一种基于ESP的报文处理方法与流程

一种基于esp的报文处理方法
技术领域
1.本发明涉及报文处理技术领域，具体涉及一种基于esp的报文处理方法。


背景技术：

2.报文处理系统又称“信报处理系统”。利用计算机网，模拟现代邮政系统的非实时综合通信系统或电子信箱系统。为解决不同厂商生产的异构系统的互联和互操作性，前国际电报电话咨询委员会制定了关于消息处理系统的又400系列建议，规定了消息处理系统的功能模型、相关协议和业务功能等。发信用户在其用户代理支持下在自己终端屏幕上起草信件并通过用户代理向所属的消息传送代理提交。
3.但是，目前的终端公网安全通信对接收到的ip数据包的处理都是遵循普通传输的应用模式，对原始ip数据进行直接传输的传统传输方式安全性不高，数据在传输中容易被截获，对封装数据进行解密后即可得到原始数据，导致保密信息外泄，造成不可估算的损失。


技术实现要素：

4.解决的技术问题针对现有技术所存在的上述缺点，本发明提供了一种基于esp的报文处理方法，解决了终端公网安全通信对接收到的ip数据包的处理都是遵循普通传输的应用模式，对原始ip数据进行直接传输的传统传输方式安全性不高，数据在传输中容易被截获，对封装数据进行解密后即可得到原始数据，导致保密信息外泄，造成不可估算损失的问题。
5.技术方案为实现以上目的，本发明通过以下技术方案予以实现：第一方面，一种基于esp的报文处理方法，包括以下步骤：s1：获取原始ip数据包，并根据本地策略库查找与之相关联的sa协议；s2：根据s1中的原始ip数据包，将其填充到esp载荷字段中，并对其进行封装；s3：选定ipv4环境使用传输模式，esp放在ip头及其包含的所有选项之后及上层协议之前，同时选定ipv4环境使用隧道模式，esp保护包括原内部ip头在内的整个原ip报文；s4：对出站报文进行查找sa、封装、加密报文、产生序列号、计算完整性校验值及分片处理；s5：对入站报文进行重组、查找sa、验证序列号、验证完整性校验值、解密报文和重构处理。
6.更进一步地，所述sa协议用于保护信息的策略和密钥。
7.更进一步地，所述传输模式选定ipv4环境发起传输，并将以esp为后缀的文件填充到原有ip头之后及所述上层协议之前；所述隧道模式用于对原始 ip 数据包进行保护；其中，所述隧道模式选定ipv4环境进行加密，并通过esp发出保护原有ip头在内的整个原ip报文。
8.第二方面，本发明公开了一种基于esp的报文处理方法，所述用于辅助第一方面所述的一种基于esp的报文处理方法，包括以下子步骤：s41：根据本地策略库查找sa，并使ipsec确定报文与sa之间的关联；s42：随后在传输模式中，将原始上层协议封装至eso载荷字段中，同时隧道模式中，将整个原始ip数据报文封装到esp载荷字段中；s43：对报文添加所需的填充，随后根据sa指定的加密算法进行加密，并产生序列号；s44：若sa提供完整性校验服务，发送方应在除去认证数据字段的esp报文上计算icv。
9.更进一步地，其中判断所述本地策略中是否存在与所述原始ip数据相关联的sa协议时，当确定所述本地策略中存在与所述原始ip数据相关联的sa协议时，直接配置使用所述sa协议；当确定所述本地策略中不存在与所述原始ip数据相关联的sa协议时，随之生成新的sa协议进行配置使用。
10.更进一步地，所述sa协议中指定的密钥、加密算法、算法模式和iv对所述封装数据进行加密，以得到加密数据；其中，sa协议的加密范围包括载荷数据、填充、填充长度和下一个头。
11.更进一步地，当发送方在除去认证数据字段的esp报文上计算icv时，所述加密算法对所述加密数据的完整性进行计算，获取完整性校验值；当所述ipsec处理esp之后，若发现所述ip数据报文长度大于输出接口的mtu值，随后对处理后的数据报文进行分片。
12.第三方面，本发明公开了一种基于esp的报文处理方法，所述用于辅助第一方面及第二方面所述的一种基于esp的报文处理方法，包括以下子步骤：s51：在esp处理之前进行ip数据报文重组，随后接收方应查找sa；s52：所有esp应实现支持抗重放攻击服务，并在sa建立时，接收方的序列号计数器应初始化为0；s53：接收方采用指定的完整性校验算法对报文计算icv；s54：使用sa指定的加密算法对接收报文的加密部分进行解密；随后对其重构原始ip数据报文。
13.更进一步地，当所述报文入站时，查看所述ip数据是否需要重组，若需要，对所述ip数据报文进行重组，以获得esp封装的数据包，随后根据目的ip地址、spi来查找sa，当查找失败时，接收方则丢弃报文。
14.更进一步地，所述接收方接收到报文后采用完整性校验算法计算出报文的icv，若计算的结果与报文中的icv一致，则接收到的数据报文为有效，反之接收方应将收到的数据报文处理丢弃，随后所述sa协议中指定的密钥、加密算法、算法模式和iv对所述封装数据加密的部分进行解密，并重构原始ip数据报文。
15.有益效果采用本发明提供的技术方案，与已知的公有技术相比，具有如下有益效果：本发明中，通过sa协议与接收端事先协议并制定所需使用的加密算法和算法密钥，在ipv4环境中使用传输模式及隧道模式，随后根据sa协议中指定的密钥、加密算法、算
法模式和iv对原始数据进行封装加密，使得接收端可以根据sa协议中指定的密钥、加密算法、算法模式和iv对数据进行解密，并结合认证数据和填充数据对原始数据进行层层保护，可以提高数据传输过程中的安全性，避免了保密信息外泄及被窃取的问题。
附图说明
16.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
17.图1为本发明的报文处理方法流程示意图；图2为本发明的出站报文处理流程示意图；图3为本发明的入站报文处理流程示意图；图4为本发明的esp传输模式示意框图；图5为本发明的esp隧道模式示意框图。
具体实施方式
18.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
19.下面结合实施例对本发明作进一步的描述。
20.实施例1本实施例的一种基于esp的报文处理方法，如图1至图5所示，包括以下步骤：s1：获取原始ip数据包，并根据本地策略库查找与之相关联的sa协议；s2：根据s1中的原始ip数据包，将其填充到esp载荷字段中，并对其进行封装；s3：选定ipv4环境使用传输模式，esp放在ip头及其包含的所有选项之后及上层协议之前，同时选定ipv4环境使用隧道模式，esp保护包括原内部ip头在内的整个原ip报文；s4：对出站报文进行查找sa、封装、加密报文、产生序列号、计算完整性校验值及分片处理；s5：对入站报文进行重组、查找sa、验证序列号、验证完整性校验值、解密报文和重构处理。
21.本实施例sa协议用于保护信息的策略和密钥。
22.本实施例传输模式选定ipv4环境发起传输，并将以esp为后缀的文件填充到原有ip头之后及上层协议之前。
23.本实施例隧道模式用于对原始 ip 数据包进行保护；其中，隧道模式选定ipv4环境进行加密，并通过esp发出保护原有ip头在内的整个原ip报文。
24.本发明中，通过sa协议与接收端事先协议并制定所需使用的加密算法和算法密钥，在ipv4环境中使用传输模式及隧道模式，随后根据sa协议中指定的密钥、加密算法、算法模式和iv对原始数据进行封装加密。
25.本发明中，接收端可以根据sa协议中指定的密钥、加密算法、算法模式和iv对数据进行解密，并结合认证数据和填充数据对原始数据进行层层保护，可以提高数据传输过程中的安全性，避免了保密信息外泄及被窃取的问题。
26.实施例2本实施例的一种基于esp的报文处理方法，方法用于辅助实施例1的一种基于esp的报文处理方法，其用于对数据报文进行出站处理，如图2所示，其报文出站处理方法包括以下子步骤：s41：根据本地策略库查找sa，并使ipsec确定报文与sa之间的关联；s42：随后在传输模式中，将原始上层协议封装至eso载荷字段中，同时隧道模式中，将整个原始ip数据报文封装到esp载荷字段中；s43：对报文添加所需的填充，随后根据sa指定的加密算法进行加密，并产生序列号；s44：若sa提供完整性校验服务，发送方应在除去认证数据字段的esp报文上计算icv。
27.本实施例其中判断本地策略中是否存在与原始ip数据相关联的sa协议时，当确定本地策略中存在与原始ip数据相关联的sa协议时，直接配置使用sa协议；当确定本地策略中不存在与原始ip数据相关联的sa协议时，随之生成新的sa协议进行配置使用。
28.本实施例sa协议中指定的密钥、加密算法、算法模式和iv对封装数据进行加密，以得到加密数据；其中，sa协议的加密范围包括载荷数据、填充、填充长度和下一个头。
29.本实施例当发送方在除去认证数据字段的esp报文上计算icv时，加密算法对加密数据的完整性进行计算，获取完整性校验值。
30.本实施例当ipsec处理esp之后，若发现ip数据报文长度大于输出接口的mtu值，随后对处理后的数据报文进行分片。
31.本发明中，通过sa协议与接收端事先协议并制定所需使用的加密算法和算法密钥，在ipv4环境中使用传输模式及隧道模式，随后根据sa协议中指定的密钥、加密算法、算法模式和iv对原始数据进行封装加密，可以提高数据传输过程中的安全性，避免了保密信息外泄及被窃取的问题。
32.实施例3本实施例的一种基于esp的报文处理方法，方法用于辅助实施例1及实施例2的一种基于esp的报文处理方法，其用于对数据报文进行入站处理，如图3所示，其报文出站入理方法包括以下子步骤：s51：在esp处理之前进行ip数据报文重组，随后接收方应查找sa；s52：所有esp应实现支持抗重放攻击服务，并在sa建立时，接收方的序列号计数器应初始化为0；s53：接收方采用指定的完整性校验算法对报文计算icv；s54：使用sa指定的加密算法对接收报文的加密部分进行解密；随后对其重构原始ip数据报文。
33.本实施例当报文入站时，查看ip数据是否需要重组，若需要，对ip数据报文进行重组，以获得esp封装的数据包，随后根据目的ip地址、spi来查找sa，当查找失败时，接收方则
丢弃报文。
34.本实施例接收方接收到报文后采用完整性校验算法计算出报文的icv，若计算的结果与报文中的icv一致，则接收到的数据报文为有效，反之接收方应将收到的数据报文处理丢弃，随后sa协议中指定的密钥、加密算法、算法模式和iv对封装数据加密的部分进行解密，并重构原始ip数据报文。
35.本发明中，接收端可以根据sa协议中指定的密钥、加密算法、算法模式和iv对数据进行解密，并结合认证数据和填充数据对原始数据进行层层保护，可以提高数据传输过程中的安全性，避免了保密信息外泄及被窃取的问题。
36.综上，通过sa协议与接收端事先协议并制定所需使用的加密算法和算法密钥，在ipv4环境中使用传输模式及隧道模式，随后根据sa协议中指定的密钥、加密算法、算法模式和iv对原始数据进行封装加密，使得接收端可以根据sa协议中指定的密钥、加密算法、算法模式和iv对数据进行解密，并结合认证数据和填充数据对原始数据进行层层保护，可以提高数据传输过程中的安全性，避免了保密信息外泄及被窃取的问题。
37.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。