处理,更加提高了网络信息安全性。
步骤2.3、解密标识为第四标识,则根据第二配置参数对所述第三网络数据帧进行第二预设处理。
具体而言,本实施例以五元组结合流标签为解密策略,对于与解密设备的预设五元组列表中所有第二五元组均不匹配的第三网络数据帧,根据实际设计需要,进行第二预设处理,如上所述第二预设处理包括透传、丢弃或其他处理,此时第二预设处理优选透传。根据实际设计需要具体可以通过在解密设备上预先配置第二配置参数作为判断依据。
对多对多的网络数据帧的解密处理中,多个第三网络设备连接到解密设备时,解密设备对接收到的第三网络数据帧按照接收顺序依次处理。除IP分片外,解密设备每次接收到的网络数据帧都应该是一条独立的网络数据帧,解密设备应该单独处理。对应IP分片的网络数据帧,需要将分片的数据包还原为网络数据帧以后再进行解密处理。
进一步地,本实施例步骤3中解密设备发送第四网络数据帧至第二网络设备,第四网络数据帧包括明文数据。
具体而言,本实施例解密设备将明文数据和第三网络数据帧的帧头信息重新进行封装形成第四网络数据帧,将第四网络数据帧通过网口B发送至第二网络设备,如图4或5所示,第三网络数据帧的帧头信息包括表1的EthernetII首部、表2的IPv6首部、表3的TCP首部或表4的UDP首部。第四网络数据帧与第三网络数据帧结构、第二网络数据帧、第一网络数据帧结构相同,帧内部分具体内容的不同。可见,本实施例解密后不修改网络数据帧的帧头内容,只解密第二有效载荷,不改变网络数据帧的结构,不影响网络性能,解密后的网络数据帧与解密前的网络数据帧的结构完全一致,外部无法区分是解密后的网络数据帧,还是解密前的网络数据帧,不容易遭受攻击,网络安全性强。
进一步地,本实施例解密设备执行IPv6数据解密方法时还包括步骤4判断解密设备是否配置或开启了第二MAC管理。
具体而言,本实施例解密设备还支持第二MAC管理功能,第二MAC管理功能包括第三MAC名单和第四MAC名单,具体地,第三MAC名单为MAC黑名单列表,第四MAC名单为MAC白名单列表,解密设备的MAC黑名单列表、MAC白名单列表中分别预先配置有网络中所有通信网络设备对应的MAC地址。其中,同实施例一,开启的是MAC黑名单列表时,默认允许接收所有源MAC地址的网络数据帧,在MAC黑名单列表中的源MAC地址不允许接收,在此MAC黑名单列表开启模式下想要禁止接收某些源MAC地址的网络数据帧,直接在黑名单列表中填写要禁止接收的源MAC地址的网络数据帧;同理,开启的是MAC白名单列表时,默认所有源MAC地址的网络数据帧都禁止接收,在MAC白名单列表中的源MAC地址允许接收,在此MAC白名单列表开启模式下想要允许接收某些源MAC地址的网络数据帧,直接在MAC白名单列表中填写要允许的网络数据帧的源MAC地址。本实施例步骤4具体包括步骤4.1、步骤4.2:
步骤4.1、解密设备上没有配置或开启第二MAC管理。
具体而言,本实施例默认网络中所有源MAC地址的网络数据帧都允许接收,则解密设备根据本实施例的步骤1、步骤2、步骤3对接收到的第三网络数据帧进行IPv6数据解密处理。
步骤4.2、解密设备上配置且开启了第二MAC管理,则根据第四预设规则对所述第三网络数据帧进行处理。
具体而言,本实施例配置且开启了第二MAC管理,则需要判断开启的是第三MAC名单还是第四MAC名单,第四预设规则包括第三预设子规则和第四预设子规则,则具体地步骤4.2包括步骤4.2.1、步骤4.2.2:
步骤4.2.1、开启的是第三MAC名单,则按第三预设子规则对第三网络数据帧进行处理。
具体而言,本实施例第三预设子规则具体为通过判断第三网络数据帧与第三MAC名单是否匹配,具体地,若第三网络数据帧的源MAC地址与第三MAC名单中的MAC地址有任意一条匹配,则根据第二配置参数对第三网络数据帧进行第二预设处理,此时第二预设处理优选丢弃,若第三网络数据帧的源MAC地址与第三MAC名单中的MAC地址均不匹配,则解密设备根据本实施例的步骤1、步骤2、步骤3对第三网络数据帧进行IPv6数据解密处理。
步骤4.2.2、开启的是第四MAC名单,则按第四预设子规则对第三网络数据帧进行处理。
具体而言,本实施例第四预设子规则具体为判断第三网络数据帧与第四MAC名单是否匹配,具体地,若第三网络数据帧的源MAC地址与第四MAC名单中的MAC地址至少一条匹配,则解密设备根据本实施例的步骤1、步骤2、步骤3对第三网络数据帧进行IPv6数据解密,若第三网络数据帧的源MAC地址与第四MAC名单中的MAC地址均不匹配,则根据第二配置参数对第三网络数据帧进行第二预设处理,此时第二预设处理优选丢弃。
本实施例通过在解密设备上配置MAC黑/白名单列表功能,可以防止非法设备接入解密设备中,从而提高了网络数据传输的安全性。
综上所述,本实施例通过五元组结合流标签的解密策略,能够实现网络设备一对一、一对多,以及多对多的网络数据帧的解密,对网络中的所有网络数据进行分组解密,还能够有效防止非法设备接入加解密设备中,便于统一管理,且每一包网络数据的流标签不同,可以对不同网络数据进行不同的解密处理,提高了网络信息安全性。
实施例三
基于上述实施例一、实施例二,为了说明上述实施例一的IPv6数据加密方法和上述实施例二的IPv6解密方法的实现,通过以下实例进行说明:
本实施例中的加密设备、解密设备应该配套使用。因为第一网络设备可以是多个网络设备通过交换机连接到加密设备上,第二网络设备也可以是多个网络设备通过交换机连接到解密设备上。加密设备或解密设备上实现对网络数据帧的一对一、一对多,以及多对多的加密处理或解密处理,其中一对一,即一个加密设备对应一个解密设备,一对多,即一个加密设备对应多个解密设备,多对多,即多个加密设备对应多个解密设备。
请再参见图5,本实施例网络中包括依次连接的第一网络设备、加密设备、解密设备、第二网络设备,网络中实现的是一对一的网络数据加密、解密过程。具体地,第一网络设备发送于加密设备第一网络数据帧,第一网络数据帧的五元组为FE80::C0A8:01C8、1F40、FE80::C0A8:0164、1F40、TCP,第一网络数据帧的流标签值为f9000,加密设备上预先设置的源IPv6地址、源端口、目的IPv6地址、目的端口号、传输层协议、加密算法、加密秘钥分别为FE80::C0A8:01C8、1F40、FE80::C0A8:0164、1F40、TCP、des、key123456,第一五元组为FE80::C0A8:01C8、1F40、FE80::C0A8:0164、1F40、TCP,加密设备上预先设置的流标签列表中的第一流标签值为f9000,则构成在加密设备上的五元组结合流标签的加密策略,加密过程中,加密设备接收第一网络数据帧,判断第一网络数据帧的五元组与加密设备的预设五元组列表中的一第一五元组匹配,同时判断第一网络数据帧的流标签与加密设备的预设流标签列表中的一第一流标签匹配,则根据加密设备预先配置的加密方式des、加密秘钥key123456对第一网络设备发送的第一网络数据帧中需要加密的第一有效载荷进行加密得到密文数据,并将密文数据和第一网络数据帧的帧头信息重新封装形成第二网络数据帧,并将第二网络数据帧发送至解密设备;解密过程,解密设备接收第二网络数据帧(实施例二中的第三网络数据帧),第二网络数据帧的五元组为FE80::C0A8:01C8、1F40、FE80::C0A8:0164、1F40、TCP,解密设备上预先设置的源IPv6地址、源端口、目的IPv6地址、目的端口号、传输层协议、加密算法、加密秘钥分别为FE80::C0A8:01C8、1F40、FE80::C0A8:0164、1F40、TCP、des、key123456,第二五元组为FE80::C0A8:01C8、1F40、FE80::C0A8:0164、1F40、TCP,解密设备上预先设置的流标签列表中的第二流标签值为f9000,则构成在解密设备上的五元组结合流标签的解密策略,解密过程中,解密设备接收第二网络数据帧,判断第二网络数据帧的五元组与解密设备的五元组列表中的一第二五元组匹配,同时判断第二网络数据帧的流标签与解密设备的预设流标签列表中的一第二流标签匹配,则根据解密设备预先配置的解密方式des、解密秘钥key123456对第二网络数据帧进行解密处理得到明文数据,同样将明文数据和第二网络数据帧的帧头信息重新封装形成第四网络数据帧,并将第四网络数据帧发送至第二网络设备,完成密文数据在第一网络设备与第二网络设备之间的传输。本实施例整个加密过程、解密过程,保证了网络数据帧的结构完全一致,使得网络安全性更强。
本实施例中加密设备、解密设备可以为独立的设备如图5所示,单独在加密设备上根据实施例一所述的IPv6数据加密方法对加密设备接收的网络数据帧进行加密处理,亦单独在解密设备上根据实施例二所述的IPv6数据解密方法对解密设备接收的网络数据帧进行解密处理。整个网络中一包数据的加密过程和解密过程中IP首部不变,即第一网络数据帧、第二网络数据帧、第三网络数据帧、第四网络数据帧中的IP首部不变,其中,IP首部包括IPv6流标签。
本实施例加密设备、解密设备也可以为同一设备,记为加解密设备,该加解密设备既可以进行加密处理,也可以进行解密处理,具体对传输中的网络数据帧进行加密或是解密处理根据该加解密设备上的配置参数决定,当配置参数确定该加解密设备上需执行加密处理时,根据实施例一所述的IPv6数据加密方法对加解密设备接收的网络数据帧进行加密处理,当配置参数确定该加解密设备上需执行解密处理时,根据实施例二所述的IPv6数据解密方法对加解密设备接收的网络数据帧进行解密处理,整个网络中一包数据的加密过程、解密过程中IP首部不变。请参见图6,图6是本发明实施例提供的另一种IPv6数据加密方法、数据解密方法中各网络设备之间的连接关系示意图,本实施例网络中包括依次连接的第一网络设备、第一加解密设备、第二加解密网设备、第二网络设备,网络中实现的是一对一的网络数据加密、解密过程,具体地,如图6所示若网络中双向的数据需要加密时:当第一网络设备FE80::C0A8:01C8发送给第二网络设备FE80::C0A8:0164网络数据帧时,网络数据帧经过第一加解密设备时对网络数据帧进行加密处理,经过第二加解密设备时对网络数据帧进行解密处理;当第一网络设备FE80::C0A8:0164发送给第二网络设备FE80::C0A8:01C8网络数据帧时,经过第二加解密设备时对网络数据帧进行加密处理,经过第一加解密设备时对网络数据帧的进行解密处理。本实施例中第一网络设备作为发送端,第二网络设备作为接收端,在不同IP下实现第一网络设备与第二网络设备之间的网络数据的加密和解密。其中,第一加解密设备和第二加解密设备中的五元组策略可以只设置一个方向的,第一加解密设备和第二加密设备会根据设置的一个方向的五元组策略自动生成相反方向的五元组策略,也可两个方向都设置五元组策略,具体一个方向上的五元组策略详见图5中五元组策略的实现。
需要说明的是,加密设备、解密设备为独立设置,还是加密设备、解密设备为同一设备设置,由具体网络环境需要决定;加密设备、解密设备上预先配置的五元组加密、解密策略中的IPv6地址,可以是任意精确的IPv6地址(如“FE80::C0A8:01C8”,“FE80::C0A8:0164”等),也可以是带通配符代表的任意IPv6地址(如“FE80::C0A8:*”,或“FE80::C0?:*:*”,或“FE80::*:*:*”,或“*.*.*.*”等),IPv6地址标识该网段内所有主机都可以进行IPv6数据加密、解密处理;加密设备、解密设备上预先配置的五元组加密、解密策略中的源端口号、目的端口号可以是精确数值(如1F40),也可以是任意端口号或部分指定范围端口号(如“*”,或“1F4?”等),其中“*”可以是任意有效数字,“?”指一位十进制数字;加密设备、解密设备上预先配置的五元组加密、解密策略中的传输层协议支持TCP或UDP;加密设备、解密设备上预先配置的流标签可以是精确值(如26AC),也可以是任意值或指定范围(“*”,“26A?”)。
本实施例图5、图6只是作为一实施例加以说明,具体加密过程或解密过程中各设备的连接以实际网络设计需要为准,只需在加密设备上执行如实施例一所述的IPv6数据加密方法,在解密设备上执行如实施例二所述的IPv6数据解密方法。
本实施例可以执行上述IPv6数据加密方法实施例和上述IPv6数据解密方法实施例,其实现原理和技术效果类似,在此不再赘述。
实施例四
基于上述实施例三,可见,本实施例加密设备、解密设备本身不需要IP地址,所有加密设备、解密设备不需要配置IPv6地址和MAC地址,即加密设备、解密设备可以为无IP地址的设备,就可以实现本地管理的网络中网络数据帧的加密或解密处理,此时,需要将加密设备、解密设备的网卡设置为混杂模式就可以接收所有网络数据帧。
本实施例对于加密设备、解密设备实现远程管理时,可以通过借用与其分别连接的下行设备的IPv6地址和MAC地址与管理服务器通信,实现对加密设备、解密设备的远程管理,从而实现远程网络中网络数据帧的加密或解密处理。
本实施例加密设备可以执行上述IPv6数据加密方法实施例,解密设备可以执行上述IPv6数据解密方法实施例,其实现原理和技术效果类似,在此不再赘述。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (4)

1.一种IPv6数据加密方法,其特征在于,应用于相互连接的第一网络设备和加密设备,其中,所述加密设备执行所述IPv6数据加密方法时包括以下步骤:
接收第一网络数据帧,所述第一网络数据帧由所述第一网络设备发送;
从所述第一网络数据帧中获取第一有效载荷,根据第一预设规则得到加密标识,判断所述加密标识的状态,若所述加密标识为第一标识,则对所述第一有效载荷进行加密处理得到密文数据,若所述加密标识为第二标识,则根据第一配置参数对所述第一网络数据帧进行第一预设处理;
发送第二网络数据帧,所述第二网络数据帧包括所述密文数据;
所述根据第一预设规则得到加密标识,包括:
判断所述第一网络数据帧的五元组与所述加密设备的预设五元组列表是否匹配,若所述加密设备的预设五元组列表中存在与所述第一网络数据帧的五元组匹配的第一五元组,则所述加密标识设置为所述第一标识,若所述加密设备的预设五元组列表中不存在与所述第一网络数据帧的五元组匹配的第一五元组,则所述加密标识设置为所述第二标识;
所述加密标识设置为第一标识之后,还包括:
判断所述第一网络数据帧的流标签与所述加密设备的预设流标签列表是否匹配,若所述加密设备的预设流标签列表中存在与所述第一网络数据帧的流标签匹配的第一流标签,则所述加密标识保持设置为所述第一标识,若所述加密设备的预设流标签列表中不存在与所述第一网络数据帧的流标签匹配的第一流标签,则所述加密标识修改设置为所述第二标识;
所述对所述第一有效载荷进行加密处理得到密文数据,包括:
获取所述加密设备的预设五元组列表中与所述第一网络数据帧的五元组匹配的第一五元组;
获取所述加密设备的预设流标签列表中与所述第一网络数据帧的流标签匹配的第一流标签;
根据所述第一五元组和所述第一流标签得到加密方式;
根据所述第一五元组和所述第一流标签得到加密秘钥;
根据所述加密方式和所述加密秘钥对所述第一有效载荷进行加密处理得到密文数据;
其中,所述预设流标签列表中的每一第一流标签对应一种加密方式和一组加密秘钥。
2.根据权利要求1所述的IPv6数据加密方法,其特征在于,还包括判断是否配置或开启了第一MAC管理,若没有配置或开启所述第一MAC管理,则进行如上权利要求1所述IPv6数据加密方法,若配置且开启了所述第一MAC管理,则根据第二预设规则对所述第一网络数据帧进行处理。
3.一种IPv6数据解密方法,其特征在于,应用于相互连接的解密设备和第二网络设备,其中,所述解密设备执行所述IPv6数据解密方法时包括以下步骤:
接收第三网络数据帧;
从所述第三网络数据帧中获取第二有效载荷,根据第三预设规则得到解密标识,判断所述解密标识的状态,若所述解密标识为第三标识,则对所述第二有效载荷进行解密处理得到明文数据,若所述解密标识为第四标识,则根据第二配置参数对所述第三网络数据帧进行第二预设处理;
发送第四网络数据帧至所述第二网络设备,所述第四网络数据帧包括所述明文数据;
所述根据第三预设规则判断所述第二有效载荷的解密标识,包括:
判断所述第三网络数据帧的五元组与所述解密设备的预设五元组列表是否匹配,若所述解密设备的预设五元组列表中存在与所述第三网络数据帧的五元组匹配的第二五元组,则所述解密标识设置为所述第三标识,若所述解密设备的预设五元组列表中不存在与所述第三网络数据帧的五元组匹配的第二五元组,则所述解密标识设置为所述第四标识;
所述解密标识设置为第三标识之后,还包括:
判断所述第三网络数据帧的流标签与所述解密设备的预设流标签列表是否匹配,若所述解密设备的预设流标签列表中存在与所述第三网络数据帧的流标签匹配的第二流标签,则所述解密标识保持设置为所述第三标识,若所述解密设备的预设流标签列表中不存在与所述第三网络数据帧的流标签匹配的第二流标签,则所述解密标识修改设置为所述第四标识;
所述对所述第二有效载荷进行解密处理得到明文数据,包括:
获取所述解密设备的预设五元组列表中与所述第三网络数据帧的五元组匹配的第二五元组;
获取所述解密设备的预设流标签列表中与所述第三网络数据帧的流标签匹配的第二流标签;
根据所述第二五元组和所述第二流标签得到解密方式;
根据所述第二五元组和所述第二流标签得到解密秘钥;
根据所述解密方式和所述解密秘钥对所述第二有效载荷进行解密处理得到明文数据;
其中,所述预设流标签列表中的每一第二流标签对应一种解密方式和一组解密秘钥。
4.根据权利要求3所述的IPv6数据解密方法,其特征在于,还包括判断是否配置或开启了第二MAC管理,若没有配置或开启所述第二MAC管理,则进行如上权利要求3所述IPv6数据解密方法,若配置且开启了所述第二MAC管理,则根据第四预设规则对所述第三网络数据帧进行处理。
CN201910893716.1A 2019-09-20 2019-09-20 一种IPv6数据加密方法、IPv6数据解密方法 Active CN110691074B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910893716.1A CN110691074B (zh) 2019-09-20 2019-09-20 一种IPv6数据加密方法、IPv6数据解密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910893716.1A CN110691074B (zh) 2019-09-20 2019-09-20 一种IPv6数据加密方法、IPv6数据解密方法

Publications (2)

Publication Number Publication Date
CN110691074A CN110691074A (zh) 2020-01-14
CN110691074B true CN110691074B (zh) 2022-04-22

Family

ID=69109646

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910893716.1A Active CN110691074B (zh) 2019-09-20 2019-09-20 一种IPv6数据加密方法、IPv6数据解密方法

Country Status (1)

Country Link
CN (1) CN110691074B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112800045A (zh) * 2021-02-23 2021-05-14 青岛海科虚拟现实研究院 一种基于大数据的数据信息分析系统
CN114301735B (zh) * 2021-12-10 2023-05-02 北京天融信网络安全技术有限公司 管控ipsec隧道数据按需分配的方法、系统、终端及存储介质
CN117201005B (zh) * 2023-09-08 2024-03-15 国家计算机网络与信息安全管理中心江苏分中心 一种基于ZUC加解密的IPv6地址动态编码方法及应用方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777174A (zh) * 2004-11-15 2006-05-24 中兴通讯股份有限公司 因特网安全协议高速处理ip分片的方法
CN102347870A (zh) * 2010-07-29 2012-02-08 中国电信股份有限公司 一种流量安全检测方法、设备和系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7810149B2 (en) * 2005-08-29 2010-10-05 Junaid Islam Architecture for mobile IPv6 applications over IPv4
US9294506B2 (en) * 2010-05-17 2016-03-22 Certes Networks, Inc. Method and apparatus for security encapsulating IP datagrams
CN102882790A (zh) * 2012-10-12 2013-01-16 北京锐安科技有限公司 一种IPv6实时数据流处理方法
US8875256B2 (en) * 2012-11-13 2014-10-28 Advanced Micro Devices, Inc. Data flow processing in a network environment

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777174A (zh) * 2004-11-15 2006-05-24 中兴通讯股份有限公司 因特网安全协议高速处理ip分片的方法
CN102347870A (zh) * 2010-07-29 2012-02-08 中国电信股份有限公司 一种流量安全检测方法、设备和系统

Also Published As

Publication number Publication date
CN110691074A (zh) 2020-01-14

Similar Documents

Publication Publication Date Title
US9461975B2 (en) Method and system for traffic engineering in secured networks
US10404588B2 (en) Path maximum transmission unit handling for virtual private networks
US8155130B2 (en) Enforcing the principle of least privilege for large tunnel-less VPNs
US9712504B2 (en) Method and apparatus for avoiding double-encryption in site-to-site IPsec VPN connections
US7739497B1 (en) Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
US7725707B2 (en) Server, VPN client, VPN system, and software
US7043633B1 (en) Method and apparatus for providing adaptive self-synchronized dynamic address translation
US8713305B2 (en) Packet transmission method, apparatus, and network system
US8775790B2 (en) System and method for providing secure network communications
US20060031936A1 (en) Encryption security in a network system
CN110691074B (zh) 一种IPv6数据加密方法、IPv6数据解密方法
AU2007261003B2 (en) Method and apparatus for encrypted communications using IPsec keys
CN111787025B (zh) 加解密处理方法、装置、系统以及数据保护网关
US20050220091A1 (en) Secure remote mirroring
CN114244626B (zh) 一种基于MACSec网络的报文处理方法和装置
CN110912859B (zh) 发送报文的方法、接收报文的方法及网络设备
US20190124055A1 (en) Ethernet security system and method
CN110768958B (zh) 一种IPv4数据加密方法、IPv4数据解密方法
CN210469376U (zh) 一种基于zynq7020和安全芯片的数据加解密设备
US20180262473A1 (en) Encrypted data packet
KR101845776B1 (ko) 레이어2 보안을 위한 MACsec 어댑터 장치
Hussain et al. Securing the insecure link of internet-of-things using next-generation smart gateways
Cisco Configuring IPSec Network Security
GB2607948A (en) Apparatuses, a system, and a method of operating a wireless network
CA2759395A1 (en) Method and apparatus for secure packet transmission

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant