CN103812861A - Ipsec vpn设备及其隔离方法与*** - Google Patents
Ipsec vpn设备及其隔离方法与*** Download PDFInfo
- Publication number
- CN103812861A CN103812861A CN201410025959.0A CN201410025959A CN103812861A CN 103812861 A CN103812861 A CN 103812861A CN 201410025959 A CN201410025959 A CN 201410025959A CN 103812861 A CN103812861 A CN 103812861A
- Authority
- CN
- China
- Prior art keywords
- data bag
- mapping table
- main frame
- address
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种IPSEC VPN设备及其隔离方法与***,设备包括内端主机、外端主机和非网络隔离卡,内、外端主机分别维护了相同的IP映射表,每一条表项定义了原地址、目的地址及IP映射ID等信息,数据包经过IP头剥离及重组,IP映射表检索过滤,私有协议封转及解封装,非网络隔离卡传输等方式实现网络隔离,数据包在内网主机上对IPsec VPN网络数据包进行加解密,设备能抵抗恶意攻击行为,抵抗病毒、木马、恶意插件的传播,从真正意义上达到内外网连接时的安全隔离,实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护,是一种安全程度高的IPSEC VPN隔离设备。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及IPSEC VPN设备及其隔离方法与***。
背景技术
IPSec是互联网工程任务组制定的一个开放的IP层安全框架协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSEC技术已广泛普及并应用到网关设备中,采用IPSEC隧道技术,加密技术以及认证技术等方法,在公众网络上构建虚拟专用网络,数据在安全信道上传输,从而到达保障通信安全,保密信息的目的。
通常IPSEC VPN设备部署在内部网络和外部网络之间,IPSEC VPN设备包括外端主机和内端主机,外端主机和内端主机进行数据交互,其中外端主机与外部网络进行数据交互,内端主机与内部网络进行数据交互。内部网络安全度很高,外部网络一般为互联网,安全度很低,因此IPSEC VPN设备还需要对内部网络进行隔离及访问控制保护,通常集成防火墙、入侵检测、应用网关等功能模块。
黑客从外部网络利用网络协议漏洞和操作***漏洞入侵,如果劫持了IPSEC VPN设备本身,内部网络的安全防线就被瓦解了,因此现有的IPSEC VPN设备及其隔离方法是无法做到非常有效的隔离保护的,特别是对于对于安全度要求很高的内部网络,现有的IPSEC VPN设备及其隔离方法已经无法满足这种安全度要求很高的内部网络隔离保护需求。
发明内容
基于此,有必要针对现有IPSEC VPN设备无法做到非常有效的隔离保护某些安全度要求很高的内部网络对隔离保护的需求的问题,提供一种非常有效的IPSEC VPN设备及其隔离方法与***,以满足某些安全度要求很高的内部网络 隔离保护的需求。
一种IPSEC VPN设备的隔离方法,包括步骤:
在内端主机与外端主机中维护相同的IP映射表,其中,所述IP映射表为哈希链表,所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息;
对于从内部网络输出到外部网络的明文数据包包括如下步骤:
接收来自内部网络的明文数据包;
对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理,生成密文数据包;
对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到外端主机;
外端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成密文IPSEC数据包,发送密文IPSEC数据包到外部网络;
对于从外部网络进入到内部网络的密文数据包包括如下步骤:
接收来自外部网络的密文数据包;
对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到内端主机;
内端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成新的密文数据包,再对新的密文数据包进行解密处理和IPSEC隧道解封装处理,生成明文数据包,发送明文数据包到内部网络。
一种IPSEC VPN设备的隔离***,包括:
IP映射表维护模块,用于在内端主机与外端主机中维护相同的IP映射表,其中,所述IP映射表为哈希链表,所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息;
外发数据包处理模块,用于对从内部网络输出到外部网络的明文数据进传输处理,其中,所述外发数据包处理模块包括:
明文数据包接收模块,用于接收来自内部网络的明文数据包;
密文数据包生成模块,用于对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理,生成密文数据包;
第一私有协议封转模块,用于对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到外端主机;
第一解封装模块,用于通过外端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成密文IPSEC数据包,发送密文IPSEC数据包到外部网络;
内传数据包处理模块,用于对从外部网络进入到内部网络的密文数据包进行传输处理,其中所述内传数据包处理模块包括:
密文数据包接收模块,用于接收来自外部网络的密文数据包;
第二私有协议封转模块,用于对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到内端主机;
第二内解封装模块,用于通过内端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成新的密文数据包,再对新的密文数据包进行解密处理和IPSEC隧道解封装处理,生成明文数据包, 发送明文数据包到内部网络。
一种IPSEC VPN设备,包括内端主机、外端主机和非网络隔离卡,所述非网络隔离卡用于传输不包含以太帧及IP头信息的纯数据,所述内端主机通过所述非网络隔离卡与所述外端主机物理连接,所述内端主机与内部网络进行数据交互,所述外端主机与外部网络进行数据交互;
内端主机与外端主机中维护相同的IP映射表,其中,所述IP映射表为哈希链表,所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息;
当所述内部网络外出明文数据包传输到所述内端主机时,对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理,生成密文数据包,对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到外端主机,通过外端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成密文IPSEC数据包,发送密文IPSEC数据包到外部网络;
当所述外部网络向所述外端主机传输密文数据包时,接收来自外部网络的密文数据包,对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到内端主机,通过内端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成新的密文数据包,再对新的密文数据包进行解密处理和IPSEC隧道解封装处理,生成明文数据包,发送明文数据包到内部网络。
本发明IPSEC VPN设备及其隔离方法与***,在所述内端主机与所述外端主机中维护相同的IP映射表,当内部网络外出明文数据包通过内端主机时,经 过数据加密及IPSEC隧道模式封装,密文数据包源地址变为IPSEC VPN设备地址,密文数据包转发到外部网络,同理从外部网络进入的密文数据包,其目的地址为IPSEC VPN设备地址,密文数据包转发到内端主机,内端主机经过数据解密及IPSEC隧道模式解封装后,将明文数据包转发到内部网络。整个过程通过以太帧及IP头部剥离/重组、IPSEC隧道模式解封装/封装、以及利用IP映射表等处理,实现内部网络及外部网络之间安全隔离,有效阻止黑客从外部网络利用网络协议漏洞和操作***漏洞入侵,保护内端主机不被黑客劫持,为进入及外出内部网络的网络数据包提供了机密性和完整性保护、数据源认证、抗重放攻击等安全保障,在外部网络中传输的密文数据包采用IPSEC隧道模式封装,隐藏了内部网络中真实地址,而变成IPSEC VPN设备的地址,有效防止黑客从外部网络攻击内部网络。综上所述,本发明IPSEC VPN设备的隔离方法,采用非网络隔离与IPSEC技术的结合,实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护,是一种安全程度高的IPSEC VPN设备隔离方法,能够满足安全度要求很高的内部网络对隔离保护的需求。
附图说明
图1为本发明IPSEC VPN设备的隔离方法的第一个实施例中从内部网络输出到外部网络的明文数据的流程示意图;
图2为本发明IPSEC VPN设备的隔离方法的第一个实施例中从外部网络输入到内部网络的密文数据的流程示意图;
图3为本发明IPSEC VPN设备的隔离方法的第二个实施例中从内部网络输出到外部网络的明文数据的流程示意图;
图4为本发明IPSEC VPN设备的隔离***第一个实施例结构示意图;
图5为本发明IPSEC VPN设备第一个实施例的结构示意图;
图6为本发明IPSEC VPN设备第二个实施例的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下根据附图及实 施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施仅仅用以解释本发明,并不限定本发明。
如图1、图2所示,一种IPSEC VPN设备的隔离方法,其特征在于,包括步骤:
在内端主机与外端主机中维护相同的IP映射表,其中,所述IP映射表为哈希链表,所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息。
IP映射表维护存储在内端主机与外端主机的两端,且在内外主机中存储的相同,每个IP映射表中都有多条表项,每一条所述表项均定义有数据包的源地址和目的地址。只有匹配内、外主机两端IP映射表的数据包才允许通过隔离卡传输,能抵抗恶意攻击行为,抵抗病毒、木马、恶意插件的传播,从真正意义上达到内外网连接时的安全隔离,即使外网在最坏的情况下,甚至外端主机被劫持了,内端主机仍是安全的。
对于从内部网络输出到外部网络的明文数据包包括如下步骤:
S100:接收来自内部网络的明文数据包;
S120:对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理,生成密文数据包;
S140:对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到外端主机;
S160:外端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成密文IPSEC数据包,发送密文IPSEC数据包到外部网络;
对于从外部网络进入到内部网络的密文数据包包括如下步骤:
S200:接收来自外部网络的密文数据包;
S220:对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部, 计算IP映射表中索引INDEX,并遍历哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到内端主机;
S240:内端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成新的密文数据包,再对新的密文数据包进行解密处理和IPSEC隧道解封装处理,生成明文数据包,发送明文数据包到内部网络。
本发明IPSEC VPN设备的隔离方法,在所述内端主机与所述外端主机中维护相同的IP映射表,当内部网络外出明文数据包通过内端主机时,经过数据加密及IPSEC隧道模式封装,密文数据包源地址变为IPSEC VPN设备地址,密文数据包转发到外部网络,同理从外部网络进入的密文数据包,其目的地址为IPSEC VPN设备地址,密文数据包转发到内端主机,内端主机经过数据解密及IPSEC隧道模式解封装后,将明文数据包转发到内部网络。整个过程通过以太帧及IP头部剥离/重组、IPSEC隧道模式解封装/封装、以及利用IP映射表等处理,实现内部网络及外部网络之间安全隔离,有效阻止黑客从外部网络利用网络协议漏洞和操作***漏洞入侵,保护内端主机不被黑客劫持,为进入及外出内部网络的网络数据包提供了机密性和完整性保护、数据源认证、抗重放攻击等安全保障,在外部网络中传输的密文数据包采用IPSEC隧道模式封装,隐藏了内部网络中真实地址,而变成IPSEC VPN设备的地址,有效防止黑客从外部网络攻击内部网络。综上所述,本发明IPSEC VPN设备的隔离方法,采用非网络隔离与IPSEC技术的结合,实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护,是一种安全程度高的IPSEC VPN设备隔离方法,能够满足安全度要求很高的内部网络对隔离保护的需求。
如图3所示,在其中一个实施例中,对于从内部网络输出到外部网络的明文数据包的步骤中,所述步骤S140具体包括步骤:
S142:对密文数据包进行以太帧及IP头部剥离处理,获得密文数据包剥离的IP头部;
S144:根据剥离的IP头部携带的源地址和目的地址,利用HASH算法,计算其IP映射表索引INDEX,并遍历所述哈希链表,如有对应的源IP地址、目的IP地址,则对密文数据包进行私有协议封装处理,生成私有协议封装的数据包;
S146:发送所述私有协议的数据包到外端主机。
在其中一个实施例,所述步骤根据剥离的IP头部携带的源地址和目的地址,利用HASH算法,计算其IP映射表索引INDEX,并遍历所述哈希链表,如有对应的源IP地址、目的IP地址,则对密文数据包进行私有协议封装处理,生成私有协议封装的数据包具体包括步骤:
根据密文数据包的源地址和目的地址,利用hash算法,计算出IP映射表索引INDEX值,在IP映射表中取出对应的节点链表的首节点;
遍历所述节点链表,查找与密文数据包的源地址以及目的地址相匹配的节点项,若查找到,则将对应的节点ID值及映射表索引INDEX值写入密文数据私有协议数据包中,若未查找到,则丢弃该密文数据包并结束处理;
剥除密文数据包以太帧及IP头信息,将纯载荷内容以及关键状态信息写入私有协议数据包中。
IP头部的剥离与封装必须要借助IP映射表来实现。为提高查表速度,IP映射表由HASH算法实现,根据HASH表大小分配一段连续内存,假设HASH表大小为K(必须为2的整数倍),HASH算法的查找输入项源地址记作S、目的地址记作D、那么HASH表内索引值INDEX等于下述公式
INDEX=((S+D)^((S+D)>>16))&(K-1)
由于不同的源地址、目的地址计算出的索引值有可能相同,也就是发生HASH碰撞,所以将索引值相同的IP映射节点以链表方式挂在HASH表对应的表项中(为了保证查表速度,应尽量控制链表的深度,可根据***资源及业务需求适当调节HASH表大小K的值),为了区分链表各个映射节点,***为每个映射节点分配一个全局唯一的ID,因此IP映射节点结构包含有节点ID、源地址、目的地址、下一节点等字段。
将网络数据包的以太帧及IP头信息剥除,仅进行IP层之上的纯数据的交换,采用私有协议封装,私有协议数据格式中包括以下三类字段:
1)静态数据:IP映射索引INDEX,IP映射节点ID;
2)动态信息:原始网络数据包的关键状态信息(如分片信息、服务类型、存活时间、承载协议);
3)用户数据:原始网络数据包的纯载荷内容。
进行私有协议封装采用以下步骤:
步骤1:根据网络数据包源地址、目的地址,计算出IP映射表索引INDEX值,在IP映射表中取出对应的节点链表的首节点;
步骤2:遍历该节点链表,如果找到了与源地址及目地址相匹配的节点项,将对应的节点ID值及映射表索引INDEX值写入私有协议数据包中,如果未找到,则丢弃该数据包并结束处理;
步骤3:剥除网络数据包以太帧及IP头信息,将纯载荷内容以及关键状态信息(如分片信息、服务类型、存活时间、承载协议)写入私有协议数据包中。
同样对于进行私有协议解封装采用以下步骤:
步骤1:取出私有协议数据包中IP映射表索引INDEX值,在IP映射表中取出对应的节点链表的首节点;
步骤2:遍历该节点链表,如果找到了与私有协议数据包中节点ID值相匹配的节点项,取出对应的源地址及目的地址,如果未找到,则丢弃该数据包并结束处理
步骤3:从私有协议数据包中取出原始网络数据包纯载荷内容及关键状态信息(如分片信息、服务类型、存活时间、承载协议),并根据步骤2中的源地址、目的地址,进行IP报文重组。
如图4所示,一种IPSEC VPN设备的隔离***,包括:
IP映射表维护模块100,用于在内端主机与外端主机中维护相同的IP映射表,其中,所述IP映射表为哈希链表,所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息;
外发数据包处理模块200,用于对从内部网络输出到外部网络的明文数据进 传输处理,其中,所述外发数据包处理模块200包括:
明文数据包接收模块220,用于接收来自内部网络的明文数据包;
密文数据包生成模块240,用于对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理,生成密文数据包;
第一私有协议封转模块260,用于对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到外端主机;
第一解封装模块280,用于通过外端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成密文IPSEC数据包,发送密文IPSEC数据包到外部网络;
内传数据包处理模块300,用于对从外部网络进入到内部网络的密文数据包进行传输处理,其中所述内传数据包处理模块包括:
密文数据包接收模块320,用于接收来自外部网络的密文数据包;
第二私有协议封转模块340,用于对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到内端主机;
第二解封装模块360,用于通过内端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成新的密文数据包,再对新的密文数据包进行解密处理和IPSEC隧道解封装处理,生成明文数据包,发送明文数据包到内部网络。
本发明IPSEC VPN设备的隔离***,在所述内端主机与所述外端主机中维护相同的IP映射表,当内部网络外出明文数据包通过内端主机时,经过数据加密及IPSEC隧道模式封装,密文数据包源地址变为IPSEC VPN设备地址,密文数据包转发到外部网络,同理从外部网络进入的密文数据包,其目的地址为 IPSEC VPN设备地址,密文数据包转发到内端主机,内端主机经过数据解密及IPSEC隧道模式解封装后,将明文数据包转发到内部网络。整过过程通过以太帧及IP头部剥离/重组、IPSEC隧道模式解封装/封装、以及利用IP映射表等处理,实现内部网络及外部网络之间安全隔离,有效阻止黑客从外部网络利用网络协议漏洞和操作***漏洞入侵,保护内端主机不被黑客劫持,为进入及外出内部网络的网络数据包提供了机密性和完整性保护、数据源认证、抗重放攻击等安全保障,在外部网络中传输的密文数据包采用IPSEC隧道模式封装,隐藏了内部网络中真实地址,而变成IPSEC VPN设备的地址,有效防止黑客从外部网络攻击内部网络。综上所述,本发明IPSEC VPN设备的隔离***,采用非网络隔离与IPSEC技术的结合,实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护,是一种安全程度高的IPSEC VPN设备隔离***,能够满足安全度要求很高的内部网络对隔离保护的需求。
在其中一个实施例中,第一私有协议封转模块具体包括:
剥离单元,用于对密文数据包进行以太帧及IP头部剥离处理,获得密文数据包剥离的IP头部;
封装单元,用于根据剥离的IP头部携带的源地址和目的地址,利用HASH算法,计算其IP映射表索引INDEX,并遍历所述哈希链表,如有对应的源IP地址、目的IP地址,则对密文数据包进行私有协议封装处理,生成私有协议封装的数据包;
发送单元,用于发送所述私有协议的数据包到外端主机。
在其中一个实施例中,封装单元具体包括:
INDEX值计算单元,用于根据密文数据包的源地址和目的地址,利用hash算法,计算出IP映射表索引INDEX值,在IP映射表中取出对应的节点链表的首节点;
遍历单元,用于遍历所述节点链表,查找与密文数据包的源地址以及目的地址相匹配的节点项,若查找到,则将对应的节点ID值及映射表索引INDEX值写入密文数据私有协议数据包中,若未查找到,则丢弃该密文数据包并结束处理;
处理单元,用于剥除密文数据包以太帧及IP头信息,将纯载荷内容以及关键状态信息写入私有协议数据包中。
如图5所示,一种IPSEC VPN设备,其特征在于,包括内端主机610、外端主机620和非网络隔离卡630,所述非网络隔离卡630用于传输不包含以太帧及IP头信息的纯数据,所述内端主机610通过所述非网络隔离卡630与所述外端主机620物理连接,所述内端主机610与内部网络进行数据交互,所述外端主机620与外部网络进行数据交互;
内端主机610与外端主机620中维护相同的IP映射表,其中,所述IP映射表为哈希链表,所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息;
当所述内部网络外出明文数据包传输到所述内端主机610时,对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理,生成密文数据包,对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到外端主机620,通过外端主机620对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成密文IPSEC数据包,发送密文IPSEC数据包到外部网络;
当所述外部网络向所述外端主机620传输密文数据包时,接收来自外部网络的密文数据包,对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到内端主机610,通过内端主机610对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成新的密文数据包,再对新的密文数据包进行解密处理和IPSEC隧道解封装处理,生成明文数据包,发送明文数据包到内部网络。
本发明IPSEC VPN设备,包括内端主机、外端主机和非网络隔离卡在所述内端主机与所述外端主机中维护相同的IP映射表,当内部网络外出明文数据包通过内端主机时,经过数据加密及IPSEC隧道模式封装,密文数据包源地址变为IPSEC VPN设备地址,密文数据包转发到外部网络,同理从外部网络进入的密文数据包,其目的地址为IPSEC VPN设备地址,密文数据包转发到内端主机,内端主机经过数据解密及IPSEC隧道模式解封装后,将明文数据包转发到内部网络。整过过程通过以太帧及IP头部剥离/重组、IPSEC隧道模式解封装/封装、以及利用IP映射表等处理,实现内部网络及外部网络之间安全隔离,有效阻止黑客从外部网络利用网络协议漏洞和操作***漏洞入侵,保护内端主机不被黑客劫持,为进入及外出内部网络的网络数据包提供了机密性和完整性保护、数据源认证、抗重放攻击等安全保障,在外部网络中传输的密文数据包采用IPSEC隧道模式封装,隐藏了内部网络中真实地址,而变成IPSEC VPN设备的地址,有效防止黑客从外部网络攻击内部网络。综上所述,本发明IPSEC VPN设备,采用非网络隔离与IPSEC技术的结合,实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护,是一种安全程度高的IPSEC VPN设备,能够满足安全度要求很高的内部网络对隔离保护的需求。
如图6所示,在其中一个实施例中,所述内端主机610包括硬件加密模块612、VPN处理模块614和密钥协商模块616;
所述硬件加密模块612用于对接收到的明文数据包进行加密处理,或者对接收到的密文数据包进行解密处理,所述VPN处理模块614用于数据包进行IPSEC隧道模式封装和解封装,所述密钥协商模块616用于IPSec VPN密钥协商。
如图6所示,在其中一个实施例中,本发明IPSEC VPN设备还包括第一网卡630和第二网卡640,所述内端主机610通过所述第一网卡630与所述内部网络进行数据交互,所述外端主机620通过所述第二网卡640与所述外部网络进行数据交互。
网卡是便于主机与网络交互数据的媒介,能够提高主机与网络交互速度的效率。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种IPSEC VPN设备的隔离方法,其特征在于,包括步骤:
在内端主机与外端主机中维护相同的IP映射表,其中,所述IP映射表为哈希链表,所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息;
对于从内部网络输出到外部网络的明文数据包包括如下步骤:
接收来自内部网络的明文数据包;
对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理,生成密文数据包;
对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到外端主机;
外端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成密文IPSEC数据包,发送密文IPSEC数据包到外部网络;
对于从外部网络进入到内部网络的密文数据包包括如下步骤:
接收来自外部网络的密文数据包;
对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到内端主机;
内端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成新的密文数据包,再对新的密文数据包进行解密处理和IPSEC隧道解封装处理,生成明文数据包,发送明文数据包到内部网络。
2.根据权利要求1所述的IPSEC VPN设备的隔离方法,其特征在于,对于从内部网络输出到外部网络的明文数据包的步骤中,所述对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据包发送到外端主机具体包括步骤:
对密文数据包进行以太帧及IP头部剥离处理,获得密文数据包剥离的IP头部;
根据剥离的IP头部携带的源地址和目的地址,利用HASH算法,计算其IP映射表索引INDEX,并遍历所述哈希链表,如有对应的源IP地址、目的IP地址,则对密文数据包进行私有协议封装处理,生成私有协议封装的数据包;
发送所述私有协议的数据包到外端主机。
3.根据权利要求2所述的IPSEC VPN设备的隔离方法,其特征在于,所述根据剥离的IP头部携带的源地址和目的地址,利用HASH算法,计算其IP映射表索引INDEX,并遍历所述哈希链表,如有对应的源IP地址、目的IP地址,则对密文数据包进行私有协议封装处理,生成私有协议封装的数据包具体包括步骤:
根据密文数据包的源地址和目的地址,利用hash算法,计算出IP映射表索引INDEX值,在IP映射表中取出对应的节点链表的首节点;
遍历所述节点链表,查找与密文数据包的源地址以及目的地址相匹配的节点项,若查找到,则将对应的节点ID值及映射表索引INDEX值写入密文数据私有协议数据包中,若未查找到,则丢弃该密文数据包并结束处理;
剥除密文数据包以太帧及IP头信息,将纯载荷内容以及关键状态信息写入私有协议数据包中。
4.一种IPSEC VPN设备的隔离***,其特征在于,包括:
IP映射表维护模块,用于在内端主机与外端主机中维护相同的IP映射表,其中,所述IP映射表为哈希链表,所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息;
外发数据包处理模块,用于对从内部网络输出到外部网络的明文数据进传输处理,其中,所述外发数据包处理模块包括:
明文数据包接收模块,用于接收来自内部网络的明文数据包;
密文数据包生成模块,用于对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理,生成密文数据包;
第一私有协议封转模块,用于对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到外端主机;
第一解封装模块,用于通过外端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成密文IPSEC数据包,发送密文IPSEC数据包到外部网络;
内传数据包处理模块,用于对从外部网络进入到内部网络的密文数据包进行传输处理,其中所述内传数据包处理模块包括:
密文数据包接收模块,用于接收来自外部网络的密文数据包;
第二私有协议封转模块,用于对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到内端主机;
第二解封装模块,用于通过内端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成新的密文数据包,再对新的密文数据包进行解密处理和IPSEC隧道解封装处理,生成明文数据包,发送明文数据包到内部网络。
5.根据权利要求4所述的IPSEC VPN设备的隔离***,其特征在于,所述第一私有协议封转模块具体包括:
剥离单元,用于对密文数据包进行以太帧及IP头部剥离处理,获得密文数据包剥离的IP头部;
封装单元,用于根据剥离的IP头部携带的源地址和目的地址,利用HASH算法,计算其IP映射表索引INDEX,并遍历所述哈希链表,如有对应的源IP地址、目的IP地址,则对密文数据包进行私有协议封装处理,生成私有协议封装的数据包;
发送单元,用于发送所述私有协议的数据包到外端主机。
6.根据权利要求5所述的IPSEC VPN设备的隔离***,其特征在于,所述封装单元具体包括:
INDEX值计算单元,用于根据密文数据包的源地址和目的地址,利用hash算法,计算出IP映射表索引INDEX值,在IP映射表中取出对应的节点链表的首节点;
遍历单元,用于遍历所述节点链表,查找与密文数据包的源地址以及目的地址相匹配的节点项,若查找到,则将对应的节点ID值及映射表索引INDEX值写入密文数据私有协议数据包中,若未查找到,则丢弃该密文数据包并结束处理;
处理单元,用于剥除密文数据包以太帧及IP头信息,将纯载荷内容以及关键状态信息写入私有协议数据包中。
7.一种IPSEC VPN设备,其特征在于,包括内端主机、外端主机和非网络隔离卡,所述非网络隔离卡用于传输不包含以太帧及IP头信息的纯数据,所述内端主机通过所述非网络隔离卡与所述外端主机物理连接,所述内端主机与内部网络进行数据交互,所述外端主机与外部网络进行数据交互;
内端主机与外端主机中维护相同的IP映射表,其中,所述IP映射表为哈希链表,所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息;
当所述内部网络外出明文数据包传输到所述内端主机时,对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理,生成密文数据包,对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历所述哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到外端主机,通过外端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成密文IPSEC数据包,发送密文IPSEC数据包到外部网络;
当所述外部网络向所述外端主机传输密文数据包时,接收来自外部网络的密文数据包,对密文数据包进行以太帧及IP头部剥离处理,根据剥离的IP头部,计算IP映射表中索引INDEX,并遍历哈希链表,查找是否有对应的源IP地址、目的IP地址,如有对应的数据,则对密文数据包进行私有协议封装处理,并将私有协议封装的数据发送到内端主机,通过内端主机对接收到的私有协议封装数据进行解封装处理,根据解封装得到的IP映射表索引INDEX,节点ID在IP映射表进行检索,根据检索的结果对密文IPSEC数据包进行重组,生成新的密文数据包,再对新的密文数据包进行解密处理和IPSEC隧道解封装处理,生成明文数据包,发送明文数据包到内部网络。
8.根据权利要求7所述的IPSEC VPN设备,其特征在于,所述内端主机包括硬件加密模块、VPN处理模块和密钥协商模块;
所述硬件加密模块用于对接收到的明文数据包进行加密处理,或者对接收到的密文数据包进行解密处理,所述VPN处理模块用于数据包进行IPSEC隧道模式封装和解封装,所述密钥协商模块用于IPSec VPN密钥协商。
9.根据权利要7或8所述的IPSEC VPN设备,其特征在于,还包括第一网卡和第二网卡,所述内端主机通过所述第一网卡与所述内部网络进行数据交互,所述外端主机通过所述第二网卡与所述外部网络进行数据交互。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410025959.0A CN103812861B (zh) | 2014-01-20 | 2014-01-20 | Ipsec vpn设备的隔离方法与*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410025959.0A CN103812861B (zh) | 2014-01-20 | 2014-01-20 | Ipsec vpn设备的隔离方法与*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103812861A true CN103812861A (zh) | 2014-05-21 |
| CN103812861B CN103812861B (zh) | 2017-02-08 |
Family
ID=50709062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410025959.0A Active CN103812861B (zh) | 2014-01-20 | 2014-01-20 | Ipsec vpn设备的隔离方法与*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103812861B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104484281A (zh) * | 2014-12-26 | 2015-04-01 | 杭州华三通信技术有限公司 | 数据存储方法、查找方法及装置 |
| CN105681330A (zh) * | 2016-02-29 | 2016-06-15 | 四川长虹电器股份有限公司 | 远程访问电信内网的方法 |
| CN106790028A (zh) * | 2016-12-15 | 2017-05-31 | 贵州监信数据开发有限公司 | 一种监狱与银行内外网安全隔离的数据传输方法及*** |
| CN106992998A (zh) * | 2017-05-25 | 2017-07-28 | 深圳市伊特利网络科技有限公司 | 网络链路的安全实现方法及*** |
| CN107395645A (zh) * | 2017-09-05 | 2017-11-24 | 瑞科网信(北京)科技有限公司 | 用于防火墙的***和方法以及存储有对应程序的介质 |
| CN108111422A (zh) * | 2017-12-29 | 2018-06-01 | 北京明朝万达科技股份有限公司 | 一种基于dpdk的数据高速多路转发方法及装置 |
| CN109150702A (zh) * | 2018-08-16 | 2019-01-04 | 南京南瑞信息通信科技有限公司 | 一种连通信息内外网的高性能移动接入网关及其方法 |
| CN109743287A (zh) * | 2018-12-06 | 2019-05-10 | 广东电网有限责任公司 | 一种基于数据隔离的数据重组方法及装置 |
| CN110492994A (zh) * | 2019-07-25 | 2019-11-22 | 北京笛卡尔盾科技有限公司 | 一种可信网络接入方法和*** |
| CN111193735A (zh) * | 2019-12-27 | 2020-05-22 | 泛在数字电能技术(珠海)有限公司 | 基于独立计算单元的智能终端安全通讯*** |
| CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN114553577A (zh) * | 2022-02-28 | 2022-05-27 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种基于多主机双隔离保密架构的网络交互***及方法 |
| CN115632878A (zh) * | 2022-12-06 | 2023-01-20 | 中海油能源发展股份有限公司采油服务分公司 | 基于网络隔离的数据传输方法、装置、设备及存储介质 |
| CN117354181A (zh) * | 2023-12-05 | 2024-01-05 | 江西云绿科技有限公司 | 一种基于物联网的数据包分类方法及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744565A (zh) * | 2005-09-22 | 2006-03-08 | 武汉思为同飞网络技术有限公司 | 一种解决vpn子网地址冲突的***和方法 |
| US20070022479A1 (en) * | 2005-07-21 | 2007-01-25 | Somsubhra Sikdar | Network interface and firewall device |
| CN101662359A (zh) * | 2009-08-17 | 2010-03-03 | 珠海市鸿瑞信息技术有限公司 | 电力专用公网通信数据安全防护方法 |
| CN102882828A (zh) * | 2011-07-11 | 2013-01-16 | 上海可鲁***软件有限公司 | 一种内网与外网间的信息安全传输控制方法及其网关 |
| CN202856781U (zh) * | 2012-08-29 | 2013-04-03 | 广东电网公司电力科学研究院 | 一种工业控制***主站安全防护装置 |
-
2014
- 2014-01-20 CN CN201410025959.0A patent/CN103812861B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070022479A1 (en) * | 2005-07-21 | 2007-01-25 | Somsubhra Sikdar | Network interface and firewall device |
| CN1744565A (zh) * | 2005-09-22 | 2006-03-08 | 武汉思为同飞网络技术有限公司 | 一种解决vpn子网地址冲突的***和方法 |
| CN101662359A (zh) * | 2009-08-17 | 2010-03-03 | 珠海市鸿瑞信息技术有限公司 | 电力专用公网通信数据安全防护方法 |
| CN102882828A (zh) * | 2011-07-11 | 2013-01-16 | 上海可鲁***软件有限公司 | 一种内网与外网间的信息安全传输控制方法及其网关 |
| CN202856781U (zh) * | 2012-08-29 | 2013-04-03 | 广东电网公司电力科学研究院 | 一种工业控制***主站安全防护装置 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104484281B (zh) * | 2014-12-26 | 2018-09-04 | 新华三技术有限公司 | 数据存储方法、查找方法及装置 |
| CN104484281A (zh) * | 2014-12-26 | 2015-04-01 | 杭州华三通信技术有限公司 | 数据存储方法、查找方法及装置 |
| CN105681330A (zh) * | 2016-02-29 | 2016-06-15 | 四川长虹电器股份有限公司 | 远程访问电信内网的方法 |
| CN106790028A (zh) * | 2016-12-15 | 2017-05-31 | 贵州监信数据开发有限公司 | 一种监狱与银行内外网安全隔离的数据传输方法及*** |
| CN106992998A (zh) * | 2017-05-25 | 2017-07-28 | 深圳市伊特利网络科技有限公司 | 网络链路的安全实现方法及*** |
| CN107395645A (zh) * | 2017-09-05 | 2017-11-24 | 瑞科网信(北京)科技有限公司 | 用于防火墙的***和方法以及存储有对应程序的介质 |
| CN107395645B (zh) * | 2017-09-05 | 2018-06-26 | 瑞科网信(北京)科技有限公司 | 用于防火墙的***和方法以及存储有对应程序的介质 |
| CN108111422B (zh) * | 2017-12-29 | 2020-11-27 | 北京明朝万达科技股份有限公司 | 一种基于dpdk的数据高速多路转发方法及装置 |
| CN108111422A (zh) * | 2017-12-29 | 2018-06-01 | 北京明朝万达科技股份有限公司 | 一种基于dpdk的数据高速多路转发方法及装置 |
| CN109150702A (zh) * | 2018-08-16 | 2019-01-04 | 南京南瑞信息通信科技有限公司 | 一种连通信息内外网的高性能移动接入网关及其方法 |
| CN109743287A (zh) * | 2018-12-06 | 2019-05-10 | 广东电网有限责任公司 | 一种基于数据隔离的数据重组方法及装置 |
| CN110492994A (zh) * | 2019-07-25 | 2019-11-22 | 北京笛卡尔盾科技有限公司 | 一种可信网络接入方法和*** |
| CN111193735A (zh) * | 2019-12-27 | 2020-05-22 | 泛在数字电能技术(珠海)有限公司 | 基于独立计算单元的智能终端安全通讯*** |
| CN111800436A (zh) * | 2020-07-29 | 2020-10-20 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN111800436B (zh) * | 2020-07-29 | 2022-04-08 | 郑州信大捷安信息技术股份有限公司 | IPSec隔离网卡设备及安全通信方法 |
| CN114553577A (zh) * | 2022-02-28 | 2022-05-27 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种基于多主机双隔离保密架构的网络交互***及方法 |
| CN114553577B (zh) * | 2022-02-28 | 2023-09-26 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种基于多主机双隔离保密架构的网络交互***及方法 |
| CN115632878A (zh) * | 2022-12-06 | 2023-01-20 | 中海油能源发展股份有限公司采油服务分公司 | 基于网络隔离的数据传输方法、装置、设备及存储介质 |
| CN115632878B (zh) * | 2022-12-06 | 2023-03-31 | 中海油能源发展股份有限公司采油服务分公司 | 基于网络隔离的数据传输方法、装置、设备及存储介质 |
| CN117354181A (zh) * | 2023-12-05 | 2024-01-05 | 江西云绿科技有限公司 | 一种基于物联网的数据包分类方法及*** |
| CN117354181B (zh) * | 2023-12-05 | 2024-02-13 | 江西云绿科技有限公司 | 一种基于物联网的数据包分类方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103812861B (zh) | 2017-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103812861A (zh) | Ipsec vpn设备及其隔离方法与*** | |
| Allouch et al. | MAVSec: Securing the MAVLink protocol for ardupilot/PX4 unmanned aerial systems | |
| EP3254418B1 (en) | Packet obfuscation and packet forwarding | |
| US10491569B1 (en) | Secure transfer of independent security domains across shared media | |
| US9686294B2 (en) | Protection of communication on a vehicular network via a remote security service | |
| US10129220B2 (en) | Application and data protection tag | |
| WO2019100691A1 (zh) | 面向工业嵌入式***的网络信息安全防护单元和防护方法 | |
| US7739497B1 (en) | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation | |
| US8635441B2 (en) | Encryption-based control of network traffic | |
| US9515992B2 (en) | Network environment separation | |
| WO2014143030A1 (en) | Creating and managing a network security tag | |
| US9083683B2 (en) | Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods | |
| WO2015131609A1 (zh) | 一种实现L2TP over IPsec接入的方法 | |
| US9473466B2 (en) | System and method for internet protocol security processing | |
| CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
| Morii et al. | Cryptanalysis for rc4 and breaking wep/wpa-tkip | |
| Navaz et al. | Hacking and Defending in Wireless Networks | |
| US11659394B1 (en) | Agile node isolation using packet level non-repudiation for mobile networks | |
| RU2472217C1 (ru) | Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты) | |
| Banoth et al. | Modern cryptanalysis methods, advanced network attacks and cloud security | |
| AGR et al. | Mitigating DDoS flooding attacks with dynamic path identifiers in wireless network | |
| Heigl et al. | Embedded plug-in devices to secure industrial network communications | |
| Sadikin et al. | Efficient key management system for large-scale smart RFID applications | |
| Han et al. | The design of secure embedded VPN gateway | |
| Anandharaj | Multi-layer Security Model for DDoS detection in the Internet of Things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 510080 water Donggang 8, Dongfeng East Road, Yuexiu District, Guangzhou, Guangdong. Patentee after: ELECTRIC POWER RESEARCH INSTITUTE, GUANGDONG POWER GRID CO., LTD. Address before: 510080 water Donggang 8, Dongfeng East Road, Yuexiu District, Guangzhou, Guangdong. Patentee before: Electrical Power Research Institute of Guangdong Power Grid Corporation |