CN113747434A - 一种基于IPSec的移动通信安全通信方法及装置 - Google Patents
一种基于IPSec的移动通信安全通信方法及装置 Download PDFInfo
- Publication number
- CN113747434A CN113747434A CN202111203856.5A CN202111203856A CN113747434A CN 113747434 A CN113747434 A CN 113747434A CN 202111203856 A CN202111203856 A CN 202111203856A CN 113747434 A CN113747434 A CN 113747434A
- Authority
- CN
- China
- Prior art keywords
- ipsec
- message
- module
- mobile communication
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于IPSec的移动通信安全装置和方法,实现通过该移动通信安全装置对处于外网的移动终端设备端发送的上行用户数据报文进行强制加密,对接收的下行用户数据报文进行强制解密,IPSec加解密时不会占用移动终端设备的CPU资源。移动通信安全装置与公用网络直连,移动终端设备端发送和接收的报文都将经过移动通信安全装置,与现有技术相比,移动通信安全装置的特性决定了它是一款安全、高效的移动通信安全装置,分担移动终端设备的CPU资源成本,只充当报文转发的角色;同时实现了符合国密标准的基于数字证书认证的IPSec VPN通信,协商过程和IPSec加密的算法都是由我国自主研究发布的,具有较高的实用价值。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种基于IPSec的移动通信安全通信方法及装置。
背景技术
IPSec(Internet Protocol Security,互联网协议安全性)是应用于IP层上网络数据安全的一套安全协议族,它由多种安全协议构成,主要包括AH(AuthenticationHeader,网络认证协议)协议、ESP(Encapsulating Security Payload,封装安全荷载协议)协议、IKE(Internet Key Exchange,互联网密钥交换协议)和加解密、认证等实现策略。
IPSec VPN(Virtual Private Network,虚拟专用网络)是使用IPSec协议来实现远程安全通信的一种VPN技术,在公用网络上搭建两个专用网络的安全通信通道,提供端对端的认证和加密服务。
现有技术中,处于公用网络的移动终端设备(Mobile Terminal Equipment,MTE)与介于内部网络和公用网络之间的中心服务器(Central Server,CS)建立IPSec VPN,可以实现内部网络计算机(Intranet Computer,INC)与MTE之间的安全通信,MTE在发送上行用户数据报文和接收下行用户数据报文时,使用IPSec技术对上行报文进行加密、对下行报文进行解密,而在CS侧,则使用IPSec技术对上行报文进行解密、对下行报文进行加密,所以用户数据可以安全地在该虚拟专用网络通道中传输。
然而,现有技术在使用IPSec加解密时会占用MTE的CPU资源,且没有从硬件层面上考虑用户数据与公用网络严格的安全隔离。
因此,有必要在此基础上,构建的一个新的基于IPSec的移动通信安全通信方法及装置,以解决上述技术问题。
发明内容
本发明的主要目的在于提供一种基于IPSec的移动通信安全通信方法及装置,以解决上述的技术问题。
为实现上述目的,本发明提供的一种基于IPSec的移动通信安全通信装置,包括密钥模块、外网模块、内网模块以及密码模块;其中,
虚拟内网模块,用于建立所述移动通信安全通信装置与移动终端设备之间的通信,并在所述移动终端设备与所述密码模块之间接收和转发数据;
外网模块,用于将所述移动通信安全通信装置接入外网,并在所述密码模块以及中心服务器之间接收和转发数据;其中,所述中心服务器连接在内网与所述外网之间,所述中心服务器通过所述内网连接内网计算机设备,以实现所述内网计算机设备与外网的通信;
密钥模块,用于与所述移动通信安全通信装置进行通信的对端进行互联网密钥交换协议的协商;
密码模块,用于根据所述密钥模块的协商结果,对需要进行传输的数据进行IPSec签名和加密、或者进行认证和解密。
进一步的,所述密钥模块预置了IKE协商阶段用到的证书、支持国密X.509格式双证书,签名证书支持使用SM2作为数字签名算法,加密证书支持使用SM3作为哈希算法。
进一步的,所述密码模块还用于根据所述移动终端设备通过所述虚拟内网向内网计算机设备发送的第一个上行数据报文中的目的IP查找是否已经存储有与所述目的IP对应的对端SPI,在存在所述对端SPI时,根据所述对端SPI对应的IPSec SA进行IPSec加密所述上行数据报文并通过外网将加密后的所述上行数据报文发送至所述目的IP对应的中心服务器;其中,所述中心服务器通过内网连接所述内网计算机设备。
进一步的,所述密码模块还用于在不存在所述对端SPI时,发送协商请求至所述密钥模块,所述密钥模块用于向所述目的IP对应的中心服务器发起互联网密钥交换协议协商请求,并完成与所述目的IP对应的中心服务器之间的互联网密钥交换协议协商并建立IPSec加密通信连接。
本发明还提供一种基于IPSec的移动通信安全通信方法,包括步骤:
S1,通过移动通信安全通信装置建立虚拟内网连接移动终端设备,通过所述移动通信安全通信装置和外网连接中心服务器;
S2,所述移动通信安全通信装置接收所述移动终端设备通过所述虚拟内网向内网计算机设备发送的第一个上行数据报文,根据所述上行数据报文中的目的IP查找是否已经存储有与所述目的IP对应的对端SPI;
S3,在存在所述对端SPI时,根据所述对端SPI对应的IPSec SA进行IPSec加密所述上行数据报文并通过外网将加密后的所述上行数据报文发送至所述目的IP对应的中心服务器;其中,所述中心服务器通过内网连接所述内网计算机设备;
S4,在不存在所述对端SPI时,向所述目的IP对应的中心服务器发起LKE协商请求,在完成与所述目的IP对应的中心服务器之间的IKE协商并建立IPSec加密通信连接之后,返回所述步骤S2。
进一步的,所述步骤S4包括,第一阶段协商和第二阶段协商。
进一步的,所述第一阶段协商包括:
S411,所述移动通信安全通信装置的密钥模块作为发起方,向所述目的IP对应的中心服务器发送IKE安全提议报文;其中,所述IKE安全提议报文中包括ISAKMP框架,所述ISAKMP框架的头部包括发送方的SPI,下一有效载荷起始位置的标识,报文长度,有效载荷1中提议使用国密SM2签名证书,有效载荷2中提议使用国密SM3加密证书;
S412,所述目的IP对应的中心服务器的守护进程作为接收方,接收所述IKE安全提议报文,对所述发起方发送回复确认报文,所述回复确认报文包括ISAKAMP框架,所述ISAKAMP框架头部加入接收方的SPI,有效载荷1中回复接收方的国密SM2签名证书,有效载荷2中回复接收方的国密SM3加密证书;
S413,所述密钥模块接收所述回复确认报文,向所述目的IP对应的中心服务器发起密钥交换提议,所述密钥交换提议的有效载荷1中写入发送方的国密SM2签名证书,有效载荷2中写入发送方的国密SM3加密证书,有效载荷3中写入随机数NI;
S414,所述守护进程接收所述密钥交换提议,获取所述移动通信安全通信装置的证书公钥以及所述随机数NI,并计算后得到接收方认证数据,对所述发起方发送回复密钥交换提议报文,在所述回复密钥交换提议报文中的有效载荷1中写入随机数NR,有效载荷2中写入所述接收方认证数据;
S415,所述密钥模块接收所述回复密钥交换提议报文,获取所述随机数NR和接收方认证数据,并将计算后得到发送方认证数据与所述接收方认证数据相比较,若一致,则表示已与对端完成密钥交换,开始发起发起方身份认证信息交换报文,若不一致,则表示密钥交换失败,退出协商过程;其中,所述发起方身份认证信息交换报文的载荷信息包括被安全提议的算法加密的IKE SA内容;
S416,所述守护进程接收所述发起方身份认证信息交换报文,并回复接收方身份认证信息交换报文。
进一步的,所述第二阶段协商包括:
S421,所述密钥模块作为发起方,向所述接收方发送发起方的安全参数和身份认证信息,所述安全参数包括被保护的数据流和IPSec SA需要协商的被保护数据流认证算法和加密算法,所述身份认证信息包括第一阶段交换的密钥和第二阶段产生的密钥材料;
S422,所述守护进程作为接收方,接收所述发起方的安全参数和身份认证信息,并回复接收方的安全参数和身份认证信息,并生成第二阶段密钥;
S423,所述密钥模块发送确认信息至所述接收方,完成所述IKE协商并建立IPSec加密通信连接。
进一步的,所述IKE安全提议报文、回复确认报文、密钥交换提议均使用明文发送。
进一步的,还包括步骤:所述外网模块接收所述中心服务器转发的所述内网计算机设备发送的根据所述下行报文数据,并根据所述IPSec SA进行解密后,使用与所述移动终端设备之间虚拟内网对应的的私有协议进行解析和封装后发送给所述移动终端设备。
在本发明的技术方案提供一种基于IPSec的移动通信安全装置和方法,实现通过该移动通信安全装置对处于外网的移动终端设备端发送的上行用户数据报文进行强制加密,对接收的下行用户数据报文进行强制解密,IPSec加解密时不会占用移动终端设备的CPU资源。移动通信安全装置与公用网络直连,移动终端设备端发送和接收的报文都将经过移动通信安全装置,移动通信安全装置分担了移动终端设备端与中心服务器建立IPSecVPN的功能,IPSec VPN的IKE协商、用户数据传输等一系列过程都将由移动终端设备端与中心服务器来完成。与现有技术相比,移动通信安全装置的特性决定了它是一款安全、高效的移动通信安全装置,分担移动终端设备的CPU资源成本,只充当报文转发的角色;同时实现了符合国密标准的基于数字证书认证的IPSec VPN通信,协商过程和IPSec加密的算法都是由我国自主研究发布的,具有较高的实用价值。
附图说明
图1为本发明一实施例中的IPSec VPN网络通信环境结构示意图;
图2为本发明一实施例中的基于IPSec的移动通信安全通信装置的模块结构示意图;
图3为本发明一实施例中的基于IPSec的移动通信安全通信方法的流程示意图;
图4为图3中的基于IPSec的移动通信安全通信方法的步骤S4的IKE协商第一阶段的流程示意图;
图5为图3中的基于IPSec的移动通信安全通信方法的步骤S4的IKE协商第二阶段的流程示意图;
图6为本发明一实施例中的IKE协商过程示意图;
图7为本发明一实施例中的IPSec VPN通信报文时序状态示意图;
图8为本发明一实施例中的IPSec VPN通信上行用户数据报文状态示意图;
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
请参阅图1~8,为实现上述目的,本发明的第一实施例中提供一种基于IPSec的移动通信安全通信装置(Mobile Communication Security Equipment,MCSE)10,包括密钥模块11(MY)、外网模块12(Wrapper)、虚拟内网模块13(Tun)以及密码模块14(MM)。
其中,虚拟内网模块13,用于建立与MCSE10与移动终端设备(Mobile TerminalEquipment,MTE)20之间的通信,并在MTE20与所述密码模块14之间接收和转发数据。
外网模块12,用于将MCSE10接入外网,并在所述密码模块14以及中心服务器(Central Server,CS)30之间接收和转发数据;其中,CS30连接在内网与所述外网之间,CS30通过所述内网连接内网计算机设备(Intranet Computer,INC)40,以实现INC40与外网的通信。
密钥模块11,用于与MCSE10进行通信的对端进行互联网密钥交换协议(IKE,Internet Key Exchange)的协商。具体的,密钥模块11负责与对端协商IKE,内部预置了IKE协商阶段用到的证书,密钥模块11可以支持国密X.509格式双证书,签名证书支持使用SM2作为数字签名算法,加密证书支持使用SM3作为哈希算法等。
密码模块14,用于根据所述密钥模块11的协商结果,对需要进行传输的数据进行IPSec签名和加密、或者进行认证和解密。
进一步的,所述密码模块14还用于根据MTE20通过所述虚拟内网向INC40发送的第一个上行数据报文中的目的IP查找是否已经存储有与所述目的IP对应的对端SPI(串行外设接口,Serial Peripheral Interface),在存在所述对端SPI时,根据所述对端SPI对应的IPSec SA进行IPSec加密所述上行数据报文并通过外网将加密后的所述上行数据报文发送至所述目的IP对应的CS30;其中,CS30通过内网连接INC40。
进一步的,所述密码模块14还用于在不存在所述对端SPI时,发送协商请求至所述密钥模块11,所述密钥模块11用于向所述目的IP对应的CS30发起IKE协商请求,并完成与所述目的IP对应的CS30之间的IKE协商并建立IPSec加密通信连接。
下面结合本发明一实施例中的一种基于IPSec的移动通信安全通信方法,一同来说明MCSE10的工作方式。
所述基于IPSec的移动通信安全通信方法,包括步骤:
S1,通过MCSE10建立虚拟内网连接MTE20,通过MCSE10和外网连接CS30。
S2,MCSE10接收MTE20通过所述虚拟内网向INC40发送的第一个上行数据报文,根据所述上行数据报文中的目的IP查找是否已经存储有与所述目的IP对应的对端SPI。
S3,在存在所述对端SPI时,根据所述对端SPI对应的IPSec SA进行IPSec加密所述上行数据报文并通过外网将加密后的所述上行数据报文发送至所述目的IP对应的CS30。
S4,在不存在所述对端SPI时,向所述目的IP对应的CS30发起LKE协商请求,在完成与所述目的IP对应的CS30之间的IKE协商并建立IPSec加密通信连接之后,返回所述步骤S2。
请在参考图4-6,具体的,所述步骤S4包括,第一阶段协商和第二阶段协商。
在一较佳实施例中,所述第一阶段协商包括:
S411,MCSE10的密钥模块11作为发起方,向所述目的IP对应的CS30发送IKE安全提议报文;其中,所述IKE安全提议报文中包括ISAKMP框架,所述ISAKMP框架的头部包括发送方的SPI,下一有效载荷起始位置的标识,报文长度,有效载荷1中提议使用国密SM2签名证书,有效载荷2中提议使用国密SM3加密证书;所述IKE安全提议报文使用明文发送。
S412,所述目的IP对应的CS30的守护进程作为接收方,接收所述IKE安全提议报文,对所述发起方发送回复确认报文,所述回复确认报文包括ISAKAMP框架,所述ISAKAMP框架头部加入接收方的SPI,有效载荷1中回复接收方的国密SM2签名证书,有效载荷2中回复接收方的国密SM3加密证书;所述回复确认报文使用明文发送。
S413,所述密钥模块11接收所述回复确认报文,向所述目的IP对应的CS30发起密钥交换提议,所述密钥交换提议的有效载荷1中写入发送方的国密SM2签名证书,有效载荷2中写入发送方的国密SM3加密证书,有效载荷3中写入随机数NI;所述密钥交换提议使用明文发送。
S414,所述守护进程接收所述密钥交换提议,获取MCSE10的证书公钥以及所述随机数NI,并计算后得到接收方认证数据,对所述发起方发送回复密钥交换提议报文,在所述回复密钥交换提议报文中的有效载荷1中写入随机数NR,有效载荷2中写入所述接收方认证数据。
S415,所述密钥模块11接收所述回复密钥交换提议报文,获取所述随机数NR和接收方认证数据,并将计算后得到发送方认证数据与所述接收方认证数据相比较,若一致,则表示已与对端完成密钥交换,开始发起发起方身份认证信息交换报文,若不一致,则表示密钥交换失败,退出协商过程;其中,所述发起方身份认证信息交换报文的载荷信息包括被安全提议的算法加密的IKE SA内容。
S416,所述守护进程接收所述发起方身份认证信息交换报文,并回复接收方身份认证信息交换报文。
第一阶段协商完成,通信双方协商建立了IKE协议本身使用的安全通道IKE SA,开始第二阶段的协商,协商过程同样使用标准ISAKMP协议;在一较佳的示例中,所述第二阶段协商包括:
S421,所述密钥模块11作为发起方,向所述接收方发送发起方的安全参数和身份认证信息,所述安全参数包括被保护的数据流和IPSec SA需要协商的被保护数据流认证算法和加密算法,所述身份认证信息包括第一阶段交换的密钥和第二阶段产生的密钥材料;
S422,所述守护进程作为接收方,接收所述发起方的安全参数和身份认证信息,并回复接收方的安全参数和身份认证信息,并生成第二阶段密钥;
S423,所述密钥模块11发送确认信息至所述接收方,完成所述IKE协商并建立IPSec加密通信连接。
进一步的,还可以包括步骤:所述外网模块12接收CS30转发的INC40发送的根据所述下行报文数据,并根据所述IPSec SA进行解密后,使用与MTE20之间虚拟内网对应的的私有协议进行解析和封装后发送给MTE20。
请一并参考图7和图8,IKE协商完成后,MTE20可以和INC40进行IPSec VPN通信,MTE20的用户APP用UDP协议发送若干报文,源IP地址为内网IP1,目的IP地址为内网IP3,所有报文的时序状态如图7所示;IKE协商成功后,得到共同约定的协商结果,如SPI、认证密钥、加密密钥等。在CS端,协商的结果会注册到内核的XFRM框架,IPSec被保护的数据流将由XFRM框架处理;在MCSE端,协商的结果会发送给MM模块,由MM模块负责对用户数据报文的加解密处理。MTE20和INC40实现IPSec VPN通信的步骤包括:
Step1.MTE通过与MCSE的传输通道向INC发送上行用户数据报文;
Step2.Tun模块接收上行报文,使用私有协议T封装报文,转发给MM模块;
Step3.MM模块接收上行报文,解析私有协议T,使用协商的算法签名和加密,使用私有协议W封装报文,转发给Wrapper模块;
Step4.Wrapper模块接收上行报文,解析私有协议W,得到上行IPSec报文,再将报文经过公用网络发送到CS;
Step5.CS的XFRM框架接收到上行用户数据IPSec报文,根据协商的算法进行认证和解密,并路由转发到INC的Service;
Step6.INC的Service作出响应,按原路由发送下行用户数据报文到CS;
Step7.CS的XFRM框架接收到下行用户数据报文,根据协商的算法进行签名和加密,得到下行IPSec报文,并经过公用网络回送给MCSE的Wrapper模块;
Step8.Wrapper模块接收下行IPSec报文,使用私有协议W封装报文,转发给MM模块;
Step9.MM模块接收下行报文,解析私有协议W,使用协商的算法认证和解密,使用私有协议T封装报文,转发给Tun模块;
Step10.Tun模块接收下行报文,解析私有协议T,回送给MTE;
Step11.MTE接收下行用户数据报文,得到响应。
在一优选的实施例中,需要说明的是:
IKE协商创建ESP隧道,协商过程使用国密双证书;
IPSec VPN通信使用SM3为认证算法、SM4为加密算法;
MCSE的四个模块均用独立可编程的开发板,其中Wrapper模块具有物理网卡设备;
Tun模块和MM模块、Wrapper模块和MM模块之间用ttyusb设备作为传输通道;
Tun模块创建tun设备作为虚拟网卡,分配IP1;
Wrapper模块的物理网卡分配IP2,创建UDP套接字,绑定4500端口;
CS具有两块物理网卡设备,物理网卡1分配IP3,物理网卡2分配IP4,开启转发功能,守护进程将4500端口托管给XFRM,由XFRM监听;
INC的物理网卡分配IP5;
根据前文描述的MTE20和INC40实现IPSec VPN通信的步骤,Step1-Step5的上行用户数据报文状态如图8所示。下行用户数据报文状态与上行完全对称,故不再作展示。
在本说明书的描述中,参考术语“一实施例”、“另一实施例”、“其他实施例”、或“第一实施例~第X实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料、方法步骤或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于IPSec的移动通信安全通信装置,其特征在于,包括密钥模块、外网模块、内网模块以及密码模块;其中,
虚拟内网模块,用于建立所述移动通信安全通信装置与移动终端设备之间的通信,并在所述移动终端设备与所述密码模块之间接收和转发数据;
外网模块,用于将所述移动通信安全通信装置接入外网,并在所述密码模块以及中心服务器之间接收和转发数据;其中,所述中心服务器连接在内网与所述外网之间,所述中心服务器通过所述内网连接内网计算机设备,以实现所述内网计算机设备与外网的通信;
密钥模块,用于与所述移动通信安全通信装置进行通信的对端进行互联网密钥交换协议的协商;
密码模块,用于根据所述密钥模块的协商结果,对需要进行传输的数据进行IPSec签名和加密、或者进行认证和解密。
2.根据权利要求1所述的基于IPSec的移动通信安全通信装置,其特征在于,所述密钥模块预置了IKE协商阶段用到的证书、支持国密X.509格式双证书,签名证书支持使用SM2作为数字签名算法,加密证书支持使用SM3作为哈希算法。
3.根据权利要求1所述的基于IPSec的移动通信安全通信装置,其特征在于,所述密码模块还用于根据所述移动终端设备通过所述虚拟内网向内网计算机设备发送的第一个上行数据报文中的目的IP查找是否已经存储有与所述目的IP对应的对端SPI,在存在所述对端SPI时,根据所述对端SPI对应的IPSec SA进行IPSec加密所述上行数据报文并通过外网将加密后的所述上行数据报文发送至所述目的IP对应的中心服务器;其中,所述中心服务器通过内网连接所述内网计算机设备。
4.根据权利要求3所述的基于IPSec的移动通信安全通信装置,其特征在于,所述密码模块还用于在不存在所述对端SPI时,发送协商请求至所述密钥模块,所述密钥模块用于向所述目的IP对应的中心服务器发起互联网密钥交换协议协商请求,并完成与所述目的IP对应的中心服务器之间的互联网密钥交换协议协商并建立IPSec加密通信连接。
5.一种基于IPSec的移动通信安全通信方法,其特征在于,包括步骤:
S1,通过移动通信安全通信装置建立虚拟内网连接移动终端设备,通过所述移动通信安全通信装置和外网连接中心服务器;
S2,所述移动通信安全通信装置接收所述移动终端设备通过所述虚拟内网向内网计算机设备发送的第一个上行数据报文,根据所述上行数据报文中的目的IP查找是否已经存储有与所述目的IP对应的对端SPI;
S3,在存在所述对端SPI时,根据所述对端SPI对应的IPSec SA进行IPSec加密所述上行数据报文并通过外网将加密后的所述上行数据报文发送至所述目的IP对应的中心服务器;其中,所述中心服务器通过内网连接所述内网计算机设备;
S4,在不存在所述对端SPI时,向所述目的IP对应的中心服务器发起LKE协商请求,在完成与所述目的IP对应的中心服务器之间的IKE协商并建立IPSec加密通信连接之后,返回所述步骤S2。
6.根据权利要求5所述的基于IPSec的移动通信安全通信方法,其特征在于,所述步骤S4包括,第一阶段协商和第二阶段协商。
7.根据权利要求6所述的基于IPSec的移动通信安全通信方法,其特征在于,所述第一阶段协商包括:
S411,所述移动通信安全通信装置的密钥模块作为发起方,向所述目的IP对应的中心服务器发送IKE安全提议报文;其中,所述IKE安全提议报文中包括ISAKMP框架,所述ISAKMP框架的头部包括发送方的SPI,下一有效载荷起始位置的标识,报文长度,有效载荷1中提议使用国密SM2签名证书,有效载荷2中提议使用国密SM3加密证书;
S412,所述目的IP对应的中心服务器的守护进程作为接收方,接收所述IKE安全提议报文,对所述发起方发送回复确认报文,所述回复确认报文包括ISAKAMP框架,所述ISAKAMP框架头部加入接收方的SPI,有效载荷1中回复接收方的国密SM2签名证书,有效载荷2中回复接收方的国密SM3加密证书;
S413,所述密钥模块接收所述回复确认报文,向所述目的IP对应的中心服务器发起密钥交换提议,所述密钥交换提议的有效载荷1中写入发送方的国密SM2签名证书,有效载荷2中写入发送方的国密SM3加密证书,有效载荷3中写入随机数NI;
S414,所述守护进程接收所述密钥交换提议,获取所述移动通信安全通信装置的证书公钥以及所述随机数NI,并计算后得到接收方认证数据,对所述发起方发送回复密钥交换提议报文,在所述回复密钥交换提议报文中的有效载荷1中写入随机数NR,有效载荷2中写入所述接收方认证数据;
S415,所述密钥模块接收所述回复密钥交换提议报文,获取所述随机数NR和接收方认证数据,并将计算后得到发送方认证数据与所述接收方认证数据相比较,若一致,则表示已与对端完成密钥交换,开始发起发起方身份认证信息交换报文,若不一致,则表示密钥交换失败,退出协商过程;其中,所述发起方身份认证信息交换报文的载荷信息包括被安全提议的算法加密的IKE SA内容;
S416,所述守护进程接收所述发起方身份认证信息交换报文,并回复接收方身份认证信息交换报文。
8.根据权利要求7所述的基于IPSec的移动通信安全通信方法,其特征在于,所述第二阶段协商包括:
S421,所述密钥模块作为发起方,向所述接收方发送发起方的安全参数和身份认证信息,所述安全参数包括被保护的数据流和IPSec SA需要协商的被保护数据流认证算法和加密算法,所述身份认证信息包括第一阶段交换的密钥和第二阶段产生的密钥材料;
S422,所述守护进程作为接收方,接收所述发起方的安全参数和身份认证信息,并回复接收方的安全参数和身份认证信息,并生成第二阶段密钥;
S423,所述密钥模块发送确认信息至所述接收方,完成所述IKE协商并建立IPSec加密通信连接。
9.根据权利要求8所述的基于IPSec的移动通信安全通信方法,其特征在于,所述IKE安全提议报文、回复确认报文、密钥交换提议均使用明文发送。
10.根据权利要求5-9中任一项所述的基于IPSec的移动通信安全通信方法,其特征在于,还包括步骤:所述外网模块接收所述中心服务器转发的所述内网计算机设备发送的根据所述下行报文数据,并根据所述IPSec SA进行解密后,使用与所述移动终端设备之间虚拟内网对应的的私有协议进行解析和封装后发送给所述移动终端设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111203856.5A CN113747434B (zh) | 2021-10-15 | 2021-10-15 | 一种基于IPSec的移动通信安全通信方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111203856.5A CN113747434B (zh) | 2021-10-15 | 2021-10-15 | 一种基于IPSec的移动通信安全通信方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113747434A true CN113747434A (zh) | 2021-12-03 |
CN113747434B CN113747434B (zh) | 2023-08-01 |
Family
ID=78726729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111203856.5A Active CN113747434B (zh) | 2021-10-15 | 2021-10-15 | 一种基于IPSec的移动通信安全通信方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113747434B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114499969A (zh) * | 2021-12-27 | 2022-05-13 | 天翼云科技有限公司 | 一种通信报文的处理方法、装置、电子设备及存储介质 |
CN114553507A (zh) * | 2022-02-10 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种安全认证方法、装置、设备及机器可读存储介质 |
CN114978576A (zh) * | 2022-04-06 | 2022-08-30 | 黄子琦 | 一种国密/IPSec VPN共存的通信方法及其系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060108987A (ko) * | 2005-04-14 | 2006-10-19 | 주식회사 케이티프리텔 | 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 |
US20090025080A1 (en) * | 2006-09-27 | 2009-01-22 | Craig Lund | System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access |
WO2009018510A1 (en) * | 2007-08-02 | 2009-02-05 | Imagineer Software, Inc. | Systems and methods for implementing a mutating internet protocol security |
CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
CN102970293A (zh) * | 2012-11-20 | 2013-03-13 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
CN104394148A (zh) * | 2014-11-26 | 2015-03-04 | 东南大学 | IPv6下IPSec协议外出处理硬件实现系统 |
CN109150688A (zh) * | 2018-10-22 | 2019-01-04 | 网宿科技股份有限公司 | IPSec VPN数据传输方法及装置 |
CN112671710A (zh) * | 2020-11-26 | 2021-04-16 | 中国大唐集团科学技术研究院有限公司 | 一种基于国密算法的安全加密装置、双向认证及加密方法 |
CN113329018A (zh) * | 2021-05-28 | 2021-08-31 | 中国电子信息产业集团有限公司第六研究所 | 一种新型安全隔离IPsec VPN处理架构 |
-
2021
- 2021-10-15 CN CN202111203856.5A patent/CN113747434B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060108987A (ko) * | 2005-04-14 | 2006-10-19 | 주식회사 케이티프리텔 | 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 |
US20090025080A1 (en) * | 2006-09-27 | 2009-01-22 | Craig Lund | System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access |
WO2009018510A1 (en) * | 2007-08-02 | 2009-02-05 | Imagineer Software, Inc. | Systems and methods for implementing a mutating internet protocol security |
CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
CN102970293A (zh) * | 2012-11-20 | 2013-03-13 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
CN104394148A (zh) * | 2014-11-26 | 2015-03-04 | 东南大学 | IPv6下IPSec协议外出处理硬件实现系统 |
CN109150688A (zh) * | 2018-10-22 | 2019-01-04 | 网宿科技股份有限公司 | IPSec VPN数据传输方法及装置 |
CN112671710A (zh) * | 2020-11-26 | 2021-04-16 | 中国大唐集团科学技术研究院有限公司 | 一种基于国密算法的安全加密装置、双向认证及加密方法 |
CN113329018A (zh) * | 2021-05-28 | 2021-08-31 | 中国电子信息产业集团有限公司第六研究所 | 一种新型安全隔离IPsec VPN处理架构 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114499969A (zh) * | 2021-12-27 | 2022-05-13 | 天翼云科技有限公司 | 一种通信报文的处理方法、装置、电子设备及存储介质 |
CN114553507A (zh) * | 2022-02-10 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种安全认证方法、装置、设备及机器可读存储介质 |
CN114553507B (zh) * | 2022-02-10 | 2024-02-09 | 新华三信息安全技术有限公司 | 一种安全认证方法、装置、设备及机器可读存储介质 |
CN114978576A (zh) * | 2022-04-06 | 2022-08-30 | 黄子琦 | 一种国密/IPSec VPN共存的通信方法及其系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113747434B (zh) | 2023-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113747434B (zh) | 一种基于IPSec的移动通信安全通信方法及装置 | |
JP6641029B2 (ja) | キー配信および認証方法およびシステム、ならびに装置 | |
EP1178644B1 (en) | Key management methods for wireless lans | |
EP1495621B1 (en) | Security transmission protocol for a mobility ip network | |
US20070271606A1 (en) | Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN | |
CN101499972B (zh) | Ip安全报文转发方法及装置 | |
CN108112013B (zh) | 数据的传输方法、装置和系统 | |
EP2561663A2 (en) | System and method for providing secured access to services | |
KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
US11637699B2 (en) | Rollover of encryption keys in a packet-compatible network | |
US9473466B2 (en) | System and method for internet protocol security processing | |
KR100948604B1 (ko) | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 | |
WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
CN114143050B (zh) | 一种视频数据加密系统 | |
CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
JP2007533278A (ja) | 移動体ノードの高速かつ安全な接続性 | |
EP3541110B1 (en) | X2 service transmission method, and network apparatus | |
CN114501143B (zh) | 一种基于端口选择性加密的视频安全接入方法及系统 | |
WO2008029853A1 (fr) | Dispositif et procédé de livraison de clé de cryptage | |
KR101837064B1 (ko) | 보안 통신 장치 및 방법 | |
JP4707325B2 (ja) | 情報処理装置 | |
WO2001022685A1 (en) | Method and arrangement for communications security | |
CN110650476B (zh) | 管理帧加密和解密 | |
EP2579537A1 (en) | Method for securing data communication | |
CN115766172A (zh) | 基于dpu和国密的报文转发方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |