【技术实现步骤摘要】
本专利技术属于随机数生成,更具体地,本专利技术涉及一种ipsec vpn的二次加密系统。
技术介绍
1、ipsec vpn网关是网络与通信中数据安全防护的有效技术手段,可以实现数据传输过程中的信源认证、数据加密、防篡改和防重放等。
2、它部署在网络进出口处,对过往数据进行加密与解密等安全防护。但在某些场合这类ipsec vpn网关受到硬件或者历史原因的限制,还在使用具有极大安全风险的算法,如des、md5、sha1等;另外,在密钥交换过程中使用协议不规范存在被中间人攻击等风险。
3、此外,系统老旧不支持升级,导致当前国产密码算法替代无法实施,而这些ipsecvpn网关由于服役未到期,或者其他原因不能被直接替换,所以对用户而言潜在风险极大。
技术实现思路
1、本专利技术提供一种ipsec vpn的二次加密系统,旨在改善上述问题。
2、本专利技术是这样实现的,一种ipsec vpn的二次加密系统,所述系统包括:
3、与各个ipsec vpn网关连接的透明加解密装置,透明加解密装置包括二次加密单元及解密单元,其中,二次加密单元,用于对ipsec vpn网关输出的加密数据进行二次加密,发送二次加密后的数据;解密单元,用于对接收到的二次加密后的数据进行解密,将解密后的加密数据传递给ipsec vpn网关;
4、其中,二次加密后的加密数据长度与ipsec vpn网关输出的加密数据长度相同,基于二次加密后形成的认证数据与一次加密后形成的
5、进一步有的,数据报文为esp封装时,二次加密单元的二次加密过程具体如下:
6、(1)接收到ipsec vpn网关发送的数据包,在检测到当前数据包为esp数据包后,基于esp头的安全参数索引spi、ip头中的目的地址和ipsec协议类型确定数据报文所对应的sa;
7、(2)对esp数据包中的加密数据endata0进行二次加密,得到加密数据endata1,计算esp头和加密数据endata1的摘要值,并将该摘要值与数据包末尾的esp认证数据espicv0进行异或运算,生成新的esp认证数据espicv1,基于加密数据endata1及esp认证数据espicv1形成二次加密后的esp数据包;
8、(3)将二次加密后的esp数据包通过wan口发送出去;
9、其中,加密数据endata1与加密数据endata0的数据长度相同,esp认证数据espicv1与esp认证数据espicv0的数据长度相同。
10、进一步的,数据报文为esp封装时,解密单元的解密过程具体如下:
11、(1)接收到二次加密后的esp数据包后,通过esp头的安全参数索引spi、ip头中的目的地址和ipsec协议类型确定对应的sa;
12、(2)检查当前接收数据包中esp头内的序列号sn是否与已接收过的数据包的序列号sn重复,若检测结果为否,则执行步骤(3);
13、(3)计算esp头和加密数据endata1的摘要值,并与esp数据包末尾的esp认证数据espicv1进行异或运算,得到esp认证数据espicvt;
14、(4)对加密数据endata1进行解密得到加密数据endata0,计算esp头和加密数据endata0的摘要值espicv0,若esp认证数据espicvt与摘要值espicv0一致,则将基于加密数据endata0及esp认证数据espicv0组形成的数据包转发至与之连接的ipsec vpn网关。
15、进一步的,数据报文为ah认证下有esp认证的esp封装时,二次加密单元的二次加密过程具体如下:
16、(1)当前接收的数据包类型为ah数据包,且ah头中next header类型是esp封装时,通过esp头部的安全参数索引spi、ip头中的目的地址和ipsec协议类型确定数据报文所对应的sa;
17、(2)对esp数据包中的加密数据endata0进行二次加密,得到加密数据endata1,计算esp头和加密数据endata1的摘要值,并将摘要值与ah数据包末尾的esp认证数据espicv0进行异或运算,形成生成esp认证数据espicv1;
18、(3)计算整个ip报文的摘要值并与ah头的摘要值ahicv0进行异或运算,生成摘要值ahicv1,将基于摘要值ahicv1的ah头、加密数据endata1、esp认证数据espicv1形成的二次加密的数据包发送出去;
19、其中,加密数据endata1与加密数据endata0的数据长度相同,esp认证数据espicv1与esp认证数据espicv0的数据长度相同,摘要值ahicv1与摘要值ahicv0的数据长度相同。
20、进一步的,解密单元的解密过程具体如下:
21、(1)解密单元当前接收的数据包类型为ah数据包,且ah头中next header类型是esp封装时,通过esp头部的安全参数索引spi、ip头中的目的地址和ipsec协议类型确定对应的sa;
22、(2)检查当前接收数据包中esp头内的序列号sn是否与已接收过的数据包的序列号sn重复,若检测结果为否,则执行步骤(3);
23、(3)计算整个ip报文的摘要值并与ah头的摘要值ahicv1进行异或运算,得到摘要值ahicvt;计算esp头和加密数据endata1的摘要值,并与数据包末尾的esp认证数据espicv1做异或得到esp认证数据espicvt;
24、(4)对加密数据endata1进行解密得到加密数据endata0,计算esp头和加密数据endata0的摘要值espicv0,若摘要值espicvt与摘要值espicv0一致,则计算由数据endata0和摘要值espicv0所组成的整个ip报文的摘要值ahicv0,若摘要值ahicvt和摘要ahicv0一致,则将基于摘要值ahicv0的ah头、加密数据endata0、esp认证数据espicv0形成的数据包转发至与之连接的ipsec vpn网关。
25、进一步的,数据报文为ah认证下无esp认证的esp封装时,二次加密单元的二次加密过程具体如下:
26、(1)当前接收的数据包类型为ah数据包,且ah头中next header类型为esp封装时,通过esp头的安全参数索引spi、ip头中的目的地址和ipsec协议类型确定数据报文所对应的sa;
27、(2)对数据包中的加密数据endata0进行二次加密,得到加密数据endata1,计算整个ip报文的摘要值,并与数据包中ah头的摘要ahicv0进行异或运算,生成摘要值ahicv1,将基于摘要值ahicv1的ah头、加密数据endata1组成的二次加密的ah数据包发送出去;
28、加密数据endata1与加密数据endata0的数据长度相同,摘要值ahicv本文档来自技高网...
【技术保护点】
1.一种IPSec VPN的二次加密系统,其特征在于,所述系统包括:
2.如权利要求1所述IPSec VPN的二次加密系统,其特征在于,数据报文为ESP封装时,二次加密单元的二次加密过程具体如下:
3.如权利要求2所述IPSec VPN的二次加密系统,其特征在于,数据报文为ESP封装时,解密单元的解密过程具体如下:
4.如权利要求1所述IPSec VPN的二次加密系统,其特征在于,数据报文为AH认证下有ESP认证的ESP封装时,二次加密单元的二次加密过程具体如下:
5.如权利要求4所述IPSec VPN的二次加密系统,其特征在于,解密单元的解密过程具体如下:
6.如权利要求1所述IPSec VPN的二次加密系统,其特征在于,数据报文为AH认证下无ESP认证的ESP封装时,二次加密单元的二次加密过程具体如下:
7.如权利要求6所述IPSec VPN的二次加密系统,其特征在于,解密单元的解密过程具体如下:
8.如权利要求1至7任一项所述IPSec VPN的二次加密系统,其特征在于,IPSec VPN网
9.如权利要求1所述IPSec VPN的二次加密系统,其特征在于,所述系统还包括:
10.如权利要求1所述IPSec VPN的二次加密系统,其特征在于,透明加解密装置根据ESP头的安全参数索引SPI、IP头中的目的地址和IPSec协议类型识别出感兴趣流后,针对不同的感兴趣流建立不同的加密通道,并设置对应通道的参数SA,包括:SPI、目标地址、IPSec协议类型、加密算法及数据认证算法、密钥池中的密钥、密钥生存周期。
...【技术特征摘要】
1.一种ipsec vpn的二次加密系统,其特征在于,所述系统包括:
2.如权利要求1所述ipsec vpn的二次加密系统,其特征在于,数据报文为esp封装时,二次加密单元的二次加密过程具体如下:
3.如权利要求2所述ipsec vpn的二次加密系统,其特征在于,数据报文为esp封装时,解密单元的解密过程具体如下:
4.如权利要求1所述ipsec vpn的二次加密系统,其特征在于,数据报文为ah认证下有esp认证的esp封装时,二次加密单元的二次加密过程具体如下:
5.如权利要求4所述ipsec vpn的二次加密系统,其特征在于,解密单元的解密过程具体如下:
6.如权利要求1所述ipsec vpn的二次加密系统,其特征在于,数据报文为ah认证下无esp认证的esp封装时,二次加密单元的二次...
【专利技术属性】
技术研发人员:陈鸿祥,谷林明,张辉,陈果,吴美琪,罗合,丁萁琦,王昊,但扬溪,袁思蒙,
申请(专利权)人:中国长江电力股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。