[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN110768958A - 一种IPv4数据加密方法、IPv4数据解密方法 - Google Patents

一种IPv4数据加密方法、IPv4数据解密方法 Download PDF

Info

Publication number
CN110768958A
CN110768958A CN201910893729.9A CN201910893729A CN110768958A CN 110768958 A CN110768958 A CN 110768958A CN 201910893729 A CN201910893729 A CN 201910893729A CN 110768958 A CN110768958 A CN 110768958A
Authority
CN
China
Prior art keywords
data frame
network data
network
quintuple
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910893729.9A
Other languages
English (en)
Other versions
CN110768958B (zh
Inventor
白建
马星星
齐振华
范琳琳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Ruth Kay Microelectronic Technology Co Ltd
Original Assignee
Xi'an Ruth Kay Microelectronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Ruth Kay Microelectronic Technology Co Ltd filed Critical Xi'an Ruth Kay Microelectronic Technology Co Ltd
Priority to CN201910893729.9A priority Critical patent/CN110768958B/zh
Publication of CN110768958A publication Critical patent/CN110768958A/zh
Application granted granted Critical
Publication of CN110768958B publication Critical patent/CN110768958B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种IPv4数据加密方法、IPv4数据解密方法,该IPv4数据加密方法应用于相互连接的发送网络设备和加密设备,加密设备执行IPv4数据加密方法时包括:接收第一网络数据帧,第一网络数据帧由发送网络设备发送;判断第一网络数据帧的五元组与加密设备的预设五元组列表是否匹配,若匹配,对第一网络数据帧进行加密处理得到密文数据,若不匹配,根据第一配置参数对第一网络数据帧进行第一预设处理;发送第二网络数据帧,第二网络数据帧包括密文数据。本发明提供的五元组加密策略,能够实现加密设备上对网络数据帧的一对一、一对多,以及多对多的加密,对网络中的指定网络数据进行加密,且便于统一管理。

