CN116488812B - 一种业务数据处理方法、装置、电子设备和存储介质 - Google Patents
一种业务数据处理方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN116488812B CN116488812B CN202310748386.3A CN202310748386A CN116488812B CN 116488812 B CN116488812 B CN 116488812B CN 202310748386 A CN202310748386 A CN 202310748386A CN 116488812 B CN116488812 B CN 116488812B
- Authority
- CN
- China
- Prior art keywords
- load
- tcp
- header
- service data
- payload
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 32
- 238000000034 method Methods 0.000 claims abstract description 25
- 238000010200 validation analysis Methods 0.000 claims abstract description 6
- 238000012545 processing Methods 0.000 claims description 24
- 238000005538 encapsulation Methods 0.000 claims description 23
- 238000004422 calculation algorithm Methods 0.000 claims description 21
- 238000012790 confirmation Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 8
- 230000004048 modification Effects 0.000 claims description 6
- 238000012986 modification Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 abstract description 16
- 230000001360 synchronised effect Effects 0.000 description 9
- 230000001133 acceleration Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000005291 magnetic effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000004806 packaging method and process Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 239000013256 coordination polymer Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012858 packaging process Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/185—Space-based or airborne stations; Stations for satellite systems
- H04B7/1851—Systems using a satellite or space-based relay
- H04B7/18513—Transmission in a satellite or space-based system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Astronomy & Astrophysics (AREA)
- Aviation & Aerospace Engineering (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种业务数据处理方法、装置、电子设备和存储介质,该方法包括:获取符合TCP协议的第一业务数据;生成加密密钥,并基于加密密钥和第一TCP首部中的序号和确认表序号封装属性载荷;利用认证密钥对TCP载荷和属性载荷进行认证得到证载荷;基于加密密钥对TCP载荷进行加密得到密文载荷;封装密文载荷、属性载荷、认证载荷得到新的TCP载荷;基于新的TCP载荷修改第一IP首部和第一TCP首部,得到新的IP首部和新的TCP首部;封装新的IP首部、新的TCP首部、新的TCP载荷得到封装后的第一业务数据,并将封装后的第一业务数据发送至卫星链路。本申请提高了卫星链路传输速率及带宽利用率。
Description
技术领域
本申请涉及信息安全技术领域,更具体地说,涉及一种业务数据处理方法、装置、电子设备和存储介质。
背景技术
随着卫星技术的普及,近些年逐渐发生利用卫星链路对卫星通信使用者发生的网络攻击,需要提高卫星通信的网络安全意识。在相关技术中,在总部基地与远端小站部署IPSEC VPN(Internet Protocol Security Virtual Private Network,符合互联网安全协议的虚拟专用网络)对用户通信数据包进行网络传输保护。使用ESP(封装安全载荷,Encapsulate Security Payload)隧道模式在主机到网关或网关到网关的场景中进行安全报文封装方式,具体封装格式如图1所示,原IP数据包包括原IP首部、原协议首部及原协议载荷,ESP隧道模式通过对原IP数据包进行加密来保护原有网络数据的机密性,通过构造一个ESP协议首部与协议尾来确定一个安全载荷。
但是,在卫星链路的环境中,TCP(传输控制协议,Transmission ControlProtocol)加速功能无法识别VPN加密后的ESP报文,使用VPN技术会降低现有卫星链路的传输速率及带宽利用率,从而增加了企业使用卫星通信的成本。
因此,如何在保障卫星链路中传输数据的安全性的基础上,适用TCP加速功能,提高卫星链路传输速率及带宽利用率是本领域技术人员需要解决的技术问题。
发明内容
本申请的目的在于提供一种业务数据处理方法、装置及一种电子设备和一种计算机可读存储介质,在保障卫星链路中传输数据的安全性的基础上,适用TCP加速功能,提高了卫星链路传输速率及带宽利用率。
为实现上述目的,本申请提供了一种业务数据处理方法,包括:
获取符合TCP协议的第一业务数据;其中,所述第一业务数据包括第一IP首部、第一TCP首部和TCP载荷;
生成加密密钥,并基于所述加密密钥和所述第一TCP首部中的序号和确认表序号封装属性载荷;
利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷;
基于所述加密密钥对所述TCP载荷进行加密得到密文载荷;
封装所述密文载荷、所述属性载荷、所述认证载荷得到新的TCP载荷;
基于所述新的TCP载荷修改所述第一IP首部和所述第一TCP首部,得到新的IP首部和新的TCP首部;
封装所述新的IP首部、所述新的TCP首部、所述新的TCP载荷得到封装后的第一业务数据,并将所述封装后的第一业务数据发送至卫星链路。
其中,所述利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷,包括:
利用认证密钥对所述TCP载荷和所述属性载荷进行HAMC计算得到认证载荷。
其中,所述利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷之前,还包括:
对所述TCP载荷进行填充得到填充后的TCP载荷,使得所述填充后的TCP载荷的长度为第一预设长度的整数倍;
相应的,所述利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷,包括:
利用认证密钥对所述填充后的TCP载荷和所述属性载荷进行认证得到认证载荷;
相应的,所述基于所述加密密钥对所述TCP载荷进行加密得到密文载荷,包括:
基于所述加密密钥对所述填充后的TCP载荷进行加密得到密文载荷。
其中,所述生成加密密钥,包括:
生成4字节的随机数作为加密密钥;
相应的,所述基于所述加密密钥对所述TCP载荷进行加密得到密文载荷,包括:
基于MD5算法对所述加密密钥进行扩散,得到16字节的扩散后的加密密钥;
利用所述扩散后的加密密钥基于SM4算法的CBC模式对所述TCP载荷进行加密得到密文载荷。
其中,所述基于所述新的TCP载荷修改所述第一IP首部和所述第一TCP首部,得到新的IP首部和新的TCP首部,包括:
将所述第一TCP首部中的序号修改为零、确认序号修改为所述新的TCP载荷的长度,根据所述新的TCP载荷重新计算所述第一TCP首部中的校验和,得到新的TCP首部;
根据所述新的TCP载荷的长度修改所述第一IP首部中IP数据包长度,并重新计算所述第一IP首部中的校验和,得到新的IP首部。
其中,还包括:
获取符合TCP协议的第二业务数据;其中,所述第二业务数据包括第二IP首部、第二TCP首部、密文载荷、属性载荷和认证载荷;
从所述属性载荷中提取加密密钥,基于所述加密密钥对所述密文载荷进行解密得到原始TCP载荷;
利用认证密钥对所述原始TCP载荷和所述属性载荷进行认证得到待校验认证载荷,对比所述待校验认证载荷与所述第二业务数据中的认证载荷是否一致;
若是,则基于所述原始TCP载荷修改所述第二IP首部和所述第二TCP首部,得到原始IP首部和原始TCP首部;
封装所述原始IP首部、所述原始TCP首部、所述原始TCP载荷得到解封装后的业务数据,并将所述解封装后的业务数据发送至局域网。
其中,所述基于所述加密密钥和所述第一TCP首部中的序号和确认表序号封装属性载荷,包括:
将第一预设值的前置标识位、所述第一TCP首部中的序号、确认表序号、所述加密密钥、第二预设值的后置标识位封装属性载荷。
其中,还包括:
获取符合TCP协议的业务数据;
判断所述业务数据是否与本地的安全策略匹配;
若匹配,则判断所述业务数据中TCP载荷的长度是否大于第二预设长度;
若大于,则从所述业务数据中提取属性载荷,判断所述属性载荷中的前置标识位是否为所述第一预设值且后置标识位是否为所述第二预设值;若均是,则判定所述业务数据为从卫星链路获取的所述第二业务数据,否则,判定所述业务数据为从局域网获取的所述第一业务数据;
若不大于,则判定所述业务数据为从局域网获取的所述第一业务数据。
其中,所述基于所述原始TCP载荷修改所述第二IP首部和所述第二TCP首部,得到原始IP首部和原始TCP首部,包括:
将所述第二TCP首部中的序号和确认序号分别修改为所述属性载荷中的序号和确认序号,根据所述原始TCP载荷重新计算所述第二TCP首部中的校验和,得到原始TCP首部;
根据所述原始TCP载荷的长度修改所述第二IP首部中IP数据包长度,并重新计算所述第二IP首部中的校验和,得到原始IP首部。
为实现上述目的,本申请提供了一种业务数据处理装置,包括:
第一获取模块,用于获取符合TCP协议的第一业务数据;其中,所述第一业务数据包括第一IP首部、第一TCP首部和TCP载荷;
第一封装模块,用于生成加密密钥,并基于所述加密密钥和所述第一TCP首部中的序号和确认表序号封装属性载荷;
认证模块,用于利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷;
加密模块,用于基于所述加密密钥对所述TCP载荷进行加密得到密文载荷;
第二封装模块,用于封装所述密文载荷、所述属性载荷、所述认证载荷得到新的TCP载荷;
第一修改模块,用于基于所述新的TCP载荷修改所述第一IP首部和所述第一TCP首部,得到新的IP首部和新的TCP首部;
第三封装模块,用于封装所述新的IP首部、所述新的TCP首部、所述新的TCP载荷得到封装后的第一业务数据,并将所述封装后的第一业务数据发送至卫星链路。
为实现上述目的,本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述业务数据处理方法的步骤。
为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述业务数据处理方法的步骤。
通过以上方案可知,本申请提供的一种业务数据处理方法,包括:获取符合TCP协议的第一业务数据;其中,所述第一业务数据包括第一IP首部、第一TCP首部和TCP载荷;生成加密密钥,并基于所述加密密钥和所述第一TCP首部中的序号和确认表序号封装属性载荷;利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到证载荷;基于所述加密密钥对所述TCP载荷进行加密得到密文载荷;封装所述密文载荷、所述属性载荷、所述认证载荷得到新的TCP载荷;基于所述新的TCP载荷修改所述第一IP首部和所述第一TCP首部,得到新的IP首部和新的TCP首部;封装所述新的IP首部、所述新的TCP首部、所述新的TCP载荷得到封装后的第一业务数据,并将所述封装后的第一业务数据发送至卫星链路。
本申请提供的业务数据处理方法,通过保留TCP首部、增加属性载荷、认证载荷字段的方式对业务数据进行加密,由于仅对原始CP载荷数据段进行了保护和封装,保留了原始TCP首部,使得卫星链路仍然可以识别加密后的TCP报文并能正常启用TCP加速功能,提高了卫星链路传输速率及带宽利用率。本申请还公开了一种业务数据处理装置及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1为相关技术中的一种业务数据的封装格式;
图2为根据一示例性实施例示出的一种业务数据的封装格式;
图3为根据一示例性实施例示出的一种业务数据处理方法的流程图;
图4为根据一示例性实施例示出的另一种业务数据处理方法的流程图;
图5为根据一示例性实施例示出的又一种业务数据处理方法的流程图;
图6为本申请提供的一种应用实施例中业务数据的处理流程图;
图7为本申请提供的一种应用实施例中业务数据出站封装的流程图;
图8为本申请提供的一种应用实施例中业务数据入站解封装的流程图;
图9为根据一示例性实施例示出的一种业务数据处理装置的结构图;
图10为根据一示例性实施例示出的一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。另外,在本申请实施例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请提供了TCP净荷加密方式,封装格式如图2所示,封装后的TCP载荷数据包括密文载荷、属性载荷、认证载荷。
密文载荷可以为对原TCP载荷的加密结果,也可以为对“原TCP载荷+填充载荷”的加密结果,加密算法可以为SM4(一个分组对称密钥算法),加密模式可以为CBC(CipherBlock Chaining模式,密文分组链接模式)。
属性载荷用来标识这个TCP报文为净荷加密后的TCP报文,并存储着原TCP首部中的关键信息及加密密钥。属性载荷可以包括前置标识位、序号、确认号、加密密钥、后置标识位。前置标识位的长度可以为2字节,具体内容为第一预设值,例如可以为“0x4a48”,表示“JH”(“净荷”)。序号的长度可以为4字节,为原TCP首部中的序号。确认号的长度可以为4字节,为原TCP首部中的确认号。加密密钥的长度可以为4字节,具体内容可以为Mini-IV,经MD5(Message-Digest Algorithm 5,信息摘要算法)扩散后为16字节CBC加密初始向量IV。后置标识位的长度可以为2字节,具体内容为第二预设值,例如可以为“0x4a4d”,表示“JM”(“加密”)。需要说明的是,本申请不对第一预设值和第二预设值进行具体限定。
认证载荷的长度可以为32字节,可以为“原TCP载荷+属性载荷”的认证值,也可以为“原TCP载荷+填充载荷+属性载荷”的认证值。
本申请提供的一种业务数据处理装置,采用透明网桥的模式代替现有技术中的VPN装置部署于企业及远端小站的出口处,装置负责转发企业局域网与卫星链路间的数据。将局域网到卫星链路的传输定义为出站方向,进行封装处理,反之为入站方向,进行解封装处理。该装置提前预置格式为“源IP+目的IP+TCP+源端口+目的端口”的本地安全策略,业务数据进入装置后首先进行IP首部与TCP首部基本检测,主要包括IP首部校验和、TCP首部校验和检查,接着进行“源IP+目的IP+TCP+源端口+目的端口”与本地安全策略匹配的匹配检查,对于符合本地安全策略的数据包进入出站封装或入站解封装处理,对于不符合本地策略的数据包不处理直接转发。
本申请实施例公开了一种业务数据处理方法,在保障卫星链路中传输数据的安全性的基础上,适用TCP加速功能,提高了卫星链路传输速率及带宽利用率。
参见图3,根据一示例性实施例示出的一种业务数据处理方法的流程图,如图3所示,包括:
S101:获取符合TCP协议的第一业务数据;其中,所述第一业务数据包括第一IP首部、第一TCP首部和TCP载荷;
本实施例对业务数据的出站封装处理过程进行介绍,也即本实施例中的第一业务数据为从局域网中获取的业务数据,其为未封装的原始的TCP报文,包括第一IP首部、第一TCP首部和原始的TCP载荷。
S102:生成加密密钥,并基于所述加密密钥和所述第一TCP首部中的序号和确认表序号封装属性载荷;
在本步骤中,封装属性载荷。首先,生成加密密钥,作为一种可行的实施方式,生成4字节的随机数作为加密密钥,也即生成4字节随机数作为Mini-IV,并保存至属性载荷中。其次,记录原始TCP首部中的序号及确认序号,并保存至属性载荷中。然后,设置属性载荷的前置标识与后置标识,也即将第一预设值的前置标识位、第一TCP首部中的序号、确认表序号、加密密钥、第二预设值的后置标识位封装属性载荷。
S103:利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷;
在本步骤中,利用认证密钥对TCP载荷和属性载荷进行认证,以封装认证载荷。
作为一种可行的实施方式,所述利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷,包括:利用认证密钥对所述TCP载荷和所述属性载荷进行HAMC计算得到认证载荷。在具体实施中,可以采用HMAC-SM3算法利用认证密钥对对TCP载荷和属性载荷进行HAMC计算,计算结果填充至认证载荷中。
作为一种优选实施方式,所述利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷之前,还包括:对所述TCP载荷进行填充得到填充后的TCP载荷,使得所述填充后的TCP载荷的长度为第一预设长度的整数倍;相应的,所述利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷,包括:利用认证密钥对所述填充后的TCP载荷和所述属性载荷进行认证得到认证载荷。
在具体实施中,可以使用pkcs#7 Padding的方式填充原始TCP载荷,填充后的TCP载荷的长度为第一预设长度的整数倍。例如,第一预设长度其16,原始TCP载荷长度为len,则填充长度padlen为(16-len%16),填充内容存储于填充载荷中。利用认证密钥对原TCP载荷+填充载荷+属性载荷的内容进行认证,以封装认证载荷。
S104:基于所述加密密钥对所述TCP载荷进行加密得到密文载荷;
在本步骤中,基于加密密钥对原始TCP载荷进行加密得到密文载荷。若加密密钥为4字节的Mini-IV,则基于MD5算法对所述加密密钥进行扩散,得到16字节的扩散后的加密密钥,也即IV,利用扩散后的加密密钥基于SM4算法的CBC模式对TCP载荷进行加密得到密文载荷。
若对原始TCP载荷进行了填充,则基于加密密钥对所述填充后的TCP载荷进行加密得到密文载荷,也即对“原TCP载荷+填充载荷”的内容进行加密运算,计算结果填充至密文载荷中。
S105:封装所述密文载荷、所述属性载荷、所述认证载荷得到新的TCP载荷;
在本步骤中,可以依次封装密文载荷、属性载荷、认证载荷得到新的TCP载荷。
S106:基于所述新的TCP载荷修改所述第一IP首部和所述第一TCP首部,得到新的IP首部和新的TCP首部;
在本步骤中,仅修改原TCP首部中的序号、确认序号及校验和三个字段,原首部中其余字段保持不变。在具体实施中,将第一TCP首部中的序号修改为零、确认序号修改为新的TCP载荷的长度,根据新的TCP载荷重新计算第一TCP首部中的校验和,得到新的TCP首部。进一步的,根据新的TCP载荷的长度修改第一IP首部中IP数据包长度,并重新计算第一IP首部中的校验和,得到新的IP首部。
S107:封装所述新的IP首部、所述新的TCP首部、所述新的TCP载荷得到封装后的第一业务数据,并将所述封装后的第一业务数据发送至卫星链路。
在本步骤中,可以依次封装新的IP首部、新的TCP首部、新的TCP载荷得到封装后的第一业务数据,并将封装后的第一业务数据发送至卫星链路。
本申请实施例提供的业务数据处理方法,通过保留TCP首部、增加属性载荷、认证载荷字段的方式对业务数据进行加密,由于仅对原始CP载荷数据段进行了保护和封装,保留了原始TCP首部,使得卫星链路仍然可以识别加密后的TCP报文并能正常启用TCP加速功能,提高了卫星链路传输速率及带宽利用率。
本申请实施例公开了一种业务数据处理方法,具体的:
参见图4,根据一示例性实施例示出的另一种业务数据处理方法的流程图,如图4所示,包括:
S201:获取符合TCP协议的第二业务数据;其中,所述第二业务数据包括第二IP首部、第二TCP首部、密文载荷、属性载荷和认证载荷;
本实施例对业务数据的入站解封装处理过程进行介绍,也即本实施例中的第二业务数据为从卫星链路中获取的业务数据,包括第二IP首部、第二TCP首部、密文载荷、属性载荷和认证载荷。
S202:从所述属性载荷中提取加密密钥,基于所述加密密钥对所述密文载荷进行解密得到原始TCP载荷;
在本步骤中,从属性载荷中提取加密密钥,基于加密密钥对第二业务数据中的密文载荷进行解密得到原始TCP载荷。
若该加密密钥为Mini-IV,使用MD5算法将4字节的Mini-IV扩散成16字节的加密向量IV,使用加密密钥采用SM4算法CBC模式解密密文载荷,得到原始TCP载荷。
可以理解的是,若在封装过程中对原始TCP载荷进行了填充,则本步骤中解密得到的内容为“原TCP载荷+填充载荷”。
S203:利用认证密钥对所述原始TCP载荷和所述属性载荷进行认证得到待校验认证载荷,对比所述待校验认证载荷与所述第二业务数据中的认证载荷是否一致;若是,则进入S204;
在本步骤中,利用认证密钥对解密得到的内容连同第二业务数据中的属性载荷一起进行认证得到待校验认证载荷,对比计算得到的待校验认证载荷与第二业务数据中的认证载荷是否一致,若不一致,则说明TCP载荷在传输过程中被篡改,丢弃该数据包,若一致则进入S204进行后续处理。
S204:基于所述原始TCP载荷修改所述第二IP首部和所述第二TCP首部,得到原始IP首部和原始TCP首部;
在本步骤中,修改TCP首部中的序号、确认序号及校验和三个字段,TCP首部中其余字段保持不变。在具体实施中,将第二TCP首部中的序号和确认序号分别修改为属性载荷中的序号和确认序号,根据原始TCP载荷重新计算第二TCP首部中的校验和,得到原始TCP首部。进一步的,根据原始TCP载荷的长度修改第二IP首部中IP数据包长度,并重新计算第二IP首部中的校验和,得到原始IP首部。
S205:封装所述原始IP首部、所述原始TCP首部、所述原始TCP载荷得到解封装后的业务数据,并将所述解封装后的业务数据发送至局域网。
在本步骤中,可以依次封装原始IP首部、原始TCP首部、原始TCP载荷得到解封装后的业务数据,并将解封装后的业务数据发送至局域网。
本申请实施例公开了一种业务数据处理方法,具体的:
参见图5,根据一示例性实施例示出的又一种业务数据处理方法的流程图,如图5所示,包括:
S301:获取符合TCP协议的业务数据;
S302:判断所述业务数据是否与本地的安全策略匹配;若匹配,则进入S303;
在本实施例中,预设本地安全策略,当接收到业务数据之后,首先进行IP首部与TCP首部基本检测,主要包括IP首部校验和、TCP首部校验和检查,接着进行“源IP+目的IP+TCP+源端口+目的端口”与本地安全策略匹配的匹配检查,对于符合本地安全策略的数据包进入出站封装或入站解封装处理,对于不符合本地策略的数据包不处理直接转发。
S303:判断所述业务数据中TCP载荷的长度是否大于第二预设长度;若大于,则进入S304;若不大于,则判定所述业务数据为从局域网获取的所述第一业务数据,并进入S305;
S304:从所述业务数据中提取属性载荷,判断所述属性载荷中的前置标识位是否为所述第一预设值且后置标识位是否为所述第二预设值;若均是,则判定所述业务数据为从卫星链路获取的所述第二业务数据,并进入S306,否则,判定所述业务数据为从局域网获取的所述第一业务数据,并进入S305;
在具体实施中,判断业务数据中TCP载荷的长度是否大于第二预设长度,例如判断TCP载荷的长度是否大于48,若不大于,则说明该TCP载荷为没有经过加密保护的数据,也即该业务数据为从局域网获取的第一业务数据,进入S305进行出站封装处理。若大于,则判断属性载荷中的前置标识位是否为第一预设值且后置标识位是否为第二预设值,若均是,则判定业务数据为从卫星链路获取的第二业务数据,进入S306进行入站解封装处理,否则,判定业务数据为从局域网获取的第一业务数据,进入S305进行出站封装处理。
S305:生成加密密钥,将第一预设值的前置标识位、所述第一TCP首部中的序号、确认表序号、所述加密密钥、第二预设值的后置标识位封装属性载荷;对所述TCP载荷进行填充得到填充后的TCP载荷,使得所述填充后的TCP载荷的长度为第一预设长度的整数倍;利用认证密钥对所述填充后的TCP载荷和所述属性载荷进行认证得到认证载荷;基于所述加密密钥对所述TCP载荷进行加密得到密文载荷;封装所述密文载荷、所述属性载荷、所述认证载荷得到新的TCP载荷;基于所述新的TCP载荷修改所述第一IP首部和所述第一TCP首部,得到新的IP首部和新的TCP首部;封装所述新的IP首部、所述新的TCP首部、所述新的TCP载荷得到封装后的第一业务数据,并将所述封装后的第一业务数据发送至卫星链路;
S306:从所述第二业务数据中的属性载荷中提取加密密钥,基于所述加密密钥对所述第二业务数据中的密文载荷进行解密得到原始TCP载荷和填充载荷;利用认证密钥对所述原始TCP载荷、所述填充载荷和所述属性载荷进行认证得到待校验认证载荷,对比所述待校验认证载荷与所述第二业务数据中的认证载荷是否一致;若是,则基于所述原始TCP载荷修改所述第二业务数据中的第二IP首部和所述第二TCP首部,得到原始IP首部和原始TCP首部;封装所述原始IP首部、所述原始TCP首部、所述原始TCP载荷得到解封装后的业务数据,并将所述解封装后的业务数据发送至局域网。
本实施例与现有技术相比,都在加密前对TCP载荷数据进行填充,都在尾部有一个32字节的认证区域,但本实施例比现有技术减少了新增IP头+新增ESP头+ESP尾-属性载荷=10字节的长度。卫星链路中传播数据以长度100字节内的短报文居多,在不开启卫星链路TCP加速功能的情况下,本发明比现有技术至少减少10%的卫星资源开销。
下面介绍本申请提供的一种应用实施例,封装格式如图2所示,封装后,TCP加密载荷数据包括密文载荷、属性载荷、认证载荷。密文载荷为对“原TCP载荷+填充载荷”的加密结果,加密算法为SM4,加密模式为CBC。属性载荷的结构如表1所示:
表1
认证载荷长度32字节,为“原TCP载荷+填充载荷+属性载荷”的认证值。
业务数据的处理流程如图6所示,包括:
步骤1:判断是否与本地安全策略匹配,若是,则进入步骤2,若否,则不处理,直接转发;
步骤2:判断TCP载荷长度是否大于48;若是,则进入步骤3;若否,则进行出站封装处理;
步骤3:判断属性载荷中的前置标识是否为0x4a48且后置标识是否为0x4a4d,若均是,则进行入站解封装处理,否则进行出站封装处理。
业务数据出站封装过程如图7所示,包括:
步骤1:封装属性载荷:
生成4字节随机数作为Mini-IV,并保存至属性载荷中;记录原始TCP首部中的序号及确认序号,并保存至属性载荷中;设置属性载荷的前置标识与后置标识。
步骤2:封装填充载荷:
使用pkcs#7 Padding的方式填充原TCP载荷,若原TCP载荷长度为len,则填充长度padlen为(16-len%16),填充内容存储于填充载荷中。
步骤3:封装认证载荷:
为提高完整性校验的速度采用HMAC-SM3算法,使用认证密钥对原TCP载荷+填充载荷+属性载荷的内容进行HAMC计算,计算结果填充至认证载荷中。
步骤4:封装密文载荷:
首先使用MD5算法扩散4字节的Mini-IV至16字节的IV,使用加密密钥采用SM4算法CBC模式对“原TCP载荷+填充载荷”的内容进行加密运算,计算结果填充至密文载荷中。
步骤5:修改TCP首部:
仅修改原TCP首部中的序号、确认序号及校验和三个字段,原首部中其余字段保持不变。重置新TCP首部中的序号为0,确认序号为TCP载荷长度,根据新封装的TCP载荷重新计算TCP首部校验和。
步骤6:修改IP首部:
根据TCP载荷长度变化,更新IP首部中IP数据包长度,并重新计算IP首部校验和。
业务数据入站解封装过程如图8所示,包括:
步骤1:解封装密文载荷:
首先从属性载荷中提取Mini-IV,然后使用MD5算法将4字节的Mini-IV扩散成16字节的加密向量IV,使用加密密钥采用SM4算法CBC模式解密密文载荷,得到“原TCP载荷+填充载荷”的内容。
步骤2:解封装认证载荷:
将解密得到的原TCP载荷+填充载荷,连同属性载荷的内容,一起使用HMAC-SM3算法、认证密钥计算出HAMC值。比较该HMAC值与认证载荷中的内容是否一致。若不一致,说明TCP载荷在传输过程中被篡改,丢弃该数据包。若一致则进行后续处理。
步骤3:得到原始TCP载荷:
从收到的TCP载荷中,剥离出填充载荷、属性载荷、认证载荷,恢复出原始的TCP载荷。
步骤4:修改TCP首部:
TCP首部中的序号、确认序号及校验和三个字段,TCP首部中其余字段保持不变。使用重置新属性字段中的序号、确认号填充至TCP首部中的序号、确认号。根据得到的原始TCP载荷重新计算TCP首部校验和。
步骤5:修改IP首部:
根据TCP载荷长度变化,更新IP首部中IP数据包长度,并重新计算IP首部校验和。
下面对本申请实施例提供的一种业务数据处理装置进行介绍,下文描述的一种业务数据处理装置与上文描述的一种业务数据处理方法可以相互参照。
参见图9,根据一示例性实施例示出的一种业务数据处理装置的结构图,如图9所示,包括:
第一获取模块101,用于获取符合TCP协议的第一业务数据;其中,所述第一业务数据包括第一IP首部、第一TCP首部和TCP载荷;
第一封装模块102,用于生成加密密钥,并基于所述加密密钥和所述第一TCP首部中的序号和确认表序号封装属性载荷;
认证模块103,用于利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷;
加密模块104,用于基于所述加密密钥对所述TCP载荷进行加密得到密文载荷;
第二封装模块105,用于封装所述密文载荷、所述属性载荷、所述认证载荷得到新的TCP载荷;
第一修改模块106,用于基于所述新的TCP载荷修改所述第一IP首部和所述第一TCP首部,得到新的IP首部和新的TCP首部;
第三封装模块107,用于封装所述新的IP首部、所述新的TCP首部、所述新的TCP载荷得到封装后的第一业务数据,并将所述封装后的第一业务数据发送至卫星链路。
本申请实施例提供的业务数据处理装置,通过保留TCP首部、增加属性载荷、认证载荷字段的方式对业务数据进行加密,由于仅对原始CP载荷数据段进行了保护和封装,保留了原始TCP首部,使得卫星链路仍然可以识别加密后的TCP报文并能正常启用TCP加速功能,提高了卫星链路传输速率及带宽利用率。
在上述实施例的基础上,作为一种优选实施方式,所述认证模块103具体用于:利用认证密钥对所述TCP载荷和所述属性载荷进行HAMC计算得到认证载荷。
在上述实施例的基础上,作为一种优选实施方式,还包括:
填充模块,用于对所述TCP载荷进行填充得到填充后的TCP载荷,使得所述填充后的TCP载荷的长度为第一预设长度的整数倍;
相应的,所述认证模块103具体用于:利用认证密钥对所述填充后的TCP载荷和所述属性载荷进行认证得到认证载荷;
相应的,所述加密模块104具体用于:基于所述加密密钥对所述填充后的TCP载荷进行加密得到密文载荷。
在上述实施例的基础上,作为一种优选实施方式,所述第一封装模块102具体用于:生成4字节的随机数作为加密密钥,并基于所述加密密钥和所述第一TCP首部中的序号和确认表序号封装属性载荷;
相应的,所述加密模块104具体用于:基于MD5算法对所述加密密钥进行扩散,得到16字节的扩散后的加密密钥;利用所述扩散后的加密密钥基于SM4算法的CBC模式对所述TCP载荷进行加密得到密文载荷。
在上述实施例的基础上,作为一种优选实施方式,所述第一修改模块106具体用于:将所述第一TCP首部中的序号修改为零、确认序号修改为所述新的TCP载荷的长度,根据所述新的TCP载荷重新计算所述第一TCP首部中的校验和,得到新的TCP首部;根据所述新的TCP载荷的长度修改所述第一IP首部中IP数据包长度,并重新计算所述第一IP首部中的校验和,得到新的IP首部。
在上述实施例的基础上,作为一种优选实施方式,还包括:
第二获取模块,用于获取符合TCP协议的第二业务数据;其中,所述第二业务数据包括第二IP首部、第二TCP首部、密文载荷、属性载荷和认证载荷;
解密模块,用于从所述属性载荷中提取加密密钥,基于所述加密密钥对所述密文载荷进行解密得到原始TCP载荷;
对比模块,用于利用认证密钥对所述原始TCP载荷和所述属性载荷进行认证得到待校验认证载荷,对比所述待校验认证载荷与所述第二业务数据中的认证载荷是否一致;若是,则启动第二修改模块的工作流程;
第二修改模块,用于基于所述原始TCP载荷修改所述第二IP首部和所述第二TCP首部,得到原始IP首部和原始TCP首部;
第四封装模块,用于封装所述原始IP首部、所述原始TCP首部、所述原始TCP载荷得到解封装后的业务数据,并将所述解封装后的业务数据发送至局域网。
在上述实施例的基础上,作为一种优选实施方式,所述第一封装模块102具体用于:生成加密密钥,并将第一预设值的前置标识位、所述第一TCP首部中的序号、确认表序号、所述加密密钥、第二预设值的后置标识位封装属性载荷。
在上述实施例的基础上,作为一种优选实施方式,还包括:
第三获取模块,用于获取符合TCP协议的业务数据;
判断模块,用于判断所述业务数据是否与本地的安全策略匹配;若匹配,则判断所述业务数据中TCP载荷的长度是否大于第二预设长度;若大于,则从所述业务数据中提取属性载荷,判断所述属性载荷中的前置标识位是否为所述第一预设值且后置标识位是否为所述第二预设值;若均是,则判定所述业务数据为从卫星链路获取的所述第二业务数据,否则,判定所述业务数据为从局域网获取的所述第一业务数据;若不大于,则判定所述业务数据为从局域网获取的所述第一业务数据。
在上述实施例的基础上,作为一种优选实施方式,所述第二修改模块具体用于:将所述第二TCP首部中的序号和确认序号分别修改为所述属性载荷中的序号和确认序号,根据所述原始TCP载荷重新计算所述第二TCP首部中的校验和,得到原始TCP首部;根据所述原始TCP载荷的长度修改所述第二IP首部中IP数据包长度,并重新计算所述第二IP首部中的校验和,得到原始IP首部。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种电子设备,图10为根据一示例性实施例示出的一种电子设备的结构图,如图10所示,电子设备包括:
通信接口1,能够与其它设备比如网络设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的业务数据处理方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,电子设备中的各个组件通过总线系统4耦合在一起。可理解,总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图10中将各种总线都标为总线系统4。
本申请实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器3旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述方法的步骤。
处理器2执行所述程序时实现本申请实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、CD-ROM等存储器。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (12)
1.一种业务数据处理方法,其特征在于,包括:
获取符合TCP协议的第一业务数据;其中,所述第一业务数据包括第一IP首部、第一TCP首部和TCP载荷;
生成加密密钥,并基于所述加密密钥和所述第一TCP首部中的序号和确认表序号封装属性载荷;
利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷;
基于所述加密密钥对所述TCP载荷进行加密得到密文载荷;
封装所述密文载荷、所述属性载荷、所述认证载荷得到新的TCP载荷;
基于所述新的TCP载荷修改所述第一IP首部和所述第一TCP首部,得到新的IP首部和新的TCP首部;
封装所述新的IP首部、所述新的TCP首部、所述新的TCP载荷得到封装后的第一业务数据,并将所述封装后的第一业务数据发送至卫星链路。
2.根据权利要求1所述业务数据处理方法,其特征在于,所述利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷,包括:
利用认证密钥对所述TCP载荷和所述属性载荷进行HAMC计算得到认证载荷。
3.根据权利要求1所述业务数据处理方法,其特征在于,所述利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷之前,还包括:
对所述TCP载荷进行填充得到填充后的TCP载荷,使得所述填充后的TCP载荷的长度为第一预设长度的整数倍;
相应的,所述利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷,包括:
利用认证密钥对所述填充后的TCP载荷和所述属性载荷进行认证得到认证载荷;
相应的,所述基于所述加密密钥对所述TCP载荷进行加密得到密文载荷,包括:
基于所述加密密钥对所述填充后的TCP载荷进行加密得到密文载荷。
4.根据权利要求1所述业务数据处理方法,其特征在于,所述生成加密密钥,包括:
生成4字节的随机数作为加密密钥;
相应的,所述基于所述加密密钥对所述TCP载荷进行加密得到密文载荷,包括:
基于MD5算法对所述加密密钥进行扩散,得到16字节的扩散后的加密密钥;
利用所述扩散后的加密密钥基于SM4算法的CBC模式对所述TCP载荷进行加密得到密文载荷。
5.根据权利要求1所述业务数据处理方法,其特征在于,所述基于所述新的TCP载荷修改所述第一IP首部和所述第一TCP首部,得到新的IP首部和新的TCP首部,包括:
将所述第一TCP首部中的序号修改为零、确认序号修改为所述新的TCP载荷的长度,根据所述新的TCP载荷重新计算所述第一TCP首部中的校验和,得到新的TCP首部;
根据所述新的TCP载荷的长度修改所述第一IP首部中IP数据包长度,并重新计算所述第一IP首部中的校验和,得到新的IP首部。
6.根据权利要求1所述业务数据处理方法,其特征在于,还包括:
获取符合TCP协议的第二业务数据;其中,所述第二业务数据包括第二IP首部、第二TCP首部、密文载荷、属性载荷和认证载荷;
从所述属性载荷中提取加密密钥,基于所述加密密钥对所述密文载荷进行解密得到原始TCP载荷;
利用认证密钥对所述原始TCP载荷和所述属性载荷进行认证得到待校验认证载荷,对比所述待校验认证载荷与所述第二业务数据中的认证载荷是否一致;
若是,则基于所述原始TCP载荷修改所述第二IP首部和所述第二TCP首部,得到原始IP首部和原始TCP首部;
封装所述原始IP首部、所述原始TCP首部、所述原始TCP载荷得到解封装后的业务数据,并将所述解封装后的业务数据发送至局域网。
7.根据权利要求6所述业务数据处理方法,其特征在于,所述基于所述加密密钥和所述第一TCP首部中的序号和确认表序号封装属性载荷,包括:
将第一预设值的前置标识位、所述第一TCP首部中的序号、确认表序号、所述加密密钥、第二预设值的后置标识位封装属性载荷。
8.根据权利要求7所述业务数据处理方法,其特征在于,还包括:
获取符合TCP协议的业务数据;
判断所述业务数据是否与本地的安全策略匹配;
若匹配,则判断所述业务数据中TCP载荷的长度是否大于第二预设长度;
若大于,则从所述业务数据中提取属性载荷,判断所述属性载荷中的前置标识位是否为所述第一预设值且后置标识位是否为所述第二预设值;若均是,则判定所述业务数据为从卫星链路获取的所述第二业务数据,否则,判定所述业务数据为从局域网获取的所述第一业务数据;
若不大于,则判定所述业务数据为从局域网获取的所述第一业务数据。
9.根据权利要求6所述业务数据处理方法,其特征在于,所述基于所述原始TCP载荷修改所述第二IP首部和所述第二TCP首部,得到原始IP首部和原始TCP首部,包括:
将所述第二TCP首部中的序号和确认序号分别修改为所述属性载荷中的序号和确认序号,根据所述原始TCP载荷重新计算所述第二TCP首部中的校验和,得到原始TCP首部;
根据所述原始TCP载荷的长度修改所述第二IP首部中IP数据包长度,并重新计算所述第二IP首部中的校验和,得到原始IP首部。
10.一种业务数据处理装置,其特征在于,包括:
第一获取模块,用于获取符合TCP协议的第一业务数据;其中,所述第一业务数据包括第一IP首部、第一TCP首部和TCP载荷;
第一封装模块,用于生成加密密钥,并基于所述加密密钥和所述第一TCP首部中的序号和确认表序号封装属性载荷;
认证模块,用于利用认证密钥对所述TCP载荷和所述属性载荷进行认证得到认证载荷;
加密模块,用于基于所述加密密钥对所述TCP载荷进行加密得到密文载荷;
第二封装模块,用于封装所述密文载荷、所述属性载荷、所述认证载荷得到新的TCP载荷;
第一修改模块,用于基于所述新的TCP载荷修改所述第一IP首部和所述第一TCP首部,得到新的IP首部和新的TCP首部;
第三封装模块,用于封装所述新的IP首部、所述新的TCP首部、所述新的TCP载荷得到封装后的第一业务数据,并将所述封装后的第一业务数据发送至卫星链路。
11.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至9任一项所述业务数据处理方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述业务数据处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310748386.3A CN116488812B (zh) | 2023-06-25 | 2023-06-25 | 一种业务数据处理方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310748386.3A CN116488812B (zh) | 2023-06-25 | 2023-06-25 | 一种业务数据处理方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116488812A CN116488812A (zh) | 2023-07-25 |
| CN116488812B true CN116488812B (zh) | 2023-10-20 |
Family
ID=87223564
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310748386.3A Active CN116488812B (zh) | 2023-06-25 | 2023-06-25 | 一种业务数据处理方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116488812B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859291A (zh) * | 2005-12-13 | 2006-11-08 | 华为技术有限公司 | 一种对网络报文安全封装的方法 |
| CN108243211A (zh) * | 2016-12-24 | 2018-07-03 | 华为技术有限公司 | 一种数据传输方法及装置 |
| CN111614463A (zh) * | 2020-04-30 | 2020-09-01 | 网络通信与安全紫金山实验室 | 一种基于IPsec封装功能的密钥更新方法及装置 |
| CN114500013A (zh) * | 2022-01-13 | 2022-05-13 | 中国人民解放军海军工程大学 | 一种数据加密传输方法 |
| CN115766271A (zh) * | 2022-11-30 | 2023-03-07 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种基于后向散列链信源认证的网络隔离设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9246940B2 (en) * | 2013-04-06 | 2016-01-26 | Citrix Systems, Inc. | Systems and methods for protecting cluster systems from TCP SYN attack |
-
2023
- 2023-06-25 CN CN202310748386.3A patent/CN116488812B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859291A (zh) * | 2005-12-13 | 2006-11-08 | 华为技术有限公司 | 一种对网络报文安全封装的方法 |
| CN108243211A (zh) * | 2016-12-24 | 2018-07-03 | 华为技术有限公司 | 一种数据传输方法及装置 |
| CN111614463A (zh) * | 2020-04-30 | 2020-09-01 | 网络通信与安全紫金山实验室 | 一种基于IPsec封装功能的密钥更新方法及装置 |
| CN114500013A (zh) * | 2022-01-13 | 2022-05-13 | 中国人民解放军海军工程大学 | 一种数据加密传输方法 |
| CN115766271A (zh) * | 2022-11-30 | 2023-03-07 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种基于后向散列链信源认证的网络隔离设备 |
Non-Patent Citations (2)
| Title |
|---|
| IPv6安全协议IPSec分析;曹文波;蒋天发;;电脑与信息技术(第04期);全文 * |
| 一种基于TCP协议的网络隐蔽传输方案设计;娄嘉鹏;张萌;付鹏;张开;;信息网络安全(第01期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116488812A (zh) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
| US8379638B2 (en) | Security encapsulation of ethernet frames | |
| US20100005290A1 (en) | Method of identity protection, corresponding devices and computer softwares | |
| US20080162922A1 (en) | Fragmenting security encapsulated ethernet frames | |
| CN111614691B (zh) | 一种基于电力网关的出站报文处理方法及装置 | |
| CN110166489B (zh) | 一种物联网中数据传输方法、系统、设备及计算机介质 | |
| CN114448624A (zh) | 基于白盒密码服务的透明化物联网安全传输方法及装置 | |
| US20180176230A1 (en) | Data packet transmission method, apparatus, and system, and node device | |
| CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
| CN115333839A (zh) | 数据安全传输方法、系统、设备及存储介质 | |
| US20120163383A1 (en) | Method and device for transmitting data between two secured ethernet-type networks through a routed network | |
| CN111147451A (zh) | 一种基于云平台的业务系统安全访问方法、装置及系统 | |
| CN116488812B (zh) | 一种业务数据处理方法、装置、电子设备和存储介质 | |
| CN112437046A (zh) | 防止重放攻击的通信方法、系统、电子设备及存储介质 | |
| CN116489244B (zh) | 一种业务数据处理方法、装置、电子设备和存储介质 | |
| CN114039812B (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| CN115460021A (zh) | 一种保护数据传输的方法、装置、设备及介质 | |
| CN111935112B (zh) | 一种基于串行的跨网数据安全摆渡设备和方法 | |
| CN115225414A (zh) | 基于ipsec的加密策略匹配方法、装置及通信系统 | |
| CN112367329B (zh) | 通信连接认证方法、装置、计算机设备及存储介质 | |
| CN112714439B (zh) | 通信数据的安全传输方法、装置、设备及存储介质 | |
| Urien et al. | Security and Privacy for the next Wireless Generation | |
| CN106790242A (zh) | 一种通信方法、通信设备、可读介质及存储控制器 | |
| CN111585986A (zh) | 基于电力网关的安全传输方法、装置、介质及终端设备 | |
| KR20040088137A (ko) | 전송 암호화키 값 생성방법과 이를 적용한 상호인증보안방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |