一种基于ESP技术封装的精简网络数据流量的方法转让专利
申请号 : CN201210164677.X
文献号 : CN102710487B
文献日 : 2013-10-30
发明人 : 梁智强 , 胡朝辉 , 江泽鑫 , 陈炯聪 , 梁志宏 , 周强峰 , 石炜君 , 梁毅成 , 骆书剑
申请人 : 广东电网公司电力科学研究院
摘要 :
一种基于ESP技术封装的精简网络数据流量的方法,采用传输模式:S1-1在原始数据包中添加变长认证数据,并约定好该变长认证数据的数值;S1-2将添加了变长认证数据的包数据加密;S1-3删除ESP数据包中的填充长度、下一头部和认证数据;采用隧道模式:S2-1在原始数据包中添加变长认证数据,并约定好该变长认证数据的数值;S2-2将添加变长数据的原始IP头、包数据和变长数据都加密;S2-3删除ESP数据包中的填充长度、下一头部和认证数据。本发明可以实现在保证数据安全传输的同时,大幅降低IPSecVPN技术带来的数据流量,减少用户因为采用IPSecVPN技术带来的流量增加费用。
权利要求 :
1.一种基于ESP技术封装的精简数据流量的方法,所述的ESP技术包括传输模式S1和隧道模式S2两种网络传输模式,其特征是:所述的方法若采用传输模式S1,包括以下步骤: S1-1在原始数据包中指定位置添加变长认证数据,变长认证数据至少2个字节,并通信双方事先约定好该变长认证数据的数值;
S1-2将添加了变长认证数据的包数据作为新的包数据进行加密;
S1-3删除ESP数据包中的填充长度、下一头部和认证数据;
所述的方法若采用隧道模式S2,则包括以下步骤:S2-1在原始数据包中指定位置添加变长认证数据,变长认证数据至少2个字节,并通信双方事先约定好该变长认证数据的数值;
S2-2将添加变长认证数据的原始IP头、包数据和变长认证数据都进行加密;
S2-3删除ESP数据包中的填充长度、下一头部和认证数据。
说明书 :
一种基于ESP技术封装的精简网络数据流量的方法
技术领域
[0001] 本发明涉及一种基于IPSec VPN协议,采用ESP技术封装的精简网络数据流量的方法。
背景技术
[0002] 目前,大多数工业系统都有远程数据传输的业务需求,GPRS等无线数据传输方式由于其投入费用较小等因素,得到了广泛的应用,不少企业采用了租用运营商无线网络的方式进行远程数据传输。随着IPSec VPN技术的不断成熟,IPSec VPN也大量的用于工业系统中,大多数工业系统也开始采用VPN产品实现数据机密性、完整性保护。
[0003] IPSec VPN有两种隧道封装协议:ESP封装和AH封装。ESP封装主要用于提供数据的完整性保护、数据加密、防重放等安全服务;AH封装主要用于提供数据的完整性保护,但其不能实现数据的加密。
[0004] 另一方面,IPSec VPN有两种网络传输模式:隧道模式和传输模式,传输模式主要用于点对点(end-to-end)的通信,隧道模式主要用于点对站(end-to-site)或者站对站(site-to-site)的通信。
[0005] 若数据包采用ESP封装,则ESP数据包封装和原始数据包格式的映射关系如图1所示。当用户采用传输模式,则原始数据包中的原始IP头和包数据将被拆分,其中原始IP头作为ESP数据包的IP头,包数据被加密存放在ESP数据包中的负载数据中;若用户用隧道模式,则原始数据包被全部加密,存放在ESP数据包中的负载数据中。
[0006] ESP封装模式下的传输模式和隧道模式的主要差别在于:传输模式仅将原始数据包中的包数据加密,并采用原始的IP头,隧道模式将原始数据包全部加密,并构造出新IP头。在实际应用当中,用户根据应用需要选择合适的网络传输模式。
[0007] 若对IPSec VPN的ESP封装不做修改,则ESP数据包的格式如图2所示:
[0008] 其中安全参数索引和序列号对应于图1中的ESP报头;认证数据对应于图1中的ESP认证;负载数据、填充、填充长度和下一头部对应于图1中加密数据。
[0009] ESP数据包中的认证数据是采用相应的数字签名算法对安全参数索引、序列号、负载数据、填充、填充长度和下一头部进行运算得到的数字签名。
[0010] 在实际应用当中,认证数据一般采用SM3、MD5或者SHA等算法,由于不同的消息摘要算法生成的消息摘要长度不同,故认证数据属于变长数据。
[0011] 采用IPSec VPN技术会带来数据流量增加,由于目前大多数电信运营商采用数据流量的计费方式,因此采用IPSec VPN技术会使企业无线数据传输成本增加。
发明内容
[0012] 本发明所要解决的技术问题,就是提供一种基于IPSec VPN协议,采用ESP技术封装的精简网络数据流量的方法,可在实现数据保密传输的同时,降低数据流量,节约无线数据传输服务租赁费用。
[0013] 解决上述技术问题,本发明采用的技术方案如下:
[0014] 一种基于ESP技术封装的精简数据流量的方法,所述的ESP技术包括传输模式(S1)和隧道模式(S2)两种网络传输模式,其特征是:
[0015] 所述的方法若采用传输模式(S1),包括以下步骤:
[0016] S1-1在原始数据包中指定位置添加变长认证数据,一般为至少2个字节,并通信双方事先约定好该变长认证数据的数值;
[0017] S1-2将添加了变长认证数据的包数据作为新的包数据进行加密;
[0018] S1-3删除ESP数据包中的填充长度、下一头部和认证数据;
[0019] 所述的方法若采用隧道模式(S2),则包括以下步骤:
[0020] S2-1在原始数据包中指定位置添加变长认证数据,一般为至少2个字节,并通信双方事先约定好该变长认证数据的数值;
[0021] S2-2将添加变长数据的原始IP头、包数据和变长数据都进行加密;
[0022] S2-3删除ESP数据包中的填充长度、下一头部和认证数据。
[0023] 一方面,由于变长认证数据采用通信双方事先约定的方式,且该数据在实际应用过程中会被进一步加密,第三方对数据包的任何篡改都会导致变长认证数据的改变,因此,该变长认证数据可以代替ESP数据包中的认证数据实现数据身份认证功能,实现数据传输的机密性和完整性保护。另一方面,由于改进的ESP数据包删除了ESP数据包中的填充长度、下一头部和认证数据,因此该改进方式可以降低数据包的大小,降低网络数据的流量。
[0024] 有益效果:本发明基于IPSec VPN协议和ESP数据封装,设计了一种精简网络数据流量的方法,使用该技术方法可以实现在保证数据安全传输的同时,大幅降低IPSec VPN技术带来的数据流量,减少用户因为采用IPSec VPN技术带来的流量增加费用,具有很强的实用性。
附图说明
[0025] 下面结合附图和具体实施方式对本发明做进一步的详细说明。
[0026] 图1为原始数据包与ESP数据包的映射关系示意图;
[0027] 图2 为ESP数据包格式示意图;
[0028] 图3为改进的ESP数据包格式示意图。
具体实施方式
[0029] 本发明提出了一种基于IPSec VPN协议,采用ESP技术封装的精简数据流量的方法,实现在保护数据机密性和完整性的同时,降低网络数据的流量。
[0030] 图1为原始数据包与ESP数据包的映射关系示意图。若用户采用传输模式,则原始数据包中的原始IP头和包数据将被拆分,其中原始IP头作为ESP数据包的IP头,包数据被加密存放在ESP数据包中的负载数据中;若用户用隧道模式,则原始数据包被全部加密,存放在ESP数据包中的负载数据中。在实际应用当中,用户根据应用需要选择合适的网络传输模式。
[0031] 图2为ESP数据包格式示意图,其中安全参数索引和序列号对应于图1中的ESP报头;认证数据对应于图1中的ESP认证;负载数据、填充、填充长度和下一头部对应于图1中加密数据。
[0032] 图3为改进的ESP数据包格式示意图,该格式做了如下的改进:
[0033] 如果用户采传输模式S1,则本发明针对ESP数据包封装格式按以下步骤更改,以实现精简数据流量:
[0034] S1-1在原始数据包中指定位置添加变长认证数据,一般为至少2个字节,并通信双方事先规定该变长认证数据的数值;
[0035] S1-2将添加变长认证数据的包数据作为新的包数据进行加密,即包数据和变长数据进行加密;
[0036] S1-3删除ESP数据包中的填充长度、下一头部和认证数据。
[0037] 如果用户采用隧道模式S2,则本发明针对ESP数据包封装格式做如下更改,以实现精简数据流量:
[0038] S2-1在原始数据包中指定位置添加变长认证数据,一般为至少2个字节,并事先规定该变长认证数据的数值;
[0039] S2-2将添加变长认证数据的整个数据包,即原始IP头、包数据和变长数据进行加密;
[0040] S2-3删除ESP数据包中的填充长度、下一头部和认证数据。