Description

一种IPv4数据加密方法、IPv4数据解密方法
技术领域
本发明属于通信技术领域,具体涉及一种IPv4数据加密方法、IPv4数据解密方法。
背景技术
随着网络越来越发达,日常工作办公已离不开网络,越来越多的数据信息要通过网络传输。公共网络传输数据存在较大的安全隐患,专线网络成本较高。VPN依赖运营商提供服务,且费用较高。公网和内网切换较麻烦,来回切换不但影响工作效率,数据安全也很难保证。
现有保密数据在公共网络上传输存在很大的不安全性,软件加密无法实现对所有网络数据都加密,且不便于统一管理。
发明内容
为了解决现有技术中存在的上述问题,本发明提供了一种IPv4数据加密方法、IPv4数据解密方法。
本发明实施例提供了一种IPv4数据加密方法,应用于相互连接的发送网络设备和加密设备,所述加密设备执行所述IPv4数据加密方法时包括以下步骤:
接收第一网络数据帧,所述第一网络数据帧由所述发送网络设备发送;
判断所述第一网络数据帧的五元组与所述加密设备的预设五元组列表是否匹配,若所述加密设备的预设五元组列表中存在与所述第一网络数据帧的五元组匹配的第一五元组,则对所述第一网络数据帧进行加密处理得到密文数据,若所述加密设备的预设五元组列表中不存在与所述第一网络数据帧的五元组匹配的第一五元组,则根据第一配置参数对所述第一网络数据帧进行第一预设处理;
发送第二网络数据帧,所述第二网络数据帧包括所述密文数据。
在本发明的一个实施例中,对所述第一网络数据帧进行加密处理得到密文数据,包括:
从所述第一网络数据帧中获取第一有效数据;
根据所述第一五元组得到加密方式;
根据所述第一五元组得到加密秘钥;
根据所述加密方式和所述加密秘钥对所述第一有效数据进行加密处理得到密文数据。
在本发明的一个实施例中,还包括判断是否配置或开启了第一MAC管理,若没有配置或开启所述第一MAC管理,则进行如上所述任意一项所述IPv4数据加密方法,若配置且开启了所述第一MAC管理,则判断开启的是第一MAC名单或第二MAC名单,若开启的是所述第一MAC名单,则按第一预设规则对所述第一网络数据帧进行处理,若开启的是所述第二MAC名单,则按第二预设规则对所述第一网络数据帧进行处理。
在本发明的一个实施例中,按第一预设规则对所述第一网络数据帧进行处理,包括:
判断所述第一网络数据帧与所述第一MAC名单是否匹配,若所述第一网络数据帧的源MAC地址与所述第一MAC名单中的MAC地址任意一条匹配,则根据所述第一配置参数对所述第一网络数据帧进行所述第一预设处理,若所述第一网络数据帧的源MAC地址与所述第一MAC名单中的MAC地址均不匹配,则进行如上所述任意一项所述IPv4数据加密方法。
在本发明的一个实施例中,按第二预设规则对所述第一网络数据帧进行处理,包括:
判断所述第一网络数据帧与所述第二MAC名单是否匹配,若所述第一网络数据帧的源MAC地址与所述第二MAC名单中的MAC地址至少一条匹配,则进行如上所述任意一项所述IPv4数据加密方法,若所述第一网络数据帧的源MAC地址与所述第二MAC名单中的MAC地址均不匹配,则根据所述第一配置参数对所述第一网络数据帧进行所述第一预设处理。
本发明另一实施例提供了一种IPv4数据解密方法,其特征在于,应用于相互连接的解密设备和接收网络设备,所述解密设备执行所述IPv4数据解密方法时包括以下步骤:
接收第三网络数据帧;
判断所述第三网络数据帧的五元组与所述解密设备的预设五元组列表是否匹配,若所述解密设备的预设五元组列表中存在与所述第三网络数据帧的五元组匹配的第二五元组,则对所述第三网络数据帧进行解密处理得到明文数据,若所述解密设备的预设五元组列表中不存在与所述第三网络数据帧的五元组匹配的第二五元组,则根据第二配置参数对所述第三网络数据帧进行第二预设处理;
发送第四网络数据帧至所述接收网络设备,所述第四网络数据帧包括明文数据。
在本发明的一个实施例中,对所述第三网络数据帧进行解密处理得到明文数据,包括:
从所述第三网络数据帧中获取第二有效数据;
根据所述第二五元组得到解密方式;
根据所述第二五元组得到解密秘钥;
根据所述解密方式和所述解密秘钥对所述第二有效数据进行解密处理得到明文数据。
在本发明的一个实施例中,还包括判断是否配置或开启了第二MAC管理,若没有配置或开启所述第二MAC管理,则进行如上所述任意一项所述IPv4数据解密方法,若配置且开启了所述第二MAC管理,则判断开启的是第三MAC名单或第四MAC名单,若开启的是所述第三MAC名单,则按第三预设规则对所述第三网络数据帧进行处理,若开启的是所述第四MAC名单,则按第四预设规则对所述第三网络数据帧进行处理。
在本发明的一个实施例中,按第三预设规则对所述第三网络数据帧进行处理,包括:
判断所述第三网络数据帧与所述第三MAC名单是否匹配,若所述第三网络数据帧的源MAC地址与所述第三MAC名单中的MAC地址任意一条匹配,则根据所述第二配置参数对所述第三网络数据帧进行所述第二预设处理,若所述第三网络数据帧的源MAC地址与所述第三MAC名单中的MAC地址均不匹配,则进行如上所述任意一项所述IPv4数据解密方法。
在本发明的一个实施例中,按第四预设规则对所述第三网络数据帧进行处理,包括:
判断所述第三网络数据帧与所述第四MAC名单是否匹配,若所述第三网络数据帧的源MAC地址与所述第四MAC名单中的MAC地址至少一条匹配,则进行如上所述任意一项所述IPv4数据解密方法,若所述第三网络数据帧的源MAC地址与所述第四MAC名单中的MAC地址均不匹配,则根据所述第二配置参数对所述第三网络数据帧进行所述第二预设处理。
与现有技术相比,本发明的有益效果:
本发明提供的五元组加密策略,能够实现网络设备一对一、一对多,以及多对多的网络数据的加密,对网络中的所有网络数据进行加密,且便于统一管理。
以下将结合附图及实施例对本发明做进一步详细说明。
附图说明
图1是本发明实施例提供的一种IPv4数据加密方法的流程示意图;
图2是本发明实施例提供的一种IPv4数据加密方法中发送网络设备和加密设备之间的连接关系示意图;
图3是本发明实施例提供的一种IPv4数据解密方法的流程示意图;
图4是本发明实施例提供的一种IPv4数据加密方法中解密设备和接收网络设备之间的连接关系示意图;
图5是本发明实施例提供的一种IPv4数据加密方法、数据解密方法中各网络设备之间的连接关系示意图;
图6是本发明实施例提供的另一种IPv4数据加密方法、数据解密方法中各网络设备之间的连接关系示意图。
具体实施方式
下面结合具体实施例对本发明做进一步详细的描述,但本发明的实施方式不限于此。
实施例一
请参见图1,图1是本发明实施例提供的一种IPv4数据加密方法的流程示意图。本发明实施例提供了一种IPv4数据加密方法,应用于相互连接的发送网络设备和加密设备,加密设备执行IPv4数据加密方法时包括如下步骤:
步骤1、接收第一网络数据帧,第一网络数据帧由发送网络设备发送;
步骤2、判断第一网络数据帧的五元组与加密设备的预设五元组列表是否匹配,若加密设备的预设五元组列表中存在与第一网络数据帧的五元组匹配的第一五元组,则对第一网络数据帧进行加密处理得到密文数据,若加密设备的预设五元组列表中不存在与第一网络数据帧的五元组匹配的第一五元组,则根据第一配置参数对第一网络数据帧进行第一预设处理;
步骤3、发送第二网络数据帧,第二网络数据帧包括密文数据。
具体而言,目前保密数据在公共网络上传输存在不安全性,软件加密无法实现所有网络数据的加密,且不便于统一管理。基于上述问题,本实施例提供了一种IPv4数据解密方法,以五元组为加密策略,具体地,五元组包括源IPv4地址、源端口、目的IPv4地址、目的端口和传输层协议,加密设备的预设五元组列表中的第一五元组也包括源IPv4地址、源端口、目的IPv4地址、目的端口和传输层协议。本实施例中,发送网络设备发送第一网络数据帧至加密设备,加密设备上预先配置有预设五元组列表,该预设五元组列表中包括网络中所有需要加密的网络数据帧对应的五元组,每一五元组记为第一五元组。加密设备接收到第一网络数据帧后,判断加密设备的预设五元组列表中是否存在与第一网络数据帧的五元组匹配的第一五元组,若存在,则在加密设备上对第一网络数据帧进行加密处理得到密文数据,并将密文数据进行重新封装形成第二网络数据帧,加密设备将第二网络数据帧发送至后级网络设备,第二网络数据帧包括密文数据,若不存在,则根据第一配置参数对第一网络数据帧进行第一预设处理,第一配置参数在加密设备上根据实际网络需要进行配置。其中,第一预设处理包括透传、丢弃或其他处理,此时第一预设处理优选透传,选择透传可以实现与任何网络进行明文通信,不影响访问公共网络数据。
本实施提供的五元组加密策略,能够实现加密设备对网络数据帧的一对一、一对多,以及多对多的加密处理,对网络中的指定网络数据帧进行加密,且便于统一管理;本实施例提供的五元组加密策略,可以在任何网络环境下使用,使用TCP/UDP协议,不依赖任何其他服务。
进一步地,步骤1中加密设备接收第一网络数据帧,第一网络数据帧由发送网络设备发送。
具体而言,请参见图2,图2是本发明实施例提供的一种IPv4数据加密方法中发送网络设备和加密设备之间的连接关系示意图。本实施例发送网络设备通过网口A将第一网络数据帧发送至加密设备。其中,第一网络数据帧包括发送网络设备的应用层数据,以及依次在应用层数据上添加的EthernetII首部、IPv4首部、TCP首部或UDP首部,具体地:
本实施例添加的EthernetII首部的帧结构如表1所示,具体为:
表1 EthernetII首部的帧结构
Figure BDA0002209578410000071
本实施例添加的IPv4首部的帧结构如表2所示,具体为:
表2 IPv4首部的帧结构
Figure BDA0002209578410000072
本实施例添加的TCP首部的帧结构如表3所示,具体为:
表3 TCP首部的帧结构
Figure BDA0002209578410000081
本实施例添加的UDP首部的帧结构如表4所示,具体为:
表4 UDP首部的帧结构
Figure BDA0002209578410000082
根据表1得到的EthernetII首部、表2得到的IPv4首部、表3得到的TCP首部,以及通过网口A学习得到的应用层数据,构建得到本实施例第一网络数据帧如表5所示,或根据表1得到的EthernetII首部、表2得到的IPv4首部、表4得到的UDP首部,构建得到本实施例第一网络数据帧如表5所示,具体为:
表5第一网络数据帧的结构
EthernetII首部 IPv4首部 TCP首部或UDP首部 应用层数据
进一步地,步骤2在加密设备上判断第一网络数据帧的五元组与加密设备的预设五元组列表是否匹配。
具体而言,本实施例第一网络数据帧的五元组、加密设备的预设五元组列表中的每个第一五元组均包括源IPv4地址、源端口、目的IPv4地址、目的端口和传输层协议。其中,第一网络数据帧的五元组、加密设备的预设五元组列表中的每个第一五元组中的源IPv4地址、目的IPv4地址均支持IPv4地址通配符,IPv4地址通配符可以是任意IPv4地址和指定网段范围,源端口或是目的端口可以是任意端口号或部分指定范围端口号,传输层协议支持TCP或UDP,源IPv4地址与目的IPv4地址根据网络数据加密的实际配置情况而定。本实施例具体地步骤2包括步骤2.1、步骤2.2:
步骤2.1、加密设备的预设五元组列表中存在与第一网络数据帧的五元组匹配的第一五元组,则对第一网络数据帧进行加密处理得到密文数据。
具体而言,本实施例当加密设备的预设五元组列表中存在与第一网络数据帧的五元组匹配的第一五元组时,加密设备对第一网络数据帧进行加密处理,具体地,本实施例首先从第一网络数据帧获取第一有效数据,根据第一五元组得到加密方式,根据第一五元组得到加密秘钥,根据加密方式和加密秘钥对第一网络数据帧进行加密处理得到密文数据:
本实施例加密设备的预设五元组列表中的每一第一五元组对应一种加密方式和一组加密秘钥,每一第一五元组对应设置的加密方式可相同可不相同,加密秘钥可相同可不相同,当存在一第一五元组与第一网络数据帧的五元组匹配,则根据该第一五元组找到其对应的加密方式和加密秘钥,通过加密方式和加密秘钥对第一网络数据帧中的第一有效数据,即需要加密的网络数据进行加密得到密文数据。加密方式可以采用sm4、zuc、aes、des等加密方法。其中,当第一五元组对应的加密方式为强制透传时,可以不设置加密秘钥,直接传输第一网络数据帧;当第一五元组对应的加密方式为非强制透传时,在上述加密方式下,结合与其对应配置的加密秘钥对第一网络数据帧进行加密。
本实施例加密设备支持一对一、一对多,以及多对多的网络数据帧的加密处理。比如在对多对多的网络数据帧的加密处理中,多个发送网络设备同时发送网络数据帧,加密设备接收到多个网络数据帧,则依次在加密设备上判断网络数据帧的五元组与加密设备的预设五元组列表匹配时,若加密设备的预设五元组列表中同时存在多条第一五元组与网络数据帧的五元组匹配时,按照优先级最高的一条第一五元组处理,第一五元组的优先级已预先设置在加密设备中。对于匹配上的网络数据帧,根据其第一五元组对应的加密方式和加密秘钥对匹配上的网络数据帧的有效数据进行加密。
本实施例加密设备中存在多条第一五元组,且第一五元组支持通配符,可能会导致一条第一网络网络帧同时与多条第一五元组匹配,而每条第一五元组都对应一加密方式和加密秘钥,即同时与多条第一五元组匹配时,按优先级最高的一条第一五元组对应的加密方式和加密秘钥对第一网络数据帧进行加密处理。
本实施提供的五元组加密策略,实现了对网络设备的加密秘钥分组管理,实现了网络中网络设备的一对一、一对多,以及多对多的网络数据的加密,可以实现网络中所有网络数据的分组加密,且便于统一管理。
步骤2.2、加密设备的预设五元组列表中不存在与第一网络数据帧的五元组匹配的第一五元组,则根据第一配置参数对第一网络数据帧进行第一预设处理。
具体而言,本实施例以五元组为加密策略,对于与加密设备的预设五元组列表中所有第一五元组均不匹配的第一网络数据帧,根据实际设计需要,进行第一预设处理,如上所述第一预设处理包括透传、丢弃或其他处理,优先选择透传。根据实际设计需要具体可以通过在加密设备上预先配置第一配置参数作为判断。
对多对多的网络数据帧的加密处理中,多个发送网络设备连接到加密设备时,加密设备对接收到的第一网络数据帧按照接收顺序依次处理。除IP分片外,加密设备每次接收到的网络数据帧都应该是一条独立的网络数据帧,加密设备应该单独处理。对应IP分片的网络数据帧,需要将分片的数据包还原为网络数据帧以后再进行加密处理。
进一步地,本实施例步骤3中加密设备发送第二网络数据帧,第二网络数据帧包括密文数据。
具体而言,本实施例加密设备将密文数据和第一网络数据帧的帧头信息重新进行封装形成第二网络数据帧,将第二网络数据帧通过网口B发送至后级网络设备,如图2所示,第一网络数据帧的帧头信息包括表1的EthernetII首部、表2的IPv4首部、表3的TCP首部或表4的UDP首部。第二网络数据帧与第一网络数据帧结构相同,帧内部分具体内容不同,可见,本实施例加密后不修改网络数据帧的IP头内容,只加密第一有效数据,不改变网络数据帧的结构,不影响网络性能,加密后的网络数据帧与加密前的网络数据帧的结构完全一致,外部无法区分是加密后的网络数据帧,还是加密前的网络数据帧,不容易遭受攻击,网络安全性更强。
进一步地,本实施例加密设备执行IPv4数据加密方法时还包括步骤4判断加密设备是否配置或开启了第一MAC管理。
具体而言,本实施例加密设备还支持第一MAC管理功能,第一MAC管理功能包括第一MAC名单和第二MAC名单,具体地,第一MAC名单为MAC黑名单列表,第二MAC名单为MAC白名单列表,加密设备的MAC黑名单列表、MAC白名单列表中分别预先配置有网络中所有通信网络设备对应的MAC地址。其中,开启的是MAC黑名单列表时,默认允许接收所有源MAC地址的网络数据帧,在MAC黑名单列表中的源MAC地址不允许接收,在此MAC黑名单列表开启模式下想要禁止接收某些源MAC地址的网络数据帧,直接在黑名单列表中填写要禁止接收的源MAC地址的网络数据帧;同理,开启的是MAC白名单列表时,默认所有源MAC地址的网络数据帧都禁止接收,在MAC白名单列表中的源MAC地址允许接收,在此MAC白名单列表开启模式下想要允许接收某些源MAC地址的网络数据帧,直接在MAC白名单列表中填写要允许的网络数据帧的源MAC地址。本实施例步骤4具体包括步骤4.1、步骤4.2:
步骤4.1、加密设备上没有配置或开启第一MAC管理。
具体而言,本实施例默认网络中所有源MAC地址的网络数据帧都允许接收,则加密设备根据上述步骤1、步骤2、步骤3对接收到的第一网络数据帧进行IPv4数据加密。
步骤4.2、加密设备上配置且开启了第一MAC管理。
具体而言,本实施例配置且开启了第一MAC管理,则需要判断开启的是第一MAC名单还是第二MAC名单。具体地步骤4.2包括步骤4.2.1、步骤4.2.2:
步骤4.2.1、开启的是第一MAC名单,则按第一预设规则对第一网络数据帧进行处理。
具体而言,本实施例第一预设规则具体为通过判断第一网络数据帧与第一MAC名单是否匹配,具体地,若第一网络数据帧的源MAC地址与第一MAC名单中的MAC地址有任意一条匹配,则根据第一配置参数对第一网络数据帧进行第一预设处理,此时第一预设处理优选丢弃,若第一网络数据帧的源MAC地址与第一MAC名单中的MAC地址均不匹配,则加密设备根据上述步骤1、步骤2、步骤3对第一网络数据帧进行IPv4数据加密。
步骤4.2.2、开启的是第二MAC名单,则按第二预设规则对第一网络数据帧进行处理。
具体而言,本实施例第二预设规则具体为判断第一网络数据帧与第二MAC名单是否匹配,具体地,若第一网络数据帧的源MAC地址与第二MAC名单中的MAC地址至少一条匹配,则加密设备根据上述步骤1、步骤2、步骤3对第一网络数据帧进行IPv4数据加密,若第一网络数据帧的源MAC地址与第二MAC名单中的MAC地址均不匹配,则根据第一配置参数对第一网络数据帧进行第一预设处理,此时第一预设处理优选丢弃。
本实施例通过在加密设备上配置MAC黑/白名单列表功能,可以防止非法设备接入解密设备中,从而提高了网络数据传输的安全性。
综上所述,本实施例通过五元组加密策略、MAC黑/白名单列表功能,能够实现网络设备一对一、一对多,以及多对多的网络数据帧的加密,对网络中的所有网络数据进行分组加密,还能够有效防止非法设备接入加解密设备中,且便于统一管理。
实施例二
在上述实施例一的基础上,请参见图3,图3是本发明实施例提供的一种IPv4数据解密方法的流程示意图。本实施例提供了一种IPv4数据解密方法,应用于相互连接的解密设备和接收网络设备,解密设备执行IPv4数据解密方法时包括如下步骤:
步骤1、接收第三网络数据帧;
步骤2、判断第三网络数据帧的五元组与解密设备的预设五元组列表是否匹配,若解密设备的预设五元组列表中存在与第三网络数据帧的五元组匹配的第二五元组,则对第三网络数据帧进行解密处理得到明文数据,若解密设备的预设五元组列表中不存在与第三网络数据帧的五元组匹配的第二五元组,则根据第二配置参数对第三网络数据帧进行第二预设处理;
步骤3、发送第四网络数据帧至接收网络设备,第四网络数据帧包括明文数据。
具体而言,请参见图4,图4是本发明实施例提供的一种IPv4数据加密方法中解密设备和接收网络设备之间的连接关系示意图。解密设备中预先配置有预设五元组列表,该预设五元组列表中包括网络中所有需要解密的网络设备对应的五元组,每一五元组记为第二五元组。解密设备从网口A接收前级网络设备发送的第三网络数据帧,在解密设备上判断解密设备的预设五元组列表中是否存在与第三网络数据帧的五元组匹配的第二五元组,若存在,则解密设备对第三网络数据帧进行解密处理得到明文数据,并将明文数据进行重新封装形成第四网络数据帧,并将第二网络数据帧通过网口B发送至接收网络设备,若不存在,则根据第二配置参数对第三网络数据帧进行第二预设处理。其中,第二配置参数在解密设备上根据实际网络需要进行配置。
本实施提供的五元组解密策略,能够实现解密设备对网络数据帧的一对一、一对多,以及多对多的解密处理,对网络中的指定网络数据帧进行解密,且便于统一管理;本实施例提供的五元组解密策略,可以在任何网络环境下使用,使用TCP/UDP协议,不依赖任何其他服务。
进一步地,步骤1中接收第三网络数据帧。
具体而言,请参见图5,图5是本发明实施例提供的一种IPv4数据加密方法、数据解密方法中各网络设备之间的连接关系示意图。本实施例图4中的前级网络设备包括实施例一种连接的发送网络设备和加密设备,此时解密设备接收的第三网络数据帧为加密设备发送的第二网络数据帧,第二网络数据帧包括密文数据,即第三网络数据帧包括加密的密文数据。其中,第三网络数据帧与第二网络数据帧结构相同,帧内部分具体内容不同。
进一步地,步骤2中判断第三网络数据帧的五元组与解密设备的预设五元组列表是否匹配。
具体而言,请再参见图5,本实施例第三网络数据帧的五元组、解密设备的预设五元组列表中的每个第二五元组均包括源IPv4地址、源端口、目的IPv4地址、目的端口和传输层协议。其中,第三网络数据帧的五元组、解密设备的预设五元组列表中的每个第二五元组中的源IPv4地址、目的IPv4地址均支持通配符,IPv4地址通配符可以是任意IPv4地址和指定网段范围,源端口、目的端口可以是任意端口号或部分指定范围端口号,传输层协议支持TCP或UDP,源IPv4地址与目的IPv4地址根据网络数据解密的实际配置情况而定。本实施例具体地步骤2包括步骤2.1、步骤2.2:
步骤2.1、解密设备的预设五元组列表中存在与第三网络数据帧的五元组匹配的第二五元组,则对第三网络数据帧进行解密处理得到明文数据。
具体而言,本实施例当解密设备的预设五元组列表中存在与第三网络数据帧的五元组匹配的第二五元组时,解密设备对第三网络数据帧进行解密处理,具体地,首先从第三网络数据帧中获取第二有效数据,根据第二五元组得到解密方式,根据第二五元组得到解密秘钥,根据解密方式和解密秘钥对第二有效数据进行解密处理得到明文数据:
本实施例解密设备的预设五元组列表中的每一第二五元组对应一种解密方式和一组解密秘钥,每一第二五元组对应设置的解密方式可相同可不相同,解密秘钥可相同可不相同,当存在一第二五元组与第三网络数据帧的五元组匹配时,则根据该第二五元组找到其对应的解密方式和解密秘钥,通过解密方式和解密秘钥对第三网络数据帧中的第二有效数据,即需要解密的网络数据进行解密得到明文数据。解密方式可以采用sm4、zuc、aes、des等解密方法。其中,当第二五元组对应的解密方式为强制透传时,可以不设置解密秘钥,直接传输第三网络数据帧;当第二五元组对应的解密方式为非强制透传时,在上述任一解密方式下,结合与其对应配置的解密秘钥对第二有效数据进行解密。
本实施例提供的五元组解密策略,能够实现解密设备对网络数据帧的一对一、一对多,以及多对多的解密处理,对网络中的指定网络数据帧进行解密,且便于统一管理;本实施例提供的五元组解密策略,可以在任何网络环境下使用,使用TCP/UDP协议,不依赖任何其他服务。
本实施例解密设备支持一对一、一对多,以及多对多的网络数据帧的解密处理。比如在对多对多的网络数据帧的解密处理中,多个发送网络设备同时发送网络数据帧,解密设备接收到多个网络数据帧,则依次在解密设备上判断网络数据帧的五元组与解密设备的预设五元组列表匹配时,若解密设备的预设五元组列表中同时存在多条第二五元组与网络数据帧的五元组匹配时,按照优先级最高的一条第二五元组处理,第二五元组的优先级已预先设置在解密设备中。对于匹配上的网络数据帧,根据其第二五元组对应的解密方式和解密秘钥对匹配上的网络数据帧的有效数据进行解密。
本实施例解密设备中存在多条第二五元组,且第二五元组支持通配符,可能会导致一条第一网络网络帧同时与多条第二五元组匹配,而每条第二五元组都对应一解密方式和解密秘钥,即同时与多条第二五元组匹配时,按优先级最高的一条第二五元组对应的解密方式和解密秘钥对第一网络数据帧进行解密处理。
本实施提供的五元组解密策略,实现了解密设备上解密秘钥分组管理,实现了网络中网络设备的一对一、一对多,以及多对多的网络数据的解密,可以实现网络中所有网络数据的解密,且便于统一管理。
步骤2.2、解密设备的预设五元组列表中不存在与第三网络数据帧的五元组匹配的第二五元组,则根据第二配置参数对第三网络数据帧进行第二预设处理。
具体而言,本实施例以五元组为加密策略,对于与加密设备的预设五元组列表中所有第二五元组均不匹配的第三网络数据帧,根据实际设计需要,进行第二预设处理,第二预设处理包括透传、丢弃或其他处理,此时第二预设处理优选透传。根据实际设计需要具体可以通过在加密设备上预先配置第二配置参数作为判断。
对多对多的网络数据帧的解密处理中,解密设备一次只能处理一条网络数据帧,多个前级网络设备连接到解密设备时,解密设备对接收到的第三网络数据帧按照接收顺序依次处理。除IP分片外,解密设备每次接收到的网络数据帧都应该是一条独立的网络数据帧,解密设备应该单独处理。对应IP分片,需要将分片的数据包还原为网络数据帧以后再进行解密处理。
进一步地,步骤3、发送第四网络数据帧至接收网络设备,第四网络数据帧包括明文数据。
具体而言,本实施例解密设备将明文数据和第三网络数据帧的帧头信息重新进行封装形成第四网络数据帧,将第四网络数据帧通过网口B发送至接收网络设备,如图4或5所示,第三网络数据帧的帧头信息包括表1的EthernetII首部、表2的IPv4首部、表3的TCP首部或表4的UDP首部。第四网络数据帧与第三网络数据帧结构相同,帧内部分具体内容不同,可见,本实施例解密后不修改网络数据帧的IP头内容,只解密第二有效数据,不改变网络数据帧的结构,不影响网络性能,解密后的网络数据帧与解密前的网络数据帧的结构完全一致,外部无法区分是加密后的网络数据帧,还是加密前的网络数据帧,不容易遭受攻击,网络安全性强。
进一步地,本实施例解密设备执行IPv4数据解密方法时还包括步骤4判断解密设备是否配置或开启了第二MAC管理。
具体而言,本实施例解密设备还支持第二MAC管理功能,第二MAC管理功能包括第三MAC名单和第四MAC名单,具体地,第三MAC名单为MAC黑名单列表,第四MAC名单为MAC白名单列表,解密设备的MAC黑名单列表、MAC白名单列表中分别预先配置有网络中所有通信网络设备对应的MAC地址。其中,同实施例一,开启的是MAC黑名单列表时,默认允许接收所有源MAC地址的网络数据帧,在MAC黑名单列表中的源MAC地址不允许接收,在此MAC黑名单列表开启模式下想要禁止接收某些源MAC地址的网络数据帧,直接在黑名单列表中填写要禁止接收的源MAC地址的网络数据帧;同理,开启的是MAC白名单列表时,默认所有源MAC地址的网络数据帧都禁止接收,在MAC白名单列表中的源MAC地址允许接收,在此MAC白名单列表开启模式下想要允许接收某些源MAC地址的网络数据帧,直接在MAC白名单列表中填写要允许的网络数据帧的源MAC地址。本实施例步骤4具体包括步骤4.1、步骤4.2:
步骤4.1、解密设备上没有配置或开启第二MAC管理。
具体而言,本实施例默认网络中所有源MAC地址的网络数据帧都允许接收,则解密设备根据本实施例的步骤1、步骤2、步骤3对接收到的第三网络数据帧进行IPv4数据解密。
步骤4.2、解密设备上配置且开启了第二MAC管理。
具体而言,本实施例配置且开启了第二MAC管理,则需要判断开启的是第三MAC名单还是第四MAC名单。具体地步骤4.2包括步骤4.2.1、步骤4.2.2:
步骤4.2.1、开启的是第三MAC名单,则按第三预设规则对第三网络数据帧进行处理。
具体而言,本实施例第三预设规则具体为通过判断第三网络数据帧与第三MAC名单是否匹配,具体地,若第三网络数据帧的源MAC地址与第三MAC名单中的MAC地址有任意一条匹配,则根据第二配置参数对第三网络数据帧进行第二预设处理,此时第二预设处理优选丢弃,若第三网络数据帧的源MAC地址与第三MAC名单中的MAC地址均不匹配,则解密设备根据本实施例的步骤1、步骤2、步骤3对第三网络数据帧进行IPv4数据解密。
步骤4.2.2、开启的是第四MAC名单,则按第四预设规则对第三网络数据帧进行处理。
具体而言,本实施例第四预设规则具体为判断第三网络数据帧与第四MAC名单是否匹配,具体地,若第三网络数据帧的源MAC地址与第四MAC名单中的MAC地址至少一条匹配,则解密设备根据本实施例的步骤1、步骤2、步骤3对第三网络数据帧进行IPv4数据解密,若第三网络数据帧的源MAC地址与第四MAC名单中的MAC地址均不匹配,则根据第二配置参数对第三网络数据帧进行第二预设处理,此时第二预设处理优选丢弃。
本实施例通过在解密设备上配置MAC黑/白名单列表功能,可以防止非法设备接入解密设备中,从而提高了网络数据传输的安全性。
综上所述,本实施例通过五元组解密策略,能够实现网络设备一对一、一对多,以及多对多的网络数据帧的解密,对网络中的所有网络数据进行分组解密,还能够有效防止非法设备接入加解密设备中,且便于统一管理。
实施例三
基于上述实施例二,为了说明上述实施例一的IPv4数据加密方法和上述实施例二的IPv4解密方法的实现,通过以下实例进行说明:
本实施例中的加密设备、解密设备应该配套使用。因为发送网络设备可以是多个网络设备通过交换机连接到加密设备上,接收网络设备也可以是多个网络设备通过交换机连接到解密设备上。加密设备或解密设备上实现对网络数据帧的一对一、一对多,以及多对多的加密处理或解密处理,其中一对一,即一个加密设备对应一个解密设备,一对多,即一个加密设备对应多个解密设备,多对多,即多个加密设备对应多个解密设备。
请再参见图5,本实施例网络中包括依次连接的发送网络设备、加密设备、解密网设备、接收网络设备,网络中实现的是一对一的网络数据加密、解密过程。具体地,发送网络设备发送于加密设备第一网络数据帧,第一网络数据帧的五元组为192.168.1.200、9000、192.168.1.100、9000、TCP,加密设备上预先设置的源IPv4地址、源端口、目的IPv4地址、目的端口号、传输层协议、加密算法、加密秘钥分别为192.168.1.200、9000、192.168.1.100、9000、TCP、des、key123456,由其构成在加密设备上的五元组加密策略,第一五元组为192.168.1.200、9000、192.168.1.100、9000、TCP,加密过程中,加密设备接收第一网络数据帧,判断第一网络数据帧的五元组与加密设备的五元组列表中的一第一五元组匹配,则根据加密设备预先配置的加密方式des、加密秘钥key123456对发送网络设备发送的第一网络数据帧中需要加密的有效数据进行加密得到密文数据,并将密文数据和第一网络数据帧的帧头信息重新封装形成第二网络数据帧,并将第二网络数据帧发送至解密设备;解密过程,解密设备接收第二网络数据帧(实施例二中的第三网络数据帧),第二网络数据帧的五元组为192.168.1.200、9000、192.168.1.100、9000、TCP,解密设备上预先设置的源IPv4地址、源端口、目的IPv4地址、目的端口号、传输层协议、加密算法、加密秘钥分别为192.168.1.200、9000、192.168.1.100、9000、TCP、des、key123456,由其构成在解密设备上的五元组解密策略,第二五元组为192.168.1.200、9000、192.168.1.100、9000、TCP,解密过程中,解密设备接收第二网络数据帧,判断第二网络数据帧的五元组与解密设备的五元组列表中的一第二五元组匹配,则根据解密设备预先配置的解密方式des、解密秘钥key123456对第二网络数据帧进行解密处理得到明文数据,同样将明文数据和第二网络数据帧的帧头信息重新封装形成第四网络数据帧,并将第四网络数据帧发送至接收网络设备,完成密文数据在发送网络设备与接收网络设备之间的传输。本实施例整个加密过程、解密过程,保证了网络数据帧的结构完全一致,使得网络安全性更强。
本实施例中加密设备、解密设备可以为独立的设备如图5所示,单独在加密设备上根据实施例一所述的IPv4数据加密方法对加密设备接收的网络数据帧进行加密处理,亦单独在解密设备上根据实施例二所述的IPv4数据解密方法对解密设备接收的网络数据帧进行解密处理。整个网络中一包数据的加密过程和解密过程中IP首部不变,即第一网络数据帧、第二网络数据帧、第三网络数据帧、第四网络数据帧中的IP首部不变,其中,IP首部包括IPv4标识。
本实施例加密设备、解密设备也可以为同一设备,记为加解密设备,该加解密设备既可以进行加密处理,也可以进行解密处理,具体对传输中的网络数据帧进行加密或是解密处理根据该加解密设备上的配置参数决定,当配置参数确定该加解密设备上需执行加密处理时,根据实施例一所述的IPv4数据加密方法对加解密设备接收的网络数据帧进行加密处理,当配置参数确定该加解密设备上需执行解密处理时,根据实施例二所述的IPv4数据解密方法对加解密设备接收的网络数据帧进行解密处理,整个网络中一包数据的加密过程、解密过程中IP首部不变。请参见图6,图6是本发明实施例提供的另一种IPv4数据加密方法、数据解密方法中各网络设备之间的连接关系示意图,本实施例网络中包括依次连接的发送网络设备、第一加解密设备、第二加解密网设备、接收网络设备,网络中实现的是一对一的网络数据加密、解密过程,具体地,如图6所示若网络中双向的数据需要加密时:当发送网络设备192.168.1.200发送给接收网络设备192.168.1.100网络数据帧时,网络数据帧经过第一加解密设备时对网络数据帧进行加密处理,经过第二加解密设备时对网络数据帧进行解密处理;当发送网络设备192.1.8.1.100发送给接收网络设备192.168.1.200网络数据帧时,经过第二加解密设备时对网络数据帧进行加密处理,经过第一加解密设备时对网络数据帧的进行解密处理。其中,第一加解密设备和第二加解密设备中的五元组策略可以只设置一个方向的,第一加解密设备和第二加密设备会根据设置的一个方向的五元组策略自动生成相反方向的五元组策略,也可两个方向都设置五元组策略,具体一个方向上的五元组策略的设置详见如图5中五元组策略的设计。
需要说明的是,加密设备、解密设备为独立设置,还是加密设备、解密设备为同一设备设置,由具体网络环境需要决定;加密设备、解密设备上预先配置的五元组加密、解密策略中的IPv4地址,可以是任意精确的IPv4地址(如“192.168.1.200”,“192.168.1.100”等),也可以是带通配符代表的任意IPv4地址(如“192.168.1.*”,或“192.168.*.*”,或“192.*.*.*”,或“*.*.*.*”等),IPv4地址标识该网段内所有主机都可以进行IPv4数据加密、解密处理;加密设备、解密设备上预先配置的五元组加密、解密策略中的端口号可以是精确数值(如:9000),也可以是任意端口号或部分指定范围端口号(如“*”,或“90??”等),其中“*”可以是任意有效数字,“?”指一位十进制数字;加密设备、解密设备上预先配置的五元组加密、解密策略中的传输层协议支持TCP或UDP。
本实施例图5、图6只是作为一实施例加以说明,具体加密过程或解密过程中各设备的连接以实际网络设计需要为准,只需在加密设备上执行如实施例一所述的IPv4数据加密方法,在解密设备上执行如实施例二所述的IPv4数据解密方法。
本实施例可以执行上述IPv4数据加密方法实施例和上述IPv4数据解密方法实施例,其实现原理和技术效果类似,在此不再赘述。
实施例四
基于上述实施例三,可见,本实施例加密设备、解密设备本身不需要IP地址,所有加密设备、解密设备不需要配置IPv4地址和MAC地址,即加密设备、解密设备可以为无IP地址的设备,就可以实现本地管理的网络中网络数据帧的加密或解密处理,此时,需要将加密设备、解密设备的网卡设置为混杂模式就可以接收所有网络数据帧。
本实施例对于加密设备、解密设备实现远程管理时,可以通过借用与其分别连接的下行设备的IPv4地址和MAC地址与管理服务器通信,实现对加密设备、解密设备的远程管理,从而实现远程网络中网络数据帧的加密或解密处理。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (10)

1.一种IPv4数据加密方法,其特征在于,应用于相互连接的发送网络设备和加密设备,所述加密设备执行所述IPv4数据加密方法时包括以下步骤:
接收第一网络数据帧,所述第一网络数据帧由所述发送网络设备发送;
判断所述第一网络数据帧的五元组与所述加密设备的预设五元组列表是否匹配,若所述加密设备的预设五元组列表中存在与所述第一网络数据帧的五元组匹配的第一五元组,则对所述第一网络数据帧进行加密处理得到密文数据,若所述加密设备的预设五元组列表中不存在与所述第一网络数据帧的五元组匹配的第一五元组,则根据第一配置参数对所述第一网络数据帧进行第一预设处理;
发送第二网络数据帧,所述第二网络数据帧包括所述密文数据。
2.根据权利要求1所述的IPv4数据加密方法,其特征在于,对所述第一网络数据帧进行加密处理得到密文数据,包括:
从所述第一网络数据帧中获取第一有效数据;
根据所述第一五元组得到加密方式;
根据所述第一五元组得到加密秘钥;
根据所述加密方式和所述加密秘钥对所述第一有效数据进行加密处理得到密文数据。
3.根据权利要求1所述的IPv4数据加密方法,其特征在于,还包括判断是否配置或开启了第一MAC管理,若没有配置或开启所述第一MAC管理,则进行如上权利要求1~2任意一项所述IPv4数据加密方法,若配置且开启了所述第一MAC管理,则判断开启的是第一MAC名单或第二MAC名单,若开启的是所述第一MAC名单,则按第一预设规则对所述第一网络数据帧进行处理,若开启的是所述第二MAC名单,则按第二预设规则对所述第一网络数据帧进行处理。
4.根据权利要求3所述的IPv4数据加密方法,其特征在于,按第一预设规则对所述第一网络数据帧进行处理,包括:
判断所述第一网络数据帧与所述第一MAC名单是否匹配,若所述第一网络数据帧的源MAC地址与所述第一MAC名单中的MAC地址任意一条匹配,则根据所述第一配置参数对所述第一网络数据帧进行所述第一预设处理,若所述第一网络数据帧的源MAC地址与所述第一MAC名单中的MAC地址均不匹配,则进行如上权利要求1~2任意一项所述IPv4数据加密方法。
5.根据权利要求3所述的IPv4数据加密方法,其特征在于,按第二预设规则对所述第一网络数据帧进行处理,包括:
判断所述第一网络数据帧与所述第二MAC名单是否匹配,若所述第一网络数据帧的源MAC地址与所述第二MAC名单中的MAC地址至少一条匹配,则进行如上权利要求1~2任意一项所述IPv4数据加密方法,若所述第一网络数据帧的源MAC地址与所述第二MAC名单中的MAC地址均不匹配,则根据所述第一配置参数对所述第一网络数据帧进行所述第一预设处理。
6.一种IPv4数据解密方法,其特征在于,应用于相互连接的解密设备和接收网络设备,所述解密设备执行所述IPv4数据解密方法时包括以下步骤:
接收第三网络数据帧;
判断所述第三网络数据帧的五元组与所述解密设备的预设五元组列表是否匹配,若所述解密设备的预设五元组列表中存在与所述第三网络数据帧的五元组匹配的第二五元组,则对所述第三网络数据帧进行解密处理得到明文数据,若所述解密设备的预设五元组列表中不存在与所述第三网络数据帧的五元组匹配的第二五元组,则根据第二配置参数对所述第三网络数据帧进行第二预设处理;
发送第四网络数据帧至所述接收网络设备,所述第四网络数据帧包括明文数据。
7.根据权利要求6所述的IPv4数据解密方法,其特征在于,对所述第三网络数据帧进行解密处理得到明文数据,包括:
从所述第三网络数据帧中获取第二有效数据;
根据所述第二五元组得到解密方式;
根据所述第二五元组得到解密秘钥;
根据所述解密方式和所述解密秘钥对所述第二有效数据进行解密处理得到明文数据。
8.根据权利要求6所述的IPv4数据解密方法,其特征在于,还包括判断是否配置或开启了第二MAC管理,若没有配置或开启所述第二MAC管理,则进行如上权利要求6~7任意一项所述IPv4数据解密方法,若配置且开启了所述第二MAC管理,则判断开启的是第三MAC名单或第四MAC名单,若开启的是所述第三MAC名单,则按第三预设规则对所述第三网络数据帧进行处理,若开启的是所述第四MAC名单,则按第四预设规则对所述第三网络数据帧进行处理。
9.根据权利要求8所述的IPv4数据解密方法,其特征在于,按第三预设规则对所述第三网络数据帧进行处理,包括:
判断所述第三网络数据帧与所述第三MAC名单是否匹配,若所述第三网络数据帧的源MAC地址与所述第三MAC名单中的MAC地址任意一条匹配,则根据所述第二配置参数对所述第三网络数据帧进行所述第二预设处理,若所述第三网络数据帧的源MAC地址与所述第三MAC名单中的MAC地址均不匹配,则进行如上权利要求6~7任意一项所述IPv4数据解密方法。
10.根据权利要求8所述的IPv4数据解密方法,其特征在于,按第四预设规则对所述第三网络数据帧进行处理,包括:
判断所述第三网络数据帧与所述第四MAC名单是否匹配,若所述第三网络数据帧的源MAC地址与所述第四MAC名单中的MAC地址至少一条匹配,则进行如上权利要求6~7任意一项所述IPv4数据解密方法,若所述第三网络数据帧的源MAC地址与所述第四MAC名单中的MAC地址均不匹配,则根据所述第二配置参数对所述第三网络数据帧进行所述第二预设处理。
CN201910893729.9A 2019-09-20 2019-09-20 一种IPv4数据加密方法、IPv4数据解密方法 Active CN110768958B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910893729.9A CN110768958B (zh) 2019-09-20 2019-09-20 一种IPv4数据加密方法、IPv4数据解密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910893729.9A CN110768958B (zh) 2019-09-20 2019-09-20 一种IPv4数据加密方法、IPv4数据解密方法

Publications (2)

Publication Number Publication Date
CN110768958A true CN110768958A (zh) 2020-02-07
CN110768958B CN110768958B (zh) 2022-08-05

Family

ID=69330701

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910893729.9A Active CN110768958B (zh) 2019-09-20 2019-09-20 一种IPv4数据加密方法、IPv4数据解密方法

Country Status (1)

Country Link
CN (1) CN110768958B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111800436A (zh) * 2020-07-29 2020-10-20 郑州信大捷安信息技术股份有限公司 IPSec隔离网卡设备及安全通信方法
CN117201005A (zh) * 2023-09-08 2023-12-08 国家计算机网络与信息安全管理中心江苏分中心 一种基于ZUC加解密的IPv6地址动态编码方法及应用方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777174A (zh) * 2004-11-15 2006-05-24 中兴通讯股份有限公司 因特网安全协议高速处理ip分片的方法
US20110314274A1 (en) * 2010-05-17 2011-12-22 Certes Networks, Inc. Method and apparatus for security encapsulating ip datagrams
CN102347870A (zh) * 2010-07-29 2012-02-08 中国电信股份有限公司 一种流量安全检测方法、设备和系统
US20150365378A1 (en) * 2014-06-11 2015-12-17 Electronics And Telecommunications Research Institute One-way data transmission and reception system and method
CN110099062A (zh) * 2019-05-07 2019-08-06 山东渔翁信息技术股份有限公司 一种网络数据的加密方法、解密方法及相关装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1777174A (zh) * 2004-11-15 2006-05-24 中兴通讯股份有限公司 因特网安全协议高速处理ip分片的方法
US20110314274A1 (en) * 2010-05-17 2011-12-22 Certes Networks, Inc. Method and apparatus for security encapsulating ip datagrams
CN102347870A (zh) * 2010-07-29 2012-02-08 中国电信股份有限公司 一种流量安全检测方法、设备和系统
US20150365378A1 (en) * 2014-06-11 2015-12-17 Electronics And Telecommunications Research Institute One-way data transmission and reception system and method
CN110099062A (zh) * 2019-05-07 2019-08-06 山东渔翁信息技术股份有限公司 一种网络数据的加密方法、解密方法及相关装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111800436A (zh) * 2020-07-29 2020-10-20 郑州信大捷安信息技术股份有限公司 IPSec隔离网卡设备及安全通信方法
CN111800436B (zh) * 2020-07-29 2022-04-08 郑州信大捷安信息技术股份有限公司 IPSec隔离网卡设备及安全通信方法
CN117201005A (zh) * 2023-09-08 2023-12-08 国家计算机网络与信息安全管理中心江苏分中心 一种基于ZUC加解密的IPv6地址动态编码方法及应用方法
CN117201005B (zh) * 2023-09-08 2024-03-15 国家计算机网络与信息安全管理中心江苏分中心 一种基于ZUC加解密的IPv6地址动态编码方法及应用方法

Also Published As

Publication number Publication date
CN110768958B (zh) 2022-08-05

Similar Documents

Publication Publication Date Title
US9461975B2 (en) Method and system for traffic engineering in secured networks
US20060031936A1 (en) Encryption security in a network system
US7231664B2 (en) System and method for transmitting and receiving secure data in a virtual private group
US9712504B2 (en) Method and apparatus for avoiding double-encryption in site-to-site IPsec VPN connections
US7043633B1 (en) Method and apparatus for providing adaptive self-synchronized dynamic address translation
US10404588B2 (en) Path maximum transmission unit handling for virtual private networks
US8775790B2 (en) System and method for providing secure network communications
AU2007261003B2 (en) Method and apparatus for encrypted communications using IPsec keys
US20050220091A1 (en) Secure remote mirroring
CN110691074B (zh) 一种IPv6数据加密方法、IPv6数据解密方法
KR20130096320A (ko) 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법
CN114244626B (zh) 一种基于MACSec网络的报文处理方法和装置
US20240163301A1 (en) Isolating Internet-of-Things (IoT) Devices Using a Secure Overlay Network
CN110768958B (zh) 一种IPv4数据加密方法、IPv4数据解密方法
US20190124055A1 (en) Ethernet security system and method
WO2016165277A1 (zh) 一种实现IPsec分流的方法和装置
CN113746861B (zh) 基于国密技术的数据传输加密、解密方法及加解密系统
CN115766172A (zh) 基于dpu和国密的报文转发方法、装置、设备及介质
WO2005008997A1 (en) Hardware acceleration for unified ipsec and l2tp with ipsec processing in a device that integrates wired and wireless lan, l2 and l3 switching functionality
KR101845776B1 (ko) 레이어2 보안을 위한 MACsec 어댑터 장치
Cisco Configuring IPSec Network Security
WO2024066059A1 (zh) 基于sdp和边缘计算的工业互联网安全系统及方法
Park et al. A new approach to building a disguised server using the honey port against general scanning attacks
CN117675395A (zh) 一种具有隔离功能的量子加密网络设备
CN118337472A (zh) 一种利用ARP协议绕过windows防火墙的局域网通讯方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant