CN102868686A - 一种基于esp封装、强化数据加密的方法 - Google Patents
一种基于esp封装、强化数据加密的方法 Download PDFInfo
- Publication number
- CN102868686A CN102868686A CN201210319697XA CN201210319697A CN102868686A CN 102868686 A CN102868686 A CN 102868686A CN 201210319697X A CN201210319697X A CN 201210319697XA CN 201210319697 A CN201210319697 A CN 201210319697A CN 102868686 A CN102868686 A CN 102868686A
- Authority
- CN
- China
- Prior art keywords
- data
- esp
- encrypted
- packet
- head
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于ESP封装、强化数据加密的方法:S1发送方通过使用等式(2)和(3)对需要进行加密的数据进行预处理:若IPSec VPN采用传输模式,则拆分原始数据包中的原始IP头和包数据,原始IP头作为ESP数据包的IP头,对需要加密的包数据按照等式(2)变换;若IPSec VPN采用隧道模式,则原始数据包被全部加密存放在ESP数据包中的负载数据中并做变换;S2接受方接受到数据以后,对数据包进行解密,并同样根据公式(2)及(3)对数据进行变换和验证。本发明通过对需要加密的数据进一步处理,达到信息的深度隐藏,加大攻击者破解的难度,实现强化数据加密的目的。
Description
技术领域
本发明涉及一种数据加密的方法,尤其是涉及一种基于IPSec VPN协议,针对其ESP封装方式的强化数据加密的方法。
背景技术
近年来,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多,而随着计算机网络技术的不断普及,公众使用计算机的次数越来越多,特别是公用信息基础设施建设推动了政府、企业日益依赖信息系统,一些涉及国计民生的业务、系统受到了前所未有的安全挑战,如维基解密网站泄漏了大量政府的机密信息;花旗集团受黑客攻击导致36多万的客户账户信息被窃取;CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。
国家、政府、企业的信息系统涉及到国家的安全、企业机密及公民的切身利益,其数据的安全性、准确性必须得到充分的保障。为了加强信息系统的安全保护,国家、政府、企业大量使用专网、局域网、VPN等技术进行防护,起到了良好的效果。
IPSec VPN是一种成熟的网络传输技术,IPSec VPN有两种隧道封装协议:ESP封装和AH封装。ESP封装主要用于提供数据的完整性校验、数据加密、防重放攻击等安全服务。在IPSec VPN中,ESP进行加密的内容进行了规定,以保证数据的机密性。
现有的I PSec VPN的网络传输模式有两种:隧道模式和传输模式,隧道模式主要用于点对站(end-to-site)或者站对站(site-to-site)的通信,而传输模式主要用于点对点(end-to-end)的通信,不同的网络传输模式对ESP封装的格式亦不同,IPSec VPN数据包格式和原始数据包格式的映射关系如图1所示。
若用户采用传输模式,则原始数据包中的原始IP头和包数据将被拆分,其中原始IP头作为ESP数据包的IP头,包数据被加密存放在ESP数据包中的负载数据中;
若用户用隧道模式,则原始数据包被全部加密,存放在ESP数据包中的负载数据中。
传输模式和隧道模式的主要差别在于:传输模式仅将原始数据包中的包数据加密,并采用原始的IP头;隧道模式将原始数据包全部加密,并构造出新IP头。在实际应用当中,用户根据应用环境选择合适的网络传输模式。
ESP封装数据包的格式如图2所示。
图2为ESP数据包格式示意图,其中安全参数索引和序列号对应于图1中的ESP报头;认证数据对应于图1中的ESP认证;负载数据、填充、填充长度和下一头部对应于图1中加密数据,加密数据的计算方式如公式1所示;ESP认证对应于图2中的认证数据。
加密数据=ESP(负载数据||填充||填充长度||下一头部) (1)
由于现有的IPSec VPN是公开标准,大多数攻击者对加密前后数据报文的格式、需要加密的内容均非常熟悉,攻击者有可能通过对比前后文等方式破译密钥。
发明内容
本发明所要解决的技术问题,就是提供一种基于ESP封装、强化数据加密的方法,可进一步增强数据的机密性。
解决上述技术问题,本发明采用的技术方案如下:
一种基于ESP封装、强化数据加密的方法,具体包括以下步骤:
S1发送方通过使用等式(2)和(3)对需要进行加密的数据进行预处理:
若IPSec VPN采用传输模式,则拆分原始数据包中的原始IP头和包数据,原始IP头作为ESP数据包的IP头,对需要加密的包数据做如下变换:
其中ESP(*)是指加密算法,
代表对数据X进行取反操作,||代表数据连接运算。根据序列号和4取余的结果,对需要加密的包数据进行相应处理;
若IPSec VPN采用隧道模式,则原始数据包被全部加密存放在ESP数据包中的负载数据中,做如下变化:
S2接受方接受到数据以后,对数据包进行解密,并同样根据公式(2)及(3)对数据进行变换和验证。
有益效果:由于序列号在建立会话时随机产生,因此需要加密的数据将被进一步隐藏,这无疑会增加攻击者分析的难度,实现强化数据加密的目的。
采用本发明,通过对需要加密的数据进一步处理,达到信息的深度隐藏,加大攻击者破解的难度,实现强化数据加密的目的。
附图说明
下面结合附图和具体实施方式对本发明做进一步的详细说明。
图1为原始数据包两种传输模式与ESP包数据包的映射关系示意图;
图2为ESP数据包格式示意图。
具体实施方式
本发明的基于ESP封装,强化数据加密的方法实施例,具体包括以下步骤:
S1发送方通过使用等式(2)和(3)对需要进行加密的数据进行预处理:
若用户采用传输模式,则拆分原始数据包中的原始IP头和包数据,其中原始IP头作为ESP数据包的IP头,包数据被加密存放在ESP数据包中的负载数据中,加密为:
其中ESP(*)是指加密算法,
代表对数据X进行取反操作,||代表数据连接运算。根据序列号和4取余的结果,对需要加密的包数据进行相应处理;
若用户用隧道模式,则原始数据包被全部加密,存放在ESP数据包中的负载数据中,加密为:
S2接受方接受到数据以后,对数据包进行解密,并同样根据公式(2)及(3)对数据进行变换和验证。
在实际应用当中,用户根据应用环境需要选择合适的网络传输模式。
Claims (1)
1.一种基于ESP封装、强化数据加密的方法,包括以下步骤:
S1发送方通过使用等式(2)和(3)对需要进行加密的数据进行预处理:
若IPSec VPN采用传输模式,则拆分原始数据包中的原始IP头和包数据,原始IP头作为ESP数据包的IP头,对需要加密的包数据做如下变换:
其中ESP(*)是指加密算法,
代表对数据X进行取反操作,||代表数据连接运算。根据序列号和4取余的结果,对需要加密的包数据进行相应处理;
若IPSec VPN采用隧道模式,则原始数据包被全部加密存放在ESP数据包中的负载数据中,做如下变化:
S2接受方接受到数据以后,对数据包进行解密,并同样根据公式(2)及(3)对数据进行变换和验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210319697.XA CN102868686B (zh) | 2012-08-31 | 2012-08-31 | 一种基于esp封装、强化数据加密的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210319697.XA CN102868686B (zh) | 2012-08-31 | 2012-08-31 | 一种基于esp封装、强化数据加密的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102868686A true CN102868686A (zh) | 2013-01-09 |
| CN102868686B CN102868686B (zh) | 2015-07-22 |
Family
ID=47447277
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210319697.XA Active CN102868686B (zh) | 2012-08-31 | 2012-08-31 | 一种基于esp封装、强化数据加密的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102868686B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283757A (zh) * | 2013-07-08 | 2015-01-14 | 北京思普崚技术有限公司 | 一种基于IPsec的VPN快速连接方法 |
| CN110191098A (zh) * | 2019-05-05 | 2019-08-30 | 厦门网宿有限公司 | 一种传输数据的方法、第一网络设备及第二网络设备 |
| CN114244577A (zh) * | 2021-11-24 | 2022-03-25 | 贵州电网有限责任公司 | 一种基于esp的报文处理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227344A (zh) * | 2008-02-03 | 2008-07-23 | 中兴通讯股份有限公司 | 一种模拟l2tp拨号的方法 |
| US20080276085A1 (en) * | 2007-05-02 | 2008-11-06 | Cisco Technology, Inc. | Allowing differential processing of encrypted tunnels |
| CN102474499A (zh) * | 2009-07-10 | 2012-05-23 | 瑞典爱立信有限公司 | 用于选择IPsec策略的方法 |
-
2012
- 2012-08-31 CN CN201210319697.XA patent/CN102868686B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080276085A1 (en) * | 2007-05-02 | 2008-11-06 | Cisco Technology, Inc. | Allowing differential processing of encrypted tunnels |
| CN101227344A (zh) * | 2008-02-03 | 2008-07-23 | 中兴通讯股份有限公司 | 一种模拟l2tp拨号的方法 |
| CN102474499A (zh) * | 2009-07-10 | 2012-05-23 | 瑞典爱立信有限公司 | 用于选择IPsec策略的方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283757A (zh) * | 2013-07-08 | 2015-01-14 | 北京思普崚技术有限公司 | 一种基于IPsec的VPN快速连接方法 |
| CN104283757B (zh) * | 2013-07-08 | 2017-10-20 | 北京思普崚技术有限公司 | 一种基于IPsec的VPN快速连接方法 |
| CN110191098A (zh) * | 2019-05-05 | 2019-08-30 | 厦门网宿有限公司 | 一种传输数据的方法、第一网络设备及第二网络设备 |
| CN114244577A (zh) * | 2021-11-24 | 2022-03-25 | 贵州电网有限责任公司 | 一种基于esp的报文处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102868686B (zh) | 2015-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101343774B1 (ko) | 메시지 인증 방법 | |
| JP5492856B2 (ja) | パーティ間の通信におけるプライバシーを確保する方法及び装置 | |
| Xin | A mixed encryption algorithm used in internet of things security transmission system | |
| CN105357218B (zh) | 一种具备硬件加解密功能的路由器及其加解密方法 | |
| Ren et al. | A hybrid encryption algorithm based on DES and RSA in bluetooth communication | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| Mohamed et al. | Hybrid cryptographic approach for internet ofhybrid cryptographic approach for internet ofthings applications: A review | |
| CN106789975A (zh) | 一种文本加密传输与保存字节流的方法 | |
| CN107046548B (zh) | 一种隐私保护下的数据包过滤方法 | |
| CN109600374A (zh) | 基于区块链的用户数据安全发送方法及其系统 | |
| CN105610847A (zh) | 一种支持多交换节点电子公文安全传输交换的方法 | |
| Borsc et al. | Wireless security & privacy | |
| CN102868686B (zh) | 一种基于esp封装、强化数据加密的方法 | |
| CN111988301A (zh) | 一种客户端防黑客暴力攻击的安全通讯方法 | |
| CN102882859B (zh) | 一种基于公网数据传输信息系统的安全防护方法 | |
| CN103441851B (zh) | 一种终端设备接入vpn设备的方法 | |
| CN107070925A (zh) | 一种终端应用与后台服务通讯报文防篡改的方法 | |
| CN101488850A (zh) | 一种加密多媒体广播内容的方法 | |
| Ji et al. | Security analysis of shadowsocks (r) protocol | |
| Pandikumar et al. | Wi-Fi security and test bed implementation for WEP and WPA cracking | |
| CN202713365U (zh) | 一种对网络数据流硬件加密的系统 | |
| CN103107939B (zh) | 基于公共安全设施管理平台的安全电子邮件的实现方法 | |
| Katz | Wpa vs. wpa2: Is wpa2 really an improvement on wpa? | |
| CN115549987B (zh) | 一种基于数据安全隐私保护的混合加密方法 | |
| Lin et al. | Secure enhanced wireless transfer protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 510080 Dongfeng East Road, Dongfeng, Guangdong, Guangzhou, Zhejiang Province, No. 8 Patentee after: ELECTRIC POWER RESEARCH INSTITUTE, GUANGDONG POWER GRID CO., LTD. Address before: 510080 Dongfeng East Road, Guangdong, Guangzhou, water, Kong Kong, No. 8 Patentee before: Electrical Power Research Institute of Guangdong Power Grid Corporation |