CN110535748B - 一种vpn隧道模式优化方法及*** - Google Patents

一种vpn隧道模式优化方法及*** Download PDF

Info

Publication number
CN110535748B
CN110535748B CN201910847173.XA CN201910847173A CN110535748B CN 110535748 B CN110535748 B CN 110535748B CN 201910847173 A CN201910847173 A CN 201910847173A CN 110535748 B CN110535748 B CN 110535748B
Authority
CN
China
Prior art keywords
message
table entry
strategy table
strategy
keyid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910847173.XA
Other languages
English (en)
Other versions
CN110535748A (zh
Inventor
徐萌
李勃
梁野
高明慧
马力
张志军
多志林
王丹
刘锦利
计士禹
张广文
刘新龙
修增哲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kedong Electric Power Control System Co Ltd
Original Assignee
Beijing Kedong Electric Power Control System Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kedong Electric Power Control System Co Ltd filed Critical Beijing Kedong Electric Power Control System Co Ltd
Priority to CN201910847173.XA priority Critical patent/CN110535748B/zh
Publication of CN110535748A publication Critical patent/CN110535748A/zh
Application granted granted Critical
Publication of CN110535748B publication Critical patent/CN110535748B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种VPN隧道模式优化方法及***,包括以下过程:添加策略表项,并配置唯一编号KeyID标识当前策略表项;策略表项包含IP地址和端口号;本端设备对明文报文进行策略匹配,匹配成功后,使用KeyID替换原始IP报文头及端口号后进行数据加密,并添加外部IP报文头及AH/ESP信息生成加密报文,将加密报文转发至对端设备;对端设备接收加密报文后,进行数据解密,解密后根据KeyID查找策略表项,策略表项匹配成功后,根据策略表项还原IP报文头及端口号。本发明方法减少了加密后对数据流量的增加量。

Description

一种VPN隧道模式优化方法及***
技术领域
本发明属于通信技术领域,具体涉及一种VPN隧道模式优化方法及***。
背景技术
现有的IPsec VPN加密设备,采用通用的隧道模式时,本端加密设备将原始IP报文加密后,添加外部IP报文头,AH/ESP信息,将新的数据包发到对端设备,对端设备解密得到原始数据并剥离外部IP报文头,ESP/AH信息,将原始报文发送到接收端。现有的IPsec协议报文封装格式,参见图1所示,在隧道模式中,矩形框标注的内容为原始IP报文,其他为新增数据。
综上所述,目前采用IPsec VPN隧道进行数据加密后每包会新增比较多的数据内容(如外部IP报文头,AH/ESP等信息)。而电力协议104报文,很多数据包均为不超过64字节的小包,若采用现有的隧道模式进行数据加密传输时,增加的报文长度与实际数据长度相比,比重很大,导致实际网络负载增大。
发明内容
本发明的目的在于克服现有技术的不足,提供了一种VPN隧道模式优化方法,减少了加密后对数据流量的增加量。
为解决上述技术问题,本发明提供了一种VPN隧道模式优化方法,其特征是,包括以下过程:
添加策略表项,并配置唯一编号KeyID标识当前策略表项;策略表项包含IP地址和端口号;
本端设备对明文报文进行策略匹配,匹配成功后,使用KeyID替换原始IP报文头及端口号后进行数据加密,并添加外部IP报文头及AH/ESP信息生成加密报文,将加密报文转发至对端设备;
对端设备接收加密报文后,进行数据解密,解密后根据KeyID查找策略表项,策略表项匹配成功后,根据策略表项还原IP报文头及端口号。
进一步的,数据加密采用IPsec隧道模式。
进一步的,KeyID为4字节,根据实际业务自定义。
相应的,本发明还提供了一种VPN隧道模式优化***,其特征是,包括策略表项建立模块、数据加密模块和数据解密模块;
策略表项建立模块,用于添加策略表项,并配置唯一编号KeyID标识当前策略表项;策略表项包含IP地址和端口号;
数据加密模块,用于对明文报文进行策略匹配,匹配成功后,使用KeyID替换原始IP报文头及端口号后进行数据加密,并添加外部IP报文头及AH/ESP信息生成加密报文,将加密报文转发至对端设备;
数据解密模块,用于接收加密报文后进行数据解密,解密后根据KeyID查找策略表项,策略表项匹配成功后,根据策略表项还原IP报文头及端口号。
进一步的,数据加密模块中,数据加密采用IPsec隧道模式。
进一步的,策略表项建立模块中,KeyID为4字节,根据实际业务自定义。
与现有技术相比,本发明所达到的有益效果是:本发明方法减少了加密后对数据流量的增加量。
附图说明
图1为现有技术中IPsec协议报文封装格式示意图;
图2为本发明方法与现有技术方法数据加密后报文结构示意图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明的一种VPN隧道模式优化方法,包括以下过程:
步骤1,两侧设备采用IPsec隧道模式进行数据加密。
步骤2,为两侧设备添加一条策略表项,表项中包含IP地址、端口号、协议号(如TCP、UDP、ICMP等),并配置唯一编号KeyID标识当前策略表项。
数据加解密是以成对的方式存在的,对于一对加密设备,针对各个业务配置策略,可以理解为一个业务就要配置一条策略。设备中可以配置多条策略,这些策略彼此独立,所有策略通常放在一个表中进行管理,这个表叫策略表,其中的每条策略是一个表项,即策略表项。
对于同一个业务的策略配置,两台设备的策略内容应该是一样的。两侧设备针对同一条业务的策略表项需配置相同的KeyID,保证两侧设备通过KeyID找到唯一且相同的一条策略表项。
KeyID使用4字节进行存储,首两字节为定项选择信息,如业务部署的地理位置等,尾两字节为自定义项,根据实际业务类型等信息进行划分。
策略是判断数据包是否合法的依据,可根据实际使用添加任何校验信息,如:源MAC、目的MAC、TCP/IP五元组(源IP地址、目的IP地址、协议号、源端口、目的端口)。
步骤3,本端设备接收明文报文后,对明文报文进行策略匹配(策略中配置的信息都需要进行判断,当数据包中的内容和策略配置的完全一致时才表示匹配成功。),匹配成功后,使用KeyID替换原始IP报文头及TCP/UDP端口号(若为ICMP协议,ICMP协议无端口号,所以则只替换原始IP报文头)后进行数据加密,并添加外部IP报文头及AH/ESP信息(数据加密时,将原IP头加密了,所以必须要添加新的IP头信息。新的IP头信息指向的就是对端加密设备),生成加密报文并转发至对端设备。
根据实际使用,加密算法可能为国密算法如SM1、SM2、SM3、SM4等,电力专用加密算法为SSF09算法。
步骤4,对端设备接收加密报文后,进行数据解密,解密后根据KeyID查找策略,匹配成功后(若某条策略中配置的KeyID与其一致说明匹配成功),根据策略的IP地址、端口号、协议号等配置还原IP报文头及TCP/UDP端口号并转发,对于IP报文头信息,如报文长度、校验和、分帧标识等根据实际报文进行计算,其他信息根据***默认配置填充。根据恢复的原始IP报文,转发数据包到目的IP地址。
对于同样的报文采用本发明方案和现有的方案后,参见图2所示,报文长度变化对比分析如下:
本发明方案:原有IP报文头长度为20字节,TCP/UDP端口信息长度为4字节,新方案使用4字节编号进行替换后,并添加外部IP报文头20字节。当报文协议为TCP/UDP协议时,加密报文长度等于原始报文长度;当报文协议为ICMP协议时,ICMP协议无端口信息,4字节编号仅替换原IP报文头,添加外部IP报文头20字节后,加密报文长度比原始报文长度多4字节。
现有方案:原IP报文不变,添加外部IP报文头20字节。加密报文长度比原始报文长度多20字节。
因此,针对于64字节的数据包,原方案增加了30%流量,新方案不变或只新增5%。(注:以上仅对比了原始数据和单独添加外部IP报文头后的报文长度变化,AH/ESP信息根据实际应用场景长度可变所以没参与对比。)
当网络MTU=1500时,MTU是指IP报文最大长度,如果报文超过MTU就必须要进行IP报文分片,IP报文分片指将一个IP报文分成两个IP报文,对比原/新方案对数据传输的影响:
a)因为AH/ESP信息对于原/新方案来说增加量一致,所以未参与对比。
b)超过1480字节的TCP/UDP报文:
i.原方案增加20字节,报文长度超过1500后需要IP报文分片,报文数量增加;
ii.新方案报文长度不变。
c)超过1480字节不足1496字节的ICMP报文:
i.原方案增加20字节,报文长度超过1500后需要IP报文分片,报文数量增加;
ii.新方案增加4字节,报文长度未超过1500无需IP报文分片。
d)超过1496字节的ICMP报文,新方案增加4字节后,报文长度超过1500后需要IP报文分片,报文数量增加。
综上所述,采用本发明的技术方案后,减少了加密后对数据流量的增加量。
相应的,本发明还提供了一种VPN隧道模式优化***,其特征是,包括策略表项建立模块、数据加密模块和数据解密模块;
策略表项建立模块,用于添加策略表项,并配置唯一编号KeyID标识当前策略表项;策略表项包含IP地址和端口号;
数据加密模块,用于对明文报文进行策略匹配,匹配成功后,使用KeyID替换原始IP报文头及端口号后进行数据加密,并添加外部IP报文头及AH/ESP信息生成加密报文,将加密报文转发至对端设备;
数据解密模块,用于接收加密报文后进行数据解密,解密后根据KeyID查找策略表项,策略表项匹配成功后,根据策略表项还原IP报文头及端口号。
进一步的,数据加密模块中,数据加密采用IPsec隧道模式。
进一步的,策略表项建立模块中,KeyID为4字节,首两字节为定项选择信息,尾两字节为自定义项,根据实际业务类型等信息进行划分。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型也应视为本发明的保护范围。

Claims (6)

1.一种VPN隧道模式优化方法,其特征是,包括以下过程:
添加策略表项,并配置唯一编号KeyID标识当前策略表项;策略表项包含IP地址和端口号;
本端设备对明文报文进行策略匹配,匹配成功后,使用KeyID替换原始IP报文头及端口号后进行数据加密,并添加外部IP报文头及AH/ESP信息生成加密报文,将加密报文转发至对端设备;
对端设备接收加密报文后,进行数据解密,解密后根据KeyID查找策略表项,策略表项匹配成功后,根据策略表项还原IP报文头及端口号。
2.根据权利要求1所述的一种VPN隧道模式优化方法,其特征是,数据加密采用IPsec隧道模式。
3.根据权利要求1所述的一种VPN隧道模式优化方法,其特征是,KeyID为4字节,根据实际业务自定义。
4.一种VPN隧道模式优化***,其特征是,包括策略表项建立模块、数据加密模块和数据解密模块;
策略表项建立模块,用于添加策略表项,并配置唯一编号KeyID标识当前策略表项;策略表项包含IP地址和端口号;
数据加密模块,用于对明文报文进行策略匹配,匹配成功后,使用KeyID替换原始IP报文头及端口号后进行数据加密,并添加外部IP报文头及AH/ESP信息生成加密报文,将加密报文转发至对端设备;
数据解密模块,用于接收加密报文后进行数据解密,解密后根据KeyID查找策略表项,策略表项匹配成功后,根据策略表项还原IP报文头及端口号。
5.根据权利要求4所述的一种VPN隧道模式优化***,其特征是,数据加密模块中,数据加密采用IPsec隧道模式。
6.根据权利要求4所述的一种VPN隧道模式优化***,其特征是,策略表项建立模块中,KeyID为4字节,根据实际业务自定义。
CN201910847173.XA 2019-09-09 2019-09-09 一种vpn隧道模式优化方法及*** Active CN110535748B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910847173.XA CN110535748B (zh) 2019-09-09 2019-09-09 一种vpn隧道模式优化方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910847173.XA CN110535748B (zh) 2019-09-09 2019-09-09 一种vpn隧道模式优化方法及***

Publications (2)

Publication Number Publication Date
CN110535748A CN110535748A (zh) 2019-12-03
CN110535748B true CN110535748B (zh) 2021-03-26

Family

ID=68667707

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910847173.XA Active CN110535748B (zh) 2019-09-09 2019-09-09 一种vpn隧道模式优化方法及***

Country Status (1)

Country Link
CN (1) CN110535748B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111371549B (zh) * 2020-03-05 2023-03-24 浙江双成电气有限公司 一种报文数据传输方法、装置及***
CN112073372B (zh) * 2020-08-04 2023-06-27 南京国电南自维美德自动化有限公司 一种电力***通信报文双重加密方法、解密方法和报文交互***
CN112637237B (zh) * 2020-12-31 2022-08-16 网络通信与安全紫金山实验室 基于SRoU的业务加密方法、***、设备及存储介质
CN114363257B (zh) * 2021-12-29 2023-10-17 杭州迪普信息技术有限公司 隧道报文的五元组匹配方法及装置
CN114710324B (zh) * 2022-03-16 2024-02-13 深圳市风云实业有限公司 一种基于密码本置换加解密的跨网隧道报文传输方法
CN114915451B (zh) * 2022-04-07 2023-07-21 南京邮电大学 一种基于企业级路由器的融合隧道加密传输方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101262331A (zh) * 2007-03-05 2008-09-10 株式会社日立制作所 通信内容检查支援***
CN101447907A (zh) * 2008-10-31 2009-06-03 北京东方中讯联合认证技术有限公司 Vpn安全接入方法及***
CN104618211A (zh) * 2014-12-31 2015-05-13 杭州华三通信技术有限公司 一种基于隧道的报文处理方法和总部网关设备
CN106790200A (zh) * 2016-12-30 2017-05-31 盛科网络(苏州)有限公司 Capwap控制通道dtls加解密的芯片协处理方法
CN109005198A (zh) * 2018-09-12 2018-12-14 杭州和利时自动化有限公司 一种控制器防攻击安全策略生成方法及***

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8726007B2 (en) * 2009-03-31 2014-05-13 Novell, Inc. Techniques for packet processing with removal of IP layer routing dependencies

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101262331A (zh) * 2007-03-05 2008-09-10 株式会社日立制作所 通信内容检查支援***
CN101447907A (zh) * 2008-10-31 2009-06-03 北京东方中讯联合认证技术有限公司 Vpn安全接入方法及***
CN104618211A (zh) * 2014-12-31 2015-05-13 杭州华三通信技术有限公司 一种基于隧道的报文处理方法和总部网关设备
CN106790200A (zh) * 2016-12-30 2017-05-31 盛科网络(苏州)有限公司 Capwap控制通道dtls加解密的芯片协处理方法
CN109005198A (zh) * 2018-09-12 2018-12-14 杭州和利时自动化有限公司 一种控制器防攻击安全策略生成方法及***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《基于IPsec的VPN技术的应用研究》;王凤领;《计算机技术与发展》;20120910;第22卷(第9期);第250-253页 *

Also Published As

Publication number Publication date
CN110535748A (zh) 2019-12-03

Similar Documents

Publication Publication Date Title
CN110535748B (zh) 一种vpn隧道模式优化方法及***
US10404588B2 (en) Path maximum transmission unit handling for virtual private networks
TWI499342B (zh) 網路卸載方法與系統
CN109450852B (zh) 网络通信加密解密方法及电子设备
US9516061B2 (en) Smart virtual private network
US10397221B2 (en) Network controller provisioned MACsec keys
CN103139222A (zh) 一种ipsec隧道数据传输方法及装置
CN107104929B (zh) 防御网络攻击的方法、装置和***
CN112887259A (zh) 基于应用的网络安全
CN110912859B (zh) 发送报文的方法、接收报文的方法及网络设备
WO2019129201A1 (en) Session management for communications between a device and a dtls server
CN108933763B (zh) 一种数据报文发送方法、网络设备、控制设备及网络***
CN106161386B (zh) 一种实现IPsec分流的方法和装置
CN103457952A (zh) 一种基于加密引擎的IPSec处理方法和设备
US10951520B2 (en) SDN, method for forwarding packet by SDN, and apparatus
CN110691074B (zh) 一种IPv6数据加密方法、IPv6数据解密方法
WO2017131767A1 (en) Mobile virtual private network configuration
CN110943996B (zh) 一种业务加解密的管理方法、装置及***
CN112217769B (zh) 基于隧道的数据解密方法、加密方法、装置、设备和介质
CN111835613B (zh) 一种vpn服务器的数据传输方法及vpn服务器
CN115225414B (zh) 基于ipsec的加密策略匹配方法、装置及通信***
CN116527405A (zh) 一种srv6报文加密传输方法、装置及电子设备
CN109428868B (zh) 对OSPFv3进行加密的方法、加密装置、加密设备及存储介质
CN113542309B (zh) 一种数据处理***及方法
CN115834026A (zh) 一种基于工业协议的安全加密方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant