CN114039812B - 数据传输通道建立方法、装置、计算机设备和存储介质 - Google Patents
数据传输通道建立方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN114039812B CN114039812B CN202111246123.XA CN202111246123A CN114039812B CN 114039812 B CN114039812 B CN 114039812B CN 202111246123 A CN202111246123 A CN 202111246123A CN 114039812 B CN114039812 B CN 114039812B
- Authority
- CN
- China
- Prior art keywords
- data packet
- data transmission
- data
- packet
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及一种数据传输通道建立方法、装置、计算机设备和存储介质。通过获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息,来获得与隧道信息对应的身份对应关系,并根据该身份对应关系和预设编号得到初始IP数据包,此外,还采用IPSec协议对获得的初始IP数据包进行封装加密,得到被加密过的IP数据包,并对被加密过的IP数据包进行解密,得到解密后的IP数据包,再将解密后的IP数据包发送给数据传输的接收方,以达到建立IPSec隧道的目的。采用本方法可以有效避免数据信息在传输过程中不对应的情况,提高了数据传输的准确性、安全性和可靠性。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种数据传输通道建立方法、装置、计算机设备和存储介质。
背景技术
随着计算机网络技术的发展,网络已成为人们日常工作与生活中必不可少的一部分。但随之而来的网络安全问题,如黑客利用网络对公司或政府进行数据截取使其遭受损失等,引起了社会的强烈关注。
为了提高网络信息传输的安全性,互联网工程任务组(IETF)在1988年提出了针对网络层的互联网安全协议(Internet Protocol Security,IPSec)。在建立动态虚拟私有网络技术(Dynamic Virtual Private Network,DVPN)的过程中,可通过建立DVPN overIPSec来保证数据传输的安全性,即所有路由到DVPN隧道接口的报文都可以被IPSec保护。
但是,在DVPN over IPSec建立过程中,会出现多个的IP地址在访问中心端设备Hub时被转换为同一个IP地址的情况,导致IPSec隧道在建立过程中出现冲突,造成网络中断的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够根据正确的数据信息建立IPSec隧道的数据传输通道建立方法、装置、计算机设备和存储介质。
一种数据传输通道建立方法,所述方法包括:
获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息;所述目标组网系统包括数据传输的发送方和数据传输的接收方;
获取与隧道信息对应的身份对应关系,根据身份对应关系和预设授权编号得到初始IP数据包;所述身份对应关系通过将数据传输的发送方和数据传输的接收方的身份信息进行交换得到;
采用IPSec协议对初始IP数据包进行封装加密,得到被加密过的IP数据包;所述被加密过的IP数据包用于保护初始IP数据包在传输过程中不被篡改;
解密被加密过的IP数据包,得到解密后的IP数据包;
将解密后的IP数据包发送给数据传输的接收方,建立IPSec隧道。
在其中一个实施例中,隧道信息包括设备信息,获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息,包括:
获取构建IPSec隧道所需的数据传输的发送方与数据传输的接收方的设备信息。
在其中一个实施例中,采用IPSec协议对初始IP数据包进行封装加密,得到被加密过的IP数据包,包括:
根据由IPSec协议产生的IP包头和IPSec包头对初始IP数据包进行封装,得到被封装后的IP数据包;
将被封装后的IP数据包进行加密,得到被加密过的IP数据包。
在其中一个实施例中,被封装后的IP数据包包括起始位、初始化向量位、封装安全载荷加密算法密钥位、IP数据报文位、填充位以及结束位。
在其中一个实施例中,解密被加密过的IP数据包,得到解密后的IP数据包包括:
利用带密钥的Hash函数对被加密过的IP数据包进行Hash计算,得到第一Hash值;
利用带密钥的Hash函数对初始IP数据包进行Hash计算,得到第二Hash值;
对与第二Hash值相匹配的第一Hash值对应的被加密过的IP数据包进行解密,得到解密后的IP数据包。
在其中一个实施例中,将解密后的IP数据包发送给数据传输的接收方,建立IPSec隧道,包括:
将解密后的IP数据包与初始IP数据包进行匹配,将与初始IP数据包匹配成功的解密后的IP数据包发送给数据传输的接收方,建立IPSec隧道。
在其中一个实施例中,将解密后的IP数据包发送给数据传输的接收方,建立IPSec隧道之后,还包括:
在协商安全联盟的超时时间达到预设时间时,发送协商报文,所述安全联盟由IPSec隧道协商生成;
检测是否收到回应报文;所述回应报文用于对协商报文进行反馈;
若没有收到回应报文,则判断协商报文的出物理接口的报文处理速度是否大于或等于预设上限;
若报文处理速度大于或等于预设上限,则判断IPSec隧道是否可以对报文进行正常加密和解密;
若IPSec隧道可以对报文进行正常加密和解密,则判断IPSec隧道可使用。
一种数据传输通道建立装置,所述装置包括:
第一获取模块,用于获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息;所述目标组网系统包括数据传输的发送方和数据传输的接收方;
第二获取模块,用于获取与隧道信息对应的身份对应关系,根据身份对应关系和预设授权编号得到初始IP数据包;所述身份对应关系通过将数据传输的发送方和数据传输的接收方的身份信息进行交换得到;
加密模块,用于采用IPSec协议对初始IP数据包进行封装加密,得到被加密过的IP数据包;所述被加密过的IP数据包用于保护初始IP数据包在传输过程中不被篡改;
解密模块,用于解密被加密过的IP数据包,得到解密后的IP数据包;
发送模块,用于将解密后的IP数据包发送给数据传输的接收方,建立IPSec隧道。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述的方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
上述数据传输通道建立方法、装置、计算机设备和存储介质,通过获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息,来获得与隧道信息对应的身份对应关系,并根据该身份对应关系和预设授权编号得到初始IP数据包,保证了数据传输的准确性,此外,还采用IPSec协议对获得的初始IP数据包进行封装加密,得到被加密过的IP数据包,使得初始IP数据包在传输过程中不被篡改,增加了数据传输的安全性与准确性,并且,对被加密过的IP数据包进行解密,并将解密后的IP数据包发送给数据传输的接收方,避免了数据在传输过程中不对应的情况,从而达到根据正确的数据信息建立IPSec隧道的目的,提高了数据传输的可靠性。
附图说明
图1为一个实施例中数据传输通道建立方法的流程示意图;
图2为另一个实施例中数据传输通道建立方法的流程示意图;
图3为又一个实施例中数据传输通道建立方法的流程示意图;
图4为再一个实施例中数据传输通道建立方法的流程示意图;
图5为下一个实施例中数据传输通道建立方法的流程示意图;
图6为一个实施例中数据传输通道建立方法的流程图;
图7为一个实施例中数据传输通道建立方法步骤的流程示意图;
图8为一个实施例中数据传输通道建立装置图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种数据传输通道建立方法,包括以下步骤:
步骤S100:获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息。
其中,IPSec是一组基于网络层的,应用密码学的安全通信协议族,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方网络上传输数据的安全性。通常,IPSec协议可选的工作模式有两种,分别为传输模式和隧道模式,传输模式可用于主机到主机、主机到设备对带保护流量进行封装处理的场景,而隧道模式常可用于转发设备对待保护流量进行封装处理的场景。此外,隧道模式可完全对初始IP数据包进行验证和加密,并可使用IPSec对等体的IP地址来隐藏客户机的IP地址,可以理解的是,IPSec对等体可包括数据传输的发送方和数据传输的接收方;而且,从性能来讲,由于隧道模式包含一个额外的由IPSec协议产生的IP头部,使得隧道模式占用更多的带宽。
具体地,目标组网系统指的是任意一个需要通过构建IPSec隧道进行数据传输的组网系统,可包括数据传输的发送方和数据传输的接收方,可以理解的是,目标组网系统可以是预先设定好的。其中,数据传输的发送方和数据传输的接收方可以为中心设备和分支设备,也可以为其他的数据传输的发送方和接收方。隧道信息是构建IPSec隧道所需的信息,隧道信息的类型并不是唯一的,可根据实际需求选择,一般可包括设备信息、隧道参数信息等,其中隧道参数信息可包括协议类型、因特网密钥交换协议协商模式、认证模式、协商算法等信息。
步骤S200:获取与隧道信息对应的身份对应关系,根据身份对应关系和预设授权编号得到初始IP数据包。
其中,与隧道信息对应的身份对应关系是通过将数据传输的发送方和数据传输的接收方的身份信息进行交换得到的,比如交换双方的IP地址信息等。
具体地,可通过密钥交换的方式,对数据传输的发送方与接收方之间的身份进行认证,得到身份对应关系,并将该认证关系进行传递,确保了数据传输的安全性,可以理解的是,由于隧道信息可包括数据传输的发送方与接收方的设备信息,如IP地址信息等,故通过交换数据传输的发送方与接收方的身份信息所得到的身份对应关系与隧道信息是对应的。根据身份对应关系和预设授权编号得到初始IP数据包的方式并不是唯一的,在本实施例中,可根据预设授权编号和身份信息查询到身份对应关系,从而获得与身份信息对应的初始IP数据包,其中,预设授权编号可在对数据传输的发送方与接收方之间进行身份认证之后,通过对认证后的数据的发送方与接收方进行编号得到,使得根据预设授权编号和身份信息查询身份对应关系的过程更加快捷,初始IP数据包可被理解为数据流信息。
步骤S300:采用IPSec协议对初始IP数据包进行封装加密,得到被加密过的IP数据包。
其中,IPSec协议不是具体的某个协议,而是一个开放的协议族,包括认证头协议(Authentication Header,AH)、封装安全载荷协议(Encaspsulating Security Payload,ESP)、因特网密钥交换协议(Internet Key Exchange,IKE),用于保护主机与主机之间、主机与设备、设备与设备之间的一个或多个数据流。此外,在使用IPSec对数据进行保护之前,会建立安全联盟(Security Association,SA),其中,SA是出于安全目的而创建的一个单向逻辑连接,是数据传输的发送方和接收方对某些要素的约定,例如使用何种安全协议、需要保护的数据流特征、数据传输的发送方与接收方之间的数据的封装模式、用于数据安全转换和传输的密钥以及SA的生存周期等。
具体地,在得到初始IP数据包后,先通过IPSec协议对由数据传输的发送方发送的初始IP数据包进行封装,接着将被封装后的IP数据包进行加密,进一步地可将被封装后的IP数据包作为一个整体进行加密,得到被加密过的IP数据包。进一步地,在加密过程中所使用的加密算法和密文密码可以由SA提供的,其中,SA可由IPSec协议中的IKE协商模式生成,通过调用SA中的加密算法和密文密码对被封装后的IP数据包进行加密,得到被加密过的IP数据包,保证了数据传输的安全性,同时在后续解密过程可直接调用SA中对被封装后的IP数据包进行加密所使用的加密算法和密文密码,进一步提高了数据传输的可靠性。可以理解的是,为进一步增加数据传输的安全性和稳定性,还可以对当前数据包的数据流信息和和密文密码进行备份。
步骤S400:解密被加密过的IP数据包,得到解密后的IP数据包。
具体地,可通过由SA提供的加密算法和密钥对被加密过的IP数据包进行解密,得到解密后的IP数据包,在该过程中,可通过查看被加密过的IP数据包的ESP头部信息,并根据包含于ESP头部中的SPI(Security Parameter index,安全参数索引)确定被加密过的IP数据包所对应的SA,接着根据与被加密过的IP数据包对应的SA中的加密算法和密钥对被加密过的IP数据包进行解密,得到解密后的IP数据包,使得初始IP数据包在加密和解密过程中使用相同的安全服务,进一步提高了数据传输的可靠性与安全性。
步骤S500:将解密后的IP数据包发送给数据传输的接收方,建立IPSec隧道。
具体地,解密后的IP数据包与目标组网系统的隧道信息是对应的关系,将解密后的IP数据包发送给数据传输的接收方,使得数据传输的接收方和发送方可根据隧道信息建立IPSec隧道。可以理解的是,在数据传输的发送方和接收方之间可以存在多条IPSec隧道,可针对不同的数据流各选择一条隧道对其进行保护,例如有的数据流只需要认证,而有的数据流需要认证和加密。
在一个实施例中,隧道信息包括设备信息,如图2所示,步骤S100包括步骤S110:
步骤S110:获取构建IPSec隧道所需的数据传输的发送方与数据传输的接收方的设备信息。
具体地,数据传输的发送方和数据传输的接收方的设备信息可以为设备的IP地址信息、唯一标识信息等。设备信息为每个设备特有的信息,具有身份标识的作用。通过获取数据传输的发送方和接收方的设备信息,进一步保证了数据传输的准确性和安全性。可以理解,在其他实施例中,隧道信息也可以包括其他类型的信息,只要本领域技术人员认为可以实现即可。
在一个实施例中,如图3所示,步骤S300包括步骤S310和步骤S320:
步骤S310:根据由IPSec协议产生的IP包头和IPSec包头对初始IP数据包进行封装,得到被封装后的IP数据包。
具体地,可通过将由IPSec协议产生的IPSec包头放置在由IPSec协议产生的IP包头和初始IP数据包之间的方式对初始IP数据包进行封装,得到被封装后的IP数据包。通过在初始IP数据包外部添加一个由IPSec协议产生的IP包头,使得其在数据传输的过程中不被篡改,避免了对初始IP数据包首部校验的影响,进一步保证了整个初始IP数据包的完整性和安全。
步骤S320:将被封装后的IP数据包进行加密,得到被加密过的IP数据包。
具体地,在对初始IP数据包进行封装后,可根据由SA所提供的加密算法和密文密码对封装后的IP数据包进行加密,得到被加密过的IP数据包。
在一个实施例中,被封装后的IP数据包包括起始位、初始化向量位、封装安全载荷加密算法密钥位、IP数据报文位、填充位以及结束位。
具体地,通过对将要封装的初始IP数据包进行分段处理,即改变每段的数据格式,添加起始位或长度校验字段,得到包含有起始位、初始化向量位、封装安全载荷加密算法密钥位、IP数据报文位、填充位以及结束位的被封装后的IP数据包,进一步实现了安全高效的数据封装。其中,起始位包括起始位字段、加/解密字段、加密类型字段、加密模式字段、数据包总长度字段。填充位包括填充字段、填充字段长度、下一个头字段。结束位包括结束字段和长度验证字段。可以理解,在其他实施例中,被封装后的IP数据包还可以包括其他数据位,只要本领域技术人员认为可以实现即可。
在一个实施例中,如图4所示,步骤S400包括步骤S410、步骤S420和步骤S430:
步骤S410:利用带密钥的Hash函数对被加密过的IP数据包进行Hash计算,得到第一Hash值。
其中,Hash函数采用AH协议,AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理为在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的Hash函数(可以将其当作数字签名,只是它不使用证书),此Hash函数在整个数据包中计算,因此对数据的任何更改将致使Hash无效,进而提供了完整性保护。
具体地,被加密过的IP数据包内包含有一个带密钥的Hash函数,通过Hash计算,得到与之对应的Hash值,作为第一Hash值。
步骤S420:利用带密钥的Hash函数对初始IP数据包进行Hash计算,得到第二Hash值。
具体地,初始IP数据包内包含有一个带密钥的Hash函数,通过Hash计算,得到与之对应的Hash值,作为第二Hash值。
步骤S430:对与第二Hash值相匹配的第一Hash值对应的被加密过的IP数据包进行解密,得到解密后的IP数据包。
具体地,将上述步骤中通过Hash计算得到的第一Hash值和第二Hash值进行匹配,若匹配成功,则表示数据完整,保留该被加密过的IP数据包,然后对被加密过的IP数据包进行解密,得到解密后的IP数据包。若匹配失败,则表示数据在传输过程中遭到篡改,丢弃该被加密过的IP数据包。
在本实施例中,可以理解的是,Hash函数是存在于所有IP数据包内的,并在整个IP数据包中计算。通过分别对被加密过的IP数据包和初始IP数据包进行Hash计算得到第一Hash值和第二Hash值,并将第一Hash值和第二Hash值进行匹配,根据匹配结果来对被加密过的数据包进行保留或丢弃,确保了数据在传输过程中的完整性,进一步保证了IPSec隧道在建立过程中的可靠性。
在一个实施例中,如图5所示,步骤S500包括步骤S510:
步骤S510:将解密后的IP数据包与初始IP数据包进行匹配,将与初始IP数据包匹配成功的解密后的IP数据包发送给数据传输的接收方,建立IPSec隧道。
具体地,将解密后的IP数据包与初始IP数据包进行匹配,若匹配成功,则将与初始IP数据包匹配成功的解密后的IP数据包发送给数据传输的接收方,进行IPSec隧道的建立,若匹配不成功,则进行下一组IP数据包的匹配,若最终无法匹配,则停止IPSec隧道的建立,保证了IPSec隧道在建立过程中的安全性和可靠性。
进一步地,将解密后的IP数据包与初始IP数据包进行匹配的方式并不是唯一的,在本实施例中,根据由带有IPSec协议所产生的IP包头的解密后的IP数据包的填充长度信息得出填充字段的长度,删去即得到初始IP数据包的IP报文,通过隧道建立并根据得到的初始IP数据包的目的地址对初始的IP报文进行转发。
在一个实施例中,如图6所示,步骤S500之后,还可以对IPSec隧道建立时间进行控制,具体包括以下步骤:
步骤S610:在协商SA的超时时间达到预设时间时,发送协商报文。
具体地,在建立IPSec隧道时,会由IPSec协议中的IKE协商生成SA,接着,检测协商SA是否发生超时,且其超时时间是否达到预设时间;若协商SA的超时时间达到预设时间,则发送协商报文,对SA的更新进行协商。其中,预设时间可以根据网络的状态进行设置,超时时间可以理解为IKE协商生成SA的时间超过预设协商时间的部分,协商报文可以理解为当协商SA的超时时间达到预设时间是,为对当前的SA进行更新所发送的指令。
步骤S620:检测是否收到回应报文。
具体地,在发送协商报文之后,可通过检测是否收到回应报文来判断是否协商成功,其中,回应报文是对协商结果的反馈,可以理解为根据发送的协商报文得到的携带有更新后的SA信息的报文。
步骤S630:若没有收到回应报文,则判断协商报文的出物理接口的报文处理速度是否大于或等于预设上限。
具体地,如果收到回应报文,则表示协商成功,此时可得到更新后的SA,如果没有收到回应报文,则表示协商失败,此时可判断协商报文的出物理接口的报文处理速度是否大于或等于预设上限。其中,出物理接口可以理解为接收协商报文的地方,报文处理速度可以用来表示出物理接口在接收到协商报文后对报文处理的快慢,预设上限可由用户根据实际需求设定。
步骤S640:若报文处理速度大于或等于预设上限,则判断IPSec隧道是否可以对报文进行正常加密和解密。
具体地,若报文处理速度小于预设上限,则断开IPSec隧道;若报文处理速度大于或等于预设上限,则查看IPSec隧道是否可以对报文进行正常加密和解密。通常可以通过判断IPSec隧道中是否存在加密报文,来判断报文是否可以被正常加密,即如果IPSec隧道有加密报文,则表示IPSecs隧道可以对报文正常加密;随之,在IPSec隧道可以对报文进行正常加密的基础上,可通过SPI查找解密报文中的SA,若可以查找到与解密报文对应的SA,则表明IPSec隧道可以对报文正常解密。
步骤S650:若IPSec隧道可以对报文进行正常加密和解密,则判断IPSec隧道可使用。
具体地,若IPSec隧道不能对报文进行正常加密和解密,则断开IPSec隧道;若IPSec隧道可以对报文进行正常加密和解密,则表明该IPSec隧道可使用,等待预设时间后,重新发送协商报文,可以理解的是,预设时间可以为一个周期,如5分钟。
在本实施例中,通过对超时的传输报文进行舍弃,使得在IPsec隧道建立并同时触发IKE协商时,减少因IPsec隧道的错误删除而导致的IPsec隧道震荡的问题。
参照图7,为更清楚地理解本方案,以下结合一个具体的实施例进行详细的解释说明。在一个实施例中,以目标组网系统包含有多个分支节点为例,网络设备连接控制方法包括:
步骤S1,在安全的情况下交换密钥,并进行双方的身份认证,传递双方之间的认证,可以理解的是,双方指的是数据传输的发送方和接收方;
步骤S2,确定需构建IPSec隧道的目标组网系统;
步骤S3,获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息,其中,隧道信息包括设备信息、隧道参数信息等。可以理解地是,获取目标组网系统中的隧道信息包括通过控制中心节点与各个分支节点之间建立的加密通道获取各个分支节点的设备信息,进一步保证了数据传输的安全性;
步骤S4,根据预设授权编号和身份信息查询身份对应关系,得到和身份信息对应的数据流信息,其中数据流信息包括初始IP数据包;
步骤S5,将由IPSec协议产生的IPSec包头放在由IPSec协议产生的IP包头和初始IP数据包之间,从而组成一个带有由IPSec协议产生的IP包头的IP数据包;
步骤S6,对当前IP数据包的数据流信息和密文密码进行备份,其中当前IP数据包包括被加密过的IP数据包;
步骤S7,根据SA所提供的加密算法和密钥,解密被加密过的IP数据包;
进一步地,执行解密操作的具体步骤为:首先对被加密过的IP数据包进行Hash计算,再与初始IP数据包所计算的Hash字段值进行匹配;若匹配成功,表示数据完整,若匹配失败,表明在传输过程中数据遭修改,则丢弃该被加密过的IP数据包;
步骤S8,将每条隧道对应的隧道信息发送给对应的目标分支节点,以使各个目标分支节点根据对应的隧道信息与对端分支节点建立IPSec隧道;
进一步地,在隧道建立过程的步骤中,解密被加密过的IP数据包后与初始IP数据包进行匹配,若匹配成功,则进行隧道建立,若匹配失败,就进行下一组的匹配,若最终无法匹配,隧道停止建立;
进一步地,由带有IPSec协议所产生的IP包头的数据包的填充长度信息得出填充字段的长度,删去即得到初始的IP报文,通过隧道建立并根据得到的初始IP数据包的目的地址对初始的IP报文进行转发。
上述数据传输通道建立方法,通过获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息,来获得与隧道信息对应的身份对应关系,并根据该身份对应关系和预设授权编号得到初始IP数据包,保证了数据传输的准确性,此外,还采用IPSec协议对获得的初始IP数据包进行封装加密,得到被加密过的IP数据包,使得初始IP数据包在传输过程中不被篡改,增加了数据传输的安全性与准确性,并且,对被加密过的IP数据包进行解密,并将解密后的IP数据包发送给数据传输的接收方,避免了数据在传输过程中不对应的情况,从而达到根据正确的数据信息建立IPSec隧道的目的,提高了数据传输的可靠性。
应该理解的是,虽然图1-7的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-7中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图8所示,提供了一种数据传输通道建立装置,包括第一获取模块、第二获取模块、加密模块、解密模块和发送模块,其中:
第一获取模块,用于获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息。
第二获取模块,用于获取与隧道信息对应的身份对应关系,根据身份对应关系和预设授权编号得到初始IP数据包。
加密模块,用于采用IPSec协议对初始IP数据包进行封装加密,得到被加密过的IP数据包。
解密模块,用于解密被加密过的IP数据包,得到解密后的IP数据包。
发送模块,用于将解密后的IP数据包发送给数据传输的接收方,建立IPSec隧道。
在一个实施例中,隧道信息包括设备信息,第一获取模块包括设备信息获取单元,设备信息获取单元用于获取构建IPSec隧道所需的数据传输的发送方和数据传输的接收方的设备信息。
在一个实施例中,加密模块包括封装单元和加密单元,封装单元用于根据由IPSec协议产生的IP包头和IPSec包头对初始IP数据包进行封装,得到被封装后的IP数据包;加密单元用于将被封装后的IP数据包进行加密,得到被加密过的IP数据包。
在一个实施例中,解密模块包括第一计算单元、第二计算单元和解密单元,第一计算单元用于利用带密钥的Hash函数对被加密过的IP数据包进行Hash计算,得到第一Hash值;第二计算单元用于利用带密钥的Hash函数对初始IP数据包进行Hash计算,得到第二Hash值;解密单元用于对与第二Hash值相匹配的第一Hash值对应的被加密过的IP数据包进行解密,得到解密后的IP数据包。
在一个实施例中,发送模块包括匹配单元和发送单元,匹配单元用于将解密后的IP数据包与初始IP数据包进行匹配;发送单元用于将与初始IP数据包匹配成功的解密后的IP数据包发送给数据传输的接收方,建立IPSec隧道。
在一个实施例中,数据传输通道建立装置还包括超时时间检测模块、回应报文检测模块、第一判断模块、第二判断模块、第三判断模块,其中:
超时时间检测模块,用于在安全联盟的超时时间达到预设时间时,发送协商报文。
回应报文检测模块,用于检测是否收到回应报文。
第一判断模块,用于若没有收到回应报文,则判断协商报文的出物理接口的报文处理速度是否大于或等于预设上限。
第二判断模块,用于若报文处理速度大于或等于预设上限,则判断IPSec隧道是否可以对报文进行正常加密和解密。
第三判断模块,用于若IPSec隧道可以对报文进行正常加密和解密,则判断IPSec隧道可使用。
关于数据传输通道建立装置的具体限定可以参见上文中对于数据传输通道建立方法的限定,在此不再赘述。上述数据传输通道建立装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
上述数据传输通道建立装置,通过获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息,来获得与隧道信息对应的身份对应关系,并根据该身份对应关系和预设授权编号得到初始IP数据包,保证了数据传输的准确性,此外,还采用IPSec协议对获得的初始IP数据包进行封装加密,得到被加密过的IP数据包,使得初始IP数据包在传输过程中不被篡改,增加了数据传输的安全性与准确性,并且,对被加密过的IP数据包进行解密,并将解密后的IP数据包发送给数据传输的接收方,避免了数据在传输过程中不对应的情况,从而达到根据正确的数据信息建立IPSec隧道的目的,提高了数据传输的可靠性。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与客户端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据传输通道建立方法。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上文中的数据传输通道建立方法。
在一个实施例中,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上文中的数据传输通道建立方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种数据传输通道建立方法,其特征在于,所述方法包括:
获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息;所述目标组网系统包括数据传输的发送方和数据传输的接收方;
获取与所述隧道信息对应的身份对应关系,根据所述身份对应关系和预设授权编号得到初始IP数据包;所述身份对应关系通过将所述数据传输的发送方和所述数据传输的接收方的身份信息进行交换得到;
将所述IPSec协议产生的IPSec包头放在由IPSec协议产生的IP包头和所述初始IP数据包之间,得到被封装后的IP数据包;
将所述被封装后的IP数据包进行加密,得到被加密过的IP数据包;
解密所述被加密过的IP数据包,得到解密后的IP数据包;
将所述解密后的IP数据包发送给所述数据传输的接收方,建立IPSec隧道。
2.根据权利要求1所述的方法,其特征在于,所述隧道信息包括设备信息,所述获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息,包括:
获取构建IPSec隧道所需的所述数据传输的发送方与所述数据传输的接收方的所述设备信息。
3.根据权利要求2所述的方法,其特征在于,所述数据传输的发送方与所述数据传输的接收方的所述设备信息至少包括设备的IP地址信息、唯一标识信息。
4.根据权利要求1所述的方法,其特征在于,所述被封装后的IP数据包包括起始位、初始化向量位、封装安全载荷加密算法密钥位、IP数据报文位、填充位以及结束位。
5.根据权利要求1所述的方法,其特征在于,所述解密所述被加密过的IP数据包,得到解密后的IP数据包包括:
利用带密钥的Hash函数对所述被加密过的IP数据包进行Hash计算,得到第一Hash值;
利用带密钥的Hash函数对所述初始IP数据包进行Hash计算,得到第二Hash值;
对与所述第二Hash值相匹配的所述第一Hash值对应的所述被加密过的IP数据包进行解密,得到解密后的IP数据包。
6.根据权利要求1所述的方法,其特征在于,所述将所述解密后的IP数据包发送给所述数据传输的接收方,建立IPSec隧道,包括:
将所述解密后的IP数据包与所述初始IP数据包进行匹配,将与所述初始IP数据包匹配成功的所述解密后的IP数据包发送给所述数据传输的接收方,建立IPSec隧道。
7.根据权利要求1所述的方法,其特征在于,将所述解密后的IP数据包发送给所述数据传输的接收方,建立IPSec隧道之后,还包括:
在协商安全联盟的超时时间达到预设时间时,发送协商报文;所述安全联盟由所述IPSec隧道协商生成;
检测是否收到回应报文;所述回应报文用于对所述协商报文进行反馈;
若没有收到所述回应报文,则判断所述协商报文的出物理接口的报文处理速度是否大于或等于预设上限;
若所述报文处理速度大于或等于所述预设上限,则判断所述IPSec隧道是否可以对所述报文进行正常加密和解密;
若所述IPSec隧道可以对所述报文进行正常加密和解密,则判断所述IPSec隧道可使用。
8.一种数据传输通道建立装置,包括:
第一获取模块,用于获取针对目标组网系统配置的构建IPSec隧道所需的隧道信息;所述目标组网系统包括数据传输的发送方和数据传输的接收方;
第二获取模块,用于获取与所述隧道信息对应的身份对应关系,根据所述身份对应关系和预设授权编号得到初始IP数据包;所述身份对应关系通过将所述数据传输的发送方和所述数据传输的接收方的身份信息进行交换得到;
加密模块,用于将所述IPSec协议产生的IPSec包头放在由IPSec协议产生的IP包头和所述初始IP数据包之间,得到被封装后的IP数据包;将所述被封装后的IP数据包进行加密,得到被加密过的IP数据包;
解密模块,用于解密所述被加密过的IP数据包,得到解密后的IP数据包;
发送模块,用于将所述解密后的IP数据包发送给所述数据传输的接收方,建立IPSec隧道。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111246123.XA CN114039812B (zh) | 2021-10-26 | 2021-10-26 | 数据传输通道建立方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111246123.XA CN114039812B (zh) | 2021-10-26 | 2021-10-26 | 数据传输通道建立方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114039812A CN114039812A (zh) | 2022-02-11 |
| CN114039812B true CN114039812B (zh) | 2023-06-30 |
Family
ID=80135399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111246123.XA Active CN114039812B (zh) | 2021-10-26 | 2021-10-26 | 数据传输通道建立方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114039812B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116319105B (zh) * | 2023-05-22 | 2023-08-15 | 北京中鼎昊硕科技有限责任公司 | 一种基于多路安全隧道的高可靠数据传输管理系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112242943A (zh) * | 2020-11-26 | 2021-01-19 | 迈普通信技术股份有限公司 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108574589B (zh) * | 2017-03-10 | 2021-09-14 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及系统 |
| CN111385259B (zh) * | 2018-12-28 | 2023-09-01 | 中兴通讯股份有限公司 | 一种数据传输方法、装置、相关设备及存储介质 |
| CN113259497A (zh) * | 2020-02-07 | 2021-08-13 | 华为技术有限公司 | 传输报文的方法、装置、存储介质和系统 |
| CN112272134B (zh) * | 2020-11-26 | 2021-12-17 | 迈普通信技术股份有限公司 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
| CN113225311B (zh) * | 2021-03-24 | 2022-03-08 | 深圳市风云实业有限公司 | 一种基于身份标识的跨网隧道传输方法 |
-
2021
- 2021-10-26 CN CN202111246123.XA patent/CN114039812B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112242943A (zh) * | 2020-11-26 | 2021-01-19 | 迈普通信技术股份有限公司 | IPSec隧道建立方法及装置、分支设备、中心端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114039812A (zh) | 2022-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9712502B2 (en) | Method and system for sending a message through a secure connection | |
| CN109428867B (zh) | 一种报文加解密方法、网路设备及系统 | |
| US9838870B2 (en) | Apparatus and method for authenticating network devices | |
| US7036010B2 (en) | Method and apparatus for a secure communications session with a remote system via an access-controlling intermediate system | |
| CN111385259A (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
| KR100948604B1 (ko) | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 | |
| Farinacci et al. | Locator/ID separation protocol (LISP) data-plane confidentiality | |
| CN110832806B (zh) | 针对面向身份的网络的基于id的数据面安全 | |
| CN114039812B (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| KR20230039722A (ko) | 사전-공유 키 psk 업데이트 방법 및 장치 | |
| CN113225298A (zh) | 一种报文验证方法及装置 | |
| EP3131269B1 (en) | Method and device for conducting ah authentication on ipsec packet which has gone through nat traversal | |
| CN117254976B (zh) | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 | |
| JP2001111612A (ja) | 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体 | |
| US20230412371A1 (en) | Quantum cryptography in an internet key exchange procedure | |
| CN113872865A (zh) | 报文数据分流方法、装置、计算机设备和存储介质 | |
| CN106685701B (zh) | 断开IPSec VPN连接方法及装置 | |
| Fragkiadakis | DTLS Connection Identifiers for Secure Session Resumption in Constrained IoT Devices | |
| CN116346769A (zh) | 一种业务交互方法、装置、业务系统、电子设备及介质 | |
| Farinacci et al. | RFC 8061: Locator/ID Separation Protocol (LISP) Data-Plane Confidentiality | |
| CN115766172A (zh) | 基于dpu和国密的报文转发方法、装置、设备及介质 | |
| CN114465755A (zh) | 基于IPSec传输异常的检测方法、装置及存储介质 | |
| CN114268499A (zh) | 数据传输方法、装置、系统、设备和存储介质 | |
| Baltatu et al. | IP security | |
| CN117176365A (zh) | 一种保护通信安全的方法以及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230822 Address after: 518000 building 501, 502, 601, 602, building D, wisdom Plaza, Qiaoxiang Road, Gaofa community, Shahe street, Nanshan District, Shenzhen City, Guangdong Province Patentee after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd. Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |
|
| TR01 | Transfer of patent right |